المشاكل المتعلقة باستخدام PNP مع FND على إصدارات Cisco IOS® الأحدث
المحتويات
المقدمة
يوضح هذا المستند كيفية إنشاء الشهادة الصحيحة وتصديرها من "البنية الأساسية للمفتاح الخاص ل Windows" (PKI) للاستخدام مع "التوصيل والتشغيل" (PNP) على "مدير شبكة الحقل" (FND).
المشكلة
عندما يحاول أنت أن يستعمل PNP أن يتم نشر بدون لمس (ZTD) على إطلاق أحدث من Cisco IOS® و Cisco IOS®-XE، العملية يفشل مع واحد من هذا خطأ PNP:
Error while creating FND trustpoint on the device. errorCode: PnP Service Error 3341,
errorMessage: SSL Server ID check failed after cert-install
Error while creating FND trustpoint on the device. errorCode: PnP Service Error 3337,
errorMessage: Cant get PnP Hello Response after cert-install
منذ بعض الوقت، يتطلب رمز PNP في Cisco IOS® /Cisco IOS®-XE ملء حقل "الاسم البديل للموضوع (SAN)" في الشهادة المقدمة من قبل خادم/وحدة التحكم (FND في هذه الحالة).
يتحقق وكيل PNP Cisco IOS®فقط من حقل شهادة SAN لمعرف الخادم. لم يعد يتم التحقق من حقل الاسم الشائع (CN).
هذا صالح لهذه الإصدارات:
-
برنامج Cisco IOS® الإصدار 15.2(6)E2 والإصدارات الأحدث
-
Cisco IOS®، الإصدار 15.6(3)M4 والإصدارات الأحدث
-
برنامج Cisco IOS®، الإصدار 15.7(3)M2 والإصدارات الأحدث
-
Cisco IOS® XE Denali 16.3.6 والإصدارات الأحدث
-
Cisco IOS® XE Everest، الإصدار 16.5.3 والإصدارات الأحدث
-
Cisco IOS® Everest، الإصدار 16.6.3 والإصدارات الأحدث
-
جميع إصدارات Cisco IOS® من 16.7.1 والإصدارات الأحدث
يمكن العثور على مزيد من المعلومات هنا: https://www.cisco.com/c/en/us/td/docs/solutions/Enterprise/Plug-and-Play/solution/guidexml/b_pnp-solution-guide.html#id_70663
الحل
لا تذكر معظم الأدلة والوثائق الخاصة بالقوات الوطنية من أجل التنمية بعد أن حقل شبكة منطقة التخزين بحاجة إلى التعميم.
لإنشاء الشهادة الصحيحة وتصديرها للاستخدام مع PNP وإضافتها إلى مخزن المفاتيح، اتبع الخطوات التالية.
إنشاء شهادة جديدة باستخدام قالب FND/NMS على خادم Windows CA
انتقل إلى ابدأ > تشغيل > MMC > ملف > إضافة/إزالة أداة إضافية.. > شهادات > إضافة > حساب كمبيوتر > كمبيوتر محلي > موافق وافتح الأداة الإضافية MMC للشهادات.
تمديد الشهادات (كمبيوتر محلي) > شخصي > شهادات
انقر بزر الماوس الأيمن على الشهادات وحدد كل المهام > طلب شهادة جديدة.. كما هو موضح في الصورة.
انقر فوق التالي وحدد نهج تسجيل Active Directory كما هو موضح في الصورة.
انقر فوق التالي وحدد القالب الذي تم إنشاؤه ل NMS/FND-Server (تكرار ذلك لاحقا ل خادم TelePresence (TPS)) وانقر فوق إرتباط مزيد من المعلومات كما هو موضح في الصورة.
في خصائص الشهادة، قم بتوفير هذه المعلومات:
اسم الموضوع:
- المؤسسة: اسم مؤسستك
- الاسم الشائع: اسم المجال المؤهل بالكامل (FQDN) الخاص بخادم FND (أو TPS إذا كان ذلك ممكنا)
الاسم البديل (حقل شبكة منطقة التخزين (SAN)):
- إذا كنت تستخدم نظام اسم المجال (DNS) للاتصال بجزء PNP من خادم FND، فقم بإضافة إدخال DNS ل FQDN
- إذا كنت تستخدم IP للاتصال بجزء PNP من خادم FND، فقم بإضافة إدخال IPv4 ل IP
يوصى بتضمين قيم شبكة منطقة تخزين (SAN) متعددة في الشهادة، في حالة أختلاف طرق اكتشاف الحالة. على سبيل المثال، يمكنك تضمين كل من FQDN لوحدة التحكم وعنوان IP (أو عنوان NAT IP) في حقل شبكة التخزين (SAN). إذا قمت بتضمين كليهما، فقم بتعيين FQDN كأول قيمة لشبكة التخزين (SAN)، متبوعا بعنوان IP.
مثال تشكيل:
وبمجرد اكتمالها، انقر فوق موافق في إطار خصائص الشهادة، ثم سجل لإنشاء الشهادة، ثم انقر فوق إنهاء عند اكتمال الإنشاء.
تحقق من حقل شبكة التخزين (SAN) في الشهادة التي تم إنشاؤها
للتحقق مما إذا كانت الشهادة التي تم إنشاؤها تحتوي على المعلومات الصحيحة، يمكنك فحصها كما يلي:
افتح الأداة الإضافية للشهادات في Microsoft Management Console (MMC) ووسع الشهادات (الكمبيوتر المحلي) > شخصي > شهادات.
انقر نقرا مزدوجا على الشهادة التي تم إنشاؤها وافتح علامة التبويب تفاصيل. قم بالتمرير لأسفل للبحث عن حقل شبكة التخزين (SAN) كما هو موضح في الصورة.
تصدير الشهادة إلى مخزن مفاتيح FND
قبل أن تتمكن من إستيراد أو إستبدال الشهادة الموجودة في مخزن مفاتيح FND، تحتاج إلى تصديرها إلى ملف .pfd.
في الأداة الإضافية للشهادات في MMC، قم بتوسيع الشهادات (كمبيوتر محلي) > شخصي > شهادات
انقر بزر الماوس الأيمن فوق الشهادة التي تم إنشاؤها وحدد كافة المهام > تصدير... كما هو موضح في الصورة.
انقر فوق التالي، حدد لتصدير المفتاح الخاص كما هو موضح في الصورة.
حدد لتضمين كل الشهادات في مسار الترخيص كما هو موضح في الصورة.
انقر بعد ذلك، حدد كلمة مرور للتصدير واحفظ ال .pfx في مكان معروف.
إنشاء مخزن مفاتيح FND للاستخدام مع PNP
الآن بعد أن قمت بتصدير الشهادة، يمكنك إنشاء مخزن المفاتيح المطلوب ل FND.
قم بنقل .pfx الذي تم إنشاؤه من الخطوة السابقة بأمان إلى جهاز أنظمة إدارة الشبكة (NMS) أو مضيف OVA (خادم FND)، على سبيل المثال باستخدام SCP.
سرد محتويات .pfx للتعرف على الاسم المستعار الذي تم إنشاؤه تلقائيا في التصدير:
[root@iot-fnd ~]# keytool -list -v -keystore nms.pfx -srcstoretype pkcs12 | grep Alias Enter keystore password: keystore Alias name: le-fnd-8f0908aa-dc8d-4101-a526-93b4eaad9481
إنشاء مخزن مفاتيح جديد باستخدام هذا الأمر:
root@iot-fnd ~]# keytool -importkeystore -v -srckeystore nms.pfx -srcstoretype pkcs12 -destkeystore cgms_keystore_new -deststoretype jks -srcalias le-fnd-8f0908aa-dc8d-4101-a526-93b4eaad9481 -destalias cgms -destkeypass keystore Importing keystore nms.pfx to cgms_keystore_new... Enter destination keystore password: Re-enter new password: Enter source keystore password: [Storing cgms_keystore_new] Warning: The JKS keystore uses a proprietary format. It is recommended to migrate to PKCS12 which is an industry standard format using "keytool -importkeystore -srckeystore cgms_keystore_new -destkeystore cgms_keystore_new -deststoretype pkcs12".
في الأمر، تأكد من إستبدال nms.pfx بالملف الصحيح (المصدر من Windows CA) وأن قيمة srcalias تطابق مع مخرجات الأمر السابق (keyTool -list).
بعد أن تقوم بتوليده، قم بتحويله إلى التنسيق الجديد كما هو مقترح:
[root@iot-fnd ~]# keytool -importkeystore -srckeystore cgms_keystore_new -destkeystore
cgms_keystore_new -deststoretype pkcs12 Enter source keystore password: Entry for alias cgms successfully imported. Import command completed: 1 entries successfully imported, 0 entries failed or cancelled Warning: Migrated "cgms_keystore_new" to Non JKS/JCEKS. The JKS keystore is backed up as
"cgms_keystore_new.old".
إضافة شهادة المرجع المصدق، التي تم تصديرها سابقا، إلى مخزن المفاتيح:
[root@iot-fnd ~]# keytool -import -trustcacerts -alias root -keystore cgms_keystore_
new -file rootca.cer Enter keystore password: Owner: CN=rootca, DC=fnd, DC=iot Issuer: CN=rootca, DC=fnd, DC=iot ... Trust this certificate? [no]: yes Certificate was added to keystore
وأخيرا، قم بإضافة شهادة SUDI، التي تستخدم للتحقق من الهوية بتسلسل من FAR عندما تستخدم PNP، إلى مخزن المفاتيح.
لتركيب RPM، يتم تجميع شهادة SUDI مع الحزم ويمكن العثور عليها في: /opt/cgms/server/cgms/conf/ciscosudi/cisco-sudi-ca.pem
لتثبيت OVA، قم أولا بنسخ شهادة SUDI إلى المضيف:
[root@iot-fnd ~]# docker cp fnd-container:/opt/cgms/server/cgms/conf/ciscosudi/cisco-sudi-ca.pem .
ثم قم بإضافته إلى مخزن المفاتيح كما هو موثوق به مع الاسم المستعار SUDI:
[root@iot-fnd ~]# keytool -import -trustcacerts -alias sudi -keystore cgms_keystore_new -file cisco-sudi-ca.pem Enter keystore password: Owner: CN=ACT2 SUDI CA, O=Cisco Issuer: CN=Cisco Root CA 2048, O=Cisco Systems ... Trust this certificate? [no]: yes Certificate was added to keystore
وعند هذه النقطة، يكون متجر المفاتيح جاهزا للاستخدام مع الصندوق الوطني للتنمية.
تنشيط مخزن المفاتيح الجديد/المعدل للاستخدام مع FND
قبل إستخدام مخزن المفاتيح، قم باستبدال الإصدار السابق وقم بتحديث كلمة المرور بشكل إختياري في ملف cgms.properties.
أولا، قم بإجراء عملية نسخ إحتياطي لمخزن المفاتيح الموجود بالفعل:
لتثبيت RPM:
[root@fndnms ~]# cp /opt/cgms/server/cgms/conf/cgms_keystore cgms_keystore_backup
لتثبيت OVA:
[root@iot-fnd ~]# cp /opt/fnd/data/cgms_keystore cgms_keystore_backup
استبدل القائمة بالجديدة:
لتثبيت RPM:
[root@fndnms ~]# cp cgms_keystore_new /opt/cgms/server/cgms/conf/cgms_keystore
لتثبيت OVA:
[root@iot-fnd ~]# cp cgms_keystore_new /opt/fnd/data/cgms_keystore
بشكل إختياري، قم بتحديث كلمة المرور لمخزن المفاتيح في ملف cgms.properties:
أولا، قم بإنشاء سلسلة كلمة مرور مشفرة جديدة.
لتثبيت RPM:
[root@fndnms ~]# /opt/cgms/bin/encryption_util.sh encrypt keystore 7jlXPniVpMvat+TrDWqh1w==
لتثبيت OVA:
[root@iot-fnd ~]# docker exec -it fnd-container /opt/cgms/bin/encryption_util.sh encrypt keystore 7jlXPniVpMvat+TrDWqh1w==
تأكد من إستبدال مخزن المفاتيح بكلمة المرور الصحيحة لمخزن المفاتيح.
قم بتغيير cgms.properties في /opt/cgms/server/cgms/conf/cgms.properties للتثبيت المستند إلى RPM أو /opt/fnd/data/cgms.properties للتثبيت المستند إلى OVA لتضمين كلمة المرور المشفرة الجديدة.
وأخيرا، قم بإعادة تشغيل FND لبدء إستخدام مخزن المفاتيح وكلمة المرور الجديدين.
محفوظات المراجعة
| المراجعة | تاريخ النشر | التعليقات |
|---|---|---|
1.0 |
07-Mar-2019 |
الإصدار الأولي |
التعليقات