يوضح هذا المستند كيفية حذف شهادات المستجيب OCSP منتهية الصلاحية و/أو على وشك الانتهاء في Cisco Identity Service Engine (ISE).
توصي Cisco بأن تكون لديك معرفة بالمواضيع التالية:
تستند المعلومات الواردة في هذا المستند إلى إصدارات البرامج والمكونات المادية التالية:
تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة.بدأت جميع الأجهزة المستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك قيد التشغيل، فتأكد من فهمك للتأثير المحتمل لأي أمر.
هناك مشكلة شائعة يواجهها العملاء الذين يستخدمون محرك خدمات الهوية من Cisco (ISE) وهي تلقي الإنذارات التي تشير إلى انتهاء صلاحية الشهادة، وعلى وجه التحديد عندما تنتهي صلاحية شهادة المستجيب OCSP أو توشك على الانتهاء ولا يمكن العثور على الشهادة. غالبا ما يدفع هذا الوضع العملاء إلى فتح حالات مركز المساعدة الفنية (TAC) للحصول على المساعدة. يهدف هذا الدليل إلى تمكين العملاء من تحديد مكان شهادات المستجيب OCSP منتهية الصلاحية أو التي توشك على الانتهاء بأنفسهم وحذفها، وبالتالي تجنب الحاجة إلى رفع حالة مركز المساعدة الفنية.
بروتوكول حالة الشهادة عبر الإنترنت (OCSP) هو بروتوكول يتم إستخدامه للتحقق من حالة الشهادات الرقمية X.509. يعد هذا البروتوكول بديلا لقائمة إبطال الشهادة (CRL) ويعالج المشاكل التي ينتج عنها معالجة قوائم التحكم في الوصول (CRL). يتمتع Cisco ISE بالقدرة على الاتصال بخوادم OCSP عبر HTTP للتحقق من حالة الشهادات في المصادقة. يتم تكوين تكوين OCSP في كائن تكوين قابل لإعادة الاستخدام يمكن الإشارة إليه من أي شهادة مرجع مصدق (CA) تم تكوينها في Cisco ISE.
في كل عملية نشر ل Cisco ISE، تكون شهادات المستجيب OCSP (بروتوكول حالة الشهادة عبر الإنترنت) موجودة بشكل افتراضي كجزء من البنية الأساسية ل CA الداخلي (المرجع المصدق). ويتم إصدار هذه الشهادات بواسطة المرجع المصدق الداخلي Cisco ISE على PPAN (عقدة إدارة السياسة الأساسية) ويتم إنشاؤها تلقائيا لكل عقدة في النشر، بما في ذلك PAN وجميع PSNs (عقد خدمة السياسة).
تعد إدارة شهادات المستجيب OCSP هذه أمرا مهما لأن الشهادات التي انتهت صلاحيتها أو على وشك الانتهاء يمكن أن تشغل تنبيهات انتهاء صلاحية الشهادة في لوحة معلومات Cisco ISE. على الرغم من أن Cisco ISE تقوم تلقائيا بإعادة إنشاء شهادات OCSP Responder جديدة، فإن الإدخالات منتهية الصلاحية تبقى في مخزن الشهادات الموثوق بها إلى أن يتم إزالتها يدويا.
في واجهة المستخدم الرسومية (GUI) PPAN (عقدة إدارة السياسة الأساسية)، انتقل إلى علامة التبويب لوحة المعلومات (1). في dashlet للإنذارات، انقر زر الفصل (2) لتوسيع جدول التنبيه.

انقر فوق تنبيه انتهاء صلاحية الشهادة لتوسيع الجدول وعرض إدخالات الشهادة المقترنة بالتنبيه.

يتم عرض كافة الشهادات التي أدت إلى تشغيل تنبيه انتهاء صلاحية الشهادة في هذا الجدول. يركز هذا الدليل فقط على شهادات المستجيب OCSP. إذا كان الجدول يتضمن أنواع شهادات أخرى منتهية الصلاحية، مثل EAP أو SAML أو Admin أو شهادات نظام أخرى، فارجع إلى وثائق Cisco ذات الصلة ودليل مسؤول Cisco ISE للحصول على توجيه حول أنواع الشهادات هذه.

