تسعى مجموعة الوثائق لهذا المنتج جاهدة لاستخدام لغة خالية من التحيز. لأغراض مجموعة الوثائق هذه، يتم تعريف "خالية من التحيز" على أنها لغة لا تعني التمييز على أساس العمر، والإعاقة، والجنس، والهوية العرقية، والهوية الإثنية، والتوجه الجنسي، والحالة الاجتماعية والاقتصادية، والتمييز متعدد الجوانب. قد تكون الاستثناءات موجودة في الوثائق بسبب اللغة التي يتم تشفيرها بشكل ثابت في واجهات المستخدم الخاصة ببرنامج المنتج، أو اللغة المستخدمة بناءً على وثائق RFP، أو اللغة التي يستخدمها منتج الجهة الخارجية المُشار إليه. تعرّف على المزيد حول كيفية استخدام Cisco للغة الشاملة.
ترجمت Cisco هذا المستند باستخدام مجموعة من التقنيات الآلية والبشرية لتقديم محتوى دعم للمستخدمين في جميع أنحاء العالم بلغتهم الخاصة. يُرجى ملاحظة أن أفضل ترجمة آلية لن تكون دقيقة كما هو الحال مع الترجمة الاحترافية التي يقدمها مترجم محترف. تخلي Cisco Systems مسئوليتها عن دقة هذه الترجمات وتُوصي بالرجوع دائمًا إلى المستند الإنجليزي الأصلي (الرابط متوفر).
يوضح هذا المستند كيفية طلب أنواع معينة من الشهادات على برنامج Cisco ASA المدار باستخدام ASDM وتثبيتها وتوثيقها وتجديدها.
تستند المعلومات الواردة في هذا المستند إلى إصدارات البرامج والمكونات المادية التالية:
تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك قيد التشغيل، فتأكد من فهمك للتأثير المحتمل لأي أمر.
نوع الشهادات التي عناوين هذا المستند هي:
يشترط خادم طبقة مأخذ التوصيل الآمنة (SSL) وأمان طبقة النقل (TLS) و IKEv2 RFC7296 لبروتوكولات مصادقة EAP أن يوفر العميل شهادة خادم ليقوم العميل بمصادقة الخادم. يوصى باستخدام CAs التابعة لجهة خارجية موثوق بها لإصدار شهادات SSL إلى ASA لهذا الغرض.
لا توصي Cisco باستخدام شهادة موقعة ذاتيا بسبب احتمال أن يقوم المستخدم بتكوين مستعرض عن غير قصد ليثق في شهادة من خادم مخادع. هناك أيضا إزعاج للمستخدمين للإستجابة إلى تحذير أمان عند إتصاله بالبوابة الآمنة.
يمكن طلب شهادة من مرجع مصدق وتثبيتها على ASA بطريقتين:
يتم إنشاء CSR على الجهاز الذي يحتاج إلى شهادة هوية، أستخدم زوج مفاتيح تم إنشاؤه على الجهاز.
يحتوي CSR على:
يتم تمرير CSR إلى المرجع المصدق (CA)، حتى يتم توقيعه، في نموذج PKCS#10.
يتم إرجاع الشهادة الموقعة من CA في نموذج PEM.
ملاحظة: يمكن ل CA تغيير معلمات FQDN واسم الموضوع المحددة في TrustPoint عند توقيعها على CSR وإنشاء شهادة هوية موقعة.
ملاحظة: يتم إستخدام مفتاح RSA باسم Default-RSA-Key وحجم 2048 بشكل افتراضي، ومع ذلك، يوصى باستخدام زوج مفاتيح خاص/عام فريد لكل شهادة هوية.
تحذير: يجب أن تطابق معلمة FQDN FQDN أو عنوان IP الخاص بواجهة ASA التي يتم إستخدام شهادة الهوية لها. تقوم هذه المعلمة بتعيين ملحق "الاسم البديل للموضوع" (SAN) المطلوب لشهادة الهوية. يتم إستخدام ملحق شبكة التخزين (SAN) من قبل عميل SSL/TLS/IKEv2 للتحقق مما إذا كانت الشهادة تطابق FQDN الذي تتصل به.
سمة | الوصف |
---|---|
سي إن | الاسم الذي يمكن الوصول من خلاله إلى جدار الحماية (عادة اسم المجال المؤهل بالكامل، على سبيل المثال، vpn.example.com). |
أو | اسم القسم الخاص بك داخل المؤسسة |
O | الاسم المسجل قانونيا لمؤسستك/شركتك |
C | رمز البلد (رمز حرف بدون علامة ترقيم) |
سانت | الحالة التي توجد فيها مؤسستك. |
L | المدينة التي تقع فيها مؤسستك. |
آي إيه | عنوان البريد الإلكتروني |
ملاحظة: لا يمكن لأي من قيم الحقول السابقة أن تتجاوز حد 64 حرفا. قد تتسبب القيمة الأطول في حدوث مشاكل في تثبيت شهادة الهوية. أيضا، ليس من الضروري أن تقوم بتعريف كل سمات DN.
انقر فوق موافق بعد إضافة كافة السمات.
انقر فوق إستعراض، أختر موقعا لحفظ CSR فيه، ثم احفظ الملف بامتداد .txt.
ملاحظة: عند حفظ الملف بامتداد .txt، يمكن فتح طلب PKCS#10 وعرضه باستخدام محرر نصوص (مثل Notepad).
يفترض خطوات التثبيت أن CA وقع على CSR، وقدم شهادة هوية مرمزة بترميز PEM (.pem، .cer، .crt) وحزمة شهادة CA.
ملاحظة: قم بتثبيت شهادة CA التي وقعت على CSR، واستخدم نفس اسم نقطة الثقة مثل شهادة الهوية. يمكن تثبيت شهادات المرجع المصدق الأخرى الأعلى في التدرج الهرمي ل PKI في نقاط الثقة المنفصلة.
أختر شهادة الهوية التي تم إنشاؤها مسبقا أثناء إنشاء CSR. انقر على تثبيت.
ملاحظة: يمكن أن تكون شهادة الهوية قد تم إصدارها بواسطة الحقل غير متوفر وحقل تاريخ انتهاء الصلاحية كحقل معلق.
ملاحظة: يمكن أن تكون شهادة الهوية بتنسيق .pem، .cer، .crt للتثبيت.
انتقل إلى التكوين > Remote Access VPN (الوصول عن بعد) > Advanced (خيارات متقدمة) > إعدادات SSL.
تحت شهادات، أختر الواجهة التي يتم إستخدامها لإنهاء جلسات عمل WebVPN. في هذا المثال، يتم إستخدام الواجهة الخارجية.
انقر فوق تحرير.في القائمة المنسدلة ترخيص، أختر الشهادة المثبتة حديثا.
وانقر فوق OK.
طقطقة يطبق.
شهادة الهوية الجديدة قيد الاستخدام الآن.
يحتوي ملف PKCS12 (.p12 أو .pfx) على شهادة هوية، زوج مفاتيح، وشهادة (شهادات) CA. يتم إنشاؤها بواسطة المرجع المصدق، على سبيل المثال في حالة شهادة حرف البدل، أو تصديرها من جهاز مختلف. هو ملف ثنائي، لا يمكن عرضه باستخدام محرر نص.
ملاحظة: عندما تقوم باستيراد PKCS12 مع سلسلة شهادات CA، يقوم ASDM بإنشاء نقاط ثقة CA للتدفق تلقائيا مع أسماء ذات لاحقة مضافة -number.
انتقل إلى التكوين > Remote Access VPN (الوصول عن بعد) > Advanced (خيارات متقدمة) > إعدادات SSL.
تحت شهادات، حدد الواجهة التي يتم إستخدامها لإنهاء جلسات عمل WebVPN. في هذا المثال، يتم إستخدام الواجهة الخارجية.
