تكوين خادم Microsoft CA لنشر قوائم إبطال الشهادات ل ISE

خيارات التنزيل

  • PDF     (2.1 MB)
    عرض باستخدام Adobe Reader على مجموعة متنوعة من الأجهزة
  • ePub     (2.1 MB)
    العرض في تطبيقات مختلفة على iPhone أو iPad أو نظام تشغيل Android أو قارئ Sony أو نظام التشغيل Windows Phone
  • Mobi (Kindle)     (1.6 MB)
    عرض على جهاز Kindle أو تطبيق Kindle على أجهزة متعددة
تم التحديث:١٣ فبراير ٢٠٢٤
معرّف المستند:216529

لغة خالية من التحيز

تسعى مجموعة الوثائق لهذا المنتج جاهدة لاستخدام لغة خالية من التحيز. لأغراض مجموعة الوثائق هذه، يتم تعريف "خالية من التحيز" على أنها لغة لا تعني التمييز على أساس العمر، والإعاقة، والجنس، والهوية العرقية، والهوية الإثنية، والتوجه الجنسي، والحالة الاجتماعية والاقتصادية، والتمييز متعدد الجوانب. قد تكون الاستثناءات موجودة في الوثائق بسبب اللغة التي يتم تشفيرها بشكل ثابت في واجهات المستخدم الخاصة ببرنامج المنتج، أو اللغة المستخدمة بناءً على وثائق RFP، أو اللغة التي يستخدمها منتج الجهة الخارجية المُشار إليه. تعرّف على المزيد حول كيفية استخدام Cisco للغة الشاملة.

حول هذه الترجمة

ترجمت Cisco هذا المستند باستخدام مجموعة من التقنيات الآلية والبشرية لتقديم محتوى دعم للمستخدمين في جميع أنحاء العالم بلغتهم الخاصة. يُرجى ملاحظة أن أفضل ترجمة آلية لن تكون دقيقة كما هو الحال مع الترجمة الاحترافية التي يقدمها مترجم محترف. تخلي Cisco Systems مسئوليتها عن دقة هذه الترجمات وتُوصي بالرجوع دائمًا إلى المستند الإنجليزي الأصلي (الرابط متوفر).

    المقدمة

    يصف هذا المستند تكوين خادم Microsoft Certificate Authority (CA) الذي يقوم بتشغيل خدمات معلومات الإنترنت (IIS) لنشر تحديثات قائمة إبطال الشهادات (CRL). وهو يشرح أيضا كيفية تكوين محرك خدمات الهوية (ISE) من Cisco (الإصدارات 3.0 والإصدارات الأحدث) لاسترداد التحديثات لاستخدامها في التحقق من صحة الشهادة. يمكن تكوين ISE لاسترداد CRLs لشهادات جذر CA المختلفة التي يستخدمها في التحقق من صحة الشهادة.

    المتطلبات الأساسية

    المتطلبات

    لا توجد متطلبات خاصة لهذا المستند.

    المكونات المستخدمة

    تستند المعلومات الواردة في هذا المستند إلى إصدارات البرامج والمكونات المادية التالية:

    • Cisco Identity Services Engine، الإصدار 3.0
    • نظام التشغيل Microsoft Windows Server 2008 R2

    تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك قيد التشغيل، فتأكد من فهمك للتأثير المحتمل لأي أمر.

    التكوين

    في هذا القسم، تُقدّم لك معلومات تكوين الميزات الموضحة في هذا المستند.

    إنشاء مجلد وتكوينه على المرجع المصدق لتضمين ملفات CRL

    تتمثل المهمة الأولى في تكوين موقع على خادم CA لتخزين ملفات CRL. يقوم خادم Microsoft CA بنشر الملفات إلى C:\Windows\system32\CertSrv\CertEnroll\

    بدلا من إستخدام مجلد النظام هذا، قم بإنشاء مجلد جديد للملفات.

    1. على خادم IIS، أختر موقعا على نظام الملفات وقم بإنشاء مجلد جديد. في هذا المثال، يتم C:\CRLDistribution إنشاء المجلد.

