Gerencia o CSR para Certificados da terceira e transfira Certificados acorrentados aos controladores sem fio do catalizador 9800

Certifique-se manter seu arquivo “private.key” seguro!

O CSR será gerencie como myCSR.csr

Você pode verificar seu índice com

openssl req -noout -text -in myCSR.csr 

Você pode então fornecer este CSR a seu CA para tê-lo assinado e para receber para trás um certificado.

Importe o certificado

Etapa 1. Salvar seu certificado do PKCS12 em um server do Trivial File Transfer Protocol (TFTP) que seja alcançável dos 9800 WLC. O certificado do PKCS12 tem que conter a chave privada assim como o certificate chain até a CA raiz.

Etapa 2. Abra o GUI dos seus 9800 WLC e navegue ao > segurança da configuração > ao AUTH > ao certificado da Web e clique a importação nova.

Etapa 3. Incorpore a informação pedida e clique a importação.

Em seguida que você vê o certificado novo carregado.

CLI:

# config t
# crypto pki import <cert-filename> pkcs12 tftp://<TFTP-IP>/<cert-filename> password <cert-password>

É importante usar o nome de arquivo exato como o nome do trustpoint no comando acima.

Conversão e encenação acorrentada do certificado (multi-nível CA)

É muito importante notar que atualmente os 9800 não apresentarão a corrente inteira se configurado para usar um trustpoint para o webadmin ou o webauth. Apresentará somente o certificado do dispositivo e seu CA.

Você pode terminar acima em uma situação onde você tenha um arquivo-chave e no certificado no formato PEM e querer combiná-los em um formato do PKCS12 (.pfx)

openssl pkcs12 -export -in <PEM certificate filename> -inkey <privatekey.key> -out <output new .pfx filename>

No caso onde você tem uma corrente do certificado (intermediário e CA raiz) tudo no formato PEM, você precisa então de combinar tudo em um único arquivo do .pfx.

Primeiramente, combine manualmente os certificados de CA em um arquivo único como abaixo. Pode ser feito simplesmente pela cópia que cola os índices junto:

----- BEGIN Certificate --------
<intermediate CA cert>
------END Certificate --------
-----BEGIN Certificate -----
<root CA cert>
-----END Certificate--------

Você pode então combinar tudo em um arquivo certificado do PKCS12 com:

openssl pkcs12 -export -out chaincert.pfx -inkey <deviceprivatekey> -in <device private certificate> -certfile <combined CA file you just built above>

Refira a seção da verificação na extremidade do artigo para ver como o certificado final deve olhar como

Opção 2: Gerencia uma chave e uma requisição de assinatura (CSR) nos 9800 WLC, obtenha-a assinada e adicionar-la ao WLC

Etapa 1. Gerencia um par de chaves de uso geral RSA.

Entre pelo Shell Seguro (ssh) a seus 9800 WLC e emita estes comandos. Nós escolhemos nomear nossas ewlc-chaves do par de chaves, mas você pode ajustar o nome que você quer:

# configure terminal
# crypto key generate rsa general-keys label ewlc-keys exportable

The name for the keys will be: ewlc-keys
Choose the size of the key modulus in the range of 360 to 4096 for your
  General Purpose Keys. Choosing a key modulus greater than 512 may take
  a few minutes.

How many bits in the modulus [512]: 2048
% Generating 2048 bit RSA keys, keys will be exportable...
[OK] (elapsed time was 1 seconds)

Etapa 2. Gerencia um CSR para seus 9800 WLC virtuais. Assegure escolheu uma NC (e outras opções do certificado) que combine a URL que será visitada (página do convidado, página de admin da Web, segundo os exemplos do uso). Nós escolhemos nomear nosso certificado ewlc-CERT neste exemplo mas você pode escolheu o nome que você prefere diferenciar seus Certificados.

# configure terminal
(config)#crypto pki trustpoint ewlc-cert
(ca-trustpoint)# enrollment terminal pem
(ca-trustpoint)# revocation-check none
(ca-trustpoint)# subject-name C=MX, ST=Nuevo Leon, L=Guadalupe, O=lab-wireless, OU=mex-wireless, CN=public-guest.lab-kcg.com
(ca-trustpoint)# rsakeypair ewlc-keys
(ca-trustpoint)# exit

(config)#crypto pki enroll ewlc-cert
% Start certificate enrollment ..