انقر فوق تحرير.في القائمة المنسدلة ترخيص، أختر الشهادة المثبتة حديثا.
وانقر فوق OK.
طقطقة يطبق.
شهادة الهوية الجديدة قيد الاستخدام الآن.
يتطلب تجديد الشهادة المسجلة في CSR إنشاء TrustPoint جديد وتسجيله. يجب أن يكون له اسم مختلف (على سبيل المثال، الاسم القديم مع لاحقة سنة التسجيل). يمكن أن يستخدم نفس المعلمات وزواج المفاتيح مثل الشهادة القديمة، أو يمكن أن يستخدم أخرى مختلفة.
ملاحظة: يتم إستخدام مفتاح RSA باسم Default-RSA-Key وحجم 2048 بشكل افتراضي، ومع ذلك، يوصى باستخدام زوج مفاتيح خاص/عام فريد لكل شهادة هوية.
تحذير: يجب أن تطابق معلمة FQDN FQDN أو عنوان IP الخاص بواجهة ASA التي يتم إستخدام الشهادة لها. تقوم هذه المعلمة بتعيين اسم الموضوع البديل (SAN) للشهادة. يتم إستخدام حقل شبكة التخزين (SAN) من قبل عميل SSL/TLS/IKEv2 للتحقق من تطابق الشهادة مع FQDN الذي يتصل به.
ملاحظة: يمكن ل CA تغيير معلمات FQDN و Subject Name المحددة في TrustPoint عند توقيعها على CSR وإنشاء شهادة هوية موقعة.
سمة |
الوصف |
---|---|
سي إن |
الاسم الذي يمكن الوصول من خلاله إلى جدار الحماية (عادة اسم المجال المؤهل بالكامل، على سبيل المثال، vpn.example.com). |
أو |
اسم القسم الخاص بك داخل المؤسسة |
O |
الاسم المسجل قانونيا لمؤسستك/شركتك |
C |
رمز البلد (رمز حرف بدون علامة ترقيم) |
سانت |
الحالة التي توجد فيها مؤسستك. |
L |
المدينة التي تقع فيها مؤسستك. |
آي إيه |
عنوان البريد الإلكتروني |
ملاحظة: لا يمكن لأي من الحقول السابقة أن تتجاوز حد ال 64 حرفا. قد تتسبب القيمة الأطول في حدوث مشاكل في تثبيت شهادة الهوية. أيضا، ليس من الضروري أن تقوم بتعريف كل سمات DN.
انقر فوق موافق بعد إضافة كافة السمات.
انقر على إستعراض. أختر المكان الذي تريد حفظ CSR فيه، ثم احفظ الملف بامتداد .txt.
ملاحظة: عند حفظ الملف بامتداد .txt، يمكن فتح طلب PKCS#10 وعرضه باستخدام محرر نصوص (مثل Notepad).
يفترض خطوات التثبيت أن CA وقع على CSR، وقدم شهادة هوية جديدة مرمزة وفقا لمعيار PEM (.pem و.cer.crt) وحزمة شهادة CA.
ملاحظة: تثبيت الشهادة الوسيطة بنفس اسم نقطة الثقة مثل اسم نقطة ثقة شهادة الهوية، إذا كانت شهادة الهوية موقعة بشهادة CA الوسيطة.
في المثال، يتم توقيع الشهادة الجديدة بنفس شهادة CA مثل الشهادة القديمة. تم إقران نفس شهادة المرجع المصدق بنقطتي ثقة الآن.
أختر شهادة الهوية التي تم إنشاؤها مسبقا باستخدام إنشاء CSR. انقر على تثبيت.
ملاحظة: يمكن أن تكون شهادة الهوية قد تم إصدارها بواسطة الحقل غير متوفر، وحقل تاريخ انتهاء الصلاحية ك معلق.
ملاحظة: يمكن أن تكون شهادة الهوية بتنسيق .pem، .cer، .crt للتثبيت.
بعد التثبيت، توجد شهادات هوية قديمة وجديدة.
