أستكشاف أخطاء شهادات Expressway وإصلاحها

خيارات التنزيل

  • PDF     (497.6 KB)
    عرض باستخدام Adobe Reader على مجموعة متنوعة من الأجهزة
  • ePub     (352.8 KB)
    العرض في تطبيقات مختلفة على iPhone أو iPad أو نظام تشغيل Android أو قارئ Sony أو نظام التشغيل Windows Phone
  • Mobi (Kindle)     (319.8 KB)
    عرض على جهاز Kindle أو تطبيق Kindle على أجهزة متعددة
تم التحديث:٨ يوليو ٢٠٢٤
معرّف المستند:221624

لغة خالية من التحيز

تسعى مجموعة الوثائق لهذا المنتج جاهدة لاستخدام لغة خالية من التحيز. لأغراض مجموعة الوثائق هذه، يتم تعريف "خالية من التحيز" على أنها لغة لا تعني التمييز على أساس العمر، والإعاقة، والجنس، والهوية العرقية، والهوية الإثنية، والتوجه الجنسي، والحالة الاجتماعية والاقتصادية، والتمييز متعدد الجوانب. قد تكون الاستثناءات موجودة في الوثائق بسبب اللغة التي يتم تشفيرها بشكل ثابت في واجهات المستخدم الخاصة ببرنامج المنتج، أو اللغة المستخدمة بناءً على وثائق RFP، أو اللغة التي يستخدمها منتج الجهة الخارجية المُشار إليه. تعرّف على المزيد حول كيفية استخدام Cisco للغة الشاملة.

حول هذه الترجمة

ترجمت Cisco هذا المستند باستخدام مجموعة من التقنيات الآلية والبشرية لتقديم محتوى دعم للمستخدمين في جميع أنحاء العالم بلغتهم الخاصة. يُرجى ملاحظة أن أفضل ترجمة آلية لن تكون دقيقة كما هو الحال مع الترجمة الاحترافية التي يقدمها مترجم محترف. تخلي Cisco Systems مسئوليتها عن دقة هذه الترجمات وتُوصي بالرجوع دائمًا إلى المستند الإنجليزي الأصلي (الرابط متوفر).

    المقدمة

    يوضح هذا المستند كيفية عمل الشهادات والمشاكل والنصائح الأكثر شيوعا للشهادات في خوادم Expressway.

    المتطلبات الأساسية

    المتطلبات

    توصي Cisco بأن تكون لديك معرفة بالمواضيع التالية:

    • خوادم Expressway و Video Communications Server (VCS)
    • طبقة مآخذ التوصيل الآمنة (SSL)
    • الشهادات
    • أجهزة TelePresence
    • الوصول عن بعد والتنقل
    • عمليات نشر التعاون

    المكونات المستخدمة

    تستند المعلومات الواردة في هذا المستند إلى إصدارات البرامج والمكونات المادية التالية:

    • Expressway x14

    تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك قيد التشغيل، فتأكد من فهمك للتأثير المحتمل لأي أمر.

    معلومات أساسية

    تلتزم طبقة المقابس الآمنة (SSL) والشهادات بمعيار وتشغل نفس النظام عبر الأجهزة والعلامات التجارية الأخرى. يركز هذا المستند على الشهادة المستخدمة في Expressway.

    التعاريف

    يتم إستخدام الشهادات لإنشاء اتصال آمن بين جهازين. هي توقيع رقمي يصدق هوية خادم أو جهاز. تتطلب بعض البروتوكولات مثل بروتوكول نقل النص التشعبي الآمن (HTTPS) أو بروتوكول بدء الجلسات (SIP) أمان طبقة النقل (TLS) إستخدام الشهادات من أجل العمل.

    مصطلحات مختلفة تستخدم عندما تتحدث عن الشهادات:

    • طلب توقيع الشهادة (CSR): قالب تم إنشاؤه باستخدام الأسماء التي تعرف جهازا ليتم التوقيع عليه لاحقا وتحويله إلى شهادة عميل أو خادم.
    • الشهادة: CSR الذي تم توقيعه. هذه هي نوع الهوية ويتم تثبيتها على جهاز للاستخدام في مفاوضات SSL. يمكن توقيعها من تلقاء نفسها أو من مرجع مصدق.
    • توقيع الشهادة: الهوية التي تتحقق من الشهادة المعنية شرعية؛ وتقدم هذه الشهادة في شكل شهادة أخرى.
    • شهادة موقعة ذاتيا: شهادة عميل أو خادم موقعة من نفسها.
    • جهة منح الشهادة (CA): الجهة التي توقع الشهادات.
      • شهادة وسيطة: شهادة CA غير موقعة من نفسها ولكن من شهادة CA أخرى، موقعة عادة من شهادة جذر ولكن يمكن توقيعها أيضا من شهادة وسيطة أخرى.
      • شهادة الجذر: شهادة المرجع المصدق الموقعة من تلقاء نفسها.

