在Catalyst 9800 WLC上生成并下载CSR证书
目录
简介
本文档介绍如何生成证书签名请求(CSR)以获取第三方证书。然后,如何将链接证书下载到Catalyst 9800无线LAN控制器(9800 WLC),并用于webauth和webadmin门户。
先决条件
要求
Cisco 建议您了解以下主题:
- 如何配置9800 WLC(接入点(AP))以执行基本操作
- 如何使用OpenSSL应用
- 公钥基础设施(PKI)和数字证书
使用的组件
本文档中的信息基于以下软件和硬件版本:
- 9800-L,Cisco IOS® XE版本17.3.3
- OpenSSL应用
本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您的网络处于活动状态,请确保您了解所有命令的潜在影响。
配置
在16.10.X上,9800s不支持用于Web身份验证和Web管理的其他证书。Web登录门户始终使用默认证书。
在16.11.X上,您可以配置用于Web身份验证的专用证书,在全局参数映射内定义信任点。
有两个选项可获取9800 WLC的证书。
- 使用OpenSSL或任何其他SSL应用生成证书签名请求(CSR)。获取由证书颁发机构(CA)签名的PKCS12证书,并直接将其加载到9800 WLC。这意味着私钥与该证书捆绑。
- 使用9800 WLC的CLI生成 CSR,让CA签名,然后手动将链中的每个证书加载到9800 WLC。
使用最符合您需求的产品。
选项1 — 加载已存在的PKCS12签名证书
定义签名请求
如果您尚未获得证书,则需要生成签名请求以提供给CA。
从工作目录(在安装了OpenSSL的笔记本电脑上)编辑openssl.cnf文件,复制并粘贴这些行,以在新创建的CSR中包括“主题备用名称(SAN)”字段。
[ req ] default_bits = 4096 distinguished_name = req_distinguished_name req_extensions = req_ext [ req_distinguished_name ] countryName = Country Name (2 letter code) stateOrProvinceName = State or Province Name (full name) localityName = Locality Name (eg, city) organizationName = Organization Name (eg, company) commonName = Common Name (e.g. server FQDN or YOUR name) [ req_ext ] subjectAltName = @alt_names [alt_names] DNS.1 = testdomain.com DNS.2 = example.com DNS.3 = webadmin.com
将DNS.X名称替换为SAN。将主字段替换为所需的证书详细信息。确保在SAN字段(DNS.x)中重复“Common Name”。 Google Chrome要求URL中的名称位于SAN字段中,以便信任证书。
对于Web管理员,您还需要用URL的变体(例如,主机名或完整的完全限定域名(FQDN))填充SAN字段,以便证书与浏览器地址栏中URL中的任何管理类型都匹配。
使用以下命令从OpenSSL生成CSR:
openssl req -out myCSR.csr -newkey rsa:4096 -nodes -keyout private.key -config openssl.cnf
除非为命令提供完整路径,否则CSR会在运行OpenSSL的目录中生成myCSR.csr和其private.key。
确保private.key文件在用于加密通信时保持安全。
您可以通过以下方式验证其内容:
openssl req -noout -text -in myCSR.csr
然后,您可以将此CSR提供给您的CA,使其签名并接收证书。确保从CA下载完整链,并确保证书采用Base64格式,以防其需要进一步操作。
导入证书
步骤1.将PKCS12证书保存在可从9800 WLC访问的简单文件传输协议(TFTP)服务器上。PKCS12证书必须包含私钥以及证书链(最多到根CA)。
步骤2.打开9800 WLC的GUI并导航至Configuration > Security > PKI Management,然后单击Add Certificate选项卡。展开Import PKCS12 Certificate菜单并填写TFTP详细信息。或者,“传输类型”下拉列表中的“桌面”(HTTPS)选项允许通过浏览器进行HTTP上传。Certificate Password是指生成PKCS12证书时使用的密码。
步骤3.检验信息是否正确,然后单击“导入”。之后,您会在Key Pair Generation(密钥对生成)选项卡中看到此新信任点的新证书密钥对。成功导入后,9800 WLC还为多级CA创建一个附加信任点。
CLI:
9800# configure terminal
