Hướng dẫn triển khai SSL cho Web Authentication trên thiết bị Cisco Wireless LAN Controller (WLC)

18-12-2015 | 10:03:59 AM

Để triển khai SSL cho trang xác thực Web Authentication trên thiết bị Cisco Wireless LAN Controller (WLC), bạn cần thực hiện theo các bước sau đây:

Bước 1: Khởi tạo CSR

Bạn cần sử dụng một máy tính (Windows hoặc Linux) có cài đặt thư viện OpenSSL 0.9.8 để tạo cặp khóa và CSR cho WLC. Lưu ý: Bạn cần phải dùng OpenSSL 0.9.8 để thực hiện, vì WLC không hỗ trợ bộ chứng thư được khởi tạo bằng OpenSSL 1.0 trở lên.

 

Từ dấu nhắc lệnh, để kiểm tra phiên bản OpenSSL đang cài trên máy tính, bạn chạy lệnh sau:

openssl version

 

Bạn cần tạo một thư mục để chứa chứng thư:

mkdir /usr/local/ssl

 

Chạy lệnh sau để khởi tạo private key:

openssl genrsa -out /usr/local/ssl/private.key 2048

 

Chạy lệnh sau để khởi tạo CSR:

openssl req -new -sha256 -key /usr/local/ssl/private.key -out /usr/local/ssl/certreq.csr

 

Cần lưu ý các thông tin sau:

- Country code: Nhập VN bằng chữ in hoa

- State: Nhập Hà Nội hoặc Hồ Chí Minh

- Locality: Nhập Hà Nội hoặc Hồ Chí Minh

- Company (hay Organization): Nhập vào tên công ty bằng tiếng Anh, giống y như trong giấy phép DKKD

- Organization Unit: Nhập IT Department

- Common name: Nhập domain muốn cài SSL, ví dụ wifi.company.com.vn

 

Nếu hệ thống có hỏi thêm các thông tin: email, optional company name, hay password thì bỏ qua bằng cách nhấn Enter.

 

Sau khi thực hiện xong, lúc này trong thư mục /usr/local/ssl sẽ có hai file là private.key certreq.csr. Bạn dùng file certreq.csr để đăng ký. Bạn cũng cần lưu trữ thư mục này (có chứa private key) để có thể cài đặt chứng thư số SSL sau khi nhận được từ CA.

 

Bạn có thể kiểm tra lại CSR xem đã hợp lệ hay chưa bằng công cụ sau: https://ssltools.websecurity.symantec.com/checker/views/csrCheck.jsp

 

Bạn có thể gửi tập tin CSR này cho chungthucso.com để chúng tôi tiến hành đăng ký

 

 

Bước 2: Tạo bộ chứng thư tương thích với WLC

Sau khi hoàn tất quá trình xác thực, chứng thư số sẽ được cấp phát và gửi cho bạn qua email. Trong file đính kèm sẽ bao gồm 2 file: certificate.crt và cabundle.crt. Bạn cần tải 2 file này lên thư mục /usr/local/ssl (thư mục đã tạo ra trong lúc tạo CSR). Lúc này trong thư mục sẽ gồm có các file: private.key, certificate.crt, cabundle.crt.

 

Bạn cần phải nối 2 file certificate.crt và cabundle.crt lại với nhau theo đúng thứ tự. Chạy lệnh sau:

cat /usr/local/ssl/certificate.crt /usr/local/ssl/cabundle.crt > /usr/local/ssl/allcerts.crt

 

Chạy tiếp lệnh sau:

openssl pkcs12 -export -in /usr/local/ssl/allcerts.crt -inkey /usr/local/ssl/private.key -out /usr/local/ssl/allcerts.p12 -clcerts -passin pass:yourpassword -passout pass:yourpassword

 

Chạy tiếp lệnh sau:

openssl pkcs12 -in /usr/local/ssl/allcerts.p12 -out /usr/local/ssl/final.pem -passin pass:yourpassword -passout pass:yourpassword

 

Lưu ý: Trong các lệnh trên, bạn thay yourpassword thành mật khẩu của bạn.

Lúc này, bộ chứng thư tương thích cho WLC đã được tạo ra tại địa chỉ /usr/local/ssl/final.pem. Bạn có thể tải về máy tính và tiến hành upload lên WLC trong bước tiếp theo.

 

 

Bước 3: Upload bộ chứng thư vào WLC

Để tải bộ chứng thư số vào WLC, bạn cần thiết lập một TFTP Server vì WLC chỉ hỗ trợ truyền file qua giao thức này.

 

Sau khi thiết lập xong TFTP Server, bạn copy file final.pem vào thư mục chứa file của TFTP Server. Sau đó bạn có thể tải vào WLC bằng dòng lệnh (CLI) hoặc giao diện quản trị (GUI).

 

Dùng GUI

 

Từ trang quản trị, bạn chọn menu Security > Web Auth > Certificates.

 

Nhấp chọn mục Download SSL Certificate và điền thông tin:

- Server IP Address: Nhập địa chỉ IP của TFTP Server
- Certificate File Path: Nhập đường dẫn đến file final.pem
- Certificate File Name: Nhập final.pem
- Certificate Password: Nhập mật khẩu yourpassword trong lệnh ở bước trước đó

 

Nhấn Apply để tải bộ chứng thư số vào WLC.

 

Dùng CLI

Từ dấu nhắc lệnh, chạy các lệnh sau để thiết lập thông số:

transfer download mode tftp
transfer download datatype webauthcert
transfer download serverip <TFTP server IP address>
transfer download path <absolute TFTP server path to the update file>
transfer download filename final.pem
transfer download certpassword yourpassword

Chạy lệnh sau để bắt đầu tải vào WLC:

transfer download start

Kết quả hiện ra như sau:

Mode............................................. TFTP
Data Type........................................ Site Cert
TFTP Server IP................................... x.x.x.x
TFTP Packet Timeout.............................. 6
TFTP Max Retries................................. 10
TFTP Path........................................./
TFTP Filename.................................... final.pem

This may take some time.
Are you sure you want to start? (y/N) y

TFTP EAP Dev cert transfer starting.

Certificate installed.
                        Reboot the switch to use new certificate.

 

Bước 4: Cấu hình DNS hostname trên WLC

 

Từ trang quản trị, chọn Controller > Interfaces > Virtual

 

Trong trang Virtual Interface Configuration, nhập vào tên miền mà bạn đã lựa chọn khi mua chứng thư số. Sau đó nhấn Save ConfigurationLưu ý: Bạn cần phải cấu hình trên DNS Server (mà người dùng được gán) và trỏ DNS Host Name này về địa chỉ IP trong mục IP Address ở trang cấu hình này.

 

 

Bạn cần khởi động lại WLC để các cấu hình được cập nhật.

 

Bạn đã cấu hình SSL thành công cho trang Web Authentication trên Cisco WLC. Người dùng sẽ không còn thấy thông báo Security Alert sau đây khi vào trang xác thực nữa.