تكوين شهادة الطرف الثالث ل UCS Central
المقدمة
يصف هذا المستند أفضل ممارسة لتكوين شهادة جهة خارجية في البرنامج المركزي لنظام الحوسبة الموحدة من Cisco (UCS Central).
المتطلبات الأساسية
المتطلبات
توصي Cisco بمعرفة الموضوعات التالية:
- Cisco UCS Central
- جهة منح الشهادة (CA)
- OpenSSL
المكونات المستخدمة
تستند المعلومات الواردة في هذا المستند إلى إصدارات البرامج والمكونات المادية التالية:
- UCS المركزي الطراز 2.0(1q)
- خدمات شهادات Microsoft Active Directory
- Windows 11 Pro N
- OpenSSL 3.1.0
تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك قيد التشغيل، فتأكد من فهمك للتأثير المحتمل لأي أمر.
التكوين
تنزيل سلسلة الشهادات من المرجع المصدق.
1. تنزيل سلسلة الشهادات من المرجع المصدق.
تنزيل سلسلة شهادات من المرجع المصدق
2. اضبط الترميز على القاعدة 64 وقم بتنزيل سلسلة شهادات CA.
اضبط الترميز على أساس 64 وقم بتنزيل سلسلة شهادات CA
3. لاحظ أن سلسلة شهادات CA بتنسيق PB7.
الشهادة بتنسيق PB7
4. يجب تحويل الشهادة إلى تنسيق PEM باستخدام أداة OpenSSL. للتحقق من تثبيت Open SSL في Windows، أستخدم الأمر openssl version.
التحقق من تثبيت OpenSSL
5.في حالة تثبيت OpenSSL، قم بتشغيل الأمر openssl pkcs7 -print_certs -في <cert_name>.p7b -out <cert_name>.pem لإجراء التحويل. تأكد من إستخدام المسار في حالة حفظ الشهادة.
تحويل شهادة P7B إلى تنسيق PEM
إنشاء النقطة الموثوق بها
1. انقر فوق رمز تكوين النظام > ملف تعريف النظام > النقاط الموثوق بها.
ملف تعريف النظام المركزي UCS للنقاط الموثوق بها المركزية
2. انقر أيقونة + (زائد) لإضافة نقطة جديدة موثوق بها. اكتب اسما ولصق في محتويات شهادة PEM. انقر فوق حفظ لتطبيق التغييرات.
نسخ سلسلة الشهادات
إنشاء حلقة المفاتيح و CSR
1. انقر فوق رمز تكوين النظام > ملف تعريف النظام > الشهادات.
UCS Central System 
ProfileUCS Central Certificates
2. انقر فوق رمز plus لإضافة حلقة مفاتيح جديدة. اكتب اسما، أترك المعامل بالقيمة الافتراضية (أو قم بالتعديل إذا لزم الأمر) وحدد النقطة الموثوق بها التي تم إنشاؤها من قبل. بعد تعيين هذه المعلمات، انتقل إلى طلب الشهادة.
إنشاء حلقة مفاتيح جديدة
3. أدخل القيم اللازمة لطلب شهادة وانقر فوق حفظ.
إدخال التفاصيل لإنشاء شهادة
4. عد إلى حلقة المفاتيح التي تم إنشاؤها وانسخ الشهادة التي تم إنشاؤها.
نسخ الشهادة التي تم إنشاؤها
5. انتقل إلى المرجع المصدق واطلب شهادة.
طلب شهادة من المرجع المصدق
6. الصق الشهادة التي تم إنشاؤها في UCS Central وحدد في CA قالب خادم الويب والعميل. انقر فوق إرسال لإنشاء الشهادة.
إنشاء شهادة لاستخدامها في حلقة المفاتيح التي تم إنشاؤها
7. تحويل الشهادة الجديدة إلى PEM باستخدام الأمر openssl pkcs7 -print_certs -في <cert_name>.p7b -out <cert_name>.pem.
8. انسخ محتويات شهادة PEM وانتقل إلى حلقة المفاتيح التي تم إنشاؤها للصق المحتويات. حدد النقطة الموثوق بها التي تم إنشاؤها واحفظ التكوين.
لصق الشهادة المطلوبة في حلقة المفاتيح
تطبيق حلقة المفاتيح
1. انتقل إلى ملف تعريف النظام > الوصول عن بعد > حلقة المفاتيح، وحدد حلقة المفاتيح التي تم إنشاؤها، وانقر فوق حفظ. يقوم UCS Central بإغلاق الجلسة الحالية.
حدد حلقة المفاتيح التي تم إنشاؤها
التحقق من الصحة
1. انتظر حتى يمكن الوصول إلى UCS Central وانقر فوق القفل الموجود بجوار https://. الموقع آمن.
UCS Central آمن
استكشاف الأخطاء وإصلاحها
التحقق مما إذا كانت الشهادة التي تم إنشاؤها تتضمن إستخدام عميل SSL ومفتاح مصادقة الخادم.
عندما لا تتضمن الشهادة المطلوبة إلى CA عميل SSL ويستخدم مفتاح مصادقة الخادم خطأ يقول شهادة غير صالحة. لا يمكن إستخدام هذه الشهادة لمصادقة خادم TLS، تحقق من ملحقات إستخدام المفاتيح.
خطأ حول مفاتيح تخويل خادم TLS
للتحقق مما إذا كانت الشهادة بتنسيق PEM التي تم إنشاؤها من القالب المحدد في CA تحتوي على إستخدامات مفتاح مصادقة الخادم الصحيح، يمكنك إستخدام الأمر openssl x509 -في <my_cert>.pem -text -noout. يجب أن ترى مصادقة خادم الويب ومصادقة عميل الويب ضمن قسم إستخدام المفتاح الموسع.
خادم ويب ومفتاح تخويل عميل ويب في الشهادة المطلوبة
لا يزال يتم وضع علامة على UCS Central كموقع غير آمن.
في بعض الأحيان، بعد تكوين "شهادة الطرف الثالث"، يكون الاتصال لا يزال مميزا بواسطة المستعرض.
لا يزال UCS Central موقعا غير آمن
للتحقق من تطبيق الشهادة بشكل صحيح، تأكد من أن الجهاز يثق بالمرجع المصدق.
معلومات ذات صلة
محفوظات المراجعة
| المراجعة | تاريخ النشر | التعليقات |
|---|---|---|
1.0 |
20-Apr-2024 |
الإصدار الأولي |
التعليقات