Aggiungere un certificato sul cisco WLC

Ecco la procedura non semplicissima per caricare un certificato https su un cisco WLC

Per installare o sostituire un certificato https (ssl/tls) su un cisco WLC c’è bisogno di un server tftp e di creare un certificato apposito, vediamo come.

Supponiamo che tu disponga già di un server tftp e di un server linux con openssl per poter maneggiare i certificati, nello specifico ipotizziamo che il server tftp e il server linux coincidano.

Primo passo, WLC Cisco ha bisogno di un file certchain in formato pem che includa: certificate + intermediate CA + Root CA; quindi tramite un editor di testo, copiamo i tre certificati in un unico file, come segue:

cert chanin

Salviamo il file come mycertchain.pem e carichiamolo (o creiamolo) sul tftp server.
Io l’ho creato nella directory /tmp. Per poter andare avanti abbiamo bisogno anche del certificate key (mycertkey.pem in questo esempio) che ho caricate sempre nella directory /tmp del tftp server.

Adesso abbiamo bisogno di generare un certificato valdio per WLC, io l’ho fatto direttamente nel tftp server ma se voi avete altre necessità potete farlo su qualiasi macchina, l’importante è che i certificato finale venga poi spostato nel server tftp.
Ecco i comandi:

root@tftp-ostrich:/tmp# openssl pkcs12 -export -in mycertchain.pem -inkey mycertkey.pem -out mycert.p12 -clcerts -passin pass:password -passout pass:password
Warning: -clcerts option ignored with -export
root@tftp-ostrich:/tmp# openssl pkcs12 -in mycert.p12 -out mycert.pem -legacy
Enter Import Password: password
root@tftp-ostrich:/tmp# mv mycert.pem /tftp/mypath/
root@tftp-ostrich:/tmp# cd /tftp/mypath/
root@tftp-ostrich:/tftp/mypath# chmod 666 mycert.pem
root@tftp-ostrich:/tftp/mypath# chown tftp.tftp mycert.pem

mycert.pem è il file finale che dobbiamo caricare sul WLC.

Ora apriamo il WLC cisco sul browser e andiamo su advanced > MANAGEMENT > HTTP-HTTPS selezioniamo Download SSL Certificate compiliamo il form con il nome del tftp server, del certificato e il path dove trovare, più la password usata nei comandi precedenti, nel mio esempio “password” (ricordati anche di verificare che le iptables del tftp server permettano al wlc di scaricare il file).

Clicca su Apply per eseguire l’upload e riavvia il WLC (ricorda di salvare la configurazione del WLC prima di riavviarlo).

Dopo il riavvio vedrai il certificato correttamente installato o aggiornato sulla web interface del tuo WLC