Беспроводные сети : Cisco Wireless Control System Version 4.0

Пример конфигурации запроса регистрации сертификата (CSR) системы Wireless Control System (WCS), установленной на сервере Linux

21 октября 2016 - Машинный перевод
Другие версии: PDF-версия:pdf | Английский (22 августа 2015) | Отзыв


Содержание


Введение

Этот документ описывает, как генерировать Запрос подписи сертификата (CSR) для Wireless Control System (WCS), который работает на сервере Linux.

Предварительные условия

Требования

Перед попыткой этой конфигурации Cisco требует, чтобы вы ознакомились по этим темам:

  • Интерфейс командной строки (CLI) Linux

  • Беспроводная система управления

Используемые компоненты

Сведения в этом документе основываются на версии 4.1.91.0 WCS.

Примечание: Генерация CSR, которая использует WCS, поддерживается с версиями WCS 4.1.91.0 и выше.

Условные обозначения

Более подробную информацию о применяемых в документе обозначениях см. в описании условных обозначений, используемых в технической документации Cisco.

Общие сведения

CSR отправлен независимому поставщику CA для получения сертификата, который они снабжают цифровой подписью. Этот сертификат используется WCS для login authentication. Прежде чем CSR создан, претендент сначала генерирует Пару "открытый/закрытый ключ".

CSR содержит информацию определение претендента (такого как Доменное имя, организация, местоположение, и т.д.) и открытый ключ, выбранный претендентом. Соответствующий секретный ключ не включен в CSR, но используется для снабжения цифровой подписью всего запроса. CSR может сопровождаться другими учетными данными или доказательствами как требуется центром сертификации. По большей части независимый поставщик CA компания, те, которые Поручают или VeriSign, требует CSR, прежде чем компания сможет создать цифровой сертификат.

Генерация CSR Использование WCS

Можно использовать keyadmin.sh программное средство, доступное в каталоге установки WCS (/opt/WCS4.1/bin/) для генерации CSR на WCS.

Выполните эти шаги для доступа к программному средству:

  1. Откройте приглашение оболочки.

  2. Перейдите к/opt/WCS4.1/bin каталогу и выполните команду генерации CSR как показано ниже:

    #!/opt/WCS4.1/bin
     openssl req -new -newkey rsa:2048 -nodes -keyout /opt/mykey.pem -out
     /opt/myreq.pem
    

    Это приводит к генерации CSR в файле myreq.pem в/, выбирают каталог, который используется для запроса сертификата от CA., Пара "открытый/закрытый ключ" сохранена в файле mykey.pem в/, выбирают каталог.

Использование Сертификата для безопасного входа в систему (HTTPS)

См. веб-сайт независимого поставщика CA для получения дополнительной информации о том, как отправить CSR через программное средство регистрации. Как только вы отправляете CSR независимому поставщику CA, они проверяют подробные данные, что вы, если, они создают и снабжают цифровой подписью сертификат, и затем передаете подписанный сертификат обратно вам по электронной почте. Этот сертификат объединен с секретным ключом, который будет использоваться для заключительной аутентификации.

Выполните эти шаги для создания заключительного сертификата:

  1. Предположите, что сертификат от CA имеет имя файла certificate.pem . Используйте эту команду для объединения сертификата с секретным ключом:

    openssl pkcs12 -export -in /opt/certificate.pem -inkey /opt/mykey.pem -out
    /opt/certificate.p12 -clcerts -passin pass:<give_a_password> -passout
    pass:<give_same_password>
    
  2. Преобразуйте его в формат .cer.

    openssl pkcs12 -in /opt/certificate.p12 -out /opt/certificate.cer
    -passin pass:<give_same_password> -passout pass:<give_same_password>
    

    Примечание: Это приводит к созданию заключительного сертификата certificate.cer расположенный в/, выбирают каталог.

    Примечание: По умолчанию WCS имеет встроенный самоподписанный сертификат SSL. Этот подписанный сертификат сохранен как server.cer в/opt/WCS4.1/webnms/apache/conf/ssl каталоге, который используется программным обеспечением WCS, когда кто-то пытается надежно войти к WCS через https. Подписанный сертификат / пара ключей должен быть заменен сертификатом (certificate.cer) и секретным ключом (mykey.pem), что мы создали так, чтобы это могло использоваться для login authentication.

  3. Используйте эту команду копии для замены подписанного сертификата сертификатом, который мы создали.

    cp /opt/mykey.pem /opt/WCSx.x.x.x/webnms/apache/conf/ssl.crt/server.key
    cp /opt/certificate.cer /opt/WCSx.x.x.x/webnms/apache/conf/ssl.crt/server.cer
       

Проверка

Чтобы проверить, используется ли сертификат от независимого поставщика для аутентификации, выполните эти шаги:

  1. Остановите и перезапустите WCS для изменений для вступления в силу.

  2. Обратитесь к WCS с помощью web-браузера.

    Если подписанный сертификат допустим и имеет соответствующее доменное имя, приложение не должно отображать всплывающее окно сертификата предупреждение и должно взять вас непосредственно к странице входа.

    Примечание: Существует альтернативный способ протестировать сертификат. Если независимый поставщик, из кого был получен сертификат, не будет в доверяемом списке в клиенте, то сертификат будет рассматриваться как недопустимый сертификат, и вы получите диалоговое окно предупреждения, когда вы попытаетесь войти к WCS. На экране предупреждения нажмите View Certificate. На экране, который появляется, нажмите вкладку Details. Нажмите поле Issuer и проверьте OU атрибутов (Подразделение) и O (Организация). Подписанный сертификат по умолчанию будет иметь OU как WNBU и O как Cisco Systems. Проверьте, соответствуют ли эти атрибуты независимому поставщику, который выполнил сертификат.

Устранение неполадок

Для этой конфигурации в настоящее время нет сведений об устранении проблем.


Дополнительные сведения


Document ID: 107600