      Choose location and create folder

    2. لكي يتمكن المرجع المصدق من كتابة ملفات CRL إلى المجلد الجديد، يجب تمكين المشاركة. انقر بزر الماوس الأيمن فوق المجلد الجديد، واختر Properties، وانقر فوق Sharing علامة التبويب، ثم انقر Advanced Sharing.

      Enable Advanced Sharing

    3. Share this folder لمشاركة المجلد، حدد خانة الاختيار ثم قم بإضافة علامة دولار ($) إلى نهاية اسم المشاركة في حقل اسم المشاركة لإخفاء المشاركة.

      Enter the share name and share the folder

    4. انقر Permissions (1)، انقر Add (2)، انقر Object Types (3)، وحدد Computers خانة الاختيار (4).

      Manage permissions

    5. للعودة إلى إطار تحديد مستخدمين أو أجهزة كمبيوتر أو حسابات خدمة أو مجموعات، انقر فوق OK. في الحقل إدخال أسماء الكائنات لتحديد الحقل، أدخل اسم الكمبيوتر لخادم CA في هذا المثال: WIN0231PNBS4IPH وانقر Check Names. إذا كان الاسم الذي تم إدخاله صالحا، فإن الاسم يتم تحديثه ويظهر تحته خط. انقر.OK

      Enter the Object Names

    6. في حقل المجموعة أو أسماء المستخدمين، أختر حاسب CA. تحقق من Allow وجود تحكم كامل لمنح الوصول الكامل إلى المرجع المصدق.

           انقر.OK انقر OK مرة أخرى لإغلاق إطار "المشاركة المتقدمة" والرجوع إلى إطار "خصائص".

      Set the permissions for the share and allow full control

    7. للسماح ل CA بكتابة ملفات CRL إلى المجلد الجديد، قم بتكوين أذونات الأمان المناسبة. انقرSecurity علامة التبويب (1)، انقر Edit (2)، انقر Add (3)، انقر Object Types (4)، وحدد Computers خانة الاختيار (5).

      Configure the security permissions

    8. في الحقل إدخال أسماء الكائنات لتحديد ، أدخل اسم الكمبيوتر الخاص بخادم المرجع المصدق ، وانقر Check Names. إذا كان الاسم الذي تم إدخاله صالحا، فإن الاسم يتم تحديثه ويظهر تحته خط. انقر.OK

      Check names for validity

    9. أختر كمبيوتر المرجع المصدق في حقل "المجموعة" أو "أسماء المستخدمين" ثم تحقق Allow من توفر التحكم الكامل لمنح حق الوصول الكامل إلى المرجع المصدق. انقر OK ثم انقر Close لإكمال المهمة.

      Choose the CA computer and allow full control

    إنشاء موقع في IIS لكشف نقطة توزيع CRL الجديدة

    لتمكين ISE من الوصول إلى ملفات CRL، أجعل الدليل الذي يضم ملفات CRL يمكن الوصول إليه عبر IIS.

    1. في شريط مهام خادم IIS، انقر Start. اختَر.Administrative Tools > Internet Information Services (IIS) Manager
    2. في الجزء الأيسر (المعروف باسم شجرة وحدة التحكم)، قم بتوسيع اسم خادم IIS ثم قم بالتوسع Sites.

      Console tree and server name

    3. انقر بزر الماوس الأيمن Default Web Site واختر Add Virtual Directory، كما هو موضح في هذه الصورة.

      Add virtual directory

    4. في حقل الاسم المستعار، أدخل اسم موقع لنقطة توزيع CRL. في هذا مثال، دخلت CRLD.

      Enter site name in Alias field

    5. انقر فوق القطع الناقص (. . .) إلى يمين حقل المسار الفعلي واستعرض إلى المجلد الذي تم إنشاؤه في القسم 1. حدد المجلد وانقر OK. انقر OK لإغلاق نافذة إضافة الدليل الظاهري.

      Close the Add Virtual Directory window

    6. يجب إبراز اسم الموقع الذي تم إدخاله في الخطوة 4 في الجزء الأيسر. إذا لم تكن كذلك، فعليك باختياره الآن. في الجزء الأوسط، انقر نقرا مزدوجا Directory Browsing.

