يتضمن هذا المستند إرشادات خطوة بخطوة حول كيفية تكوين مركزات Cisco VPN 3000 Series للمصادقة باستخدام شهادات الهوية الرقمية أو شهادات SSL.
ملاحظة: في مركز الشبكة الخاصة الظاهرية (VPN)، يجب تعطيل موازنة الأحمال قبل إنشاء شهادة SSL أخرى لأن هذا يمنع إنشاء الشهادة.
ارجع إلى كيفية الحصول على شهادة رقمية من مرجع مصدق Microsoft Windows باستخدام ASDM على ASA لمعرفة المزيد حول نفس السيناريو مع PIX/ASA 7.x.
ارجع إلى تسجيل شهادة Cisco IOS باستخدام مثال تكوين أوامر التسجيل المحسنة لمعرفة المزيد حول السيناريو نفسه مع الأنظمة الأساسية من Cisco IOS®.
لا توجد متطلبات خاصة لهذا المستند.
أسست المعلومة في هذا وثيقة على ال cisco VPN 3000 مركز أن يركض صيغة 4،7.
تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك مباشرة، فتأكد من فهمك للتأثير المحتمل لأي أمر.
راجع اصطلاحات تلميحات Cisco التقنية للحصول على مزيد من المعلومات حول اصطلاحات المستندات.
أكمل الخطوات التالية:
أختر إدارة > إدارة الترخيص > تسجيل لتحديد طلب شهادة الهوية أو الرقمية.
أختر إدارة > إدارة الشهادات > تسجيل > شهادة الهوية وانقر تسجيل عبر طلب PKCS10 (يدوي).
املأ الحقول المطلوبة، ثم انقر فوق تسجيل.
يتم ملء هذه الحقول في هذا المثال.
الاسم الشائع—Altiga30
الوحدة التنظيمية—IPSECCERT (يجب أن تتطابق وحدة المعالجة مع اسم مجموعة IPsec الذي تم تكوينه)
المؤسسة—أنظمة Cisco
المكان — RTP
الولاية/المقاطعة — كارولاينا الشمالية
البلد — الولايات المتحدة
اسم المجال المؤهل بالكامل— (غير مستخدم هنا)
حجم المفتاح — 512
ملاحظة: إذا طلبت إما شهادة SSL أو شهادة هوية باستخدام بروتوكول تسجيل الشهادة البسيط (SCEP)، فهذه هي خيارات RSA الوحيدة المتاحة.
وحدات بت RSA 512
RSA 768 بت
وحدات بت RSA 1024
وحدات بت RSA 2048
DSA 512 بت
DSA 768 بت
وحدة بت DSA 1024
بعد النقر فوق تسجيل، تظهر عدة إطارات. يؤكد الإطار الأول أنك طلبت شهادة.
يفتح نافذة متصفح جديد أيضا ويعرض ملف طلب PKCS الخاص بك.
على خادم المرجع المصدق (CA)، قم بتمييز الطلب ولصقه في خادم CA الخاص بك لإرسال طلبك. انقر فوق Next (التالي).
حدد طلب متقدم وانقر التالي.
حدد إرسال طلب شهادة باستخدام ملف PKCS #10 مرمز للأساس64 أو طلب تجديد باستخدام ملف PKCS #7 مرمز للأساس64، ثم انقر التالي.
قص ولصق ملف PKCS الخاص بك في حقل النص تحت قسم الطلب المحفوظ. ثم انقر فوق إرسال.
قم بإصدار شهادة الهوية على خادم CA.
قم بتنزيل شهادات الجذر والهوية. على خادم CA الخاص بك، حدد التحقق من شهادة معلقة، وانقر التالي.
حدد ترميز Base 64، وانقر تنزيل شهادة المرجع المصدق على خادم CA.
قم بحفظ شهادة الهوية على محرك الأقراص المحلي.
على خادم CA، حدد إسترجاع شهادة CA أو قائمة إلغاء الشهادة للحصول على الشهادة الجذر. ثم انقر فوق التالي.
قم بحفظ الشهادة الجذر على محرك الأقراص المحلي.
قم بتثبيت شهادات الجذر والهوية على مركز VPN 3000. للقيام بذلك، حدد إدارة > مدير شهادات>تثبيت>شهادة التثبيت التي يتم الحصول عليها عبر التسجيل. تحت حالة التسجيل، انقر فوق تثبيت.
