www.SAMURAJ-cz.com 

17.12.2017 Daniel Translate to English by Google     VÍTEJTE V MÉM SVĚTĚ

Články

Cisco WLC - nastavení doménového jména a certifikátu pro Guest Access

Čtvrtek, 22.12.2011 08:52 | Samuraj - Petr Bouška |
Pokud na Cisco Wireless LAN Controlleru (WLC) zprovozníme WiFi síť pro hosty s webovou autentizací (Web Authentication), tedy že se uživatelé musí nejprve přihlásit na webové stránce, než se dostanou do sítě. Tak standardně stránka, kde se uživatelé autentizují, má adresu https://1.1.1.1 a používá self-signed certifikát. Uživatelům tedy vyskakuje varování při připojení. Zde si velmi stručně popíšeme, jak nastavit libovolné DNS jméno, které se použije pro tuto stránku, a přiřadit důvěryhodný certifikát.

Nastavení adresy

Jako první věc potřebujeme DNS server, který bude DHCP přiřazovat jednotlivým klientům v této síti. Na tomto DNS serveru potřebujeme vytvořit A záznam pro námi zvolené jméno, třeba wlc.firma.cz, a IP adresu  1.1.1.1 (nebo jinou, kterou nastavíme).

Potom můžeme nastavit jméno a adresu na WLC.

  • připojíme se na webové rozhraní WLC
  • přepneme se na záložku Controller
  • v levém menu Interfaces
  • zde bychom měli mít interface virtual s adresou 1.1.1.1, takže jej vybereme
  • zde můžeme nastavit jinou IP adresu, ale hlavně nastavíme DNS Host Name (třeba wlc.firma.cz)
  • klikneme Apply

Aby se nastavení uplatnilo, tak je potřeba restart WLC. Restart bude potřeba i po nahrání certifikátu, takže s ním můžeme počkat.

Nahrání certifikátu

Nyní potřebujeme důvěryhodný certifikát pro zvolené jméno. Jako zmínku na zajímavou CA upozorním na Izraelskou firmu StartCom. Je zde možno získat zdarma certifikát s roční platností. U placených certifikátů se platí pouze validace osoby nebo validace osoby + firmy a následně je možno vydávat libovolné množství certifikátů po dobu jednoho roku (s platností na dva) pro všechny domény, které můžeme validovat.

WLC vyžaduje certifikát ve formátu .pem - Privacy Enhanced Mail (Base64 encoded DER certificate). Od verze WLC 5.1.151.0 je podporováno použití certifikátů, které v sobě obsahují i všechny nadřazené (Chained), stejně jako samostatného certifikátu (Unchained). Od CA máme Chained certifikát ve formátu .p12 - PKCS#12.

Pro převod můžeme využít OpenSSL (verze pro Windows) a příkaz:

openssl.exe
pkcs12 -in wlc.firma.cz.p12 -out wlc.firma.cz.pem -passin pass:heslo -passout pass:heslo

Certifikát musíme na WLC nahrát pomocí TFTP serveru, například Tftpd64. Spustíme jej a do jeho adresáře nahrajeme náš certifikát. Nahrání provedeme z WLC.

  • připojíme se na webové rozhraní WLC
  • přepneme se na záložku Security
  • v levém menu Web Auth - Certificate
  • zaškrtneme Download SSL Certificate
  • zadáme IP adresu TFTP serveru, cestu k certifikátu (root je /), jeho jméno a heslo, které jsme použili při převodu do pem formátu
  • klikneme na Apply

Pozn.: WLC provádí nejprve stažení certifikátu a potom jeho instalaci. Pokud instalace selže, například se mu nelíbí formát, tak stejně zobrazí jen hlášení File transfer failed!

Nyní je potřeba provést restart WLC. Potom se již po připojení do hostovské WLAN bude zobrazovat stránka se zadaným doménovým jménem a certifikátem.

zobrazeno: 7391krát | Komentáře [6]

Autor:

Související články:

Cisco WLC

Wireless LAN Controller je Cisco zařízení pro centrální správu WiFi sítě (přístupových bodů). Články se věnují popisu funkce a konfigurace Cisco bezdrátových sítí. Od Access Points (tedy přístupových bodů), přes WLC, Wireless Control System (WCS) po Cisco Prime Infrastructure.

