إستبدال شهادة هوية وسيط بيانات تتبع الاستخدام

تم التحديث:٢٨ يونيو ٢٠٢٣
معرّف المستند:220537

لغة خالية من التحيز

تسعى مجموعة الوثائق لهذا المنتج جاهدة لاستخدام لغة خالية من التحيز. لأغراض مجموعة الوثائق هذه، يتم تعريف "خالية من التحيز" على أنها لغة لا تعني التمييز على أساس العمر، والإعاقة، والجنس، والهوية العرقية، والهوية الإثنية، والتوجه الجنسي، والحالة الاجتماعية والاقتصادية، والتمييز متعدد الجوانب. قد تكون الاستثناءات موجودة في الوثائق بسبب اللغة التي يتم تشفيرها بشكل ثابت في واجهات المستخدم الخاصة ببرنامج المنتج، أو اللغة المستخدمة بناءً على وثائق RFP، أو اللغة التي يستخدمها منتج الجهة الخارجية المُشار إليه. تعرّف على المزيد حول كيفية استخدام Cisco للغة الشاملة.

حول هذه الترجمة

ترجمت Cisco هذا المستند باستخدام مجموعة من التقنيات الآلية والبشرية لتقديم محتوى دعم للمستخدمين في جميع أنحاء العالم بلغتهم الخاصة. يُرجى ملاحظة أن أفضل ترجمة آلية لن تكون دقيقة كما هو الحال مع الترجمة الاحترافية التي يقدمها مترجم محترف. تخلي Cisco Systems مسئوليتها عن دقة هذه الترجمات وتُوصي بالرجوع دائمًا إلى المستند الإنجليزي الأصلي (الرابط متوفر).

    المقدمة

    يوضح هذا المستند كيفية إستبدال شهادة هوية الخادم على عقدة إدارة وسيط بيانات تتبع إستخدام البيانات (CTB) من Cisco.

    المتطلبات الأساسية

    المتطلبات

    توصي Cisco بأن تكون لديك معرفة بالمواضيع التالية:

    • إدارة جهاز وسيط بيانات تتبع الاستخدام من Cisco
    • شهادات x509

    المكونات المستخدمة

    تقوم الأجهزة المستخدمة لهذا المستند بتشغيل الإصدار 2.0.1

    • عقدة مدير وسيط بيانات تتبع الاستخدام من Cisco
    • عقدة وسيط بيانات تتبع الاستخدام من Cisco

    تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك قيد التشغيل، فتأكد من فهمك للتأثير المحتمل لأي أمر.

    التكوين

    متطلبات الشهادة

    يجب أن تستوفي شهادة X509 التي يستخدمها مدير وسيط بيانات تتبع إستخدام البيانات من Cisco هذه المتطلبات:

    • يجب أن يكون CERT و Private Key زوج مطابق
    • يجب أن تكون الشهادة والمفتاح الخاص مرمزين بتشفير PEM
    • يجب عدم حماية عبارة المرور للمفتاح الخاص

    تأكيد الشهادة والمفتاح الخاص هما زوجان متطابقان

    قم بتسجيل الدخول إلى "إدارة CTB" كمستخدم مسؤول.

    يعرض الأمر sudo openssl req -in server.csr -pubkey -noout -outform pem | sha256sum ينتج الأمر المجموع الاختباري للمفتاح العام SHA-256 من ملف طلب توقيع الشهادة. 

    يعرض الأمر sudo openssl pkey -in server.key -pubout -outform pem | sha256sumينتج الأمر المجموع الاختباري للمفتاح العام SHA-256 من ملف المفتاح الخاص.

    يعرض الأمر sudo openssl x509 -in server.crt -pubkey -noout -outform pem | sha256sumينتج الأمر المجموع الاختباري للمفتاح العام SHA-256 من ملف الشهادات الصادر.

