Загрузка SSL-сертификата Web-auth для WiFi-контроллера Cisco WLC Wireless

Автор: | 22 октября, 2018

Исходное:

1)Cisco WLC 2504 Wireless Controller
https://www.cisco.com/c/en/us/support/wireless/2504-wireless-controller/model.html
прошивка firmware AIR-CT2500-K9-8-5-135-0.aes 8.5.135.0 ED искать на 4share
2)WinSCP — это графический клиент SFTP (SSH File Transfer Protocol) для Windows с открытым исходным кодом. https://winscp.net
3)PuTTY client https://www.chiark.greenend.org.uk/~sgtatham/putty/latest.html
4)Let’s Encrypt — Free SSL/TLS Certificates действует 90 дней есть WildCard *.5house.win https://letsencrypt.org/

5)Generate CSR for Third-Party Certificates and Download Chained Certificates to the WLC
https://www.cisco.com/c/en/us/support/docs/wireless/4400-series-wireless-lan-controllers/109597-csr-chained-certificates-wlc-00.html

6)TFTP server for Windows http://tftpd32.jounin.net/

Obtain the Final.pem File from a Third-Party CA

1)Правильный порядок и формат файла запрятан глубоко в недрах документации. Сначала нужно собрать все сертификаты в pem формате в один файл в следующем порядке:
——BEGIN CERTIFICATE——
<WLC cert Device
——END CERTIFICATE——
——BEGIN CERTIFICATE——
<Intermediate CA cert #1 *
——END CERTIFICATE——-
——BEGIN CERTIFICATE——
<Intermediate CA cert #2 *
——END CERTIFICATE——-
——BEGIN CERTIFICATE——
*Root CA cert *
——END CERTIFICATE——

2)Качаем Root CA cert https://letsencrypt.org/certificates/ https://letsencrypt.org/certs/isrgrootx1.pem.txt

3)Конвертация фйла .crt .cer .p7b в формат pem используя Openssl https://www.openssl.org/ win *unix

openssl x509 -in ca_bundle.crt -out ca_bundle.pem -outform PEM
openssl x509 -in certificate.crt -out certificate.pem -outform PEM
openssl x509 -in ca.crt -out ca.pem -outform PEM

4)Собираем все сертификаты в pem формате в один файл All-certs.pem

cat certificate.pem ca_bundle.pem ca.pem > All-certs.pem

5)Создаем контейнер сертификатов с приватным кличем и защитой паролем

openssl pkcs12 -export -in All-certs.pem -inkey private.key -out All-certs.p12 -clcerts -passin pass:check123  -passout pass:check123

6)Создаем финальный файл final.pem

openssl pkcs12 -in All-certs.p12 -out final.pem -passin pass:check123 -passout pass:check123

теперь полученный файл final.pem, защищенный паролем, можно заливать в cisco wlc WiFi-controller.

7)Загрузка файла final.pem на WLC контроллер через web gui или cli ssh

cisco-wlc-2504-Web-Authentication-Certificate-ssl-tftp-pem
transfer download mode tftp
>transfer download datatype webauthcert
>transfer download serverip
>transfer download path
>transfer download filename final.pem
Enter the password for the .pem file so that the operating system can decrypt the SSL key and certificate.

>transfer download certpassword password
(Cisco Controller) >transfer download start
Ждём
“File transfer operation completed successfully.”
Если ошибка с малопонятным сообщением ‘transfer failed’, в консоли при активированном дебаге “(Cisco Controller) >debug transfer all enable” ошибки будут не намного информативнее, а-ля:
RESULT_STRING: Error installing certificate.
RESULT_CODE:12

8)Для того чтобы загруженный сертификат активировался на портале web-auth и на странице портала, куда будет переброшен пользователь, нужно задать DNS имя для виртуального интерфейса, соответствующее тому на какой CN выдан сертификат. Делается это в настройках ‘Controller – Interfaces – virtual – DNS Host name’.

9)После изменения установок контроллер WLC необходимо перезагрузить.
10)настройка wlans cisco-wlc-2504-wlans-edit-Security-layer-3-Passthrough
cisco-wlc-2504-wlans-edit-Security-layer-3-Passthrough

http://www.hotplug.ru/2015/05/zagruzka-ssl-sertifikata-web-auth-dlya-wifi-kontrollera-cisco-wlc/

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *