Public Key Infrastructure Configuration Guide, Cisco IOS Release 15MT – Configuring and Managing a Certificate Server for PKI Deployment [Support] – Cisco

Введение

В этом документе описаны различные операции, позволяющие успешно установить и использовать цифровой сертификат SSL доверенного независимого поставщика на устройстве Adaptive Security Appliance (ASA) для бесклиентного SSLVPN и клиентских соединений AnyConnect.

Нужно ли копировать сертификаты из основного ASA на вспомогательный ASA в паре переключения ASA при отказе?

Нет необходимости вручную копировать сертификаты из основного на вспомогательный ASA, поскольку сертификаты должны быть синхронизированы между ASA при условии, что настроен режим переключения при отказе с сохранением состояния. Если при начальной настройке переключения при отказе сертификаты не обнаружены на резервном устройстве, выполните команду write standby для принудительной синхронизации.

Каков лучший способ передачи сертификатов удостоверений из одного ASA в другой ASA?

Экспортируйте сертификат наряду с ключами для файла PKCS12.

Используйте эту команду для экспорта сертификата через интерфейс командной строки из исходного ASA:

Соответствующая конфигурация ASDM:

Используйте эту команду для импорта сертификата через интерфейс командной строки в целевой ASA:

Соответствующая конфигурация ASDM:

Это можно также сделать через функцию резервного копирования/восстановления на ASDM, выполнив следующие действия:

1. Выполните вход в ASA через ASDM и выберите Tools > Backup Configuration (Инструменты > Конфигурация резервного копирования).
2. Выполните резервное копирование всей конфигурации или просто сертификатов удостоверений.
3. На целевом ASA откройте ASDM и выберите Tools> Restore Configuration (Инструменты > Конфигурация восстановления).

Настройка с помощью ASDM

1. Перейдите к Configuration > Remote Access VPN > Certificate Management (Конфигурация >VPN удаленного доступа > Управление сертификатами) и выберите Identity Certificates (Сертификаты удостоверений).
2. Нажмите Add.

1. Установка сертификата удостоверений в формате PEM с ASDM

Данные шаги установки предполагают, что центр сертификации предоставляет сертификат удостоверения в формате PEM (.pem, .cer, .crt) и пакет сертификата CA.

1. Перейдите к Configuration > Remote Access VPN > Certificate Management (Конфигурации > VPN для удаленного доступа > Управление сертификатами) и выберите сертификаты CA.
2. PEM кодирует сертификат в текстовом редакторе, копирует сертификат CA в формате base64, предоставленный сторонним поставщиком, и вставляет в текстовое поле.

Как создать сертификаты SSL для использования при распределении нагрузки VPN для ASA?

Существует несколько способов, с помощью которых можно установить ASA с сертификатами SSL для среды с распределением нагрузки VPN.

Настройка из интерфейса командной строки ASA

В ASDM автоматически создается точка доверия, когда формируется CSR или когда установлен сертификат CA. В интерфейсе командной строки точку доверия необходимо создать вручную.

Использование OpenSSL для создания CSR

OpenSSL использует файл OpenSSL config для получения атрибутов, которые будут использоваться при формировании CSR. Этот процесс приводит к созданию CSR и закрытого ключа.

Внимание. :Убедитесь, что закрытый ключ, который формируется, не является общим, поскольку это может поставить под угрозу целостность сертификата.

1. Убедитесь, что OpenSSL установлен в системе, на которой выполняется этот процесс. Для пользователей MAC OSX и GNU/Linux установка выполняется по умолчанию.
2. Перейдите к рабочему каталогу.

В Windows: По умолчанию утилиты устанавливаются в каталоге C:Opensslbin. Откройте командную строку в этом расположении.

На MAC OSX/Linux: Откройтесь окно терминала в каталоге, необходимом для создания CSR.

Отличается ли процесс создания сертификата SSL, если используются ключи ECDSA?

Единственной разницей в конфигурации является шаг создания пары ключей, на котором будет создана пара ключей ECDSA вместо пары ключей RSA. Остальные шаги остаются такими же. Команда CLI для создания ключей ECDSA показана ниже:

Asdm book 3: cisco asa series vpn asdm configuration guide, 7.4 – ssl settings [cisco asa 5500-x series firewalls]

Cisco asa history and versions

Cisco Systems, Inc. is an American technology conglomerate, specializing in networking hardware and software. Founded in 1984, in San Francisco by Leonard Bosack and Sandy Lemer, Cisco System is now located in San Jose, California.

