生成第三方证书的CSR并且下载被串连的证书到Catalyst 9800无线控制器

下载选项

PDF (360.9 KB)
在各种设备上使用 Adobe Reader 查看
ePub (215.6 KB)
在 iPhone、iPad、Android、Sony Reader 或 Windows Phone 上使用各种应用查看
Mobi (Kindle) (232.2 KB)
在 Kindle 设备上查看或在多个设备上使用 Kindle 应用查看

已更新: 2020 年 5 月 14 日

文档 ID:213917

关于翻译

关于此翻译

思科采用人工翻译与机器翻译相结合的方式将此文档翻译成不同语言，希望全球的用户都能通过各自的语言得到支持性的内容。请注意：即使是最好的机器翻译，其准确度也不及专业翻译人员的水平。 Cisco Systems, Inc. 对于翻译的准确性不承担任何责任，并建议您总是参考英文原始文档（已提供链接）。

简介

本文描述如何生成证书签名请求(CSR)为了获取一第三方证书和如何下载一被串连的证书到Catalyst 9800无线局域网webauth和webadmin门户的控制器(9800 WLC)和使用。

先决条件

要求

在您尝试此配置前， Cisco建议您有这些主题知识：

如何配置9800 WLC，轻量级接入点(LAP)基本操作的
如何使用Openssl应用程序
公共钥匙结构和数字证书

使用的组件

本文档中的信息基于以下软件和硬件版本：

9800-CL版本16.12
Openssl应用程序

本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始（默认）配置。如果您的网络处于活动状态，请确保您了解所有命令的潜在影响。

配置

在16.10， 9800s不支持有Web验证的一dififerent证书，并且Web登录门户永远将使用默认证书。

在16.11，您能通过设置信任点配置Web验证的一专用的证书在parameter-map里面。

有两选项获得一9800 WLC的一证书。

生成证书签名请求(CSR)使用Openssl。获得PKCS12证书签字由您的CA并且装载它直接地对9800 WLC。这意味着专用密钥与该证书捆绑在一起。
请使用9800 WLC's命令行界面(CLI)生成证书签名请求(CSR)，获得它签字由证书颁发机构然后装载签名证书

请使用更适合您的那个。

选项1 ：装载一现有PKCS12签名证书(证书和密钥箱外)

生成署名请求并且获得它签字由CA

如果没有证书，您将需要生成署名请求给到您的CA。

复制粘贴下面到您的工作目录(在有安装的Openssl)的笔记本电脑在“例如config.cnf”文件。

[ req ]
default_bits       = 4096
distinguished_name = req_distinguished_name
req_extensions     = req_ext
[ req_distinguished_name ]
countryName                 = Country Name (2 letter code)
stateOrProvinceName         = State or Province Name (full name)
localityName               = Locality Name (eg, city)
organizationName           = Organization Name (eg, company)
commonName                 = Common Name (e.g. server FQDN or YOUR name)
[ req_ext ]
subjectAltName = @alt_names
[alt_names]
DNS.1   = bestflare.com
DNS.2   = usefulread.com
DNS.3   = chandank.com

用您附属的Altername名称替换DNS.X名称。替换主要字段与您希望的证书详细信息。

您能当前生成CSR与

openssl req -out myCSR.csr -newkey rsa:4096 -nodes -keyout private.key -config config.cnf

 确保保持您的“private.key”文件安全!
 CSR将是生成作为myCSR.csr
 您能验证其内容与
 openssl req -noout -text -in myCSR.csr 
 您能然后提供此CSR给您的CA安排它签字和接收证书上一步。
 导入证书
 步骤1.保存您的在从9800 WLC是可及的简单文件传输协议(TFTP)服务器的PKCS12证书。PKCS12证书必须包含专用密钥以及证书链至根CA。
 步骤2.打开您的9800个WLC's GUI并且导航对Configuration>安全> Web验证>证书并且点击新建的导入。
 
