Tecnología inalámbrica : Productos Cisco Wireless LAN Controller de la serie 4400

Genere el CSR para los Certificados de tercera persona y descargue los Certificados encadenados al WLC

20 Septiembre 2014 - Traducción Automática
Otras Versiones: PDFpdf | Inglés (16 Septiembre 2014) | Comentarios


Contenido


Introducción

Este documento describe cómo generar un pedido de firma de certificado (CSR) para obtener un certificado de tercera persona y cómo descargar un certificado encadenado a un regulador del Wireless LAN (red inalámbrica (WLAN)) (WLC).

prerrequisitos

Requisitos

Asegúrese de cumplir estos requisitos antes de intentar esta configuración:

  • Conocimiento de cómo configurar el WLC, el Lightweight Access Point (REVESTIMIENTO), y el indicador luminoso LED amarillo de la placa muestra gravedad menor del cliente de red inalámbrica para la operación básica

  • Conocimiento de cómo utilizar la aplicación del OpenSSL

  • Conocimiento del Public Key Infrastructure y de los Certificados digitales

Componentes Utilizados

La información que contiene este documento se basa en las siguientes versiones de software y hardware.

  • WLC de Cisco 4400 que funciona con la versión de firmware 5.1.151.0

  • Aplicación del OpenSSL para Microsoft Windows

  • Herramienta de la inscripción que es específica al Certification Authority (CA) de tercera persona

La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). Si la red está funcionando, asegúrese de haber comprendido el impacto que puede tener cualquier comando.

Convenciones

Consulte Convenciones de Consejos Técnicos de Cisco para obtener más información sobre las convenciones sobre documentos.

Certificados encadenados

Una Cadena de certificados es una secuencia de Certificados, donde cada certificado en el encadenamiento es firmado por el certificado subsiguiente. El propósito de la Cadena de certificados es establecer un encadenamiento de la confianza de un certificado de peer a un certificado de las autoridades confiables de certificación (CA). CA atestigua para la identidad en el certificado de peer firmándolo. Si CA es uno que usted confía en, que es indicado por la presencia de una copia del certificado de CA en su directorio del certificado raíz, éste le implica puede confiar en el certificado de peer firmado también.

A menudo, los clientes no validan los Certificados porque CA conocido los no crearon. Del cliente los estados típicamente que la validez del certificado no puede ser verificada. Éste es el caso cuando el certificado es firmado por CA intermedio, que no se sabe al buscador del cliente. En estos casos, es necesario utilizar un certificado SSL o un grupo encadenado del certificado.

Soporte para el certificado encadenado

En las versiones del regulador anterior que 5.1.151.0, los Certificados de la autenticación Web pueden ser solamente Certificados del dispositivo y no deben contener las raíces de CA encadenadas al certificado del dispositivo (ningunos Certificados encadenados).

Con la versión 5.1.151.0 del regulador y posterior, el regulador permite para que el certificado del dispositivo sea descargado como certificado encadenado para la autenticación Web.

Niveles del certificado

  • Nivel 0 — Uso solamente de un certificado de servidor en el WLC.

  • Nivel 1 — Uso del certificado de servidor en el WLC y un certificado raíz de CA.

  • Nivel 2 — Uso del certificado de servidor en el WLC, un solo certificado intermedio de CA, y un certificado raíz de CA.

  • Nivel 3 — Uso del certificado de servidor en el WLC, dos Certificados intermedios de CA, y un certificado raíz de CA.

El WLC no soporta encadenado certifica más que los tamaños 10KB en el WLC. Sin embargo, esta restricción se ha quitado en las versiones de 7.0.230.0 del WLC y posterior.

Nota: Los Certificados encadenados se soportan para la autenticación Web solamente; no se soportan para el certificado de la Administración.

Los Certificados de la autenticación Web pueden ser ninguno de estos:

  • Encadenado

  • Soltado

  • Auto generado

Para el WLCs con las versiones de software anterior que 5.1.151.0, la solución alternativa es utilizar una de estas opciones:

  • Adquiera un certificado soltado de CA, así que significa que la raíz de firma está confiada en.

  • Tenga todos los certificados raíz válidos del intermedio CA (confiados en o untrusted) instalados en el cliente.

