Генерируйте CSR для сторонних сертификатов и загрузите цепочечные сертификаты WLC Часть - 2

Часть 1

Генерируйте CSR

Выполните эти шаги, чтобы генерировать CSR:

1.     Установите и откройте приложение OpenSSL. В Windows, по умолчанию, openssl.exe располагается в C:\> openssl> bin.

Примечание. OpenSSL 0.9.8 требуется, поскольку WLC в настоящее время не поддерживает OpenSSL 1.0.

2.     Введите следующую команду,

  OpenSSL>req -new -newkey rsa:1024 -nodes -keyout mykey.pem -out myreq.pem

Примечание.WLC поддерживают максимальный размер ключа 2048 битов.

После выдачи команды существует приглашение для некоторой информации: название страны, состояние, город, и т.д.

3.     Предоставьте необходимую информацию.

Примечание. Важно, чтобы вы предоставили корректное Общее имя. Гарантируйте, что имя хоста, которое используется для создания сертификата (Общее имя), совпадает с записью имени хоста Системы имен домена (DNS) для IP виртуального интерфейса на WLC и что название существует в DNS также. За этой информацией можно обратиться к приходящим системным администраторам компании Ветрикс. Кроме того, после внесения изменения в интерфейс VIP необходимо перезагрузить систему для этой замены для вступления в силу.

Например:

OpenSSL>req -new -newkey rsa:1024 -nodes -keyout mykey.pem -out myreq.pem
Loading 'screen' into random state - done
Generating a 1024 bit RSA private key
................................................................++++++
...................................................++++++
writing new private key to 'mykey.pem'
-----
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [AU]:US
State or Province Name (full name) [Some-State]:CA
Locality Name (eg, city) []:San Jose
Organization Name (eg, company) [Internet Widgits Pty Ltd]:ABC
Organizational Unit Name (eg, section) []:CDE
Common Name (eg, YOUR name) []:XYZ.ABC
Email Address []:This email address is being protected from spambots. You need JavaScript enabled to view it.
 
 
Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:Test123
An optional company name []:
OpenSSL> 

После обеспечения всех требуемых подробных данных два файла генерируются:

o    новый секретный ключ, который включает название mykey.pem

o    CSR, который включает название myreq.pem

4.     Скопируйте и вставьте информацию CSR в любой CA программное средство регистрации.

После отправки CSR независимому поставщику CA независимый поставщик CA в цифровой форме подписывает сертификат и отсылает цепочку подписанного сертификата назад через электронную почту. В случае цепочечных сертификатов вы получаете всю цепочку сертификатов от CA. Если у вас только есть один промежуточный сертификат в нашем примере, вы получаете эти три сертификата от CA:

o    Root certificate.pem

o    Промежуточное звено certificate.pem

o    Устройство certificate.pem

Примечание. Удостоверьтесь, что сертификат является Apache, совместимым с шифрованием SHA1.

5.     Как только у вас есть все эти три сертификата, копия и вставка в другой файл содержание каждого файла.pem в этом заказе:

  ------BEGIN CERTIFICATE------
  *Device cert*
  ------END CERTIFICATE------
            ------BEGIN CERTIFICATE------
            *Intermediate CA cert *
            ------END CERTIFICATE--------
            ------BEGIN CERTIFICATE------
            *Root CA cert *
------END CERTIFICATE------

6.   Сохраните файл как все-certs.pem.

7.   Объедините все-certs.pem сертификат с секретным ключом, что вы генерировали вместе с CSR (секретный ключ сертификата устройства, который является mykey.pem в данном примере), и сохраните файл как final.pem.

Дайте эти команды в приложении OpenSSL, чтобы создать все-certs.pem и final.pem файлы:

openssl>pkcs12 -export -in All-certs.pem -inkey mykey.pem 
       -out All-certs.p12 -clcerts -passin pass:check123 
       -passout pass:check123
  
openssl>pkcs12 -in All-certs.p12 -out final-cert.pem 
       -passin pass:check123 -passout pass:check123

Примечание. В этой команде необходимо ввести пароль для параметров-passinи-passout. Пароль, который настроен для-passoutпараметра, должен совпасть с certpasswordпараметром, который настроен на WLC. В данном примере пароль, который настроен и для-passinи для-passoutпараметров, является check123.

final.pemявляется файлом, который мы должны загрузить к контроллеру беспроводных LAN. Следующий шаг должен загрузить этот файл к WLC.

Загрузите Сторонний Сертификат WLC используя CLI

Выполните эти шаги, чтобы загрузить цепочечный сертификат WLC используя CLI:

1.     Переместите final.pem файл в каталог по умолчанию на вашем сервере TFTP.

2.     В CLI дайте эти команды, чтобы изменить настройки загрузок:

      >transfer download mode tftp
      >transfer download datatype webauthcert
      >transfer download serverip <TFTP server IP address>
      >transfer download path <absolute TFTP server path to the update file>
      >transfer download filename final.pem

3.     Введите пароль для файла.pem так, чтобы операционная система могла дешифровать ключ SSL и сертификат.

  >transfer download certpassword password

Примечание. Убедитесь, что значение для certpasswordсовпадает с-passoutпаролем параметра, который был установлен в шаге 4 Генерирования раздела CSR. В данном примере certpasswordдолжен быть check123.

4.   Выполните команду transfer download start, чтобы просмотреть обновленные параметры настройки. Затем введите y в приглашение, чтобы подтвердить текущие параметры настройки загрузок и запустить сертификат и ключевые загрузки. Например:

            (Cisco Controller) >transfer download start
             
            Mode............................................. TFTP
            Data Type........................................ Site Cert
            TFTP Server IP................................... 10.77.244.196
            TFTP Packet Timeout.............................. 6
            TFTP Max Retries................................. 10
            TFTP Path........................................./
            TFTP Filename.................................... final.pem         
            This may take some time.
            Are you sure you want to start? (y/N) y          
            TFTP EAP Dev cert transfer starting.            
            Certificate installed.
                        Reboot the switch to use new certificate.

5.   Перезагрузите WLC для замен для вступления в силу.

Загрузите Сторонний Сертификат WLC используя GUI

Выполните эти шаги, чтобы загрузить цепочечный сертификат WLC используя GUI:

1.     Скопируйте сертификат устройства final.pem к каталогу по умолчанию на вашем сервере TFTP.

2.     ВыберитеSecurity> Web Auth> Cert, чтобыоткрытьстраницуWeb Authentication Certificate.

3.     ПроверьтефлажокDownload SSL Certificate, чтобыпросмотретьсертификатSSL ЗагрузокОтпараметровСервераTFTP.

4.     В поле IP-адреса введите IP-адрес сервера TFTP.

5.     В поле Пути к файлу введите путь к каталогу сертификата.

6.     В поле Имени файла введите имя сертификата.

7.     В поле Пароля Сертификата введите пароль, который использовался для защиты сертификата.

8.     Нажмите кнопку Apply.

9.     После того, как загрузки завершены, выберите Commands> Reboot> Reboot.

10.   Если вызвано для сохранения замен нажмите Save и Reboot.

Нажмите "OK", чтобы подтвердить ваше решение перезагрузить контроллер.

 

Заказать звонок

Пожалуйста, оставьте свои контакты