تثبيت وتجديد الشهادات على ASA المدارة من قبل ASDM

خيارات التنزيل

  • PDF     (7.2 MB)
    عرض باستخدام Adobe Reader على مجموعة متنوعة من الأجهزة
  • ePub     (7.9 MB)
    العرض في تطبيقات مختلفة على iPhone أو iPad أو نظام تشغيل Android أو قارئ Sony أو نظام التشغيل Windows Phone
  • Mobi (Kindle)     (5.6 MB)
    عرض على جهاز Kindle أو تطبيق Kindle على أجهزة متعددة
تم التحديث:٢٢ أبريل ٢٠٢٣
معرّف المستند:220395

لغة خالية من التحيز

تسعى مجموعة الوثائق لهذا المنتج جاهدة لاستخدام لغة خالية من التحيز. لأغراض مجموعة الوثائق هذه، يتم تعريف "خالية من التحيز" على أنها لغة لا تعني التمييز على أساس العمر، والإعاقة، والجنس، والهوية العرقية، والهوية الإثنية، والتوجه الجنسي، والحالة الاجتماعية والاقتصادية، والتمييز متعدد الجوانب. قد تكون الاستثناءات موجودة في الوثائق بسبب اللغة التي يتم تشفيرها بشكل ثابت في واجهات المستخدم الخاصة ببرنامج المنتج، أو اللغة المستخدمة بناءً على وثائق RFP، أو اللغة التي يستخدمها منتج الجهة الخارجية المُشار إليه. تعرّف على المزيد حول كيفية استخدام Cisco للغة الشاملة.

حول هذه الترجمة

ترجمت Cisco هذا المستند باستخدام مجموعة من التقنيات الآلية والبشرية لتقديم محتوى دعم للمستخدمين في جميع أنحاء العالم بلغتهم الخاصة. يُرجى ملاحظة أن أفضل ترجمة آلية لن تكون دقيقة كما هو الحال مع الترجمة الاحترافية التي يقدمها مترجم محترف. تخلي Cisco Systems مسئوليتها عن دقة هذه الترجمات وتُوصي بالرجوع دائمًا إلى المستند الإنجليزي الأصلي (الرابط متوفر).

المحتويات

المقدمة
المتطلبات الأساسية
المتطلبات
المكونات المستخدمة
معلومات أساسية
طلب شهادة هوية جديدة مع ASDM وتثبيتها
طلب وتثبيت شهادة هوية جديدة مع طلب توقيع الشهادة (CSR)
إنشاء CSR باستخدام ASDM
إنشاء TrustPoint باسم محدد
(إختياري) قم بإنشاء زوج مفاتيح جديد
أختر اسم زوج المفاتيح
تكوين موضوع الشهادة واسم المجال المؤهل بالكامل (FQDN)
إنشاء CSR وحفظه
تثبيت شهادة الهوية بتنسيق PEM باستخدام ASDM
تثبيت شهادة CA التي وقعت على CSR
تثبيت شهادة الهوية
ربط الشهادة الجديدة بالواجهة باستخدام ASDM
تثبيت شهادة هوية مستلمة بتنسيق PKCS12 باستخدام ASDM
ثبت الهوية وشهادات المرجع المصدق من ملف PKCS12
ربط الشهادة الجديدة بالواجهة باستخدام ASDM
تجديد الشهادة
تجديد شهادة مسجلة مع طلب توقيع الشهادة (CSR) باستخدام ASDM
إنشاء CSR باستخدام ASDM
إنشاء TrustPoint جديد باسم محدد.
(إختياري) قم بإنشاء زوج مفاتيح جديد
حدد اسم زوج المفاتيح
تكوين موضوع الشهادة واسم المجال المؤهل بالكامل (FQDN)
إنشاء CSR وحفظه
تثبيت شهادة الهوية بتنسيق PEM باستخدام ASDM
تثبيت شهادة CA التي وقعت على CSR
تثبيت شهادة الهوية
ربط الشهادة الجديدة بالواجهة باستخدام ASDM
تجديد شهادة مسجلة في ملف PKCS12 مع ASDM
قم بتثبيت شهادة الهوية المتجددة وشهادات المرجع المصدق من ملف PKCS12
ربط الشهادة الجديدة بالواجهة باستخدام ASDM
التحقق من الصحة
عرض الشهادات المثبتة عبر ASDM
استكشاف الأخطاء وإصلاحها
الأسئلة المتكررة

    المقدمة

    يوضح هذا المستند كيفية طلب أنواع معينة من الشهادات على برنامج Cisco ASA المدار باستخدام ASDM وتثبيتها وتوثيقها وتجديدها.

    المتطلبات الأساسية

    المتطلبات

    • قبل البدء في التحقق من أن جهاز الأمان القابل للتكيف (ASA) يتوفر عليه وقت الساعة والتاريخ والمنطقة الزمنية الصحيحة. مع مصادقة الشهادة، يوصى باستخدام خادم بروتوكول وقت الشبكة (NTP) لمزامنة الوقت على ASA. تحقق من المعلومات ذات الصلة للمرجع.
    • لطلب شهادة تستخدم طلب توقيع الشهادة (CSR)، يلزم أن يكون لها وصول إلى مرجع مصدق داخلي أو جهة خارجية موثوق بها. تشمل أمثلة بائعي CA التابعين لجهة خارجية، على سبيل المثال لا الحصر، Entrust و Geotrust و GoDaddy و Thawte و VeriSign.

