تسعى مجموعة الوثائق لهذا المنتج جاهدة لاستخدام لغة خالية من التحيز. لأغراض مجموعة الوثائق هذه، يتم تعريف "خالية من التحيز" على أنها لغة لا تعني التمييز على أساس العمر، والإعاقة، والجنس، والهوية العرقية، والهوية الإثنية، والتوجه الجنسي، والحالة الاجتماعية والاقتصادية، والتمييز متعدد الجوانب. قد تكون الاستثناءات موجودة في الوثائق بسبب اللغة التي يتم تشفيرها بشكل ثابت في واجهات المستخدم الخاصة ببرنامج المنتج، أو اللغة المستخدمة بناءً على وثائق RFP، أو اللغة التي يستخدمها منتج الجهة الخارجية المُشار إليه. تعرّف على المزيد حول كيفية استخدام Cisco للغة الشاملة.
ترجمت Cisco هذا المستند باستخدام مجموعة من التقنيات الآلية والبشرية لتقديم محتوى دعم للمستخدمين في جميع أنحاء العالم بلغتهم الخاصة. يُرجى ملاحظة أن أفضل ترجمة آلية لن تكون دقيقة كما هو الحال مع الترجمة الاحترافية التي يقدمها مترجم محترف. تخلي Cisco Systems مسئوليتها عن دقة هذه الترجمات وتُوصي بالرجوع دائمًا إلى المستند الإنجليزي الأصلي (الرابط متوفر).
يوضح هذا المستند كيفية إستبدال شهادة هوية الخادم على عقدة إدارة وسيط بيانات تتبع إستخدام البيانات (CTB) من Cisco.
توصي Cisco بأن تكون لديك معرفة بالمواضيع التالية:
تقوم الأجهزة المستخدمة لهذا المستند بتشغيل الإصدار 2.0.1
تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك قيد التشغيل، فتأكد من فهمك للتأثير المحتمل لأي أمر.
يجب أن تستوفي شهادة X509 التي يستخدمها مدير وسيط بيانات تتبع إستخدام البيانات من Cisco هذه المتطلبات:
سجل الدخول إلى واجهة سطر الأوامر (CLI) الخاصة ب CTB Manager كمستخدم مسؤول.
ملاحظة: من المحتمل أن الملفات المذكورة في هذا القسم غير موجودة بعد على النظام.
ينتجsudo openssl req -in server.csr -pubkey -noout -outform pem | sha256sum
الأمر المجموع الاختباري للمفتاح العام SHA-256 من ملف طلب توقيع الشهادة.
ينتجsudo openssl pkey -in server_key.pem -pubout -outform pem | sha256sum
الأمر المجموع الاختباري للمفتاح العام SHA-256 من ملف المفتاح الخاص.
ينتجsudo openssl x509 -in server_cert.pem -pubkey -noout -outform pem | sha256sum
الأمر المجموع الاختباري للمفتاح العام SHA-256 من ملف الشهادات الصادر.
يجب أن يتطابق إخراج الشهادة والمفتاح الخاص. إذا لم يتم إستخدام "طلب توقيع الشهادة"، فإن ملف server_cert.pem غير موجود.
admin@ctb-manager:~$ sudo openssl req -in server.csr -pubkey -noout -outform pem | sha256sum
3e8e6b0d397ada1be7e89be21eb555c9527741460074385730d524c60e3ae315 -
admin@ctb-manager:~$
admin@ctb-manager:~$ sudo openssl pkey -in server_key.pem -pubout -outform pem | sha256sum
3e8e6b0d397ada1be7e89be21eb555c9527741460074385730d524c60e3ae315 -
admin@ctb-manager:~$ sudo openssl x509 -in server_cert.pem -pubkey -noout -outform pem | sha256sum
3e8e6b0d397ada1be7e89be21eb555c9527741460074385730d524c60e3ae315 -
قم بتسجيل الدخول إلى "إدارة CTB" كمستخدم مسؤول. قم بتشغيلssh-keygen -yf server_key.pem
الأمر.
لا يتم طلب عبارة مرور إذا كان المفتاح الخاص لا يتطلب واحدة.
admin@ctb-manager:~$ ssh-keygen -yf server_key.pem
ssh-rsa {removed for brevity}
admin@ctb-manager:~$
ملاحظة: يمكن تنفيذ عمليات التحقق هذه قبل تثبيت الشهادات.
قم بتسجيل الدخول إلى "إدارة CTB" كمستخدم مسؤول.
عرض محتوى ملف server_cert.pem باستخدامsudo cat server_cert.pem
الأمر. قم بضبط الأمر على اسم ملف ترخيصك.
يجب أن تكون الأسطر الأولى والأخيرة من الملف -----BEGIN CERTIFICATE-----
و-----END CERTIFICATE-----
على التوالي.
admin@ctb-manager:~$ sudo cat server_cert.pem
-----BEGIN CERTIFICATE-----
{removed_for_brevity}
-----END CERTIFICATE-----
admin@ctb-manager:~$
اعرض ملف server_key.pem باستخدامsudo cat server_key.pem
الأمر. قم بضبط الأمر على اسم ملف المفاتيح الخاصة.
يجب أن تكون الأسطر الأولى والأخيرة من الملف -----BEGIN PRIVATE KEY-----
و-----END PRIVATE KEY-----
على التوالي.
admin@ctb-manager:~$ sudo cat server_key.pem
-----BEGIN PRIVATE KEY-----
{removed_for_brevity}
-----END PRIVATE KEY-----
admin@ctb-manager:~$
sudo openssl req -x509 -newkey rsa:{key_len} -nodes -keyout server_key.pem -out server_cert.pem -sha256 -days 3650 -subj /CN={ctb_manager_ip}
الأمر.
rsa:{key_len}
المفتاح الخاص الذي تختاره مثل 2048 أو 4096 أو 8192{ctb_manager_ip}
باستخدام IP الخاص بعقدة إدارة CTBadmin@ctb-manager:~$ sudo openssl req -x509 -newkey rsa:4096 -nodes -keyout server_key.pem -out server_cert.pem -sha256 -days 3650 -subj /CN=10.209.35.152
[sudo] password for admin:
Generating a RSA private key
.....................................................................................++++
............................................................................++++
writing new private key to 'server_key.pem'
-----
admin@ctb-manager:~$
cat server_cert.pem
الأمر، وانسخ المحتويات إلى المخزن المؤقت لديك حتى يمكن لصقه إلى محطة العمل المحلية في محرر نصوص من إختيارك. ثم احفظ الملف. يمكنك أيضا مسح هذه الملفات عن /home/admin
الدليل. admin@ctb-manager:~$ cat server_cert.pem
-----BEGIN CERTIFICATE-----
{removed_for_brevity}
-----END CERTIFICATE-----
admin@ctb-manager:~$
sudo cat server_key.pem
الأمر ونسخ المحتويات إلى المخزن المؤقت لديك حتى يمكن لصقه إلى محطة العمل المحلية في محرر نصوص من إختيارك. ثم احفظ الملف. يمكنك أيضا مسح هذا الملف خارج /home/admin
الدليل. admin@ctb-manager:~$ sudo cat server_key.pem
-----BEGIN PRIVATE KEY-----
{removed_for_brevity}
-----END PRIVATE KEY-----
admin@ctb-manager:~$
Settings
.Upload TLS Certificate
ثم حدد server_cert.pem
والمفتاح الخاص server_key.pem
والشهادة على التوالي في مربع الحوار "تحميل شهادة TLS". بمجرد تحديد الملفات، حدد تحميل. Settings > TLS Certificate
لمشاهدة تفاصيل الشهادة مثل تاريخ انتهاء صلاحية جديد، أو عرض تفاصيل الشهادة باستخدام المستعرض لعرض معلومات أكثر تفصيلا مثل الأرقام التسلسلية.بمجرد أن تحتوي عقدة إدارة CTB على شهادة هوية جديدة، يجب تحديث كل عقدة وسيط CTB يدويا.
sudo ctb-manage
الأمر admin@ctb-broker:~$ sudo ctb-manage
We trust you have received the usual lecture from the local System
Administrator. It usually boils down to these three things:
#1) Respect the privacy of others.
#2) Think before you type.
#3) With great power comes great responsibility.
