تكوين شهادة فك التشفير في جهاز ويب الآمن
المحتويات
المقدمة
يصف هذا المستند خطوات تكوين شهادات تشفير HTTPS في أجهزة ويب الآمنة (SWA) وعملاء الوكيل.
المتطلبات الأساسية
المتطلبات
توصي Cisco بأن تكون لديك معرفة بالمواضيع التالية:
- الوصول إلى واجهة المستخدم الرسومية (GUI) ل SWA
- الوصول الإداري إلى جمعية المرأة
المكونات المستخدمة
لا يقتصر هذا المستند على إصدارات برامج ومكونات مادية معينة.
تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك قيد التشغيل، فتأكد من فهمك للتأثير المحتمل لأي أمر.
فك تشفير HTTPS
يستخدم فك تشفير بروتوكول نقل النص التشعبي الآمن (HTTPS) ل SWA الشهادات الجذر وملفات المفاتيح الخاصة التي تقوم بتحميلها إلى الجهاز لتشفير حركة مرور البيانات. يجب أن تكون ملفات الشهادة الجذر والمفاتيح الخاصة التي تقوم بتحميلها إلى الجهاز بتنسيق PEM.
ملاحظة: تنسيق DER غير معتمد.
يمكنك أيضا تحميل شهادة وسيطة قام مرجع شهادة جذر بتوقيعها. عندما تحاكي SWA شهادة الخادم، فإنها ترسل الشهادة التي تم تحميلها مع الشهادة التي تم تقليدها إلى تطبيق العميل. بهذه الطريقة، طالما أن الشهادة الوسيطة موقعة من قبل المرجع المصدق الجذر (CA) الذي يثق به تطبيق العميل، فإن التطبيق يثق بشهادة الخادم المقلدة أيضا.
تكوين شهادة فك التشفير في SWA
تتوفر لدى SWA إمكانية إستخدام شهادة حالية ومفتاح خاص للاستخدام مع فك تشفير HTTPS. على أي حال، يمكن أن يكون هناك إرتباك حول نوع الشهادة التي يجب إستخدامها، بما أن ليس كل شهادات X.509 تعمل.
هناك نوعان أساسيان من الشهادات: 'شهادات الخادم 'والشهادات الجذر'. تحتوي كافة شهادات X.509 على حقل قيود أساسية، والذي يحدد نوع الشهادة:
- نوع الموضوع=نهاية الوحدة- شهادة الخادم
- نوع الموضوع=شهادة جذر CA
تحميل شهادة ومفتاح جذر
الخطوة 1. من واجهة المستخدم الرسومية (GUI) انتقل إلى Security Services وتختار HTTPS Proxy.
الخطوة 2. انقر Edit Settings
الخطوة 3. انقر على إستخدام الشهادة التي تم تحميلها والمفتاح.
الخطوة 4. انقر على إستعراض لحقل الشهادة للانتقال إلى ملف الشهادة المخزن على الجهاز المحلي.
ملاحظة: إذا كان الملف الذي قمت بتحميله يحتوي على شهادات أو مفاتيح متعددة، فإن وكيل الويب يستخدم الشهادة أو المفتاح الأول في الملف.
الخطوة 5. انقر فوق إستعراض بحثا عن حقل المفتاح للتنقل إلى ملف المفتاح الخاص.
ملاحظة: يجب أن يكون طول المفتاح 512 أو 1024 أو 2048 بت.
الخطوة 6. يتم تشفير مفتاح التحديد إذا تم تشفير المفتاح.
الخطوة 7. انقر فوق تحميل الملفات لنقل ملفات الشهادة والمفتاح إلى جهاز ويب الآمن.
يتم عرض معلومات الشهادة التي تم تحميلها في صفحة "تحرير إعدادات وكيل HTTPS".
الخطوة 8. (إختياري) انقر فوق تنزيل الشهادة لنقلها إلى تطبيقات العميل على الشبكة.
الخطوة 9. Submit و Commit التغييرات.
إنشاء شهادة ومفتاح لوكيل HTTPS
الخطوة 1. من واجهة المستخدم الرسومية (GUI) انتقل إلى Security Services وتختار HTTPS Proxy.
الخطوة 2. انقر Edit Settings.
الخطوة 3. نختار Use Generated Certificate and Key.
الخطوة 4. انقر Generate New Certificate and Key.
الخطوة 5. في Generate Certificate and Key مربع الحوار، أدخل المعلومات لعرضها في الشهادة الجذر.
يمكنك إدخال أي حرف ASCII باستثناء شرطة مائلة للأمام (/) في حقل "الاسم الشائع".
الخطوة 6. انقر Generate.
