استكشاف أخطاء شهادة الجهاز

نظرة عامة

عند تكوين مصادقة الجهاز لعملاء SDP، قد تحدث مشكلات تتعلق بالشهادة. تغطي هذه المقالة أساسيات استكشاف أخطاء شهادة الجهاز وإصلاحها. لمزيد من المعلومات حول هذه الميزة، انظر ضبط الأجهزة المعترفة المعتمدة

استكشاف الأخطاء وإصلاحها

فيما يلي خطوات استكشاف الأخطاء المحتملة التي يمكن اتخاذها أثناء التحقيق في مشاكل شهادة الجهاز.

1. كما تم ذكره في استخدام سياسة الاتصال للتحكم بمتطلبات مصادقة الجهاز، يجب أن يتم تكوين الشهادة لكل نظام تشغيل باستخدام سياسة الاتصال.

تحت وضع الجهاز، يمكنك إنشاء فحوصات للجهاز للشهادات (مدعومة في هذه النسخ من العميل) التي يتم تثبيتها على جهاز المستخدم النهائي. التحقق يؤكد وجود شهادة مثبتة على الجهاز تطابق إحدى الشهادات الموقعة المعرفة للحساب. لمزيد من المعلومات، انظر إنشاء فحص شهادة الجهاز

أو، إذا تم إجراء مصادقة الجهاز تحت الوصول -> وصول العميل -> مصادقة الجهاز، تحقق من أن نظام التشغيل المهم مُدرج على أنه مطلوب وليس كحظر.


cma-cert.png

 

2. تظهر جميع الشهادات CA المرفوعة إلى CMA تحت الوصول -> الوصول العميل -> مصادقة الجهاز. هذه هي شهادات السلطة التي قامت بتوقيع شهادة الجهاز. النقر على أيقونة "عرض التفاصيل" يسرد تفاصيل الشهادة بشكل قابل للقراءة.


devauth2.png

 

3. من المهم تأكيد أن شهادة CA لم تنته صلاحيتها. إذا كان الأمر كذلك، فإن PoP يسمح بالاتصال فقط إذا كانت السلطة المصدرة قد وقعت على شهادة الجهاز قبل انتهائها. بالنسبة لشهادات الأجهزة، لا تسمح Cato للعميل بالاتصال بشهادة منتهية الصلاحية. لمزيد من المعلومات، انظر التعامل مع الشهادات المنتهية الصلاحية

 

4. إحدى الطرق للتأكد من رفع شهادات CA الضرورية إلى CMA هي النظر إلى سلسلة شهادات العميل (مسار الشهادة). في هذا المثال، تم توقيع شهادة العميل بواسطة الشهادة الوسيط مع "CN= Issuing CA Client"، والتي بدورها تم توقيعها بواسطة الشهادة الجذرية مع "CN= Root CA". يجب أن تتطابق هذه مع الشهادات المثبتة في CMA.

cert-chain__1_.png

 

5. وفقًا لـ RFC3280، يجب أن يتطابق معرف المفاتيح السلطة لشهادة العميل مع معرف المفاتيح الموضوع للجهة المصدرة (في هذه الحالة، الشهادة الوسيط). هذه طريقة أخرى للتأكد من رفع الشهادات الوسيطة والجذر الصحيحة إلى CMA.


key_identifier__1_.png

 

6. بعد التأكد من أن التكوين يبدو جيدًا وأن الشهادة صالحة، سنقوم بالتحقق من وجود الشهادة على نظام تشغيل العميل.

ملاحظة: لمزيد من المعلومات حول توزيع الشهادات، انظر توزيع وتثبيت شهادات الأجهزة


ويندوز:

في ويندوز، يجب تثبيت شهادات الأجهزة على الكمبيوتر المحلي وليس تحت المستخدم الحالي. هناك طريقتان للتحقق من وجود شهادة الجهاز:

  • افتح نافذة الأوامر واكتب certutil -store My لعرض جميع الشهادات المتاحة للمستخدم على الجهاز. في المثال أدناه، يتطابق مصدر الشهادة الأولى مع موضوع شهادة CA المثبتة في الخطوة رقم 2. إذا لم يكن الأمر كذلك، فإن العميل لا يحتوي على الشهادة اللازمة على الجهاز. 
    Certutil أداة قوية يمكن استخدامها لعرض أو إلغاء أو تجديد الشهادات. قد تجد المزيد من المعلومات حول الأداة هنا.

