Genere el CSR para los Certificados de tercera persona y descargue los Certificados encadenados a los reguladores inalámbricos del catalizador 9800
Contenido
Introducción
Este documento describe cómo generar un pedido de firma de certificado (CSR) para obtener un certificado de tercera persona y cómo descargar un certificado encadenado a un regulador inalámbrico LAN del catalizador 9800 (9800 WLC) y al uso para el portal del webauth y del webadmin.
Prerrequisitos
Requisitos
Antes de que usted intente esta configuración, Cisco recomienda que usted tiene conocimiento de estos temas:
- Cómo configurar los 9800 WLC, el Punto de acceso ligero (REVESTIMIENTO) para la operación básica
- Cómo utilizar la aplicación de OpenSSL
- Infraestructura y Certificados digitales de la clave pública
Componentes Utilizados
La información que contiene este documento se basa en las siguientes versiones de software y hardware.
- Versión 16.12 9800-CL
- Aplicación de OpenSSL
La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). Si tiene una red en vivo, asegúrese de entender el posible impacto de cualquier comando.
Configurar
En 16.10, 9800s no utilizan tener un certificado dififerent para la autenticación Web y el portal de la clave de la red utilizará siempre el certificado del valor por defecto.
En 16.11, usted puede configurar un certificado dedicado para la autenticación Web fijando el trustpoint dentro de la parámetro-correspondencia.
Hay la opción dos para conseguir un certificado para 9800 WLC.
- Genere el pedido de firma de certificado (CSR) usando OpenSSL. Consiga un certificado PKCS12 firmado por su CA y cargúelo directamente a los 9800 WLC. Esto significa que la clave privada está liada con ese certificado.
- Utilice el comando line interface(cli) 9800 WLC de generar un pedido de firma de certificado (CSR), consígalo firmado por las autoridades de certificación y después cargue el certificado firmado
Utilice el que le cabe más.
Opción 1: Cargue un certificado firmado existente PKCS12 (el certificado y la clave son apagado-cuadro)
Genere una solicitud de firma y consígala firmada por un CA
Si usted no tiene el certificado todavía, usted necesitará generar una solicitud de firma de dar a su CA.
Copie la goma el abajo en su directorio en funcionamiento (en una computadora portátil que tiene OpenSSL instalado) en el fichero “config.cnf” por ejemplo.
[ req ] default_bits = 4096 distinguished_name = req_distinguished_name req_extensions = req_ext [ req_distinguished_name ] countryName = Country Name (2 letter code) stateOrProvinceName = State or Province Name (full name) localityName = Locality Name (eg, city) organizationName = Organization Name (eg, company) commonName = Common Name (e.g. server FQDN or YOUR name) [ req_ext ] subjectAltName = @alt_names [alt_names] DNS.1 = bestflare.com DNS.2 = usefulread.com DNS.3 = chandank.com
Substituya los nombres DNS.X por sus nombres sujetos de Altername. Substituya los campos principales por los detalles del certificado que usted quiere.
Usted puede ahora generar el CSR con
openssl req -out myCSR.csr -newkey rsa:4096 -nodes -keyout private.key -config config.cnf
¡Asegúrese de mantener su fichero “private.key” seguro!
El CSR será genera como myCSR.csr
Usted puede verificar su contenido con
openssl req -noout -text -in myCSR.csr
Usted puede entonces proporcionar a este CSR a su CA para hacerlo firmar y para recibir un certificado detrás.
Importe el certificado
Paso 1. Salve su certificado PKCS12 en un servidor del Trivial File Transfer Protocol (TFTP) que sea accesible de los 9800 WLC. El certificado PKCS12 tiene que contener la clave privada así como la Cadena de certificados hasta raíz CA.
Paso 2. Abra el GUI sus 9800 WLC y navegue al > Security (Seguridad) de la configuración > a la red auténticos > certificado y haga clic la importación nueva.
Paso 3. Ingrese la información pedida y haga clic la importación.
Después que usted ve el nuevo certificado cargado.
