المقدمة
يصف هذا المستند تكوين خادم Microsoft Certificate Authority (CA) الذي يقوم بتشغيل خدمات معلومات الإنترنت (IIS) لنشر تحديثات قائمة إبطال الشهادات (CRL). وهو يشرح أيضا كيفية تكوين محرك خدمات الهوية (ISE) من Cisco (الإصدارات 3.0 والإصدارات الأحدث) لاسترداد التحديثات لاستخدامها في التحقق من صحة الشهادة. يمكن تكوين ISE لاسترداد CRLs لشهادات جذر CA المختلفة التي يستخدمها في التحقق من صحة الشهادة.
المتطلبات الأساسية
المتطلبات
لا توجد متطلبات خاصة لهذا المستند.
المكونات المستخدمة
تستند المعلومات الواردة في هذا المستند إلى إصدارات البرامج والمكونات المادية التالية:
- Cisco Identity Services Engine، الإصدار 3.0
- نظام التشغيل Microsoft Windows Server 2008 R2
تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك قيد التشغيل، فتأكد من فهمك للتأثير المحتمل لأي أمر.
التكوين
في هذا القسم، تُقدّم لك معلومات تكوين الميزات الموضحة في هذا المستند.
إنشاء مجلد وتكوينه على المرجع المصدق لتضمين ملفات CRL
تتمثل المهمة الأولى في تكوين موقع على خادم CA لتخزين ملفات CRL. يقوم خادم Microsoft CA بنشر الملفات إلى C:\Windows\system32\CertSrv\CertEnroll\
بدلا من إستخدام مجلد النظام هذا، قم بإنشاء مجلد جديد للملفات.
- على خادم IIS، أختر موقعا على نظام الملفات وقم بإنشاء مجلد جديد. في هذا المثال، يتم
C:\CRLDistribution
إنشاء المجلد.
- لكي يتمكن المرجع المصدق من كتابة ملفات CRL إلى المجلد الجديد، يجب تمكين المشاركة. انقر بزر الماوس الأيمن فوق المجلد الجديد، واختر
Properties
، وانقر فوق Sharing
علامة التبويب، ثم انقر Advanced Sharing
.
-
Share this folder
لمشاركة المجلد، حدد خانة الاختيار ثم قم بإضافة علامة دولار ($) إلى نهاية اسم المشاركة في حقل اسم المشاركة لإخفاء المشاركة.
- انقر
Permissions
(1)، انقر Add
(2)، انقر Object Types
(3)، وحدد Computers
خانة الاختيار (4).
- للعودة إلى إطار تحديد مستخدمين أو أجهزة كمبيوتر أو حسابات خدمة أو مجموعات، انقر فوق
OK
. في الحقل إدخال أسماء الكائنات لتحديد الحقل، أدخل اسم الكمبيوتر لخادم CA في هذا المثال: WIN0231PNBS4IPH وانقر Check Names
. إذا كان الاسم الذي تم إدخاله صالحا، فإن الاسم يتم تحديثه ويظهر تحته خط. انقر.OK
- في حقل المجموعة أو أسماء المستخدمين، أختر حاسب CA. تحقق من
Allow
وجود تحكم كامل لمنح الوصول الكامل إلى المرجع المصدق. انقر.OK
انقر OK
مرة أخرى لإغلاق إطار "المشاركة المتقدمة" والرجوع إلى إطار "خصائص".
- للسماح ل CA بكتابة ملفات CRL إلى المجلد الجديد، قم بتكوين أذونات الأمان المناسبة. انقر
Security
علامة التبويب (1)، انقر Edit
(2)، انقر Add
(3)، انقر Object Types
(4)، وحدد Computers
خانة الاختيار (5).
- في الحقل إدخال أسماء الكائنات لتحديد ، أدخل اسم الكمبيوتر الخاص بخادم المرجع المصدق ، وانقر
Check Names
. إذا كان الاسم الذي تم إدخاله صالحا، فإن الاسم يتم تحديثه ويظهر تحته خط. انقر.OK
- أختر كمبيوتر المرجع المصدق في حقل "المجموعة" أو "أسماء المستخدمين" ثم تحقق
Allow
من توفر التحكم الكامل لمنح حق الوصول الكامل إلى المرجع المصدق. انقر OK
ثم انقر Close
لإكمال المهمة.
