إنشاء CSR وتطبيق الشهادات على CMS

تم التحديث:٢٤ أبريل ٢٠٢٣
معرّف المستند:214618

لغة خالية من التحيز

تسعى مجموعة الوثائق لهذا المنتج جاهدة لاستخدام لغة خالية من التحيز. لأغراض مجموعة الوثائق هذه، يتم تعريف "خالية من التحيز" على أنها لغة لا تعني التمييز على أساس العمر، والإعاقة، والجنس، والهوية العرقية، والهوية الإثنية، والتوجه الجنسي، والحالة الاجتماعية والاقتصادية، والتمييز متعدد الجوانب. قد تكون الاستثناءات موجودة في الوثائق بسبب اللغة التي يتم تشفيرها بشكل ثابت في واجهات المستخدم الخاصة ببرنامج المنتج، أو اللغة المستخدمة بناءً على وثائق RFP، أو اللغة التي يستخدمها منتج الجهة الخارجية المُشار إليه. تعرّف على المزيد حول كيفية استخدام Cisco للغة الشاملة.

حول هذه الترجمة

ترجمت Cisco هذا المستند باستخدام مجموعة من التقنيات الآلية والبشرية لتقديم محتوى دعم للمستخدمين في جميع أنحاء العالم بلغتهم الخاصة. يُرجى ملاحظة أن أفضل ترجمة آلية لن تكون دقيقة كما هو الحال مع الترجمة الاحترافية التي يقدمها مترجم محترف. تخلي Cisco Systems مسئوليتها عن دقة هذه الترجمات وتُوصي بالرجوع دائمًا إلى المستند الإنجليزي الأصلي (الرابط متوفر).

    المقدمة

    يوضح هذا المستند كيفية إنشاء طلب توقيع الشهادة (CSR) وتحميل الشهادات الموقعة إلى خادم الاجتماعات (CMS) من Cisco.

    المتطلبات الأساسية

    المتطلبات

    توصي Cisco بأن تكون لديك معرفة بالمواضيع التالية:

    • معرفة أساسية بخادم CMS

    المكونات المستخدمة

    تستند المعلومات الواردة في هذا المستند إلى إصدارات البرامج والمكونات المادية التالية:

    • برامج PuTTY أو برامج مشابهة
    • CMS 2.9 أو إصدار أحدث

    تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك قيد التشغيل، فتأكد من فهمك للتأثير المحتمل لأي أمر.

    إنشاء CSR

    هناك طريقتان يمكنك بهما إنشاء CSR، أولاهما هي إنشاء CSR مباشرة على خادم CMS من واجهة سطر الأوامر (CLI) مع وصول المسؤول، وثانيهما هو القيام بذلك باستخدام مرجع شهادة الطرف الثالث الخارجي (CA) مثل Open SSL.

    في كلتا الحالتين، يجب إنشاء CSR باستخدام الصياغة الصحيحة لخدمات CMS لكي تعمل بشكل صحيح.

    الخطوة 1. بنية بناء الجملة.

    pki csr <key/cert basename> <CN:value> [OU:<value>] [O:<value>] [ST:<-value>] [C:<value>] [subjectAltName:<value>]
    • <key/cert basename> هي سلسلة تعرف المفتاح الجديد واسم CSR. يمكن أن يحتوي على أبجدية رقمية، واصلة أو أحرف سفلية. هذا حقل إلزامي.
    • <cn:value> هو الاسم الشائع. هذا هو اسم المجال المؤهل بالكامل (FQDN) الذي يحدد موقع الخادم بالضبط في نظام اسم المجال (DNS). هذا حقل إلزامي.
    • [OU:<value>] هو اسم الوحدة التنظيمية أو الإدارة. على سبيل المثال، الدعم، تقنية المعلومات، الهندسة، الشؤون المالية. هذا حقل إختياري.
    • [س:<value>] هو اسم المؤسسة أو الشركة. وعادة ما يكون الاسم المدرج قانونيا للشركة. هذا حقل إختياري.
    • [st:<value>] هي المحافظة أو المنطقة أو المقاطعة أو الولاية. على سبيل المثال، باكينجهامشير كاليفورنيا. هذا حقل إختياري.
    • [C:<value>] هو البلد. كود المنظمة الدولية للمواصفات (ISO) المكون من حرفين الخاص بالبلد الذي تقع فيه مؤسستك. على سبيل المثال: الولايات المتحدة، GB، FR. هذا حقل إختياري.
    • [subjectAltName:<value>] هو الموضوع الاسم البديل (SAN). من الإصدار 3 من X509 (RFC 2459)، يسمح لشهادات طبقات مأخذ التوصيل الآمنة (SSL) بتحديد أسماء متعددة يجب أن تتطابق مع الشهادة. يمكن هذا الحقل الشهادة التي تم إنشاؤها من تغطية مجالات متعددة. ويمكن أن يحتوي على عناوين IP وأسماء المجالات وعناوين البريد الإلكتروني وأسماء بيوت DNS العادية وما إلى ذلك مفصولة بفواصل. إن يعين هو، أنت ينبغي أيضا تضمنت ال CN في هذا قائمة. على الرغم من أن هذا الحقل إختياري، إلا أنه يجب إكمال حقل شبكة التخزين (SAN) حتى يتمكن عملاء بروتوكول التواجد والمراسلة الممتدة (XMPP) من قبول شهادة، وإلا فإن عملاء XMPP يقومون بعرض خطأ في الشهادة.