% The subject name in the certificate will include: C=MX, ST=Nuevo Leon, L=Guadalupe, O=lab-wireless, OU=mex-wireless, CN=public-guest.lab-kcg.com
% The subject name in the certificate will include: 9800 WLC-karlcisn-Public.lab-kcg.com
% Include the router serial number in the subject name? [yes/no]: no
% Include an IP address in the subject name? [no]: no
Display Certificate Request to terminal? [yes/no]: yes
Certificate Request follows:

-----BEGIN CERTIFICATE REQUEST-----
*9800 WLC CSR*
-----END CERTIFICATE REQUEST-----

---End - This line not part of the certificate request---

Redisplay enrollment request? [yes/no]: no

Nota: Se você quer adicionar um nome alternativo sujeito, não é possível nas versões atuais IOS-XE devido a CSCvt15177 . Você precisará então de gerar o CSR e a fora-caixa das chaves privadas como explicado na opção 1.

C: País

ST: Algum estado, refere o nome do estado ou da província

L: O nome do lugar, refere a cidade

O: Nome de organização, referst à empresa

OU: O nome da unidade organizacional, lata refere a seção.

NC: (Common Name) refere o assunto a que o certificado será emitido, você deve especificar o IP address virtual de seus 9800 WLC, o hostname associado ao IP address virtual de seus 9800 WLC, o endereço IP de gerenciamento ou o hostname associado ao endereço IP de gerenciamento.

Etapa 3. Obtenha seu CSR assinado por seu Certification Authority (CA)

A corda completa deverá ser enviada a seu CA para obtê-lo assinado.

-----BEGIN CERTIFICATE REQUEST-----
*9800 WLC CSR*
-----END CERTIFICATE REQUEST-----

 Se você usa Windows Server CA para assinar o certificado, transfira o certificado resultante no formato Base64.

Etapa 4. Faça a sua confiança 9800 WLC seu CA

Você deve obter o certificado de raiz do CA que assinou o CSR dos seus 9800 WLC no formato .pem.

Uma vez que você o tem, entre pelo SSH ou pelo telnet a seus 9800 WLC e execute estes comandos copiar e colar o certificado de raiz.

# config t
(config)# crypto pki authenticate ewlc-cert

Enter the base 64 encoded CA certificate.
End with a blank line or the word "quit" on a line by itself

-----BEGIN CERTIFICATE-----
*Issuing CA certificate*
-----END CERTIFICATE-----

Certificate has the following attributes:
       Fingerprint MD5: DD05391A 05B62573 A38C18DD CDA2337C
      Fingerprint SHA1: 596DD2DC 4BF26768 CFB14546 BC992C3F F1408809

% Do you accept this certificate? [yes/no]: yes
Trustpoint CA certificate accepted.
% Certificate successfully imported

Nota: Caso que você tem diverso o nível do CAs, você deve aqui colar o certificado de CA de emissão, isto é o CA que emitiu seu certificado do dispositivo e somente que um, não a corrente. Você precisará então de criar um trustpoint para cada nível extra do CA e de repetir esta etapa 4 somente para cada um dos aqueles trustpoint (isto é autentique um CA para cada nível)

Etapa 5. Carregue o certificado assinado nos 9800 WLC.

Execute estes comandam para carregar o certificado assinado que você obteve de seu CA nos 9800 WLC.

(config)#crypto pki import ewlc-cert certificate

Enter the base 64 encoded certificate.
End with a blank line or the word "quit" on a line by itself

-----BEGIN CERTIFICATE-----
*9800 WLC Signed Certificate*
-----END CERTIFICATE-----
quit
% Router Certificate successfully imported

Use o certificado novo

É muito importante notar que atualmente os 9800 não apresentarão a corrente inteira se configurado para usar um trustpoint para o webadmin ou o webauth. Apresentará somente o certificado do dispositivo e seu CA.

Web admin

Aponte o página da web admin para usar o certificado assinado, salvar a configuração. É igualmente mais fácil fazendo a da Web UI no HTTP de Administration->

# configure terminal
# ip http secure-trustpoint ewlc-cert
# 

Autenticação da Web local

Aponte o mapa do parâmetro da autenticação da Web para usar o certificado para o portal do início de uma sessão da Web.