    المكونات المستخدمة

    تستند المعلومات الواردة في هذا المستند إلى إصدارات البرامج والمكونات المادية التالية:

    • ASAv 9.18.1
    • لإنشاء PKCS12، يتم إستخدام OpenSSL.

    تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك قيد التشغيل، فتأكد من فهمك للتأثير المحتمل لأي أمر.

    معلومات أساسية

    نوع الشهادات التي عناوين هذا المستند هي:

    • شهادات موقعة ذاتيا
    • الشهادات الموقعة من قبل هيئة شهادة تابعة لجهة خارجية أو مرجع مصدق داخلي

    يشترط خادم طبقة مأخذ التوصيل الآمنة (SSL) وأمان طبقة النقل (TLS) و IKEv2 RFC7296 لبروتوكولات مصادقة EAP أن يوفر العميل شهادة خادم ليقوم العميل بمصادقة الخادم. يوصى باستخدام CAs التابعة لجهة خارجية موثوق بها لإصدار شهادات SSL إلى ASA لهذا الغرض.

    لا توصي Cisco باستخدام شهادة موقعة ذاتيا بسبب احتمال أن يقوم المستخدم بتكوين مستعرض عن غير قصد ليثق في شهادة من خادم مخادع. هناك أيضا إزعاج للمستخدمين للإستجابة إلى تحذير أمان عند إتصاله بالبوابة الآمنة.

    طلب شهادة هوية جديدة مع ASDM وتثبيتها

    يمكن طلب شهادة من مرجع مصدق وتثبيتها على ASA بطريقتين:

    • إستخدام طلب توقيع الشهادة (CSR). قم بإنشاء زوج مفاتيح، وطلب شهادة هوية من CA باستخدام CSR، وتثبيت شهادة الهوية الموقعة التي تم الحصول عليها من CA.
    • أستخدم ملف PKCS12 الذي تم الحصول عليه من CA، أو تم تصديره من جهاز مختلف. يحتوي ملف PKCS12 على زوج مفاتيح، شهادة هوية، شهادة (شهادات) CA.

    طلب وتثبيت شهادة هوية جديدة مع طلب توقيع الشهادة (CSR)

    يتم إنشاء CSR على الجهاز الذي يحتاج إلى شهادة هوية، أستخدم زوج مفاتيح تم إنشاؤه على الجهاز.

    يحتوي CSR على:

    • معلومات طلب الشهادة - الموضوع المطلوب والسمات الأخرى، المفتاح العام من زوج المفاتيح،
    • معلومات خوارزمية التوقيع،
    • التوقيع الرقمي لمعلومات طلب الترخيص، الموقع بالمفتاح الخاص من زوج المفاتيح.

    يتم تمرير CSR إلى المرجع المصدق (CA)، حتى يتم توقيعه، في نموذج PKCS#10.

    يتم إرجاع الشهادة الموقعة من CA في نموذج PEM.

    ملاحظة: يمكن ل CA تغيير معلمات FQDN واسم الموضوع المحددة في TrustPoint عند توقيعها على CSR وإنشاء شهادة هوية موقعة.

    إنشاء CSR باستخدام ASDM

    1. إنشاء TrustPoint باسم محدد

      1. انتقل إلى التكوين > إدارة الأجهزة >إدارة الشهادات > شهادات الهوية.

        ASDM

      2. انقر فوق إضافة (Add).
      3. قم بتحديد اسم TrustPoint.

        ASDM-picture-with-name-highlighted

      4. انقر على زر إضافة شهادة هوية جديدة.

    2. (إختياري) قم بإنشاء زوج مفاتيح جديد

      ملاحظة: يتم إستخدام مفتاح RSA باسم Default-RSA-Key وحجم 2048 بشكل افتراضي، ومع ذلك، يوصى باستخدام زوج مفاتيح خاص/عام فريد لكل شهادة هوية.

      1. انقر فوق جديد لإنشاء زوج مفاتيح جديد.

        new-keypair-option 1

      2. أختر الخيار إدخال اسم زوج مفاتيح جديد وأدخل اسم لزوج المفاتيح الجديد.
      3. أختر نوع المفتاح - RSA أو ECDSA.
      4. أختر حجم المفتاح؛ ل RSA، أختر الغرض العام للاستخدام.
      5. انقر فوق إنشاء الآن. يتم الآن إنشاء زوج المفاتيح.

        new-keypair-option 2

    3. أختر اسم زوج المفاتيح

      • أختر زوج المفاتيح لتوقيع CSR به، وليتم ربطه بالشهادة الجديدة.

        select-keypair

    4. تكوين موضوع الشهادة واسم المجال المؤهل بالكامل (FQDN)

      تحذير: يجب أن تطابق معلمة FQDN FQDN أو عنوان IP الخاص بواجهة ASA التي يتم إستخدام شهادة الهوية لها. تقوم هذه المعلمة بتعيين ملحق "الاسم البديل للموضوع" (SAN) المطلوب لشهادة الهوية. يتم إستخدام ملحق شبكة التخزين (SAN) من قبل عميل SSL/TLS/IKEv2 للتحقق مما إذا كانت الشهادة تطابق FQDN الذي تتصل به.