إنشاء موقع في IIS لكشف نقطة توزيع CRL الجديدة
لتمكين ISE من الوصول إلى ملفات CRL، أجعل الدليل الذي يضم ملفات CRL يمكن الوصول إليه عبر IIS.
- في شريط مهام خادم IIS، انقر
Start
. اختَر.Administrative Tools > Internet Information Services (IIS) Manager
- في الجزء الأيسر (المعروف باسم شجرة وحدة التحكم)، قم بتوسيع اسم خادم IIS ثم قم بالتوسع
Sites
.
- انقر بزر الماوس الأيمن
Default Web Site
واختر Add Virtual Directory
، كما هو موضح في هذه الصورة.
- في حقل الاسم المستعار، أدخل اسم موقع لنقطة توزيع CRL. في هذا مثال، دخلت CRLD.
- انقر فوق القطع الناقص (. . .) إلى يمين حقل المسار الفعلي واستعرض إلى المجلد الذي تم إنشاؤه في القسم 1. حدد المجلد وانقر
OK
. انقر OK
لإغلاق نافذة إضافة الدليل الظاهري.
- يجب إبراز اسم الموقع الذي تم إدخاله في الخطوة 4 في الجزء الأيسر. إذا لم تكن كذلك، فعليك باختياره الآن. في الجزء الأوسط، انقر نقرا مزدوجا
Directory Browsing
.
- في الجزء الأيمن، انقر
Enable
لتمكين إستعراض الدليل.
- في الجزء الأيسر، أختر اسم الموقع مرة أخرى. في الجزء الأوسط، انقر نقرا مزدوجا
Configuration Editor
.
- في القائمة المنسدلة "قسم"، أختر
system.webServer/security/requestFiltering
. في القائمة allowDoubleEscaping
المنسدلة، أختر True
. في اللوحة اليمنى، انقر Apply
، كما هو موضح في هذه الصورة.
يجب الوصول إلى المجلد الآن عبر IIS.
تكوين خادم Microsoft CA لنشر ملفات CRL إلى نقطة التوزيع
الآن بعد تكوين مجلد جديد لتضمين ملفات CRL وتم عرض المجلد في IIS، قم بتكوين خادم Microsoft CA لنشر ملفات CRL إلى الموقع الجديد.
- في شريط مهام خادم CA، انقر
Start
. اختَر.Administrative Tools > Certificate Authority
- في اللوح الأيسر، انقر بزر الماوس الأيمن على اسم المرجع المصدق. أختر
Properties
ثم انقر Extensions
علامة التبويب. لإضافة نقطة توزيع CRL جديدة، انقر فوق Add
.
- في حقل الموقع، أدخل المسار إلى المجلد الذي تم إنشاؤه ومشاركته في القسم 1. في المثالفي القسم 1، يكون المسار:
\\WIN-231PNBS4IPH\CRLDistribution$
- مع تعبئة حقل الموقع، أختر
من القائمة المنسدلة المتغير ثم انقر فوق Insert.
- من القائمة المنسدلة "متغير"، أختر
ثم انقر فوق Insert
.
- في حقل الموقع، قم بإلحاق
.crl
نهاية المسار. في هذا المثال، الموقع: \\WIN-231PNBS4IPH\CRLDistribution$\
.crl
- انقر للرجوع
OK
إلى علامة التبويب الملحقات. حدد خانة Publish CRLs to this location
الاختيار ثم انقر OK
لإغلاق نافذة الخصائص. تظهر مطالبة للحصول على إذن لإعادة تشغيل خدمات شهادات Active Directory. انقر.Yes
- في الجزء الأيسر، انقر بزر الماوس الأيمن
Revoked Certificates
. اختَر.All Tasks > Publish
تأكد من تحديد CRL جديد ثم انقر فوق OK
.
يجب أن يقوم خادم Microsoft CA بإنشاء ملف .crl جديد في المجلد الذي تم إنشاؤه في القسم 1. إذا تم إنشاء ملف CRL الجديد بنجاح، فلن يكون هناك مربع حوار بعد النقر فوق "موافق". إذا تم إرجاع خطأ بخصوص مجلد نقطة التوزيع الجديدة، فقم بتكرار كل خطوة في هذا القسم بعناية.