Configure your ssl certificate on cisco asa 5500 series

1. Go to Configuration > Device Management, and expand Advanced > SSL Settings
2. Next, under Certificates, choose the interface used to determine WebVPN sessions and then choose Edit
3. In the Select SSL Certificate window, from the Primary Enrolled Certificate drop-down list, select the SSL Certificate you’ve just installed
4. Click OK and then Apply

Congratulations, you’ve successfully added an SSL Certificate to Cisco ASA 5500 series.

Install an ssl certificate on cisco asa 5500 series

Your very first step is to prepare all your SSL Certificate files. You should receive a ZIP Archive from your CA with the primary and intermediate certificates inside.

1. Download and extract the SSL Certificate files
2. Use a plain text editor such as Notepad and copy the contents of your primary SSL certificate into a text file (.text extension). Don’t forget to also copy the —– BEGIN CERTIFICATE—– and —–END CERTIFICATE—– tags
3. Now repeat the action of step 2 for your intermediate certificate
   

   Note: If your CA requires two intermediate certificates, for best browser compatibility, you need to copy them within separate corresponding .crt files and install them one at a time.

4. Next, you have to install the intermediate certificate. Log into your ASDM account and go to Configuration > Device Management
5. Expand the Certificates Management tree and click on CA Certificates
6. Now, click Add
7. In the newly opened window, you can either click Browse to import your intermediate Certificate from your device, or alternatively, check the Paste Certificate in PEM format radio button, and copy the contents of your Intermediate CA cert manually. After you’re done, click Install Certificate
8. Now it’s time to install your primary certificate. Go to Configuration > DeviceManagement
9. Expand the Certificates Management tree and click on CA Certificates
10. Next, locate the identity certificate you created from the CSR generation and click Install
11. In the Install Identity Certificate Window, specify the location and path of your SSL Certificate file
12. Click Install. A dialog box will confirm the successful installation.

Public key infrastructure configuration guide, cisco ios release 15mt – configuring and managing a certificate server for pki deployment [support]

Where to buy the best ssl certificate for the cisco asa 5500 series?

SSL Dragon is your one-stop place for all your SSL needs. We’ve partnered with the most trusted Certificate Authorities in the industry to offer you affordable SSL products. All our certificates are compatible with the Cisco ASA 5500 series. Whether you want to protect a personal or corporate website, we’ve got you covered. Below, you will find the types of SSL certificates available at SSL Dragon:

You can pick the ideal SSL Certificate for your project and budget with the help of our powerful SSL Wizard and Certificate Filter tools. The first tool will find the best SSL Certificate for your website and budget, while the second one will sort and compare various certificates by price, validation, and features.

If you find any inaccuracies, or you have details to add to these SSL installation instructions, please feel free to send us your feedback at [email protected]. Your input would be greatly appreciated! Thank you.

Вариант a. csr с помощью openssl»

Примечание. Браузер Chrome, начиная с версии 58, не доверяет одному общему имени сертификата и требует наличия еще и альтернативного имени субъекта. В следующем разделе рассказывается, как добавить поля SAN в CSR, формируемый с помощью OpenSSL, что является новым требованием для этого браузера.

Для того чтобы сформировать CSR с помощью OpenSSL, выполните следующие действия:

Вариант в. csr, формируемый wlc

Если в вашем контроллере WLC используется программное обеспечение версии 8.3.102 или выше, более безопасным (и самым простым) вариантом является формирование CSR с помощью WLC. Преимущество состоит в том, что ключ формируется на WLC и никогда не покидает контроллер беспроводной локальной сети Cisco; таким образом, он никогда не вступает в контакт с внешним миром.

На данный момент этот метод не позволяет настраивать SAN в CSR, что может стать причиной проблем в некоторых браузерах, которые требуют наличия атрибута SAN. Некоторые CA позволяют вставлять поля SAN во время подписания, поэтому рекомендуется узнать о такой возможности в вашем CA..

При формировании CSR с помощью WLC используется ключ размером 2048 бит, а размер ключа ecdsa составит 256 бит.