      1. انقر فوق تحديد.

        CSR-request

      2. في نافذة عنوان الشهادة DN، قم بتكوين سمات الشهادة - أختر سمة من القائمة المنسدلة، أدخل القيمة، انقر على إضافة.

        CSR-fqdn step 1

        CSR-fqdn-step 2

        سمة الوصف
        سي إن الاسم الذي يمكن الوصول من خلاله إلى جدار الحماية (عادة اسم المجال المؤهل بالكامل، على سبيل المثال، vpn.example.com).
        أو اسم القسم الخاص بك داخل المؤسسة
        O الاسم المسجل قانونيا لمؤسستك/شركتك
        C رمز البلد (رمز حرف بدون علامة ترقيم)
        سانت الحالة التي توجد فيها مؤسستك.
        L المدينة التي تقع فيها مؤسستك.
        آي إيه عنوان البريد الإلكتروني

        ملاحظة: لا يمكن لأي من قيم الحقول السابقة أن تتجاوز حد 64 حرفا. قد تتسبب القيمة الأطول في حدوث مشاكل في تثبيت شهادة الهوية. أيضا، ليس من الضروري أن تقوم بتعريف كل سمات DN.

        انقر فوق موافق بعد إضافة كافة السمات.
      3. قم بتكوين FQDN للجهاز - انقر فوق خيارات متقدمة.

        CSR-fqdn-step 3

      4. في حقل FQDN، أدخل اسم المجال المؤهل بالكامل الذي يمكن من خلاله الوصول إلى الجهاز من الإنترنت. وانقر فوق OK.

        CSR-fqdn-step 4

    5. إنشاء CSR وحفظه

      1. انقر على إضافة شهادة.

        CSR-fqdn-step 5

      2. تظهر نافذة مطالبة لحفظ CSR إلى ملف على الجهاز المحلي.

        CSR-fqdn-step 6

        انقر فوق إستعراض، أختر موقعا لحفظ CSR فيه، ثم احفظ الملف بامتداد .txt.

        ملاحظة: عند حفظ الملف بامتداد .txt، يمكن فتح طلب PKCS#10 وعرضه باستخدام محرر نصوص (مثل Notepad).

      3. يتم الآن عرض TrustPoint الجديد في حالة معلق.

        CSR-fqdn-step 7

    تثبيت شهادة الهوية بتنسيق PEM باستخدام ASDM

    يفترض خطوات التثبيت أن CA وقع على CSR، وقدم شهادة هوية مرمزة بترميز PEM (.pem، .cer، .crt) وحزمة شهادة CA.

    1. تثبيت شهادة CA التي وقعت على CSR

      1. انتقل إلى التكوين > إدارة الأجهزة >إدارة الشهادات >، واختر شهادات CA. انقر فوق إضافة (Add).

        ASDM9

      2. أدخل اسم TrustPoint وحدد تثبيت من ملف، وانقر على زر إستعراض، وحدد الشهادة الوسيطة. بدلا من ذلك، قم بلصق شهادة مرجع مصدق (CA) مرمزة بترميز PEM من ملف نصي في حقل النص.

        CSR-CA-1

        ملاحظة: قم بتثبيت شهادة CA التي وقعت على CSR، واستخدم نفس اسم نقطة الثقة مثل شهادة الهوية. يمكن تثبيت شهادات المرجع المصدق الأخرى الأعلى في التدرج الهرمي ل PKI في نقاط الثقة المنفصلة.

      3. انقر على تثبيت الشهادة

        ASDM-13-CA-cert-installed

    2. تثبيت شهادة الهوية

      1. أختر شهادة الهوية التي تم إنشاؤها مسبقا أثناء إنشاء CSR. انقر على تثبيت.

        ASDM10 - TP with pending CSR Install

        ملاحظة: يمكن أن تكون شهادة الهوية قد تم إصدارها بواسطة الحقل غير متوفر وحقل تاريخ انتهاء الصلاحية كحقل معلق

      2. أختر ملف يحتوي على شهادة تعريف PEM المرمزة المستلمة من المرجع المصدق، أو افتح شهادة PEM المرمزة في محرر نص وانسخ ولصق شهادة الهوية المقدمة من المرجع المصدق في حقل النص.

        ASDM11-select-install

        ملاحظة: يمكن أن تكون شهادة الهوية بتنسيق .pem، .cer، .crt للتثبيت.

      3. انقر على تثبيت الشهادة.

        ASDM12-cert installed

    3. ربط الشهادة الجديدة بالواجهة باستخدام ASDM

      يجب تكوين ASA لاستخدام شهادة الهوية الجديدة لجلسات عمل WebVPN التي تنتهي على الواجهة المحددة.

      1. انتقل إلى التكوين > Remote Access VPN (الوصول عن بعد) > Advanced (خيارات متقدمة) > إعدادات SSL.

