Беспроводные сети : Контроллеры беспроводной локальной сети Cisco серии 4400

Генерируйте CSR для сторонних сертификатов и загрузите цепочечные сертификаты к WLC

18 июня 2016 - Машинный перевод
Другие версии: PDF-версия:pdf | Отзыв

Введение

Этот документ описывает, как генерировать Запрос подписи сертификата (CSR) для получения стороннего сертификата и как загрузить цепочечный сертификат к Беспроводной локальной сети (WLAN) контроллер (WLC).

Внесенный Николасом Дарчисом, Maithri B, и BG Surendra, специалистами службы технической поддержки Cisco.

Предварительные условия

Требования

Перед попыткой этой конфигурации необходимо ознакомиться с этими темами:

  • Как настроить WLC, Облегченную точку доступа (LAP) и клиентскую беспроводную карту для главной операции
  • Как использовать приложение OpenSSL
  • Инфраструктура открытых ключей и цифровые сертификаты

Используемые компоненты

Сведения, содержащиеся в данном документе, касаются следующих версий программного и аппаратного обеспечения:

  • WLC Cisco 4400, который выполняет версию микропрограммы 5.1.151.0
  • Приложение OpenSSL для Microsoft Windows
  • Программное средство регистрации, которое является определенным для стороннего Центра сертификации (CA)

Сведения, представленные в этом документе, были получены от устройств, работающих в специальной лабораторной среде. Все устройства, описанные в этом документе, были запущены с чистой (стандартной) конфигурацией. В рабочей сети необходимо изучить потенциальное воздействие всех команд до их использования.

Цепочечные сертификаты

Цепочка сертификатов является последовательностью сертификатов, где каждый сертификат в цепочке подписан последующим сертификатом. Цель цепочки сертификатов состоит в том, чтобы установить цепочку доверия от сертификата однорангового узла до доверяемого сертификата CA. CA ручается за идентичность в сертификате однорангового узла, когда это подписывает его. Если CA является тем, которому вы доверяете, который обозначен присутствием копии сертификата CA в каталоге корневого сертификата, это подразумевает, что можно доверять сертификату однорангового узла со знаком также.

Часто, клиенты не принимают сертификаты, потому что они не были созданы известным Приблизительно, клиент, как правило, сообщает, что не может быть проверена законность сертификата. Дело обстоит так, когда сертификат подписан промежуточным звеном CA, которое не известно клиентскому браузеру. В таких случаях необходимо использовать цепочечный сертификат SSL или группу сертификата.

Поддержка цепочечного сертификата

В версиях контроллера ранее, чем Версия 5.1.151.0, сертификаты web-аутентификации могут быть только сертификатами устройства и не должны содержать root CA, объединенные в цепочку к сертификату устройства (никакие цепочечные сертификаты). С Версией 5.1.151.0 контроллера и позже, контроллер обеспечивает сертификат устройства, который будет загружен как цепочечный сертификат для web-аутентификации.

Уровни сертификата

  • Уровень 0 - Использование только серверного сертификата на WLC
  • Уровень 1 - Использование серверного сертификата на WLC и корневом сертификате CA
  • Уровень 2 - Использование серверного сертификата на WLC, одном одиночном промежуточном сертификате CA и корневом сертификате CA
  • Уровень 3 - Использование серверного сертификата на WLC, двух промежуточных сертификатах CA и корневом сертификате CA

WLC не поддерживает объединенные в цепочку сертификаты больше чем 10 КБ в размере на WLC. Однако это ограничение было удалено в Версии 7.0.230.0 WLC и позже.

Примечание: Цепочечные сертификаты поддерживаются для web-аутентификации только; они не поддерживаются для сертификата управления.

Сертификаты web-аутентификации могут быть любым из них:

  • Цепочечный
  • Освобожденный
  • Автоматически генерируемый

Примечание: В Версии 7.6 WLC и позже, только цепочечные сертификаты поддерживаются в WLC для web-аутентификации.

Для WLC с версиями программного обеспечения ранее, чем Версия 5.1.151.0, обходной путь должен использовать одну из этих опций:

  • Получите освобожденный сертификат от CA, что означает, что доверяют root подписания.
  • Имейте все допустимое промежуточное звено CA корневые сертификаты (доверял или недоверяемый), установленный у клиента.

Для получения информации о том, как использовать освобожденные сертификаты на WLC, отнеситесь для Генерации CSR для Сторонних Сертификатов и Загрузок Освобожденные Сертификаты к WLC.

Этот документ обсуждает, как должным образом установить цепочечный сертификат Протокола SSL к WLC.

Генерируйте CSR

Выполните эти шаги для генерации CSR:

  1. Установите и откройте OpenSSL .

    В Microsoft Windows, по умолчанию, openssl.exe расположен в C:\> openssl> bin.

    Примечание: Версия 0.9.8 OpenSSL является рекомендуемой версией; однако, с Версии 7.5, поддержка Версии 1.0 OpenSSL была также добавлена (обратитесь к идентификатору ошибки Cisco, CSCti65315 - Нуждаются в поддержке для сертификатов, генерируемых с помощью v1.0 OpenSSL).



  2. Выполните эту команду для генерации нового CSR:

    OpenSSL>req -new -newkey rsa:1024 -nodes -keyout mykey.pem -out myreq.pem


    Примечание: WLC поддерживают максимальный размер ключа 2,048 битов.



  3. Иногда, когда вы пытаетесь генерировать новый CSR, вы могли бы получить ошибку , Неспособную загрузить информацию config из/usr/local/ssl/openssl.cnf ошибки в req. Если местоположение openssl.cfg (или openssl.cnf) файл не находится в папке OpenSSL по умолчанию, это может произойти. Для устранения этой проблемы необходимо задать весь путь к openssl.cfg файлу в команде для генерации CSR. Например: 

    OpenSSL> req -config "C:\Open SSL1\OpenSSL\bin\openssl.cfg" -new -newkey rsa:
    1024 -nodes -keyout mykey.pem -out myreq.pem


    Этот путь, <C:\Open SSL1\OpenSSL\bin\openssl.cfg>, Файла config OpenSSL мог бы отличаться на основе расположения файла.

  4.  После выдачи команды существует приглашение для некоторой информации: название страны, состояние, город, и т.д . Предоставьте необходимую информацию.

    Примечание: Важно, чтобы вы предоставили корректное Общее имя. Гарантируйте, что имя хоста, которое используется для создания сертификата (Общее имя), совпадает с записью имени хоста Системы доменных имен (DNS) для IP-адреса виртуального интерфейса на WLC и что название существует в DNS также. Кроме того, после внесения изменения в Виртуальное IP (VIP) интерфейс необходимо перезагрузить систему для этого изменения для вступления в силу.



    Например:

    OpenSSL>req -new -newkey rsa:1024 -nodes -keyout mykey.pem -out myreq.pem
    Loading 'screen' into random state - done
    Generating a 1024 bit RSA private key
    ................................................................++++++
    ...................................................++++++
    writing new private key to 'mykey.pem'
    -----
    You are about to be asked to enter information that will be incorporated
    into your certificate request.
    What you are about to enter is what is called a Distinguished Name or a DN.
    There are quite a few fields but you can leave some blank
    For some fields there will be a default value,
    If you enter '.', the field will be left blank.
    -----
    Country Name (2 letter code) [AU]:US
    State or Province Name (full name) [Some-State]:CA
    Locality Name (eg, city) []:San Jose
    Organization Name (eg, company) [Internet Widgits Pty Ltd]:ABC
    Organizational Unit Name (eg, section) []:CDE
    Common Name (eg, YOUR name) []:XYZ.ABC
    Email Address []:Test@abc.com

    Please enter the following 'extra' attributes
    to be sent with your certificate request
    A challenge password []:Test123
    An optional company name []:OpenSSL>


  5. После обеспечения всей требуемой подробной информации два файла генерируются:

    • новый секретный ключ, который включает название mykey.pem
    • CSR, который включает название myreq.pem

Получите файл Final.pem

  1. Скопируйте и вставьте информацию о CSR в любое программное средство регистрации CA.

    После отправки CSR независимому поставщику CA независимый поставщик CA снабжает цифровой подписью сертификат и передает цепочку подписанного сертификата обратно через электронную почту. В случае цепочечных сертификатов вы получаете всю цепочку сертификатов от Приблизительно, Если у вас только есть один промежуточный сертификат как в в данном примере, вы получаете эти три сертификата от CA:

    • Root certificate.pem
    • Промежуточное звено certificate.pem
    • Устройство certificate.pem


    Примечание: Удостоверьтесь, что сертификат совместим с Apache с шифрованием Защищенного алгоритма хэширования 1 (SHA1).

