netadminpro.pl

Importuję ceryfikat urzędu, robiłem to wielokrotnie i siedzę zadowolony, bo proces jest mi doskonale znany. Wystarczy zrobić te kilka kroków, nagrać i gotowe. 😀 

I jak to zwykle bywa nie działa 😡. To już staje się regułą, że prawie zawsze jakieś zaskakujące trudności się pojawiają.   

Tym razem import urzędu jest mi potrzebny, do zestawienia klastra Clearpass'ów. Żeby sobie ułatwić wybrałem publiczny urząd certyfikacji, taki bezpłatny, wystawiłem CSR'a i cały zestaw certyfikatów ściągnąłem na swój komputer. 

Niestety okazuje się, że w certyfikacie urzędu, a mam ich 3 w łańcuchu zaufanych urzędów, jest nieprawidłowy identyfikator użycia. Krótko mówiąc Clearpass'owi nie zgadzają się parametry i nie ufa zaimportowanym urzędom.   

Zastanawiam się jaką najszybszą ścieżkę obrać, przychodzą mi 2 opcje do wyboru:  

1. Drążyć temat co takiego jest w certyfikacie urzędu, że nie przechodzi walidacji 

2. Zmienić podejście i wybrac inny urząd do tworzenia certyfikatu.  

Po dłuższym namyśle 🤔 wybieram opcje 2. Mam poczucie że na urząd publiczny i ewentualne zmiany mam nikły wpływ, więc może się okazać po kilku godzinach dumania, że i tak nie da się na tym certyfikacie uruchomić klastra.  

Szukam jak najszybciej wygenerować sobie urząd i certyfikat 🤓, już mam zainstalowany urząd do dostępu zdalnego w oparciu o Easy-RSA na Ubuntu. Szybko więc generuję nowe certyfikaty, importuję klucze i ... nie działa 😞  

W tym pomyśle jest jeszcze jeden problem, w generowanym certyfikacie potrzebuję wpisać dane w rozszerzenie SAN certyficatu. Tam wpisuję dodatkowe dane dla adresów IP, oraz dodatkowych nazw domenowych. Niestety Easy-RSA nie daje mi takich możliwości, przynajmniej nie w sposób łatwy. 🥵 To już wiem, że ten sposób też się nie sprawdzi. Po dłuższym poczytaniu widzę, że ten pakiet Easy-RSA jest w zasadzie używany tylko pod OpenVPN'a.  

Robię sobie 15 min. przerwy i dumam co z tym dalej zrobić? Natrafiam na inną możliwość szybkie wygenerowanie urzędu CA w oparciu o OpenSSL. Kolejne 10 min i już mam ściągnięte wszystkie certyfikaty na komputer. Teraz tylko zaimportować i trzymać kciuki żeby tym razem zadziałało.   

Importuję wszystko bez żadnych błędów 💪, teraz dopiero mogę rozpocząć właściwą pracę nad odcinkiem.  

Jeżeli preferujesz wersję odcinka do czytania lub słuchania to stworzyłem taki artykuł oraz podcast dostępny na moim blogu: 

https://netadminpro.pl/  

3 kroki budowania klastra Clearpass'ów: 

👉 Import Certyfikatu Zaufanego Urzędu 

👉 Import Certyfikatu Serwera HTTPS 

👉 Połączenie Clearpass Subscriber  

Chcesz więcej informacji?  

Dołącz do naszej strony fanów na Facebook:  

https://www.facebook.com/Netadminpropl-111335100473269/  

#netadminpro_pl #arubanetworks #clearpass #vrf #klaster

--- Send in a voice message: https://anchor.fm/netadminpro/message