Génération d'une demande CSR pour des certificats tiers et téléchargement des certificats chaînés sur le contrôleur de réseau local sans fil

Introduction

Ce document décrit comment générer et importer des certificats sur les WLC AireOS.

Conditions préalables

Conditions requises

Avant de tenter cette configuration, vous devez connaître les rubriques suivantes :

• Comment configurer le contrôleur WLC, le point d’accès allégé (LAP) et la carte client sans fil pour le fonctionnement de base
• Comment utiliser l’application OpenSSL
• Infrastructures à clé publique et certificats numériques

Components Used

Les informations contenues dans ce document sont basées sur les versions de matériel et de logiciel suivantes :

• Cisco 5508 WLC exécutant la version du micrologiciel 8.3.102
• Application OpenSSL pour Microsoft Windows
• Outil d’inscription propre à l’autorité de certification tierce

The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. Si votre réseau est en ligne, assurez-vous de bien comprendre l’incidence possible des commandes.

Certificats en chaîne

Une chaîne de certificats est une séquence de certificats où chaque certificat de la chaîne est signé par le certificat suivant.

L’objectif d’une chaîne de certificats est d’établir une chaîne de confiance entre un certificat homologue et un certificat d’autorité de certification de confiance. L'autorité de certification se porte garante de l'identité dans le certificat homologue lorsqu'elle est signée.

Si l'autorité de certification est celle en laquelle vous faites confiance (indiquée par la présence d'une copie du certificat de l'autorité de certification dans votre répertoire de certificats racine), cela signifie que vous pouvez également faire confiance au certificat homologue signé.

Souvent, les clients n’acceptent pas les certificats, car ces derniers n’ont pas été créés par une autorité de certification connue. Le client indique généralement que la validité du certificat ne peut pas être vérifiée.

C’est le cas lorsque le certificat est signé par une autorité de certification intermédiaire, qui n’est pas connue du navigateur client. Dans ce cas, vous devez utiliser un certificat SSL ou un groupe de certificats en chaîne.

Prise en charge des certificats en chaîne

Le contrôleur permet de télécharger le certificat d’appareil en tant que certificat en chaîne pour l’authentification Web.

Niveaux de certificat

• Niveau 0 - Utilisation d’un seul certificat de serveur sur le contrôleur WLC
• Niveau 1 - Utilisation d’un certificat de serveur sur le contrôleur WLC et d’un certificat racine de l’autorité de certification
• Niveau 2 - Utilisation d’un certificat de serveur sur le contrôleur WLC, d’un seul certificat intermédiaire de l’autorité de certification et d’un certificat racine de l’autorité de certification
• Niveau 3 - Utilisation d’un certificat de serveur sur le contrôleur WLC, de deux certificats intermédiaires de l’autorité de certification et d’un certificat racine de l’autorité de certification

Le contrôleur WLC ne prend pas en charge les certificats en chaîne de plus de 10 Ko sur le contrôleur WLC. Toutefois, cette restriction a été supprimée dans la version 7.0.230.0 et les versions ultérieures du contrôleur WLC.

Note: Les certificats en chaîne sont pris en charge et réellement requis pour l’authentification Web et l’administration Web

Note: Les certificats génériques sont entièrement pris en charge pour l'authentification EAP, la gestion ou Web locale

Les certificats d’authentification Web peuvent être soit :

• En chaîne
• Non en chaîne
• Générés automatiquement

Note: Dans la version 7.6 et les versions ultérieures du contrôleur WLC, seuls les certificats en chaîne sont pris en charge (et donc requis)

Pour générer un certificat non chaîné à des fins de gestion, ce document ne tient pas compte des parties dans lesquelles le certificat est combiné au certificat CA.

Ce document explique comment installer correctement un certificat SSL en chaîne sur un contrôleur WLC.

Étape 1. Générer une requête de signature de certificat (CSR)

Il existe deux façons de générer une requête de signature de certificat (CSR). Soit manuellement avec OpenSSL (la seule façon possible dans le logiciel WLC pré-8.3), soit aller sur le WLC lui-même pour générer le CSR (Disponible après 8.3.102).

Option A. Requête de signature de certificat (CSR) avec OpenSSL

Note: Chrome, version 58 ou ultérieure, ne fait pas confiance au nom commun du certificat, et exige que l’autre nom du sujet soit également présent. La section suivante explique comment ajouter des champs SAN au CSR OpenSSL, une nouvelle condition requise pour ce navigateur.

Terminez ces étapes afin de générer une requête de signature de certificat (CSR) avec OpenSSL :

1. Installez et ouvrez OpenSSL.
   
   Dans Microsoft Windows, openssl.exe se trouve par défaut à l'adresse C:\ > openssl > bin.
   
   

   Note: OpenSSL version 0.9.8 est la version recommandée pour les anciennes versions du contrôleur WLC; cependant, depuis la version 7.5, la prise en charge d'OpenSSL version 1.0 a également été ajoutée (reportez-vous à l'ID de bogue Cisco CSCti65315 - Besoin de support pour les certificats générés avec OpenSSL v1.0) et est la version recommandée à utiliser. OpenSSL 1.1 fonctionne également et fonctionne sur les versions 8.x et ultérieures du WLC.

2. Localisez votre fichier de configuration OpenSSL et faites-en une copie afin de le modifier pour cette requête de signature de certificat (CSR). Modifiez la copie pour ajouter les sections suivantes :

3. [req]
   req_extensions = v3_req
   
   [ v3_req ]
   
   # Extensions to add to a certificate request
   
   basicConstraints = CA:FALSE
   keyUsage = nonRepudiation, digitalSignature, keyEncipherment
   subjectAltName = @alt_names
   
   [alt_names]
   DNS.1 = server1.example.com
   DNS.2 = mail.example.com
   DNS.3 = www.example.com
   DNS.4 = www.sub.example.com
   DNS.5 = mx.example.com
   DNS.6 = support.example.com

   Les lignes qui commencent par « DNS.1 », « DNS.2 » (et ainsi de suite) doivent contenir tous les noms alternatifs de vos certificats. Écrivez ensuite toute URL possible utilisée pour le WLC. Les lignes en gras dans l'exemple précédent n'étaient pas présentes ou ont été commentées dans notre version de lab openSSL. Il peut varier considérablement selon le système d'exploitation et la version openssl. Nous enregistrons cette version modifiée de la configuration sous le nom openssl-san.cnf pour cet exemple.
4. Entrez cette commande afin de générer un nouveau CSR :
   
   

   OpenSSL>req -new -newkey rsa:3072 -nodes -keyout mykey.pem -out myreq.pem -config openssl-san.cnf

   
   

   Note: Les contrôleurs WLC prennent en charge une taille de clé maximale de 4096 bits à partir de la version de logiciel 8.5

5. Une invite vous demande quelques informations : nom du pays, de l’État, de la ville, etc. Fournissez les renseignements requis.
   
   

   Note: Il est important de fournir le nom commun correct. Assurez-vous que le nom d’hôte utilisé pour créer le certificat (nom commun) correspond à l’entrée de nom d’hôte du système de noms de domaine (DNS) pour l’adresse IP de l’interface virtuelle sur le contrôleur WLC et que le nom existe également dans le DNS. En outre, après avoir apporté les modifications à l’interface IP virtuelle (VIP), vous devez redémarrer le système pour que ces modifications prennent effet.

   
   Voici un exemple :
   
   

   OpenSSL>req -new -newkey rsa:3072 -nodes -keyout mykey.pem -out myreq.pem -config openssl-san.cnf
   Loading 'screen' into random state - done
   Generate a 1024 bit RSA private key
   ................................................................++++++
   ...................................................++++++
   writing new private key to 'mykey.pem'
   -----
   You are about to be asked to enter information that is incorporated
   into your certificate request.
   What you are about to enter is what is called a Distinguished Name or a DN.
   There are quite a few fields but you can leave some blank
   For some fields there is a default value,
   If you enter '.', the field is left blank.
   -----
   Country Name (2 letter code) [AU]:US
   State or Province Name (full name) [Some-State]:CA
   Locality Name (eg, city) []:San Jose
   Organization Name (eg, company) [Internet Widgits Pty Ltd]:ABC
   Organizational Unit Name (eg, section) []:CDE
   Common Name (eg, YOUR name) []:XYZ.ABC
   Email Address []:(email address)
   
   Please enter the following 'extra' attributes
   to be sent with your certificate request
   A challenge password []:Test123
   An optional company name []:OpenSSL> 

