تكوين عمليات تجديد الشهادات على ISE

خيارات التنزيل

  • PDF     (1.0 MB)
    عرض باستخدام Adobe Reader على مجموعة متنوعة من الأجهزة
تم التحديث:٢٢ أبريل ٢٠٢٦
معرّف المستند:217191

لغة خالية من التحيز

تسعى مجموعة الوثائق لهذا المنتج جاهدة لاستخدام لغة خالية من التحيز. لأغراض مجموعة الوثائق هذه، يتم تعريف "خالية من التحيز" على أنها لغة لا تعني التمييز على أساس العمر، والإعاقة، والجنس، والهوية العرقية، والهوية الإثنية، والتوجه الجنسي، والحالة الاجتماعية والاقتصادية، والتمييز متعدد الجوانب. قد تكون الاستثناءات موجودة في الوثائق بسبب اللغة التي يتم تشفيرها بشكل ثابت في واجهات المستخدم الخاصة ببرنامج المنتج، أو اللغة المستخدمة بناءً على وثائق RFP، أو اللغة التي يستخدمها منتج الجهة الخارجية المُشار إليه. تعرّف على المزيد حول كيفية استخدام Cisco للغة الشاملة.

حول هذه الترجمة

ترجمت Cisco هذا المستند باستخدام مجموعة من التقنيات الآلية والبشرية لتقديم محتوى دعم للمستخدمين في جميع أنحاء العالم بلغتهم الخاصة. يُرجى ملاحظة أن أفضل ترجمة آلية لن تكون دقيقة كما هو الحال مع الترجمة الاحترافية التي يقدمها مترجم محترف. تخلي Cisco Systems مسئوليتها عن دقة هذه الترجمات وتُوصي بالرجوع دائمًا إلى المستند الإنجليزي الأصلي (الرابط متوفر).

المقدمة

يصف هذا المستند أفضل الممارسات والإجراءات الاستباقية لتجديد الشهادات على محرك خدمات الهوية (ISE) من Cisco.

المتطلبات الأساسية

المتطلبات

توصي Cisco بأن تكون لديك معرفة بالمواضيع التالية:

  • شهادات X509
  • تكوين Cisco ISE بالشهادات

المكونات المستخدمة

تستند المعلومات الواردة في هذا المستند إلى إصدارات البرامج والمكونات المادية التالية:

  • Cisco ISE الإصدار 3.0.0.458
  • جهاز أو VMware

تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك قيد التشغيل، فتأكد من فهمك للتأثير المحتمل لأي أمر.

معلومات أساسية

  ملاحظة: لا يقصد بهذا المستند أن يكون دليلا تشخيصيا للشهادات.

يصف هذا المستند أفضل الممارسات والإجراءات الاستباقية لتجديد الشهادات على Cisco Identity Services Engine (ISE). كما تستعرض كيفية إعداد تنبيهات وإعلامات بحيث يتم تحذير المسؤولين من الأحداث الوشيكة مثل انتهاء صلاحية الشهادة. بصفتك مسؤول ISE، فإنك تواجه في نهاية المطاف حقيقة انتهاء صلاحية شهادات ISE. إذا كان خادم ISE الخاص بك لديه شهادة منتهية الصلاحية، فقد تظهر مشكلات خطيرة ما لم تقم باستبدال الشهادة منتهية الصلاحية بشهادة جديدة صالحة.

  ملاحظة: إذا انتهت صلاحية الشهادة المستخدمة لبروتوكول المصادقة المتوسع (EAP)، فقد تفشل جميع المصادقات لأن العملاء لا يثقون في شهادة ISE بعد الآن. إذا انتهت صلاحية شهادة مسؤول ISE، فسيكون الخطر أكبر: لم يعد المسؤول قادرا على تسجيل الدخول إلى ISE بعد الآن، ويمكن أن يتوقف النشر الموزع عن العمل والنسخ.

يجب على مسؤول ISE تثبيت شهادة جديدة صالحة على ISE قبل انتهاء صلاحية الشهادة القديمة. هذا النهج الاستباقي يمنع أو يقلل من وقت التوقف عن العمل ويتجنب التأثير على المستخدمين النهائيين. بمجرد أن تبدأ الفترة الزمنية للشهادة المثبتة حديثا، يمكنك تمكين EAP/Admin أو أي دور آخر في الشهادة الجديدة.

يمكنك تكوين ISE بحيث يصدر إنذارات ويُخطر المسؤول لتثبيت شهادات جديدة قبل انتهاء صلاحية الشهادات القديمة.

  ملاحظة: يستخدم هذا المستند شهادة مسؤول ISE كشهادة موقعة ذاتيا لتوضيح تأثير تجديد الشهادة، ولكن لا يوصى بهذا النهج لنظام إنتاج. من الأفضل إستخدام شهادة المرجع المصدق لكل من دوري EAP و Admin.

التكوين

عرض الشهادات الموقعة ذاتيًا من ISE

عندما يتم تثبيت ISE، فإنه ينشئ شهادة موقعة ذاتيًا. تُستخدم الشهادة الموقعة ذاتيًا للوصول الإداري وللاتصال داخل النشر الموزّع (HTTPS) وكذلك لمصادقة المستخدم (EAP). في نظام مباشر، استخدم شهادة CA بدلاً من الشهادة الموقعة ذاتيًا.

  تلميح: راجع قسم إدارة الشهادة في Cisco ISE في دليل تثبيت أجهزة Cisco Identity Services Engine، الإصدار 3.0 للحصول على معلومات إضافية.

يجب أن يكون تنسيق شهادة ISE عبارة عن بريد معزز بالخصوصية (PEM) أو قواعد تشفير مميزة (DER).

لعرض الشهادة الأولية الموقعة ذاتيًا، انتقل إلى الإدارة > النظام > الشهادات> شهادات النظام في واجهة المستخدمة الرسومية في ISE، كما هو موضح في هذه الصورة.

View ISE Self-Signed Certificates

إذا قمت بتثبيت شهادة خادم على ISE عبر طلب توقيع الشهادة (CSR) وقمت بتغيير الشهادة لبروتوكول المسؤول أو بروتوكول EAP، فإن شهادة الخادم الموقعة ذاتيًا لا تزال موجودة ولكنها في حالة غير الاستخدام.

  تحذير: لتغييرات بروتوكول المسؤول، يلزم إعادة تشغيل خدمات ISE، مما يتسبب في بضع دقائق من التوقف. لا تؤدي تغييرات بروتوكول EAP إلى إعادة تشغيل خدمات ISE ولا تتسبب في حدوث توقف.

تحديد وقت تغيير الشهادة

افترض أن الشهادة المثبتة ستنتهي قريبًا. هل الأفضل ترك الشهادة تنتهي قبل تجديدها أم تغيير الشهادة قبل انتهاء صلاحيتها؟ يجب عليك تغيير الشهادة قبل انتهاء الصلاحية حتى يكون لديك الوقت للتخطيط لعملية إستبدال الشهادة ولإدارة أي وقت توقف عن العمل بسبب عملية التبديل.

متى يجب تغيير الشهادة؟ احصل على شهادة جديدة بتاريخ بدء يسبق تاريخ انتهاء صلاحية الشهادة القديمة. الفترة الزمنية بين هذين التاريخين هي نافذة التغيير.

  تحذير: إذا قمت بتمكين المسؤول، فسيؤدي ذلك إلى إعادة تشغيل الخدمة على خادم ISE، وستواجه بضع دقائق من التوقف.

توضح هذه الصورة معلومات شهادة ستنتهي صلاحيتها قريبًا:

Determine When to Change the Certificate

قم بإنشاء طلب توقيع الشهادة

يصف هذا الإجراء كيفية تجديد الشهادة من خلال ممثل خدمة العملاء:

  1. في وحدة تحكم ISE، انتقل إلى الإدارة > النظام > الشهادات > طلبات توقيع الشهادة وانقر فوق إنشاء طلب توقيع الشهادة:

  2. الحد الأدنى من المعلومات التي يجب عليك إدخالها في حقل نص موضوع الشهادة هو CN=ISEfqdn، حيث يكون ISEfqdn اسم المجال مؤهلاً بالكامل (FQDN) الخاص بـ ISE. أضف حقولاً إضافية مثل O (المؤسسة) أو OU (الوحدة التنظيمية) أو C (البلد) في موضوع الشهادة باستخدام الفواصل:

    Generate Certificate Signing Request
  3. يجب أن يكرر أحد سطور حقل نص الاسم البديل للموضوع (SAN) اسم FQDN الخاص بـ ISE. يمكنك إضافة حقل SAN ثانٍ إذا كنت تريد استخدام أسماء بديلة أو شهادة أحرف البدل.

  4. انقر فوق إنشاء، تشير نافذة منبثقة إلى ما إذا كانت حقول CSR مكتملة بشكل صحيح أم لا:

    Successfully Generated CSR

  5. لتصدير CSR، انقر فوق طلبات توقيع الشهادة في اللوحة اليمنى، وحدد CSR الخاص بك، وانقر فوق تصدير:

    Certificate Signing Requests
  6. يتم تخزين CSR على الكمبيوتر. أرسله إلى CA الخاص بك للتوقيع.

تثبيت الشهادة

بمجرد حصولك على الشهادة النهائية من CA الخاص بك، يجب عليك إضافة الشهادة إلى ISE:

  1. في وحدة تحكم ISE، انتقل إلى الإدارة > النظام >الشهادات>طلبات توقيع الشهادة، ثم حدد خانة الاختيار على CRS وانقر على ربط الشهادة:

    Install Certificate

  2. أدخل وصفًا بسيطًا وواضحًا للشهادة في الحقل النصي اسم لطيف وانقر "إرسال".

      ملاحظة: لا تقم بتمكين بروتوكول EAP أو بروتوكول المسؤول في الوقت الحالي.

  3. ضمن شهادة النظام، لديك شهادة جديدة ليست قيد الاستخدام كما هو موضح هنا:

    New Certificate Not in Use
  4. نظرًا لأنه تم تثبيت الشهادة الجديدة قبل انتهاء صلاحية الشهادة القديمة، فسترى خطأ يُبلغ عن نطاق زمني في المستقبل:

    Certificate Warning

  5. انقر فوق نعم للمتابعة. تم تثبيت الشهادة الآن، لكنها ليست قيد الاستخدام، كما هو مبرز بالأخضر.

    Certificate Now Installed

  ملاحظة: إذا كنت تستخدم الشهادات الموقعة ذاتيًا في عملية نشر موزعة، فيجب تثبيت الشهادة الأولية الموقعة ذاتيًا في مخزن الشهادات الموثوق بها لخادم ISE الثانوي.  وبالمثل، يجب تثبيت الشهادة الثانوية الموقعة ذاتيًا في مخزن الشهادات الموثوق بها لخادم ISE الأساسي. هذا يسمح لخوادم ISE بمصادقة بعضها البعض بشكل متبادل.   وبدون ذلك، يمكن أن يتعطل النشر. إذا قمت بتجديد الشهادات من مرجع مصدق تابع لجهة خارجية، فتحقق مما إذا كانت سلسلة الشهادات الجذرية قد تغيرت وقم بتحديث مخزن الشهادات الموثوق به في ISE وفقًا لذلك. في كلا السيناريوهين، تأكد من أن عقد ISE ونظم التحكم في النقطة الطرفية والمكلفين قادرون على التحقق من صحة سلسلة شهادات الجذر.

تكوين نظام التنبيه

يُخطرك Cisco ISE عندما يكون تاريخ انتهاء صلاحية الشهادة المحلية في غضون 90 يومًا. يساعدك هذا الإشعار المسبق في تجنب الشهادات منتهية الصلاحية، والتخطيط لتغيير الشهادة، ومنع أو تقليل وقت التوقف عن العمل.

يظهر الإشعار بعدة طرق:

  • تظهر رموز حالة انتهاء الصلاحية الملونة على صفحة الشهادات المحلية.

  • تظهر رسائل انتهاء الصلاحية في تقرير تشخيص نظام Cisco ISE.

  • يتم إصدار إنذارات انتهاء الصلاحية بعد 90 يومًا و60 يومًا، ثم يوميًا في آخر 30 يومًا قبل انتهاء الصلاحية.

قم بتكوين ISE لإشعار البريد الإلكتروني بإنذارات انتهاء الصلاحية. في وحدة تحكم ISE، انتقل إلى الإدارة > النظام > الإعدادات > خادم SMTP، وحدد خادم بروتوكول نقل البريد البسيط (SMTP)، وحدد إعدادات الخادم الأخرى بحيث يتم إرسال إشعارات البريد الإلكتروني للتنبيهات:



Configure Alerting System

هناك طريقتان يمكنك من خلالهما إعداد الإشعارات:

  1. استخدم وصول المسؤول لإشعار المسؤولين:

    1. انتقل إلى الإدارة > النظام > وصول المسؤول > المسئولون > المستخدمون المسؤولون.

    2. حدد خانة الاختيار تضمين إنذارات النظام في رسائل البريد الإلكتروني للمستخدمين الإداريين الذين يحتاجون إلى تلقي إشعارات التنبيه. عنوان البريد الإلكتروني لمرسل إشعارات التنبيه ثابت التشفير على أنه ise@hostname.

      Set-Up Notifications Option 1

  2. قم بتكوين إعدادات إنذار ISE لإشعار المستخدمين:

    1. انتقل إلى الإدارة > النظام > الإعدادات > إعدادات التنبيه > تكوين الإنذار، كما هو موضح في هذه الصورة.

      Set-Up Notifications Option 2

        ملاحظة: قم بتعطيل الحالة لفئة إذا كنت ترغب في منع الإنذارات من تلك الفئة.

    2. حدد انتهاء صلاحية الشهادة ثم انقر على إعلام التنبيه. أدخل عناوين البريد الإلكتروني للمستخدمين الذين سيتم إخطارهم، ثم احفظ تغيير التكوين. قد تستغرق التغييرات ما يصل إلى 15 دقيقة قبل أن تكون نشطة.

