إستخدام Let’s تشفير التراخيص باستخدام لوحة معلومات الأعمال من Cisco
الهدف
يشرح هذا المستند كيفية الحصول على شهادة Let'Encrypt، وتثبيتها على لوحة معلومات الأعمال من Cisco، وإعداد التجديد التلقائي باستخدام واجهة سطر الأوامر (CLI). إذا كنت تريد معلومات عامة حول إدارة الشهادات، راجع المقالة إدارة الشهادات على لوحة معلومات الأعمال من Cisco.
المقدمة
دعنا نقوم بالتشفير كمرجع مصدق يوفر شهادات طبقة مآخذ التوصيل الآمنة (SSL) المجانية الخاصة بمجال التحقق (DV) للعامة باستخدام عملية مؤتمتة. يوفر التشفير آلية يمكن الوصول إليها بسهولة للحصول على شهادات موقعة لملقمات الويب، مما يعطي المستخدم النهائي ثقة بأنه يمكنه الوصول إلى الخدمة الصحيحة. للحصول على مزيد من المعلومات، تفضل بزيارة موقع الويب الخاص بالتشفير الخاص ب Let'Encrypt.
يكون إستخدام Let'Encrypt الشهادات مع لوحة معلومات الأعمال من Cisco مباشرا إلى حد معقول. على الرغم من أن لوحة معلومات الأعمال من Cisco بها بعض المتطلبات الخاصة لتثبيت الشهادة أبعد من مجرد إتاحة الشهادة لخادم الويب، إلا أنه ما يزال من الممكن أتمتة إصدار الشهادة وتثبيتها باستخدام أدوات سطر الأوامر المتوفرة. يتم تنفيذ بقية هذا المستند من خلال عملية إصدار الشهادة وأتمتة تجديد الشهادة.
يستخدم هذا المستند تحديات HTTP للتحقق من ملكية المجال. يتطلب هذا أن يكون خادم ويب لوحة المعلومات قابلا للوصول إليه من الإنترنت على المنافذ القياسية TCP/80 و TCP/443. إذا لم يكن خادم ويب يمكن الوصول إليه من الإنترنت، فعليك التفكير في إستخدام تحديات DNS بدلا من ذلك. السحب باستخدام Let's Encrypt للوحة معلومات الأعمال من Cisco باستخدام DNS للحصول على تفاصيل.
الخطوة 1
الخطوة الأولى هي الحصول على برنامج يستخدم شهادة بروتوكول ACME. في هذا المثال، نستخدم عميل Certbot، ولكن هناك العديد من الخيارات الأخرى المتاحة.
الخطوة 2
للسماح بتجديد الشهادة تلقائيا، يجب تثبيت عميل Certbot على لوحة المعلومات. لتثبيت عميل Certbot على خادم لوحة المعلومات، أستخدم الأوامر التالية:
من المهم ملاحظة أنه في هذه المقالة، تعد الأقسام الزرقاء مطالبات ومخرجات من واجهة سطر الأوامر (CLI). تسرد أوامر النص الأبيض. يجب إستبدال الأوامر ذات الألوان الخضراء، بما في ذلك dashboard.example.com وpnserver.example.com وuser@example.com بأسماء DNS المناسبة لبيئتك.
الخطوة 3
بعد ذلك، يجب إعداد خادم ويب الخاص بلوحة المعلومات لاستضافة ملفات التحدي المطلوبة للتحقق من ملكية اسم المضيف. للقيام بذلك، نقوم بإنشاء دليل لهذه الملفات وتحديث ملف تكوين خادم الويب. ثم نقوم بإعادة تشغيل تطبيق لوحة المعلومات لكي تصبح التغييرات نافذة المفعول. أستخدم الأوامر التالية:
cbd:~$sudo mkdir /usr/lib/ciscoBusiness/dashboard/www/letsencrypt cbd:~$sudo chmod 755 /usr/lib/ciscoBusiness/dashboard/www/letsencrypt cbd:~$سودو باش-c 'cat>/var/lib/ciscobusiness/dashboard/nginx/nginx-loc-letsencrypt.conf' <<< EOF# موقع ملفات التحدي التي تم إنشاؤها بواسطة موقع Certbot /.معروف جيدا/Acme-challenge {
الجذر/usr/lib/ciscobusiness/dashboard/www/letsencrypt؛
}
إيف
cbd:~$ cbd:~$sudo chown cbd:cbd /var/lib/ciscobusiness/dashboard/nginx/nginx-loc-letsencrypt.conf cbd:~$sudo chmod 640 /var/lib/ciscobusiness/dashboard/nginx/nginx-loc-letsencrypt.conf cbd:~$إيقاف لوحة المعلومات من Cisco-Business cbd:~$بدء تشغيل لوحة المعلومات من Cisco-business
الخطوة 4
طلب شهادة باستخدام الأمر التالي:
cbd:~$sudo certbot certonly —webroot -w /usr/lib/ciscobusiness/dashboard/www/letsencrypt/ -d dashboard.example.com -d pnserver.example.com —deploy-hook "cat /etc/letsencrypt/live/dashboard.example.com/fullchain.pem/etc/ssl/certs/DST_Root_CA_X3.pem؛ /usr/bin/cisco-business-dashboard import -t -k /etc/letsencrypt/live/dashboard.example.com/tmp/cbdchain.pem /privkey.pem /tmp/cbdchain.pem -cيرشد هذا الأمر خدمة التشفير للتحقق من ملكية أسماء المنازل المقدمة من خلال الاتصال بخدمة الويب المستضافة على كل اسم. وهذا يعني أنه يجب الوصول إلى خدمة ويب للوحة المعلومات من الإنترنت واستضافتها على المنفذين 80 و 443. قد يكون الوصول إلى تطبيق لوحة المعلومات مقيدا باستخدام إعدادات التحكم في الوصول الموجودة على النظام > إعدادات النظام الأساسي > صفحة خادم الويب في واجهة مستخدم إدارة لوحة المعلومات (UI). راجع دليل إدارة لوحة معلومات الأعمال من Cisco للحصول على مزيد من المعلومات.
المعلمات الموجودة على الأمر مطلوبة للأسباب التالية:
| قثريا | اطلب شهادة وقم بتنزيل الملفات. لا تحاول تثبيتها. في حالة لوحة معلومات الأعمال من Cisco، لا يتم إستخدام الشهادة بواسطة خادم الويب فقط، بل يتم إستخدامها أيضا بواسطة خدمة PnP والوظائف الأخرى. ونتيجة لذلك، يتعذر على عميل Certbot تثبيت الشهادة تلقائيا. |
| —Webroot -w ... | قم بتثبيت ملفات التحدي في الدليل الذي تم إنشاؤه أعلاه حتى يمكن الوصول إليها من خلال خادم ويب لوحة المعلومات. |
-d dashboard.example.com -d pnpserver.example.com |
FQDNs التي يجب تضمينها في الشهادة. سيتم تضمين الاسم الأول في حقل الاسم الشائع للشهادة، وستدرج جميع الأسماء في حقل اسم الموضوع. اسم pnpserver.<domain> هو اسم خاص تستخدمه ميزة "التوصيل والتشغيل للشبكة" عند إجراء اكتشاف DNS. راجع دليل إدارة لوحة معلومات الأعمال من Cisco للحصول على مزيد من التفاصيل. |
| —طريقة النشر "..." | أستخدم أداة سطر الأوامر Cisco-business-dashboard لأخذ المفتاح الخاص وسلسلة الشهادات التي تم تلقيها من خدمة Let's Encrypt وتحميلها إلى تطبيق لوحة المعلومات بنفس الطريقة كما لو كانت الملفات قد تم تحميلها عبر واجهة مستخدم لوحة المعلومات (UI). تتم أيضا إضافة الشهادة الجذر التي تثبت سلسلة الشهادات إلى ملف الشهادة هنا. هذا مطلوب من قبل أنظمة أساسية معينة يتم نشرها باستخدام "التوصيل بالشبكة والتشغيل". |
الخطوة 5
انتقل خلال عملية إنشاء الشهادة باتباع التعليمات التي تم إنشاؤها بواسطة عميل Certbot:
cbd:~$sudo certbot certonly —webroot -w /usr/lib/ciscobusiness/dashboard/www/letsencrypt/ -d dashboard.example.com -d pnserver.example.com —deploy-hook "cat /etc/letsencrypt/live/dashboard.example.com/fullchain.pem/etc/ssl/certs/DST_Root_CA_X3.pem؛ /usr/bin/cisco-business-dashboard import -t -k /etc/letsencrypt/live/dashboard.example.com/tmp/cbdchain.pem /privkey.pem /tmp/cbdchain.pem -cحفظ سجل تصحيح الأخطاء إلى /var/log/letsencrypt/letsencrypt.log
الإضافات المحددة: مصدر طاقة مصدق، مثبت بلا
الخطوة 6
أدخل عنوان البريد الإلكتروني أو C للإلغاء.
