تسعى مجموعة الوثائق لهذا المنتج جاهدة لاستخدام لغة خالية من التحيز. لأغراض مجموعة الوثائق هذه، يتم تعريف "خالية من التحيز" على أنها لغة لا تعني التمييز على أساس العمر، والإعاقة، والجنس، والهوية العرقية، والهوية الإثنية، والتوجه الجنسي، والحالة الاجتماعية والاقتصادية، والتمييز متعدد الجوانب. قد تكون الاستثناءات موجودة في الوثائق بسبب اللغة التي يتم تشفيرها بشكل ثابت في واجهات المستخدم الخاصة ببرنامج المنتج، أو اللغة المستخدمة بناءً على وثائق RFP، أو اللغة التي يستخدمها منتج الجهة الخارجية المُشار إليه. تعرّف على المزيد حول كيفية استخدام Cisco للغة الشاملة.
ترجمت Cisco هذا المستند باستخدام مجموعة من التقنيات الآلية والبشرية لتقديم محتوى دعم للمستخدمين في جميع أنحاء العالم بلغتهم الخاصة. يُرجى ملاحظة أن أفضل ترجمة آلية لن تكون دقيقة كما هو الحال مع الترجمة الاحترافية التي يقدمها مترجم محترف. تخلي Cisco Systems مسئوليتها عن دقة هذه الترجمات وتُوصي بالرجوع دائمًا إلى المستند الإنجليزي الأصلي (الرابط متوفر).
يوضح هذا المستند كيفية إستبدال شهادة هوية الخادم على عقدة إدارة وسيط بيانات تتبع إستخدام البيانات (CTB) من Cisco.
توصي Cisco بأن تكون لديك معرفة بالمواضيع التالية:
تقوم الأجهزة المستخدمة لهذا المستند بتشغيل الإصدار 2.0.1
تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك قيد التشغيل، فتأكد من فهمك للتأثير المحتمل لأي أمر.
يجب أن تستوفي شهادة X509 التي يستخدمها مدير وسيط بيانات تتبع إستخدام البيانات من Cisco هذه المتطلبات:
قم بتسجيل الدخول إلى "إدارة CTB" كمستخدم مسؤول.
يعرض الأمر sudo openssl req -in server.csr -pubkey -noout -outform pem | sha256sum
ينتج الأمر المجموع الاختباري للمفتاح العام SHA-256 من ملف طلب توقيع الشهادة.
يعرض الأمر sudo openssl pkey -in server.key -pubout -outform pem | sha256sum
ينتج الأمر المجموع الاختباري للمفتاح العام SHA-256 من ملف المفتاح الخاص.
يعرض الأمر sudo openssl x509 -in server.crt -pubkey -noout -outform pem | sha256sum
ينتج الأمر المجموع الاختباري للمفتاح العام SHA-256 من ملف الشهادات الصادر.
يجب أن يتطابق إخراج الشهادة والمفتاح الخاص. إذا لم يتم إستخدام طلب توقيع شهادة، فإن ملف server.crt غير موجود.
admin@ctb-manager:~$ sudo openssl req -in server.csr -pubkey -noout -outform pem | sha256sum
3e8e6b0d397ada1be7e89be21eb555c9527741460074385730d524c60e3ae315 -
admin@ctb-manager:~$
admin@ctb-manager:~$ sudo openssl pkey -in server.key -pubout -outform pem | sha256sum
3e8e6b0d397ada1be7e89be21eb555c9527741460074385730d524c60e3ae315 -
admin@ctb-manager:~$ sudo openssl x509 -in server.crt -pubkey -noout -outform pem | sha256sum
3e8e6b0d397ada1be7e89be21eb555c9527741460074385730d524c60e3ae315 -
قم بتسجيل الدخول إلى "إدارة CTB" كمستخدم مسؤول. تشغيل ssh-keygen -yf server.key
erasecat4000_flash:.
لا يتم طلب عبارة مرور إذا كان المفتاح الخاص لا يتطلب واحدة.
admin@ctb-manager:~$ ssh-keygen -yf server.key
ssh-rsa {removed for brevity}
admin@ctb-manager:~$
ملاحظة: يمكن إجراء عمليات التحقق هذه قبل تثبيت الشهادات.
قم بتسجيل الدخول إلى "إدارة CTB" كمستخدم مسؤول.
عرض محتوى ملف server.crt باستخدام sudo cat server.crt
erasecat4000_flash:. قم بضبط الأمر على اسم ملف ترخيصك.
admin@ctb-manager:~$ sudo cat server.crt
-----BEGIN CERTIFICATE-----
{removed_for_brevity}
-----END CERTIFICATE-----
admin@ctb-manager:~$
عرض ملف server.key باستخدام sudo cat server.key
erasecat4000_flash:. قم بضبط الأمر على اسم ملف المفاتيح الخاصة.
admin@ctb-manager:~$ sudo cat server.key
-----BEGIN PRIVATE KEY-----
{removed_for_brevity}
-----END PRIVATE KEY-----
admin@ctb-manager:~$
sudo openssl req -x509 -newkey rsa:{key_len} -nodes -keyout key.pem -out cert.pem -sha256 -days 3650 -subj /CN={ctb_manager_ip}
erasecat4000_flash:.
rsa:{key_len}
مع مفتاح خاص طول من إختيارك مثل 2048، 4096، أو 8192{ctb_manager_ip}
باستخدام IP الخاص بعقدة إدارة CTBadmin@ctb-manager:~$ sudo openssl req -x509 -newkey rsa:4096 -nodes -keyout key.pem -out cert.pem -sha256 -days 3650 -subj /CN=10.209.35.152
[sudo] password for admin:
Generating a RSA private key
.....................................................................................++++
............................................................................++++
writing new private key to 'key.pem'
-----
admin@ctb-manager:~$
cat cert.pem
قم بإصدار الأمر، ثم انسخ المحتويات إلى المخزن المؤقت لديك حتى يمكن لصقها على محطة العمل المحلية في محرر نصوص من إختيارك. ثم احفظ الملف. يمكنك أيضا مسح هذه الملفات من /home/admin
دليل. admin@ctb-manager:~$ cat cert.pem
-----BEGIN CERTIFICATE-----
{removed_for_brevity}
-----END CERTIFICATE-----
admin@ctb-manager:~$
sudo cat key.pem
قم بإصدار الأمر، ثم انسخ المحتويات إلى المخزن المؤقت لديك حتى يمكن لصقها على محطة العمل المحلية في محرر نصوص من إختيارك. ثم احفظ الملف. يمكنك أيضا مسح هذا الملف من على /home/admin
دليل. admin@ctb-manager:~$ sudo cat key.pem
-----BEGIN PRIVATE KEY-----
{removed_for_brevity}
-----END PRIVATE KEY-----
admin@ctb-manager:~$
Settings
".Upload TLS Certificate
ثم قم بتحديد cert.pem
و key.pem
للشهادة والمفتاح الخاص على التوالي في مربع الحوار "تحميل شهادة TLS". بمجرد تحديد الملفات، حدد تحميل. Settings > TLS Certificate
لمشاهدة تفاصيل الشهادة مثل تاريخ انتهاء صلاحية جديد أو عرض تفاصيل الشهادة باستخدام المستعرض لعرض معلومات أكثر تفصيلا مثل الأرقام التسلسلية.بمجرد أن تحتوي عقدة إدارة CTB على شهادة هوية جديدة، يجب تحديث كل عقدة وسيط CTB يدويا.
sudo ctb-manage
admin@ctb-broker:~$ sudo ctb-manage
We trust you have received the usual lecture from the local System
Administrator. It usually boils down to these three things:
#1) Respect the privacy of others.
#2) Think before you type.
#3) With great power comes great responsibility.
