Der nachfolgende Abschnitt beschreibt die Einrichtung einer Sub-CA auf einem WLC. Die einzelnen Handlungsschritte gehen von einem zurückgesetzten Gerät aus, bei dem Sie die Standard-Inbetriebnahme durchgeführt und die korrekte Uhrzeit gesetzt haben.
-
Melden Sie sich via WEBconfig oder über die Konsole am Gerät an.
-
Wechseln Sie in das Menü und setzten Sie den Parameter Root-CA auf Nein.
-
Wechseln Sie in das Menü . Passen Sie hier die Namen für die Certificate Authority (CA) und die Registration Authority (RA) über die Parameter CA-Distinguished-Name und RA-Distinguished-Name an.
Beispiel: /CN=WLC-SUB CA/O=LANCOM SYSTEMS/C=DE
-
Wechseln Sie in das Menü und tragen Sie für den Parameter CADN den Distinguished Name der Root-CA ein.
Beispiel: /CN=WLC-MAIN CA/O=LANCOM SYSTEMS/C=DE
-
Tragen Sie für den Parameter Challenge-Pwd das Challenge-Passwort ein, das auf WLC-MAIN unter hinterlegt ist.
-
Hinterlegen im Parameter CA-Url-Adresse die URL (Adresse) zur Root-CA.
Stellt ein anderer WLC mit LCOS-Betriebssystem die Root-CA zur Verfügung, müssen Sie lediglich die IP-Adresse im Default-Wert durch jene Adresse austauschen, unter der das entsprechende Gerät zu erreichen ist. Beispiel: http://192.168.1.1/cgi-bin/pkiclient.exe.
-
Optional: Spezifizieren Sie die Ext-Key-Usage und Cert-Key-Usage, um die Funktionen der Sub-CA einzuschränken. Weitere Informationen hierzu finden Sie in der Menüreferenz.
-
Setzten Sie den Parameter Auto-generiert-Request auf ja, um die Sub-CA zu aktivieren..
-
Wechseln Sie in das Menü und setzten Sie den Parameter Aktiv auf ja, um den CA-Server mit SCEP zu aktivieren.
Damit haben Sie die Konfiguration der Sub-CA abgeschlossen. Mit dem Befehl show ca cert an der Kommendozeile lässt sich überprüfen, ob der WLC das Zertifikat korrekt erstellt hat. Die Hierarchie der Zertifikate muss hierbei sichtbar sein: Als erstes zeigt der WLC das Zertifikat der Root-CA an, dann das Zertifikat der Sub-CA.
