فشل التسجيل التلقائي المستند إلى شهادة Endpoint DLP مع عدم توافق تجزئة SHA1

خيارات التنزيل

  • PDF     (252.4 KB)
    عرض باستخدام Adobe Reader على مجموعة متنوعة من الأجهزة
تم التحديث:٦ أبريل ٢٠٢٦
معرّف المستند:225916

لغة خالية من التحيز

تسعى مجموعة الوثائق لهذا المنتج جاهدة لاستخدام لغة خالية من التحيز. لأغراض مجموعة الوثائق هذه، يتم تعريف "خالية من التحيز" على أنها لغة لا تعني التمييز على أساس العمر، والإعاقة، والجنس، والهوية العرقية، والهوية الإثنية، والتوجه الجنسي، والحالة الاجتماعية والاقتصادية، والتمييز متعدد الجوانب. قد تكون الاستثناءات موجودة في الوثائق بسبب اللغة التي يتم تشفيرها بشكل ثابت في واجهات المستخدم الخاصة ببرنامج المنتج، أو اللغة المستخدمة بناءً على وثائق RFP، أو اللغة التي يستخدمها منتج الجهة الخارجية المُشار إليه. تعرّف على المزيد حول كيفية استخدام Cisco للغة الشاملة.

حول هذه الترجمة

ترجمت Cisco هذا المستند باستخدام مجموعة من التقنيات الآلية والبشرية لتقديم محتوى دعم للمستخدمين في جميع أنحاء العالم بلغتهم الخاصة. يُرجى ملاحظة أن أفضل ترجمة آلية لن تكون دقيقة كما هو الحال مع الترجمة الاحترافية التي يقدمها مترجم محترف. تخلي Cisco Systems مسئوليتها عن دقة هذه الترجمات وتُوصي بالرجوع دائمًا إلى المستند الإنجليزي الأصلي (الرابط متوفر).

المحتويات

مسألة

يفشل تسجيل نقطة النهاية DLP أثناء التسجيل التلقائي المستند إلى الشهادة مع أخطاء تهيئة متكررة. يتعذر على عملية التسجيل المصادقة باستخدام شهادة هوية العميل، مما يؤدي إلى محاولات إعادة محاولة مستمرة.

يتم ملاحظة رسائل الخطأ التالية في سجلات التسجيل:

[2026-02-05 13:24:58.154989] [info] [AutoEnrollMonitor.cpp:633] Auto-enrollment attempt #5 with enrollment choice orgid_EDLP_Enroll_Cert (1)
[2026-02-05 13:24:58.154989] [info] [SSEZtnaEnroller.cpp:185] Processing start event
[2026-02-05 13:24:58.155992] [info] [SSEZtnaEnroller.cpp:205] Starting Enrollment
[2026-02-05 13:24:58.398260] [error] [SSEZtnaEnroller.cpp:335] spIdentities count: 1
[2026-02-05 13:24:58.399259] [error] [SSEZtnaEnroller.cpp:355] None of the 1 user store client certificate(s) match the enrollment choice policy
[2026-02-05 13:24:58.407289] [info] [SSEZtnaEnroller.cpp:2237] Notifying enrollment completion with result: InitializationError
[2026-02-05 13:24:58.407289] [info] [SSEZtnaEnroller.cpp:2241] 
Enrollment Stats
================
Authentication type           : certificate
Bootstrap                     : failure (0.251 sec)
----------------
Overall result                : failure (0.251 sec)
[2026-02-05 13:24:58.408287] [info] [AutoEnrollMonitor.cpp:214] Notified of enrollment state change to Pending for Enrollment with enrollment choice orgid_EDLP_Enroll_Cert (1)
[2026-02-05 13:24:58.408287] [info] [AutoEnrollMonitor.cpp:214] Notified of enrollment state change to InitializationError for Enrollment with enrollment choice orgid_EDLP_Enroll_Cert (1)
[2026-02-05 13:24:58.408287] [info] [AutoEnrollMonitor.cpp:615] Will retry the enrollment with enrollment choice orgid_EDLP_Enroll_Cert (1) after 16 minutes

يتم توثيق حالات فشل مصادقة إضافية على مستوى TLS باستخدام رسالة الخطأ: "تم تلقي تنبيه TLS: شهادة خطيرة / سيئة.