[sudo] password for admin:
c
عندما يطلب منك.== Management Configuration
A manager configuration already exists for 10.209.35.152
Options:
(o) Associate this node with a new manager
(c) Re-fetch the manager's certificate but keep everything else
(d) Deactivate this node (should be done after removing this node on the manager UI)
(a) Abort
How would you like to proceed? [o/c/d/a] c
y
لقبول الشهادة. تبدأ الخدمات تلقائيا وبمجرد بدء تشغيل الخدمة يتم إرجاع المطالبة. يمكن أن تستغرق عملية بدء الخدمة ما يصل إلى 15 دقيقة لإكمالها.== Testing connection to server exists
== Fetching certificate from 10.209.35.152
Subject Hash
3fcbcd3c
subject=CN = 10.209.35.152
issuer=CN = 10.209.35.152
Validity:
notBefore=Mar 28 13:12:43 2023 GMT
notAfter=Mar 27 13:12:43 2024 GMT
X509v3 Subject Alternative Name:
IP Address:10.209.35.152
Do you accept the authenticity of the server? [y/n] y
== Writing /var/lib/titan/titanium_proxy/ssl/titanium.pem
done
== Starting service
openssl req -new -newkey rsa:{key_len} -nodes -addext "subjectAltName = DNS:{ctb_manager_dns_name},IP:{ctb_manager_ip}" -keyout server.key -out server.csr
erasecat4000_flash:. يمكن ترك السمات 'extra' في السطرين الأخيرين فارغة إذا رغبت في ذلك.{ctb_manager_dns_name}
مع اسم DNS لعقدة إدارة CTB{ctb_manager_ip}
باستخدام IP الخاص بعقدة إدارة CTB{key_len}
مع مفتاح خاص طول من إختيارك مثل 2048، 4096، أو 8192. admin@ctb-manager:~$ openssl req -new -newkey rsa:4096 -nodes -addext "subjectAltName = DNS:ctb-manager,IP:10.209.35.152" -keyout server.key -out server.csr
Generating a RSA private key
......................++++
....................................++++
writing new private key to 'server.key'
-----
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [AU]:US
State or Province Name (full name) [Some-State]:North Carolina
Locality Name (eg, city) []:RTP
Organization Name (eg, company) [Internet Widgits Pty Ltd]:Cisco Systems Inc
Organizational Unit Name (eg, section) []:TAC
Common Name (e.g. server FQDN or YOUR name) []:ctb-manager
Email Address []:noreply@cisco.com
Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:
An optional company name []:
يصدر المرجع المصدق شهادة هوية الخادم بتنسيق PEM. يجب إنشاء ملف سلسلة يحتوي على كافة شهادات السلسلة وشهادة هوية الخادم لعقدة إدارة CTB.
في محرر نصي قم بإنشاء ملف عن طريق تجميع الترخيص الموقع في الخطوة السابقة وإقران كل الشهادات في السلسلة على كل حال متضمنا المرجع المصدق الثقة في ملف واحد بتنسيق PEM بالترتيب الموضح.
— BEGIN CERTIFICATE —
{CTB Manager Issued Certificate}
— END CERTIFICATE —
— BEGIN CERTIFICATE —
{Issuing Certificate Authority Certificate}
— END CERTIFICATE —
— BEGIN CERTIFICATE —
{Intermediate Certificate Authority Certificate}
— END CERTIFICATE —
— BEGIN CERTIFICATE —
{Root Certificate Authority Certificate}
— END CERTIFICATE —
تأكد من أن ملف الشهادة الجديد مع ملف السلسلة ليس له مسافات بادئة أو تالية، وبنود فارغة، وهو بالترتيب الظاهر أعلاه.
Settings
".Upload TLS Certificate
ثم حدد الترخيص مع ملف متسلسل تم إنشائه في القسم الأخير، وتم إنشاء إدارة CTB key.pem
للشهادة والمفتاح الخاص على التوالي في مربع الحوار "تحميل شهادة TLS". بمجرد تحديد الملفات، حدد تحميل.Settings > TLS Certificate
لمشاهدة تفاصيل الشهادة مثل تاريخ انتهاء صلاحية جديد أو عرض تفاصيل الشهادة باستخدام المستعرض لعرض معلومات أكثر تفصيلا مثل الأرقام التسلسلية.بمجرد أن تحتوي عقدة إدارة CTB على شهادة هوية جديدة، يجب تحديث كل عقدة وسيط CTB يدويا.
sudo ctb-manage
admin@ctb-broker:~$ sudo ctb-manage
We trust you have received the usual lecture from the local System
Administrator. It usually boils down to these three things:
#1) Respect the privacy of others.
#2) Think before you type.
#3) With great power comes great responsibility.