Para la información sobre cómo utilizar los Certificados soltados en el WLC, referirse genera el CSR para los Certificados de tercera persona y descarga los Certificados soltados al WLC.

Este documento discute cómo instalar correctamente un certificado encadenado del Secure Socket Layer (SSL) a un WLC.

Genere un CSR

Complete estos pasos para generar un CSR:

  1. Instale y abra la aplicación del OpenSSL. En Windows, por abandono, openssl.exe está situado en C:\ > el openssl > el compartimiento.

    Nota: Se requiere el OpenSSL 0.9.8 pues el WLC no soporta actualmente el OpenSSL 1.0.

  2. Ejecutar este comando:

    OpenSSL>req -new -newkey rsa:1024 -nodes -keyout mykey.pem -out myreq.pem
    

    Nota: Soporte del WLCs tamaños de clave máximos de 2048 bits.

    Después de que usted publique el comando, hay un prompt para una cierta información: Nombre del país, estado, ciudad, y así sucesivamente.

  3. Proporcione la información requerida.

    Nota: Es importante que usted proporciona el Common Name correcto. Asegúrese de que el nombre del host que se utiliza para crear el certificado (Common Name) haga juego la entrada de nombre del host del Domain Name System (DNS) para el IP de la interfaz virtual en el WLC y de que el nombre existe en el DNS también. También, después de que usted realice el cambio a la interfaz VIP, usted debe reiniciar el sistema para que este cambio tome el efecto.

    Aquí tiene un ejemplo:

    OpenSSL>req -new -newkey rsa:1024 -nodes -keyout mykey.pem -out myreq.pem
    Loading 'screen' into random state - done
    Generating a 1024 bit RSA private key
    ................................................................++++++
    ...................................................++++++
    writing new private key to 'mykey.pem'
    -----
    You are about to be asked to enter information that will be incorporated
    into your certificate request.
    What you are about to enter is what is called a Distinguished Name or a DN.
    There are quite a few fields but you can leave some blank
    For some fields there will be a default value,
    If you enter '.', the field will be left blank.
    -----
    Country Name (2 letter code) [AU]:US
    State or Province Name (full name) [Some-State]:CA
    Locality Name (eg, city) []:San Jose
    Organization Name (eg, company) [Internet Widgits Pty Ltd]:ABC
    Organizational Unit Name (eg, section) []:CDE
    Common Name (eg, YOUR name) []:XYZ.ABC
    Email Address []:Test@abc.com
    
    
    Please enter the following 'extra' attributes
    to be sent with your certificate request
    A challenge password []:Test123
    An optional company name []:
    OpenSSL> 

    Después de que usted proporcione todos los detalles requeridos, se generan dos archivos:

    • una nueva clave privada que incluye el nombre mykey.pem

    • un CSR que incluye el nombre myreq.pem

  4. La copia y pega la información CSR en cualquier herramienta de la inscripción de CA.

    Después de que usted someta el CSR a CA de tercera persona, CA de tercera persona firma digitalmente el certificado y devuelve el encadenamiento de certificado firmado a través del email. En caso de los Certificados encadenados, usted recibe el encadenamiento entero de los Certificados de CA. Si usted tiene solamente un certificado intermedio en nuestro ejemplo, usted recibe estos tres Certificados de CA:

    • Raíz certificate.pem

    • Certificate.pem intermedio

    • Dispositivo certificate.pem

    Nota: Aseegurese que el certificado es Apache compatible con el cifrado SHA1.

  5. Una vez que usted tiene todos los tres Certificados, copias y gomas en otro archivo el contenido de cada archivo del .pem en esta orden:

    ------BEGIN CERTIFICATE------
    *Device cert*
    ------END CERTIFICATE------
    ------BEGIN CERTIFICATE------
    *Intermediate CA cert *
    ------END CERTIFICATE--------
    ------BEGIN CERTIFICATE------
    *Root CA cert *
    ------END CERTIFICATE------
  6. Salve el archivo como All-certs.pem.

  7. Combine el certificado All-certs.pem con la clave privada que usted generó junto con el CSR (la clave privada del certificado del dispositivo, que es mykey.pem en este ejemplo), y salve el archivo como final.pem.

