كيفية إنشاء وتثبيت شهادة على SMA

المقدمة

يوضح هذا المستند كيفية إنشاء شهادة للتكوين واستخدامها على جهاز إدارة الأمان من Cisco (SMA).

المتطلبات الأساسية

ستحتاج إلى حق الوصول لتشغيل الأمر openSSL محليا.

ستحتاج إلى وصول حساب المسؤول إلى جهاز أمان البريد الإلكتروني (ESA) ووصول المسؤول إلى واجهة سطر الأوامر (CLI) الخاصة ب SMA.

يجب أن تكون هذه العناصر متوفرة بتنسيق .pem:

• شهادة X.509
• المفتاح الخاص الذي يطابق شهادتك
• أي شهادات وسيطة مقدمة من هيئة الترخيص (CA)

كيفية إنشاء وتثبيت شهادة على SMA

تلميح: يوصى بأن تكون هناك شهادة موقعة من مرجع مصدق ثقة. لا توصي Cisco بإصدار مرجع مصدق محدد.  على حسب المرجع المصدق الذي أخترت العمل به، يمكنك إسترجاع الشهادة الموقعة، المفتاح الخاص، والشهادة الوسيطة (حيثما ينطبق ذلك) بتنسيقات مختلفة.  يرجى البحث أو النقاش مباشرة مع المرجع المصدق تنسيق الملف الذي يقدمه إليك قبل تثبيت الشهادة.

حاليا، لا تدعم SMA إنشاء شهادة محليا.  بدلا من ذلك، من الممكن إنشاء شهادة موقعة ذاتيا على ESA. يمكن إستخدام هذا كحل بديل لإنشاء شهادة ل SMA من أجل إستيرادها وتكوينها.

إنشاء وتصدير شهادة من ESA

1. من واجهة المستخدم الرسومية ESA، قم بإنشاء شهادة موقعة ذاتيا من الشبكة > الشهادات > إضافة شهادة.
   • عند إنشاء الشهادة الموقعة ذاتيا، من المهم ل "الاسم الشائع (CN)" إستخدام اسم المضيف الخاص ب SMA وليس اسم ESA، بحيث يمكن إستخدام الشهادة بشكل صحيح. 
2. إرسال التغييرات وتنفيذها. 
3. تصدير الشهادة المنشأة من شبكة > شهادات > تصدير شهادات.  لديك خياران، (1) تصدير وحفظ/إستخدام كشهادة موقعة ذاتيا، أو (2) تنزيل طلب توقيع الشهادة (إذا كنت تحتاج إلى توقيع الشهادة خارجيا):
   1. حفظ/إستخدام كشهادة موقعة ذاتيا:
      1. أختر تصدير الشهادات
      2. أعطه اسم ملف (على سبيل المثال mycert.pfx) وعبارة مرور سيتم إستخدامها عند تحويل الشهادة.
      3. سيؤدي ذلك إلى مطالبتك تلقائيا بحفظ الملف محليا.
      4. قم بالمتابعة إلى "تحويل الشهادة المصدرة".
   2. تنزيل طلب توقيع الشهادة
      1. شبكة > شهادات
      2. انقر على اسم الشهادة الذي أنشأته.
      3. في قسم "التوقيع الصادر من قبل"، انقر على تنزيل طلب توقيع الشهادة...
      4. احفظ ملف .pem محليا وأرسله إلى المرجع المصدق. 

تحويل الشهادة المصدرة

ستكون الشهادة التي تم إنشاؤها وتصديرها من ESA بتنسيق .pfx. تدعم SMA تنسيق .pem فقط للاستيراد، لذلك سيلزم تحويل هذه الشهادة.  لتحويل شهادة من تنسيق .pfx إلى تنسيق .pem، الرجاء إستخدام مثال الأمر openssl التالي:

openssl pkcs12 -in mycert.pfx -out mycert.pem -nodes

ستحض على عبارة المرور المستخدمة أثناء إنشاء الشهادة من ESA.  سوف يحتوي ملف .pem الذي تم إنشاؤه في الأمر OpenSSL على كل من الشهادة والمفتاح بتنسيق .pem.  الشهادة جاهزة الآن ليتم تكوينها على SMA.  يرجى المتابعة إلى قسم "تثبيت الشهادة" في هذه المقالة.

إنشاء شهادة باستخدام OpenSSL

بدلا من ذلك، إذا كان لديك حق وصول محلي لتشغيل OpenSSL من الكمبيوتر الشخصي/محطة العمل، فيمكنك إصدار الأمر التالي لإنشاء الشهادة وحفظ ملف .pem المطلوب والمفتاح الخاص في ملفين منفصلين:

openssl req -newkey rsa:2048 -new -nodes -x509 -days 3650 -keyout sma_key.pem -out sma_cert.pem

الشهادة جاهزة الآن ليتم تكوينها على SMA.  يرجى المتابعة إلى قسم "تثبيت الشهادة" في هذه المقالة.