الخطوة 7. يتم عرض معلومات الشهادة التي تم إنشاؤها في صفحة "تحرير إعدادات وكيل HTTPS".
الخطوة 8. (إختياري) انقر Download Certificate بحيث يمكنك نقلها إلى تطبيقات العميل على الشبكة.
الخطوة 9. (إختياري) انقر فوق Download Certificate Signing Request إرتباط، بحيث يمكنك إرسال طلب توقيع الشهادة (CSR) إلى مرجع مصدق.
الخطوة 10. (إختياري) قم بتحميل الشهادة الموقعة إلى جهاز الويب الآمن بعد إستلامها من المرجع المصدق. يمكنك تنفيذ هذا الإجراء في أي وقت بعد إنشاء الشهادة على الجهاز.
الخطوة 11. Submit و Commit التغييرات.
إستيراد الشهادة
إستيراد شهادة وكيل تدفق البيانات إلى SWA
إذا تم تكوين SWA لاستخدام وكيل للتحميل وتم تكوين وكيل الخادم لفك تشفير HTTPS، يجب إستيراد شهادة تشفير وكيل الخادم إلى SWA.
يمكنك إدارة قائمة الشهادات الموثوق بها وإضافة شهادات إليها وإزالة الشهادات منها.
الخطوة 1. من واجهة المستخدم الرسومية، أختر Network وتختار Certificate Management.
الخطوة 2. انقر Manage Trusted Root Certificates في صفحة إدارة الشهادات.
الخطوة 3. لإضافة شهادة جذر موثوق بها مخصصة لها سلطة توقيع، ليست في القائمة المتعارف عليها من Cisco، انقر فوق Import ثم أرسل ملف الشهادة.
الخطوة 4. Submit و Commit التغييرات.
إستيراد شهادة SWA إلى SWA أخرى
في حالة قيامك بتحميل شهادة ومفتاح HTTPS في نقطة وصول واحدة لوكيل HTTPS ويمكن الوصول إلى الملفات الأصلية في هذه اللحظة، يمكنك إستيرادها إلى نقطة وصول (SWA) أخرى من ملف التكوين.
الخطوة 1. من واجهة المستخدم الرسومية (GUI) لكل من SWAs، أختر System Administration وانقر فوق Configuration File.
الخطوة 2. انقر Download ملف على الكمبيوتر المحلي لعرض أو حفظ.
الخطوة 3. نختار Encrypt passwords في ملفات التكوين.
الخطوة 4. (إختياري) أختر إستخدام اسم ملف معرف من قبل المستخدم وإعطاء الاسم المرغوب إلى ملف التكوين.
الخطوة 5. انقر فوق إرسال أدناه التكوين الحالي لتنزيل التكوين .xml ملف.
الخطوة 6. فتح الملفات التي تم تنزيلها باستخدام برامج تحرير النصوص أو برامج تحرير XML.
الخطوة 7. انسخ علامات التمييز هذه من SWA مع الترخيص، انسخ كل البيانات الموجودة في علامات التمييز، واستبدلها في ملف تكوين SWA الأخرى:
....
....
....
....
الخطوة 8. حفظ التغييرات في .xml ملف SWA الوجهة.
الخطوة 9. لاستيراد المحرر .xml تشكيل مبرد back to الغاية SWA، من gui، يختار System Administration وانقر فوق Configuration File.
الخطوة 10. في Load Configuration نقر المقطع Load a configuration file from local computer.
الخطوة 11. انقر أختر ملف واختر التحرير .xml ملف التكوين.
الخطوة 12. انقر Load لاستيراد ملف التكوين الجديد باستخدام الشهادة والمفتاح.
الخطوة 13. Commit تغييرات إذا طلب من النظام.
إستيراد شهادة SWA في عميل Windows
لاستيراد شهادة وكيل SWA HTTPS كشهادة موثوق بها في أجهزة كمبيوتر العميل باستخدام نظام التشغيل Microsoft Windows، فيما يلي الخطوات:
الخطوة 1. انقر فوق ابدأ من شريط المهام واكتب Manage computer certificates.
الخطوة 2. في صفحة الشهادات- الكمبيوتر المحلي، قم بالتمدد Trusted Root Certification وانقر بزر الماوس الأيمن على مجلد الشهادات.
الخطوة 3. انقر All Tasks وتختار Import.
الخطوة 4. من صفحة معالج إستيراد الشهادات، انقر فوق Next.
الخطوة 5. لاستيراد ملف شهادة SWA، انقر على Browse ويختار الشهادة التي قمت بتنزيلها من SWA.
