Voit lisätä varmenteita laitteen paikallisen web-käyttöliittymän kautta. Vaihtoehtoisesti voit lisätä varmenteita suorittamalla API-komennot. Katso kohdasta , millä komennoilla voit lisätä varmenteita, roomos.cisco.com .

Palvelusertifikaatit ja luotetut varmenteiden myöntäjät

Varmenteen validointi saattaa olla tarpeen käytettäessä TLS (Transport Layer Security). Palvelin tai asiakas saattaa vaatia, että laite esittää heille voimassa olevan varmenteen ennen tiedonsiirron muodostamista.

Sertifikaatit ovat tekstitiedostoja, jotka vahvistavat laitteen aitouden. Luotetun Certificate Authority (CA) -varmentajan on allekirjoitettava nämä varmenteet. Varmenteiden allekirjoituksen tarkistamiseksi laitteella on oltava luotettavien varmenteiden myöntäjien luettelo. Luettelon on sisällettävä kaikki tarvittavat varmenteiden myöntäjät sekä lokitietojen että muiden yhteyksien varmenteiden tarkistamiseksi.

Sertifikaatteja käytetään seuraaviin palveluihin: HTTPS-palvelin, SIP, IEEE 802.1X ja lokitietojen tallennus. Voit tallentaa laitteeseen useita varmenteita, mutta vain yksi varmenne on käytössä kerrallaan kutakin palvelua kohden.

RoomOS:ssä lokakuussa 2023 ja myöhemmin, kun lisäät CA-varmenteen laitteeseen, se otetaan käyttöön myös Room Navigatorissa, jos sellainen on yhdistetty. Synkronoi aiemmin lisätyt CA-varmenteet yhdistettyyn Room Navigatoriin käynnistämällä laite uudelleen. Jos et halua oheislaitteiden saavan samoja varmenteita kuin laite, johon se on yhdistetty, aseta määritykseksi Peripherals Security Certificates SyncToPeripherals arvo False.

Wi-Fi-yhteydelle

Suosittelemme, että lisäät luotettavan CA-varmenteen jokaiselle Board-, Desk- tai Room Series -laitteelle, jos verkossasi käytetään WPA-EAP-todennusta. Sinun on tehtävä tämä erikseen kullekin laitteelle ja ennen kuin muodostat yhteyden Wi-Fi-palveluun.

Varmenteiden lisäämiseksi Wi-Fi-yhteydellesi tarvitset seuraavat tiedostot:

• CA-varmenneluettelo (tiedostomuoto: .PEM)

• Varmenne (tiedostomuoto: .PEM)

• Yksityinen avain, joko erillisenä tiedostona tai samassa tiedostossa kuin varmenne (tiedostomuoto: .PEM)

• Salasana (vaaditaan vain, jos yksityinen avain on salattu)

Varmenne ja yksityinen avain tallennetaan samaan tiedostoon laitteella. Jos todennus epäonnistuu, yhteyttä ei muodosteta.

Järjestelmänvalvojien on luotava varmenteen allekirjoituspyyntö (CSR) Control Hubissa pilvirekisteröidylle Board-, työpöytä- tai huonesarjan laitteelle.

Luo CSR ja lataa allekirjoitettu varmenne laitteellesi seuraavasti:

1. Siirry Control Hubin asiakasnäkymässä Laitteet-sivulle ja valitse laitteesi luettelosta.
2. Siirry kohtaan Toiminnot > Suorita xCommand > Tietoturva > Varmenteet > CSR > Luo.
3. Anna tarvittavat varmenteen tiedot ja valitse Suorita.
4. Kopioi kaikki teksti kohtien ----BEGIN CERTIFICATE REQUEST---- ja ----END CERTIFICATE REQUEST---- väliltä.
5. Allekirjoita Certificate Authority (CA) valitsemallasi CSR-lomakkeella.
6. Vie allekirjoitettu varmenne PEM-muodossa (Base64-koodattu).
7. Avaa allekirjoitettu varmennetiedosto tekstieditorissa (esim. Muistiossa) ja kopioi kaikki teksti kohtien ----BEGIN CERTIFICATE---- ja ----END CERTIFICATE---- välillä.
8. Siirry Control Hubissa kohtaan Laitteet > valitse laitteesi > Toiminnot > Suorita xCommand > Suojaus > Varmenteet > CSR > Linkki.
9. Liitä kopioitu varmenteen sisältö Runko-osioon ja valitse Suorita.
10. Päivitä sivu varmistaaksesi, että varmenne näkyy kohdassa Olemassa oleva varmenne.

Simple Certificate Enrollment Protocol (SCEP) tarjoaa automatisoidun mekanismin esimerkiksi 802.1X-todennukseen laitteissa käytettävien varmenteiden rekisteröintiin ja päivittämiseen. SCEP:n avulla voit ylläpitää laitteen pääsyä suojattuihin verkkoihin ilman manuaalisia toimia.

• Kun laite on uusi tai sen tehdasasetukset on palautettu, se tarvitsee verkkoyhteyden SCEP-URL-osoitteeseen pääsemiseksi. Laite tulee liittää verkkoon ilman 802.1X-standardia, jotta se saa IP-osoitteen.

• Jos käytät langatonta rekisteröintiä SSID, määritä yhteys verkkoon käyttöönottonäyttöjen kautta.

• Kun olet muodostanut yhteyden valmisteluverkkoon, laitteen ei tarvitse olla tietyllä käyttöönottonäytöllä.

• Jotta kaikki käyttöönottotoimenpiteet olisivat mahdollisia, SCEP-rekisteröinnin xAPI-rajapinnat eivät tallenna laitevarmenteen allekirjoittamiseen käytettyä CA-varmennetta. Palvelimen todennusta varten palvelimen varmenteen validointiin käytetty CA-varmenne on lisättävä xCommand-tietoturvasertifikaatit CA-lisäosa.

Edellytykset

Tarvitset seuraavat tiedot:

• SCEP-palvelimen URL-osoite.

• Allekirjoittavan varmentajan varmenteen (Certificate Authority) sormenjälki.

• Ilmoittautumistodistuksen tiedot. Tämä muodostaa Aiheen nimi todistuksesta.

  • Yleinen nimi

  • Maan nimi

  • Osavaltion tai provinssin nimi

  • Paikkakunnan nimi

  • Organisaation nimi

  • Organisaatioyksikkö

• Koehenkilön nimi järjestetään muodossa /C= /ST= /L= /O= /OU= /CN=

• SCEP-palvelimen haastesalasana, jos olet määrittänyt SCEP-palvelimen pakottamaan kertakäyttöisen salasanan tai jaetun salaisuuden.

Voit asettaa varmennepyyntöavainparin vaaditun avaimen koon seuraavalla komennolla. Oletusarvo on 2048.

 xConfiguration-tietoturvan rekisteröintiavaimen koko: <2048, 3072, 4096>

Lähetämme vuoden voimassa olevan varmennepyynnön varmenteen vanhenemista varten. Palvelinpuolen käytäntö voi muuttaa vanhenemispäivämäärää varmenteen allekirjoittamisen aikana.

Ethernet-yhteys

Kun laite on yhdistetty verkkoon, varmista, että se voi käyttää SCEP-palvelinta. Laite tulee liittää verkkoon, jossa ei ole 802.1x-standardia, jotta se saa IP-osoitteen. Laitteen MAC-osoite on ehkä annettava valmisteluverkolle IP-osoitteen saamiseksi. MAC-osoite löytyy käyttöliittymästä tai laitteen takana olevasta tarrasta.

Kun laite on yhdistetty verkkoon, voit muodostaa siihen SSH-yhteyden ylläpitäjä päästäksesi TSH:hon ja suorita sitten seuraava komento lähettääksesi rekisteröinti-SCEP-pyynnön:

xCommand-tietoturvasertifikaattien palveluiden rekisteröinti SCEP-pyyntö 

Kun SCEP-palvelin palauttaa allekirjoitetun laitevarmenteen, aktivoi 802.1X.

Aktivoi allekirjoitettu varmenne:

xCommand-tietoturvasertifikaattien palvelut aktivoituvat 

Käynnistä laite uudelleen varmenteen aktivoinnin jälkeen.

Langaton yhteys

Kun laite on yhdistetty langattomaan verkkoon, varmista, että se voi käyttää SCEP-palvelinta.

Kun laite on yhdistetty verkkoon, voit muodostaa siihen SSH-yhteyden järjestelmänvalvojana ( admin ) käyttääksesi TSH:ta ja suorittaa sitten seuraavan komennon lähettääksesi rekisteröinti-SCEP-pyynnön:

xCommand-tietoturvasertifikaattien palveluiden rekisteröinti SCEP-pyyntö 

Laite vastaanottaa allekirjoitetun varmenteen SCEP-palvelimelta.

