bg-blog-articles

ما هي حزمة المرجع المصدق (CA) في SSL وكيفية إنشائها؟

أنت تقوم بتثبيت شهادة SSL على الخادم الخاص بك، وفجأة أنت عالق. يطلب منك التكوين ملف“حزمة CA Bundle“، ولست متأكداً من ماهيته أو مكان العثور عليه. لست وحدك – هذا الأمر يزعج الكثير من الأشخاص أثناء تثبيت SSL.

ما هي حزمة CA Bundle

حزم CA Bundles ليست معقدة بمجرد فهمك لما تقوم به. في هذا الدليل، سنتعرف في هذا الدليل على ماهية حزمة CA Bundle بالضبط، ولماذا يحتاجها خادمك، وكيفية إنشاء أو الحصول على واحدة في بضع دقائق فقط. في النهاية، ستكون قادراً على التعامل مع حزم CA Bundles بثقة وتجنب أخطاء “الشهادة غير موثوق بها” المحبطة.


جدول المحتويات

  1. ما هي حزمة CA Bundle؟
  2. سبب أهمية حزمة المرجع المصدق (CA) لأمان SSL
  3. كيفية الحصول على باقة CA الخاصة بك
  4. كيفية إنشاء حزمة CA Bundle
  5. التحقق من حزمة المرجع المصدق (CA) الخاصة بك
  6. تثبيت حزمة CA على الخادم الخاص بك
  7. مشكلات حزمة CA الشائعة وحلولها
  8. أفضل ممارسات حزمة CA Bundle Bundle

وفر 10% على شهادات SSL عند الطلب من SSL Dragon اليوم!

إصدار سريع، وتشفير قوي، وثقة في المتصفح بنسبة 99.99%، ودعم مخصص، وضمان استرداد المال خلال 25 يومًا. رمز القسيمة: SAVE10

صورة مفصلة لتنين أثناء طيرانه

ما هي حزمة CA Bundle؟

حزمة CA Bundle عبارة عن ملف واحد يحتوي على شهادات وسيطة وشهادات جذرية من المرجع المصدق الخاص بك. عندما يتم دمجها مع شهادة الخادم الخاص بك، فإنها تكمل سلسلة شهادات SSL الخاصة بك، وهي سلسلة الشهادات التي تستخدمها المستعرضات للتحقق من شرعية موقعك.

فكر في الأمر على هذا النحو: تقول شهادة الخادم الخاص بك “أنا example.com”، لكن المتصفحات تحتاج إلى إثبات. توفر حزمة CA Bundle هذا الإثبات من خلال إظهار المسار الموثوق به من شهادتك وصولاً إلى الشهادة الجذر التي تثق بها المستعرضات بالفعل.

تتطلب معظم شهادات SSL حزمة CA Bundle (الاستثناء الرئيسي هو شهادات بتنسيق PKCS#7، والتي تتضمن الحزمة بالفعل). فبدونها، لا يمكن للمتصفحات التحقق من صحة شهادتك، مما يؤدي إلى تحذيرات أمنية تبعد الزوار عنك.

مكونات حزمة CA Bundle

تحتوي حزمة CA النموذجية على نوعين من الشهادات:

  1. الشهادات الوسيطة. وهي الشهادات التي يصدرها المرجع المصدق لسد الفجوة بين شهادة الخادم والشهادة الجذر. غالبًا ما تستخدم المراجع المصدقة الكبيرة مثل Sectigo و DigiCert العديد من الجهات الوسيطة لتوزيع عبء عمل توقيع الشهادة وإدارة أنواع الشهادات المختلفة.
  2. الشهادات الجذرية. وهي شهادات المستوى الأعلى في سلسلة الثقة. تأتي المستعرضات وأنظمة التشغيل محملة مسبقاً بشهادات جذرية من المراجع المصدقة الموثوق بها. عندما يرى المستعرض شهادة جذر يتعرف عليها، فإنه يعرف أن سلسلة الشهادات بأكملها صالحة.

يحتوي الملف نفسه عادةً على امتداد .pem أو .crt أو .ca-bundle. ستجد في الداخل، ستجد الشهادات بتنسيق PEM – كتل نصية تبدأ بـ —–BIGIN CERTIFICATE—– وتنتهي بـ —–END CERTIFICATE—–.

سلسلة الشهادات الموثوقة

إليك كيفية عمل سلسلة شهادات SSL عملياً:

  1. شهادة الخادم (شهادة موقعك الإلكتروني) – تحتوي على اسم نطاقك والمفتاح العام
  2. الشهادة (الشهادات الوسيطة) الوسيطة (من حزمة CA Bundle) – موقعة من قبل المرجع المصدق (CA) الجذر، وتوقع شهادتك
  3. شهادة الجذر (من حزمة CA Bundle) – موثوق بها مسبقاً من قبل المتصفحات وأنظمة التشغيل
سلسلة الشهادات الموثوقة

عندما يزور شخص ما موقعك عبر HTTPS، يقوم متصفحه بإجراء مصافحة SSL. أثناء هذه العملية، يقوم المتصفح بالتحقق من صحة كل رابط في السلسلة، بدءاً من شهادة الخادم الخاص بك وصولاً إلى جذر موثوق به. هذا هو PKI (البنية التحتية للمفتاح العام) في العمل.

إذا كان أي رابط في هذه السلسلة مفقودًا – عادةً بسبب عدم تثبيت حزمة CA Bundle – فلن يتمكن المتصفح من إكمال عملية التحقق من الصحة. والنتيجة؟ تحذيرات أمنية مثل “اتصالك غير خاص” أو “الشهادة غير موثوق بها”.


سبب أهمية حزمة المرجع المصدق (CA) لأمان SSL

تخدم حزمة CA Bundle العديد من الوظائف المهمة التي تتجاوز مجرد ظهور أيقونة القفل.

توافق المتصفح
تحتفظ المستعرضات وأنظمة التشغيل المختلفة بمخازن ثقة مختلفة للشهادات. تضمن حزمة CA Bundle التوافق عبر مستعرضات سطح المكتب والأجهزة المحمولة وعملاء البريد الإلكتروني وأدوات واجهة برمجة التطبيقات. وهذا مهم بشكل خاص لإصدارات المستعرضات القديمة التي قد لا تحتوي على أحدث الشهادات الوسيطة.

الحماية ضد التهديدات الأمنية
تساعد حزمة CA المكوّنة بشكل صحيح في منع هجمات الرجل في الوسط من خلال التحقق من صحة الشهادة على مستويات متعددة. تجعل سلسلة الشهادات التزوير شبه مستحيل لأن كل شهادة موقعة بشكل مشفر من قبل الشهادة التي تسبقها.

الوفاء بمتطلبات الامتثال
تتطلب العديد من الصناعات تكوين SSL/TLS المناسب:

  • يتطلب نظام PCI DSS النقل الآمن لبيانات حامل البطاقة
  • تفرض اللائحة العامة لحماية البيانات (GDPR ) تدابير أمنية مناسبة للبيانات الشخصية
  • يتطلب قانون HIPAA التواصل الآمن لمعلومات الرعاية الصحية

يمكن أن تؤدي حزمة CA Bundle المفقودة أو التي تم تكوينها بشكل غير صحيح إلى عدم الامتثال، حتى لو كانت شهادتك نفسها صالحة.


كيفية الحصول على باقة CA الخاصة بك

لا تحتاج إلى إنشاء حزمة CA Bundle من الصفر في كل مرة. فيما يلي الطرق الرئيسية للحصول على واحدة:

1. من المرجع المصدق الخاص بك
عندما تشتري شهادة SSL من موفري خدمات مثل Sectigo أو DigiCert أو GeoTrust، فإنهم عادةً ما يقدمون حزمة المرجع المصدق (CA Bundle) مع شهادة الخادم الخاص بك. بالنسبة لعملاء SSL Dragon، ستجد حزمة المرجع المصدق (CA Bundle) الخاصة بك في لوحة معلومات الشهادة الخاصة بك بعد الإصدار مباشرةً.

2. التنزيل من مستودعات المراجع المصدقة الرسمية
تحتفظ معظم المراجع المصدقة الرئيسية بمستودعات عامة حيث يمكنك تنزيل الشهادات الجذرية والوسيطة. تنشر كل من Sectigo و DigiCert و Let’s Encrypt وغيرها من المراجع المصدقة الأخرى سلاسل الشهادات الخاصة بها على مواقع الدعم الخاصة بها.

