CSR genereren en importeren voor certificaten van derden

Inleiding

Dit document beschrijft hoe u certificaten kunt genereren en importeren op AireOS WLC's.

Voorwaarden

Vereisten

Cisco raadt kennis van de volgende onderwerpen aan:

• Hoe de WLC, het Lichtgewicht access point (LAP) en de draadloze clientkaart te configureren voor basisbediening.
• Hoe de OpenSSL-toepassing te gebruiken.
• Openbare sleutelinfrastructuur en digitale certificaten

Gebruikte componenten

De informatie in dit document is gebaseerd op de volgende software- en hardware-versies:

• Cisco 5508 WLC dat firmware uitvoert versie 8.3.102
• OpenSSL-toepassing voor Microsoft Windows
• Inschrijftool die specifiek is voor de certificeringsinstantie van derden (CA)

De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u zorgen dat u de potentiële impact van elke opdracht begrijpt.

Geketende certificaten

Een certificaatketen is een reeks certificaten waarbij elk certificaat in de keten wordt ondertekend door het volgende certificaat.

Het doel van een certificaatketting is om een ketting van vertrouwen van een peer certificaat aan een vertrouwd op certificaat van CA te vestigen. De CA staat garant voor de identiteit in het peer certificaat wanneer het is ondertekend.

Als de CA een is die u vertrouwt (aangegeven door de aanwezigheid van een kopie van het CA-certificaat in uw root certificaat directory), betekent dit dat u het ondertekende peer-certificaat ook kunt vertrouwen.

Vaak accepteren de klanten de certificaten niet omdat ze niet zijn gemaakt door een bekende CA. De klant verklaart doorgaans dat de geldigheid van het certificaat niet kan worden geverifieerd.

Dit is het geval wanneer het certificaat wordt ondertekend door een tussenpersoon CA, die niet bekend is bij de browser van de klant. In dergelijke gevallen is het noodzakelijk om een geketend SSL-certificaat of certificaatgroep te gebruiken.

Ondersteuning voor kettingcertificaat

De controller maakt het mogelijk om het apparaatcertificaat te downloaden als een geketend certificaat voor webverificatie.

Certificaatniveaus

• Niveau 0 - Gebruik van alleen een servercertificaat op de WLC
• Niveau 1 - Gebruik van een servercertificaat op de WLC en een CA-basiscertificaat
• Niveau 2 - Gebruik van een servercertificaat op de WLC, één enkel tussentijds CA-certificaat en een CA-basiscertificaat
• Niveau 3 - Gebruik van een servercertificaat op de WLC, twee tussencertificaten van CA, en een basiscertificaat van CA

De WLC ondersteunt geen kettingcertificaten van meer dan 10KB in grootte op de WLC. Deze beperking is echter verwijderd in WLC versie 7.0.230.0 en hoger.

Opmerking: Chained-certificaten worden ondersteund en vereist voor webverificatie en webbeheer.

Opmerking: Wildcard-certificaten worden volledig ondersteund voor lokale EAP-, beheer- of webverificatie.

Web verificatiecertificaten kunnen een van deze zijn:

• geketend
• ongeketend
• Automatisch gegenereerd

Opmerking: In WLC versie 7.6 en hoger worden alleen kettingcertificaten ondersteund (en daarom vereist).

Om een certificaat zonder ketting voor beheersdoeleinden te genereren, dit document en negeer de delen waar het certificaat wordt gecombineerd met het CA-certificaat.

Dit document bespreekt hoe u op de juiste manier een gekoppeld SSL-certificaat (Secure Socket Layer) aan een WLC installeert.

Stap 1. MVO genereren

Er zijn twee manieren om MVO te genereren. Ofwel handmatig met OpenSSL (de enige manier mogelijk in pre-8.3 WLC software) of ga op de WLC zelf om de CSR te genereren (Beschikbaar na 8.3.102).

Optie A. CSR met OpenSSL

Noot: Chrome versie 58 en hoger vertrouwt niet alleen op de algemene naam van het certificaat en vereist dat ook de alternatieve onderwerpnaam aanwezig is. In de volgende sectie wordt uitgelegd hoe u SAN-velden kunt toevoegen aan de OpenSSL CSR, een nieuwe vereiste voor deze browser.

Voltooi de volgende stappen om een CSR met OpenSSL te genereren:

1. Installeer en open OpenSSL.
   
   In Microsoft Windows is openssl.exe standaard te vinden op C:\ > openssl > bin.
   
   

   Opmerking: OpenSSL versie 0.9.8 is de aanbevolen versie voor oude WLC releases; echter, vanaf versie 7.5, is ondersteuning voor OpenSSL versie 1.0 ook toegevoegd (zie Cisco bug ID CSCti65315 - Noodondersteuning voor certificaten gegenereerd met OpenSSL v1.0) en is de aanbevolen versie voor gebruik. OpenSSL 1.1 is ook getest en werkt op 8.x en latere WLC-versies.

2. Zoek uw OpenSSL-configuratiebestand en maak er een kopie van om het voor deze CSR te kunnen bewerken. Bewerk de kopie om de volgende secties toe te voegen:

3. [req]
   req_extensions = v3_req
   
   [ v3_req ]
   
   # Extensions to add to a certificate request
   
   basicConstraints = CA:FALSE
   keyUsage = nonRepudiation, digitalSignature, keyEncipherment
   subjectAltName = @alt_names
   
   [alt_names]
   DNS.1 = server1.example.com
   DNS.2 = mail.example.com
   DNS.3 = www.example.com
   DNS.4 = www.sub.example.com
   DNS.5 = mx.example.com
   DNS.6 = support.example.com

   De regels die beginnen met "DNS.1", "DNS.2" (enzovoort) moeten alle alternatieve namen van uw certificaten bevatten. Dan schrijf om het even welke mogelijke URL die voor WLC wordt gebruikt. De vetgedrukte regels in het vorige voorbeeld waren niet aanwezig of werden becommentarieerd in onze lab openSSL versie. Het kan sterk variëren met het besturingssysteem en de openssl-versie. We slaan deze aangepaste versie van de configuratie op als openssl-san.cnf voor dit voorbeeld.
4. Voer deze opdracht in om een nieuwe CSR te genereren:
   
   

   OpenSSL>req -new -newkey rsa:3072 -nodes -keyout mykey.pem -out myreq.pem -config openssl-san.cnf

   
   

   Opmerking: WLC's ondersteunen een maximale sleutelgrootte van 4096 bits vanaf 8.5 softwareversie.

5. Er is een prompt voor wat informatie: land naam, staat, stad, enzovoort. Verstrek de vereiste informatie.
   
   

   Opmerking: het is belangrijk om de juiste algemene naam te geven. Zorg ervoor dat de hostnaam die wordt gebruikt om het certificaat (algemene naam) te maken, overeenkomt met de domeinnaamnaam (DNS)-hostnaam voor het virtuele interface-IP-adres op de WLC en dat de naam ook in de DNS bestaat. Ook, nadat u de verandering in de Virtuele IP (VIP) interface aanbrengt, moet u het systeem rebooten opdat deze verandering van kracht wordt.

   
   Hierna volgt een voorbeeld:
   
   

   OpenSSL>req -new -newkey rsa:3072 -nodes -keyout mykey.pem -out myreq.pem -config openssl-san.cnf
   Loading 'screen' into random state - done
   Generate a 1024 bit RSA private key
   ................................................................++++++
   ...................................................++++++
   writing new private key to 'mykey.pem'
   -----
   You are about to be asked to enter information that is incorporated
   into your certificate request.
   What you are about to enter is what is called a Distinguished Name or a DN.
   There are quite a few fields but you can leave some blank
   For some fields there is a default value,
   If you enter '.', the field is left blank.
   -----
   Country Name (2 letter code) [AU]:US
   State or Province Name (full name) [Some-State]:CA
   Locality Name (eg, city) []:San Jose
   Organization Name (eg, company) [Internet Widgits Pty Ltd]:ABC
   Organizational Unit Name (eg, section) []:CDE
   Common Name (eg, YOUR name) []:XYZ.ABC
   Email Address []:(email address)
   
   Please enter the following 'extra' attributes
   to be sent with your certificate request
   A challenge password []:Test123
   An optional company name []:OpenSSL> 

6. U kunt de CSR (met name voor SAN-kenmerken presencE) verifiëren met openssl req -text -noout -in csr filename.
7. Nadat u alle vereiste details hebt opgegeven, worden twee bestanden gegenereerd:
   
   • Een nieuwe privé sleutel die de naam mykey.pem omvat.
   • Een CSR met de naam myreq.pem.

Optie B. Door de WLC gegenereerde MVO

Als uw WLC Software Versie 8.3.102 of hoger draait, is de veiligere optie om de WLC te gebruiken om de CSR te genereren. Het voordeel is dat de sleutel wordt gegenereerd op de WLC en nooit de WLC verlaat; daarom wordt nooit blootgesteld in de buitenwereld.

Op dit moment is het met deze methode niet mogelijk om SAN te configureren in de CSR, waarvan bekend is dat het leidt tot problemen met bepaalde browsers waarvoor de aanwezigheid van een SAN-kenmerk vereist is. Sommige CA staan toe om SAN-velden in te voegen op het moment van ondertekening, dus het is een goed idee om te controleren met uw CA.

CSR-generatie door de WLC zelf gebruikt een 2048-bits sleutelgrootte en ecdsa sleutelgrootte is 256-bits.

Opmerking: Als u de opdracht voor het genereren van csr uitvoert en het volgende certificaat nog niet installeert, wordt uw WLC volledig onbereikbaar op HTTPS bij de volgende reboot, omdat de WLC de nieuw gegenereerde CSR-sleutel gebruikt na de reboot, maar niet het certificaat heeft dat bij de reboot hoort.

Voer deze opdracht in om een MVO voor webverificatie te genereren:

(WLC) >config certificaat genereert csr-webauth BE BR Brussel Cisco TAC mywebauthportal.wireless.com tac@cisco.com
-----CERTIFICAATAANVRAAG STARTEN-----
MCqjCCAZICAQAwZTELMAkGA1UECAwCQlIxETAPBgNVBAcMCEJydXNzZWxzMQ4w
DAYDVQQKDAVDaXNjbzEMMAoGA1UECwdddmdmuIwYDVQDDBxteXdlYmF1dGhw
b3J0YWwud2lyZWxlc3MuY29tMIIBIjANBgkqkiG9w0BAQEFAOCAQ8AMIBCgKC
AQEA nssc0BxlJ2ULa3xgJH5lAUtbd9CuQVqf2nflh+V1tu82rzTvz38bjF3g+MX
JiaBbKMA27VJH1J2K2YCDMlhjyYpH9N59T4fXvZr3JNGVfmHIRydNCSdil0ookK
FU4sDwXyOxR6gfB6m+UV5SCOuzfBsTz5bfQ1NLzqg1hNemnhqVGBXEd90sgJmaF2
0tsL0jUhbLosdwMLUbZ5LUa34mvufoI3VAKA0cmWZh2WZMJiaI2JpbO0afRO3kSg
x3XDkZiR7Z9a8rK6Xd8rwDlx0TcMFWdWVcKMDgh7TW+Ba1cUjjIMzKT6OJFGOGu
NkgYefrrBN+kDDC6c55bxErwIDAQABoAwDQYJKoZIhvcNAQELBQADggEBAB0K
EpApovphlcXIElL2DSwVzjlbd9u7T5JRGqri1l9/0wzxFjTymQofga427mj
5dNqlCWxRFmKhAmO0fGQkUoP1YhJRxidu+0T8O46s/stbhj9nuInmoTgPaA0s3YH
ddWGJMV2ASnroUV9oBNu3wR6RQtKDX/CnTSRG5YUTWOVf9IRNL9LKU6PZA69Xd
YHPLnD2ygR1Q+3is4+5JW6ZQAaqlPWyVQcvGyFacscA7L+nZK3SITzGt9B2HAa
PQ8DQOaCwnqt2efYamezGiHOR8XHOaWcNoJQCFOnb4K6/1aF/7eOS4LMA+jSzt4
WKC/wH4DYH7x5JZHC=
-----CERTIFICAATAANVRAAG BEËINDIGEN-----