 步骤3.输入请求的信息并且点击导入。
 
 以后您看到装载的新证书。
 
 CLI ：
 # config t
# crypto pki import <cert-filename> pkcs12 tftp://<TFTP-IP>/<cert-filename> password <cert-password>
 使用确切的文件名作为信任点名称在上述命令是重要的。
 转换和被串连的证书方案(多重CA)
 请注意非常若被设定9800当前不会提交全部的一系列使用信任点webadmin或webauth。它只将提交设备证书和其CA。
 您在您有一关键文件和证书在PEM格式的情况在PKCS12 (.pfx)格式可以结果和要结合他们
 openssl pkcs12 -export -in <PEM certificate filename> -inkey <privatekey.key> -out <output new .pfx filename>
 在您有全部在PEM格式证书的一系列的案件中(中间和根CA)，您在单个.pfx文件然后需要结合所有。
 首先，请手工结合在单个文件的CA证书类似下面。它可以由一起粘贴内容的复制完成：
 ----- BEGIN Certificate --------
<intermediate CA cert>
------END Certificate --------
-----BEGIN Certificate -----
<root CA cert>
-----END Certificate--------
 您在一PKCS12证书文件能然后结合所有与：
 openssl pkcs12 -export -out chaincert.pfx -inkey <deviceprivatekey> -in <device private certificate> -certfile <combined CA file you just built above>
 参考验证部分在条款结束时发现最终证书如何应该看起来象
 Option2:生成一个密钥和署名请求(CSR)在9800 WLC，获得它签字并且添加它到WLC
 步骤1.生成一个通用RSA密钥对。
 由安全壳SSH登陆对您的9800 WLC并且发出这些命令。我们选择命名我们的密钥对ewlc密钥，但是您能设置您希望的名称：
 # configure terminal
# crypto key generate rsa general-keys label ewlc-keys exportable

The name for the keys will be: ewlc-keys
Choose the size of the key modulus in the range of 360 to 4096 for your
  General Purpose Keys. Choosing a key modulus greater than 512 may take
  a few minutes.

How many bits in the modulus [512]: 2048
% Generating 2048 bit RSA keys, keys will be exportable...
[OK] (elapsed time was 1 seconds)
 步骤2.生成您的虚拟9800 WLC的CSR。 保证选择将匹配URL将被访问的CN (和其他证书选项) (guest页， Web管理员页面，根据使用事例)。我们选择在本例中命名我们的证书ewlc CERT，但是您能选择您喜欢区分您的证书的名称。
 # configure terminal
(config)#crypto pki trustpoint ewlc-cert
(ca-trustpoint)# enrollment terminal pem
(ca-trustpoint)# revocation-check none
(ca-trustpoint)# subject-name C=MX, ST=Nuevo Leon, L=Guadalupe, O=lab-wireless, OU=mex-wireless, CN=public-guest.lab-kcg.com
(ca-trustpoint)# rsakeypair ewlc-keys
(ca-trustpoint)# exit

(config)#crypto pki enroll ewlc-cert
% Start certificate enrollment ..

% The subject name in the certificate will include: C=MX, ST=Nuevo Leon, L=Guadalupe, O=lab-wireless, OU=mex-wireless, CN=public-guest.lab-kcg.com
% The subject name in the certificate will include: 9800 WLC-karlcisn-Public.lab-kcg.com
% Include the router serial number in the subject name? [yes/no]: no
% Include an IP address in the subject name? [no]: no
Display Certificate Request to terminal? [yes/no]: yes
Certificate Request follows:

-----BEGIN CERTIFICATE REQUEST-----
*9800 WLC CSR*
-----END CERTIFICATE REQUEST-----

---End - This line not part of the certificate request---

Redisplay enrollment request? [yes/no]: no
 Note:如果想要添加一个附属的替代名称，不是可能的在当前IOS-XE版本由于CSCvt15177 。您然后将需要生成CSR和专用密钥箱外按照选项1.说明。
 C：国家
 ST ： 某些状态，是指状态或省名称
 L ： 位置名称，是指城市
 O ： 组织名称，对公司的referst
 OU ： 组织单位名字，能是指部分。
 CN ： (公用名称)是指证书将发出的主题，您必须指定您的9800 WLC、主机名关联对虚拟IP地址的您的9800 WLC，管理IP地址或者主机名的虚拟IP地址关联对管理IP地址。
 步骤3.获得您的CSR签字由您的认证机构(CA)
 全双工字符串将需要被发送到您的CA获得它签字。
 -----BEGIN CERTIFICATE REQUEST-----
*9800 WLC CSR*
-----END CERTIFICATE REQUEST-----
  如果使用Windows服务器CA签署证书，请下载在Base64格式的发生的证书。
 第 4 步：做您9800 WLC信任您的CA
 您必须从签署您的在.pem格式的9800个WLC's CSR的CA获得根证明。
 一旦有它，请由SSH登陆或远程登录到您的9800 WLC并且运行这些命令复制和插入根证明。
 # config t
(config)# crypto pki authenticate ewlc-cert