3. الاستخراج من مخزن الشهادات
تحتفظ أنظمة التشغيل بمخازن ثقة الشهادات التي يمكنك الوصول إليها:

  • ويندوز: استخدم certmgr.msc للوصول إلى مدير الشهادات
  • لينكس/ماكوس: دليل /etc/ssl/certs/ الدليل

كيفية إنشاء حزمة CA (دليل خطوة بخطوة)

تحتاج أحيانًا إلى إنشاء حزمة CA Bundle يدويًا – ربما تكون قد تلقيت ملفات شهادات فردية فقط. إليك كيفية القيام بذلك بشكل صحيح.

المتطلبات الأساسية

قبل أن تبدأ، تأكد من أن لديك

  • ملف (ملفات) الشهادة (الشهادات) الوسيطة
  • ملف شهادة الجذر الخاص بك
  • مُحرِّر نصوص (Notepad++، أو nano، أو vim، أو حتى المفكرة الأساسية)

الطريقة 1: استخدام محرر النصوص

تعمل هذه الطريقة على أي منصة ولا تتطلب خبرة فنية.

الخطوة 1: حدد موقع ملفات الشهادات الخاصة بك

ابحث عن ملفات الشهادات التي يوفرها المرجع المصدق (CA) الخاص بك. أنت تبحث عن الشهادات الوسيطة والجذرية – وليس شهادة الخادم الخاص بك. تحتوي الملفات عادةً على امتدادات مثل .crt أو .pem أو .cer.

الخطوة 2: افتح كل شهادة

افتح شهادتك الوسيطة في محرر نصوص. سترى محتوى مثل

-----BEGIN CERTIFICATE-----
MIIGEzCCA/ugAwIBAgIQfVtRJrR2uhHbdBYLvFMNpzANBgkqhkiG9w0BAQwFADCB
[many lines of encoded data]
-----END CERTIFICATE-----

الأجزاء المهمة هي رأس —–بداية الشهادة—– وتذييل —– نهاية الشهادة—–. تأكد من وجودهما واكتمالهما.

الخطوة 3: إنشاء ملف الحزمة الخاصة بك

قم بإنشاء ملف فارغ جديد في محرر النصوص الخاص بك. قم بتسميته yourdomain.ca-bundle أو ca-bundle.crt. لا يهم الامتداد كثيرًا – يمكنك استخدام الامتداد .pem أو .crt أو .ca-bundle.

الخطوة 4: نسخ الشهادات بالترتيب الصحيح

هذه هي الخطوة الحاسمة. يجب أن يكون الترتيب:

  1. أولاً: شهادتك الوسيطة (الشهادة التي وقّعت مباشرةً على شهادة الخادم الخاص بك)
  2. ثانياً: أي شهادات وسيطة إضافية (إذا كان لديك عدة شهادات)
  3. الأخير: شهادة الجذر

انسخ كل شهادة بالكامل، بما في ذلك سطري البداية والنهاية. لا تقم بإضافة مسافات إضافية أو أسطر فارغة بين الشهادات.

إليك الشكل الذي تبدو عليه حزمة CA الصحيحة:

-----BEGIN CERTIFICATE-----
[Intermediate Certificate 1]
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
[Root Certificate]
-----END CERTIFICATE-----

الخطوة 5: احفظ الملف

احفظ ملفك بترميز UTF-8. تحقق مرة أخرى من أن كل شهادة تبدأ بـ —–بداية الشهادة—– وتنتهي بـ —– نهاية الشهادة—– بدون مسافات إضافية.

الطريقة 2: استخدام سطر الأوامر

إذا كنت على دراية بسطر الأوامر، يمكنك إنشاء حزمة CA Bundle في ثوانٍ.

لينكس/ماك أو إس:

cat intermediate.crt root.crt > ca-bundle.crt

موجه أوامر ويندوز:

copy /b intermediate.crt + root.crt ca-bundle.crt

تقوم هذه الأوامر بربط ملفات الشهادات بالترتيب. تأكد من إدراجها بالتسلسل الصحيح: الشهادات الوسيطة أولاً، ثم الشهادة الجذر.

الأخطاء الشائعة التي يجب تجنبها

  • ترتيب الشهادة الخاطئ – الخطأ الأكثر شيوعًا هو وضع الشهادة الجذر أولاً
  • مسافات بيضاء إضافية – لا تقم بإضافة أسطر فارغة بين الشهادات
  • الرؤوس المفقودة – انسخ كتلة الشهادة بالكامل بما في ذلك أسطر البداية/النهاية
  • بما في ذلك شهادة الخادم الخاص بك – يجب أن تحتوي حزمة CA Bundle على شهادات وسيطة وجذرية فقط

وفر 10% على شهادات SSL عند الطلب من SSL Dragon اليوم!

إصدار سريع، وتشفير قوي، وثقة في المتصفح بنسبة 99.99%، ودعم مخصص، وضمان استرداد المال خلال 25 يومًا. رمز القسيمة: SAVE10

صورة مفصلة لتنين أثناء طيرانه

التحقق من حزمة المرجع المصدق (CA) الخاصة بك

قبل تثبيت حزمة CA Bundle على خادم إنتاج، تحقق من صحتها.

استخدام OpenSSL

OpenSSL هو الأداة القياسية للعمل مع شهادات SSL:

openssl verify -CAfile ca-bundle.crt your-server-certificate.crt

إذا كان كل شيء على ما يرام، سترى:

your-server-certificate.crt: OK

إذا كانت هناك مشكلة، سيخبرك OpenSSL بالخطأ، مثل الشهادات المفقودة أو الترتيب غير الصحيح.

استخدام أدوات فحص SSL عبر الإنترنت

يقدم SSL Dragon أداة SSL Checker مجانية للتحقق من صحة سلسلة شهاداتك. بمجرد تثبيت شهادتك، ستقوم الأداة بما يلي:

  • إظهار سلسلة الشهادات الكاملة
  • تحديد أي شهادات وسيطة مفقودة
  • تحقق من تواريخ انتهاء صلاحية الشهادة
  • اختبار التوافق عبر المتصفحات المختلفة

تثبيت حزمة CA على الخادم الخاص بك

تختلف عملية التثبيت حسب المنصة. إليك نظرة عامة سريعة:

أباتشي. استخدم توجيه SSLCertificateChainChainFile:

SSLCertificateChainFile /path/to/ca-bundle.crt

Nginx. حدد الشهادة الموثوق بها:

ssl_trusted_certificate /path/to/ca-bundle.crt;

cPanel/WHM. استخدم واجهة الويب للصق حزمة المرجع المصدق (CA) في حقل “حزمة المرجع المصدق”.

IIS (خادم Windows). قم باستيراد الشهادات الوسيطة إلى “المراجع المصدقة الوسيطة” والشهادات الجذرية إلى “المراجع المصدقة الجذرية الموثوق بها” باستخدام “مدير الشهادات”.

للحصول على أدلة تثبيت مفصلة خاصة ببيئة الخادم الخاص بك، راجع وثائق تثبيت SSL Dragon.


مشكلات حزمة CA الشائعة وحلولها

المشكلة 1: خطأ “سلسلة الشهادات غير مكتملة”

الأعراض: تقوم أدوات اختبار SSL بالإبلاغ عن شهادة وسيطة مفقودة، أو تظهر بعض المتصفحات تحذيرات.

الحل: قم بتنزيل حزمة الشهادات الكاملة من موقع CA الخاص بك على الويب. تحقق من تضمين جميع الشهادات الوسيطة، وليس شهادة واحدة فقط. تحقق من صحة الترتيب.

الإصدار 2: ترتيب شهادة خاطئ

الأعراض: أخطاء في التحقق من صحة الشهادة، أو تحذيرات SSL متقطعة في المتصفحات.

الحل: أعد ترتيب شهاداتك بحيث تأتي الشهادة التي وقّعت على شهادة الخادم الخاص بك أولاً، وتأتي الشهادة الجذر في النهاية. احفظها وأعد تحميلها على خادمك.

الإصدار 3: ارتباك في تنسيق PKCS#7

الأعراض: لقد استلمت ملف .p7b ولست متأكداً مما إذا كنت بحاجة إلى حزمة CA.

الحل: تتضمن ملفات PKCS#7 (.p7b) بالفعل حزمة CA Bundle. لا تحتاج إلى إنشاء واحدة منفصلة. إذا كان خادمك يتطلب تنسيق PEM، فقم بتحويله:

openssl pkcs7 -print_certs -in certificate.p7b -out certificate-with-chain.pem

المسألة 4: شهادة وسيطة منتهية الصلاحية

الأعراض: أخطاء SSL المفاجئة في موقع كان يعمل سابقاً.

الحل: قم بتنزيل أحدث حزمة CA من المرجع المصدق (CA) من المرجع المصدق لديك. تقوم المراجع المصدقة الرئيسية بنشر شهادات وسيطة محدثة قبل انتهاء صلاحية الشهادات القديمة. استبدل الحزمة القديمة بالحزمة الجديدة.


