المقدمة
يصف هذا المستند أساسيات الشهادات وسلطات الشهادات. إنه يكمل مستندات Cisco الأخرى التي تشير إلى أي ميزات تشفير أو مصادقة في Cisco Unified Communications Manager (CUCM).
المتطلبات الأساسية
المتطلبات
لا توجد متطلبات خاصة لهذا المستند.
المكونات المستخدمة
لا يقتصر هذا المستند على إصدارات برامج ومكونات مادية معينة.
تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك مباشرة، فتأكد من فهمك للتأثير المحتمل لأي أمر.
الاصطلاحات
راجع اصطلاحات تلميحات Cisco التقنية للحصول على مزيد من المعلومات حول اصطلاحات المستندات.
الغرض من الشهادات
يتم إستخدام الشهادات بين نقاط النهاية لبناء الثقة/المصادقة وتشفير البيانات. هذا يؤكد أن نقاط النهاية تتصل بالجهاز المرغوب ولديهم خيار تشفير البيانات بين نقطتي النهاية.
ملاحظة: لفهم تأثير كل شهادة يشير إلى تأثير عملية إعادة إنشاء الشهادة ل Cisco Unified Communications Manager بواسطة قسم مخزن الشهادات
تعريف الثقة من وجهة نظر الشهادة
الجزء الأكثر أهمية من الشهادات هو تعريف نقاط النهاية التي يمكن الوثوق بها من خلال نقطة النهاية الخاصة بك. يساعدك هذا المستند على معرفة كيفية تشفير بياناتك ومشاركتها مع موقع الويب والهاتف وخادم FTP الذي تريده وما إلى ذلك وتعريفها.
عندما يثق نظامك في شهادة ما، فهذا يعني وجود شهادة (شهادات) مثبتة مسبقا على نظامك، مما يعني أنه واثق بنسبة 100 بالمائة من مشاركته للمعلومات مع نقطة النهاية الصحيحة. وإلا، فإنه ينهي الاتصال بين نقاط النهاية هذه.
وخير مثال على ذلك هو رخصة القيادة الخاصة بك. تستخدم هذه الرخصة (شهادة خادم/خدمة) لتثبت أنك من تقولين أنك كذلك، حصلت على الرخصة من القسم المحلي لفرع المركبات الآلية (شهادة متوسطة) الذي حصل على إذن من قسم المركبات الآلية (DMV) في دولتك (سلطة شهادة). عندما تحتاج إلى إظهار رخصتك (شهادة خادم/خدمة) إلى أحد الضباط، يعلم الضابط أن بإمكانه الوثوق بفرع DMV (شهادة متوسطة) وقسم المركبات الآلية (سلطة شهادة)، ويمكنه التحقق من أن هذا الترخيص قد صدر من قبلهم (سلطة شهادة). تم التحقق من هويتك للضابط وهم الآن يثقون بأنك من أنت. وإلا، إذا قمت بإعطاء ترخيص غير صحيح (خادم/شهادة خدمة) لم يتم توقيعه بواسطة DMV (الشهادة الوسيطة)، فلن يثقوا بمن تقول أنك. يقدم باقي هذا المستند شرحا متعمقا وتقنيا للتدرج الهرمي للشهادات.
كيفية إستخدام المستعرضات للشهادات
-
عندما تقوم بزيارة موقع ويب، أدخل عنوان URL، مثل http://www.cisco.com.
-
يعثر DNS على عنوان IP الخاص بالخادم الذي يستضيف هذا الموقع.
-
ينتقل المستعرض إلى هذا الموقع.
من دون شهادات، من المستحيل معرفة ما إذا كان خادم DNS مخادع قد تم إستخدامه، أو ما إذا تم توجيهك إلى خادم آخر. تضمن الشهادات توجيهك بشكل صحيح وآمن إلى موقع الويب المقصود، مثل موقع الويب الخاص بالبنك، حيث تكون المعلومات الشخصية أو الحساسة التي تدخلها آمنة.
تحتوي جميع المستعرضات على أيقونات مختلفة تستخدمها، ولكن عادة ما ترى قفل في شريط العناوين كهذا:
-
انقر على القفل وتعرض النافذة:
الشكل 1: تحديد الموقع الشبكي
-
انقر على عرض الشهادات لترى شهادة الموقع كما هو موضح في هذا المثال:
شكل 2: معلومات الشهادة، علامة التبويب العامة المعلومات المبرزة مهمة.