    يجب أن يتطابق إخراج الشهادة والمفتاح الخاص. إذا لم يتم إستخدام طلب توقيع شهادة، فإن ملف server.crt غير موجود.

    admin@ctb-manager:~$ sudo openssl req -in server.csr -pubkey -noout -outform pem | sha256sum 
3e8e6b0d397ada1be7e89be21eb555c9527741460074385730d524c60e3ae315  -
admin@ctb-manager:~$  

admin@ctb-manager:~$ sudo openssl pkey -in server.key -pubout -outform pem | sha256sum
3e8e6b0d397ada1be7e89be21eb555c9527741460074385730d524c60e3ae315  -

admin@ctb-manager:~$ sudo openssl x509 -in server.crt -pubkey -noout -outform pem | sha256sum 
3e8e6b0d397ada1be7e89be21eb555c9527741460074385730d524c60e3ae315  -

    تأكيد المفتاح الخاص ليس عبارة مرور محمية

    قم بتسجيل الدخول إلى "إدارة CTB" كمستخدم مسؤول. تشغيل ssh-keygen -yf server.key erasecat4000_flash:.

    لا يتم طلب عبارة مرور إذا كان المفتاح الخاص لا يتطلب واحدة.

    admin@ctb-manager:~$ ssh-keygen -yf server.key 
ssh-rsa {removed for brevity}
admin@ctb-manager:~$

    تأكيد الشهادة والمفتاح الخاص مرمزان بواسطة PEM

    note-icon

    ملاحظة: يمكن إجراء عمليات التحقق هذه قبل تثبيت الشهادات.

    قم بتسجيل الدخول إلى "إدارة CTB" كمستخدم مسؤول.

    عرض محتوى ملف server.crt باستخدام sudo cat server.crt erasecat4000_flash:. قم بضبط الأمر على اسم ملف ترخيصك.

    admin@ctb-manager:~$ sudo cat server.crt 
-----BEGIN CERTIFICATE-----
{removed_for_brevity}
-----END CERTIFICATE-----
admin@ctb-manager:~$

    عرض ملف server.key باستخدام sudo cat server.key erasecat4000_flash:. قم بضبط الأمر على اسم ملف المفاتيح الخاصة.

    admin@ctb-manager:~$ sudo cat server.key 
-----BEGIN PRIVATE KEY-----
{removed_for_brevity}
-----END PRIVATE KEY-----
admin@ctb-manager:~$

    شهادة موقعة ذاتيا

    إنشاء شهادة موقعة ذاتيا

    1. قم بتسجيل الدخول إلى "إدارة CTB" عبر SSH (Secure Shell) بما أن المستخدم الذي تم تكوينه أثناء التثبيت، فهذا عادة ما يكون المستخدم "admin".

    2. قم بإصدار sudo openssl req -x509 -newkey rsa:{key_len} -nodes -keyout key.pem -out cert.pem -sha256 -days 3650 -subj /CN={ctb_manager_ip} erasecat4000_flash:.
      • تغيير rsa:{key_len} مع مفتاح خاص طول من إختيارك مثل 2048، 4096، أو 8192
      • تغيير {ctb_manager_ip}باستخدام IP الخاص بعقدة إدارة CTB

        admin@ctb-manager:~$ sudo openssl req -x509 -newkey rsa:4096 -nodes -keyout key.pem -out cert.pem -sha256 -days 3650 -subj /CN=10.209.35.152   
[sudo] password for admin: 
Generating a RSA private key
.....................................................................................++++
............................................................................++++
writing new private key to 'key.pem'
-----
admin@ctb-manager:~$  ​
    3. عرض ملف cert.pem باستخدام cat cert.pem قم بإصدار الأمر، ثم انسخ المحتويات إلى المخزن المؤقت لديك حتى يمكن لصقها على محطة العمل المحلية في محرر نصوص من إختيارك. ثم احفظ الملف. يمكنك أيضا مسح هذه الملفات من /home/admin  دليل. 

      admin@ctb-manager:~$ cat cert.pem 
-----BEGIN CERTIFICATE-----
{removed_for_brevity}
-----END CERTIFICATE-----
admin@ctb-manager:~$  ​


    4. عرض ملف key.pem باستخدام sudo cat key.pem قم بإصدار الأمر، ثم انسخ المحتويات إلى المخزن المؤقت لديك حتى يمكن لصقها على محطة العمل المحلية في محرر نصوص من إختيارك. ثم احفظ الملف. يمكنك أيضا مسح هذا الملف من على /home/admin دليل. 

      admin@ctb-manager:~$ sudo cat key.pem 
-----BEGIN PRIVATE KEY-----
{removed_for_brevity}
-----END PRIVATE KEY-----
admin@ctb-manager:~$  ​


    تحميل الشهادة الموقعة ذاتيا

    1. انتقل إلى واجهة مستخدم ويب لإدارة CTB وسجل الدخول كمستخدم مسؤول وانقر فوق رمز التروس للوصول "Settings".

      CTB Setting Iconأيقونة إعداد CTB

    2. انتقل إلى علامة التبويب "شهادة TLS".

      CTB Certificates Tabعلامة التبويب شهادات CTB

    3. تحديد Upload TLS Certificate ثم قم بتحديد cert.pem و key.pem للشهادة والمفتاح الخاص على التوالي في مربع الحوار "تحميل شهادة TLS". بمجرد تحديد الملفات، حدد تحميل.

      CTB Upload Window

    4. بمجرد تحديد الملفات، تؤكد عملية التحقق من الصحة تركيب الشهادة والمفتاح وتعرض الاسم الشائع للمصدر والموضوع كما هو موضح.

      CTB Cert Uploadتحميل شهادة CTB

    5. حدد الزر "تحميل" لتحميل الشهادة الجديدة. تتم إعادة تشغيل واجهة مستخدم الويب من تلقاء نفسها في بضع دقائق، وبعد ذلك تقوم بإعادة تشغيل تسجيل الدخول إلى الجهاز مرة أخرى.

    6. قم بتسجيل الدخول إلى وحدة تحكم ويب عقدة إدارة CTB وانتقل إلى Settings > TLS Certificate لمشاهدة تفاصيل الشهادة مثل تاريخ انتهاء صلاحية جديد أو عرض تفاصيل الشهادة باستخدام المستعرض لعرض معلومات أكثر تفصيلا مثل الأرقام التسلسلية.

    تحديث عقد الوسيط

    بمجرد أن تحتوي عقدة إدارة CTB على شهادة هوية جديدة، يجب تحديث كل عقدة وسيط CTB يدويا.

    1. سجل الدخول إلى كل عقدة وسيط عبر SSH وقم بتشغيل sudo ctb-manage 

      admin@ctb-broker:~$ sudo ctb-manage

We trust you have received the usual lecture from the local System
Administrator. It usually boils down to these three things:

    #1) Respect the privacy of others.
    #2) Think before you type.
    #3) With great power comes great responsibility.

[sudo] password for admin:  ​


    2. تحديد خيار cعندما يطلب منك.

      == Management Configuration

A manager configuration already exists for 10.209.35.152
Options:

(o) Associate this node with a new manager
(c) Re-fetch the manager's certificate but keep everything else
(d) Deactivate this node (should be done after removing this node on the manager UI)
(a) Abort

How would you like to proceed? [o/c/d/a] c​


    3. تحقق من تفاصيل الشهادة إذا كانت مطابقة لقيم الشهادة الموقعة وحدد y لقبول الشهادة. تبدأ الخدمات تلقائيا وبمجرد بدء تشغيل الخدمة يتم إرجاع المطالبة. يمكن أن تستغرق عملية بدء الخدمة ما يصل إلى 15 دقيقة لإكمالها.

      == Testing connection to server exists

== Fetching certificate from 10.209.35.152
Subject Hash
3fcbcd3c
subject=CN = 10.209.35.152
issuer=CN = 10.209.35.152
Validity:
notBefore=Mar 28 13:12:43 2023 GMT
notAfter=Mar 27 13:12:43 2024 GMT
X509v3 Subject Alternative Name: 
IP Address:10.209.35.152

Do you accept the authenticity of the server? [y/n] y

== Writing /var/lib/titan/titanium_proxy/ssl/titanium.pem
done

== Starting service​

    الشهادات التي يصدرها المرجع المصدق (CA)

    إنشاء طلب توقيع الشهادة (CSR) للإصدار من قبل مرجع مصدق

    1. قم بتسجيل الدخول إلى "إدارة CTB" عبر SSH (Secure Shell) بما أن المستخدم الذي تم تكوينه أثناء التثبيت، فهذا عادة ما يكون المستخدم "admin".

    2. قم بإصدار openssl req -new -newkey rsa:{key_len} -nodes -addext "subjectAltName = DNS:{ctb_manager_dns_name},IP:{ctb_manager_ip}" -keyout server.key -out server.csr erasecat4000_flash:. يمكن ترك السمات 'extra' في السطرين الأخيرين فارغة إذا رغبت في ذلك.
      • تغيير {ctb_manager_dns_name} مع اسم DNS لعقدة إدارة CTB
      • تغيير {ctb_manager_ip}باستخدام IP الخاص بعقدة إدارة CTB
      • تغيير {key_len} مع مفتاح خاص طول من إختيارك مثل 2048، 4096، أو 8192.  

        admin@ctb-manager:~$ openssl req -new -newkey rsa:4096 -nodes -addext "subjectAltName = DNS:ctb-manager,IP:10.209.35.152" -keyout server.key -out server.csr
Generating a RSA private key
......................++++
....................................++++
writing new private key to 'server.key'
-----
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [AU]:US
State or Province Name (full name) [Some-State]:North Carolina
Locality Name (eg, city) []:RTP
Organization Name (eg, company) [Internet Widgits Pty Ltd]:Cisco Systems Inc
Organizational Unit Name (eg, section) []:TAC
Common Name (e.g. server FQDN or YOUR name) []:ctb-manager
Email Address []:noreply@cisco.com

Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:
An optional company name []: ​


    3. SCP ال CSR والملفات الأساسية إلى جهاز محلي ووفر ال CSR إلى ال CA. إصدار CSR من قبل CA بتنسيق PEM خارج نطاق هذا المستند.

    إنشاء شهادة باستخدام سلسلة

    يصدر المرجع المصدق شهادة هوية الخادم بتنسيق PEM. يجب إنشاء ملف سلسلة يحتوي على كافة شهادات السلسلة وشهادة هوية الخادم لعقدة إدارة CTB.

    في محرر نصي قم بإنشاء ملف عن طريق تجميع الترخيص الموقع في الخطوة السابقة وإقران كل الشهادات في السلسلة على كل حال متضمنا المرجع المصدق الثقة في ملف واحد بتنسيق PEM بالترتيب الموضح.

    — BEGIN CERTIFICATE — 
{CTB Manager Issued Certificate}
— END CERTIFICATE —
— BEGIN CERTIFICATE —
{Issuing Certificate Authority Certificate}
— END CERTIFICATE —
— BEGIN CERTIFICATE —
{Intermediate Certificate Authority Certificate}
— END CERTIFICATE —
— BEGIN CERTIFICATE —
{Root Certificate Authority Certificate}
— END CERTIFICATE —



    تأكد من أن ملف الشهادة الجديد مع ملف السلسلة ليس له مسافات بادئة أو تالية، وبنود فارغة، وهو بالترتيب الظاهر أعلاه.