6. Vous pouvez vérifier la requête de signature de certificat (CSR) (surtout pour les attributs SAN présents) avec la commande openssl req -text -noout -in csrfilename
7. Une fois que vous avez fourni tous les détails requis, deux fichiers sont générés :
   
   
   • une nouvelle clé privée qui comprend le nom mykey.pem
   • une requête de signature de certificat (CSR) qui comprend le nom myreq.pem

Option B. Requête de signature de certificat (CSR) générée par le contrôleur WLC

Si votre WLC exécute Software Version 8.3.102 ou ultérieure, l'option la plus sécurisée est d'utiliser le WLC pour générer le CSR. L’avantage est que la clé est générée sur le contrôleur WLC et ne le quitte jamais; elle n’est ainsi jamais exposée dans le monde extérieur.

À ce jour, cette méthode ne permet pas de configurer le SAN dans le CSR, ce qui a conduit à des problèmes avec certains navigateurs qui nécessitent la présence d'un attribut SAN. Certaines autorités de certification permettent d'insérer des champs SAN au moment de la signature. Il est donc recommandé de vérifier auprès de votre autorité de certification.

La génération CSR par le WLC lui-même utilise une taille de clé de 2048 bits et ecdsa taille de clé est de 256 bits.

Note: Si vous exécutez la commande csr generation et que vous n'installez pas encore le certificat suivant, votre WLC est rendu complètement inaccessible sur HTTPS au prochain redémarrage, car le WLC utilise la clé CSR nouvellement générée après le redémarrage, mais n'a pas le certificat qui va avec.

Afin de générer une requête de signature de certificat (CSR) pour l’authentification Web, saisissez cette commande :

(WLC)> config certificate generate csr-webauth BE BR Brussels Cisco TAC mywebauthportal.wireless.com tac@cisco.com
-----BEGIN CERTIFICATE REQUEST-----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-----END CERTIFICATE REQUEST-----

Afin de générer un CSR pour webadmin, la commande passe à :

 (WLC)> config certificate generate csr-webadmin BE BR Brussels Cisco TAC mywebauthportal.wireless.com tac@cisco.com

Note: La requête de signature de certificat (CSR) est imprimée sur le terminal après la saisie de la commande. Il n’y a aucun autre moyen de la récupérer; il n’est pas possible de la télécharger à partir du contrôleur WLC, ni de l’enregistrer. Vous devez la copier/coller dans un fichier sur votre ordinateur après avoir saisi la commande. La clé générée reste sur le contrôleur WLC jusqu’à ce que la prochaine requête de signature de certificat (CSR) soit générée (la clé est donc remplacée). Si vous devez changer le matériel du WLC ultérieurement (RMA), vous ne pouvez pas réinstaller le même certificat qu'une nouvelle clé et CSR est généré sur le nouveau WLC.

 par 

Vous devez ensuite remettre cette requête de signature de certificat (CSR) à votre autorité de signature tierce ou à votre infrastructure à clé publique (PKI).

Étape 2. Obtenir la signature du certificat

Option A : Se procurer le fichier Final.pem auprès de l’autorité de certification d’entreprise

Cet exemple montre uniquement une autorité de certification d'entreprise actuelle (Windows Server 2012 dans cet exemple) et ne couvre pas les étapes de configuration d'une autorité de certification Windows Server à partir de zéro.

1. Accédez à la page de l'autorité de certification de votre entreprise dans le navigateur (généralement https://<CA-ip>/certsrv) et cliquez sur Request a certificate.

   

2. Cliquez sur advanced certificate request.

   

3. Entrez la requête de signature de certificat (CSR) que vous avez obtenu du contrôleur WLC ou d’OpenSSL. Dans la liste déroulante Modèle de certificat, sélectionnez Web Server.

   

4. Cliquez sur le bouton Base 64 encodedbouton radio.
   

   

5. Si le certificat téléchargé est de type PKCS7 (.p7b), convertissez-le en PEM (dans l'exemple suivant, la chaîne de certificats a été téléchargée sous le nom de fichier « All-certs.p7b ») :

openssl pkcs7 -print_certs -in All-certs.p7b -out All-certs.pem

  6. Combinez les certificats de la chaîne de certificats (dans cet exemple, il est nommé « All-certs.pem ») avec la clé privée générée avec le CSR (la clé privée du certificat de périphérique, qui est mykey.pem dans cet exemple) si vous avez utilisé l'option A (OpenSSL pour générer le CSR) et enregistrez le fichier en tant que final.pem. Si vous avez généré le CSR directement à partir du WLC (option B), ignorez cette étape.

