WLC-Download 3-party CA to WLC
一、基礎準備
為了創建和導入第三方SSL-certificate你需要做如下準備:
1、一個WLC(隨著版本的不同,可能需要準備的也不同)這裏以7.0.98版本為例。
2、一個外部的證書頒發機構(Certificate Authority,CA),這裏以www.startssl.org為例,該網站提供免費的一類證書。
3、一個帶有DNS和DHCP服務器的guest網絡的獨立VLAN。
4、適用於Windows的OpenSSL 0.9.8h,當然,在Linux系統中也可以使用OpenSSL。
5、一個TFTP服務器軟件(這裏離使用TFTP32)
二、控制器的準備
1、你必須為guest網絡創建兩個接口
第一個接口與其他接口一樣,具有名稱,IP地址和VLAN標簽。
第二接口是virtual接口,參考如下截圖創建:
設置IP地址並定義應該在證書中命名的DNS主機名稱:
2、創建WLAN
定義guest WLAN,按照如下截圖實現:
進入對應的SSID,選擇你想綁定的接口並且進行設置:
這樣定義完成後,點擊Apply,你就能看到一個沒加密的SSID,當你嘗試連接它,並打開瀏覽器界面,你應該從自簽名SSL證書收到一個“certificate error”的起來。這就需要我們去做第三方的證書了。
三、通過startssl.org準備創建SSL certificate
1、準備
要使用www.startssl.org創建SSL證書,您必須註冊一個用戶帳戶。 通過創建用戶帳戶,您將收到一個用戶證書,您將需要安全地登錄到startssl.org。
可以肯定的是,請求的域名屬於你,你必須驗證你的域名。 因為我們只使用免費的1類證書,所以不需要其他驗證。
2、驗證你的域名
要為您的主機wlc.domain.org創建1類證書,您必須在www.startssl.org上驗證域domain.org。 首先,您必須使用用戶憑證登錄www.startssl.org。
註意,wlc.domain.org是你在WLC上配置的DNS。
在登錄之後,進入StartSSL PKI,然後到Control Panel。到Validation Wizard→Domain Name Validation→Continue
然後輸入域名名稱,選擇TLD(top level domain,頂級的域名)然後,點擊Continue
要驗證你是域名所有者,StartSSL會將電子郵件發送到預定義的郵件地址。 在你的郵件系統中創建一個你使用的電子郵件地址,並以下面的形式選擇它:
點擊Continue按鈕,並且等待驗證郵件。只要你收到了驗證郵件,就點擊郵件中的驗證鏈接,以驗證這個domain。
四、在StartSSL.org請求證書
點擊Certificates Wizard,選擇Web Server SSL/TLS Certificate 並點擊Continue
輸入一個10-32位的密碼,要記住這個密碼,後面會需要它,並且之後不能修改恢復它。選擇2048位的密鑰大小(WLC不支持大於2048 bits的,而這裏的StartSSL不支持小於2048 bits的)。當然如果其他的支持1024 bits,也可以選擇1024 bits。
然後點擊Continue,你會收到如下信息:
復制文本框中的完整內容並將其粘貼到新的文本文件中,命名該文本文件為private_key.txt 。該文件創建完畢後,點擊Continue。
這個private key對應的是mykey.pem
選擇你想要的hostname並且點擊Continue
接下來等待StartSSL的驗證,你大概需要等待將近3小時。
五、下載設備證書(Device Certificate)
在手動驗證了StartSSL之後,你將會收到一封確認郵件,然後在StartSSL安裝如下指導選擇Tool Box→Retrieve Certificate(取回證書)
選擇所需的證書。 新的將被標記為綠色:
您將收到此信息:
復制文本框中的全部內容並將其粘貼到新的文本文件中。 將該文本文件另存為device_cert.pem
Device cert對應是合並證書的第一個證書
六、下載CA Certificate
按照如下指導點擊Tool Box→StartCom CA Certificates
下載StartCom Root CA(PEM編碼)和Class 1 Intermediate CA兩個證書
七、合並證書
創建一個新的文件文件,保存為All-Certs.pem ,並且以文本方式打開,按照下列順序插入三個文件。
Device certificate
Class 1 Intermediate Server CA
StartCom Root CA
轉換證書:
你需要使用OpenSSL來轉換證書,這裏使用的是OpenSSL 的Windows版本0.9.8h,打開OpenSSL並且執行如下命令:
操作命令1:這裏是將All-Certs.pem證書和private_key.txt合成我們的All-certs.p12文件。
pkcs12 -export -in D:\All-Certs.pem -inkey D:\private_key.txt -out D:\All-certs.p12 -clcerts –passin pass:PASSWORD –passout pass:PASSWORD
操作命令2:合成p12文件後,由於我們的WLC不能支持,所以要轉換回.pem文件。
pkcs12 -in D:\All-certs.p12 -out D:\final-cert.pem -passin pass:PASSWORD -passout pass:PASSWORD
其中D:\表示你的證書所在的路徑,PASSWORD表示您在StartSSL主頁上定義的密碼。 兩行應該沒有錯誤的執行。
為-passout參數配置的密碼必須與在WLC上配置的證書密碼參數相匹配。
八、導入證書到WLC
允許TFTP server,選擇你證書的路徑,打開WEB界面,Security→Web Auth→Certificate→勾選Download SSL Certificate,然後輸入下面的類似信息
點擊Apply按鈕提交,成功安裝證書後,需要重啟WLC.
額外需要的網絡配置:
您必須在guest vlan中配置您的DHCP和DNS服務器。 在DNS服務器上,您需要為wlc.domain.org設置指向IP地址2.2.2.2的區域條目。
原文地址:
https://www.burkard.it/2011/05/add-third-party-ssl-certificate-to-cisco-wlcs-web-authentication-page/
WLC-Download 3-party CA to WLC