シスコは世界中のユーザにそれぞれの言語でサポート コンテンツを提供するために、機械と人による翻訳を組み合わせて、本ドキュメントを翻訳しています。 ただし、最高度の機械翻訳であっても、専門家による翻訳のような正確性は確保されません。 シスコは、これら翻訳の正確性について法的責任を負いません。原典である英語版(リンクからアクセス可能)もあわせて参照することを推奨します。
このドキュメントでは、サードパーティの証明書を取得するための証明書署名要求(CSR)の生成方法およびワイヤレス LAN(WLAN)コントローラ(WLC)へのチェーン証明書のダウンロード方法を説明します。
この設定に取り組むには、次の事項に関する知識が必要です。
このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づくものです。
本書の情報は、特定のラボ環境にあるデバイスに基づいて作成されたものです。 このドキュメントで使用するすべてのデバイスは、初期(デフォルト)設定の状態から起動しています。 稼働中のネットワークで作業を行う場合、コマンドの影響について十分に理解したうえで作業してください。
証明書チェーンはシーケンスになった証明書です。チェーン内の各証明書は、後続の証明書によって署名されています。 証明書チェーンの目的は、ピア証明書から信頼される CA 証明書までの連鎖された信頼を築くことです。 CA はピア証明書に署名することによって、ピアのアイデンティティを保証します。 この CA が信頼できる CA の 1 つであれば、つまり CA 証明書のコピーがルート証明書ディレクトリにあれば、署名されたピア証明書も信頼できることになります。
クライアントは、既知の CA によって作成された証明書でなければ受け入れないことがあります。 通常、クライアントでは、証明書の妥当性を確認できないと示します。 これは、証明書の署名がクライアントのブラウザに設定されていない 中間 CA による場合です。 その場合は、チェーン SSL 証明書または証明書グループを使用する必要があります。
コントローラはデバイス 証明書が Web 認証のためのチェーン証明書としてダウンロードされることができるように考慮に入れます。
WLC では、サイズが 10KB を超えるチェーン証明書はサポートされません。 ただし、WLC バージョン 7.0.230.0 以降では、この制限が取り除かれています。
注: Web 認証および Web admin に連鎖された証明書がサポートされ、実際に必要となります
注: ワイルドカード 証明書はローカル EAP、管理または webauthentication のためにフルサポートされます
次の任意の Web 認証証明書を使用できます。
注: WLC バージョン 7.6 および それ 以降では、連鎖された証明書だけサポートされ、(従って必要とされて)
マネジメント目的で解放された証明書を生成するために検知 する場合この資料に続き、証明書が CA 認証と結合される部品を無視できます。
このドキュメントでは、チェーン Secure Socket Layer(SSL)証明書を WLC に適切にインストールする方法を説明します。
CSR を生成する 2 つの方法があります。 手動で OpenSSL (pre-8.3 WLC ソフトウェアの可能な限り唯一の方法)または CSR を(8.3.102 の後で利用可能 な)生成するのに WLC 自体を使用することと。
注: Chrome バージョン 58 および それ 以降は単独で証明書の Common Name を信頼しないし、また認証対象代替名をあるように要求します。 以降のセクションはこのブラウザのための新しい要件である OpenSSL CSR に SAN フィールドを追加する方法を説明します。
OpenSSL の CSR を生成するためにこれらのステップを完了して下さい:
注: OpenSSL バージョン 0.9.8 は古い WLC リリースのための推奨されるバージョンです; ただし、バージョン 7.5 現在で、OpenSSL バージョン 1.0 のためのサポートはまた(Cisco バグ ID CSCti65315 を- OpenSSL v1.0 を使用して生成される証明書のための必要性サポート参照して下さい)追加され、使用するべき推奨されるバージョンです。 OpenSSL はまた 1.1 作業テストされ、8.x およびそれ以降 WLC リリースの偉大な人をはたらかせます。
[req] req_extensions = v3_req [ v3_req ] # Extensions to add to a certificate request basicConstraints = CA:FALSE keyUsage = nonRepudiation, digitalSignature, keyEncipherment subjectAltName = @alt_names [alt_names] DNS.1 = server1.example.com DNS.2 = mail.example.com DNS.3 = www.example.com DNS.4 = www.sub.example.com DNS.5 = mx.example.com DNS.6 = support.example.com"DNS.1" から開始するラインは "DNS.2" 等証明書が持っているすべての代替名が含まれているはずです。 それから WLC のために使用する可能性のある URL を書くことができます。 太字の上の行はありませんでしたし、またはラボ openSSL バージョンでコメントされませんでした、オペレーティング システムおよび openssl バージョンによって非常に変わるかもしれません。 この例のための openssl-san.cnf として構成のこの修正バージョンを保存します。
OpenSSL>req -new -newkey rsa:3072 -nodes -keyout mykey.pem -out myreq.pem -config openssl-san.cnf
注: WLCs サポート 8.5 ソフトウェア バージョンの時点で 4096 ビットの最大キーサイズ
