ניתן להוסיף אישורים מממשק האינטרנט המקומי של המכשיר. לחלופין, ניתן להוסיף אישורים על ידי הפעלת פקודות API. כדי לראות אילו פקודות מאפשרות לך להוסיף אישורים, ראה roomos.cisco.com .

אישורי שירות ו-CA מהימנים

ייתכן שיידרש אימות תעודה בעת שימוש ב-TLS (אבטחת שכבת תעבורה). שרת או לקוח עשויים לדרוש מהמכשיר להציג להם אישור תקף לפני הגדרת התקשורת.

התעודות הן קבצי טקסט המאמתים את האותנטיות של המכשיר. אישורים אלה חייבים להיות חתומים על ידי Certificate Authority (CA) מהימן. כדי לאמת את חתימת האישורים, רשימה של רשויות אישורים מהימנות חייבת להימצא במכשיר. הרשימה חייבת לכלול את כל רשויות האישור הנדרשות על מנת לאמת אישורים הן עבור רישום ביקורת והן עבור חיבורים אחרים.

אישורים משמשים עבור השירותים הבאים: שרת HTTPS, SIP, IEEE 802.1X ורישום ביקורת. ניתן לאחסן מספר אישורים במכשיר, אך רק אישור אחד מופעל עבור כל שירות בכל פעם.

ב-RoomOS מאוקטובר 2023 ואילך, כאשר מוסיפים אישור CA למכשיר, הוא מוחל גם על Room Navigator אם מחובר כזה. כדי לסנכרן את אישורי ה-CA שנוספו בעבר ל-Room Navigator מחובר, עליך לאתחל את המכשיר. אם אינך רוצה שהציוד ההיקפי יקבל את אותם אישורים כמו המכשיר שאליו הוא מחובר, הגדר את התצורה Peripherals Security Certificates SyncToPeripherals ל- False.

עבור חיבור Wi-Fi

אנו ממליצים להוסיף אישור CA מהימן לכל מכשיר Board, Desk או Room Series, אם הרשת שלך משתמשת באימות WPA-EAP. עליך לעשות זאת בנפרד עבור כל מכשיר, ולפני שאתה מתחבר אל Wi-Fi.

כדי להוסיף אישורים עבור החיבור Wi-Fi שלך, תזדקק לקבצים הבאים:

• רשימת אישורי CA (פורמט קובץ: .PEM)

• תעודה (פורמט קובץ: .PEM)

• מפתח פרטי, כקובץ נפרד או כלול באותו קובץ כמו האישור (פורמט קובץ: .PEM)

• סיסמה (נדרש רק אם המפתח הפרטי מוצפן)

התעודה והמפתח הפרטי מאוחסנים באותו קובץ במכשיר. אם האימות נכשל, החיבור לא ייווצר.

על מנהלי מערכת ליצור בקשת חתימת אישור (CSR) ממרכז הבקרה עבור מכשיר Board, Desk או Room Series הרשום בענן.

בצע את השלבים הבאים כדי ליצור CSR ולהעלות אישור חתום למכשיר שלך:

1. מתצוגת הלקוח במרכז הבקרה, עבור אל דף התקנים ובחר את המכשיר שלך מהרשימה.
2. נווט אל פעולות > הפעל את xCommand > אבטחה > אישורים > CSR > צור.
3. הזן את פרטי האישור הנדרשים ובחר בצע.
4. העתק את כל הטקסט שבין ----BEGIN CERTIFICATE REQUEST---- לבין ----END CERTIFICATE REQUEST----.
5. השתמשו ב-Certificate Authority (קליפורניה) לבחירתכם כדי לחתום על ה-CSR.
6. ייצוא האישור החתום בפורמט PEM (קידוד Base64).
7. פתחו את קובץ האישור החתום בעורך טקסט (למשל, פנקס רשימות) והעתיקו את כל הטקסט בין ----BEGIN CERTIFICATE---- לבין ----END CERTIFICATE----.
8. במרכז הבקרה, נווט אל התקנים > בחר את המכשיר שלך > פעולות > הפעל את xCommand > אבטחה > אישורים > CSR > קישור.
9. הדבק את תוכן האישור שהועתק לתוך מקטע הגוף ובחר בצע.
10. רענן את הדף כדי לוודא שהאישור מופיע תחת אישור קיים.

פרוטוקול הרשמה פשוט לתעודות (SCEP) מספק מנגנון אוטומטי לרישום ורענון תעודות המשמשות, לדוגמה, לאימות 802.1X במכשירים. SCEP מאפשר לך לשמור על גישת המכשיר לרשתות מאובטחות ללא התערבות ידנית.

• כאשר המכשיר חדש או שעבר איפוס להגדרות היצרן, הוא זקוק לגישה לרשת כדי להגיע לכתובת ה-URL של SCEP. יש לחבר את המכשיר לרשת ללא 802.1X כדי לקבל כתובת IP.

• אם אתם משתמשים ברישום אלחוטי SSID, עברו על מסכי ההרשמה כדי להגדיר את החיבור לרשת.

• לאחר שאתה מחובר לרשת הקצאת הנתונים, המכשיר אינו צריך להיות במסך קליטה מסוים.

• כדי להתאים לכל הפריסות, ‏xAPI של רישום SCEP לא יאחסנו את אישור רשות האישור המשמש לחתימה על אישור המכשיר. עבור אימות שרת, יש להוסיף את אישור ה-CA המשמש לאימות אישור השרת עם הוספת תעודות אבטחה של xCommand CA.

דרישות מוקדמות

אתה צריך את המידע הבא:

• כתובת ה-URL של שרת SCEP.

• טביעת אצבע של תעודת CA החותמת (Certificate Authority).

• מידע על התעודה להרשמה. זה מהווה את ה שם הנושא של התעודה.

  • שם נפוץ

  • שם המדינה

  • שם מדינה או מחוז

  • שם היישוב

  • שם הארגון

  • יחידה ארגונית

• שם הנושא יסודר כך: /C= /ST= /L= /O= /OU= /CN=

• סיסמת האתגר של שרת SCEP אם הגדרת את שרת SCEP לאכוף OTP או סוד משותף.

ניתן להגדיר את גודל המפתח הנדרש עבור זוג המפתחות של בקשת האישור באמצעות הפקודה הבאה. ברירת המחדל היא 2048.

 גודל מפתח הרשמה לאבטחת xConfiguration: <2048, 3072, 4096>

אנו שולחים בקשת תעודה שתקפה לשנה אחת עד לפקיעת תוקף התעודה. מדיניות צד השרת יכולה לשנות את תאריך התפוגה במהלך חתימת האישור.

חיבור אתרנט

כאשר מכשיר מחובר לרשת, ודא שהוא יכול לגשת לשרת SCEP. יש לחבר את המכשיר לרשת ללא 802.1x כדי לקבל כתובת IP. ייתכן שיהיה צורך לספק את כתובת MAC של המכשיר לרשת הקצאת הנתונים על מנת לקבל כתובת IP. ניתן למצוא את הכתובת MAC בממשק המשתמש או על התווית בגב המכשיר.

לאחר שהמכשיר מחובר לרשת, ניתן לבצע SSH למכשיר כ- מנהל כדי לגשת ל-TSH, לאחר מכן הפעל את הפקודה הבאה כדי לשלוח את בקשת SCEP להרשמה:

בקשת הרשמה לשירותי אישורי אבטחה של xCommand SCEP 

לאחר ששרת SCEP מחזיר את אישור ההתקן החתום, הפעל את 802.1X.

הפעל את האישור החתום:

שירותי אישורי אבטחה של xCommand הפעלת 

הפעל מחדש את המכשיר לאחר הפעלת האישור.

חיבור אלחוטי

כאשר מכשיר מחובר לרשת אלחוטית, ודא שהוא יכול לגשת לשרת SCEP.

לאחר שההתקן מחובר לרשת, באפשרותך לשלוח SSH למכשיר כמנהל מערכת כדי לגשת ל-TSH, ולאחר מכן להפעיל את הפקודה הבאה כדי לשלוח את בקשת SCEP להרשמה:

בקשת SCEP של שירותי אישורי אבטחה של xCommand 

ההתקן מקבל את האישור החתום משרת SCEP.

הפעל את האישור החתום:

הפעלת שירותי אישורי אבטחה של xCommand

לאחר ההפעלה, עליך להגדיר את רשת Wi-Fi עם אימות EAP-TLS.

הגדרת Wifi ברשת xCommand 

כברירת מחדל, תצורת Wi-Fi מדלגת על בדיקות אימות השרת. אם נדרש אימות חד-כיווני בלבד, השאר את AllowMissingCA כברירת מחדל כ - True.

כדי לכפות אימות שרת, ודא שהפרמטר האופציונלי AllowMissingCA מוגדר כ - False. אם לא ניתן ליצור חיבור עקב שגיאות אימות שירות, ודא שרשות האישורים הנכונה נוספה כדי לאמת את אישור השרת שעשוי להיות שונה מאישור ההתקן.

API תיאורים

תפקיד: מנהל, אינטגרטור

בקשת SCEP של שירותי אישורי אבטחה של xCommand

שליחת CSR לשרת SCEP נתון לצורך חתימה. הפרמטרים CSR SubjectName ייבנו בסדר הבא: C, ST, L, O, OUs, CN.

פרמטרים:

• URL(r): <S: 0, 256>

  כתובת ה-URL של שרת SCEP.

• טביעת אצבע: <S: 0, 128>

  טביעת אצבע של אישור CA שתחתום על בקשת SCEP CSR.

• CommonName(r): <S: 0, 64>

  הוספת "/CN=" לשם הנושא CSR.

• ChallengePassword: <S: 0, 256>

  OTP או סוד משותף משרת SCEP לקבלת גישה לחתימה.

• שם מדינה: <S: 0, 2>

  הוספת "/c=" לשם הנושא CSR.

• StateOrProvinceName: <S: 0, 64>

  הוספת "/ST=" לשם הנושא CSR.

• שם היישוב: <S: 0, 64>

  הוספת "/l=" לשם הנושא CSR.

• OrganizationName: <S: 0, 64>

  הוספת "/o=" לשם הנושא CSR.

• יחידה ארגונית[5]: <S: 0, 64>

  מוסיף עד 5 פרמטרים "/OU=" לשם הנושא CSR.

• SanDns[5]: <S: 0, 64>

  הוספת עד 5 פרמטרים DNS לשם החלופי של הנושא CSR.

• SanEmail[5]: <S: 0, 64>

  מוסיף עד 5 פרמטרים של דואר אלקטרוני לשם החלופי של הנושא CSR.

• SanIp[5]: <S: 0, 64>

  מוסיף עד 5 פרמטרי IP לשם החלופי של הנושא CSR.

• SanUri[5]: <S: 0, 64>

  מוסיף עד 5 פרמטרים URI לשם החלופי של הנושא CSR.

xCommand אישורי אבטחה שירותים פרופילי הרשמה מחיקה

מחיקת פרופיל הרשמה כדי לא לחדש עוד אישורים.

פרמטרים:

• טביעת אצבע: <S: 0, 128>

  טביעת האצבע של אישור CA המזהה את הפרופיל שברצונך להסיר. באפשרותך לראות את הפרופילים הזמינים להסרה על-ידי הפעלה:

  רשימת פרופילי הרשמה של שירותי אישורי אבטחה של xCommand

רשימת פרופילי הרשמה של שירותי אישורי אבטחה של xCommand

פירוט פרופילי הרשמה לחידוש אישור.

 xCommand רישום שירותי אישורי אבטחה הגדרת פרופילי SCEP טביעת אצבע: <S: 0, 128> URL(r): <S: 0, 256>

הוסף פרופיל הרשמה עבור אישורים שהונפקו על-ידי טביעת האצבע של רשות האישורים כדי להשתמש בכתובת ה-SCEP הנתונה לצורך החידוש.

חידוש

 שירותי אישורי אבטחה של xCommand הרשמה לשירותי הגדרת פרופילי SCEP

כדי לחדש את האישור באופן אוטומטי, ההתקן צריך להיות מסוגל לגשת לכתובת ה-URL של SCEP שיכולה לחתום את האישור.

