إستخدام Let's تشفير الشهادات باستخدام لوحة معلومات الأعمال من Cisco والتحقق من صحة DNS

خيارات التنزيل

PDF (324.7 KB)
عرض باستخدام Adobe Reader على مجموعة متنوعة من الأجهزة
ePub (89.2 KB)
العرض في تطبيقات مختلفة على iPhone أو iPad أو نظام تشغيل Android أو قارئ Sony أو نظام التشغيل Windows Phone
Mobi (Kindle) (77.2 KB)
عرض على جهاز Kindle أو تطبيق Kindle على أجهزة متعددة

تم التحديث:٢٠ أغسطس ٢٠٢٠

معرّف المستند:1597929286581265

لغة خالية من التحيز

تسعى مجموعة الوثائق لهذا المنتج جاهدة لاستخدام لغة خالية من التحيز. لأغراض مجموعة الوثائق هذه، يتم تعريف "خالية من التحيز" على أنها لغة لا تعني التمييز على أساس العمر، والإعاقة، والجنس، والهوية العرقية، والهوية الإثنية، والتوجه الجنسي، والحالة الاجتماعية والاقتصادية، والتمييز متعدد الجوانب. قد تكون الاستثناءات موجودة في الوثائق بسبب اللغة التي يتم تشفيرها بشكل ثابت في واجهات المستخدم الخاصة ببرنامج المنتج، أو اللغة المستخدمة بناءً على وثائق RFP، أو اللغة التي يستخدمها منتج الجهة الخارجية المُشار إليه. تعرّف على المزيد حول كيفية استخدام Cisco للغة الشاملة.

حول هذه الترجمة

ترجمت Cisco هذا المستند باستخدام مجموعة من التقنيات الآلية والبشرية لتقديم محتوى دعم للمستخدمين في جميع أنحاء العالم بلغتهم الخاصة. يُرجى ملاحظة أن أفضل ترجمة آلية لن تكون دقيقة كما هو الحال مع الترجمة الاحترافية التي يقدمها مترجم محترف. تخلي Cisco Systems مسئوليتها عن دقة هذه الترجمات وتُوصي بالرجوع دائمًا إلى المستند الإنجليزي الأصلي (الرابط متوفر).

الهدف

يشرح هذا المستند كيفية الحصول على شهادة LetEncrypt وتثبيتها على لوحة معلومات الأعمال Cisco باستخدام واجهة سطر الأوامر (CLI). إذا كنت تريد معلومات عامة حول إدارة الشهادات، راجع المقالة إدارة الشهادات على لوحة معلومات الأعمال من Cisco.

المقدمة

دعنا نقوم بالتشفير هو مرجع مصدق يوفر شهادات SSL مجانية خاصة بالتحقق من صحة المجال (DV) للعامة باستخدام عملية مؤتمتة. فلنعمل على توفير آلية يسهل الوصول إليها للحصول على شهادات موقعة لخوادم الويب، مما يمنح المستخدم النهائي الثقة في الوصول إلى الخدمة الصحيحة. للحصول على مزيد من المعلومات حول دعنا نشفر، تفضل بزيارة موقع تشفير Let's.

إستخدام دعنا نشفر الشهادات باستخدام لوحة معلومات الأعمال من Cisco بسيط إلى حد معقول. على الرغم من أن لوحة معلومات الأعمال من Cisco بها بعض المتطلبات الخاصة لتثبيت الشهادة أبعد من مجرد إتاحة الشهادة لخادم الويب، إلا أنه ما يزال من الممكن أتمتة إصدار الشهادة وتثبيتها باستخدام أدوات سطر الأوامر المتوفرة.

لإصدار الشهادات وتجديدها تلقائيا، يجب أن يكون خادم ويب لوحة المعلومات قابلا للوصول إليه من الإنترنت. إذا لم يكن الأمر كذلك، يمكن الحصول على شهادة بسهولة باستخدام عملية يدوية ثم تثبيتها باستخدام أدوات سطر الأوامر. يمر باقي هذا المستند بعملية إصدار شهادة وتثبيتها في لوحة المعلومات.

إذا كان يمكن الوصول إلى خادم ويب لوحة المعلومات من الإنترنت على المنافذ القياسية TCP/80 و TCP/443، فمن الممكن أتمتة إدارة الشهادة وعملية التثبيت. راجع السماح بالتشفير للوحة معلومات الأعمال من Cisco للحصول على تفاصيل.

الخطوة 1

الخطوة الأولى هي الحصول على برنامج يستخدم شهادة بروتوكول ACME. في هذا المثال، نستخدم عميل Certbot، ولكن هناك العديد من الخيارات الأخرى المتاحة.

