Versionen im Vergleich

Alte Version 3

changes.mady.by.user LANCOM Redaktion

Gespeichert am

verglichen mit

Neue Version Aktuell

changes.mady.by.user LANCOM Redaktion

Gespeichert am

Schlüssel

  • Diese Zeile wurde hinzugefügt.
  • Diese Zeile wurde entfernt.
  • Formatierung wurde geändert.

...

Bei Erstellen eines WLC-Clusters werden für die Sub-CA auf dem Slave die Flags Extensions critical, Digital Signature, Non Repudiation, Certificate Sign, und CRL Sign nicht gesetzt. Da diese Flags Extensions von LCOS LX vorausgesetzt werden, führt dies dazu, dass Access Points mit LCOS LX sich nicht mit dem Slave verbinden können. Bei Ausfall des Masters ist ein Fallback auf den Slave somit nicht möglich.

In diesem Artikel wird beschrieben, wie auf dem Slave die vorhandenen Zertifikatsdateien gelöscht und anschließend neu erstellt werden, damit Access Points mit LCOS LX sich anschließend auch mit dem Slave verbinden können.


Voraussetzungen:

  • Bereits konfigurierter und funktionsfähiger WLC-Cluster
  • SSH-Client für den Zugriff per Konsole (z.B. PuTTY)


Vorgehensweise:

Info

Die Maßnahmen können alternativ auch per WEBconfig (LCOS-Menübaum) oder teilweise auch per LANconfig vorgenommen werden. Zur besseren Übersicht erfolgen die Anpassungen hier per Konsole.

Die folgenden Schritte müssen ausschließlich auf dem Slave ausgeführt werden. Die Konfiguration des Masters darf nicht angepasst werden.!

1. Deaktivieren des WLAN-Controllers und der WLANZertifikats-Controller FunktionalitätenFunktionen:

1.1 Geben Sie den Befehl set /Setup/WLAN-Management/CAPWAP-Operating no ein, um CAPWAP zu deaktivieren.

...

Wechseln Sie mit dem Befehl cd Status/File-System/Contents in das Datei-System und löschen mit dem Befehl del <Zertifikats-Datei> nacheinander die folgenden Dateien (z.B. del scep_cert_list).

  • scep_cert_list
  • scep_crl
  • scep_cert_serial
  • scep_ca_pkcs12_int
  • scep_ra_pkcs12_int
  • controller_pkcs12_int 



3. Flags Extensions für die Zertifikate CA setzen:

Geben Sie den folgenden Befehl ein, um die benötigten Flags Extensions critical, Digital Signature, Non Repudiation, Certificate Sign, und CRL Sign für neue Zertifikate zu setzen:

...

Info

Der Befehl muss mitsamt der Anführungszeichen eingegeben werden.



4. Aktivieren des WLAN-Controllers und der WLANZertifikats-Controller FunktionalitätenFunktionen:

4.1 Geben Sie den Befehl set /Setup/WLAN-Management/CAPWAP-Operating yes ein, um CAPWAP zu aktivieren.

...

4.3 Geben Sie den Befehl set /Setup/Certificates/SCEP-Client/Scep-Operating yes ein, um den SCEP-Client zu aktivieren.

4.4 Die Zertifikate werden nun neu erstellt.



5. Kontrolle der neuen Zertifikate (optional):

Mit dem Befehl show scep capwap ca können Sie die CA einsehen. In dem Abschnitt X509v3 extensions müssen unter X509v3 Key Usage die in Schritt 3. gesetzten Extensions vorhanden sein.

Image Added

...