      2. تحت شهادات، أختر الواجهة التي يتم إستخدامها لإنهاء جلسات عمل WebVPN. في هذا المثال، يتم إستخدام الواجهة الخارجية.

        انقر فوق تحرير.

      3. في القائمة المنسدلة ترخيص، أختر الشهادة المثبتة حديثا.

        CSR-bind-step 1

      4. وانقر فوق OK.

      5. طقطقة يطبق.

        CSR-bind-step 2

        شهادة الهوية الجديدة قيد الاستخدام الآن.

    تثبيت شهادة هوية مستلمة بتنسيق PKCS12 باستخدام ASDM

    يحتوي ملف PKCS12 (.p12 أو .pfx) على شهادة هوية، زوج مفاتيح، وشهادة (شهادات) CA. يتم إنشاؤها بواسطة المرجع المصدق، على سبيل المثال في حالة شهادة حرف البدل، أو تصديرها من جهاز مختلف. هو ملف ثنائي، لا يمكن عرضه باستخدام محرر نص.

    1. ثبت الهوية وشهادات المرجع المصدق من ملف PKCS12

      يلزم تجميع شهادة الهوية وشهادة (شهادات) المرجع المصدق (CA) وزوج المفاتيح في ملف PKCS12 واحد. 
      1. انتقل إلى التكوين > إدارة الأجهزة > إدارة الشهادات، واختر شهادات الهوية.
      2. انقر فوق إضافة (Add).
      3. حدد اسم TrustPoint.

        ASDM-14-add-pkcs12

      4. انقر على زر إدراج شهادة الهوية من مرجع ملف.

        ASDM-14-select-pkcs12

      5. أدخل عبارة المرور المستخدمة لإنشاء ملف PKCS12.

        ASDM-14-enter-password

      6. انقر على إضافة شهادة.

        ASDM-15-pkcs12-cert-installed

        ملاحظة: عندما تقوم باستيراد PKCS12 مع سلسلة شهادات CA، يقوم ASDM بإنشاء نقاط ثقة CA للتدفق تلقائيا مع أسماء ذات لاحقة مضافة -number.
        ASDM-8

    2. ربط الشهادة الجديدة بالواجهة باستخدام ASDM

      يجب تكوين ASA لاستخدام شهادة الهوية الجديدة لجلسات عمل WebVPN التي تنتهي على الواجهة المحددة.

      1. انتقل إلى التكوين > Remote Access VPN (الوصول عن بعد) > Advanced (خيارات متقدمة) > إعدادات SSL.

      2. تحت شهادات، حدد الواجهة التي يتم إستخدامها لإنهاء جلسات عمل WebVPN. في هذا المثال، يتم إستخدام الواجهة الخارجية.

        انقر فوق تحرير.

      3. في القائمة المنسدلة ترخيص، أختر الشهادة المثبتة حديثا.

        PKCS12-bind-1

      4. وانقر فوق OK.

      5. طقطقة يطبق.

        ASDM-13-cert-applied

        شهادة الهوية الجديدة قيد الاستخدام الآن.

    تجديد الشهادة

    تجديد شهادة مسجلة مع طلب توقيع الشهادة (CSR) باستخدام ASDM

    يتطلب تجديد الشهادة المسجلة في CSR إنشاء TrustPoint جديد وتسجيله. يجب أن يكون له اسم مختلف (على سبيل المثال، الاسم القديم مع لاحقة سنة التسجيل). يمكن أن يستخدم نفس المعلمات وزواج المفاتيح مثل الشهادة القديمة، أو يمكن أن يستخدم أخرى مختلفة.

    إنشاء CSR باستخدام ASDM

    1. إنشاء TrustPoint جديد باسم محدد.

      1. انتقل إلى التكوين > إدارة الأجهزة >إدارة الشهادات > شهادات الهوية.

        ASDM

      2. انقر فوق إضافة (Add).
      3. قم بتحديد اسم TrustPoint.

        ASDM2-picture-with-name-highlighted

      4. انقر على زر إضافة شهادة هوية جديدة.

    2. (إختياري) قم بإنشاء زوج مفاتيح جديد 

      ملاحظة: يتم إستخدام مفتاح RSA باسم Default-RSA-Key وحجم 2048 بشكل افتراضي، ومع ذلك، يوصى باستخدام زوج مفاتيح خاص/عام فريد لكل شهادة هوية.

      1. انقر فوق جديد لإنشاء زوج مفاتيح جديد.

        renew-csr-step 1

      2. أختر الخيار إدخال اسم زوج مفاتيح جديد وإدخال اسم لزوج المفاتيح الجديد.
      3. أختر نوع المفتاح - RSA أو ECDSA.
      4. أختر حجم المفتاح؛ ل RSA، أختر الغرض العام للاستخدام.
      5. انقر فوق إنشاء الآن. يتم الآن إنشاء زوج المفاتيح.

        renew-csr-step 2

    3. حدد اسم زوج المفاتيح

      • أختر زوج المفاتيح لتوقيع CSR به، وليتم ربطه بالشهادة الجديدة.

        renew-csr-step 3

    4. تكوين موضوع الشهادة واسم المجال المؤهل بالكامل (FQDN)

      تحذير: يجب أن تطابق معلمة FQDN FQDN أو عنوان IP الخاص بواجهة ASA التي يتم إستخدام الشهادة لها. تقوم هذه المعلمة بتعيين اسم الموضوع البديل (SAN) للشهادة. يتم إستخدام حقل شبكة التخزين (SAN) من قبل عميل SSL/TLS/IKEv2 للتحقق من تطابق الشهادة مع FQDN الذي يتصل به.