-
تم إصدارها بواسطة الشركة أو جهة منح الشهادة (CA) التي يثق بها نظامك بالفعل.
-
نطاق التاريخ الذي يمكن إستخدام هذه الشهادة فيه صالح من/إلى. (في بعض الأحيان ترى شهادة حيث تعلم أنك تثق في المرجع المصدق، لكنك ترى أن الشهادة غير صالحة. قم دائما بالتدقيق في التاريخ حتى تعرف ما إذا كان قد انتهت مدة صلاحيته أم لا.)
تلميح: أفضل ممارسة هي إنشاء تذكير في التقويم لتجديد الشهادة قبل انتهاء صلاحيتها. وهذا يمنع حدوث مشاكل في المستقبل.
الفرق بين شهادات PEM مقابل شهادات DER
PEM هو ascii، DER هو ثنائي. الشكل 3 يوضح تنسيق شهادة PEM.
شكل 3: مثال شهادة PEM
الشكل 4 يوضح شهادة DER.
الشكل 4: مثال شهادة DER
تستخدم معظم شركات CA مثل VeriSign أو Thawt تنسيق PEM لإرسال الشهادات إلى العملاء، لأنها ملائمة للبريد الإلكتروني. يجب على العميل نسخ السلسلة بأكملها وتضمين —BEGIN CERTIFICATE— و—END CERTIFICATE— ولصقها في ملف نصي وحفظها مع الملحق .PEMأو .CER.
يمكن ل Windows قراءة تنسيقات DER و CER باستخدام التطبيق الصغير الخاص بإدارة الشهادات وإظهار الشهادة كما هو موضح في الشكل 5.
الشكل 5: معلومات الشهادة
في بعض الحالات، يتطلب الجهاز تنسيق معين (ASCII أو ثنائي). لتغيير هذا، قم بتنزيل الشهادة من المرجع المصدق بالتنسيق المطلوب أو أستخدم أداة محول SSL، مثل https://www.sslshopper.com/ssl-converter.html.
التدرج الهرمي للشهادة
من أجل الثقة في شهادة من نقطة نهاية، يجب أن تكون هناك ثقة تم إنشاؤها بالفعل مع مرجع مصدق من جهة خارجية. على سبيل المثال، الشكل 6 يوضح أن هناك تسلسل هيكلي من ثلاثة شهادات.
شكل 6: التدرج الهرمي للشهادة
تحتاج نقطة النهاية الخاصة بك إلى معرفة أنها يمكن أن تثق بكل من المرجع المصدق والشهادات الوسيطة أولا قبل أن تعرف أنها يمكن أن تثق بشهادة الخادم المقدمة من خلال مصافحة SSL (التفاصيل أدناه). لفهم كيفية عمل هذه الثقة بشكل أفضل، ارجع إلى القسم في هذا المستند: قم بتعريف "الثقة" من وجهة نظر الشهادة.
الشهادات الموقعة ذاتيا مقابل شهادات الطرف الثالث
الفروق الرئيسية بين شهادات التوقيع الذاتي وشهادات الطرف الثالث هي من وقع على الشهادة، سواء كنت تثق بها.
والشهادة الموقعة ذاتيا هي شهادة موقعة من قبل الخادم تقدمها؛ ولذلك فإن شهادة الخادم/الخدمة وشهادة المرجع المصدق هي نفسها.
CA الخاص بجهة خارجية هي خدمة مقدمة من مرجع مصدق عام (مثل Verisign و Entrust و Digicert) أو خادم (مثل Windows 2003 و Linux و Unix و IOS) يتحكم في صلاحية شهادة الخادم/الخدمة.
كل واحدة منها يمكن أن تكون المرجع المصدق. سواء كان النظام لديك يثق في CA أم لا، فإن هذا هو أكثر الأمور أهمية.
الأسماء الشائعة والموضوعات البديلة
الأسماء الشائعة (CN) والأسماء البديلة للموضوع (SAN) هي مراجع إلى عنوان IP أو اسم المجال المؤهل بالكامل (FQDN) للعنوان المطلوب. على سبيل المثال، إذا قمت بإدخال https://www.cisco.com، فيجب أن يحتوي CN أو SAN على www.cisco.com في الرأس.
