يمكنك إضافة شهادات من واجهة الويب المحلية للجهاز. بدلا من ذلك، يمكنك إضافة شهادات عن طريق تشغيل أوامر API. لمعرفة الأوامر التي تسمح لك بإضافة شهادات، راجع roomos.cisco.com .

شهادات الخدمة والمراجع المصدقة الموثوقة

قد يكون التحقق من صحة الشهادة مطلوبا عند استخدام TLS (أمان طبقة النقل). قد يطلب الخادم أو العميل أن يقدم الجهاز شهادة صالحة له قبل إعداد الاتصال.

الشهادات هي ملفات نصية تتحقق من صحة الجهاز. يجب توقيع هذه الشهادات بواسطة مرجع مصدق موثوق به (CA). للتحقق من توقيع الشهادات، يجب أن توجد قائمة بالمراجع المصدقة الموثوقة على الجهاز. يجب أن تتضمن القائمة جميع المراجع المصدقة اللازمة للتحقق من الشهادات الخاصة بكل من تسجيل التدقيق والاتصالات الأخرى.

يتم استخدام الشهادات للخدمات التالية: خادم HTTPS وSIP وIEEE 802.1X وتسجيل التدقيق. يمكنك تخزين عدة شهادات على الجهاز، ولكن يتم تمكين شهادة واحدة فقط لكل خدمة في كل مرة.

في RoomOS أكتوبر 2023 والإصدارات الأحدث، عند إضافة شهادة CA إلى جهاز، يتم تطبيقها أيضا على Room Navigator إذا كان أحدها متصلا. لمزامنة شهادات المرجع المصدق المضافة مسبقا مع مستكشف الغرف المتصل، يجب عليك إعادة تشغيل الجهاز. إذا كنت لا تريد أن تحصل الأجهزة الطرفية على نفس الشهادات مثل الجهاز المتصل به، فقم بتعيين تكوين شهادات أمان الأجهزة الطرفية SyncToPeripherals إلى خطأ.


لا يتم حذف الشهادات المخزنة مسبقا تلقائيا. يتم إلحاق الإدخالات في ملف جديد مع شهادات CA بالقائمة الموجودة.

للاتصال Wi-Fi

نوصي بإضافة شهادة CA موثوق بها لكل جهاز لوحة أو مكتب أو سلسلة غرفة، إذا كانت شبكتك تستخدم مصادقة WPA-EAP. يجب عليك القيام بذلك بشكل فردي لكل جهاز، وقبل الاتصال Wi-Fi.

لإضافة شهادات للاتصال Wi-Fi، تحتاج إلى الملفات التالية:

  • قائمة شهادات CA (تنسيق الملف: . بيم)

  • الشهادة (تنسيق الملف: . بيم)

  • المفتاح الخاص، إما كملف منفصل أو مضمن في نفس ملف الشهادة (تنسيق الملف: . بيم)

  • عبارة المرور (مطلوبة فقط إذا كان المفتاح الخاص مشفرا)

يتم تخزين الشهادة والمفتاح الخاص في نفس الملف على الجهاز. في حالة فشل المصادقة، لن يتم إنشاء الاتصال.


لا يتم تطبيق المفتاح الخاص وعبارة المرور على الأجهزة الطرفية المتصلة.

إضافة شهادات على أجهزة اللوحة والمكتب وسلسلة الغرف

1

من عرض العميل في https://admin.webex.com ، انتقل إلى صفحة الأجهزة ، وحدد جهازك في القائمة. انتقل إلى الدعم وقم بتشغيل عناصر التحكم في الجهاز المحلية.

إذا قمت بإعداد مستخدم مسؤول محلي على الجهاز، فيمكنك الوصول إلى واجهة الويب مباشرة عن طريق فتح مستعرض ويب وكتابة https://<endpoint ip أو اسم المضيف> .