Enter the base 64 encoded CA certificate.
End with a blank line or the word "quit" on a line by itself

-----BEGIN CERTIFICATE-----
*Issuing CA certificate*
-----END CERTIFICATE-----

Certificate has the following attributes:
       Fingerprint MD5: DD05391A 05B62573 A38C18DD CDA2337C
      Fingerprint SHA1: 596DD2DC 4BF26768 CFB14546 BC992C3F F1408809

% Do you accept this certificate? [yes/no]: yes
Trustpoint CA certificate accepted.
% Certificate successfully imported
 Note:万一有几级别CA，您必须此处粘贴发出的CA证书，即发出您的设备证书，并且只一个，不是一系列的CA。您然后将需要创建每个额外的级别的一信任点CA和重复那些信任点中的每一的此仅步骤4 (即请验证每个级别的CA)
 步骤5.装载签名证书到9800 WLC。
 运行这些命令装载您从您的CA进入9800 WLC的签名证书。
 (config)#crypto pki import ewlc-cert certificate

Enter the base 64 encoded certificate.
End with a blank line or the word "quit" on a line by itself

-----BEGIN CERTIFICATE-----
*9800 WLC Signed Certificate*
-----END CERTIFICATE-----
quit
% Router Certificate successfully imported
 请使用新证书
 请注意非常若被设定9800当前不会提交全部的一系列使用信任点webadmin或webauth。它只将提交设备证书和其CA。
 Web admin
 指向admin网页使用签名证书，保存配置。也是更加容易执行它从在Administration-> HTTP的Web UI
 # configure terminal
# ip http secure-trustpoint ewlc-cert
# 
 本地Web验证
 指向Web验证参数地图使用证书Web登录门户。
 # configure terminal
#(config)#parameter-map type webauth global
#(config-parameter-map)#trustpoint <trustpoint name>
 注意为了客户端能委托Web验证证书将需要定义主机名匹配在全局paramater地图的虚拟IP的您证书CN。
 (config-params-parameter-map)#virtual-ip ipv4 192.0.2.1 virtual-host test9800.eu-central-1.compute.internal
 如果不要重新加载9800 WLC，重新启动Web服务器能获得成功：
 # configure terminal
# no ip http server
# ip http server 
# end
 高性能的考虑事项
 9800 HA SSO，当他们最初配对时，所有证书从主要的复制到第二。此均等包括专用密钥在控制器生成的证书，并且，即使RSA密钥不推测可导出。
 在HA设立后，安装的所有新证书，在两个控制器将安装，并且所有证书在实时复制。
 在故障切换以后，前面第二NOW激活控制器将使用从主要的继承的证书透明地。
 如何确保证书由Web浏览器委托
 有能将委托的证书的两三重点： 
     
     其公用名称(或SAN字段)必须匹配浏览器访问的URL 
     它必须是在其有效性周期 
     必须由根由浏览器委托CA的CA或一系列发出它。对于此， Web服务器提供的证书必须包含一系列的所有证书直到(不一定包括)客户端浏览器委托的证书的(典型地根CA)。 
    
 通配符证书注意
 Catalyst 9800支持使用通配符域名在证书的CN字段。
 验证
 您能使用这些命令验证证书配置：
 # show crypto pki certificates <cert-name>

Certificate
 Status: Available
 Certificate Serial Number (hex): 00A2020356CF31C818
 Certificate Usage: General Purpose
 Issuer:
 cn=CA-KCG-lab
 ou=lab-mex-wireless
 o=mex-wireless
 l=Guadalupe
 st=Nuevo Leon
 c=MX
 Subject:
 Name: *.lab-kcg.com
 cn=*.lab-kcg.com
 ou=lab-mex-wireless
 o=mex-wireless
 l=Benito Juarez
 st=CDMX
 c=MX
 Validity Date:
 start date: 17:14:54 UTC Feb 15 2018
 end date: 17:14:54 UTC Mar 11 2023
 Associated Trustpoints: cert-name
 Storage: nvram:CA-KCG-lab#C818.cer
 # show ip http server secure status

