Можете да добавяте сертификати от локалния уеб интерфейс на устройството. Алтернативно, можете да добавяте сертификати, като изпълнявате командите API. За да видите кои команди ви позволяват да добавяте сертификати, вижте roomos.cisco.com .

Сертификати за обслужване и доверени CA

Валидиране на сертификата може да се изисква при използване на TLS (Transport Layer Security). Сървър или клиент може да изисква устройството да им представи валиден сертификат преди да бъде установена комуникация.

Сертификатите са текстови файлове, които потвърждават автентичността на устройството. Тези сертификати трябва да бъдат подписани от доверен Certificate Authority (CA). За да се провери подписът на сертификатите, на устройството трябва да се намира списък с доверени CA-та. Списъкът трябва да включва всички CA, необходими за проверка на сертификати както за одит, логване и други връзки.

Сертификатите се използват за следните услуги: HTTPS сървър, SIP, IEEE 802.1X и логване на одит. Можете да съхранявате няколко сертификата на устройството, но само един сертификат е активиран за всяка услуга едновременно.

В RoomOS октомври 2023 и по-късно, когато добавиш CA сертификат към устройство, той се прилага и към Room Navigator, ако е свързано. За да синхронизирате вече добавените CA сертификати с свързан Room Navigator, трябва да рестартирате устройството. Ако не искате периферните устройства да получават същите сертификати като устройството, към което са свързани, настройте конфигурацията Peripherals Security Certificates SyncToPeripherals на False.

За Wi-Fi връзка

Препоръчваме да добавите доверен CA сертификат за всяко Board, Desk или Room Series устройство, ако вашата мрежа използва WPA-EAP автентикация. Трябва да го направите индивидуално за всяко устройство и преди да се свържете с Wi-Fi.

За да добавите сертификати за вашата Wi-Fi връзка, ви трябват следните файлове:

• Списък с сертификати за CA (формат на файла: . PEM)

• Сертификат (файлов формат: . PEM)

• Частен ключ, или като отделен файл, или включен в същия файл като сертификата (файлов формат: . PEM)

• Парола (необходима само ако частният ключ е криптиран)

Сертификатът и частният ключ се съхраняват в един и същи файл на устройството. Ако удостоверяването не успее, връзката няма да бъде установена.

Администраторите трябва да генерират заявка за подписване на сертификати (CSR) от Control Hub за облачно регистрирано устройство Board, Desk или Room Series.

Следвайте тези стъпки, за да генерирате CSR и да качите подписан сертификат на вашето устройство:

1. От клиентския изглед в Control Hub отидете на страницата Устройства и изберете устройството си от списъка.
2. Навигирайте до Actions > Run xCommand > Security > Certificates > CSR > Create.
3. Въведете необходимите данни за сертификата и изберете Execute.
4. Копирайте целия текст между ----BEGIN CERTIFICATE REQUEST---- и ----END CERTIFICATE REQUEST----.
5. Използвайте Certificate Authority (CA) по ваш избор, за да подпишете CSR.
6. Експортирайте подписания сертификат във формат PEM (кодиран от Base64).
7. Отворете подписания сертификатен файл в текстов редактор (например Notepad) и копирайте целия текст между ----BEGIN CERTIFICATE---- и ----END CERTIFICATE----.
8. В Control Hub отидете до Устройства > изберете вашето устройство > Действия > Стартиране на xCommand > Security > Сертификати > CSR > Link.
9. Поставете копираното съдържание на сертификата в секцията Body и изберете Execute.
10. Обновете страницата, за да проверите дали сертификатът се появява под Съществуващ сертификат.

Simple Certificate Enrollment Protocol (SCEP) предоставя автоматизиран механизъм за записване и обновяване на сертификати, които се използват например за 802.1X удостоверяване на устройства. SCEP ви позволява да поддържате достъпа на устройството до защитени мрежи без ръчна намеса.

• Когато устройството е ново или е с фабрично нулиране, то се нуждае от мрежов достъп, за да достигне SCEP URL. Устройството трябва да бъде свързано към мрежата без 802.1X, за да получи IP адрес.

• Ако използвате безжичен запис SSID, прегледайте екраните за въвеждане, за да конфигурирате връзката с мрежата.

• След като сте свързани към мрежата за предоставяне, устройството не е нужно да е на конкретен екран за въвеждане.

• За да паснат на всички внедрявания, SCEP Enrollment xAPI-тата няма да съхраняват CA сертификата, използван за подписване на устройството. За удостоверяване на сървъра, CA сертификатът, използван за валидиране на сертификата на сървъра, трябва да бъде добавен с xCommand Security Certificates CA Add.

Предпоставки

Необходима ви е следната информация:

• URL адрес на сървъра SCEP.

• Пръстов отпечатък от сертификата за подписване на CA (Certificate Authority).

• Информация за сертификата за записване. Това представлява името на предмета на сертификата.

  • Общо име

  • Име на държавата

  • Име на щат или провинция

  • Име на местността

  • Име на организацията

  • Организационна единица

• Името на предмета ще бъде подредено като /C= /ST= /L= /O= /OU= /CN=

• Паролата за предизвикателство на SCEP сървъра, ако сте конфигурирали SCEP сървъра да налага OTP или споделена тайна.

Можете да зададете необходимия размер на ключа за двойката за заявка за сертификат чрез следната команда. По подразбиране е 2048.

 xКлюч за регистрация по сигурността на конфигурациятаРазмер: <2048, 3072, 4096>

Изпращаме заявка за сертификат, валиден за една година за изтичане на сертификата. Политиката от страна на сървъра може да промени датата на изтичане по време на подписване на сертификата.

Ethernet връзка

Когато едно устройство е свързано към мрежа, уверете се, че може да има достъп до SCEP сървъра. Устройството трябва да бъде свързано към мрежа без 802.1x, за да получи IP адрес. Адресът MAC на устройството може да се наложи да бъде предоставен на мрежата за предоставяне, за да се получи IP адрес. Адресът MAC може да се намери на интерфейса или на етикета на гърба на устройството.

След като устройството е свързано към мрежата, можете да се свържете с SSH към устройството като администратор , за да получите достъп до TSH, след което да изпълните следната команда, за да изпратите заявката за SCEP за регистрация:

xCommand Сертификати за сигурност Услуги Регистрация SCEP заявка 

След като SCEP сървърът върне подписания сертификат за устройство, активирайте 802.1X.

Активирайте подписания сертификат:

Активиране на услугите за сертифициране за сигурност xCommand 

Рестартирайте устройството след активиране на сертификата.

Безжична връзка

Когато устройство е свързано към безжична мрежа, уверете се, че може да достъпва SCEP сървъра.

След като устройството е свързано към мрежата, можете да се свържете с SSH към устройството като администратор , за да получите достъп до TSH, след което да изпълните следната команда, за да изпратите заявката за SCEP за регистрация:

xCommand Сертификати за сигурност Услуги Регистрация SCEP заявка 

Устройството получава подписания сертификат от SCEP сървъра.

Активирайте подписания сертификат:

Активиране на услугите за сертифициране за сигурност xCommand

След активирането трябва да конфигурирате мрежата Wi-Fi с EAP-TLS автентикация.

xCommand Network WiFi конфигуриране 

По подразбиране конфигурацията Wi-Fi пропуска проверките за валидация на сървъра. Ако е необходима само еднопосочна автентикация, тогава AllowMissingCA по подразбиране е True.

За да принудите валидиране на сървъра, уверете се, че опционалният параметър AllowMissingCA е зададен на False. Ако връзка не може да бъде установена поради грешки при валидиране на услугата, проверете дали е добавен правилният CA, за да се потвърди сървърният сертификат, който може да е различен от този на устройството.

API описания

Роля: Администратор, Интегратор

xCommand Сертификати за сигурност Услуги Регистрация SCEP заявка

Изпраща CSR към даден SCEP сървър за подписване. Параметрите CSR SubjectName ще бъдат конструирани в следния ред: C, ST, L, O, OUs, CN.

Параметри:

• URL(r): <S: 0, 256>

  URL адресът на сървъра на SCEP.

• Пръстов отпечатък(r): <S: 0, 128>

  Пръстов отпечатък от CA сертификат, който ще подпише SCEP заявката CSR.

• ОбщоИме(r): <S: 0, 64>

  Добавя "/CN=" към името на темата CSR.

• Парола за предизвикателство: <S: 0, 256>

  OTP или Shared Secret от SCEP сървъра за достъп до подписване.

• ДържаваИме: <S: 0, 2>

  Добавя "/C=" към името на субекта CSR.

• ЩатИлиПровинцияИме: <S: 0, 64>

  Добавя "/ST=" към името на субекта CSR.

• МестностИме: <S: 0, 64>

  Добавя "/L=" към името на темата CSR.

• ОрганизацияИме: <S: 0, 64>

  Добавя "/O=" към името на субекта CSR.

• Организационно звено[5]: <S: 0, 64>

  Събира се до 5 параметъра "/OU=" към името на темата CSR.

• SanDns[5]: <S: 0, 64>

  Това прави 5 параметъра DNS към алтернативното име на субекта CSR.

• SanEmail[5]: <S: 0, 64>

  Събира се до 5 параметъра за имейл към алтернативното име CSR Субект.