9800(config)#crypto pki import
pkcs12 [tftp://
/
| ftp://
/
| http://
/
] password
多级CA场景中的PKCS12格式转换和证书链。
最终,您可能拥有PEM或CRT格式的私钥文件和证书,并希望将其合并为PKCS12(.pfx)格式,以上传到9800 WLC。要执行此操作,请输入以下命令:
openssl pkcs12 -export -in
-inkey
-out
如果证书链(一个或多个中间CA和根CA)全部采用PEM格式,则需要将所有证书组合到一个.pfx文件中。
首先,将CA证书手动合并到一个文件中。复制并粘贴内容(以.pem格式保存文件):
----- BEGIN Certificate -------- <intermediate CA cert> ------END Certificate -------- -----BEGIN Certificate ----- <root CA cert> -----END Certificate--------
之后,您可以将所有证书合并到一个PKCS12证书文件中,与:
openssl pkcs12 -export -out chaincert.pfx -inkey
-in
-certfile
请参阅文章末尾的“验证”部分,了解最终证书的外观。
选项2 — 在9800 WLC上定义密钥和签名请求(CSR)
步骤1.生成通用RSA密钥对。导航至Configuration > Security > PKI Management,选择Key Pair Generation选项卡,然后单击+ Add。输入详细信息,确保选中Key Exportable复选框,然后单击Generate。
CLI 配置:
9800(config)#crypto key generate rsa general-keys label 9800-keys exportable
The name for the keys will be: 9800-keys
Choose the size of the key modulus in the range of 512 to 4096 for your
General Purpose Keys. Choosing a key modulus greater than 512 may take
a few minutes.
How many bits in the modulus [1024]: 4096
% Generating 4096 bit RSA keys, keys will be exportable...
[OK] (elapsed time was 9 seconds)
第二步:为9800 WLC生成CSR。导航至“添加证书”选项卡并展开“生成证书签名请求”,填写详细信息并从下拉列表中选择之前创建的密钥对。Domain Name 必须与9800 WLC(Web管理页、Web身份验证页等)上为客户端访问定义的URL匹配,Certificate Name 是信任点名称,因此您可以根据其使用情况命名。
确保信息正确,然后单击“生成”。这会在原始表单旁边的文本框中显示CSR。
复制将副本保存到剪贴板,以便您可以将其粘贴到文本编辑器并保存CSR。如果选择“保存到设备”,则9800 WLC会创建CSR的副本并将其存储在bootflash:/csr中。例如,请遵循以下命令:
9800#dir bootflash:/csr
Directory of bootflash:/csr/
1046531 -rw- 1844 Sep 28 2021 18:33:49 +00:00 9800-CSR1632856570.csr
26458804224 bytes total (21492699136 bytes free)
9800#more bootflash:/csr/9800-CSR1632856570.csr
-----BEGIN CERTIFICATE REQUEST-----
<Certificate Request>
-----END CERTIFICATE REQUEST-----
CLI 配置:
9800(config)#crypto pki trustpoint 9800-CSR
9800(ca-trustpoint)#enrollment terminal pem
9800(ca-trustpoint)#revocation-check none
9800(ca-trustpoint)#subject-name C=MX, ST=CDMX, L=Mexico City, O=Cisco Systems, OU=Wireless TaC, CN=alz-9800.local-domain.com
9800(ca-trustpoint)#rsakeypair 9800-keys
9800(ca-trustpoint)#exit
(config)#crypto pki enroll 9800-CSR
% Start certificate enrollment ..