خيار إضافي، تصدير شهادة من ESA

بدلا من تحويل الشهادة من .pfx إلى .pem، كما هو مذكور أعلاه، يمكنك حفظ ملف تكوين بدون تقنيع كلمات المرور على ESA. افتح ملف تكوين ESA .xml المحفوظ وابحث عن علامة <certificate>. ستكون الشهادة والمفتاح الخاص بالفعل بتنسيق .pem. انسخ الشهادة والمفتاح الخاص لاستيراد نفس الشهادة إلى SMA كما هو موضح في القسم "تثبيت الشهادة" أدناه.

  

ملاحظة: هذا الخيار صالح فقط للأجهزة التي تشغل AsyncOS 11.1 والإصدارات الأقدم، حيث يمكن حفظ ملف التكوين باستخدام الخيار "عبارة المرور العادية".  توفر الإصدارات الأحدث من AsyncOS خيار قناع عبارة المرور أو تشفير عبارة المرور فقط.  يقوم كلا الخيارين بتشفير المفتاح الخاص، والذي يكون ضروريا لخيار إستيراد أو لصق الترخيص.

  

ملاحظة: إذا أخترت الشهادة #2 أعلاه، "تنزيل طلب توقيع الشهادة"، وقمت بتوقيع الشهادة من مرجع مصدق، ستحتاج إلى إستيراد الشهادة الموقعة مرة أخرى إلى ESA التي تم إنشاء الشهادة منها قبل حفظ ملف التكوين لتكوين نسخة من الشهادة والمفتاح الخاص. يمكن إجراء الاستيراد بالنقر فوق اسم الشهادة في واجهة المستخدم الرسومية (GUI) ل ESA واستخدام الخيار " تحميل الشهادة الموقعة".

تثبيت الشهادة على SMA

يمكن إستخدام شهادة واحدة لجميع الخدمات، أو يمكن إستخدام شهادة فردية لكل من الخدمات الأربعة:

• TLS الوارد
• TLS الصادر
• HTTPS
• LDAAP

في SMA، سجل الدخول عبر واجهة سطر الأوامر وأكمل الخطوات التالية:

1. قم بتشغيل certconfig.
2. أختر خيار الإعداد.
3. ستحتاج إلى إختيار ما إذا كنت تريد إستخدام نفس الشهادة لكل الخدمات أو إستخدام شهادات منفصلة لكل خدمة فردية:
   • عند تقديم "هل تريد إستخدام شهادة/مفتاح واحد للاستلام والتسليم والوصول إلى إدارة HTTPS و LDAPs؟"، سيقتضي الرد على "Y" إدخال الشهادة والمفتاح مرة واحدة فقط، ثم تعيين تلك الشهادة لكافة الخدمات.
   • إذا أخترت إدخال "N"، ستحتاج إلى إدخال الشهادة والمفتاح والشهادة الوسيطة (حيثما ينطبق ذلك) لكل خدمة عند طلبها: الوارد والصادر و HTTPS والإدارة
4. عندما يطلب منك، قم بلصق الشهادة أو المفتاح.
5. إنهاء ب '.' على السطر الخاص به لكل إدخال للإشارة إلى أنك قد انتهيت من لصق العنصر الحالي.  (راجع قسم "المثال".)
6. إذا كان لديك شهادة وسيطة، تأكد من إدخالها عندما يطلب منك ذلك.
7. بمجرد اكتمالها، اضغط على Enter للعودة إلى موجه CLI الرئيسي الخاص ب SMA.
8. قم بتشغيل الالتزام بحفظ التكوين.

ملاحظة: لا تخرج الأمر certconfig مع Ctrl+C لأن هذا يلغي تغييراتك على الفور.

مثال

mysma.local> certconfig

Currently using the demo certificate/key for receiving, delivery, HTTPS management access, and LDAPS.


Choose the operation you want to perform:
- SETUP - Configure security certificates and keys.
[]> setup

Do you want to use one certificate/key for receiving, delivery, HTTPS management access, and LDAPS? [Y]> y