التحقق من وجود ملف CRL وإمكانية الوصول إليه عبر IIS
تحقق من وجود ملفات CRL الجديدة ومن إمكانية الوصول إليها عبر IIS من محطة عمل أخرى قبل بدء هذا القسم.
- على خادم IIS، افتح المجلد الذي تم إنشاؤه في القسم 1. يجب أن يكون هناك ملف .crl واحد موجود مع النموذج
.crl
حيث
يكون اسم خادم CA. في هذا المثال، اسم الملف هو: abtomar-WIN-231PNBS4IPH-CA.crl
- من محطة عمل على الشبكة (بشكل مثالي على نفس الشبكة مثل عقدة إدارة ISE الأساسية)، افتح مستعرض ويب واستعرض إلى
http://
/
أين
يتم تكوين اسم خادم IIS في القسم 2 وهو اسم الموقع الذي تم إختياره لنقطة التوزيع في القسم 2. في هذا المثال، عنوان URL: http://win-231pnbs4iph/CRLD
يعرض فهرس الدليل، والذي يتضمن الملف الملاحظ في الخطوة 1.
تكوين ISE لاستخدام نقطة توزيع CRL الجديدة
قبل تكوين ISE لاسترداد CRL، حدد الفاصل الزمني لنشر CRL. تتجاوز إستراتيجية تحديد هذا الفاصل الزمني نطاق هذا المستند. القيم المحتملة (في Microsoft CA) هي من ساعة واحدة إلى 411 سنة، شاملة. القيمة الافتراضية هي 1 أسبوع. بمجرد تحديد الفاصل الزمني المناسب لبيئة عملك، قم بتعيين الفاصل الزمني باستخدام التعليمات التالية:
- في شريط مهام خادم CA، انقر
Start
. اختَر.Administrative Tools > Certificate Authority
- في الجزء الأيسر، قم بتوسيع المرجع المصدق. انقر بزر الماوس الأيمن فوق
Revoked Certificates
المجلد واختر Properties
.
- في حقول الفاصل الزمني لنشر CRL، أدخل الرقم المطلوب واختر الفترة الزمنية. انقر
OK
لإغلاق النافذة وتطبيق التغيير. في هذا المثال، تم تكوين فاصل زمني للنشر لمدة سبعة أيام.
- أدخل الأمر
certutil -getreg CA\Clock*
لتأكيد قيمة ClockSkew. القيمة الافتراضية هي 10 دقائق. مثال الإخراج:
Values:
ClockSkewMinutes REG_DWORS = a (10)
CertUtil: -getreg command completed successfully.
- أدخل الأمر للتحقق مما إذا
certutil -getreg CA\CRLov*
كان قد تم تعيين CRLOverlapPeriod يدويا. بشكل افتراضي تكون قيمة CRLOverlapUnit هي 0، وهو ما يشير إلى أنه لم يتم تعيين أي قيمة يدوية. إذا كانت القيمة قيمة غير 0، فقم بتسجيل القيمة والوحدات. مثال الإخراج:
Values:
CRLOverlapPeriod REG_SZ = Hours
CRLOverlapUnits REG_DWORD = 0
CertUtil: -getreg command completed successfully.
- أدخل الأمر
certutil -getreg CA\CRLpe*
للتحقق من CRLPeriod، والذي تم تعيينه في الخطوة 3. مثال الإخراج:
Values:
CRLPeriod REG_SZ = Days
CRLUnits REG_DWORD = 7
CertUtil: -getreg command completed successfully.
- قم بحساب فترة سماح CRL كما يلي:
أ. إذا تم تعيين CRLOverlapPeriod في الخطوة 5: التداخل = CRLOverlapPeriod، بالدقائق؛
غير ذلك: التداخل = (CrlpEriod / 10)، بالدقائق
ب. إذا كان التداخل > 720 فإن التداخل = 720
c. إذا كان التداخل < (1.5 * ClockSkewMinutes) ثم التداخل = (1.5 * ClockSkewMinutes)
د. إذا تداخل > CrlpEriod، في دقائق، ثم تداخل = CrlpEriod في دقائق
ه. فترة السماح = تداخل + ClockSkewMinutes
Example:
As stated above, CRLPeriod was set to 7 days, or 10248 minutes and CRLOverlapPeriod was not set.
