Quelle anzeigen

Beschreibung:

Bei Erstellen eines WLC-Clusters werden für die Sub-CA auf dem Slave die Extensions critical, Digital Signature, Non Repudiation, Certificate Sign, und CRL Sign nicht gesetzt. Da diese Extensions von LCOS LX vorausgesetzt werden, führt dies dazu, dass Access Points mit LCOS LX sich nicht mit dem Slave verbinden können. Bei Ausfall des Masters ist ein Fallback auf den Slave somit nicht möglich.

In diesem Artikel wird beschrieben, wie auf dem Slave die vorhandenen Zertifikatsdateien gelöscht und anschließend neu erstellt werden, damit Access Points mit LCOS LX sich anschließend auch mit dem Slave verbinden können.

Voraussetzungen:

Bereits konfigurierter und funktionsfähiger WLC-Cluster
SSH-Client für den Zugriff per Konsole (z.B. PuTTY)

Vorgehensweise:

Die Maßnahmen können alternativ auch per WEBconfig (LCOS-Menübaum) oder teilweise auch per LANconfig vorgenommen werden. Zur besseren Übersicht erfolgen die Anpassungen hier per Konsole.

Die folgenden Schritte müssen ausschließlich auf dem Slave ausgeführt werden. Die Konfiguration des Masters darf nicht angepasst werden!

1. Deaktivieren des WLAN-Controllers und der Zertifikats-Funktionen:

1.1 Geben Sie den Befehl set /Setup/WLAN-Management/CAPWAP-Operating no ein, um CAPWAP zu deaktivieren.

Screenshot eines technischen Konfigurationsmenüs für WLAN-Management und CAPWAP-Einstellungen mit verschiedenen ausgewählten Optionen.

1.2 Geben Sie den Befehl set /Setup/Certificates/SCEP-CA/Operating no ein, um die CA zu deaktivieren.

Bildschirmaufnahme einer technischen Benutzeroberfläche mit Konfigurationsoptionen und Zertifikatseinstellungen.

1.3 Geben Sie den Befehl set /Setup/Certificates/SCEP-Client/Scep-Operating no ein, um den SCEP-Client zu deaktivieren.

Das Bild zeigt eine technische Benutzeroberfläche mit verschiedenen Konfigurationsoptionen wie rootenLcSlave, setSetupjCertificates, SCEPClient, und Statusanzeigen wie ScepOperatingno und VALUEMNo.

2. Löschen der Zertifikats-Dateien:

Wechseln Sie mit dem Befehl cd Status/File-System/Contents in das Datei-System und löschen mit dem Befehl del <Zertifikats-Datei> nacheinander die folgenden Dateien (z.B. del scep_cert_list).

scep_cert_list
scep_crl
scep_cert_serial
scep_ca_pkcs12_int
scep_ra_pkcs12_int
controller_pkcs12_int

Screenshot einer technischen Benutzeroberfläche mit Einträgen wie 'rootenzcslave', 'caStatusFileSystemContents', 'rootenLcSlaveStatusJFileSystemContents', und 'deiscepcertlist', möglicherweise zur Anzeige von Systemstatus oder Dateisystem-Inhalten.

3. Extensions für die CA setzen:

Geben Sie den folgenden Befehl ein, um die benötigten Extensions critical, Digital Signature, Non Repudiation, Certificate Sign, und CRL Sign für neue Zertifikate zu setzen:

set /Setup/Certificates/SCEP-CA/Sub-CA/Cert-Key-Usage "critical, Digital Signature, Non Repudiation, Certificate Sign, CRL Sign"

Der Befehl muss mitsamt der Anführungszeichen eingegeben werden.

Screenshot einer technischen Benutzeroberfläche mit Einstellungen für NLCSlaveStatus und Dateisysteminhalte, zusätzlich Menüoptionen zur Einrichtung von Zertifikaten mit kritischen Schlüsselverwendungen wie digitale Signatur, Nicht-Abstreitbarkeit, Zertifikatsignierung und CRL-Signierung.

4. Aktivieren des WLAN-Controllers und der Zertifikats-Funktionen:

4.1 Geben Sie den Befehl set /Setup/WLAN-Management/CAPWAP-Operating yes ein, um CAPWAP zu aktivieren.

Bildschirmansicht eines technischen Konfigurationsmenüs mit Abschnitten wie 'roouGNLCSlaveStatus', 'FileSystemContents', 'jperSetupfCertificavesScEPCAOperating' und weiteren unklar definierten Kategorien.

4.2 Geben Sie den Befehl set /Setup/Certificates/SCEP-CA/Operating yes ein, um die CA zu aktivieren.

LANCOM Support Knowledge Base DE > Troubleshooting Guide: Access Points mit LCOS LX können in einem WLC-Cluster keine Verbindung zum Slave aufbauen > 7.png (Screenshot einer technischen Benutzeroberfläche zur Anzeige des Systemstatus und der Konfiguration von Zertifikaten und SCEP-Client-Einstellungen, mit markierten Optionen Operating: Yes.)

4.3 Geben Sie den Befehl set /Setup/Certificates/SCEP-Client/Scep-Operating yes ein, um den SCEP-Client zu aktivieren.

Bild einer technischen Benutzeroberfläche mit Menüoptionen zur Verwaltung von WLAN-Einstellungen, einschließlich eines aktivierten CAPWAP-Status.

4.4 Die Zertifikate werden nun neu erstellt.

5. Kontrolle der neuen Zertifikate (optional):

Mit dem Befehl show scep capwap ca können Sie die CA einsehen. In dem Abschnitt X509v3 extensions müssen unter X509v3 Key Usage die in Schritt 3. gesetzten Extensions vorhanden sein.

Generischer Alt-Text für Bild

Vielen Dank für Ihr Feedback! Konstruktive Vorschläge zur Verbesserung unserer Knowledge Base oder Anregungen zu neuen Artikeln können Sie uns auch per E-Mail an knowledgebase@lancom.de senden.