# configure terminal
#(config)#parameter-map type webauth global
#(config-parameter-map)#trustpoint <trustpoint name>

Esteja ciente que para que os clientes confiem o certificado da autenticação da Web você precisará de definir um hostname que combina a NC do certificado no IP virtual do mapa global do paramater.

(config-params-parameter-map)#virtual-ip ipv4 192.0.2.1 virtual-host test9800.eu-central-1.compute.internal

Se você não quer recarregar os 9800 WLC, reiniciar o servidor de Web pode fazer o truque:

# configure terminal
# no ip http server
# ip http server 
# end

Alta disponibilidade das considerações

Em HA 9800 SSO, todos os Certificados replicated do preliminar ao secundário quando se emparelham inicialmente acima. Isto inclui mesmo os Certificados onde a chave privada foi gerada no controlador própria e mesmo se a chave RSA não é supostamente exportable.

Depois que o HA é estabelecido, todo o certificado novo instalado, estará instalado em ambos os controladores e todos os Certificados replicated no tempo real.

Após o Failover, o controlador anterior-secundário-NOW-ativo usará os Certificados herdados do preliminar transparentemente.

Como se certificar do certificado é confiado por navegadores da Web

Há um par pontos importantes para que um certificado seja confiado:

• Seu Common Name (ou um campo SAN) devem combinar a URL visitada pelo navegador
• Deve realizar-se dentro de seu período de validade
• Deve ser emitida por um CA ou por uma corrente do CA cuja a raiz é confiada pelo navegador. Para isto, o certificado fornecido pelo servidor de Web deveu conter todos os Certificados da corrente até que (incluído não necessariamente) um certificado confiou pelo navegador cliente (tipicamente a CA raiz).

Nota dos Certificados do convite

Apoio do catalizador 9800 usando Domain Name do convite no campo NC do certificado.

Verificar

Você pode usar estes comandos verificar a configuração dos Certificados:

# show crypto pki certificates <cert-name>

Certificate
 Status: Available
 Certificate Serial Number (hex): 00A2020356CF31C818
 Certificate Usage: General Purpose
 Issuer:
 cn=CA-KCG-lab
 ou=lab-mex-wireless
 o=mex-wireless
 l=Guadalupe
 st=Nuevo Leon
 c=MX
 Subject:
 Name: *.lab-kcg.com
 cn=*.lab-kcg.com
 ou=lab-mex-wireless
 o=mex-wireless
 l=Benito Juarez
 st=CDMX
 c=MX
 Validity Date:
 start date: 17:14:54 UTC Feb 15 2018
 end date: 17:14:54 UTC Mar 11 2023
 Associated Trustpoints: cert-name
 Storage: nvram:CA-KCG-lab#C818.cer

# show ip http server secure status

HTTP secure server status: Enabled
HTTP secure server port: 443
HTTP secure server ciphersuite: 3des-ede-cbc-sha aes-128-cbc-sha
 aes-256-cbc-sha dhe-aes-128-cbc-sha ecdhe-rsa-3des-ede-cbc-sha
 rsa-aes-cbc-sha2 rsa-aes-gcm-sha2 dhe-aes-cbc-sha2 dhe-aes-gcm-sha2
 ecdhe-rsa-aes-cbc-sha2 ecdhe-rsa-aes-gcm-sha2
HTTP secure server TLS version: TLSv1.2 TLSv1.1 TLSv1.0
HTTP secure server client authentication: Disabled
HTTP secure server trustpoint: cert-name
HTTP secure server active session modules: ALL

Você pode verificar seu certificate chain nos 9800. No caso de um certificado do dispositivo emitido por um CA intermediário, próprio emitido por uma CA raiz, você terá um trustpoint por grupos de 2 Certificados. Neste caso nós teremos o “nicochain” que tem o certificado do dispositivo (certificado WLC) e seu CA de emissão (CA intermediário). Nós temos então um outro trustpoint com a CA raiz que emitem esse CA intermediário.

