Voit lisätä varmenteita laitteen paikallisesta Web-käyttöliittymästä. Voit vaihtoehtoisesti lisätä varmenteita suorittamalla API-komennot. Lisätietoja varmenteen lisäämisen sallimista komennoista on kohdassa roomos.cisco.com .

Palveluvarmenteet ja luotetut myöntäjävirastot

Varmenteen vahvistus voi olla pakollinen, kun käytetään TLS (Siirtokerrossuojaus). Palvelin tai asiakas voi edellyttää, että laite esittää heille kelvollisen varmenteen, ennen kuin yhteys on määritetty.

Varmenteet ovat tekstitiedostoja, jotka varmistavat laitteen todennuksen. Luotetun Certificate Authority (CA) on allekirjoitettava nämä varmenteet. Varmenteen allekirjoituksen tarkistamiseksi laitteessa on oltava luettelo luotetuista yhteyspalveluista. Luetteloon on sisällyttävä kaikki varmenteet, joita tarvitaan sekä valvontakirjauksen että muiden yhteyksien varmenteen tarkistamiseen.

Varmenteita käytetään seuraavissa palveluissa: HTTPS-palvelin, SIP, IEEE 802.1X ja audit-kirjaus. Voit tallentaa laitteelle useita varmenteita, mutta kullekin palvelulle on kerrallaan käytössä vain yksi varmenne.

RoomOS-sovelluksessa lokakuussa 2023 ja myöhemmin, kun lisäät myöntäjän varmenteen laitteeseen, sitä käytetään myös huoneen navigointilaitteeseen, jos sellainen on yhdistetty. Jos haluat synkronoida aiemmin lisätyt myöntäjän varmenteet yhdistettyyn huonekäytävään, käynnistä laite uudelleen. Jos et halua, että lisälaitteet saavat samat varmenteet kuin laite, johon se on yhdistetty, määritä kokoonpanon Lisälaitteiden suojausvarmenteet synkronoidaan epätodeksi.

Aiemmin tallennettuja varmenteita ei poisteta automaattisesti. Uuden tiedoston, jossa on myöntäjävarmenteet, merkinnät liitetään olemassa olevaan luetteloon.

Wi-Fi-yhteyksille

Suosittelemme, että lisäät luotetun myöntäjän varmenteen kullekin Board-, Desk- tai Huonesarja-laitteelle, jos verkossa käytetään WPA-EAP-todennusta. Sinun on tehtävä tämä erikseen kunkin laitteen kohdalla ja ennen kuin muodostat yhteyden Wi-Fi-tilaan.

Voit lisätä Wi-Fi-yhteyden varmenneita seuraavilla tiedostoilla:

  • Myöntäjän varmenneluettelo (tiedoston muoto: . PEM)

  • Varmenne (tiedostomuoto: . PEM)

  • Yksityinen avain joko erillisenä tiedostona tai samassa tiedostossa kuin varmenne (tiedostomuoto: . PEM)

  • Tunnuslause (pakollinen vain, jos yksityinen avain on salattu)

Varmenne ja yksityinen avain tallennetaan samaan tiedostoon laitteessa. Jos todennus epäonnistuu, yhteyttä ei muodostetta.

Yksityistä avainta ja salasanaa ei käytetä yhdistetyille lisälaitteille.

Varmenteen lisääminen Board-, Pöytä- ja Huonesarja-laitteisiin

1

Siirry https://admin.webex.com-asiakasnäkymästä Laitteet-sivulle ja valitse laite luettelosta. Siirry Tukeen ja käynnistä paikalliset laiteohjaimet .

Jos olet määrittänyt laitteelle paikallisen valvojan käyttäjän, voit käyttää Web-käyttöliittymää suoraan avaamalla Web-selaimen ja kirjoittamalla sen https://<endpoint ip- tai isäntänimeen>.

2

Siirry suojaus > Certificates > Custom > Add-varmenteeseen ja lataa varmenteen myöntäjän päävarmenteet.

3

Avaa avaa, luo yksityinen avain- ja varmennepyyntö. Kopioi varmennepyynnön sisältö. Liitä se sitten pyytääksesi palvelinvarmennetta Certificate Authority (CA).

4

Lataa myöntäjän allekirjoittama palvelinvarmenne. Varmista, että se on . PEM-muoto.

5

Siirry suojaus > Certificates > Services > Add-varmenteeseen ja lataa yksityinen avain ja palvelinvarmenne.

6

Ota käyttöön palvelut, joita haluat käyttää juuri lisätyssä varmennessa.

SCEP (Simple Certificate Enrollment Protocol)

ScEP (Simple Certificate Enrollment Protocol) tarjoaa automaattisen mekanismin esimerkiksi 802.1X-todennusta käyttävien varmenneiden ilmoittautumiseen ja virkistysvarmenteisiin laitteissa. SCEP:n avulla voit ylläpitää laitteen pääsyn suojattuihin verkkoihin ilman manuaalista kaappausta.

  • Kun laite on uusi tai se on palautettu tehdasasetuksiin, se tarvitsee verkkoyhteyden päästäkseen SCEP URL-osoitteeseen. Laitteen tulee olla yhteydessä verkkoon ilman 802.1X-yhteyttä, jotta se saa IP-osoitteen.

  • Jos käytät langatonta ilmoittautumista SSID, sinun on määritettävä yhteys verkkoon liitettäessä -näytöillä.

  • Kun olet yhteydessä provisiointiverkkoon, laitteen ei tässä vaiheessa tarvitse olla tietyllä aluksellaolonäytöllä.

  • Jotta scep-ilmoittautumisten xAP-varmenteet sopivat kaikkiin käyttöönotoihin, ne eivät tallenna varmenteen myöntäjän varmennetta, jota käytetään laitevarmenteen allekirjoittamiseen. Palvelimen todennusta varten palvelimen varmenteen myöntäjän varmenne, jota käytetään palvelimen varmenteen vahvistamiseen, on lisättävä xOikeus- ja Suojausvarmenteiden myöntäjän lisäys -varmenteella.

Edellytykset

Tarvitset seuraavat tiedot:

  • SCEP-palvelimen URL.

  • Allekirjoittavan myöntäjän varmenteen (Certificate Authority) sormenjälki.

  • Ilmoittautumisvarmenteen tiedot. Tämä muodostaa varmenteen aiheen nimen .

    • Yleinen nimi

    • Maan nimi

    • Tilan tai provinssin nimi

    • Kielinimi

    • Organisaation nimi

    • Organisaatioyksikkö

  • Aiheen nimi tilataan nimellä /C= /ST= /L= /O= /OU= /CN=

  • SCEP-palvelimen haastesalasana, jos olet määrittänyt SCEP-palvelimen määrittämään otp- tai jaetun salaisuuden määritystä varten.

Voit määrittää varmennepyynnön avainpairille tarvittavan avaimen koon seuraavalla komennolla. Oletus on 2048.

 xConfiguration Security Enrollment KeySize: <2048, 3072, 4096>

Lähetämme varmenteen voimassaolon päättymistä varten vuoden kestäneen varmennepyynnön. Palvelinpuolen käytäntö voi muuttaa voimassaolon päättymispäivämäärää varmenteen allekirjoituksen aikana.

Ethernet-yhteys

Kun laite on yhdistetty verkkoon, varmista, että se voi käyttää SCEP-palvelinta. Laitteen tulee olla yhdistetty verkkoon ilman 802.1x-yhteyttä, jotta se saa IP-osoitteen. Laitteen MAC-osoite on ehkä annettava provisiointiverkkoon, jotta se voi saada IP-osoitteen. MAC-osoite löytyy käyttöliittymästä tai laitteen takaosan selitteestä.

Kun laite on yhdistetty verkkoon, voit SSH:n laitteelle järjestelmänvalvojana käyttää TSH:tä ja lähettää ilmoittautumispyyntö SCEP-pyynnön seuraavalla komennolla: 

xCont.suojausvarmenteiden palvelurekisteröinnin SCEP-pyyntö

Kun SCEP-palvelin palauttaa allekirjoitetun laitevarmenteen, aktivoi 802.1X.

Aktivoi allekirjoitettu varmenne:

xKirjaus- ja suojausvarmennepalvelut aktivoitu

Käynnistä laite uudelleen varmenteen aktivoinnin jälkeen.

Langaton yhteys

Kun laite on yhdistetty langattomaan verkkoon, varmista, että se voi käyttää SCEP-palvelinta.

