فهم أنواع الشهادات و TrustPoint على عنصر التحكم في الشبكة المحلية اللاسلكية (WLC) طراز 9800

خيارات التنزيل

  • PDF     (310.7 KB)
    عرض باستخدام Adobe Reader على مجموعة متنوعة من الأجهزة
  • ePub     (123.2 KB)
    العرض في تطبيقات مختلفة على iPhone أو iPad أو نظام تشغيل Android أو قارئ Sony أو نظام التشغيل Windows Phone
  • Mobi (Kindle)     (107.7 KB)
    عرض على جهاز Kindle أو تطبيق Kindle على أجهزة متعددة
تم التحديث:٦ أكتوبر ٢٠٢٣
معرّف المستند:221047

لغة خالية من التحيز

تسعى مجموعة الوثائق لهذا المنتج جاهدة لاستخدام لغة خالية من التحيز. لأغراض مجموعة الوثائق هذه، يتم تعريف "خالية من التحيز" على أنها لغة لا تعني التمييز على أساس العمر، والإعاقة، والجنس، والهوية العرقية، والهوية الإثنية، والتوجه الجنسي، والحالة الاجتماعية والاقتصادية، والتمييز متعدد الجوانب. قد تكون الاستثناءات موجودة في الوثائق بسبب اللغة التي يتم تشفيرها بشكل ثابت في واجهات المستخدم الخاصة ببرنامج المنتج، أو اللغة المستخدمة بناءً على وثائق RFP، أو اللغة التي يستخدمها منتج الجهة الخارجية المُشار إليه. تعرّف على المزيد حول كيفية استخدام Cisco للغة الشاملة.

حول هذه الترجمة

ترجمت Cisco هذا المستند باستخدام مجموعة من التقنيات الآلية والبشرية لتقديم محتوى دعم للمستخدمين في جميع أنحاء العالم بلغتهم الخاصة. يُرجى ملاحظة أن أفضل ترجمة آلية لن تكون دقيقة كما هو الحال مع الترجمة الاحترافية التي يقدمها مترجم محترف. تخلي Cisco Systems مسئوليتها عن دقة هذه الترجمات وتُوصي بالرجوع دائمًا إلى المستند الإنجليزي الأصلي (الرابط متوفر).

    المقدمة

    يصف هذا وثيقة مختلف أنواع الشهادات وجهات الاتصال أن يستطيع كنت استعملت على ال 9800 WLC.

    المتطلبات الأساسية

    المتطلبات

    توصي Cisco بأن تكون لديك معرفة أساسية ب:

    • وحدة التحكم في شبكة LAN اللاسلكية (WLC) 9800 Series من Cisco
    • الشهادات الرقمية، سلطات الترخيص (CAs) وكذلك البنية الأساسية للمفتاح العام (PKI)

    المكونات المستخدمة

    لا يقيد هذا وثيقة إلى خاص جهاز أو برمجية صيغة.

    تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك قيد التشغيل، فتأكد من فهمك للتأثير المحتمل لأي أمر.

    الشهادات

    ما هي الشهادة؟

    الشهادة هي وثيقة فريدة تعرف جهازا، على سبيل المثال، لضمان شرعيته. يجب التحقق من الشهادة من قبل مرجع مصدق للتحقق من الهوية المذكورة.

    أنواع الشهادات في 9800

    تحتاج نقاط الوصول (APs) وعنصر التحكم في الشبكة المحلية اللاسلكية (WLC) إلى طريقة ما للتحقق من هوية بعضها البعض. عندما تنضم نقطة وصول جديدة إلى عنصر التحكم في الشبكة المحلية اللاسلكية (WLC)، يتحقق نقطة الوصول من صحة شهادة عنصر التحكم في الشبكة المحلية اللاسلكية (WLC) لضمان أنها ليست شرعية فقط ولكنها لا تزال صالحة. وبهذه الطريقة، يمكن لنقاط الوصول أن تثق في الجهاز الذي تنضم إليه لأول مرة على الإطلاق.

