生成第三方证书的CSR并且下载被串连的证书到

csr是什么  时间:2021-04-03  阅读:()
WLC目录简介先决条件要求使用的组件链接证书对链接证书的支持证书级别步骤1.
生成CSR与Openssl的选项A.
CSR选项B.
由WLC的CSRGenerated的步骤2.
获得证书签字方案A:从您的企业CA得到Final.
pem文件方案B:从第三方CA得到Final.
pem文件步骤3CLI.
下载第三方证书到与CLI的WLC步骤3GUI.
下载第三方证书到与GUI的WLC故障排除高性能的(HASSO)考虑事项相关信息简介本文档说明了如何生成证书签名请求(CSR)以获取第三方证书,以及如何将链接证书下载到无线局域网(WLAN)控制器(WLC).
先决条件要求在您尝试此配置前,您应该有这些主题知识:如何配置WLC、轻量级接入点(LAP)和基本操作的无线客户端卡q如何使用Openssl应用程序q公共钥匙结构和数字证书q使用的组件本文档中的信息基于以下软件和硬件版本:运行固件版本8.
3.
102的Cisco5508WLCq适用于MicrosoftWindows的OpenSSL应用程序q特定于第三方证书颁发机构(CA)的注册工具q本文档中的信息都是基于特定实验室环境中的设备编写的.
本文档中使用的所有设备最初均采用原始(默认)配置.
如果您使用的是真实网络,请确保您已经了解所有命令的潜在影响.
链接证书证书链是一个证书序列,链中的每个证书由随后的证书签署.
证书链的目的将设立信任一系列从对等项证书的到委托CA证书.
当签署它时,CA为在对等项证书的标识担保.
如果您信任该CA,即您的根证书目录中具有该CA证书的副本,则意味着您也可以信任签署的对等体证书.
通常,客户端不接受这些证书,因为它们并非由已知的CA创建.
客户端通常会指出证书有效性无法进行验证.
如果证书由不为客户端浏览器所知的中间CA签署,即会出现这种情况.
在这类情况下,需要使用链接SSL证书或证书组.
对链接证书的支持控制器允许作为Web验证的一被串连的证书将下载的设备证书.
证书级别级别0-使用在WLC的仅一服务器证书q1级-使用在WLC和CA根证明的一服务器证书q2级-使用在WLC、一单个CA中间证书和CA根证明的一服务器证书q3级-使用在WLC、两CA半成品证书和CA根证明的一服务器证书qWLC在大小上更比10KB不支持被串连的证书在WLC.
然而,此限制在WLC版本7.
0.
230.
0删除和以后.
Note:被串连的证书为Web验证和Webadmin支持和实际上要求Note:通配符证书为本地EAP、管理或者webauthentication充分地支持Web身份验证证书可以是以下任何一种证书:串连q释放q自动生成的qNote:在WLC版本7.
6和以上,支持仅被串连的证书(并且要求)如果查找生成管理目的一被释放的证书,您能跟随本文和忽略证书与CA证书一起的零件.
本文档讨论如何将安全套接字层(SSL)链接证书正确安装到WLC.
步骤1.
生成CSR有两种方式生成CSR.
手工与Openssl(唯一方法可能在pre-8.
3WLC软件方面)或使用WLC生成CSR(在8.
3.
102以后的联机).
与Openssl的选项A.
CSRNote:镀铬物版本58和以上不委托单独证书的公用名称并且要求附属的替代名称也存在.
是此浏览器的一新要求的以下部分如何将说明添加SAN字段对OpensslCSR.
完成这些步骤为了生成与Openssl的CSR:安装并且打开Openssl.
在MicrosoftWindows中,默认情况下,openssl.
exe查找在C:\>openssl>bin.
Note:Openssl版本0.
9.
8是旧有WLC版本的推荐的版本;然而,自版本7.
5,Openssl版本1.
0的支持也被添加了(参考的CiscoBugIDCSCti65315-使用Openssl生成的证书的需要支持v1.
0)并且是使用的推荐的版本.
Openssl1.
1工作在8.
x及以后WLC版本也测试了并且运作极大.
1.
寻找您的Openssl配置文件并且做复制它为了为此CSR编辑它.
编辑复制添加以下部分:2.
[req]req_extensions=v3_req[v3_req]#ExtensionstoaddtoacertificaterequestbasicConstraints=CA:FALSEkeyUsage=nonRepudiation,digitalSignature,keyEnciphermentsubjectAltName=@alt_names[alt_names]DNS.