Kun laite on yhdistetty verkkoon, voit SSH:n laitteelle järjestelmänvalvojana käyttää TSH:tä ja lähettää ilmoittautumispyyntö SCEP-pyynnön seuraavalla komennolla: 

xCont.suojausvarmenteiden palvelurekisteröinnin SCEP-pyyntö

Laite vastaanottaa allekirjoitetun varmenteen SCEP-palvelimesta.

Aktivoi allekirjoitettu varmenne: 

xKirjaus- ja suojausvarmennepalvelut aktivoitu

Aktivoinnin jälkeen sinun on määritettävä Wi-Fi-verkostolle EAP-TLS-todennus. 

xFin ja Verkon Wifi-asetukset

Oletusarvoisesti Wi-Fi-määritykset ohittavat palvelimen vahvistustarkastukset. Jos tarvitaan vain yksisuuntainen todennus, pidä AllowMissingCA oletusarvona Tosi.

Pakota palvelimen vahvistus varmista, että AllowMissingCA-valinnainen parametri on Epätosi. Jos yhteyttä ei saada muodostettu palvelun vahvistusvirheiden vuoksi, tarkista, että oikea myöntäjä on lisätty vahvistamaan palvelinvarmenne, joka voi olla eri kuin laitevarmenne.

API kuvaukset

Rooli: Järjestelmänvalvoja, integraattori

xCont.suojausvarmenteiden palvelurekisteröinnin SCEP-pyyntö

Lähettää CSR annettuun SCEP-palvelimeen allekirjoitusta varten. CSR SubjectName -parametrit muodostetaan seuraavassa järjestyksessä: C, ST, L, O, OUs, CN.

Parametrit:

  • URL(r): <S: 0, 256>

    SCEP-palvelimen URL-osoite.

  • Sormenjälki(r): <S: 0, 128>

    SCEP-pyynnön CSR allekirjoittavan myöntäjän varmennetunnuksen sormenjälki.

  • Yleinen nimi(r): <S: 0, 64>

    Lisää kohteen CSR aihenimeen "/CN=".

  • Haastepassword: <S: 0, 256>

    OTP tai Jaettu salaisuus SCEP-palvelimesta, jotta voit käyttää allekirjoitusta.

  • CountryName: <S: 0, 2>

    Lisää kohteen CSR aihenimeen "/C=".

  • StateOrProvinceName: <S: 0, 64>

    Lisää kohteen CSR aihenimeen "/ST=".

  • Kielinimi: <S: 0, 64>

    Lisää kohteen CSR aihenimeen "/L=".

  • Organisaation nimi: <S: 0, 64>

    Lisää kohteen CSR aiheen nimeen "/O=".

  • OrganizationalUnit[5]: <S: 0, 64>

    Lisää enintään viisi "/OU=" -parametria CSR aiheen nimeen.

  • SanDns[5]: <S: 0, 64>

    Lisää enintään 5 DNS-parametria CSR Aiheen vaihtoehtoiseen nimeen.

  • SanEmail[5]: <S: 0, 64>

    Lisää enintään viisi sähköpostiparametria kohteeseen CSR Aiheen vaihtoehtoinen nimi.

  • Käyttöohje[5]: <S: 0, 64>

    Lisää enintään 5 Ip-parametria CSR Aiheen vaihtoehtoiseen nimeen.

  • SanUri[5]: <S: 0, 64>

    Lisää enintään 5 URI-parametria CSR Aiheen vaihtoehtoiseen nimeen.

xKäytäntö- ja suojausvarmenteiden palvelujen ilmoittautumisprofiilien poistaminen

Poistaa ilmoittautumisprofiilin, jotta varmenteita ei enää uusita.

Parametrit:

  • Sormenjälki(r): <S: 0, 128>

    Myöntäjän varmenne, joka määrittää poistettavan profiilin. Voit poistaa saatavilla olevat profiilit suorittamalla: 

    xKäytäntöjen ja suojausvarmenteiden palvelujen ilmoittautumisprofiilien luettelo

xKäytäntöjen ja suojausvarmenteiden palvelujen ilmoittautumisprofiilien luettelo

Luettelee varmenteen uusimisen ilmoittautumisprofiilit.

 xCont-suojausvarmenteiden palvelujen ilmoittautuminen SCEP-profiilit määritä sormenjälki(r): <S: 0, 128> URL(r): <S: 0, 256>

Lisää myöntäjän tunnistetietoihin ilmoittautumisprofiili, jotta voit käyttää annettua SCEP URL -osoitetta uusimiseen.