    تحميل الشهادة التي أصدرها المرجع المصدق

    1. انتقل إلى واجهة مستخدم ويب لإدارة CTB وسجل الدخول كمسؤول وانقر فوق رمز التروس للوصول "Settings".

      CTB Setting Iconأيقونة إعداد CTB

    2. انتقل إلى علامة التبويب "شهادة TLS".

      CTB Certificates Tabعلامة التبويب شهادات CTB

    3. تحديد Upload TLS Certificate ثم حدد الترخيص مع ملف متسلسل تم إنشائه في القسم الأخير، وتم إنشاء إدارة CTB key.pem للشهادة والمفتاح الخاص على التوالي في مربع الحوار "تحميل شهادة TLS". بمجرد تحديد الملفات، حدد تحميل.

      CTB Upload Window

    4. بمجرد تحديد الملفات، تؤكد عملية التحقق من الصحة مجموعة الشهادات والمفتاح وتعرض الاسم المشترك للمصدر والموضوع كما هو موضح أدناه.

      CTB CA Issued Cert Validationالتحقق من صحة شهادة CTB التي تم إصدارها

    5. حدد الزر "تحميل" لتحميل الشهادة الجديدة. تتم إعادة تشغيل واجهة مستخدم ويب بنفسها في حوالي 60 ثانية، قم بتسجيل الدخول إلى واجهة مستخدم ويب بعد إعادة تشغيلها.

    6. قم بتسجيل الدخول إلى وحدة تحكم ويب عقدة إدارة CTB وانتقل إلى Settings > TLS Certificate لمشاهدة تفاصيل الشهادة مثل تاريخ انتهاء صلاحية جديد أو عرض تفاصيل الشهادة باستخدام المستعرض لعرض معلومات أكثر تفصيلا مثل الأرقام التسلسلية.

    تحديث عقد الوسيط

    بمجرد أن تحتوي عقدة إدارة CTB على شهادة هوية جديدة، يجب تحديث كل عقدة وسيط CTB يدويا.

    1. سجل الدخول إلى كل عقدة وسيط عبر SSH وقم بتشغيل sudo ctb-manage 

      admin@ctb-broker:~$ sudo ctb-manage

We trust you have received the usual lecture from the local System
Administrator. It usually boils down to these three things:

    #1) Respect the privacy of others.
    #2) Think before you type.
    #3) With great power comes great responsibility.

[sudo] password for admin:  ​


    2. تحديد خيار cعندما يطلب منك.

      == Management Configuration

A manager configuration already exists for 10.209.35.152
Options:

(o) Associate this node with a new manager
(c) Re-fetch the manager's certificate but keep everything else
(d) Deactivate this node (should be done after removing this node on the manager UI)
(a) Abort

How would you like to proceed? [o/c/d/a] c​


    3. تحقق من تفاصيل الشهادة إذا كانت مطابقة لقيم الشهادة الموقعة وحدد y لقبول الشهادة. تبدأ الخدمات تلقائيا وبمجرد بدء تشغيل الخدمة يتم إرجاع المطالبة. يمكن أن تستغرق عملية بدء الخدمة ما يصل إلى 15 دقيقة لإكمالها. 

      == Testing connection to server exists

== Fetching certificate from 10.209.35.152
Subject Hash
fa7fd0fb
subject=C = US, ST = North Carolina, L = RTP, O = "Cisco Systems Inc", OU = TAC, CN = ctb-manager, emailAddress = noreply@cisco.com
issuer=DC = CiscoTAC, CN = Issuing CA
Validity:
notBefore=Jun 13 16:09:29 2023 GMT
notAfter=Sep 11 16:19:29 2023 GMT
X509v3 Subject Alternative Name: 
DNS:ctb-manager, IP Address:10.209.35.152

Do you accept the authenticity of the server? [y/n] y

== Writing /var/lib/titan/titanium_proxy/ssl/titanium.pem
done

== Starting service​

    التحقق من الصحة

    قم بتسجيل الدخول إلى وحدة تحكم ويب عقدة إدارة CTB وانتقل إلى Settings > TLS Certificate لمشاهدة تفاصيل الشهادة مثل تاريخ انتهاء صلاحية جديد أو عرض تفاصيل الشهادة باستخدام المستعرض لعرض معلومات أكثر تفصيلا مثل الأرقام التسلسلية.

