يمكنك إضافة شهادات من واجهة الويب المحلية للجهاز. بدلا من ذلك، يمكنك إضافة شهادات عن طريق تشغيل أوامر API. لمعرفة الأوامر التي تسمح لك بإضافة شهادات، راجع roomos.cisco.com .

شهادات الخدمة والمراجع المصدقة الموثوقة

قد يكون التحقق من صحة الشهادة مطلوبا عند استخدام TLS (أمان طبقة النقل). قد يطلب الخادم أو العميل أن يقدم الجهاز شهادة صالحة له قبل إعداد الاتصال.

الشهادات هي ملفات نصية تتحقق من صحة الجهاز. يجب توقيع هذه الشهادات بواسطة مرجع مصدق موثوق به (CA). للتحقق من توقيع الشهادات، يجب أن توجد قائمة بالمراجع المصدقة الموثوقة على الجهاز. يجب أن تتضمن القائمة جميع المراجع المصدقة اللازمة للتحقق من الشهادات الخاصة بكل من تسجيل التدقيق والاتصالات الأخرى.

يتم استخدام الشهادات للخدمات التالية: خادم HTTPS وSIP وIEEE 802.1X وتسجيل التدقيق. يمكنك تخزين عدة شهادات على الجهاز، ولكن يتم تمكين شهادة واحدة فقط لكل خدمة في كل مرة.

في RoomOS أكتوبر 2023 والإصدارات الأحدث، عند إضافة شهادة CA إلى جهاز، يتم تطبيقها أيضا على Room Navigator إذا كان أحدها متصلا. لمزامنة شهادات المرجع المصدق المضافة مسبقا مع مستكشف الغرف المتصل، يجب عليك إعادة تشغيل الجهاز. إذا كنت لا تريد أن تحصل الأجهزة الطرفية على نفس الشهادات مثل الجهاز المتصل به، فقم بتعيين تكوين شهادات أمان الأجهزة الطرفية SyncToPeripherals إلى خطأ.

للاتصال Wi-Fi

نوصي بإضافة شهادة CA موثوق بها لكل جهاز لوحة أو مكتب أو سلسلة غرفة، إذا كانت شبكتك تستخدم مصادقة WPA-EAP. يجب عليك القيام بذلك بشكل فردي لكل جهاز، وقبل الاتصال Wi-Fi.

لإضافة شهادات للاتصال Wi-Fi، تحتاج إلى الملفات التالية:

• قائمة شهادات CA (تنسيق الملف: . بيم)

• الشهادة (تنسيق الملف: . بيم)

• المفتاح الخاص، إما كملف منفصل أو مضمن في نفس ملف الشهادة (تنسيق الملف: . بيم)

• عبارة المرور (مطلوبة فقط إذا كان المفتاح الخاص مشفرا)

يتم تخزين الشهادة والمفتاح الخاص في نفس الملف على الجهاز. في حالة فشل المصادقة، لن يتم إنشاء الاتصال.

يوفر بروتوكول تسجيل الشهادات البسيطة (SCEP) آلية تلقائية للتسجيل وتحديث الشهادات المستخدمة على سبيل المثال مصادقة 802.1X على الأجهزة. يتيح لك SCEP الحفاظ على وصول الجهاز إلى شبكات آمنة دون تدخل يدوي.

• عندما يكون الجهاز جديدا أو تمت إعادة ضبطه على الإعدادات الأصلية، فإنه يحتاج إلى الوصول إلى الشبكة للوصول إلى عنوان URL الخاص ب SCEP. يجب أن يكون الجهاز متصلا بالشبكة بدون 802.1X للحصول على عنوان IP.

• إذا كنت تستخدم SSID تسجيل لاسلكي، فستحتاج إلى المرور عبر شاشات الإعداد لتهيئة الاتصال بالشبكة.

• بمجرد اتصالك بشبكة التوفير، لا يلزم أن يكون الجهاز على شاشة إعداد معينة في هذه المرحلة.

