WLCでの証明書インストールのトラブルシューティング

ダウンロード オプション

  • PDF     (857.4 KB)
    Adobe Reader を使ってさまざまなデバイスで表示
  • ePub     (583.0 KB)
    iPhone、iPad、Android、ソニーの Reader、または Windows Phone 上で、さまざまなアプリを使って表示
  • Mobi (Kindle)     (463.6 KB)
    Kindle デバイスで、または Kindle アプリを使って複数のデバイスで表示
Updated: 2023 年 4 月 4 日
Document ID:215425

偏向のない言語

この製品のドキュメントセットは、偏向のない言語を使用するように配慮されています。このドキュメントセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブ ランゲージの取り組みの詳細は、こちらをご覧ください。

翻訳について

シスコは世界中のユーザにそれぞれの言語でサポート コンテンツを提供するために、機械と人による翻訳を組み合わせて、本ドキュメントを翻訳しています。ただし、最高度の機械翻訳であっても、専門家による翻訳のような正確性は確保されません。シスコは、これら翻訳の正確性について法的責任を負いません。原典である英語版(リンクからアクセス可能)もあわせて参照することを推奨します。

    概要

    このドキュメントでは、ワイヤレスLANコントローラ(WLC)でのサードパーティ証明書の使用によって発生する問題について説明します。

    前提条件

    要件

    次の項目に関する知識があることが推奨されます。 

    • ワイヤレス LAN コントローラ(WLC)
    • 公開キー インフラストラクチャ(PKI)
    • X.509証明書

    使用するコンポーネント

    このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づいています。

    • ファームウェアバージョン8.10.105.0が稼働する3504 WLC
    • コマンドラインツール用OpenSSL 1.0.2p
    • Windows 10 マシン
    • 3つの証明書(リーフ、中間、ルート)を持つプライベートラボ認証局(CA)からの証明書チェーン
    • ファイル転送用のトリビアルファイル転送プロトコル(TFTP)サーバ。

    このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されました。このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。本稼働中のネットワークでは、各コマンドによって起こる可能性がある影響を十分確認してください。

    背景説明

    AireOS WLCでは、WebAuthとWebAdminに使用するサードパーティ証明書をインストールできます。インストール時に、WLCは単一のPEM(Privacy Enhanced Mail(PEM)形式のファイルに保存されます。チェーン内のすべての証明書は、ルートCA証明書と秘密キーまで適用されます。この手順の詳細については、『サードパーティ証明書用CSRの生成とチェーン証明書のWLCへのダウンロード』を参照してください。

    このドキュメントでは、一般的なインストールエラーを展開し、各シナリオのデバッグ例と解決策を詳しく説明します。このドキュメントで使用されているデバッグ出力は、WLCでdebug transfer all enableおよびdebug pm pki enableが有効にされている場合のものです。証明書ファイルの転送にTFTPが使用されました。

    トラブルシュート

    シナリオ 1.秘密キーを解読するために指定されたパスワードが正しくないか、パスワードが指定されていません


    *TransferTask: Apr 21 03:51:20.737: Add ID Cert: Adding certificate & private key using password check123
    *TransferTask: Apr 21 03:51:20.737: Add Cert to ID Table: Adding certificate (name: bsnSslWebauthCert) to ID table using password check123
    *TransferTask: Apr 21 03:51:20.737: Add Cert to ID Table: Decoding PEM-encoded Certificate (verify: YES)
    *TransferTask: Apr 21 03:51:20.737: Decode & Verify PEM Cert: Cert/Key Length was 0, so taking string length instead
    *TransferTask: Apr 21 03:51:20.737: Decode & Verify PEM Cert: Cert/Key Length 6276 & VERIFY
    *TransferTask: Apr 21 03:51:20.741: Decode & Verify PEM Cert: X509 Cert Verification return code: 1
    *TransferTask: Apr 21 03:51:20.741: Decode & Verify PEM Cert: X509 Cert Verification result text: ok
    *TransferTask: Apr 21 03:51:20.741: Add Cert to ID Table: Decoding PEM-encoded Private Key using password check123
    *TransferTask: Apr 21 03:51:20.799: Decode PEM Private Key: Error reading Private Key from PEM-encoded PKCS12 bundle using password check123
    *TransferTask: Apr 21 03:51:20.799: Add ID Cert: Error decoding / adding cert to ID cert table (verifyChain: TRUE)
    *TransferTask: Apr 21 03:51:20.799: Add WebAuth Cert: Error adding ID cert
    *TransferTask: Apr 21 03:51:20.799: RESULT_STRING: Error installing certificate.

    解決策:WLCがインストール用にデコードできるように、正しいパスワードが提供されていることを確認します。

    シナリオ 2.チェーンに中間CA証明書がない

    *TransferTask: Apr 21 04:34:43.319: Add ID Cert: Adding certificate & private key using password Cisco123
    *TransferTask: Apr 21 04:34:43.319: Add Cert to ID Table: Adding certificate (name: bsnSslWebauthCert) to ID table using password Cisco123
    *TransferTask: Apr 21 04:34:43.319: Add Cert to ID Table: Decoding PEM-encoded Certificate (verify: YES)
    *TransferTask: Apr 21 04:34:43.319: Decode & Verify PEM Cert: Cert/Key Length was 0, so taking string length instead
    *TransferTask: Apr 21 04:34:43.319: Decode & Verify PEM Cert: Cert/Key Length 4840 & VERIFY
    *TransferTask: Apr 21 04:34:43.321: Decode & Verify PEM Cert: X509 Cert Verification return code: 0
    *TransferTask: Apr 21 04:34:43.321: Decode & Verify PEM Cert: X509 Cert Verification result text: unable to get local issuer certificate
    *TransferTask: Apr 21 04:34:43.321: Decode & Verify PEM Cert: Error in X509 Cert Verification at 0 depth: unable to get local issuer certificate
    *TransferTask: Apr 21 04:34:43.321: Add Cert to ID Table: Error decoding (verify: YES) PEM certificate
    *TransferTask: Apr 21 04:34:43.321: Add ID Cert: Error decoding / adding cert to ID cert table (verifyChain: TRUE)
    *TransferTask: Apr 21 04:34:43.321: Add WebAuth Cert: Error adding ID cert
    *TransferTask: Apr 21 04:34:43.321: RESULT_STRING: Error installing certificate.

    解決策:WLC証明書のIssuerフィールドとX509v3 Authority Key Identifierフィールドを検証し、証明書に署名したCA証明書を検証します。中間CA証明書がCAによって提供された場合、その証明書を使用して検証できます。それ以外の場合は、CAに証明書を要求します。

    次のOpenSSLコマンドを使用して、各証明書の次の詳細を検証できます。

    > openssl x509 -in wlc.crt -text -noout

    Certificate:
    Data:
    Version: 3 (0x2)
    Serial Number:
    50:93:16:83:04:d5:6b:db:26:7c:3a:13:f3:95:32:7e
    Signature Algorithm: sha256WithRSAEncryption
    Issuer: C=US, O=TAC Lab, CN=Wireless TAC Lab Sub CA
    Validity
    Not Before: Apr 21 03:08:05 2020 GMT
    Not After : Apr 21 03:08:05 2021 GMT
    Subject: C=US, O=TAC Lab, CN=guest.wirelesslab.local

    ...

    X509v3 extensions:
    X509v3 Authority Key Identifier:
    keyid:27:69:2E:C3:2F:20:5B:07:14:80:E1:86:36:7B:E0:92:08:4C:88:12

    > openssl x509 -in int-ca.crt -text -noout

    Certificate:
    Data:
    Version: 3 (0x2)
    Serial Number:
    d1:ec:26:0e:be:f1:aa:65:7b:4a:8f:c7:d5:7f:a4:97
    Signature Algorithm: sha256WithRSAEncryption
    Issuer: C=US, O=TAC Lab, CN=Wireless TAC Lab Root CA
    Validity
    Not Before: Apr 21 02:51:03 2020 GMT
    Not After : Apr 19 02:51:03 2030 GMT
    Subject: C=US, O=TAC Lab, CN=Wireless TAC Lab Sub CA

    ...

