Беспроводные сети / Мобильные решения : Безопасность беспроводных сетей

Генерируйте CSR для сторонних сертификатов и загрузите освобожденные сертификаты к WLC

5 апреля 2016 - Машинный перевод
Другие версии: PDF-версия:pdf | Английский (22 августа 2015) | Отзыв


Содержание

CSR

Введение

Этот документ объясняет, как генерировать Запрос подписи сертификата (CSR) для получения стороннего сертификата и как загрузить освобожденный сертификат к беспроводной локальной сети (WLAN) контроллер (WLC).

Предварительные условия

Требования

Рассматриваемая процедура настройки предполагает выполнение следующих условий:

  • Знание того, как настроить WLC, облегченную точку доступа (LAP) и клиентскую беспроводную карту для главной операции

  • Знание того, как использовать приложение OpenSSL для Протокола SSL

Используемые компоненты

Сведения, содержащиеся в данном документе, касаются следующих версий программного и аппаратного обеспечения:

  • WLC Cisco 4400, который выполняет версию микропрограммы 4.2.61.0

  • Приложение OpenSSL для Microsoft Windows

    Примечание: OpenSSL 0.9.8 требуется, поскольку WLC в настоящее время не поддерживает OpenSSL 1.0.

  • Программное средство регистрации, которое является определенным для стороннего центра сертификации (CA)

Сведения, представленные в этом документе, были получены от устройств, работающих в специальной лабораторной среде. Все устройства, описанные в этом документе, были запущены с чистой (стандартной) конфигурацией. В рабочей сети необходимо изучить потенциальное воздействие всех команд до их использования.

Условные обозначения

Дополнительные сведения об условных обозначениях см. в документе Условные обозначения технических терминов Cisco.

Общие сведения

По умолчанию WLC используют встроенный самоподписанный сертификат SSL. WLC используют этот сертификат SSL в одной из этих ситуаций:

  • Когда клиенты пытаются соединиться с сетью WLAN с использованием основанной на SSL web-аутентификации

  • Когда пользователь пытается войти к WLC с использованием Безопасного HTTP (HTTPS) (аутентификация WebAdmin)

В любом случае, на первой попытке обратиться к WLC, вы могут получить сигнал о нарушении безопасности web-браузера, который похож на это:

/image/gif/paws/70584/csr-wlc-01.gif

Вам предлагают принять сертификат от WLC, потому что у клиентов нет сертификата доверенного корня для сертификата, который установлен на WLC. Сертификат SSL на WLC не находится в списке сертификатов, которым доверяет система клиента. Существует два способа остановить генерацию этого всплывающего окна сигнала о нарушении безопасности web-браузера:

  • Используйте самоподписанный сертификат SSL на WLC и настройте станции клиента для принятия сертификата.

    Включайте подписанный сертификат на WLC в списке сертификатов, которым доверяют на станции клиента.

  • Генерируйте CSR и установите сертификат, который подписан источником (независимый поставщик CA), для которого клиентам уже установили сертификаты доверенного корня, такие как Verisign.

    Можно сделать это от линии от WLC с использованием программы как OpenSSL. Обратитесь к Проекту OpenSSL leavingcisco.com для получения дополнительной информации о OpenSSL.

Этот документ объясняет, как генерировать CSR для сертификата третьей стороны и как загрузить освобожденный сертификат web-аутентификации к WLC.

Поддержка цепочечного сертификата

Версии программного обеспечения WLC ранее, чем 5.1.151.0 не поддерживают объединенные в цепочку сертификаты. Используйте одну из этих опций для обхождения этой проблемы:

  • Получите освобожденный сертификат от CA, что означает, что доверяют root подписания.

  • Имейте все допустимое промежуточное звено CA корневые сертификаты, которым доверяют или недоверяемый, установленный у клиента.

С версией 5.1.151.0 и позже, WLC поддерживают цепочечные сертификаты для web-аутентификации. Сертификаты web-аутентификации могут быть любым из них:

  • Цепочечный

  • Освобожденный

  • Автоматически созданный

Отнеситесь для Генерации CSR для Сторонних Сертификатов и Загрузок Цепочечные Сертификаты к WLC для получения информации о том, как использовать Цепочечные сертификаты на WLC.

