отмена
Отображаются результаты для 
Вместо этого искать 
Вы имели в виду: 
cancel
Объявления
Community Live

1330
Просмотры
0
Полезный материал
12
Ответы
Igor Yakimchuk
Beginner

Download Web Auth Cert

Работает wi-fi для гостевых пользователей, при входе в инет их перебрасывает на контролер wi-fi и предлагает ввести логин/пароль. Все прекрасно и красиво, кроме того что ругается на сертификат.

Есть у меня pfx сертификат, который я сконвертировал в pem. И вот загружаю я его через tftp в меню Download Web Auth Cert и в итоге получаю TRANSFER_FAILED, в это же время в дебаге RESULT_STRING: Error installing certificate.

Что ему еще надо сделать, чтобы загрузился сертификат нормально?

Сертификат wildcard, то есть *.domain.tld

2 УТВЕРЖДЕН. РЕШЕН.

Утвержденные решения

Игорь, сперва CA сертификат, затем Identity.

В качестве типа сертификата я имел ввиду область его применения (enhanced key usage). Должно быть "Server Authentication".

Постараться посмотреть, что происходит можно командой debug pm pki enable

"Так же я из pfx вытащил private key и попробовал сгенерировать конечны согласно инструкции на сайте." Немного не понял, что именно была попытка сгенерировать?

 

Просмотреть решение в исходном сообщении

"The WLC does not support chained certificates more than 10KB in size on the WLC. However, this restriction has been removed in WLC Version 7.0.230.0 and later.", т.е. в Вашей ситуации ограничение ещё должно существовать.

И да, ограничение по длинне распространяется на рутовый сертификат в том числе.

Просмотреть решение в исходном сообщении

12 ОТВЕТ 12
Anton Kistruga
Beginner

Игорь, добрый день!

А сертификат какого типа создан для контроллера? Возможно проблема в том, что сертификат имеет неверный тип применения.

Так же обратите внимание на первую заметку в данной статье: http://www.cisco.com/c/en/us/td/docs/wireless/controller/8-0/configuration-guide/b_cg80/b_cg80_chapter_010111.html

Антон, забыл указать у меня сейчас стоит софт 6.0.220 на WLC-4404.

 

Про заметку. я так понимаю это:

"While installing certificate for web authentication for Release 7.6, certificate load fails due to Missing Root CA cert error. Please download a chained certificate that includes intermediate Certificate Authority (CA) & root CA and install it on the Cisco WLC. "

Я загружаю сертификаты в комплекте с CA и промежуточные, как вроде в заметке и написано. Или CA надо загрузить раньше?

 

Про тип сертификата не совсем понял. У меня wildcard сертификат, но он pfx. Я его сконвертировал в pem, с помощью openssl, но это не помогло. Так же я из pfx вытащил private key и попробовал сгенерировать конечны согласно инструкции на сайте. Взял те что прислал провайдер, объединил в один файл и с помощью openssl сгенерировал финальный сертификат. Единственное что у меня промежуточных было 2, возможно можно использовать один, но я добавлял два.

Может есть возможность как-то посомтреть детальней ошибку, а не просто "RESULT_STRING: Error installing certificate". Чтобы понять куда копать. Возможно конечно, я что-то не так делаю с самим сертификатом, то есть не правильно его делаю.

Но вроде все по инструкции.

Игорь, сперва CA сертификат, затем Identity.

В качестве типа сертификата я имел ввиду область его применения (enhanced key usage). Должно быть "Server Authentication".

Постараться посмотреть, что происходит можно командой debug pm pki enable

"Так же я из pfx вытащил private key и попробовал сгенерировать конечны согласно инструкции на сайте." Немного не понял, что именно была попытка сгенерировать?

 

Просмотреть решение в исходном сообщении

сгенерировать соглано данной инструкции http://www.cisco.com/c/en/us/support/docs/wireless-mobility/wlan-security/70584-csr-wlc-00.html

openssl>pkcs12 -export -in CA.pem -inkey mykey.pem -out CA.p12 -clcerts 
 -passin pass:check123 -passout pass:check123

!--- This command should be on one line.

openssl>pkcs12 -in CA.p12 -out final.pem -passin pass:check123 -passout pass:check123

 

Сейчас не найду, на работе вкладка осталось, что сертификаты должны быть в pem файле в порядке конечный-промежуточный-CA. Это правильный порядок?

 

Если я правильно понял про тип сертификата, то у меня такой

"Проверка подлинности сервера (1.3.6.1.5.5.7.3.1)
Проверка подлинности клиента (1.3.6.1.5.5.7.3.2)"

Игорь, порядок "identity - intermediate ca - root ca". Вам больше подходит вот эта инструкция: http://www.cisco.com/c/en/us/support/docs/wireless/4400-series-wireless-lan-controllers/109597-csr-chained-certificates-wlc-00.html , но в целом в ней ничего сильно отличающегося не написано.

 

Да, тип использования у Вас верный.

 

Посмотрите ещё полученный сертификат на предмет объема. Доки говорят, что ранее на сертификаты было ограничение макс. размера в 10КБ

 

Так же обратите внимание на баг: https://tools.cisco.com/bugsearch/bug/CSCti65315

Да, про 10 кб я находил, только не понятно под какую версию.

Сертификат в 0.9.8b делаю.

"The WLC does not support chained certificates more than 10KB in size on the WLC. However, this restriction has been removed in WLC Version 7.0.230.0 and later.", т.е. в Вашей ситуации ограничение ещё должно существовать.

И да, ограничение по длинне распространяется на рутовый сертификат в том числе.

Просмотреть решение в исходном сообщении

Попробовал загрузить сертификаты на другой контролер 2504 с софтом 7.6, тоже ругается.

Какой-то замкнутый круг :)

Хм, на софт 7.6 залил сертификат сконвертированный с pfx в pem. Файл больше 10 кбайт. Сейчас попробую свой контролер обновить до 7.0.240.
 

Антон, спасибо. Оказалось в самом деле проблема с размером файла. Сконвертировал свой pfx в pem, обновился до версии 7.0.240 и все заработало как надо.

Это очень даже хорошо. Не за что.)

Еще вопрос. Еаписано что контроллер поддерживает шифрование 2048 максимум. У нас рутовый сертификат 4096. Может быть проблема из-за этого?