1=server1.
example.
comDNS.
2=mail.
example.
comDNS.
3=www.
example.
comDNS.
4=www.
sub.
example.
comDNS.
5=mx.
example.
comDNS.
6=support.
example.
com开始的线路有"DNS.
1"的,"DNS.
2"等等应该包含您的证书将有的所有替代名称.
您能然后写入您使用WLC的所有可能的URL.
在粗体上述的线路不存在也未被评论在我们的实验室openssl版本,可能根据操作系统和openssl版本非常地变化.
我们保存设置的此修正的版本作为此示例的opensslsan.
cnf.
3.
发出此命令为了生成新的CSR:OpenSSL>req-new-newkeyrsa:3072-nodes-keyoutmykey.
pem-outmyreq.
pem-configopenssl-san.
cnfNote:WLCs支持最大密钥大小4096个位根据8.
5软件版本4.
在您发出此命令后,系统将提示您输入一些信息:国家/地区名称、州、城市,等等.
提供必填信息.
Note:重要的是,您应该提供正确的公用名称.
保证使用创建证书的主机名(公用名称)匹配虚拟5.
接口IP地址的域名系统(DNS)主机名名称条目在,并且名称在DNS存在的WLC.
并且,在您做对VirtualIP(VIP)接口后的变动,您必须重新启动系统为了此更改能生效.
示例如下:OpenSSL>req-new-newkeyrsa:3072-nodes-keyoutmykey.
pem-outmyreq.
pem-configopenssl-san.
cnfLoading'screen'intorandomstate-doneGeneratinga1024bitRSAprivatekeywritingnewprivatekeyto'mykey.
pem'-----Youareabouttobeaskedtoenterinformationthatwillbeincorporatedintoyourcertificaterequest.
WhatyouareabouttoenteriswhatiscalledaDistinguishedNameoraDN.
TherearequiteafewfieldsbutyoucanleavesomeblankForsomefieldstherewillbeadefaultvalue,Ifyouenter'.
',thefieldwillbeleftblank.
-----CountryName(2lettercode)[AU]:USStateorProvinceName(fullname)[Some-State]:CALocalityName(eg,city)[]:SanJoseOrganizationName(eg,company)[InternetWidgitsPtyLtd]:ABCOrganizationalUnitName(eg,section)[]:CDECommonName(eg,YOURname)[]:XYZ.
ABCEmailAddress[]:Test@abc.
comPleaseenterthefollowing'extra'attributestobesentwithyourcertificaterequestAchallengepassword[]:Test123Anoptionalcompanyname[]:OpenSSL>您能验证CSR(特别是对于SAN归因于在线状态)与opensslreq-文本-noout-在csrfilename6.
在您提供所有需要的细节后,两个文件生成:包含名称mykey.
pem的新私钥包含名称myreq.
pem的CSR7.
选项B.
由WLC的CSRGenerated的如果您的WLC运行软件版本8.
3.
102或以上,更多安全选项(和最容易太)是使用WLC生成CSR.
优点是密钥在WLC生成和从未离开WLC;因而在外界从未显示.
到现在,此方法不准许配置在也许导致问题用某些浏览器要求SAN属性的出现的CSR的SAN.
某个CA准许插入SAN字段在签署的时间,因此它是一个好想法检查与您的CA.
生成由WLC的CSR将使用2048个位密钥大小,并且ecdsa密钥大小将是256个位.
Note:如果运行csr生成命令,并且不安装发生的证书,您的WLC将是完全不能得到的在HTTPS在下辆重新启动,因为WLC将使用最近生成的CSR密钥,在重新启动,但是没有连同它的证书后.
为了生成Web验证的CSR,请输入此命令:(WLC)>configcertificategenerateCSRwebauth是BR布鲁塞尔CiscoTACmywebauthportal.
wireless.
comtac@cisco.
com-----开始证书请求-----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-----END证书请求-----为了生成webadmin的CSR,命令几乎不能更改:(WLC)>configcertificategenerateCSRWebAdmin是BR布鲁塞尔CiscoTACmywebauthportal.
wireless.
comtac@cisco.
comNote:在您输入命令后,CSR在终端打印.
没有其他方式获取它;从WLC上传它是不可能的亦不是它可能保存它.
在您输入命令后,您必须复制/粘贴它对在您的计算机的一个文件.
生成的密钥在WLC坚持,直到下个CSR生成(密钥因而覆盖).