أفضل ممارسات حزمة CA Bundle Bundle

  • الاحتفاظ بنسخ احتياطية – قم بتخزين شهادة الخادم والمفتاح الخاص وحزمة المرجع المصدق (CA) في مكان آمن. ستحتاج إليها إذا قمت بنقل الخوادم أو إعادة التثبيت.
  • استخدم المصادر الرسمية فقط – احصل دائمًا على حزمة المرجع المصدق (CA) من الموقع الرسمي لجهة التصديق الخاصة بك. قد تكون مستودعات الجهات الخارجية قديمة أو مخترقة.
  • مراقبة تواريخ انتهاء الصلاحية – تنتهي صلاحية الشهادات الجذرية والوسيطة أيضاً. تعيين تذكيرات للتحقق من تحديثات المرجع المصدق (CA).
  • الاختبار قبل الإنتاج – اختبر التكوينات الجديدة في بيئة مرحلية أولاً. استخدم أدوات اختبار SSL للتحقق من أن كل شيء يعمل قبل الدفع إلى الإنتاج.
  • توثيق إعداداتك – احتفظ بملاحظات حول الشهادات التي تستخدمها ومكان تثبيتها وتواريخ تجديدها. سوف تقدر ذلك في المستقبل.

الأسئلة الشائعة حول حزمة CA Bundle

هل يمكنني إنشاء حزمة CA Bundle تلقائياً؟
لا يوجد على عكس CSR، التي تقوم بإنشائها بنفسك، يجب أن تأتي حزمة CA Bundle من المرجع المصدق (CA) من المرجع المصدق. يمكنك إنشاء واحدة يدوياً عن طريق دمج الشهادات التي يقدمونها.

ما الفرق بين حزمة CA Bundle وسلسلة الشهادات؟
تحتوي حزمة CA Bundle على الشهادات الوسيطة والجذرية فقط. تتضمن سلسلة الشهادات الكاملة شهادة الخادم بالإضافة إلى حزمة CA Bundle.

هل تتطلب جميع الشهادات حزمة CA Bundle؟
تتطلب معظم شهادات SSL/TLS واحدة. الاستثناء الرئيسي هو شهادات بتنسيق PKCS#7 (ملفات PKCS#7) التي تتضمن الوسائط في الملف نفسه.

هل حزمة CA Bundle هي نفسها لجميع الشهادات من CA واحد؟
بشكل عام نعم. عادةً ما تستخدم الشهادات من نفس النوع (DV أو OV أو EV) من نفس المرجع المصدق (CA) نفس الشهادات الوسيطة.


احصل على شهادة SSL الخاصة بك مع حزمة المرجع المصدق (CA) الخالية من المتاعب من SSL Dragon

ليس من الضروري أن يكون إعداد شهادات SSL معقداً. SSL Dragon يوفر كل ما تحتاجه للتثبيت السلس، بما في ذلك حزم CA التي تم تكوينها مسبقًا، وأدلة التثبيت التفصيلية، ودعم الخبراء.

لماذا يتجنب عملاء SSL Dragon مشاكل حزمة المرجع المصدق (CA Bundle):

حزم التثبيت الكاملة – شهادة الخادم والمفتاح الخاص وحزمة المرجع المصدق (CA) معًا
حزم تم التحقق من صحتها مسبقًا – تم اختبار جميع الشهادات قبل التسليم
دعم الخبراء على مدار الساعة طوال أيام الأسبوع – أشخاص حقيقيون يفهمون SSL
إصدار سريع – شهادات تم التحقق من صحتها في أقل من 5 دقائق
التوافق العالمي – 99.99% التعرف على المتصفح
ضمان استرداد الأموال لمدة 25 يومًا – جرب بدون مخاطرة

تصفح شهادات SSL

وفِّر 10% على شهادات SSL عند الطلب اليوم!

إصدار سريع، وتشفير قوي، وثقة في المتصفح بنسبة 99.99%، ودعم مخصص، وضمان استرداد المال خلال 25 يومًا. رمز القسيمة: SAVE10

صورة مفصلة لتنين أثناء طيرانه

كاتب محتوى متمرس متخصص في شهادات SSL. تحويل موضوعات الأمن السيبراني المعقدة إلى محتوى واضح وجذاب. المساهمة في تحسين الأمن الرقمي من خلال السرد المؤثر.