פעם ביום, המכשיר יבדוק אם יש אישורים שתוקפם יפוג תוך 45 יום. לאחר מכן, המכשיר ינסה לחדש אישורים אלה אם המנפיק שלהם תואם לפרופיל.

הערה: כל אישורי ההתקן ייבדקו לצורך חידוש, גם אם האישור לא נרשם במקור באמצעות SCEP.

נווט

1. שיוך ישיר: ניתן להפעיל אישורים רשומים כאישור "שיוך".

2. שיוך מרוחק: אמור לנווט לרשום אישור SCEP חדש באמצעות מזהה הציוד ההיקפי:

   xCommand ציוד היקפי אישורי אבטחה שירותי הרשמה בקשת SCEP 

   פרופילי הרשמה מסונכרנים באופן אוטומטי עם נווט משויך.

3. נווט עצמאי: זהה לרישום קודק

באפשרותך להגדיר אימות 802.1x ישירות מתפריט ההגדרות של נווט החדר.

תקן אימות 802.1x חשוב במיוחד עבור רשתות Ethernet, והוא מבטיח שרק מכשירים מורשים יקבלו גישה למשאבי הרשת.

אפשרויות התחברות שונות זמינות בהתבסס על שיטת EAP שהוגדרה ברשת. לדוגמה:

• TLS: לא נעשה שימוש בשם משתמש ובסיסמה.
• PEAP: לא נעשה שימוש באישורים.
• TTLS: נדרשים גם שם משתמש/סיסמה וגם אישורים; אף אחד מהם אינו אופציונלי.

קיימות מספר דרכים להשיג את אישור הלקוח במכשיר:

1. העלה את PEM: השתמש בתכונה הוספת שירותי אישורי אבטחה.
2. צור את CSR: צור בקשה לחתימת אישור (CSR), חתום עליה וקשר אותה באמצעות אישורי אבטחה CSR יצירה/קישור.
3. SCEP: השתמש בבקשת SCEP להרשמה לשירותי אישורי אבטחה.
4. DHCP אפשרות 43: הגדר את מסירת האישור באמצעות אפשרות זו.

יש להגדיר ולעדכן את האישורים עבור 802.1x לפני שיוך נווט החדר למערכת, או לאחר איפוס נווט החדר להגדרות היצרן.

אישורי ברירת המחדל הם מנהל מערכת וסיסמה ריקה. לקבלת מידע נוסף אודות אופן הוספת אישורים על-ידי גישה לAPI, עיין בגירסה העדכנית ביותר של מדריך API.

1. פתח את לוח הבקרה בנווט על-ידי הקשה על הלחצן בפינה השמאלית העליונה או החלקה מהירה מצד ימין. לאחר מכן הקישו על 'הגדרות מכשיר'.
2. עבור אל חיבור רשת ובחר Ethernet .
3. לְמַתֵג השתמש ב-IEEE 802.1X עַל.
   • אם האימות מוגדר עם אישורים, הזן את זהות המשתמש ואת ביטוי הסיסמה. באפשרותך גם להזין זהות אנונימית: זהו שדה אופציונלי המספק דרך להפריד את זהות המשתמש בפועל מבקשת האימות הראשונית.
   • באפשרותך לעבור למצב TLS אימות כבוי או מופעל. כאשר אימות TLS מופעל, הלקוח מאמת באופן פעיל את מקוריות אישור השרת במהלך לחיצת היד TLS. כאשר אימות TLS מבוטל, הלקוח אינו מבצע אימות פעיל של אישור השרת.
   • אם העלית אישור לקוח על-ידי גישה אל API, הפעל את מצב השתמש באישור לקוח.
   • החלף את פעולת השירות Extensible Authentication Protocol (EAP) שבה ברצונך להשתמש. הבחירה בשיטת EAP תלויה בדרישות האבטחה הספציפיות, בתשתית וביכולות הלקוח. שיטות EAP חיוניות להפעלת גישה מאובטחת ומאומתת לרשת.