Возобновление сертификата ssl на asa

1. Восстановите CSR на ASA или с помощью OpenSSL, или в центре сертификации с использованием тех же атрибутов, как у старого сертификата. Выполните действия, приведенные в Создание CSR.
2. Отправьте CSR в центр сертификации и сформируйте новый сертификат удостоверения в формате PEM (.pem, .cer, .crt) наряду с сертификатом CA. В случае сертификата PKCS12 также будет создан новый закрытый ключ.

В случае центра сертификации GoDadd сертификат может быть повторно создан с вновь сформированным CSR.

Перейдите к учетной записи GoDaddy и нажмите Manage (Управление) в разделе SSL Certificates (Сертификаты SSL).

Нажмите View Status (Просмотр статуса) для требуемого имени домена.

Нажмите Manage (Управление), чтобы предоставить варианты повторного создания ключа сертификата.

Разверните пункт Re-Key certificate (Повторное создание ключа для сертификата) и добавьте новый CSR.

Сохраните изменения и перейдите к следующему шагу. GoDaddy выпустит новый сертификат на основе предоставленного CSR.

Высокая доступность (ha sso) факторы

Как объяснено в WLC HA руководство по развертыванию SSO, сертификаты не реплицированы от основного до вспомогательного контроллера в сценарии SSO HA. Это означает, что у вас есть к import all сертификаты к вторичному устройству прежде, чем сформировать пару HA.

Другое предупреждение состоит в том, что это не будет работать, если вы генерировали CSR (и поэтому создал ключ локально) на основном WLC, поскольку не может быть экспортирован тот ключ. Единственный путь состоит в том, чтобы генерировать CSR для основного WLC с OpenSSL (и поэтому подключите ключ к сертификату), и импортируйте тот сертификат/сочетание клавиш на обоих WLC.

Используемые компоненты

Сведения, содержащиеся в данном документе, касаются следующих версий программного обеспечения и оборудования:

• Контроллер беспроводной локальной сети Cisco 5508 со встроенным ПО версии 8.3.102
• Приложение OpenSSL для Microsoft Windows
• Программное средство регистрации, предназначенное для стороннего центра сертификации (CA)

Сведения, представленные в этом документе, были получены от устройств, работающих в специальной лабораторной среде. Все устройства, описанные в этом документе, были запущены с чистой (стандартной) конфигурацией. В рабочей сети необходимо изучить потенциальное воздействие всех команд до их использования.

Команды для устранения неполадок

Следующие команды отладки будут собраны в интерфейсе командной строки в случае ошибки установки сертификата SSL:

debug crypto ca 255

debug crypto ca messages 255

debug crypto ca transactions 255

Об этом переводе

Этот документ был переведен Cisco с помощью машинного перевода, при ограниченном участии переводчика, чтобы сделать материалы и ресурсы поддержки доступными пользователям на их родном языке. Обратите внимание: даже лучший машинный перевод не может быть настолько точным и правильным, как перевод, выполненный профессиональным переводчиком.

Приложение а: ecdsa или rsa

Алгоритм ECDSA является частью метода шифрования на основе эллиптических кривых (ECC) и использует уравнение эллиптической кривой для создания общего ключа, тогда как в алгоритме RSA используется произведение двух простых чисел плюс меньшее число для создания общего ключа.

Приложение б: использование openssl для создания сертификата pkcs12 из сертификата удостоверения, сертификата ca и частного ключа

1. Убедитесь, что OpenSSL установлен в системе, на которой выполняется этот процесс. Для пользователей MAC OSX и GNU/Linux установка выполняется по умолчанию.
2. Перейдите к рабочему каталогу.

В Windows: По умолчанию утилиты устанавливаются в каталоге C:Opensslbin. Откройте командную строку в этом расположении.

На MAC OSX/Linux: Откройте окно терминала в каталоге, необходимом для создания сертификата PKCS12.

В каталоге, упомянутом на предыдущем шаге, сохраните файлы частного ключа (privateKey.key), сертификата удостоверения (certificate.crt) и цепочки корневого сертификата CA (CACert.crt).

Объедините закрытый ключ, сертификат удостоверения и цепочку корневого сертификата CA в файле PKCS12. Вы получите приглашение ввести фразу-пароль для защиты сертификата PKCS12.

Затем импортируйте сертификат, созданный на последнем шаге, для использования с SSL.

источник

Пример создания сертификата ssl в центре сертификации godaddy

После покупки и фазы начальной настройки сертификата SSL перейдите к учетной записи GoDaddy и просмотрите сертификаты SSL. Там должен быть новый сертификат. Нажмите Manage (Управлять) для продолжения.

