購入する または契約更新する
購入する または契約更新する
Wireless 製品をご利用のお客さまへ重要なお知らせがあります。今すぐご確認ください
キャンセル
提案をオンにする
自動提案では、入力時に可能な一致が提案されるので検索結果を素早く絞り込むことができます。
次の結果を表示 
次の代わりに検索 
もしかして: 
cancel
新しい記事を作成する
3833
閲覧回数
0
いいね!
1
コメント

Mobility Express 電子証明書のインストール (CLI 操作)

mnagao
Cisco Employee
Cisco Employee

‎2016-06-28 09:03 PM

[toc:faq]



Cisco の AP には出荷時に自己署名または Cisco 製造部門独自の電子証明書がインストールされています。

以下の TLS ハンドシェイクでエラーが発生しないようにするためには、お客様環境で有効な電子証明書をご用意いただく必要があります。

有効な電子証明書 (公的な電子証明書または自営証明局発行の証明書) をインストールしなくても、接続できる回避策がありますが、セキュリティの観点からはお勧めできません。

  • 管理 GUI への HTTPS アクセス (Mobility Express 管理者がブラウザにセキュリティ例外追加で回避可能 :非推奨)
  • Web 認証 (ゲスト WLAN) での認証ポータルへの HTTPS アクセス (エンドユーザがブラウザにセキュリティ例外を追加することで回避可能 : 非推奨)
  • ローカル EAP 認証 (WPA2 エンタープライズ) での PEAP 認証 (エンドユーザが無線クライアントの EAP サプリカントでサーバ証明書の検証機能を無効に設定することで回避可能 : 非推奨)



証明書インストールについての共通の注意事項は以下です。

  • GUI での証明書インストールはできません。CLI 操作が必要です。
  • Mobility Express コントローラ (マスター AP) にインストールした電子証明書は、マスター AP になることが可能な従属 AP へ同期されますので、従属 AP に証明書をインストールする必要はありません。
  • Mobility Express コントローラ (マスター AP)にインストールする電子証明書は PEM 型式 (Base64 エンコード) であることが必要です。DER 型式 (バイナリ エンコード) の場合は PEM に変換してください。




管理 GUI 用電子証明書

  • 証明書ファイルに CA 証明書を含める必要はありません。
  • 証明書の CN (Common Name) には Mobility Express の管理者がブラウザに入力する URL のホスト部分を設定します。
    • IP アドレスでアクセスする場合 : CN に IP アドレスを設定
    • Mobility Express 管理 IP アドレスを DNS 登録し、FQDNでアクセスする場合 : CN を DNS ホスト名で設定




CSR (Certificate Signing Request) をコントローラ CLI で作成する場合

インストールする証明書ファイルにはサーバ証明書だけが含まれています。

手順

  1. コントローラ CLI で CSR を作成し、CA管理者に提出
  2. CA が CSR に署名し、サーバ証明書を作成し、ファイルに保存
  3. 証明書ファイルをコントローラ CLI を用いてインストール

CLI での CSR 作成には以下のコマンドを使用します。

config certificate generate csr-webadmin [Country] [State] [Locality] [Organization] [Organization Unit] [Common Name] [Email Address]

コマンド実行時、秘密鍵 (外部へのエキスポート不可) と CSR が生成されますので、CSR をテキストファイルに保存して、CA 管理者に提出します。

注意 : 証明書ファイルは Mobility Express コントローラの再起動前にインストールする必要があります。再起動を行なうと生成された秘密鍵が無効になります。


Mobility Express コントローラ CLI での CSR 作成例


(Cisco Controller) >config certificate generate csr-webadmin JP Kanto Tokyo "Cisco Systems" "Japan TAC" 172.30.240.201 me-admin@cisco.com

