瞭解憑證資訊，以為9800 WLC建立鏈結

簡介

本文說明如何使用眾所周知的線上工具及其說明來解碼憑證，以在9800 WLC中建立憑證鏈結。

必要條件

需求

思科建議您瞭解以下主題的基本知識：

• Cisco Catalyst 9800無線LAN控制器(WLC)
• 數位憑證、憑證簽署請求(CSR)概念。
• OpenSSL軟體。

採用元件

本文中的資訊係根據以下軟體和硬體版本：

• 1.1.1w版本的OpenSSL軟體
• Windows電腦

本文中的資訊是根據特定實驗室環境內的裝置所建立。文中使用到的所有裝置皆從已清除（預設）的組態來啟動。如果您的網路運作中，請確保您瞭解任何指令可能造成的影響。

CSR 產生

可以在控制器中或使用OpenSSL產生CSR。 

要在9800 WLC中生成CSR，請導航到配置>安全> PKI管理>增加證書>生成證書簽名請求。

生成證書簽名請求時，需要提供私鑰、公用名(CN)、國家/地區代碼、狀態、位置、組織和組織單位等資訊。

在WLC中生成CSR

在請求中填充的所有CSR資訊都會顯示在解碼中。

OpenSSL軟體是憑證解碼時的單一事實來源。它會顯示它的所有資訊。

要對安裝了OpenSSL的Windows或MacBook電腦中的證書進行解碼，請以管理員身份打開命令提示符並運行命令openssl x509 -in <certificate.crt> -text -noout。輸出將顯示為控制檯資訊。

還有其他一些線上工具可以解碼憑證，這些憑證會以較方便使用的方式顯示輸出，例如CertLogik和SSL Shopper，但本檔案並未提供這些工具。

請注意，它們使用之前提及的相同OpenSSL命令來解碼憑證。

第三方證書

CSR會傳送給憑證授權單位(CA)，以便簽署並傳回。下載所有憑證鏈結，以便您可以將其上傳到WLC。

要瞭解證書鏈，可以對CA接收的所有檔案進行解碼。請確定它們是Base64格式。

您可以從CA接收多個檔案。這取決於中間CA檔案的數量。

要辨識每個檔案，您需要將其解碼。

簽名證書解碼時，增加頒發者部分。這是指簽署憑證的CA。

如果您解碼未簽名的CSR檔案，則Issuer部分不存在，因為它尚未簽名。

以下是多層級授權或鏈結憑證案例的範例：

• 根CA
• 中間CA憑證
• 裝置證書

已解碼根CA

對於根CA，因為它是鏈的最高優先順序，所以Issuer和Subject必須相同。

已解碼根CA

解碼的中間CA

對於中間CA，因為它由根CA簽署，所以Issuer必須與根CA CN匹配。

解碼的中間CA

解碼的裝置證書

對於裝置證書，由於它是由中間CA簽署的，因此Issuer必須與中間CA CN匹配

解碼的裝置證書

在使用1個以上中間CA的場景中，請使用相同的解碼過程。

一旦辨識鏈結順序，就可以將其上傳到控制器。

9800 WLC需要整個鏈結的順序正確，才能讓憑證正確運作。

有關將證書上傳到控制器的後續步驟，請參閱在Catalyst 9800 WLC上生成和下載CSR證書。

繼續進行之前，請確認您已瞭解解碼程式。如果是，需要完成以下步驟，才能在9800 WLC中上傳Web驗證、Web管理或管理憑證。