SIGN IN YOUR ACCOUNT TO HAVE ACCESS TO DIFFERENT FEATURES

CREATE AN ACCOUNT FORGOT YOUR PASSWORD?

FORGOT YOUR DETAILS?

AAH, WAIT, I REMEMBER NOW!

CREATE ACCOUNT

ALREADY HAVE AN ACCOUNT?

Brainwork

  • LOGIN
  • BLOG
  • CONTATO
 25/02/2021

Gerando CSR e importando certificado na Cisco WLC

Gerando CSR e importando certificado na Cisco WLC

by André Ortega / terça-feira, 05 setembro 2017 / Published in Cisco, Configuração, Uteis, Wireless

Importar certificado para a WLC Cisco era um processo chato, que requeria a geração do CSR externamente. Felizmente, a partir da versão 8.3.102 as coisas ficaram um pouco melhores. Agora podemos fazer a solicitação do certificado diretamente na CLI da controladora.

Neste exemplo vamos ver como requisitar e instalar o certificado na WLC, que o utilizará no portal para autenticação de visitantes (portal padrão, interno).

O ideal é utilizar um servidor externo com o portal de autenticação (Cisco ISE), mas em alguns casos o portal padrão pode ser útil.

1) O primeiro passo é gerar o CSR (requisição de certificado). Acesse a WLC via linha de comando e digite:

config certificate generate csr-webauth BR SP SaoPaulo Brainwork TI guest.brainwork.com.br admin@brainwork.com.br

—–BEGIN CERTIFICATE REQUEST—–
MIIC0jCCAboCAQAwgYwxCzAJBgNVBAYTAkJSMQswCQYDVQQIDAJTUDERMA8GA1UE
BwwIU2FvUGF1bG8xDjAMBgNVBAoMBUFkZGVkMQswCQYDVQQLDAJUSTEbMBkGA1UE
AwwSZ3Vlc3QuYWRkZWQu39dtLmJyMSMwIQYJKoZIhvcNAQkBFhRzZWN0ZWFtQGFk
ZGVkLmNvbS5icjCCASIwDQYJKoZIhvcNAQEBBQADggEPADCCAQoCggEBAOURtLKi
ZGTL+42UrmLmp4arJBGActvklLw+9vJ8tqNzfR5rl7RhJ5kiHcV+t/bCWSRWmBVo
BN6uquJFtxOGVKnCB+o9LRUhVOyuzQ6PeWZFl6uzLDSKWilsGSgP2upeeMGRH7F8
+MXbwjgsXxq3/f7FFHMPybrqSHBFzKCj53u3r0PxUTKG6iMhG7nuUfcYdwBdmoFe
csjSfkb+YQeZmELDo2rogfFnG9a/jlp+fuJNJasdfasdffsadf3xzCCDlNve6F47+Fkk
FzDG4p8ffyQZuKkMhP/HO5NePEqRT0zAvzsT+BD7Bj+Sfl7F1/ghF7enRs5yD5TU
swsT1fLYf33cmXECAwEAAaAAMA0GCSqGSIb3DQEBCwUAA4IBAQBe7qbz3Hz340kM
yTUdVjIM1VxTSXzr7TqtIqQBVy6ZdA9wOpX4sdfdffEEaXVNRHMvE4E/th3rA8whsNS
L/TD0rndFBFqjj9Eg3kshQQ9wVKoECXhmevpMbXy5jTY2I1AVyerP92Jam25xZiw
GOLCjku1ETNpWo17svOHBRXCeDkSMFQDBhdo5t1XFZqmtlhki7THHmqVD3I0a/M2
uHpZYDWhZLmqlVz9pjIS3QRXrk1UJ+Lqn+5b1FuS0I6WZfSCd8ZZolhy8FvDgNq4
rISbBmK5+YjkXPj7jtvKcxQ5PdSN6uQhyUYzOL6Wy7WSsHVABl+Prd3EKXeLTt/F
8GnZTZ8K
—–END CERTIFICATE REQUEST—–

Copie o output completo e cole no bloco de notas.

Note que estamos solicitando um certificado para usar no portal de autenticação para visitantes. Se quiser usar o certificado para acesso administrativo o comando é config certificate generate csr-webadmin.

2) Envie o CSR (output que colou no bloco de notas) para a entidade certificadora para a geração do certificado para a WLC. Neste exemplo usarei a CA Microsoft, mas em um ambiente real devemos usar uma entidade pública, pois os visitantes não vão conhecer (muito provavelmente) sua CA privada.

Requisição de Certificado

Requisição de Certificado

Requisição de Certificado

CA4

3) Além de fazer o download do certificado da WLC, também precisamos baixar o certificado da própria CA.

Salve o certificado da CA

Salve o certificado da CA

No caso de uma CA pública, enviamos o CSR e eles devolvem o certificado da WLC e o Certificado Root, bem como possíveis intermediários.

4) Neste momento temos dois arquivos “.cer” (o Certificado da WLC e o Certificado da CA). Abra ambos com o bloco de notas, e copie o conteúdo dos dois em um único arquivo.

IMPORTANTE que esteja na ordem: primeiro o Certificado da WLC e Depois do certificado da CA. Se tiver alguma entidade intermediária a ordem é: Certificado do Device (WLC), Certificado Intermediário, Certificado Root.

Salve o arquivo com um nome qualquer “.pem” (All-certs.pem, neste exemplo).

Certificados

5) Transfira o arquivo para a WLC. Na interface web vá em Security > Web Auth > Certificate. Selecione a opção Download SSL Certificate e informe os dados.

Clique em Apply.

Transfira o Certificado para a WLC

6) Na sequencia, salve a configuração e reinicie a WLC.

Reboot WLC

7) Prontinho. Pode ir em Security > Web Auth > Certificate e confirmar que o novo certificado está disponível.

A parti daqui basta criar uma WLAN com Webauth para o novo certificado ser utilizado.

Alguns pontos importantes:

  • O CSR gerado pela WLC não permite a utilização do campo SAN, e por isso alguns browser podem continuar alarmando antes de abrir seu portal de autenticação.
  • Alternativamente, podemos usar o OpenSSL parar gerar o CSR, inclusive com o campo SAN.
  • A partir da versão 7.6 apenas chained certificates são suportados.
  • O CN precisa dar match na URL que será utilizada (criada na interface virtual, e cadastrada no DNS Server).
  • Se após a geração do CSR, antes de importar o certificado para a WLC, a WLC for reiniciada, ela ficará inacessível via HTTPS.
  • Mais detalhes aqui.

Até a próxima.

  • Tweet
Tagged under: Certificado, CSR, WLAN Controller, WLC

About André Ortega

Formando em Processamento de Dados e Ciência da Computação. Especialista Cisco (CCNP Enterprise e CCNP Security). Quinze anos de experiência na área.

What you can read next

Fazendo backup ACS 5.3
Reset Cisco FTD (zerar FTD sem reinstalar)
Configurando usuário e senha para o roteador

Deixe uma resposta Cancelar resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

Tags

certificação Wireless ISE EEM DHCP WIFI CCNA Access-list ACL IPSec ASA Windows Anyconnect evento VMware Backup senha Script Switches FirePower PIX licença Catalyst FTD aniversário Upgrade VoIP enable Nexus IOS switch Segurança LAB class-map Access-point policy-map Vulnerabilidades IPS IPv6 CiscoChampion Vulnerabilidade CCIE Login VPN WLAN Controller Certification DNS Acesso Remote Access Brainwork Configuração QoS autenticação Cisco Firewall PING Meraki WLC Roteador SDWAN

Arquivo

Login

  • Cadastre-se
  • Acessar
  • Feed de posts
  • Feed de comentários
  • WordPress.org

Acesse Também

  • Blog LabCisco
  • Café com Redes
  • Cisco IOS hints and tricks
  • Cisco Redes
  • Cisco Support Community
  • Coruja de TI
  • Estude CCNA
  • Homelaber Brasil
  • Internetwork Expert´s
  • Netfinders Brasil
  • Rota Default
  • TechRebels
  • The Cisco Learning Network

Comentários

  • Lucas Melo em Tipos de LSAs e áreas OSPF
  • André Ortega em Configurando MPLS L3VPN (OSPF + LDP + VRF + BGP)
  • Bruno Leal em Configurando MPLS L3VPN (OSPF + LDP + VRF + BGP)
  • André Ortega em Configurando MPLS L3VPN (OSPF + LDP + VRF + BGP)
  • Alexandre Nano em Configurando MPLS L3VPN (OSPF + LDP + VRF + BGP)

Tweets

Blog: Instalando FTD no Firepower 4100 #4100 #CISCOCHAMPION #FIREPOWER #FIREWALL #FTD brainwork.com.br/2018/12/05/i…

Cerca 2 dias atrás from Brainwork's Twitter via Twitter Lite

Alo blogueiros brasileiros, bora virar Cisco Champion!! @BlogCiscoRedes @netfinders @RotaDefault @estudeccna twitter.com/CiscoChampion/…

Mês passado from Brainwork's Twitter via Twitter Lite

Blog: Cisco Champion 2019 brainwork.com.br/2018/11/07/c… #Cisco_Champion

Cerca de um mês atrás from Brainwork's Twitter via brainworkblog

Atenção blogueiros brasileiros, estão abertas as inscrições para ser Cisco Champion 2019. twitter.com/CiscoChampion/…

Cerca de um mês atrás from Brainwork's Twitter via Twitter for Android

It is here!! Thank you so much @hfpreston #DevNet #CiscoChampion pic.twitter.com/6BVKRWz2vC

Cerca 2 meses atraz from Brainwork's Twitter via Twitter for Android

Seguir @brainworkblog

Facebook

  • GET SOCIAL
Brainwork

© 2017 Brainwork. Todos os direitos reservados.
Customização e hospedagem da página por Brainwork.

TOP