サードパーティ証明書用 CSR の生成とチェーン証明書の WLC へのダウンロード

概要

このドキュメントでは、サードパーティの証明書を取得するための証明書署名要求（CSR）の生成方法およびワイヤレス LAN（WLAN）コントローラ（WLC）へのチェーン証明書のダウンロード方法を説明します。

前提条件

要件

この設定に取り組むには、次の事項に関する知識が必要です。

• 基本動作用に WLC、Lightweight アクセス ポイント（LAP）、およびワイヤレス クライアント カードを設定する方法
• OpenSSL アプリケーションを使用する方法
• 公開キー インフラストラクチャとデジタル証明書

使用するコンポーネント

このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づくものです。

• Cisco 5508 WLC ファームウェアのバージョン 8.3.102 を実行する
• Microsoft Windows 用の OpenSSL アプリケーション
• サードパーティの認証局（CA）固有の登録ツール

本書の情報は、特定のラボ環境にあるデバイスに基づいて作成されたものです。 このドキュメントで使用するすべてのデバイスは、初期（デフォルト）設定の状態から起動しています。 稼働中のネットワークで作業を行う場合、コマンドの影響について十分に理解したうえで作業してください。

チェーン証明書

証明書チェーンはシーケンスになった証明書です。チェーン内の各証明書は、後続の証明書によって署名されています。 証明書チェーンの目的は、ピア証明書から信頼される CA 証明書までの連鎖された信頼を築くことです。 CA はピア証明書に署名することによって、ピアのアイデンティティを保証します。 この CA が信頼できる CA の 1 つであれば、つまり CA 証明書のコピーがルート証明書ディレクトリにあれば、署名されたピア証明書も信頼できることになります。

クライアントは、既知の CA によって作成された証明書でなければ受け入れないことがあります。 通常、クライアントでは、証明書の妥当性を確認できないと示します。 これは、証明書の署名がクライアントのブラウザに設定されていない 中間 CA による場合です。 その場合は、チェーン SSL 証明書または証明書グループを使用する必要があります。

チェーン証明書のサポート

コントローラはデバイス 証明書が Web 認証のためのチェーン証明書としてダウンロードされることができるように考慮に入れます。

証明書のレベル

• レベル 0：WLC 上のサーバ証明書のみを使用
• レベル 1：WLC 上のサーバ証明書と CA ルート証明書を使用
• レベル 2：WLC 上のサーバ証明書、1 つの署名付き中間 CA 証明書、および CA ルート証明書を使用
• レベル 3：WLC 上のサーバ証明書、2 つの署名付き中間 CA 証明書、および CA ルート証明書を使用

WLC では、サイズが 10KB を超えるチェーン証明書はサポートされません。 ただし、WLC バージョン 7.0.230.0 以降では、この制限が取り除かれています。

注: Web 認証および Web admin に連鎖された証明書がサポートされ、実際に必要となります

注: ワイルドカード 証明書はローカル EAP、管理または webauthentication のためにフルサポートされます

次の任意の Web 認証証明書を使用できます。

• チェーン証明書
• チェーンされていない証明書
• 自動生成

注: WLC バージョン 7.6 および それ 以降では、連鎖された証明書だけサポートされ、（従って必要とされて）

マネジメント目的で解放された証明書を生成するために検知 する場合この資料に続き、証明書が CA 認証と結合される部品を無視できます。

このドキュメントでは、チェーン Secure Socket Layer（SSL）証明書を WLC に適切にインストールする方法を説明します。

ステップ 1. CSR を生成して下さい

CSR を生成する 2 つの方法があります。 手動で OpenSSL （pre-8.3 WLC ソフトウェアの可能な限り唯一の方法）または CSR を（8.3.102）の後で利用可能 な生成するのに WLC 自体を使用することと。

OpenSSL のオプション A. CSR

注: Chrome バージョン 58 および それ 以降は単独で証明書の Common Name を信頼しないし、また認証対象代替名をあるように要求します。 以降のセクションはこのブラウザのための新しい要件である OpenSSL CSR に SAN フィールドを追加する方法を説明します。

OpenSSL の CSR を生成するためにこれらのステップを完了して下さい:

1. OpenSSL をインストールして開きます。
   
   Microsoft Windows では、デフォルトで C:\openssl\bin に openssl.exe がインストールされています。
   
   

   注: OpenSSL バージョン 0.9.8 は古い WLC リリースのための推奨されるバージョンです; ただし、バージョン 7.5 現在で、OpenSSL バージョン 1.0 のためのサポートはまた（Cisco バグ ID CSCti65315 を- OpenSSL v1.0 を使用して生成される証明書のための必要性サポート参照して下さい）追加され、使用するべき推奨されるバージョンです。 OpenSSL はまた 1.1 作業テストされ、8.x およびそれ以降 WLC リリースの偉大な人をはたらかせます。

