Du kan tilføje certifikater fra enhedens lokale webgrænseflade. Du kan også tilføje certifikater ved at køre API kommandoer. Hvis du vil se, hvilke kommandoer der giver dig mulighed for at tilføje certifikater, skal du se roomos.cisco.com .

Servicecertifikater og pålidelige CA'er

Certifikatvalidering kan være nødvendigt, når du bruger TLS (Transport Layer Security). En server eller klient kan kræve, at enheden viser et gyldigt certifikat til dem, før kommunikation er konfigureret.

Certifikaterne er tekstfiler, som kontrollerer ægtheden af enheden. Disse certifikater skal være signeret af et rodnøglecenter (CA). For at bekræfte certifikaternes signatur skal der være en liste over pålidelige CA'er på enheden. Listen skal indeholde alle nøglecentre, der kræves for at kunne bekræfte certifikater for både revisionslogføring og andre forbindelser.

Certifikater bruges til følgende tjenester: HTTPS-server, SIP, IEEE 802.1X og revisionslogføring. Du kan gemme flere certifikater på enheden, men kun ét certifikatet er aktiveret for hver enkelt tjeneste ad gangen.

På RoomOS oktober 2023 og senere, når du tilføjer et CA-certifikat til en enhed, anvendes det også på en Room Navigator, hvis en sådan er tilsluttet. Hvis du vil synkronisere de tidligere tilføjede CA-certifikater til en tilsluttet Room Navigator, skal du genstarte enheden. Hvis de eksterne enheder ikke skal have de samme certifikater som den enhed, de er tilsluttet, skal du angive konfigurationen Sikkerhedscertifikater for eksterne enheder SyncToPeripherals til Falsk.

Til Wi-Fi forbindelse

Vi anbefaler, at du tilføjer et CA-certifikat, der er tillid til, for hver Board-, Bord- eller lokaleserieenhed, hvis dit netværk bruger WPA-EAP-godkendelse. Du skal gøre dette individuelt for hver enhed, og før du opretter forbindelse til Wi-Fi.

Hvis du vil tilføje certifikater for din Wi-Fi-forbindelse, du skal bruge følgende filer:

• Liste over CA-certifikater (filformat: .PEM)

• Certifikat (filformat: .PEM)

• Privat nøgle, enten som en separat fil eller inkluderet i den samme fil som certifikatet (filformat: .PEM)

• Adgangssætning (kræves kun, hvis den private nøgle er krypteret)

Certifikatet og den private nøgle lagres i samme fil på enheden. Hvis godkendelse mislykkes, vil der ikke kunne oprettes forbindelse.

SCEP (Simple Certificate Enrollment Protocol) indeholder en automatiseret mekanisme til tilmelding og opdatering af certifikater, der f.eks. bruges til 802.1X-godkendelse på enheder. SCEP giver dig mulighed for at opretholde enhedens adgang til sikre netværk uden manuel indgriben.

• Når enheden er ny eller er blevet fabriksnulstillet, skal den have netværksadgang for at nå SCEP-URL'en. Enheden skal sluttes til netværket uden 802.1X for at få en IP adresse.

• Hvis du bruger en trådløs tilmelding SSID, skal du gå gennem onboarding-skærmene for at konfigurere forbindelsen til netværket.

• Når du har oprettet forbindelse til klargøringsnetværket, behøver enheden ikke at være på en bestemt onboarding-skærm på dette tidspunkt.

• For at tilpasse alle installationer gemmer SCEP Enrollment xAPI'erne ikke det CA-certifikat, der bruges til at signere enhedscertifikatet. For servergodkendelse skal CA-certifikatet, der bruges til at validere serverens certifikat, tilføjes med xCommand Security Certificates CA Add.

Forudsætninger

Du skal bruge følgende oplysninger:

• SCEP-serverens URL-adresse.

• Fingeraftryk af det signerende CA (Certificate Authority)-certifikat.

• Oplysninger om certifikatet, der skal tilmeldes. Dette udgør certifikatets emnenavn .

  • Almindeligt navn

  • Landets navn

  • Navn på stat eller provins

  • Lokalitetens navn

  • Organisationens navn

  • Organisatorisk enhed

• Emnenavnet sorteres som /C= /ST= /L= /O= /OU= /CN=

• SCEP-serverens udfordringsadgangskode, hvis du har konfigureret SCEP-serveren til at håndhæve en OTP eller delt hemmelighed.

Du kan indstille den påkrævede nøglestørrelse for certifikatanmodningsnøgleparret ved hjælp af følgende kommando. Standardværdi er 2048.

 xConfiguration Security Enrollment KeySize: <2048, 3072, 4096>

Vi sender en certifikatanmodning, der er gyldig i et år til certifikatudløb. Politikken på serversiden kan ændre udløbsdatoen under certifikatsignering.

Ethernet-forbindelse

Når en enhed er tilsluttet et netværk, skal du sørge for, at den har adgang til SCEP-serveren. Enheden skal være tilsluttet et netværk uden 802.1x for at få en IP adresse. Det kan være nødvendigt at angive enhedens MAC adresse til klargøringsnetværket for at få en IP adresse. Den MAC adresse findes på brugergrænsefladen eller på etiketten bag på enheden.