Om een CSR voor de webadmin te genereren, verandert de opdracht in:

 (WLC) >config certificaat genereert csr-webadmin BE BR Brussel Cisco TAC mywebauthportal.wireless.com tac@cisco.com

Opmerking: De CSR wordt op de terminal afgedrukt nadat u de opdracht hebt ingevoerd. Er zijn geen andere manieren om het op te halen; het is niet mogelijk om het van de WLC te uploaden of het op te slaan. U moet het kopiëren/plakken naar een bestand op uw computer nadat u de opdracht hebt ingevoerd. De gegenereerde sleutel blijft op de WLC totdat de volgende CSR gegenereerd wordt (de sleutel wordt dus overschreven). Als u ooit de WLC hardware later moet wijzigen (RMA), kunt u niet hetzelfde certificaat opnieuw installeren als een nieuwe sleutel en CSR wordt gegenereerd op de nieuwe WLC.

Vervolgens moet u deze MVO overdragen aan uw derde ondertekenende autoriteit of uw onderneming Public Key Infrastructure (PKI).

Stap 2. Het certificaat laten ondertekenen

Optie A: Verkrijg het Final.pem-bestand van uw Enterprise CA

In dit voorbeeld wordt alleen een huidige CA van een onderneming getoond (Windows Server 2012 in dit voorbeeld) en worden de stappen voor het instellen van een Windows Server CA van nul niet behandeld.

1. Ga naar de CA-pagina van uw bedrijf in de browser (meestal https://<CA-ip>/certsrv) en klik op Certificaat aanvragen.

   

2. Klik op Geavanceerd certificaatverzoek.

   

3. Voer de CSR in die u via de WLC of OpenSSL hebt verkregen. Kies Webserver in de vervolgkeuzelijst Certificaatsjabloon.

   

4. Klik op de knop Base 64 encodradio.
   

   

5. Als het gedownloade certificaat van type PKCS7 (.p7b) is, converteer het naar PEM (in het volgende voorbeeld is de certificaatketen gedownload als bestandsnaam "All-certs.p7b"):

openssl pkcs7 -print_certs -in All-certs.p7b -out All-certs.pem

6. Combineer de certificaatketting (in dit voorbeeld wordt het "All-certs.pem" genoemd) certificaten met de privé sleutel die samen met de CSR (de privé sleutel van het apparaatcertificaat, die in dit voorbeeld mykey.pem is) werd gegenereerd als u met optie A (OpenSSL om CSR te genereren) ging, en sla het bestand op als final.pem. Als u de CSR direct vanuit de WLC (optie B) hebt gegenereerd, sla deze stap dan over.

Voer deze opdrachten in de OpenSSL-toepassing in om de bestanden All-certs.pem en final.pem te maken:

openssl>pkcs12 -export -in All-certs.pem -inkey mykey.pem 
       -out All-certs.p12 -clcerts -passin pass:check123 
       -passout pass:check123

openssl>pkcs12 -in All-certs.p12 -out final.pem 
       -passin pass:check123 -passout pass:check123

Opmerking: in deze opdracht moet u een wachtwoord invoeren voor de parameters -passin en -passout. Het wachtwoord dat voor de -passout parameter wordt gevormd moet de certpassword parameter aanpassen die op WLC wordt gevormd. In dit voorbeeld is het wachtwoord dat is ingesteld voor de parameters -passin en -passout check123.

