De documentatie van dit product is waar mogelijk geschreven met inclusief taalgebruik. Inclusief taalgebruik wordt in deze documentatie gedefinieerd als taal die geen discriminatie op basis van leeftijd, handicap, gender, etniciteit, seksuele oriëntatie, sociaaleconomische status of combinaties hiervan weerspiegelt. In deze documentatie kunnen uitzonderingen voorkomen vanwege bewoordingen die in de gebruikersinterfaces van de productsoftware zijn gecodeerd, die op het taalgebruik in de RFP-documentatie zijn gebaseerd of die worden gebruikt in een product van een externe partij waarnaar wordt verwezen. Lees meer over hoe Cisco gebruikmaakt van inclusief taalgebruik.
Cisco heeft dit document vertaald via een combinatie van machine- en menselijke technologie om onze gebruikers wereldwijd ondersteuningscontent te bieden in hun eigen taal. Houd er rekening mee dat zelfs de beste machinevertaling niet net zo nauwkeurig is als die van een professionele vertaler. Cisco Systems, Inc. is niet aansprakelijk voor de nauwkeurigheid van deze vertalingen en raadt aan altijd het oorspronkelijke Engelstalige document (link) te raadplegen.
In dit document wordt beschreven hoe u certificaten kunt genereren en importeren op WLC's van AirOS.
Cisco raadt kennis van de volgende onderwerpen aan:
De informatie in dit document is gebaseerd op de volgende software- en hardware-versies:
De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u zorgen dat u de potentiële impact van elke opdracht begrijpt.
Een certificaatketen is een reeks certificaten waarbij elk certificaat in de keten wordt ondertekend door het daaropvolgende certificaat.
Het doel van een certificaatketen is om een vertrouwensketen te creëren van een peer-certificaat tot een vertrouwd CA-certificaat. De CA staat in voor de identiteit in het peer-certificaat wanneer het wordt ondertekend.
Als de CA een CA is die u vertrouwt (aangegeven door de aanwezigheid van een kopie van het CA-certificaat in uw hoofdcertificaatdirectory), betekent dit dat u ook het ondertekende peer-certificaat kunt vertrouwen.
Vaak accepteren de klanten de certificaten niet omdat ze niet zijn gemaakt door een bekende CA. De klant verklaart meestal dat de geldigheid van het certificaat niet kan worden geverifieerd.
Dit is het geval wanneer het certificaat is ondertekend door een tussenliggende CA, die niet bekend is bij de clientbrowser. In dergelijke gevallen is het noodzakelijk om een geketend SSL-certificaat of certificaatgroep te gebruiken.
De controller maakt het mogelijk om het apparaatcertificaat te downloaden als een geketend certificaat voor webverificatie.
De WLC ondersteunt geen geketende certificaten van meer dan 10KB groot op de WLC. Deze beperking is echter verwijderd in WLC versie 7.0.230.0 en hoger.
Opmerking: geketende certificaten worden ondersteund en zijn eigenlijk vereist voor webverificatie en webbeheer.
Opmerking: Wildcard-certificaten worden volledig ondersteund voor lokale EAP-, beheer- of webverificatie.
Webverificatiecertificaten kunnen elk van de volgende zijn:
Opmerking: In WLC versie 7.6 en hoger worden alleen geketende certificaten ondersteund (en daarom vereist).
Om een ongeketend certificaat voor beheerdoeleinden te genereren, moet u dit document en de onderdelen waarin het certificaat wordt gecombineerd met het CA-certificaat negeren.
In dit document wordt besproken hoe u een SSL-certificaat (Secure Socket Layer) op de juiste manier aan een WLC kunt koppelen.
Er zijn twee manieren om een MVO te genereren. Ofwel handmatig met OpenSSL (de enige manier mogelijk in pre-8.3 WLC software) of ga op de WLC zelf om de CSR te genereren (Beschikbaar na 8.3.102).
Opmerking: Chrome versie 58 en hoger vertrouwt de algemene naam van het certificaat niet alleen en vereist dat de alternatieve naam van het onderwerp ook aanwezig is. In het volgende gedeelte wordt uitgelegd hoe u SAN-velden kunt toevoegen aan de OpenSSL CSR, wat een nieuwe vereiste is voor deze browser.
Voer deze stappen uit om een CSR te genereren met OpenSSL:
Opmerking: OpenSSL versie 0.9.8 is de aanbevolen versie voor oude WLC-releases; vanaf versie 7.5 is echter ook ondersteuning voor OpenSSL versie 1.0 toegevoegd (zie Cisco bug ID CSCti65315 - Ondersteuning nodig voor certificaten die zijn gegenereerd met OpenSSL v1.0) en is de aanbevolen versie om te gebruiken. OpenSSL 1.1 werkt ook getest en werkt op 8.x en latere WLC releases.
[req] req_extensions = v3_req [ v3_req ] # Extensions to add to a certificate request basicConstraints = CA:FALSE keyUsage = nonRepudiation, digitalSignature, keyEncipherment subjectAltName = @alt_names [alt_names] DNS.1 = server1.example.com DNS.2 = mail.example.com DNS.3 = www.example.com DNS.4 = www.sub.example.com DNS.5 = mx.example.com DNS.6 = support.example.comDe regels die beginnen met "DNS.1", "DNS.2" (enzovoort) moeten alle alternatieve namen van uw certificaten bevatten. Schrijf vervolgens elke mogelijke URL die voor de WLC wordt gebruikt. De vetgedrukte regels in het vorige voorbeeld waren niet aanwezig of werden becommentarieerd in onze openSSL-versie van het lab. Het kan sterk variëren met het besturingssysteem en de openSSL-versie. We slaan deze gewijzigde versie van de config op als openssl-san.cnf voor dit voorbeeld.
OpenSSL>req -new -newkey rsa:3072 -nodes -keyout mykey.pem -out myreq.pem -config openssl-san.cnf
Opmerking: WLC's ondersteunen een maximale sleutellengte van 4096 bits vanaf 8.5-softwareversie.
Opmerking: Het is belangrijk om de juiste algemene naam op te geven. Zorg ervoor dat de hostnaam die wordt gebruikt om het certificaat te maken (Common Name) overeenkomt met de hostnaam van het Domain Name System (DNS) voor het IP-adres van de virtuele interface op de WLC en dat de naam ook in de DNS voorkomt. Nadat u de wijziging in de Virtual IP (VIP)-interface hebt aangebracht, moet u het systeem opnieuw opstarten om deze wijziging van kracht te laten worden.
OpenSSL>req -new -newkey rsa:3072 -nodes -keyout mykey.pem -out myreq.pem -config openssl-san.cnf
Loading 'screen' into random state - done
Generate a 1024 bit RSA private key
................................................................++++++
...................................................++++++
writing new private key to 'mykey.pem'
-----
You are about to be asked to enter information that is incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there is a default value,
If you enter '.', the field is left blank.
-----
Country Name (2 letter code) [AU]:US
State or Province Name (full name) [Some-State]:CA
Locality Name (eg, city) []:San Jose
Organization Name (eg, company) [Internet Widgits Pty Ltd]:ABC
Organizational Unit Name (eg, section) []:CDE
Common Name (eg, YOUR name) []:XYZ.ABC
Email Address []:(email address)
Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:Test123
An optional company name []:OpenSSL>
Als uw WLC Softwareversie 8.3.102 of hoger uitvoert, is de veiligere optie om de WLC te gebruiken om de CSR te genereren. Het voordeel is dat de sleutel wordt gegenereerd op de WLC en nooit de WLC verlaat; dus nooit wordt blootgesteld in de buitenwereld.
