تكوين التسجيل التلقائي ل ZTNA للوصول الآمن

المقدمة

يصف هذا المستند الخطوات المطلوبة لتكوين ZTNA للتسجيل التلقائي المستند إلى الشهادة.

المتطلبات الأساسية

- الإصدار 5.1.9.x الأدنى من Secure Client

- الوحدة النمطية للنظام الأساسي الموثوق به (TPM) لنظام التشغيل Windows

- المعالج المساعد الآمن Secure Pocket لأجهزة Apple

المتطلبات

توصي Cisco بأن تكون لديك معرفة بالمواضيع التالية:

• Cisco Secure Access
• تسجيل الأجهزة في الوصول بدون ثقة باستخدام قسم دليل الشهادة

المكونات المستخدمة

تستند المعلومات الواردة في هذا المستند إلى إصدارات البرامج والمكونات المادية التالية:

• Windows 11 مع الوحدة النمطية للنظام الأساسي الموثوق به (TPM) الإصدار 2.0
• Secure Client الإصدار 5.1.10.17 مع تمكين وحدة ZTNA و Duo النمطية.
• Microsoft Active Directory 2022
• أداة OpenSSL لإنشاء الشهادات

تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك قيد التشغيل، فتأكد من فهمك للتأثير المحتمل لأي أمر.

تمكين التسجيل التلقائي في لوحة معلومات الوصول الآمن

تتمثل الخطوة الأولى في تمكين هذه الميزة في تمكين ميزة التسجيل التلقائي للوصول الآمن التي تتضمن:

1. انتقل إلى لوحة المعلومات -> اتصال -> اتصال المستخدم النهائي -> ثقة منعدمة 

2. انقر فوق خيار الإدارة.

3. تمكين شهادات الاستخدام.

4. قم بتحميل شهادة المرجع المصدق عن طريق تنزيلها من المرجع المصدق المحلي.

5. قم بتنزيل "تكوين التسجيل" ووضعه في الأدلة استنادا إلى نظام التشغيل.

-Windows: C:\ProgramData\Cisco\CiscoSecure Client\ZTA\Enrollment_options
- MacOS: /opt/cisco/secureclient/zta/enrollment_choices

6. تأكد من حفظ إعداداتك بمجرد اكتمالها.

قالب الشهادة والتثبيت

يتطلب الوصول الآمن حقول الشهادة الإلزامية التالية:

- الموضوع الاسم البديل (SAN) لتضمين المستخدم عنوان البريد الإلكتروني للشكوى RFC-822 أو الاسم الأساسي للمستخدم (UPN)

مثال:

الخيار 1: بريد إلكتروني متوافق مع RFC822
البريد الإلكتروني.1 = username@domain.local

الخيار 2: (بديل): UPN (خاص ب Microsoft)
OtherName:1.3.6.1.4.1.311.20.2.3؛UTF8:username@domain.local

في هذا المثال، نستخدم قالب شهادة المستخدم في Microsoft AD لإنشاء الشهادة. 

الخطوة 1: انتقل إلى Microsoft AD وافتح إدارة الشهادات

الخطوة 2: فتح تشغيل وإدخال Microsoft Management Console (MMC) 

الخطوة 3: انقر على ملف ثم قم بإضافة/إزالة أداة إضافية

الخطوة 4: إضافة قوالب شهادات

الخطوة 5: تكرار شهادة المستخدم

الخطوة 6: قم بتكوين الإعدادات كما هو موضح

1. اسم قالب جديد: يتم الآن تسجيل ztna-client ضمن علامة التبويب (عام).

2. حدد (عرض في الطلب) في علامة التبويب (اسم الموضوع).

ملاحظة: هذا يضمن قبول الخيارات التي يوفرها قالب OpenSSL مثل اسم الخدمة البديل (SAN)

الخطوة 7: انقر فوق "موافق" لحفظ القالب الجديد

الخطوة 8: قم بإضافة القالب الجديد إلى قائمة قالب AD عن طريق القيام بما يلي:

1. تشغيل certsrv.msc

2. انقر بزر الماوس الأيمن فوق "قوالب الشهادات" وحدد "قالب شهادة" جديد -> لإصداره

3. حدد القالب الذي تم إنشاؤه حديثا (ztna-client-register)

إنشاء شهادة باستخدام OpenSSL 

الخطوة 1: إنشاء ملف san.cnf بمحتوى

[ req ]
default_bits       = 2048
prompt             = no
default_md         = sha256
distinguished_name = dn
req_extensions     = req_ext