test9800#show crypto pki certificate nicochain
Certificate
  Status: Available
  Certificate Serial Number (hex): 1234
  Certificate Usage: General Purpose
  Issuer:
    e=int@int.com
    cn=intermediate.com
    ou=TAC
    o=Cisco
    st=Diegem
    c=BE
  Subject:
    Name: TAC
    cn=TAC
    o=Cisco
    l=Diegem
    st=Diegem
    c=BE
  Validity Date:
    start date: 16:39:05 CET Feb 26 2020
    end   date: 16:39:05 CET Jun 3 2030
  Associated Trustpoints: nicochain

CA Certificate
  Status: Available
  Certificate Serial Number (hex): 1000
  Certificate Usage: Signature
  Issuer:
    e=root@root.com
    cn=RootCA.root.com
    ou=TAC
    o=Cisco
    l=Diegem
    st=Diegem
    c=BE
  Subject:
    e=int@int.com
    cn=intermediate.com
    ou=TAC
    o=Cisco
    st=Diegem
    c=BE
  Validity Date:
    start date: 16:38:36 CET Feb 26 2020
    end   date: 16:38:36 CET Feb 23 2030
  Associated Trustpoints: nicochain


test9800#show crypto pki certificate nicochain-rrr1
CA Certificate
  Status: Available
  Certificate Serial Number (hex): 00
  Certificate Usage: Signature
  Issuer:
    e=root@root.com
    cn=RootCA.root.com
    ou=TAC
    o=Cisco
    l=Diegem
    st=Diegem
    c=BE
  Subject:
    e=root@root.com
    cn=RootCA.root.com
    ou=TAC
    o=Cisco
    l=Diegem
    st=Diegem
    c=BE
  Validity Date:
    start date: 16:38:14 CET Feb 26 2020
    end   date: 16:38:14 CET Feb 23 2030
  Associated Trustpoints: nicochain-rrr1

Verificação de certificado com OpenSSL

O OpenSSL pode ser útil verificar o certificado próprio ou fazer algumas operações da conversão.

Para indicar um certificado com OpenSSL:

openssl x509 -in <certificatefile> -text

para indicar o índice de uma solicitação de assinatura de certificado:

openssl req -noout -text -in <CSR filename>

Se você quer verificar o certificado resultante nos 9800 WLC mas o querer usar mais algo do que seu navegador, o OpenSSL pode fazer este e dar-lhe muitos detalhes.

openssl s_client -showcerts -verify 5 -connect <wlcURL>:443

Você pode substituir o <wlcURL> com a URL do webadmin dos 9800 ou a URL do portal do convidado. Você pode igualmente pôr um IP address lá, ele dir-lhe-á que que certificate chain é recebido mas a validação certificada pode nunca ser 100% correto se usando um IP address em vez do hostname.

A fim ver o índice e verificar um PKCS12 (.pfx) certificate ou certificate chain:

openssl pkcs12 -info -in <path to cert>

Está aqui um exemplo do comando acima em uma corrente do certificado onde o certificado do dispositivo é emitido ao TAC por um “intermediate.com chamado CA intermediário”, próprio emitido por uma CA raiz chamada “root.com”:

openssl pkcs12 -info -in chainscript2.pfx
Enter Import Password:
MAC Iteration 2048
MAC verified OK
PKCS7 Encrypted data: pbeWithSHA1And40BitRC2-CBC, Iteration 2048
Certificate bag
Bag Attributes
localKeyID: 1D 36 8F C2 4B 18 0B 0D B2 57 A2 55 18 96 7A 8B 57 F9 CD FD
subject=/C=BE/ST=Diegem/L=Diegem/O=Cisco/CN=TAC
issuer=/C=BE/ST=Diegem/O=Cisco/OU=TAC/CN=intermediate.com/emailAddress=int@int.com
-----BEGIN CERTIFICATE-----
MIIFsjCCA5qgAwIBAgICEjQwDQYJKoZIhvcNAQENBQAwczELMAkGA1UEBhMCQkUx
DzANBgNVBAgMBkRpZWdlbTEOMAwGA1UECgwFQ2lzY28xDDAKBgNVBAsMA1RBQzEZ
MBcGA1UEAwwQaW50ZXJtZWRpYXRlLmNvbTEaMBgGCSqGSIb3DQEJARYLaW50QGlu
dC5jb20wHhcNMjAwMjI2MTUzOTA1WhcNMzAwNjAzMTUzOTA1WjBNMQswCQYDVQQG
EwJCRTEPMA0GA1UECBMGRGllZ2VtMQ8wDQYDVQQHEwZEaWVnZW0xDjAMBgNVBAoT
BUNpc2NvMQwwCgYDVQQDEwNUQUMwggEiMA0GCSqGSIb3DQEBAQUAA4IBDwAwggEK
AoIBAQCzTx4Z2liwzhLXFgIpED+1e2wJ04uAL8ruoclaBvnycQuu4xXRq+RmuGAi
WnY/ylvgntHYdx2lw5MoQvi//KJ87dt6iAwqeF5R1LGembjtohdyNTwk4SzdVJCN
gSfEJvxSiHLvLV/bb5TnCmgS0Wj/u5KNUGnIVD7gihdEWP+74SDj+HP4/Csrg39D
Xiq4GSCiGXHq4ALpr5iA/es2l+YY3yKETGF+I4TE6LBq+PDi/zrLrYn4glCtqSoS
P1qa3lGsmG8AN6/RPqzxxGPvFmJKqPo+pu7X8k11+TadFd8MIXCkTe66IAtMIGUM
mBL02LQXOHjOLwKELcMtPdIuoTdzAgMBAAGjggF0MIIBcDAJBgNVHRMEAjAAMBEG
CWCGSAGG+EIBAQQEAwIGQDAzBglghkgBhvhCAQ0EJhYkT3BlblNTTCBHZW5lcmF0
ZWQgU2VydmVyIENlcnRpZmljYXRlMB0GA1UdDgQWBBQ4VIKCTlfLZDAepCpmLNkW
a7wcgDCBswYDVR0jBIGrMIGogBQzKV6F3L3/r14PuOX9HBOHJ076F6GBi6SBiDCB
hTELMAkGA1UEBhMCQkUxDzANBgNVBAgMBkRpZWdlbTEPMA0GA1UEBwwGRGllZ2Vt
MQ4wDAYDVQQKDAVDaXNjbzEMMAoGA1UECwwDVEFDMRgwFgYDVQQDDA9Sb290Q0Eu
cm9vdC5jb20xHDAaBgkqhkiG9w0BCQEWDXJvb3RAcm9vdC5jb22CAhAAMA4GA1Ud
DwEB/wQEAwIFoDATBgNVHSUEDDAKBggrBgEFBQcDATAhBgNVHREEGjAYghZzbXRw
LXNlcnZlci53bGFhYW4uY29tMA0GCSqGSIb3DQEBDQUAA4ICAQCjkqnMfNVAbc9Y
Muc3YUSHWIXH65MkjgaLPtCqurXx4m7XTgPabPZUbiouPGUUSJl90gGVctndYmJW
8KE4X6GE6xlLcbWAcfMe34anOls7KzRkwojw+2BkgzWy66CcQiEnoUEFgtFmmr4c
+wASIGBflSUgRx3EJR/piKJPV0+hAxUtsFI8Viu25nJnQjWWGBuaCCgZJXZ7OzLC
6uTZyPPn3XY9mJYOcIc/N+llLOzMpA1um+7OhcaYd2fDoyHkW1+pLcTucknOfJfQ
oMwe4Vl+38/93xPexLyrCYXJaDtLuwAAhYk5LIxRYqpQpu4OL6sZk92J8L9MB+1f
JjA9iN9WtKlvJ6lkwY0+CCZ5CDp6bfV9zkIdYNQr7rxWqgqx9/d5tY2XwdAeFzJp
KfWLYpYgLPOlRGyniUUNgJ/ZSCZ/Z074aTFnKeHzv5zyvrXwxEf3hupJTPkoD/IO
lggfHLi6tcPnZSxXSgAqHg1PtlcpEFrY5lHsIdbiW/zYFROQ1JWLybMjkrGOj2Xf
9zP7PTWLwM+Fv9/k8JadGZqSFDt9lVNQfllvsFCfGiLCa3rfrcOr5KHPD6TNlm9f
dEbVZVfbb9Jx1oEn/kyxJq6T1b2PO1OjoAx+1FCuW6dUI4j7vsd9J31zF/i3+Ll2
VUAC0rmukHqGjcjwdwpjlJ+EEY7A5A==
-----END CERTIFICATE-----
Certificate bag
Bag Attributes: <No Attributes>
subject=/C=BE/ST=Diegem/O=Cisco/OU=TAC/CN=intermediate.com/emailAddress=int@int.com
issuer=/C=BE/ST=Diegem/L=Diegem/O=Cisco/OU=TAC/CN=RootCA.root.com/emailAddress=root@root.com
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----
Certificate bag
Bag Attributes: <No Attributes>
subject=/C=BE/ST=Diegem/L=Diegem/O=Cisco/OU=TAC/CN=RootCA.root.com/emailAddress=root@root.com
issuer=/C=BE/ST=Diegem/L=Diegem/O=Cisco/OU=TAC/CN=RootCA.root.com/emailAddress=root@root.com
-----BEGIN CERTIFICATE-----
MIIF6jCCA9KgAwIBAgIBADANBgkqhkiG9w0BAQ0FADCBhTELMAkGA1UEBhMCQkUx
DzANBgNVBAgMBkRpZWdlbTEPMA0GA1UEBwwGRGllZ2VtMQ4wDAYDVQQKDAVDaXNj
bzEMMAoGA1UECwwDVEFDMRgwFgYDVQQDDA9Sb290Q0Eucm9vdC5jb20xHDAaBgkq
hkiG9w0BCQEWDXJvb3RAcm9vdC5jb20wHhcNMjAwMjI2MTUzODE0WhcNMzAwMjIz
MTUzODE0WjCBhTELMAkGA1UEBhMCQkUxDzANBgNVBAgMBkRpZWdlbTEPMA0GA1UE
BwwGRGllZ2VtMQ4wDAYDVQQKDAVDaXNjbzEMMAoGA1UECwwDVEFDMRgwFgYDVQQD
DA9Sb290Q0Eucm9vdC5jb20xHDAaBgkqhkiG9w0BCQEWDXJvb3RAcm9vdC5jb20w
ggIiMA0GCSqGSIb3DQEBAQUAA4ICDwAwggIKAoICAQD0yIwuBP91LDFfzulDdvPd
BvaNvA78Qgtw+BL9uwP15fxxgIHyVdhOfSecKQ83tJtJODKbpjfJ8B4nnI+PHmYS
J38Wqpo8oG2xSc9aZeN2YbI4btsdbMnO4T9x5euscWnJ0ygdtFeEPgyBfTJie4hM
Han4yxu/q1NfB71lYin/pHVBer52pSSgSXiy2HGHZoMWu8IrSxnohXpXduETA7tQ
vkf1UAF0AIwYjmeTbgWSIOvuoTWc46dUhuvqq7fdtW0weaERYf88F8OPWBnPqFBW
KATEImRk149uFVIyDfa2K+T+TUeRvvWW+IyIHMqvq+7C36EVcHATfOe8KitwN1pi
ejee09LgaTxF+thW2ZF8cfWHjn0d1VobMicvEq+vfkVKKXqos4MSWq+NiFQ3jLmq
fA7yKee7ogLFp2cSkwvKxLsz3I+68V9OR4ySgY3SwcM84yKLpe5QjuLb0ckC0rVq
OPAR9Mme/JEWf+63vUxczK0uv1cO4n83hNNS502zObu3x8rjCYDirXJjl7r5ZKN9
PFk7AqYqSL3Dhx78HrIrNe7G+dLpVKzW3GvHw91gDiga5Y4Ib1kSMTZhiXEDhmWJ
Dw3fUuLZ4ebyPcrqq1C1AG2sNdoWjocIH1oTKSMk3jjR4EFjmyRWSsCqLWkZZHgD
alLyz0xIh9jVrl6lX8/x0wIDAQABo2MwYTAdBgNVHQ4EFgQU0Gdsj4Gt9jahw2C9
iRKjUv0/tsEwHwYDVR0jBBgwFoAU0Gdsj4Gt9jahw2C9iRKjUv0/tsEwDwYDVR0T
AQH/BAUwAwEB/zAOBgNVHQ8BAf8EBAMCAYYwDQYJKoZIhvcNAQENBQADggIBAOq3
JcoZbFGDb9UOjiaCJGOVIogLd6d7posBGj4uzvN0k3PdEVUsdN18/zWHP99TEb1E
bXcF7YIt/mYyOYwzL9XZ73uaVBmcnmGTh188cJUT5jNYk+ie8+2eKuqWDNt+JMFT
lRgCPT8ZE2L/oOfyPfIPFpK+AYk5HMYbukMfIlmqrCWIEMLwrmEh2E4aJYupD2Su
8Cd7+IlA90iIlcYGqBvKeBzRsLhd8TmGA97F90DFjWmBoOxzTaFMv0xNleItc+rG
/taTyM6QskzUrwAUl1KWpTiw8V0KMYNQ8orCATpxshIrkMCoPgYDehwE7pYc16Xf
pkav/75pqiZtAWnDu2JVmW8qm/sF9eyy9PMoaryo7gHQYWR3+uyDWnlHBaLoGvOu
8cLQNmKblq7q0WbINGN52/BuRUlUxFiPmVcdgq5FzgykWQMthVYEWfd950RAaWVa
wt9f9D20L/c0NZD6jTJDFaKMlfDBbpb68vnUmZS+ET7K1bPG3byYj08dsE47Hp0s
rtC+zBRhaaFnfv+vhr5v7OhryglWSt8MDfKJJbpNWwVL7HoV2B5I+tviR1VA8+F9
emnfn31tDPQzcvco//bgj1sPwyiJbvBHN7MkkPFmtP9o1KPvaaahmCLjRMTQQSU6
S2gJNBKV+xjKHZkhaHMMBG92kLCBwMc0zSliqqnZ
-----END CERTIFICATE-----
PKCS7 Data
Shrouded Keybag: pbeWithSHA1And3-KeyTripleDES-CBC, Iteration 2048
Bag Attributes
localKeyID: 1D 36 8F C2 4B 18 0B 0D B2 57 A2 55 18 96 7A 8B 57 F9 CD FD
Key Attributes: <No Attributes>
Enter PEM pass phrase:
Verifying - Enter PEM pass phrase:
-----BEGIN ENCRYPTED PRIVATE KEY-----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-----END ENCRYPTED PRIVATE KEY-----

