يشرح هذا المستند كيفية الحصول على شهادة LetEncrypt وتثبيتها على لوحة معلومات الأعمال Cisco باستخدام واجهة سطر الأوامر (CLI). إذا كنت تريد معلومات عامة حول إدارة الشهادات، راجع المقالة إدارة الشهادات على لوحة معلومات الأعمال من Cisco.
دعنا نقوم بالتشفير هو مرجع مصدق يوفر شهادات SSL مجانية خاصة بالتحقق من صحة المجال (DV) للعامة باستخدام عملية مؤتمتة. فلنعمل على توفير آلية يسهل الوصول إليها للحصول على شهادات موقعة لخوادم الويب، مما يمنح المستخدم النهائي الثقة في الوصول إلى الخدمة الصحيحة. للحصول على مزيد من المعلومات حول دعنا نشفر، تفضل بزيارة موقع تشفير Let's.
إستخدام دعنا نشفر الشهادات باستخدام لوحة معلومات الأعمال من Cisco بسيط إلى حد معقول. على الرغم من أن لوحة معلومات الأعمال من Cisco بها بعض المتطلبات الخاصة لتثبيت الشهادة أبعد من مجرد إتاحة الشهادة لخادم الويب، إلا أنه ما يزال من الممكن أتمتة إصدار الشهادة وتثبيتها باستخدام أدوات سطر الأوامر المتوفرة.
لإصدار الشهادات وتجديدها تلقائيا، يجب أن يكون خادم ويب لوحة المعلومات قابلا للوصول إليه من الإنترنت. إذا لم يكن الأمر كذلك، يمكن الحصول على شهادة بسهولة باستخدام عملية يدوية ثم تثبيتها باستخدام أدوات سطر الأوامر. يمر باقي هذا المستند بعملية إصدار شهادة وتثبيتها في لوحة المعلومات.
إذا كان يمكن الوصول إلى خادم ويب لوحة المعلومات من الإنترنت على المنافذ القياسية TCP/80 و TCP/443، فمن الممكن أتمتة إدارة الشهادة وعملية التثبيت. راجع السماح بالتشفير للوحة معلومات الأعمال من Cisco للحصول على تفاصيل.
الخطوة الأولى هي الحصول على برنامج يستخدم شهادة بروتوكول ACME. في هذا المثال، نستخدم عميل Certbot، ولكن هناك العديد من الخيارات الأخرى المتاحة.
للحصول على عميل Certbot، أستخدم لوحة المعلومات أو مضيف آخر يشغل نظام تشغيل (مثل Linux و MacOS) مثل Unix واتبع التعليمات الموجودة على عميل Certbot لتثبيت العميل. في القوائم المنسدلة في هذه الصفحة، حدد لا شيء مما سبق للبرنامج ونظام التشغيل المفضل لديك للنظام.
من المهم ملاحظة أنه في هذه المقالة، تعد الأقسام الزرقاء مطالبات ومخرجات من واجهة سطر الأوامر (CLI). تسرد أوامر النص الأبيض. يجب إستبدال الأوامر ذات الألوان الخضراء، بما في ذلك dashboard.example.com وpnserver.example.com وuser@example.com بأسماء DNS المناسبة لبيئتك.
لتثبيت عميل Certbot على خادم لوحة معلومات الأعمال من Cisco، أستخدم الأوامر التالية:
cbd:~$sudo مناسب تحديث cbd:~$sudo يمكن تثبيت البرنامج-properties-common cbd:~$sudo add-apt-repository ppa:certbot/certbot cbd:~$sudo مناسب تحديث cBD:~$sudo تثبيت Certbotقم بإنشاء دليل عمل يحتوي على كافة الملفات المقترنة بالشهادة. لاحظ أن هذه الملفات تحتوي على معلومات حساسة مثل المفتاح الخاص للشهادة وتفاصيل الحساب لخدمة دعونا نشفر. في حين سيقوم عميل Certbot بإنشاء ملفات بأذونات مقيدة بشكل مناسب، يجب التأكد من أن المضيف والحساب المستخدم مقيدان للوصول إلى الموظفين المصرح لهم فقط.
لإنشاء الدليل على لوحة المعلومات، أدخل الأوامر التالية:
cbd:~$mkdir certbot CBD:~/certbot$cd certbotطلب شهادة باستخدام الأمر التالي:
cbd:~/certbot$certbot certbotOnly — يدوي — التحديات المفضلة dns -d dashboard.example.com -d pnpserver.example.comيرشد هذا الأمر خدمة التشفير للتحقق من ملكية أسماء المضيف المقدمة من خلال مطالبتك بإنشاء سجلات DNS TXT لكل اسم من الأسماء المدرجة. بمجرد إنشاء سجلات TXT، تؤكد خدمة التشفير Let Encrypt وجود السجلات ثم تصدر الشهادة. وأخيرا، يتم تطبيق الشهادة على لوحة المعلومات باستخدام الأداة المساعدة للوحة المعلومات من Cisco-business.
