يمكنك إضافة الشهادات من واجهة الويب المحلية للجهاز. وبدلاً من ذلك، يمكنك إضافة الشهادات عن طريق تشغيل أوامر API. لمعرفة الأوامر التي تسمح لك بإضافة الشهادات، ارجع إلى roomos.cisco.com .

شهادات الخدمة وبيانات المصادقة الموثوقة

قد يكون التحقق من صحة الشهادة مطلوبًا عند استخدام TLS (أمان طبقة النقل). قد يتطلب الخادم أو العميل أن يقدم الجهاز شهادة صالحة له قبل إعداد الاتصال.

الشهادات هي ملفات نصية تتحقق من صحة الجهاز. يجب أن يتم توقيع هذه الشهادات بواسطة مرجع مصدق موثوق فيه (CA). للتحقق من توقيع الشهادات، يجب أن توجد قائمة بالمصادقة الموثوقة على الجهاز. يجب أن تتضمن القائمة جميع وحدات CA اللازمة للتحقق من الشهادات لكل من تسجيل التدقيق والاتصالات الأخرى.

يتم استخدام الشهادات للخدمات التالية: خادم HTTPS وSIP وIEEE 802.1X وتسجيل التدقيق. يمكنك تخزين شهادات متعددة على الجهاز، ولكن يتم تمكين شهادة واحدة فقط لكل خدمة في المرة الواحدة.

في شهر أكتوبر 2023 والإصدارات الأحدث، عند إضافة شهادة CA إلى جهاز، يتم تطبيقها أيضًا على Room Navigator إذا كان أحد الأجهزة متصلاً. لمزامنة شهادات CA التي تم إضافتها مسبقًا في Room Navigator المتصل، يجب عليك إعادة تشغيل الجهاز. إذا كنت لا ترغب في أن تحصل الأجهزة الطرفية على نفس الشهادات مثل الجهاز المتصل به، فقم بتعيين تكوين شهادات أمان الأجهزة الطرفية SyncToPeripherals على False.


لا يتم حذف الشهادات المخزنة من قبل تلقائيًا. يتم إلحاق الإدخالات الموجودة في ملف جديد يحتوي على شهادات CA بالقائمة الحالية.

لاتصال Wi-Fi

نوصي بإضافة شهادة CA موثوق بها لكل جهاز من أجهزة سلسلة Board أو Desk أو Room، إذا كانت شبكتك تستخدم مصادقة WPA-EAP. يجب عليك القيام بذلك بشكل فردي لكل جهاز، وقبل الاتصال بشبكة Wi-Fi.

لإضافة الشهادات لاتصال Wi-Fi، تحتاج إلى الملفات التالية:

  • قائمة شهادات CA (تنسيق الملف: .PEM)

  • الشهادة (تنسيق الملف: .PEM)

  • المفتاح الخاص، إما كملف منفصل أو مضمن في نفس ملف الشهادة (تنسيق الملف: .PEM)

  • عبارة المرور (مطلوبة فقط إذا كان المفتاح الخاص مشفرًا)

يتم تخزين الشهادة والمفتاح الخاص في نفس الملف على الجهاز. إذا فشلت المصادقة، فلن يتم إنشاء الاتصال.


لا يتم تطبيق المفتاح الخاص وعبارة المرور على الأجهزة الطرفية المتصلة.

إضافة شهادات على أجهزة سلسلة Board وDesk وRoom

1

من عرض العميل في https://admin.webex.com ، انتقل إلى صفحة الأجهزة ، وحدد جهازك من القائمة. انتقل إلى الدعم وابدأ تشغيل عناصر التحكم في الأجهزة المحلية .

إذا قمت بإعداد مستخدم مسؤول محلي على الجهاز، فيمكنك الوصول إلى واجهة الويب مباشرةً عن طريق فتح مستعرض ويب وكتابة http(s)://.