Entrez ces commandes dans l'application OpenSSL afin de créer les fichiers All-certs.pem et final.pem :

openssl>pkcs12 -export -in All-certs.pem -inkey mykey.pem 
       -out All-certs.p12 -clcerts -passin pass:check123 
       -passout pass:check123

openssl>pkcs12 -in All-certs.p12 -out final.pem 
       -passin pass:check123 -passout pass:check123

Note: Dans cette commande, vous devez saisir un mot de passe pour les paramètres -passin et -passout. Le mot de passe configuré pour le paramètre -passout doit correspondre au paramètre certpassword configuré sur le contrôleur WLC. Dans cet exemple, le mot de passe configuré pour les paramètres -passin et -passout est check123.

Final.pem est le fichier à télécharger sur le WLC si vous avez suivi “ Option A. requête de signature de certificat (CSR) avec OpenSSL. 

 Si vous avez suivi l’option B. CSR généré par le WLC lui-même ”, alors All-certs.pem est le fichier à télécharger sur le WLC. L’étape suivante consiste à télécharger ce fichier sur le contrôleur WLC.

Note: Si le téléchargement du certificat vers le WLC échoue, vérifiez qu'il y a toute la chaîne dans le fichier pem. Reportez-vous à l'étape 2 de l'option B (obtenir le fichier final.pem auprès d'une autorité de certification tierce) pour voir à quoi il doit ressembler. Si vous ne voyez qu’un seul certificat dans le fichier, vous devez télécharger manuellement tous les fichiers de certificat d’autorité de certification intermédiaire et racine, et les ajouter (par simple copier-coller) au fichier pour créer la chaîne.

Option B : Obtenir le fichier Final.pem auprès d’une autorité de certification tierce

1. Copiez et collez les informations de la requête de signature de certificat (CSR) dans n’importe quel outil d’inscription d’une autorité de certification.
   
   Après votre soumission de la requête de signature de certificat (CSR) à l’autorité de certification tierce, cette dernière signe numériquement le certificat et renvoie la chaîne de certificats signée par courriel. Dans le cas de certificats en chaîne, vous recevez toute la chaîne de certificats de l’autorité de certification. Si vous n’avez qu’un seul certificat intermédiaire, comme dans cet exemple, vous recevez ces trois certificats de l’autorité de certification :
   
   
   • Root certificate.pem
   • Intermediate certificate.pem
   • Device certificate.pem

   Note: Assurez-vous que le certificat est compatible avec Apache et le chiffrement SHA1 (Secure Hash Algorithm 1).

2. Une fois que vous avez les trois certificats, copiez et collez le contenu de chaque fichier .pem dans un autre fichier dans cet ordre :
   
   

   ------BEGIN CERTIFICATE------
   *Device cert*
   ------END CERTIFICATE------
   ------BEGIN CERTIFICATE------
   *Intermediate CA cert *
   ------END CERTIFICATE--------
   ------BEGIN CERTIFICATE------
   *Root CA cert *
   ------END CERTIFICATE------

3. Enregistrez le fichier sous All-certs.pem.
   
   
4. Combinez le certificat All-certs.pem avec la clé privée générée avec le CSR (la clé privée du certificat de périphérique, qui est mykey.pem dans cet exemple) si vous avez utilisé l'option A (OpenSSL pour générer le CSR), et enregistrez le fichier en tant que final.pem. Si vous avez généré le CSR directement à partir du WLC (option B), ignorez cette étape.
   
   Entrez ces commandes dans l'application OpenSSL afin de créer les fichiers All-certs.pem et final.pem :
   
   

   openssl>pkcs12 -export -in All-certs.pem -inkey mykey.pem 
          -out All-certs.p12 -clcerts -passin pass:check123 
          -passout pass:check123
   
   openssl>pkcs12 -in All-certs.p12 -out final.pem 
          -passin pass:check123 -passout pass:check123

   
   

   Note: Dans cette commande, vous devez saisir un mot de passe pour les paramètres -passin et -passout. Le mot de passe configuré pour le paramètre -passout doit correspondre au paramètre certpassword configuré sur le contrôleur WLC. Dans cet exemple, le mot de passe configuré pour les paramètres -passin et -passout est check123.