[sudo] password for admin:
c
عند طلبها.== Management Configuration
A manager configuration already exists for 10.209.35.152
Options:
(o) Associate this node with a new manager
(c) Re-fetch the manager's certificate but keep everything else
(d) Deactivate this node (should be done after removing this node on the manager UI)
(a) Abort
How would you like to proceed? [o/c/d/a] c
y
قبول الشهادة. تبدأ الخدمات تلقائيا وبمجرد بدء تشغيل الخدمة يتم إرجاع المطالبة. يمكن أن تستغرق عملية بدء الخدمة ما يصل إلى 15 دقيقة لإكمالها.== Testing connection to server exists
== Fetching certificate from 10.209.35.152
Subject Hash
3fcbcd3c
subject=CN = 10.209.35.152
issuer=CN = 10.209.35.152
Validity:
notBefore=Mar 28 13:12:43 2023 GMT
notAfter=Mar 27 13:12:43 2024 GMT
X509v3 Subject Alternative Name:
IP Address:10.209.35.152
Do you accept the authenticity of the server? [y/n] y
== Writing /var/lib/titan/titanium_proxy/ssl/titanium.pem
done
== Starting service
openssl req -new -newkey rsa:{key_len} -nodes -addext "subjectAltName = DNS:{ctb_manager_dns_name},IP:{ctb_manager_ip}" -keyout server_key.pem -out server.csr
الأمر. يمكن ترك السمات 'extra' في السطرين الأخيرين فارغة إذا رغبت في ذلك.{ctb_manager_dns_name}
اسم DNS لعقدة إدارة CTB{ctb_manager_ip}
باستخدام IP الخاص بعقدة إدارة CTB{key_len}
المفتاح الخاص الذي تختاره مثل 2048 أو 4096 أو 8192. admin@ctb-manager:~$ openssl req -new -newkey rsa:4096 -nodes -addext "subjectAltName = DNS:ctb-manager,IP:10.209.35.152" -keyout server_key.pem -out server.csr
Generating a RSA private key
......................++++
....................................++++
writing new private key to 'server_key.pem'
-----
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [AU]:US
State or Province Name (full name) [Some-State]:North Carolina
Locality Name (eg, city) []:RTP
Organization Name (eg, company) [Internet Widgits Pty Ltd]:Cisco Systems Inc
Organizational Unit Name (eg, section) []:TAC
Common Name (e.g. server FQDN or YOUR name) []:ctb-manager
Email Address []:noreply@cisco.com
Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:
An optional company name []:
يصدر المرجع المصدق شهادة هوية الخادم بتنسيق PEM. يجب إنشاء ملف سلسلة يحتوي على كافة شهادات السلسلة وشهادة هوية الخادم لعقدة إدارة CTB.
في محرر نصي قم بإنشاء ملف عن طريق تجميع الترخيص الموقع في الخطوة السابقة وإقران كل الشهادات في السلسلة على كل حال متضمنا المرجع المصدق الثقة في ملف واحد بتنسيق PEM بالترتيب الموضح.
— BEGIN CERTIFICATE —
{CTB Manager Issued Certificate}
— END CERTIFICATE —
— BEGIN CERTIFICATE —
{Issuing Certificate Authority Certificate}
— END CERTIFICATE —
— BEGIN CERTIFICATE —
{Intermediate Certificate Authority Certificate}
— END CERTIFICATE —
— BEGIN CERTIFICATE —
{Root Certificate Authority Certificate}
— END CERTIFICATE —
تأكد من أن ملف الشهادة الجديد مع ملف السلسلة ليس له مسافات بادئة أو تالية، وبنود فارغة، وهو بالترتيب الظاهر أعلاه.
Settings
.Upload TLS Certificate
ثم حدد الشهادة ذات ملف السلسلة الذي تم إنشاؤه في القسم الأخير، وقد تم إنشاء إدارة CTB server_key.pem
للشهادة والمفتاح الخاص على التوالي في مربع الحوار "تحميل شهادة TLS". بمجرد تحديد الملفات، حدد تحميل.Settings > TLS Certificate
لمشاهدة تفاصيل الشهادة مثل تاريخ انتهاء صلاحية جديد، أو عرض تفاصيل الشهادة باستخدام المستعرض لعرض معلومات أكثر تفصيلا مثل الأرقام التسلسلية.بمجرد أن تحتوي عقدة إدارة CTB على شهادة هوية جديدة، يجب تحديث كل عقدة وسيط CTB يدويا.
sudo ctb-manage
الأمر admin@ctb-broker:~$ sudo ctb-manage
We trust you have received the usual lecture from the local System
Administrator. It usually boils down to these three things:
#1) Respect the privacy of others.
#2) Think before you type.
#3) With great power comes great responsibility.