Pokud se Vám článek líbil, tak mne potěšíte, když uložíte odkaz na některý server:

Pokud se chcete vyjádřit k tomuto článku, využijte komentáře níže. Pokud chcete poradit s nějakým problémem či diskutovat na nějaké téma, tak použijte fórum.

Komentáře

  1. [1] p.b.a

    Adresu 1.1.1.1 v zadnem pripade neeeeeeee! Prosim nastavte neco z rozsahu privatnich IP adres. Viz treba: http://www.earchiv.cz/anovinky/ai1721.php3

    Pondělí, 02.01.2012 21:15 | odpovědět
  2. [2] tomfi

    odpověď na [1]p.b.a:

    Tak striktní názor na 1.1.1.1 bych neměl. Tato adresa se na veřejném internetu nepoužívá a vzhledem k v historii provedeným testům asi ani nebude (v archívu nanog myslím o tom je příspěvek alá "bílý šum v Internetu").

    Pokud to používá už mnoho firem, tak ač to neodpovídá přesně rfc, tak jaké jsou výhody chovat se jinak než všichni ostatní?

    Navíc je to adresa, kterou se nikam nepropaguje, a fakticky se na ní ve firemní síti dostanete pouze pokud jste připojen přes wifi.

    Středa, 04.01.2012 08:10 | odpovědět
  3. [3] Sven

    Zdravim...

    Mozem nastavit na nejakej serverovskej sieti MTU size 9216, aby servre spolu komunikovali jumbo paketmi?

    Nebude narusena komunikacia medzi danymi servermi a ich klinetmi, ktory budu nadalej komunikovat standardne MTU 1500?

    Dakujem Vam za odpoved.

    Čtvrtek, 12.01.2012 14:38 | odpovědět
  4. [4] Samuraj

    odpověď na [3]Sven: Povolení jumbo frames na aktivních prvcích není problém, to zajistí pouze přenos. Pokud zapnu na serveru, tak jumbo pak musí podporovat každá strana, které bude s tímto serverem komunikovat. Ale mohu mít na serevru více interfaců a zapnout to pouze pro jeden z nich (ta celá síť pak musí podporovat jumbo frames).

    • na komentář odpověděl [5]Sven
    Čtvrtek, 12.01.2012 17:33 | odpovědět
  5. [5] Sven

    Aha...cize ak zapnem jumbo na interface na ktory sa dotazuju aj uzivatelia musia aj uzivatelia mat zapnute jumbo....ale ak mam na servri viac interfacov napriklad 1 interface na komunikaciu medzi servrami a druhy na komunikaciu s klientmi tak na jednom mozem zapnut jumbo a na druhom nemusim...dobre som to pochopil?...a inac vdaka za odpoved...odpověď na [4]Samuraj:

    Pondělí, 16.01.2012 13:03 | odpovědět
  6. [6] p.b.a

    odpověď na [2]tomfi: Vim to, ale kazdopadne je 1/8 pridelena APNICu (pokud si pamatuji delal ten pruzkum Geoff H. a prezentoval i na RIPE). A rozhodne nemohu souhlasit s tim ji pouzit ;) myslim, ze nikoho nic nestoji dat tam adresy ktere jsou pro to specialne urceny...

    Středa, 25.01.2012 15:32 | odpovědět
Přidat komentář

Vložit tag: strong em link

Vložit smajlík: :-) ;-) :-( :-O


Ochrana proti SPAMu, zdejte následující čtyři znaky image code

Nápověda:
  • maximální délka komentáře je 2000 znaků
  • HTML tagy nejsou povoleny (budou odstraněny), použít se mohou pouze speciální tagy (jsou uvedeny nad vstupním polem)
  • nový řádek (ENTER) ukončí odstavec a začne nový
  • pokud odpovídáte na jiný komentář, vložte na začátek odstavce (řádku) číslo komentáře v hranatých závorkách