المقدمة
يصف هذا المستند أفضل الممارسات والإجراءات الاستباقية لتجديد الشهادات على Cisco Identity Services Engine (ISE).
المتطلبات الأساسية
المتطلبات
توصي Cisco بأن تكون لديك معرفة بالمواضيع التالية:
- شهادات X509
- تكوين Cisco ISE بالشهادات
المكونات المستخدمة
"تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك مباشرة، فتأكد من فهمك للتأثير المحتمل لأي أمر.
- Cisco ISE الإصدار 3.0.0.458
- جهاز أو VMware
معلومات أساسية
ملاحظة: ليس الغرض من هذا المستند أن يكون دليلا تشخيصيا للشهادات.
يصف هذا المستند أفضل الممارسات والإجراءات الاستباقية لتجديد الشهادات على Cisco Identity Services Engine (ISE). كما تستعرض كيفية إعداد تنبيهات وإعلامات بحيث يتم تحذير المسؤولين من الأحداث الوشيكة مثل انتهاء صلاحية الشهادة.
بصفتك مسؤول في ISE، فإنك تواجه في النهاية حقيقة أن شهادات ISE تنتهي صلاحيتها. إذا كان خادم ISE الخاص بك لديه شهادة منتهية الصلاحية، فقد تظهر مشكلات خطيرة ما لم تقم باستبدال الشهادة منتهية الصلاحية بشهادة جديدة صالحة.
ملاحظة: إذا انتهت صلاحية الشهادة المستخدمة لبروتوكول المصادقة المتوسع (EAP)، فقد تفشل جميع المصادقات لأن العملاء لا يثقون في شهادة ISE بعد الآن. إذا انتهت صلاحية شهادة مسؤول ISE، فسيصبح الخطر أكبر: لن يتمكن المسؤول من تسجيل الدخول إلى ISE بعد الآن، ويمكن أن يتوقف النشر الموزع عن العمل والتكرار.
يجب على مسؤول ISE تثبيت شهادة جديدة صالحة على ISE قبل انتهاء صلاحية الشهادة القديمة. هذا النهج الاستباقي يمنع أو يقلل من وقت التوقف عن العمل ويتجنب التأثير على المستخدمين النهائيين. بمجرد أن تبدأ الفترة الزمنية للشهادة المثبتة حديثا، يمكنك تمكين EAP/Admin أو أي دور آخر في الشهادة الجديدة.
يمكنك تكوين ISE بحيث يصدر إنذارات ويُخطر المسؤول لتثبيت شهادات جديدة قبل انتهاء صلاحية الشهادات القديمة.
ملاحظة: يستخدم هذا المستند شهادة مسؤول ISE كشهادة موقعة ذاتيا لبيان تأثير تجديد الشهادة، ولكن لا يوصى بهذا النهج لنظام إنتاج. من الأفضل إستخدام شهادة المرجع المصدق لكل من دوري EAP و Admin.
التكوين
عرض الشهادات الموقعة ذاتيًا من ISE
عندما يتم تثبيت ISE، فإنه ينشئ شهادة موقعة ذاتيًا. تُستخدم الشهادة الموقعة ذاتيًا للوصول الإداري وللاتصال داخل النشر الموزّع (HTTPS) وكذلك لمصادقة المستخدم (EAP). في نظام مباشر، استخدم شهادة CA بدلاً من الشهادة الموقعة ذاتيًا.
تلميح: راجع إدارة الشهادات في قسم Cisco ISE من دليل تثبيت أجهزة محرك خدمات الهوية من Cisco، الإصدار 3.0 للحصول على معلومات إضافية.
يجب أن يكون تنسيق شهادة ISE عبارة عن بريد معزز بالخصوصية (PEM) أو قواعد تشفير مميزة (DER).
لعرض الشهادة الأولية الموقعة ذاتيًا، انتقل إلى الإدارة > النظام > الشهادات> شهادات النظام في واجهة المستخدمة الرسومية في ISE، كما هو موضح في هذه الصورة.
إذا قمت بتثبيت شهادة خادم على ISE عبر طلب توقيع الشهادة (CSR) وقمت بتغيير الشهادة لبروتوكول المسؤول أو بروتوكول EAP، فإن شهادة الخادم الموقعة ذاتيًا لا تزال موجودة ولكنها في حالة غير الاستخدام.
تحذير: لتغييرات بروتوكول Admin، يلزم إعادة تشغيل خدمات ISE، مما يؤدي إلى توفير بضع دقائق من وقت التوقف عن العمل. لا تؤدي تغييرات بروتوكول EAP إلى إعادة تشغيل خدمات ISE ولا تتسبب في حدوث توقف.
