المقدمة
يوضح هذا المستند كيفية إنشاء طلب توقيع الشهادة (CSR) وتحميل الشهادات الموقعة إلى خادم الاجتماعات (CMS) من Cisco.
المتطلبات الأساسية
المتطلبات
توصي Cisco بأن تكون لديك معرفة بالمواضيع التالية:
المكونات المستخدمة
تستند المعلومات الواردة في هذا المستند إلى إصدارات البرامج والمكونات المادية التالية:
- برامج PuTTY أو برامج مشابهة
- CMS 2.9 أو إصدار أحدث
تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك قيد التشغيل، فتأكد من فهمك للتأثير المحتمل لأي أمر.
إنشاء CSR
هناك طريقتان يمكنك بهما إنشاء CSR، أولاهما هي إنشاء CSR مباشرة على خادم CMS من واجهة سطر الأوامر (CLI) مع وصول المسؤول، وثانيهما هو القيام بذلك باستخدام مرجع شهادة الطرف الثالث الخارجي (CA) مثل Open SSL.
في كلتا الحالتين، يجب إنشاء CSR باستخدام الصياغة الصحيحة لخدمات CMS لكي تعمل بشكل صحيح.
الخطوة 1. بنية بناء الجملة.
pki csr <key/cert basename> <CN:value> [OU:<value>] [O:<value>] [ST:<-value>] [C:<value>] [subjectAltName:<value>]
- <key/cert basename> هي سلسلة تعرف المفتاح الجديد واسم CSR. يمكن أن يحتوي على أبجدية رقمية، واصلة أو أحرف سفلية. هذا حقل إلزامي.
- <cn:value> هو الاسم الشائع. هذا هو اسم المجال المؤهل بالكامل (FQDN) الذي يحدد موقع الخادم بالضبط في نظام اسم المجال (DNS). هذا حقل إلزامي.
- [OU:<value>] هو اسم الوحدة التنظيمية أو الإدارة. على سبيل المثال، الدعم، تقنية المعلومات، الهندسة، الشؤون المالية. هذا حقل إختياري.
- [س:<value>] هو اسم المؤسسة أو الشركة. وعادة ما يكون الاسم المدرج قانونيا للشركة. هذا حقل إختياري.
- [st:<value>] هي المحافظة أو المنطقة أو المقاطعة أو الولاية. على سبيل المثال، باكينجهامشير كاليفورنيا. هذا حقل إختياري.
- [C:<value>] هو البلد. كود المنظمة الدولية للمواصفات (ISO) المكون من حرفين الخاص بالبلد الذي تقع فيه مؤسستك. على سبيل المثال: الولايات المتحدة، GB، FR. هذا حقل إختياري.
- [subjectAltName:<value>] هو الموضوع الاسم البديل (SAN). من الإصدار 3 من X509 (RFC 2459)، يسمح لشهادات طبقات مأخذ التوصيل الآمنة (SSL) بتحديد أسماء متعددة يجب أن تتطابق مع الشهادة. يمكن هذا الحقل الشهادة التي تم إنشاؤها من تغطية مجالات متعددة. ويمكن أن يحتوي على عناوين IP وأسماء المجالات وعناوين البريد الإلكتروني وأسماء بيوت DNS العادية وما إلى ذلك مفصولة بفواصل. إن يعين هو، أنت ينبغي أيضا تضمنت ال CN في هذا قائمة. على الرغم من أن هذا الحقل إختياري، إلا أنه يجب إكمال حقل شبكة التخزين (SAN) حتى يتمكن عملاء بروتوكول التواجد والمراسلة الممتدة (XMPP) من قبول شهادة، وإلا فإن عملاء XMPP يقومون بعرض خطأ في الشهادة.
الخطوة 2. قم بإنشاء CallBridge و xmpp و webAdmin و webbridge csr.
- قم بالوصول إلى CMS CLI باستخدام PuTTY وسجل الدخول باستخدام حساب المسؤول.