    Publique estos comandos en la aplicación del OpenSSL para crear los archivos All-certs.pem y final.pem:

    openssl>pkcs12 -export -in All-certs.pem -inkey mykey.pem 
           -out All-certs.p12 -clcerts -passin pass:check123 
           -passout pass:check123
      
    openssl>pkcs12 -in All-certs.p12 -out final-cert.pem 
           -passin pass:check123 -passout pass:check123
    

    Nota: En este comando, usted debe ingresar una contraseña para los parámetros - passin y - passout. La contraseña que se configura para - parámetro del passout debe hacer juego el parámetro del certpassword que se configura en el WLC. En este ejemplo, la contraseña que se configura para - passin y - los parámetros del passout son check123.

    final.pem es el archivo que necesitamos para descargar al Wireless LAN el regulador. El siguiente paso es descargar este archivo al WLC.

Descargue el certificado de tercera persona al WLC usando el CLI

Complete estos pasos para descargar el certificado encadenado al WLC usando el CLI:

  1. Mueva el archivo final.pem al directorio predeterminado en su servidor TFTP.

  2. En el CLI, publique estos comandos para cambiar las configuraciones de la descarga:

        >transfer download mode tftp
        >transfer download datatype webauthcert
        >transfer download serverip <TFTP server IP address>
        >transfer download path <absolute TFTP server path to the update file>
        >transfer download filename final.pem
    
  3. Ingrese la contraseña para el archivo del .pem de modo que el sistema operativo pueda desencriptar la clave y el certificado SSL.

    >transfer download certpassword password
    

    Nota: Sea que el valor para el certpassword es lo mismo que - la contraseña segura del parámetro del passout que fue fijada en el paso 4 de la generación una sección CSR. En este ejemplo, el certpassword debe ser check123.

  4. Publique el comando transfer download start para ver las configuraciones actualizadas. Entonces ingrese y en el pronto para confirmar las configuraciones actuales de la descarga y comenzar la descarga del certificado y de la clave. Aquí tiene un ejemplo:

    (Cisco Controller) >transfer download start
     
    Mode............................................. TFTP
    Data Type........................................ Site Cert
    TFTP Server IP................................... 10.77.244.196
    TFTP Packet Timeout.............................. 6
    TFTP Max Retries................................. 10
    TFTP Path........................................./
    TFTP Filename.................................... final.pem
     
    This may take some time.
    Are you sure you want to start? (y/N) y
     
    TFTP EAP Dev cert transfer starting.
     
    Certificate installed.
                            Reboot the switch to use new certificate.
  5. Reinicie el WLC para que los cambios tomen el efecto.

Descargue el certificado de tercera persona al WLC usando el GUI

Complete estos pasos para descargar el certificado encadenado al WLC usando el GUI:

  1. Copie el certificado final.pem del dispositivo al directorio predeterminado en su servidor TFTP.

  2. Elija el auth de la Seguridad > de la red > el CERT para abrir la página del certificado de la autenticación Web.

  3. Marque la casilla de verificación del certificado de la descarga SSL para ver el certificado de la descarga SSL de los parámetros del servidor TFTP.

  4. En el campo del IP Address, ingrese el IP Address del servidor TFTP.

    csr-chained-certificates-wlc-01.gif

  5. En el campo del trayecto del archivo, ingrese el trayecto del directorio del certificado.

  6. En el campo de nombre del archivo, ingrese el nombre del certificado.

  7. En el campo de contraseña del certificado, ingrese la contraseña que fue utilizada para proteger el certificado.

  8. Haga clic en Apply (Aplicar).

  9. Después de que la descarga sea completa, elija los comandos > la reinicialización > la reinicialización.

  10. Si está indicado para salvar sus cambios, haga clic la salvaguardia y reinicie.

  11. Haga Click en OK para confirmar su decisión para reiniciar el regulador.

Discusiones relacionadas de la comunidad de soporte de Cisco

La Comunidad de Soporte de Cisco es un foro donde usted puede preguntar y responder, ofrecer sugerencias y colaborar con colegas.


Información Relacionada


Document ID: 109597