انتقل إلى التكوين > Remote Access VPN (الوصول عن بعد) > Advanced (خيارات متقدمة) > إعدادات SSL.
تحت شهادات، أختر الواجهة التي يتم إستخدامها لإنهاء جلسات عمل WebVPN. في هذا المثال، يتم إستخدام الواجهة الخارجية.
انقر فوق تحرير.في القائمة المنسدلة ترخيص، أختر الشهادة المثبتة حديثا.
وانقر فوق OK.
طقطقة يطبق. شهادة الهوية الجديدة قيد الاستخدام الآن.
يتطلب تجديد الشهادة ل PKCS12 REGISTERED إنشاء TrustPoint جديد وتسجيله. يجب أن يكون له اسم مختلف (على سبيل المثال، الاسم القديم مع لاحقة سنة التسجيل).
يحتوي ملف PKCS12 (.p12 أو .pfx) على شهادة هوية، زوج مفاتيح، وشهادة (شهادات) CA. يتم إنشاؤها بواسطة المرجع المصدق، على سبيل المثال، في حالة شهادة حرف البدل، أو تصديرها من جهاز مختلف. هو ملف ثنائي، ولا يمكن عرضه باستخدام محرر النص.
ملاحظة: عند إستيراد PKCS12 مع سلسلة شهادات CAs، يقوم ASDM بإنشاء نقاط الثقة ل CAs للتحميل تلقائيا مع أسماء ذات لاحقة إضافية -number.
انتقل إلى التكوين > Remote Access VPN (الوصول عن بعد) > Advanced (خيارات متقدمة) > إعدادات SSL.
تحت شهادات، أختر الواجهة التي يتم إستخدامها لإنهاء جلسات عمل WebVPN. في هذا المثال، يتم إستخدام الواجهة الخارجية.
انقر فوق تحرير.في القائمة المنسدلة ترخيص، أختر الشهادة المثبتة حديثا.
وانقر فوق OK.
طقطقة يطبق.
شهادة الهوية الجديدة قيد الاستخدام الآن.
أستخدم هذه الخطوات للتحقق من التثبيت الناجح لشهادة مورد الجهة الخارجية واستخدامها لاتصالات SSL VPN.
يجب تجميع أمر تصحيح الأخطاء هذا على واجهة سطر الأوامر في حالة فشل تثبيت شهادة SSL.
س. ما هو PKCS12؟
A. في التشفير، يعرف PKCS12 تنسيق ملف أرشيف تم إنشائه لتخزين العديد من كائنات التشفير كملف واحد. وعادة ما يتم إستخدامه لتجميع مفتاح خاص بشهادة X.509 أو لتجميع كافة أعضاء سلسلة الثقة.
س. ما هي CSR؟
ألف - في نظم الهياكل الأساسية للمفتاح العام (PKI)، يمثل طلب توقيع الشهادة (أيضا CSR أو طلب الاعتماد) رسالة مرسلة من مقدم الطلب إلى سلطة تسجيل للبنية الأساسية للمفتاح العام من أجل التقدم بطلب للحصول على شهادة هوية رقمية. عادة ما يحتوي على المفتاح العام الذي من أجله يمكن إصدار الشهادة، المعلومات التي يتم إستخدامها لتعريف الشهادة الموقعة (مثل اسم المجال في الموضوع) وحماية التكامل (على سبيل المثال، التوقيع الرقمي).
Q.أين كلمة المرور ل PKCS12؟
a.عندما يتم تصدير الشهادات وأزواج المفاتيح إلى ملف PKCS12، يتم إعطاء كلمة المرور في أمر التصدير. لاستيراد ملف PKCS12 يجب تسليم كلمة المرور بواسطة مالك خادم CA أو الشخص الذي قام بتصدير PKCS12 من جهاز آخر.