2. OpenSSL config ファイルを取付け、それのこの CSR のためにそれを編集するためにコピーを撮って下さい。 以降のセクションを追加するためにコピーを編集して下さい:

3. [req]
   req_extensions = v3_req
   
   [ v3_req ]
   
   # Extensions to add to a certificate request
   
   basicConstraints = CA:FALSE
   keyUsage = nonRepudiation, digitalSignature, keyEncipherment
   subjectAltName = @alt_names
   
   [alt_names]
   DNS.1 = server1.example.com
   DNS.2 = mail.example.com
   DNS.3 = www.example.com
   DNS.4 = www.sub.example.com
   DNS.5 = mx.example.com
   DNS.6 = support.example.com

   "DNS.1" から開始するラインは "DNS.2" 等証明書が持っているすべての代替名が含まれているはずです。 それから WLC のために使用する可能性のある URL を書くことができます。 太字の上の行はありませんでしたし、またはラボ openSSL バージョンでコメントされませんでした、オペレーティング システムおよび openssl バージョンによって非常に変わるかもしれません。 この例のための openssl-san.cnf として構成のこの修正バージョンを保存します。
4. 以下のコマンドを実行して新しい CSR を生成します。
   
   

   OpenSSL>req -new -newkey rsa:1024 -nodes -keyout mykey.pem -out myreq.pem -config openssl-san.cnf

   
   

   注: WLCs サポート 8.5 ソフトウェア バージョンの時点で 4096 ビットの最大キーサイズ

5. このコマンドを発行すると、複数の情報を求めるメッセージが表示されます。 国名、州、都市などです。 必要な情報を入力します。
   
   

   注: 正しい Common Name を入力することが重要です。 証明書の作成に使用されるホスト名（共通名）が、WLC 上の仮想インターフェイス IP アドレスのドメイン ネーム システム（DNS）のホスト名エントリに一致すること、そしてその名前が DNS にも存在することを確認します。 また、仮想 IP（VIP）インターフェイスへの変更後には、この変更を反映するためにシステムをリブートする必要があります。

   
   次に例を示します。
   
   

   OpenSSL>req -new -newkey rsa:1024 -nodes -keyout mykey.pem -out myreq.pem -config openssl-san.cnf
   Loading 'screen' into random state - done
   Generating a 1024 bit RSA private key
   ................................................................++++++
   ...................................................++++++
   writing new private key to 'mykey.pem'
   -----
   You are about to be asked to enter information that will be incorporated
   into your certificate request.
   What you are about to enter is what is called a Distinguished Name or a DN.
   There are quite a few fields but you can leave some blank
   For some fields there will be a default value,
   If you enter '.', the field will be left blank.
   -----
   Country Name (2 letter code) [AU]:US
   State or Province Name (full name) [Some-State]:CA
   Locality Name (eg, city) []:San Jose
   Organization Name (eg, company) [Internet Widgits Pty Ltd]:ABC
   Organizational Unit Name (eg, section) []:CDE
   Common Name (eg, YOUR name) []:XYZ.ABC
   Email Address []:Test@abc.com
   
   Please enter the following 'extra' attributes
   to be sent with your certificate request
   A challenge password []:Test123
   An optional company name []:OpenSSL> 

6. - csrfilename の… -テキスト- noout openssl req が付いている CSR を（特に SAN のために存在を帰因させます）確認できます
7. すべての必要な詳細を入力すると、2 つのファイルが生成されます。
   
   
   • 名前 mykey.pem を含む新しい秘密キー
   • 名前 myreq.pem を含む CSR

WLC によるオプション B. CSR Generated

WLC がソフトウェア バージョン 8.3.102 またはそれ以降を実行する場合、より多くのセキュアなオプション（および最も容易の余りに） CSR を生成するには WLC を使用することです。 長所はキーが WLC で生成されなく、決して WLC を去らないことです; 従って決して外界で露出されません。

現在、この方式はある特定のブラウザにおいての問題の原因となるかもしれない CSR の SAN を設定することを割り当てません SAN アトリビュートの存在を必要とする。 署名時に SAN フィールドを挿入する CA 割り当て従ってそれは CA とチェックするよい概念です。