      Directory browsing

    7. في الجزء الأيمن، انقر Enable لتمكين إستعراض الدليل.

      Enable directory browsing

    8. في الجزء الأيسر، أختر اسم الموقع مرة أخرى. في الجزء الأوسط، انقر نقرا مزدوجا Configuration Editor.

      Directory browsing

    9. في القائمة المنسدلة "قسم"، أختر system.webServer/security/requestFiltering. في القائمة allowDoubleEscaping المنسدلة، أختر True. في اللوحة اليمنى، انقر Apply، كما هو موضح في هذه الصورة.

      allowDoubleEscaping drop-down list

      يجب الوصول إلى المجلد الآن عبر IIS.

    تكوين خادم Microsoft CA لنشر ملفات CRL إلى نقطة التوزيع

    الآن بعد تكوين مجلد جديد لتضمين ملفات CRL وتم عرض المجلد في IIS، قم بتكوين خادم Microsoft CA لنشر ملفات CRL إلى الموقع الجديد.

    1. في شريط مهام خادم CA، انقر Start. اختَر.Administrative Tools > Certificate Authority
    2. في اللوح الأيسر، انقر بزر الماوس الأيمن على اسم المرجع المصدق. أختر Properties ثم انقر Extensions علامة التبويب. لإضافة نقطة توزيع CRL جديدة، انقر فوق Add.

      Add a new CRL distribution point

    3. في حقل الموقع، أدخل المسار إلى المجلد الذي تم إنشاؤه ومشاركته في القسم 1. في المثالفي القسم 1، يكون المسار:

             \\WIN-231PNBS4IPH\CRLDistribution$

      Add a location

    4. مع تعبئة حقل الموقع، أختر من القائمة المنسدلة المتغير ثم انقر فوق Insert.

      Insert a CA name

    5. من القائمة المنسدلة "متغير"، أختر ثم انقر فوق Insert.

      Insert the variable

    6. في حقل الموقع، قم بإلحاق .crl نهاية المسار. في هذا المثال، الموقع:

           \\WIN-231PNBS4IPH\CRLDistribution$\ .crl

      Add a location

    7. انقر للرجوع OK إلى علامة التبويب الملحقات. حدد خانة Publish CRLs to this location الاختيار ثم انقر OK لإغلاق نافذة الخصائص.

      تظهر مطالبة للحصول على إذن لإعادة تشغيل خدمات شهادات Active Directory. انقر.Yes

      Restart Active Directory Services

    8. في الجزء الأيسر، انقر بزر الماوس الأيمن Revoked Certificates. اختَر.All Tasks > Publish تأكد من تحديد CRL جديد ثم انقر فوق OK.

      Choose all tasksPublish revoked certificates

      يجب أن يقوم خادم Microsoft CA بإنشاء ملف .crl جديد في المجلد الذي تم إنشاؤه في القسم 1. إذا تم إنشاء ملف CRL الجديد بنجاح، فلن يكون هناك مربع حوار بعد النقر فوق "موافق". إذا تم إرجاع خطأ بخصوص مجلد نقطة التوزيع الجديدة، فقم بتكرار كل خطوة في هذا القسم بعناية.

    التحقق من وجود ملف CRL وإمكانية الوصول إليه عبر IIS

    تحقق من وجود ملفات CRL الجديدة ومن إمكانية الوصول إليها عبر IIS من محطة عمل أخرى قبل بدء هذا القسم.

    1. على خادم IIS، افتح المجلد الذي تم إنشاؤه في القسم 1. يجب أن يكون هناك ملف .crl واحد موجود مع النموذج .crl حيث يكون اسم خادم CA. في هذا المثال، اسم الملف هو:

           abtomar-WIN-231PNBS4IPH-CA.crl

      IIS server

    2. من محطة عمل على الشبكة (بشكل مثالي على نفس الشبكة مثل عقدة إدارة ISE الأساسية)، افتح مستعرض ويب واستعرض إلى http:// / أين يتم تكوين اسم خادم IIS في القسم 2 وهو اسم الموقع الذي تم إختياره لنقطة التوزيع في القسم 2. في هذا المثال، عنوان URL:

           http://win-231pnbs4iph/CRLD

      يعرض فهرس الدليل، والذي يتضمن الملف الملاحظ في الخطوة 1.