للحصول على عميل Certbot، أستخدم لوحة المعلومات أو مضيف آخر يشغل نظام تشغيل (مثل Linux و MacOS) مثل Unix واتبع التعليمات الموجودة على عميل Certbot لتثبيت العميل. في القوائم المنسدلة في هذه الصفحة، حدد لا شيء مما سبق للبرنامج ونظام التشغيل المفضل لديك للنظام.

من المهم ملاحظة أنه في هذه المقالة، تعد الأقسام الزرقاء مطالبات ومخرجات من واجهة سطر الأوامر (CLI). تسرد أوامر النص الأبيض. يجب إستبدال الأوامر ذات الألوان الخضراء، بما في ذلك dashboard.example.com وpnserver.example.com وuser@example.com بأسماء DNS المناسبة لبيئتك.

لتثبيت عميل Certbot على خادم لوحة معلومات الأعمال من Cisco، أستخدم الأوامر التالية:

cbd:~$sudo مناسب تحديث cbd:~$sudo يمكن تثبيت البرنامج-properties-common cbd:~$sudo add-apt-repository ppa:certbot/certbot cbd:~$sudo مناسب تحديث cBD:~$sudo تثبيت Certbot

الخطوة 2

قم بإنشاء دليل عمل يحتوي على كافة الملفات المقترنة بالشهادة. لاحظ أن هذه الملفات تحتوي على معلومات حساسة مثل المفتاح الخاص للشهادة وتفاصيل الحساب لخدمة دعونا نشفر. في حين سيقوم عميل Certbot بإنشاء ملفات بأذونات مقيدة بشكل مناسب، يجب التأكد من أن المضيف والحساب المستخدم مقيدان للوصول إلى الموظفين المصرح لهم فقط.

لإنشاء الدليل على لوحة المعلومات، أدخل الأوامر التالية:

cbd:~$mkdir certbot CBD:~/certbot$cd certbot

الخطوة 3

طلب شهادة باستخدام الأمر التالي:

cbd:~/certbot$certbot certbotOnly — يدوي — التحديات المفضلة dns -d dashboard.example.com -d pnpserver.example.com —log-dir . —config-dir . —العمل-dir . —deploy-hook "cat ~/certbot/live/dashboard.example.com/fullchain.pem /etc/ssl/certs/DST_Root_CA_X3.pem > /tmp/cbdchain.pem؛ /usr/bin/cisco-business-dashboard import import_t pem -k ~/certbot/live/dashboard.example.com /privkey.pem -c /tmp/cbdchain.pem"

يرشد هذا الأمر خدمة التشفير للتحقق من ملكية أسماء المضيف المقدمة من خلال مطالبتك بإنشاء سجلات DNS TXT لكل اسم من الأسماء المدرجة. بمجرد إنشاء سجلات TXT، تؤكد خدمة التشفير Let Encrypt وجود السجلات ثم تصدر الشهادة. وأخيرا، يتم تطبيق الشهادة على لوحة المعلومات باستخدام الأداة المساعدة للوحة المعلومات من Cisco-business.

المعلمات الموجودة على الأمر مطلوبة للأسباب التالية:

قثريا	اطلب شهادة وقم بتنزيل الملفات. لا تحاول تثبيتها. في حالة لوحة معلومات الأعمال من Cisco، لا يتم إستخدام الشهادة بواسطة خادم الويب فقط، بل يتم إستخدامها أيضا بواسطة خدمة PnP والوظائف الأخرى. ونتيجة لذلك، يتعذر على عميل Certbot تثبيت الشهادة تلقائيا.
—يدوي	لا تحاول المصادقة تلقائيا باستخدام خدمة Let's Encrypt. اعمل بشكل تفاعلي مع المستخدم للمصادقة.
—التحديات المفضلة	قم بالمصادقة باستخدام سجلات DNS TXT.
-d dashboard.example.com -d pnpserver.example.com	FQDNs التي يجب تضمينها في الشهادة. سيتم تضمين الاسم الأول في حقل الاسم الشائع للشهادة، وستدرج جميع الأسماء في حقل اسم الموضوع. اسم pnpserver.<domain> هو اسم خاص تستخدمه ميزة "التوصيل والتشغيل للشبكة" عند إجراء اكتشاف DNS. راجع دليل إدارة لوحة معلومات الأعمال من Cisco للحصول على مزيد من التفاصيل.
—log-dir . —config-dir . —العمل-dir .	أستخدم الدليل الحالي لكل ملفات العمل التي تم إنشاؤها أثناء العملية.
—طريقة النشر "..."	أستخدم الأداة المساعدة لسطر الأوامر Cisco-business-dashboard لأخذ المفتاح الخاص وسلسلة الشهادات التي تم تلقيها من خدمة Let's Encrypt وتحميلها إلى تطبيق لوحة المعلومات بنفس الطريقة كما لو تم تحميل الملفات عبر واجهة مستخدم لوحة المعلومات (UI). تتم أيضا إضافة الشهادة الجذر التي تثبت سلسلة الشهادات إلى ملف الشهادة هنا. هذا مطلوب من قبل أنظمة أساسية معينة يتم نشرها باستخدام "التوصيل بالشبكة والتشغيل".