如果必须稍后更换WLC硬件(RMA),您不能重新安装和一样新密钥和CSR在新的WLC将必须生成的证书.
您必须然后移交此CSR给您的第三方签署机关或您的企业公共密钥基础设施(PKI).
步骤2.
获得证书签字方案A:从您的企业CA得到Final.
pem文件此示例只陈列现有企业CA(在本例中的Windows服务器2012)和不包括步骤从头设置Windows服务器CA.
去您的在浏览器(通常https:///certsrv)的enteprriseCA页并且点击请求证书.
1.
点击先进的证书请求.
2.
输入您从WLC或Openssl获取的CSR.
在认证模板下拉列表中,请选择Web服务器.
3.
点击Base64编码的单选按钮.
4.
如果下载的证书是类型PKCS7(.
p7b),则您需要转换它到PEM(在下面的示例我们下载证书链作为文件名"All-certs.
p7b"):5.
在全certs.
pem的All-certs.
p7b的opensslpkcs7-print_certs--6.
与您与CSR的专用密钥结合证书链(在本例中,被命名"全certs.
pem")证书(设备证书的专用密钥一起生成,是在本例中的mykey.
pem),如果去与方案A(即您使用Openssl生成CSR),并且保存文件作为final.
pem.
如果生成CSR直接地从WLC(选项B)您能跳到此步骤.
在OpenSSL应用程序中发出以下命令,以创建All-certs.
pem和final.
pem文件:openssl>pkcs12-export-inAll-certs.
pem-inkeymykey.
pem-outAll-certs.
p12-clcerts-passinpass:check123-passoutpass:check123openssl>pkcs12-inAll-certs.
p12-outfinal.
pem-passinpass:check123-passoutpass:check123Note:在此命令中,您必须为参数-passin和-passout输入口令.
为-passout参数配置的口令必须与在WLC上配置的certpassword参数匹配.
在本示例中,为-passin和-passout参数配置的口令为check123.
Final.
pem是您必须下载到WLC的文件,如果跟随"选项A.
CSR以Openssl".
如果跟随了"WLC生成的选项B.
CSR",则全certs.
pem是您必须下载到WLC的文件.
下一步是将此文件下载到WLC.
Note:如果证书的加载对WLC的发生故障,可能是您没有在pem文件的全部的一系列.
下面参考步骤2方案B(请从第三方CA获取final.
pem)发现如何应该看起来象.
如果只看到在文件的一证书,则您需要手工下载所有中间和根CA证书文件和添附他们(由简单复制粘贴)到文件创建一系列.
方案B:从第三方CA得到Final.
pem文件复制CSR信息并将其粘贴到任意CA注册工具中.
1.
在您提交CSR对第三方CA后,第三方CA数字式地签署证书并且退还签名证书一系列通过电子邮件.
一旦被串连的证书,您接收证书整个一系列从CA的.
如果只有一中间证书正如在此示例,您接收从CA:的这三证书根certificate.
pem中间certificate.
pem设备certificate.
pemNote:确保证书是有安全散列算法1(SHA1)加密的Apache兼容.
一旦有全部三证书,请复制和插入每个.
pem文件的内容到另一个文件按此顺序:------BEGINCERTIFICATE------*Devicecert*------ENDCERTIFICATE------------BEGINCERTIFICATE------*IntermediateCAcert*------ENDCERTIFICATE--------------BEGINCERTIFICATE------*RootCAcert*------ENDCERTIFICATE------2.
将文件另存为All-certs.
pem.
3.
与您与CSR的专用密钥结合全certs.
pem证书(设备证书的专用密钥一起生成,是在本例中的mykey.
pem),如果去与方案A(即您使用Openssl生成CSR),并且保存文件作为final.
pem.
如果生成CSR直接地从WLC(选项B)您能跳到此步骤.
在OpenSSL应用程序中发出以下命令,以创建All-certs.
pem和final.
pem文件:openssl>pkcs12-export-inAll-certs.
pem-inkeymykey.
pem-outAll-certs.
p12-clcerts-passinpass:check123-passoutpass:check123openssl>pkcs12-inAll-certs.
p12-outfinal.
pem-passinpass:check123-passoutpass:check123Note:在此命令中,您必须为参数-passin和-passout输入口令.
为-passout参数配置的口令必须与在WLC上配置的certpassword参数匹配.
在本示例中,为-passin和-passout参数配置的口令为check123.
Final.
pem是您必须下载到WLC的文件,如果跟随"选项A.