Troubleshooting

Use este comando pesquisar defeitos.

# debug crypto pki transactions

Encenação: Tentativa importar um certificado do PKCS12 que esteja faltando o CA

Se você está importando um certificado e está obtendo o seguinte erro que o CA não está encontrado, pôde-se significar que seu arquivo do pfx não contém a corrente inteira apropriada

WLC(config)#crypto pki import pkcs12.pfx pkcs12 bootflash:pks12.pfx password <pwd removed>
% Importing pkcs12...
Source filename [pks12.pfx]?
Reading file from bootflash:pks12.pfx
% Warning: CA cert is not found. The imported certs might not be usable.

Se você executa o pkcs12 do OpenSSL do comando - informação - no <path ao cert> e no somente um certificado com uma mostra da chave privada, significa que o CA falta. Em geral, este comando deve idealmente alistar sua corrente inteira do certificado. Não exige para incluir a CA raiz superior se tem sabido pelos navegadores cliente já.

Uma maneira de fixar isto é deconstruct o PKCS12 no PEM e reconstruir corretamente a corrente. No exemplo seguinte, nós tivemos um arquivo do .pfx que contivesse somente o certificado do dispositivo (WLC) e sua chave. Foi emitido por um CA intermediário (que não estava atual no arquivo do pkcs12) que foi assinado por sua vez uma CA raiz conhecida.

Etapa1. Exporte a chave privada para fora

openssl pkcs12 -in <pkcs12 file> -out cert.key -nocerts -nodes

Step2. O certificado como o PEM

openssl pkcs12 -in <pkcs12 file> -out certificate.pem -nokeys -clcerts

Step3. Transfira o certificado de CA intermediário como o PEM.

Para isto uma busca em linha simples para o CA (se é pública) deve ser bastante para encontrar uma página onde transferi-lo como o PEM.

Em caso de diversos níveis do CA intermediário, nós podemos concatenar todo em um único arquivo PEM que nós chamaremos CA.pem

Step4. Reconstrua o PKCS12 da chave, do CERT do dispositivo e do certificado de CA.

openssl pkcs12 -export -out fixedcertchain.pfx -inkey cert.key -in certificate.pem -certfile CA.pem

Nós temos agora “fixedcertchain.pfx” que nós podemos felizmente importar ao catalizador 9800!