- قم بتشغيل الأوامر التالية لإنشاء CSR لكل خدمة مطلوبة على CMS. من المقبول أيضا إنشاء وحدة واحدة تحتوي على بطاقة مجردة (*.com) أو تتضمن FQDN لنظام المجموعة على هيئة CN، FQDN لكل خادم CMS، والانضمام إلى URL إذا لزم الأمر.
الخدمة |
كوماند |
WebAdmin |
pki csr
CN:
|
ويببريدج |
pki csr
CN:
subjectAltName:
,
|
كالبردج إنعطافا موازن التحميل |
pki csr
CN:
|
- في حالة تجميع CMS، قم بتشغيل الأوامر التالية.
الخدمة |
|
كالبردج إنعطافا موازن التحميل |
pki csr
CN:
subjectAltName:
|
XMPP |
pki csr
CN:
subjectAltName:
,
|
الخطوة 3. قم بإنشاء CSR الخاص بمجموعة قواعد البيانات واستخدم CA المضمن لتوقيعها.
منذ CMS 2.7، مطلوب أن يكون لديك شهادات لمجموعة قواعد البيانات. في 2.7، أضفنا المرجع المصدق المضمن الذي يمكن إستخدامه لتوقيع شهادات قاعدة البيانات.
- في جميع النوى، شغل
database cluster remove
.
- على الأساسي، شغل
pki selfsigned dbca CN
. مثال: Pki selfsigned dbca CN:tplab.local
- على الأساسي، شغل
pki csr dbserver CN:cmscore1.example.com subjectAltName
. مثال: cmscore2.example.com,cmscore3.example.com
- في الأساسي، قم بإنشاء شهادة لعميل قاعدة البيانات
pki csr dbclient CN:postgres
.
- في الأساسي، أستخدم dbca لتوقيع شهادة خادم البيانات
pki sign dbserver dbca
.
- في الأساسي، أستخدم dbca لتوقيع شهادة عميل البيانات
pki sign dbclient dbca
.
- انسخ dbclient.crt إلى جميع الخوادم التي تحتاج إلى الاتصال بعقدة قاعدة بيانات
- انسخ ملف dbserver.crt إلى كافة الخوادم المرتبطة بقاعدة البيانات (العقد التي تشكل مجموعة قواعد البيانات)
- انسخ ملف dbca.crt إلى كافة الخوادم.
- على خادم DB الأساسي، قم بتشغيل
database cluster certs dbserver.key dbserver.crt dbclient.key dbclient.crt dbca.crt
. هذا يستخدم dbca.crt
ك root ca-cert
.
- على خادم DB الأساسي، قم بتشغيل
database cluster localnode a
.
- على خادم DB الأساسي، قم بتشغيل
database cluster initialize
.
- على خادم DB الأساسي، قم بتشغيل
database cluster status
. يجب مشاهدة العقد: (me): الأساسية المتصلة.
- على كافة النوى الأخرى المرتبطة بمجموعة قاعدة البيانات، قم بتشغيل
database cluster certs dbserver.key dbserver.crt dbclient.key dbclient.crt dbca.crt
.
- في كافة المراكز المتصلة (غير المتصلة بموقع مشترك مع قاعدة بيانات) بمجموعة قاعدة البيانات، قم بتشغيل
database cluster certs dbclient.key cbclient.crt dbca.crt .
- في المراكز المرتبطة (مشتركة في الموقع مع قاعدة بيانات):
- التشغيل
database cluster localnode a
.
- التشغيل
database cluster join
.
- على النوى المتصلة (غير الموجودة في موقع مشترك مع قاعدة بيانات):
- ru n
database cluster localnode a
.
- التشغيل
database cluster connect
.
الخطوة 4. تحقق من الشهادات الموقعة.
- يمكن التحقق من صلاحية الشهادة (تاريخ انتهاء الصلاحية) من خلال فحص الشهادة، قم بتشغيل الأمر
pki inspect
.
- يمكنك التحقق من مطابقة الشهادة لمفتاح خاص، قم بتشغيل الأمر
pki match
.
- للتحقق من أن الشهادة موقعة من قبل CA وأنه يمكن إستخدام حزمة الشهادة لتأكيدها، قم بتشغيل الأمر
pki verify
.