  • certutil يمكن أيضًا استخدامها لتثبيت ملف شهادة PFX (p12) على الجهاز عن طريق تشغيل الأمر أدناه. هذه هي الطريقة الموصى بها لتثبيت الشهادة على أجهزة ويندوز كما هو موضح في توزيع شهادات الأجهزة على أجهزة ويندوز.

    /certutil -csp "Microsoft Software Key Storage Provider" -importpfx My <path-to-p12-file> NoExport

  • بدلاً من ذلك، يمكنك التحقق من الشهادات المثبتة على الجهاز عن طريق كتابة certlm.msc من قائمة ابدأ في ويندوز. سيظهر جميع الشهادات المثبتة على الكمبيوتر المحلي. يجب تثبيت شهادة الجھاز تحت مجلد شخصي الكمبيوتر المحلي/الشهادات وتحتوي على مفتاح خاص یجب أن یكون ملف PFX قد ثبته.

 

MacOS و iOS:

macOS v5.3 وما دون:

تحقق من أن عميل macOS يحتوي على ملف التكوين الذي تم توزيعه مسبقًا عبر MDM أو Apple Configurator. يمكن العثور على الملف في إعدادات الخصوصية & الأمن لنظام macOS 13. للعثور على الملف الشخصي في إصدارات macOS الأقدم، انظر دليل مستخدم macOS.

أي إصدار iOS:

تحقق من أن جهاز iOS يحتوي على ملف التكوين الذي تم توزيعه مسبقًا عبر MDM أو Apple Configurator. يمكن العثور على الملف تحت عام > إدارة VPN & الأجهزة > ملف التكوين لنظام iOS18. للعثور على الملف الشخصي في إصدارات iOS الأقدم، انظر دليل مستخدم iOS.

 

تأكد من أن ملف تعريف VPN قد تم تكوينه بشكل صحيح. يجبی تكوين تحميل VPN حسب نوع الجهاز (macOS أو iOS):

  • نوع الاتصال: SSL مخصص

  • المعرف:

    • لنظام macOS:  com.catonetworks.mac.CatoClient 
    • لنظام iOS:  CatoNetworks.CatoVPN 
  • الخادم: vpn.catonetworks.net
  • الحساب: أضف اسم حسابك. على سبيل المثال: CatoNetworksAccount.
    • لعملاء iOS الإصدار 5.6 وما فوق: حدد الحساب كـ "CatoClientVPN."

  • معرف حزمة الموفر:

    • لنظام macOS: com.catonetworks.mac.CatoClient.CatoClientSysExtension
    • لـ iOS: ‎CatoNetworks.CatoVPN.CatoVPNNEExtenstion 
  • متطلبات الموفر المحددة: فارغ
  • مصادقات المستخدم: الشهادة
  • نوع الموفر: نفق الحزمة
  • الاعتمادات: اختر الشهادة من حمولة "الشهادات"
  • إعداد البروكسي: لا شيء

لمعلومات تفصيلية عن تكوين ملف تعريف VPN، انظر توزيع شهادات الأجهزة لأجهزة macOS و iOS.

 

macOS v5.4 وما فوق:

بدءًا من عميل macOS v5.4، يمكن تثبيت الشهادة مباشرة على الجهاز بدون توزيع MDM. يمكن العثور على الشهادة والمفتاح الخاص في الوصول إلى سلسلة المفاتيح. 

يمكن توزيع شهادات الجهاز على أجهزة macOS كما هو موضح في توزيع شهادات الجهاز وعبر Microsoft Active Directory باستخدام Windows Enterprise CA. انظر: كيفية إنشاء ونشر شهادة عميل لأجهزة Mac بشكل مستقل عن مدير التكوين 

يمكن العثور على شهادة المستخدم تحت قسم تسجيل الدخول في الوصول إلى سلسلة المفاتيح:

  • تأكد من ضبط الشهادة على 'الوثوق دائماً'.
  • تأكد من أن إعداد التحكم في الوصول للمفتاح الخاص يسمح للعميل Cato أو 'السماح لجميع التطبيقات بالوصول إلى هذا العنصر'.

 

هل كان هذا المقال مفيداً؟

1 من 3 وجدوا هذا مفيداً

لا توجد تعليقات