تثبيت شهادة موقعة من CA من جهة خارجية في ISE

خيارات التنزيل

  • PDF     (1.2 MB)
    عرض باستخدام Adobe Reader على مجموعة متنوعة من الأجهزة
  • ePub     (1.1 MB)
    العرض في تطبيقات مختلفة على iPhone أو iPad أو نظام تشغيل Android أو قارئ Sony أو نظام التشغيل Windows Phone
  • Mobi (Kindle)     (765.4 KB)
    عرض على جهاز Kindle أو تطبيق Kindle على أجهزة متعددة
تم التحديث:٢ نوفمبر ٢٠٢٣
معرّف المستند:200295

لغة خالية من التحيز

تسعى مجموعة الوثائق لهذا المنتج جاهدة لاستخدام لغة خالية من التحيز. لأغراض مجموعة الوثائق هذه، يتم تعريف "خالية من التحيز" على أنها لغة لا تعني التمييز على أساس العمر، والإعاقة، والجنس، والهوية العرقية، والهوية الإثنية، والتوجه الجنسي، والحالة الاجتماعية والاقتصادية، والتمييز متعدد الجوانب. قد تكون الاستثناءات موجودة في الوثائق بسبب اللغة التي يتم تشفيرها بشكل ثابت في واجهات المستخدم الخاصة ببرنامج المنتج، أو اللغة المستخدمة بناءً على وثائق RFP، أو اللغة التي يستخدمها منتج الجهة الخارجية المُشار إليه. تعرّف على المزيد حول كيفية استخدام Cisco للغة الشاملة.

حول هذه الترجمة

ترجمت Cisco هذا المستند باستخدام مجموعة من التقنيات الآلية والبشرية لتقديم محتوى دعم للمستخدمين في جميع أنحاء العالم بلغتهم الخاصة. يُرجى ملاحظة أن أفضل ترجمة آلية لن تكون دقيقة كما هو الحال مع الترجمة الاحترافية التي يقدمها مترجم محترف. تخلي Cisco Systems مسئوليتها عن دقة هذه الترجمات وتُوصي بالرجوع دائمًا إلى المستند الإنجليزي الأصلي (الرابط متوفر).

    المقدمة

    يوضح هذا المستند كيفية تثبيت شهادة موقعة من قبل مرجع مصدق خارجي (CA) في محرك خدمات تعريف Cisco (ISE).

    المتطلبات الأساسية

    المتطلبات

    توصي Cisco بأن تكون لديك معرفة بالبنية الأساسية للمفتاح العام الأساسي.

    المكونات المستخدمة

    تستند المعلومات الواردة في هذا المستند إلى الإصدار 3.0 من Cisco Identity Services Engine (ISE). ينطبق التكوين نفسه على الإصدارات 2.x

    تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك قيد التشغيل، فتأكد من فهمك للتأثير المحتمل لأي أمر.

    معلومات أساسية

    هذه العملية هي نفسها بغض النظر عن دور الشهادة النهائي (مصادقة EAP، ومدخل، و Admin، و pxGrid).

    التكوين

    الخطوة 1. إنشاء طلب توقيع الشهادة (CSR).

    لإنشاء CSR، انتقل إلى الإدارة > شهادات > طلبات توقيع الشهادات وانقر فوق إنشاء طلبات توقيع الشهادات (CSR).

    Install a third-party CA certificate in ISE - Click Generate Certificate Signing Requests (CSR)

    1. ضمن قسم "الاستخدام"، حدد الدور الذي سيتم إستخدامه من القائمة المنسدلة. إذا تم إستخدام الشهادة للأدوار المتعددة، يمكنك تحديد متعدد الاستخدام. بمجرد إنشاء الشهادة، يمكن تغيير الأدوار إذا لزم الأمر.

    2. حدد العقدة التي يمكن إنشاء الشهادة لها.

    3. املأ المعلومات حسب الحاجة (الوحدة التنظيمية، المنظمة، المدينة، الولاية والبلد).

    ملاحظة: يقوم ISE الخاص بحقل الاسم الشائع (CN) بتعميم العقدة تلقائيا باسم المجال المؤهل بالكامل (FQDN).

    أحرف البدل:

    • إذا كان الهدف هو إنشاء شهادة حرف بدل، فتحقق من مربع السماح بشهادات حرف البدل

    • إذا كانت الشهادة تستخدم لمصادقة EAP يجب ألا يكون الرمز * في حقل CN للموضوع حيث إن ممولي Windows يرفضون شهادة الخادم.