WLC による CSR 自体を生成することは 2048 ビット キーサイズを使用し、ecdsa キーサイズは 256 ビットです。

注: CSR 世代別コマンドを実行し、生じる証明書をまだインストールしない場合、WLC は再度ブートするにそれと合っている証明書がなかったが、後 WLC が最近生成された CSR キーを使用するので、次の再度ブートするで HTTPS で全く届かないです。

Web 認証のための CSR を生成するために、このコマンドを入力して下さい:

（WLC） >config certificate generate CSRwebauth は BR ブリュッセル Cisco TAC mywebauthportal.wireless.com tac@cisco.com です
-----BEGIN CERTIFICATE REQUEST-----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-----END CERTIFICATE REQUEST-----

webadmin のための CSR を生成するために、コマンドはやっと変更します:

 （WLC） >config certificate generate CSRwebadmin は BR ブリュッセル Cisco TAC mywebauthportal.wireless.com tac@cisco.com です

注: CSR はターミナルでコマンドを入力した後印刷されます。 それを取得する他の方法がありません; WLC からそれをアップロードすることはできませんそれを保存するそれは可能な限りあります。 コマンドを入力した後/貼り付けそれコンピュータのファイルへコピーするためになります。 生成されたキーは WLC に次の CSR が生成されるまでとどまります（キーはこうして上書きされます）。 （RMA） WLC ハードウェアを後の方で変更しなければならなければ、New 鍵および CSR が新しい WLC で生成されなければならないのと同じ証明書を再インストールできません。

サード パーティ 署名 権限かエンタープライズ Public Key Infrastructure（PKI）にそれからこの CSR を引き渡さなければなりません。

ステップ 2.証明書を署名される得て下さい

オプション A： エンタープライズ CA からの Final.pem ファイルを得て下さい

この例は既存のエンタープライズ CA だけ（この例の Windows サーバ 2012）を展示し、Windows サーバ CA を全く最初から設定するためにステップをカバーしないものです。

1. ブラウザ（通常 https:// <CA-ip>/certsrv）の enteprrise CA ページに行き、『Request a certificate』 をクリック して下さい。

   

2. [Advanced certificate request] をクリックします。

   

3. WLC か OpenSSL から得た CSR を入力して下さい。 証明書のテンプレート ドロップダウン リストで、『Web Server』 を選択 して下さい。

   

4. Base 64 encodedオプション・ボタンをクリックして下さい。
   

   

5. ダウンロードされた証明書がタイプ PKCS7 （.p7b）なら、PEM にそれを変換する必要があります（下記の例でファイル名 "All-certs.p7b" として証明書 チェーンをダウンロードしました）:

openssl pkcs7 - print_certs -全certs.pem All-certs.p7b の… -

  6. CSR （オプション A （すなわち、CSR を生成するのに OpenSSL を使用しました）と行った生成し、と共に final.pem としてファイルを保存します場合この例の mykey.pem であるデバイス 証明書のプライベートキー、）プライベートキーと証明書 チェーン（この例で、「全certs.pem」指名されます）証明書を結合して下さい。 WLC （B）オプションからの CSR を直接生成したらこのステップをスキップできます。

All-certs.pem ファイルおよび final.pem ファイルを作成するには、OpenSSL アプリケーションで以下のコマンドを発行します。

openssl>pkcs12 -export -in All-certs.pem -inkey mykey.pem 
       -out All-certs.p12 -clcerts -passin pass:check123 
       -passout pass:check123

openssl>pkcs12 -in All-certs.p12 -out final.pem 
       -passin pass:check123 -passout pass:check123

注: このコマンドでは、パラメータ -passin および -passout に対してパスワードを入力する必要があります。 -passout パラメータに設定するパスワードは、WLC 上で設定する certpassword パラメータと一致している必要があります。 この例では、-passin と -passout の両方のパラメータに対してパスワード check123 を設定しています。

Final.pem は「OpenSSL をオプション A. CSR」の後に記入した場合 WLC にダウンロードする必要があるファイルです。 「WLC 自体によって」に生成されたオプション B. CSR 続いた場合全certs.pem WLC にダウンロードする必要があるファイルはです。 次の手順では、このファイルを WLC にダウンロードします。

注: WLC への証明書のアップ ロードが失敗した場合、pem ファイルの全体チェーンがなかったらことであるかもしれません。 オプション B のステップどのようにのように見える必要があるか見る 2 を（サード パーティ CA からの final.pem を得て下さい）下記に参照して下さい。 ファイルの 1 つの証明書だけを見る場合、手動ですべての中間物およびルートCA認証ファイルをダウンロードし、チェーンを作成するためにファイルに（単なるコピー ペーストによって）追加 する必要性。