注: 正しい Common Name を入力することが重要です。 証明書の作成に使用されるホスト名(共通名)が、WLC 上の仮想インターフェイス IP アドレスのドメイン ネーム システム(DNS)のホスト名エントリに一致すること、そしてその名前が DNS にも存在することを確認します。 また、仮想 IP(VIP)インターフェイスへの変更後には、この変更を反映するためにシステムをリブートする必要があります。
OpenSSL>req -new -newkey rsa:3072 -nodes -keyout mykey.pem -out myreq.pem -config openssl-san.cnf
Loading 'screen' into random state - done
Generating a 1024 bit RSA private key
................................................................++++++
...................................................++++++
writing new private key to 'mykey.pem'
-----
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [AU]:US
State or Province Name (full name) [Some-State]:CA
Locality Name (eg, city) []:San Jose
Organization Name (eg, company) [Internet Widgits Pty Ltd]:ABC
Organizational Unit Name (eg, section) []:CDE
Common Name (eg, YOUR name) []:XYZ.ABC
Email Address []:Test@abc.com
Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:Test123
An optional company name []:OpenSSL>
WLC がソフトウェア バージョン 8.3.102 またはそれ以降を実行する場合、より多くのセキュアなオプション(および最も容易の余りに) CSR を生成するには WLC を使用することです。 長所はキーが WLC で生成されなく、決して WLC を去らないことです; 従って決して外界で露出されません。
現在、この方式はある特定のブラウザにおいての問題の原因となるかもしれない CSR の SAN を設定することを割り当てません SAN アトリビュートの存在を必要とする。 署名時に SAN フィールドを挿入する CA 割り当て従ってそれは CA とチェックするよい概念です。
WLC による CSR 自体を生成することは 2048 ビット キーサイズを使用し、ecdsa キーサイズは 256 ビットです。
注: CSR 世代別コマンドを実行し、生じる証明書をまだインストールしない場合、WLC は再度ブートするにそれと合っている証明書がなかったが、後 WLC が最近生成された CSR キーを使用するので、次の再度ブートするで HTTPS で全く届かないです。
Web 認証のための CSR を生成するために、このコマンドを入力して下さい:
(WLC) >config certificate generate CSRwebauth は BR ブリュッセル Cisco TAC mywebauthportal.wireless.com tac@cisco.com です
-----BEGIN CERTIFICATE REQUEST-----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-----END CERTIFICATE REQUEST-----
webadmin のための CSR を生成するために、コマンドはやっと変更します:
(WLC) >config certificate generate CSRwebadmin は BR ブリュッセル Cisco TAC mywebauthportal.wireless.com tac@cisco.com です
注: CSR はターミナルでコマンドを入力した後印刷されます。 それを取得する他の方法がありません; WLC からそれをアップロードすることはできませんそれを保存するそれは可能な限りあります。 コマンドを入力した後/貼り付けそれコンピュータのファイルへコピーするためになります。 生成されたキーは WLC に次の CSR が生成されるまでとどまります(キーはこうして上書きされます)。 (RMA) WLC ハードウェアを後の方で変更しなければならなければ、New 鍵および CSR が新しい WLC で生成されなければならないのと同じ証明書を再インストールできません。
サード パーティ 署名 権限かエンタープライズ Public Key Infrastructure(PKI)にそれからこの CSR を引き渡さなければなりません。
この例は既存のエンタープライズ CA だけ(この例の Windows サーバ 2012)を展示し、Windows サーバ CA を全く最初から設定するためにステップをカバーしないものです。
openssl pkcs7 - print_certs -全certs.pem All-certs.p7b の… -
6. CSR (オプション A (すなわち、CSR を生成するのに OpenSSL を使用しました)と行った生成し、と共に final.pem としてファイルを保存します場合この例の mykey.pem であるデバイス 証明書のプライベートキー、)プライベートキーと証明書 チェーン(この例で、「全certs.pem」指名されます)証明書を結合して下さい。 WLC (B)オプションからの CSR を直接生成したらこのステップをスキップできます。
All-certs.pem ファイルおよび final.pem ファイルを作成するには、OpenSSL アプリケーションで以下のコマンドを発行します。
openssl>pkcs12 -export -in All-certs.pem -inkey mykey.pem