Met deze methode is het vanaf nu niet mogelijk om SAN in de CSR te configureren, omdat bekend is dat dit leidt tot problemen met bepaalde browsers waarvoor de aanwezigheid van een SAN-attribuut vereist is. Sommige CA's maken het mogelijk om SAN-velden in te voegen op het moment van ondertekening, dus het is een goed idee om contact op te nemen met uw CA.
MVO-generatie door de WLC zelf maakt gebruik van een 2048-bits sleutelgrootte en de ecdsa-sleutelgrootte is 256-bits.
Opmerking: Als u de opdracht CSR-generatie uitvoert en het volgende certificaat nog niet installeert, wordt uw WLC volledig onbereikbaar gemaakt op HTTPS bij de volgende herstart, omdat de WLC de nieuw gegenereerde CSR-sleutel gebruikt na het opnieuw opstarten, maar niet het certificaat heeft dat erbij hoort.
Voer deze opdracht in om een CSR voor webverificatie te genereren:
(WLC) >configuratiecertificaat genereren CSR-webauth BE BR Brussels Cisco TAC mywebauthportal.wireless.com tac@cisco.com
----BEGIN CERTIFICAATAANVRAAG-----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----- EINDE CERTIFICAATAANVRAAG-----
Om een CSR voor de webadmin te genereren, verandert de opdracht in:
(WLC) >configuratiecertificaat genereren CSR-webadmin BE BR Brussels Cisco TAC mywebauthportal.wireless.com tac@cisco.com
Opmerking: De CSR wordt afgedrukt op de terminal nadat u de opdracht hebt ingevoerd. Er zijn geen andere manieren om het op te halen; het is niet mogelijk om het van de WLC te uploaden en het is ook niet mogelijk om het op te slaan. U moet het kopiëren / plakken naar een bestand op uw computer nadat u de opdracht hebt ingevoerd. De gegenereerde sleutel blijft op de WLC totdat de volgende CSR wordt gegenereerd (de sleutel wordt dus overschreven). Als u de WLC-hardware later moet wijzigen (RMA), kunt u niet hetzelfde certificaat opnieuw installeren als een nieuwe sleutel en wordt CSR gegenereerd op de nieuwe WLC.
Vervolgens moet u deze MVO overhandigen aan uw externe ondertekeningsautoriteit of uw onderneming Public Key Infrastructure (PKI).
In dit voorbeeld wordt alleen een huidige CA voor het bedrijf weergegeven (in dit voorbeeld Windows Server 2012) en worden de stappen voor het helemaal opnieuw instellen van een CA voor Windows Server niet behandeld.
openssl pkcs7 -print_certs -in Alle-certs.p7b -uit Alle-certs.pem
6. Combineer de certificaatketen (in dit voorbeeld wordt het "All-certs.pem" genoemd) certificaten met de privésleutel die is gegenereerd samen met de CSR (de privésleutel van het apparaatcertificaat, dat in dit voorbeeld mykey.pem is) als u met optie A (OpenSSL om de CSR te genereren) ging en sla het bestand op als final.pem. Als u de CSR rechtstreeks vanuit de WLC (optie B) hebt gegenereerd, slaat u deze stap over.
Voer deze opdrachten in de OpenSSL-toepassing in om de bestanden All-certs.pem en final.pem te maken:
openssl>pkcs12 -export -in All-certs.pem -inkey mykey.pem
-out All-certs.p12 -clcerts -passin pass:check123
-passout pass:check123
openssl>pkcs12 -in All-certs.p12 -out final.pem
-passin pass:check123 -passout pass:check123
Opmerking: In deze opdracht moet u een wachtwoord invoeren voor de parameters -passin en -passout. Het wachtwoord dat is geconfigureerd voor de parameter passout moet overeenkomen met de parameter certpassword die is geconfigureerd op de WLC. In dit voorbeeld is het wachtwoord dat is geconfigureerd voor zowel de parameters passin en passout check123.
Final.pem is het bestand dat u naar de WLC kunt downloaden als u "Option A. CSR met OpenSSL" hebt gevolgd.