オプション B： サード パーティ CA からの Final.pem ファイルを得て下さい

1. CSR の情報をコピーして、任意の CA の登録ツールに貼り付けます。
   
   サードパーティ CA に CSR を送信すると、サードパーティ CA がデジタル署名した証明書チェーンが電子メールで返されてきます。 チェーン証明書の場合、CA から証明書のチェーン全体が返されます。 1 中間証明書 次がこの例あるただ場合、CA からこの 3 つの証明書を受け取ります:
   
   
   • Root certificate.pem
   • Intermediate certificate.pem
   • Device certificate.pem

   注: 証明書がセキュア ハッシュ アルゴリズム 1（SHA1）で暗号化された Apache 対応の証明書であることを確認します。

2. 3 つの証明書をすべて入手したら、各 .pem ファイルの内容を以下の順で別のファイルにコピー アンド ペーストします。
   
   

   ------BEGIN CERTIFICATE------
   *Device cert*
   ------END CERTIFICATE------
   ------BEGIN CERTIFICATE------
   *Intermediate CA cert *
   ------END CERTIFICATE--------
   ------BEGIN CERTIFICATE------
   *Root CA cert *
   ------END CERTIFICATE------

3. ファイルを All-certs.pem という名前で保存します。
   
   
4. CSR （オプション A （すなわち、CSR を生成するのに OpenSSL を使用しました）と行った生成し、と共に final.pem としてファイルを保存します場合この例の mykey.pem であるデバイス 証明書のプライベートキー、）プライベートキーと全certs.pem 証明書を結合して下さい。 WLC （B）オプションからの CSR を直接生成したらこのステップをスキップできます。
   
   All-certs.pem ファイルおよび final.pem ファイルを作成するには、OpenSSL アプリケーションで以下のコマンドを発行します。
   
   

   openssl>pkcs12 -export -in All-certs.pem -inkey mykey.pem 
          -out All-certs.p12 -clcerts -passin pass:check123 
          -passout pass:check123
   
   openssl>pkcs12 -in All-certs.p12 -out final.pem 
          -passin pass:check123 -passout pass:check123

   
   

   注: このコマンドでは、パラメータ -passin および -passout に対してパスワードを入力する必要があります。 -passout パラメータに設定するパスワードは、WLC 上で設定する certpassword パラメータと一致している必要があります。 この例では、-passin と -passout の両方のパラメータに対してパスワード check123 を設定しています。

   Final.pem は「OpenSSL をオプション A. CSR」の後に記入した場合 WLC にダウンロードする必要があるファイルです。 「WLC 自体によって」に生成されたオプション B. CSR 続いた場合全certs.pem WLC にダウンロードする必要があるファイルはです。 次の手順では、このファイルを WLC にダウンロードします。

注: SHA2 はまたサポートされます。 Cisco バグ ID CSCuf20725 は SHA512 サポートのための要求です。

ステップ 3 CLI. CLI を使用した WLC へのサードパーティ証明書のダウンロード

CLI を使用してチェーン証明書を WLC にダウンロードするには、次の手順に従います。

1. final.pem ファイルを TFTP サーバ上のデフォルト ディレクトリに移動します。
   
   
2. ダウンロード設定を変更するために、CLI で以下のコマンドを発行します。
   
   

       >transfer download mode tftp
       >transfer download datatype webauthcert
       >transfer download serverip <TFTP server IP address>
       >transfer download path <absolute TFTP server path to the update file>
       >transfer download filename final.pem

3. オペレーティング システムで SSL キーと証明書を復号化できるように、.pem ファイルのパスワードを入力します。
   
   

   >transfer download certpassword password
   

   
   

   注: certpassword の値がと同じであること生成するのステップ 4 で設定 された確実な- passout パラメータ パスワードでであって下さい（または 5） CSR セクション。 この例では、certpassword は check123 である必要があります。 B を『Option』 を選択 したら WLC 自体を使用しなさい（すなわち、CSR を生成すればのに） certpassword フィールドは空白を残すことができる。

4. transfer download start コマンドを発行して、更新された設定を表示します。 次に、プロンプトで y と入力して、現在のダウンロード設定を確認し、証明書とキーのダウンロードを開始します。 次に例を示します。
   
   

   (Cisco Controller) >transfer download start
   
   Mode............................................. TFTP
   Data Type........................................ Site Cert
   TFTP Server IP................................... 10.77.244.196
   TFTP Packet Timeout.............................. 6
   TFTP Max Retries................................. 10
   TFTP Path........................................./
   TFTP Filename.................................... final.pem
   
   This might take some time.
   Are you sure you want to start? (y/N) y
   
   TFTP EAP Dev cert transfer starting.
   