      Directory index

    تكوين ISE لاستخدام نقطة توزيع CRL الجديدة

    قبل تكوين ISE لاسترداد CRL، حدد الفاصل الزمني لنشر CRL. تتجاوز إستراتيجية تحديد هذا الفاصل الزمني نطاق هذا المستند. القيم المحتملة (في Microsoft CA) هي من ساعة واحدة إلى 411 سنة، شاملة. القيمة الافتراضية هي 1 أسبوع. بمجرد تحديد الفاصل الزمني المناسب لبيئة عملك، قم بتعيين الفاصل الزمني باستخدام التعليمات التالية:

    1. في شريط مهام خادم CA، انقر Start. اختَر.Administrative Tools > Certificate Authority
    2. في الجزء الأيسر، قم بتوسيع المرجع المصدق. انقر بزر الماوس الأيمن فوق Revoked Certificates المجلد واختر Properties.
    3. في حقول الفاصل الزمني لنشر CRL، أدخل الرقم المطلوب واختر الفترة الزمنية. انقر OK لإغلاق النافذة وتطبيق التغيير. في هذا المثال، تم تكوين فاصل زمني للنشر لمدة سبعة أيام.

      Revoked certificates propertiesCRL publication interval

    4. أدخل الأمر certutil -getreg CA\Clock* لتأكيد قيمة ClockSkew. القيمة الافتراضية هي 10 دقائق.

      مثال الإخراج:

      Values:
    ClockSkewMinutes        REG_DWORS = a (10)
CertUtil: -getreg command completed successfully.
    5. أدخل الأمر للتحقق مما إذا certutil -getreg CA\CRLov* كان قد تم تعيين CRLOverlapPeriod يدويا. بشكل افتراضي تكون قيمة CRLOverlapUnit هي 0، وهو ما يشير إلى أنه لم يتم تعيين أي قيمة يدوية. إذا كانت القيمة قيمة غير 0، فقم بتسجيل القيمة والوحدات.

      مثال الإخراج:

      Values:
    CRLOverlapPeriod      REG_SZ = Hours
    CRLOverlapUnits        REG_DWORD = 0
CertUtil: -getreg command completed successfully.
    6. أدخل الأمر certutil -getreg CA\CRLpe* للتحقق من CRLPeriod، والذي تم تعيينه في الخطوة 3.

      مثال الإخراج:

      Values:
    CRLPeriod      REG_SZ = Days
    CRLUnits        REG_DWORD = 7
CertUtil: -getreg command completed successfully.
    7. قم بحساب فترة سماح CRL كما يلي:

         أ. إذا تم تعيين CRLOverlapPeriod في الخطوة 5: التداخل = CRLOverlapPeriod، بالدقائق؛

            غير ذلك: التداخل = (CrlpEriod / 10)، بالدقائق

         ب. إذا كان التداخل > 720 فإن التداخل = 720

         c. إذا كان التداخل < (1.5 * ClockSkewMinutes) ثم التداخل = (1.5 * ClockSkewMinutes)

         د. إذا تداخل > CrlpEriod، في دقائق، ثم تداخل = CrlpEriod في دقائق

         ه. فترة السماح = تداخل + ClockSkewMinutes

      Example:

As stated above, CRLPeriod was set to 7 days, or 10248 minutes and CRLOverlapPeriod was not set.


      a. OVERLAP = (10248 / 10) = 1024.8 minutes
b. 1024.8 minutes is > 720 minutes : OVERLAP = 720 minutes
c. 720 minutes is NOT < 15 minutes : OVERLAP = 720 minutes
d. 720 minutes is NOT > 10248 minutes : OVERLAP = 720 minutes
e. Grace Period = 720 minutes + 10 minutes = 730 minutes

      فترة السماح المحسوبة هي مقدار الوقت بين وقت نشر CRL التالي وتاريخ انتهاء صلاحية CRL الحالي. يلزم تكوين ISE لاسترداد قوائم التحكم في الوصول (CRLs) وفقا لذلك.

