تكوين مدخل توفير شهادة ISE 2.0
المحتويات
المقدمة
يصف هذا المستند تكوين مدخل توفير شهادات محرك خدمات الهوية (ISE) ووظائفه.
-
المتطلبات الأساسية
المتطلبات
توصي Cisco بأن تكون لديك معرفة أساسية بالمواضيع التالية:
- محرك خدمات كشف الهوية (ISE)
- خوادم الشهادات والمراجع المصدقة (CA).
المكونات المستخدمة
تستند المعلومات الواردة في هذا المستند إلى إصدارات البرامج والمكونات المادية التالية:
- Identity Service Engine 2.0
- كمبيوتر نظام التشغيل Windows 7
تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك قيد التشغيل، فتأكد من فهمك للتأثير المحتمل لأي أمر.
معلومات أساسية
مدخل توفير الشهادة هو ميزة جديدة تم إدخالها في ISE 2.0 والتي يمكن إستخدامها من قبل الأجهزة الطرفية لتسجيل وتنزيل شهادات الهوية من الخادم. إنه يصدر شهادات للأجهزة التي لا يمكنها المرور خلال تدفق الإلحاق.
على سبيل المثال، لا يمكن أن تخضع الأجهزة مثل محطات البيع الطرفية لجلب تدفق جهازك (BYOD) ويجب إصدار الشهادات يدويا.
تسمح بوابة توفير الشهادة لمجموعة ذات امتيازات من المستخدمين بتحميل طلب شهادة (CSR) لمثل هذه الأجهزة، وإنشاء أزواج مفاتيح، ثم تنزيل الشهادة.
في ISE، يمكنك إنشاء قوالب شهادات معدلة ويمكن للمستخدمين النهائيين تحديد قالب شهادة مناسب لتنزيل شهادة. بالنسبة لهذه الشهادات، يعمل ISE كخادم مرجع شهادات (CA) ويمكننا الحصول على الشهادة الموقعة من قبل ISE Internal CA.
يدعم مدخل توفير شهادة ISE 2.0 تنزيل الشهادة بهذه التنسيقات:
- تنسيق PKCS12 (بما في ذلك سلسلة الشهادات، ملف واحد لكل من سلسلة الشهادات والمفتاح)
- تنسيق PKCS12 (ملف واحد لكل من الشهادة والمفتاح)
- الشهادة (بما فيها السلسلة) بتنسيق البريد الإلكتروني المحسن للخصوصية (PEM)، المفتاح بتنسيق PKCS8 PEM.
- شهادة بتنسيق PEM، مفتاح بتنسيق PKCS8 PEM:
القيود
يدعم ISE حاليا هذه الملحقات في CSR لتوقيع شهادة.
- سمات الموضوع Directory
- subjectAlternativeName
- المفتاح الاستخدام
- معرف الموضوع
- auditIdentity
- ExtendedKeyUse
- CERT_TEMPLATE_OID (يعد هذا OID مخصصا تم إنشاؤه لتحديد القالب الذي يتم إستخدامه عادة في تدفق BYOD)
التكوين
لاستخدام ميزة توفير الشهادة في الشبكة، يجب تمكين خدمة ISE الداخلية CA ويجب تكوين مدخل تزويد الشهادة.
الخطوة 1.على واجهة المستخدم الرسومية ISE، انتقل إلى إدارة > نظام > شهادات > مرجع شهادات > مرجع مصدق داخلي ولتمكين إعدادات CA الداخلية على عقدة ISE، انقر على تمكين مرجع الشهادة.
الخطوة 2. إنشاء قوالب شهادات تحت الإدارة > النظام > شهادات > قوالب شهادات > إضافة.
أدخل التفاصيل حسب المتطلب وانقر فوق إرسال، كما هو موضح في هذه الصورة.
الخطوة 3. لتكوين مدخل توفير شهادة ISE، انتقل إلى الإدارة > إدارة مدخل الأجهزة > إمداد الشهادة > إنشاء، كما هو موضح في الصورة:
الخطوة 4. في مدخل الشهادة الجديد، قم بتوسيع إعدادات المدخل، كما هو موضح في الصورة.
منفذ HTTPS المنفذ الذي يجب إستخدامه بواسطة مدخل توفير الشهادة ل HTTPS. الواجهات المسموح بها الواجهات التي يجب على ISE الاستماع إليها لهذا المدخل. علامة مجموعة الشهادات علامة الترخيص التي سيتم إستخدامها لمدخل توفير الشهادة الذي يشير إلى شهادة النظام التي سيتم إستخدامها لهذه البوابة. أسلوب المصادقة حدد تسلسل مخزن الهوية الذي يصادق تسجيل الدخول إلى هذا المدخل. تكون certificate_request_sequence قيد الاستخدام بشكل افتراضي. المجموعات المعتمدة يمكن التحكم في مجموعة المستخدمين الذين يمكنهم الوصول إلى مدخل توفير الشهادة عن طريق نقل مجموعة معينة من مجموعات AD ومجموعات المستخدمين الداخليين إلى الجدول المختار. لا يمكن الوصول إلى المدخل إلا للمستخدمين الذين يشكلون جزءا من المجموعة المختارة. اسم النطاق المؤهل بالكامل (FQDN) يمكنك أيضا منح FQDN محدد لهذا المدخل. تتم إعادة توجيه المستخدمين الذين يقومون بالتصفح إلى FQDN باستخدام HTTP/HTTPS إلى هذه البوابة. يجب أن تكون FQDN فريدة وألا تتم مشاركتها مع أي مدخل آخر. مهلة الخمول تحدد القيمة مهلة الخمول للمدخل. الخطوة 5. تكوين إعدادات صفحة تسجيل الدخول.
الخطوة 6.تكوين إعدادات صفحة AUP.
الخطوة 7. يمكنك أيضا إضافة شعار تسجيل دخول مادة النشر.
الخطوة 8. تحت إعدادات مدخل تزويد الشهادة، حدد قوالب الترخيص المسموح بها.
الخطوة 9. قم بالتمرير إلى أعلى الصفحة وانقر فوق حفظ لحفظ التغييرات.
وبالإضافة إلى ذلك، يمكن تخصيص البوابة بشكل إضافي من خلال الانتقال إلى علامة التبويب تخصيص صفحة المدخل حيث يمكن تغيير نص AUP ونص شعار تسجيل الدخول إلى البريد والرسائل الأخرى وفقا للمتطلبات.
التحقق من الصحة
استخدم هذا القسم لتأكيد عمل التكوين بشكل صحيح.
إذا تم تكوين ISE بشكل صحيح لتوفير الشهادة، يمكن طلب/تنزيل شهادة من مدخل توفير شهادة ISE بهذه الخطوات.
الخطوة 1. افتح المستعرض واستعرض إلى FQDN الخاص بواجهة توفير الشهادات كما تم تكوينه أعلاه أو عنوان URL لاختبار توفير الشهادة. تتم إعادة توجيهك إلى البوابة، كما هو موضح في هذه الصورة:
الخطوة 2. سجل الدخول باسم المستخدم وكلمة المرور.
الخطوة 3. بعد عملية المصادقة الناجحة، تقبل AUP وتهبط إلى صفحة توفير الشهادة.
الخطوة 4. توفر صفحة توفير الشهادة وظائف تنزيل الشهادات بثلاث طرق:
- شهادة واحدة (بدون طلب توقيع شهادة)
- شهادة واحدة (مع طلب توقيع الشهادة)
- الشهادات المجمعة
إنشاء شهادة واحدة بدون طلب توقيع شهادة
- لإنشاء شهادة واحدة بدون CSR، حدد خيار إنشاء شهادة واحدة (بدون طلب توقيع شهادة).
- أدخل الاسم الشائع (CN).
- أدخل عنوان MAC للجهاز الذي يتم إنشاء الشهادة له.
- أختر قالب الشهادة المناسب.
- أختر التنسيق المرغوب الذي يجب تنزيل الشهادة من خلاله.
- أدخل كلمة مرور ترخيص وانقر Gطاقة.
- تم إنشاء شهادة واحدة وتنزيلها بنجاح.
إنشاء شهادة واحدة مع طلب توقيع الشهادة
- لإنشاء شهادة واحدة بدون CSR، حدد خيار إنشاء شهادة واحدة (بدون طلب توقيع شهادة).
- انسخ محتوى CSR ولصقه من ملف Notepad ضمن تفاصيل طلب توقيع الشهادة.
- أدخل عنوان MAC للجهاز الذي يتم إنشاء الشهادة له.
- أختر قالب الشهادة المناسب.
- أختر التنسيق المرغوب الذي يجب تنزيل الشهادة من خلاله.
- أدخل كلمة مرور ترخيص وانقر إنشاء.
- سيتم إنشاء شهادة واحدة وتنزيلها بنجاح.
إنشاء شهادات مجمع
يمكنك توليد تراخيص مجمع لعناوين MAC متعددة إذا قمت بتحميل ملفات CSV التي تحتوي على حقل CN وعنوان MAC.
- لإنشاء شهادة واحدة بدون CSR، حدد خيار إنشاء شهادة واحدة (مع طلب توقيع الشهادة).
- تحميل ملف csv للطلب المجمع.
- أختر قالب الشهادة المناسب.
- أختر التنسيق المرغوب الذي يجب تنزيل الشهادة من خلاله.
- أدخل كلمة مرور ترخيص وانقر إنشاء.
- يتم إنشاء ملف zip لشهادة مجمع وتنزيله.
استكشاف الأخطاء وإصلاحها
لا تتوفر حاليًا معلومات محددة لاستكشاف الأخطاء وإصلاحها لهذا التكوين.
التعليقات