المقدمة
يصف هذا المستند الفرق بين شهادة الويب وشهادات وحدة التحكم في حل Cisco SD-WAN. يشرح هذا المستند أيضا بالتفصيل شهادة الويب ويوضح الاستخدام بين هذين النوعين من الشهادات.
المتطلبات الأساسية
المتطلبات
معرفة أساسية بالبنية الأساسية للمفتاح العام (PKI).
المكونات المستخدمة
- Cisco vManage Network Management System (NMS)، الإصدار 20.4.1
- Google Chrome، الإصدار 94.0
تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك قيد التشغيل، فتأكد من فهمك للتأثير المحتمل لأي أمر.
الشهادات المستخدمة على Cisco SD-WAN
هناك نوعان من الشهادات المستخدمة في حلول Cisco SD-WAN، وشهادات وحدة التحكم وشهادات الويب.
شهادة ويب
يستخدم للوصول إلى ويب إلى vManage. تقوم Cisco بتثبيت شهادة موقعة ذاتيا بشكل افتراضي. الشهادة الموقعة ذاتيا هي شهادة طبقة مآخذ التوصيل الآمنة (SSL) الموقعة من قبل منشئها.
ومع ذلك، توصي Cisco بشهادة خادم الويب الخاصة بها. ويكون هذا الأمر خاصا بالحالات التي يمكن فيها لمؤسسات الشبكة أن يكون لها جدران حماية مع قيود الوصول إلى الويب.
لا توفر Cisco شهادات ويب عامة صادرة عن المرجع المصدق (CA).
لمزيد من المعلومات حول كيفية إنشاء شهادة ويب vManage، الرجاء الرجوع إلى الأدلة: إنشاء شهادة خادم ويب وكيفية إنشاء شهادة موقع ويب ذاتية التوقيع ل vManage
شهادة المراقب
يستخدم لبناء إتصالات التحكم بين وحدات التحكم، أي vManage و vBonds و vSmarts.
لاحظ أن هذه الشهادات مهمة لمستوى التحكم في بنية SDWAN بالكامل ويجب الحفاظ عليها صالحة في جميع الأوقات.
لمزيد من معلومات شهادات وحدة التحكم، يرجى الرجوع إلى الدليل: توقيع الشهادة الآلي من خلال Cisco Systems
فهم شهادة الويب ل vManage
بروتوكول نقل النص التشعبي الآمن (HTTPS) هو بروتوكول إتصالات إنترنت يحمي تكامل وسرية البيانات بين كمبيوتر المستخدم وموقع الويب في هذه الحالة واجهة المستخدم الرسومية (GUI) vManage. يتوقع المستخدمون وجود اتصال آمن وخاص عند الوصول إلى تقنية vManage.
لتحقيق اتصال آمن وخاص، يجب الحصول على شهادة أمان. يتم إصدار الشهادة من قبل مرجع مصدق (CA) يتخذ الخطوات اللازمة للتحقق من أن مجال vManage الخاص بك ينتمي بالفعل إلى مؤسستك.
عند وصول مستخدم إلى vManage، يقوم كمبيوتر المستخدم بإجراء اتصال HTTPS ويتم إنشاء نفق آمن بين خادم vManage والكمبيوتر باستخدام شهادات SSL المثبتة للمصادقة. يتم إجراء مصادقة شهادة SSL على كمبيوتر المستخدم مقابل قاعدة البيانات الخاصة ب CAs الجذر الصحيح المثبتة على الجهاز. عادة، يكون الكمبيوتر قد قام بالفعل بتثبيت عدة تطبيقات مثل Google و GoDaddy و Enterprise CA (إذا كان هذا هو الحال)، بالإضافة إلى المزيد من الكيانات العامة. لذلك، إذا كان طلب توقيع الشهادة (CSR) موقعا من قبل Goddady (مثال فقط) فإنه موثوق به.
رسالة "الاتصال غير خاص" على vManage
لم يتم توقيع شهادة vManage الموقعة ذاتيا بواسطة مرجع مصدق. تم توقيعه من قبل نفس vManage ولم يتم توقيعه من قبل المرجع المصدق العام أو الخاص، وبالتالي فهو غير موثوق به لعميل الكمبيوتر. ولهذا السبب، يعرض المستعرض اتصال خطأ غير آمن/الخصوصية لعنوان URL vManage.
مثال لخطأ vMange مع الشهادة الافتراضية الموقعة ذاتيا من خلال متصفح Google Chrome كما هو موضح في الصورة.
ملاحظة: انقر فوق خيار عرض معلومات الموقع، حيث يتم عرض الشهادة غير صالحة.
معلومات إستباقية
تم تسجيل الشهادة باسم موقع ويب غير صحيح
تأكد من الحصول على شهادة ويب لكافة أسماء المضيف التي يخدمها الموقع. على سبيل المثال، إذا كانت شهادتك تغطي المجال الخيالي فقط.إختبار vManage-example.com، وهو زائر يقوم بتحميل الموقع باستخدام إختبار vManage.com (من دون ww. البادئة)، وإذا كانت يحصل على شهادة موقعة من مرجع مصدق عام، وهي موثوق بها ولكن يحصل على خطأ آخر مع خطأ عدم تطابق اسم الشهادة.
ملاحظة: يحدث خطأ عدم تطابق في الاسم الشائع عندما لا يتطابق الاسم الشائع لشهادة SSL/TLS مع المجال أو شريط العناوين في المستعرض.
معلومات ذات صلة