[sudo] password for admin:
c
عند طلبها.== Management Configuration
A manager configuration already exists for 10.209.35.152
Options:
(o) Associate this node with a new manager
(c) Re-fetch the manager's certificate but keep everything else
(d) Deactivate this node (should be done after removing this node on the manager UI)
(a) Abort
How would you like to proceed? [o/c/d/a] c
y
قبول الشهادة. تبدأ الخدمات تلقائيا وبمجرد بدء تشغيل الخدمة يتم إرجاع المطالبة. يمكن أن تستغرق عملية بدء الخدمة ما يصل إلى 15 دقيقة لإكمالها. == Testing connection to server exists
== Fetching certificate from 10.209.35.152
Subject Hash
fa7fd0fb
subject=C = US, ST = North Carolina, L = RTP, O = "Cisco Systems Inc", OU = TAC, CN = ctb-manager, emailAddress = noreply@cisco.com
issuer=DC = CiscoTAC, CN = Issuing CA
Validity:
notBefore=Jun 13 16:09:29 2023 GMT
notAfter=Sep 11 16:19:29 2023 GMT
X509v3 Subject Alternative Name:
DNS:ctb-manager, IP Address:10.209.35.152
Do you accept the authenticity of the server? [y/n] y
== Writing /var/lib/titan/titanium_proxy/ssl/titanium.pem
done
== Starting service
قم بتسجيل الدخول إلى وحدة تحكم الويب الخاصة بعقدة إدارة CTB وانتقلSettings > TLS Certificate
لمشاهدة تفاصيل الشهادة مثل تاريخ انتهاء صلاحية جديد، أو عرض تفاصيل الشهادة باستخدام المستعرض لعرض معلومات أكثر تفصيلا مثل الأرقام التسلسلية.
تفاصيل شهادة CTB
تحقق من عدم إظهار عقدة وسيط CTB أية تنبيهات في واجهة مستخدم ويب عقدة إدارة CTB.
إذا كانت الشهادة غير مكتملة مثل عدم وجود شهادات السلسلة، فلن تتمكن عقدة وسيط CTB من الاتصال بعقدة الإدارة وتعرض "لم يتم مشاهدتها منذ ذلك الحين" في عمود الحالة في قائمة عقد الوسيط.
ستستمر عقدة الوسيط في نسخ حركة مرور البيانات وتوزيعها في هذه الحالة.
قم بتسجيل الدخول إلى واجهة سطر الأوامر (CLI) الخاصة بعقدة إدارة CTB وأصدرsudo grep -ic begin /var/lib/titan/titanium_frontend/ssl/cert.pem
الأمر للاطلاع على عدد الشهادات الموجودة في ملف cert.pem.
admin@ctb-manager:~$ sudo grep -ic begin /var/lib/titan/titanium_frontend/ssl/cert.pem
[sudo] password for admin:
3 <-- Output
admin@ctb-manager:~$
تحتاج قيمة الإخراج التي تم إرجاعها إلى تساوي عدد أجهزة CA في السلسلة بالإضافة إلى "إدارة CTB".
من المتوقع إخراج 1 في حالة إستخدام شهادة موقعة ذاتيا.
من المتوقع إخراج 2 إذا كانت البنية الأساسية ل PKI تتكون من مرجع مصدق جذر واحد يكون هو أيضا المرجع المصدق الذي يتم إصداره.
من المتوقع إخراج 3 إذا كانت البنية الأساسية ل PKI تتكون من مرجع مصدق رئيسي، وإصدار CA.
من المتوقع أن يكون الناتج 4 إذا كانت البنية الأساسية ل PKI تتكون من CA الجذر و CA التابع و CA الإصدار.
قارن المخرج مع PKI المسرود عند عرض الترخيص في تطبيق آخر مثل Microsoft Windows Crypto Shell Extensions
.
البنية الأساسية ل PKI
في هذه الصورة تتضمن البنية الأساسية ل PKI المرجع المصدق الجذر و المرجع المصدق الإصدار.
من المتوقع أن تكون قيمة الإخراج من الأمر 3 في هذا السيناريو.
إذا كان الإخراج لا يفي بالتوقعات، راجع الخطوات الموجودة في قسم إنشاء شهادة باستخدام سلسلة لتحديد ما إذا كانت الشهادة قد تم فقدها.
عند عرض شهادة في Microsoft Windows Crypto Shell Extensions
ذلك من الممكن أن لا يتم تقديم كل الشهادات إذا كان الجهاز المحلي ليس لديه معلومات كافية للتحقق من الترخيص.
أصدرت الأمرsudo ctb-mayday
من ال CLI أن يلد يوم حزمة ل TAC أن يراجع.
المراجعة | تاريخ النشر | التعليقات |
---|---|---|
1.0 |
05-Jul-2023 |
الإصدار الأولي |