يمكنك إضافة شهادات من واجهة الويب المحلية للجهاز. بدلا من ذلك، يمكنك إضافة شهادات عن طريق تشغيل الأوامر API. لمعرفة الأوامر التي تسمح لك بإضافة شهادات، راجع roomos.cisco.com .

شهادات الخدمة والمراجع المصدقة الموثوقة

قد يلزم التحقق من صحة الشهادة عند استخدام TLS (أمان طبقة النقل). قد يطلب الخادم أو العميل أن يقدم الجهاز شهادة صالحة له قبل إعداد الاتصال.

الشهادات هي ملفات نصية تتحقق من صحة الجهاز. يجب توقيع هذه الشهادات بواسطة Certificate Authority (CA) موثوق به. للتحقق من توقيع الشهادات، يجب أن توجد قائمة بالمراجع المصدقة الموثوقة على الجهاز. يجب أن تتضمن القائمة جميع المراجع المصدقة اللازمة للتحقق من الشهادات الخاصة بكل من تسجيل التدقيق والاتصالات الأخرى.

يتم استخدام الشهادات للخدمات التالية: خادم HTTPS و SIP و IEEE 802.1X وتسجيل التدقيق. يمكنك تخزين عدة شهادات على الجهاز، ولكن يتم تمكين شهادة واحدة فقط لكل خدمة في كل مرة.

في RoomOS أكتوبر 2023 والإصدارات الأحدث، عند إضافة شهادة CA إلى جهاز، يتم تطبيقها أيضا على Room Navigator إذا كان أحدها متصلا. لمزامنة شهادات المرجع المصدق المضافة مسبقا مع مستكشف الغرف المتصل، يجب عليك إعادة تشغيل الجهاز. إذا كنت لا تريد أن تحصل الأجهزة الطرفية على نفس الشهادات مثل الجهاز المتصل به، فقم بتعيين تكوين شهادات أمان الأجهزة الطرفية SyncToPeripherals إلى خطأ.

للاتصال Wi-Fi

نوصي بإضافة شهادة مرجع مصدق موثوق به لكل جهاز Board أو مكتب أو سلسلة غرف، إذا كانت شبكتك تستخدم مصادقة WPA-EAP. يجب عليك القيام بذلك بشكل فردي لكل جهاز، وقبل الاتصال ب Wi-Fi.

لإضافة شهادات للاتصال Wi-Fi، تحتاج إلى الملفات التالية:

• قائمة شهادات CA (تنسيق الملف: . بيم)

• الشهادة (تنسيق الملف: . بيم)

• المفتاح الخاص، إما كملف منفصل أو مضمن في نفس ملف الشهادة (تنسيق الملف: . بيم)

• عبارة المرور (مطلوبة فقط إذا كان المفتاح الخاص مشفرا)

يتم تخزين الشهادة والمفتاح الخاص في نفس الملف على الجهاز. في حالة فشل المصادقة، لن يتم إنشاء الاتصال.

يوفر بروتوكول تسجيل الشهادات البسيطة (SCEP) آلية تلقائية للتسجيل وتحديث الشهادات المستخدمة على سبيل المثال مصادقة 802.1X على الأجهزة. يتيح لك SCEP الحفاظ على وصول الجهاز إلى شبكات آمنة دون تدخل يدوي.

• عندما يكون الجهاز جديدا أو تمت إعادة ضبطه على الإعدادات الأصلية، فإنه يحتاج إلى الوصول إلى الشبكة للوصول إلى عنوان URL الخاص ب SCEP. يجب أن يكون الجهاز متصلا بالشبكة بدون 802.1X للحصول على عنوان IP.

• إذا كنت تستخدم تسجيلا لاسلكيا SSID ، فأنت بحاجة إلى المرور عبر شاشات الإعداد لتهيئة الاتصال بالشبكة.

• بمجرد اتصالك بشبكة التوفير، لا يلزم أن يكون الجهاز على شاشة إعداد معينة في هذه المرحلة.

• لاحتواء جميع عمليات النشر، لن تخزن واجهات برمجة تطبيقات xAPIs لتسجيل SCEP شهادة المرجع المصدق المستخدمة لتوقيع شهادة الجهاز. لمصادقة الخادم، يجب إضافة شهادة المرجع المصدق (CA) المستخدمة للتحقق من صحة شهادة الخادم مع إضافة المرجع المصدق لشهادات أمان xCommand.

المتطلبات الأساسية

تحتاج إلى المعلومات التالية:

• عنوان URL لخادم SCEP.

• بصمة شهادة CA (Certificate Authority) الموقعة.

• معلومات الشهادة للتسجيل. هذا يشكل اسم الموضوع للشهادة.

  • الاسم الشائع

  • اسم الدولة

  • اسم الولاية أو المقاطعة

  • اسم المنطقة

  • اسم المؤسسة

  • الوحدة التنظيمية

• سيتم ترتيب اسم الموضوع ك / C = / ST = / L = / O = / OU= / CN =

• كلمة مرور التحدي الخاصة بخادم SCEP إذا كنت قد هيأت خادم SCEP لفرض كلمة مرور لمرة واحدة أو سر مشترك.

