באפשרותך להוסיף אישורים מממשק האינטרנט המקומי של המכשיר. לחלופין, באפשרותך להוסיף אישורים על-ידי הפעלת פקודות API. כדי לראות אילו פקודות מאפשרות לך להוסיף אישורים, ראה roomos.cisco.com .

אישורי שירות ורשויות אישורים מהימנות

ייתכן שיהיה צורך באימות אישור בעת שימוש ב-TLS (אבטחת שכבת תעבורה). שרת או לקוח עשויים לדרוש שההתקן יציג להם אישור חוקי לפני הגדרת התקשורת.

האישורים הם קבצי טקסט המאמתים את מקוריות ההתקן. אישורים אלה חייבים להיות חתומים על-ידי רשות אישורים (CA) מהימנה. כדי לאמת את חתימת האישורים, רשימה של רשויות אישורים מהימנות חייבת להימצא בהתקן. הרשימה חייבת לכלול את כל רשויות האישורים הדרושות כדי לאמת אישורים הן עבור רישום ביקורת והן עבור חיבורים אחרים.

אישורים משמשים עבור השירותים הבאים: שרת HTTPS, SIP, IEEE 802.1X ורישום ביקורת. באפשרותך לאחסן מספר אישורים בהתקן, אך רק אישור אחד זמין עבור כל שירות בכל פעם.

ב-RoomOS אוקטובר 2023 ואילך, כאשר אתם מוסיפים אישור CA למכשיר, הוא מוחל גם על Room Navigator אם אחד מהם מחובר. כדי לסנכרן את אישורי CA שנוספו בעבר לנווט חדרים מחובר, עליך לאתחל מחדש את המכשיר. אם אינך מעוניין שהציוד ההיקפי יקבל אישורים זהים לאלה של ההתקן שאליו הוא מחובר, הגדר את התצורה של אישורי אבטחה היקפיים SyncToPeripherals ל - False.


אישורים שאוחסנו בעבר אינם נמחקים באופן אוטומטי. הערכים בקובץ חדש עם אישורי CA מצורפים לרשימה הקיימת.

לחיבור Wi-Fi

מומלץ להוסיף אישור CA מהימן עבור כל מכשיר Board, Desk או Room Series, אם הרשת שלך משתמשת באימות WPA-EAP. עליך לעשות זאת בנפרד עבור כל מכשיר, ולפני שתתחבר אל Wi-Fi.

כדי להוסיף אישורים עבור חיבור Wi-Fi, דרושים לך הקבצים הבאים:

  • רשימת אישורי CA (תבנית קובץ: . פם)

  • אישור (תבנית קובץ: . פם)

  • מפתח פרטי, כקובץ נפרד או כלול באותו קובץ כמו האישור (תבנית קובץ: . פם)

  • ביטוי סיסמה (נדרש רק אם המפתח הפרטי מוצפן)

האישור והמפתח הפרטי מאוחסנים באותו קובץ במכשיר. אם האימות נכשל, החיבור לא ייווצר.


מפתח פרטי וביטוי סיסמה אינם מוחלים על ציוד היקפי מחובר.

הוספת אישורים במכשירי Board, Desk ו-Room Series

1

מתצוגת הלקוח ב - https://admin.webex.com , עבור אל הדף מכשירים ובחר את המכשיר שלך ברשימה. עבור אל תמיכה והפעל פקדי התקנים מקומיים.

אם הגדרת משתמש מנהל מקומי במכשיר, באפשרותך לגשת ישירות לממשק האינטרנט על-ידי פתיחת דפדפן אינטרנט והקלדת https://<endpoint IP או Hostname> .

2

נווט אל אישורי אבטחה >> התאמה אישית > הוסף אישור והעלה את אישורי הבסיס של רשות האישורים שלך.

3

ב- openssl, צור מפתח פרטי ובקשת אישור. העתק את תוכן בקשת האישור. לאחר מכן הדבק אותו כדי לבקש את אישור השרת מרשות האישורים (CA) שלך.

4

הורד את אישור השרת החתום על-ידי רשות האישורים שלך. ודא שהוא נמצא ב- . פורמט PEM.

5

נווט אל אבטחה > אישורים > שירותים > הוסף אישור והעלה את המפתח הפרטי ואת אישור השרת.

6

הפוך את השירותים שבהם ברצונך להשתמש עבור האישור שזה עתה הוספת.

Simple Certificate Enrollment Protocol (SCEP)

Simple Certificate Enrollment Protocol (SCEP) מספק מנגנון אוטומטי להרשמה ולרענון אישורים המשמשים לדוגמה, אימות 802.1X במכשירים. SCEP מאפשר לך לשמור על גישת המכשיר לרשתות מאובטחות ללא התערבות ידנית.