  2. Как только вы имеете все три сертификата, копируете и вставляете содержание каждого файла .pem в другой файл в этом заказе:

    ------BEGIN CERTIFICATE------
    *Device cert*
    ------END CERTIFICATE------
    ------BEGIN CERTIFICATE------
    *Intermediate CA cert *
    ------END CERTIFICATE--------
    ------BEGIN CERTIFICATE------
    *Root CA cert *
    ------END CERTIFICATE------


  3. Сохраните файл как все-certs.pem.

  4. Объедините все-certs.pem сертификат с секретным ключом, который вы генерировали вместе с CSR (секретный ключ сертификата устройства, который является mykey.pem в данном примере), и сохраните файл как final.pem.

    Выполните эти команды в приложении OpenSSL для создания все-certs.pem и final.pem файлов:

    openssl>pkcs12 -export -in All-certs.pem -inkey mykey.pem 
    -out All-certs.p12 -clcerts -passin pass:check123
    -passout pass:check123


    openssl>pkcs12 -in All-certs.p12 -out final.pem
    -passin pass:check123 -passout pass:check123


    Примечание: В этой команде необходимо ввести пароль для параметров-passin и-passout. Пароль, который настроен для-passout параметра, должен совпасть с certpassword параметром, который настроен на WLC. В данном примере пароль, который настроен и для-passin и для-passout параметров, является check123.



    final.pem является файлом, который необходимо загрузить к WLC. Следующий шаг должен загрузить этот файл к WLC.

Примечание: SHA2 также поддерживается. Идентификатор ошибки Cisco CSCuf20725 является запросом о поддержке SHA512.

Загрузите сторонний сертификат к WLC с CLI

Выполните эти шаги для загрузки цепочечного сертификата к WLC с CLI:

  1. Переместите final.pem файл в каталог по умолчанию на TFTP server.

  2. В CLI выполните эти команды для изменения настроек загрузок:

        >transfer download mode tftp
    >transfer download datatype webauthcert
    >transfer download serverip <TFTP server IP address>
    >transfer download path <absolute TFTP server path to the update file>
    >transfer download filename final.pem


  3. Введите пароль для файла .pem так, чтобы операционная система могла дешифровать ключ SSL и сертификат.

    >transfer download certpassword password


    Примечание: Убедитесь, что значение для certpassword совпадает с-passout паролем параметра, который был установлен в Шаге 4 Генерирования раздела CSR. В данном примере certpassword должен быть check123.



  4. Выполните команду transfer download start для просмотра обновленных настроек. Затем введите y в приглашение, чтобы подтвердить текущие параметры настройки загрузок и запустить сертификат и ключевые загрузки. Например:

    (Cisco Controller) >transfer download start

    Mode............................................. TFTP
    Data Type........................................ Site Cert
    TFTP Server IP................................... 10.77.244.196
    TFTP Packet Timeout.............................. 6
    TFTP Max Retries................................. 10
    TFTP Path........................................./
    TFTP Filename.................................... final.pem

    This may take some time.
    Are you sure you want to start? (y/N) y

    TFTP EAP Dev cert transfer starting.

    Certificate installed.
    Reboot the switch to use new certificate.


  5. Перезагрузите WLC для изменений для вступления в силу.

Загрузите сторонний сертификат к WLC с GUI

Выполните эти шаги для загрузки цепочечного сертификата к WLC с GUI:

  1. Скопируйте сертификат устройства final.pem к каталогу по умолчанию на TFTP server.

  2. Выберите Security> Web Auth> Cert для открытия страницы Web Authentication Certificate.

  3. Проверьте флажок Download SSL Certificate для просмотра сертификата SSL Загрузок От параметров TFTP Server.

  4. В поле IP Address введите IP-адрес TFTP server.



  5. В поле File Path введите путь к каталогу сертификата.

  6. В поле File Name введите имя сертификата.

  7. В поле Certificate Password введите пароль, который использовался для защиты сертификата.

  8. Щелкните "Применить".

  9. После того, как загрузки завершены, выберите Commands> Reboot> Reboot.

  10. Если предложено сохранить изменения, нажмите Save и Reboot.

  11. Нажмите OK для подтверждения решения перезагрузить контроллер.

Дополнительные сведения


Связанные обсуждения сообщества поддержки Cisco

В рамках сообщества поддержки Cisco можно задавать и отвечать на вопросы, обмениваться рекомендациями и совместно работать со своими коллегами.