a. OVERLAP = (10248 / 10) = 1024.8 minutes
b. 1024.8 minutes is > 720 minutes : OVERLAP = 720 minutes
c. 720 minutes is NOT < 15 minutes : OVERLAP = 720 minutes
d. 720 minutes is NOT > 10248 minutes : OVERLAP = 720 minutes
e. Grace Period = 720 minutes + 10 minutes = 730 minutes
فترة السماح المحسوبة هي مقدار الوقت بين وقت نشر CRL التالي وتاريخ انتهاء صلاحية CRL الحالي. يلزم تكوين ISE لاسترداد قوائم التحكم في الوصول (CRLs) وفقا لذلك.
- قم بتسجيل الدخول إلى عقدة "مسؤول ISE الأساسي" واختر
Administration > System > Certificates
. في اللوحة اليسرى، أختر Trusted Certificate
.
- حدد خانة الاختيار المجاورة لشهادة CA التي ترغب في تكوين قوائم التحكم في الوصول إلى CRLs لها. انقر.
Edit
- بالقرب من أسفل النافذة، حدد
Download CRL
خانة الاختيار.
- في حقل عنوان URL الخاص بتوزيع CRL، أدخل المسار إلى نقطة توزيع CRL، والتي تتضمن ملف .crl، الذي تم إنشاؤه في القسم 2. في هذا المثال، عنوان URL:
http://win-231pnbs4iph/crld/abtomar-WIN-231PNBS4IPH-CA.crl
- يمكن تكوين ISE لاسترداد CRL على فترات زمنية منتظمة أو استنادا إلى انتهاء الصلاحية (الذي هو أيضا، بصفة عامة، فاصل زمني منتظم). عندما يكون الفاصل الزمني لنشر CRL ثابتا، يتم الحصول على تحديثات CRL أكثر ملاءمة عند إستخدام الخيار الأخير. انقر زر
Automatically
الاختيار.
- قم بتعيين قيمة الاسترداد إلى قيمة أقل من فترة السماح المحسوبة في الخطوة 7. إذا كانت مجموعة القيمة أطول من فترة السماح، فإن ISE يتحقق من نقطة توزيع CRL قبل أن يقوم CA بنشر CRL التالية. في هذا المثال، يتم حساب فترة السماح على أنها 730 دقيقة، أو 12 ساعة و 10 دقائق. سيتم إستخدام قيمة 10 ساعات للاسترداد.
- تعيين الفاصل الزمني لإعادة المحاولة على أنه مناسب لبيئتك. إذا تعذر على ISE إسترداد قائمة التحكم في الوصول (CRL) في الفترة التي تم تكوينها في الخطوة السابقة، فسيعيد المحاولة في هذه الفترة الأقصر.
- حدد خانة
Bypass CRL Verification if CRL is not Received
الاختيار للسماح للمصادقة المستندة إلى الشهادة بالمتابعة بشكل طبيعي (ودون فحص CRL) إذا لم يتمكن ISE من إسترداد CRL لهذا المرجع المصدق في محاولة التنزيل الأخيرة. في حالة عدم تحديد خانة الاختيار هذه، ستفشل كافة المصادقة المستندة إلى الشهادة مع الشهادات التي تم إصدارها من قبل المرجع المصدق هذا في حالة تعذر إسترداد قائمة التحكم في الوصول (CRL).
- حدد خانة
Ignore that CRL is not yet valid or expired
الاختيار للسماح ل ISE باستخدام ملفات CRL منتهية الصلاحية (أو غير صالحة بعد) كما لو كانت صحيحة. إذا لم يتم تحديد خانة الاختيار هذه، فإن ISE يعتبر قائمة التحكم في الوصول (CRL) غير صالحة قبل تاريخ السريان الخاص بهم وبعد أوقات التحديث التالية الخاصة بهم. انقر Save
لإكمال التكوين.
التحقق من الصحة
لا يوجد حاليًا إجراء للتحقق من صحة هذا التكوين.
استكشاف الأخطاء وإصلاحها
لا تتوفر حاليًا معلومات محددة لاستكشاف الأخطاء وإصلاحها لهذا التكوين.