Final.pem is het bestand om te downloaden naar de WLC als u "Option A. CSR with OpenSSL" hebt gevolgd. 

Als u "Option B. CSR gegenereerd door de WLC zelf" volgde, dan is All-certs.pem het bestand om te downloaden naar de WLC. De volgende stap is om dit bestand te downloaden naar de WLC.

Opmerking: Als het uploaden van het certificaat naar de WLC mislukt, controleer dan of er de hele keten in het pem-bestand zit. Verwijs naar stap 2 van optie B (verkrijg de finale.pem van een 3rd party CA) om te zien hoe het moet eruit zien. Als u slechts één certificaat in het bestand ziet, moet u alle tussenliggende en hoofdmap CA-certificaatbestanden handmatig downloaden en toevoegen (door eenvoudig kopiëren plakken) aan het bestand om de keten te maken.

Optie B: Verkrijg het Final.pem-bestand van een CA van derden

1. Kopieer en plak de CSR-informatie in elk CA-inschrijfgereedschap.
   
   Nadat u de CSR heeft ingediend bij de derde CA, ondertekent de derde CA digitaal het certificaat en stuurt de ondertekende certificaatketen terug via e-mail. In het geval van kettingcertificaten, ontvangt u de gehele keten van certificaten van de CA. Als u slechts één tussenliggend certificaat hebt zoals in dit voorbeeld, ontvangt u deze drie certificaten van CA:
   
   
   • Root certificate.pem
   • Intermediate certificate.pem
   • Apparaatcertificaat.pem

   Opmerking: zorg ervoor dat het certificaat compatibel is met Secure Hash Algorithm 1 (SHA1)-encryptie.

2. Zodra u alle drie certificaten hebt, kopieer en plak de inhoud van elk .pem bestand in een ander bestand in deze volgorde:
   
   

   ------BEGIN CERTIFICATE------
   *Device cert*
   ------END CERTIFICATE------
   ------BEGIN CERTIFICATE------
   *Intermediate CA cert *
   ------END CERTIFICATE--------
   ------BEGIN CERTIFICATE------
   *Root CA cert *
   ------END CERTIFICATE------

3. Sla het bestand op als All-certs.pem.
   
   
4. Combineer het All-certs.pem certificaat met de private sleutel die samen met de CSR (de private sleutel van het apparaatcertificaat, dat in dit voorbeeld mykey.pem is) is gegenereerd als u optie A (OpenSSL om de CSR te genereren) hebt gebruikt, en sla het bestand op als final.pem. Als u de CSR direct vanuit de WLC (optie B) hebt gegenereerd, sla deze stap dan over.
   
   Voer deze opdrachten in de OpenSSL-toepassing in om de bestanden All-certs.pem en final.pem te maken:
   
   

   openssl>pkcs12 -export -in All-certs.pem -inkey mykey.pem 
          -out All-certs.p12 -clcerts -passin pass:check123 
          -passout pass:check123
   
   openssl>pkcs12 -in All-certs.p12 -out final.pem 
          -passin pass:check123 -passout pass:check123

   
   

   Opmerking: in deze opdracht moet u een wachtwoord invoeren voor de parameters -passin en -passout. Het wachtwoord dat voor wordt gevormd -passout moet de certpassword parameter aanpassen die op WLC wordt gevormd. In dit voorbeeld is het wachtwoord dat voor zowel de parameters -passin als -passout is geconfigureerd check123.

