Foro en Español

Reply
Occasional Contributor II
Posts: 16
Registered: ‎02-29-2016

como gestionar certificados para instant controller sin dns interno.

Hola

Tengo una instalación con varias sedes, en cada una de ellas hay un virtual controller y el ssid para guest usa un portal cautivo en clearpass.

Ni los virtual controller ni el clearpass está registrado en ningún servidor dns interno.

Para generar un certificado público para el portal cautivo es necesario un dominio publico.

Cuando pones este certificado firmado por una CA, en el dispositivo del cliente siempre le genera un error porque no coincide el nómbre del dispositivo con el nombre del dispositivo que hay en el certificado.

En este escenario, como debo realizar esto?, como genero los CN en el CSR?. Es necesario un DNS interno?

Por favor, necesitaría ayuda para solucionarlo.

 

Gracias

 

MVP
Posts: 4,238
Registered: ‎07-20-2011

Re: como gestionar certificados para instant controller sin dns interno.

Necesitas comprar un certificado de un CA público .

El nombre que utilizarás en el cert debe reflejar el DNS de ClearPass

Get Outlook for iOS
Thank you

Victor Fabian
Lead Mobility Engineer @ Integration Partners
AMFX | ACMX | ACDX | ACCX | CWAP | CWDP | CWNA
Occasional Contributor II
Posts: 16
Registered: ‎02-29-2016

Re: como gestionar certificados para instant controller sin dns interno.

Tengo todos los virtual controller y clearpass sin registrar en ningún dns.

Occasional Contributor II
Posts: 16
Registered: ‎02-29-2016

Re: como gestionar certificados para instant controller sin dns interno.

Occasional Contributor II
Posts: 16
Registered: ‎02-29-2016

Re: como gestionar certificados para instant controller sin dns interno.

Este es el escenario que tengo. NO hay ningún dns involucrado en la estructura.

Cuando genero un csr, el CN es sobre un dominio ficticio interno y la entidad certificadora CA necesita que el dominio sea publico y verificable.

Por lo tato como resuelvo el problema de generar certificados públicos para todos los dispositivos?

 

 

Aruba Employee
Posts: 92
Registered: ‎07-09-2015

Re: como gestionar certificados para instant controller sin dns interno.

Uuufff .... tienes una situación parecida a lo que tengo en mi maqueta.  Cuando securelogin.arubanetworks.com fue revocado, compré un par de certificados baratos (no wildcard) en GoDaddy ($5,99 cada uno ... ;) )  Uno para los IAP y controladoras y otro cert para CPPM.

 

Los certificados son públicos, por lo cual los tenía que validar contra dominios de dDNS público que utilizo.  En otras palabras la CN de los certs se resuleve a una IP pública.  Internamente, las controladoras, IAPs y CPPM no emplean la IP pública, por lo cual cuando un cliente intenta autenticarse, busca la CN pero sale a Internet (porque tiene DNS público configrado) y recibe la IP pública de los certs, que no corresponde al los IAPs, controladoras, CPPM internos.

 

De momento meto a mano las entradas para los dominios (CN) de los certificados en /etc/hosts de los clientes que voy a probar.  Estoy instalando dnsmasq en un Raspberry Pi que tengo para actuar como servidor DNS sencillo para las redes de la maqueta.

 

Saludos,

 

David

Occasional Contributor II
Posts: 16
Registered: ‎02-29-2016

Re: como gestionar certificados para instant controller sin dns interno.

Gracias David
Yo estaba haciendo lo mismo, pongo en el host la entrada.
Cualquier avance nos informamos para poder ver una solución

Gracias


[cid:image001.jpg@01D24B1B.7FEE4E90]
Luis Miguel Lafuente Herranz
Área Técnica
Tel. 902270002 Fax. 902270005
12 Centros Operativos en España, México y República Dominicana
luismiguel.lafuente@bcsistemas.com http://www.bcsistemas.com
Occasional Contributor II
Posts: 16
Registered: ‎02-29-2016

Re: como gestionar certificados para instant controller sin dns interno.

Hola David

A pesar de haber añadido en la entrada host del equipo cliente, tanto el clearpass como la controladora instant, sigue generandome error en el certificado.

Por otro lado, para no generar duda, necesitamos un certificado por cada instant controller? De no ser así, como generas el CN para el csr?. Si es el mismo en todas las instant controller de las diferentes sedes, no serviría con un dns central, ya que no podríamos tener el mismo nombre para todas las controladoras, se tendría que tener un dns por sede. es correcto este planteamiento?

 

Gracias

Super Contributor I
Posts: 290
Registered: ‎11-05-2012

Re: como gestionar certificados para instant controller sin dns interno.

Estimados la solución es la siguiente:

 

Controladores Aruba o Instant AP:

El certificado SSL de securelogin.arubanetworks.com ya ha sido revocado para ello necesitan adquirir un certificado SSL en cualquier entidad certificadora publica valida como: Verisign, Comodo, GeoTrust, etc. El nombre del certificado (FQDN) no es necesario que este registrado en los DNS ni publicos ni privados, pero el dominio si debe existir. Luego que te den el certificado generas un .crt (que esta compuesto por el certificado ssl + certificado CA + el .pkey) y lo importas al controlador fisico o virtual controler. Para el caso de IAP, de manera automatica el nombre secure.login.arubanetworks habrá sido reemplazado por el nombre FQDN de tu certificado. Si es controlador tiene que elegir el certificado importado en la opción de Management > General.

Nota: Si utilizas el portal cautivo en ClearPass, deberás modificar la url de securelogin.arubanetworks.com al nombre FQDN de tu certificado

 

ClearPass:

Si necesitan utilizar el portal cautivo de ClearPass con https, si es necesario adiquirir el certificado digital con una entidad publica valida e importarlo a ClearPass en formato .PEM. El nombre (FQDN) que elijas para el certificado deberá existir en los DNS, ya sea público o interno, lo cual depende de tu arquitectura (Si tu portal está publicado o no)

 

Espero haberme explicado bien

 

Saludos,

Aruba Employee
Posts: 92
Registered: ‎07-09-2015

Re: como gestionar certificados para instant controller sin dns interno.

¡Muy claro todo Eduardo!  

 

Solo para clarificar. Lo que no he expresado bien en mi post anterior es que en mi maqueta, he comprado certificados de los "más baratos".  Es decir, ni wildcards, ni nada.  Para mis dominios públicos, utilizo dDNS que, una vez más, es "de los baratos" (en otras palabras = gratis) y no permite sub-dominios, por lo cual cada certificado que compro tiene el CN = al FQDN.  Haciendolo así, ya te tienes la problemática de DNS y necesitas hacer "chapuzas" en el lab.

Search Airheads
Showing results for 
Search instead for 
Did you mean: