生成第三方证书的CSR并且下载被串连的证书到Catalyst 9800无线控制器

Introduction

本文描述如何生成认证署名请求(CSR)为了获得一个第三方认证和如何下载一个被串连的认证到一个有弹性无线局域网webauth和webadmin门户的控制器(9800 WLC)和使用。

Prerequisites

Requirements

在您尝试此配置前， Cisco建议您有这些题目知识：

• 如何配置9800 WLC，轻量级接入点(LAP)基本操作的
• 如何使用Openssl应用程序
• 公共钥匙结构和数字证书

Components Used

本文档中的信息基于以下软件和硬件版本：

• 虚拟9800 WLC版本16.10
• Openssl应用程序

The information in this document was created from the devices in a specific lab environment.All of the devices used in this document started with a cleared (default) configuration.如果您的网络处于活动状态，请确保您了解所有命令的潜在影响。

Configure

在16.10， 9800s不支持有Web认证的一个dififerent认证，并且Web登录门户永远将使用默认认证。

在16.11，您能通过设置信任点配置Web认证的一个专用的认证在parameter-map里面。

获得签名的证书

有两获得一9800 WLC的一个认证的选项。

1. 生成认证署名请求(CSR)使用Openssl。获得PKCS12认证签字由您的CA并且装载它直接地对9800 WLC。这意味着专用密钥与该认证捆绑在一起。关于如何生成与Openssl的CSR的详情您能检查此链路： 与Openssl的CSR
2. 请使用9800 WLC's命令行界面(CLI)生成认证署名请求(CSR)，获得它签字由认证机构然后装载签名的证书

请使用更适合您的那个。

装载PKCS12签名的证书

GUI ： 

步骤1.保存您的PKCS12认证在从9800 WLC是可及的简单文件传输协议(TFTP)服务器

步骤2.打开您的9800个WLC's GUI并且连接对Configuration>安全> Web Auth >认证并且点击新的导入。

步骤3.输入被请求的信息并且点击导入。

以后您看到被装载的新证书。

CLI ：

# config t
# crypto pki import <cert-name> pkcs12 tftp://<TFTP-IP>/<cert-name> password <cert-password>

9800 WLC CSR生成和认证加载

步骤1.生成一个通用RSA密钥对。

由安全壳SSH登陆对您的9800 WLC并且发出这些命令。我们选择命名我们的密匙对ewlc键，但是您能设置您希望的名字：

# configure terminal
# crypto key generate rsa general-keys label ewlc-keys exportable

The name for the keys will be: ewlc-keys
Choose the size of the key modulus in the range of 360 to 4096 for your
  General Purpose Keys. Choosing a key modulus greater than 512 may take
  a few minutes.

How many bits in the modulus [512]: 2048
% Generating 2048 bit RSA keys, keys will be exportable...
[OK] (elapsed time was 1 seconds)

步骤2.生成您的虚拟9800 WLC的CSR。 保证选择了将匹配URL将被访问的CN (和其他认证选项) (guest页， Web管理员页面，根据使用事例)。我们选择在本例中命名我们的认证ewlc CERT，但是您能选择了您喜欢区分您的证书的名字。

# configure terminal
(config)#crypto pki trustpoint ewlc-cert
(ca-trustpoint)# enrollment terminal pem
(ca-trustpoint)# revocation-check none
(ca-trustpoint)# subject-name C=MX, ST=Nuevo Leon, L=Guadalupe, O=lab-wireless, OU=mex-wireless, CN=public-guest.lab-kcg.com
(ca-trustpoint)# rsakeypair ewlc-keys
(ca-trustpoint)# exit

(config)#crypto pki enroll ewlc-cert
% Start certificate enrollment ..

% The subject name in the certificate will include: C=MX, ST=Nuevo Leon, L=Guadalupe, O=lab-wireless, OU=mex-wireless, CN=public-guest.lab-kcg.com
% The subject name in the certificate will include: 9800 WLC-karlcisn-Public.lab-kcg.com
% Include the router serial number in the subject name? [yes/no]: no
% Include an IP address in the subject name? [no]: no
Display Certificate Request to terminal? [yes/no]: yes
Certificate Request follows:

-----BEGIN CERTIFICATE REQUEST-----
*9800 WLC CSR*
-----END CERTIFICATE REQUEST-----

---End - This line not part of the certificate request---

Redisplay enrollment request? [yes/no]: no

C：国家

ST ： 某个状态，是指状态或省名字

L ： 位置名称，是指城市

O ： 组织名字，对公司的referst

OU ： 组织单位名字，能是指部分。

CN ： (普通的名字)是指认证将被发行的主题，您必须指定您的9800 WLC的虚拟IP地址，主机名-被关联对您的9800 WLC的虚拟IP地址，管理IP地址或者主机名-被关联对管理IP地址。

步骤3.获得您的CSR签字由您的认证机构(CA)

充分的字符串将需要被发送到您的CA获得它签字。

-----BEGIN CERTIFICATE REQUEST-----
*9800 WLC CSR*
-----END CERTIFICATE REQUEST-----

 如果使用Windows服务器CA签署认证，请下载发生的认证以Base64格式。

第 4 步：做您9800 WLC信任您的CA

您必须从签署您的9800个WLC's CSR以.pem格式的CA获得根证明。

一旦有它，请由SSH或Telnet登陆对您的9800 WLC并且运行这些命令复制和插入根证明。

# config t
(config)# crypto pki authenticate ewlc-cert

Enter the base 64 encoded CA certificate.
End with a blank line or the word "quit" on a line by itself

-----BEGIN CERTIFICATE-----
*Root CA certificate*
-----END CERTIFICATE-----
quit
Certificate has the following attributes:
       Fingerprint MD5: DD05391A 05B62573 A38C18DD CDA2337C
      Fingerprint SHA1: 596DD2DC 4BF26768 CFB14546 BC992C3F F1408809

% Do you accept this certificate? [yes/no]: yes
Trustpoint CA certificate accepted.
% Certificate successfully imported

步骤5.装载签名的证书到9800 WLC。

运行这些发出命令装载您从您的CA进入9800 WLC的签名的证书。

(config)#crypto pki import ewlc-cert certificate

Enter the base 64 encoded certificate.
End with a blank line or the word "quit" on a line by itself

-----BEGIN CERTIFICATE-----
*9800 WLC Signed Certificate*
-----END CERTIFICATE-----
quit
% Router Certificate successfully imported

Note:多数已知CAs提供被串连的认证：根-->中间-->device。如果有根和中间设备您的使用CA必须指定设备和中间cert。

请使用新证书

指向admin网页使用签名的证书，保存配置并且重新载入9800 WLC做变动生效。 

# configure terminal
# ip http secure-trustpoint ewlc-cert
# end
# write
# reload

或者请指向Web认证参数映射使用认证Web登录门户。

# configure terminal
#(config)#parameter-map webauth
#(config-parameter-map)#trustpoint <trustpoint name>

如果不要重新载入9800 WLC，请重新启动Web服务器能获得成功：

# configure terminal
# no ip http server
# ip http server 
# end

Verify

您能使用这些命令验证证书配置：

# show crypto pki certificates <cert-name>

Certificate
 Status: Available
 Certificate Serial Number (hex): 00A2020356CF31C818
 Certificate Usage: General Purpose
 Issuer:
 cn=CA-KCG-lab
 ou=lab-mex-wireless
 o=mex-wireless
 l=Guadalupe
 st=Nuevo Leon
 c=MX
 Subject:
 Name: *.lab-kcg.com
 cn=*.lab-kcg.com
 ou=lab-mex-wireless
 o=mex-wireless
 l=Benito Juarez
 st=CDMX
 c=MX
 Validity Date:
 start date: 17:14:54 UTC Feb 15 2018
 end date: 17:14:54 UTC Mar 11 2023
 Associated Trustpoints: cert-name
 Storage: nvram:CA-KCG-lab#C818.cer

# show ip http server secure status

HTTP secure server status: Enabled
HTTP secure server port: 443
HTTP secure server ciphersuite: 3des-ede-cbc-sha aes-128-cbc-sha
 aes-256-cbc-sha dhe-aes-128-cbc-sha ecdhe-rsa-3des-ede-cbc-sha
 rsa-aes-cbc-sha2 rsa-aes-gcm-sha2 dhe-aes-cbc-sha2 dhe-aes-gcm-sha2
 ecdhe-rsa-aes-cbc-sha2 ecdhe-rsa-aes-gcm-sha2
HTTP secure server TLS version: TLSv1.2 TLSv1.1 TLSv1.0
HTTP secure server client authentication: Disabled
HTTP secure server trustpoint: cert-name
HTTP secure server active session modules: ALL

Troubleshoot

请使用此命令排除故障。

# debug crypto pki transactions