      ملاحظة: يمكن ل CA تغيير معلمات FQDN و Subject Name المحددة في TrustPoint عند توقيعها على CSR وإنشاء شهادة هوية موقعة.

      1. انقر فوق تحديد.

        renew-csr-step 4

      2. في نافذة عنوان الشهادة DN، قم بتكوين سمات الشهادة - حدد سمة من القائمة المنسدلة، أدخل القيمة، انقر فوق إضافة.

        renew-csr-step 5

        سمة

        		 الوصف

        سي إن

        الاسم الذي يمكن الوصول من خلاله إلى جدار الحماية (عادة اسم المجال المؤهل بالكامل، على سبيل المثال، vpn.example.com).

        أو

        اسم القسم الخاص بك داخل المؤسسة

        O

        الاسم المسجل قانونيا لمؤسستك/شركتك

        C

        رمز البلد (رمز حرف بدون علامة ترقيم)

        سانت

        الحالة التي توجد فيها مؤسستك.

        L

        المدينة التي تقع فيها مؤسستك.

        آي إيه

        عنوان البريد الإلكتروني

        ملاحظة: لا يمكن لأي من الحقول السابقة أن تتجاوز حد ال 64 حرفا. قد تتسبب القيمة الأطول في حدوث مشاكل في تثبيت شهادة الهوية. أيضا، ليس من الضروري أن تقوم بتعريف كل سمات DN.

        انقر فوق موافق بعد إضافة كافة السمات.
      3. لتكوين FQDN للجهاز، انقر فوق خيارات متقدمة.

        renew-csr-step 6

      4. في حقل FQDN، أدخل اسم المجال المؤهل بالكامل الذي يمكن من خلاله الوصول إلى الجهاز من الإنترنت. وانقر فوق OK.

        renew-csr-step 7

    5. إنشاء CSR وحفظه

      1. انقر على إضافة شهادة.

        renew-csr-step 8

      2. يعرض موجه الأمر لحفظ CSR إلى ملف على الجهاز المحلي.

        renew-csr-step 9

        انقر على إستعراض. أختر المكان الذي تريد حفظ CSR فيه، ثم احفظ الملف بامتداد .txt.

        ملاحظة: عند حفظ الملف بامتداد .txt، يمكن فتح طلب PKCS#10 وعرضه باستخدام محرر نصوص (مثل Notepad).

      3. يتم الآن عرض TrustPoint الجديد في حالة معلق.

        renew-csr-step 10

    تثبيت شهادة الهوية بتنسيق PEM باستخدام ASDM

    يفترض خطوات التثبيت أن CA وقع على CSR، وقدم شهادة هوية جديدة مرمزة وفقا لمعيار PEM (.pem و.cer.crt) وحزمة شهادة CA.

    1. تثبيت شهادة CA التي وقعت على CSR

      يمكن تثبيت شهادة المرجع المصدق الموقعة على شهادة الهوية في TrustPoint التي تم إنشاؤها لشهادة الهوية. إذا كانت شهادة الهوية موقعة بواسطة المرجع المصدق الوسيط، يمكن تثبيت شهادة المرجع المصدق هذه في Identity Certificate TrustPoint. يمكن تثبيت جميع شهادات CA في الجزء العلوي من التدرج الهرمي في نقاط ثقة CA المنفصلة.
      1. انتقل إلى التكوين > إدارة الأجهزة >إدارة الشهادات >، واختر شهادات CA. انقر فوق إضافة (Add).

        renew-csr-install-1

      2. أدخل اسم TrustPoint واختر تثبيت من ملف، وانقر زر إستعراض، واختر الشهادة الوسيطة. بدلا من ذلك، قم بلصق شهادة مرجع مصدق (CA) مرمزة بترميز PEM من ملف نصي في حقل النص.

        renew-csr-install-2

        ملاحظة: تثبيت الشهادة الوسيطة بنفس اسم نقطة الثقة مثل اسم نقطة ثقة شهادة الهوية، إذا كانت شهادة الهوية موقعة بشهادة CA الوسيطة.

      3. انقر على تثبيت الشهادة

        renew-csr-install-3

        في المثال، يتم توقيع الشهادة الجديدة بنفس شهادة CA مثل الشهادة القديمة. تم إقران نفس شهادة المرجع المصدق بنقطتي ثقة الآن.
        renew-csr-install-4

    2. تثبيت شهادة الهوية

      1. أختر شهادة الهوية التي تم إنشاؤها مسبقا باستخدام إنشاء CSR. انقر على تثبيت.

        renew-csr-install-5

        ملاحظة: يمكن أن تكون شهادة الهوية قد تم إصدارها بواسطة الحقل غير متوفر، وحقل تاريخ انتهاء الصلاحية ك معلق

      2. أختر ملف يحتوي على شهادة تعريف PEM المرمزة المستلمة من المرجع المصدق، أو افتح شهادة PEM المرمزة في محرر نص، وقم بنسخ ولصق شهادة الهوية المقدمة من المرجع المصدق في حقل النص.

        renew-csr-install-6

        ملاحظة: يمكن أن تكون شهادة الهوية بتنسيق .pem، .cer، .crt للتثبيت.