% The subject name in the certificate will include: C=MX, ST=CDMX, L=Mexico City, O=Cisco Systems, OU=Wireless TaC, CN=alz-9800.local-domain.com
% The subject name in the certificate will include: alz-9800
% Include the router serial number in the subject name? [yes/no]: no
% Include an IP address in the subject name? [no]: no
Display Certificate Request to terminal? [yes/no]: yes
Certificate Request follows:
-----BEGIN CERTIFICATE REQUEST-----
<Certificate Request>
-----END CERTIFICATE REQUEST-----
---End - This line not part of the certificate request---
Redisplay enrollment request? [yes/no]: no
可用于主题名称配置的参数:
C:国家,只能是两个大写字母。
ST:某些州,是指省或省的名称。
L:位置名称,指城市。
O:组织名称,指公司。
OU:组织单位名称,请参阅部分。
CN:(公用名)指证书颁发到的使用者,必须指定要访问的特定IP地址(无线管理IP、虚拟IP等)或配置了FQDN的主机名。
步骤3.让您的CSR由认证机构(CA)签署。 需要将完整字符串发送到CA以使其签名。
-----BEGIN CERTIFICATE REQUEST-----
<Certificate Request>
-----END CERTIFICATE REQUEST-----
如果使用Windows Server CA对证书进行签名,请下载Base64格式的签名证书。否则,您需要使用Windows证书管理器等实用程序导出。
步骤4a.使9800信任颁发者CA。以.pem格式(Base64)下载颁发者CA证书。 展开同一菜单中的Authentication Root CA部分,从Trustpoint 下拉列表中选择以前定义的信任点,然后粘贴颁发者CA证书。确保正确配置了详细信息,然后单击Authenticate。
CLI 配置:
9800(config)# crypto pki authenticate 9800-CSR
Enter the base 64 encoded CA certificate.
End with a blank line or the word "quit" on a line by itself
-----BEGIN CERTIFICATE-----
-----END CERTIFICATE-----
Certificate has the following attributes:
Fingerprint MD5: DD05391A 05B62573 A38C18DD CDA2337C
Fingerprint SHA1: 596DD2DC 4BF26768 CFB14546 BC992C3F F1408809
% Do you accept this certificate? [yes/no]: yes
Trustpoint CA certificate accepted.
% Certificate successfully imported
步骤4b.在存在多个授权级别的场景中,每个CA级别都需要一个新的信任点。这些信任点仅包含身份验证证书并指向下一级身份验证。此过程仅在CLI中完成,在本示例中有两个中间CA和一个根CA:
9800(config)#crypto pki trustpoint root
9800(ca-trustpoint)#enrollment terminal
9800(ca-trustpoint)#chain-validation stop
9800(ca-trustpoint)#revocation-check none
9800(ca-trustpoint)#exit
9800(config)#crypto pki authenticate root
Enter the base 64 encoded CA certificate.
End with a blank line or the word "quit" on a line by itself
-----BEGIN CERTIFICATE-----
-----END CERTIFICATE-----
Certificate has the following attributes:
Fingerprint MD5: 6CAC00D5 C5932D01 B514E413 D41B37A8
Fingerprint SHA1: 5ABD5667 26B7BD0D 83BDFC34 543297B7 3D3B3F24
% Do you accept this certificate? [yes/no]: yes
Trustpoint CA certificate accepted.
% Certificate successfully imported
9800(config)#crypto pki trustpoint intermediate
9800(ca-trustpoint)#enrollment terminal
9800(ca-trustpoint)#chain-validation continue root
9800(ca-trustpoint)#revocation-check none
9800(ca-trustpoint)#exit
9800(config)#crypto pki authenticate intermediate
Enter the base 64 encoded CA certificate.
End with a blank line or the word "quit" on a line by itself
-----BEGIN CERTIFICATE-----
-----END CERTIFICATE-----
Certificate has the following attributes:
Fingerprint MD5: 2F3F1EF7 EDF66BE0 F4C9BDA1 01D8FFBA
Fingerprint SHA1: 1651F5C7 5D6F7A6B F411D529 34E980B1 D629A2B9
Certificate validated - Signed by existing trustpoint CA certificate.
Trustpoint CA certificate accepted.
% Certificate successfully imported
9800(config)#crypto pki trustpoint 9800-CSR
9800(ca-trustpoint)#chain-validation continue intermediate
9800(config)#crypto pki authenticate 9800-CSR
Enter the base 64 encoded CA certificate.
End with a blank line or the word "quit" on a line by itself
-----BEGIN CERTIFICATE-----
-----END CERTIFICATE-----
Certificate has the following attributes:
Fingerprint MD5: DD05391A 05B62573 A38C18DD CDA2337C
Fingerprint SHA1: 596DD2DC 4BF26768 CFB14546 BC992C3F F1408809
Certificate validated - Signed by existing trustpoint CA certificate.
