Versionen im Vergleich

Alte Version 1

changes.mady.by.user LANCOM Redaktion

Gespeichert am

verglichen mit

Neue Version 2

changes.mady.by.user LANCOM Redaktion

Gespeichert am

Schlüssel

  • Diese Zeile wurde hinzugefügt.
  • Diese Zeile wurde entfernt.
  • Formatierung wurde geändert.

PageIdMakro

Seiteneigenschaften


Description:

Bei Erstellen eines WLC-Clusters werden für die Sub-CA auf dem Slave die Extensions During the setup of a WLC cluster the extensions critical, Digital Signature, Non Repudiation, Certificate Sign, und CRL Sign nicht gesetzt. Da diese Flags von LCOS LX vorausgesetzt werden, führt dies dazu, dass Access Points mit LCOS LX sich nicht mit dem Slave verbinden können. Bei Ausfall des Masters ist ein Fallback auf den Slave somit nicht möglich.

In diesem Artikel wird beschrieben, wie auf dem Slave die vorhandenen Zertifikatsdateien gelöscht und anschließend neu erstellt werden, damit Access Points mit LCOS LX sich anschließend auch mit dem Slave verbinden können.

Requirements:

and CRL Sign are not set for the Sub-CA on the Slave. As these extensions are required by LCOS LX, this means, that access points with LCOS LX cannot establish a connection with the Slave. Thus, when the Master fails a fallback to the Slave is not possible.

This article describes, how the certificate files can be deleted on the Slave and created anew, so that access points with LCOS LX can establish a connection to the Slave.


Requirements:

  • Configured and functional WLC cluster
  • SSH client for accessing the CLI (z.B.
  • Bereits konfigurierter und funktionsfähiger WLC-Cluster
  • SSH-Client für den Zugriff per Konsole (z.B. PuTTY)

Procedure:

Info

Die Maßnahmen können alternativ auch per WEBconfig (LCOS-Menübaum) oder teilweise auch per LANconfig vorgenommen werden. Zur besseren Übersicht erfolgen die Anpassungen hier per Konsole.

Die folgenden Schritte müssen ausschließlich auf dem Slave ausgeführt werden. Die Konfiguration des Masters darf nicht angepasst werden!

1. Deaktivieren des WLAN-Controllers und der Zertifikats-Funktionen) Deactivating the WLAN-Controller and the certificate features:

1.1 Geben Sie den Befehl ) Enter the command set /Setup/WLAN-Management/CAPWAP-Operating no ein, um CAPWAP zu deaktivieren to deactivate CAPWAP.

1.2 Geben Sie den Befehl ) Enter the command set /Setup/Certificates/SCEP-CA/Operating no ein, um die CA zu deaktivieren to deactivate the CA.

1.3 Geben Sie den Befehl ) Enter the command set /Setup/Certificates/SCEP-Client/Scep-Operating no ein, um den to deactivate the SCEP-Client zu deaktivieren.



2. Löschen der Zertifikats-Dateien:) Deleting the certificate files

Enter the command Wechseln Sie mit dem Befehl cd Status/File-System/Contents in das Datei-System und löschen mit dem Befehl del <Zertifikats-Datei> nacheinander die folgenden Dateien (z.B.  to change to the filesystem and successively delete the following certificate files with the command del <certificate file> (e.g. del scep_cert_list).

  • scep_cert_list
  • scep_crl
  • scep_cert_serial
  • scep_ca_pkcs12_int
  • scep_ra_pkcs12_int
  • controller_pkcs12_int 



3. Extensions für die CA setzen:) Setting the extensions for the CA:

Enter the following command, to set the necessary extension Geben Sie den folgenden Befehl ein, um die benötigten Extensions critical, Digital Signature, Non Repudiation, Certificate Sign, und and CRL Sign für neue Zertifikate zu setzen for new certificates:

set /Setup/Certificates/SCEP-CA/Sub-CA/Cert-Key-Usage "critical, Digital Signature, Non Repudiation, Certificate Sign, CRL Sign"

Info

Der Befehl muss mitsamt der Anführungszeichen eingegeben werdenThe command must include the quotation marks.



4. Aktivieren des ) Activating the WLAN-Controllers und der Zertifikats-Funktionenand the certificate features:

4.1 Geben Sie den Befehl ) Enter the command set /Setup/WLAN-Management/CAPWAP-Operating yes ein, um CAPWAP zu aktivieren to activate CAPWAP.

4.2 Geben Sie den Befehl ) Enter the command set /Setup/Certificates/SCEP-CA/Operating yes ein, um die CA zu aktivieren to activate the CA.

4.3 Geben Sie den Befehl ) Enter the command set /Setup/Certificates/SCEP-Client/Scep-Operating yes ein, um den to activate the SCEP-Client zu aktivieren.

4.4 Die Zertifikate werden nun neu erstellt.) The certificates will then be created anew. 



5) Checking the new certificates 5. Kontrolle der neuen Zertifikate (optional):

Mit dem Befehl You can read out the CA with the command show scep capwap ca können Sie die CA einsehen. In dem Abschnitt the section X509v3 extensions müssen unter X509v3 Key Usage die in Schritt 3. gesetzten Extensions vorhanden seinextensions the extensions set in step 3 have to be present under X509v3 Key Usage.