-----BEGIN CERTIFICATE REQUEST-----
MIICtzCCAZ8CAQAwcjELMAkGA1UEBhMCSlAxDjAMBgNVBAgMBUthbnRvMQ4wDAYD
VQQHDAVUb2t5bzEWMBQGA1UECgwNQ2lzY28gU3lzdGVtczESMBAGA1UECwwJSmFw
YW4gVEFDMRcwFQYDVQQDDA4xNzIuMzAuMjQwLjIwMTCCASIwDQYJKoZIhvcNAQEB
BQADggEPADCCAQoCggEBAMfV/6/HnILSyit6MMYWRKqzyEJXg2QJzbjIa7leQ7QN
sj6+2Kh0OEDJT/fyxfPsT6D7NBSWEHaHo7VnCG9zoo5jj1tZBv7hIujTu9xgi5cH
dYsULC30+pJ1XQNeibHFfPTFA0SkuwoG5cFJk/kjXP5ow7QdVNpi5/DjWvJHunEv
PSJL2auqPwGZSicOrHmTmkMcUGCRUTAQFKWI5ImQvukd5u2HcZ0Mit3mqh5ippvC
TQ50TYIa46u+T4jc6wMJlfN5yOI2z+/GQbFBQozFQyWT3MDCuZFGQ0exZzfw5fD7
zMp0o+CBBPeyw2+r0KnbC9RlYUrLmWUe/U8OROFH9y8CAwEAAaAAMA0GCSqGSIb3
DQEBCwUAA4IBAQCF/yS1yIEALiuhMrvridfW6FnfHQZQTimZFgoEgPwD5y5TWEox
pxggorCc9+X94Ef5kvIyIL42nbpFa83gNW1V8ajgOiQimakLHs+YkBS3fidWSa5S
jOT1oCg2wj5UtBvz/YbXbqmH6gtT+PqvKd2IgKz6Huh4ZWg0hEwEqxTmKiNWHa4G
H+L/u+isuKlVJiz+x84qR+xfe6EEXG4fSBxRyTRxH9GTixIfia7YGffsIVSz7qoN
N8Jf1ejVyhdLINgEgwmzlM9OHBH54T4z7gu0szzlrQW+6MiikwbgVHTkHXCUgFxW
cwFU0TQs5tX44L+4SBNo1mPfvosQpVepYz1r
-----END CERTIFICATE REQUEST-----




CSR をコントローラ CLI で作成しない場合

秘密鍵と電子証明書の両方を CA 管理者が作成します。インストールする証明書ファイルにはサーバ証明書秘密鍵が含まれています。

手順

  1. CN 等の情報を CA 管理者に通知し、証明書作成を依頼
  2. CA 管理者が秘密鍵とサーバ証明書を作成し、ファイルに保存
  3. 証明書ファイルを CLI を用いてインストール




証明書ファイルのインストール

証明書ファイルを CA 管理者から受け取ったら、TFTP サーバに配置し、transfer download コマンドを用いてインストールします。

  • datatype は webadmincert です。
  • コントローラ CLI で CSR を作成しない場合、証明書ファイルには秘密鍵が含まれており、一般的にはパスワードにより暗号化保護されています。transfer download certpassword の実行が必要です。
  • 証明書のインストールに成功すると、show certificate summary の Web Administration Certificate 欄が 3rd Party に代わり、show certificate webadmin で内容を確認できます。


管理 GUI 用電子証明書のインストール作業例


(Cisco Controller) >show certificate summary
Web Administration Certificate................... Locally Generated
Web Authentication Certificate................... Locally Generated
Certificate compatibility mode:.................. off
Lifetime Check Ignore for MIC ................... Disable
Lifetime Check Ignore for SSC ................... Disable



(Cisco Controller) >transfer download mode tftp
(Cisco Controller) >transfer download datatype webadmincert
(Cisco Controller) >transfer download serverip 172.17.122.1
(Cisco Controller) >transfer download path /me/
(Cisco Controller) >transfer download filename webadmin.pem
(Cisco Controller) >transfer download certpassword Cisco123   <-- 秘密鍵がパスワード保護されている場合
Setting password to <Cisco123>

(Cisco Controller) >transfer download start       

Mode............................................. TFTP 
Data Type........................................ Admin Cert   
TFTP Server IP................................... 172.17.122.1
TFTP Packet Timeout.............................. 6
TFTP Max Retries................................. 10
TFTP Path........................................ /me/
TFTP Filename.................................... webadmin.pem

This may take some time.
Are you sure you want to start? (y/N) y

TFTP Webadmin cert transfer starting.

