シスコサポートコミュニティ
キャンセル
次の結果を表示 
次の代わりに検索 
もしかして: 

Mobility Express 電子証明書のインストール (CLI 操作)

[toc:faq]



Cisco の AP には出荷時に自己署名または Cisco 製造部門独自の電子証明書がインストールされています。

以下の TLS ハンドシェイクでエラーが発生しないようにするためには、お客様環境で有効な電子証明書をご用意いただく必要があります。

有効な電子証明書 (公的な電子証明書または自営証明局発行の証明書) をインストールしなくても、接続できる回避策がありますが、セキュリティの観点からはお勧めできません。

  • 管理 GUI への HTTPS アクセス (Mobility Express 管理者がブラウザにセキュリティ例外追加で回避可能 :非推奨)
  • Web 認証 (ゲスト WLAN) での認証ポータルへの HTTPS アクセス (エンドユーザがブラウザにセキュリティ例外を追加することで回避可能 : 非推奨)
  • ローカル EAP 認証 (WPA2 エンタープライズ) での PEAP 認証 (エンドユーザが無線クライアントの EAP サプリカントでサーバ証明書の検証機能を無効に設定することで回避可能 : 非推奨)



証明書インストールについての共通の注意事項は以下です。

  • GUI での証明書インストールはできません。CLI 操作が必要です。
  • Mobility Express コントローラ (マスター AP) にインストールした電子証明書は、マスター AP になることが可能な従属 AP へ同期されますので、従属 AP に証明書をインストールする必要はありません。
  • Mobility Express コントローラ (マスター AP)にインストールする電子証明書は PEM 型式 (Base64 エンコード) であることが必要です。DER 型式 (バイナリ エンコード) の場合は PEM に変換してください。




管理 GUI 用電子証明書

  • 証明書ファイルに CA 証明書を含める必要はありません。
  • 証明書の CN (Common Name) には Mobility Express の管理者がブラウザに入力する URL のホスト部分を設定します。
    • IP アドレスでアクセスする場合 : CN に IP アドレスを設定
    • Mobility Express 管理 IP アドレスを DNS 登録し、FQDNでアクセスする場合 : CN を DNS ホスト名で設定




CSR (Certificate Signing Request) をコントローラ CLI で作成する場合

インストールする証明書ファイルにはサーバ証明書だけが含まれています。

手順

  1. コントローラ CLI で CSR を作成し、CA管理者に提出
  2. CA が CSR に署名し、サーバ証明書を作成し、ファイルに保存
  3. 証明書ファイルをコントローラ CLI を用いてインストール

CLI での CSR 作成には以下のコマンドを使用します。

config certificate generate csr-webadmin [Country] [State] [Locality] [Organization] [Organization Unit] [Common Name] [Email Address]

コマンド実行時、秘密鍵 (外部へのエキスポート不可) と CSR が生成されますので、CSR をテキストファイルに保存して、CA 管理者に提出します。

注意 : 証明書ファイルは Mobility Express コントローラの再起動前にインストールする必要があります。再起動を行なうと生成された秘密鍵が無効になります。


Mobility Express コントローラ CLI での CSR 作成例


(Cisco Controller) >config certificate generate csr-webadmin JP Kanto Tokyo "Cisco Systems" "Japan TAC" 172.30.240.201 me-admin@cisco.com

-----BEGIN CERTIFICATE REQUEST-----
MIICtzCCAZ8CAQAwcjELMAkGA1UEBhMCSlAxDjAMBgNVBAgMBUthbnRvMQ4wDAYD
VQQHDAVUb2t5bzEWMBQGA1UECgwNQ2lzY28gU3lzdGVtczESMBAGA1UECwwJSmFw
YW4gVEFDMRcwFQYDVQQDDA4xNzIuMzAuMjQwLjIwMTCCASIwDQYJKoZIhvcNAQEB
BQADggEPADCCAQoCggEBAMfV/6/HnILSyit6MMYWRKqzyEJXg2QJzbjIa7leQ7QN
sj6+2Kh0OEDJT/fyxfPsT6D7NBSWEHaHo7VnCG9zoo5jj1tZBv7hIujTu9xgi5cH
dYsULC30+pJ1XQNeibHFfPTFA0SkuwoG5cFJk/kjXP5ow7QdVNpi5/DjWvJHunEv
PSJL2auqPwGZSicOrHmTmkMcUGCRUTAQFKWI5ImQvukd5u2HcZ0Mit3mqh5ippvC
TQ50TYIa46u+T4jc6wMJlfN5yOI2z+/GQbFBQozFQyWT3MDCuZFGQ0exZzfw5fD7
zMp0o+CBBPeyw2+r0KnbC9RlYUrLmWUe/U8OROFH9y8CAwEAAaAAMA0GCSqGSIb3
DQEBCwUAA4IBAQCF/yS1yIEALiuhMrvridfW6FnfHQZQTimZFgoEgPwD5y5TWEox
pxggorCc9+X94Ef5kvIyIL42nbpFa83gNW1V8ajgOiQimakLHs+YkBS3fidWSa5S
jOT1oCg2wj5UtBvz/YbXbqmH6gtT+PqvKd2IgKz6Huh4ZWg0hEwEqxTmKiNWHa4G
H+L/u+isuKlVJiz+x84qR+xfe6EEXG4fSBxRyTRxH9GTixIfia7YGffsIVSz7qoN
N8Jf1ejVyhdLINgEgwmzlM9OHBH54T4z7gu0szzlrQW+6MiikwbgVHTkHXCUgFxW
cwFU0TQs5tX44L+4SBNo1mPfvosQpVepYz1r
-----END CERTIFICATE REQUEST-----




CSR をコントローラ CLI で作成しない場合

秘密鍵と電子証明書の両方を CA 管理者が作成します。インストールする証明書ファイルにはサーバ証明書秘密鍵が含まれています。

手順

  1. CN 等の情報を CA 管理者に通知し、証明書作成を依頼
  2. CA 管理者が秘密鍵とサーバ証明書を作成し、ファイルに保存
  3. 証明書ファイルを CLI を用いてインストール




証明書ファイルのインストール

証明書ファイルを CA 管理者から受け取ったら、TFTP サーバに配置し、transfer download コマンドを用いてインストールします。

  • datatype は webadmincert です。
  • コントローラ CLI で CSR を作成しない場合、証明書ファイルには秘密鍵が含まれており、一般的にはパスワードにより暗号化保護されています。transfer download certpassword の実行が必要です。
  • 証明書のインストールに成功すると、show certificate summary の Web Administration Certificate 欄が 3rd Party に代わり、show certificate webadmin で内容を確認できます。


管理 GUI 用電子証明書のインストール作業例


(Cisco Controller) >show certificate summary
Web Administration Certificate................... Locally Generated
Web Authentication Certificate................... Locally Generated
Certificate compatibility mode:.................. off
Lifetime Check Ignore for MIC ................... Disable
Lifetime Check Ignore for SSC ................... Disable



(Cisco Controller) >transfer download mode tftp
(Cisco Controller) >transfer download datatype webadmincert
(Cisco Controller) >transfer download serverip 172.17.122.1
(Cisco Controller) >transfer download path /me/
(Cisco Controller) >transfer download filename webadmin.pem
(Cisco Controller) >transfer download certpassword Cisco123   <-- 秘密鍵がパスワード保護されている場合
Setting password to <Cisco123>

(Cisco Controller) >transfer download start       

Mode............................................. TFTP 
Data Type........................................ Admin Cert   
TFTP Server IP................................... 172.17.122.1
TFTP Packet Timeout.............................. 6
TFTP Max Retries................................. 10
TFTP Path........................................ /me/
TFTP Filename.................................... webadmin.pem

This may take some time.
Are you sure you want to start? (y/N) y

TFTP Webadmin cert transfer starting.

Certificate installed.
  Reboot the switch to use new certificate.


(Cisco Controller) >show certificate summary
Web Administration Certificate................... 3rd Party
Web Authentication Certificate................... Locally Generated
Certificate compatibility mode:.................. off
Lifetime Check Ignore for MIC ................... Disable
Lifetime Check Ignore for SSC ................... Disable

(Cisco Controller) >show certificate webadmin
Show Web Admin!

WebAdmin Device Certificate details:

     Subject Name :
         C=JP, ST=Kanto, L=Tokyo, O=Cisco Systems, OU=Japan TAC, CN=172.30.240.201
     Issuer Name :
         C=JP, ST=Kanto, L=Tokyo, O=Cisco Systems, OU=Japan TAC, CN=JTAC-CA, emailAddress=jtac-ca@cisco.com
     Serial Number :
         100
     Validity :
         Start : Jun 29 11:02:29 2016 GMT
         End   : Jun 29 11:02:29 2017 GMT
     Signature Algorithm :
         sha256WithRSAEncryption
     Hash key :
         SHA1 Fingerprint  : 3e:e9:ba:58:37:b9:f4:b3:c8:fb:fc:c5:0f:93:34:f9:b6:21:d3:28
         MD5 Fingerprint  : b9:92:13:c6:43:92:4a:c0:59:90:5c:c2:4f:72:d4:9d

(Cisco Controller) >



電子証明書のインストール後、save config コマンドを実行して設定を保存して reset system コマンドにより Mobility Express コントローラを再起動すれば証明書のインストール作業は完了です。再起動後、管理 GUI にアクセスすると証明書エラー無しに HTTPS 接続ができます。







Web 認証 (ゲストネットワーク) 用電子証明書

Web 認証 (ゲストネットワーク) の際、無線クライアントからの HTTP 通信は仮想的な IP アドレス 192.0.2.1 上の認証ページにリダイレクトされます。認証ポータルへ電子証明書エラー無しで HTTPS アクセスするには、CN = 192.0.2.1 の電子証明書を Mobility Express コントローラにインストールすることが必要です。

(192.0.2.1 は RFC5735 に規定されている TEST-NET-1 192.0.2.0/24 のアドレスです。)

  • 証明書ファイルは、サーバ証明書、CA 証明書 (および 1つ以下の中間 CA 証明書)を含んだチェーン証明書であることが必要です。(サーバ証明書のみではインストールが失敗します)
  • CN (Common Name) には 上記の仮想 IP アドレスを指定します。 (CN = 192.0.2.1)



CSR (Certificate Signing Request) をコントローラ CLI で作成する場合

インストールする証明書ファイルにはサーバ証明書 CA 証明書 が含まれています。

手順 :

  1. コントローラ CLI で CSR を作成し、CA管理者に提出
  2. CA が CSR に署名し、サーバ証明書を作成し、ファイルに保存
  3. 証明書ファイルをコントローラ CLI を用いてインストール



CLI での CSR 作成には以下のコマンドを使用します。

config certificate generate csr-webauth [Country] [State] [Locality] [Organization] [Organization Unit] [Common Name] [Email Address]

コマンド実行時、秘密鍵 (外部へのエキスポート不可) と CSR が生成されますので、CSR をテキストファイルに保存して、CA 管理者に提出します。

注意 : 証明書ファイルは Mobility Express コントローラの再起動前にインストールする必要があります。再起動を行なうと生成された秘密鍵が無効になります。


Mobility Express コントローラ CLI での CSR 作成例



(Cisco Controller) >config certificate generate csr-webauth JP Kanto Tokyo "Cisco Systems" "Japan TAC" 192.0.2.1 me-webauth@cisco.com

-----BEGIN CERTIFICATE REQUEST-----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-----END CERTIFICATE REQUEST-----




CSR をコントローラ CLI で作成しない場合

秘密鍵と電子証明書の両方を CA 管理者が作成します。インストールする証明書ファイルにはサーバ証明書秘密鍵CA 証明書が含まれています。(中間 CA が存在する場合は、中間 CA 証明書も含まれます)

手順 :

  1. CN 等の情報を CA 管理者に通知し、証明書作成を依頼
  2. CA 管理者が秘密鍵とサーバ証明書を作成し、CA 証明書を含むチェーン証明書ファイルに保存
  3. チェーン証明書ファイルをコントローラ CLI を用いてインストール




証明書ファイルのインストール

証明書ファイルを CA 管理者から受け取ったら、TFTP サーバに配置し、transfer download コマンドを用いてインストールします。

  • datatype は webauthcert です。
  • コントローラ CLI で CSR を作成しない場合、証明書ファイルには秘密鍵が含まれており、一般的にはパスワードにより暗号化保護されています。transfer download certpassword の実行が必要です。
  • 証明書のインストールに成功すると、show certificate summary の Web Authentication Certificate が 3rd Party に代わり、show certificate webauth で内容を確認できます。


Web 認証
用電子証明書のインストール作業例



(Cisco Controller) >show certificate summary
Web Administration Certificate................... 3rd Party
Web Authentication Certificate................... Locally Generated
Certificate compatibility mode:.................. off
Lifetime Check Ignore for MIC ................... Disable
Lifetime Check Ignore for SSC ................... Disable


(Cisco Controller) >transfer download mode tftp
(Cisco Controller) >transfer download datatype webauthcert
(Cisco Controller) >transfer download serverip 172.17.122.1
(Cisco Controller) >transfer download path /me/
(Cisco Controller) >transfer download filename webauth-chain.pem
(Cisco Controller) >transfer download certpassword Cisco123   <-- 秘密鍵がパスワード保護されている場合
Setting password to <Cisco123>

(Cisco Controller) >
(Cisco Controller) >transfer download start

Mode............................................. TFTP 
Data Type........................................ Site Cert    
TFTP Server IP................................... 172.17.122.1
TFTP Packet Timeout.............................. 6
TFTP Max Retries................................. 10
TFTP Path........................................ /me/
TFTP Filename.................................... webauth-chain.pem

This may take some time.
Are you sure you want to start? (y/N) y

TFTP Webauth cert transfer starting.

TFTP receive complete... Installing Certificate.

Certificate installed.
  Reboot the switch to use new certificate.


(Cisco Controller) >
(Cisco Controller) >show certificate summary              
Web Administration Certificate................... 3rd Party
Web Authentication Certificate................... 3rd Party
Certificate compatibility mode:.................. off
Lifetime Check Ignore for MIC ................... Disable
Lifetime Check Ignore for SSC ................... Disable

(Cisco Controller) >
(Cisco Controller) >show certificate webauth
Show Web Auth!

WebAuth Device Certificate details:

     Subject Name :
         C=JP, ST=Kanto, L=Tokyo, O=Cisco Systems, OU=Japan TAC, CN=192.0.2.1
     Issuer Name :
         C=JP, ST=Kanto, L=Tokyo, O=Cisco Systems, OU=Japan TAC, CN=JTAC-CA, emailAddress=jtac-ca@cisco.com
     Serial Number :
         101
     Validity :
         Start : Jun 29 11:25:06 2016 GMT
         End   : Jun 29 11:25:06 2017 GMT
     Signature Algorithm :
         sha256WithRSAEncryption
     Hash key :
         SHA1 Fingerprint  : 3c:b3:b0:a2:ce:59:95:43:89:e7:9a:bf:96:f7:fd:7b:ad:ab:8e:38
         MD5 Fingerprint  : 13:a0:41:91:e1:d3:d4:2c:d6:23:db:56:37:cc:46:55

(Cisco Controller) >





save config コマンドを実行して設定を保存し、reset system コマンドによMobility Express コントローラを再起動して証明書のインストール作業は完了です。再起動後は、ユーザが Web 認証ポータルに HTTPS アクセスする際、証明書エラーが発生しません。。















ローカル EAP (PEAP) 用電子証明書

以下は WPA2 エンタープライズ認証でローカル EAP (PEAP) を用いる場合の、Mobility Express コントローラへの証明書インストール方法についての説明です。

外部 RADIUS サーバによる 802.1X/EAP 認証の場合は、Mobility Express コントローラに EAP認証用の電子証明書をインストールする必要はありません。

  • CSR を Mobility Express コントローラで作成することはできません。CA 管理者に秘密鍵とデバイス証明書作成を依頼します。
  • CN の値は任意です。
  • サーバ証明書と CA 証明書は別々のファイルとしてインストールする必要があります。
    • サーバ証明書 : datatype = eapdevcert
    • CA証明書 : datatype = eapcacert
  • インストールした証明書を PEAP 認証で使用するためには、config local-auth eap-profile cert-issuer vendor gbl_eap_profile コマンドの実行が必要です。


ローカル EAP 用電子証明書のインストール例

(Cisco Controller) >show local-auth config

User credentials database search order:
    Primary ..................................... Local DB

Timer:
    Active timeout .............................. 300

Configured EAP profiles:
    Name ........................................ gbl_eap_profile
      Certificate issuer ........................ cisco
      Peer verification options:
        Check against CA certificates ........... Enabled
        Verify certificate CN identity .......... Disabled
        Check certificate date validity ......... Enabled
      EAP-FAST configuration:                    <-- (参考) EAP-FASTでの証明書利用は無効です。
        Local certificate required .............. No
        Client certificate required ............. No
      Enabled methods ........................... leap fast peap
      Configured on WLANs ....................... 2

EAP Method configuration:
    EAP-FAST:
      Server key ................................ <hidden>
      TTL for the PAC ........................... 10
      Anonymous provision allowed ............... Yes
      Authority ID .............................. 436973636f0000000000000000000000
      Authority Information ..................... Cisco A-ID

(Cisco Controller) >
(Cisco Controller) >
(Cisco Controller) >show local-auth certificates

Certificates available for Local EAP authentication:

Certificate issuer .............................. vendor
  CA certificate:
             Not installed.
  Device certificate:
             Not installed.