    • حتى عند تعطيل التحقق من صحة هوية الخادم على المطالب، يمكن أن تفشل مصافحة SSL عندما يكون * في حقل CN. 

    • وبدلا من ذلك، يمكن إستخدام FQDN عام في حقل CN، ومن ثم يمكن إستخدام *.domain.com الاسم البديل للموضوع (SAN) في حقل اسم DNS.

    ملاحظة: يمكن لبعض مراجع الشهادات (CA) إضافة حرف البدل (*) في CN للشهادة تلقائيا حتى إذا لم يكن موجودا في CSR. وفي هذا السيناريو، يلزم تقديم طلب خاص لمنع هذا الإجراء.

    مثال CSR لشهادة الخادم الفردي:

    Install a third-party CA certificate in ISE - CSR example for individual server certificate

    مثال Wildcard CSR:

    Install a third-party CA certificate in ISE - Wildcard CSR example

    ملاحظة: يمكن إضافة كل عنوان IP لعقدة (عقد) نشر إلى حقل شبكة منطقة التخزين (SAN) لتجنب تحذير الشهادة عند الوصول إلى الخادم عبر عنوان IP.

    بمجرد إنشاء CSR، يعرض ISE نافذة منبثقة مع خيار تصديرها. بمجرد تصديره، يجب إرسال هذا الملف إلى المرجع المصدق للتوقيع.

    Install a third-party CA certificate in ISE - Export option to download CSR

    الخطوة 2. إستيراد سلسلة شهادات جديدة.

    ترجع هيئة الترخيص شهادة الخادم الموقع مع سلسلة الشهادات الكاملة (الجذر/الوسيط). ما إن إستلمت، قم بالخطوات هنا أن تستورد الشهادات إلى خادمك ISE:

    1. لاستيراد أي شهادات جذر و (أو) شهادات وسيطة مقدمة من المرجع المصدق، انتقل إلى إدارة > شهادات > شهادات موثوق بها.

    2. طقطقة إستيراد وبعد ذلك يختار الجذر و/أو الشهادة الوسيطة ويختار خانات الاختيار ذات الصلة كما طبقت أن يرسل.
    3. لاستيراد شهادة الخادم، انتقل إلى إدارة > شهادات > طلبات توقيع الشهادة.

    4. حدد CSR الذي تم إنشاؤه مسبقا وانقر على شهادة الربط.

    5. حدد موقع الشهادة الجديد وقام ISE بربط الشهادة بالمفتاح الخاص الذي تم إنشاؤه وتخزينه في قاعدة البيانات.

    ملاحظة: إذا تم تحديد "دور المسؤول" لهذه الشهادة، تتم إعادة تشغيل خدمات خادم ISE المحددة.

    تحذير: إذا كانت الشهادة التي تم إستيرادها تخص عقدة الإدارة الأساسية للنشر وإذا كان دور "المسؤول" محددا، فعندئذ يتم إعادة تشغيل الخدمات الموجودة على كافة العقد واحدة تلو الأخرى. من المتوقع حدوث ذلك ومن المستحسن حدوث وقت توقف عن العمل لتنفيذ هذا النشاط.

    التحقق من الصحة

    إذا تم تحديد دور المسؤول أثناء إستيراد الشهادة، يمكنك التحقق من أن الشهادة الجديدة في مكانها عن طريق تحميل صفحة الإدارة في المستعرض. يجب أن يثق المستعرض بشهادة المسؤول الجديدة طالما تم إنشاء السلسلة بشكل صحيح وإذا كان المستعرض يثق في سلسلة الشهادات.

    Install a third-party CA certificate in ISE - Verify certification path

    لمزيد من التحقق، حدد رمز التأمين في المستعرض وتحت مسار الترخيص تحقق من وجود السلسلة الكاملة ومن ثقتها بالجهاز. هذا ليس مؤشرا مباشرا على تمرير السلسلة الكاملة بشكل صحيح من قبل الخادم ولكنه مؤشر للمستعرض يمكنه الثقة بشهادة الخادم استنادا إلى مخزن الثقة المحلي الخاص به.

    استكشاف الأخطاء وإصلاحها

    لا يثق الطالب بشهادة ISE Local Server أثناء مصادقة dot1x

    تحقق من أن ISE يمر بسلسلة الشهادات الكاملة أثناء عملية مصافحة SSL.

