...
Для генерации сертификата клиента нужно:
Сгенерировать Сгенерировать private-key
Этот шаг можно пропустить, если private-key уже существует и вы хотите использовать его повторно.
...
Если файлов слишком много, то показаны будут только те, которые попали в кешв списке будет присутствовать только часть сертификатов
| Блок кода |
|---|
wlc# crypto generate cert csr tester.csr ca ? CRYPTO FILES Select file: ----FILE---- E828C1000002.pem E828C1000004.pem E828C1000006.pem E828C1000008.pem E828C100000A.pem E828C100000C.pem E828C100000E.pem E828C1000010.pem E828C1000012.pem E828C1000014.pem E828C1000016.pem E828C1000018.pem E828C100001A.pem E828C100001C.pem E828C100001E.pem E828C1000020.pem E828C1000022.pem E828C1000024.pem E828C1000026.pem E828C1000028.pem E828C100002A.pem E828C100002C.pem E828C100002E.pem E828C1000030.pem E828C1000032.pem E828C1000034.pem E828C1000036.pem E828C1000038.pem E828C100003A.pem E828C100003C.pem E828C100003E.pem E828C1000040.pem E828C1000042.pem E828C1000044.pem E828C1000046.pem E828C1000048.pem E828C100004A.pem E828C100004C.pem E828C100004E.pem E828C1000050.pem E828C1000052.pem E828C1000054.pem E828C1000056.pem E828C1000058.pem E828C100005A.pem E828C100005C.pem E828C100005E.pem E828C1000060.pem E828C1000062.pem E828C1000064.pem E828C1000066.pem E828C1000068.pem E828C100006A.pem E828C100006C.pem E828C100006E.pem E828C1000070.pem E828C1000072.pem E828C1000074.pem E828C1000076.pem E828C1000078.pem E828C100007A.pem E828C100007C.pem E828C100007E.pem E828C1000080.pem E828C1000082.pem E828C1000084.pem E828C1000086.pem E828C1000088.pem E828C100008A.pem ... |
...
В настройках radius-server local необходимо указать сертификаты сервера и CA, а так же ключ от сертификата сервера. Дефолтные сертификаты указаны по умолчанию.
| Блок кода |
|---|
configure
radius-server local
crypto private-key default_cert_key.pem
crypto cert default_cert.pem
crypto ca default_ca.pem |
Далее необходимо включить tls mode domain:
| Блок кода |
|---|
wlc(config-radius)# tls mode domain |
...
В меню настройки Wi-Fi находим нужную сеть. При подключении к сети вводим свой личный логин, выбираем режим EAP-TLS. Нажимаем на пункт удостоверение, ставим галочку на наш сертификат, возвращаемся назад на ввод пароля, жмем подключиться. В появившемся окне жмем кнопку принять.
Обновление и замена серверного сертификата:
Существуют команды для обновления CA-сертификата и/или сертификата сервера:
| Блок кода |
|---|
wlc-30# update crypto default ca wlc-30# update crypto default cert |
Для замены сертификата сервера нужно загрузить новый сертификат, CA сертификат и ключ от сертификата сервера и поместить их в директории crypto:cert/ и crypto:private-key/. После загрузки файлов следует указать сертификаты сервера и CA, а так же ключ от сертификата сервера в настройках radius-server local:
| Блок кода |
|---|
configure
radius-server local
crypto private-key my_cert_key.pem
crypto cert my_cert.pem
crypto ca my_ca.pem |
После обновления или замены сертификатов нужно перезагрузить WLC или перезапустить RADIUS сервер :
| Блок кода | ||
|---|---|---|
| ||
wlc-30(config)# radius-server local wlc-30(config-radius)# no enable wlc-30(config-radius)# do commit wlc-30(config-radius)# do restore wlc-30(config-radius)# do rollback |
| Предупреждение |
|---|
| После обновления или замены серверного сертификата нужно обновить клиентские сертификаты. |