CLI:
# config t
# crypto pki import <cert-filename> pkcs12 tftp://<TFTP-IP>/<cert-filename> password <cert-password>
Es importante utilizar el nombre de fichero exacto como el nombre del trustpoint en el comando antedicho.
Conversión y decorado encadenado del certificado (CA de niveles múltiples)
Es muy importante observar que los 9800 no presentarán actualmente el encadenamiento entero si están configurados para utilizar un trustpoint para el webadmin o el webauth. Presentará solamente el certificado del dispositivo y su CA.
Usted puede terminar para arriba en una situación donde usted tiene un archivo clave y un certificado en el formato PEM y querer combinarlos en un formato PKCS12 (.pfx)
openssl pkcs12 -export -in <PEM certificate filename> -inkey <privatekey.key> -out <output new .pfx filename>
En el caso donde usted tiene un encadenamiento del certificado (intermedio y raíz CA) todo en el formato PEM, usted entonces necesita combinar todos en un solo fichero .pfx.
Primero, combine manualmente los Certificados CA en un archivo único como abajo. Puede ser hecho simplemente por la copia que pega el contenido junto:
----- BEGIN Certificate --------
<intermediate CA cert>
------END Certificate --------
-----BEGIN Certificate -----
<root CA cert>
-----END Certificate--------
Usted puede entonces combinar todos en un archivo de certificado PKCS12 con:
openssl pkcs12 -export -out chaincert.pfx -inkey <deviceprivatekey> -in <device private certificate> -certfile <combined CA file you just built above>
Refiera a la sección de la verificación en el extremo del artículo para ver cómo el certificado final debe parecer
Opción 2: Genere una clave y una solicitud de firma (CSR) en los 9800 WLC, consígala firmada y agreguela al WLC
Paso 1. Genere un par clave de fines generales RSA.
Ábrase una sesión por el Secure Shell (SSH) a sus 9800 WLC y publique estos comandos. Elegimos nombrar nuestras ewlc-claves del par clave, pero usted puede fijar el nombre que usted quiere:
# configure terminal
# crypto key generate rsa general-keys label ewlc-keys exportable
The name for the keys will be: ewlc-keys
Choose the size of the key modulus in the range of 360 to 4096 for your
General Purpose Keys. Choosing a key modulus greater than 512 may take
a few minutes.
How many bits in the modulus [512]: 2048
% Generating 2048 bit RSA keys, keys will be exportable...
[OK] (elapsed time was 1 seconds)
Paso 2. Genere un CSR para sus 9800 WLC virtuales. Asegure eligió un NC (y otras opciones del certificado) que haga juego el URL que será visitado (página del invitado, página del administrador Web, dependiendo de los casos del uso). Elegimos nombrar nuestro ewlc-CERT del certificado en este ejemplo pero usted puede eligió el nombre que usted prefiere distinguir sus Certificados.
# configure terminal
(config)#crypto pki trustpoint ewlc-cert
(ca-trustpoint)# enrollment terminal pem
(ca-trustpoint)# revocation-check none
(ca-trustpoint)# subject-name C=MX, ST=Nuevo Leon, L=Guadalupe, O=lab-wireless, OU=mex-wireless, CN=public-guest.lab-kcg.com
(ca-trustpoint)# rsakeypair ewlc-keys
(ca-trustpoint)# exit
(config)#crypto pki enroll ewlc-cert
% Start certificate enrollment ..
% The subject name in the certificate will include: C=MX, ST=Nuevo Leon, L=Guadalupe, O=lab-wireless, OU=mex-wireless, CN=public-guest.lab-kcg.com
% The subject name in the certificate will include: 9800 WLC-karlcisn-Public.lab-kcg.com
% Include the router serial number in the subject name? [yes/no]: no
% Include an IP address in the subject name? [no]: no
Display Certificate Request to terminal? [yes/no]: yes
Certificate Request follows:
-----BEGIN CERTIFICATE REQUEST-----
*9800 WLC CSR*
-----END CERTIFICATE REQUEST-----
---End - This line not part of the certificate request---
Redisplay enrollment request? [yes/no]: no
C: País
ST: Un cierto estado, refiere al nombre del estado o de la provincia
L: El nombre de la ubicación, refiere a la ciudad
O: Nombre de la organización, referst a la compañía
OU: El nombre de la unidad organizacional, poder refiere a la sección.