البيئة

  • التقنية: دعم الحلول (SSPT - العقد مطلوب)
  • التقنية الفرعية: الوصول الآمن - سياسة موحدة (سياسات الإنترنت والسياسات الخاصة وسياسات DLP و RBI وملفات تعريف الأمان)
  • إصدار البرامج: الكل
  • أسلوب المصادقة: التسجيل التلقائي المستند إلى الشهادة
  • مخزن الشهادات: شهادات عميل مخزن المستخدم
  • خوارزمية تجزئة الشهادة: SHA1 (مهمل)

قرار

يتضمن الحل إعادة إنشاء شهادة الهوية باستخدام خوارزمية التجزئة المدعومة وضمان تثبيت الشهادة وتكوينها بشكل صحيح.

الخطوة 1: إعادة إنشاء شهادة الهوية باستخدام خوارزمية التجزئة المدعومة

قم بإنشاء وإعادة إصدار شهادة الهوية باستخدام تجزئة SHA256 أو SHA-3 بدلا من خوارزمية SHA1 المهملة. يجب إنشاء الشهادة بالمواصفات التالية:

  • خوارزمية التجزئة: SHA256 أو SHA-3 (SHA1 غير مدعوم)
  • التنسيق: تنسيق PKCS#12 (PFX)
  • الحقل المطلوب: حقل SAN باسم RFC822 كما هو محدد للتسجيل

الخطوة 2: تثبيت الشهادة المحدثة في مخزن الشهادات الصحيح

قم بتثبيت الشهادة التي تم إنشاؤها حديثا في موقع مخزن الشهادات المناسب:

  • موقع مخزن الشهادات: مستخدم/جهاز شخصي > مخزن الشهادات
  • تنسيق الشهادة: PKCS#12 (PFX)

الخطوة 3: إعادة تشغيل نقطة النهاية لإعادة تشغيل المصادقة

بعد تثبيت الشهادة المحدثة، قم بإعادة تشغيل نظام نقطة النهاية لإعادة تشغيل عملية المصادقة والسماح لآلية التسجيل باكتشاف الشهادة الجديدة.

الخطوة 4: إختبار المصادقة من شبكة غير مؤسسية

لاستبعاد تداخل فحص SSL أو فك تشفيرها بواسطة جدران الحماية الطرفية، اختبر عملية المصادقة من بيئة شبكة غير خاصة بالشركات. يساعد ذلك على عزل مشاكل فحص الشهادة على مستوى الشبكة المحتملة التي قد تتداخل مع عملية التسجيل.

الخطوة 5: إعادة محاولة تسجيل DLP لنقطة النهاية

بعد إكمال إستبدال الشهادة وإعادة تشغيل النظام، حاول تنفيذ عملية تسجيل DLP لنقطة النهاية مرة أخرى. مراقبة سجلات التسجيل للتحقق من صحة المصادقة الناجحة وإكمال التسجيل.

السبب

يرجع سبب فشل التسجيل إلى إستخدام خوارزمية تجزئة SHA1 في شهادات هوية العميل. SHA1 هي خوارزمية تجزئة مشفرة مهملة لم تعد مدعومة بمتطلبات سياسة التسجيل. يتطلب نظام التسجيل على وجه التحديد توزيع الشهادات على خوارزميات حديثة وآمنة مثل SHA256 أو SHA-3 لتلبية معايير الأمان الحالية والتوافق مع السياسات.

عندما تقوم عملية التسجيل بالتحقق من صحة شهادة العميل مقابل نهج إختيار التسجيل، فإنها ترفض الشهادات التي تستخدم خوارزمية تجزئة SHA1 المهملة، مما يؤدي إلى رسالة الخطأ "لا توجد شهادة (شهادات) عميل مخزن المستخدم الواحد تطابق سياسة إختيار التسجيل" وفشل التهيئة اللاحق.

المحتوى ذي الصلة

محفوظات المراجعة

المراجعة تاريخ النشر التعليقات
1.0
14-May-2026
الإصدار الأولي
TAC Authored

تمت المساهمة بواسطة مهندسو Cisco

  • أميت أرورا

هل كان هذا المستند مفيدًا؟

Feedbackالتعليقات

اتصل بنا

ينطبق هذا المستند على هذه المنتجات