Беспроводные сети : Контроллеры беспроводной локальной сети Cisco серии 4400

Произведите CSR для сторонних свидетельств и загрузите цепочечные свидетельства WLC

20 сентября 2014 - Машинный перевод
Другие версии: PDF-версия:pdf | Английский (16 сентября 2014) | Отзыв


Содержание


Введение

Этот документ описывает, как произвести Свидетельство подписывая запрос (CSR) для получения стороннего свидетельства и как загрузить цепочечное свидетельство беспроводному LAN (WLAN) диспетчер (WLC).

Предпосылки

Требования

Гарантируйте, чтобы вы ответили этим требованиям перед попыткой этой конфигурации:

  • Знание того, как формировать WLC, легкую точку доступа (LAP) и беспроводную карту клиента для основной операции

  • Знание того, как использовать применение OpenSSL

  • Знание инфраструктуры открытых ключей и цифровых свидетельств

Используемые компоненты

Информация в этом документе основана на этих версиях программного и аппаратного обеспечения:

  • Cisco 4400 WLC, который управляет микропрограммной версией 5.1.151.0

  • Заявление OpenSSL на Microsoft Windows

  • Инструмент регистрации, который является определенным для стороннего органа сертификации (CA)

Информация в этом документе была создана из устройств в определенной окружающей среде лаборатории. Все устройства, используемые в этом документе, начали с очищенного (неплатеж) конфигурацию. Если ваша сеть жива, удостоверьтесь, что вы понимаете потенциальное воздействие любой команды.

Соглашения

Направьте в Cisco Технические Соглашения Подсказок для получения дополнительной информации о соглашениях документа.

Цепочечные свидетельства

Цепь свидетельства является последовательностью свидетельств, где каждое свидетельство в области цепи подписано последующим свидетельством. Цель цепи свидетельства состоит в том, чтобы установить цепь доверия от свидетельства пэра до свидетельства Органа сертификации (CA), которому доверяют. CA ручается за идентичность в свидетельстве пэра путем подписания его. Если CA является тем, которому вы доверяете, который обозначен присутствием копии свидетельства CA в области вашего справочника свидетельства корня, это подразумевает, что можно доверять подписанному свидетельству пэра также.

Часто, клиенты не принимают свидетельства, потому что они не были созданы известным Приблизительно, клиент, как правило, заявляет, что не может быть проверена законность свидетельства. Дело обстоит так, когда свидетельство подписано промежуточным CA, который не известен браузеру клиента. В таких случаях необходимо использовать цепочечную группу сертификата SSL или свидетельства.

Поддержка цепочечного свидетельства

В версиях диспетчера ранее, чем 5.1.151.0, веб-свидетельства идентификации могут быть только свидетельствами устройства и не должны содержать корни CA, прикованные цепью к свидетельству устройства (никакие цепочечные свидетельства).

С версией 5.1.151.0 диспетчера и позже, диспетчер допускает свидетельство устройства, которое будет загружено как цепочечное свидетельство для веб-идентификации.

Уровни свидетельства

  • Уровень 0 — Использование только свидетельства сервера на WLC.

  • Уровень 1 — Использование свидетельства сервера на WLC и CA внедряет свидетельство.

  • Уровень 2 — Использование свидетельства сервера на WLC, одного единственного свидетельства промежуточного звена CA и CA внедряет свидетельство.

  • Уровень 3 — Использование свидетельства сервера на WLC, двух свидетельств промежуточного звена CA и CA внедряет свидетельство.

WLC не поддерживает прикованные цепью свидетельства больше чем 10 КБ размером на WLC. Однако это ограничение было удалено в WLC 7.0.230.0 и более поздних выпусках.

Примечание: Цепочечные свидетельства поддержаны для веб-идентификации только; они не поддержаны для управленческого свидетельства.

Веб-свидетельства идентификации могут быть любым из них:

  • Цепочечный

  • Освобожденный

  • Автомобиль произведен

Для WLCs с версиями программного обеспечения ранее, чем 5.1.151.0, работа должна использовать один из этих вариантов:

  • Приобретите освобожденное свидетельство от CA, что означает, что доверяют корню подписания.