    الخطوة 2. قم بإنشاء CallBridge و xmpp و webAdmin و webbridge csr.

    1. قم بالوصول إلى CMS CLI باستخدام PuTTY وسجل الدخول باستخدام حساب المسؤول.
    2. قم بتشغيل الأوامر التالية لإنشاء CSR لكل خدمة مطلوبة على CMS. من المقبول أيضا إنشاء وحدة واحدة تحتوي على بطاقة مجردة (*.com) أو تتضمن FQDN لنظام المجموعة على هيئة CN، FQDN لكل خادم CMS، والانضمام إلى URL إذا لزم الأمر.
    الخدمة

    كوماند
    WebAdmin

    pki csr CN:

    ويببريدج

    pki csr CN: subjectAltName: ,

    كالبردج

    إنعطافا

    موازن التحميل

    pki csr CN:  

    1. في حالة تجميع CMS، قم بتشغيل الأوامر التالية.
    الخدمة

    كالبردج

    إنعطافا

    موازن التحميل

    pki csr CN: subjectAltName:

    XMPP

    pki csr CN: subjectAltName: ,

    الخطوة 3. قم بإنشاء CSR الخاص بمجموعة قواعد البيانات واستخدم CA المضمن لتوقيعها.

    منذ CMS 2.7، مطلوب أن يكون لديك شهادات لمجموعة قواعد البيانات.  في 2.7، أضفنا المرجع المصدق المضمن الذي يمكن إستخدامه لتوقيع شهادات قاعدة البيانات.

    1. في جميع النوى، شغل  database cluster remove .
    2. على الأساسي، شغل  pki selfsigned dbca CN . مثال:  Pki selfsigned dbca CN:tplab.local
    3. على الأساسي، شغل  pki csr dbserver CN:cmscore1.example.com subjectAltName .  مثال:  cmscore2.example.com,cmscore3.example.com
    4. في الأساسي، قم بإنشاء شهادة لعميل قاعدة البيانات pki csr dbclient CN:postgres .
    5. في الأساسي، أستخدم dbca لتوقيع شهادة خادم البيانات  pki sign dbserver dbca  .
    6. في الأساسي، أستخدم dbca لتوقيع شهادة عميل البيانات pki sign dbclient dbca .
    7. انسخ dbclient.crt إلى جميع الخوادم التي تحتاج إلى الاتصال بعقدة قاعدة بيانات
    8. انسخ ملف dbserver.crt إلى كافة الخوادم المرتبطة بقاعدة البيانات (العقد التي تشكل مجموعة قواعد البيانات)
    9. انسخ ملف dbca.crt إلى كافة الخوادم.
    10. على خادم DB الأساسي، قم بتشغيل  database cluster certs dbserver.key dbserver.crt dbclient.key dbclient.crt dbca.crt .  هذا يستخدم dbca.crt  ك root ca-cert .
    11. على خادم DB الأساسي، قم بتشغيل  database cluster localnode a .
    12. على خادم DB الأساسي، قم بتشغيل  database cluster initialize .
    13. على خادم DB الأساسي، قم بتشغيل  database cluster status .  يجب مشاهدة العقد: (me): الأساسية المتصلة.
    14. على كافة النوى الأخرى المرتبطة بمجموعة قاعدة البيانات، قم بتشغيل  database cluster certs dbserver.key dbserver.crt dbclient.key dbclient.crt dbca.crt .
    15. في كافة المراكز المتصلة (غير المتصلة بموقع مشترك مع قاعدة بيانات) بمجموعة قاعدة البيانات، قم بتشغيل database cluster certs dbclient.key cbclient.crt dbca.crt .
    16. في المراكز المرتبطة (مشتركة في الموقع مع قاعدة بيانات):
      • التشغيل  database cluster localnode a .
      • التشغيل  database cluster join .
    17. على النوى المتصلة (غير الموجودة في موقع مشترك مع قاعدة بيانات):
      • ru n database cluster localnode a .
      • التشغيل  database cluster connect .

    الخطوة 4. تحقق من الشهادات الموقعة.

    • يمكن التحقق من صلاحية الشهادة (تاريخ انتهاء الصلاحية) من خلال فحص الشهادة، قم بتشغيل الأمر  pki inspect  .
    • يمكنك التحقق من مطابقة الشهادة لمفتاح خاص، قم بتشغيل الأمر  pki match  .
    • للتحقق من أن الشهادة موقعة من قبل CA وأنه يمكن إستخدام حزمة الشهادة لتأكيدها، قم بتشغيل الأمر  pki verify  .