أدخل عنوان البريد الإلكتروني (المستخدم لإشعارات التجديد والأمان العاجلة) (أدخل 'c' إلىإلغاء): user@example.com
الخطوة 7
أدخل a للموافقة أو C للإلغاء.
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -يرجى قراءة شروط الخدمة على
https://letsencrypt.org/documents/LE-SA-v1.2-November-15-2017.pdf. يجب عليك
الموافقة للتسجيل مع خادم ACME على
https://acme-v02.api.letsencrypt.org/directory
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
(أ)GREE/(ج)ANCEL: ألف
الخطوة 8
أدخل Y لموافقة أو ن ل ما من.
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -هل ترغب في مشاركة عنوان بريدك الإلكتروني مع Electronic Border
المؤسسة، الشريك المؤسس لمشروع "هيا نتشفير" وغير الربحية
تنظيم يطور سيربوت؟ نود أن نرسل لك بريدا إلكترونيا حول عملنا
تشفير شبكة الإنترنت، وإعلانات الطوارئ، والحملات، وسبل دعم الحرية الرقمية.
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
(ص)(س)/(ن)س: ص
الخطوة 9
تم إصدار الشهادة ويمكن العثور عليها في الدليل الفرعي /etc/letsencrypt/live في نظام الملفات:
الحصول على شهادة جديدةتنفيذ التحديات التالية:
http-01 تحديا ل dashboard.example.com
http-01 تحديا ل pnpserver.example.com
إستخدام مسار webroot /usr/lib/ciscobusiness/dashboard/www/letsencrypt لجميع المجالات غير المتطابقة.
في انتظار التحقق...
تنظيف التحديات
يتم الآن تشغيل الأمر deploy-hook: cat /etc/letsencrypt/live/dashboard.example.com/fullchain.pem /etc/ssl/certs/DST_Root_CA_X3.pem > /tmp/cbdchain.pem؛ /usr/bin/cisco-business-dashboard import import -t pem -k /etc/letsencrypt/live/dashboard.example.com/privkey.pem -c /tmp/cbdchain.pem
ملاحظات هامة:
- تهانينا! تم حفظ الشهادة والسلسلة على:
/etc/letsencrypt/live/dashboard.example.com/fullchain.pem
تم حفظ ملفك الأساسي على:
/etc/letsencrypt/live/dashboard.example.com/privkey.pem
ستنتهي صلاحية رصيدك في الفترة من 2020 إلى 10-29. للحصول على جديد أو مجدول
إصدار هذه الشهادة في المستقبل، ببساطة قم بتشغيل Certbot
مرة أخرى. لتجديد *كافة* شهاداتك دون تفاعلية، قم بتشغيل
"سيربوت يجدد"
- تم حفظ بيانات اعتماد حسابك في Certbot
دليل التكوين على /etc/letsencrypt. يجب عليك صنع
النسخ الاحتياطي الآمن لهذا المجلد الآن. سيقوم دليل التكوين هذا
تحتوي أيضا على شهادات ومفاتيح خاصة حصل عليها Certbot
يعد إجراء عمليات نسخ إحتياطي منتظمة لهذا المجلد أمرا مثاليا.
- إذا كنت تحب Certbot، يرجى النظر في دعم عملنا من خلال:
التبرع إلى ISRG / دعنا نشفر: https://letsencrypt.org/donate
التبرع إلى إيف: https://eff.org/donate-le
cbd:~$ sudo ls /etc/letsencrypt/live/dashboard.example.com
/ cert.pem series.pem fullSeries.pem privkey.pem README
cbd:~$
يحتوي الدليل على الشهادات على أذونات مقيدة بحيث يمكن للمستخدم الجذري فقط عرض الملفات. إن ملف privkey.pem، على وجه الخصوص، حساس ويجب أن يكون الوصول إلى هذا الملف مقصورا على الموظفين المخولين فقط.
الخطوة 10
يجب تشغيل لوحة المعلومات الآن مع الشهادة الجديدة. إذا قمت بفتح واجهة مستخدم لوحة المعلومات (UI) في مستعرض ويب عن طريق إدخال أي من الأسماء المحددة عند إنشاء الشهادة في شريط العناوين، فيجب أن يشير مستعرض الويب إلى أن الاتصال موثوق به وآمن.
لاحظ أن الشهادات التي تم إصدارها بواسطة Let'Encrypt لها فترات حياة قصيرة نسبيا - حاليا 90 يوما. يتم تكوين حزمة Certbot لنظام التشغيل Ubuntu Linux للتحقق من صلاحية الشهادة مرتين في اليوم وتجديد الشهادة إذا كانت على وشك الانتهاء، لذلك لا يجب إتخاذ أي إجراء للحفاظ على تحديث الشهادة. للتحقق من أن التحققات الدورية تحدث بشكل صحيح، انتظر لمدة أثنتي عشرة ساعة على الأقل بعد إنشاء الشهادة مبدئيا، ثم تحقق من ملف سجل Certbot للتعرف على الرسائل المماثلة لما يلي: cbd:~$ sudo tail /var/log/letsencrypt/letsencrypt.log
2020-07-31 16:50:52،783:debug:certbot.main:certbot version: 0.31.0
2020-07-31 16:50:52،784:DEBUG:certbot.main:Arguments: ['-q']
2020-07-31 16:50:52،785:debug:certbot.main:الملحقات المكتشفة:
(PlugEntryPoint#manual،
pluginEntryPoint#null،pluginEntryPoint#standalone #webroot،PluginEntryPoint)
2020-07-31 16:50:52،793:debug:certbot.log:مستوى التسجيل الجذري معين على 30
2020-07-31 16:50:52،793:معلومات:certbot.log:حفظ سجل تصحيح الأخطاء إلى
/var/log/letsencrypt/letsencrypt.log
2020-07-31 16:50:52،802:debug:certbot.plugins.selection:
المصدق المطلوب <certbot.cli.
_الكائن الافتراضي في 0x7f1152969240> والمثبت <certbot.cli.
_الكائن الافتراضي في 0x7f1152969240>
2020-07-31 16:50:52،811:INFO:certbot.renewal:CERT لم يكن من المقرر تجديده بعد
2020-07-31 16:50:52،812:debug:certbot.plugins.selection:المصدق المطلوب
لا يوجد مثبت و Webroot
2020-07-31 16:50:52،812:debug:certbot.renewal:عدم حالات فشل التجديد
بعد مرور وقت كاف ليكون تاريخ انتهاء صلاحية الشهادة خلال ثلاثين يوما، سيقوم عميل Certbot بتجديد الشهادة وتطبيق الشهادة المحدثة على تطبيق لوحة المعلومات تلقائيا.
لمزيد من المعلومات حول إستخدام عميل Certbot، راجع صفحة وثائق Certbot.
محفوظات المراجعة
| المراجعة | تاريخ النشر | التعليقات |
|---|---|---|
1.0 |
27-Aug-2020 |
الإصدار الأولي |
التعليقات