تلميح: لتنزيل شهادة SWA، ارجع إلى الخطوة 8. من القسم "تحميل شهادة جذر ومفتاح" أو "إنشاء شهادة ومفتاح لوكيل HTTPS" في هذا المستند.
الخطوة 6. انقر Place all certificates in the following خانة الاختيار.
الخطوة 7. نختار Trusted Root Certification Authorities وانقر فوق Next.
الخطوة 8. انقر Finish.
بدلا من ذلك، يمكنك إستخدام هذا الأمر لإدراج الشهادة إلى Trusted Root Certification Authorities.
certutil -addstore -f "ROOT"
ملاحظة: يجب إستبدال
مع مسار الشهادة التي تم تنزيلها حاليا واسم الملف.
إستيراد شهادة SWA في عميل Mac
الخطوة 1. قم بتنزيل شهادة وكيل HTTPS من SWA إلى عميل Mac OS.
الخطوة 2. إعادة تسمية ملحق الملف إلى .crt.
الخطوة 3. قم بتشغيل هذا الأمر لاستيراد الشهادة كشهادة موثوق بها:
sudo security add-trusted-cert -d -r trustRoot -k /Library/Keychains/System.keychain
ملاحظة: يجب إستبداله بمسار الشهادة التي تم تنزيلها حاليا واسم الملف.
إستيراد شهادة SWA في Ubuntu/Debian
الخطوة 1. قم بتنزيل شهادة وكيل HTTPS من SWA.
الخطوة 2. افتح ملف الترخيص في محرر النص وانسخ كل المحتويات.
الخطوة 3. إنشاء ملف جديد في /usr/local/share/ca-certificates/ مع .crt ملحق.
الخطوة 4. قم بتحرير الملف باستخدام محرر النص الذي تريده والنص السابق المنسوخ في الملف الجديد، ثم احفظ.
الخطوة 5. قم بتشغيل هذا الأمر لتحديث الشهادات في نظام التشغيل.
sudo update-ca-certificates
تلميح: إذا كانت الشهادة مخزنة محليا على العميل، فيمكنك نسخ الشهادة إلى /usr/local/share/ca-certificates/ و يهرب sudo update-ca-certificates.
ملاحظة: في بعض الإصدارات، يجب عليك تثبيت حزمة شهادات التصديق باستخدام هذا الأمر: sudo apt-get install -y ca-certificates.
إستيراد شهادة SWA في CentOS 6
الخطوة 1. قم بتنزيل شهادة وكيل HTTPS من SWA.
الخطوة 2. افتح ملف الترخيص في محرر النص وانسخ كل المحتويات الموجودة داخل الملف.
الخطوة 3. إنشاء ملف جديد في /etc/pki/ca-trust/source/anchors/ مع .crt الامتداد.
الخطوة 4. قم بتحرير الملف باستخدام محرر النص الذي تريده والنص السابق المنسوخ في الملف الجديد، ثم احفظ.
الخطوة 5. تثبيت حزمة شهادات التصديق:
yum install ca-certificates
الخطوة 6. قم بتشغيل هذا الأمر لتحديث الشهادات في نظام التشغيل:
update-ca-trust extract
تلميح: إذا كانت الشهادة مخزنة محليا على العميل، فيمكنك نسخ الشهادة إلى /etc/pki/ca-trust/source/anchors/ و يهرب update-ca-trust extract بعد تثبيت ca-certificates.
إستيراد شهادة SWA في CentOS 5
الخطوة 1. قم بتنزيل شهادة وكيل HTTPS من SWA.
الخطوة 2. افتح ملف الترخيص في محرر النص وانسخ كل المحتويات الموجودة داخل الملف.
الخطوة 3. إنشاء ملف جديد في المجلد الحالي باستخدام .crt الامتداد (على سبيل المثال، SWA.crt).
الخطوة 4. تحرير /etc/pki/tls/certs/ca-bundle.crt من خلال محرر النصوص الذي تريده، الصق النص المنسوخ في نهاية الملف ثم احفظ.
تلميح: إذا كان لديك الشهادة مخزنة محليا على العميل (في هذا المثال، يكون اسم الملف SWA.crt)، يمكنك إلحاق الشهادة بهذا الأمر: cat SWA.crt >>/etc/pki/tls/certs/ca-bundle.crt.
إستيراد شهادة SWA في Mozilla Firefox
الخطوة 1. قم بتنزيل شهادة وكيل HTTPS من SWA.
الخطوة 2. إعادة تسمية الملف إلى .crt.
الخطوة 3. افتح Firefox وانقر فوق القائمة (ثلاثة أشرطة في الزاوية العليا اليمنى).