    مبدأ أساسي

    عندما يتحدث العميل مع خادم ويبدأ محادثة SSL، يتبادل الشهادات. ويتم إستخدام هذه الأجهزة لاحقا لتشفير حركة مرور البيانات بين الأجهزة.

    كجزء من التبادل، تحدد الأجهزة أيضا إذا ما كانت التراخيص موثوق بها. يجب تلبية شروط متعددة لتحديد ما إذا كانت الشهادة موثوق بها أم لا، ومنها:

    • اسم المجال المؤهل بالكامل (FQDN) المستخدم مبدئيا للاتصال بالخادم. يجب أن يتطابق هذا مع اسم داخل الشهادة المقدمة من الخادم.
      • على سبيل المثال، عندما تقوم بفتح صفحة ويب على متصفح، فإن cisco.com يتم الحل إلى IP الخاص بخادم يوفر ترخيص. يجب أن تتضمن هذه الشهادة cisco.com كاسم حتى تكون موثوق بها.
    • شهادة المرجع المصدق التي وقعت على شهادة الخادم المقدمة من الخادم (أو نفس شهادة الخادم عندما تكون موقعة ذاتيا) موجودة في قائمة شهادة المرجع المصدق الموثوق بها للجهاز.
      • تحتوي الأجهزة على قائمة بشهادات المرجع المصدق عليها والتي تكون موثوق بها، وتتضمن أجهزة الكمبيوتر غالبا قائمة مبنية مسبقا بمراجع ترخيص عامة معروفة.
    • يقع التاريخ والوقت الحاليان ضمن فترة صلاحية الشهادة.
      • تقوم "هيئات الشهادات" بتوقيع CSRs فقط لمبلغ محدد من الوقت، وهذا يحدده CA.
    • لم يتم إبطال الشهادة.
      • تقوم هيئات الترخيص العامة بتضمين عنوان URL الخاص بقائمة إبطال الشهادات داخل الشهادة بشكل دوري. وذلك حتى يتمكن الطرف الذي يستلم الشهادة من تأكيد عدم إبطالها من قبل المرجع المصدق.

    المشكلات الشائعة

    فشل تحميل شهادة Expressway

    هناك بعض الحالات التي يمكن أن تسبب هذا. إنها تسبب خطأ وصفي مختلف.

    تنسيق الشهادة غير صالحتنسيق الشهادة غير صالح

    يحدث هذا الخطأ الأول عندما تكون الشهادة بتنسيق غير صالح. ملحق الملف غير مهم.

    إذا لم تفتح الشهادة، يمكن طلب شهادة جديدة من المرجع المصدق بالتنسيق الصحيح


    إذا كانت الشهادة مفتوحة، قم بتنفيذ الخطوات التالية:

    الخطوة 1. افتح الشهادة وانتقل إلى علامة التبويب تفاصيل.
    الخطوة 2. حدد نسخ إلى ملف.
    الخطوة 3. أكمل المعالج وتأكد من تحديد Base-64 الذي تم ترميزه.

    تحديد تنسيق الشهادةتحديد تنسيق الشهادة

    الخطوة 4. بمجرد الحفظ، قم بتحميل الملف الجديد على Expressway.

    سلسلة شهادات مرجع مصدق (CA) غير الموثوق بهاسلسلة شهادات مرجع مصدق (CA) غير الموثوق بها

    يحدث هذا الخطأ عندما تكون شهادات CA التي وقعت على شهادة الخادم غير موثوق بها. قبل تحميل شهادة خادم، يجب أن يثق الخادم بجميع شهادات CA في السلسلة.

    عادة، يوفر المرجع المصدق شهادات المرجع المصدق مع شهادة الخادم الموقع. إذا كانت هذه العناصر متوفرة، فقم بالتخطي إلى الخطوة 6 أدناه.

    إذا لم تكن شهادات المرجع المصدق متاحة، يمكن الحصول عليها من شهادة الخادم. قم بإجراء هذه الخطوات:

    الخطوة 1. افتح شهادة الخادم.
    الخطوة 2. انتقل إلى علامة التبويب مسار الشهادة. تعتبر الشهادة العليا شهادة المرجع المصدق الجذر. الخيار السفلي هو شهادة الخادم، وكل ما بين ذلك يعتبر شهادات CA متوسطة.
    الخطوة 3. أختر شهادة مرجع مصدق وحدد عرض الشهادة.

    مسار الشهادةمسار الشهادة


    الخطوة 4. انتقل إلى علامة التبويب تفاصيل وقم بتنفيذ الخطوات السابقة لحفظ الشهادة في ملف منفصل.
    الخطوة 5. كرر هذه الخطوات لكل شهادات CA الموجودة.

    علامة التبويب تفاصيل الشهادةعلامة التبويب تفاصيل الشهادة

    بمجرد توفر جميع شهادات المرجع المصدق، قم بتحميلها على قائمة شهادات المرجع المصدق الموثوق به ل Expressway:

    الخطوة 6. انتقل إلى الصيانة > التأمين > شهادة المرجع المصدق الموثوق به على خادم Expressway.
    الخطوة 7. حدد إختيار ملف وتحميل.
    الخطوة 8. كرر الخطوة 7 لكل شهادة مرجع مصدق.
    الخطوة 9. عند تحميل جميع شهادات المرجع المصدق على قائمة الضمان، قم بتحميل شهادة الخادم على الخادم.