Als u "Option B. CSR gegenereerd door de WLC zelf" gevolgd, dan All-certs.pem is het bestand te downloaden naar de WLC. De volgende stap is om dit bestand te downloaden naar de WLC.
Opmerking: Als het uploaden van het certificaat naar de WLC mislukt, controleer dan of er de hele keten in het pem-bestand zit. Raadpleeg stap 2 van optie B (verkrijg de final.pem van een 3rd party CA) om te zien hoe het eruit moet zien. Als u slechts één certificaat in het bestand ziet, moet u handmatig alle intermediaire en root CA-certificaatbestanden downloaden en deze toevoegen (door eenvoudig te kopiëren en plakken) aan het bestand om de keten te maken.
Opmerking: zorg ervoor dat het certificaat compatibel is met Apache-codering met Secure Hash Algorithm 1 (SHA1).
------BEGIN CERTIFICATE------
*Device cert*
------END CERTIFICATE------
------BEGIN CERTIFICATE------
*Intermediate CA cert *
------END CERTIFICATE--------
------BEGIN CERTIFICATE------
*Root CA cert *
------END CERTIFICATE------
openssl>pkcs12 -export -in All-certs.pem -inkey mykey.pem
-out All-certs.p12 -clcerts -passin pass:check123
-passout pass:check123
openssl>pkcs12 -in All-certs.p12 -out final.pem
-passin pass:check123 -passout pass:check123
Opmerking: In deze opdracht moet u een wachtwoord invoeren voor de parameters -passin en -passout. Het wachtwoord dat is geconfigureerd voor de parameter -passout moet overeenkomen met de parameter certpassword die is geconfigureerd op de WLC. In dit voorbeeld is het wachtwoord dat is geconfigureerd voor zowel de parameters -passin en -passout check123.
Final.pem is het bestand dat u naar de WLC kunt downloaden als u "Option A. CSR met OpenSSL" hebt gevolgd. Als u "Optie B. CSR gegenereerd door de WLC zelf" gevolgd, dan All-certs.pem is het bestand dat u moet downloaden naar de WLC. De volgende stap is om dit bestand te downloaden naar de WLC.
Opmerking: SHA2 wordt ook ondersteund. Cisco bug ID CSCuf20725 is een aanvraag voor SHA512-ondersteuning.
Voer deze stappen uit om het geketende certificaat te downloaden naar de WLC met de CLI:
>transfer download mode tftp
>transfer download datatype webauthcert
>transfer download serverip <TFTP server IP address>
>transfer download path <absolute TFTP server path to the update file>
>transfer download filename final.pem
>transfer download certpassword password
Opmerking: Zorg ervoor dat de waarde voor bepaalde wachtwoorden hetzelfde is als het -passout-parameterwachtwoord dat is ingesteld in stap 4 (of 5) van de sectie Een CSR genereren. In dit voorbeeld moet het bepaalde wachtwoord check123 zijn. Als u optie B hebt gekozen (dat wil zeggen, gebruik de WLC zelf om de CSR te genereren), laat u het veld met een bepaald wachtwoord leeg.
transfer download start
in om de bijgewerkte instellingen te bekijken. Voer vervolgens y in bij de prompt om de huidige downloadinstellingen te bevestigen en het certificaat en de downloadsleutel te starten. Hierna volgt een voorbeeld:(Cisco Controller) >transfer download start
Mode............................................. TFTP
Data Type........................................ Site Cert
TFTP Server IP................................... 10.77.244.196
TFTP Packet Timeout.............................. 6
TFTP Max Retries................................. 10
TFTP Path........................................./
TFTP Filename.................................... final.pem
This might take some time.
Are you sure you want to start? (y/N) y
TFTP EAP Dev cert transfer start.
Certificate installed.
Reboot the switch to use new certificate.