Certificate installed.
  Reboot the switch to use new certificate.


(Cisco Controller) >show certificate summary
Web Administration Certificate................... 3rd Party
Web Authentication Certificate................... Locally Generated
Certificate compatibility mode:.................. off
Lifetime Check Ignore for MIC ................... Disable
Lifetime Check Ignore for SSC ................... Disable

(Cisco Controller) >show certificate webadmin
Show Web Admin!

WebAdmin Device Certificate details:

     Subject Name :
         C=JP, ST=Kanto, L=Tokyo, O=Cisco Systems, OU=Japan TAC, CN=172.30.240.201
     Issuer Name :
         C=JP, ST=Kanto, L=Tokyo, O=Cisco Systems, OU=Japan TAC, CN=JTAC-CA, emailAddress=jtac-ca@cisco.com
     Serial Number :
         100
     Validity :
         Start : Jun 29 11:02:29 2016 GMT
         End   : Jun 29 11:02:29 2017 GMT
     Signature Algorithm :
         sha256WithRSAEncryption
     Hash key :
         SHA1 Fingerprint  : 3e:e9:ba:58:37:b9:f4:b3:c8:fb:fc:c5:0f:93:34:f9:b6:21:d3:28
         MD5 Fingerprint  : b9:92:13:c6:43:92:4a:c0:59:90:5c:c2:4f:72:d4:9d

(Cisco Controller) >



電子証明書のインストール後、save config コマンドを実行して設定を保存して reset system コマンドにより Mobility Express コントローラを再起動すれば証明書のインストール作業は完了です。再起動後、管理 GUI にアクセスすると証明書エラー無しに HTTPS 接続ができます。







Web 認証 (ゲストネットワーク) 用電子証明書

Web 認証 (ゲストネットワーク) の際、無線クライアントからの HTTP 通信は仮想的な IP アドレス 192.0.2.1 上の認証ページにリダイレクトされます。認証ポータルへ電子証明書エラー無しで HTTPS アクセスするには、CN = 192.0.2.1 の電子証明書を Mobility Express コントローラにインストールすることが必要です。

(192.0.2.1 は RFC5735 に規定されている TEST-NET-1 192.0.2.0/24 のアドレスです。)

  • 証明書ファイルは、サーバ証明書、CA 証明書 (および 1つ以下の中間 CA 証明書)を含んだチェーン証明書であることが必要です。(サーバ証明書のみではインストールが失敗します)
  • CN (Common Name) には 上記の仮想 IP アドレスを指定します。 (CN = 192.0.2.1)



CSR (Certificate Signing Request) をコントローラ CLI で作成する場合

インストールする証明書ファイルにはサーバ証明書 CA 証明書 が含まれています。

手順 :

  1. コントローラ CLI で CSR を作成し、CA管理者に提出
  2. CA が CSR に署名し、サーバ証明書を作成し、ファイルに保存
  3. 証明書ファイルをコントローラ CLI を用いてインストール



CLI での CSR 作成には以下のコマンドを使用します。

config certificate generate csr-webauth [Country] [State] [Locality] [Organization] [Organization Unit] [Common Name] [Email Address]

コマンド実行時、秘密鍵 (外部へのエキスポート不可) と CSR が生成されますので、CSR をテキストファイルに保存して、CA 管理者に提出します。

注意 : 証明書ファイルは Mobility Express コントローラの再起動前にインストールする必要があります。再起動を行なうと生成された秘密鍵が無効になります。


Mobility Express コントローラ CLI での CSR 作成例



(Cisco Controller) >config certificate generate csr-webauth JP Kanto Tokyo "Cisco Systems" "Japan TAC" 192.0.2.1 me-webauth@cisco.com