يمكنك تعيين حجم المفتاح المطلوب لزوج مفاتيح طلب الشهادة باستخدام الأمر التالي. الافتراضي هو 2048.

 حجم مفتاح تسجيل أمان xConfiguration: <2048، 3072، 4096>

نرسل طلب شهادة صالح لمدة عام واحد لانتهاء صلاحية الشهادة. يمكن للنهج من جانب الخادم تغيير تاريخ انتهاء الصلاحية أثناء توقيع الشهادة.

اتصال إيثرنت

عند اتصال جهاز بشبكة، تأكد من إمكانية وصوله إلى خادم SCEP. يجب أن يكون الجهاز متصلا بشبكة بدون 802.1x للحصول على عنوان IP. قد يلزم تقديم عنوان MAC للجهاز إلى شبكة التوفير من أجل الحصول على عنوان IP. يمكن العثور على العنوان MAC على واجهة المستخدم أو على الملصق الموجود في الجزء الخلفي من الجهاز.

بعد توصيل الجهاز بالشبكة، يمكنك توصيل SSH بالجهاز كمسؤول للوصول إلى TSH، ثم تشغيل الأمر التالي لإرسال طلب SCEP للتسجيل:

طلب SCEP التسجيل في خدمات شهادات الأمان xCommand 

بمجرد أن يعيد خادم SCEP شهادة الجهاز الموقعة، قم بتنشيط 802.1X.

تفعيل الشهادة الموقعة:

تنشيط خدمات شهادات الأمان xCommand 

أعد تشغيل الجهاز بعد تنشيط الشهادة.

اتصال لاسلكي

عند توصيل جهاز بشبكة لاسلكية، تأكد من إمكانية وصوله إلى خادم SCEP.

بعد توصيل الجهاز بالشبكة، يمكنك توصيل SSH بالجهاز كمسؤول للوصول إلى TSH، ثم تشغيل الأمر التالي لإرسال طلب SCEP للتسجيل:

طلب SCEP التسجيل في خدمات شهادات الأمان xCommand 

يستلم الجهاز الشهادة الموقعة من خادم SCEP.

تفعيل الشهادة الموقعة:

تنشيط خدمات شهادات الأمان xCommand

بعد التنشيط ، تحتاج إلى تكوين شبكة Wi-Fi باستخدام مصادقة EAP-TLS.

xCommand شبكة واي فاي تكوين 

بشكل افتراضي، يتخطى تكوين Wi-Fi عمليات التحقق من صحة الخادم. إذا كانت المصادقة أحادية الاتجاه فقط مطلوبة ، فاحتفظ ب AllowMissingCA افتراضيا إلى True.

لفرض التحقق من صحة الخادم، تأكد من تعيين المعلمة الاختيارية AllowMissingCA إلى False. إذا تعذر إنشاء اتصال بسبب أخطاء في التحقق من صحة الخدمة، فتحقق من إضافة المرجع المصدق الصحيح للتحقق من شهادة الخادم التي قد تكون مختلفة عن شهادة الجهاز.

API الأوصاف

الوظيفة: مشرف ، متكامل

طلب SCEP التسجيل في خدمات شهادات الأمان xCommand

يرسل CSR إلى خادم SCEP معين للتوقيع. سيتم إنشاء معلمات CSR SubjectName بالترتيب التالي: C ، ST ، L ، O ، OUs ، cn.

البارامترات:

• عنوان URL (ص): <S: 0, 256>

  عنوان URL لخادم SCEP.

• البصمة: <S: 0, 128>

  شهادة CA البصمة التي ستوقع على طلب SCEP CSR.

• الاسم الشائع (ص): <S: 0, 64>

  إضافة "/CN=" إلى CSR اسم الموضوع.

• كلمة المرور للتحدي: <S: 0, 256>

  كلمة المرور لمرة واحدة (OTP) أو السر المشترك من خادم SCEP للوصول إلى التوقيع.

• اسم الدولة: <: 0, 2>

  إضافة "/c=" إلى اسم الموضوع CSR.

• اسم الولاية: <S: 0, 64>

  إضافة "/ST=" إلى CSR اسم الموضوع.

• اسم المنطقة: <S: 0, 64>

  إضافة "/l=" إلى CSR اسم الموضوع.

• اسم المنظمة: <الصورة: 0، 64>

  إضافة "/o=" إلى CSR اسم الموضوع.

• الوحدة التنظيمية[5]: <ق: 0، 64>

  إضافة ما يصل إلى 5 معلمات "/OU=" إلى CSR اسم الموضوع.

• ساندنز[5]: <ق: 0، 64>

  إضافة ما يصل إلى 5 معلمات DNS إلى CSR الاسم البديل للموضوع.

• SanEmail[5]: <S: 0, 64>

  يضيف ما يصل إلى 5 معلمات بريد إلكتروني إلى الاسم البديل للموضوع CSR.

• SanIp[5]: <S: 0, 64>

  يضيف ما يصل إلى 5 معلمات IP إلى الاسم البديل للموضوع CSR.

• سانوري[5]: <الصورة: 0، 64>

  إضافة ما يصل إلى 5 معلمات URI إلى الاسم البديل للموضوع CSR.

ملفات تعريف تسجيل خدمات شهادات الأمان xCommand حذف

يحذف ملف تعريف التسجيل لعدم تجديد الشهادات بعد الآن.

البارامترات:

• البصمة: <S: 0, 128>

  ملف تعريف شهادة CA الذي يحدد ملف التعريف الذي ترغب في إزالته. يمكنك رؤية ملفات التعريف المتوفرة لإزالتها عن طريق تشغيل:

  قائمة ملفات تعريف تسجيل خدمات شهادات الأمان xCommand

قائمة ملفات تعريف تسجيل خدمات شهادات الأمان xCommand

قوائم ملفات تعريف التسجيل لتجديد الشهادة.

 شهادات الأمان xCommand التسجيل في الخدمات ملفات تعريف SCEP تعيين البصمة (ص): <الصورة: 0، 128> عنوان URL(ص): <S: 0، 256>

أضف ملف تعريف تسجيل للشهادات الصادرة عن ملف تعريف المرجع المصدق لاستخدام عنوان URL المحدد ل SCEP للتجديد.

تجديد

 تسجيل شهادات الأمان xCommand مجموعة ملفات تعريف SCEP

لتجديد الشهادة تلقائيا، يجب أن يكون الجهاز قادرا على الوصول إلى عنوان URL الخاص ب SCEP الذي يمكنه إنهاء الشهادة.

مرة واحدة يوميا ، سيتحقق الجهاز من الشهادات التي ستنتهي صلاحيتها خلال 45 يوما. سيحاول الجهاز بعد ذلك تجديد هذه الشهادات إذا تطابق مصدرها مع ملف تعريف.

ملاحظة: سيتم التحقق من جميع شهادات الجهاز للتأكد من تجديدها، حتى إذا لم تكن الشهادة مسجلة في الأصل باستخدام SCEP.

الملاح

1. الاقتران المباشر: يمكن تفعيل الشهادات المسجلة كشهادة "إقران".

2. الاقتران عن بعد: اطلب من المتصفح تسجيل شهادة SCEP جديدة باستخدام معرف الجهاز الطرفي:

   xCommand الأجهزة الطرفية شهادات الأمان التسجيل في الخدمات طلب SCEP 

   تتم مزامنة ملفات تعريف التسجيل تلقائيا مع المتصفح المقترن.

3. المتصفح المستقل: نفس تسجيل برنامج الترميز

يمكنك إعداد مصادقة 802.1x مباشرة من قائمة الإعدادات في Room Navigator.

يعد معيار المصادقة 802.1x مهما بشكل خاص لشبكات Ethernet ، ويضمن منح الأجهزة المصرح لها فقط حق الوصول إلى موارد الشبكة. يمكنك استخدام اسم مستخدم وكلمة مرور للمصادقة على الشبكة أو يمكنك استخدام شهادات العميل. من الممكن أيضا استخدام كليهما في نفس الوقت. يجب تحميل شهادات العميل من خلال API وتنشيطها لاستخدام خدمة 802.1x.

يجب أن يتم إعداد الشهادات لمعيار 802.1x وتحديثها قبل إقران "مستكشف الغرفة" بنظام، أو بعد إعادة ضبط المصنع لمتصفح الغرفة.

بيانات الاعتماد الافتراضية هي admin وكلمة مرور فارغة. لمزيد من المعلومات حول كيفية إضافة الشهادات عن طريق الوصول إلى API، راجع أحدث إصدار من دليل API.

1. افتح لوحة التحكم في Navigator من خلال النقر على الزر الموجود في الزاوية اليمنى العليا أو التمرير من الجانب الأيمن. ثم اضغط على إعدادات الجهاز.
2. انتقل إلى اتصال الشبكة وحدد إيثرنت .
3. قم بتبديل استخدام IEEE 802.1X إلى وضع التشغيل.
   • إذا تم إعداد المصادقة باستخدام بيانات اعتماد، فأدخل هوية المستخدم وعبارة المرور. يمكنك أيضا إدخال هوية مجهولة: هذا حقل اختياري يوفر طريقة لفصل هوية المستخدم الفعلي عن طلب المصادقة الأولي.
   • يمكنك تبديل TLS إيقاف التحقق أو تشغيله. عند تشغيل TLS check، يتحقق العميل بنشاط من صحة شهادة الخادم أثناء مصافحة TLS. عند إيقاف تشغيل TLS التحقق، لا يقوم العميل بإجراء تحقق نشط من شهادة الخادم.
   • إذا قمت بتحميل شهادة عميل عن طريق الوصول إلى API، فقم بتشغيل استخدام شهادة العميل.
   • قم بتبديل أساليب بروتوكول المصادقة القابل للتوسيع (EAP) التي تريد استخدامها. يعتمد اختيار طريقة EAP على متطلبات الأمان المحددة والبنية التحتية وقدرات العميل. تعد طرق EAP ضرورية لتمكين الوصول الآمن والمصادق إلى الشبكة.