-out All-certs.p12 -clcerts -passin pass:check123
-passout pass:check123
openssl>pkcs12 -in All-certs.p12 -out final.pem
-passin pass:check123 -passout pass:check123
注: このコマンドでは、パラメータ -passin および -passout に対してパスワードを入力する必要があります。 -passout パラメータに設定するパスワードは、WLC 上で設定する certpassword パラメータと一致している必要があります。 この例では、-passin と -passout の両方のパラメータに対してパスワード check123 を設定しています。
Final.pem は「OpenSSL をオプション A. CSR」の後に記入した場合 WLC にダウンロードする必要があるファイルです。 「WLC 自体によって」に生成されたオプション B. CSR 続いた場合全certs.pem WLC にダウンロードする必要があるファイルはです。 次の手順では、このファイルを WLC にダウンロードします。
注: WLC への証明書のアップ ロードが失敗した場合、pem ファイルの全体チェーンがなかったらことであるかもしれません。 オプション B のステップどのようにのように見える必要があるか見る 2 を(サード パーティ CA からの final.pem を得て下さい)下記に参照して下さい。 ファイルの 1 つの証明書だけを見る場合、手動ですべての中間物およびルートCA認証ファイルをダウンロードし、チェーンを作成するためにファイルに(単なるコピー ペーストによって)追加 する必要性。
注: 証明書がセキュア ハッシュ アルゴリズム 1(SHA1)で暗号化された Apache 対応の証明書であることを確認します。
------BEGIN CERTIFICATE------
*Device cert*
------END CERTIFICATE------
------BEGIN CERTIFICATE------
*Intermediate CA cert *
------END CERTIFICATE--------
------BEGIN CERTIFICATE------
*Root CA cert *
------END CERTIFICATE------
openssl>pkcs12 -export -in All-certs.pem -inkey mykey.pem
-out All-certs.p12 -clcerts -passin pass:check123
-passout pass:check123
openssl>pkcs12 -in All-certs.p12 -out final.pem
-passin pass:check123 -passout pass:check123
注: このコマンドでは、パラメータ -passin および -passout に対してパスワードを入力する必要があります。 -passout パラメータに設定するパスワードは、WLC 上で設定する certpassword パラメータと一致している必要があります。 この例では、-passin と -passout の両方のパラメータに対してパスワード check123 を設定しています。
Final.pem は「OpenSSL をオプション A. CSR」の後に記入した場合 WLC にダウンロードする必要があるファイルです。 「WLC 自体によって」に生成されたオプション B. CSR 続いた場合全certs.pem WLC にダウンロードする必要があるファイルはです。 次の手順では、このファイルを WLC にダウンロードします。
注: SHA2 はまたサポートされます。 Cisco バグ ID CSCuf20725 は SHA512 サポートのための要求です。
CLI を使用してチェーン証明書を WLC にダウンロードするには、次の手順に従います。
>transfer download mode tftp
>transfer download datatype webauthcert
>transfer download serverip <TFTP server IP address>
>transfer download path <absolute TFTP server path to the update file>
>transfer download filename final.pem
>transfer download certpassword password
注: certpassword の値がと同じであること生成するのステップ 4 で設定 された確実な- passout パラメータ パスワードでであって下さい(または 5) CSR セクション。 この例では、certpassword は check123 である必要があります。 B を『Option』 を選択 したら WLC 自体を使用しなさい(すなわち、CSR を生成すればのに) certpassword フィールドは空白を残すことができる。
(Cisco Controller) >transfer download start
Mode............................................. TFTP
Data Type........................................ Site Cert
TFTP Server IP................................... 10.77.244.196
TFTP Packet Timeout.............................. 6
TFTP Max Retries................................. 10
TFTP Path........................................./
TFTP Filename.................................... final.pem
This might take some time.