      3. انقر على تثبيت الشهادة.

        renew-csr-install-7

        بعد التثبيت، توجد شهادات هوية قديمة وجديدة.
        renew-csr-install-8

    3. ربط الشهادة الجديدة بالواجهة باستخدام ASDM

      يجب تكوين ASA لاستخدام شهادة الهوية الجديدة لجلسات عمل WebVPN التي تنتهي على الواجهة المحددة.

      1. انتقل إلى التكوين > Remote Access VPN (الوصول عن بعد) > Advanced (خيارات متقدمة) > إعدادات SSL.

      2. تحت شهادات، أختر الواجهة التي يتم إستخدامها لإنهاء جلسات عمل WebVPN. في هذا المثال، يتم إستخدام الواجهة الخارجية.

        انقر فوق تحرير.

      3. في القائمة المنسدلة ترخيص، أختر الشهادة المثبتة حديثا.

        renew-csr-bind-1

      4. وانقر فوق OK.

      5. طقطقة يطبق. شهادة الهوية الجديدة قيد الاستخدام الآن.

        renew-csr-bind-2

    تجديد شهادة مسجلة في ملف PKCS12 مع ASDM

    يتطلب تجديد الشهادة ل PKCS12 REGISTERED إنشاء TrustPoint جديد وتسجيله. يجب أن يكون له اسم مختلف (على سبيل المثال، الاسم القديم مع لاحقة سنة التسجيل).

    يحتوي ملف PKCS12 (.p12 أو .pfx) على شهادة هوية، زوج مفاتيح، وشهادة (شهادات) CA. يتم إنشاؤها بواسطة المرجع المصدق، على سبيل المثال، في حالة شهادة حرف البدل، أو تصديرها من جهاز مختلف. هو ملف ثنائي، ولا يمكن عرضه باستخدام محرر النص.

    1. قم بتثبيت شهادة الهوية المتجددة وشهادات المرجع المصدق من ملف PKCS12

      يلزم تجميع شهادة الهوية وشهادة (شهادات) المرجع المصدق (CA) وزوج المفاتيح في ملف PKCS12 واحد.
      1. انتقل إلى التكوين > إدارة الأجهزة > إدارة الشهادات، واختر شهادات الهوية.
      2. انقر فوق إضافة (Add).
      3. حدد اسم TrustPoint جديد.

        ASDM-14-add-pkcs12

      4. انقر على زر إدراج شهادة الهوية من مرجع ملف.

        ASDM-14-select-pkcs12

      5. أدخل عبارة المرور المستخدمة لإنشاء ملف PKCS12.

        ASDM-14-enter-password

      6. انقر على إضافة شهادة.

        ASDM-15-pkcs12-cert-installed

        ملاحظة: عند إستيراد PKCS12 مع سلسلة شهادات CAs، يقوم ASDM بإنشاء نقاط الثقة ل CAs للتحميل تلقائيا مع أسماء ذات لاحقة إضافية -number.
        ASDM-8

    2. ربط الشهادة الجديدة بالواجهة باستخدام ASDM

      يجب تكوين ASA لاستخدام شهادة الهوية الجديدة لجلسات عمل WebVPN التي تنتهي على الواجهة المحددة.

      1. انتقل إلى التكوين > Remote Access VPN (الوصول عن بعد) > Advanced (خيارات متقدمة) > إعدادات SSL.

      2. تحت شهادات، أختر الواجهة التي يتم إستخدامها لإنهاء جلسات عمل WebVPN. في هذا المثال، يتم إستخدام الواجهة الخارجية.

        انقر فوق تحرير.

      3. في القائمة المنسدلة ترخيص، أختر الشهادة المثبتة حديثا.

        PKCS12-bind-1

      4. وانقر فوق OK.

      5. طقطقة يطبق.

        ASDM-13-cert-applied

        شهادة الهوية الجديدة قيد الاستخدام الآن.

    التحقق من الصحة

    أستخدم هذه الخطوات للتحقق من التثبيت الناجح لشهادة مورد الجهة الخارجية واستخدامها لاتصالات SSL VPN.

    عرض الشهادات المثبتة عبر ASDM

    1. انتقل إلى التكوين > Remote Access VPN (الوصول عن بعد) > إدارة الشهادات، واختر شهادات الهوية.
    2. يمكن أن تظهر شهادة الهوية التي تم إصدارها من قبل مورد الطرف الثالث.

    ASDM-13-cert-applied

    استكشاف الأخطاء وإصلاحها

    يجب تجميع أمر تصحيح الأخطاء هذا على واجهة سطر الأوامر في حالة فشل تثبيت شهادة SSL.