س. ما هو الفرق بين الجذر والهوية؟
ألف - في التشفير وأمان الكمبيوتر، تكون الشهادة الجذر شهادة مفتاح عام تعرف مرجع شهادات جذر (CA). تكون الشهادات الجذر موقعة ذاتيا (ومن الممكن أن يكون للشهادة مسارات ثقة متعددة، ولنقل إذا كانت الشهادة صادرة عن جذر موقع تبادلي) وتشكل الأساس لبنية أساسية للمفتاح العام (PKI) مستندة إلى X.509. وشهادة المفتاح العام، المعروفة أيضا بشهادة رقمية أو شهادة هوية، هي وثيقة إلكترونية تستخدم لإثبات ملكية مفتاح عام. تتضمن الشهادة معلومات حول المفتاح، ومعلومات حول هوية مالكها (تسمى الموضوع)، والتوقيع الرقمي للكيان الذي تحقق من محتويات الشهادة (يسمى المصدر). إذا كان التوقيع صحيحا، وكان البرنامج الذي يفحص الشهادة يثق في المصدر، فيمكنه إستخدام هذا المفتاح للاتصال بشكل آمن بموضوع الشهادة.
Q.لقد ركبت الصندوق، لماذا لا يعمل؟
ألف - قد يرجع ذلك إلى أسباب عديدة، منها على سبيل المثال:
1. تم تكوين الشهادة ونقطة الثقة، ولكن لم يتم ربطهما بالعملية التي يجب إستخدامها. على سبيل المثال، لا يتم ربط TrustPoint التي سيتم إستخدامها بالواجهة الخارجية التي تقوم بإنهاء عملاء AnyConnect.
2. يتم تثبيت ملف PKCS12، لكنه يعطي أخطاء بسبب شهادة CA الوسيطة المفقودة في ملف PKCS12. يتعذر على العملاء الذين لديهم شهادة CA الوسيطة كموثوق بها، ولكن ليس لديهم شهادة CA الجذر كموثوق بها، التحقق من سلسلة الشهادات بأكملها والإبلاغ عن شهادة هوية الخادم كغير موثوق بها.
3. قد تتسبب الشهادة التي تم ملؤها بسمات غير صحيحة في فشل التثبيت، أو أخطاء من جانب العميل. على سبيل المثال، قد يتم تشفير بعض السمات باستخدام تنسيق خاطئ. سبب آخر هو أن شهادة الهوية تفتقد للاسم البديل للموضوع (SAN)، أو أن اسم المجال المستخدم للوصول إلى الخادم غير موجود كشبكة منطقة تخزين (SAN).
س. هل يتطلب تثبيت وحدة جديدة إطار صيانة أم أنه يتسبب في وقت التوقف عن العمل؟
أ. تثبيت شهادة جديدة (الهوية أو المرجع المصدق) ليس متطفلا ولا ولا يجب أن يتسبب في وقت توقف عن العمل أو يطلب نافذة صيانة. لتمكين شهادة جديدة ليتم إستخدامها لخدمة موجودة هو تغيير وقد يتطلب طلب تغيير / إطار صيانة.
Q.هل يمكن أن تؤدي إضافة شهادة أو تغييرها إلى قطع اتصال المستخدمين المتصلين؟
A.No، يظل المستخدمون المتصلون حاليا على اتصال. يتم إستخدام الشهادة عند إنشاء الاتصال. بمجرد إعادة اتصال المستخدمين، يتم إستخدام الشهادة الجديدة.
Q.كيف يمكنني إنشاء CSR بحرف بدل؟ أو اسم بديل للموضوع (SAN)؟
حاليا، لا يمكن أن يقوم ASA/FTD بإنشاء CSR بحرف البدل؛ ومع ذلك، يمكن القيام بهذه العملية باستخدام OpenSSL. in order to خلقت ال CSR ومعرف مفتاح، أنت يستطيع ركضت الأمر:
openssl genrsa -out id.key 2048
openssl req -out id.csr -key id.key - جديد
عند تكوين نقطة ثقة باستخدام سمة "اسم المجال المؤهل بالكامل (FQDN)"، تحتوي CSR التي تم إنشاؤها بواسطة ASA/FTD على شبكة منطقة التخزين (SAN) بهذه القيمة. يمكن إضافة المزيد من سمات شبكة التخزين (SAN) بواسطة المرجع المصدق عندما يوقع على CSR، أو يمكن إنشاء CSR باستخدام OpenSSL
س. هل يسري مفعول إستبدال الشهادة فورا؟
أ. تستخدم شهادة هوية الخادم الجديدة فقط للاتصالات الجديدة. تكون الشهادة الجديدة جاهزة للاستخدام بعد التغيير مباشرة، ولكنها تستخدم بالفعل مع الاتصالات الجديدة.