  • Имейте все действительные промежуточные свидетельства корня CA (доверял или недоверяемый), установленный на клиенте.

Для получения информации о том, как использовать освобожденные свидетельства на WLC, относитесь для Производства CSR для Сторонних Свидетельств и Загрузки Освобожденные Свидетельства WLC.

Этот документ обсуждает, как должным образом установить цепочечное свидетельство Безопасного слоя гнезда (SSL) WLC.

Произведите CSR

Закончите эти шаги для производства CSR:

  1. Установите и откройте применение OpenSSL. В Windows, по умолчанию, openssl.exe расположен в C:\> openssl> мусорное ведро.

    Примечание: OpenSSL 0.9.8 требуется, поскольку WLC в настоящее время не поддерживает OpenSSL 1.0.

  2. Выпустите эту команду:

    OpenSSL>req -new -newkey rsa:1024 -nodes -keyout mykey.pem -out myreq.pem
    

    Примечание: WLCs поддерживают максимальный ключевой размер 2048 битов.

    После издания команды существует быстрое для некоторой информации: название страны, государство, город, и т.д.

  3. Предоставьте запрошенную информацию.

    Примечание: важно, чтобы вы обеспечили правильное Общее название. Гарантируйте, что имя хоста, которое используется для создания свидетельства (Общее название), соответствует входу имени хоста Системы доменных имен (DNS) для действительного интерфейса IP на WLC и что имя существует в DNS также. Кроме того, после внесения изменения в интерфейс VIP необходимо перезагрузить систему для этого изменения для вступления в силу.

    Вот пример:

    OpenSSL>req -new -newkey rsa:1024 -nodes -keyout mykey.pem -out myreq.pem
    Loading 'screen' into random state - done
    Generating a 1024 bit RSA private key
    ................................................................++++++
    ...................................................++++++
    writing new private key to 'mykey.pem'
    -----
    You are about to be asked to enter information that will be incorporated
    into your certificate request.
    What you are about to enter is what is called a Distinguished Name or a DN.
    There are quite a few fields but you can leave some blank
    For some fields there will be a default value,
    If you enter '.', the field will be left blank.
    -----
    Country Name (2 letter code) [AU]:US
    State or Province Name (full name) [Some-State]:CA
    Locality Name (eg, city) []:San Jose
    Organization Name (eg, company) [Internet Widgits Pty Ltd]:ABC
    Organizational Unit Name (eg, section) []:CDE
    Common Name (eg, YOUR name) []:XYZ.ABC
    Email Address []:Test@abc.com
    
    
    Please enter the following 'extra' attributes
    to be sent with your certificate request
    A challenge password []:Test123
    An optional company name []:
    OpenSSL> 

    После того, как вы предоставите всю необходимую подробную информацию, два файла произведены:

    • новый частный ключ, который включает имя mykey.pem

    • CSR, который включает имя myreq.pem

  4. Скопируйте и приклейте информацию CSR в любой инструмент регистрации CA.

    После представления CSR стороннему CA сторонний CA в цифровой форме подписывает свидетельство и передает подписанную цепь свидетельства обратно по электронной почте. В случае цепочечных свидетельств вы получаете всю цепь свидетельств от Приблизительно, Если у вас только есть одно промежуточное свидетельство в области нашего примера, вы получаете эти три свидетельства от CA:

    • Корень certificate.pem

    • Промежуточное звено certificate.pem

    • Устройство certificate.pem

    Примечание: Удостоверьтесь, что свидетельство апачское совместимый с шифрованием SHA1.

  5. Как только у вас есть все эти три свидетельства, копия и паста в другой файл содержание каждого .pem файла в этом заказе:

    ------BEGIN CERTIFICATE------
    *Device cert*
    ------END CERTIFICATE------
    ------BEGIN CERTIFICATE------
    *Intermediate CA cert *
    ------END CERTIFICATE--------
    ------BEGIN CERTIFICATE------
    *Root CA cert *
    ------END CERTIFICATE------
  6. Сохраните файл как все-certs.pem.

