المقدمة
يوضح هذا المستند كيفية عمل الشهادات والمشاكل والنصائح الأكثر شيوعا للشهادات في خوادم Expressway.
المتطلبات الأساسية
المتطلبات
توصي Cisco بأن تكون لديك معرفة بالمواضيع التالية:
- خوادم Expressway و Video Communications Server (VCS)
- طبقة مآخذ التوصيل الآمنة (SSL)
- الشهادات
- أجهزة TelePresence
- الوصول عن بعد والتنقل
- عمليات نشر التعاون
المكونات المستخدمة
تستند المعلومات الواردة في هذا المستند إلى إصدارات البرامج والمكونات المادية التالية:
تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك قيد التشغيل، فتأكد من فهمك للتأثير المحتمل لأي أمر.
معلومات أساسية
تعد SSL والشهادات معيارا وتعمل بنفس الطريقة عبر الأجهزة والعلامات التجارية الأخرى. يركز هذا المستند على الشهادة المستخدمة في Expressway.
التعاريف
يتم إستخدام الشهادات لإنشاء اتصال آمن بين جهازين. هي توقيع رقمي يصدق هوية خادم أو جهاز. تتطلب بعض البروتوكولات مثل بروتوكول نقل النص التشعبي الآمن (HTTPS) أو بروتوكول بدء الجلسات (SIP) أمان طبقة النقل (TLS) إستخدام الشهادات من أجل العمل.
مصطلحات مختلفة تستخدم عندما تتحدث عن الشهادات:
- طلب توقيع الشهادة (CSR): قالب تم إنشاؤه باستخدام الأسماء التي تعرف جهازا ليتم التوقيع عليه لاحقا وتحويله إلى شهادة عميل أو خادم
- الشهادة: CSR الذي تم توقيعه. هذه هي نوع الهوية ويتم تثبيتها على جهاز للاستخدام في مفاوضات SSL. يمكن توقيعها من تلقاء نفسها أو من مرجع مصدق.
- توقيع الشهادة: الهوية التي تتحقق من الشهادة المعنية شرعية؛ وتقدم هذه الشهادة في شكل شهادة أخرى.
- شهادة موقعة ذاتيا: شهادة عميل أو خادم موقعة من نفسها
- جهة منح الشهادة (CA): الجهة التي توقع الشهادات
- الشهادة الوسيطة: شهادة CA غير موقعة من نفسها ولكن من شهادة CA أخرى، موقعة عادة من شهادة جذر ولكن يمكن توقيعها أيضا من شهادة وسيطة أخرى
- شهادة الجذر: شهادة المرجع المصدق الموقعة من تلقاء نفسها
مبدأ أساسي
عندما يتحدث العميل مع خادم ويبدأ محادثة SSL، فإنه يتبادل الشهادات، والتي يتم إستخدامها لاحقا لتشفير حركة مرور البيانات بين الأجهزة. كجزء من التبادل، تحدد الأجهزة أيضا إذا ما كانت التراخيص موثوق بها. يجب تلبية شروط متعددة لتحديد ما إذا كانت الشهادة موثوق بها أم لا، ومنها:
- اسم المجال المؤهل بالكامل (FQDN) المستخدم مبدئيا للاتصال بالخادم يطابق اسما داخل الشهادة المقدمة من الخادم.
- على سبيل المثال، عندما تقوم بفتح صفحة ويب على متصفح، فإن cisco.com يقوم بحل IP الخاص بخادم يوفر ترخيص، والذي يجب أن يتضمن cisco.com كاسم حتى يمكن الوثوق به.
- شهادة المرجع المصدق التي وقعت على شهادة الخادم المقدمة من الخادم (أو نفس شهادة الخادم عندما تكون موقعة ذاتيا) موجودة في قائمة شهادة المرجع المصدق الموثوق بها للجهاز.
- تحتوي الأجهزة على قائمة بشهادات المرجع المصدق عليها والتي تكون موثوق بها، وتتضمن أجهزة الكمبيوتر غالبا قائمة مبنية مسبقا بمراجع ترخيص عامة معروفة.
- يقع التاريخ والوقت الحاليان ضمن فترة صلاحية الشهادة.
- تقوم "هيئات الشهادات" بتوقيع CSRs فقط لمبلغ محدد من الوقت، وهذا يحدده CA.
- لم يتم إبطال الشهادة.
- غالبا ما تتضمن مراجع الشهادات العامة عنوان URL لقائمة إبطال الشهادات داخل الشهادة. وذلك حتى يتمكن الطرف الذي يستلم الشهادة من تأكيد عدم إبطالها من قبل المرجع المصدق.
المشكلات الشائعة
فشل تحميل شهادة Expressway
هناك بعض الحالات التي يمكن أن تسبب هذا. إنها تسبب خطأ وصفي مختلف.
تنسيق الشهادة غير صالح
يحدث هذا الخطأ الأول عندما تكون الشهادة بتنسيق غير صالح. ملحق الملف غير مهم.
إذا لم تفتح الشهادة، يمكن طلب شهادة جديدة من المرجع المصدق بالتنسيق الصحيح
إذا كانت الشهادة مفتوحة، اتبع الخطوات التالية:
الخطوة 1. افتح الشهادة وانتقل إلى علامة التبويب تفاصيل.
الخطوة 2. حدد نسخ إلى ملف.
الخطوة 3. اتبع المعالج وتأكد من تحديد Base-64 الذي تم ترميزه.
تحديد تنسيق الشهادة
الخطوة 4. بمجرد الحفظ، قم بتحميل الملف الجديد على Expressway.
سلسلة شهادات مرجع مصدق (CA) غير الموثوق بها
يحدث هذا الخطأ عندما تكون شهادات CA التي وقعت على شهادة الخادم غير موثوق بها. قبل تحميل شهادة خادم، يجب أن يثق الخادم بجميع شهادات CA في السلسلة.
عادة ما يوفر المرجع المصدق شهادات المرجع المصدق بالإضافة إلى شهادة الخادم الموقع. إذا كانت هذه العناصر متوفرة، فقم بالتخطي إلى الخطوة 6 أدناه.
إذا لم تكن شهادات المرجع المصدق متاحة، يمكن الحصول عليها من شهادة الخادم. اتبع الخطوات التالية:
الخطوة 1. افتح شهادة الخادم.
الخطوة 2. انتقل إلى علامة التبويب مسار الشهادة. تعتبر الشهادة العليا شهادة المرجع المصدق الجذر. السبب السفلي هو شهادة الخادم والجزء الذي بينها يعتبر شهادة مرجع مصدق متوسط.
الخطوة 3. أختر شهادة مرجع مصدق وحدد عرض الشهادة.
مسار الشهادة
الخطوة 4. انتقل إلى علامة التبويب تفاصيل واتبع الخطوات السابقة لحفظ الشهادة في ملف منفصل.
الخطوة 5. كرر هذه الخطوات لكل شهادات CA الموجودة.
علامة التبويب تفاصيل الشهادة
بمجرد توفر جميع شهادات المرجع المصدق، قم بتحميلها على قائمة شهادات المرجع المصدق الموثوق به ل Expressway:
الخطوة 6. انتقل إلى الصيانة > التأمين > شهادة المرجع المصدق الموثوق به على خادم Expressway.
الخطوة 7. حدد إختيار ملف وتحميل.
الخطوة 8. كرر الخطوات 7 لكل شهادة مرجع مصدق.
الخطوة 9. عند تحميل جميع شهادات المرجع المصدق على قائمة الضمان، قم بتحميل شهادة الخادم على الخادم.