تحديد وقت تغيير الشهادة
افترض أن الشهادة المثبتة ستنتهي قريبًا. هل الأفضل ترك الشهادة تنتهي قبل تجديدها أم تغيير الشهادة قبل انتهاء صلاحيتها؟ يجب عليك تغيير الشهادة قبل انتهاء الصلاحية حتى يكون لديك الوقت للتخطيط لعملية إستبدال الشهادة ولإدارة أي وقت توقف عن العمل بسبب عملية التبديل.
متى يجب تغيير الشهادة؟ احصل على شهادة جديدة بتاريخ بدء يسبق تاريخ انتهاء صلاحية الشهادة القديمة. الفترة الزمنية بين هذين التاريخين هي نافذة التغيير.
تحذير: إذا قمت بتمكين Admin، فسيؤدي ذلك إلى إعادة تشغيل الخدمة على خادم ISE، كما ستشعر ببضع دقائق من وقت التوقف عن العمل.
توضح هذه الصورة معلومات شهادة ستنتهي صلاحيتها قريبًا:
قم بإنشاء طلب توقيع الشهادة
يصف هذا الإجراء كيفية تجديد الشهادة من خلال ممثل خدمة العملاء:
- في وحدة تحكم ISE، انتقل إلى الإدارة> النظام >الشهادات>طلبات توقيع الشهادة وانقر فوق إنشاء طلب توقيع الشهادة:
- الحد الأدنى من المعلومات التي يجب عليك إدخالها في حقل نص موضوع الشهادة هو CN=ISEfqdn، حيث يكون ISEfqdn اسم المجال مؤهلاً بالكامل (FQDN) الخاص بـ ISE. أضف حقولاً إضافية مثل O (المؤسسة) أو OU (الوحدة التنظيمية) أو C (البلد) في موضوع الشهادة باستخدام الفواصل:
- يجب أن يكرر أحد سطور حقل نص الاسم البديل للموضوع (SAN) اسم FQDN الخاص بـ ISE. يمكنك إضافة حقل SAN ثانٍ إذا كنت تريد استخدام أسماء بديلة أو شهادة أحرف البدل.
- انقر فوق إنشاء، تظهر نافذة منبثقة تشير إلى ما إذا كانت حقول CSR مكتملة بشكل صحيح أم لا:
- لتصدير CSR، انقر فوق طلبات توقيع الشهادة في اللوحة اليمنى، وحدد CSR الخاص بك، وانقر فوق تصدير:
- يتم تخزين CSR على الكمبيوتر. أرسله إلى CA الخاص بك للتوقيع.
تثبيت الشهادة
بمجرد حصولك على الشهادة النهائية من CA الخاص بك، يجب عليك إضافة الشهادة إلى ISE:
- في وحدة تحكم ISE، انتقل إلى الإدارة > النظام >الشهادات>طلبات توقيع الشهادة، ثم حدد خانة الاختيار في CRS وانقر ربط الشهادة:
- أدخل وصفًا بسيطًا وواضحًا للشهادة في الحقل النصي اسم لطيف وانقر "إرسال".
ملاحظة: لا تقم بتمكين بروتوكول EAP أو Admin في الوقت الحالي.
- ضمن شهادة النظام، لديك شهادة جديدة ليست قيد الاستخدام كما هو موضح هنا:
- نظرًا لأنه تم تثبيت الشهادة الجديدة قبل انتهاء صلاحية الشهادة القديمة، فسترى خطأ يُبلغ عن نطاق زمني في المستقبل:
- انقر فوق نعم للمتابعة. الشهادة مُثبّتة الآن ولكنها ليست قيد الاستخدام، كما هو موضح باللون الأخضر.
ملاحظة: إذا كنت تستخدم شهادات موقعة ذاتيا في عملية نشر موزعة، يجب تثبيت الشهادة الأساسية الموقعة ذاتيا في مخزن الشهادات الموثوق به لخادم ISE الثانوي. وبالمثل، يجب تثبيت الشهادة الثانوية الموقعة ذاتيًا في مخزن الشهادات الموثوق بها لخادم ISE الأساسي. هذا يسمح لخوادم ISE بمصادقة بعضها البعض بشكل متبادل. وبدون ذلك، يمكن أن يتعطل النشر. إذا قمت بتجديد الشهادات من مرجع مصدق تابع لجهة خارجية، فتحقق مما إذا كانت سلسلة الشهادات الجذرية قد تغيرت وقم بتحديث مخزن الشهادات الموثوق به في ISE وفقًا لذلك. في كلا السيناريوهين، تأكد من أن عقد ISE ونظم التحكم في النقطة الطرفية والمكلفين قادرون على التحقق من صحة سلسلة شهادات الجذر.
تكوين نظام التنبيه
يُخطرك Cisco ISE عندما يكون تاريخ انتهاء صلاحية الشهادة المحلية في غضون 90 يومًا. يساعدك هذا الإشعار المسبق في تجنب الشهادات منتهية الصلاحية، والتخطيط لتغيير الشهادة، ومنع أو تقليل وقت التوقف عن العمل.