لا يمكن التثبيت التلقائي للشهادة باستخدام خيار —deployment-hook إلا عندما يتم تشغيل عميل certbot على خادم لوحة المعلومات. إذا كان عميل Certbot قيد التشغيل على كمبيوتر مختلف، فيجب نسخ المفتاح الخاص وملفات شهادات السلسلة الكاملة إلى خادم لوحة المعلومات وتثبيتها باستخدام الأوامر:

-cat <fullSeries شهادة مبرد> /etc/ssl/certs/DST_Root_CA_X3.pem >/tmp/cbdchain.pem

مستورد لوحة المعلومات-Cisco-Business-Dashboard -t pem -k <private key file> -c /tmp/cbdchain.pem

الخطوة 4

انتقل خلال عملية إنشاء الشهادة باتباع التعليمات التي تم إنشاؤها بواسطة عميل Certbot:

cbd:~/certbot$certbot certbotOnly — يدوي — التحديات المفضلة dns -d dashboard.example.com -d pnpserver.example.com —log-dir . —config-dir . —العمل-dir . —deploy-hook "cat ~/certbot/live/dashboard.example.com/fullchain.pem /etc/ssl/certs/DST_Root_CA_X3.pem > /tmp/cbdchain.pem؛ /usr/bin/cisco-business-dashboard import import_t pem -k ~/certbot/live/dashboard.example.com /privkey.pem -c tmp/cbdchain.pem" حفظ سجل تصحيح الأخطاء إلى /home/cisco/certbot/letsencrypt.log الإضافات المحددة: دليل المصدق، مثبت بلا

الخطوة 5

أدخل عنوان البريد الإلكتروني أو C للإلغاء.

أدخل عنوان البريد الإلكتروني (المستخدم للإشعارات الأمنية وتجديدها بشكل عاجل) (أدخل 'c' للإلغاء): user@example.com بدء اتصال HTTPS جديد (1): acme-v02.api.letsencrypt.org - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -

الخطوة 6

أدخل a للموافقة أو C للإلغاء.

يرجى قراءة شروط الخدمة على https://letsencrypt.org/documents/LE-SA-v1.2-November-15-2017.pdf. يجب عليك الموافقة للتسجيل مع خادم ACME على https://acme-v02.api.letsencrypt.org/directory - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - أدخل a للموافقة أو C للإلغاء. (أ)GREE/(ج)ANCEL: ألف - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -

الخطوة 7

أدخل Y لموافقة أو ن ل ما من.

هل ترغب في مشاركة عنوان بريدك الإلكتروني مع Electronic Border المؤسسة، شريك مؤسس لمشروع هيا للتشفير وغير الربحية تنظيم يطور سيربوت؟ نود أن نرسل لك بريدا إلكترونيا حول عملنا تشفير شبكة الإنترنت، وإعلانات الطوارئ، والحملات، وسبل دعم الحرية الرقمية. أدخل Y لموافقة أو ن ل ما من. (ص)(س)/(ن)س: ص الحصول على شهادة جديدة تنفيذ التحديات التالية: تحدي DNS-01 ل dashboard.example.com تحدي DNS-01 ل pnpserver.example.com - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -

الخطوة 8

أدخل Y لموافقة أو ن ل ما من.

ملاحظة: سيتم تسجيل IP الخاص بهذا الجهاز بشكل عام كطلب لهذا شهادة. إذا كنت تقوم بتشغيل Certbot في الوضع اليدوي على جهاز ليس الخادم الخاص بك، يرجى التأكد من أنك موافق على ذلك. هل أنت موافق مع تسجيل IP؟ - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - أدخل Y لموافقة أو ن ل ما من. (ص)(س)/(ن)س: ص - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - الرجاء نشر سجل DNS TXT تحت الاسم _acme-challenge.dashboard.example.com بالقيمة التالية: 3AzDTqNGXb8kSkhqXXYWE2iZrFAVCGT2B8oZNGyBwhc

الخطوة 9

يجب إنشاء سجل DNS TXT للتحقق من ملكية اسم المضيف dashboard.example.com في البنية الأساسية ل DNS. تقع الخطوات المطلوبة للقيام بذلك خارج نطاق هذا المستند وستعتمد على موفر DNS الذي يتم إستخدامه. تحقق من توفر السجل بمجرد إنشائه باستخدام أداة استعلام DNS مثل الحفر.

