Voit lisätä varmenteita laitteen paikallisesta Web-käyttöliittymästä. Voit myös lisätä varmenteita suorittamalla API-komennot. Lisätietoja varmenteen lisäämisen sallimista komennoista on kohdassa roomos.cisco.com .

Palveluvarmenteet ja luotetut myöntäjävirastot

Varmenteen vahvistus voi olla pakollinen, kun käytetään TLS (Siirtokerrossuojaus). Palvelin tai asiakas voi edellyttää, että laite esittää heille kelvollisen varmenteen, ennen kuin yhteys on määritetty.

Varmenteet ovat tekstitiedostoja, jotka varmistavat laitteen todennuksen. Luotetun Certificate Authority (CA) on allekirjoitettava nämä varmenteet. Varmenteen allekirjoituksen tarkistamiseksi laitteessa on oltava luettelo luotetuista yhteyspalveluista. Luetteloon on sisällyttävä kaikki varmenteet, joita tarvitaan sekä valvontakirjauksen että muiden yhteyksien varmenteen tarkistamiseen.

Varmenteita käytetään seuraavissa palveluissa: HTTPS-palvelin, SIP, IEEE 802.1X ja audit-kirjaus. Voit tallentaa laitteelle useita varmenteita, mutta kullekin palvelulle on kerrallaan käytössä vain yksi varmenne.

RoomOS-tilassa lokakuussa 2023 ja myöhemmin, kun lisäät myöntäjän varmenteen laitteeseen, sitä käytetään myös Room Navigator, jos sellainen on yhdistetty. Jos haluat synkronoida aiemmin lisätyt myöntäjän varmenteet yhdistettyyn Room Navigator, käynnistä laite uudelleen. Jos et halua, että lisälaitteet saavat samat varmenteet kuin laite, johon se on yhdistetty, määritä kokoonpanon Lisälaitteiden suojausvarmenteet synkronoidaan epätodeksi.

Wi-Fi-yhteyksille

Suosittelemme, että lisäät luotetun myöntäjän varmenteen kullekin Board-, Desk- tai Huonesarja-laitteelle, jos verkossa käytetään WPA-EAP-todennusta. Sinun on tehtävä tämä erikseen kunkin laitteen kohdalla ja ennen kuin muodostat yhteyden Wi-Fi-tilaan.

Voit lisätä Wi-Fi-yhteyden varmenneita seuraavilla tiedostoilla:

• Myöntäjän varmenneluettelo (tiedoston muoto: . PEM)

• Varmenne (tiedostomuoto: . PEM)

• Yksityinen avain joko erillisenä tiedostona tai samassa tiedostossa kuin varmenne (tiedostomuoto: . PEM)

• Tunnuslause (pakollinen vain, jos yksityinen avain on salattu)

Varmenne ja yksityinen avain tallennetaan samaan tiedostoon laitteessa. Jos todennus epäonnistuu, yhteyttä ei muodostetta.

Järjestelmänvalvojan on luotava varmenteen allekirjoituspyyntö (CSR) ohjauskeskuksesta pilvirekisteröitylle Board-, Pöytä- tai Huonesarja-laitteelle.

Luo CSR ja lataa allekirjoitettu varmenne laitteeseen seuraavasti:

1. Siirry Ohjauskeskuksen asiakasnäkymästä Laitteet-sivulle ja valitse laite luettelosta.
2. Siirry toimintoihin, > Suorita xKirjaudu > Suojaus > -varmenteet > CSR > Luo.
3. Anna tarvittavat varmennetiedot ja valitse Suorita.
4. Kopioi kaikki teksti ----BEGIN-VARMENNEPYYNNÖN---- ja ----END-VARMENNEPYYNNÖN välillä----.
5. Kirjaudu CSR käyttämällä valitsemasi Certificate Authority (CA).
6. Vie allekirjoitettu varmenne PEM (Base64-koodattu) -muodossa.
7. Avaa allekirjoitettu varmennetiedosto tekstieditorilla (esim. Muistio) ja kopioi kaikki teksti ----BEGIN-VARmenteen---- ja ----END-varmenteen välillä----.
8. Siirry ohjauskeskuksessa laitteisiin > valitse laitteen > toiminnot > Suorita x>Suojaus > -varmenteet > CSR >-linkki.
9. Liitä kopioidun varmenteen sisältö Leipäteksti-osaan ja valitse Suorita.
10. Päivitä sivu, jotta varmistat, että varmenne on olemassa olevan varmenteen kohdassa.

ScEP (Simple Certificate Enrollment Protocol) tarjoaa automaattisen mekanismin esimerkiksi 802.1X-todennusta käyttävien varmenneiden ilmoittautumiseen ja virkistysvarmenteisiin laitteissa. SCEP:n avulla voit ylläpitää laitteen pääsyn suojattuihin verkkoihin ilman manuaalista kaappausta.

• Kun laite on uusi tai se on palautettu tehdasasetuksiin, se tarvitsee verkkoyhteyden päästäkseen SCEP URL:hen. Laitteen tulee olla yhteydessä verkkoon ilman 802.1X-yhteyttä, jotta se saa IP-osoitteen.

• Jos käytät langatonta ilmoittautumista SSID, määritä verkkoyhteys lautanäytöissä.

• Kun olet yhteydessä valmisteluverkkoon, laitteen ei tarvitse olla tietyssä aloitusnäytössä.

• Jotta scep-ilmoittautumisten xAP-varmenteet sopivat kaikkiin käyttöönotoihin, ne eivät tallenna laitteen varmenteen allekirjoittamiseen käytettävää varmenteiden myöntäjän varmennetta. Palvelimen todennusta varten palvelimen varmenteen myöntäjän varmenne, jota käytetään palvelimen varmenteen vahvistamiseen, on lisättävä xOikeus- ja Suojausvarmenteiden myöntäjän lisäys -varmenteella.

Edellytykset

Tarvitset seuraavat tiedot:

• SCEP-palvelimen URL.

• Allekirjoittavan myöntäjän varmenteen (Certificate Authority) sormenjälki.

• Ilmoittautumisvarmenteen tiedot. Tämä muodostaa varmenteen aiheen nimen .

  • Yleinen nimi

  • Maan nimi

  • Tilan tai provinssin nimi

  • Kielinimi

  • Organisaation nimi

  • Organisaatioyksikkö

• Aiheen nimi tilataan nimellä /C= /ST= /L= /O= /OU= /CN=

• SCEP-palvelimen haastesalasana, jos olet määrittänyt SCEP-palvelimen määrittämään otp- tai jaetun salaisuuden määritystä varten.

Voit määrittää varmennepyynnön avainpairille tarvittavan avaimen koon seuraavalla komennolla. Oletus on 2048.

 xConfiguration Security Enrollment KeySize: <2048, 3072, 4096>

Lähetämme varmenteen voimassaolon päättymistä varten vuoden kestäneen varmennepyynnön. Palvelinpuolen käytäntö voi muuttaa voimassaolon päättymispäivämäärää varmenteen allekirjoituksen aikana.

Ethernet-yhteys

Kun laite on yhdistetty verkkoon, varmista, että se voi käyttää SCEP-palvelinta. Laitteen tulee olla yhdistetty verkkoon ilman 802.1x-yhteyttä, jotta se saa IP-osoitteen. Laitteen MAC-osoite on ehkä annettava valmisteluverkkoon, jotta se voi saada IP-osoitteen. MAC-osoite löytyy käyttöliittymästä tai laitteen takaosan selitteestä.

Kun laite on yhdistetty verkkoon, voit SSH:n laitteelle järjestelmänvalvojana käyttää TSH:tä ja lähettää ilmoittautumispyyntö SCEP-pyynnön seuraavalla komennolla:

xCont.suojausvarmenteiden palvelurekisteröinnin SCEP-pyyntö 

Kun SCEP-palvelin palauttaa allekirjoitetun laitevarmenteen, aktivoi 802.1X.

Aktivoi allekirjoitettu varmenne:

xKirjaus- ja suojausvarmennepalvelut aktivoitu 

Käynnistä laite uudelleen varmenteen aktivoinnin jälkeen.

Langaton yhteys

Kun laite on yhdistetty langattomaan verkkoon, varmista, että se voi käyttää SCEP-palvelinta.

Kun laite on yhdistetty verkkoon, voit SSH:n laitteelle järjestelmänvalvojana käyttää TSH:tä ja lähettää ilmoittautumispyyntö SCEP-pyynnön seuraavalla komennolla:

xCont.suojausvarmenteiden palvelurekisteröinnin SCEP-pyyntö 

Laite vastaanottaa allekirjoitetun varmenteen SCEP-palvelimesta.

Aktivoi allekirjoitettu varmenne:

xKirjaus- ja suojausvarmennepalvelut aktivoitu

Aktivoinnin jälkeen sinun on määritettävä Wi-Fi-verkostolle EAP-TLS-todennus.

xFin ja Verkon Wifi-asetukset 

Oletusarvoisesti Wi-Fi-määritykset ohittavat palvelimen vahvistustarkastukset. Jos tarvitaan vain yksisuuntainen todennus, pidä AllowMissingCA oletusarvona Tosi.

Pakota palvelimen vahvistus varmista, että AllowMissingCA-valinnainen parametri on Epätosi. Jos yhteyttä ei saada muodostettu palvelun vahvistusvirheiden vuoksi, tarkista, että oikea myöntäjä on lisätty vahvistamaan palvelinvarmenne, joka voi olla eri kuin laitevarmenne.

API-kuvaukset

Rooli: Järjestelmänvalvoja, integraattori

xCont.suojausvarmenteiden palvelurekisteröinnin SCEP-pyyntö

Lähettää CSR annettuun SCEP-palvelimeen allekirjoitusta varten. CSR SubjectName -parametrit määritetään seuraavassa järjestyksessä: C, ST, L, O, OUs, CN.

Parametrit:

• URL(r): <S: 0, 256>

  SCEP-palvelimen URL-osoite.

• Sormenjälki(r): <S: 0, 128>

  SCEP-pyynnön CSR allekirjoittavan myöntäjän varmennetunnuksen sormenjälki.

• Yleinen nimi(r): <S: 0, 64>

  Lisää kohteen CSR aiheen nimeen "/CN=".

• Haastepassword: <S: 0, 256>

  OTP tai Jaettu salaisuus SCEP-palvelimesta, jotta voit käyttää allekirjoitusta.

• CountryName: <S: 0, 2>

  Lisää kohteen CSR aihenimeen "/C=".

• StateOrProvinceName: <S: 0, 64>

  Lisää kohteen CSR aihenimeen "/ST=".

• Kielinimi: <S: 0, 64>

  Lisää kohteen CSR aihenimeen "/L=".

• Organisaation nimi: <S: 0, 64>

  Lisää kohteen CSR aihenimeen "/O=".

• OrganizationalUnit[5]: <S: 0, 64>

  Lisää enintään viisi "/OU=" -parametria CSR aiheen nimeen.

• SanDns[5]: <S: 0, 64>

  Lisää enintään 5 DNS-parametria CSR Aiheen vaihtoehtoiseen nimeen.

• SanEmail[5]: <S: 0, 64>

  Lisää enintään viisi sähköpostiparametria kohteeseen CSR Aiheen vaihtoehtoinen nimi.

• Käyttöohje[5]: <S: 0, 64>

  Lisää enintään 5 Ip-parametria CSR Aiheen vaihtoehtoiseen nimeen.

• SanUri[5]: <S: 0, 64>

  Lisää enintään 5 URI-parametria CSR Aiheen vaihtoehtoiseen nimeen.

xKäytäntö- ja suojausvarmenteiden palvelujen ilmoittautumisprofiilien poistaminen

Poistaa ilmoittautumisprofiilin, jotta varmenteita ei enää uusita.

Parametrit:

• Sormenjälki(r): <S: 0, 128>

  Myöntäjän varmenne, joka määrittää poistettavan profiilin. Voit poistaa saatavilla olevat profiilit suorittamalla:

  xKäytäntöjen ja suojausvarmenteiden palvelujen ilmoittautumisprofiilien luettelo

xKäytäntöjen ja suojausvarmenteiden palvelujen ilmoittautumisprofiilien luettelo

Luettelee varmenteen uusimisen ilmoittautumisprofiilit.

 xCont-suojausvarmenteiden palvelujen ilmoittautuminen SCEP-profiilit määritä sormenjälki(r): <S: 0, 128> URL(r): <S: 0, 256>

Lisää myöntäjän tunnistetietoihin ilmoittautumisprofiili, jotta voit käyttää annettua SCEP URL -osoitetta uusimiseen.

Uusiminen

 xCont.varmenteiden ja suojausvarmenteiden palvelujen ilmoittautumisen SCEP-profiilit on asetettu

Jotta varmenne voidaan uusia automaattisesti, laitteen on voitava käyttää SCEP Url -osoitetta, joka voi riitauttaa varmenteen.

Kerran päivässä laite tarkistaa varmenteet, jotka vanhenevat 45 päivän kuluttua. Laite yrittää sitten uusia tämän varmenteen, jos laitteen myöntäjä vastaa profiilia.

HUOMAUTUS: Kaikki laitevarmenteet tarkistetaan uusimista varten, vaikka varmennetta ei alun perin olisi rekisteröity SCEP:n avulla.

Merenkulkija

1. Suora yhdistäminen: Ilmoittautumisvarmenteet voidaan aktivoida "Yhdistäminen"-varmenteeksi.

2. Etäpari: Pyydä navigaattoria rekisteröimään uusi SCEP-varmenne lisälaitteen tunnuksella:

   xCont.lisälaitteiden suojausvarmenteiden palvelurekisteröinti SCEP-pyyntö 

   Ilmoittautumisprofiilit synkronoidaan automaattisesti yhdistetyn navigaattorin kanssa.

3. Erillinen navigointi: Sama kuin koodekkirekisteröinnit

Voit määrittää 802.1x-todennuksen suoraan Room Navigator:n Asetukset-valikosta.

802.1x-todennusnormi on erityisen tärkeä Ethernet-verkoille, ja sen avulla varmistetaan, että vain hyväksytyille laitteille annetaan pääsy verkkoresursseihin.

Käytettävissä on erilaisia kirjautumisasetuksia verkon EAP-menetelmän perusteella. Esimerkki:

• TLS: Käyttäjänimiä ja salasanaa ei käytetä.
• PEAP: Varmenteita ei käytetä.
• TTLS: Sekä käyttäjänimi/salasana että varmenteet vaaditaan; kumpikaan ei ole valinnainen.

Asiakasvarmenteen voi hakea laitteelle usealla eri tavalla:

1. Lataa pem: Käytä suojausvarmenteiden palvelujen lisäysominaisuutta.
2. Luo CSR: Luo varmenteen allekirjoituspyyntö (CSR), allekirjoita se ja linkitä se suojausvarmenteilla CSR Luo/linkit.
3. SCEP: Käytä suojausvarmennepalvelujen ilmoittautumispyyntöä SCEP.
4. DHCP -asetus 43: Määritä varmenteen lähetys tämän asetuksen avulla.

Varmenteita 802.1x on määritettävä ja päivitettävä ennen Room Navigator-laiteparin muodostamista järjestelmään tai Room Navigator tehdasasetuksia.

Oletusarvoiset tunnistetiedot ovat järjestelmänvalvoja ja tyhjä salasana. Lisätietoja varmenteen lisäämisestä API-oppaalla on API-oppaan uusimmassa versiossa .

1. Avaa Navigatorin ohjauspaneeli napauttamalla oikeassa yläkulmassa olevaa painiketta tai pyyhkäisemällä oikealta puolelta. Valitse sitten Laiteasetukset .
2. Siirry verkkoyhteyteen ja valitse Ethernet .
3. Vaihda käytä IEEE 802.1X käytössä.
   • Jos todennus on määritetty tunnistetiedoilla, anna käyttäjätunnus ja tunnuslause. Voit antaa myös anonyymin identiteetin: tämä on valinnainen kenttä, joka mahdollistaa varsinaisen käyttäjän identiteetin erottamisen alkuperäisestä todennuspyynnöstä.
   • Voit vaihtaa TLS Tarkista käytöstä tai ottaa sen käyttöön. Kun TLS-tarkistus on otettu käyttöön, asiakas tarkistaa aktiivisesti palvelimen varmenteen todennuksen TLS-kättelyn aikana. Kun TLS -tarkistus on poistettu käytöstä, asiakas ei tee palvelimen varmenteen aktiivista vahvistusta.
   • Jos olet ladannut asiakasvarmenteen käyttämällä API, vaihda käytä asiakasvarmennetta käyttöön.
   • Vaihda käytettävät laajennustodennusprotokollan (EAP) tavat. EAP -menetelmän valinta määräytyy erityisten suojausvaatimusten, infrastruktuurin ja asiakasominaisuuksien mukaan. EAP -menetelmät ovat ratkaiseva tekijä suojatun ja todennetun verkkoyhteyden käyttöönoton kannalta.