انتهاء صلاحية الشهادة والتسجيل التلقائي لإعادة التسجيل التلقائي إلى مرجع مصدق Cisco IOS

المقدمة

تحتوي جميع الشهادات الرقمية على وقت انتهاء صلاحية مدمج في الشهادة التي تم تعيينها من قبل خادم المرجع المصدق المصدر (CA) أثناء التسجيل. عند إستخدام شهادة رقمية لمصادقة VPN IPSec الخاصة ب ISAKMP، يوجد تحقق تلقائي من وقت انتهاء صلاحية شهادة جهاز الاتصال ووقت النظام على الجهاز (نقطة نهاية VPN). وهذا يضمن أن الشهادة المستخدمة صالحة ولم تنته صلاحيتها. وهو أيضا السبب الذي يفرض عليك تعيين الساعة الداخلية على كل نقطة نهاية VPN (موجه). إذا لم يكن بروتوكول وقت الشبكة (NTP) (أو بروتوكول وقت الشبكة البسيط [SNTP]) ممكنا على موجهات تشفير VPN، فأستخدم الأمر set clock يدويا.

المتطلبات الأساسية

المتطلبات

لا توجد متطلبات خاصة لهذا المستند.

المكونات المستخدمة

تستند المعلومات الواردة في هذا المستند إلى جميع الموجهات التي تشغل صورة cXXXX-ADVSECURITYityk9-mz.123-5.9.T للنظام الأساسي ذي الصلة .

تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك مباشرة، فتأكد من فهمك للتأثير المحتمل لأي أمر.

الاصطلاحات

للحصول على مزيد من المعلومات حول اصطلاحات المستندات، ارجع إلى اصطلاحات تلميحات Cisco التقنية.

متى تعتبر الشهادة الرقمية منتهية الصلاحية أو غير منتهية الصلاحية؟

• انتهت صلاحية الشهادة (غير صالحة) إذا كان وقت النظام بعد وقت انتهاء صلاحية الشهادة أو قبل الوقت الذي تم إصداره للشهادة.

• لا تكون الشهادة منتهية الصلاحية (صالحة) إذا كان وقت النظام في وقت إصدار الشهادة ووقت انتهاء صلاحية الشهادة أو فيما بينهما.

الغرض من ميزة التسجيل التلقائي هو تزويد مسؤول CA بآلية للسماح للموجه المسجل حاليا بإعادة التسجيل تلقائيا مع خادم CA الخاص به على نسبة مئوية تم تكوينها من عمر شهادة الموجه. هذه ميزة مهمة لسهولة إدارة / دعم الشهادات كآلية تحكم. إذا كنت تستخدم المرجع المصدق (CA) معينا لإصدار شهادات إلى الآلاف من موجهات VPN الفرعية التي يحتمل أن تكون موجودة على مدى سنة واحدة (دون التسجيل التلقائي)، ثم في سنة واحدة بالضبط من الوقت الصادر، تنتهي صلاحية جميع الشهادات وتفقد جميع الفروع الاتصال من خلال IPSec. بدلا من ذلك، إذا تم تعيين ميزة التسجيل التلقائي على "التسجيل التلقائي 70"، كما هو الحال في هذا المثال، ثم في 70٪ من عمر الشهادة الصادرة (1 سنة)، يصدر كل موجه تلقائيا طلب تسجيل جديد إلى خادم Cisco IOS® CA المدرج في TrustPoint.

ملاحظة: هناك إستثناء واحد لميزة التسجيل التلقائي وهو أنه إذا تم تعيينها على أقل من أو تساوي 10، فإنها تكون في دقائق. إذا كانت أكبر من 10، فإنها تمثل نسبة مئوية من العمر الافتراضي للشهادة.

هناك بعض التحذيرات التي يجب أن يكون مسؤول Cisco IOS CA على دراية بها مع التسجيل التلقائي. يحتاج المسؤول إلى تنفيذ هذه الإجراءات حتى تنجح عملية إعادة التسجيل:

1. منح أو رفض كل طلب إعادة تسجيل يدويا على خادم Cisco IOS CA (ما لم يتم إستخدام "منح تلقائي" على خادم Cisco IOS CA).

   • لا يزال خادم Cisco IOS CA بحاجة إلى منح كل طلب من هذه الطلبات أو رفضه (مع افتراض عدم تمكين "منح تلقائي" لخادم Cisco IOS CA). ومع ذلك، لا يلزم إتخاذ أي إجراء إداري على موجه التسجيل لبدء عملية إعادة التسجيل.

2. قم بحفظ الشهادة الجديدة التي تمت إعادة تسجيلها في موجه VPN الذي تم إعادة تسجيل دخوله، إذا كان ذلك مناسبا.

   • في حالة عدم وجود تغييرات تكوين غير محفوظة معلقة في الموجه، يتم حفظ الشهادة الجديدة تلقائيا إلى ذاكرة الوصول العشوائي غير المتطايرة (NVRAM). تتم كتابة الشهادة الجديدة في ذاكرة NVRAM وتتم إزالة الشهادة السابقة.

   • إذا كانت هناك تغييرات تكوين غير محفوظة معلقة، فيجب عليك إصدار الأمر copy run start على موجه التسجيل لحفظ تغييرات التكوين والشهادة الجديدة التي تم إعادة تسجيلها في ذاكرة NVRAM. بمجرد اكتمال الأمر copy run start، تتم كتابة الشهادة الجديدة في ذاكرة NVRAM وتتم إزالة الشهادة السابقة.

     ملاحظة: عند نجاح عملية إعادة تسجيل جديدة، لا يؤدي ذلك إلى إبطال الشهادة السابقة لذلك الجهاز المسجل على خادم CA. عند اتصال أجهزة VPN، فإنها ترسل بعضها البعض الرقم التسلسلي للشهادة (رقم فريد).

     ملاحظة: على سبيل المثال، إذا كنت تبلغ 70٪ من العمر الافتراضي للشهادة وكان على فرع الشبكة الخاصة الظاهرية (VPN) إعادة التسجيل مع CA، فإن CA لديه شهادتين لاسم المضيف هذا. ومع ذلك، فإن موجه التسجيل لديه موجه واحد فقط (الأحدث). إذا أخترت ذلك، يمكنك إبطال الشهادة القديمة إداريا، أو السماح بانتهاء صلاحيتها بشكل طبيعي.

     ملاحظة: تحتوي إصدارات التعليمات البرمجية الأحدث لميزة التسجيل التلقائي على خيار "إعادة إنشاء" أزواج المفاتيح المستخدمة للتسجيل.

     • هذا الخيار هو "غير افتراضي" لإعادة إنشاء أزواج المفاتيح.

     • إن أخترت هذا خيار كان، كنت على علم من cisco بق id CSCea90136. يسمح إصلاح الخطأ هذا بوضع زوج المفاتيح الجديد في الملفات المؤقتة بينما يتم تسجيل الشهادة الجديدة عبر نفق IPSec موجود (الذي يستخدم زوج المفاتيح القديم).

       يحتوي التسجيل التلقائي على خيار إنشاء مفاتيح جديدة في وقت تجديد الاعتماد. يؤدي ذلك حاليا إلى فقد الخدمة خلال الوقت الذي يستغرقه الحصول على شهادة جديدة. وذلك بسبب وجود مفتاح جديد ولكن لا توجد شهادة مطابقة له.

       تحتفظ هذه الميزة بالمفتاح القديم والشهادة حتى تتوفر الشهادة الجديدة.

       كما يتم تنفيذ إنشاء المفتاح التلقائي للتسجيل اليدوي. يتم إنشاء المفاتيح (حسب الحاجة) للتسجيل التلقائي أو اليدوي.

       • تم العثور على الإصدار - 12.3PIH03

       • الإصدار الذي سيتم إصلاحه بالداخل - 12.3T

       • الإصدار المطبق على - 12.3pi03

       • مدمج في - بلا

   للحصول على معلومات إضافية، اتصل بدعم Cisco التقني.

معلومات ذات صلة

• صفحة دعم IPSec
• الدعم الفني - Cisco Systems