    X509v3 Subject Key Identifier:
    27:69:2E:C3:2F:20:5B:07:14:80:E1:86:36:7B:E0:92:08:4C:88:12

    または、Windowsを使用している場合は、証明書に.crt拡張子を付け、ダブルクリックして詳細を検証します。

    WLC証明書:

    WLC Certificate

    Certificate Key ID

    中間CA証明書:

    Intermediate CA Certificate

    Certificate Subject Key Identifier

    中間CA証明書が特定されたら、それに応じてチェーンを進めて再インストールします。

    シナリオ 3.チェーンにルートCA証明書がない

    *TransferTask: Apr 21 04:28:09.643: Add ID Cert: Adding certificate & private key using password Cisco123
    *TransferTask: Apr 21 04:28:09.643: Add Cert to ID Table: Adding certificate (name: bsnSslWebauthCert) to ID table using password Cisco123
    *TransferTask: Apr 21 04:28:09.643: Add Cert to ID Table: Decoding PEM-encoded Certificate (verify: YES)
    *TransferTask: Apr 21 04:28:09.643: Decode & Verify PEM Cert: Cert/Key Length was 0, so taking string length instead
    *TransferTask: Apr 21 04:28:09.643: Decode & Verify PEM Cert: Cert/Key Length 4929 & VERIFY
    *TransferTask: Apr 21 04:28:09.645: Decode & Verify PEM Cert: X509 Cert Verification return code: 0
    *TransferTask: Apr 21 04:28:09.645: Decode & Verify PEM Cert: X509 Cert Verification result text: unable to get issuer certificate
    *TransferTask: Apr 21 04:28:09.645: Decode & Verify PEM Cert: Error in X509 Cert Verification at 1 depth: unable to get issuer certificate
    *TransferTask: Apr 21 04:28:09.646: Add Cert to ID Table: Error decoding (verify: YES) PEM certificate
    *TransferTask: Apr 21 04:28:09.646: Add ID Cert: Error decoding / adding cert to ID cert table (verifyChain: TRUE)

    解決策:このシナリオはシナリオ2に似ていますが、今回は発行者(ルートCA)を検証する際の中間証明書に対するものです。ルートCAを検証するために、中間CA証明書のIssuerフィールドとX509v3 Authority Key Identifierフィールドの検証についても同じ手順を実行できます。

    次のOpenSSLコマンドを使用して、各証明書の次の詳細を検証できます。

    openssl x509 -in int-ca.crt -text -noout

    Certificate:
    Data:
    Version: 3 (0x2)
    Serial Number:
    d1:ec:26:0e:be:f1:aa:65:7b:4a:8f:c7:d5:7f:a4:97
    Signature Algorithm: sha256WithRSAEncryption
    Issuer: C=US, O=TAC Lab, CN=Wireless TAC Lab Root CA
    Validity
    Not Before: Apr 21 02:51:03 2020 GMT
    Not After : Apr 19 02:51:03 2030 GMT
    Subject: C=US, O=TAC Lab, CN=Wireless TAC Lab Sub CA

    ...

    X509v3 extensions:
    X509v3 Authority Key Identifier:
    keyid:CB:A6:FF:6C:A7:D4:C3:4B:7C:A3:A9:A3:14:C3:90:8D:9B:04:A0:32
    openssl x509 -in root-ca.crt -text -noout

    Certificate:
    Data:
    Version: 3 (0x2)
    Serial Number:
    d1:ec:26:0e:be:f1:aa:65:7b:4a:8f:c7:d5:7f:a4:96
    Signature Algorithm: sha256WithRSAEncryption
    Issuer: C=US, O=TAC Lab, CN=Wireless TAC Lab Root CA
    Validity
    Not Before: Apr 21 02:40:24 2020 GMT
    Not After : Apr 19 02:40:24 2030 GMT
    Subject: C=US, O=TAC Lab, CN=Wireless TAC Lab Root CA

    ...

    X509v3 Subject Key Identifier:
    CB:A6:FF:6C:A7:D4:C3:4B:7C:A3:A9:A3:14:C3:90:8D:9B:04:A0:32

    中間CA証明書

    Intermediate CA Certificate

    Certificate Authority Key Identifier

    ルートCA証明書:

    Root CA Certificate

    Root CA Certificate Details Tab

    Certificate Subject Key Identifier

    ルートCA証明書が識別されたら(発行者とサブジェクトの両方が同じ)、それに応じてチェーンを続行し、再インストールします。

    :このドキュメントでは、最も一般的なシナリオである3つの証明書チェーン(リーフ、中間CA、ルートCA)を使用します。2つの中間CA証明書が関係する場合があります。ルートCA証明書が見つかるまで、このシナリオと同じガイドラインを使用できます。