2

انتقل إلى الأمان > الشهادات > مخصص > إضافة شهادة وتحميل شهادة (شهادات) CA الجذر الخاصة بك.

3

في openssl، قم بإنشاء مفتاح خاص وطلب شهادة. انسخ محتوى طلب الشهادة. ثم لصقه لطلب شهادة الخادم من جهة إصدار الشهادة (CA) الخاصة بك.

4

قم بتنزيل شهادة الخادم الموقعة بواسطة CA الخاص بك. تأكد من أنه بتنسيق .PEM.

5

انتقل إلى الأمان > الشهادات > الخدمات > إضافة شهادة وتحميل المفتاح الخاص وشهادة الخادم.

6

قم بتمكين الخدمات التي تريد استخدامها للشهادة التي أضفتها للتو.

بروتوكول تسجيل الشهادات البسيطة (SCEP)

يوفر بروتوكول تسجيل الشهادات البسيطة (SCEP) آلية تلقائية للتسجيل وتحديث الشهادات المستخدمة على سبيل المثال لمصادقة 802.1X على الأجهزة. يسمح لك SCEP بالحفاظ على وصول الجهاز إلى شبكات آمنة دون تدخل يدوي.

  • عندما يكون الجهاز جديدًا، أو تم إعادة تعيينه إلى إعدادات المصنع، فإنه يحتاج إلى الوصول إلى الشبكة للوصول إلى عنوان URL لـ SCEP. يجب توصيل الجهاز بالشبكة دون استخدام 802.1X للحصول على عنوان IP.

  • إذا كنت تستخدم SSID تسجيل لاسلكي، فأنت بحاجة إلى المرور عبر شاشات الضم لتكوين الاتصال بالشبكة.

  • بمجرد أن تكون متصلاً بشبكة التوفير، لا يحتاج الجهاز إلى أن يكون على شاشة إعداد معينة في هذه المرحلة.

  • لتناسب جميع عمليات النشر، لن تقوم واجهات xAPI الخاصة بتسجيل SCEP بتخزين شهادة CA المستخدمة لتوقيع شهادة الجهاز. لمصادقة الخادم، يجب إضافة شهادة CA التي يتم استخدامها للتحقق من صحة شهادة الخادم مع إضافة CA لشهادات أمان xCommand.

المتطلبات المسبقة

تحتاج إلى المعلومات التالية:

  • عنوان URL لخادم SCEP.

  • بصمة إصبع شهادة المرجع المصدق (CA) الموقعة.

  • معلومات الشهادة المراد تسجيلها. يشكل هذا اسم الموضوع للشهادة.

    • الاسم الشائع

    • اسم الدولة

    • اسم المؤسسة

  • كلمة مرور تحدي خادم SCEP إذا كنت قد قمت بتكوين خادم SCEP لفرض OTP أو كلمة السر المشتركة.

نرسل طلب شهادة صالح لمدة عام لانتهاء صلاحية الشهادة. يمكن لسياسة جانب الخادم تغيير تاريخ انتهاء الصلاحية أثناء توقيع الشهادة.

اتصال إيثرنت

عندما يكون الجهاز متصلاً بشبكة، فتأكد من أنه يمكنه الوصول إلى خادم SCEP. يجب توصيل الجهاز بشبكة دون استخدام 802.⁦1x⁩ للحصول على عنوان IP. قد يلزم توفير عنوان MAC الخاص بالجهاز لشبكة التوفير من أجل الحصول على عنوان IP. يمكن العثور على عنوان MAC على واجهة المستخدم أو على التسمية في الجزء الخلفي من الجهاز.

بعد توصيل الجهاز بالشبكة، يمكنك SSH إلى الجهاز كمسؤول للوصول إلى TSH، ثم قم بتشغيل الأمر التالي لإرسال طلب SCEP للتسجيل: 
تسجيل خدمات شهادات أمان xCommand طلب SCEP

بمجرد أن يقوم خادم SCEP بإرجاع شهادة الجهاز الموقعة، قم بتنشيط 802.1X ثم أعد تشغيل الجهاز.