CSR

Сертификат является электронным документом, который вы используете для определения сервера, компании или некоторого другого объекта и привязать ту идентичность к открытому ключу.

CAs являются объектами, которые проверяют сертификаты проблемы и личности. Сертификат, что проблемы CA связывают определенный открытый ключ с названием объекта, который сертификат определяет (такие как название сервера или устройства). Только открытый ключ, который сертифицирует сертификат, работает с соответствующим секретным ключом, который находится в собственности объектом, который определяет сертификат. Сертификаты помогают предотвращать использование поддельных открытых ключей для олицетворения.

CSR является сообщением, что претендент передает к CA для просьбы цифрового сертификата идентификации. По большей части, независимый поставщик CA компания, как Поручают или Verisign, требует CSR, прежде чем компания сможет создать цифровой сертификат.

Генерация CSR независима от устройства, на котором вы планируете установить внешний сертификат. Таким образом, CSR и файл закрытого ключа могут генерироваться на любом отдельном Windows или компьютере с ОС UNIX. Генерация CSR не зависима от коммутатора или зависима от устройства в этом случае.

Поскольку WLC не генерирует CSR, необходимо использовать стороннее приложение, такое как OpenSSL для генерации CSR для WLC.

Раздел Генерирует CSR, обсуждает команды, которые необходимо выполнить на приложении OpenSSL для генерации секретного ключа и CSR.

Выполните эти шаги для получения стороннего сертификата от CA:

  1. Генерируйте частное / пару открытых ключей.

  2. С использованием открытого ключа генерируйте CSR.

  3. Отправьте CSR приблизительно

  4. Получите сертификат, который производит CA.

  5. Объедините сертификат и секретный ключ в файл pkcs12.

  6. Преобразуйте файл pkcs12 в файл кодирования Privacy Enhanced Mail (PEM).

  7. Загрузите новый сторонний сертификат (файл .pem) на WLC.

Генерируйте CSR

Выполните эти шаги, чтобы генерировать CSR и отправить CSR независимому поставщику CA:

  1. Установите и откройте приложение OpenSSL.

    Примечание: OpenSSL 0.9.8 требуется, поскольку WLC в настоящее время не поддерживает OpenSSL 1.0.

    В Windows, по умолчанию, openssl.exe расположен в c:\openssl\bin.

  2. Введите следующую команду:

    OpenSSL>req -new -newkey rsa:1024 -nodes -keyout mykey.pem -out myreq.pem
    

    Примечание: WLC поддерживают максимальный размер ключа 2048 битов.

    После выдачи команды существует приглашение для некоторой информации: название страны, состояние, город, и т.д.

  3. Предоставьте необходимую информацию.

    Наиболее важной информацией, которую необходимо предоставить правильно, является Общее имя. Гарантируйте, что имя хоста, которое используется для создания сертификата (Общее имя), совпадает с записью имени хоста Системы доменных имен (DNS) для IP виртуального интерфейса на WLC и что название фактически существует в DNS также. Кроме того, после внесения изменения в интерфейс VIP необходимо перезагрузить систему для этого изменения для вступления в силу.

    Примечание: Имя хоста DNS должно быть введено в WLC под Интерфейсами>, Редактируют для виртуального интерфейса. Когда веб-Аутентификация включена, это используется для подтверждения источника сертификатов. Перезагрузка контроллер для имения этого изменения вступает в силу.

    После того, как вы предоставите всю требуемую подробную информацию, вы заканчиваете с двумя файлами:

    • новый секретный ключ, который имеет название mykey.pem

    • CSR, который имеет название myreq.pem

    Эти файлы хранятся в каталоге по умолчанию, где OpenSSL установлен (c:\openssl\bin, в этом случае). Файл myreq.pem является файлом, который содержит информацию о CSR. Эта информация должна быть отправлена независимому поставщику CA так, чтобы независимый поставщик CA мог генерировать цифровой сертификат. Вот пример вывода команды при выдаче этой команды с использованием приложения OpenSSL:

    OpenSSL>req -new -newkey rsa:1024 -nodes -keyout mykey.pem -out myreq.pem
    Loading 'screen' into random state - done
    Generating a 1024 bit RSA private key
    ................................................................++++++
    ...................................................++++++
    writing new private key to 'mykey.pem'
    -----
    You are about to be asked to enter information that will be incorporated
    into your certificate request.
    What you are about to enter is what is called a Distinguished Name or a DN.
    There are quite a few fields but you can leave some blank
    For some fields there will be a default value,
    If you enter '.', the field will be left blank.
    -----
    Country Name (2 letter code) [AU]:US
    State or Province Name (full name) [Some-State]:CA
    Locality Name (eg, city) []:San Jose
    Organization Name (eg, company) [Internet Widgits Pty Ltd]:ABC
    Organizational Unit Name (eg, section) []:CDE
    Common Name (eg, YOUR name) []:XYZ.ABC
    Email Address []:Test@abc.com
    
    Please enter the following 'extra' attributes
    to be sent with your certificate request
    A challenge password []:Test123
    An optional company name []:
    OpenSSL>

    Примечание: Помните пароль вызова и сохраните контрольный файл. Наиболее вероятно вы будете требовать пароля при импортировании снабженного цифровой подписью сертификата, который независимый поставщик CA передает (пока независимый поставщик CA не передает новый пароль вместе с цифровым сертификатом, который это генерирует для вас или организации).

  4. Теперь, когда CSR готов, копия, и вставьте информацию о CSR в любое программное средство регистрации CA.

    Чтобы скопировать и вставить информацию в форму регистрации, открывает файл в текстовом редакторе, который не добавляет дополнительные символы. Cisco рекомендует использовать vms UNIX или Блокнот Microsoft. Обратитесь к веб-сайту независимого поставщика CA для получения дополнительной информации о том, как отправить CSR через программное средство регистрации.

    После отправки CSR независимому поставщику CA независимый поставщик CA снабжает цифровой подписью сертификат и передает подписанный сертификат обратно через электронную почту.

  5. Скопируйте информацию о подписанном сертификате, которую вы получаете назад от CA в файл.

    Данный пример называет файл CA.pem.

  6. Объедините сертификат CA.pem с секретным ключом, и затем преобразуйте файл в файл .pem.

    Выполните эту команду в приложении OpenSSL:

    openssl>pkcs12 -export -in CA.pem -inkey mykey.pem -out CA.p12 -clcerts 
     -passin pass:check123 -passout pass:check123
    
    !--- This command should be on one line.
    
    openssl>pkcs12 -in CA.p12 -out final.pem -passin pass:check123 -passout pass:check123
    

    Примечание: В этой команде необходимо ввести пароль для параметров -passin и -passout . Пароль, который настроен для -passout параметра, должен совпасть с certpassword параметром, который настроен на WLC. В данном примере пароль, который настроен и для -passin и для -passout параметров, является check123. Шаг 4 процедуры в Загрузках Сторонний Сертификат к разделу WLC этого документа обсуждает конфигурацию certpassword параметра.

    final.pem является файлом, который передан через TFTP WLC Cisco.

    Теперь, когда у вас есть сертификат от независимого поставщика CA, необходимо загрузить сертификат к WLC.

Загрузите сторонний сертификат к WLC

Используйте TFTP server для загрузки нового сертификата. Придерживайтесь этих рекомендаций для использования TFTP:

  • При загрузке сертификата через сервисный порт TFTP server должен быть в той же подсети как WLC, потому что сервисный порт не маршрутизуем. Однако при загрузке сертификата через сетевой порт системы распределения (DS) TFTP server может быть на любой подсети.

  • TFTP server не может работать на том же компьютере как Cisco Wireless Control System (WCS), потому что WCS и TFTP server используют тот же коммуникационный порт.

Выполните эти шаги для загрузки внешне генерируемого сертификата HTTPS:

  1. Переместите final.pem файл в каталог по умолчанию на TFTP server.

  2. В интерфейсе командной строки (CLI) выполните команду transfer download start, чтобы просмотреть текущие параметры настройки загрузок и ввести n в приглашение.