paste cert in PEM format (end with '.'):
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----
.
paste key in PEM format (end with '.'):
-----BEGIN PRIVATE KEY-----
MIIEvQIBADANBgkqhkiG9w0BAQEFAASCBKcwggSjAgEAAoIBAQCj89KXq8N0AGR/
MXLTq7747Jzj5CLZknPg1KrVSjOjjjpDRwNlmPVyd/rxEsJCHcHsYm4+lVEPOSuz
ROszoEX6WHULMZqSFoc2H/aggTl7irEcP/Y6JypPfA3xxTNNidwUppoGdDD6e+hM
AP7GQDfmqmAeyBNX4J6qRF3pPMRZX3FZ0tmE3OzV8+/JTStI71zrQlQa1hbtM5RJ
mVaQI9ACpM9Z7o783zqhM3nfrY2rma+5wyGok684SyrXuKSVJt0+tavz4XoLzSMv
1hzdcaIz/hc40QFJZrZozMx8jNv//3ZqvCYr1JWi11/b1H3St1VYiDiM+M54Bkc/
OUFzu4r3AgMBAAECggEAB9EFjsaZHGwyXmAIpe/PvIVnW3QSd0YEsUjiViXh/V+4
BmIZ1tuqhAkVVS38RfOuPatZrzEmOrASlcro3b6751oVRnHYeTOKwblXZEKU739m
vz6Lai1Y1o5HCepJbl5uuCtTN5CNjzueERWRD/ma0Kv5xi3qwitK1TpKMeb8Q3h2
YABmpk0TyJQ5ixLw3ch9ru1nqiO5zQ91GvIuDckudUu/bBnao+jV7D362lIPyLG8
03GqNviNZ6c3wjD0yQWg619g+ZmjM8DTtDR16zmzBvQ4TgZi22sUWrSSILRa69jW
q8XszQVRydl+gt666iUeN/ozmEMt5J8pu3i9vf3G2QKBgQDHyfv55rjZbWyf0eAT
Ch5T1YsjjMgMOtC9ivi5mMQCunWyRiyZ6qqSBME9Tper/YdAA07PoNtTpVPYyuVX
DDmyuWGHE04baf5QEmSgvQjXOSUPN5TI9hc5/mtvD8QjDO6rebUWxV3NJoR7YNrz
OmfARMXxaF+/mEj+6blSjZuGaQKBgQDSFKvYownPL6qTFhIH7B3kOLwZHk6cJUau
Zoaj7vTw7LrVJv1B0iLPmttEXeJgxzlFYR8tzfn0kTxGQlnhQxXkQ1kdDeqaiLvm
0TtmHMDupjDNKCNH8yBPqB+BIA4cB+/vo23W1HMHpGgqYWRRX/qremL72XFZSRnM
B8nRwK4aXwKBgB+hkwtVxB5ofLIxAFEDYRnUzVqrh2CoTzQzNH3t+dqUut2mzpjv
1mGX7yBNuSW51hgEbg3hYdg0bLn+JaFKhjgNsas5Gzyr41+6CcSJKUUp/vwRyLSo
gbTk2w2SaXNDMOZlNo6MYPWCC6edBg1MSfDe8pft9nrXGXeCeZzgXqdBAoGAQ6Iq
DQ24O76h0Ma7OVe36+CkFgYe0sBheAZD9IUa0HG2WKc7w7QORv4Y93KuTe/1rTNu
YUW94hHb8Natrwr1Ak74YpU3YVcB/3Z/BAnfxzUz4ui4KxLH5T1AH0cdo8KeaW0Z
EJ/HBL/WVUaTkGsw/YHiWiiQCGmzZ29edyvsIUsCgYEAvJtx0ZBAJ443WeHajZWm
J2SLKy0KHeDxZOZ4CwF5sRGsmMofILbK0OuHjMirQ5U9HFLpcINt11VWwhOiZZ5l
k6o79mYhfrTMa4LlHOTyScvuxELqow82vdj6gqX0HVj4fUyrrZ28MiYOMcPw6Y12
34VjKaAsxgZIgN3LvoP7aXo=
-----END PRIVATE KEY-----
.
Do you want to add an intermediate certificate? [N]> n

Currently using one certificate/key for receiving, delivery, HTTPS management access, and LDAPS.


Choose the operation you want to perform:
- SETUP - Configure security certificates and keys.
- PRINT - Display configured certificates/keys.
- CLEAR - Clear configured certificates/keys.
[]>

mysma.local> commit

Please enter some comments describing your changes:
[]> Certificate installation

Changes committed: Fri Nov 10 11:46:07 2017 EST

التحقق من الشهادة التي تم إستيرادها وتكوينها على SMA

1. قم بالاتصال ب SMA عبر واجهة المستخدم الرسومية (GUI) باستخدام HTTPS (https://<SMA IP أو hostname>) وأدخل بيانات اعتماد تسجيل الدخول الخاصة بك.
2. بجوار عنوان URL في شريط العناوين في المستعرض الخاص بك، انقر فوق رمز القفل أو رمز المعلومات للتحقق من صحة الشهادة وانتهاء الصلاحية، وما إلى ذلك.
   • اعتمادا على المستعرض الذي تستخدمه، قد تختلف الإجراءات والنتائج.
3. انقر على مسار الترخيص للتحقق من سلسلة الشهادات.

معلومات ذات صلة

• الدعم التقني والمستندات - Cisco Systems