منطقة العبور لأسفل مع خطأ في تفاوض TLS
يحدث هذا الخطأ عندما لا يتم إكمال تبادل SSL بين Expressway-C و Expressway-E بنجاح. بعض الأمثلة التي يمكن أن تتسبب في هذا:
- اسم المضيف غير مطابق لاسم في الشهادة المقدمة.
- تأكد من تطابق عنوان النظير الذي تم تكوينه في منطقة إجتياز Expressway-C مع اسم واحد على الأقل في شهادة خادم Expressway-E
- اسم التحقق من TLS غير مطابق لاسم في الشهادة المقدمة.
- تأكد من تطابق اسم التحقق من TLS الذي تم تكوينه في منطقة إجتياز Expressway-E مع أحد الأسماء الموجودة على شهادة خادم Expressway-C. إذا كان تكوين نظام مجموعة، فيوصى بتكوين مجموعة Expressway-C FQDN على هيئة TLS. تحقق من صحة الاسم كما يجب أن يكون هذا الاسم موجودا على كافة عقد نظام المجموعة.
- شهادات المرجع المصدق غير موثوق بها من قبل الخوادم
- كما يجب على كل خادم أن يثق بشهادات المرجع المصدق الخاصة به قبل أن تقوم بتحميل شهادة الخادم عليها، كذلك يجب على الخوادم الأخرى أن تثق في شهادات المرجع المصدق هذه من أجل الثقة في شهادة الخادم. ولهذا السبب، تأكد من أن جميع شهادات المرجع المصدق من مسار الاعتماد لكل من خادمي Expressway موجودة في قائمة المرجع المصدق الموثوق به لجميع الخوادم المعنية. يمكن إستخراج شهادات المرجع المصدق مع الخطوات المقدمة سابقا على هذا المستند.
منطقة العبور لأعلى ولكن أنفاق SSH لأسفل بعد تجديد الشهادة
فشل نفق SSH
يحدث هذا الخطأ عادة بعد تجديد الشهادة عندما تكون شهادة CA غير موثوق بها واحدة أو أكثر من شهادات CA غير الإصدار الأساسي، حيث تمكن ثقة شهادة CA الجذر اتصال منطقة العبور، ولكن أنفاق SSH هي اتصال أكثر تفصيلا ويمكن أن تفشل عندما تكون السلسلة بأكملها غير موثوق بها، حيث غالبا ما يتم تغيير شهادة CA الوسيطة بواسطة سلطات التصديق حتى يمكن أن يؤدي تجديد الشهادة إلى حدوث هذه المشكلة. تأكد من تحميل جميع شهادات CA الوسيطة على جميع قوائم ثقة Expressway.
يفشل تسجيل الدخول للأجهزة المحمولة والوصول عن بعد بعد بعد ترقية أو تجديد شهادة
هناك العديد من الطرق التي يمكن من خلالها فشل تسجيل الدخول بسبب الشهادات، ولكن في الإصدارات الأحدث من برنامج Expressway، تم تنفيذ بعض تغييرات البرامج التي، لأسباب أمنية، تفرض التحقق من الشهادة حيث لم يتم ذلك من قبل.
وهذا موضح بشكل أفضل هنا: يقوم خادم حركة المرور بفرض التحقق من الشهادة
وكما يوضح الحل البديل، فتأكد من تحميل شهادات Expressway-C CA على Cisco Unified Communications Manager كوثيقة ثقة من نوع TOMCAT و callManager-trust وأعد تشغيل الخدمات المطلوبة.
تنبيه الشهادة على Jabber عند دخول سجل الوصول إلى الأجهزة المحمولة والبعيدة
تحذير شهادة Jabber غير الموثوق بها
يحدث هذا السلوك عندما لا يطابق المجال المستخدم على التطبيق اسم موضوع بديل في شهادة خادم Expressway-E.
تأكد من أن المثال .com أو Collab-edge.example.com هو أحد أسماء المواضيع البديلة الموجودة في الشهادة.
معلومات ذات صلة
الدعم الفني والتنزيلات من Cisco