• SanIp[5]: <S: 0, 64>

  Събира се до 5 IP параметъра към алтернативното име на субъекта CSR.

• SanUri[5]: <S: 0, 64>

  Събира се до 5 URI параметъра към алтернативното име на темата CSR.

xCommand Сертификати за сигурност Услуги Профили за регистрация Изтрийте

Изтрива профил за записване, за да не подновява повече сертификатите.

Параметри:

• Пръстов отпечатък(r): <S: 0, 128>

  Пръстовият отпечатък на сертификата на Калифорния, който идентифицира профила, който искате да премахнете. Можете да видите наличните профили за премахване, като стартирате:

  xCommand Сертификати за сигурност Услуги Списък с профили за записване

xCommand Сертификати за сигурност Услуги Списък с профили за записване

Изброява профили за записване за подновяване на сертификата.

 xCommand Security Certificates Services Enrollment SCEP Profiles Set: Fingerprint(r): <S: 0, 128> URL(r): <S: 0, 256>

Добавете профил за регистрация за сертификати, издадени от CA пръстовия отпечатък, за да използвате даден SCEP URL за подновяване.

Подновяване

 xCommand Security Certificates Services Enrollment SCEP Profiles Set

За автоматично подновяване на сертификата, устройството трябва да има достъп до SCEP URL, който може да подпише сертификата отново.

Веднъж дневно устройството проверява за сертификати, които изтичат след 45 дни. Устройството ще се опита да поднови тези сертификати, ако издателят им съвпада с профил.

ЗАБЕЛЕЖКА: Всички сертификати за устройства ще бъдат проверени за подновяване, дори ако сертификатът първоначално не е бил регистриран чрез SCEP.

Навигатор

1. Директно сдвоени: Регистрираните сертификати могат да се активират като сертификат за "сдвояване".

2. Дистанционно сдвоено: Кажете на навигатора да регистрира нов SCEP сертификат, използвайки ID-то на периферното устройство:

   xCommand Периферни устройства Сертификати за сигурност Услуги Регистрация Заявка за SCEP 

   Профилите за записване се синхронизират автоматично с двойствения навигатор.

3. Самостоятелен навигатор: Същото като при записване в кодек

Можете да настроите 802.1x автентикация директно от менюто Настройки на Room Navigator.

Стандартът за удостоверяване 802.1x е особено важен за Ethernet мрежите и гарантира, че достъп до мрежовите ресурси получават само оторизирани устройства.

Различни опции за вход са налични в зависимост от метода EAP, конфигуриран във вашата мрежа. Например:

• TLS: Потребителско име и парола не се използват.
• PEAP: Сертификати не се използват.
• TTLS: Изискват се както потребителско име/парола, така и сертификати; Нито едно от двете не е по избор.

Има няколко начина да получите клиентски сертификат на устройството:

1. Качване на PEM: Използвайте функцията Security Certificates Services Add функцията.
2. Създайте CSR: Генерирайте заявка за подписване на сертификат (CSR), подпишете я и я свържете с Сертификати за сигурност CSR Създавайте/Свързвайте.
3. SCEP: Използване на Сертификати за сигурност, Заявка за регистрация на SCEP.
4. DHCP Опция 43: Конфигурирайте доставката на сертификата чрез тази опция.

Настройката и обновяването на сертификатите за 802.1x трябва да се направи преди сдвояването на Room Navigator със система или след фабрично нулиране на Room Navigator.

Стандартните данни за достъп са администраторски и празна парола. За повече информация как да добавите сертификати чрез достъп до API, вижте последната версия на ръководството API.

1. Отворете контролния панел на Navigator, като натиснете бутона в горния десен ъгъл или плъзнете от дясната страна. След това натиснете Настройки на устройството.
2. Отиди на Мрежова връзка и избери Ethernet .
3. Включете Употреба на IEEE 802.1X.
   • Ако автентикацията е настроена с идентификационни данни, въведете потребителската идентичност и паролата. Можете също да въведете анонимна самоличност: това е опционално поле, което предоставя начин да се отдели самоличността на реалния потребител от първоначалната заявка за автентикация.
   • Можете да превключвате TLS Проверка , изключено или включено. Когато TLS verify е включен, клиентът активно проверява автентичността на сертификата на сървъра по време на ръкостискането TLS. Когато TLS verify е изключен, клиентът не извършва активна проверка на сертификата на сървъра.
   • Ако сте качили клиентски сертификат чрез достъп до API, включите Use Client Certificate .
   • Превключвайте методите Extensible Authentication Protocol (EAP ), които искате да използвате. Изборът на метода EAP зависи от конкретните изисквания за сигурност, инфраструктурата и възможностите на клиента. EAP методите са от решаващо значение за осигуряване на сигурен и удостоверен достъп до мрежата.