Certificate issuer .............................. cisco
  CA certificate:
    Subject: O=Cisco Systems, CN=Cisco Manufacturing CA
     Issuer: O=Cisco Systems, CN=Cisco Root CA 2048
      Valid: Jun 10 22:16:01 2005 GMT to May 14 20:25:42 2029 GMT
  Device certificate:
    Subject: C=US, ST=California, L=San Jose, O=Cisco Systems
             CN=AP1G4-00FEC82DED28, emailAddress=support@cisco.com
     Issuer: O=Cisco Systems, CN=Cisco Manufacturing CA
      Valid: Mar  7 19:13:58 2016 GMT to Mar  7 19:23:58 2026 GMT


(Cisco Controller) >
(Cisco Controller) >show certificate eap
Show EAP Certificates!

EAP CA Certificate details:
 Error

     Hash key :

EAP Device Certificate details:
 Error

     Hash key :

(Cisco Controller) >
(Cisco Controller) >
(Cisco Controller) >
(Cisco Controller) >transfer download mode tftp
(Cisco Controller) >transfer download datatype eapcacert
(Cisco Controller) >transfer download serverip 172.17.122.1
(Cisco Controller) >transfer download path /me/
(Cisco Controller) >transfer download filename ca.pem
(Cisco Controller) >
(Cisco Controller) >
(Cisco Controller) >transfer download start

Mode............................................. TFTP 
Data Type........................................ Vendor CA Cert
TFTP Server IP................................... 172.17.122.1
TFTP Packet Timeout.............................. 6
TFTP Max Retries................................. 10
TFTP Path........................................ /me/
TFTP Filename.................................... ca.pem

This may take some time.
Are you sure you want to start? (y/N) y

TFTP EAP CA cert transfer starting.

Certificate installed.
  Reboot the switch to use new certificate.


(Cisco Controller) >
(Cisco Controller) >transfer download datatype eapdevcert
(Cisco Controller) >transfer download filename eap-chain.pem
(Cisco Controller) >transfer download certpassword Cisco123
Setting password to <Cisco123>

(Cisco Controller) >          
(Cisco Controller) >
(Cisco Controller) >
(Cisco Controller) >transfer download start               

Mode............................................. TFTP 
Data Type........................................ Vendor Dev Cert
TFTP Server IP................................... 172.17.122.1
TFTP Packet Timeout.............................. 6
TFTP Max Retries................................. 10
TFTP Path........................................ /me/
TFTP Filename.................................... eap-chain.pem

This may take some time.
Are you sure you want to start? (y/N) y

TFTP EAP Dev cert transfer starting.

Certificate installed.
  Reboot the switch to use new certificate.


(Cisco Controller) >
(Cisco Controller) >
(Cisco Controller) >
(Cisco Controller) >config local-auth eap-profile cert-issuer vendor gbl_eap_profile

(Cisco Controller) >save config
Are you sure you want to save? (y/n) y
Configuration Saved!

(Cisco Controller) >

(Cisco Controller) >reset system

Are you sure you would like to reset the system? (y/N) y



<再起動後>


(Cisco Controller) >show local-auth config

User credentials database search order:
    Primary ..................................... Local DB

Timer:
    Active timeout .............................. 300

Configured EAP profiles:
    Name ........................................ gbl_eap_profile
      Certificate issuer ........................ vendor
      Peer verification options:
        Check against CA certificates ........... Enabled
        Verify certificate CN identity .......... Disabled
        Check certificate date validity ......... Enabled
      EAP-FAST configuration:
        Local certificate required .............. No
        Client certificate required ............. No
      Enabled methods ........................... leap fast peap
      Configured on WLANs ....................... 2

EAP Method configuration:
    EAP-FAST:
      Server key ................................ <hidden>
      TTL for the PAC ........................... 10
      Anonymous provision allowed ............... Yes
      Authority ID .............................. 436973636f0000000000000000000000
      Authority Information ..................... Cisco A-ID

(Cisco Controller) >
(Cisco Controller) >
(Cisco Controller) >show local-auth certificates

Certificates available for Local EAP authentication:

Certificate issuer .............................. vendor
  CA certificate:
    Subject: C=JP, ST=Kanto, L=Tokyo, O=Cisco, OU=JTAC, CN=JTAC-CA
             emailAddress=jtac-ca@cisco.com
     Issuer: C=JP, ST=Kanto, L=Tokyo, O=Cisco, OU=JTAC, CN=JTAC-CA
             emailAddress=jtac-ca@cisco.com
      Valid: Feb 17 09:31:42 2016 GMT to Feb 16 09:31:42 2017 GMT
  Device certificate:
    Subject: C=JP, ST=Kanto, L=Tokyo, O=Cisco, OU=JTAC, CN=Local-EAP
             emailAddress=local-eap@cisco.com
     Issuer: C=JP, ST=Kanto, L=Tokyo, O=Cisco, OU=JTAC, CN=JTAC-CA
             emailAddress=jtac-ca@cisco.com
      Valid: Feb 17 09:36:57 2016 GMT to Feb 16 09:36:57 2017 GMT

Certificate issuer .............................. cisco
  CA certificate:
    Subject: O=Cisco Systems, CN=Cisco Manufacturing CA
     Issuer: O=Cisco Systems, CN=Cisco Root CA 2048
      Valid: Jun 10 22:16:01 2005 GMT to May 14 20:25:42 2029 GMT
  Device certificate:
    Subject: C=US, ST=California, L=San Jose, O=Cisco Systems
             CN=AP1G4-00FEC82DED28, emailAddress=support@cisco.com
     Issuer: O=Cisco Systems, CN=Cisco Manufacturing CA
      Valid: Mar  7 19:13:58 2016 GMT to Mar  7 19:23:58 2026 GMT


(Cisco Controller) >
(Cisco Controller) >show certificate eap
Show EAP Certificates!

EAP CA Certificate details:

     Subject Name :
         C=JP, ST=Kanto, L=Tokyo, O=Cisco, OU=JTAC, CN=JTAC-CA, emailAddress=wlantac@cisco.com
     Issuer Name :
         C=JP, ST=Kanto, L=Tokyo, O=Cisco, OU=JTAC, CN=JTAC-CA, emailAddress=wlantac@cisco.com
     Serial Number :
         17156517266101524607
     Validity :
         Start : Feb 17 09:31:42 2016 GMT
         End   : Feb 16 09:31:42 2017 GMT
     Signature Algorithm :
         sha1WithRSAEncryption
     Hash key :
         SHA1 Fingerprint  : f9:c7:74:64:1e:0f:01:b2:f3:d1:50:36:f0:00:d4:21:ba:e9:40:bf
         MD5 Fingerprint  : 41:a7:a5:20:10:fd:e2:4d:85:a5:3c:42:c5:92:4c:f9

EAP Device Certificate details:

     Subject Name :
         C=JP, ST=Kanto, L=Tokyo, O=Cisco, OU=JTAC, CN=Local-EAP, emailAddress=wlantac@cisco.com
     Issuer Name :
         C=JP, ST=Kanto, L=Tokyo, O=Cisco, OU=JTAC, CN=JTAC-CA, emailAddress=wlantac@cisco.com
     Serial Number :
         1
     Validity :
         Start : Feb 17 09:36:57 2016 GMT
         End   : Feb 16 09:36:57 2017 GMT
     Signature Algorithm :
         sha1WithRSAEncryption
     Hash key :
         SHA1 Fingerprint  : ce:2b:4d:92:a6:ad:92:21:f8:01:f2:82:46:1b:b6:62:b6:bf:55:cd
         MD5 Fingerprint  : 83:94:e3:f1:e2:e0:de:4a:86:af:fe:e9:be:c1:e1:fc

(Cisco Controller) >




証明書のインストールが正常に完了すると、無線クライアントを PEAP 認証する際、 サプリカントの証明書チェックが有効でもエラー無しに認証できます。クライアント側では、デバイス証明書を検証する CA を指定するなどの設定が必要な場合がありますの、クライアントのマニュアル等をご確認ください。


Windows での設定例


  





(参考) 自営証明局使用時のルート CA 証明書インストール


自営証明局を用いて電子証明書を発行した場合は、クライアント側にルート CA 証明書をブラウザや OS のストアにインストールする必要があります。
詳しくは各製品のマニュアル等をご確認ください。

Firefox でのルート CA 証明書インストール例




Windows へのルート証明書インストール例

バージョン履歴
改訂番号
1/1
最終更新:
‎06-28-2016 09:03 PM
更新者:
 
タグ(1)