9800-CL WLC Новый сертификат не работает
-
Здравствуйте, Мы перешли на новый публичный центр сертификации, и я пытаюсь добавить новый сертификат, но каждый раз, когда я выполняю команды ip http secure-trustpoint TRUSTPOINT-2025
no ip
http secure-server
ip http secure-server,
я больше не могу зайти на веб-страницу, и мне приходится возвращать старый trustpoint, чтобы веб-страница загрузилась. Я пробовал создать файл PFX и загрузить его через Import PKCS12 certificate, я пробовал сгенерировать CSR на WLC и пройти все этапы создания trustpoints, у меня есть два промежуточных сертификата, поэтому я должен использовать GUI, чтобы сделать это, а затем Import Device Certificate в конце. У меня есть несколько сертификатов на WLC, и они выглядят нормально, пока я не пытаюсь изменить точку доверия, и тогда все просто останавливается. На данный момент я не имею представления, почему это не работает и что попробовать дальше. Есть какие-нибудь идеи? Спасибо -
Я столкнулся с той же проблемой, когда мой WLC 9800-CL не принял вновь установленный сертификат, и проблема оказалась в том, что полная цепочка сертификатов не была включена в импортированный файл. WLC требует, чтобы сертификат устройства, промежуточный CA и корневой CA были объединены в один файл PEM; в противном случае он пометит сертификат как недоверенный. Проблема была полностью решена путем извлечения этих компонентов из файла PFX с помощью OpenSSL, а затем объединения их в правильном порядке перед импортом. Cisco также подчеркивает это требование в своей документации по общим проблемам конфигурации сертификатов, и в сообществе Cisco есть еще одно полезное обсуждение, в котором пользователи столкнулись с той же проблемой с сертификатами сторонних производителей на 9800 WLC и подтвердили, что добавление полной цепочки устранило ошибку:
[9800 WLC импортирует сертификат стороннего производителя для веб]
. Эта ссылка должна дать дополнительные рекомендации и подтвердить, что включение полной цепочки является правильным решением. -
Вы видите какие-либо связанные журналы? Попробуйте включить отладочную регистрацию Рады помочь! Пожалуйста, отметьте как полезное/решение, если применимо.
Свяжитесь с нами: https://torbjorn.dev -
«Имею два промежуточных уровня» Это точно https://www.cisco.com/c/en/us/support/docs/wireless/catalyst-9800-series-wireless-controllers/213917-generate-csr-for-third-party-certificate.html Проверьте это MHM
-
Какова цель этой страницы? ![codingbiubiu_0-1765202501148.png]
-
Это довольно понятно
@codingbiubiu
(см. описания в синем разделе) — что именно вам не ясно? ------------------------------ Если этот пост был вам
полезен, нажмите
«Полезно»
и
«Принять как решение»
(раскрывающееся меню в правом верхнем углу этого ответа), если он ответил на ваш вопрос.Коды,
рекомендованные TAC для AireOS WLC
и
Коды, рекомендованные TAC для 9800 WLC
Лучшие практики для AireOS WLC
,
Рекомендуемые методы для 9800 WLC
и
Матрица совместимости Cisco
Wireless
Проверьте конфигурацию 9800 WLC с помощью
Wireless Config Analyzer,
используя вывод «show tech
wireless
» или «config paging disable», а затем вывод «show run-config» на AireOS, и используйте
Wireless Debug Analyzer
для анализа отладки клиента WLC
.
Уведомление: FN63942 Точки доступа и WLC не могут создать соединения CAPWAP из-за истечения срока
действия сертификата
Уведомление: FN72424 Поздние версии точек доступа WiFi 6 не могут подключиться к WLC — требуется обновление
программного обеспечения
Уведомление: FN72524 Точки доступа IOS застревают в состоянии загрузки после 4 декабря 2022 г. из-за истечения
срока
https://www.cisco.com/c/en/us/support/docs/field-notices/725/fn72524.html
действия
сертификата
— исправлено в 8.10.196.0, последних версиях 9800,
8.5.182.12
(8.5.182.13 для 3504) и
8.5.182.109
(IRCM, 8.5.182.111 для 3504)
Уведомление: FN70479 Точка доступа не подключается или подключается с одним радиомодулем из-за несовместимости стран, требуется RMA
Как избежать цикла перезагрузки из-за поврежденного образа на точках доступа Wave 2 и Catalyst 11ax (CSCvx32806)
Уведомление: FN74035 - Точки доступа Wave2 DFS могут не обнаруживать Radar после проверки доступности канала
Список
[ошибок]
[Leo]
,
[влияющих на точки доступа]
[2800/3800/4800/1560]
Стандартная скорость передачи данных консоли точки доступа с версии 17.12.x составляет 115200
— введено
CSCwe88390 -
@meditinst
К сведению:
https://www.cisco.com/c/en/us/td/docs/wireless/controller/9800/config-guide/trustpoints/b-configuring-trustpoints-on-cisco-catalyst-9800-series-controllers/m-troubleshoot-common-issues-for-certificate-configuration.pdf М. -- Пусть все происходит с тобой
Красота и ужас
Просто продолжай идти
Ни одно чувство не является окончательным
Райнер Мария Рильке
(1899) -
Я запустил отладку криптографических транзакций pki, как было описано в статье, опубликованной
[MHM Cisco World]
. Я прикрепил вывод в текстовом файле, не знаю, будет ли он полезен? Я попробую воссоздать файл PFX с помощью статьи, но на 99% уверен, что именно эти шаги я и выполнил. -
Я уже делал промежуточный сертификат, это было очень сложно Сделал это для локальных сертификатов вебаута
https://thewlan.com.au/2020/07/14/9800-local-webauth-certs/ Помогите другим, используя систему рейтингов и отмечая отвеченные вопросы как
«Отвеченные»*** Пожалуйста, оценивайте полезные сообщения *** -
Привет, Хейден, Так ты в итоге создал три контрольные точки? Корневую, промежуточную 1, промежуточную 2 и, наконец, сертификат устройства? Спасибо.