    الشهادة المثبتة من الجهة المصنعة (MIC)

    يتم تثبيت هذه الشهادة بشكل افتراضي على الأجهزة المادية - مثل 9800-80 و 9800-40 و 9800-L. وكما تدل عليه الأسماء، فإنه مثبت في المصنع ولا يمكن تعديله. يتم إستخدام هذه الشهادة عند انضمام نقطة الوصول لأول مرة إلى عنصر التحكم في الشبكة المحلية اللاسلكية (WLC).

    للتحقق مما إذا كانت شهادة MIC مثبتة بالفعل على 9800، يمكنك إدخال الأمر show wireless management trustPoint.

    9800#show wireless management trustpoint
Trustpoint Name  : CISCO_IDEVID_SUDI
Certificate Info : Available
Certificate Type : MIC <-- Private key Info : Available
FIPS suitability : Not Applicable 

    شهادة موقعة ذاتيا (SSC)

    بالنسبة للمثيل الظاهري لوحدة التحكم، وهي قائمة التحكم 9800-CL، لا توجد شهادة مثبتة في المصنع. لكنه يستخدم بدلا من ذلك شهادة ذاتية التوقيع يمكن توليدها آليا من خلال معالج اليوم 0، أو من خلال نص تنفيذي يتم إنشاء الشهادة فيه يدويا. في الأمثلة الظاهرية ل 9800، يتم إستخدام SSC بشكل رئيسي للانضمام إلى نقطة الوصول ولكن أيضا لجميع خدمات HTTP (آت) و SSH و NetConf. تحتوي الأجهزة المادية أيضا على SSC، ولكن كما ذكر من قبل، لا يتم إستخدامه للانضمام إلى AP، ولكن للخدمات بدلا من ذلك.

    مرة أخرى، للتحقق من شهادة SSC في 9800، أدخل الأمر show wireless management trustPoint.

    9800#show wireless management trustpoint
Trustpoint Name  : 9800-CL-TRUSTPOINT
Certificate Info : Available
Certificate Type : SSC <-- 
Certificate Hash : e55e61b683181ff0999ef317bb5ec7950ab86c9e
Private key Info : Available
FIPS suitability : Not Applicable

    الشهادة ذات الأهمية المحلية (LSC)

    يتم إستخدام هذه الشهادات فقط من قبل نقاط الوصول التي تحتاج إلى إثبات هويتها إلى عنصر التحكم في الشبكة المحلية اللاسلكية (WLC). لا توجد بشكل افتراضي على عنصر التحكم في الشبكة المحلية اللاسلكية (WLC) ولا نقاط الوصول (APs). يجب توقيع شهادات LSC بواسطة CA ثم تثبيتها لاحقا على كل من WLC ونقاط الوصول للتحقق من بعضها البعض. أحلت ل كثير معلومة على كيف أن يشكل LSCs على 9800 محلي شهادة مهم.

    نقاط الثقة

    ما هي نقطة الثقة؟

    نقطة الثقة هي ما يربط الشهادة بخدمة معينة. هناك نوعان رئيسيان من نقاط الثقة: إدارة الويب ومصادقة الويب. بشكل افتراضي، يستخدم عنصر التحكم في الشبكة المحلية اللاسلكية (WLC) الشهادة الموقعة ذاتيا لكلا الخدمتين، ولكن يتسبب ذلك في ظهور رسالة تحذير توضح أن الموقع غير آمن. وذلك لأنه لم يتم التحقق من صحة الشهادة الموقعة ذاتيا من قبل أي مرجع مصدق.

    CA Invalid Warning Message on Web Pageرسالة تحذير غير صالحة ل CA على صفحة ويب

    ولتجنب ذلك، يمكن إستخدام شهادة طرف ثالث للتأكد من أنه قد تم التحقق منها بالفعل بواسطة مرجع مصدق. للحصول على مزيد من المعلومات حول كيفية إنشاء شهادة وتحميلها إلى عنصر التحكم في الشبكة المحلية اللاسلكية (WLC)، يرجى الرجوع إلى إنشاء شهادة CSR وتنزيلها على عنصر التحكم في الشبكة المحلية اللاسلكية (WLC) طراز 9800.

