ArubaのWLCは、デフォルトでは内蔵の証明書を利用している(例:管理画面)。

 しかし、その証明書をそのまま使うのは、セキュリティ的には望ましくない。内蔵の証明書は、ARUBA製品のファームウェアに埋め込まれており、出荷されている製品はすべて同一のものを利用しているからだ。接続したときに、自社管理ののARUBA製品なのか、他者管理のARUBA製品なのか見分けがつかなくなってしまう。

 もちろん、ARUBA製品には自社の証明書を設定することができる。ここでは簡単にその手順について説明する。

①証明書要求ファイル(CSR)を作成する。

Configration>Management>Certificates>CSR で、情報を入力する。
鍵長は2048にしておこう。
002
















「Generate New」をクリックするとCSRを作成する。「CSR is Successfully generated」が表示されたらOK。
003





「View Current」をクリックして表示される文字列をコピーする。
004


















コピーする箇所は、「-----BEGIN CERTIFICATE REQUEST-----」から「-----END CERTIFICATE REQUEST-----」までである。

コピーした内容を、テキストファイルに保存する。ファイル名は「wlc_csr.pem」としておく。

②OpenSSLで、CSRを元に証明書を作成

OpenSSLによるCAの構築が事前に終わっていることが条件。

OpenSSLの設定を一時的に変更する。デフォルト設定ではcountryName,stateOrProvinceName,organizationNamの3つが一致していないと証明書が発行できないのだが、なぜかARUBAで作成したCSRの場合、きちんと合わせていても下記のようなエラーが発生してしまうからだ。
-------------------------------------------------------------------------------------------
The stateOrProvinceName field needed to be the same in the
CA certificate (Japan) and the request (Japan)
-------------------------------------------------------------------------------------------

作業手順は下記のとおり。
# cp /etc/pki/tls/openssl.cnf /etc/pki/tls/openssl.cnf.org  ・・・設定ファイルのバックアップ

変更箇所([policy_match]セクション85行目~87行目)

     85 countryName             = match
     86 stateOrProvinceName     = match
     87 organizationName        = match
    ↓
     85 countryName             = supplied
     86 stateOrProvinceName     = supplied
     87 organizationName        = supplied

#  openssl ca -in wlc_csr.pem -keyfile /etc/pki/CA/private/cakey.pem -cert /etc/pki/CA/cacert.pem -out wlc_cert.pem ・・・証明書の作成
Using configuration from /etc/pki/tls/openssl.cnf
Enter pass phrase for /etc/pki/CA/private/cakey.pem: ・・・CA秘密鍵のパスフレーズを入力
Check that the request matches the signature
Signature ok
Certificate Details:
        Serial Number:
            bb:09:ba:**:7c:5f:82:**
        Validity
            Not Before: Dec  9 02:08:52 2012 GMT
            Not After : Dec  9 02:08:52 2013 GMT
        Subject:
            countryName               = jp
            stateOrProvinceName       = Japan
            organizationName          = viva-musen
            organizationalUnitName    = ou
            commonName                = wlc.viva-musen.net
            emailAddress              = dummy@viva-musen.net
        X509v3 extensions:
            X509v3 Basic Constraints:
                CA:FALSE
            Netscape Comment:
                OpenSSL Generated Certificate
            X509v3 Subject Key Identifier:
                19:58:E6:A6:55:04:5F:BF:**:EF:63:58:F6:E0:24:5A:**:92:D0:**
            X509v3 Authority Key Identifier:
                keyid:7D:75:1A:61:C0:7D:57:**:6F:9D:45:27:2A:5D:C3:**:0D:06:E0:**

Certificate is to be certified until Dec  9 02:08:52 2013 GMT (365 days)
Sign the certificate? [y/n]:y


1 out of 1 certificate requests certified, commit? [y/n]y
Write out database with 1 new entries
Data Base Updated
#

wlc_cert.pemファイルができていることを確認する。

ファイルの確認が終わったら、OpenSSLの設定を戻しておこう。
# cp /etc/pki/tls/openssl.cnf.org /etc/pki/tls/openssl.cnf

③WLCへのアップロード
Configration>Management>Certificate>Upload画面から証明書(wlc_cert.pem)をアップロードする。
005














アップロードした証明書がCertificate ListにあればOKだ。
006






④アップロードした証明書を設定
アップロードしたサーバ証明書は、管理画面のアクセスと、キャプティブポータル(WEB認証)で利用できる。
Configration>Management>generalで、アップロードした証明書を設定する。

007