Gerar CSR para certificados de terceiros e fazer download de certificados em cadeia para os controladores sem fio Catalyst 9800
Contents
Introduction
Este documento descreve como gerar uma Solicitação de Assinatura de Certificado (CSR - Certificate Signing Request) para obter um certificado de terceiros e como fazer o download de um certificado encadeado para um Catalyst 9800 Wireless LAN Controller (9800 WLC - Wireless LAN Controller) e usar para webauth e portal webadmin.
Prerequisites
Requirements
Antes de tentar esta configuração, a Cisco recomenda que você tenha conhecimento destes tópicos:
- Como configurar o 9800 WLC, o Lightweight Access Point (LAP) para a operação básica
- Como usar o aplicativo OpenSSL
- Infraestrutura de chave pública e certificados digitais
Componentes Utilizados
As informações neste documento são baseadas nestas versões de software e hardware:
- 9800-CL versão 16.12
- aplicativo OpenSSL
As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. All of the devices used in this document started with a cleared (default) configuration. Se a rede estiver ativa, certifique-se de que você entenda o impacto potencial de qualquer comando.
Configurar
Em 16.10, os 9800s não suportam ter um certificado diferente para autenticação da Web e o portal de login da Web sempre usará o certificado padrão.
Em 16.11, você pode configurar um certificado dedicado para autenticação da Web definindo o ponto de confiança dentro do mapa de parâmetros.
Há duas opções para obter um certificado para uma WLC 9800.
- Gerar solicitação de assinatura de certificado (CSR) usando OpenSSL. Obtenha um certificado PKCS12 assinado por sua CA e carregue-o diretamente na WLC 9800. Isso significa que a chave privada está empacotada com esse certificado.
- Use a Interface de Linha de Comando (CLI) do 9800 WLC para gerar uma Solicitação de Assinatura de Certificado (CSR), obtê-la assinada por uma Autoridade de Certificação e carregar o certificado assinado
Use a que melhor se adapta a você.
Opção 1: Carregar um certificado assinado PKCS12 existente (o certificado e a chave estão desligados)
Gerar uma solicitação de assinatura e obtê-la assinada por uma CA
Se ainda não tiver o certificado, será necessário gerar uma solicitação de assinatura para fornecer à sua CA.
Copie e cole o conteúdo abaixo em seu diretório de trabalho (em um laptop com o OpenSSL instalado) no arquivo "config.cnf", por exemplo.
[ req ] default_bits = 4096 distinguished_name = req_distinguished_name req_extensions = req_ext [ req_distinguished_name ] countryName = Country Name (2 letter code) stateOrProvinceName = State or Province Name (full name) localityName = Locality Name (eg, city) organizationName = Organization Name (eg, company) commonName = Common Name (e.g. server FQDN or YOUR name) [ req_ext ] subjectAltName = @alt_names [alt_names] DNS.1 = bestflare.com DNS.2 = usefulread.com DNS.3 = chandank.com
Substitua os nomes DNS.X pelos nomes de alteração do assunto. Substitua os campos principais pelo detalhe do certificado desejado.
Certifique-se de repetir o nome comum nos campos de SAN (DNS.x). O Chrome exigirá que o nome presente no URL esteja nos campos da SAN para confiar no certificado.
No caso do administrador da Web, você também deseja preencher campos de SAN com variações do URL (apenas nome do host, ou FQDN completo, por exemplo) para que o certificado corresponda independentemente do que o administrador digitar na barra de URL
Agora você pode gerar o CSR com
openssl req -out myCSR.csr -newkey rsa:4096 -nodes -keyout private.key -config config.cnf
Certifique-se de manter seu arquivo "private.key" seguro!
O CSR será gerado como myCSR.csr
Você pode verificar seu conteúdo com
openssl req -noout -text -in myCSR.csr
Em seguida, você pode fornecer esse CSR à sua CA para que ela seja assinada e receba um certificado de volta.
Importar o certificado
Etapa 1. Salve seu certificado PKCS12 em um servidor TFTP (Trivial File Transfer Protocol) que pode ser acessado da WLC 9800. O certificado PKCS12 deve conter a chave privada e a cadeia de certificados até a CA raiz.
Etapa 2. Abra a GUI do seu 9800 WLC e navegue até Configuration > Security > Web Auth > Certificate e clique em Import New.
Etapa 3. Insira as informações solicitadas e clique em Importar.
Depois disso, você verá o novo certificado carregado.
CLI:
# config t # crypto pki import <cert-filename> pkcs12 tftp://<TFTP-IP>/<cert-filename> password <cert-password>
É importante usar o nome exato do arquivo como o nome do ponto de confiança no comando acima.
Cenário de conversão e certificado encadeado (AC de vários níveis)
É muito importante observar que atualmente o 9800 não apresentará toda a cadeia se configurado para usar um ponto de confiança para o webadmin ou webauth. Ele apresentará apenas o certificado do dispositivo e sua CA.
Você pode acabar em uma situação em que tenha um arquivo-chave e certificado no formato PEM e queira combiná-los em um formato PKCS12 (.pfx)
openssl pkcs12 -export -in <PEM certificate filename> -inkey <privatekey.key> -out <output new .pfx filename>
Caso você tenha uma cadeia de certificados (CA raiz e intermediária) no formato PEM, é necessário combinar tudo em um único arquivo .pfx.
Primeiro, combine manualmente os certificados CA em um único arquivo como abaixo. Isso pode ser feito simplesmente colando o conteúdo juntos:
----- BEGIN Certificate -------- <intermediate CA cert> ------END Certificate -------- -----BEGIN Certificate ----- <root CA cert> -----END Certificate--------
Você pode combinar tudo em um arquivo de certificado PKCS12 com:
openssl pkcs12 -export -out chaincert.pfx -inkey <deviceprivatekey> -in <device private certificate> -certfile <combined CA file you just built above>
Consulte a seção de verificação no final do artigo para ver como o certificado final deve ser
Opção 2: Gere uma chave e uma solicitação de assinatura (CSR) na WLC 9800, obtenha-a assinada e adicione-a à WLC
Etapa 1. Gere um par de chaves RSA de propósito geral.
Faça login pelo Secure Shell (SSH) em sua WLC 9800 e emita esses comandos. Optamos por nomear nosso par de chaves como chaves, mas você pode definir o nome desejado:
# configure terminal # crypto key generate rsa general-keys label ewlc-keys exportable The name for the keys will be: ewlc-keys Choose the size of the key modulus in the range of 360 to 4096 for your General Purpose Keys. Choosing a key modulus greater than 512 may take a few minutes. How many bits in the modulus [512]: 2048 % Generating 2048 bit RSA keys, keys will be exportable... [OK] (elapsed time was 1 seconds)
Etapa 2. Gerar um CSR para sua WLC virtual 9800. Certifique-se de escolher um CN (e outras opções de certificado) que corresponda ao URL que será visitado (página de convidado, página de administrador da Web, dependendo dos casos de uso). Optamos por nomear nosso certificado ewlc-cert neste exemplo, mas você pode escolher o nome que prefere diferenciar seus certificados.
# configure terminal
(config)#crypto pki trustpoint ewlc-cert
(ca-trustpoint)# enrollment terminal pem
(ca-trustpoint)# revocation-check none
(ca-trustpoint)# subject-name C=MX, ST=Nuevo Leon, L=Guadalupe, O=lab-wireless, OU=mex-wireless, CN=public-guest.lab-kcg.com
(ca-trustpoint)# rsakeypair ewlc-keys
(ca-trustpoint)# exit
(config)#crypto pki enroll ewlc-cert
% Start certificate enrollment ..
% The subject name in the certificate will include: C=MX, ST=Nuevo Leon, L=Guadalupe, O=lab-wireless, OU=mex-wireless, CN=public-guest.lab-kcg.com
% The subject name in the certificate will include: 9800 WLC-karlcisn-Public.lab-kcg.com
% Include the router serial number in the subject name? [yes/no]: no
% Include an IP address in the subject name? [no]: no
Display Certificate Request to terminal? [yes/no]: yes
Certificate Request follows:
-----BEGIN CERTIFICATE REQUEST-----
*9800 WLC CSR*
-----END CERTIFICATE REQUEST-----
---End - This line not part of the certificate request---
Redisplay enrollment request? [yes/no]: no
C : País
ST: Algum Estado se refere ao Nome do Estado ou Província
L: Nome do local, refere-se à cidade
O: Nome da organização, referência à empresa
OU: Nome da unidade organizacional, pode se referir à seção.
CN: (Nome Comum)Refere-se ao assunto para o qual o certificado será emitido, você deve especificar o endereço IP virtual da WLC 9800, o nome de host associado ao endereço IP virtual da WLC 9800, o endereço IP de gerenciamento ou o nome de host associado ao endereço IP de gerenciamento.
Etapa 3. Obtenha seu CSR assinado pela Autoridade de Certificação (CA)
A string completa precisará ser enviada para sua CA para que seja assinada.
-----BEGIN CERTIFICATE REQUEST-----
*9800 WLC CSR*
-----END CERTIFICATE REQUEST-----
Se utilizar uma AC do Windows Server para assinar o certificado, transfira o certificado resultante no formato Base64.
Etapa 4. Faça com que a WLC 9800 confie na sua CA
Você deve obter o certificado raiz da CA que assinou o CSR da WLC 9800 no formato .pem.
Depois de tê-lo, faça login por SSH ou Telnet no WLC 9800 e execute esses comandos para copiar e colar o certificado raiz.
# config t (config)# crypto pki authenticate ewlc-cert Enter the base 64 encoded CA certificate. End with a blank line or the word "quit" on a line by itself -----BEGIN CERTIFICATE----- *Issuing CA certificate* -----END CERTIFICATE-----
Certificate has the following attributes: Fingerprint MD5: DD05391A 05B62573 A38C18DD CDA2337C Fingerprint SHA1: 596DD2DC 4BF26768 CFB14546 BC992C3F F1408809 % Do you accept this certificate? [yes/no]: yes Trustpoint CA certificate accepted. % Certificate successfully imported
Etapa 5. Carregue o certificado assinado na WLC 9800.
Execute esse comando para carregar o certificado assinado que você obteve da sua CA para a WLC 9800.
(config)#crypto pki import ewlc-cert certificate Enter the base 64 encoded certificate. End with a blank line or the word "quit" on a line by itself -----BEGIN CERTIFICATE----- *9800 WLC Signed Certificate* -----END CERTIFICATE----- quit % Router Certificate successfully imported
Usar o novo certificado
É muito importante observar que atualmente o 9800 não apresentará toda a cadeia se configurado para usar um ponto de confiança para o webadmin ou webauth. Ele apresentará apenas o certificado do dispositivo e sua CA.
Administrador da Web
Aponte a página da Web do administrador para usar o certificado assinado, salve a configuração. Também é mais fácil fazer isso a partir da interface do usuário da Web em Administration-> HTTP
# configure terminal # ip http secure-trustpoint ewlc-cert #
Autenticação da Web local
Aponte o mapa de parâmetros de autenticação da Web para usar o certificado para o portal de login da Web .
# configure terminal
#(config)#parameter-map type webauth global
#(config-parameter-map)#trustpoint <trustpoint name>
Lembre-se de que para os clientes confiarem no certificado de autenticação da Web, você precisará definir um nome de host que corresponda ao CN do certificado no ip virtual do mapa de parâmetros global.
(config-params-parameter-map)#virtual-ip ipv4 192.0.2.1 virtual-host test9800.eu-central-1.compute.internal
Se você não quiser recarregar a WLC 9800, reiniciar o servidor web pode fazer o truque:
# configure terminal # no ip http server
# ip http server
# end
Considerações sobre alta disponibilidade
No SSO 9800 HA, todos os certificados são replicados do principal para o secundário quando eles são emparelhados inicialmente. Isso inclui até mesmo certificados em que a chave privada foi gerada no próprio controlador e mesmo que a chave RSA não seja exportável.
Após o HA ser estabelecido, qualquer novo certificado instalado será instalado em ambos os controladores e todos os certificados serão replicados em tempo real.
Após o failover, o controlador antigo-secundário-agora-ativo usará os certificados herdados do primário de forma transparente.
Como garantir que o certificado seja confiável pelos navegadores da Web
Há alguns pontos importantes para um certificado ser confiável:
- Seu nome comum (ou um campo SAN) deve corresponder ao URL visitado pelo navegador
- Deve estar dentro do seu prazo de validade
- Ele deve ser emitido por uma CA ou cadeia de CA cuja raiz é confiável pelo navegador. Para isso, o certificado fornecido pelo servidor Web deve conter todos os certificados da cadeia até (não necessariamente incluído) um certificado confiável pelo navegador do cliente (normalmente a CA raiz).
Nota de certificados curinga
O Catalyst 9800 suporta o uso de nomes de domínio curinga no campo CN do certificado.