[sudo] password for admin:
c
عندما يطلب منك.== Management Configuration
A manager configuration already exists for 10.209.35.152
Options:
(o) Associate this node with a new manager
(c) Re-fetch the manager's certificate but keep everything else
(d) Deactivate this node (should be done after removing this node on the manager UI)
(a) Abort
How would you like to proceed? [o/c/d/a] c
y
لقبول الشهادة. تبدأ الخدمات تلقائيا وبمجرد بدء تشغيل الخدمة يتم إرجاع المطالبة. يمكن أن تستغرق عملية بدء الخدمة ما يصل إلى 15 دقيقة لإكمالها. == Testing connection to server exists
== Fetching certificate from 10.209.35.152
Subject Hash
fa7fd0fb
subject=C = US, ST = North Carolina, L = RTP, O = "Cisco Systems Inc", OU = TAC, CN = ctb-manager, emailAddress = noreply@cisco.com
issuer=DC = CiscoTAC, CN = Issuing CA
Validity:
notBefore=Jun 13 16:09:29 2023 GMT
notAfter=Sep 11 16:19:29 2023 GMT
X509v3 Subject Alternative Name:
DNS:ctb-manager, IP Address:10.209.35.152
Do you accept the authenticity of the server? [y/n] y
== Writing /var/lib/titan/titanium_proxy/ssl/titanium.pem
done
== Starting service
قم بتسجيل الدخول إلى وحدة تحكم ويب عقدة إدارة CTB وانتقل إلى Settings > TLS Certificate
لمشاهدة تفاصيل الشهادة مثل تاريخ انتهاء صلاحية جديد أو عرض تفاصيل الشهادة باستخدام المستعرض لعرض معلومات أكثر تفصيلا مثل الأرقام التسلسلية.
تحقق من عدم إظهار عقدة وسيط CTB أية تنبيهات في واجهة مستخدم ويب عقدة إدارة CTB.
إذا كانت الشهادة غير مكتملة مثل عدم وجود شهادات السلسلة، فلن تتمكن عقدة وسيط CTB من الاتصال بعقدة الإدارة وتعرض "لم يتم مشاهدتها منذ ذلك الحين" في عمود الحالة في قائمة عقد الوسيط.
ستستمر عقدة الوسيط في نسخ حركة مرور البيانات وتوزيعها في هذه الحالة.
قم بتسجيل الدخول إلى واجهة سطر الأوامر (CLI) الخاصة بعقدة إدارة CTB وأصدر الأمر sudo grep -ic begin /var/lib/titan/titanium_frontend/ssl/cert.pem
أمر لترى كم ترخيص في ملف cert.pem.
admin@ctb-manager:~$ sudo grep -ic begin /var/lib/titan/titanium_frontend/ssl/cert.pem
[sudo] password for admin:
3 <-- Output
admin@ctb-manager:~$
تحتاج قيمة الإخراج التي تم إرجاعها إلى تساوي عدد أجهزة CA في السلسلة بالإضافة إلى "إدارة CTB".
من المتوقع إخراج 1 في حالة إستخدام شهادة موقعة ذاتيا.
من المتوقع إخراج 2 إذا كانت البنية الأساسية ل PKI تتكون من مرجع مصدق جذر واحد يكون هو أيضا المرجع المصدق الذي يتم إصداره.
من المتوقع إخراج 3 إذا كانت البنية الأساسية ل PKI تتكون من مرجع مصدق رئيسي، وإصدار CA.
من المتوقع أن يكون الناتج 4 إذا كانت البنية الأساسية ل PKI تتكون من CA الجذر و CA التابع و CA الإصدار.
مقارنة المخرجات مع PKI المسرودة عند عرض الترخيص في تطبيق آخر مثل Microsoft Windows Crypto Shell Extensions
.
في هذه الصورة تتضمن البنية الأساسية ل PKI المرجع المصدق الجذر و المرجع المصدق الإصدار.
من المتوقع أن تكون قيمة الإخراج من الأمر 3 في هذا السيناريو.
إذا كان الإخراج لا يفي بالتوقعات، راجع الخطوات الموجودة في قسم إنشاء شهادة باستخدام سلسلة لتحديد ما إذا كانت الشهادة قد تم فقدها.
عند عرض الشهادة في Microsoft Windows Crypto Shell Extensions
من الممكن ألا يتم تقديم كل الشهادات إذا كان الجهاز المحلي لا يملك معلومات كافية للتحقق من الشهادة.
قم بإصدار sudo ctb-mayday
أمر من ال CLI أن يلد يوم حزمة ل TAC أن يراجع.
المراجعة | تاريخ النشر | التعليقات |
---|---|---|
1.0 |
05-Jul-2023 |
الإصدار الأولي |