Генерируйте CSR
Выполните эти шаги, чтобы генерировать CSR:
1. Установите и откройте приложение OpenSSL. В Windows, по умолчанию, openssl.exe располагается в C:\> openssl> bin.
Примечание. OpenSSL 0.9.8 требуется, поскольку WLC в настоящее время не поддерживает OpenSSL 1.0.
2. Введите следующую команду,
OpenSSL>req -new -newkey rsa:1024 -nodes -keyout mykey.pem -out myreq.pem
Примечание.WLC поддерживают максимальный размер ключа 2048 битов.
После выдачи команды существует приглашение для некоторой информации: название страны, состояние, город, и т.д.
3. Предоставьте необходимую информацию.
Примечание. Важно, чтобы вы предоставили корректное Общее имя. Гарантируйте, что имя хоста, которое используется для создания сертификата (Общее имя), совпадает с записью имени хоста Системы имен домена (DNS) для IP виртуального интерфейса на WLC и что название существует в DNS также. За этой информацией можно обратиться к приходящим системным администраторам компании Ветрикс. Кроме того, после внесения изменения в интерфейс VIP необходимо перезагрузить систему для этой замены для вступления в силу.
Например:
OpenSSL>req -new -newkey rsa:1024 -nodes -keyout mykey.pem -out myreq.pem
Loading 'screen' into random state - done
Generating a 1024 bit RSA private key
................................................................++++++
...................................................++++++
writing new private key to 'mykey.pem'
-----
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [AU]:US
State or Province Name (full name) [Some-State]:CA
Locality Name (eg, city) []:San Jose
Organization Name (eg, company) [Internet Widgits Pty Ltd]:ABC
Organizational Unit Name (eg, section) []:CDE
Common Name (eg, YOUR name) []:XYZ.ABC
Email Address []:This email address is being protected from spambots. You need JavaScript enabled to view it.
Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:Test123
An optional company name []:
OpenSSL>
После обеспечения всех требуемых подробных данных два файла генерируются:
o новый секретный ключ, который включает название mykey.pem
o CSR, который включает название myreq.pem
4. Скопируйте и вставьте информацию CSR в любой CA программное средство регистрации.
После отправки CSR независимому поставщику CA независимый поставщик CA в цифровой форме подписывает сертификат и отсылает цепочку подписанного сертификата назад через электронную почту. В случае цепочечных сертификатов вы получаете всю цепочку сертификатов от CA. Если у вас только есть один промежуточный сертификат в нашем примере, вы получаете эти три сертификата от CA:
o Root certificate.pem
o Промежуточное звено certificate.pem
o Устройство certificate.pem
Примечание. Удостоверьтесь, что сертификат является Apache, совместимым с шифрованием SHA1.
5. Как только у вас есть все эти три сертификата, копия и вставка в другой файл содержание каждого файла.pem в этом заказе:
------BEGIN CERTIFICATE------
*Device cert*
------END CERTIFICATE------
------BEGIN CERTIFICATE------
*Intermediate CA cert *
------END CERTIFICATE--------
------BEGIN CERTIFICATE------
*Root CA cert *
------END CERTIFICATE------
6. Сохраните файл как все-certs.pem.
7. Объедините все-certs.pem сертификат с секретным ключом, что вы генерировали вместе с CSR (секретный ключ сертификата устройства, который является mykey.pem в данном примере), и сохраните файл как final.pem.
Дайте эти команды в приложении OpenSSL, чтобы создать все-certs.pem и final.pem файлы:
openssl>pkcs12 -export -in All-certs.pem -inkey mykey.pem
-out All-certs.p12 -clcerts -passin pass:check123
-passout pass:check123
openssl>pkcs12 -in All-certs.p12 -out final-cert.pem
-passin pass:check123 -passout pass:check123
Примечание. В этой команде необходимо ввести пароль для параметров-passinи-passout. Пароль, который настроен для-passoutпараметра, должен совпасть с certpasswordпараметром, который настроен на WLC. В данном примере пароль, который настроен и для-passinи для-passoutпараметров, является check123.
final.pemявляется файлом, который мы должны загрузить к контроллеру беспроводных LAN. Следующий шаг должен загрузить этот файл к WLC.
Загрузите Сторонний Сертификат WLC используя CLI
Выполните эти шаги, чтобы загрузить цепочечный сертификат WLC используя CLI:
1. Переместите final.pem файл в каталог по умолчанию на вашем сервере TFTP.
2. В CLI дайте эти команды, чтобы изменить настройки загрузок:
>transfer download mode tftp
>transfer download datatype webauthcert
>transfer download serverip <TFTP server IP address>
>transfer download path <absolute TFTP server path to the update file>
>transfer download filename final.pem
3. Введите пароль для файла.pem так, чтобы операционная система могла дешифровать ключ SSL и сертификат.
>transfer download certpassword password
Примечание. Убедитесь, что значение для certpasswordсовпадает с-passoutпаролем параметра, который был установлен в шаге 4 Генерирования раздела CSR. В данном примере certpasswordдолжен быть check123.
4. Выполните команду transfer download start, чтобы просмотреть обновленные параметры настройки. Затем введите y в приглашение, чтобы подтвердить текущие параметры настройки загрузок и запустить сертификат и ключевые загрузки. Например:
(Cisco Controller) >transfer download start
Mode............................................. TFTP
Data Type........................................ Site Cert
TFTP Server IP................................... 10.77.244.196
TFTP Packet Timeout.............................. 6
TFTP Max Retries................................. 10
TFTP Path........................................./
TFTP Filename.................................... final.pem
This may take some time.
Are you sure you want to start? (y/N) y
TFTP EAP Dev cert transfer starting.
Certificate installed.
Reboot the switch to use new certificate.
5. Перезагрузите WLC для замен для вступления в силу.
Загрузите Сторонний Сертификат WLC используя GUI
Выполните эти шаги, чтобы загрузить цепочечный сертификат WLC используя GUI:
1. Скопируйте сертификат устройства final.pem к каталогу по умолчанию на вашем сервере TFTP.
2. ВыберитеSecurity> Web Auth> Cert, чтобыоткрытьстраницуWeb Authentication Certificate.
3. ПроверьтефлажокDownload SSL Certificate, чтобыпросмотретьсертификатSSL ЗагрузокОтпараметровСервераTFTP.
4. В поле IP-адреса введите IP-адрес сервера TFTP.
5. В поле Пути к файлу введите путь к каталогу сертификата.
6. В поле Имени файла введите имя сертификата.
7. В поле Пароля Сертификата введите пароль, который использовался для защиты сертификата.
8. Нажмите кнопку Apply.
9. После того, как загрузки завершены, выберите Commands> Reboot> Reboot.
10. Если вызвано для сохранения замен нажмите Save и Reboot.
Нажмите "OK", чтобы подтвердить ваше решение перезагрузить контроллер.