Voer deze stappen uit om het geketende certificaat te downloaden naar de WLC met de GUI:
Om problemen met de installatie van het certificaat op de WLC op te lossen, opent u een opdrachtregel op de WLC en voert debug transfer all enable
debug pm pki enable
u de procedure voor het downloadcertificaat in en voltooit u deze.
In some cases, the logs only say that the certificate installation failed:
*TransferTask: Sep 09 08:37:17.415: RESULT_STRING: TFTP receive complete... Installing
Certificate.
*TransferTask: Sep 09 08:37:17.415: RESULT_CODE:13
TFTP receive complete... Installing Certificate.
*TransferTask: Sep 09 08:37:21.418: Adding cert (1935 bytes) with certificate key password.
*TransferTask: Sep 09 08:37:21.421: RESULT_STRING: Error installing certificate.
Controleer het certificaatformaat en de keten. Vergeet niet dat WLC's later dan versie 7.6 vereisen dat de hele keten aanwezig is, dus u kunt uw WLC-certificaat niet alleen uploaden. De keten tot de root-CA moet aanwezig zijn in het bestand.
Hier is een voorbeeld van debugs wanneer de tussenliggende CA onjuist is:
*TransferTask: Jan 04 19:08:13.338: Add WebAuth Cert: Adding certificate & private key using password check123 *TransferTask: Jan 04 19:08:13.338: Add ID Cert: Adding certificate & private key using password check123 *TransferTask: Jan 04 19:08:13.338: Add Cert to ID Table: Adding certificate (name: bsnSslWebauthCert) to ID table using password check123 *TransferTask: Jan 04 19:08:13.338: Add Cert to ID Table: Decoding PEM-encoded Certificate (verify: YES) *TransferTask: Jan 04 19:08:13.338: Decode & Verify PEM Cert: Cert/Key Length was 0, so taking string length instead *TransferTask: Jan 04 19:08:13.338: Decode & Verify PEM Cert: Cert/Key Length 7148 & VERIFY *TransferTask: Jan 04 19:08:13.342: Decode & Verify PEM Cert: X509 Cert Verification return code: 0 *TransferTask: Jan 04 19:08:13.342: Decode & Verify PEM Cert: X509 Cert Verification result text: unable to get local issuer certificate *TransferTask: Jan 04 19:08:13.342: Decode & Verify PEM Cert: Error in X509 Cert Verification at 0 depth: unable to get local issuer certificate *TransferTask: Jan 04 19:08:13.343: Add Cert to ID Table: Error decoding (verify: YES) PEM certificate *TransferTask: Jan 04 19:08:13.343: Add ID Cert: Error decoding / adding cert to ID cert table (verifyChain: TRUE) *TransferTask: Jan 04 19:08:13.343: Add WebAuth Cert: Error adding ID cert
Zoals uitgelegd in de implementatiegids voor WLC HA SSO, worden certificaten niet gerepliceerd van primaire naar secundaire controller in een scenario voor HSSO.
Dit betekent dat u alle certificaten naar de secundaire moet importeren voordat u het HA-paar vormt.
Een ander voorbehoud is dat dit niet werkt als u de CSR (en dus de sleutel lokaal hebt gemaakt) op de primaire WLC hebt gegenereerd, omdat die sleutel niet kan worden geëxporteerd.
De enige manier is om de CSR voor de primaire WLC met OpenSSL te genereren (en dus de sleutel aan het certificaat te koppelen) en die certificaat / sleutelcombinatie op beide WLC's te importeren.
Revisie | Publicatiedatum | Opmerkingen |
---|---|---|
4.0 |
05-Sep-2024
|
Verkorte titel die om de een of andere reden CCW was niet vlaggen.
Corrigeerde gebroken URL's en zorgde ervoor dat ze op een nieuwe pagina werden geopend.
Lege notitiecontainer verwijderd. |
3.0 |
01-Aug-2023
|
hercertificering |
1.0 |
07-Feb-2014
|
Eerste vrijgave |