الخطوة 4. أختر إعدادات (في بعض الإصدارات تكون خيارات).
الخطوة 5. انقر Privacy & Security في القائمة على الجانب الأيسر والتمرير إلى Certificates.
الخطوة 6. انقر View Certificates.
الخطوة 7. انقر فوق Authorities علامة تبويب ثم Import.
الخطوة 8. أختر ملف الترخيص وانقر Open.
الخطوة 9. انقر OK.
إستيراد شهادة SWA في Google Chrome
الخطوة 1. قم بتنزيل شهادة وكيل HTTPS من SWA.
الخطوة 2. إعادة تسمية الملف إلى .crt.
الخطوة 3. افتح Google Chrome وانقر Customize and control Google Chrome(ثلاث نقاط في الزاوية اليمنى العليا).
الخطوة 4. نختار Settings.
الخطوة 5. انقر Privacy and Security من القائمة الموجودة على الجانب الأيسر.
الخطوة 6. نختار Security.
الخطوة 7. تمرير إلى Manage certificates وانقر فوق الزر الموجود على اليمين.
الخطوة 8. أختر Trusted Root Certification Authorities علامة التبويب والنقر Import.
الخطوة 9. أختر ملف الترخيص وانقر Open.
الخطوة 10. انقر OK.
ملاحظة: إذا قمت بتثبيت شهادة SWA في نظام التشغيل، فإن Google Chrome يثق في هذه الشهادة ولا توجد حاجة لاستيراد الشهادة بشكل منفصل إلى المستعرض الخاص بك.
إستيراد شهادة SWA في Microsoft Edge/Internet Explorer
يستخدم Microsoft Edge و Internet Explorer (IE) شهادات نظام التشغيل. إذا قمت بتثبيت شهادة SWA في نظام التشغيل، فلا حاجة لاستيراد الشهادة بشكل منفصل إلى المستعرض الخاص بك.
إستيراد شهادة SWA في Safari
الخطوة 1. قم بتنزيل شهادة وكيل HTTPS من SWA.
الخطوة 2. إعادة تسمية الملف إلى .crt.
الخطوة 3. في لوحة التشغيل، ابحث عن Keychain Access و اضغط عليه.
الخطوة 4. من موقع File نقر القائمة Add Keychain.
الخطوة 5. أختر ملف شهادة SWA وانقر Add.
الخطوة 6. نختار Security.
الخطوة 7. تمرير إلى Manage certificates وانقر فوق الزر الموجود على اليمين.
الخطوة 8. أخترTrusted Root Certification Authorities علامة التبويب والنقر Import.
الخطوة 9. أختر ملف الترخيص وانقر Open.
الخطوة 10. انقر OK.
إستيراد شهادة SWA من نهج المجموعة إلى العملاء
لتوزيع الشهادات على أجهزة كمبيوتر العميل حسب "نهج المجموعة" من Active Directory، أستخدم الخطوات التالية:
الخطوة 1. قم بتنزيل شهادة وكيل HTTPS من SWA.
الخطوة 2. إعادة تسمية الملف إلى .crt.
الخطوة 3. انسخ ملف الشهادة إلى وحدة التحكم بالمجال لديك.
الخطوة 4. في وحدة التحكم بالمجال، انقر فوق start وفتح Group Policy Management الأداة الإضافية.
الخطوة 5. ابحث عن "كائن نهج المجموعة" (GPO) المطلوب أو قم بإنشاء GPO جديد لاحتواء شهادة SWA لاستيرادها إلى العميل.
الخطوة 6. انقر بزر الماوس الأيمن على GPO، ثم انقر Edit.
الخطوة 7. من القائمة على الجانب الأيسر، انتقل إلى Computer Configuration > Policies > Windows Settings > Security Settings > Public Key Policies.
الخطوة 8. انقر بزر الماوس الأيمن على Trusted Root Certification Authorities، ثم انقر Import.
الخطوة 9. انقر Next على Welcome to the Certificate Import Wizard صفحة.
الخطوة 10. أختر ملف شهادة SWA من أجل الإدراج والنقر Next.
الخطوة 11. انقر Place all certificates in the following store، ثم انقر Next.
الخطوة 12. تحقق من أن المعلومات المتوفرة دقيقة، وانقر فوق Finish.
ملاحظة: في بعض الحالات، يجب إعادة تشغيل العميل أو تشغيله gpupdate /force لتطبيق التغييرات على جهاز عميل Active Directory.
معلومات ذات صلة
محفوظات المراجعة
| المراجعة | تاريخ النشر | التعليقات |
|---|---|---|
1.0 |
23-May-2023 |
الإصدار الأولي |
التعليقات