    الخطوة 5. تطبيق الشهادات الموقعة على مكونات على خوادم CMS.

    1. لتطبيق الشهادات على WebAdmin، قم بتشغيل الأوامر التالية:
    webadmin disable
webadmin certs <keyfile> <certificate file> <certificate bundle/Root CA>
webadmin enable
    1. لتطبيق الشهادات على CallBridge، قم بتشغيل الأوامر التالية:
    callbridge certs <keyfile> <certificate file> <certificate bundle/Root CA>
callbridge restart
    1. لتطبيق الشهادات على WebBridge، قم بتشغيل الأوامر التالية: 
    webbridge disable
webbridge certs <keyfile> <certificate file> <certificate bundle/Root CA>
webbridge enable
    1. لتطبيق الشهادات على XMPP، قم بتشغيل الأوامر التالية:
    xmpp disable
xmpp certs <keyfile> <certificate file> <certificate bundle/Root CA>
xmpp enable
    1. لتطبيق الشهادات على قاعدة البيانات أو إستبدال الشهادات منتهية الصلاحية على مجموعة DB الحالية، قم بتشغيل الأوامر التالية: 
    database cluster remove (on all servers, noting who was primary before beginning)
database cluster certs <server_key> <server_certificate> <client_key> <client_certificate> <Root ca_crt>
    database cluster initialize     (only on primary node)
    database cluster join <FQDN or IP of primary>    (only on slave node)
    database cluster connect <FQDN or IP of primary> (only on nodes that are not part of the database cluster)

    1. لتطبيق الشهادات على TURN، قم بتشغيل الأوامر التالية:
    turn disable
turn certs <keyfile> <certificate file> <certificate bundle/Root CA>
turn enable

    سلاسل أوراق الاعتماد الخاصة بالشهادات ومجموعات

    بما أن CMS 3.0، يطلب منك إستخدام سلاسل ائتمان الشهادات أو صناديق ائتمان السلسلة الكاملة.  كما أنه من المهم لأية خدمة أن تعرف كيفية بناء الوحدات عندما تقوم بعمل الحزم.

    عندما تقوم ببناء سلسلة ترخيص تراكمية، كما هو مطلوب ل Web Bridge 3، يجب عليك بناءها كما هو موضح في الصورة، مع شهادة كيان في الأعلى، ووسيط في المنتصف، وموصل CA الجذر في القاع، ثم إرجاع عربة واحدة.

    Full Chain

    في أي وقت تقوم فيه بإنشاء حزمة، يجب أن يكون للشهادة إرجاع عملية نقل واحدة فقط في النهاية.

    تكون حزم CA هي نفسها كما هو موضح في الصورة، فقط، بطبيعة الحال، لن يكون هناك أي شهادة كيان.

    استكشاف الأخطاء وإصلاحها

    إذا كنت بحاجة لاستبدال شهادة منتهية الصلاحية لجميع الخدمات، باستثناء شهادات قاعدة البيانات، فإن أسهل طريقة هي تحميل الشهادات الجديدة بنفس اسم الشهادات القديمة. إذا قمت بذلك، فستحتاج الخدمة إلى إعادة التشغيل فقط ولن تحتاج إلى إعادة تكوين الخدمة.  

    إذا قمت بأداء  pki csr ...   ويطابق اسم الوحدة هذا المفتاح الحالي، فيكسر الخدمة على الفور.  إذا كان الإنتاج حيا، وقمت بإنشاء CSR ومفتاح جديدين بشكل استباقي، فاستخدم اسما جديدا.  يمكنك إعادة تسمية الاسم النشط حاليا قبل تحميل المكون الجديد إلى الخوادم.

    إذا انتهت صلاحية شهادات قاعدة البيانات، يجب التحقق من ذلك database cluster status  من هي قاعدة البيانات الأساسية، وعلى كل العقد، قم بتشغيل الأمر  database cluster remove .  ثم يمكنك إستخدام الإرشادات من الخطوة 3. قم بإنشاء CSR الخاص بمجموعة قواعد البيانات واستخدم CA المضمن لتوقيعها.

    note-icon

    ملاحظة: في حالة الحاجة إلى تجديد شهادات مدير الاجتماعات (CMM) من Cisco، يرجى الرجوع إلى الفيديو التالي: تحديث شهادة SSL لإدارة الاجتماعات من Cisco

    معلومات ذات صلة

    محفوظات المراجعة

    المراجعة تاريخ النشر التعليقات
    2.0
    24-Apr-2023
    إعادة الاعتماد.
    1.0
    06-Oct-2021
    الإصدار الأولي
    TAC Authored

    تمت المساهمة بواسطة مهندسو Cisco

    • Seeta Rama Raju K
      Cisco TAC Engineer
    • Sateesh Katukam
      Cisco TAC Engineer

    هل كان هذا المستند مفيدًا؟

    Feedbackالتعليقات

    اتصل بنا