[ dn ]
C  = US
ST = Texas
L  = Austin
O  = exampleusername
OU = IT
CN = exampleusername

[ req_ext ]
subjectAltName = @alt_names

[ alt_names ]
# Option 1: RFC822-compliant email
email.1 = user@domain.local

# Option 2 (alternative): UPN (Microsoft-specific)
#otherName:1.3.6.1.4.1.311.20.2.3;UTF8:user@domain.local

الخطوة 2: إنشاء شهادة باستخدام القالب

openssl genrsa -out user.key 2048
openssl req -new -key user.key -out user.csr
openssl req -new -key user.key -out user.csr -config san.cnf

توقيع شهادة المستخدم بقالب CA ZTNA

الخطوة 1: انسخ محتوى الملف user.csr

الخطوة 2: انتقل إلى سلطة توقيع الإعلانات المحلية (https:http://<ip-address>/certsrv/)

الخطوة 3: انقر على طلب شهادة -> طلب شهادة متقدم -> حدد قالب تسجيل عميل ZTNA

الخطوة 4: قم بتنزيل الشهادة بتنسيق Base64 وتثبيتها في شهادة المتجر الشخصي الموثوق به للمستخدم.

الخطوة 5: تأكيد المعلومات الصحيحة الموجودة في الشهادة

الخطوة 6: إعادة تشغيل وحدة ZTNA النمطية لبدء التسجيل 

التحقق من الصحة

استخدم هذا القسم لتأكيد عمل التكوين بشكل صحيح.

الخطوة 1: رسالة وحدة ZTNA النمطية عند تكوين ملف خيارات التسجيل:

الخطوة 2: بعد إعادة تشغيل وحدة ZTNA النمطية لأول مرة يمكنك أن ترى أنك مسجل تلقائيا في ZTNA

الخطوة 3: تحقق من ظهور المستخدم المناسب في البحث عن النشاط استنادا إلى معلومات شبكة منطقة التخزين (SAN)

الخطوة 4: تأكيد المعلومات الصحيحة الموجودة في الشهادة

استكشاف الأخطاء وإصلاحها

يوفر هذا القسم معلومات يمكنك استخدامها لاستكشاف أخطاء التكوين وإصلاحها.

الخطوة 1:  تأكد من وجود المعلومات الصحيحة في الشهادة وأنها مثبتة في مخزن الشهادات الصحيح.

الخطوة 2: تأكيد عدم فشل التسجيل في متطلبات الشهادة باستخدام DART

الخطوة 3: تأكد من قدرتك على حل واجهة FTD الخارجية بشكل صحيح إذا كان UZTNA قيد الاستخدام.

خطأ شائع:

2025-06-16 05:44:45.609237 csc_zta_agent[0x00001638, 0x00000e58] T/ NetworkTransportStateTracker.cpp:110 NetworkTransportStateTracker::transitionState()  transitoned state: Initialized->Connecting 
2025-06-16 05:44:45.609237 csc_zta_agent[0x00001638, 0x00000e58] T/ AppSocketTransport.cpp:231 AppSocketTransport::OnNextTransportStateChange() tcp:51470__20.20.20.150 05411A30 stream=189 nextTransportState: Connecting 
2025-06-16 05:44:45.609237 csc_zta_agent[0x00001638, 0x00000e58] T/ NetworkTransportStateTracker.cpp:110 NetworkTransportStateTracker::transitionState()  transitoned state: Initialized->Connecting 
2025-06-16 05:44:45.609237 csc_zta_agent[0x00001638, 0x00000e58] I/ TcpTransport.cpp:114 TcpTransport::ConnectTransport()  headendInfo=TCP destination [ftd.marvel.local]:443 
2025-06-16 05:44:45.609237 csc_zta_agent[0x00001638, 0x00000e58] T/ NetworkTransportStateTracker.cpp:110 NetworkTransportStateTracker::transitionState()  transitoned state: Initialized->Connecting 
2025-06-16 05:44:45.610238 csc_zta_agent[0x00001638, 0x00000e58] T/ TcpTransport.cpp:150 TcpTransport::ConnectTransport() resolving dns for ftd.marvel.local 
2025-06-16 05:44:45.610238 csc_zta_agent[0x00001638, 0x00000e58] E/ TcpTransport.cpp:166 TcpTransport::handleDnsResolveComplete()  dns resolve error No such host is known 

معلومات ذات صلة 

• الدعم التقني والمستندات - Cisco Systems