Jetzt haben wir ein Benutzerzertifikat auf unserem Windows 7-Computer. Wir exportieren dieses Benutzerzertifikat und importieren es auf unser Android-Gerät. Eine Zertifikatkette ist eine Abfolge von Zertifikaten, bei der jedes Zertifikat in der Kette durch das nachfolgende Zertifikat signiert wird. Der Zweck einer Zertifikatkette besteht darin, eine Vertrauenskette von einem Peerzertifikat zu einem vertrauenswürdigen Zertifizierungsstellenzertifikat einzurichten. Die Zertifizierungsstelle garantiert die Identität im Peerzertifikat, wenn sie sie signiert. Wenn es sich bei der Zertifizierungsstelle um eine Zertifizierungsstelle handelt, der Durch das Vorhandensein einer Kopie des Zertifizierungsstellenzertifikats in Ihrem Stammzertifikatverzeichnis angezeigt wird, bedeutet dies, dass Sie auch dem signierten Peerzertifikat vertrauen können. Der Zertifikats-Manager wird gestartet. Klicken Sie auf Personal > Zertifikate und Sie sehen das Benutzerzertifikat, das wir für den Android-Nutzer generiert haben. Hinweis: In WLC Version 7.6 und höher werden nur verkettete Zertifikate unterstützt (und daher erforderlich) 6. Kombinieren Sie die Zertifikatskette (in diesem Beispiel heißt sie “All-certs.pem”) mit dem privaten Schlüssel, den Sie zusammen mit dem CSR generiert haben (der private Schlüssel des Gerätezertifikats, der in diesem Beispiel mykey.pem ist), wenn Sie mit Option A (d. h. OpenSSL zum Generieren des CSR) gegangen sind, und speichern Sie die Datei als final.pem.

Wenn Sie den CSR direkt aus dem WLC (Option B) generiert haben, können Sie diesen Schritt überspringen. Geben Sie diese Befehle in der OpenSSL-Anwendung aus, um die Dateien All-certs.pem und final.pem zu erstellen: Unser Android-Gerät benötigt das Benutzerzertifikat, das wir gerade generiert haben, aber auch das Stammzertifizierungsstellenzertifikat, falls Sie Ihre eigene Zertifizierungsstelle ausführen. Ich werde meinen Windows 7-Computer verwenden, um beide Zertifikate zu exportieren. Wir beginnen mit dem Benutzerzertifikat… Ihr Webbrowser wird Sie warnen, dass Sie im Begriff sind, ein Zertifikat anzufordern, klicken Sie einfach auf Ja, um fortzufahren. Wenn Sie dieses Zertifikat bei der Verwendung des WLAN von MAC nicht installiert haben, können Sie möglicherweise nicht auf bestimmte Websites wie Google, Yahoo und Wikipedia zugreifen. Das Zertifikat wurde jetzt erfolgreich auf Ihr Android-Gerät heruntergeladen. Sie können es jetzt als Authentifizierungsfaktor für die Verbindung mit VPN-Clients, WI-Fi, E-Mail und anderen Unternehmens-Apps sowie zum digitalen Signieren und Verschlüsseln von E-Mails (S/MIME) verwenden.

Zertifikate unterliegen der Hotspot 2.0 Online-Anmeldezertifikatsrichtlinie. Ein OSU-Serverzertifikat sollte von einer der von der Wi-Fi Alliance autorisierten Zertifizierungsstellen bezogen werden, wie unten aufgeführt. Klicken Sie mit der rechten Maustaste auf die erste Instanz von “Certificate (stuff)” und wählen Sie “Ausgewählte Paketbytes exportieren”. Wireshark speichert es als Datei im binären DER-Format. Wiederholen Sie diesen Vorgang für alle anderen Zertifikate. Der oberste (RADIUS-Server) enthält Informationen, die Sie in altsubject_match konfigurieren können. die letzte (Root CA) sollte wpa_supplicant als ca_cert gegeben werden. Wie im WLC HA SSO-Bereitstellungshandbuch erläutert, werden Zertifikate in einem HA-SSO-Szenario nicht vom primären auf den sekundären Controller repliziert. Dies bedeutet, dass Sie alle Zertifikate in die sekundäre importieren müssen, bevor Sie das HA-Paar bilden. Eine weitere Einschränkung besteht darin, dass dies nicht funktioniert, wenn Sie den CSR (und daher den Schlüssel lokal) auf dem primären WLC generiert haben, da dieser Schlüssel nicht exportiert werden kann. Die einzige Möglichkeit besteht darin, den CSR für den primären WLC mit OpenSSL zu generieren (und daher den Schlüssel an das Zertifikat angehängt zu haben) und diese Zertifikats-/Schlüsselkombination auf beide WLCs zu importieren. Es gibt zwei Hauptteile zum Herunterladen und Installieren eines Zertifikats auf einem Android-Gerät – das Herunterladen der DATEI PKCS-12 oder .pfx auf das Android-Gerät und das Hinzufügen in den “Credential Store” des Geräts.

Wir führen Sie jetzt durch die Schritte, die in jedem Teil involviert sind. Lassen Sie uns ins Rollen kommen! Stellen Sie sicher, dass Sie beide Zertifikate importieren. Sie können überprüfen, ob Ihr Android-Gerät die Zertifikate erkennt. Wählen Sie Vertrauenswürdige Anmeldeinformationen aus, wenn Sie einen Blick darauf werfen möchten. Die meisten Android-Geräte importieren nur Zertifikate von einer SD-Karte (intern oder extern). Ich verwende ein Samsung Galaxy S3 mit Android 4.x, aber das Importieren der Zertifikate sollte auf anderen Android 4.x-Geräten ähnlich sein. Der WLC unterstützt keine verketteten Zertifikate mit einer Größe von mehr als 10 KB auf dem WLC.