    CTB Certificate Detailsتفاصيل شهادة CTB

    تحقق من عدم إظهار عقدة وسيط CTB أية تنبيهات في واجهة مستخدم ويب عقدة إدارة CTB.

    استكشاف الأخطاء وإصلاحها

    إذا كانت الشهادة غير مكتملة مثل عدم وجود شهادات السلسلة، فلن تتمكن عقدة وسيط CTB من الاتصال بعقدة الإدارة وتعرض "لم يتم مشاهدتها منذ ذلك الحين" في عمود الحالة في قائمة عقد الوسيط.
    ستستمر عقدة الوسيط في نسخ حركة مرور البيانات وتوزيعها في هذه الحالة.

    قم بتسجيل الدخول إلى واجهة سطر الأوامر (CLI) الخاصة بعقدة إدارة CTB وأصدر الأمر sudo grep -ic begin /var/lib/titan/titanium_frontend/ssl/cert.pem أمر لترى كم ترخيص في ملف cert.pem.

    admin@ctb-manager:~$ sudo grep -ic begin /var/lib/titan/titanium_frontend/ssl/cert.pem
[sudo] password for admin: 
3 <-- Output 
admin@ctb-manager:~$

    تحتاج قيمة الإخراج التي تم إرجاعها إلى تساوي عدد أجهزة CA في السلسلة بالإضافة إلى "إدارة CTB".

    من المتوقع إخراج 1 في حالة إستخدام شهادة موقعة ذاتيا.

    من المتوقع إخراج 2 إذا كانت البنية الأساسية ل PKI تتكون من مرجع مصدق جذر واحد يكون هو أيضا المرجع المصدق الذي يتم إصداره.

    من المتوقع إخراج 3 إذا كانت البنية الأساسية ل PKI تتكون من مرجع مصدق رئيسي، وإصدار CA.

    من المتوقع أن يكون الناتج 4 إذا كانت البنية الأساسية ل PKI تتكون من CA الجذر و CA التابع و CA الإصدار.

    مقارنة المخرجات مع PKI المسرودة عند عرض الترخيص في تطبيق آخر مثل Microsoft Windows Crypto Shell Extensions.

    PKI Infrastructureالبنية الأساسية ل PKI

    في هذه الصورة تتضمن البنية الأساسية ل PKI المرجع المصدق الجذر و المرجع المصدق الإصدار.

    من المتوقع أن تكون قيمة الإخراج من الأمر 3 في هذا السيناريو.

    إذا كان الإخراج لا يفي بالتوقعات، راجع الخطوات الموجودة في قسم إنشاء شهادة باستخدام سلسلة لتحديد ما إذا كانت الشهادة قد تم فقدها.

    عند عرض الشهادة في Microsoft Windows Crypto Shell Extensions من الممكن ألا يتم تقديم كل الشهادات إذا كان الجهاز المحلي لا يملك معلومات كافية للتحقق من الشهادة.

    قم بإصدار sudo ctb-mayday أمر من ال CLI أن يلد يوم حزمة ل TAC أن يراجع.

    محفوظات المراجعة

    المراجعة تاريخ النشر التعليقات
    1.0
    05-Jul-2023
    الإصدار الأولي
    TAC Authored

    تمت المساهمة بواسطة مهندسو Cisco

    • Joshua Martin
      Cisco TAC Engineer

    هل كان هذا المستند مفيدًا؟

    Feedbackالتعليقات

    اتصل بنا

    ينطبق هذا المستند على هذه المنتجات