    Например:

    >transfer download start
    Mode........................................... TFTP
    Data Type...................................... Admin Cert
    TFTP Server IP................................. xxx.xxx.xxx.xxx
    TFTP Path...................................... <directory path>
    TFTP Filename..................................
    Are you sure you want to start? (y/n) n
    Transfer Canceled
  3. Выполните эти команды для изменения настроек загрузок:

    >transfer download mode tftp
    >transfer download datatype webauthcert
    >transfer download serverip <TFTP server IP address>
    
    >transfer download path <absolute TFTP server path to the update file>
    
    >transfer download filename final.pem
    
    
  4. Введите пароль для файла .pem так, чтобы операционная система могла дешифровать ключ SSL и сертификат.

    >transfer download certpassword password
    
    >Setting password to password
    

    Примечание: Убедитесь, что certpassword совпадает с -passout паролем параметра, который обсуждает шаг 6 Генерирования раздела CSR. В данном примере certpassword должен быть check123.

  5. Выполните команду transfer download start для просмотра обновленных настроек. Затем введите y в приглашение, чтобы подтвердить текущие параметры настройки загрузок и запустить сертификат и ключевые загрузки.

    Например:

    (Cisco Controller) >transfer download start
    
    Mode............................................. TFTP
    Data Type........................................ Admin Cert
    TFTP Server IP................................... 172.16.1.1
    TFTP Packet Timeout.............................. 6
    TFTP Max Retries................................. 10
    TFTP Path........................................ c:\OpenSSL\bin/
    TFTP Filename.................................... final.pem
    
    This may take some time.
    Are you sure you want to start? (y/N) y
    
    TFTP Webadmin cert transfer starting.
    
    Certificate installed.
                            Reboot the switch to use new certificate.
    

    Примечание: Для установки стороннего сертификата для административного (admin) аутентификация (для пользователя, который пытается войти к WLC с использованием HTTPS), измените тип данных на webadmincert в команде transfer download datatype и повторных шагах 3 - 5 этой процедуры.

  6. Выполните эту команду для включения HTTPS:

    >config network secureweb enable
    
  7. Сохраните сертификат SSL, ключ, и защитите веб-пароль к NVRAM так, чтобы изменения были сохранены по перезагрузкам.

    >save config
    Are you sure you want to save? (y/n) y
    Configuration Saved!
  8. Перезагрузите контроллер.

    >reset system
    Are you sure you would like to reset the system? (y/n) y
    System will now restart!
    
    The controller reboots.

    Примечание: Если сертификат уже установлен, процедура для загрузки новой стирает старую.

Проверка.

Этот раздел позволяет убедиться, что конфигурация работает правильно.

Средство Output Interpreter (OIT) (только для зарегистрированных клиентов) поддерживает определенные команды show. Посредством OIT можно анализировать выходные данные команд show.

Можно использовать команду show certificate summary на WLC, чтобы проверить, использует ли WLC сторонний сертификат как ожидалось. Например:

(Cisco Controller) >show certificate summary
Web Administration Certificate................... 3rd Party
Web Authentication Certificate................... 3rd Party
Certificate compatibility mode:.................. off

Выходные данные подтверждают, что сторонний сертификат используется в качестве сертификата веба - администрирования и сертификата web-аутентификации.

Следующему разу, когда пользователь пытается войти к сети WLAN с использованием основанной на SSL web-аутентификации, пользователь, не предлагают принять веб-сигнал о нарушении безопасности, при условии, что сторонний сертификат, который установлен на WLC, находится в списке доверяемого CAs, который поддерживает клиентский браузер.

Устранение неполадок

Примечание: Прежде чем выполнять какие-либо команды отладки , ознакомьтесь с документом "Важные сведения о командах отладки".

Можно использовать команду debug pm pki enable на WLC. Выполните команду при установке сертификата на WLC.

Каждый раз, когда любые передачи в или от контроллера происходят, полезно включить команду debug transfer all enable и повторно выполнить передачу для наблюдения подробных данных того, что произошло. Передачи могут отказать в пути (соответствующее количество битов, или байты не перемещаются с сервера на контроллер), или как только файл добирается там, содержание или неразборчиво к контроллеру или, как находят, не является соответствующим требуемой функции.

Связанные обсуждения сообщества поддержки Cisco

В рамках сообщества поддержки Cisco можно задавать и отвечать на вопросы, обмениваться рекомендациями и совместно работать со своими коллегами.


Дополнительные сведения


Document ID: 70584