Затем выводится страница для ввода CSR, как показано на этом рисунке. На основе введенного CSR центр сертификации определяет имя домена, для которого должен быть выдан сертификат. Проверьте соответствие с полностью квалифицированным именем домена ASA.

Примечание. GoDaddy и большинство других центров сертификации используют SHA-2 или SHA256 в качестве алгоритма подписи сертификата по умолчанию.ASA поддерживает алгоритм подписывания SHA-2, начиная с 8.2(5) [выпуски до 8.3] и 8.4(1) [выпуски после 8.

После того как запрос отправлен, GoDaddy проверяет запрос, прежде чем выдать сертификат.

После того как запрос сертификата проверен, GoDaddy выпускает сертификат для учетной записи. После этого сертификат может быть загружен для установки на ASA. Нажмите Download (Загрузить) на странице для продолжения.

Выберите Other (Другой) в качестве типа сервера и загрузите zip-пакет сертификата.

.zip содержит сертификат удостоверения и пакет цепочки сертификатов центра сертификации GoDaddy в виде двух отдельных .crt-файлов. Продолжайте установку сертификата SSL, чтобы установить эти сертификаты на ASA.

Проверка

Используйте эти шаги, чтобы проверить успешность установки сертификата стороннего поставщика и его использования для соединений SSLVPN.

Проверка установленного сертификата для webvpn с помощью браузера

Чтобы удостовериться в том, что в WebVPN используется новый сертификат, выполните следующие действия:

Просмотр установленных сертификатов через asdm

1. Перейдите к Configuration > Remote Access VPN > Certificate Management (Конфигурация >VPN удаленного доступа > Управление сертификатами) и выберите Identity Certificates (Сертификаты удостоверений).
2. Должен появиться сертификат удостоверения, выпущенный сторонним поставщиком.

Распространенные проблемы

Предупреждение о ненадежном сертификате при использовании допустимого стороннего сертификата SSL на внешнем интерфейсе на ASA с версией 9.4(1) и более поздней.

Решение: Проблема проявляется, когда с сертификатом используется ключевая пара RSA. В версиях ASA 9.4(1) и более поздних все шифры ECDSA и RSA включены по умолчанию и самый надежный шифр (обычно шифр ECDSA) будет использоваться для согласования.

Если это происходит, ASA представляет самозаверяющий сертификат вместо текущего настроенного сертификата на основе RSA. Внесено улучшение с целью изменить поведение, когда сертификат на основе RSA установлен на интерфейсе и отслеживается идентификатором ошибки Cisco CSCuu02848.

Рекомендуемое действие: Отключите шифры ECDSA с помощью следующих команд CLI:

Или с помощью ASDM перейдите к Configuration > Remote Access VPN > > Advanced (Конфигурация > VPN для удаленного доступа > Дополнительно) и выберите SSL Settings (Параметры SSL).Под разделом Шифрования выберите tlsv1.

Связанные сертификаты

Цепочка сертификатов — это последовательность сертификатов, в которой каждый сертификат подписывается последующим сертификатом. Цель цепочки сертификатов состоит в том, чтобы установить цепочку доверия от сертификата узла до сертификата доверенного CA.

Подписывая сертификат, CA ручается за подлинность приведенных в нем данных. Если CA является доверенным, на что указывает наличие копии сертификата CA в каталоге корневых сертификатов, подразумевается, что также можно доверять и подписанному сертификату узла.

Часто клиенты не принимают сертификаты, потому что они не были созданы известным CA. Клиент, как правило, сообщает, что проверить действительность сертификата невозможно. Так обстоит дело, когда сертификат подписан промежуточным CA, который неизвестен браузеру клиента. В таких случаях необходимо использовать связанный сертификат SSL или группу сертификатов.

Создание csr

Примечания:1. Проверьте в CA сведения о требуемом размере пары ключей. Форум CA/Browser постановил, что все сертификаты, создаваемые центрами сертификации-участниками, имеют минимальный размер 2048 разрядов. 2. В настоящее время ASA не поддерживает 4096-разрядные ключи (идентификатор ошибки Cisco CSCut53512) для аутентификации SSL-сервера.