-----BEGIN CERTIFICATE REQUEST-----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-----END CERTIFICATE REQUEST-----




CSR をコントローラ CLI で作成しない場合

秘密鍵と電子証明書の両方を CA 管理者が作成します。インストールする証明書ファイルにはサーバ証明書秘密鍵CA 証明書が含まれています。(中間 CA が存在する場合は、中間 CA 証明書も含まれます)

手順 :

  1. CN 等の情報を CA 管理者に通知し、証明書作成を依頼
  2. CA 管理者が秘密鍵とサーバ証明書を作成し、CA 証明書を含むチェーン証明書ファイルに保存
  3. チェーン証明書ファイルをコントローラ CLI を用いてインストール




証明書ファイルのインストール

証明書ファイルを CA 管理者から受け取ったら、TFTP サーバに配置し、transfer download コマンドを用いてインストールします。

  • datatype は webauthcert です。
  • コントローラ CLI で CSR を作成しない場合、証明書ファイルには秘密鍵が含まれており、一般的にはパスワードにより暗号化保護されています。transfer download certpassword の実行が必要です。
  • 証明書のインストールに成功すると、show certificate summary の Web Authentication Certificate が 3rd Party に代わり、show certificate webauth で内容を確認できます。


Web 認証用電子証明書のインストール作業例



(Cisco Controller) >show certificate summary
Web Administration Certificate................... 3rd Party
Web Authentication Certificate................... Locally Generated
Certificate compatibility mode:.................. off
Lifetime Check Ignore for MIC ................... Disable
Lifetime Check Ignore for SSC ................... Disable


(Cisco Controller) >transfer download mode tftp
(Cisco Controller) >transfer download datatype webauthcert
(Cisco Controller) >transfer download serverip 172.17.122.1
(Cisco Controller) >transfer download path /me/
(Cisco Controller) >transfer download filename webauth-chain.pem
(Cisco Controller) >transfer download certpassword Cisco123   <-- 秘密鍵がパスワード保護されている場合
Setting password to <Cisco123>

(Cisco Controller) >
(Cisco Controller) >transfer download start

Mode............................................. TFTP 
Data Type........................................ Site Cert    
TFTP Server IP................................... 172.17.122.1
TFTP Packet Timeout.............................. 6
TFTP Max Retries................................. 10
TFTP Path........................................ /me/
TFTP Filename.................................... webauth-chain.pem

This may take some time.
Are you sure you want to start? (y/N) y

TFTP Webauth cert transfer starting.

TFTP receive complete... Installing Certificate.

Certificate installed.
  Reboot the switch to use new certificate.


(Cisco Controller) >
(Cisco Controller) >show certificate summary              
Web Administration Certificate................... 3rd Party
Web Authentication Certificate................... 3rd Party
Certificate compatibility mode:.................. off
Lifetime Check Ignore for MIC ................... Disable
Lifetime Check Ignore for SSC ................... Disable

(Cisco Controller) >
(Cisco Controller) >show certificate webauth
Show Web Auth!

WebAuth Device Certificate details:

     Subject Name :
         C=JP, ST=Kanto, L=Tokyo, O=Cisco Systems, OU=Japan TAC, CN=192.0.2.1
     Issuer Name :
         C=JP, ST=Kanto, L=Tokyo, O=Cisco Systems, OU=Japan TAC, CN=JTAC-CA, emailAddress=jtac-ca@cisco.com
     Serial Number :
         101
     Validity :
         Start : Jun 29 11:25:06 2016 GMT
         End   : Jun 29 11:25:06 2017 GMT
     Signature Algorithm :
         sha256WithRSAEncryption
     Hash key :
         SHA1 Fingerprint  : 3c:b3:b0:a2:ce:59:95:43:89:e7:9a:bf:96:f7:fd:7b:ad:ab:8e:38
         MD5 Fingerprint  : 13:a0:41:91:e1:d3:d4:2c:d6:23:db:56:37:cc:46:55

(Cisco Controller) >




save config コマンドを実行して設定を保存し、reset system コマンドによMobility Express コントローラを再起動して証明書のインストール作業は完了です。再起動後は、ユーザが Web 認証ポータルに HTTPS アクセスする際、証明書エラーが発生しません。。















ローカル EAP (PEAP) 用電子証明書

以下は WPA2 エンタープライズ認証でローカル EAP (PEAP) を用いる場合の、Mobility Express コントローラへの証明書インストール方法についての説明です。

外部 RADIUS サーバによる 802.1X/EAP 認証の場合は、Mobility Express コントローラに EAP認証用の電子証明書をインストールする必要はありません。

  • CSR を Mobility Express コントローラで作成することはできません。CA 管理者に秘密鍵とデバイス証明書作成を依頼します。
  • CN の値は任意です。
  • サーバ証明書と CA 証明書は別々のファイルとしてインストールする必要があります。
    • サーバ証明書 : datatype = eapdevcert
    • CA証明書 : datatype = eapcacert
  • インストールした証明書を PEAP 認証で使用するためには、config local-auth eap-profile cert-issuer vendor gbl_eap_profile コマンドの実行が必要です。


ローカル EAP 用電子証明書のインストール例

(Cisco Controller) >show local-auth config

User credentials database search order:
    Primary ..................................... Local DB

Timer:
    Active timeout .............................. 300

Configured EAP profiles:
    Name ........................................ gbl_eap_profile
      Certificate issuer ........................ cisco
      Peer verification options:
        Check against CA certificates ........... Enabled
        Verify certificate CN identity .......... Disabled
        Check certificate date validity ......... Enabled
      EAP-FAST configuration:                    <-- (参考) EAP-FASTでの証明書利用は無効です。
        Local certificate required .............. No
        Client certificate required ............. No
      Enabled methods ........................... leap fast peap
      Configured on WLANs ....................... 2

EAP Method configuration:
    EAP-FAST:
      Server key ................................ <hidden>
      TTL for the PAC ........................... 10
      Anonymous provision allowed ............... Yes
      Authority ID .............................. 436973636f0000000000000000000000
      Authority Information ..................... Cisco A-ID

(Cisco Controller) >
(Cisco Controller) >
(Cisco Controller) >show local-auth certificates

Certificates available for Local EAP authentication:

Certificate issuer .............................. vendor
  CA certificate:
             Not installed.
  Device certificate:
             Not installed.

Certificate issuer .............................. cisco
  CA certificate:
    Subject: O=Cisco Systems, CN=Cisco Manufacturing CA
     Issuer: O=Cisco Systems, CN=Cisco Root CA 2048
      Valid: Jun 10 22:16:01 2005 GMT to May 14 20:25:42 2029 GMT
  Device certificate:
    Subject: C=US, ST=California, L=San Jose, O=Cisco Systems
             CN=AP1G4-00FEC82DED28, emailAddress=support@cisco.com
     Issuer: O=Cisco Systems, CN=Cisco Manufacturing CA
      Valid: Mar  7 19:13:58 2016 GMT to Mar  7 19:23:58 2026 GMT


(Cisco Controller) >
(Cisco Controller) >show certificate eap
Show EAP Certificates!

EAP CA Certificate details:
 Error

     Hash key :

EAP Device Certificate details:
 Error

     Hash key :

(Cisco Controller) >
(Cisco Controller) >
(Cisco Controller) >
(Cisco Controller) >transfer download mode tftp
(Cisco Controller) >transfer download datatype eapcacert
(Cisco Controller) >transfer download serverip 172.17.122.1
(Cisco Controller) >transfer download path /me/
(Cisco Controller) >transfer download filename ca.pem
(Cisco Controller) >
(Cisco Controller) >
(Cisco Controller) >transfer download start

Mode............................................. TFTP 
Data Type........................................ Vendor CA Cert
TFTP Server IP................................... 172.17.122.1
TFTP Packet Timeout.............................. 6
TFTP Max Retries................................. 10
TFTP Path........................................ /me/
TFTP Filename.................................... ca.pem

This may take some time.
Are you sure you want to start? (y/N) y

TFTP EAP CA cert transfer starting.