      Alarm Settings

التحقق من الصحة

استخدم هذا القسم لتأكيد عمل التكوين بشكل صحيح.

التحقق من نظام التنبيه

تحقق من أن نظام التنبيه يعمل بشكل صحيح. في هذا المثال، يؤدي تغيير التكوين إلى إنشاء تنبيه بمستوى خطورة المعلومات. (إنذار المعلومات هو الأقل خطورة، في حين أن انتهاء صلاحية الشهادة يؤدي إلى مستوى خطورة أعلى من التحذير.)

Verify Alerting System



هذا مثال على إنذار البريد الإلكتروني الذي أرسله ISE:

Email Alarm Example

التحقق من تغيير الشهادة

يوضح هذا الإجراء كيفية التحقق من تثبيت الشهادة بشكل صحيح وكيفية تغيير أدوار EAP و/أو المسؤول:

  1. من وحدة التحكم ISE، انتقل إلى الإدارة > الشهادات > شهادات النظام وحدد الشهادة الجديدة لعرض التفاصيل.

      تحذير: إذا قمت بتمكين "استخدام المسؤول"، فسيتم إعادة تشغيل خدمة ISE، مما يتسبب في توقف الخادم.


    Verify Certificate Change


  2. للتحقق من حالة الشهادة على خادم ISE، أدخل هذا الأمر في (واجهة سطر الأوامر) CLI:

    CLI:> show application status ise
  3. بمجرد تنشيط جميع الخدمات، حاول تسجيل الدخول كمسؤول.

  4. بالنسبة لسيناريو النشر الموزع، انتقل إلى الإدارة > النظام > النشر. تحقق من أن العقدة تحتوي على رمز أخضر. ضع المؤشر فوق الأيقونة للتحقق من أن وسيلة الإيضاح تظهر متصلة.

  5. تحقق من نجاح مصادقة المستخدم النهائي. للقيام بذلك، انتقل إلى العمليات > RADIUS > الأحياء.  يمكنك العثور على محاولة مصادقة محددة والتحقق من مصادقة هذه المحاولات بنجاح.

التحقق من الشهادة

إذا كنت تريد التحقق من الشهادة خارجيًا، فيمكنك استخدام أدوات Microsoft Windows المضمنة أو مجموعة أدوات OpenSSL.

OpenSSL هو تطبيق مفتوح المصدر لبروتوكول طبقة مآخذ التوصيل الآمنة (SSL). إذا كانت الشهادات تستخدم CA خاص بك، فيجب عليك وضع شهادة CA الجذرية الخاصة بك على جهاز محلي واستخدام خيار OpenSSL المتمثل في -CApath. إذا كان لديك CA وسيط، فيجب عليك وضعه في نفس الدليل أيضًا.

من أجل الحصول على معلومات عامة عن الشهادة والتحقق منها، استخدم:

openssl x509 -in certificate.pem -noout -text
openssl verify certificate.pem

يمكن أن يكون من المفيد أيضا تحويل الشهادات باستخدام مجموعة أدوات OpenSSL:

openssl x509 -in certificate.der -inform DER -outform PEM -out certificate.pem

استكشاف الأخطاء وإصلاحها

هناك حاليا ما من معلومات تشخيص محددة يتوفر ل هذا تشكيل.

القرار

نظرًا لأنه يمكنك تثبيت شهادة جديدة على ISE قبل تنشيطها، توصي Cisco بتثبيت الشهادة الجديدة قبل انتهاء صلاحية الشهادة القديمة. تمنحك فترة التداخل هذه بين تاريخ انتهاء صلاحية الشهادة القديمة وتاريخ بدء الشهادة الجديدة وقتًا لتجديد الشهادات والتخطيط لتثبيتها مع زمن تعطل قليلة أو معدومة. بمجرد أن تدخل الشهادة الجديدة نطاق التاريخ الصالح الخاص بها، قم بتمكين EAP و/أو المسؤول. تذكّر، إذا قمت بتمكين استخدام المسؤول، فهناك إعادة تشغيل للخدمة.

محفوظات المراجعة

المراجعة تاريخ النشر التعليقات
5.0
22-Apr-2026
تم تحديث SEO.
4.0
10-Oct-2024
إخلاء المسؤولية القانوني المضاف، والنص البديل. تم تحديث متطلبات النمط والتنسيق.
3.0
07-Sep-2023
تقويم
2.0
04-Aug-2022
الإصدار الأولي
1.0
16-Jun-2021
الإصدار الأولي
TAC Authored

تمت المساهمة بواسطة مهندسو Cisco

  • Abhishek Tomar
    Technical Consulting Engineer
  • Roger Nobel
    Technical Consulting Engineer

هل كان هذا المستند مفيدًا؟

Feedbackالتعليقات

اتصل بنا

ينطبق هذا المستند على هذه المنتجات