Однако IKEv2 поддерживает использование 4096-разрядных сертификатов сервера только на платформах ASA 5580, 5585 и 5500-X. 3. Используйте имя DNS ASA в поле полностью квалифицированного имени домена CSR, чтобы предотвратить предупреждения о недоверяемых сертификатах и пройти строгую проверку сертификата.

Создать CSR можно с любым из трех следующих методов:

Создание сертификата ssl в центре сертификации

Следующий шаг — подписать CSR из центра сертификации. CA предоставляет вновь созданный сертификат удостоверения в формате PEM или сертификат PKCS12 наряду с пакетом сертификата CA.

Если CSR формируется вне ASA (или через OpenSSL, или на самом центре сертификации), сертификат удостоверения с частным ключом в формате PEM и сертификат CA будут доступны как отдельные файлы. Приложение B предоставляет шаги для объединения этих элементов в один файл PKCS12 (формат .p12 или .pfx).

В этом документе центр сертификации GoDaddy используется в качестве примера для выпуска сертификатов удостоверений для ASA. Этот процесс может быть иным у других поставщиков CA. Внимательно прочитайте документацию CA перед продолжением.

Требования

В этом документе требуется доступ к доверенному стороннему центру сертификации (CA) для регистрации сертификатов. В число независимых поставщиков CA входят, например, Baltimore, Cisco, Entrust, Geotrust, G, Microsoft, RSA, Thawte и VeriSign.

Прежде чем начать, проверьте, что на ASA установлены корректные время, дата и часовой пояс. В целях проверки подлинности сертификата рекомендуется использовать сервер NTP для синхронизации времени на ASA. В Cisco ASA Series General Operations CLI Configuration Guide, 9.1 подробно описаны шаги для корректной настройки времени и даты на ASA.

Уровни сертификатов

• Уровень 0 — использование только серверного сертификата на WLC
• Уровень 1 — использование серверного сертификата на WLC и корневого сертификата CA
• Уровень 2 — использование серверного сертификата на WLC, одного сертификата промежуточного CA и корневого сертификата CA
• Уровень 3 — использование серверного сертификата на WLC, двух сертификатов промежуточных CA и корневого сертификата CA

WLC не поддерживает связанные сертификаты размером больше 10 КБ на WLC. Однако это ограничение было убрано в WLC, начиная с версии 7.0.230.0.

Примечание: Цепочечные сертификаты поддерживаются и на самом деле требуемый для web-аутентификации и веба – администратора

Примечание. Подстановочные сертификаты полностью поддерживаются для локального EAP, управления или веб-аутентификации

В качестве сертификатов для веб-аутентификации можно использовать любые из следующих сертификатов:

• Связанный
• Несвязанный
• Формируемые автоматически

Примечание: В Версии 7.6 WLC и позже, только цепочечные сертификаты поддерживаются (и поэтому требуемый)

Если вам необходимо сформировать несвязанный сертификат для управления, можно следовать приведенным в этом документе инструкциям, пропуская те его части, в которых сертификат объединяется с сертификатом CA.

В этом документе рассказывается о том, как правильно установить связанный сертификат SSL на WLC.

Установка сертификата ssl на asa

Сертификат SSL может быть установлен на ASA с помощью ASDM или интерфейса командной строки двумя способами:

1. Импортируйте CA и сертификат удостоверения отдельно в форматах PEM.
2. Или импортируйте файл PKCS12 (в коде base64 для интерфейса командной строки), где сертификат удостоверения, сертификат CA и частный ключ упакованы в файле PKCS12.

Примечание. Если центр сертификации предоставляет цепочку сертификатов CA, установите только немедленный промежуточный сертификат CA в иерархии на точке доверия, используемой для создания CSR. Корневой сертификат CA и любые другие промежуточные сертификаты CA могут быть установлены в новых точках доверия.

Устранение неполадок

То То Чаще всего проблемы возникают при установке сертификата на WLC.  Для того чтобы выполнить поиск и устранить неполадку, откройте командную строку на WLC и введите debug transfer all enable и debug pm pki enable, после чего выполните процедуру загрузки сертификата. 

In some cases, the logs will only say that the certificate installation failed:
*TransferTask: Sep 09 08:37:17.415: RESULT_STRING: TFTP receive complete... Installing
Certificate.
*TransferTask: Sep 09 08:37:17.415: RESULT_CODE:13
TFTP receive complete... Installing Certificate.
*TransferTask: Sep 09 08:37:21.418: Adding cert (1935 bytes) with certificate key password.
*TransferTask: Sep 09 08:37:21.421: RESULT_STRING: Error installing certificate.