Trustpoint CA certificate accepted.
% Certificate successfully imported
步骤5.将签名证书加载到9800 WLC。展开同一菜单中的“导入设备证书”部分。选择以前定义的Trustpoint并粘贴CA提供的签名设备证书。然后,在验证证书信息后单击“导入”。
CLI 配置:
9800(config)#crypto pki import 9800-CSR certificate
Enter the base 64 encoded certificate.
End with a blank line or the word "quit" on a line by itself
-----BEGIN CERTIFICATE-----
< 9800 device certificate >
-----END CERTIFICATE-----
% Router Certificate successfully imported
使用新证书
网络管理
导航至管理>管理> HTTP/HTTPS/Netconf,然后从信任点下拉列表中选择导入的证书。
CLI 配置:
9800(config)#ip http secure-trustpoint 9800.pfx 9800(config)#no ip http secure-server
9800(config)#ip http secure-server
本地Web身份验证
导航至Configuration > Security > Web Auth,选择全局参数映射,然后从Trustpoint 下拉列表中选择导入的信任点。单击更新并应用以保存更改。确保虚拟IPv4主机名与证书中的公用名匹配。
CLI 配置:
9800(config)#parameter-map type webauth global
9800(config-params-parameter-map)#type webauth
9800(config-params-parameter-map)#virtual-ip ipv4 192.0.2.1 virtual-host alz-9800.local-domain.com
9800(config-params-parameter-map)#trustpoint 9800-CSR
要更新证书使用情况,请重新启动HTTP服务:
9800(config)#no ip http server
9800(config)#ip http server
高可用性注意事项
在为状态化切换高可用性(HA SSO)配置的9800对上,所有证书在初始批量同步时从主要复制到辅助。这包括在控制器本身上生成私钥的证书,即使RSA密钥配置为不可导出。在建立HA对后,所有安装的新证书都安装在两个控制器上,并且所有证书都会实时复制。
故障后,从前辅助的现在处于活动状态的控制器以透明方式使用从主控制器继承的证书。
如何确保证书受Web浏览器信任
确保证书受Web浏览器信任,需要考虑以下重要事项:
- 其公用名(或SAN字段)必须与浏览器访问的URL匹配。
- 它必须在有效期内。
- 它必须由CA或CA链发出,其根由浏览器信任。为此,Web服务器提供的证书必须包含链的所有证书,直到(不一定包括)客户端浏览器信任的证书(通常是根CA)。
- 如果包含撤销列表,则浏览器需要能够下载这些列表,并且不能列出证书CN。
验证
您可以使用以下命令验证证书配置:
9800#show crypto pki certificate 9800.pfx
Certificate
Status: Available
Certificate Serial Number (hex): 1236
Certificate Usage: General Purpose
Issuer:
cn=Chuu Intermediate CA
ou=Chuu Wireless
o=Chuu Inc
st=CDMX
c=MX
Subject:
Name: alz-9800
e=user@example.com
cn=alz-9800
ou=Cisco Systems
o=Wireless TAC
l=CDMX
st=CDMX
c=MX
Validity Date:
start date: 17:54:45 Pacific Sep 28 2021
end date: 17:54:45 Pacific Sep 26 2031
Associated Trustpoints: 9800.pfx
CA Certificate
Status: Available
Certificate Serial Number (hex): 1000
Certificate Usage: Signature
Issuer:
cn=Chuu Root CA
ou=Chuu Wireless
o=Chuu Inc
l=Iztapalapa
st=CDMX
c=MX
Subject:
cn=Chuu Intermediate CA
ou=Chuu Wireless
o=Chuu Inc
st=CDMX
c=MX
Validity Date:
start date: 05:10:34 Pacific Apr 29 2020
end date: 05:10:34 Pacific Apr 27 2030
Associated Trustpoints: 9800.pfx
9800#show ip http server secure status
HTTP secure server status: Enabled
HTTP secure server port: 443
HTTP secure server ciphersuite: 3des-ede-cbc-sha aes-128-cbc-sha
aes-256-cbc-sha dhe-aes-128-cbc-sha ecdhe-rsa-3des-ede-cbc-sha