2

انتقل إلى الأمان > شهادات > مخصص > إضافة شهادة وقم بتحميل شهادات جذر المرجع المصدق.

3

في openssl ، قم بإنشاء مفتاح خاص وطلب شهادة. انسخ محتوى طلب الشهادة. ثم الصقها لطلب شهادة الخادم من المرجع المصدق (CA).

4

قم بتنزيل شهادة الخادم الموقعة من المرجع المصدق. تأكد من وجودها في . تنسيق PEM.

5

انتقل إلى الأمان > الشهادات > الخدمات > إضافة شهادة وقم بتحميل المفتاح الخاص وشهادة الخادم.

6

قم بتمكين الخدمات التي تريد استخدامها للشهادة التي أضفتها للتو.

بروتوكول تسجيل الشهادات البسيطة (SCEP)

يوفر بروتوكول تسجيل الشهادات البسيطة (SCEP) آلية تلقائية للتسجيل وتحديث الشهادات المستخدمة على سبيل المثال لمصادقة 802.1X على الأجهزة. يتيح لك SCEP الحفاظ على وصول الجهاز إلى شبكات آمنة دون تدخل يدوي.

  • عندما يكون الجهاز جديدا أو تمت إعادة ضبطه على الإعدادات الأصلية، فإنه يحتاج إلى الوصول إلى الشبكة للوصول إلى عنوان URL الخاص ب SCEP. يجب أن يكون الجهاز متصلا بالشبكة بدون 802.1X للحصول على عنوان IP.

  • إذا كنت تستخدم SSID تسجيل لاسلكي، فستحتاج إلى المرور عبر شاشات الإعداد لتهيئة الاتصال بالشبكة.

  • بمجرد اتصالك بشبكة التوفير، لا يلزم أن يكون الجهاز على شاشة إعداد معينة في هذه المرحلة.

  • لاحتواء جميع عمليات النشر، لن تخزن واجهات برمجة تطبيقات xAPIs لتسجيل SCEP شهادة المرجع المصدق المستخدمة لتوقيع شهادة الجهاز. لمصادقة الخادم، يجب إضافة شهادة المرجع المصدق (CA) المستخدمة للتحقق من صحة شهادة الخادم مع إضافة المرجع المصدق لشهادات أمان xCommand.

المتطلبات الأساسية

تحتاج إلى المعلومات التالية:

  • عنوان URL لخادم SCEP.

  • بصمة شهادة CA (Certificate Authority) الموقعة.

  • معلومات الشهادة للتسجيل. هذا يشكل اسم الموضوع للشهادة.

    • الاسم الشائع

    • اسم الدولة

    • اسم المؤسسة

  • كلمة مرور التحدي الخاصة بخادم SCEP إذا كنت قد هيأت خادم SCEP لفرض كلمة مرور لمرة واحدة أو سر مشترك.

نرسل طلب شهادة صالح لمدة عام واحد لانتهاء صلاحية الشهادة. يمكن للنهج من جانب الخادم تغيير تاريخ انتهاء الصلاحية أثناء توقيع الشهادة.

اتصال إيثرنت

عند اتصال جهاز بشبكة، تأكد من إمكانية وصوله إلى خادم SCEP. يجب أن يكون الجهاز متصلا بشبكة بدون 802.1x للحصول على عنوان IP. قد يلزم تقديم عنوان MAC الجهاز إلى شبكة التوفير من أجل الحصول على عنوان IP. يمكن العثور على عنوان MAC على واجهة المستخدم أو على الملصق الموجود في الجزء الخلفي من الجهاز.

بعد توصيل الجهاز بالشبكة، يمكنك توصيل SSH بالجهاز كمسؤول للوصول إلى TSH، ثم تشغيل الأمر التالي لإرسال طلب SCEP للتسجيل: 
طلب SCEP التسجيل في خدمات شهادات الأمان xCommand

بمجرد أن يعيد خادم SCEP شهادة الجهاز الموقعة، قم بتنشيط 802.1X ثم أعد تشغيل الجهاز.

