Foro en Español

Reply
Occasional Contributor II

Certificados para plataforma clearpass y controlador o IAP

Hola a toda la comunidad, el siguiente topico es para dar a conocer debido a la poca informacion que encontramos en relacion ala conversion e implementacion de los certificados de portal cautivo con clearpass o con cualquier tipo de portal cautivo que deseemos realizar con un AP Aruba, esto, debido a un problema en la plataforma de Aruba Network con respecto al certificado SSL nativo en todos sus productos llamado CN=SECURELOGIN.ARUBANETWORK.COM se deben reemplazar los certificados a los equipos de comunicación que deseen hacer por sus funciones una validación en alguna unidad certificadora pública. Esto, porque las unidades certificadoras han revocado definitivamente de sus plataformas dicho certificado. Para ello debemos adquirir los certificados necesarios para poner en marcha la plataforma de ClearPass con Cluster de IAP. Debemos seguir los siguientes pasos:

 

1. Se necesitan dos (02) certificados SSL públicos con sus respectivas PrivateKey (Dichos certificados deben ser validados contra el dominio público de la empresa).

 

• Un certificado para la plataforma Clearpass.
• Un certificado para los clusters IAP.


• En ClearPass Policy Manager
Se debe generar el código .csr en ClearPass:
en el browser http://(Ip de ClearPass)> ClearPass Policy Manager> Credenciales: user “admin” password “eTIPS123”> Administration> Certificate> Certificate Store> Create Certaficate Signing Request> Se deben llenar los datos principalmente “Common Name” “Organization” “Location” “State” “Country” “Pkey Password” “Verify PKey Password” la Pkey y su verificación deben ser guardadas y entregadas para posteriormente cargar el certificado y la conversión de .P12 a .PEM realizada por el equipo de instalación de la plataforma. Esta conversión ser realiza vía open SSL.


Este .CSR que emite ClearPass debe ser entregado al proveedor de certificados para la creación del certificado SSL perteneciente al ClearPass.


Si se hace usando el Google Chrome debe estar atento, porque cuando descargues el .csr te saldrá una barrita diciendo que hay 2 archivos para descargar. Dale a permitir para descargar la clave privada y guardar los dos archivos.


El proveedor de certificados emite un código de validación y lo envía automáticamente al correo electrónico. Cuando se realiza la validación de los certificados, el proveedor solicita agregar el código que envió al correo en los DNS del hosting. Después de agregar el código en los DNS del hosting, cuando este realice la actualización debes entrar a un link enviado al email por el proveedor donde estos validaran el dominio DNS externo y permitirá la descarga del certificado requerido. Al momento de descargar los certificados, se debe escoger la opción “otros”.


Nota: Los nombres de los certificados deben ser iguales o parecidos a el nombre que se determina con la implementación que se esta realizando. Ej, si se esta realizando en este caso una instalación de ClearPass debe ser un FQDN cppm.midominio.com ,siendo, midominio.com el dominio de la empresa.

 

• Para Cluster IAP
Se debe crear un .CSR distinto al de ClearPass en cualquier página de generación de .CSR como https://decoder.link/csr_generator y https://www.dondominio.com/productos/ssl/tools/csr-create estos generan dos archivos que se deben copiar en un .txt que son el .csr y pkey. Este .CSR que emite estos generadores debe ser entregado al proveedor de certificados SSL para la creación del certificado SSL perteneciente al Cluster de IAP.


Si se hace usando el Chrome debe estar atento, porque cuando descargues el .csr te saldrá una barrita diciendo que hay 2 archivos para descargar. Dale a permitir para descargar la clave privada y guardar los dos archivos.


El proveedor de certificados emite un código de validación y lo envía automáticamente al correo electrónico. Cuando se realiza la validación de los certificados el proveedor solicita agregar el código que envió al correo en los DNS del hosting. Después de agregar el código en los DNS del hosting, cuando este realice la actualización debes entrar a un link enviado al email por el proveedor donde estos validaran el dominio DNS externo y permitirá la descarga del certificado requerido. Al momento de descargar los certificados, se debe escoger la opción “otros”.


La Pkey que emiten los generadores de .CSR deben ser guardadas y entregadas al departamento encargado de la instalación del producto, ya que, esta se va a intercambiar vía OpenSSL con el Certificado emitido por el proveedor de certificados SSL.

 

Nota: Los nombres de los certificados deben ser iguales o parecidos a el nombre que se determina con la implementación que se esta realizando. Ej, si se esta realizando en este caso una instalación de ClearPass con IAP debe ser un FQDN ClusterIAP.midominio.com ,siendo, midominio.com el dominio de la empresa.

 

2. Se deben crear dos (02) Un registro A o de direcciones (también conocido como un registro de host), el cual enlaza un dominio con la dirección IP física de un ordenador que aloja los servicios de ese dominio. Dicho registro debe ser creado en los Dns externos de la empresa con los nombres de los subdominios creados.

 

Una vez obtenido los certificados, para la generacion de los certificados .PEM para los IAP Y Clearpass debemos crear una carpeta en Linux que contenga los certificados emitidos por nuestro proveedor de certificados SSL (miempresa.com.crt y miempresa.com.key)

 

* mypc@L460:~$ ls (con esto nos va a mostrar las carpetas que estan ubicadas donde esta instalado nuestro servidor lunux)


* Se crea una carpeta con el comando mkdir con el nombre que ustedes mejor le parezca y colocamos los certificados que nos provee el generador de certificados SSL (.crt y .pem)


* entramos al root con el comando sudo su.


* root@L406/home/user# cd carpeta creada en el paso numero 2


* root@L460/home/user/mi carpeta# openssl pkcs12 -export -in miempresa.com.crt - inkey miempresa.com.key - out miempresa.com.p12 (con este comando se va a generar un certificado .p12 dentro de la carpeta creada para los certificados)


* root@L460/home/user/mi carpeta# openssl pkcs12 -in miempresa.com.p12 -nodes -pot miempresa.com.pem (finalmente con este comando generamos el certificado .PEM necesario para nuestros dispositivos ARUBA Networks)

 

Ya solo queda buscar en nuestra carpeta creada el certificado .PEM y subirlo a nuestro IAP o Ariwave y asignarle los grupos de dispositivos que van a utilizar este certificado.

 

Espero que este post sea de gran ayuda para aquellos que todavia esten buscando informacion con respecto a esto.

 

Search Airheads
cancel
Showing results for 
Search instead for 
Did you mean: