Содержание
Введение
Предварительные условия
Требования
Используемые компоненты
Цепочечные сертификаты
Поддержка цепочечного сертификата
Генерируйте CSR
Загрузите Сторонний Сертификат WLC используя CLI
Загрузите Сторонний Сертификат WLC используя GUI
Связанные обсуждения сообщества поддержки Cisco
Дополнительные сведения
Введение
Этот документ описывает, как генерировать Запрос подписи сертификата (CSR), чтобы получить сторонний сертификат и как загрузить цепочечный сертификат беспроводной локальной сети (WLAN) контроллер (WLC).
Предварительные условия
Требования
Рассматриваемая процедура настройки предполагает выполнение следующих условий:
· Знание того, как настроить WLC, облегченную точку доступа (LAP), и карту беспроводного клиента для главной операции
· Знание того, как использовать приложение OpenSSL
· Знание инфраструктуры управления открытыми ключами и цифровых сертификатов
Используемые компоненты
Сведения, содержащиеся в данном документе, касаются следующих версий программного обеспечения и оборудования:
· WLC Cisco 4400, который выполняет версию микропрограммы 5.1.151.0
· Приложение OpenSSL для Microsoft Windows
· Программное средство регистрации, которое является определенным для стороннего центра сертификации (CA)
Сведения, представленные в этом документе, были получены от устройств, работающих в специальной лабораторной среде и были протестированы приходящими системными администраторами. Все устройства, описанные в этом документе, были запущены с чистой (стандартной) конфигурацией. В рабочей сети необходимо изучить потенциальное воздействие всех команд до их использования.
Цепочечные сертификаты
Цепочка сертификатов является последовательностью сертификатов, где каждый сертификат в цепочке подписан последующим сертификатом. Цель цепочки сертификатов состоит в том, чтобы установить цепочку доверия от сертификата однорангового узла до доверенного центра сертификации (CA) сертификат. CA ручается за идентичность в сертификате однорангового узла путем подписания его. Если CA тот, которому вы доверяете, который обозначен присутствием копии сертификата ЦС в вашем каталоге корневого сертификата, это подразумевает, что можно доверять сертификату однорангового узла со знаком также.
Часто, клиенты не принимают сертификаты, потому что они не были созданы известным CA. Клиент, как правило, сообщает, что не может быть проверена законность сертификата. Дело обстоит так, когда сертификат подписан промежуточным звеном CA, которое не известно клиентскому браузеру. В таких случаях необходимо использовать цепочечный сертификат SSL или группу сертификата.
Поддержка цепочечного сертификата
В версиях контроллера ранее, чем 5.1.151.0, сертификаты web-аутентификации могут быть только сертификатами устройства и не должны содержать CA root, объединенные в цепочку к сертификату устройства (никакие цепочечные сертификаты).
С версией 5.1.151.0 контроллера и позже, контроллер обеспечивает сертификат устройства, который будет загружен как цепочечный сертификат для web-аутентификации.
Уровни сертификата
· Уровень 0 — Использование только серверного сертификата на WLC.
· Уровень 1 — Использование серверного сертификата на WLC и CA корневой сертификат.
· Уровень 2 — Использование серверного сертификата на WLC, одно одиночное CA промежуточный сертификат, и CA корневой сертификат.
· Уровень 3 — Использование серверного сертификата на WLC, двух CA промежуточных сертификатах, и CA корневой сертификат.
WLC не поддерживает объединенный в цепочку размер больше чем 10 Кбит сертификатов на WLC. Однако это ограничение было удалено в WLC 7.0.230.0 и более поздних версиях.
Примечание. Цепочечные сертификаты поддерживаются для web-аутентификации только; они не поддерживаются для сертификата управления.
Сертификаты web-аутентификации могут быть любыми из них:
· Цепочечный
· Освобожденный
· Автоматический генерируемый
Для WLC с версиями программного обеспечения ранее, чем 5.1.151.0, временное решение должно использовать одну из этих опций:
· Получите освобожденный сертификат от CA, что означает, что доверяют root подписания.
· Имейте все допустимое промежуточное звено CA корневые сертификаты (доверял или недоверяемый), установленный у клиента.
Для получения информации о том, как использовать освобожденные сертификаты на WLC, отнеситесь для Генерирования CSR для Сторонних Сертификатов и Загрузок Освобожденные Сертификаты WLC.
Этот документ обсуждает, как должным образом установить цепочечный сертификат Уровня защищенных сокетов (SSL) WLC.