    シナリオ 4.チェーンにCA証明書がない

    *TransferTask: Apr 21 04:56:50.272: Add ID Cert: Adding certificate & private key using password Cisco123
    *TransferTask: Apr 21 04:56:50.272: Add Cert to ID Table: Adding certificate (name: bsnSslWebauthCert) to ID table using password Cisco123
    *TransferTask: Apr 21 04:56:50.272: Add Cert to ID Table: Decoding PEM-encoded Certificate (verify: YES)
    *TransferTask: Apr 21 04:56:50.272: Decode & Verify PEM Cert: Cert/Key Length was 0, so taking string length instead
    *TransferTask: Apr 21 04:56:50.272: Decode & Verify PEM Cert: Cert/Key Length 3493 & VERIFY
    *TransferTask: Apr 21 04:56:50.273: Decode & Verify PEM Cert: X509 Cert Verification return code: 0
    *TransferTask: Apr 21 04:56:50.273: Decode & Verify PEM Cert: Error in X509 Cert Verification at 0 depth: unable to get local issuer certificate
    *TransferTask: Apr 21 04:56:50.274: Add Cert to ID Table: Error decoding (verify: YES) PEM certificate
    *TransferTask: Apr 21 04:56:50.274: Add WebAuth Cert: Error adding ID cert
    *TransferTask: Apr 21 04:56:50.274: RESULT_STRING: Error installing certificate.

    解決策:ファイル内にWLC証明書以外の証明書がないと、深さ0の検証で検証が失敗します。ファイルをテキストエディタで開いて検証できます。シナリオ2および3のガイドラインに従って、ルートCAまでのチェーンを特定し、それに応じて再チェーンして再インストールできます。

    シナリオ 5.秘密キーなし

    *TransferTask: Apr 21 05:02:34.764: Add WebAuth Cert: Adding certificate & private key using password
    *TransferTask: Apr 21 05:02:34.764: Add ID Cert: Adding certificate & private key using password
    *TransferTask: Apr 21 05:02:34.764: Add Cert to ID Table: Adding certificate (name: bsnSslWebauthCert) to ID table using password
    *TransferTask: Apr 21 05:02:34.764: Add Cert to ID Table: Decoding PEM-encoded Certificate (verify: YES)
    *TransferTask: Apr 21 05:02:34.764: Decode & Verify PEM Cert: Cert/Key Length was 0, so taking string length instead
    *TransferTask: Apr 21 05:02:34.764: Decode & Verify PEM Cert: Cert/Key Length 3918 & VERIFY
    *TransferTask: Apr 21 05:02:34.767: Decode & Verify PEM Cert: X509 Cert Verification return code: 1
    *TransferTask: Apr 21 05:02:34.767: Decode & Verify PEM Cert: X509 Cert Verification result text: ok
    *TransferTask: Apr 21 05:02:34.768: Add Cert to ID Table: Decoding PEM-encoded Private Key using password
    *TransferTask: Apr 21 05:02:34.768: Retrieve CSR Key: can't open private key file for ssl cert.

    *TransferTask: Apr 21 05:02:34.768: Add Cert to ID Table: No Private Key

    *TransferTask: Apr 21 05:02:34.768: Add ID Cert: Error decoding / adding cert to ID cert table (verifyChain: TRUE)
    *TransferTask: Apr 21 05:02:34.768: Add WebAuth Cert: Error adding ID cert
    *TransferTask: Apr 21 05:02:34.768: RESULT_STRING: Error installing certificate.

    解決策:証明書署名要求(CSR)が外部で生成され、ファイル内でチェーンされる必要がある場合、WLCは秘密キーがファイルに含まれていることを想定します。CSRがWLCで生成された場合は、インストール前にWLCがリロードされていないことを確認してください。リロードされていないと、秘密キーが失われます。

    関連情報

    更新履歴

    改定 発行日 コメント
    2.0
    04-Apr-2023
    再認定
    1.0
    22-Apr-2020
    初版
    TAC Authored

    シスコ エンジニア提供

    • Joel Torres
      シスコソフトウェアQAエンジニア

    このドキュメントは役に立ちましたか?

    Feedbackフィードバック

    シスコに問い合わせ

    このドキュメントは次の製品に対応しています