Uusiminen

 xCont.varmenteiden ja suojausvarmenteiden palvelujen ilmoittautumisen SCEP-profiilit on asetettu

Jotta varmenne voidaan uusia automaattisesti, laitteen on voitava käyttää SCEP Url -osoitetta, joka voi riitauttaa varmenteen.

Kerran päivässä laite tarkistaa varmenteet, jotka vanhenevat 45 päivän kuluttua. Laite yrittää sitten uusia tämän varmenteen, jos laitteen myöntäjä vastaa profiilia.

HUOMAUTUS: Kaikki laitevarmenteet tarkistetaan uusimista varten, vaikka varmennetta ei alun perin olisi rekisteröity SCEP:n avulla.

Merenkulkija

  1. Suora yhdistäminen: Ilmoittautumisvarmenteet voidaan aktivoida "Yhdistäminen"-varmenteeksi.

  2. Etäpari: Pyydä navigaattoria rekisteröimään uusi SCEP-varmenne lisälaitteen tunnuksella:

    xCont.lisälaitteiden suojausvarmenteiden palvelurekisteröinti SCEP-pyyntö 

    Ilmoittautumisprofiilit synkronoidaan automaattisesti yhdistetyn navigaattorin kanssa.

  3. Erillinen navigointi: Sama kuin koodekkirekisteröinnit

Määritä 802.1x-todennus room navigatorissa

Voit määrittää 802.1x-todennuksen suoraan Room Navigatorin Asetukset-valikosta.

802.1x-todennusnormi on erityisen tärkeä Ethernet-verkoille, ja sen avulla varmistetaan, että vain hyväksytyille laitteille annetaan pääsy verkkoresursseihin. Voit todentaa verkon käyttäjänimellä ja salasanalla tai voit käyttää asiakasvarmenteita. Molempia on myös mahdollista käyttää samanaikaisesti. Asiakasvarmenteet on ladattava API kautta ja aktivoitava, jotta ne voivat käyttää 802.1x-palvelua.

Varmenteen 802.1x määrittäminen ja päivitys on tehtävä ennen huoneen navigointilaitteen liittämistä järjestelmään tai huoneen navigointilaitteen tehdasasetusten palauttamista.

Oletusarvoiset tunnistetiedot ovat järjestelmänvalvoja ja tyhjä salasana. Lisätietoja varmenteen lisäämisestä API-oppaalla on API-oppaan uusimmassa versiossa .

  1. Avaa Navigatorin ohjauspaneeli napauttamalla oikeassa yläkulmassa olevaa painiketta tai pyyhkäisemällä oikealta puolelta. Valitse sitten Laiteasetukset .
  2. Siirry verkkoyhteyteen ja valitse Ethernet .
  3. Vaihda käytä IEEE 802.1X käytössä.
    • Jos todennus on määritetty tunnistetiedoilla, anna käyttäjätunnus ja tunnuslause. Voit antaa myös anonyymin identiteetin: tämä on valinnainen kenttä, joka mahdollistaa varsinaisen käyttäjän identiteetin erottamisen alkuperäisestä todennuspyynnöstä.
    • Voit vaihtaa TLS Tarkista käytöstä tai ottaa sen käyttöön. Kun TLS-tarkistus on otettu käyttöön, asiakas tarkistaa aktiivisesti palvelimen varmenteen todennuksen TLS-kättelyn aikana. Kun TLS-tarkistus on poistettu käytöstä, asiakas ei tee palvelimen varmenteen aktiivista vahvistusta.
    • Jos olet ladannut asiakasvarmenteen käyttämällä API, vaihda käytä asiakasvarmennetta .
    • Vaihda käytettävät laajennustodennusprotokollan (EAP) tavat. EAP -menetelmän valinta määräytyy erityisten suojausvaatimusten, infrastruktuurin ja asiakasominaisuuksien perusteella. EAP -menetelmät ovat ratkaiseva tekijä suojatun ja todennetun verkkoyhteyden käyttöönoton kannalta.