Certificate installed.
  Reboot the switch to use new certificate.


(Cisco Controller) >
(Cisco Controller) >transfer download datatype eapdevcert
(Cisco Controller) >transfer download filename eap-chain.pem
(Cisco Controller) >transfer download certpassword Cisco123
Setting password to <Cisco123>

(Cisco Controller) >          
(Cisco Controller) >
(Cisco Controller) >
(Cisco Controller) >transfer download start               

Mode............................................. TFTP 
Data Type........................................ Vendor Dev Cert
TFTP Server IP................................... 172.17.122.1
TFTP Packet Timeout.............................. 6
TFTP Max Retries................................. 10
TFTP Path........................................ /me/
TFTP Filename.................................... eap-chain.pem

This may take some time.
Are you sure you want to start? (y/N) y

TFTP EAP Dev cert transfer starting.

Certificate installed.
  Reboot the switch to use new certificate.


(Cisco Controller) >
(Cisco Controller) >
(Cisco Controller) >
(Cisco Controller) >config local-auth eap-profile cert-issuer vendor gbl_eap_profile

(Cisco Controller) >save config
Are you sure you want to save? (y/n) y
Configuration Saved!

(Cisco Controller) >

(Cisco Controller) >reset system

Are you sure you would like to reset the system? (y/N) y



<再起動後>


(Cisco Controller) >show local-auth config

User credentials database search order:
    Primary ..................................... Local DB

Timer:
    Active timeout .............................. 300

Configured EAP profiles:
    Name ........................................ gbl_eap_profile
      Certificate issuer ........................ vendor
      Peer verification options:
        Check against CA certificates ........... Enabled
        Verify certificate CN identity .......... Disabled
        Check certificate date validity ......... Enabled
      EAP-FAST configuration:
        Local certificate required .............. No
        Client certificate required ............. No
      Enabled methods ........................... leap fast peap
      Configured on WLANs ....................... 2

EAP Method configuration:
    EAP-FAST:
      Server key ................................ <hidden>
      TTL for the PAC ........................... 10
      Anonymous provision allowed ............... Yes
      Authority ID .............................. 436973636f0000000000000000000000
      Authority Information ..................... Cisco A-ID

(Cisco Controller) >
(Cisco Controller) >
(Cisco Controller) >show local-auth certificates

Certificates available for Local EAP authentication:

Certificate issuer .............................. vendor
  CA certificate:
    Subject: C=JP, ST=Kanto, L=Tokyo, O=Cisco, OU=JTAC, CN=JTAC-CA
             emailAddress=jtac-ca@cisco.com
     Issuer: C=JP, ST=Kanto, L=Tokyo, O=Cisco, OU=JTAC, CN=JTAC-CA
             emailAddress=jtac-ca@cisco.com
      Valid: Feb 17 09:31:42 2016 GMT to Feb 16 09:31:42 2017 GMT
  Device certificate:
    Subject: C=JP, ST=Kanto, L=Tokyo, O=Cisco, OU=JTAC, CN=Local-EAP
             emailAddress=local-eap@cisco.com
     Issuer: C=JP, ST=Kanto, L=Tokyo, O=Cisco, OU=JTAC, CN=JTAC-CA
             emailAddress=jtac-ca@cisco.com
      Valid: Feb 17 09:36:57 2016 GMT to Feb 16 09:36:57 2017 GMT

Certificate issuer .............................. cisco
  CA certificate:
    Subject: O=Cisco Systems, CN=Cisco Manufacturing CA
     Issuer: O=Cisco Systems, CN=Cisco Root CA 2048
      Valid: Jun 10 22:16:01 2005 GMT to May 14 20:25:42 2029 GMT
  Device certificate:
    Subject: C=US, ST=California, L=San Jose, O=Cisco Systems
             CN=AP1G4-00FEC82DED28, emailAddress=support@cisco.com
     Issuer: O=Cisco Systems, CN=Cisco Manufacturing CA
      Valid: Mar  7 19:13:58 2016 GMT to Mar  7 19:23:58 2026 GMT


(Cisco Controller) >
(Cisco Controller) >show certificate eap
Show EAP Certificates!