    خطأ في تفاوض TLS لمنطقة العبور

    يحدث هذا الخطأ عندما لا يتم إكمال تبادل SSL بين Expressway-C و Expressway-E بنجاح. بعض الأمثلة التي يمكن أن تتسبب في هذا:

    • اسم المضيف غير مطابق لاسم في الشهادة المقدمة.
      • تأكد من تطابق عنوان النظير الذي تم تكوينه في منطقة إجتياز Expressway-C مع اسم واحد على الأقل في شهادة خادم Expressway-E.
    • تحقق TLS من عدم تطابق اسم الموضوع مع اسم في الشهادة المقدمة.
      • تأكد من أن TLS يتحقق من اسم الموضوع الذي تم تكوينه على منطقة إجتياز Expressway-E يطابق أحد الأسماء الموجودة على شهادة خادم Expressway-C. إذا كان تكوين نظام مجموعة، يوصى بتكوين FQDN لنظام المجموعة Expressway-C على هيئة TLS تحقق من اسم الموضوع، حيث يجب أن يكون هذا الاسم موجودا على جميع عقد نظام المجموعة.
    • شهادات المرجع المصدق غير موثوق بها من قبل الخوادم.
      • كما يجب على كل خادم أن يثق بشهادات المرجع المصدق الخاصة به قبل أن تقوم بتحميل شهادة الخادم عليها، كذلك يجب على الخوادم الأخرى أن تثق في شهادات المرجع المصدق هذه من أجل الثقة في شهادة الخادم. ولهذا السبب، تأكد من أن جميع شهادات المرجع المصدق من مسار الاعتماد لكل من خادمي Expressway موجودة في قائمة المرجع المصدق الموثوق به لجميع الخوادم المعنية. يمكن إستخراج شهادات المرجع المصدق مع الخطوات المقدمة سابقا على هذا المستند.

    المنطقة التبادلية لأعلى ولكن SSH ينفق لأسفل بعد تجديد الشهادة

    فشل نفق SSHفشل نفق SSH

    يحدث هذا الخطأ بشكل عام بعد تجديد الشهادة عندما لا تكون شهادة CA الوسيطة واحدة أو أكثر موثوق بها، فيمكن ثقة شهادة CA الجذر اتصال المنطقة التبادلية، ولكن أنفاق SSH هي اتصال أكثر تفصيلا ويمكن أن تفشل عندما لا تكون السلسلة بأكملها موثوق بها.

    غالبا ما يتم تغيير شهادة المرجع المصدق الوسيطة بواسطة جهات التصديق، لذلك يمكن أن يؤدي تجديد الشهادة إلى حدوث هذه المشكلة. تأكد من تحميل جميع شهادات CA الوسيطة على جميع قوائم ثقة Expressway.

    يفشل تسجيل الدخول للأجهزة المحمولة والوصول عن بعد بعد بعد ترقية أو تجديد شهادة

    هناك العديد من الطرق التي يمكن من خلالها فشل تسجيل الدخول بسبب الشهادات، ولكن في الإصدارات الأحدث من برنامج Expressway تم تنفيذ بعض التغييرات التي، لأسباب أمنية، تفرض التحقق من الشهادة حيث لم يتم ذلك من قبل.

    وهذا موضح بشكل أفضل هنا: يقوم خادم حركة المرور بفرض التحقق من الشهادة

    وكما يوضح الحل البديل، فتأكد من تحميل شهادات Expressway-C CA إلى Cisco Unified Communications Manager كوثيقة ثقة و callManager، ثم إعادة تشغيل الخدمات المطلوبة.

    تنبيه الشهادة على Jabber عند دخول سجل الوصول إلى الأجهزة المحمولة والبعيدة

    تحذير شهادة Jabber غير الموثوق بهاتحذير شهادة Jabber غير الموثوق بها

    يحدث هذا السلوك عندما لا يطابق المجال المستخدم على التطبيق اسم موضوع بديل في شهادة خادم Expressway-E.
    تأكد من أن example.com أو collab-edge.example.com البديل أحد الأسماء البديلة للموضوع الموجودة على الشهادة.

    معلومات ذات صلة

    الدعم الفني والتنزيلات من Cisco

    محفوظات المراجعة

    المراجعة تاريخ النشر التعليقات
    2.0
    08-Jul-2024
    قام المؤلف بتحديثات للوفاء بمتطلبات دليل النمط Cisco.com والتأهل كناشر ذاتي.
    1.0
    06-Feb-2024
    الإصدار الأولي
    TAC Authored

    تمت المساهمة بواسطة مهندسو Cisco

    • Randy Eduardo Valverde Rojas
      Technical Consulting Engineer

    هل كان هذا المستند مفيدًا؟

    Feedbackالتعليقات

    اتصل بنا

    ينطبق هذا المستند على هذه المنتجات