الخطوة 5. تطبيق الشهادات الموقعة على مكونات على خوادم CMS.
- لتطبيق الشهادات على WebAdmin، قم بتشغيل الأوامر التالية:
webadmin disable
webadmin certs <keyfile> <certificate file> <certificate bundle/Root CA>
webadmin enable
- لتطبيق الشهادات على CallBridge، قم بتشغيل الأوامر التالية:
callbridge certs <keyfile> <certificate file> <certificate bundle/Root CA>
callbridge restart
- لتطبيق الشهادات على WebBridge، قم بتشغيل الأوامر التالية:
webbridge disable
webbridge certs <keyfile> <certificate file> <certificate bundle/Root CA>
webbridge enable
- لتطبيق الشهادات على XMPP، قم بتشغيل الأوامر التالية:
xmpp disable
xmpp certs <keyfile> <certificate file> <certificate bundle/Root CA>
xmpp enable
- لتطبيق الشهادات على قاعدة البيانات أو إستبدال الشهادات منتهية الصلاحية على مجموعة DB الحالية، قم بتشغيل الأوامر التالية:
database cluster remove (on all servers, noting who was primary before beginning)
database cluster certs <server_key> <server_certificate> <client_key> <client_certificate> <Root ca_crt>
database cluster initialize (only on primary node)
database cluster join <FQDN or IP of primary> (only on slave node)
database cluster connect <FQDN or IP of primary> (only on nodes that are not part of the database cluster)
- لتطبيق الشهادات على TURN، قم بتشغيل الأوامر التالية:
turn disable
turn certs <keyfile> <certificate file> <certificate bundle/Root CA>
turn enable
سلاسل أوراق الاعتماد الخاصة بالشهادات ومجموعات
بما أن CMS 3.0، يطلب منك إستخدام سلاسل ائتمان الشهادات أو صناديق ائتمان السلسلة الكاملة. كما أنه من المهم لأية خدمة أن تعرف كيفية بناء الوحدات عندما تقوم بعمل الحزم.
عندما تقوم ببناء سلسلة ترخيص تراكمية، كما هو مطلوب ل Web Bridge 3، يجب عليك بناءها كما هو موضح في الصورة، مع شهادة كيان في الأعلى، ووسيط في المنتصف، وموصل CA الجذر في القاع، ثم إرجاع عربة واحدة.
في أي وقت تقوم فيه بإنشاء حزمة، يجب أن يكون للشهادة إرجاع عملية نقل واحدة فقط في النهاية.
تكون حزم CA هي نفسها كما هو موضح في الصورة، فقط، بطبيعة الحال، لن يكون هناك أي شهادة كيان.
استكشاف الأخطاء وإصلاحها
إذا كنت بحاجة لاستبدال شهادة منتهية الصلاحية لجميع الخدمات، باستثناء شهادات قاعدة البيانات، فإن أسهل طريقة هي تحميل الشهادات الجديدة بنفس اسم الشهادات القديمة. إذا قمت بذلك، فستحتاج الخدمة إلى إعادة التشغيل فقط ولن تحتاج إلى إعادة تكوين الخدمة.
إذا قمت بأداء pki csr ...
ويطابق اسم الوحدة هذا المفتاح الحالي، فيكسر الخدمة على الفور. إذا كان الإنتاج حيا، وقمت بإنشاء CSR ومفتاح جديدين بشكل استباقي، فاستخدم اسما جديدا. يمكنك إعادة تسمية الاسم النشط حاليا قبل تحميل المكون الجديد إلى الخوادم.
إذا انتهت صلاحية شهادات قاعدة البيانات، يجب التحقق من ذلك database cluster status
من هي قاعدة البيانات الأساسية، وعلى كل العقد، قم بتشغيل الأمر database cluster remove
. ثم يمكنك إستخدام الإرشادات من الخطوة 3. قم بإنشاء CSR الخاص بمجموعة قواعد البيانات واستخدم CA المضمن لتوقيعها.
معلومات ذات صلة