   Final.pem est le fichier à télécharger sur le WLC si vous avez suivi “ Option A. requête de signature de certificat (CSR) avec OpenSSL.  Si vous avez suivi l’option B. requête de signature de certificat (CSR) générée par le contrôleur WLC lui-même, alors All-certs.pem est le fichier que vous devez télécharger sur le contrôleur WLC. L’étape suivante consiste à télécharger ce fichier sur le contrôleur WLC.

Note: SHA2 est également pris en charge. L’ID de bogue Cisco CSCuf20725 est une demande de prise en charge de SHA512.

Étape 3 Interface de commande en ligne (CLI). Télécharger le certificat tiers sur le contrôleur WLC avec l’interface de commande en ligne (CLI)

Effectuez ces étapes pour télécharger le certificat chaîné sur le WLC avec l'interface de ligne de commande :

1. Déplacez le fichier final.pem vers le répertoire par défaut sur votre serveur TFTP.
   
   
2. Dans l'interface de ligne de commande, entrez ces commandes afin de modifier les paramètres de téléchargement :
   
   

       >transfer download mode tftp
       >transfer download datatype webauthcert
       >transfer download serverip 
          
          
       >transfer download path 
          
          
       >transfer download filename final.pem

3. Saisissez le mot de passe pour le fichier .pem afin que le système d’exploitation puisse décrypter la clé et le certificat SSL.
   
   

   >transfer download certpassword password
   

   
   

   Note: Assurez-vous que la valeur de certpassword est identique au mot de passe du paramètre -passout qui a été défini à l’étape 4 (ou 5) de la section Générer une requête de signature de certificat (CSR). Dans cet exemple, le mot de passe de certification doit être check123. Si vous avez choisi l'option B (c'est-à-dire, utilisez le WLC lui-même pour générer le CSR), laissez le champ certpassword vide.

4. Entrez la commande transfer download start afin d'afficher les paramètres mis à jour. Ensuite, entrez y lorsque vous serez invité à le faire afin de confirmer les paramètres de téléchargement actuels et de commencer le téléchargement du certificat et de la clé. Voici un exemple :
   
   

   (Cisco Controller) >transfer download start
   
   Mode............................................. TFTP
   Data Type........................................ Site Cert
   TFTP Server IP................................... 10.77.244.196
   TFTP Packet Timeout.............................. 6
   TFTP Max Retries................................. 10
   TFTP Path........................................./
   TFTP Filename.................................... final.pem
   
   This might take some time.
   Are you sure you want to start? (y/N) y
   
   TFTP EAP Dev cert transfer start.
   
   Certificate installed.
                           Reboot the switch to use new certificate.

5. Redémarrez le contrôleur WLC pour que les modifications prennent effet.

Étape 3 Interface graphique utilisateur (GUI). Télécharger le certificat tiers sur le contrôleur WLC avec l’interface graphique utilisateur (GUI)

Effectuez ces étapes pour télécharger le certificat chaîné sur le WLC avec l'interface graphique utilisateur :

1. Copiez le certificat de périphérique final.pem dans le répertoire par défaut de votre serveur TFTP.
   
   
2. Choisir Security > Web Auth > Cert afin d'ouvrir la page Web Authentication Certificate.
   
   
3. Vérifiez la Download SSL Certificateafin d'afficher les paramètres Download SSL Certificate From TFTP Server.
   
   
4. Dans le champ IP Adress (adresse IP), saisissez l’adresse IP du serveur TFTP.
   
   

   

   
   
   
5. Dans le champ File Path (chemin d’accès au fichier), saisissez le chemin d’accès au répertoire du certificat.
   
   
6. Dans le champ File Name (nom de fichier), saisissez le nom du certificat.
   
   
7. Dans le champ Certificate Password (mot de passe du certificat), saisissez le mot de passe utilisé pour protéger le certificat.
   