• لاحتواء جميع عمليات النشر، لن تخزن واجهات برمجة تطبيقات xAPIs لتسجيل SCEP شهادة المرجع المصدق المستخدمة لتوقيع شهادة الجهاز. لمصادقة الخادم، يجب إضافة شهادة المرجع المصدق (CA) المستخدمة للتحقق من صحة شهادة الخادم مع إضافة المرجع المصدق لشهادات أمان xCommand.

المتطلبات الأساسية

تحتاج إلى المعلومات التالية:

• عنوان URL لخادم SCEP.

• بصمة شهادة CA (Certificate Authority) الموقعة.

• معلومات الشهادة للتسجيل. هذا يشكل اسم الموضوع للشهادة.

  • الاسم الشائع

  • اسم الدولة

  • اسم الولاية أو المقاطعة

  • اسم المنطقة

  • اسم المؤسسة

  • الوحدة التنظيمية

• سيتم ترتيب اسم الموضوع ك / C = / ST = / L = / O = / OU= / CN =

• كلمة مرور التحدي الخاصة بخادم SCEP إذا كنت قد هيأت خادم SCEP لفرض كلمة مرور لمرة واحدة أو سر مشترك.

يمكنك تعيين حجم المفتاح المطلوب لزوج مفاتيح طلب الشهادة باستخدام الأمر التالي. الافتراضي هو 2048.

 حجم مفتاح تسجيل أمان xConfiguration: <2048، 3072، 4096>

نرسل طلب شهادة صالح لمدة عام واحد لانتهاء صلاحية الشهادة. يمكن للنهج من جانب الخادم تغيير تاريخ انتهاء الصلاحية أثناء توقيع الشهادة.

اتصال إيثرنت

عند اتصال جهاز بشبكة، تأكد من إمكانية وصوله إلى خادم SCEP. يجب أن يكون الجهاز متصلا بشبكة بدون 802.1x للحصول على عنوان IP. قد يلزم تقديم عنوان MAC الجهاز إلى شبكة التوفير من أجل الحصول على عنوان IP. يمكن العثور على عنوان MAC على واجهة المستخدم أو على الملصق الموجود في الجزء الخلفي من الجهاز.

بعد توصيل الجهاز بالشبكة، يمكنك توصيل SSH بالجهاز كمسؤول للوصول إلى TSH، ثم تشغيل الأمر التالي لإرسال طلب SCEP للتسجيل:

طلب SCEP التسجيل في خدمات شهادات الأمان xCommand 

بمجرد أن يعيد خادم SCEP شهادة الجهاز الموقعة، قم بتنشيط 802.1X.

تفعيل الشهادة الموقعة:

تنشيط خدمات شهادات الأمان xCommand 

أعد تشغيل الجهاز بعد تنشيط الشهادة.

اتصال لاسلكي

عند توصيل جهاز بشبكة لاسلكية، تأكد من إمكانية وصوله إلى خادم SCEP.

بعد توصيل الجهاز بالشبكة، يمكنك توصيل SSH بالجهاز كمسؤول للوصول إلى TSH، ثم تشغيل الأمر التالي لإرسال طلب SCEP للتسجيل:

طلب SCEP التسجيل في خدمات شهادات الأمان xCommand 

يستلم الجهاز الشهادة الموقعة من خادم SCEP.

تفعيل الشهادة الموقعة:

تنشيط خدمات شهادات الأمان xCommand

بعد التنشيط ، تحتاج إلى تكوين شبكة Wi-Fi بمصادقة EAP-TLS.

xCommand شبكة واي فاي تكوين 

بشكل افتراضي، يتخطى تكوين Wi-Fi عمليات التحقق من صحة الخادم. إذا كانت المصادقة أحادية الاتجاه فقط مطلوبة ، فاحتفظ ب AllowMissingCA افتراضيا إلى True.

لفرض التحقق من صحة الخادم، تأكد من تعيين المعلمة الاختيارية AllowMissingCA إلى False. إذا تعذر إنشاء اتصال بسبب أخطاء في التحقق من صحة الخدمة، فتحقق من إضافة المرجع المصدق الصحيح للتحقق من شهادة الخادم التي قد تكون مختلفة عن شهادة الجهاز.

أوصاف API

الوظيفة: مشرف ، متكامل

طلب SCEP التسجيل في خدمات شهادات الأمان xCommand

يرسل CSR إلى خادم SCEP معين للتوقيع. سيتم إنشاء معلمات CSR SubjectName بالترتيب التالي: C ، ST ، L ، O ، OUs ، cn.

البارامترات:

• عنوان URL (ص): <S: 0, 256>

  عنوان URL لخادم SCEP.

• البصمة: <S: 0, 128>

  بصمة شهادة CA التي ستوقع على طلب SCEP CSR.

• الاسم الشائع (ص): <S: 0, 64>

  إضافة "/CN=" إلى CSR اسم الموضوع.

• كلمة المرور للتحدي: <S: 0, 256>

  كلمة المرور لمرة واحدة (OTP) أو السر المشترك من خادم SCEP للوصول إلى التوقيع.

• اسم الدولة: <: 0, 2>

  إضافة "/c=" إلى اسم الموضوع CSR.

• اسم الولاية: <S: 0, 64>

  إضافة "/ST=" إلى اسم الموضوع CSR.

• اسم المنطقة: <S: 0, 64>

  إضافة "/L=" إلى CSR اسم الموضوع.

• اسم المنظمة: <الصورة: 0، 64>

  إضافة "/o=" إلى اسم الموضوع CSR.

• الوحدة التنظيمية[5]: <ق: 0، 64>

  إضافة ما يصل إلى 5 معلمات "/OU=" إلى CSR اسم الموضوع.

• ساندنز[5]: <ق: 0، 64>

  إضافة ما يصل إلى 5 معلمات DNS إلى الاسم البديل لموضوع CSR.

• SanEmail[5]: <S: 0, 64>

  يضيف ما يصل إلى 5 معلمات بريد إلكتروني إلى الاسم البديل لموضوع CSR.

• SanIp[5]: <S: 0, 64>

  يضيف ما يصل إلى 5 معلمات IP إلى الاسم البديل لموضوع CSR.

• سانوري[5]: <الصورة: 0، 64>

  يضيف ما يصل إلى 5 معلمات Uri إلى الاسم البديل لموضوع CSR.

ملفات تعريف تسجيل خدمات شهادات الأمان xCommand حذف

يحذف ملف تعريف التسجيل لعدم تجديد الشهادات بعد الآن.

البارامترات:

• البصمة: <S: 0, 128>

  المعرف الفريد للشهادة التي تم حذفها. يمكنك الحصول على معرف بصمة الإصبع عن طريق تشغيل:

   عرض خدمات شهادات الأمان xCommand

قائمة ملفات تعريف تسجيل خدمات شهادات الأمان xCommand

قوائم ملفات تعريف التسجيل لتجديد الشهادة.

 شهادات الأمان xCommand التسجيل في الخدمات ملفات تعريف SCEP تعيين البصمة (ص): <الصورة: 0، 128> عنوان URL(ص): <S: 0، 256>

إضافة شهادة جديدة

تجديد

 تسجيل شهادات الأمان xCommand مجموعة ملفات تعريف SCEP

لتجديد الشهادة تلقائيا، يجب أن يكون الجهاز قادرا على الوصول إلى عنوان URL الخاص ب SCEP الذي يمكنه إنهاء الشهادة.

مرة واحدة يوميا ، سيتحقق الجهاز من الشهادات التي ستنتهي صلاحيتها خلال 45 يوما. سيحاول الجهاز بعد ذلك تجديد هذه الشهادات إذا تطابق مصدرها مع ملف تعريف.

ملاحظة: سيتم التحقق من جميع شهادات الجهاز للتأكد من تجديدها، حتى إذا لم تكن الشهادة مسجلة في الأصل باستخدام SCEP.

الملاح

1. الاقتران المباشر: يمكن تفعيل الشهادات المسجلة كشهادة "إقران".

2. الاقتران عن بعد: اطلب من المتصفح تسجيل شهادة SCEP جديدة باستخدام معرف الجهاز الطرفي:

   xCommand الأجهزة الطرفية شهادات الأمان التسجيل في الخدمات طلب SCEP 

   تتم مزامنة ملفات تعريف التسجيل تلقائيا مع المتصفح المقترن.

3. المتصفح المستقل: نفس تسجيل برنامج الترميز