rsa-aes-cbc-sha2 rsa-aes-gcm-sha2 dhe-aes-cbc-sha2 dhe-aes-gcm-sha2
ecdhe-rsa-aes-cbc-sha2 ecdhe-rsa-aes-gcm-sha2
HTTP secure server TLS version: TLSv1.2 TLSv1.1 TLSv1.0
HTTP secure server client authentication: Disabled
HTTP secure server trustpoint: 9800.pfx
HTTP secure server active session modules: ALL
您可以在9800上验证证书链。如果设备证书由中间CA颁发,而本身由根CA颁发,则您有一个信任点,由两个证书组成,因此每个级别都有自己的信任点。在本例中,9800 WLC具有9800.pfx,带设备证书(WLC证书)及其颁发CA(中间CA)。 然后,具有发出该中间CA的根CA的另一个信任点。
9800#show crypto pki certificate 9800.pfx
Certificate
Status: Available
Certificate Serial Number (hex): 1236
Certificate Usage: General Purpose
Issuer:
cn=Chuu Intermediate CA
ou=Chuu Wireless
o=Chuu Inc
st=CDMX
c=MX
Subject:
Name: alz-9800
e=user@example.com
cn=alz-9800
ou=Cisco Systems
o=Wireless TAC
l=CDMX
st=CDMX
c=MX
Validity Date:
start date: 17:54:45 Pacific Sep 28 2021
end date: 17:54:45 Pacific Sep 26 2031
Associated Trustpoints: 9800.pfx
CA Certificate
Status: Available
Certificate Serial Number (hex): 1000
Certificate Usage: Signature
Issuer:
cn=Chuu Root CA
ou=Chuu Wireless
o=Chuu Inc
l=Iztapalapa
st=CDMX
c=MX
Subject:
cn=Chuu Intermediate CA
ou=Chuu Wireless
o=Chuu Inc
st=CDMX
c=MX
Validity Date:
start date: 05:10:34 Pacific Apr 29 2020
end date: 05:10:34 Pacific Apr 27 2030
Associated Trustpoints: 9800.pfx
9800#show crypto pki certificate 9800.pfx-rrr1
CA Certificate
Status: Available
Certificate Serial Number (hex): 00
Certificate Usage: Signature
Issuer:
cn=Chuu Root CA
ou=Chuu Wireless
o=Chuu Inc
l=Iztapalapa
st=CDMX
c=MX
Subject:
cn=Chuu Root CA
ou=Chuu Wireless
o=Chuu Inc
l=Iztapalapa
st=CDMX
c=MX
Validity Date:
start date: 04:58:05 Pacific Apr 29 2020
end date: 04:58:05 Pacific Apr 27 2030
Associated Trustpoints: 9800-CSR 9800.pfx-rrr1
使用OpenSSL进行证书验证
OpenSSL可用于验证证书本身或执行一些转换操作。
要显示带有OpenSSL的证书,请执行以下操作:
openssl x509 -in
-text
要显示CSR的内容:
openssl req -noout -text -in
如果要验证9800 WLC上的结束证书,但想使用浏览器以外的其他功能,OpenSSL可以执行此操作,并为您提供许多详细信息。
openssl s_client -showcerts -verify 5 -connect
:443
可以将<wlcURL>替换为9800的Webadmin或访客门户(虚拟IP)的URL。 您也可以将IP地址放在那里。它会告诉您收到的证书链,但当使用IP地址而不是主机名时,证书验证永远不能100%正确。
要查看内容并验证PKCS12(.pfx)证书或证书链:
openssl pkcs12 -info -in
以下是此命令在证书链上的示例,其中设备证书由名为“intermediate.com”的中间CA颁发给技术支持中心(TAC),该中间CA本身由名为“root.com”的根CA颁发:
openssl pkcs12 -info -in chainscript2.pfx
Enter Import Password:
MAC Iteration 2048
MAC verified OK
PKCS7 Encrypted data: pbeWithSHA1And40BitRC2-CBC, Iteration 2048
Certificate bag
Bag Attributes
localKeyID: 1D 36 8F C2 4B 18 0B 0D B2 57 A2 55 18 96 7A 8B 57 F9 CD FD
subject=/C=BE/ST=Diegem/L=Diegem/O=Cisco/CN=TAC
