السيناريو: تحديد شهادة خادم الإدارة المخصصة
يمكنك تعيين شهادة خادم الإدارة المخصصة، على سبيل المثال، من أجل تكامل أفضل مع البنية الأساسية الحالية للمفتاح العام (PKI) لمؤسستك أو للتهيئة المخصصة لحقول الشهادة. من المفيد استبدال الشهادة فورًا بعد تثبيت خادم الإدارة وقبل انتهاء معالج البدء السريع.
إذا حددت مدة صلاحية أطول من 397 يومًا لشهادة خادم الإدارة، فسيعرض مستعرض الويب خطأً.
المتطلبات الأساسية
يجب إنشاء الشهادة الجديدة بتنسيق PKCS#12 (على سبيل المثال، عن طريق PKI الخاص بالمؤسسة) ويجب أن تكون صادرة عن مرجع مصدق موثوق به (CA). يجب أن تتضمن الشهادة الجديدة أيضًا سلسلة الثقة الكاملة والمفتاح الخاص، والتي يجب تخزينها في ملف بامتداد pfx أو p12. بالنسبة للشهادة الجديدة، يجب استيفاء المتطلبات المذكورة في الجدول أدناه.
نوع الشهادة: الشهادة المشتركة، والشهادة الاحتياطية المشتركة ("C"، "CR")
المتطلبات:
- الحد الأدنى لطول المفتاح: 2048
- القيود الأساسية:
- مرجع معتمد: صحيح
- قيد طول المسار: لا شيء
يمكن لقيمة قيد طول المسار أن تختلف عن "لا شيء" ولكنها لا تقل عن "1".
- استخدام المفتاح:
- توقيع إلكتروني
- توقيع الشهادة
- تشفير المفتاح
- توقيع CRL
- استخدام المفتاح الموسع (EKU): مصادقة الخادم ومصادقة العميل. يعد EKU اختياريًا، ولكن إذا كانت شهادتك تحتوي عليه، فيجب تحديد بيانات مصادقة الخادم والعميل في EKU.
الشهادات الصادرة عن مرجع مصدق عام ليس لديها إذن توقيع الشهادة. لاستخدام هذه الشهادات، تأكد من تثبيت وكيل الشبكة إصدار 13 أو أعلى على نقاط التوزيع أو بوابات الاتصال في شبكتك. وإلا فلن تتمكن من استخدام الشهادات بدون إذن التوقيع.
المراحل
يتم تحديد شهادة خادم الإدارة على مراحل:
- استبدال شهادة خادم الإدارة
استخدم خط الأوامر الأداة المساعدة klsetsrvcert لهذا الغرض.
- تحديد شهادة جديدة واستعادة اتصال وكلاء الشبكة بخادم الإدارة
عند استبدال الشهادة، يفقد جميع عملاء الشبكة الذين كانوا متصلين سابقًا بخادم الإدارة من خلال SSL اتصالهم وسيظهر "خطأ في مصادقة خادم الإدارة". لتحديد الشهادة الجديدة واسترجاع الاتصال، استخدم خط الأوامر الأداة المساعدة klmover.
النتائج
عند الانتهاء من السيناريو، يتم استبدال شهادة خادم الإدارة والمصادقة على الخادم بواسطة وكلاء الشبكة على الأجهزة المدارة.