إنشاء CSR لشهادة الطرف الثالث والتثبيت على مثال تكوين CMX 10.6
خيارات التنزيل
-
ePub (83.8 KB)
العرض في تطبيقات مختلفة على iPhone أو iPad أو نظام تشغيل Android أو قارئ Sony أو نظام التشغيل Windows Phone
لغة خالية من التحيز
تسعى مجموعة الوثائق لهذا المنتج جاهدة لاستخدام لغة خالية من التحيز. لأغراض مجموعة الوثائق هذه، يتم تعريف "خالية من التحيز" على أنها لغة لا تعني التمييز على أساس العمر، والإعاقة، والجنس، والهوية العرقية، والهوية الإثنية، والتوجه الجنسي، والحالة الاجتماعية والاقتصادية، والتمييز متعدد الجوانب. قد تكون الاستثناءات موجودة في الوثائق بسبب اللغة التي يتم تشفيرها بشكل ثابت في واجهات المستخدم الخاصة ببرنامج المنتج، أو اللغة المستخدمة بناءً على وثائق RFP، أو اللغة التي يستخدمها منتج الجهة الخارجية المُشار إليه. تعرّف على المزيد حول كيفية استخدام Cisco للغة الشاملة.
حول هذه الترجمة
ترجمت Cisco هذا المستند باستخدام مجموعة من التقنيات الآلية والبشرية لتقديم محتوى دعم للمستخدمين في جميع أنحاء العالم بلغتهم الخاصة. يُرجى ملاحظة أن أفضل ترجمة آلية لن تكون دقيقة كما هو الحال مع الترجمة الاحترافية التي يقدمها مترجم محترف. تخلي Cisco Systems مسئوليتها عن دقة هذه الترجمات وتُوصي بالرجوع دائمًا إلى المستند الإنجليزي الأصلي (الرابط متوفر).
المحتويات
المقدمة
يوضح هذا المستند كيفية إنشاء طلب توقيع شهادة (CSR) للحصول على شهادة من جهة خارجية وكيفية تنزيل شهادة موصلة إلى خبرات Cisco في إتصالات الأجهزة المحمولة (CMX).
تمت المساهمة من قبل أندريس سيلفا ورام كريشنامورثي، مهندسي TAC من Cisco.
المتطلبات الأساسية
المتطلبات
توصي Cisco بأن تكون لديك معرفة بالمواضيع التالية:
- معرفة أساسية بنظام التشغيل Linux
- البنية الأساسية للمفتاح العام (PKI)
- شهادات رقمية
- CMX
المكونات المستخدمة
تستند المعلومات الواردة في هذا المستند إلى CMX الإصدار 10.6.1-47
تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك قيد التشغيل، فتأكد من فهمك للتأثير المحتمل لأي أمر.
التكوين
________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________
ملاحظة: يرجى إستخدام CMX 10.6.2-57 أو أعلى عند العمل بالشهادات.
________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________
التكوينات
إنشاء CSR
الخطوة 1. قم بالوصول إلى واجهة سطر الأوامر (CLI) ل CMX باستخدام SSH، ثم قم بتشغيل الأمر التالي لإنشاء CSR وإكمال المعلومات المطلوبة:
[cmxadmin@cmx-andressi]$ cmxctl config certs createcsr
Keytype is RSA, so generating RSA key with length 4096
Generating RSA private key, 4096 bit long modulus
............
...
e is 65537 (0x10001)
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [AU]:MX
State or Province Name (full name) [Some-State]:Tlaxcala
Locality Name (eg, city) []:Tlaxcala
Organization Name (eg, company) [Internet Widgits Pty Ltd]:Cisco
Organizational Unit Name (eg, section) []:TAC
Common Name (e.g. server FQDN or YOUR name) []:cmx-andressi
Email Address []:cmx@cisco.com
Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:Cisco123
An optional company name []:Cisco
The CSR is stored in : /opt/cmx/srv/certs/cmxservercsr.pem
The Private key is stored in: /opt/cmx/srv/certs/cmxserverkey.pem
يتم تخزين المفتاح الخاص والأداة القابلة للاستبدال بواسطة العميل نفسه (CSR) في /opt/cmx/srv/certs/
ملاحظة: في حالة إستخدام CMX 10.6.1، تتم إضافة شبكة منطقة التخزين (SAN) التي تم تسجيلها تلقائيا إلى CSR. إذا لم يتمكن المرجع المصدق من جهة خارجية من توقيع CSR بسبب حقل SAN، فقم بإزالة سلسلة SAN من ملف openssl.conf على CMX. راجع الخطأ CSCvp39346 للحصول على مزيد من المعلومات.
الخطوة 2. الحصول على CSR الموقع من قبل مرجع شهادات طرف ثالث.
للحصول على الشهادة من CMX وإرسالها إلى الطرف الثالث، قم بتشغيل الأمر cat لفتح CSR. يمكنك نسخ المخرجات ولصقها في ملف .txt أو تغيير الملحق بناء على متطلبات الطرف الثالث.