س. كيف يمكن التحقق من تشغيل التثبيت؟
a.ال CLI أمر أن يدقق: أبديت crypto ca cert <trustPointName>
Q.كيف أن يخلق PKCS12 من شهادة الهوية، شهادة CA، والمفتاح الخاص؟
يمكن إنشاء A. PKCS12 باستخدام OpenSSL، باستخدام الأمر:
openssl pkcs12 -export -out12.pfx -inkey id.key -in id.crt -certfile ca.crt
Q. كيف يمكنك تصدير شهادة لتثبيتها في ASA جديد؟
ج.
مع CLI: أستخدم الأمر: crypto ca export <trustPointName> pkcs12 <password>
مع ASDM:
يمكن أن تكون الشهادة المصدرة على قرص الكمبيوتر. من فضلك لاحظ عبارة المرور في مكان آمن، فلا فائدة من الملف بدونها.
Q. إذا كانت مفاتيح ECDSA مستخدمة، هل تختلف عملية إنشاء شهادة SSL؟
a. الاختلاف الوحيد في التكوين هو خطوة إنشاء زوج المفاتيح، حيث يمكن إنشاء زوج مفاتيح ECDSA بدلا من زوج مفاتيح RSA. أما باقي الخطوات فبقيت كما هي.
Q.هل مطلوب دائما إنشاء زوج مفاتيح جديد؟
a.خطوة إنشاء زوج المفاتيح إختيارية. يمكن إستخدام زوج المفاتيح الموجود، أو في حالة PKCS12 يتم إستيراد زوج المفاتيح مع الشهادة. الرجاء مراجعة القسم تحديد اسم زوج المفاتيح لنوع التسجيل / إعادة التسجيل ذي الصلة.
Q.هل من الآمن إنشاء زوج مفاتيح جديد لشهادة هوية جديدة؟
A. العملية آمنة طالما يتم إستخدام اسم زوج مفاتيح جديد. في مثل هذه الحالة، لا يتم تغيير أزواج المفاتيح القديمة.
Q.هل يلزم إنشاء المفتاح مرة أخرى عند إستبدال جدار حماية (مثل RMA)؟
ألف - لا يتضمن الجدار الناري الجديد حسب التصميم أزواج المفاتيح الموجودة على جدار الحماية القديم.
لا يحتوي النسخ الاحتياطي ل running-configuration على أزواج المفاتيح.
يمكن أن يحتوي النسخ الاحتياطي الكامل الذي تم إجراؤه مع ASDM على أزواج المفاتيح.
يمكن تصدير شهادات الهوية من ASA مع ASDM أو CLI، قبل فشلها.
في حالة زوج تجاوز الفشل، تتم مزامنة الشهادات وأزواج المفاتيح مع وحدة إحتياطية باستخدام أمر كتابة في وضع الاستعداد. في حالة إستبدال عقدة واحدة من زوج تجاوز الفشل، يكفي تكوين تجاوز الفشل الأساسي ودفع التكوين إلى الجهاز الجديد.
في حالة فقد زوج مفاتيح مع الجهاز وعدم وجود نسخة إحتياطية، يلزم توقيع شهادة جديدة مع زوج مفاتيح موجود على الجهاز الجديد.
المراجعة | تاريخ النشر | التعليقات |
---|---|---|
2.0 |
22-Apr-2023 |
تم تحديث قائمة المساهم. |
1.0 |
19-Apr-2023 |
الإصدار الأولي |