    إدارة الويب

    تقوم نقطة الثقة لإدارة الويب بربط الشهادة بواجهة المستخدم الرسومية (GUI). تقوم وحدة التحكم بتحديد إحدى الشهادات المتاحة لها، وإذا لم يكن هناك شهادة مخصصة تم تحميلها إلى عنصر التحكم في الشبكة المحلية اللاسلكية (WLC)، يتم إستخدام الشهادة الموقعة ذاتيا. إذا لم تكن الشهادة الافتراضية شيئا تريد إستخدامه، يمكنك إستخدام شهادة مخصصة لنقطة الاتصال.

    بمجرد تحميل الشهادة إلى الرقم 9800، كما هو موضح في المستند أعلاه، فإن الخطوة التالية هي ربط نقطة الثقة بإدارة الويب، ويلزم إدخال الأوامر التالية:

    configure terminal
    ip http secure-trustpoint <custom-cert>.pfx
    !Restart HTTP services
    no ip http secure services
    ip http secure services
    end 
    write

    يتم الآن إستخدام طريقة واحدة للتحقق من صحة الشهادة المثبتة حديثا كنقطة ثقة لخدمات HTTP، على سبيل المثال، أدخل الأمر show ip http server status | تضمين TrustPoint

    9800#show ip http server status | include trustpoint
    HTTP secure server trustpoint: 
    
    
      .pfx <-- trustpoint configured for HTTP services 
    
    HTTP secure server peer validation trustpoint:

    مصادقة الويب

    وكما هو الحال مع إدارة الويب، يمكن إستخدام مصادقة الطبقة 3 أيضا في 9800. تقوم نقطة الثقة هذه بربط شهادة بمدخل ويب يتم إظهاره للمستخدم عند محاولة المصادقة على شبكة WLAN من خلال مدخل ضيف يتم تقديمه تلقائيا إلى المستخدم. يساعد إستخدام TrustPoint لمصادقة الويب في حماية بيانات اعتماد المستخدم بين عنصر التحكم في الشبكة المحلية اللاسلكية (WLC) والعميل المتصل به.

    بشكل افتراضي، يستخدم عنصر التحكم في الشبكة المحلية اللاسلكية (WLC) الشهادة الموقعة ذاتيا. مرة أخرى، يتسبب ذلك في ظهور رسالة تحذير للعميل تشير إلى أن صفحة ويب غير موثوق بها. لتجنب هذا، يمكن إستخدام شهادة جهة خارجية تماما مثل إدارة الويب.

    كما هو الحال مع إدارة الويب، بمجرد تحميل الشهادة المخصصة إلى عنصر التحكم في الشبكة المحلية اللاسلكية (WLC)، يجب ربطها بخريطة معلمات الويب كنقطة اتصال.

    configure terminal
    parameter-map type webauth global
    trustpoint <custom-cert>
    !Restart HTTP services
    no ip http secure services
    ip http secure services
    end
    write

    للتحقق من صحة نقطة الاتصال المستخدمة لمصادقة ويب، أدخل الأمر التالي

    show run | section parameter-map type webauth global
    parameter-map type webauth global
    type webauth
    virtual-ip ipv4 192.0.2.1
    trustpoint 
    
    
      <-- trustpoint configured for web authentication

    معلومات ذات صلة

    محفوظات المراجعة

    المراجعة تاريخ النشر التعليقات
    1.0
    06-Oct-2023
    الإصدار الأولي
    TAC Authored

    تمت المساهمة بواسطة مهندسو Cisco

    • Daniela Vignau Leon
      Technical Consulting Engineer

    هل كان هذا المستند مفيدًا؟

    Feedbackالتعليقات

    اتصل بنا

    ينطبق هذا المستند على هذه المنتجات