    • debug crypto ca 14

    الأسئلة المتكررة


    س. ما هو PKCS12؟
    A. في التشفير، يعرف PKCS12 تنسيق ملف أرشيف تم إنشائه لتخزين العديد من كائنات التشفير كملف واحد. وعادة ما يتم إستخدامه لتجميع مفتاح خاص بشهادة X.509 أو لتجميع كافة أعضاء سلسلة الثقة.

    س. ما هي CSR؟
    ألف - في نظم الهياكل الأساسية للمفتاح العام (PKI)، يمثل طلب توقيع الشهادة (أيضا CSR أو طلب الاعتماد) رسالة مرسلة من مقدم الطلب إلى سلطة تسجيل للبنية الأساسية للمفتاح العام من أجل التقدم بطلب للحصول على شهادة هوية رقمية. عادة ما يحتوي على المفتاح العام الذي من أجله يمكن إصدار الشهادة، المعلومات التي يتم إستخدامها لتعريف الشهادة الموقعة (مثل اسم المجال في الموضوع) وحماية التكامل (على سبيل المثال، التوقيع الرقمي).

    Q.أين كلمة المرور ل PKCS12؟
    a.عندما يتم تصدير الشهادات وأزواج المفاتيح إلى ملف PKCS12، يتم إعطاء كلمة المرور في أمر التصدير.  لاستيراد ملف PKCS12 يجب تسليم كلمة المرور بواسطة مالك خادم CA أو الشخص الذي قام بتصدير PKCS12 من جهاز آخر.

    س. ما هو الفرق بين الجذر والهوية؟
    ألف - في التشفير وأمان الكمبيوتر، تكون الشهادة الجذر شهادة مفتاح عام تعرف مرجع شهادات جذر (CA). تكون الشهادات الجذر موقعة ذاتيا (ومن الممكن أن يكون للشهادة مسارات ثقة متعددة، ولنقل إذا كانت الشهادة صادرة عن جذر موقع تبادلي) وتشكل الأساس لبنية أساسية للمفتاح العام (PKI) مستندة إلى X.509. وشهادة المفتاح العام، المعروفة أيضا بشهادة رقمية أو شهادة هوية، هي وثيقة إلكترونية تستخدم لإثبات ملكية مفتاح عام. تتضمن الشهادة معلومات حول المفتاح، ومعلومات حول هوية مالكها (تسمى الموضوع)، والتوقيع الرقمي للكيان الذي تحقق من محتويات الشهادة (يسمى المصدر). إذا كان التوقيع صحيحا، وكان البرنامج الذي يفحص الشهادة يثق في المصدر، فيمكنه إستخدام هذا المفتاح للاتصال بشكل آمن بموضوع الشهادة.

    Q.لقد ركبت الصندوق، لماذا لا يعمل؟
    ألف - قد يرجع ذلك إلى أسباب عديدة، منها على سبيل المثال:

    1. تم تكوين الشهادة ونقطة الثقة، ولكن لم يتم ربطهما بالعملية التي يجب إستخدامها.  على سبيل المثال، لا يتم ربط TrustPoint التي سيتم إستخدامها بالواجهة الخارجية التي تقوم بإنهاء عملاء AnyConnect.

    2. يتم تثبيت ملف PKCS12، لكنه يعطي أخطاء بسبب شهادة CA الوسيطة المفقودة في ملف PKCS12. يتعذر على العملاء الذين لديهم شهادة CA الوسيطة كموثوق بها، ولكن ليس لديهم شهادة CA الجذر كموثوق بها، التحقق من سلسلة الشهادات بأكملها والإبلاغ عن شهادة هوية الخادم كغير موثوق بها.

    3. قد تتسبب الشهادة التي تم ملؤها بسمات غير صحيحة في فشل التثبيت، أو أخطاء من جانب العميل. على سبيل المثال، قد يتم تشفير بعض السمات باستخدام تنسيق خاطئ. سبب آخر هو أن شهادة الهوية تفتقد للاسم البديل للموضوع (SAN)، أو أن اسم المجال المستخدم للوصول إلى الخادم غير موجود كشبكة منطقة تخزين (SAN).

    س. هل يتطلب تثبيت وحدة جديدة إطار صيانة أم أنه يتسبب في وقت التوقف عن العمل؟
    أ. تثبيت شهادة جديدة (الهوية أو المرجع المصدق) ليس متطفلا ولا ولا يجب أن يتسبب في وقت توقف عن العمل أو يطلب نافذة صيانة. لتمكين شهادة جديدة ليتم إستخدامها لخدمة موجودة هو تغيير وقد يتطلب طلب تغيير / إطار صيانة.

    Q.هل يمكن أن تؤدي إضافة شهادة أو تغييرها إلى قطع اتصال المستخدمين المتصلين؟
    A.No، يظل المستخدمون المتصلون حاليا على اتصال. يتم إستخدام الشهادة عند إنشاء الاتصال. بمجرد إعادة اتصال المستخدمين، يتم إستخدام الشهادة الجديدة.