[cmxadmin@cmx-andressi]$ cat /opt/cmx/srv/certs/cmxservercsr.pem
إستيراد الشهادات الموقعة للمرجع المصدق (CA) إلى CMX
ملاحظة: لاستيراد الشهادات على CMX وتثبيتها، يلزم تثبيت حزمة الجذر على CMX 10.6.1 و 10.6.2 بسبب الخطأ CSCvr27467.
الخطوة 1. قم بتجميع المفتاح الخاص مع الشهادة الموقعة في ملف .pem. انسخها والصقها كما يلي:
-----BEGIN RSA PRIVATE KEY----- < Private Key MIIEpAIBAAKCAQEA2gXgEo7ouyBfWwCktcYo8ABwFw3d0yG5rvZRHvS2b3FwFRw5 ... -----END RSA PRIVATE KEY----- -----BEGIN CERTIFICATE----- < Signed certificate MIIFEzCCAvugAwIBAgIBFzANBgkqhkiG9w0BAQsFADCBlDELMAkGA1UEBhMCVVMx
الخطوة 2. حزمت الشهادات CA الوسيطة والجذرية في ملف .crt. انسخها والصقها كما يلي:
-----END CERTIFICATE----- -----BEGIN CERTIFICATE----- < Intermediate CA certificates ... -----END CERTIFICATE----- -----BEGIN CERTIFICATE----- < The root CA certificate MIIGqjCCBJKgAwIBAgIJAPj9p1QMdTgoMA0GCSqGSIb3DQEBCwUAMIGUMQswCQYD ... -----END CERTIFICATE-----
الخطوة 3. نقل كلا الملفين من الخطوة 1 و 2 أعلاه إلى CMX.
الخطوة 4. قم بالوصول إلى CLI الخاص ب CMX كجذر ومسح الشهادات الحالية بتشغيل الأمر التالي:
[cmxadmin@cmx-andressi]$ cmxctl config certs clear
الخطوة 5. قم بتشغيل الأمر cmxctl config import acert لاستيراد شهادة CA. أدخل كلمة مرور وأعدها لجميع مطالبات كلمة المرور الأخرى.
[cmxadmin@cmx-andressi]# cmxctl config certs importcacert ca.crt
Importing CA certificate.....
Enter Export Password:
Verifying - Enter Export Password:
Enter Import Password:
No CRL URI found. Skipping CRL download.
Import CA Certificate successful
الخطوة 6. لاستيراد شهادة الخادم والمفتاح الخاص (المدمج في ملف واحد)، قم بتشغيل الأمر cmxctl config ImportServerCert. حدد كلمة مرور وأعدها لجميع مطالبات كلمة المرور.
[cmxadmin@cmx-andressi]# cmxctl config certs importservercert key-cert.pem
Importing Server certificate.....
Successfully transferred the file
Enter Export Password: password
Verifying - Enter Export Password: password
Enter Import Password: password
Private key present in the file: /home/cmxadmin/key-cert.pem
Enter Import Password: password
No CRL URI found. Skipping CRL download.
Validation of server certificate is successful
Import Server Certificate successful
Restart CMX services for the changes to take effect.
Server certificate imported successfully.
To apply these certificate changes, CMX Services will be restarted now.
Please press Enter to continue.
الخطوة 7. اضغط على Enter لإعادة تشغيل خدمات Cisco CMX.
تثبيت الشهادات عالية التوافر
- يجب تثبيت الشهادات بشكل منفصل على كل من الخوادم الأساسية والثانوية.
- إذا كانت الخوادم مقترنة بالفعل، فيجب تعطيل HA أولا قبل متابعة تثبيت الشهادة.
- لمسح أي شهادات موجودة على الأساسي، أستخدم الأمر "cmxctl config certs clear" من واجهة سطر الأوامر
- يجب أن تكون الشهادات التي سيتم تثبيتها على كل من الأساسي والثانوي من نفس مرجع الشهادات.
- بعد تثبيت الشهادات، يجب إعادة تشغيل خدمات CMX ثم إقرانها ل HA.
التحقق من الصحة
لتأكيد تثبيت الشهادة بشكل صحيح، افتح واجهة ويب CMX وراجع الشهادة المستخدمة.
استكشاف الأخطاء وإصلاحها
في حالة فشل CMX في إستيراد شهادة الخادم بسبب التحقق من شبكة منطقة التخزين (SAN)، يتم تسجيل شيء من هذا القبيل:
Importing Server certificate.....
CRL successfully downloaded from http://
.crl
This is new CRL. Adding to the CRL collection.
ERROR:Check for subjectAltName(SAN) failed for Server Certificate
ERROR: Validation is unsuccessful (err code = 3)
ERROR: Import Server Certificate unsuccessful
إذا لم يكن حقل SAN مطلوبا، فيمكنك تعطيل التحقق من شبكة SAN على CMX. للقيام بذلك، ارجع إلى الإجراء المتعلق بالخطأ CSCvp39346
تمت المساهمة بواسطة مهندسو Cisco
- Andres SilvaTAC من Cisco
- Ram KrishnamoorthyTAC من Cisco
التعليقاتاتصل بنا
- فتح حالة دعم
- (تتطلب عقد خدمة Cisco)