تنشيط الشهادة الموقعة:
تنشيط خدمات شهادات أمان xCommand

أعد تشغيل الجهاز بعد تنشيط الشهادة.

اتصال لاسلكي

عندما يكون الجهاز متصلاً بشبكة لاسلكية، تأكد من أنه يمكنه الوصول إلى خادم SCEP.

بعد توصيل الجهاز بالشبكة، يمكنك SSH إلى الجهاز كمسؤول للوصول إلى TSH، ثم قم بتشغيل الأمر التالي لإرسال طلب SCEP للتسجيل: 
تسجيل خدمات شهادات أمان xCommand طلب SCEP

يتلقى الجهاز الشهادة الموقعة من خادم SCEP.

تنشيط الشهادة الموقعة: 

تنشيط خدمات شهادات أمان xCommand
بعد التنشيط، تحتاج إلى تكوين شبكة Wi-fi باستخدام مصادقة EAP-TLS. 
تكوين شبكة Wifi الخاصة بـ xCommand

افتراضيًا، يتحقق التحقق من صحة خادم تخطي تكوين Wi-Fi. إذا كانت المصادقة أحادية الاتجاه فقط مطلوبة، فاترك AllowMissingCA كالإعداد الافتراضي على True.

لفرض التحقق من صحة الخادم، تأكد من تعيين المعلمة الاختيارية AllowMissingCA على False. إذا تعذر إنشاء اتصال بسبب وجود أخطاء في التحقق من الخدمة، فتحقق من إضافة CA الصحيح للتحقق من شهادة الخادم التي قد تكون مختلفة عن شهادة الجهاز.

أوصاف API

الدور: مسؤول، المكامل

تسجيل خدمات شهادات أمان xCommand طلب SCEP

يطلب وتنزيل شهادة جهاز موقعة

المعلمات:

  • عنوان URL(r): <S: 0, 128>

    عنوان URL لخادم SCEP المستخدم لتسجيل الشهادة.

  • بصمة الإصبع (R): <S: 0, 128>

    بصمة إصبع مرجع مصدري CA الذي سيوقع طلب X509.

  • ChallengePassword: <S: 0, 128>

    كلمة المرور السرية المشتركة تم إعدادها بواسطة خادم SCEP.

  • اسم شائع (r): <S: 0, 128>

  • اسم الدولة: <S: 0, 128>

  • اسم المؤسسة: <S: 0, 128>

  • سان دنز[5]: <S: 0, 128>

  • البريد الإلكتروني [5]: <S: 0, 128>

  • سان ip[5]: <S: 0, 128>

  • سان uri[5]: <S: 0, 128>

طلب تجديد خدمات شهادات الأمن xCommand

إنشاء أو تحديث ملف تعريف التجديد التلقائي الذي يتم تطبيقه على جميع الشهادات الصادرة من CA المحدد قبل انتهاء صلاحية الشهادات

المعلمات:

  • بصمة الإصبع (R): <S: 0, 128>

    بصمة إصبع مرجع مصدري الحسابات الذي وقّع الشهادات.

  • عنوان URL(r): <S: 0, 128>

    عنوان URL لخادم SCEP المستخدم لتجديد الشهادات. 

تسجيل خدمات شهادات أمان xCommand تجديد SCEP حذف

أزل ملف التعريف المعتمد تلقائيًا للمرجع المصدق المحدد. يؤدي ذلك إلى إيقاف الشهادات التي تم توقيعها بواسطة مرجع مصدق (CA) هذا من التدقيق التلقائي

المعلمات:

  • بصمة الإصبع (R): <S: 0, 128>

    بصمة إصبع مرجع المصدق المُصدر المراد إزالتها.

تسجيل خدمات شهادات أمان xCommand قائمة تجديد SCEP

عرض قائمة بكل ملفات التعريف المستخدمة حاليًا.