Hướng dẫn cài đặt SSL cho Cisco Wireless LAN Controller (WLC)

Hướng dẫn cài đặt SSL cho Web authentication trên thiết bị  Cisco Wireless LAN Controller

 

Bước 1: Tạo bộ chứng thư tương thích với WLC

Sau khi hoàn tất quá trình xác thực, chứng thư số sẽ được cấp phát và gửi cho bạn qua email. Trong file đính kèm sẽ bao gồm 2 file: certificate.crt và cabundle.crt. Bạn cần tải 2 file này lên thư mục /usr/local/ssl (thư mục đã tạo ra trong lúc tạo CSR). Lúc này trong thư mục sẽ gồm có các file: private.key, certificate.crt, cabundle.crt.

Bạn cần phải nối 2 file certificate.crt và cabundle.crt lại với nhau theo đúng thứ tự. Chạy lệnh sau:

cat /usr/local/ssl/certificate.crt /usr/local/ssl/cabundle.crt > /usr/local/ssl/allcerts.crt

Chạy tiếp lệnh sau:

openssl pkcs12 -export -in /usr/local/ssl/allcerts.crt -inkey /usr/local/ssl/private.key -out /usr/local/ssl/allcerts.p12 -clcerts -passin pass:yourpassword -passoutpass:yourpassword

Chạy tiếp lệnh sau:

openssl pkcs12 -in /usr/local/ssl/allcerts.p12 -out /usr/local/ssl/final.pem -passin pass:yourpassword -passout pass:yourpassword

Lưu ý:Trong các lệnh trên, bạn thay yourpassword thành mật khẩu của bạn.

Lúc này, bộ chứng thư tương thích cho WLC đã được tạo ra tại địa chỉ /usr/local/ssl/final.pem. Bạn có thể tải về máy tính và tiến hành upload lên WLC trong bước tiếp theo.

 

Bước 2: Upload bộ chứng thư vào WLC

Để tải bộ chứng thư số vào WLC, bạn cần thiết lập một TFTP Server vì WLC chỉ hỗ trợ truyền file qua giao thức này.

Sau khi thiết lập xong TFTP Server, bạn copy file final.pem vào thư mục chứa file của TFTP Server. Sau đó bạn có thể tải vào WLC bằng dòng lệnh (CLI) hoặc giao diện quản trị (GUI).

 

Dùng GUI

Từ trang quản trị, bạn chọn menu Security > Web Auth > Certificates.

Nhấp chọn mục Download SSL Certificate và điền thông tin:

– Server IP Address: Nhập địa chỉ IP của TFTP Server

– Certificate File Path: Nhập đường dẫn đến file final.pem

– Certificate File Name: Nhập final.pem

– Certificate Password: Nhập mật khẩu yourpassword trong lệnh ở bước trước đó

Nhấn Apply để tải bộ chứng thư số vào WLC.

 

Dùng CLI

Từ dấu nhắc lệnh, chạy các lệnh sau để thiết lập thông số:

transfer download mode tftp

transfer download datatype webauthcert

transfer download serverip <TFTP server IP address>

transfer download path <absolute TFTP server path to the update file>

transfer download filename final.pem

transfer download certpassword yourpassword

Chạy lệnh sau để bắt đầu tải vào WLC:

transfer download start

Kết quả hiện ra như sau:

Mode……………………………………… TFTP

Data Type…………………………………. Site Cert

TFTP Server IP…………………………….. x.x.x.x

TFTP Packet Timeout………………………… 6

TFTP Max Retries…………………………… 10

TFTP Path…………………………………../

TFTP Filename……………………………… final.pem

This may take some time.

Are you sure you want to start? (y/N) y

TFTP EAP Dev cert transfer starting.

Certificate installed.

Reboot the switch to use new certificate.

 

Bước 3: Cấu hình DNS hostname trên WLC

Từ trang quản trị, chọn Controller > Interfaces > Virtual

Trong trang Virtual Interface Configuration, nhập vào tên miền mà bạn đã lựa chọn khi mua chứng thư số. Sau đó nhấn Save Configuration. Lưu ý: Bạn cần phải cấu hình trên DNS Server (mà người dùng được gán) và trỏ DNS Host Name này về địa chỉ IP trong mục IP Address ở trang cấu hình này.

 

Bước 4: Bạn cần khởi động lại WLC để các cấu hình được cập nhật.

Bạn đã cấu hình SSL thành công cho trang Web Authentication trên Cisco WLC. Người dùng sẽ không còn thấy thông báo Security Alert sau đây khi vào trang xác thực nữa.