   Final.pem is het bestand om te downloaden naar de WLC als u "Option A. CSR with OpenSSL" hebt gevolgd. Als u "Option B. CSR gegenereerd door de WLC zelf" volgde, dan is All-certs.pem het bestand dat u moet downloaden naar de WLC. De volgende stap is om dit bestand te downloaden naar de WLC.

Opmerking: SHA2 wordt ook ondersteund. Cisco bug-id CSCuf20725 is een verzoek voor SHA512-ondersteuning.

Stap 3 CLI. Download het certificaat van derden naar de WLC met de CLI

Voltooi deze stappen om het kettingcertificaat te downloaden naar de WLC met de CLI:

1. Verplaats het bestand final.pem naar de standaardmap op uw TFTP-server.
   
   
2. Voer in de CLI deze opdrachten in om de downloadinstellingen te wijzigen:
   
   

       >transfer download mode tftp
       >transfer download datatype webauthcert
       >transfer download serverip <TFTP server IP address>
       >transfer download path <absolute TFTP server path to the update file>
       >transfer download filename final.pem

3. Voer het wachtwoord voor het .pem-bestand in, zodat het besturingssysteem de SSL-toets en het certificaat kan decoderen.
   
   

   >transfer download certpassword password
   

   
   

   Opmerking: Zorg ervoor dat de waarde voor bepaald wachtwoord gelijk is aan het wachtwoord voor de -passout-parameter dat is ingesteld in Stap 4 (of 5) van het gedeelte Generate a CSR. In dit voorbeeld moet het wachtwoord check123 zijn. Als u optie B had gekozen (dat wil zeggen, gebruik de WLC zelf om de CSR te genereren), laat u het veld Certpassword leeg.

4. Voer de transfer download start opdracht in om de bijgewerkte instellingen te bekijken. Voer vervolgens y in om de huidige downloadinstellingen te bevestigen en het certificaat en de toetsdownload te starten. Hierna volgt een voorbeeld:
   
   

   (Cisco Controller) >transfer download start
   
   Mode............................................. TFTP
   Data Type........................................ Site Cert
   TFTP Server IP................................... 10.77.244.196
   TFTP Packet Timeout.............................. 6
   TFTP Max Retries................................. 10
   TFTP Path........................................./
   TFTP Filename.................................... final.pem
   
   This might take some time.
   Are you sure you want to start? (y/N) y
   
   TFTP EAP Dev cert transfer start.
   
   Certificate installed.
                           Reboot the switch to use new certificate.

5. Reboot WLC opdat de veranderingen van kracht worden.

Stap 3 GUI. Download het certificaat van derden naar de WLC met de GUI

Voltooi deze stappen om het kettingcertificaat te downloaden naar de WLC met de GUI:

1. Kopieer het apparaatcertificaat final.pem naar de standaardmap op uw TFTP-server.
   
   
2. Kies Beveiliging > Webautorisatie > Waarschuwing om de pagina Webverificatiecertificaat te openen.
   
   
3. Schakel het aanvinkvakje SSL-certificaat downloaden in om de parameters van de SSL-certificaat downloaden vanaf TFTP-server te bekijken.
   
   
4. Voer in het veld IP-adres het IP-adres van de TFTP-server in.
   
   

   

   
   
   
5. Typ in het veld Bestandspad het directorypad van het certificaat.
   
   
6. Voer in het veld Bestandsnaam de naam van het certificaat in.
   
   
7. Voer in het veld Wachtwoord voor certificaat het wachtwoord in dat is gebruikt om het certificaat te beveiligen.
   
   
8. Klik op Apply (Toepassen).
   
   
9. Kies Opdrachten > Opnieuw opstarten > Opnieuw opstarten als de download is voltooid.
   
   
10. Als u wordt gevraagd uw wijzigingen op te slaan, klikt u op Opslaan en opnieuw opstarten.
    
    
11. Klik op OK om uw beslissing om de controller te herstarten te bevestigen.
    
    

Problemen oplossen

Om problemen op te lossen bij de installatie van het certificaat op de WLC, open een opdrachtregel op de WLC en voer debug transfer all enable debug pm pki enable en voltooi vervolgens de procedure voor het downloadcertificaat.