في المثال الموضح في الشكل 7، تحتوي الشهادة على CN باسم www.cisco.com. يتحقق طلب URL ل www.cisco.com من المستعرض من URL FQDN مقابل المعلومات التي تقدمها الشهادة. في هذه الحالة، تتطابق، وتظهر أن مصافحة SSL ناجحة. تم التحقق من أن موقع الويب هذا هو الموقع الصحيح، ويتم الآن تشفير الاتصالات بين سطح المكتب وموقع الويب.
الشكل 7: التحقق من الموقع الشبكي
في نفس الشهادة، يوجد رأس شبكة منطقة التخزين (SAN) لثلاثة عناوين FQDN/DNS:
شكل 8: رأس شبكة منطقة التخزين (SAN)
يمكن أن يصادق هذا شهادة/يدقق www.cisco.com (يعرف أيضا في CN)، cisco.com، و cisco-images.cisco.com. هذا يعني أنه يمكنك أيضا كتابة cisco.com، ويمكن إستخدام هذه الشهادة نفسها لمصادقة وتشفير موقع الويب هذا.
يمكن أن يقوم CUCM بإنشاء رؤوس SAN. ارجع إلى مستند Jason Burn، CUCM الذي يقوم بتحميل شهادات CCMAdmin Web GUI على مجتمع الدعم للحصول على مزيد من المعلومات حول عناوين SAN.
شهادات البطاقة البرية
شهادات أحرف البدل هي شهادات تستخدم علامة نجمية (*) لتمثيل أي سلسلة في قسم من عنوان URL. على سبيل المثال، للحصول على شهادة ل www.cisco.com و ftp.cisco.com و ssh.cisco.com وما إلى ذلك، سيحتاج المسؤول فقط إلى إنشاء شهادة ل *.cisco.com. لتوفير المال، يحتاج المسؤول فقط إلى شراء شهادة واحدة ولا يحتاج إلى شراء شهادات متعددة.
لا تدعم Cisco Unified Communications Manager (CUCM) هذه الميزة حاليا. ومع ذلك، يمكنك تعقب هذا التحسين: CSCta14114: طلب دعم شهادة أحرف البدل في إستيراد CUCM والمفتاح الخاص.
تعريف الشهادات
عندما تحتوي الشهادات على نفس المعلومات، يمكنك أن ترى إذا كانت نفس الشهادة. تحتوي جميع الشهادات على رقم تسلسلي فريد. يمكنك إستخدام هذا للمقارنة إذا كانت الشهادات هي نفس الشهادات، معاد توليدها، أو مزيفة. الشكل 9 يقدم مثالا:
شكل 9: الرقم التسلسلي للشهادة
المسؤولية الاجتماعية للشركات والغرض منها
CSR يمثل طلب توقيع الشهادة. إذا كنت تريد إنشاء شهادة جهة خارجية لخادم CUCM، فأنت بحاجة إلى CSR لتقديمها إلى CA. هذه CSR تشبه كثيرا شهادة PEM (ASCII).
ملاحظة: هذه ليست شهادة ولا يمكن إستخدامها كواحدة.
\
يقوم CUCM بإنشاء CSRs تلقائيا عبر واجهة المستخدم الرسومية (GUI) على الويب: إدارة نظام التشغيل الموحد من Cisco > الأمان > إدارة الشهادات > إنشاء CSR، أختر الخدمة التي تريد إنشاء الشهادة SNF ثم إنشاء CSR. كل مرة يتم إستخدام هذا الخيار، يتم إنشاء مفتاح خاص جديد و CSR.
ملاحظة: المفتاح الخاص هو ملف فريد لهذا الخادم والخدمة. ولا يجب ان يعطى ذلك ابدا لأي شخص! إذا قمت بتوفير مفتاح خاص لشخص ما، فإنه يخل بالأمان الذي توفره الشهادة. أيضا، لا تقم بإعادة إنشاء CSR جديد لنفس الخدمة إذا كنت تستخدم CSR القديم لإنشاء شهادة. يقوم CUCM بحذف CSR القديم والمفتاح الخاص ويحل محلهما، مما يجعل CSR القديم غير ذي فائدة.
ارجع إلى وثائق جايسون بيرن حول مجتمع الدعم: تحميل CUCM لشهادات واجهة المستخدم الرسومية (GUI) عبر الويب ل CCMAdmin للحصول على معلومات حول كيفية إنشاء أدوات التحكم بالوصول (CSRs).