يظهر الإشعار بعدة طرق:
- تظهر رموز حالة انتهاء الصلاحية الملونة على صفحة الشهادات المحلية.
- تظهر رسائل انتهاء الصلاحية في تقرير تشخيص نظام Cisco ISE.
- يتم إصدار إنذارات انتهاء الصلاحية بعد 90 يومًا و60 يومًا، ثم يوميًا في آخر 30 يومًا قبل انتهاء الصلاحية.
قم بتكوين ISE لإشعار البريد الإلكتروني بإنذارات انتهاء الصلاحية. في وحدة تحكم ISE، انتقل إلى الإدارة > النظام > الإعدادات > خادم SMTP، وحدد خادم بروتوكول نقل البريد البسيط (SMTP)، وحدد إعدادات الخادم الأخرى بحيث يتم إرسال إشعارات البريد الإلكتروني للتنبيهات:
هناك طريقتان يمكنك من خلالهما إعداد الإشعارات:
التحقق من الصحة
استخدم هذا القسم لتأكيد عمل التكوين بشكل صحيح.
التحقق من نظام التنبيه
تحقق من أن نظام التنبيه يعمل بشكل صحيح. في هذا المثال، يؤدي تغيير التكوين إلى إنشاء تنبيه بمستوى خطورة المعلومات. (إنذار المعلومات هو الأقل خطورة، في حين أن انتهاء صلاحية الشهادة يؤدي إلى مستوى خطورة أعلى من التحذير.)
هذا مثال على إنذار البريد الإلكتروني الذي أرسله ISE:
التحقق من تغيير الشهادة
يوضح هذا الإجراء كيفية التحقق من تثبيت الشهادة بشكل صحيح وكيفية تغيير أدوار EAP و/أو المسؤول:
- من وحدة التحكم ISE، انتقل إلى الإدارة > الشهادات > شهادات النظام وحدد الشهادة الجديدة لعرض التفاصيل.
تحذير: في حالة تمكين إستخدام المسؤول، تتم إعادة تشغيل خدمة ISE، مما يؤدي إلى توقف الخادم عن العمل.
- للتحقق من حالة الشهادة على خادم ISE، أدخل هذا الأمر في (واجهة سطر الأوامر) CLI:
CLI:> show application status ise
- بمجرد تنشيط جميع الخدمات، حاول تسجيل الدخول كمسؤول.
- بالنسبة لسيناريو النشر الموزع، انتقل إلى الإدارة > النظام > النشر. تحقق من أن العقدة تحتوي على رمز أخضر. ضع المؤشر فوق الرمز للتحقق من ظهور وسيلة الإيضاح "متصل".
- تحقق من نجاح مصادقة المستخدم النهائي. للقيام بذلك، انتقل إلى العمليات > RADIUS > المسافات الحلوية. يمكنك العثور على محاولة مصادقة محددة والتحقق من مصادقة هذه المحاولات بنجاح.
التحقق من الشهادة
إذا كنت تريد التحقق من الشهادة خارجيًا، فيمكنك استخدام أدوات Microsoft Windows المضمنة أو مجموعة أدوات OpenSSL.
OpenSSL هو تطبيق مفتوح المصدر لبروتوكول طبقة مآخذ التوصيل الآمنة (SSL). إذا كانت الشهادات تستخدم CA خاص بك، فيجب عليك وضع شهادة CA الجذرية الخاصة بك على جهاز محلي واستخدام خيار OpenSSL المتمثل في -CApath. إذا كان لديك CA وسيط، فيجب عليك وضعه في نفس الدليل أيضًا.
من أجل الحصول على معلومات عامة عن الشهادة والتحقق منها، استخدم:
openssl x509 -in certificate.pem -noout -text
openssl verify certificate.pem
يمكن أن يكون من المفيد أيضا تحويل الشهادات باستخدام مجموعة أدوات OpenSSL:
openssl x509 -in certificate.der -inform DER -outform PEM -out certificate.pem
استكشاف الأخطاء وإصلاحها
هناك حاليا ما من معلومات تشخيص محددة يتوفر ل هذا تشكيل.
القرار
نظرًا لأنه يمكنك تثبيت شهادة جديدة على ISE قبل تنشيطها، توصي Cisco بتثبيت الشهادة الجديدة قبل انتهاء صلاحية الشهادة القديمة. تمنحك فترة التداخل هذه بين تاريخ انتهاء صلاحية الشهادة القديمة وتاريخ بدء الشهادة الجديدة وقتًا لتجديد الشهادات والتخطيط لتثبيتها مع زمن تعطل قليلة أو معدومة. بمجرد أن تدخل الشهادة الجديدة نطاق التاريخ الصالح الخاص بها، قم بتمكين EAP و/أو المسؤول. تذكّر، إذا قمت بتمكين استخدام المسؤول، فهناك إعادة تشغيل للخدمة.