NC: (Nombre común) refiere al tema al cual el certificado será publicado, usted debe especificar la dirección IP virtual de sus 9800 WLC, el hostname asociado a la dirección IP virtual de sus 9800 WLC, a la dirección IP de la Administración o al hostname asociado a la dirección IP de la Administración.
Paso 3. Consiga su CSR firmado por sus autoridades de certificación (el CA)
La cadena llena necesitará ser enviada a su CA para conseguirlo firmado.
-----BEGIN CERTIFICATE REQUEST-----
*9800 WLC CSR*
-----END CERTIFICATE REQUEST-----
Si usted utiliza a un Servidor Windows CA para firmar el certificado, descargue el certificado resultante en el formato Base64.
Paso 4. Haga su confianza 9800 WLC su CA
Usted debe conseguir el certificado raíz del CA que firmó el CSR sus 9800 WLC en el formato .pem.
Una vez que usted lo tiene, ábrase una sesión por SSH o Telnet a sus 9800 WLC y funcione con estos comandos de copiar y de pegar el certificado raíz.
# config t
(config)# crypto pki authenticate ewlc-cert
Enter the base 64 encoded CA certificate.
End with a blank line or the word "quit" on a line by itself
-----BEGIN CERTIFICATE-----
*Issuing CA certificate*
-----END CERTIFICATE-----
Certificate has the following attributes:
Fingerprint MD5: DD05391A 05B62573 A38C18DD CDA2337C
Fingerprint SHA1: 596DD2DC 4BF26768 CFB14546 BC992C3F F1408809
% Do you accept this certificate? [yes/no]: yes
Trustpoint CA certificate accepted.
% Certificate successfully imported
Paso 5. Cargue el certificado firmado en los 9800 WLC.
Ejecute éstos ordenan para cargar el certificado firmado que usted consiguió de su CA en los 9800 WLC.
(config)#crypto pki import ewlc-cert certificate
Enter the base 64 encoded certificate.
End with a blank line or the word "quit" on a line by itself
-----BEGIN CERTIFICATE-----
*9800 WLC Signed Certificate*
-----END CERTIFICATE-----
quit
% Router Certificate successfully imported
Utilice el nuevo certificado
Es muy importante observar que los 9800 no presentarán actualmente el encadenamiento entero si están configurados para utilizar un trustpoint para el webadmin o el webauth. Presentará solamente el certificado del dispositivo y su CA.
Administrador Web
Señale la página web admin para utilizar el certificado firmado, salve la configuración. Es también más fácil haciéndola de la red UI en Administration-> HTTP
# configure terminal
# ip http secure-trustpoint ewlc-cert
#
Autenticación Web local
Señale la correspondencia del parámetro de la autenticación Web para utilizar el certificado para el portal de la clave de la red.
# configure terminal
#(config)#parameter-map type webauth global
#(config-parameter-map)#trustpoint <trustpoint name>
Sea consciente que para que los clientes confíen en el certificado de la autenticación Web usted necesitará definir un hostname que corresponde con el NC del certificado en IP virtual de la correspondencia global del paramater.
(config-params-parameter-map)#virtual-ip ipv4 192.0.2.1 virtual-host test9800.eu-central-1.compute.internal
Si usted no quiere recargar los 9800 WLC, el recomienzo del servidor Web puede hacer el truco:
# configure terminal
# no ip http server
# ip http server
# end
Consideraciones de gran disponibilidad
En la ha 9800 SSO, todos los Certificados se replican del primario al secundario cuando emparejan inicialmente para arriba. Esto incluso incluye los Certificados donde la clave privada fue generada en el regulador sí mismo e incluso si la clave RSA no es supuesto exportable.
Después de que se establezca la ha, cualquier nuevo certificado instalado, será instalado en ambos reguladores y todos los Certificados se replican en el tiempo real.
Después de la Conmutación por falla, el regulador anterior-secundario-ahora-activo utilizará los Certificados heredados del primario transparente.
Cómo asegurarse del certificado es confiado en por los buscadores Web
Hay un par de puntos importantes para que un certificado sea confiado en:
- Su nombre común (o un campo SAN) debe hacer juego el URL visitado por el navegador
- Debe ser dentro de su período de validez
- Debe ser publicado por un CA o un encadenamiento del CA cuya raíz es confiada en por el navegador. Para esto, el certificado proporcionado por el servidor Web debe contener todos los Certificados del encadenamiento hasta que (incluido no no necesariamente) un certificado confiara en por el buscador del cliente (típicamente raíz CA).
El comodín certifica la nota
Ayuda del catalizador 9800 usando los Domain Name del comodín en el campo NC del certificado.
Verificación
Usted puede utilizar estos comandos de verificar la configuración de los Certificados:
# show crypto pki certificates <cert-name>
Certificate
Status: Available
Certificate Serial Number (hex): 00A2020356CF31C818
Certificate Usage: General Purpose
Issuer:
cn=CA-KCG-lab
ou=lab-mex-wireless
o=mex-wireless
l=Guadalupe
st=Nuevo Leon
c=MX
Subject:
Name: *.lab-kcg.com
cn=*.lab-kcg.com
ou=lab-mex-wireless
o=mex-wireless
l=Benito Juarez
st=CDMX
c=MX
Validity Date:
start date: 17:14:54 UTC Feb 15 2018
end date: 17:14:54 UTC Mar 11 2023
Associated Trustpoints: cert-name
Storage: nvram:CA-KCG-lab#C818.cer
# show ip http server secure status
HTTP secure server status: Enabled
HTTP secure server port: 443
HTTP secure server ciphersuite: 3des-ede-cbc-sha aes-128-cbc-sha
aes-256-cbc-sha dhe-aes-128-cbc-sha ecdhe-rsa-3des-ede-cbc-sha
rsa-aes-cbc-sha2 rsa-aes-gcm-sha2 dhe-aes-cbc-sha2 dhe-aes-gcm-sha2
ecdhe-rsa-aes-cbc-sha2 ecdhe-rsa-aes-gcm-sha2
HTTP secure server TLS version: TLSv1.2 TLSv1.1 TLSv1.0
HTTP secure server client authentication: Disabled
HTTP secure server trustpoint: cert-name
HTTP secure server active session modules: ALL
Usted puede verificar su Cadena de certificados en los 9800. En el caso de un certificado del dispositivo publicado por un CA intermedio, sí mismo publicado por raíz CA, usted tendrá un trustpoint al lado de los grupos de 2 Certificados. En este caso tendremos “nicochain” que tiene el certificado del dispositivo (certificado WLC) y su CA de publicación (CA intermedio). Entonces tenemos otro trustpoint con raíz CA que publican ese CA intermedio.
test9800#show crypto pki certificate nicochain
Certificate
Status: Available
Certificate Serial Number (hex): 1234
Certificate Usage: General Purpose
Issuer:
e=int@int.com
cn=intermediate.com
ou=TAC
o=Cisco
st=Diegem
c=BE
Subject:
Name: TAC
cn=TAC
o=Cisco
l=Diegem
st=Diegem
c=BE
Validity Date:
start date: 16:39:05 CET Feb 26 2020
end date: 16:39:05 CET Jun 3 2030
Associated Trustpoints: nicochain
CA Certificate
Status: Available
Certificate Serial Number (hex): 1000
Certificate Usage: Signature
Issuer:
e=root@root.com
cn=RootCA.root.com
ou=TAC
o=Cisco
l=Diegem
st=Diegem
c=BE
Subject:
e=int@int.com
cn=intermediate.com
ou=TAC
o=Cisco
st=Diegem
c=BE
Validity Date:
start date: 16:38:36 CET Feb 26 2020
end date: 16:38:36 CET Feb 23 2030
Associated Trustpoints: nicochain
test9800#show crypto pki certificate nicochain-rrr1
CA Certificate
Status: Available
Certificate Serial Number (hex): 00
Certificate Usage: Signature
Issuer:
e=root@root.com
cn=RootCA.root.com
ou=TAC
o=Cisco
l=Diegem
st=Diegem
c=BE
Subject:
e=root@root.com
cn=RootCA.root.com
ou=TAC
o=Cisco
l=Diegem
st=Diegem
c=BE
Validity Date:
start date: 16:38:14 CET Feb 26 2020
end date: 16:38:14 CET Feb 23 2030
Associated Trustpoints: nicochain-rrr1 Verificación del certificado con OpenSSL
OpenSSL puede ser útil para verificar el certificado sí mismo o para hacer algunas operaciones de la conversión.
