إنشاء شهادة Umbrella Custom Root مع خدمات شهادات AD

المقدمة

يصف هذا المستند إرشادات إنشاء شهادة جذر مخصصة باستخدام خدمات شهادات Microsoft Windows Active Directory (AD).

المتطلبات الأساسية

المتطلبات

توصي Cisco بأن تكون لديك معرفة بالمواضيع التالية:

• إصدار من Microsoft Windows Server تدعمه Microsoft حاليا
• Active Directory Certificate Services مثبتة على خادم Windows
• حساب يحتوي على أدوار خدمات شهادات Active Directory وخدمة ويب/خدمة تسجيل ويب
• Certificate Services التي تم تكوينها لإصدار الشهادات باستخدام ترميز UTF-8 ("UTF8STRING")

المكونات المستخدمة

تستند المعلومات الواردة في هذا المستند إلى Cisco Umbrella.

تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك قيد التشغيل، فتأكد من فهمك للتأثير المحتمل لأي أمر.

نظرة عامة

تحتوي هذه المقالة على تعليمات لإنشاء شهادة جذر مخصصة (والتي يتم إستخدامها بدلا من شهادة مرجع مصدق الأصل (CA) القياسية من Cisco Umbrella) باستخدام خدمات شهادات Microsoft Windows Active Directory، ثم إستخدام تلك الشهادة الأساسية لتوقيع طلب توقيع شهادة (CSR) من ميزةشهادة المرجع المصدق الموقع من قبل العميل (CA) في Umbrella.

ترميز سلسلة الشهادات

إذا تم تكوين "خدمات الشهادات" لاستخدام الترميز الافتراضي ("PRINTABLESTRING") فلا يمكن الوثوق في سلسلة الشهادات التي تم إنتاجها بواسطة عملاء ويب معينين، وأبرزهم Firefox.

يستخدم وكيل Cisco Umbrella Secure Web Gateway سلسلة شهادات تقوم بترميز السلاسل باستخدام ترميز UTF8STRING. إذا تم تشفير شهادة الإصدار الخاصة بك (على سبيل المثال، شهادتك الجذر) التي توقع على CSR لإنشاء الشهادة الوسيطة Cisco Umbrella Customer CA باستخدام Printablestring، حينئذ يكون تشفير حقل موضوع شهادة Cisco Umbrella Customer CA هو Printablestring. لا يمكن أن يتطابق هذا الترميز مع ترميز UTF8STRING لحقل المصدر في الشهادة الوسيطة Cisco Umbrella R1 CA، والتي تكون التالية في سلسلة الشهادات.

يتطلب RFC 5280 قسم 4.1.2.6 أن تحتفظ سلسلة الشهادات بنفس ترميز السلسلة بين حقل المصدر للشهادة الصادرة وحقل الموضوع في شهادة الإصدار:

"عندما يكون موضوع الشهادة CA، يجب ترميز حقل الموضوع بنفس الطريقة التي يرمز بها في حقل المصدر (القسم 4.1.2.4) في جميع الشهادات التي يصدرها CA الموضوع."

والعديد من المتصفحات لا تفرض هذا الشرط، ولكن بعضها (وعلى الأخص متصفح Firefox) يفرض هذا الشرط. ونتيجة لذلك، يمكن لعملاء الويب مثل Firefox إنشاء خطأ موقع غير موثوق به وعدم تحميل مواقع ويب عند إستخدام "بوابة الويب الآمنة" (SWG) باستخدام ميزة شهادة المرجع المصدق (CA) الموقعة من قبل العميل.

للتعامل مع هذه المشكلة، أستخدم مستعرض مثل Chrome الذي لا يفرض متطلبات RFC 5280.

الخطوة 1: تجهيز قالب خدمات شهادات AD

1. افتح MMC الخاص ب "مرجع مصادقة خدمة Active Directory" من خلال الانتقال إلى Start (البدء) > Run (التشغيل) > MMC.

2. حدد ملف > إضافة/إزالة الأداة الإضافية وأضف قوالب الشهادات والأدوات الإضافية ل مرجع التصديق. حدد OK.

3. قم بتوسيع قوالب الشهادات وانقر بزر الماوس الأيمن فوق مرجع الشهادات التابع. انقر فوق القالب المكرر.

يمكنك الآن إنشاء قالب شهادة مخصص للتوافق مع المتطلبات المدرجة في وثائق Umbrella.

هذه هي المتطلبات التي يتم تفصيلها عند إنشاء هذه المادة:

• علامة التبويب العامة
  • أعط القالب اسما له معنى لك.
  • تعيين فترة الصلاحية لمدة 35 شهرا (أقل من 3 سنوات في الشهر).
  • تعيين فترة التجديد إلى 20 يوما.
• علامة التبويب الملحقات
  • انقر نقرا مزدوجا فوق القيود الأساسية.
    • تأكد من تحديد جعل هذا الملحق أمرا حيويا.
  • تحت إستخدام المفتاح:
    • تأكد من تحديد توقيع الشهادة وتوقيع CRL.
    • إلغاء تحديد التوقيع الرقمي.
    • تأكد من أن جعل هذا الملحق هاما مضغوط هنا أيضا.
• حدد تطبيق وموافق

الخطوة 2: قم بإصدار القالب

1. بالرجوع إلى MMC الذي قمت بإعداده في الخطوة 2 من العملية السابقة، قم بتوسيع قسم مرجع الشهادات.

2. في القسم الموسع حديثا، انقر بزر الماوس الأيمن فوق المجلد قوالب الشهادة وحدد جديد > قالب الشهادة المراد إصداره.

3. في الإطار الجديد، حدد اسم قالب الشهادة الذي قمت بإنشائه في القسم الأخير وحدد موافق.

والشركة مستعدة الآن لتيسير الطلب.

الخطوة 3: تنزيل CSR وتوقيعه

1. سجل الدخول إلى لوحة معلومات المظلة (https://dashboard.umbrella.com).

2. انتقل إلى عمليات النشر > التكوين > الشهادة الأساسية.

3. حدد أيقونة إضافة (+) في الزاوية ثم قم بتسمية المرجع المصدق في النافذة الجديدة.

4. تنزيل طلب توقيع الشهادة (CSR).

5. في علامة تبويب مستعرض جديدة، انتقل إلى خدمات ويب لخدمات شهادات Active Directory. (إذا كنت تستخدم جهاز محلي، فإن هذا سيكون 127.0.0.1/certsrv/ أو ما شابه.)

6. في الصفحة الجديدة، حدد طلب شهادة.

7. حدد طلب الشهادة المتقدم.

8. تحت الطلب المحفوظ، قم بنسخ ولصق محتويات CSR التي قمت بتنزيلها في الخطوة 4 (يجب أن تفتحها باستخدام محرر نصوص).

9. تحت قالب الشهادة حدد اسم قالب الشهادة الذي قمت بإنشائه في قسم تجهيز قالب خدمات شهادات AD" وحدد إرسال.

10. تأكد من تحديد ترميز Base64 وحدد شهادة التنزيل وتدوين مكان ملف .cer.

الخطوة 4: تحميل CSR الموقع (ومخزن الجذر العام)

1. على لوحة معلومات Umbrella، انتقل إلى النشر > التكوين > الشهادة الجذر.

2. حدد الشهادة الجذر التي قمت بإنشائها في الخطوة 3 من القسم السابق.

3. حدد تحميل CA في أسفل الركن الأيمن من الخط*.

4. حدد زر الاستعراض العلوي (المرجع المصدق (CSR الموقع)).

5. تصفح إلى مكان ملف .cer الذي أنشأته في القسم السابق وحدد حفظ.

6. حدد التالي وحدد مجموعات أجهزة الكمبيوتر/المستخدمين التي تريد إستخدام الشهادة معها (بدلا من شهادة جذر Cisco) وحدد حفظ.

*يمكنك أيضا تحميل شهادة CA بشكل إختياري. يمكن إسترداد هذا من واجهة ويب لخادم المرجع المصدق (http://127.0.0.1/certsrv/) ثم تحديد تنزيل شهادة CA أو سلسلة الشهادات أو CRL. أكمل المطالبات على الشاشة ل "تنزيل شهادة CA" في القاعدة 64.