Aktivoi allekirjoitettu varmenne:

xCommand-tietoturvasertifikaattien palvelut aktivoituvat

Aktivoinnin jälkeen sinun on määritettävä Wi-Fi-verkkoon EAP-TLS-todennus.

xCommand-verkon Wi-Fi-konfigurointi 

Oletusarvoisesti Wi-Fi-määritys ohittaa palvelimen vahvistustarkistukset. Jos vaaditaan vain yksisuuntainen todennus, pidä ` AllowMissingCA` oletusarvossa ` True`.

Pakotaaksesi palvelimen vahvistuksen varmista, että valinnainen ``AllowMissingCA``-parametri on asetettu arvoon ``False``. Jos yhteyttä ei voida muodostaa palvelun validointivirheiden vuoksi, tarkista, että oikea varmentaja on lisätty palvelinvarmenteen varmentamiseksi. Varmenne voi olla eri kuin laitevarmenne.

API kuvaukset

Rooli: Ylläpitäjä, Integraattori

xCommand-tietoturvasertifikaattien palveluiden rekisteröinti SCEP-pyyntö

Lähettää CSR-koodin tietylle SCEP-palvelimelle allekirjoitettavaksi. CSR SubjectName-parametrit muodostetaan seuraavassa järjestyksessä: C, ST, L, O, OUs, CN.

Parametrit:

• URL(r): <S: 0, 256>

  SCEP-palvelimen URL-osoite.

• Sormenjälki(r): <S: 0, 128>

  CA-varmenteen sormenjälki, joka allekirjoittaa SCEP-pyynnön CSR.

• YleinenNimi(r): <S: 0, 64>

  Lisää "/CN=" CSR-aiheen nimeen.

• Haastesalasana: <S: 0, 256>

  OTP tai jaettu salaisuus SCEP-palvelimelta allekirjoitusoikeutta varten.

• Maan nimi: <S: 0, 2>

  Lisää "/C=" CSR-aiheen nimeen.

• Osavaltion tai maakunnan nimi: <S: 0, 64>

  Lisää "/ST=" CSR-kohteen nimeen.

• Paikkakunnan nimi: <S: 0, 64>

  Lisää "/L=" CSR-aiheen nimeen.

• Organisaation nimi: <S: 0, 64>

  Lisää "/O=" CSR-aiheen nimeen.

• Organisaatioyksikkö[5]: <S: 0, 64>

  Lisää enintään viisi "/OU=" -parametria CSR-aiheen nimeen.

• SanDns[5]: <S: 0, 64>

  Lisää enintään 5 DNS-parametria CSR-aiheen vaihtoehtoiseen nimeen.

• SanEmail[5]: <S: 0, 64>

  Lisää enintään 5 sähköpostiosoiteparametria CSR-aiheen vaihtoehtoiseen nimeen.

• SanIp[5]: <S: 0, 64>

  Lisää enintään 5 IP-parametria CSR-aiheen vaihtoehtoiseen nimeen.

• SanUri[5]: <S: 0, 64>

  Lisää enintään 5 URI-parametria CSR-aiheen vaihtoehtoiseen nimeen.

xCommand-tietoturvasertifikaattien palveluiden rekisteröintiprofiilien poistaminen

Poistaa rekisteröintiprofiilin, jotta varmenteita ei enää uusita.

Parametrit:

• Sormenjälki(r): <S: 0, 128>

  CA-varmenteen sormenjälki, joka tunnistaa poistettavan profiilin. Voit nähdä poistettavat profiilit suorittamalla seuraavat toiminnot:

  xCommand-tietoturvasertifikaattien palveluiden rekisteröintiprofiililuettelo

xCommand-tietoturvasertifikaattien palveluiden rekisteröintiprofiililuettelo

Listaa rekisteröintiprofiilit varmenteen uusimista varten.

 xCommand-tietoturvasertifikaattien palveluiden rekisteröinti SCEP-profiilit Asetettu sormenjälki(r): <S: 0, 128> URL(r): <S: 0, 256>

Lisää rekisteröintiprofiili CA-sormenjäljen myöntämille varmenteille, jotta annettua SCEP-URL-osoitetta voidaan käyttää uusimiseen.

Uudistaminen

 xCommand-tietoturvasertifikaattien palveluiden rekisteröinti SCEP-profiilien joukko

Jotta varmenne voidaan uusia automaattisesti, laitteen on voitava käyttää SCEP-URL-osoitetta, joka voi uusia varmenteen.