إستخدام الشهادات بين نقطة النهاية وعملية مصافحة SSL/TLS
بروتوكول المصافحة هو سلسلة من الرسائل المتسلسلة التي تتفاوض على معلمات الأمان لجلسة نقل البيانات. ارجع إلى SSL/TLS بالتفصيل ، والذي يوثق تسلسل الرسائل في بروتوكول المصافحة. ويمكن ملاحظة ذلك في التقاط الحزم (PCAP). وتتضمن التفاصيل الرسائل الأولية واللاحقة والنهائية التي يتم إرسالها واستقبالها بين العميل والخادم.
كيفية إستخدام CUCM للشهادات
الفرق بين التومت وثقة التومت
عند تحميل الشهادات إلى CUCM، هناك خياران لكل خدمة عبر إدارة نظام التشغيل الموحد من Cisco > الأمان > إدارة الشهادة > البحث.
الخدمات الخمس التي تسمح لك بإدارة الشهادات في CUCM هي:
فيما يلي الخدمات التي تسمح لك بتحميل الشهادات إلى CUCM:
-
tomcat
-
تومكات ترست
-
IPsec
-
ثقة IPSec
-
callmanager
-
برنامج CallManager-Trust
-
capf
-
CAPF-trust
هذه هي الخدمات المتاحة في CUCM الإصدار 8.0 والإصدارات الأحدث:
-
tvs
-
تقنية TVS-Trust
-
phone-trust
-
phone-vpn-trust
-
phone-sast-trust
-
phone-ctl-trust
راجع أدلة أمان CUCM بواسطة الإصدار للحصول على مزيد من التفاصيل حول هذه الأنواع من الشهادات. يشرح هذا القسم الفرق بين شهادة الخدمة وشهادة الضمان فقط.
على سبيل المثال، مع tomcat، فإنTomcatTrust تحمل ال CA والشهادات الوسيطة بحيث تعرف هذه العقدة CUCM أنها يمكن أن تثق في أي شهادة موقعة من CA والخادم الوسيط. شهادة TOMCAT هي الشهادة التي يتم تقديمها بواسطة خدمة TOMCAT على هذا الخادم إذا كانت نقطة نهاية تقوم بعمل طلب HTTP إلى هذا الخادم. للسماح بعرض شهادات الجهات الخارجية من قبل TOMCAT، يجب أن تعرف عقدة CUCM أنها يمكن أن تثق في CA والخادم الوسيط. لذلك، فمن الضروري تحميل CA والشهادات الوسيطة قبل تحميل شهادة (خدمة) tomcat.
راجع شهادات CCMAdmin الخاصة ب Jason Burn لتحميل CUCM على مجتمع الدعم للحصول على معلومات تساعدك على فهم كيفية تحميل الشهادات إلى CUCM.
تحتوي كل خدمة على شهادة خدمة وشهادات ثقة خاصة بها. لا يعمل كل منهما على الآخر. بمعنى آخر، لا يمكن إستخدام CA والشهادة الوسيطة المحملتين كخدمة ثقة نهائية بواسطة خدمة CallManager.
ملاحظة: الشهادات في CUCM هي أساس كل عقدة. لذلك، إذا كنت بحاجة إلى شهادات تم تحميلها إلى الناشر، وتحتاج إلى أن يكون للمشتركين نفس الشهادات، فأنت بحاجة لتحميلها إلى كل خادم فردي وعقدة قبل إصدار CUCM 8.5. في الإصدار 8.5 من CUCM والإصدارات الأحدث، توجد خدمة مماثلة للشهادات التي تم تحميلها إلى بقية العقد في نظام المجموعة.
ملاحظة: تحتوي كل عقدة على CN مختلف. لذلك، يجب إنشاء CSR بواسطة كل عقدة لكي تقدم الخدمة شهاداتها الخاصة.
إذا كانت لديك أسئلة إضافية محددة حول أي من ميزات أمان CUCM، فارجع إلى وثائق الأمان.
القرار
يساعد هذا المستند ويبني مستوى عال من المعرفة بالشهادات. من الممكن أن يصبح هذا الموضوع أكثر تعمقا، لكن هذا المستند يعرفك بما يكفي للعمل مع الشهادات. إذا كانت لديك أسئلة عن أي من ميزات أمان CUCM، راجع أدلة أمان CUCM عن طريق الإصدار للحصول على مزيد من المعلومات.
معلومات ذات صلة