    Q.كيف يمكنني إنشاء CSR بحرف بدل؟ أو اسم بديل للموضوع (SAN)؟
    حاليا، لا يمكن أن يقوم ASA/FTD بإنشاء CSR بحرف البدل؛ ومع ذلك، يمكن القيام بهذه العملية باستخدام OpenSSL. in order to خلقت ال CSR ومعرف مفتاح، أنت يستطيع ركضت الأمر:
         openssl genrsa -out id.key 2048

         openssl req -out id.csr -key id.key - جديد
    عند تكوين نقطة ثقة باستخدام سمة "اسم المجال المؤهل بالكامل (FQDN)"، تحتوي CSR التي تم إنشاؤها بواسطة ASA/FTD على شبكة منطقة التخزين (SAN) بهذه القيمة. يمكن إضافة المزيد من سمات شبكة التخزين (SAN) بواسطة المرجع المصدق عندما يوقع على CSR، أو يمكن إنشاء CSR باستخدام OpenSSL

    س. هل يسري مفعول إستبدال الشهادة فورا؟

    أ. تستخدم شهادة هوية الخادم الجديدة فقط للاتصالات الجديدة. تكون الشهادة الجديدة جاهزة للاستخدام بعد التغيير مباشرة، ولكنها تستخدم بالفعل مع الاتصالات الجديدة.

    س. كيف يمكن التحقق من تشغيل التثبيت؟
    a.ال CLI أمر أن يدقق: أبديت crypto ca cert <trustPointName>

    Q.كيف أن يخلق PKCS12 من شهادة الهوية، شهادة CA، والمفتاح الخاص؟
    يمكن إنشاء A. PKCS12 باستخدام OpenSSL، باستخدام الأمر:
         openssl pkcs12 -export -out12.pfx -inkey id.key -in id.crt -certfile ca.crt


    Q. كيف يمكنك تصدير شهادة لتثبيتها في ASA جديد؟
    ج. 

    • مع CLI: أستخدم الأمر: crypto ca export <trustPointName> pkcs12 <password>

    • مع ASDM:

      1. انتقل إلى التكوين > إدارة الأجهزة > إدارة الشهادات > شهادات الهوية واختر شهادة الهوية. طقطقة يصدر.

        cert-export-1

      2. أختر أين تريد تصدير الملف، حدد كلمة مرور التصدير، انقر تصدير الترخيص.

        cert-export-2

        يمكن أن تكون الشهادة المصدرة على قرص الكمبيوتر. من فضلك لاحظ عبارة المرور في مكان آمن، فلا فائدة من الملف بدونها.


    Q. إذا كانت مفاتيح ECDSA مستخدمة، هل تختلف عملية إنشاء شهادة SSL؟
    a. الاختلاف الوحيد في التكوين هو خطوة إنشاء زوج المفاتيح، حيث يمكن إنشاء زوج مفاتيح ECDSA بدلا من زوج مفاتيح RSA. أما باقي الخطوات فبقيت كما هي.


    Q.هل مطلوب دائما إنشاء زوج مفاتيح جديد؟
    a.خطوة إنشاء زوج المفاتيح إختيارية. يمكن إستخدام زوج المفاتيح الموجود، أو في حالة PKCS12 يتم إستيراد زوج المفاتيح مع الشهادة. الرجاء مراجعة القسم تحديد اسم زوج المفاتيح لنوع التسجيل / إعادة التسجيل ذي الصلة.


    Q.هل من الآمن إنشاء زوج مفاتيح جديد لشهادة هوية جديدة؟
    A. العملية آمنة طالما يتم إستخدام اسم زوج مفاتيح جديد. في مثل هذه الحالة، لا يتم تغيير أزواج المفاتيح القديمة.


    Q.هل يلزم إنشاء المفتاح مرة أخرى عند إستبدال جدار حماية (مثل RMA)؟
    ألف - لا يتضمن الجدار الناري الجديد حسب التصميم أزواج المفاتيح الموجودة على جدار الحماية القديم.
    لا يحتوي النسخ الاحتياطي ل running-configuration على أزواج المفاتيح.
    يمكن أن يحتوي النسخ الاحتياطي الكامل الذي تم إجراؤه مع ASDM على أزواج المفاتيح.
    يمكن تصدير شهادات الهوية من ASA مع ASDM أو CLI، قبل فشلها.
    في حالة زوج تجاوز الفشل، تتم مزامنة الشهادات وأزواج المفاتيح مع وحدة إحتياطية باستخدام أمر كتابة في وضع الاستعداد. في حالة إستبدال عقدة واحدة من زوج تجاوز الفشل، يكفي تكوين تجاوز الفشل الأساسي ودفع التكوين إلى الجهاز الجديد.
    في حالة فقد زوج مفاتيح مع الجهاز وعدم وجود نسخة إحتياطية، يلزم توقيع شهادة جديدة مع زوج مفاتيح موجود على الجهاز الجديد.

    محفوظات المراجعة

    المراجعة تاريخ النشر التعليقات
    2.0
    22-Apr-2023
    تم تحديث قائمة المساهم.
    1.0
    19-Apr-2023
    الإصدار الأولي
    TAC Authored

    تمت المساهمة بواسطة مهندسو Cisco

    • Mateusz Grzesiak
      Technical Consulting Engineer

    هل كان هذا المستند مفيدًا؟

    Feedbackالتعليقات

    اتصل بنا