Cisco ha traducido este documento combinando la traducción automática y los recursos humanos a fin de ofrecer a nuestros usuarios en todo el mundo contenido en su propio idioma. Tenga en cuenta que incluso la mejor traducción automática podría no ser tan precisa como la proporcionada por un traductor profesional. Cisco Systems, Inc. no asume ninguna responsabilidad por la precisión de estas traducciones y recomienda remitirse siempre al documento original escrito en inglés (insertar vínculo URL).
Este documento describe cómo generar un pedido de firma de certificado (CSR) para obtener un certificado de tercera persona y cómo descargar un certificado encadenado a un regulador del Wireless LAN (red inalámbrica (WLAN)) (WLC).
Antes de que usted intente esta configuración, usted debe tener conocimiento de estos temas:
La información que contiene este documento se basa en las siguientes versiones de software y hardware.
La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). Si la red está funcionando, asegúrese de haber comprendido el impacto que puede tener cualquier comando.
Una Cadena de certificados es una secuencia de Certificados, donde cada certificado en el encadenamiento es firmado por el certificado subsiguiente. El propósito de una Cadena de certificados es establecer un encadenamiento de la confianza de un certificado de peer a un certificado de CA de confianza. CA atestigua para la identidad en el certificado de peer cuando la firma. Si CA es uno que usted confía en, que es indicado por la presencia de una copia del certificado de CA en su directorio del certificado raíz, éste le implica puede confiar en el certificado de peer firmado también.
A menudo, los clientes no validan los Certificados porque CA conocido los no crearon. Del cliente los estados típicamente que la validez del certificado no puede ser verificada. Éste es el caso cuando el certificado es firmado por CA intermedio, que no se sabe al buscador del cliente. En estos casos, es necesario utilizar un certificado SSL o un grupo encadenado del certificado.
El regulador permite para que el certificado del dispositivo sea descargado como certificado encadenado para la autenticación Web.
El WLC no soporta encadenado certifica más que 10KB de tamaño en el WLC. Sin embargo, esta restricción se ha quitado en la versión 7.0.230.0 del WLC y posterior.
Nota: Los Certificados encadenados se soportan y se requieren realmente para la autenticación Web y el administrador Web
Nota: Los Certificados del comodín se soportan completamente para el EAP local, la Administración o el webauthentication
Los Certificados de la autenticación Web pueden ser ninguno de estos:
Nota: En la versión 7.6 y posterior del WLC, solamente se soportan los Certificados encadenados (y por lo tanto requerido)
Si usted está mirando para generar un certificado soltado para el fin de administración, usted puede seguir este documento e ignorar las piezas donde el certificado se combina con el certificado de CA.
Este documento discute cómo instalar correctamente un certificado encadenado del Secure Socket Layer (SSL) a un WLC.
Hay dos maneras de generar un CSR. Manualmente con el OpenSSL (la única forma posible en software WLC pre-8.3) o usar el WLC sí mismo para generar el CSR (disponible después de 8.3.102).
Nota: La versión 58 y posterior de Chrome no confía en el Common Name del certificado solamente y requiere el nombre alterno sujeto también estar presente. La sección siguiente explicará cómo agregar los campos SAN al OpenSSL CSR que es un nuevo requisito para este navegador.
Complete estos pasos para generar un CSR con el OpenSSL:
Nota: La versión 0.9.8 del OpenSSL es la versión recomendada para las viejas versiones del WLC; sin embargo, a partir de la versión 7.5, el soporte para la versión 1.0 del OpenSSL también fue agregado (refiera al Id. de bug Cisco CSCti65315 - soporte de la necesidad para los Certificados generados usando el v1.0 del OpenSSL) y es la versión recomendada a utilizar. El OpenSSL 1.1 trabajos también fue probado y funciona increíble en y posterior las versiones del WLC 8.x.