انقر فوق تحميل الملف من محطة العمل.
انقر على إستعراض وحدد ملف الشهادة الجذر الذي قمت بحفظه على محرك الأقراص المحلي.
حدد تثبيت لتثبيت شهادة الهوية على مركز VPN. الادارة | يظهر إطار إدارة الشهادات كتأكيد، وتظهر شهادة هويتك الجديدة في جدول شهادات الهوية.
ملاحظة: أكمل الخطوات التالية لإنشاء شهادة جديدة في حالة فشل الشهادة.
حدد إدارة > إدارة الشهادات.
انقر على حذف في مربع الإجراءات لقائمة ترخيص SSL.
حدد إدارة > إعادة تشغيل النظام.
حدد حفظ التكوين النشط في وقت إعادة التمهيد، واختر الآن، وانقر تطبيق. يمكنك الآن إنشاء شهادة جديدة بعد اكتمال إعادة التحميل.
إذا كنت تستخدم اتصالا آمنا بين المستعرض ومجمع الشبكة الخاصة الظاهرية (VPN)، فإن مركز الشبكة الخاصة الظاهرية (VPN) يتطلب شهادة SSL. تحتاج أيضا إلى شهادة SSL على الواجهة التي تستخدمها لإدارة مركز الشبكة الخاصة الظاهرية (VPN) ولWebVPN، ولكل واجهة تقوم بإنهاء أنفاق WebVPN.
يتم إنشاء شهادات SSL للواجهة، إذا لم تكن موجودة، تلقائيا عند إعادة تمهيد مركز VPN 3000 بعد ترقية برنامج مركز VPN 3000. نظرا لأن الشهادة الموقعة ذاتيا تم إنشاؤها ذاتيا، فإن هذه الشهادة غير قابلة للتحقق. لم تضمن أي جهة مصدقة هويتها. ولكن هذه الشهادة تسمح لك بإجراء اتصال أولي مع مركز الشبكة الخاصة الظاهرية (VPN) باستخدام المستعرض. إذا كنت تريد إستبدالها بشهادة SSL ذاتية التوقيع أخرى، أكمل الخطوات التالية:
أختر إدارة > إدارة الشهادات.
انقر على إنشاء لعرض الشهادة الجديدة في جدول شهادة SSL واستبدال الشهادة الموجودة.
يسمح هذا نافذة أنت أن يشكل مجال ل SSL شهادة ال VPN Concentrator يلد تلقائيا. تكون شهادات SSL هذه للواجهات ولموازنة الأحمال.
إذا كنت تريد الحصول على شهادة SSL يمكن التحقق منها (أي شهادة صادرة عن مرجع مصدق)، راجع قسم تثبيت الشهادات الرقمية على مركز VPN في هذا المستند لاستخدام نفس الإجراء الذي تستخدمه للحصول على شهادات الهوية. ولكن هذه المرة، في نافذة الإدارة > إدارة الشهادات > التسجيل، انقر على شهادة SSL (بدلا من شهادة الهوية).
ملاحظة: ارجع إلى الإدارة | قسم إدارة الشهادات من VPN 3000 مرجع مركز المجلد الثاني: إدارة ومراقبة الإصدار 4.7 للحصول على معلومات كاملة حول الشهادات الرقمية وشهادات SSL.
يوضح هذا القسم كيفية تجديد شهادات SSL:
إذا كان هذا لشهادة SSL التي تم إنشاؤها بواسطة مركز VPN، فانتقل إلى الإدارة > إدارة الشهادات في قسم SSL. انقر فوق خيار التجديد، ويجدد ذلك شهادة SSL.
إذا كان هذا لشهادة ممنوحة من قبل خادم مرجع مصدق خارجي، أكمل الخطوات التالية:
أختر إدارة > إدارة الشهادات >حذف تحت شهادات SSL لحذف الشهادات منتهية الصلاحية من الواجهة العامة.
طقطقت نعم in order to أكدت الحذف من ال SSL شهادة.
أختر إدارة > إدارة الشهادات > إنشاء لإنشاء شهادة SSL جديدة.
تظهر شهادة SSL الجديدة للواجهة العامة.
المراجعة | تاريخ النشر | التعليقات |
---|---|---|
1.0 |
07-Sep-2001 |
الإصدار الأولي |