Laite tarkistaa kerran päivässä varmenteet, jotka vanhenevat 45 päivän kuluttua. Laite yrittää sitten uusia nämä varmenteet, jos niiden myöntäjä vastaa profiilia.

HUOMAUTUS: Kaikkien laitevarmenteiden uusiminen tarkistetaan, vaikka varmennetta ei olisi alun perin rekisteröity SCEP:n avulla.

Navigaattori

1. Suoraan yhdistetty: Rekisteröidyt varmenteet voidaan aktivoida "Pariliitos"-varmenteina.

2. Etälaite paritettu: Pyydä navigaattoria rekisteröimään uusi SCEP-varmenne oheislaitteen tunnuksella:

   xCommand-oheislaitteiden suojaussertifikaattien palveluiden rekisteröinti SCEP-pyyntö 

   Rekisteröintiprofiilit synkronoidaan automaattisesti pariliitettyyn navigaattoriin.

3. Erillinen Navigator: Sama kuin koodekin rekisteröinti

Voit määrittää 802.1x-todennuksen suoraan Room Navigatorin Asetukset-valikosta.

802.1x-todennusstandardi on erityisen tärkeä Ethernet-verkoissa, ja se varmistaa, että vain valtuutetut laitteet pääsevät käyttämään verkkoresursseja.

Käytettävissä on erilaisia ​​kirjautumisvaihtoehtoja verkossasi määritetyn EAP-metodin mukaan. Esimerkki:

• TLS: Käyttäjätunnusta ja salasanaa ei käytetä.
• PEAP: Varmenteita ei käytetä.
• TTLS: Sekä käyttäjätunnus/salasana että varmenteet vaaditaan; kumpikaan ei ole valinnainen.

Asiakasvarmenteen voi hankkia laitteelle useilla tavoilla:

1. Lähetä PEM: Käytä suojaussertifikaattipalveluiden lisäämistoimintoa.
2. Luo CSR: Luo varmenteen allekirjoituspyyntö (CSR), allekirjoita se ja linkitä se käyttämällä suojausvarmenteita CSR Luo/Linkitä.
3. SCEP: Käytä suojaussertifikaattipalveluiden rekisteröintiä SCEP-pyyntöön.
4. DHCP Vaihtoehto 43: Määritä varmenteen toimitus tällä vaihtoehdolla.

802.1x-sertifikaattien määrittäminen ja päivittäminen tulisi tehdä ennen pariliitosta Room Navigator järjestelmään tai Room Navigatorin tehdasasetusten palauttamisen jälkeen.

Oletusarvoiset tunnistetiedot ovat admin ja tyhjä salasana. Lisätietoja varmenteiden lisäämisestä API-komennon avulla on kohdassa API-oppaan uusin versio .

1. Avaa Navigatorin ohjauspaneeli napauttamalla oikeassa yläkulmassa olevaa painiketta tai pyyhkäisemällä oikealta reunalta. Napauta sitten Laiteasetukset .
2. Siirry osoitteeseen Verkkoyhteys ja valitse Ethernet .
3. Vaihda Käytä IEEE 802.1X -standardia päällä.
   • Jos todennus on määritetty tunnistetiedoilla, anna käyttäjätunnus ja salasana. Voit myös syöttää anonyymin henkilöllisyyden: tämä on valinnainen kenttä, jonka avulla voidaan erottaa varsinaisen käyttäjän henkilöllisyys alkuperäisestä todennuspyynnöstä.
   • Voit vaihtaa TLS Vahvista pois tai päälle. Kun TLS-tarkistus on käytössä, asiakasohjelma tarkistaa aktiivisesti palvelimen varmenteen aitouden TLS-kättelyn aikana. Kun TLS-tarkistus on poistettu käytöstä, asiakas ei suorita palvelimen varmenteen aktiivista tarkistusta.
   • Jos olet ladannut asiakasvarmenteen API-sivun kautta, vaihda Käytä asiakasvarmennetta päällä.
   • Vaihda Laajennettava todennusprotokolla (EAP) menetelmät, joita haluat käyttää. EAP-metodin valinta riippuu erityisistä tietoturvavaatimuksista, infrastruktuurista ja asiakkaan ominaisuuksista. EAP-metodit ovat ratkaisevan tärkeitä turvallisen ja todennetun verkkoyhteyden mahdollistamiseksi.