[req] req_extensions = v3_req [ v3_req ] # Extensions to add to a certificate request basicConstraints = CA:FALSE keyUsage = nonRepudiation, digitalSignature, keyEncipherment subjectAltName = @alt_names [alt_names] DNS.1 = server1.example.com DNS.2 = mail.example.com DNS.3 = www.example.com DNS.4 = www.sub.example.com DNS.5 = mx.example.com DNS.6 = support.example.comLas líneas que comienzan con el "DNS.1", el "DNS.2" y así sucesivamente deben contener todos los nombres alternos que sus Certificados tendrán. Usted puede entonces escribir cualquier URL posible que usted esté utilizando para el WLC. Las líneas en antedicho intrépido no estaban presentes ni fueron comentadas en nuestra versión del openSSL del laboratorio, puede variar grandemente dependiendo del sistema operativo y de la versión del openssl. Salvamos esta versión modificada de los config como openssl-san.cnf por este ejemplo.
OpenSSL>req -new -newkey rsa:3072 -nodes -keyout mykey.pem -out myreq.pem -config openssl-san.cnf
Nota: Soporte del WLCs un tamaño de clave máximo de 4096 bits a partir de la versión de software 8.5
Nota: Es importante que usted proporciona el Common Name correcto. Asegúrese de que el nombre del host que se utiliza para crear el certificado (Common Name) haga juego la entrada de nombre del host del Domain Name System (DNS) para la dirección IP de la interfaz virtual en el WLC y de que el nombre existe en el DNS también. También, después de que usted realice el cambio IP virtual a la interfaz (VIP), usted debe reiniciar el sistema para que este cambio tome el efecto.
OpenSSL>req -new -newkey rsa:3072 -nodes -keyout mykey.pem -out myreq.pem -config openssl-san.cnf
Loading 'screen' into random state - done
Generating a 1024 bit RSA private key
................................................................++++++
...................................................++++++
writing new private key to 'mykey.pem'
-----
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [AU]:US
State or Province Name (full name) [Some-State]:CA
Locality Name (eg, city) []:San Jose
Organization Name (eg, company) [Internet Widgits Pty Ltd]:ABC
Organizational Unit Name (eg, section) []:CDE
Common Name (eg, YOUR name) []:XYZ.ABC
Email Address []:Test@abc.com
Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:Test123
An optional company name []:OpenSSL>
Si su WLC ejecuta la versión de software 8.3.102 o más adelante, más opción segura (y el más fáciles también) es utilizar el WLC para generar el CSR. La ventaja es que la clave está generada en el WLC y nunca sale del WLC; así nunca se expone en el mundo exterior.
A partir de ahora, este método no permite configurar el SAN en el CSR que pudo llevar a los problemas con ciertos navegadores que requiere la presencia de un atributo SAN. Algún CA permite insertar los campos SAN en el tiempo de firma, así que es una buena idea marcar con su CA.
La generación del CSR por el WLC sí mismo utilizará un tamaño de clave de 2048 bits y el tamaño de clave del ecdsa será los bits 256.
Nota: Si usted funciona con el comando de la generación csr y no instala el certificado resultante todavía, su WLC será totalmente inalcanzable en el HTTPS en la reinicialización siguiente, pues el WLC utilizará la clave nuevamente generada CSR después de que la reinicialización pero no tenga el certificado que va con ella.
Para generar un CSR para la autenticación Web, ingrese este comando:
El certificate generate CSR-webauth del >config (del WLC) SEA TAC de Cisco mywebauthportal.wireless.com tac@cisco.com de Bruselas del BR
-----COMIENCE EL PEDIDO DE CERTIFICADO-----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-----TERMINE EL PEDIDO DE CERTIFICADO-----
Para generar un CSR para el webadmin, el comando cambia descubierto:
El certificate generate CSR-webadmin del >config (del WLC) SEA TAC de Cisco mywebauthportal.wireless.com tac@cisco.com de Bruselas del BR
Nota: El CSR se imprime en la terminal después de que usted ingrese el comando. No hay otras maneras de extraerlo; no es posible cargarlo del WLC ni es posible salvarlo. Usted debe copiar/goma él a un archivo en su ordenador después de que usted ingrese el comando. La clave generada permanece en el WLC hasta que se genere el CSR siguiente (la clave está sobregrabada así). Si usted tiene que cambiar nunca el hardware del WLC después (RMA), usted no podrá reinstalar el mismo certificado que una nuevos clave y CSR tendrán que ser generados en el nuevo WLC.
Usted entonces tiene que entregar este CSR a su autoridad de firma de tercera persona o a su Public Key Infrastructure (PKI) de la empresa.
Este ejemplo muestra solamente una empresa existente CA (Servidor Windows 2012 en este ejemplo) y no cubre los pasos para configurar a un Servidor Windows CA desde el principio.
openssl pkcs7 - print_certs - en All-certs.p7b - hacia fuera All-certs.pem
6. Combine los Certificados de la Cadena de certificados (en este ejemplo, se nombra “All-certs.pem”) con la clave privada que usted generó junto con el CSR (la clave privada del certificado del dispositivo, que es mykey.pem en este ejemplo) si usted fue con la opción A (es decir, usted utilizó el OpenSSL para generar el CSR), y salva el archivo como final.pem. Si usted generó el CSR directamente del WLC (opción B) usted puede saltar este paso.
Publique estos comandos en la aplicación del OpenSSL para crear los archivos All-certs.pem y final.pem:
openssl>pkcs12 -export -in All-certs.pem -inkey mykey.pem
-out All-certs.p12 -clcerts -passin pass:check123
-passout pass:check123
openssl>pkcs12 -in All-certs.p12 -out final.pem
-passin pass:check123 -passout pass:check123
Nota: En este comando, usted debe ingresar una contraseña para los parámetros - passin y - passout. La contraseña que se configura para - parámetro del passout debe hacer juego el parámetro del certpassword que se configura en el WLC. En este ejemplo, la contraseña que se configura para - passin y - los parámetros del passout son check123.
Final.pem es el archivo que usted debe descargar al WLC si usted siguió la “opción A. CSR con el OpenSSL”. Si usted siguió la “opción B. CSR generada por el WLC sí mismo”, después All-certs.pem es el archivo que usted debe descargar al WLC. El siguiente paso es descargar este archivo al WLC.
Nota: Si la carga del certificado al WLC falla, puede ser que usted no tenga el encadenamiento entero en el archivo PEM. Refiera al paso 2 de la opción B (obtenga el final.pem de las de otras compañías CA) abajo para ver cómo deben parecer. Si usted ve solamente un certificado en el archivo, después usted necesidad de descargar manualmente todo el intermedio y certificado raíz CA archivos y de añadirlos al final del fichero (por la goma de la copia sencilla) al archivo para crear el encadenamiento.
Nota: Aseegurese que el certificado es Apache-compatible con el cifrado del algoritmo de troceo seguro 1 (SHA1).
------BEGIN CERTIFICATE------
*Device cert*
------END CERTIFICATE------
------BEGIN CERTIFICATE------
*Intermediate CA cert *
------END CERTIFICATE--------
------BEGIN CERTIFICATE------
*Root CA cert *
------END CERTIFICATE------
openssl>pkcs12 -export -in All-certs.pem -inkey mykey.pem
-out All-certs.p12 -clcerts -passin pass:check123
-passout pass:check123
openssl>pkcs12 -in All-certs.p12 -out final.pem
-passin pass:check123 -passout pass:check123
Nota: En este comando, usted debe ingresar una contraseña para los parámetros - passin y - passout. La contraseña que se configura para - parámetro del passout debe hacer juego el parámetro del certpassword que se configura en el WLC. En este ejemplo, la contraseña que se configura para - passin y - los parámetros del passout son check123.
Final.pem es el archivo que usted debe descargar al WLC si usted siguió la “opción A. CSR con el OpenSSL”. Si usted siguió la “opción B. CSR generada por el WLC sí mismo”, después All-certs.pem es el archivo que usted debe descargar al WLC. El siguiente paso es descargar este archivo al WLC.
Nota: SHA2 también se soporta. El Id. de bug Cisco CSCuf20725 es un pedido el soporte SHA512.
Complete estos pasos para descargar el certificado encadenado al WLC con el CLI:
>transfer download mode tftp
>transfer download datatype webauthcert
>transfer download serverip <TFTP server IP address>
>transfer download path <absolute TFTP server path to the update file>
>transfer download filename final.pem
>transfer download certpassword password
Nota: Sea que el valor para el certpassword es lo mismo que - la contraseña segura del parámetro del passout que fue fijada en el paso 4 (o 5) de la generación una sección CSR. En este ejemplo, el certpassword debe ser check123. Si usted había elegido la opción B (es decir, utilice el WLC sí mismo para generar el CSR) que usted puede dejar el espacio en blanco del campo del certpassword.