تفعيل الشهادة الموقعة:
تنشيط خدمات شهادات الأمان xCommand

أعد تشغيل الجهاز بعد تنشيط الشهادة.

اتصال لاسلكي

عند توصيل جهاز بشبكة لاسلكية، تأكد من إمكانية وصوله إلى خادم SCEP.

بعد توصيل الجهاز بالشبكة، يمكنك توصيل SSH بالجهاز كمسؤول للوصول إلى TSH، ثم تشغيل الأمر التالي لإرسال طلب SCEP للتسجيل: 
طلب SCEP التسجيل في خدمات شهادات الأمان xCommand

يستلم الجهاز الشهادة الموقعة من خادم SCEP.

تفعيل الشهادة الموقعة: 

تنشيط خدمات شهادات الأمان xCommand
بعد التنشيط ، تحتاج إلى تكوين شبكة Wi-Fi بمصادقة EAP-TLS. 
xCommand شبكة واي فاي تكوين

بشكل افتراضي، يتخطى تكوين Wi-Fi عمليات التحقق من صحة الخادم. إذا كانت المصادقة أحادية الاتجاه فقط مطلوبة ، فاحتفظ ب AllowMissingCA افتراضيا إلى True.

لفرض التحقق من صحة الخادم، تأكد من تعيين المعلمة الاختيارية AllowMissingCA إلى False. إذا تعذر إنشاء اتصال بسبب أخطاء في التحقق من صحة الخدمة، فتحقق من إضافة المرجع المصدق الصحيح للتحقق من شهادة الخادم التي قد تكون مختلفة عن شهادة الجهاز.

أوصاف API

الوظيفة: مشرف ، متكامل

طلب SCEP التسجيل في خدمات شهادات الأمان xCommand

طلب وتنزيل شهادة جهاز موقعة

البارامترات:

  • عنوان URL(ص): <S: 0, 128>

    عنوان URL لخادم SCEP المستخدم لتسجيل شهادة.

  • البصمة (ص): <S: 0 ، 128>

    بصمة المرجع المصدق المصدر التي ستوقع على طلب X509.

  • كلمة المرور للتحدي: <S: 0, 128>

    كلمة المرور السرية المشتركة التي عينها خادم SCEP.

  • الاسم الشائع: <الصورة: 0, 128>

  • اسم الدولة: <S: 0, 128>

  • اسم المنظمة: <الصورة: 0, 128>

  • ساندنز[5]: <ق: 0، 128>

  • SanEmail[5]: <S: 0, 128>

  • SanIp[5]: <S: 0, 128>

  • سانوري[5]: <ق: 0، 128>

طلب تجديد SCEP التسجيل في خدمات شهادات الأمان xCommand

إنشاء أو تحديث ملف تعريف التجديد التلقائي الذي يتم تطبيقه على جميع الشهادات الصادرة عن المرجع المصدق المحدد قبل انتهاء صلاحية الشهادات

البارامترات:

  • البصمة: <S: 0, 128>

    بصمة المرجع المصدق المصدر الموقعة على الشهادات.

  • عنوان URL(ص): <S: 0, 128>

    عنوان URL لخادم SCEP المستخدم لتجديد الشهادات. 

xCommand شهادات الأمان التسجيل في الخدمات تجديد SCEP حذف

قم بإزالة ملف التعريف الذي تم تجديده تلقائيا للمرجع المصدق المحدد. يؤدي هذا إلى إيقاف الشهادات الموقعة بواسطة هذا المرجع المصدق من التجديد التلقائي

البارامترات:

  • البصمة: <S: 0, 128>

    بصمة المرجع المصدق المصدر لإزالتها.

تسجيل خدمات شهادات الأمان xCommand قائمة تجديد SCEP

أدرج جميع ملفات تعريف التجديد التلقائي المستخدمة حاليا.