المعلمات الموجودة على الأمر مطلوبة للأسباب التالية:
قثريا | اطلب شهادة وقم بتنزيل الملفات. لا تحاول تثبيتها. في حالة لوحة معلومات الأعمال من Cisco، لا يتم إستخدام الشهادة بواسطة خادم الويب فقط، بل يتم إستخدامها أيضا بواسطة خدمة PnP والوظائف الأخرى. ونتيجة لذلك، يتعذر على عميل Certbot تثبيت الشهادة تلقائيا. |
—يدوي | لا تحاول المصادقة تلقائيا باستخدام خدمة Let's Encrypt. اعمل بشكل تفاعلي مع المستخدم للمصادقة. |
—التحديات المفضلة | قم بالمصادقة باستخدام سجلات DNS TXT. |
-d dashboard.example.com -d pnpserver.example.com |
FQDNs التي يجب تضمينها في الشهادة. سيتم تضمين الاسم الأول في حقل الاسم الشائع للشهادة، وستدرج جميع الأسماء في حقل اسم الموضوع. اسم pnpserver.<domain> هو اسم خاص تستخدمه ميزة "التوصيل والتشغيل للشبكة" عند إجراء اكتشاف DNS. راجع دليل إدارة لوحة معلومات الأعمال من Cisco للحصول على مزيد من التفاصيل. |
—log-dir . —config-dir . —العمل-dir . |
أستخدم الدليل الحالي لكل ملفات العمل التي تم إنشاؤها أثناء العملية. |
—طريقة النشر "..." | أستخدم الأداة المساعدة لسطر الأوامر Cisco-business-dashboard لأخذ المفتاح الخاص وسلسلة الشهادات التي تم تلقيها من خدمة Let's Encrypt وتحميلها إلى تطبيق لوحة المعلومات بنفس الطريقة كما لو تم تحميل الملفات عبر واجهة مستخدم لوحة المعلومات (UI). تتم أيضا إضافة الشهادة الجذر التي تثبت سلسلة الشهادات إلى ملف الشهادة هنا. هذا مطلوب من قبل أنظمة أساسية معينة يتم نشرها باستخدام "التوصيل بالشبكة والتشغيل". |
-cat <fullSeries شهادة مبرد> /etc/ssl/certs/DST_Root_CA_X3.pem >/tmp/cbdchain.pem
مستورد لوحة المعلومات-Cisco-Business-Dashboard -t pem -k <private key file> -c /tmp/cbdchain.pem
انتقل خلال عملية إنشاء الشهادة باتباع التعليمات التي تم إنشاؤها بواسطة عميل Certbot:
cbd:~/certbot$certbot certbotOnly — يدوي — التحديات المفضلة dns -d dashboard.example.com -d pnpserver.example.comأدخل عنوان البريد الإلكتروني أو C للإلغاء.
أدخل عنوان البريد الإلكتروني (المستخدم للإشعارات الأمنية وتجديدها بشكل عاجل) (أدخل 'c' للإلغاء): user@example.comأدخل a للموافقة أو C للإلغاء.
يرجى قراءة شروط الخدمة علىأدخل Y لموافقة أو ن ل ما من.
هل ترغب في مشاركة عنوان بريدك الإلكتروني مع Electronic Borderأدخل Y لموافقة أو ن ل ما من.
ملاحظة: سيتم تسجيل IP الخاص بهذا الجهاز بشكل عام كطلب لهذايجب إنشاء سجل DNS TXT للتحقق من ملكية اسم المضيف dashboard.example.com في البنية الأساسية ل DNS. تقع الخطوات المطلوبة للقيام بذلك خارج نطاق هذا المستند وستعتمد على موفر DNS الذي يتم إستخدامه. تحقق من توفر السجل بمجرد إنشائه باستخدام أداة استعلام DNS مثل الحفر.
قد يتم تشغيل عملية "تحدي DNS" تلقائيا لبعض موفري DNS. راجع ملحقات DNS للحصول على مزيد من التفاصيل.
اضغط على Enter من لوحة المفاتيح.
قبل المتابعة، تحقق من نشر السجل.ستحصل على إخراج CLI مماثل. قم بإنشاء سجلات TXT إضافية والتحقق منها لكل اسم ليتم تضمينه في الشهادة. كرر الخطوة 9 لكل اسم محدد في الأمر certbot.
اضغط على Enter من لوحة المفاتيح.
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -تم إصدار الشهادة ويمكن العثور عليها في الدليل الفرعي Live في نظام الملفات:
في انتظار التحقق...أدخل الأوامر التالية:
cbd:~/certbot$cd live/dashboard.example.com/ cbd:~/certbot/live/dashboard.example.com$lsيحتوي الدليل على الشهادات على أذونات مقيدة بحيث يمكن لمستخدم Cisco فقط عرض الملفات. إن ملف privkey.pem، على وجه الخصوص، حساس ويجب أن يكون الوصول إلى هذا الملف مقصورا على الموظفين المخولين فقط.
يجب تشغيل لوحة المعلومات الآن مع الشهادة الجديدة. إذا قمت بفتح واجهة مستخدم لوحة المعلومات (UI) في مستعرض ويب عن طريق إدخال أي من الأسماء المحددة عند إنشاء الشهادة في شريط العناوين، فيجب أن يشير مستعرض الويب إلى أن الاتصال موثوق به وآمن.
الرجاء ملاحظة أن الشهادات التي تم إصدارها بواسطة Let'Encrypt لها فترات حياة قصيرة نسبيا - حاليا 90 يوما. للتأكد من أن الشهادة لا تزال صالحة، ستحتاج إلى تكرار العملية الموضحة أعلاه قبل انتهاء ال 90 يوما.
لمزيد من المعلومات حول إستخدام عميل Certbot، راجع صفحة وثائق Certbot.