   
8. Cliquez sur Apply.
   
   
9. Une fois le téléchargement terminé, sélectionnez Commands > Reboot > Reboot.
   
   
10. Si vous y êtes invité, cliquez sur Save and Reboot.
    
    
11. Cliquez sur OK pour confirmer votre décision de redémarrer le contrôleur.
    
    

Dépannage

Afin de dépanner l'installation du certificat sur le WLC, ouvrez une ligne de commande sur le WLC et entrez debug transfer all enable and debug pm pki enable puis terminez la procédure de téléchargement du certificat.

In some cases, the logs only say that the certificate installation failed:

*TransferTask: Sep 09 08:37:17.415: RESULT_STRING: TFTP receive complete... Installing
 Certificate.

*TransferTask: Sep 09 08:37:17.415: RESULT_CODE:13


TFTP receive complete... Installing Certificate.

*TransferTask: Sep 09 08:37:21.418: Adding cert (1935 bytes) with certificate key password.

*TransferTask: Sep 09 08:37:21.421: RESULT_STRING: Error installing certificate.

Vérifiez le format et la chaîne du certificat. N'oubliez pas que les WLC ultérieurs à la version 7.6 nécessitent la présence de toute la chaîne, de sorte que vous ne pouvez pas télécharger votre certificat WLC seul. La chaîne jusqu’à l’autorité de certification racine doit être présente dans le fichier.

Voici un exemple de débogage lorsque l’autorité de certification intermédiaire est inexacte :

*TransferTask: Jan 04 19:08:13.338: Add WebAuth Cert: Adding certificate & private key using password check123
*TransferTask: Jan 04 19:08:13.338: Add ID Cert: Adding certificate & private key using password check123
*TransferTask: Jan 04 19:08:13.338: Add Cert to ID Table: Adding certificate (name: bsnSslWebauthCert) to ID table using password check123
*TransferTask: Jan 04 19:08:13.338: Add Cert to ID Table: Decoding PEM-encoded Certificate (verify: YES)
*TransferTask: Jan 04 19:08:13.338: Decode & Verify PEM Cert: Cert/Key Length was 0, so taking string length instead
*TransferTask: Jan 04 19:08:13.338: Decode & Verify PEM Cert: Cert/Key Length 7148 & VERIFY
*TransferTask: Jan 04 19:08:13.342: Decode & Verify PEM Cert: X509 Cert Verification return code: 0
*TransferTask: Jan 04 19:08:13.342: Decode & Verify PEM Cert: X509 Cert Verification result text: unable to get local issuer certificate
*TransferTask: Jan 04 19:08:13.342: Decode & Verify PEM Cert: Error in X509 Cert Verification at 0 depth: unable to get local issuer certificate
*TransferTask: Jan 04 19:08:13.343: Add Cert to ID Table: Error decoding (verify: YES) PEM certificate
*TransferTask: Jan 04 19:08:13.343: Add ID Cert: Error decoding / adding cert to ID cert table (verifyChain: TRUE)
*TransferTask: Jan 04 19:08:13.343: Add WebAuth Cert: Error adding ID cert

Considérations relatives à la haute disponibilité (haute disponibilité SSO)

Comme expliqué dans le guide de déploiement de la haute disponibilité SSO du contrôleur WLC, les certificats ne sont pas répliqués du contrôleur principal au contrôleur secondaire dans un scénario de haute disponibilité SSO.

Cela signifie que vous devez importer tous les certificats dans le secondaire avant de former la paire HA.

Une autre mise en garde est que cela ne fonctionne pas si vous avez généré la CSR (et par conséquent créé la clé localement) sur le WLC principal, car cette clé ne peut pas être exportée.

La seule manière est de générer la requête de signature de certificat CSR pour le contrôleur WLC primaire avec OpenSSL (et donc avoir la clé attachée au certificat) et d’importer cette combinaison certificat/clé sur les deux contrôleurs WLC.

Informations connexes

• Générer une demande CSR pour des certificats tiers et télécharger des certificats déchaînés sur le contrôleur de réseau local sans fil (WLC)
• Générer une requête de signature de certificat (CSR) pour un certificat de tiers sur un système Wireless Control System (WCS)
• Exemple de configuration d'une demande de signature de certificat (CSR) pour un contrôleur de réseau local sans fil (WCS) sur un serveur Linux
• Support et documentation techniques - Cisco Systems
• Guide de haute disponibilité SSO du contrôleur WLC