issuer=/C=BE/ST=Diegem/O=Cisco/OU=TAC/CN=intermediate.com/emailAddress=int@int.com
-----BEGIN CERTIFICATE-----
< Device certificate >
-----END CERTIFICATE-----
Certificate bag
Bag Attributes: <No Attributes>
subject=/C=BE/ST=Diegem/O=Cisco/OU=TAC/CN=intermediate.com/emailAddress=int@int.com
issuer=/C=BE/ST=Diegem/L=Diegem/O=Cisco/OU=TAC/CN=RootCA.root.com/emailAddress=root@root.com
-----BEGIN CERTIFICATE-----
< Intermediate certificate >
-----END CERTIFICATE-----
Certificate bag
Bag Attributes: <No Attributes>
subject=/C=BE/ST=Diegem/L=Diegem/O=Cisco/OU=TAC/CN=RootCA.root.com/emailAddress=root@root.com
issuer=/C=BE/ST=Diegem/L=Diegem/O=Cisco/OU=TAC/CN=RootCA.root.com/emailAddress=root@root.com
-----BEGIN CERTIFICATE-----
< Root certificate >
-----END CERTIFICATE-----
PKCS7 Data
Shrouded Keybag: pbeWithSHA1And3-KeyTripleDES-CBC, Iteration 2048
Bag Attributes
localKeyID: 1D 36 8F C2 4B 18 0B 0D B2 57 A2 55 18 96 7A 8B 57 F9 CD FD
Key Attributes: <No Attributes>
Enter PEM pass phrase:
Verifying - Enter PEM pass phrase:
-----BEGIN ENCRYPTED PRIVATE KEY-----
< Private key >
-----END ENCRYPTED PRIVATE KEY-----
故障排除
使用此命令排除故障。如果在远程会话(SSH或telnet)上完成,则需要终端监控器来显示输出:
9800#debug crypto pki transactions
成功的场景调试输出
此输出显示9800上成功导入证书时的预期输出。请使用此命令来参考并确定故障状态:
Sep 28 17:35:23.242: CRYPTO_PKI: Copying pkcs12 from bootflash:9800.pfx
Sep 28 17:35:23.322: CRYPTO_PKI: Creating trustpoint 9800.pfx
Sep 28 17:35:23.322: %PKI-6-TRUSTPOINT_CREATE: Trustpoint: 9800.pfx created succesfully
Sep 28 17:35:23.324: CRYPTO_PKI: examining cert:
Sep 28 17:35:23.324: CRYPTO_PKI: issuerName=cn=Chuu Intermediate CA,ou=Chuu Wireless,o=Chuu Inc,st=CDMX,c=MX
Sep 28 17:35:23.324: CRYPTO_PKI: subjectname=e=user@example.com,cn=alz-9800,ou=Cisco Systems,o=Wireless TAC,l=CDMX,st=CDMX,c=MX
Sep 28 17:35:23.324: CRYPTO_PKI: adding RSA Keypair
Sep 28 17:35:23.324: CRYPTO_PKI: bitValue of ET_KEY_USAGE = 140
Sep 28 17:35:23.324: CRYPTO_PKI: Certificate Key Usage = GENERAL_PURPOSE
Sep 28 17:35:23.324: %CRYPTO_ENGINE-5-KEY_ADDITION: A key named 9800.pfx has been generated or imported by pki-pkcs12
Sep 28 17:35:23.331: CRYPTO_PKI: adding as a router certificate.Public key in cert and stored public key 9800.pfx match
Sep 28 17:35:23.333: CRYPTO_PKI: examining cert:
Sep 28 17:35:23.333: CRYPTO_PKI: issuerName=cn=Chuu Root CA,ou=Chuu Wireless,o=Chuu Inc,l=Iztapalapa,st=CDMX,c=MX
Sep 28 17:35:23.333: CRYPTO_PKI: subjectname=cn=Chuu Intermediate CA,ou=Chuu Wireless,o=Chuu Inc,st=CDMX,c=MX
Sep 28 17:35:23.333: CRYPTO_PKI: no matching private key presents.
[...]