-
Конечно, вам нужны несколько точек доверия Один для RootCA Два других для промежуточных И цепочка должна заканчиваться в пункте доверия RootCA Проверьте ссылку, которой я поделился. MHM
-
9800(ca-trustpoint)#
chain-validation continue RootCA <<< This is the trustpoint created above 9800(ca-trustpoint)#
chain-validation stop Существует большая разница, которая может вызвать проблемы, поэтому убедитесь, что вы правильно настроили trustpoint. MHM -
Здравствуйте,
так это будут правильные команды? Root
crypto pki trustpoint TP-ROOT
enrollment terminal
chain-validation stop
revocation-check none
exit
crypto pki authenticate TP-ROOT INT2
crypto pki trustpoint TP-INT2
enrollment terminal
chain-validation continue TP-ROOT
revocation-check none
exit
crypto pki authenticate TP-INT2 INT1
crypto pki trustpoint TRUSTPOINT-2025
chain-validation continue TP-INT2
revocation-check none
exit
crypto pki authenticate TRUSTPOINT-2025 -
Правильно Но в конце нужно добавить сертификат wlc 9800(config)#
crypto pki import 9800-CSR certificate MHM -
Полностью согласен с
@bonniefr
— его необходимо импортировать в один файл с полной цепочкой сертификатов в правильном порядке, как указано в руководстве. У нас всегда так работало. ------------------------------
Нажмите
«Полезно»,
если этот пост вам помог, и
«Принять как решение
» (раскрывающееся меню в правом верхнем углу этого ответа), если он ответил на ваш вопрос.Коды,
рекомендованные TAC для AireOS WLC
и
Коды, рекомендованные TAC для 9800 WLC
Лучшие практики для AireOS WLC
,
Рекомендуемые методы для 9800 WLC
и
Матрица совместимости Cisco
Wireless
Проверьте конфигурацию 9800 WLC с помощью
Wireless Config Analyzer,
используя вывод «show tech
wireless
» или «config paging disable», а затем вывод «show run-config» на AireOS, и используйте
Wireless Debug Analyzer
для анализа отладки клиента WLC
.
Уведомление: FN63942 Точки доступа и WLC не могут создать соединения CAPWAP из-за истечения срока
действия сертификата
. Уведомление: FN72424 Более поздние версии точек доступа WiFi 6 не могут подключиться к WLC — требуется обновление
программного обеспечения
. Уведомление: FN72524 Точки доступа IOS застревают в состоянии загрузки после 4 декабря 2022 г. из-за истечения
срока
https://www.cisco.com/c/en/us/support/docs/field-notices/725/fn72524.html
действия
сертификата
— исправлено в 8.10.196.0, последних версиях 9800,
8.5.182.12
(8.5.182.13 для 3504) и
8.5.182.109
(IRCM, 8.5.182.111 для 3504)
Уведомление: FN70479 Точка доступа не подключается или подключается с одним радиомодулем из-за несовместимости стран, требуется RMA
Как избежать цикла перезагрузки из-за поврежденного образа на точках доступа Wave 2 и Catalyst 11ax (CSCvx32806)
Уведомление: FN74035 - Точки доступа Wave2 DFS могут не обнаруживать Radar после проверки доступности канала
Список
[ошибок]
[Leo]
,
[влияющих на точки доступа]
[2800/3800/4800/1560]
Стандартная скорость передачи данных консоли точки доступа с версии 17.12.x составляет 115200
— введено
CSCwe88390
Здравствуйте! Похоже, вам интересна эта беседа, но у вас пока нет учетной записи.
Вы устали просматривать одни и те же посты каждый раз, когда заходите на сайт? После регистрации, вам не придётся искать обсуждения в которых вы принимали участие, настройте уведомления о новых сообщениях так как вам это удобно (по электронной почте или уведомлением). У вас появится возможность сохранять закладки и ставить лайки постам, чтобы выразить свою благодарность другим участникам сообщества.
С вашими комментариями этот пост может стать ещё лучше 💗
Зарегистрироваться Войти