CSR以Openssl".
如果跟随了"WLC生成的选项B.
CSR",则全certs.
pem是您必须下载到WLC的文件.
下一步是将此文件下载到WLC.
4.
Note:也支持SHA2.
CiscoBugIDCSCuf20725是一个要求SHA512支持.
步骤3CLI.
下载第三方证书到与CLI的WLC完成这些步骤为了下载被串连的证书到与CLI的WLC:将final.
pem文件移到TFTP服务器上的默认目录.
1.
在CLI中,发出以下命令以更改下载设置:2.
>transferdownloadmodetftp>transferdownloaddatatypewebauthcert>transferdownloadserverip>transferdownloadpath>transferdownloadfilenamefinal.
pem输入.
pem文件的口令,以使操作系统可以解密SSL密钥和证书.
>transferdownloadcertpasswordpasswordNote:在步骤4设置的请务必certpassword的值是相同的象-passout参数密码(或5)生成CSR部分.
在本示例中,certpassword必须为check123.
如果选择方案B(即请使用WLC生成CSR)您能留下certpassword字段空白.
3.
发出transferdownloadstart命令以查看更新的设置.
然后在提示符处输入y以确认当前下载设置并开始证书和密钥下载.
示例如下:(CiscoController)>transferdownloadstartMode.
TFTPDataType.
SiteCertTFTPServerIP.
10.
77.
244.
196TFTPPacketTimeout.
6TFTPMaxRetries.
10TFTPPath.
TFTPFilename.
final.
pemThismighttakesometime.
Areyousureyouwanttostart(y/N)yTFTPEAPDevcerttransferstarting.
Certificateinstalled.
Reboottheswitchtousenewcertificate.
4.
重新启动WLC,以使更改生效.
5.
步骤3GUI.
下载第三方证书到与GUI的WLC完成这些步骤为了下载被串连的证书到与GUI的WLC:将设备证书final.
pem复制到TFTP服务器上的默认目录.
1.
选择Security>WebAuth>Cert以打开WebAuthenticationCertificate页.
2.
选中DownloadSSLCertificate复选框以查看DownloadSSLCertificateFromTFTPServer参数.
3.
在IPAddress字段中输入TFTP服务器的IP地址.
4.
在FilePath字段中输入证书的目录路径.
5.
在FileName字段中输入证书的名称.
6.
在CertificatePassword字段中输入用于保护证书的口令.
7.
单击Apply.
8.
下载完成后,选择Commands>Reboot>Reboot.
9.
如果系统提示您保存所做的更改,请单击SaveandReboot.
10.
单击OK以确认您需要重新启动控制器.
11.
故障排除什么很可能将摆在问题是证书的安装在WLC的.
为了排除故障,打开在WLC的一line命令和回车调试请转接所有enable(event)并且pkienable(event)然后完成下载证书步骤.
Insomecases,thelogswillonlysaythatthecertificateinstallationfailed:*TransferTask:Sep0908:37:17.
415:RESULT_STRING:TFTPreceivecomplete.
.
.
InstallingCertificate.
*TransferTask:Sep0908:37:17.
415:RESULT_CODE:13TFTPreceivecomplete.
.
.
InstallingCertificate.
*TransferTask:Sep0908:37:21.
418:Addingcert(1935bytes)withcertificatekeypassword.
*TransferTask:Sep0908:37:21.
421:RESULT_STRING:Errorinstallingcertificate.
您需要验证证书格式和然后连锁发送.
切记WLCs后比版本7.
6要求全部的一系列存在,因此您能不仅上传单独您的WLC证书.
至根CA的一系列一定是存在文件.
这是调试示例,当中间CA不正确时:*TransferTask:Jan0419:08:13.
338:AddWebAuthCert:Addingcertificate&privatekeyusingpasswordcheck123*TransferTask:Jan0419:08:13.
338:AddIDCert:Addingcertificate&privatekeyusingpasswordcheck123*TransferTask:Jan0419:08:13.
338:AddCerttoIDTable:Addingcertificate(name:bsnSslWebauthCert)toIDtableusingpasswordcheck123*TransferTask:Jan0419:08:13.
338:AddCerttoIDTable:DecodingPEM-encodedCertificate(verify:YES)*TransferTask:Jan0419:08:13.
338:Decode&VerifyPEMCert:Cert/KeyLengthwas0,sotakingstringlengthinstead*TransferTask:Jan0419:08:13.