HTTP secure server status: Enabled
HTTP secure server port: 443
HTTP secure server ciphersuite: 3des-ede-cbc-sha aes-128-cbc-sha
 aes-256-cbc-sha dhe-aes-128-cbc-sha ecdhe-rsa-3des-ede-cbc-sha
 rsa-aes-cbc-sha2 rsa-aes-gcm-sha2 dhe-aes-cbc-sha2 dhe-aes-gcm-sha2
 ecdhe-rsa-aes-cbc-sha2 ecdhe-rsa-aes-gcm-sha2
HTTP secure server TLS version: TLSv1.2 TLSv1.1 TLSv1.0
HTTP secure server client authentication: Disabled
HTTP secure server trustpoint: cert-name
HTTP secure server active session modules: ALL
 
 您能验证您的9800的证书链。一旦中间CA发出的设备证书，本身发出由根CA，您将由2证书的组有一信任点。在这种情况下我们将有“有的nicochain”设备证书(WLC证书)和其发出的CA (中间CA)。我们然后有与根CA的另一信任点发出该中间CA。
 test9800#show crypto pki certificate nicochain
Certificate
  Status: Available
  Certificate Serial Number (hex): 1234
  Certificate Usage: General Purpose
  Issuer:
    e=int@int.com
    cn=intermediate.com
    ou=TAC
    o=Cisco
    st=Diegem
    c=BE
  Subject:
    Name: TAC
    cn=TAC
    o=Cisco
    l=Diegem
    st=Diegem
    c=BE
  Validity Date:
    start date: 16:39:05 CET Feb 26 2020
    end   date: 16:39:05 CET Jun 3 2030
  Associated Trustpoints: nicochain

CA Certificate
  Status: Available
  Certificate Serial Number (hex): 1000
  Certificate Usage: Signature
  Issuer:
    e=root@root.com
    cn=RootCA.root.com
    ou=TAC
    o=Cisco
    l=Diegem
    st=Diegem
    c=BE
  Subject:
    e=int@int.com
    cn=intermediate.com
    ou=TAC
    o=Cisco
    st=Diegem
    c=BE
  Validity Date:
    start date: 16:38:36 CET Feb 26 2020
    end   date: 16:38:36 CET Feb 23 2030
  Associated Trustpoints: nicochain


test9800#show crypto pki certificate nicochain-rrr1
CA Certificate
  Status: Available
  Certificate Serial Number (hex): 00
  Certificate Usage: Signature
  Issuer:
    e=root@root.com
    cn=RootCA.root.com
    ou=TAC
    o=Cisco
    l=Diegem
    st=Diegem
    c=BE
  Subject:
    e=root@root.com
    cn=RootCA.root.com
    ou=TAC
    o=Cisco
    l=Diegem
    st=Diegem
    c=BE
  Validity Date:
    start date: 16:38:14 CET Feb 26 2020
    end   date: 16:38:14 CET Feb 23 2030
  Associated Trustpoints: nicochain-rrr1
 
