отмена
Отображаются результаты для 
Вместо этого искать 
Вы имели в виду: 
Объявления
Добро пожаловать в Сообщество Технической поддержки Cisco. Мы рады получить обратную связь .
New Member

Download Web Auth Cert

Работает wi-fi для гостевых пользователей, при входе в инет их перебрасывает на контролер wi-fi и предлагает ввести логин/пароль. Все прекрасно и красиво, кроме того что ругается на сертификат.

Есть у меня pfx сертификат, который я сконвертировал в pem. И вот загружаю я его через tftp в меню Download Web Auth Cert и в итоге получаю TRANSFER_FAILED, в это же время в дебаге RESULT_STRING: Error installing certificate.

Что ему еще надо сделать, чтобы загрузился сертификат нормально?

Сертификат wildcard, то есть *.domain.tld

2 УТВЕРЖДЕН. РЕШЕН.

Утвержденные решения
New Member

Игорь, сперва CA сертификат,

Игорь, сперва CA сертификат, затем Identity.

В качестве типа сертификата я имел ввиду область его применения (enhanced key usage). Должно быть "Server Authentication".

Постараться посмотреть, что происходит можно командой debug pm pki enable

"Так же я из pfx вытащил private key и попробовал сгенерировать конечны согласно инструкции на сайте." Немного не понял, что именно была попытка сгенерировать?

 

New Member

"The WLC does not support

"The WLC does not support chained certificates more than 10KB in size on the WLC. However, this restriction has been removed in WLC Version 7.0.230.0 and later.", т.е. в Вашей ситуации ограничение ещё должно существовать.

И да, ограничение по длинне распространяется на рутовый сертификат в том числе.

12 ОТВЕТ.
New Member

Игорь, добрый день!А

Игорь, добрый день!

А сертификат какого типа создан для контроллера? Возможно проблема в том, что сертификат имеет неверный тип применения.

Так же обратите внимание на первую заметку в данной статье: http://www.cisco.com/c/en/us/td/docs/wireless/controller/8-0/configuration-guide/b_cg80/b_cg80_chapter_010111.html

New Member

Антон, забыл указать у меня

Антон, забыл указать у меня сейчас стоит софт 6.0.220 на WLC-4404.

 

Про заметку. я так понимаю это:

"While installing certificate for web authentication for Release 7.6, certificate load fails due to Missing Root CA cert error. Please download a chained certificate that includes intermediate Certificate Authority (CA) & root CA and install it on the Cisco WLC. "

Я загружаю сертификаты в комплекте с CA и промежуточные, как вроде в заметке и написано. Или CA надо загрузить раньше?

 

Про тип сертификата не совсем понял. У меня wildcard сертификат, но он pfx. Я его сконвертировал в pem, с помощью openssl, но это не помогло. Так же я из pfx вытащил private key и попробовал сгенерировать конечны согласно инструкции на сайте. Взял те что прислал провайдер, объединил в один файл и с помощью openssl сгенерировал финальный сертификат. Единственное что у меня промежуточных было 2, возможно можно использовать один, но я добавлял два.

Может есть возможность как-то посомтреть детальней ошибку, а не просто "RESULT_STRING: Error installing certificate". Чтобы понять куда копать. Возможно конечно, я что-то не так делаю с самим сертификатом, то есть не правильно его делаю.

Но вроде все по инструкции.

New Member

Игорь, сперва CA сертификат,

Игорь, сперва CA сертификат, затем Identity.

В качестве типа сертификата я имел ввиду область его применения (enhanced key usage). Должно быть "Server Authentication".

Постараться посмотреть, что происходит можно командой debug pm pki enable

"Так же я из pfx вытащил private key и попробовал сгенерировать конечны согласно инструкции на сайте." Немного не понял, что именно была попытка сгенерировать?

 

New Member

сгенерировать соглано данной

сгенерировать соглано данной инструкции http://www.cisco.com/c/en/us/support/docs/wireless-mobility/wlan-security/70584-csr-wlc-00.html

openssl>pkcs12 -export -in CA.pem -inkey mykey.pem -out CA.p12 -clcerts 
 -passin pass:check123 -passout pass:check123

!--- This command should be on one line.

openssl>pkcs12 -in CA.p12 -out final.pem -passin pass:check123 -passout pass:check123

 

Сейчас не найду, на работе вкладка осталось, что сертификаты должны быть в pem файле в порядке конечный-промежуточный-CA. Это правильный порядок?

 

Если я правильно понял про тип сертификата, то у меня такой

"Проверка подлинности сервера (1.3.6.1.5.5.7.3.1)
Проверка подлинности клиента (1.3.6.1.5.5.7.3.2)"

New Member

Игорь, порядок "identity -

Игорь, порядок "identity - intermediate ca - root ca". Вам больше подходит вот эта инструкция: http://www.cisco.com/c/en/us/support/docs/wireless/4400-series-wireless-lan-controllers/109597-csr-chained-certificates-wlc-00.html , но в целом в ней ничего сильно отличающегося не написано.

 

Да, тип использования у Вас верный.

 

Посмотрите ещё полученный сертификат на предмет объема. Доки говорят, что ранее на сертификаты было ограничение макс. размера в 10КБ

 

Так же обратите внимание на баг: https://tools.cisco.com/bugsearch/bug/CSCti65315

New Member

Да, про 10 кб я находил,

Да, про 10 кб я находил, только не понятно под какую версию.

Сертификат в 0.9.8b делаю.

New Member

"The WLC does not support

"The WLC does not support chained certificates more than 10KB in size on the WLC. However, this restriction has been removed in WLC Version 7.0.230.0 and later.", т.е. в Вашей ситуации ограничение ещё должно существовать.

И да, ограничение по длинне распространяется на рутовый сертификат в том числе.

New Member

Попробовал загрузить

Попробовал загрузить сертификаты на другой контролер 2504 с софтом 7.6, тоже ругается.

Какой-то замкнутый круг :)

New Member

Хм, на софт 7.6 залил

Хм, на софт 7.6 залил сертификат сконвертированный с pfx в pem. Файл больше 10 кбайт. Сейчас попробую свой контролер обновить до 7.0.240.
 

New Member

Антон, спасибо. Оказалось в

Антон, спасибо. Оказалось в самом деле проблема с размером файла. Сконвертировал свой pfx в pem, обновился до версии 7.0.240 и все заработало как надо.

New Member

Это очень даже хорошо. Не за

Это очень даже хорошо. Не за что.)

New Member

Еще вопрос. Еаписано что

Еще вопрос. Еаписано что контроллер поддерживает шифрование 2048 максимум. У нас рутовый сертификат 4096. Может быть проблема из-за этого?

92
Просмотры
0
Полезный материал
12
Ответы