Para visualizar un certificado con OpenSSL:
openssl x509 -in <certificatefile> -text
para visualizar el contenido de un pedido de firma de certificado:
openssl req -noout -text -in <CSR filename>
Si usted quiere verificar el certificado resultante en los 9800 WLC sino querer utilizar el algo más que su navegador, OpenSSL puede hacer esto y darle muchos detalles.
openssl s_client -showcerts -verify 5 -connect <wlcURL>:443
Usted puede substituir el <wlcURL> por el URL del webadmin de los 9800 o el URL del portal del invitado. Usted puede también poner una dirección IP allí, él le dirá que se recibe qué Cadena de certificados pero la validación de certificado puede nunca ser el 100% correcto si usa una dirección IP en vez del hostname.
Para ver el contenido y verificar un PKCS12 (.pfx) certifican o Cadena de certificados:
openssl pkcs12 -info -in <path to cert>
Aquí está un ejemplo del comando antedicho en un encadenamiento del certificado donde el certificado del dispositivo es publicado a TAC por un “intermediate.com llamado CA intermedio”, sí mismo publicado por raíz CA un “root.com llamado”:
openssl pkcs12 -info -in chainscript2.pfx
Enter Import Password:
MAC Iteration 2048
MAC verified OK
PKCS7 Encrypted data: pbeWithSHA1And40BitRC2-CBC, Iteration 2048
Certificate bag
Bag Attributes
localKeyID: 1D 36 8F C2 4B 18 0B 0D B2 57 A2 55 18 96 7A 8B 57 F9 CD FD
subject=/C=BE/ST=Diegem/L=Diegem/O=Cisco/CN=TAC
issuer=/C=BE/ST=Diegem/O=Cisco/OU=TAC/CN=intermediate.com/emailAddress=int@int.com
-----BEGIN CERTIFICATE-----
MIIFsjCCA5qgAwIBAgICEjQwDQYJKoZIhvcNAQENBQAwczELMAkGA1UEBhMCQkUx
DzANBgNVBAgMBkRpZWdlbTEOMAwGA1UECgwFQ2lzY28xDDAKBgNVBAsMA1RBQzEZ
MBcGA1UEAwwQaW50ZXJtZWRpYXRlLmNvbTEaMBgGCSqGSIb3DQEJARYLaW50QGlu
dC5jb20wHhcNMjAwMjI2MTUzOTA1WhcNMzAwNjAzMTUzOTA1WjBNMQswCQYDVQQG
EwJCRTEPMA0GA1UECBMGRGllZ2VtMQ8wDQYDVQQHEwZEaWVnZW0xDjAMBgNVBAoT
BUNpc2NvMQwwCgYDVQQDEwNUQUMwggEiMA0GCSqGSIb3DQEBAQUAA4IBDwAwggEK
AoIBAQCzTx4Z2liwzhLXFgIpED+1e2wJ04uAL8ruoclaBvnycQuu4xXRq+RmuGAi
WnY/ylvgntHYdx2lw5MoQvi//KJ87dt6iAwqeF5R1LGembjtohdyNTwk4SzdVJCN
gSfEJvxSiHLvLV/bb5TnCmgS0Wj/u5KNUGnIVD7gihdEWP+74SDj+HP4/Csrg39D
Xiq4GSCiGXHq4ALpr5iA/es2l+YY3yKETGF+I4TE6LBq+PDi/zrLrYn4glCtqSoS
P1qa3lGsmG8AN6/RPqzxxGPvFmJKqPo+pu7X8k11+TadFd8MIXCkTe66IAtMIGUM
mBL02LQXOHjOLwKELcMtPdIuoTdzAgMBAAGjggF0MIIBcDAJBgNVHRMEAjAAMBEG
CWCGSAGG+EIBAQQEAwIGQDAzBglghkgBhvhCAQ0EJhYkT3BlblNTTCBHZW5lcmF0
ZWQgU2VydmVyIENlcnRpZmljYXRlMB0GA1UdDgQWBBQ4VIKCTlfLZDAepCpmLNkW
a7wcgDCBswYDVR0jBIGrMIGogBQzKV6F3L3/r14PuOX9HBOHJ076F6GBi6SBiDCB
hTELMAkGA1UEBhMCQkUxDzANBgNVBAgMBkRpZWdlbTEPMA0GA1UEBwwGRGllZ2Vt
MQ4wDAYDVQQKDAVDaXNjbzEMMAoGA1UECwwDVEFDMRgwFgYDVQQDDA9Sb290Q0Eu
cm9vdC5jb20xHDAaBgkqhkiG9w0BCQEWDXJvb3RAcm9vdC5jb22CAhAAMA4GA1Ud
DwEB/wQEAwIFoDATBgNVHSUEDDAKBggrBgEFBQcDATAhBgNVHREEGjAYghZzbXRw
LXNlcnZlci53bGFhYW4uY29tMA0GCSqGSIb3DQEBDQUAA4ICAQCjkqnMfNVAbc9Y
Muc3YUSHWIXH65MkjgaLPtCqurXx4m7XTgPabPZUbiouPGUUSJl90gGVctndYmJW
8KE4X6GE6xlLcbWAcfMe34anOls7KzRkwojw+2BkgzWy66CcQiEnoUEFgtFmmr4c
+wASIGBflSUgRx3EJR/piKJPV0+hAxUtsFI8Viu25nJnQjWWGBuaCCgZJXZ7OzLC
6uTZyPPn3XY9mJYOcIc/N+llLOzMpA1um+7OhcaYd2fDoyHkW1+pLcTucknOfJfQ
oMwe4Vl+38/93xPexLyrCYXJaDtLuwAAhYk5LIxRYqpQpu4OL6sZk92J8L9MB+1f
JjA9iN9WtKlvJ6lkwY0+CCZ5CDp6bfV9zkIdYNQr7rxWqgqx9/d5tY2XwdAeFzJp
KfWLYpYgLPOlRGyniUUNgJ/ZSCZ/Z074aTFnKeHzv5zyvrXwxEf3hupJTPkoD/IO
lggfHLi6tcPnZSxXSgAqHg1PtlcpEFrY5lHsIdbiW/zYFROQ1JWLybMjkrGOj2Xf
9zP7PTWLwM+Fv9/k8JadGZqSFDt9lVNQfllvsFCfGiLCa3rfrcOr5KHPD6TNlm9f
dEbVZVfbb9Jx1oEn/kyxJq6T1b2PO1OjoAx+1FCuW6dUI4j7vsd9J31zF/i3+Ll2
VUAC0rmukHqGjcjwdwpjlJ+EEY7A5A==
-----END CERTIFICATE-----
Certificate bag
Bag Attributes: <No Attributes>
subject=/C=BE/ST=Diegem/O=Cisco/OU=TAC/CN=intermediate.com/emailAddress=int@int.com
issuer=/C=BE/ST=Diegem/L=Diegem/O=Cisco/OU=TAC/CN=RootCA.root.com/emailAddress=root@root.com
-----BEGIN CERTIFICATE-----
MIIF2DCCA8CgAwIBAgICEAAwDQYJKoZIhvcNAQENBQAwgYUxCzAJBgNVBAYTAkJF
MQ8wDQYDVQQIDAZEaWVnZW0xDzANBgNVBAcMBkRpZWdlbTEOMAwGA1UECgwFQ2lz
Y28xDDAKBgNVBAsMA1RBQzEYMBYGA1UEAwwPUm9vdENBLnJvb3QuY29tMRwwGgYJ
KoZIhvcNAQkBFg1yb290QHJvb3QuY29tMB4XDTIwMDIyNjE1MzgzNloXDTMwMDIy
MzE1MzgzNlowczELMAkGA1UEBhMCQkUxDzANBgNVBAgMBkRpZWdlbTEOMAwGA1UE
CgwFQ2lzY28xDDAKBgNVBAsMA1RBQzEZMBcGA1UEAwwQaW50ZXJtZWRpYXRlLmNv
bTEaMBgGCSqGSIb3DQEJARYLaW50QGludC5jb20wggIiMA0GCSqGSIb3DQEBAQUA
A4ICDwAwggIKAoICAQCvNoKyVd83Dn7hr8xC0VdPOb56/0hRcRUuI7RMnl6YoVuz
C3VqEkEcPM9Xo9wVFAOT7+dkz8Xcn5eUREwg+XkmJG7VmeZDCn5goR/5Y/s8eLKE
