إعداد Cisco ISE لمرة نهاية نهاية وحدة المعالجة المركزية (EKU) لعميل في شهادات CA العامة

خيارات التنزيل

  • PDF     (272.6 KB)
    عرض باستخدام Adobe Reader على مجموعة متنوعة من الأجهزة
  • ePub     (89.2 KB)
    العرض في تطبيقات مختلفة على iPhone أو iPad أو نظام تشغيل Android أو قارئ Sony أو نظام التشغيل Windows Phone
  • Mobi (Kindle)     (84.3 KB)
    عرض على جهاز Kindle أو تطبيق Kindle على أجهزة متعددة
تم التحديث:١٢ مارس ٢٠٢٦
معرّف المستند:225606

لغة خالية من التحيز

تسعى مجموعة الوثائق لهذا المنتج جاهدة لاستخدام لغة خالية من التحيز. لأغراض مجموعة الوثائق هذه، يتم تعريف "خالية من التحيز" على أنها لغة لا تعني التمييز على أساس العمر، والإعاقة، والجنس، والهوية العرقية، والهوية الإثنية، والتوجه الجنسي، والحالة الاجتماعية والاقتصادية، والتمييز متعدد الجوانب. قد تكون الاستثناءات موجودة في الوثائق بسبب اللغة التي يتم تشفيرها بشكل ثابت في واجهات المستخدم الخاصة ببرنامج المنتج، أو اللغة المستخدمة بناءً على وثائق RFP، أو اللغة التي يستخدمها منتج الجهة الخارجية المُشار إليه. تعرّف على المزيد حول كيفية استخدام Cisco للغة الشاملة.

حول هذه الترجمة

ترجمت Cisco هذا المستند باستخدام مجموعة من التقنيات الآلية والبشرية لتقديم محتوى دعم للمستخدمين في جميع أنحاء العالم بلغتهم الخاصة. يُرجى ملاحظة أن أفضل ترجمة آلية لن تكون دقيقة كما هو الحال مع الترجمة الاحترافية التي يقدمها مترجم محترف. تخلي Cisco Systems مسئوليتها عن دقة هذه الترجمات وتُوصي بالرجوع دائمًا إلى المستند الإنجليزي الأصلي (الرابط متوفر).

    المقدمة

    يصف هذا المستند التأثير على خدمات ISE بسبب التغييرات القادمة على شهادات TLS التي يتم إصدارها من قبل هيئات الشهادات العامة باستخدام EKU لمصادقة العميل.

    معلومات أساسية

    الشهادات الرقمية هي وثائق اعتماد إلكترونية تصدرها سلطات التصديق الموثوق بها (CAs) تؤمن الاتصال بين الخوادم والعملاء عن طريق ضمان المصادقة وسلامة البيانات والسرية. تحتوي هذه الشهادات على حقول إستخدام المفتاح الموسع (EKU) التي تحدد الغرض منها:

    • مصادقة الخادم EKU (id-kp-serverAuth): يستخدم عندما يقدم الخادم شهادته لإثبات الهوية
    • مصادقة العميل EKU (id-kp-clientAuth): يستخدم في إتصالات TLS المتبادلة (mTLS) حيث يقوم كلا الطرفين بمصادقة بعضهما البعض

    وبشكل تقليدي، يمكن أن تحتوي الشهادة المفردة على وحدات EKU الخاصة بمصادقة الخادم والعميل، مما يتيح إستخدامها في أغراض مزدوجة. وهذا مهم بشكل خاص لمنتجات مثل Cisco ISE التي تعمل كخادم وعميل في سيناريوهات اتصال مختلفة.

    تعريف المشكلة 

    تغيير سياسة برنامج جذر الكروم

    بدءا من مايو 2026، ستتوقف العديد من هيئات الشهادات العامة (CAs) عن إصدار شهادات أمان طبقة النقل (TLS) التي تتضمن إستخدام المفتاح الموسع لمصادقة العميل (EKU). تشتمل الشهادات التي تم إصدارها حديثا عادة على EKU لمصادقة الخادم فقط.

    المتطلبات الرئيسية للسياسات

    • يجب أن تؤكد مراجع CA العامة إستخدام المفتاح الموسع (EKU) فقط لمصادقة الخادم (id-KP-serverAuth)
    • يجب أن تتضمن الشهادات EKU لمصادقة الخادم فقط.
    • يمنع تضمين EKU لمصادقة العميل في هذه الشهادات
    • تتم إزالة CAs الجذر التي تستمر في إصدار الشهادات باستخدام EKU لمصادقة العميل في نهاية المطاف من مخزن Chrome الجذر
    • لا مزيد من تراخيص CAs الجذر للاستخدام المختلط لشهادات TLS للخادم العام
    • الجدول الزمني للتنفيذ: مارس 2027.

    الجدول الزمني للاستجابة للترخيص المصدق العام

    • أكتوبر 2025: بدأ العديد من المرجع المصدق العام (DigiCert، Sectigo، SSL) في إصدار شهادات الخادم فقط بشكل افتراضي.
    • مايو 2026: توقف العديد من خوادم CA العامة عن إصدار شهادات EKU لمصادقة العميل 
    • مارس 2027: سياسة برنامج كروم روت تصبح فعالة تماما 
    note-icon

    ملاحظة: لا ينطبق هذا النهج إلا على الشهادات الصادرة عن المراجع المصدقة العامة. لا تتأثر PKI الخاص والشهادات الموقعة ذاتيا بهذا النهج.

    كيف يؤثر على Cisco ISE

    المنتجات المتأثرة 

    تتأثر جميع إصدارات Cisco ISE:

    • ISE 3.1
    • ISE 3.2
    • ISE 3.3
    • ISE 3.4
    • ISE 3.5
    note-icon

    ملاحظة: كما تتأثر إصدارات Cisco ISE 2.x؛ ومع ذلك، لم يتم التخطيط لأي إصلاح لأن هذه الإصدارات قد وصلت إلى نهاية العمر (EOL).

    دور Cisco ISE المزدوج

    يعمل ISE كخادم وعميل على حد سواء في سيناريوهات اتصال مختلفة، مما يتطلب شهادات باستخدام وحدات EKU لمصادقة الخادم والعميل.

    Cisco ISE كخادم (يلزم توفر وحدة المعالجة المركزية (EKU) لمصادقة الخادم):

    • PxGrid 
    • خدمة مراسلات ISE

    Cisco ISE كعميل (يتطلب EKU لمصادقة العميل):

    • سي إن إيه سي 
    • Syslog الآمن 
    • LDAAP
    • RADIUS DTLS 

    حالات الاستخدام المتأثرة المحددة

    يلخص الجدول التالي خدمات Cisco ISE التي قد تتأثر بتغييرات EKU لمصادقة العميل القادمة، بالإضافة إلى التأثير المتوقع لكل خدمة.

    الخدمة

    التأثير

    pxGrid

    تستخدم شهادات pxGrid للاتصال بين عقد ISE وعمليات تكامل pxGrid الخارجية. بينما تتطلب عمليات تكامل PXgrid الخارجية مصادقة الخادم EKU فقط، يتطلب Cisco ISE حاليا شهادات PXgrid المستوردة لاحتواء كل من EKU لمصادقة الخادم ومصادقة العميل EKU بسبب تقييد واجهة المستخدم. ونتيجة لذلك، يتم نشر شهادات pxGrid العامة التي يصدرها CA بشكل شائع مع كل من EKUs.

    خدمة مراسلة ISE (IMS)

    يتم إستخدام IMS للاتصالات الخلفية بين خدمات ISE الداخلية. يتطلب Cisco ISE حاليا شهادات IMS أن تحتوي على كل من EKU لمصادقة الخادم ومصادقة العميل. لا يمكن إستخدام الشهادات التي تم تجديدها بواسطة مرجع مصدق عام مع مصادقة الخادم EKU فقط ل IMS، مما قد يؤدي إلى حدوث حالات فشل في اتصال ISE الداخلي.

    سي إن إيه سي

    إذا كانت شهادة المسؤول تحتوي على مصادقة الخادم EKU فقط، فقد تتأثر المصادقة المستندة إلى الشهادة ل TC-NAC عند تمكين وضع FIPS أو عند تكوين TENABLE مع mTLS (المقدمة في إصدارات ISE 3.4P3 و 3.5).

    Syslog الآمن 

    LDAPs

    RADIUS DTLS
    caution-icon

    تحذير: يجب على العملاء التحقق من نوع الشهادة المستخدم من قبل أي عملاء PXgrid خارجيين. عند التجديد، قد لا تتضمن الشهادات العامة الموقعة على CA بعد ذلك مصادقة العميل EKU. يجب أن تتضمن عمليات تكامل عميل PxGrid الخارجية وحدة EKU لمصادقة العميل عند الاتصال ب ISE أو رفض الاتصال.

    أعراض المشكلة 

    بعد نشر شهادات مصادقة الخادم EKU فقط في Cisco ISE، سيلاحظ العملاء حالات فشل إستيراد الشهادة في واجهة المستخدم الرسومية (GUI) ل Cisco ISE عند محاولة تحميل pxGrid أو شهادات خدمة مراسلة ISE (IMS) التي لا تلبي متطلبات إستخدام المفتاح الموسع (EKU) الحالية للخدمة المحددة.

    يظهر أدناه مثال على رسالة الخطأ المعروضة في واجهة المستخدم الرسومية (GUI).

    توصيات

    تدقيق الشهادات الحالية (الخطوة الأولى الإلزامية) 

    • إعداد جرد لجميع شهادات TLS العامة لتحديد الشهادات التي تحتوي على EKU لمصادقة العميل
    • إستخدام شهادة المستند: التعرف على الشهادات المستخدمة وفقا للجدول أعلاه الموقع مع مرجع مصدق عام. 
    • التحقق من معلومات المرجع المصدق والجذر: المستند الذي يصدره المرجع المصدق والجذر لكل شهادة
    • فحص تواريخ انتهاء الصلاحية: خطط للتجديد بشكل إستراتيجي قبل تطبيق السياسة

    اقتراحات للخدمات التي تتطلب EKU العميل

    يوفر الجدول التالي الإجراءات الموصى بها لخدمات Cisco ISE وعمليات التكامل التي تعتمد على الشهادات التي تحتوي على EKU لمصادقة العميل.

    الخدمة

    الإجراءات الموصى بها

    سي إن إيه سي 
    • عند إستخدام Tenable، يمكن تعطيل التحقق من EKU بشكل صارم على الجانب Tenable للحفاظ على الاتصال. 

    Syslog الآمن 

    LDAPs 

    RADIUS DTLS

    عملاء PxGrid (CatC، FMC...إلخ)

    EAP-TLS 

    حلول قصيرة الأجل (قبل يونيو 2026) 

    يمكن للمسؤولين الاختيار من أحد خيارات الحل التالية: 

    الخيار 1: التبديل إلى CAs الجذر العام لتوفير شهادات EKU المجمعة 

    تصدر بعض تراخيص الجذر العام (مثل DigiCert و IdenTrust) شهادات تحتوي على EKU مجمعة من جذر بديل، ولا يمكن تضمينه في مخزن ائتمان مستعرض Chrome.

    أمثلة لأنواع CAs الجذر العام و EKU: 

    مورد CA

    نوع EKU

    المرجع المصدق الجذر

    الإصدار/المرجع المصدق الفرعي

    IdenTrust

    ClientAuth + ServerAuth

    IdenTrust Public Root CA 1

    CA 1 لخادم القطاع العام من IdenTrust

    ديجي سيرت

    ClientAuth + ServerAuth

    جذر معرف G2 المؤكد ل DigiCert

    معرف DigiCert المضمون CA G2

    المتطلبات الأساسية لهذا النهج: 

    • نسق مع مزود المرجع المصدق للتحقق من توفر هذه الشهادات.
    • قبل نشر الشهادات، تأكد من أن كل من الخادم الذي يقدم الشهادة وكل العملاء الذين يستهلكونها يثقون في المرجع المصدق الجذر المطابق.
    • تبادل معلومات شهادة الجذر مع أقران الاتصال.
    • ويتجنب هذا النهج الحاجة الفورية إلى ترقيات البرامج.

    مراجع إدارة الشهادات:

    الخيار 2: تجديد الشهادات الحالية لتمديد صلاحيتها

    يستمر إحترام الشهادات التي تم إصدارها من قبل CAs الجذر العام قبل مايو 2026 والتي تحتوي على EKU لكل من مصادقة الخادم والعميل حتى انتهاء مدة صلاحيتها.

    إستراتيجية التجديد

    التوصيات العامة هي:

    • تجديد شهادات EKU المجمعة قبل حدوث إعداد النهج 
    • بالنسبة لصلاحية الشهادات القصوى، خطط لتجديد الشهادات قبل 15 مارس/آذار 2026.
    • بعد هذا التاريخ، تكون الشهادات العامة التي تم إصدارها صالحة لمدة 200 يوم فقط.
    • توصيك Cisco بشدة بتجديد الشهادات قبل هذا التاريخ إذا كنت ترغب في متابعة هذا الخيار.
    • يمكن أن تختلف سياسة المرجع المصدق العام وتواريخ تنفيذه.
    • توقفت بعض الشهادات المصدقة العامة عن إصدار شهادات EKU المجمعة ولا يمكنها توفير شهادة واحدة بشكل افتراضي.
    • لإنشاء شهادة باستخدام EKU مشتركة، اعمل مع المرجع المصدق الخاص بك واستخدم ملفك تعريف خاص مقدم من المرجع المصدق العام.

    الخيار 3: تقييم موفري CA البديل والترحيل إليهم 

    نهج الكيانات الخاصة

    • تقييم جدوى الانتقال إلى مرفق المفاتيح العمومية الخاص
    • إعداد مرجع مصدق خاص لإصدار شهادات مفردة باستخدام EKU (شهادات الخادم والعميل مع وحدات EKU المطلوبة)
    • عند إصدار شهادة موقعة من مرجع مصدق خاص، تحتاج لمشاركة معلومات الشهادة الجذر مع النظير.
    • قبل إصدار أو نشر شهادة، تأكد من أن كل من الخادم الذي يقدم الشهادة وكل العملاء الذين يستهلكونها يثقون في المرجع المصدق (CA) الجذر المطابق.
    • المرجع المصدق الخاص غير خاضع لسياسة برنامج جذر الكروم
    • توفير تحكم طويل المدى في نهج الشهادات

    حل طويل الأجل (يلزم ترقية البرامج) 

    يجب على العملاء ترقية Cisco ISE إلى إصدار تصحيح يقدم معالجة الشهادة المحدثة لدعم الشهادات الصادرة بموجب نهج CA الجديدة.

    وتعالج إصدارات برامج التصحيح التالية هذه المشكلة المخطط لها في أبريل 2026:

    ISE إصدار Cisco

    إصدار التصحيح

    ISE 3.1

    الرقعة 11

    ISE 3.2

    الرقعة 10

    ISE 3.3

    الرقعة 11

    ISE 3.4

    الرقعة 6

    ISE 3.5

    الرقعة 3

    السلوك بعد تثبيت التصحيح 

    شهادة PxGrid

    بعد تثبيت إصدار التصحيح:

    • سيتم إزالة متطلب واجهة المستخدم الحالي الذي يفرض كل من EKU لمصادقة الخادم ومصادقة العميل لشهادات pxGrid.
    • سيسمح Cisco ISE باستيراد شهادات PXgrid التي تحتوي على EKU لمصادقة الخادم فقط، أو كل من EKU لمصادقة الخادم والعميل، أو لا يوجد ملحق EKU.
    • لن يتم قبول الشهادات التي تحتوي على مصادقة العميل EKU فقط.

    شهادة خدمة مراسلة ISE (IMS)

    ل ISE 3.1 و 3.2 و 3.3

    لا يوجد تغيير في السلوك بعد تثبيت التصحيح. ستستمر خدمة ISE Messaging في طلب شهادة باستخدام EKU الخاص بالعميل والخادم. يجب على العملاء التخطيط لاستخدام شهادة ISE الداخلية CA بمجرد انتهاء صلاحية الشهادة الحالية.

    ل ISE 3.4 و 3.5

    يدعم IMS الآن شهادات CA العامة التي تحتوي على EKU لمصادقة الخادم فقط. ومع ذلك، لأن IMS يتم إستخدامها فقط للاتصالات الداخلية من Cisco ISE، توصي Cisco باستخدام شهادة ISE الداخلية CA عند تجديد الشهادة.

    شجرة القرارات

    البدء: هل تستخدم شهادات CA العامة على Cisco ISE؟

    ├─ لا: PKI الخاص أو موقع ذاتيا

    │ └─ لا يتطلب الأمر أي إجراء - لا يتأثر بالسياسات

    └─ نعم: شهادات المرجع المصدق العامة قيد الاستخدام

       │

       ├─ هل تستخدم لأي من الخدمات المذكورة في قسم "حالات الاستخدام المتأثرة المحددة"؟

       │ │

       │ ├─ الخدمات عندما يعمل ISE كعميل TLS

       │ │ └─ راجع قسم "اقتراحات للخدمات التي تتطلب وحدة معالجة فائقة (EKU) للعملاء".

       │ │

       │ └─ الخدمات عند عمل ISE كخادم TLS (PxGrid أو IMS) 

       │ │

       │ └ ─ أختر طريقتك:

       │ │

       │ ├─ الخيار أ: التبديل إلى المرجع المصدق (CA) الجذر البديل

       │ │ ├─ اتصل بموفر المرجع المصدق ل EKU المجمع من جذر بديل

       │ │ ├─ تأكد من أن جميع أقرانك يثقون بالجذر الجديد

       │ │ └─ لا حاجة إلى ترقية فورية للبرامج

       │ │

       │ ├─ الخيار ب: تجديد الشهادات قبل المواعيد النهائية

       │ │ ├─ سيساعد هذا في تحرير الحاجة الملحة لإصلاح Cisco ISE

       │ │ │  

       │ │ ├─لأقصى حد من الصلاحية: التجديد قبل 15 مارس 2026

       │ │ └─ تشتري الوقت حتى انتهاء صلاحية الشهادة

       │ │

       │ ├─ الخيار ج: الترحيل إلى PKI الخاص 

       │ │ ├─ إعداد البنية التحتية الخاصة ل CA

       │ │ ├─ إصدار شهادات EKU الموحدة

       │ │ ├─ تثبيت المرجع المصدق الجديد في المتجر الموثوق به ISE 

       │ │ └─ التحكم طويل المدى

       │ │

       │ └─ الخيار د : تخطيط ترقية البرامج

       │ ├─ تطبيق إصدار حزمة تصحيح ISE المطلوب (متوفر بدءا من أبريل 2026)

       

        

    الأسئلة المتداولة (FAQ)

    أسئلة عامة

    س: هل يجب أن أقلق بشأن هذا إذا أستخدمت PKI الخاص؟

    ج: لا. يؤثر هذا النهج فقط على الشهادات التي تم إصدارها بواسطة CAs الجذر العام. لا تتأثر شهادات PKI الخاصة والشهادات الموقعة ذاتيا.

    س: هل يمكنني الاستمرار في إستخدام الشهادات الموجودة؟

    ج: نعم، تظل الشهادات الموجودة ذات EKU مجتمعة صالحة حتى تنتهي صلاحيتها. تنشأ المشكلة عندما تحتاج إلى التجديد. تعمل مع كل من إتصالات TLS و mTLS حتى انتهاء الصلاحية.

    س: كيف لي أن أعرف ما إذا كنت أستخدم mTLS أو TLS القياسية؟

    ج: راجع قسم حالات الاستخدام المتأثرة المحددة. 

    أسئلة الترقية

    إدارة الشهادات

    أسئلة الجدول الزمني

    س: ماذا يحدث في 15 حزيران 2026؟

    ج: توقف Chrome الثقة بشهادات TLS العامة التي تحتوي على كل من EKUs لمصادقة الخادم والعميل. قد تفشل الخدمات التي تستخدم مثل هذه الشهادات.

    س: لماذا علي التجديد قبل 15 مارس/آذار 2026؟

    ج: بعد 15 مارس 2026، يتم تخفيض صلاحية الشهادة من 398 يوما إلى 200 يوم. التجديد قبل هذا التاريخ يمنحك الحد الأقصى من مدة صلاحية الشهادة.

    سؤال: ما هو الموعد النهائي لاتخاذ إجراء؟

    ج: هناك العديد من المواعيد النهائية:

    • 15 مارس 2026: خفض صلاحية الشهادة إلى 200 يوم
    • مايو 2026: معظم المخابرات المركزية العامة توقف إصدار EKU مجتمعة بشكل كامل
    • مارس 2027: تطبيق سياسة الكروم بشكل كامل

    موارد إضافية 

    • معرف تصحيح الأخطاء من Cisco: CSCws83036- تقييم التأثير لإنفاذ ClientAuth EKU في ISE 

    المراجع الخارجية 

    موارد المرجع المصدق 

    القرار 

    يمثل إعداد مصادقة العميل EKU في شهادات CA العامة تحولا هاما في سياسة الأمان يؤثر على عمليات نشر Cisco ISE باستخدام إتصالات mTLS. وفي حين أن هذا يمثل تغييرا على مستوى الصناعة بالكامل، فإن تقييم التأثير يعد أمرا بالغ الأهمية ويتطلب إتخاذ إجراءات فورية لمنع انقطاع الخدمة.

    محفوظات المراجعة

    المراجعة تاريخ النشر التعليقات
    1.0
    12-Mar-2026
    الإصدار الأولي
    TAC Authored

    تمت المساهمة بواسطة مهندسو Cisco

    • جوناثان كاسياس
      القائد الفني للأمان
    • جيسي دوبويس
      القائد الفني للأمان

    هل كان هذا المستند مفيدًا؟

    Feedbackالتعليقات

    اتصل بنا

    ينطبق هذا المستند على هذه المنتجات