Verificar
Você pode usar estes comandos para verificar a configuração dos certificados:
# show crypto pki certificates
Certificate
Status: Available
Certificate Serial Number (hex): 00A2020356CF31C818
Certificate Usage: General Purpose
Issuer:
cn=CA-KCG-lab
ou=lab-mex-wireless
o=mex-wireless
l=Guadalupe
st=Nuevo Leon
c=MX
Subject:
Name: *.lab-kcg.com
cn=*.lab-kcg.com
ou=lab-mex-wireless
o=mex-wireless
l=Benito Juarez
st=CDMX
c=MX
Validity Date:
start date: 17:14:54 UTC Feb 15 2018
end date: 17:14:54 UTC Mar 11 2023
Associated Trustpoints: cert-name
Storage: nvram:CA-KCG-lab#C818.cer
# show ip http server secure status
HTTP secure server status: Enabled
HTTP secure server port: 443
HTTP secure server ciphersuite: 3des-ede-cbc-sha aes-128-cbc-sha
aes-256-cbc-sha dhe-aes-128-cbc-sha ecdhe-rsa-3des-ede-cbc-sha
rsa-aes-cbc-sha2 rsa-aes-gcm-sha2 dhe-aes-cbc-sha2 dhe-aes-gcm-sha2
ecdhe-rsa-aes-cbc-sha2 ecdhe-rsa-aes-gcm-sha2
HTTP secure server TLS version: TLSv1.2 TLSv1.1 TLSv1.0
HTTP secure server client authentication: Disabled
HTTP secure server trustpoint: cert-name
HTTP secure server active session modules: ALL
Você pode verificar sua cadeia de certificados no 9800. No caso de um certificado de dispositivo emitido por uma CA intermediária, ela própria emitida por uma CA raiz, você terá um ponto de confiança por grupos de 2 certificados. Nesse caso, teremos "nicochain" com o certificado do dispositivo (certificado WLC) e sua CA (CA intermediária) de emissão. Em seguida, temos outro ponto de confiança com a CA raiz que emite essa CA intermediária.
test9800#show crypto pki certificate nicochain
Certificate
Status: Available
Certificate Serial Number (hex): 1234
Certificate Usage: General Purpose
Issuer:
e=int@int.com
cn=intermediate.com
ou=TAC
o=Cisco
st=Diegem
c=BE
Subject:
Name: TAC
cn=TAC
o=Cisco
l=Diegem
st=Diegem
c=BE
Validity Date:
start date: 16:39:05 CET Feb 26 2020
end date: 16:39:05 CET Jun 3 2030
Associated Trustpoints: nicochain
CA Certificate
Status: Available
Certificate Serial Number (hex): 1000
Certificate Usage: Signature
Issuer:
e=root@root.com
cn=RootCA.root.com
ou=TAC
o=Cisco
l=Diegem
st=Diegem
c=BE
Subject:
e=int@int.com
cn=intermediate.com
ou=TAC
o=Cisco
st=Diegem
c=BE
Validity Date:
start date: 16:38:36 CET Feb 26 2020
end date: 16:38:36 CET Feb 23 2030
Associated Trustpoints: nicochain
test9800#show crypto pki certificate nicochain-rrr1
CA Certificate
Status: Available
Certificate Serial Number (hex): 00
Certificate Usage: Signature
Issuer:
e=root@root.com
cn=RootCA.root.com
ou=TAC
o=Cisco
l=Diegem
st=Diegem
c=BE
Subject:
e=root@root.com
cn=RootCA.root.com
ou=TAC
o=Cisco
l=Diegem
st=Diegem
c=BE
Validity Date:
start date: 16:38:14 CET Feb 26 2020
end date: 16:38:14 CET Feb 23 2030
Associated Trustpoints: nicochain-rrr1
Verificação de certificado com OpenSSL
O OpenSSL pode ser útil para verificar o certificado em si ou realizar algumas operações de conversão.
Para exibir um certificado com OpenSSL:
openssl x509 -in <certificatefile> -text
para exibir o conteúdo de uma solicitação de assinatura de certificado:
openssl req -noout -text -in <CSR filename>
Se você quiser verificar o certificado resultante na WLC 9800, mas quiser usar algo além do seu navegador, o OpenSSL pode fazer isso e fornecer muitos detalhes.
openssl s_client -showcerts -verify 5 -connect <wlcURL>:443
Você pode substituir <wlcURL> pelo URL do webadmin do 9800 ou pelo URL do portal do convidado. Você também pode colocar um endereço IP lá, ele informará qual cadeia de certificados é recebida, mas a validação de certificado nunca poderá estar 100% correta se estiver usando um endereço IP em vez de um nome de host.
