يوضح هذا المستند كيفية إنشاء شهادات موقعة ذاتيا لتكوين مزود خدمة (SP) لغة تأكيد الأمان.
أستخدم هذا المستند لإنشاء شهادات موقعة ذاتيا للغة تمييز تأكيد الأمان (SAML) 2.0 لتكوين مزود خدمة تسجيل الدخول الأحادي (SSO) على جهاز أمان البريد الإلكتروني (ESA) وأجهزة إدارة الأمان (SMA).
الطريقة 1 (واجهة مستخدم ويب ESA): الوصول الإداري ل ESA في واجهة مستخدم ويب والإذن بإدارة الشهادات.
الأسلوب 2 (أمر OpenSSL): OpenSSL مثبت ومتوفر من سطر الأوامر.
Windows: قم بتثبيت OpenSSL.
نظام التشغيل MacOS أو Linux أو Unix: يكون OpenSSL متاحا بشكل نموذجي افتراضيا أو من خلال مدير حزمة نظام التشغيل.
لا توجد متطلبات أجهزة وبرامج معينة.
تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك قيد التشغيل، فتأكد من فهمك للتأثير المحتمل لأي أمر.
ينطبق هذا المستند على عمليات نشر Email Security Appliance (ESA) و Security Management Appliance (SMA) التي تستخدم لغة تمييز تأكيد الأمان (SAML) 2.0 تسجيل الدخول الأحادي (SSO). يتطلب تكوين SAML SP شهادات طبقة مآخذ التوصيل الآمنة (SSL) لإعداد مزود الخدمة. يمكن أن تأتي الشهادات من أدوات شهادات داخلية أو مرجع مصدق (CA) أو شهادة موقعة ذاتيا.
يلزم توفر شهادات موقعة ذاتيا في بعض عمليات نشر SAML SP ل ESA و SMA. يوضح هذا المستند كيفية إنشاء الشهادة والمفتاح الخاص، وتشفير المفتاح الخاص إختياريا باستخدام عبارة مرور.
أستخدم هذه الطريقة عندما تدير ESA الشهادة بالفعل ويجب تصدير الشهادة لاستخدام SAML SP.
إنشاء الشهادة.
1. في واجهة مستخدم ويب ESA ، انتقل إلى الشبكة > الشهادات. حدد إضافة شهادة، ثم حدد إنشاء شهادة موقعة ذاتيا.
2. أدخل حقول القالب: الاسم الشائع، التنظيم، الوحدة التنظيمية، المدينة، الدولة، البلد، المدة (1-18250 يوما).
3. تعيين حجم المفتاح الخاص إلى 2048.
إكمال قالب الشهادة الموقع ذاتيا
4. إرسال الشهادة، ومراجعة النتيجة، وتحديد الالتزام بالتغييرات.
عرض بعد التكوين
تصدير الشهادة.
1. في واجهة مستخدم ويب ESA، انتقل إلى شبكة > شهادات > تصدير شهادات.
2. حدد الشهادة المراد تصديرها، وقم بإنشاء عبارة مرور، وحدد تصدير، ثم احفظ الملف في دليل.
ملاحظة: SAML SSO للإدارة يمكن أن يستورد شهادات PKCS#12 (PFX). إذا لم يكن تشفير المفاتيح الخاصة مطلوبا، تكون خطوات التحويل المتبقية إختيارية.
تحويل الشهادة.
الشهادة المصدرة بتنسيق PKCS#12/PFX وتتطلب التحويل إلى بريد محسن للخصوصية (PEM).
قم بتشغيل أمر OpenSSL هذا لتحويل ملف PFX إلى تنسيق PEM.
openssl pkcs12 -in <certname>.pfx -nokeys -out cert.pem -nodes
openssl pkcs12 -in SAML_SSO.pfx -out UNIX_FULL.pem -nodes
قم بتحرير المحتويات وقسم المخرجات إلى ملفين.
1. يتطلب الملف المحول حديثا تحرير ثانوي.
2. افتح ملفين فارغينفي محرر نصوص واسمهما <name>.crt و<name>.key.
3. انسخ القسم —بدء الشهادة— خلال — نهاية الشهادة— من الملف المحول.
4. الصق المحتويات في ملف <name>.crt واحفظه.
5. انسخ المقطع — بدء المفتاح الخاص — من خلال — نهاية المفتاح الخاص — من الملف المحول.
6. الصق المحتويات في ملف <name>.key واحفظه.
7. يمكن الآن تحميل الشهادة والمفتاح إلى جزء SAML SP من التكوين.
أستخدم هذه الطريقة عندما يجب إنشاء زوج شهادات ومفتاح مباشرة من سطر الأوامر.
قم بإنشاء زوج الشهادات والمفتاح.
قم بتشغيل الأمر OpenSSL في واجهة سطر أوامر Unix أو Linux أو MacOS. استبدل المجال بالاسم المطلوب.
openssl req -newkey rsa:2048 -nodes -keyout domain.key -x509 -days 1095 -out domain.crt
أثناء الإنشاء، يتم عرض مطالبات الحقول المدرجة.
يتم إنشاء ملفين في الدليل الذي يتم فيه تشغيل الأمر: saml_ssl.crt و saml_ssl.key.
$ openssl req -newkey rsa:2048 -nodes -keyout saml_sso.key -x509 -days 1095 -out saml_sso.crt
Generating a 2048 bit RSA private key
..........+++
................................................................................................................................+++
writing new private key to 'saml_sso.key'
-----
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) []:US
State or Province Name (full name) []:NC
Locality Name (for example, city) []:Raleigh
Organization Name (for example, company) []:Cisco
Organizational Unit Name (for example, section) []:ESA_TAC
Common Name (for example, fully qualified host name) []:SAML_SSO
Email Address []:user@example.com
تشفير المفتاح الخاص (إختياري؛ غير مطلوب للتكوين).
ملاحظة: لا تقم بإعادة إستخدام أمثلة لعبارات المرور. هذا المفتاح على سبيل المثال لأغراض فقط.
يتطلب الأمر OpenSSL هذا مفتاحا خاصا غير مشفر (unencrypted.key) وينتج مفتاح مشفر (encrypted.key):
openssl rsa -des3 -in unencrypted.key -out encrypted.key
openssl rsa -des3 -in saml_sso.key -out saml_secure.key
$ openssl rsa -des3 -in saml_sso.key -out saml_secure.key
writing RSA key
Enter PEM pass phrase:
Verifying - Enter PEM pass phrase:
$ ls
saml_sso.crt
saml_sso.key
saml_secure.key
الشهادة والمفتاح جاهزان لإعداد SAML SSO SP أو SSO SP للبريد العشوائي.
جهاز أمان البريد الإلكتروني من Cisco - أدلة المستخدم النهائي
جهاز إدارة أمان المحتوى من Cisco - أدلة المستخدم النهائي
Cisco Web Security (أمان الويب) - أدلة المستخدم النهائي
| المراجعة | تاريخ النشر | التعليقات |
|---|---|---|
1.0 |
14-Jul-2026
|
الإصدار الأولي |