المقدمة
يصف هذا وثيقة مختلف أنواع الشهادات وجهات الاتصال أن يستطيع كنت استعملت على ال 9800 WLC.
المتطلبات الأساسية
المتطلبات
توصي Cisco بأن تكون لديك معرفة أساسية ب:
- وحدة التحكم في شبكة LAN اللاسلكية (WLC) 9800 Series من Cisco
- الشهادات الرقمية، سلطات الترخيص (CAs) وكذلك البنية الأساسية للمفتاح العام (PKI)
المكونات المستخدمة
لا يقيد هذا وثيقة إلى خاص جهاز أو برمجية صيغة.
تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك قيد التشغيل، فتأكد من فهمك للتأثير المحتمل لأي أمر.
الشهادات
ما هي الشهادة؟
الشهادة هي وثيقة فريدة تعرف جهازا، على سبيل المثال، لضمان شرعيته. يجب التحقق من الشهادة من قبل مرجع مصدق للتحقق من الهوية المذكورة.
أنواع الشهادات في 9800
تحتاج نقاط الوصول (APs) وعنصر التحكم في الشبكة المحلية اللاسلكية (WLC) إلى طريقة ما للتحقق من هوية بعضها البعض. عندما تنضم نقطة وصول جديدة إلى عنصر التحكم في الشبكة المحلية اللاسلكية (WLC)، يتحقق نقطة الوصول من صحة شهادة عنصر التحكم في الشبكة المحلية اللاسلكية (WLC) لضمان أنها ليست شرعية فقط ولكنها لا تزال صالحة. وبهذه الطريقة، يمكن لنقاط الوصول أن تثق في الجهاز الذي تنضم إليه لأول مرة على الإطلاق.
الشهادة المثبتة من الجهة المصنعة (MIC)
يتم تثبيت هذه الشهادة بشكل افتراضي على الأجهزة المادية - مثل 9800-80 و 9800-40 و 9800-L. وكما تدل عليه الأسماء، فإنه مثبت في المصنع ولا يمكن تعديله. يتم إستخدام هذه الشهادة عند انضمام نقطة الوصول لأول مرة إلى عنصر التحكم في الشبكة المحلية اللاسلكية (WLC).
للتحقق مما إذا كانت شهادة MIC مثبتة بالفعل على 9800، يمكنك إدخال الأمر show wireless management trustPoint.
9800#show wireless management trustpoint
Trustpoint Name : CISCO_IDEVID_SUDI
Certificate Info : Available
Certificate Type : MIC <-- Private key Info : Available
FIPS suitability : Not Applicable
شهادة موقعة ذاتيا (SSC)
بالنسبة للمثيل الظاهري لوحدة التحكم، وهي قائمة التحكم 9800-CL، لا توجد شهادة مثبتة في المصنع. لكنه يستخدم بدلا من ذلك شهادة ذاتية التوقيع يمكن توليدها آليا من خلال معالج اليوم 0، أو من خلال نص تنفيذي يتم إنشاء الشهادة فيه يدويا. في الأمثلة الظاهرية ل 9800، يتم إستخدام SSC بشكل رئيسي للانضمام إلى نقطة الوصول ولكن أيضا لجميع خدمات HTTP (آت) و SSH و NetConf. تحتوي الأجهزة المادية أيضا على SSC، ولكن كما ذكر من قبل، لا يتم إستخدامه للانضمام إلى AP، ولكن للخدمات بدلا من ذلك.
مرة أخرى، للتحقق من شهادة SSC في 9800، أدخل الأمر show wireless management trustPoint.
9800#show wireless management trustpoint
Trustpoint Name : 9800-CL-TRUSTPOINT
Certificate Info : Available
Certificate Type : SSC <--
Certificate Hash : e55e61b683181ff0999ef317bb5ec7950ab86c9e
Private key Info : Available
FIPS suitability : Not Applicable
الشهادة ذات الأهمية المحلية (LSC)
يتم إستخدام هذه الشهادات فقط من قبل نقاط الوصول التي تحتاج إلى إثبات هويتها إلى عنصر التحكم في الشبكة المحلية اللاسلكية (WLC). لا توجد بشكل افتراضي على عنصر التحكم في الشبكة المحلية اللاسلكية (WLC) ولا نقاط الوصول (APs). يجب توقيع شهادات LSC بواسطة CA ثم تثبيتها لاحقا على كل من WLC ونقاط الوصول للتحقق من بعضها البعض. أحلت ل كثير معلومة على كيف أن يشكل LSCs على 9800 محلي شهادة مهم.