راجع وصف التنبيه لتعريف الشهادة التي انتهت صلاحيتها أو، في بعض السيناريوهات، على وشك الانتهاء.
في هذا المثال، الشهادة منتهية الصلاحية هي: Certificate Services OCSP Responder - <node-name>#00004.
انتبه لاسم الشهادة. يستخدم هذا الاسم في الخطوات التالية لتحديد مكان الشهادة وحذفها من مخزن الشهادات الموثوق به.

انتقل إلى: الإدارة > النظام > الشهادات:

حدد علامة التبويب الشهادات الموثوق بها.

في صفحة الشهادات الموثوق بها، حدد إظهار شهادات المرجع المصدق الداخلية. يعرض هذا شهادات Cisco ISE الداخلية CA (المرجع المصدق)، بما في ذلك شهادات المستجيب OCSP التي تكون مخفية بشكل افتراضي.
بمجرد تحديده، يتغير الزر لإخفاء تراخيص CA الداخلية.
تحذير: هذه الخطوة مطلوبة. في حالة عدم تحديد إظهار شهادات المرجع المصدق الداخلي، لا تظهر شهادة المستجيب OCSP في جدول مخزن الشهادات الموثوق بها.

في جدول مخزن الشهادات الموثوق بها، حدد أيقونة عامل التصفية للبحث عن الشهادة التي يجب حذفها.

إذا كانت شهادة المستجيب OCSP على وشك الانتهاء، قم بالتصفية فقط بواسطة OCSP تحت الاسم المألوف. إذا كانت شهادة المستجيب OCSP منتهية الصلاحية بالفعل، تابع الإجراء التالي.

لتحديد موقع شهادة OCSP Responder منتهية الصلاحية، أدخل عوامل التصفية التالية:

يعرض الجدول شهادات مستجيب OCSP منتهية الصلاحية.
تلميح: إذا كنت تبحث عن شهادة مستجيب OCSP على وشك الانتهاء، يمكن عرض شهادات متعددة، وخاصة في عمليات النشر باستخدام عقد ISE المتعددة من Cisco. لتعريف الشهادة الصحيحة، لا تقم بالتصفية فقط بواسطة OCSP. بدلا من ذلك، قم بالترشيح حسب اسم الشهادة الكامل الذي تم عرضه في تفاصيل التنبيه في الخطوة 1.

حدد خانة الاختيار المجاورة لشهادة المستجيب OCSP التي يجب إزالتها وانقر فوق حذف.

حدد موافق في تحذير التأكيد لمتابعة حذف الشهادة.

قبل حذف الشهادة، من المهم فهم أن شهادة المستجيب OCSP هي جزء من البنية الأساسية ل ISE Internal CA.
التحذير الذي يظهر أثناء الحذف عام ويطبق على كل الشهادات الداخلية المتعلقة ب CA. والغرض منه هو التحذير من حذف الشهادات داخل التدرج الهرمي ل CA الداخلي، نظرا لأن بعض هذه الشهادات تشير إلى شهادات نقطة نهاية تستخدم في خدمات مثل BYOD أو pxGrid أو وظائف أخرى تعتمد على الشهادات الصادرة عن ISE Internal CA.
كما يمكن أن تؤثر شهادة OCSP Responder منتهية الصلاحية على الشهادات التي تم إصدارها من قبل ISE Internal CA. عندما يستعلم عميل أو خدمة عن حالة شهادة تم إصدارها من قبل المرجع المصدق هذا، ترجع خدمة OCSP خطأ بسبب انتهاء صلاحية شهادة المستجيب OCSP، مما قد يتسبب في فشل التحقق من حالة الشهادة.
عندما تقوم بتحديد حذف، يتم عرض خيارين:
ينطبق التأثير الموضح على شهادات CA الداخلية التي توقع شهادات نقطة النهاية بشكل نشط. لا توقع شهادة المستجيب OCSP شهادات نقطة النهاية، بل تستخدم لاتصال OCSP. بينما قد تتسبب شهادة OCSP Responder منتهية الصلاحية في فشل التحقق من حالة الشهادة للشهادات التي تم إصدارها من قبل CA الداخلي، فإن الشهادة منتهية الصلاحية بالفعل وبالتالي لم تعد توفر استجابات OCSP صالحة. لا يؤدي حذفه إلى أي تأثير إضافي.
نظرا لأن شهادة المستجيب OCSP في هذا السيناريو منتهية الصلاحية بالفعل، فإنها لم تعد صالحة. في هذه الحالة، ينتج عن كل من Delete و Delete و Revoke نفس النتيجة، نظرا لأنه لا يوجد شيء صالح لإبطاله.
ولهذه الأسباب، يكون الخيار "حذف" هو الخيار الموصى به، لأنه الإجراء الأكثر بساطة ويتجنب إنشاء إدخال إبطال غير ضروري.
ملاحظة: لا يتم إعادة إنشاء شهادات OCSP Responder أثناء العملية العادية. يتم إعادة توليدها فقط عندما يتم تثبيت تصحيح:
- في عملية نشر متعددة العقد، يتم إعادة إنشاء الشهادات عند تثبيت التصحيح من خلال واجهة المستخدم الرسومية (GUI).
- في عملية نشر مستقلة، يتم إعادة إنشاء الشهادات عند تثبيت التصحيح من خلال واجهة المستخدم الرسومية (GUI) أو واجهة سطر الأوامر (CLI).
يتم إنشاء شهادة OCSP Responder جديدة فقط عند تثبيت التصحيح التالي.
تحذير: تأكد من أن العقدة المتأثرة تحتوي على شهادة OCSP Responder نشطة وصالحة في مخزن الشهادات الموثوق به. إذا لم تكن هناك شهادة صالحة واستخدم OCSP للتحقق من صحة الشهادات الموقعة من قبل ISE Internal CA، يفشل التحقق من الصحة حتى يتم إنشاء شهادة مستجيب OCSP جديدة.
في حالة عدم وجود شهادة مستجيب OCSP صالحة، قم بتجديد شهادات المستجيب OCSP من PPAN (عقدة إدارة السياسات الأساسية) كما هو موضح هنا:
1. الوصول إلى واجهة المستخدم الرسومية (GUI) المتوافقة مع معايير ISE PPAN.
2. انتقل إلى الإدارة > النظام > الشهادات.
3. حدد طلبات توقيع الشهادة على اليسار.
4. انقر فوق إنشاء CSR. بالنسبة للاستخدام، حدد المستجيب Renew ISE OCSP.
5. انقر فوق تجديد شهادات ISE OCSP Responder لإكمال العملية.

بعد حذف الشهادة، يظهر إعلام "إستجابة الخادم" يشير إلى أن الشهادة الموثوق بها قد تم حذفها بنجاح:

بعد حذف الشهادة، يمكنك إستخدام أحد الطريقتين أو كليهما للتحقق من نجاح العملية.
انتقل إلى صفحة لوحة المعلومات.
في dashlet للإنذارات، حدد موقع تنبيه تغيير التكوين. حدد المنبه لعرض التفاصيل.

يجب أن يظهر إدخال يشير إلى حذف كائن تكوين. يجب أن يطابق اسم الكائن شهادة المستجيب OCSP التي تمت إزالتها.

كخطوة إضافية، انتقل إلى جدول مخزن الشهادات الموثوق بها ومرشح شهادة المستجيب OCSP. نظرا لحذف الشهادة، يجب ألا يعرض الجدول أية بيانات متاحة.
ملاحظة: تذكر أن تحدد إظهار شهادات المرجع المصدق الداخلية.

| المراجعة | تاريخ النشر | التعليقات |
|---|---|---|
1.0 |
06-Jul-2026
|
الإصدار الأولي |