HJM0HnwqOTlXTQKCjjSua/ueHNahnWSb4mVGbo97oFP7cge4RYbpvYKPb+97Em0t
fgDETr2e9dAZJsNYM1UtHHilBdL5R00bknOijZX8kt0svtqTw+MPf5l+Pn8Yly6o
/+a3AnxAwv6pJzH0gjf8i9m7lqteuAXKazgIWH3Dta/dyQDq9uza0G14jTg2/+R2
sw/lMqsvUIksbwWv5lL7k2iMDrX1/kCRIytFLXlLb+MbDFKTBaQ5A9dxqCIrAKdz
tCDYbL6cKanoslYKQ9ySAchw/UZgVlDZoFsA8WB32xIReF8Pqdla62onkybQ0k/6
9JbHdwpJv9OWe8Kj5ZBZfDOoVdsqqq78uJZurDGfGS62t3X5mYdYI9vagVLMj5F8
b+zkzqtiQdlArxoK0HHoj+DVeHWz1mb3Fb4C7kCQRzFJsj9Oq96YJBL3C/R8aVLa
NmRsVBbrqnnF0d24uzEczawmm1r8z2sMzGmLkJGIPLZCoCW4FfdttofmDdTQCyoH
WlD+VQKos+obP3+JLAKiXrolXex8H5CjiIYKDmjxAARHpha5u7KZLQIMs0TfdQID
AQABo2MwYTAdBgNVHQ4EFgQUMylehdy9/69eD7jl/RwThydO+hcwHwYDVR0jBBgw
FoAU0Gdsj4Gt9jahw2C9iRKjUv0/tsEwDwYDVR0TAQH/BAUwAwEB/zAOBgNVHQ8B
Af8EBAMCAYYwDQYJKoZIhvcNAQENBQADggIBAJDhqtJT6OBpOiXBEkjdoRj6FCvD
avJ8VtPLtr2y7pNHkua4u6ytzGBqTu9hcqGUQ8nQTxBu8f8D58fnaNxgb/NyOAs8
Fmk4SaMFORZkgMdftPhXtpfxljQWZPd+dy555rCK2EZgOJiwx1S/H58vOx1AXm32
fZD4rPze04gYpQmtA58AzRTWPcbQBHuaCt2E271ofdNeF6M5CcRSnFOMBOBDqmb5
xIxD+uOpvbmiJftuCfdRX4ptIU4u03RlzZkEwT8O0Q6EXEsTkjwfl+6OPfnyTEdC
Dd9KC4PaZC2+RtkOak7x9LRvmSrRLeuw5CmezCh+XDSzE4pX7ArLuNNLCWwC3HbA
L5vRAqZeQ1fJoHqjhB/1vShYkAejorimrKEha9B/M16hJivQQl21ET8E8oa7uKxY
e+795tZV5QoIMMiKZuN17n4Eq08wlOqRnx6rh/vMxXWoauOcQ1mw+++j3KupU8ov
43Y/wQSehiYlQSeIXPzYAtaErL6GSJpge/CM9tWpcSW0HZS7Mm799gt7rBIWSXFD
HREoTxfq2F1uvL4rDIv7iYmR7FAuMebjGrh6ez+0D8gqIKpXaYsaavQTsEM2MSx5
2b20noD2yuNcrcFVorPsPXxb17daltk/Dwn8LkCDEBxhbypUqu0eghK9+mwGrKA4
X6IhGbn17itHcyGE
-----END CERTIFICATE-----
Certificate bag
Bag Attributes: <No Attributes>
subject=/C=BE/ST=Diegem/L=Diegem/O=Cisco/OU=TAC/CN=RootCA.root.com/emailAddress=root@root.com
issuer=/C=BE/ST=Diegem/L=Diegem/O=Cisco/OU=TAC/CN=RootCA.root.com/emailAddress=root@root.com
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----
PKCS7 Data
Shrouded Keybag: pbeWithSHA1And3-KeyTripleDES-CBC, Iteration 2048
Bag Attributes
localKeyID: 1D 36 8F C2 4B 18 0B 0D B2 57 A2 55 18 96 7A 8B 57 F9 CD FD
Key Attributes: <No Attributes>
Enter PEM pass phrase:
Verifying - Enter PEM pass phrase:
-----BEGIN ENCRYPTED PRIVATE KEY-----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-----END ENCRYPTED PRIVATE KEY-----
Troubleshooting
Utilice este comando de resolver problemas.
# debug crypto pki transactions
Decorado: El intentar importar un certificado PKCS12 que está faltando el CA
Si usted está importando un certificado y está consiguiendo el error siguiente que el CA no esté encontrado, puede ser que signifique que su fichero del pfx no contiene el encadenamiento entero apropiado
WLC(config)#crypto pki import pkcs12.pfx pkcs12 bootflash:pks12.pfx password <pwd removed>
% Importing pkcs12...
Source filename [pks12.pfx]?
Reading file from bootflash:pks12.pfx
% Warning: CA cert is not found. The imported certs might not be usable.
Si usted ejecuta el openssl pkcs12 del comando - Info - en el <path al cert> y solamente un certificado con una demostración de la clave privada, significa que el CA falta. En general, este comando debe enumerar idealmente su encadenamiento entero del certificado. No requiere para incluir el top raíz CA si ha sabido por los buscadores del cliente ya.
Una manera de fijar esto es deconstruct el PKCS12 en el PEM y reconstruir el encadenamiento correctamente. En el ejemplo siguiente, teníamos un fichero .pfx que contuvo solamente el certificado del dispositivo (WLC) y su clave. Fue publicado por un CA intermedio (que no estaba presente en el fichero pkcs12) que a su vez fue firmado un bien conocido raíz CA.
Paso 1. Exporte la clave privada hacia fuera
openssl pkcs12 -in <pkcs12 file> -out cert.key -nocerts -nodes
Step2. El certificado como PEM
openssl pkcs12 -in <pkcs12 file> -out certificate.pem -nokeys -clcerts
Step3. Descargue el certificado CA intermedio como PEM.
Para esto una búsqueda en línea simple para el CA (si es pública) debe ser bastante para encontrar una página donde descargarlo como PEM.
En caso de varios niveles de CA intermedio, podemos concatenar todos en un solo fichero PEM que llamaremos CA.pem
Step4. Reconstruya el PKCS 12 de la clave, del CERT del dispositivo y del certificado CA.
openssl pkcs12 -export -out fixedcertchain.pfx -inkey cert.key -in certificate.pem -certfile CA.pem
¡Ahora tenemos “fixedcertchain.pfx” que poder importar feliz al catalizador 9800!
ComentariosContacte a Cisco
- Abrir un caso de soporte
- (Requiere un Cisco Service Contract)