Når enheden er tilsluttet netværket, kan du SSH til enheden som administrator for at få adgang til TSH og derefter køre følgende kommando for at sende SCEP-anmodningen om tilmelding:

xCommand Security Certificates Services Tilmelding SCEP-anmodning 

Når SCEP-serveren returnerer det signerede enhedscertifikat, skal du aktivere 802.1X.

Aktivér det signerede certifikat:

xCommand Security Certificates Services Activate 

Genstart enheden efter aktivering af certifikatet.

Trådløs forbindelse

Når en enhed er tilsluttet et trådløst netværk, skal du sørge for, at den har adgang til SCEP-serveren.

Når enheden er tilsluttet netværket, kan du SSH til enheden som administrator for at få adgang til TSH og derefter køre følgende kommando for at sende SCEP-anmodningen om tilmelding:

xCommand Security Certificates Services Tilmelding SCEP-anmodning 

Enheden modtager det signerede certifikat fra SCEP-serveren.

Aktivér det signerede certifikat:

xCommand Security Certificates Services Activate

Efter aktivering skal du konfigurere det Wi-Fi netværk med EAP-TLS godkendelse.

xCommand Konfiguration af netværkswifi 

Som standard springer Wi-Fi konfigurationen servervalideringskontroller over. Hvis der kun kræves envejsgodkendelse, skal du holde AllowMissingCA standardiseret til Sand.

Hvis du vil gennemtvinge servervalidering, skal du sørge for, at den valgfrie parameter AllowMissingCA er indstillet til False. Hvis det ikke er muligt at oprette forbindelse på grund af tjenestevalideringsfejl, skal du kontrollere, at den korrekte CA er blevet tilføjet for at kontrollere servercertifikatet, som kan være forskelligt fra enhedscertifikatet.

API beskrivelser

Rolle: Admin, Integrator

xCommand Security Certificates Services Tilmelding SCEP-anmodning

Sender en CSR til signering på en SCEP-server. De CSR SubjectName-parametre konstrueres i følgende rækkefølge: C, ST, L, O, OUs, CN.

Parametre:

• URL-adresse (r): <S: 0, 256>

  SCEP-serverens URL-adresse.

• Fingeraftryk: <S: 0, 128>

  CA-certifikatfingeraftryk, der signerer SCEP-anmodningen, CSR.

• Fællesnavn(r): <S: 0, 64>

  Tilføjer "/CN=" til det CSR emnenavn.

• ChallengePassword: <S: 0, 256>

  OTP eller delt hemmelighed fra SCEP-serveren for adgang til at underskrive.

• Landnavn: <S: 0, 2>

  Tilføjer "/c=" til det CSR emnenavn.

• StateOrProvinceName: <S: 0, 64>

  Tilføjer "/ST=" til det CSR emnenavn.

• LokalitetNavn: <S: 0, 64>

  Føjer "/l=" til CSR emnenavn.

• Organisationsnavn: <S: 0, 64>

  Tilføjer "/O=" til det CSR emnenavn.

• Organisatorisk enhed[5]: <S: 0, 64>

  Lægger op til 5 "/OU="-parametre til det CSR emnenavn.

• SanDns[5]: <S: 0, 64>

  Føjer op til 5 DNS-parametre til det CSR alternative emnenavn.

• SanEmail[5]: <S: 0, 64>

  Føjer op til 5 e-mail-parametre til det CSR alternative emnenavn.

• SanIp[5]: <S: 0, 64>

  Føjer op til 5 IP-parametre til det CSR alternative emnenavn.

• SanUri[5]: <S: 0, 64>

  Føjer op til 5 URI-parametre til det CSR alternative emnenavn.

xCommand Security Certificates Services Tilmeldingsprofiler Slet

Sletter en tilmeldingsprofil for ikke længere at forny certifikater.

Parametre:

• Fingeraftryk: <S: 0, 128>

  Det entydige id for det certifikat, der slettes. Du kan få fingeraftryks-id'et ved at køre:

   xCommand Security Certificates Services Show

xCommand Security Certificates Services Liste over tilmeldingsprofiler

Viser tilmeldingsprofiler til certifikatfornyelse.

 xCommand Security Certificates Services Tilmelding SCEP-profiler Angiv fingeraftryk(r): <S: 0, 128> URL(r): <S: 0, 256>

Tilføj nyt certifikat

Fornyelse

 xCommand Security Certificates Services Tilmelding SCEP-profiler sæt

For automatisk at kunne forny certifikatet skal enheden kunne få adgang til SCEP-URL-adressen, der kan signere certifikatet.

En gang dagligt kontrollerer enheden for certifikater, der udløber efter 45 dage. Enheden vil derefter forsøge at forny disse certifikater, hvis udstederen matcher en profil.

BEMÆRK: Alle enhedscertifikater kontrolleres for fornyelse, selvom certifikatet ikke oprindeligt blev tilmeldt ved hjælp af SCEP.

Navigator

1. Direkte parret: Tilmeldte certifikater kan aktiveres som "parringscertifikat".

2. Fjernparret: Bed navigatoren om at tilmelde et nyt SCEP-certifikat ved hjælp af periferiudstyrets id:

   xCommand-periferiudstyr Sikkerhedscertifikater Tilmelding til tjenester SCEP-anmodning 

   Tilmeldingsprofiler synkroniseres automatisk med den parrede navigator.

3. Enkeltstående navigator: Det samme som codec-tilmelding