338:Decode&VerifyPEMCert:Cert/KeyLength7148&VERIFY*TransferTask:Jan0419:08:13.
342:Decode&VerifyPEMCert:X509CertVerificationreturncode:0*TransferTask:Jan0419:08:13.
342:Decode&VerifyPEMCert:X509CertVerificationresulttext:unabletogetlocalissuercertificate*TransferTask:Jan0419:08:13.
342:Decode&VerifyPEMCert:ErrorinX509CertVerificationat0depth:unabletogetlocalissuercertificate*TransferTask:Jan0419:08:13.
343:AddCerttoIDTable:Errordecoding(verify:YES)PEMcertificate*TransferTask:Jan0419:08:13.
343:AddIDCert:Errordecoding/addingcerttoIDcerttable(verifyChain:TRUE)*TransferTask:Jan0419:08:13.
343:AddWebAuthCert:ErroraddingIDcert高性能的(HASSO)考虑事项按照WLCHASSO部署指南说明,证书没有从主要的复制到在HASSO方案的附属控制器.
这意味着您必须importall证书对第二在形成HA对前.
另一个警告是这不会工作,如果生成CSR(并且创建密钥本地)在主要的WLC和该密钥不可能导出.
唯一方法是生成主要的WLC的CSR与Openssl(并且有密钥附加对证书)和导入该证书/密钥组合在两WLCs.
相关信息生成第三方证书的CSR并且下载被释放的证书到WLCq在一个无线控制系统(WCS)上为第三方证书生成的证书签名请求(CSR)q在Linux服务器上安装的无线控制系统(WCS)证书签名请求(CSR)配置示例q技术支持和文档-CiscoSystemsqWLCHASSO指南q

Letbox(35美元/年),美国洛杉矶VPS终身7折

Letbox 云服务商在前面的文章中其实也有多次介绍,这个服务商其实也算是比较老牌的海外服务商,几年前我也一直有使用过他们家的VPS主机,早年那时候低至年付15-35美元左右的VPS算式比较稀缺的。后来由于服务商确实比较多,而且也没有太多的网站需要用到,所以就没有续费,最近这个服务商好像有点活动就躁动的发布希望引起他人注意。这不有看到所谓的家中有喜事,应该是团队中有生宝宝了,所以也有借此来发布一些...

零途云月付31.9元起,香港cn2 gia线路

零途云是一家香港公司,主要产品香港cn2 gia线路、美国Cera线路云主机,美国CERA高防服务器,日本CN2直连服务器;同时提供香港多ip站群云服务器。即日起,购买香港/美国/日本云服务器享受9折优惠,新用户有优惠码:LINGTUYUN,使用即可打折。目前,零途云还推出性价比非常高香港多ip站群云服务器,有需要的,可以关注一下。零途云优惠码:优惠码:LINGTUYUN (新用户优惠,享受9折优...

A400:36元/季,16.8/月kvm架构,线路优质,延迟低

A400互联是一家成立于2020年的商家,主要推行洛杉矶服务器采用kvm架构,线路优质,延迟低,稳定性高!全场产品对标腾讯云轻量,服务器线路有有美国洛杉矶cn2_gia、香港cn2+cmi,目前推行的vps服务器均为精心挑选的优质线路机房,A400互联推出了夏季优惠洛杉矶5折、香港7折促销活动,质量可靠,价格实惠!二:优惠码洛杉矶五折优惠码:20210620香港cn2七折优惠码:0710三、优惠方...

csr是什么为你推荐
京沪高铁上市首秀京沪高铁将有哪些看点?原代码源代码是什么意思啊www.7160.com电影网站有那些www.e12.com.cn有什么好的高中学习网?789se.com莫非现在的789mmm珍的com不管了百度指数词什么是百度指数kb123.net股市里的STAQ、NET市场是什么?66smsm.com【回家的欲望(回家的诱惑)大结局】 回家的诱惑全集66 67 68 69 70集QOVD快播观看地址??javlibrary.comsony home network library官方下载地址本冈一郎只想问本冈一郎的效果真的和说的一样吗?大概多长时间可以管用呢?用过的进!
3322动态域名注册 免费域名空间申请 个人域名备案 万网域名解析 net主机 qq云存储 technetcal ion 美国主机论坛 华为云主机 北京主机 湖南服务器托管 150邮箱 静态空间 网通服务器托管 鲁诺 网游服务器 联通网站 空间租赁 中国电信网络测速 更多