(Cisco Controller) >transfer download start
Mode............................................. TFTP
Data Type........................................ Site Cert
TFTP Server IP................................... 10.77.244.196
TFTP Packet Timeout.............................. 6
TFTP Max Retries................................. 10
TFTP Path........................................./
TFTP Filename.................................... final.pem
This might take some time.
Are you sure you want to start? (y/N) y
TFTP EAP Dev cert transfer starting.
Certificate installed.
Reboot the switch to use new certificate.
Complete estos pasos para descargar el certificado encadenado al WLC con el GUI:
Qué presentará muy probablemente un problema es la instalación del certificado en el WLC. Para resolver problemas, abrir una línea de comando en el WLC y ingresar la transferencia toda del debug habilite y el pki del debug P.M. habilita entonces completo el procedimiento del certificado de la descarga.
In some cases, the logs will only say that the certificate installation failed:
*TransferTask: Sep 09 08:37:17.415: RESULT_STRING: TFTP receive complete... Installing
Certificate.
*TransferTask: Sep 09 08:37:17.415: RESULT_CODE:13
TFTP receive complete... Installing Certificate.
*TransferTask: Sep 09 08:37:21.418: Adding cert (1935 bytes) with certificate key password.
*TransferTask: Sep 09 08:37:21.421: RESULT_STRING: Error installing certificate.
Usted necesita verificar el formato del certificado y el encadenamiento después. Recuerde que el WLCs que la versión 7.6 requiere más adelante el encadenamiento entero estar presente, así que usted puede no sólo cargar su certificado del WLC solamente. El encadenamiento hasta raíz CA debe estar presente en el archivo.
Aquí está un ejemplo de los debugs cuando CA intermedio es incorrecto:
*TransferTask: Jan 04 19:08:13.338: Add WebAuth Cert: Adding certificate & private key using password check123 *TransferTask: Jan 04 19:08:13.338: Add ID Cert: Adding certificate & private key using password check123 *TransferTask: Jan 04 19:08:13.338: Add Cert to ID Table: Adding certificate (name: bsnSslWebauthCert) to ID table using password check123 *TransferTask: Jan 04 19:08:13.338: Add Cert to ID Table: Decoding PEM-encoded Certificate (verify: YES) *TransferTask: Jan 04 19:08:13.338: Decode & Verify PEM Cert: Cert/Key Length was 0, so taking string length instead *TransferTask: Jan 04 19:08:13.338: Decode & Verify PEM Cert: Cert/Key Length 7148 & VERIFY *TransferTask: Jan 04 19:08:13.342: Decode & Verify PEM Cert: X509 Cert Verification return code: 0 *TransferTask: Jan 04 19:08:13.342: Decode & Verify PEM Cert: X509 Cert Verification result text: unable to get local issuer certificate *TransferTask: Jan 04 19:08:13.342: Decode & Verify PEM Cert: Error in X509 Cert Verification at 0 depth: unable to get local issuer certificate *TransferTask: Jan 04 19:08:13.343: Add Cert to ID Table: Error decoding (verify: YES) PEM certificate *TransferTask: Jan 04 19:08:13.343: Add ID Cert: Error decoding / adding cert to ID cert table (verifyChain: TRUE) *TransferTask: Jan 04 19:08:13.343: Add WebAuth Cert: Error adding ID cert
Como se explica en el Guía de despliegue del WLC HA SSO, los Certificados no se replican de primario al controlador secundario en un escenario HA SSO. Esto significa que usted tiene que import all los Certificados al secundario antes de formar los pares HA. Otra advertencia es que ésta no trabajará si usted generó el CSR (y por lo tanto creó la clave localmente) en el WLC primario como esa clave no puede ser exportada. La única forma es generar el CSR para el WLC primario con el OpenSSL (y por lo tanto tener la clave asociada al certificado) e importar ese certificado/combinación de claves en ambo WLCs.