   Certificate installed.
                           Reboot the switch to use new certificate.

5. 変更を有効にするために、WLC をリブートします。

ステップ 3 GUI. GUI を使用した WLC へのサードパーティ証明書のダウンロード

GUI を使用してチェーン証明書を WLC にダウンロードするには、次の手順に従います。

1. デバイスの証明書 final.pem を TFTP サーバ上のデフォルト ディレクトリにコピーします。
   
   
2. [Security] > [Web Auth] > [Cert] を選択して [Web Authentication Certificate] ページを開きます。
   
   
3. [Download SSL Certificate] チェック ボックスをオンにして、[Download SSL Certificate From TFTP Server] のパラメータを表示します。
   
   
4. [IP Address] フィールドに、TFTP サーバの IP アドレスを入力します。
   
   

   

   
   
   
5. [File Path] フィールドに、証明書のディレクトリ パスを入力します。
   
   
6. [File Name] フィールドに、証明書の名前を入力します。
   
   
7. [Certificate Password] フィールドに、証明書を保護するために使用されたパスワードを入力します。
   
   
8. [Apply] をクリックします。
   
   
9. ダウンロードの完了後、[Commands] > [Reboot] > [Reboot] の順に選択します。
   
   
10. 変更を保存するように求めるプロンプトが表示されたら、[Save and Reboot] をクリックします。
    
    
11. 変更内容を確定するために [OK] をクリックして、コントローラをリブートします。
    
    

トラブルシューティング

多分提起する何が問題は WLC の証明書のインストールです。 解決するために、WLC のコマンド・ラインを開き、デバッグ転送をすべて入力するために pm PKI イネーブルをそれから完了しますダウンロード証明書 プロシージャを有効に し、デバッグして下さい。

In some cases, the logs will only say that the certificate installation failed:

*TransferTask: Sep 09 08:37:17.415: RESULT_STRING: TFTP receive complete... Installing
 Certificate.

*TransferTask: Sep 09 08:37:17.415: RESULT_CODE:13


TFTP receive complete... Installing Certificate.

*TransferTask: Sep 09 08:37:21.418: Adding cert (1935 bytes) with certificate key password.

*TransferTask: Sep 09 08:37:21.421: RESULT_STRING: Error installing certificate.

証明書フォーマットおよびそして連鎖を確認する必要があります。 バージョン 7.6 より WLCs 以降は全体チェーンがあるように要求する従って単独で WLC 証明書しかアップ ロードなできますことを覚えていて下さい。 ルートCA までのチェーンはファイルにある必要があります。

中間 CA が不正確なときデバッグの例はここにあります:

*TransferTask: Jan 04 19:08:13.338: Add WebAuth Cert: Adding certificate & private key using password check123
*TransferTask: Jan 04 19:08:13.338: Add ID Cert: Adding certificate & private key using password check123
*TransferTask: Jan 04 19:08:13.338: Add Cert to ID Table: Adding certificate (name: bsnSslWebauthCert) to ID table using password check123
*TransferTask: Jan 04 19:08:13.338: Add Cert to ID Table: Decoding PEM-encoded Certificate (verify: YES)
*TransferTask: Jan 04 19:08:13.338: Decode & Verify PEM Cert: Cert/Key Length was 0, so taking string length instead
*TransferTask: Jan 04 19:08:13.338: Decode & Verify PEM Cert: Cert/Key Length 7148 & VERIFY
*TransferTask: Jan 04 19:08:13.342: Decode & Verify PEM Cert: X509 Cert Verification return code: 0
*TransferTask: Jan 04 19:08:13.342: Decode & Verify PEM Cert: X509 Cert Verification result text: unable to get local issuer certificate
*TransferTask: Jan 04 19:08:13.342: Decode & Verify PEM Cert: Error in X509 Cert Verification at 0 depth: unable to get local issuer certificate
*TransferTask: Jan 04 19:08:13.343: Add Cert to ID Table: Error decoding (verify: YES) PEM certificate
*TransferTask: Jan 04 19:08:13.343: Add ID Cert: Error decoding / adding cert to ID cert table (verifyChain: TRUE)
*TransferTask: Jan 04 19:08:13.343: Add WebAuth Cert: Error adding ID cert

関連情報

• サードパーティ証明書用 CSR の生成とチェーンされていない証明書の WLC へのダウンロード
• Wireless Control System（WCS）でのサードパーティ証明書のための証明書署名要求（CSR）の生成
• Linux サーバ上にインストールされた Wireless Control System（WCS）証明書署名要求（CSR）の設定例
• テクニカル サポートとドキュメント – Cisco Systems