настройка сертификата Cisco WLC 9800 PFX WebAuth

XavJ88

Здравствуйте, извините, если это глупый вопрос. Я впервые пробую это на 9800 wlc на 17.15.3. Ниже приведены сведения о сертификате WebAuth В принципе, у нас есть PFX trustpoint, загруженный на WLC. Из того, что я прочитал, PFX должен включать зашифрованный закрытый ключ, сертификат устройства/сервера, промежуточный сертификат и, опционально, корневой сертификат, верно? Я проверил этот сертификат с
помощью
«openssl pkcs12 -info -in «Cert file» и действительно вижу все вышеперечисленное. Но когда я вхожу в WLC в разделе «Конфигурация» -> «Безопасность» -> «Управление PKI», я вижу, что для этого нового сертификата создана точка доверия. Но в разделе «Выдающийся CA аутентифицирован» указано «нет». Текущий сертификат WebAuth отображается как аутентифицированный CA. В разделе trustpool я не вижу следующих двух: Sectigo Public Server Authentication Root R46 -> Root Certificate Sectigo Public Server Authentication CA OV R36 -> ICA, подписавший сертификат устройства. Старый WebAuth, похоже, был подписан другим CA Должен ли я вручную добавить эти два сертификата в пул доверия? Думаю, да, чтобы WLC доверял сертификату PFX, но может кто-нибудь подтвердить/проконсультировать? Я не был уверен, должен ли PFX делать это автоматически или мне нужно добавить их вручную. Могу
ли я сделать это, скопировав сертификаты, перечисленные в
openssl pkcs12 -info -in «cert» для root/ICA, в новый файл и загрузив его в wlc? Еще один момент: когда я нажимаю на trustpoint, появляется надпись «Key generated» (Ключ сгенерирован), как показано ниже, что, по-моему, было сделано при первой загрузке (я этого не делал), но когда я смотрю в Key Pair generation (Генерация пар ключей), я не вижу там этого же ключа. Мне нужно создать его?
![XavJ88_0-1770481725747.png] Буду очень благодарен, если кто-нибудь сможет подтвердить/проконсультировать. Пожалуйста, дайте мне знать, если вам нужна дополнительная информация. Спасибо,

balaji.bandi

Если вы используете комбинированный формат, описанный ниже, он должен работать: Verify the certificate chain, which must contain the following
------BEGIN CERTIFICATE------
Device cert
------END CERTIFICATE------
------BEGIN CERTIFICATE------
*Intermediate CA cert *
------END CERTIFICATE--------
------BEGIN CERTIFICATE------
*Root CA cert *
------END CERTIFICATE------
The certificate must be in a PKCS12 format. Если в поле «Trustpoint» (Точка доверия) указано «Key generated: Yes» (Ключ сгенерирован: Да), то закрытый ключ из вашего PFX успешно загружен. На вкладке «Генерация пары ключей» обычно отображаются только ключи, сгенерированные
на WLC
через запрос CSR. Поскольку вы импортировали внешний PFX, ключ существует в частном хранилище trustpoint, но не обязательно будет отображаться в этом конкретном списке. Не генерируйте новую пару ключей, так как она не будет соответствовать вашему открытому сертификату. BB
=====Preenayamo Vasudevam=====
***** Оцените все полезные ответы *****
Как обратиться за помощью в сообщество Cisco

Cristian Matei

Привет, @XavJ88
Следуйте этому руководству шаг за шагом, точно так, как описано. Вы не ошибетесь, результат будет таким, как вы ожидаете. https://www.cisco.com/c/en/us/support/docs/wireless/catalyst-9800-series-wireless-controllers/213917-generate-csr-for-third-party-certificate.html Спасибо, Кристиан.

XavJ88

Спасибо! Думаю, я попробую это сделать, создам свой собственный сертификат WLC/PFX и посмотрю, как он работает.

XavJ88

Привет, Спасибо, да, цепочка сертификатов точно такая же, как вы опубликовали. Вопрос в том, когда они импортировали этот PFX, должен ли был RootCA также импортироваться в trustpool? Потому что я его там не вижу.

XavJ88

Спасибо, я попробовал это и импортировал PFX, и обнаружил, что когда я нажимаю на вновь сформированную точку доверия, отображается корневой сертификат и сертификат устройства, и не нужно ничего делать в пуле доверия. После этого просто связал его с webauth, и все работает.