Para visualizar o conteúdo e verificar um certificado PKCS12 (.pfx) ou cadeia de certificados :
openssl pkcs12 -info -in <path to cert>
Aqui está um exemplo do comando acima em uma cadeia de certificado em que o certificado do dispositivo é emitido ao TAC por uma CA intermediária chamada "intermediário.com", emitida por uma CA raiz chamada "root.com" :
openssl pkcs12 -info -in chainscript2.pfx
Enter Import Password:
MAC Iteration 2048
MAC verified OK
PKCS7 Encrypted data: pbeWithSHA1And40BitRC2-CBC, Iteration 2048
Certificate bag
Bag Attributes
localKeyID: 1D 36 8F C2 4B 18 0B 0D B2 57 A2 55 18 96 7A 8B 57 F9 CD FD
subject=/C=BE/ST=Diegem/L=Diegem/O=Cisco/CN=TAC
issuer=/C=BE/ST=Diegem/O=Cisco/OU=TAC/CN=intermediate.com/emailAddress=int@int.com
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----
Certificate bag
Bag Attributes: <No Attributes>
subject=/C=BE/ST=Diegem/O=Cisco/OU=TAC/CN=intermediate.com/emailAddress=int@int.com
issuer=/C=BE/ST=Diegem/L=Diegem/O=Cisco/OU=TAC/CN=RootCA.root.com/emailAddress=root@root.com
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----
Certificate bag
Bag Attributes: <No Attributes>
subject=/C=BE/ST=Diegem/L=Diegem/O=Cisco/OU=TAC/CN=RootCA.root.com/emailAddress=root@root.com
issuer=/C=BE/ST=Diegem/L=Diegem/O=Cisco/OU=TAC/CN=RootCA.root.com/emailAddress=root@root.com
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----
PKCS7 Data
Shrouded Keybag: pbeWithSHA1And3-KeyTripleDES-CBC, Iteration 2048
Bag Attributes
localKeyID: 1D 36 8F C2 4B 18 0B 0D B2 57 A2 55 18 96 7A 8B 57 F9 CD FD
Key Attributes: <No Attributes>
Enter PEM pass phrase:
Verifying - Enter PEM pass phrase:
-----BEGIN ENCRYPTED PRIVATE KEY-----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-----END ENCRYPTED PRIVATE KEY-----
Troubleshoot
Use este comando para solucionar problemas.
# debug crypto pki transactions
Cenário: Tentando importar um certificado PKCS12 que está faltando na CA
Se você estiver importando um certificado e obtendo o seguinte erro de que CA não foi encontrada, isso pode significar que o arquivo pfx não contém a cadeia completa adequada
WLC(config)#crypto pki import pkcs12.pfx pkcs12 bootflash:pks12.pfx password <pwd removed> % Importing pkcs12... Source filename [pks12.pfx]? Reading file from bootflash:pks12.pfx % Warning: CA cert is not found. The imported certs might not be usable.
Se você executar o comando openssl pkcs12 -info -in <path to cert> e somente um certificado com uma chave privada show, isso significa que a CA está ausente. Como regra geral, esse comando deve listar sua cadeia completa de certificados. Ele não exige incluir a AC raiz superior se já for conhecido pelos navegadores clientes.
Uma maneira de corrigir isso é desconstruir o PKCS12 no PEM e reconstruir a cadeia corretamente. No exemplo a seguir, tínhamos um arquivo .pfx que continha apenas o certificado do dispositivo (WLC) e sua chave. Ele foi emitido por uma CA intermediária (que não estava presente no arquivo pkcs12) que, por sua vez, foi assinada por uma CA raiz bem conhecida.
Etapa1. Exportar a chave privada para fora
openssl pkcs12 -in <pkcs12 file> -out cert.key -nocerts -nodes
Etapa 2. O certificado como PEM
openssl pkcs12 -in <pkcs12 file> -out certificate.pem -nokeys -clcerts
Etapa 3. Faça o download do certificado CA intermediário como PEM.
Para isso, uma simples pesquisa online para a CA (se for pública) deve ser suficiente para encontrar uma página onde baixá-la como PEM.
No caso de vários níveis de CA intermediário, podemos concatenar todos eles em um único arquivo PEM que chamaremos CA.pem
Etapa 4. Reconstrua o PKCS 12 da chave,certificado do dispositivo e certificado CA.
openssl pkcs12 -export -out fixedcertchain.pfx -inkey cert.key -in certificate.pem -certfile CA.pem
Agora temos o "fixedcertchain.pfx" que podemos importar alegremente para o Catalyst 9800!
FeedbackContate a Cisco
- Abrir um caso de suporte
- (É necessário um Contrato de Serviço da Cisco)