    عند إستخدام أساليب EAP التي تتطلب شهادة خادم (أي PEAP) والتحقق من هوية الخادم يتم تحديدها، يتحقق مقدم الطلب من صحة سلسلة الشهادات باستخدام الشهادات الموجودة لديه في مخزن الثقة المحلي كجزء من عملية المصادقة. كجزء من عملية مصافحة SSL، يقدم ISE شهادته وكذلك أي شهادات جذر و(أو) متوسطة موجودة في سلسلته. لن يتمكن المطالب من التحقق من هوية الخادم إذا كانت السلسلة غير كاملة. للتحقق من تمرير سلسلة الشهادات مرة أخرى إلى العميل، يمكنك تنفيذ الخطوات التالية:

    1. من أجل التقاط التقاط من ISE (TCPDump) أثناء المصادقة، انتقل إلى العمليات > أدوات التشخيص > أدوات عامة > تفريغ TCP.

    2. قم بتنزيل/فتح الالتقاط وقم بتطبيق مرشح ssl.handshake.certificates في Wireshark والعثور على تحدي الوصول.

    3. بمجرد تحديده، انتقل إلى تمديد بروتوكول RADIUS > خصائص أزواج القيمة > EAP-رسالة المقطع الأخير > بروتوكول المصادقة المتوسع > طبقة مآخذ التوصيل الآمنة > شهادة > شهادات.

     سلسلة الشهادات في الالتقاط.

    Install a third-party CA certificate in ISE - Troubleshoot - Certificate chain in the capture

    إذا كانت السلسلة غير كاملة، انتقل إلى إدارة ISE > شهادات > شهادات موثوق بها وتحقق من وجود الشهادات الوسيطة و(أو) الجذر. إذا تم تمرير سلسلة الشهادات بنجاح، فيجب التحقق من صلاحية السلسلة نفسها باستخدام الطريقة الموضحة هنا. 

    افتح كل شهادة (خادم، متوسط وجذري) وتحقق من سلسلة الثقة من خلال مطابقة معرف مفتاح الموضوع (SKI) لكل شهادة مع معرف مفتاح السلطة (AKI) للشهادة التالية في السلسلة.

    مثال على سلسلة شهادات. 

    Install a third-party CA certificate in ISE - Troubleshoot - Certificate chain example

    سلسلة شهادة ISE صحيحة ولكن نقطة النهاية ترفض شهادة خادم ISE أثناء المصادقة

    إذا كان ISE يقدم سلسلة الشهادات الكاملة الخاصة به أثناء مصافحة SSL وكان المطلوب لا يزال يرفض سلسلة الشهادات، فإن الخطوة التالية هي التحقق من أن الشهادات الجذر و(أو) الشهادات الوسيطة موجودة في مخزن الثقة المحلي الخاص بالعميل.

    للتحقق من ذلك من جهاز Windows، انتقل إلى ملف mmc.exe > الأداة الإضافية Add-Remove. من عمود الأدوات الإضافية المتوفر، حدد الشهادات وانقر على إضافة. حدد إما حساب المستخدم الخاص بي أو حساب الكمبيوتر على حسب نوع المصادقة المستخدم (المستخدم أو الجهاز) ثم انقر على موافق.

    تحت طريقة عرض وحدة التحكم، حدد مراجع مصادقة الجذر الموثوق بها ومراجع الشهادات الوسيطة للتحقق من وجود الشهادة الجذر والمتوسط في المخزن الموثوق المحلي.

    Install a third-party CA certificate in ISE - Troubleshoot - Verify Root and Intermediate certificates are present

    طريقة سهلة للتحقق من أن هذه مشكلة في التحقق من هوية الخادم، قم بإلغاء تحديد التحقق من صحة شهادة الخادم ضمن تكوين ملف التعريف المطلوب واختباره مرة أخرى.

    Install a third-party CA certificate in ISE - Troubleshoot - Uncheck Validate Server Certificate option

    معلومات ذات صلة

    محفوظات المراجعة

    المراجعة تاريخ النشر التعليقات
    2.0
    02-Nov-2023
    تقويم
    1.0
    23-Aug-2021
    الإصدار الأولي
    TAC Authored

    تمت المساهمة بواسطة مهندسو Cisco

    • Antonio Torres
      Cisco TAC Engineer
    • Abhishek Tomar
      Cisco TAC Engineer

    هل كان هذا المستند مفيدًا؟

    Feedbackالتعليقات

    اتصل بنا

    ينطبق هذا المستند على هذه المنتجات