  7. Объедините все-certs.pem свидетельство с частным ключом, который вы произвели наряду с CSR (частный ключ свидетельства устройства, которое является mykey.pem в этом примере), и сохраните файл как final.pem.

    Выпустите эти команды в применении OpenSSL для создания все-certs.pem и final.pem файлов:

    openssl>pkcs12 -export -in All-certs.pem -inkey mykey.pem 
           -out All-certs.p12 -clcerts -passin pass:check123 
           -passout pass:check123
      
    openssl>pkcs12 -in All-certs.p12 -out final-cert.pem 
           -passin pass:check123 -passout pass:check123
    

    Примечание: В этой команде необходимо ввести пароль для параметров -passin и -passout . Пароль, который формируется для -passout параметра, должен соответствовать certpassword параметру, который формируется на WLC. В этом примере пароль, который формируется и для -passin и для -passout параметров, является check123.

    final.pem является файлом, что мы должны загрузить на Радио Диспетчера LAN. Следующий шаг должен загрузить этот файл на WLC.

Загрузите Стороннее Свидетельство WLC использование CLI

Закончите эти шаги для загрузки цепочечного свидетельства WLC использование CLI:

  1. Переместите final.pem файл в справочник по умолчанию на вашем сервере TFTP.

  2. В CLI выпустите эти команды для изменения настроек загрузки:

        >transfer download mode tftp
        >transfer download datatype webauthcert
        >transfer download serverip <TFTP server IP address>
        >transfer download path <absolute TFTP server path to the update file>
        >transfer download filename final.pem
    
  3. Введите пароль для .pem файла так, чтобы операционная система могла расшифровать ключ SSL и свидетельство.

    >transfer download certpassword password
    

    Примечание: убедитесь, что стоимость для certpassword совпадает с -passout паролем параметра, который был установлен в шаге 4 Произведения секции CSR. В этом примере certpassword должен быть check123.

  4. Выпустите команду начала загрузки передачи для просмотра обновленных настроек. Тогда войдите в y в быстром, чтобы подтвердить текущие параметры настройки загрузки и начать свидетельство и ключевую загрузку. Вот пример:

    (Cisco Controller) >transfer download start
     
    Mode............................................. TFTP
    Data Type........................................ Site Cert
    TFTP Server IP................................... 10.77.244.196
    TFTP Packet Timeout.............................. 6
    TFTP Max Retries................................. 10
    TFTP Path........................................./
    TFTP Filename.................................... final.pem
     
    This may take some time.
    Are you sure you want to start? (y/N) y
     
    TFTP EAP Dev cert transfer starting.
     
    Certificate installed.
                            Reboot the switch to use new certificate.
  5. Перезагрузите WLC для изменений для вступления в силу.

Загрузите Стороннее Свидетельство WLC использование GUI

Закончите эти шаги для загрузки цепочечного свидетельства WLC использование GUI:

  1. Скопируйте свидетельство устройства final.pem к справочнику по умолчанию на вашем сервере TFTP.

  2. Выберите безопасность> Веб-Автор> Свидетельство для открытия Веб-страницы Свидетельства Идентификации.

  3. Проверьте флажок Download SSL Certificate для просмотра сертификата SSL Загрузки От параметров Сервера TFTP.

  4. В области IP-адреса войдите в IP-адрес сервера TFTP.

    csr-chained-certificates-wlc-01.gif

  5. В области Пути к файлу войдите в путь к директории свидетельства.

  6. В области Имени файла введите имя свидетельства.

  7. В области Пароля Свидетельства введите пароль, который использовался для защиты свидетельства.

  8. Нажмите Apply.

  9. После того, как загрузка завершена, выберите Команды> Перезагрузка> Перезагрузка.

  10. Если вызвано для экономии изменений нажмите Save и Reboot.

  11. Нажмите OK для подтверждения решения перезагрузить диспетчера.

Связанные обсуждения сообщества поддержки Cisco

В рамках сообщества поддержки Cisco можно задавать и отвечать на вопросы, обмениваться рекомендациями и совместно работать со своими коллегами.


Соответствующая информация


Document ID: 109597