قد يتم تشغيل عملية "تحدي DNS" تلقائيا لبعض موفري DNS. راجع ملحقات DNS للحصول على مزيد من التفاصيل.

اضغط على Enter من لوحة المفاتيح.

قبل المتابعة، تحقق من نشر السجل. - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - اضغط على Enter للمتابعة

الخطوة 10

ستحصل على إخراج CLI مماثل. قم بإنشاء سجلات TXT إضافية والتحقق منها لكل اسم ليتم تضمينه في الشهادة. كرر الخطوة 9 لكل اسم محدد في الأمر certbot.

اضغط على Enter من لوحة المفاتيح.

- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - الرجاء نشر سجل DNS TXT تحت الاسم _acme-challenge.pnpserver.example.com بالقيمة التالية: Txruc89x8dVaHmLHJII0oA2ILmIY83XYl13yYakjNuc قبل المتابعة، تحقق من نشر السجل. - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - اضغط على Enter للمتابعة

الخطوة 11

تم إصدار الشهادة ويمكن العثور عليها في الدليل الفرعي Live في نظام الملفات:

في انتظار التحقق... تنظيف التحديات قد لا يعمل المسار (المسارات) غير القياسي مع crontab المثبت بواسطة مدير حزمة نظام التشغيل الخاص بك يتم الآن تشغيل أمر deploy-hook: cat ~/certbot/live/dashboard.example.com/fullchain.pem /etc/ssl/certs/DST_Root_CA_X3.pem > /tmp/cbdchain.pem؛ /usr/bin/cisco-business-dashboard import import -t pem -k ~/certbot/live/dashboard.example.com/privkey.pem -c /tmp/cbdchain.pem ملاحظات هامة: - تهانينا! تم حفظ الشهادة والسلسلة على: /home/cisco/certbot/live/dashboard.example.com/fullchain.pem تم حفظ الملف الأساسي على: /home/cisco/certbot/live/dashboard.example.com/privkey.pem ستنتهي صلاحية رصيدك في 2020-2011-2011. للحصول على جديد أو مجدول إصدار هذه الشهادة في المستقبل، ببساطة قم بتشغيل Certbot مرة أخرى. لتجديد *كافة* شهاداتك دون تفاعلية، قم بتشغيل "سيربوت يجدد" - تم حفظ بيانات اعتماد حسابك في Certbot دليل التكوين على /home/cisco/certbot. يجب عليك صنع النسخ الاحتياطي الآمن لهذا المجلد الآن. سيقوم دليل التكوين هذا تحتوي أيضا على شهادات ومفاتيح خاصة حصل عليها Certbot يعد إجراء عمليات نسخ إحتياطي منتظمة لهذا المجلد أمرا مثاليا. - إذا كنت تحب Certbot، يرجى النظر في دعم عملنا من خلال: التبرع إلى ISRG / دعنا نشفر: https://letsencrypt.org/donate التبرع إلى إيف: https://eff.org/donate-le

الخطوة 12

أدخل الأوامر التالية:

cbd:~/certbot$cd live/dashboard.example.com/ cbd:~/certbot/live/dashboard.example.com$ls cert.pem series.pem fullSeries.pem privkey.pem README

يحتوي الدليل على الشهادات على أذونات مقيدة بحيث يمكن لمستخدم Cisco فقط عرض الملفات. إن ملف privkey.pem، على وجه الخصوص، حساس ويجب أن يكون الوصول إلى هذا الملف مقصورا على الموظفين المخولين فقط.

يجب تشغيل لوحة المعلومات الآن مع الشهادة الجديدة. إذا قمت بفتح واجهة مستخدم لوحة المعلومات (UI) في مستعرض ويب عن طريق إدخال أي من الأسماء المحددة عند إنشاء الشهادة في شريط العناوين، فيجب أن يشير مستعرض الويب إلى أن الاتصال موثوق به وآمن.

الرجاء ملاحظة أن الشهادات التي تم إصدارها بواسطة Let'Encrypt لها فترات حياة قصيرة نسبيا - حاليا 90 يوما. للتأكد من أن الشهادة لا تزال صالحة، ستحتاج إلى تكرار العملية الموضحة أعلاه قبل انتهاء ال 90 يوما.

لمزيد من المعلومات حول إستخدام عميل Certbot، راجع صفحة وثائق Certbot.