In some cases, the logs only say that the certificate installation failed:

*TransferTask: Sep 09 08:37:17.415: RESULT_STRING: TFTP receive complete... Installing
 Certificate.

*TransferTask: Sep 09 08:37:17.415: RESULT_CODE:13


TFTP receive complete... Installing Certificate.

*TransferTask: Sep 09 08:37:21.418: Adding cert (1935 bytes) with certificate key password.

*TransferTask: Sep 09 08:37:21.421: RESULT_STRING: Error installing certificate.

Controleer het certificaatformaat en de keten. Vergeet niet dat WLC's later dan versie 7.6 vereisen dat de gehele keten aanwezig is, zodat u uw WLC-certificaat niet alleen kunt uploaden. De keten tot aan de wortel CA moet aanwezig zijn in het bestand.

Hier is een voorbeeld van debugs wanneer tussenliggende CA onjuist is :

*TransferTask: Jan 04 19:08:13.338: Add WebAuth Cert: Adding certificate & private key using password check123
*TransferTask: Jan 04 19:08:13.338: Add ID Cert: Adding certificate & private key using password check123
*TransferTask: Jan 04 19:08:13.338: Add Cert to ID Table: Adding certificate (name: bsnSslWebauthCert) to ID table using password check123
*TransferTask: Jan 04 19:08:13.338: Add Cert to ID Table: Decoding PEM-encoded Certificate (verify: YES)
*TransferTask: Jan 04 19:08:13.338: Decode & Verify PEM Cert: Cert/Key Length was 0, so taking string length instead
*TransferTask: Jan 04 19:08:13.338: Decode & Verify PEM Cert: Cert/Key Length 7148 & VERIFY
*TransferTask: Jan 04 19:08:13.342: Decode & Verify PEM Cert: X509 Cert Verification return code: 0
*TransferTask: Jan 04 19:08:13.342: Decode & Verify PEM Cert: X509 Cert Verification result text: unable to get local issuer certificate
*TransferTask: Jan 04 19:08:13.342: Decode & Verify PEM Cert: Error in X509 Cert Verification at 0 depth: unable to get local issuer certificate
*TransferTask: Jan 04 19:08:13.343: Add Cert to ID Table: Error decoding (verify: YES) PEM certificate
*TransferTask: Jan 04 19:08:13.343: Add ID Cert: Error decoding / adding cert to ID cert table (verifyChain: TRUE)
*TransferTask: Jan 04 19:08:13.343: Add WebAuth Cert: Error adding ID cert

Overwegingen met betrekking tot hoge beschikbaarheid (HA SSO)

Zoals uitgelegd in de WLC HA SSO-implementatiegids, worden certificaten niet gerepliceerd van primaire naar secundaire controller in een HA SSO-scenario.

Dit betekent dat je alle certificaten moet importeren naar de secundaire voordat je het HA-paar vormt.

Een ander voorbehoud is dat dit niet werkt als je de CSR (en dus de sleutel lokaal gemaakt) op de primaire WLC gegenereerd hebt omdat die sleutel niet geëxporteerd kan worden.

De enige manier is het genereren van de CSR voor de primaire WLC met OpenSSL (en dus de sleutel gekoppeld aan het certificaat) en importeren dat certificaat/sleutel combinatie op beide WLC's.

Gerelateerde informatie

• Generatie van certificaatondertekeningsaanvraag (CSR) voor een certificaat van derden voor een draadloos controlesysteem (WCS)
• Wireless Control System (WCS) aanvraag voor certificaatondertekening (CSR) geïnstalleerd op een configuratievoorbeeld van een Linux-server
• Technische ondersteuning en documentatie – Cisco Systems
• WLC HA SSO gids