 
 与Openssl的证书验证
 Openssl可以是有用的验证证书或执行一些转换操作。
 显示与Openssl的一证书：
 openssl x509 -in <certificatefile> -text
 显示证书签名请求的内容：
 openssl req -noout -text -in <CSR filename>
 如果比您的浏览器要验证在9800 WLC的发生的证书，但是要使用其他， Openssl能执行此和给予您很多详细信息。
 openssl s_client -showcerts -verify 5 -connect <wlcURL>:443
 您能用webadmin URL 9800或访客门户的URL替换<wlcURL>。您能也放置IP地址那里，它将告诉您什么证书链接收，但是证书确认不可以是100%正确，如果曾经IP地址而不是主机名。
 为了查看内容和验证PKCS12 (.pfx)证书或证书链：
 openssl pkcs12 -info -in <path to cert>
 这是上述on命令的示例每设备证书发出对TAC由呼叫“intermediate.com的”中间CA证书的一系列，本身发出由呼叫“root.com的”根CA ：
 openssl pkcs12 -info -in chainscript2.pfx
Enter Import Password:
MAC Iteration 2048
MAC verified OK
PKCS7 Encrypted data: pbeWithSHA1And40BitRC2-CBC, Iteration 2048
Certificate bag
Bag Attributes
localKeyID: 1D 36 8F C2 4B 18 0B 0D B2 57 A2 55 18 96 7A 8B 57 F9 CD FD
subject=/C=BE/ST=Diegem/L=Diegem/O=Cisco/CN=TAC
issuer=/C=BE/ST=Diegem/O=Cisco/OU=TAC/CN=intermediate.com/emailAddress=int@int.com
-----BEGIN CERTIFICATE-----
MIIFsjCCA5qgAwIBAgICEjQwDQYJKoZIhvcNAQENBQAwczELMAkGA1UEBhMCQkUx
DzANBgNVBAgMBkRpZWdlbTEOMAwGA1UECgwFQ2lzY28xDDAKBgNVBAsMA1RBQzEZ
MBcGA1UEAwwQaW50ZXJtZWRpYXRlLmNvbTEaMBgGCSqGSIb3DQEJARYLaW50QGlu
dC5jb20wHhcNMjAwMjI2MTUzOTA1WhcNMzAwNjAzMTUzOTA1WjBNMQswCQYDVQQG
EwJCRTEPMA0GA1UECBMGRGllZ2VtMQ8wDQYDVQQHEwZEaWVnZW0xDjAMBgNVBAoT
BUNpc2NvMQwwCgYDVQQDEwNUQUMwggEiMA0GCSqGSIb3DQEBAQUAA4IBDwAwggEK
AoIBAQCzTx4Z2liwzhLXFgIpED+1e2wJ04uAL8ruoclaBvnycQuu4xXRq+RmuGAi
WnY/ylvgntHYdx2lw5MoQvi//KJ87dt6iAwqeF5R1LGembjtohdyNTwk4SzdVJCN
gSfEJvxSiHLvLV/bb5TnCmgS0Wj/u5KNUGnIVD7gihdEWP+74SDj+HP4/Csrg39D
Xiq4GSCiGXHq4ALpr5iA/es2l+YY3yKETGF+I4TE6LBq+PDi/zrLrYn4glCtqSoS
P1qa3lGsmG8AN6/RPqzxxGPvFmJKqPo+pu7X8k11+TadFd8MIXCkTe66IAtMIGUM
mBL02LQXOHjOLwKELcMtPdIuoTdzAgMBAAGjggF0MIIBcDAJBgNVHRMEAjAAMBEG
CWCGSAGG+EIBAQQEAwIGQDAzBglghkgBhvhCAQ0EJhYkT3BlblNTTCBHZW5lcmF0
ZWQgU2VydmVyIENlcnRpZmljYXRlMB0GA1UdDgQWBBQ4VIKCTlfLZDAepCpmLNkW
a7wcgDCBswYDVR0jBIGrMIGogBQzKV6F3L3/r14PuOX9HBOHJ076F6GBi6SBiDCB
hTELMAkGA1UEBhMCQkUxDzANBgNVBAgMBkRpZWdlbTEPMA0GA1UEBwwGRGllZ2Vt
MQ4wDAYDVQQKDAVDaXNjbzEMMAoGA1UECwwDVEFDMRgwFgYDVQQDDA9Sb290Q0Eu
cm9vdC5jb20xHDAaBgkqhkiG9w0BCQEWDXJvb3RAcm9vdC5jb22CAhAAMA4GA1Ud
DwEB/wQEAwIFoDATBgNVHSUEDDAKBggrBgEFBQcDATAhBgNVHREEGjAYghZzbXRw
LXNlcnZlci53bGFhYW4uY29tMA0GCSqGSIb3DQEBDQUAA4ICAQCjkqnMfNVAbc9Y
Muc3YUSHWIXH65MkjgaLPtCqurXx4m7XTgPabPZUbiouPGUUSJl90gGVctndYmJW
8KE4X6GE6xlLcbWAcfMe34anOls7KzRkwojw+2BkgzWy66CcQiEnoUEFgtFmmr4c
+wASIGBflSUgRx3EJR/piKJPV0+hAxUtsFI8Viu25nJnQjWWGBuaCCgZJXZ7OzLC
6uTZyPPn3XY9mJYOcIc/N+llLOzMpA1um+7OhcaYd2fDoyHkW1+pLcTucknOfJfQ