Are you sure you want to start? (y/N) y
TFTP EAP Dev cert transfer starting.
Certificate installed.
Reboot the switch to use new certificate.
GUI を使用してチェーン証明書を WLC にダウンロードするには、次の手順に従います。
多分提起する何が問題は WLC の証明書のインストールです。 解決するために、WLC のコマンド・ラインを開き、デバッグ転送をすべて入力するために pm PKI イネーブルをそれから完了しますダウンロード証明書 プロシージャを有効に し、デバッグして下さい。
In some cases, the logs will only say that the certificate installation failed:
*TransferTask: Sep 09 08:37:17.415: RESULT_STRING: TFTP receive complete... Installing
Certificate.
*TransferTask: Sep 09 08:37:17.415: RESULT_CODE:13
TFTP receive complete... Installing Certificate.
*TransferTask: Sep 09 08:37:21.418: Adding cert (1935 bytes) with certificate key password.
*TransferTask: Sep 09 08:37:21.421: RESULT_STRING: Error installing certificate.
証明書フォーマットおよびそして連鎖を確認する必要があります。 バージョン 7.6 より WLCs 以降は全体チェーンがあるように要求する従って単独で WLC 証明書しかアップ ロードなできますことを覚えていて下さい。 ルートCA までのチェーンはファイルにある必要があります。
中間 CA が不正確なときデバッグの例はここにあります:
*TransferTask: Jan 04 19:08:13.338: Add WebAuth Cert: Adding certificate & private key using password check123 *TransferTask: Jan 04 19:08:13.338: Add ID Cert: Adding certificate & private key using password check123 *TransferTask: Jan 04 19:08:13.338: Add Cert to ID Table: Adding certificate (name: bsnSslWebauthCert) to ID table using password check123 *TransferTask: Jan 04 19:08:13.338: Add Cert to ID Table: Decoding PEM-encoded Certificate (verify: YES) *TransferTask: Jan 04 19:08:13.338: Decode & Verify PEM Cert: Cert/Key Length was 0, so taking string length instead *TransferTask: Jan 04 19:08:13.338: Decode & Verify PEM Cert: Cert/Key Length 7148 & VERIFY *TransferTask: Jan 04 19:08:13.342: Decode & Verify PEM Cert: X509 Cert Verification return code: 0 *TransferTask: Jan 04 19:08:13.342: Decode & Verify PEM Cert: X509 Cert Verification result text: unable to get local issuer certificate *TransferTask: Jan 04 19:08:13.342: Decode & Verify PEM Cert: Error in X509 Cert Verification at 0 depth: unable to get local issuer certificate *TransferTask: Jan 04 19:08:13.343: Add Cert to ID Table: Error decoding (verify: YES) PEM certificate *TransferTask: Jan 04 19:08:13.343: Add ID Cert: Error decoding / adding cert to ID cert table (verifyChain: TRUE) *TransferTask: Jan 04 19:08:13.343: Add WebAuth Cert: Error adding ID cert
WLC HA SSO 配置ガイドで説明されているように、証明書はプライマリから HA SSO シナリオのセカンダリ コントローラへの複製されません。 これはセカンダリに HA ペアをことを形成する前に import all 証明書なることを意味します。 もう一つの警告はそのキーがエクスポートすることができないようにプライマリ WLC で CSR を(従ってキーをローカルで作成しました)生成した場合これがはたらかないことであり。 唯一の方法は WLCs OpenSSL のプライマリ WLC のための CSR を(従って、証明書に接続するキーを持つため)生成し、両方でその証明書/キーコンビネーションをインポートすることです。