Sep 28 17:35:23.335: CRYPTO_PKI: Setting the key_type as RSA
Sep 28 17:35:23.335: CRYPTO_PKI: Attempting to insert the peer's public key into cache
Sep 28 17:35:23.335: CRYPTO_PKI:Peer's public inserted successfully with key id 21
Sep 28 17:35:23.336: Calling pkiSendCertInstallTrap to send alert
Sep 28 17:35:23.337: CRYPTO_PKI: Deleting cached key having key id 31
Sep 28 17:35:23.337: CRYPTO_PKI: Attempting to insert the peer's public key into cache
Sep 28 17:35:23.337: CRYPTO_PKI:Peer's public inserted successfully with key id 32
Sep 28 17:35:23.338: CRYPTO_PKI: (A0323) Session started - identity selected (9800.pfx)
Sep 28 17:35:23.338: CRYPTO_PKI: Rcvd request to end PKI session A0323.
Sep 28 17:35:23.338: CRYPTO_PKI
alz-9800#: PKI session A0323 has ended. Freeing all resources.
Sep 28 17:35:23.338: CRYPTO_PKI: unlocked trustpoint 9800.pfx, refcount is 0
Sep 28 17:35:23.338: CRYPTO_PKI: Expiring peer's cached key with key id 32Public key in cert and stored public key 9800.pfx match
Sep 28 17:35:23.341: Calling pkiSendCertInstallTrap to send alert
Sep 28 17:35:23.341: CRYPTO_PKI: cert verified and inserted.
Sep 28 17:35:23.402: CRYPTO_PKI: Creating trustpoint 9800.pfx-rrr1
Sep 28 17:35:23.402: %PKI-6-TRUSTPOINT_CREATE: Trustpoint: 9800.pfx-rrr1 created succesfully
Sep 28 17:35:23.403: CRYPTO_PKI: Setting the key_type as RSA
Sep 28 17:35:23.404: CRYPTO_PKI: Attempting to insert the peer's public key into cache
Sep 28 17:35:23.404: CRYPTO_PKI:Peer's public inserted successfully with key id 22
Sep 28 17:35:23.405: Calling pkiSendCertInstallTrap to send alert
Sep 28 17:35:23.406: CRYPTO_PKI: no CRLs present (expected)
Sep 28 17:35:23.406: %PKI-6-PKCS12_IMPORT_SUCCESS: PKCS #12 import in to trustpoint 9800.pfx successfully imported.
尝试导入没有CA的PKCS12证书
如果导入证书并收到错误:"找不到CA证书。",这表示.pfx文件不包含整个链或不存在一个CA。
9800(config)#crypto pki import pkcs12.pfx pkcs12 bootflash:pks12.pfx password
如果运行命令openssl pkcs12 -info -in <path to cert>,并且只显示一个带有一个私钥的证书,则表示CA不存在。根据经验,此命令最好列出整个证书链。如果客户端浏览器已知顶级根CA,则无需包括该CA。
解决此问题的一种方法是将PKCS12解构为PEM并正确重建链。在下一个示例中,我们有一个.pfx文件,仅包含设备(WLC)证书及其密钥。它由中间CA(PKCS12文件中不存在)发出,中间CA又由公认根CA签名。
步骤1.导出私钥。
openssl pkcs12 -in
-out cert.key -nocerts -nodes
步骤2.将证书导出为PEM。
openssl pkcs12 -in
-out certificate.pem -nokeys -clcerts
步骤3.将中间CA证书下载为PEM。
CA的来源取决于其性质,如果它是公共CA,则在线搜索就足以找到存储库。否则,CA管理员必须提供Base64格式(.pem)的证书。 如果有多个CA级别,则将它们分组到单个文件中,如选项1导入过程结束时显示的文件。
步骤4.从密钥、设备证书和CA证书重建PKCS 12。
openssl pkcs12 -export -out fixedcertchain.pfx -inkey cert.key -in certificate.pem -certfile CA.pem
现在,我们有“fixedcertchain.pfx”,可以愉快地导入到Catalyst 9800!
Revision History
| Revision | Publish Date | Comments |
|---|---|---|
2.0 |
05-Oct-2021 |
添加的参与者 |
1.0 |
21-Nov-2018 |
Initial Release |
反馈