    8. قم بتسجيل الدخول إلى عقدة "مسؤول ISE الأساسي" واختر Administration > System > Certificates. في اللوحة اليسرى، أختر Trusted Certificate.

      Trusted certificates

    9. حدد خانة الاختيار المجاورة لشهادة CA التي ترغب في تكوين قوائم التحكم في الوصول إلى CRLs لها. انقر.Edit
    10. بالقرب من أسفل النافذة، حدد Download CRL خانة الاختيار.
    11. في حقل عنوان URL الخاص بتوزيع CRL، أدخل المسار إلى نقطة توزيع CRL، والتي تتضمن ملف .crl، الذي تم إنشاؤه في القسم 2. في هذا المثال، عنوان URL:

          http://win-231pnbs4iph/crld/abtomar-WIN-231PNBS4IPH-CA.crl

    12. يمكن تكوين ISE لاسترداد CRL على فترات زمنية منتظمة أو استنادا إلى انتهاء الصلاحية (الذي هو أيضا، بصفة عامة، فاصل زمني منتظم). عندما يكون الفاصل الزمني لنشر CRL ثابتا، يتم الحصول على تحديثات CRL أكثر ملاءمة عند إستخدام الخيار الأخير. انقر زر Automatically الاختيار.
    13. قم بتعيين قيمة الاسترداد إلى قيمة أقل من فترة السماح المحسوبة في الخطوة 7. إذا كانت مجموعة القيمة أطول من فترة السماح، فإن ISE يتحقق من نقطة توزيع CRL قبل أن يقوم CA بنشر CRL التالية. في هذا المثال، يتم حساب فترة السماح على أنها 730 دقيقة، أو 12 ساعة و 10 دقائق. سيتم إستخدام قيمة 10 ساعات للاسترداد.
    14. تعيين الفاصل الزمني لإعادة المحاولة على أنه مناسب لبيئتك. إذا تعذر على ISE إسترداد قائمة التحكم في الوصول (CRL) في الفترة التي تم تكوينها في الخطوة السابقة، فسيعيد المحاولة في هذه الفترة الأقصر.
    15. حدد خانة Bypass CRL Verification if CRL is not Received الاختيار للسماح للمصادقة المستندة إلى الشهادة بالمتابعة بشكل طبيعي (ودون فحص CRL) إذا لم يتمكن ISE من إسترداد CRL لهذا المرجع المصدق في محاولة التنزيل الأخيرة. في حالة عدم تحديد خانة الاختيار هذه، ستفشل كافة المصادقة المستندة إلى الشهادة مع الشهادات التي تم إصدارها من قبل المرجع المصدق هذا في حالة تعذر إسترداد قائمة التحكم في الوصول (CRL).
    16. حدد خانة Ignore that CRL is not yet valid or expired الاختيار للسماح ل ISE باستخدام ملفات CRL منتهية الصلاحية (أو غير صالحة بعد) كما لو كانت صحيحة. إذا لم يتم تحديد خانة الاختيار هذه، فإن ISE يعتبر قائمة التحكم في الوصول (CRL) غير صالحة قبل تاريخ السريان الخاص بهم وبعد أوقات التحديث التالية الخاصة بهم. انقر Save لإكمال التكوين.

      Certificate status validation

    التحقق من الصحة

    لا يوجد حاليًا إجراء للتحقق من صحة هذا التكوين.

    استكشاف الأخطاء وإصلاحها

    لا تتوفر حاليًا معلومات محددة لاستكشاف الأخطاء وإصلاحها لهذا التكوين.

    محفوظات المراجعة

    المراجعة تاريخ النشر التعليقات
    1.0
    16-Feb-2024
    الإصدار الأولي
    TAC Authored

    تمت المساهمة بواسطة مهندسو Cisco

    • أبيشيك تومار
      مهندس TAC من Cisco
    • جاستن تيكسيرا
      مهندس TAC من Cisco

    هل كان هذا المستند مفيدًا؟

    Feedbackالتعليقات

    اتصل بنا

    ينطبق هذا المستند على هذه المنتجات