oMwe4Vl+38/93xPexLyrCYXJaDtLuwAAhYk5LIxRYqpQpu4OL6sZk92J8L9MB+1f
JjA9iN9WtKlvJ6lkwY0+CCZ5CDp6bfV9zkIdYNQr7rxWqgqx9/d5tY2XwdAeFzJp
KfWLYpYgLPOlRGyniUUNgJ/ZSCZ/Z074aTFnKeHzv5zyvrXwxEf3hupJTPkoD/IO
lggfHLi6tcPnZSxXSgAqHg1PtlcpEFrY5lHsIdbiW/zYFROQ1JWLybMjkrGOj2Xf
9zP7PTWLwM+Fv9/k8JadGZqSFDt9lVNQfllvsFCfGiLCa3rfrcOr5KHPD6TNlm9f
dEbVZVfbb9Jx1oEn/kyxJq6T1b2PO1OjoAx+1FCuW6dUI4j7vsd9J31zF/i3+Ll2
VUAC0rmukHqGjcjwdwpjlJ+EEY7A5A==
-----END CERTIFICATE-----
Certificate bag
Bag Attributes: <No Attributes>
subject=/C=BE/ST=Diegem/O=Cisco/OU=TAC/CN=intermediate.com/emailAddress=int@int.com
issuer=/C=BE/ST=Diegem/L=Diegem/O=Cisco/OU=TAC/CN=RootCA.root.com/emailAddress=root@root.com
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----
Certificate bag
Bag Attributes: <No Attributes>
subject=/C=BE/ST=Diegem/L=Diegem/O=Cisco/OU=TAC/CN=RootCA.root.com/emailAddress=root@root.com
issuer=/C=BE/ST=Diegem/L=Diegem/O=Cisco/OU=TAC/CN=RootCA.root.com/emailAddress=root@root.com
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----
PKCS7 Data
Shrouded Keybag: pbeWithSHA1And3-KeyTripleDES-CBC, Iteration 2048
Bag Attributes
localKeyID: 1D 36 8F C2 4B 18 0B 0D B2 57 A2 55 18 96 7A 8B 57 F9 CD FD
Key Attributes: <No Attributes>
Enter PEM pass phrase:
Verifying - Enter PEM pass phrase:
-----BEGIN ENCRYPTED PRIVATE KEY-----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-----END ENCRYPTED PRIVATE KEY-----
 故障排除
 请使用此命令排除故障。
 # debug crypto pki transactions
 方案：导入未命中CA的PKCS12证书的尝试
 如果导入证书并且收到以下错误没找到CA，也许含义您的pfx文件不包含适当的全部的一系列
 WLC(config)#crypto pki import pkcs12.pfx pkcs12 bootflash:pks12.pfx password <pwd removed>
% Importing pkcs12...
Source filename [pks12.pfx]?
Reading file from bootflash:pks12.pfx
% Warning: CA cert is not found. The imported certs might not be usable.
 如果运行命令openssl pkcs12 -信息-在<path到cert>，并且仅与一专用密钥的一证书显示，含义CA未命中。根据经验，此should命令理想地说列出证书您全部的一系列。如果由客户端浏览器已经，知道它不要求包括顶部根CA。
 一种方式修复此将重建PKCS12到PEM和适当重建一系列。在以下示例中，我们有包含设备的一个.pfx文件(WLC)证书和其唯一的密钥。它由(发出不是存在pkcs12文件)反过来签字一个著名的根CA的中间CA。
 第 1 步：导出专用密钥 
 openssl pkcs12 -in <pkcs12 file> -out cert.key -nocerts -nodes
 Step2.证书作为PEM
 openssl pkcs12 -in <pkcs12 file> -out certificate.pem -nokeys -clcerts
 Step3.下载半成品CA证书作为PEM。
 对于此CA的一简单联机搜索(如果是一公共一个)在哪里应该是查找页的足够下载它作为PEM。
 在几个级别中间CA的情况下，我们在单个PEM文件能连接所有我们将呼叫CA.pem
 Step4.重建从密钥、设备cert和CA证书的PKCS12。
 openssl pkcs12 -export -out fixedcertchain.pfx -inkey cert.key -in certificate.pem -certfile CA.pem
 我们当前有“我们能愉快地导入到Catalyst 9800的fixedcertchain.pfx”!