了解证书信息，为9800 WLC创建链

简介

本文档介绍如何利用知名在线工具及其解释对证书进行解码，以便在9800 WLC中创建证书链。

先决条件

要求

Cisco 建议您具有以下主题的基础知识：

• 思科Catalyst 9800无线LAN控制器(WLC)
• 数字证书、证书签名请求(CSR)概念。
• OpenSSL软件。

使用的组件

本文档中的信息基于以下软件和硬件版本：

• 1.1.1w版本的OpenSSL软件
• Windows计算机

本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始（默认）配置。如果您的网络处于活动状态，请确保您了解所有命令的潜在影响。

CSR 生成

CSR可以在控制器中生成，也可以使用OpenSSL生成。 

要在9800 WLC中生成CSR，请导航到配置>安全> PKI管理>添加证书>生成证书签名请求。

生成证书签名请求时，需要提供私钥、公用名(CN)、国家/地区代码、状态、位置、组织和组织单位等信息。

WLC中的CSR生成

在解码中显示请求中填写的所有CSR信息。

OpenSSL软件是证书解码时的单一数据源。它显示所有相关信息。

要对安装了OpenSSL的Windows或MacBook计算机中的证书进行解码，请以管理员身份打开命令提示符，然后运行命令openssl x509 -in <certificate.crt> -text -noout。输出显示为控制台信息。

还有其他一些在线工具可以解码证书，这些证书以更加用户友好的方式显示输出，例如CertLogik和SSL Shopper，本文档中未介绍这些工具。

请注意，它们使用前面提到的同一OpenSSL命令来解码证书。

第三方证书

将CSR发送到证书颁发机构(CA)进行签名并返回。下载所有证书链，以便可以将其上传到WLC。

要了解证书链，可以对CA接收的所有文件进行解码。确保它们是Base64格式。

您可以从CA接收多个文件。这取决于中间CA文件的数量。

要识别每个文件，您需要将其解码。

对签名证书进行解码时，将添加颁发者部分。这是指签署证书的CA。

如果您解码未签名的CSR文件，则Issuer部分不存在，因为它尚未签名。

下面是多级授权或链接证书方案的示例：

• 根 CA
• 中间CA证书
• 设备证书

解码的根CA

对于根CA，因为它是链的最高权限，所以Issuer和Subject必须相同。

解码的根CA

解码的中间CA

对于中间CA，因为它由根CA签署，所以Issuer必须与根CA CN匹配。

解码的中间CA

解码的设备证书

对于设备证书，由于它是由中间CA签署，因此Issuer必须与中间CA CN匹配

解码的设备证书

在使用1个以上中间CA的场景中，请使用相同的解码过程。

一旦确定链式顺序，即可将其上传到控制器。

9800 WLC需要整个链按正确的顺序运行，以便证书可以正常运行。

有关将证书上传到控制器的后续步骤，请参阅在Catalyst 9800 WLC上生成和下载CSR证书。

请确保在继续之前了解解码过程。如果是，需要完成后续步骤才能在9800 WLC中上传Web身份验证、Web管理员或管理证书。