Затем необходимо будет проверить формат сертификата и цепочку. Напомним, что, начиная с версии 7.6, WLC требуют наличия всей цепочки, поэтому нельзя выгрузить только один сертификат WLC. В файле должна присутствовать цепочка вплоть до корневого CA.

Вот пример данных отладки при наличии неправильного промежуточного CA:

*TransferTask: Jan 04 19:08:13.338: Add WebAuth Cert: Adding certificate & private key using password check123
*TransferTask: Jan 04 19:08:13.338: Add ID Cert: Adding certificate & private key using password check123
*TransferTask: Jan 04 19:08:13.338: Add Cert to ID Table: Adding certificate (name: bsnSslWebauthCert) to ID table using password check123
*TransferTask: Jan 04 19:08:13.338: Add Cert to ID Table: Decoding PEM-encoded Certificate (verify: YES)
*TransferTask: Jan 04 19:08:13.338: Decode & Verify PEM Cert: Cert/Key Length was 0, so taking string length instead
*TransferTask: Jan 04 19:08:13.338: Decode & Verify PEM Cert: Cert/Key Length 7148 & VERIFY
*TransferTask: Jan 04 19:08:13.342: Decode & Verify PEM Cert: X509 Cert Verification return code: 0
*TransferTask: Jan 04 19:08:13.342: Decode & Verify PEM Cert: X509 Cert Verification result text: unable to get local issuer certificate
*TransferTask: Jan 04 19:08:13.342: Decode & Verify PEM Cert: Error in X509 Cert Verification at 0 depth: unable to get local issuer certificate
*TransferTask: Jan 04 19:08:13.343: Add Cert to ID Table: Error decoding (verify: YES) PEM certificate
*TransferTask: Jan 04 19:08:13.343: Add ID Cert: Error decoding / adding cert to ID cert table (verifyChain: TRUE)
*TransferTask: Jan 04 19:08:13.343: Add WebAuth Cert: Error adding ID cert

Шаг 1. формирование csr

Существует два способа сформировать CSR. Либо вручную с помощью OpenSSL (это единственно возможный способ при использовании программного обеспечения WLC версии до 8.3), либо с помощью самого WLC (этот способ доступен, начиная с версии 8.3.102).

Шаг 3. графический интерфейс пользователя. загрузка стороннего сертификата на wlc с помощью графического интерфейса пользователя

Выполните следующие действия, чтобы загрузить связанный сертификат на контроллер беспроводной локальной сети Cisco с помощью графического интерфейса пользователя:

1. Скопируйте сертификат устройства final.pem в каталог по умолчанию на своем сервере TFTP.
2. Выберите Security > Web Auth > Cert (Безопасность > Веб-аутентификация > Сертификат), чтобы открыть страницу Web Authentication Certificate (Сертификат для веб-аутентификации).
3. Установите флажок Download SSL Certificate (Загрузить сертификат SSL), чтобы открыть параметры Download SSL Certificate From TFTP Server (Загрузка сертификата SSL с сервера TFTP).
4. В поле IP Address (IP-адрес) введите IP-адрес сервера TFTP.

   

5. В поле File Path (Путь к файлу) введите путь к каталогу с сертификатом.
6. В поле File Name (Имя файла) введите имя сертификата.
7. В поле Certificate Password (Пароль сертификата) введите пароль, который использовался для защиты сертификата.
8. Нажмите Apply.
9. После того как загрузка будет завершена, выберите Commands> Reboot> Reboot (Команды > Перезагрузка > Перезагрузить).
10. При появлении запроса на сохранение изменений выберите Save and Reboot (Сохранить и перезагрузить).
11. Нажмите OK, чтобы подтвердить решение перезагрузить контроллер.

Шаг 3. интерфейс командной строки. загрузка стороннего сертификата на wlc с помощью интерфейса командной строки

Выполните следующие действия, чтобы загрузить связанный сертификат на контроллер беспроводной локальной сети Cisco с помощью интерфейса командной строки:

1. Переместите файл final.pem в каталог по умолчанию на своем сервере TFTP.
2. В интерфейсе командной строки выполните следующие команды для изменения настроек загрузки:

       >transfer download mode tftp
   >transfer download datatype webauthcert
   >transfer download serverip <TFTP server IP address>
   >transfer download path <absolute TFTP server path to the update file>
   >transfer download filename final.pem

3. Введите пароль для файла .pem, чтобы операционная система могла расшифровать ключ SSL и сертификат.

   >transfer download certpassword password

   Примечание. Параметру certpassword должно быть задано такое же значение, как параметру -passout . Это пароль, который был задан на шаге 4 (или 5), приведенном в разделе Формирование CSR.В данном примере параметру certpassword должно быть задано значение check123. Если изначально был выбран вариант Б (то есть формирование CSR с помощью WLC), можно оставить поле certpassword пустым.

4. Выполните команду transfer download start, чтобы просмотреть обновленные настройки.Затем при появлении приглашения введите y, чтобы подтвердить текущие настройки загрузки и запустить загрузку сертификата и ключа. Например:

   (Cisco Controller) >transfer download start
   Mode............................................. TFTP
   Data Type........................................ Site Cert
   TFTP Server IP................................... 10.77.244.196
   TFTP Packet Timeout.............................. 6
   TFTP Max Retries................................. 10
   TFTP Path........................................./
   TFTP Filename.................................... final.pem
   This might take some time.
   Are you sure you want to start? (y/N) y
   TFTP EAP Dev cert transfer starting.
   Certificate installed.
   Reboot the switch to use new certificate.

5. Перезагрузите WLC, чтобы изменения вступили в силу.

Вариант a: получение файла final.pem от корпоративного ca

В данном примере рассматривается ситуация, когда CA предприятия уже существует (здесь это Windows Server 2021). В нем не приводятся действия по настройке Windows Server CA с нуля.

Вариант в: получение файла final.pem от стороннего ca

1. Скопируйте и вставьте информацию CSR в любое программное средство регистрации CA.

   После отправки CSR независимому CA этот CA снабжает сертификат цифровой подписью и возвращает подписанную цепочку сертификатов по электронной почте. В случае цепочечных сертификатов вы получаете от CA всю цепочку сертификатов. Если у вас только есть один промежуточный сертификат, как в данном примере, вы получите от CA следующие три сертификата:

   • Файл .pem корневого сертификата
   • Файл .pem промежуточного сертификата
   • Файл .pem сертификата устройства

   Примечание. Сертификат должен быть совместим с Apache и использовать шифрование SHA1.

2. Получив все три сертификата, скопируйте и вставьте содержимое каждого файла .pem в другой файл в следующем порядке:

   ------BEGIN CERTIFICATE------
   *Device cert*
   ------END CERTIFICATE------
   ------BEGIN CERTIFICATE------
   *Intermediate CA cert *
   ------END CERTIFICATE--------
   ------BEGIN CERTIFICATE------
   *Root CA cert *
   ------END CERTIFICATE------

3. Сохраните файл как All-certs.pem.
4.  Объедините сертификат All-certs.pem с закрытым ключом, который был сформирован вместе с CSR (закрытый ключ сертификата устройства, в данном примере это mykey.pem), если изначально был выбран вариант А (то есть CSR был сформирован с помощью OpenSSL), и сохраните файл как final.pem. При генерации CSR непосредственно на WLC (вариант Б) этот шаг можно пропустить.

   Выполните следующие команды в приложении OpenSSL, чтобы создать файлы All-certs.pem и final.pem:

   openssl>pkcs12 -export -in All-certs.pem -inkey mykey.pem 
   -out All-certs.p12 -clcerts -passin pass:check123 
   -passout pass:check123
   openssl>pkcs12 -in All-certs.p12 -out final.pem 
   -passin pass:check123 -passout pass:check123

   Примечание.. В этой команде необходимо ввести пароль для параметров -passin и -passout.Пароль, настроенный для параметра -passout, должен совпадать с параметром certpassword, который задан на WLC. В данном примере для параметров -passin и -passout задан пароль check123.

   Final.pem является файлом, который необходимо загрузить на WLC, если был выбран «Вариант A. CSR с помощью OpenSSL». Если был выбран «Вариант Б. CSR, формируемый самим WLC», то на WLC необходимо загрузить файл All-certs.pem. Далее необходимо загрузить этот файл на WLC.

Примечание. Шифрование SHA2 также поддерживается.Описание ошибки Cisco с идентификатором CSCuf20725 является запросом о поддержке SHA512.