EAP CA Certificate details:

     Subject Name :
         C=JP, ST=Kanto, L=Tokyo, O=Cisco, OU=JTAC, CN=JTAC-CA, emailAddress=wlantac@cisco.com
     Issuer Name :
         C=JP, ST=Kanto, L=Tokyo, O=Cisco, OU=JTAC, CN=JTAC-CA, emailAddress=wlantac@cisco.com
     Serial Number :
         17156517266101524607
     Validity :
         Start : Feb 17 09:31:42 2016 GMT
         End   : Feb 16 09:31:42 2017 GMT
     Signature Algorithm :
         sha1WithRSAEncryption
     Hash key :
         SHA1 Fingerprint  : f9:c7:74:64:1e:0f:01:b2:f3:d1:50:36:f0:00:d4:21:ba:e9:40:bf
         MD5 Fingerprint  : 41:a7:a5:20:10:fd:e2:4d:85:a5:3c:42:c5:92:4c:f9

EAP Device Certificate details:

     Subject Name :
         C=JP, ST=Kanto, L=Tokyo, O=Cisco, OU=JTAC, CN=Local-EAP, emailAddress=wlantac@cisco.com
     Issuer Name :
         C=JP, ST=Kanto, L=Tokyo, O=Cisco, OU=JTAC, CN=JTAC-CA, emailAddress=wlantac@cisco.com
     Serial Number :
         1
     Validity :
         Start : Feb 17 09:36:57 2016 GMT
         End   : Feb 16 09:36:57 2017 GMT
     Signature Algorithm :
         sha1WithRSAEncryption
     Hash key :
         SHA1 Fingerprint  : ce:2b:4d:92:a6:ad:92:21:f8:01:f2:82:46:1b:b6:62:b6:bf:55:cd
         MD5 Fingerprint  : 83:94:e3:f1:e2:e0:de:4a:86:af:fe:e9:be:c1:e1:fc

(Cisco Controller) >




証明書のインストールが正常に完了すると、無線クライアントを PEAP 認証する際、 サプリカントの証明書チェックが有効でもエラー無しに認証できます。クライアント側では、デバイス証明書を検証する CA を指定するなどの設定が必要な場合がありますの、クライアントのマニュアル等をご確認ください。


Windows での設定例


  





(参考) 自営証明局使用時のルート CA 証明書インストール


自営証明局を用いて電子証明書を発行した場合は、クライアント側にルート CA 証明書をブラウザや OS のストアにインストールする必要があります。
詳しくは各製品のマニュアル等をご確認ください。

Firefox でのルート CA 証明書インストール例




Windows へのルート証明書インストール例

0 いいね!
コメント
cjf
Level 1
Level 1
‎2018-03-07 04:36 PM

AIR-AP1852I-Q-K9C(8.6.101.0)を使用しており、Web 認証 (ゲストネットワーク) 用電子証明書を発行してインストールしたく投稿の手順通りに進めようとしたところ、認証局ではローカルIPアドレス192.0.2.1をCNとした証明書が発行できず、自己署名証明書いわゆるオレオレ証明書も、7.6以降はインストール不可となり、八方塞がりな状態です。解決方法がございましたら御教示ください。

Getting Started

検索バーにキーワード、フレーズ、または質問を入力し、お探しのものを見つけましょう

シスコ コミュニティをいち早く使いこなしていただけるよう役立つリンクをまとめました。みなさんのジャーニーがより良いものとなるようお手伝いします

Customers Also Viewed These Support Documents