نقاط الثقة
ما هي نقطة الثقة؟
نقطة الثقة هي ما يربط الشهادة بخدمة معينة. هناك نوعان رئيسيان من نقاط الثقة: إدارة الويب ومصادقة الويب. بشكل افتراضي، يستخدم عنصر التحكم في الشبكة المحلية اللاسلكية (WLC) الشهادة الموقعة ذاتيا لكلا الخدمتين، ولكن يتسبب ذلك في ظهور رسالة تحذير توضح أن الموقع غير آمن. وذلك لأنه لم يتم التحقق من صحة الشهادة الموقعة ذاتيا من قبل أي مرجع مصدق.
رسالة تحذير غير صالحة ل CA على صفحة ويب
ولتجنب ذلك، يمكن إستخدام شهادة طرف ثالث للتأكد من أنه قد تم التحقق منها بالفعل بواسطة مرجع مصدق. للحصول على مزيد من المعلومات حول كيفية إنشاء شهادة وتحميلها إلى عنصر التحكم في الشبكة المحلية اللاسلكية (WLC)، يرجى الرجوع إلى إنشاء شهادة CSR وتنزيلها على عنصر التحكم في الشبكة المحلية اللاسلكية (WLC) طراز 9800.
إدارة الويب
تقوم نقطة الثقة لإدارة الويب بربط الشهادة بواجهة المستخدم الرسومية (GUI). تقوم وحدة التحكم بتحديد إحدى الشهادات المتاحة لها، وإذا لم يكن هناك شهادة مخصصة تم تحميلها إلى عنصر التحكم في الشبكة المحلية اللاسلكية (WLC)، يتم إستخدام الشهادة الموقعة ذاتيا. إذا لم تكن الشهادة الافتراضية شيئا تريد إستخدامه، يمكنك إستخدام شهادة مخصصة لنقطة الاتصال.
بمجرد تحميل الشهادة إلى الرقم 9800، كما هو موضح في المستند أعلاه، فإن الخطوة التالية هي ربط نقطة الثقة بإدارة الويب، ويلزم إدخال الأوامر التالية:
configure terminal
ip http secure-trustpoint <custom-cert>.pfx
!Restart HTTP services
no ip http secure services
ip http secure services
end
write
يتم الآن إستخدام طريقة واحدة للتحقق من صحة الشهادة المثبتة حديثا كنقطة ثقة لخدمات HTTP، على سبيل المثال، أدخل الأمر show ip http server status | تضمين TrustPoint
9800#show ip http server status | include trustpoint
HTTP secure server trustpoint:
.pfx <-- trustpoint configured for HTTP services
HTTP secure server peer validation trustpoint:
مصادقة الويب
وكما هو الحال مع إدارة الويب، يمكن إستخدام مصادقة الطبقة 3 أيضا في 9800. تقوم نقطة الثقة هذه بربط شهادة بمدخل ويب يتم إظهاره للمستخدم عند محاولة المصادقة على شبكة WLAN من خلال مدخل ضيف يتم تقديمه تلقائيا إلى المستخدم. يساعد إستخدام TrustPoint لمصادقة الويب في حماية بيانات اعتماد المستخدم بين عنصر التحكم في الشبكة المحلية اللاسلكية (WLC) والعميل المتصل به.
بشكل افتراضي، يستخدم عنصر التحكم في الشبكة المحلية اللاسلكية (WLC) الشهادة الموقعة ذاتيا. مرة أخرى، يتسبب ذلك في ظهور رسالة تحذير للعميل تشير إلى أن صفحة ويب غير موثوق بها. لتجنب هذا، يمكن إستخدام شهادة جهة خارجية تماما مثل إدارة الويب.
كما هو الحال مع إدارة الويب، بمجرد تحميل الشهادة المخصصة إلى عنصر التحكم في الشبكة المحلية اللاسلكية (WLC)، يجب ربطها بخريطة معلمات الويب كنقطة اتصال.
configure terminal
parameter-map type webauth global
trustpoint <custom-cert>
!Restart HTTP services
no ip http secure services
ip http secure services
end
write
للتحقق من صحة نقطة الاتصال المستخدمة لمصادقة ويب، أدخل الأمر التالي
show run | section parameter-map type webauth global
parameter-map type webauth global
type webauth
virtual-ip ipv4 192.0.2.1
trustpoint
<-- trustpoint configured for web authentication
معلومات ذات صلة