  • כאשר ההתקן חדש, או כאשר אופס להגדרות יצרן, נדרשת לו גישה לרשת כדי להגיע לכתובת ה-URL של SCEP. ההתקן צריך להיות מחובר לרשת ללא 802.1X כדי לקבל כתובת IP.

  • אם אתה משתמש SSID הרשמה אלחוטית, עליך לעבור דרך מסכי הקליטה כדי להגדיר את החיבור לרשת.

  • לאחר שתתחבר לרשת ההקצאה, המכשיר לא חייב להיות במסך קליטה מסוים בשלב זה.

  • כדי להתאים לכל הפריסות, ממשקי ה- API של רישום SCEP לא יאחסנו את אישור CA המשמש לחתימה על אישור ההתקן. עבור אימות שרת, יש להוסיף את אישור CA המשמש לאימות אישור השרת באמצעות xCommand Security Certificates CA Add.

דרישות מוקדמות

דרושים לך הפרטים הבאים:

  • כתובת URL של שרת SCEP.

  • טביעת אצבע של אישור CA (Certificate Authority) החתימה.

  • מידע על האישור להרשמה. זה מהווה את שם הנושא של האישור.

    • שם נפוץ

    • שם מדינה

    • שם הארגון

  • סיסמת האתגר של שרת SCEP אם הגדרת את שרת SCEP לאכוף OTP או סוד משותף.

אנו שולחים בקשת אישור שתקפה למשך שנה אחת לתפוגת האישור. המדיניות בצד השרת יכולה לשנות את תאריך התפוגה במהלך חתימת אישור.

חיבור Ethernet

כאשר התקן מחובר לרשת, ודא שהוא יכול לגשת לשרת SCEP. ההתקן צריך להיות מחובר לרשת ללא 802.1x כדי לקבל כתובת IP. ייתכן שיהיה צורך לספק את כתובת MAC של המכשיר לרשת ההקצאה כדי לקבל כתובת IP. ניתן למצוא את כתובת MAC בממשק המשתמש או בתווית בגב המכשיר.

לאחר שההתקן מחובר לרשת, באפשרותך לשלוח SSH למכשיר כמנהל מערכת כדי לגשת ל-TSH, ולאחר מכן להפעיל את הפקודה הבאה כדי לשלוח את בקשת SCEP להרשמה:
בקשת SCEP של שירותי אישורי אבטחה של xCommand 

לאחר ששרת SCEP מחזיר את אישור ההתקן החתום, הפעל את 802.1X ולאחר מכן אתחל מחדש את ההתקן.

הפעל את האישור החתום:
הפעלת שירותי אישורי אבטחה של xCommand 

אתחל מחדש את ההתקן לאחר הפעלת האישור.

חיבור אלחוטי

כאשר התקן מחובר לרשת אלחוטית, ודא שבאפשרותו לגשת לשרת SCEP.

לאחר שההתקן מחובר לרשת, באפשרותך לשלוח SSH למכשיר כמנהל מערכת כדי לגשת ל-TSH, ולאחר מכן להפעיל את הפקודה הבאה כדי לשלוח את בקשת SCEP להרשמה:
בקשת SCEP של שירותי אישורי אבטחה של xCommand 

ההתקן מקבל את האישור החתום משרת SCEP.

הפעל את האישור החתום:

הפעלת שירותי אישורי אבטחה של xCommand
לאחר ההפעלה, עליך להגדיר את רשת Wi-Fi עם אימות EAP-TLS.
הגדרת Wifi ברשת xCommand 

כברירת מחדל, תצורת Wi-Fi מדלגת על בדיקות אימות השרת. אם נדרש אימות חד-כיווני בלבד, השאר את AllowMissingCA כברירת מחדל כ - True.

כדי לכפות אימות שרת, ודא שהפרמטר האופציונלי AllowMissingCA מוגדר כ - False. אם לא ניתן ליצור חיבור עקב שגיאות אימות שירות, ודא שרשות האישורים הנכונה נוספה כדי לאמת את אישור השרת שעשוי להיות שונה מאישור ההתקן.

API תיאורים

תפקיד: מנהל, אינטגרטור

בקשת SCEP של שירותי אישורי אבטחה של xCommand

בקשה והורדה של אישור מכשיר חתום

פרמטרים:

  • URL(r): <S: 0, 128>

    כתובת URL של שרת SCEP המשמשת לרישום אישור.

  • טביעת אצבע (r): <S: 0, 128>

    טביעת אצבע של CA המנפיק שתחתום על בקשת X509.

  • ChallengePassword: <S: 0, 128>

    סיסמה סודית משותפת שהוגדרה על-ידי שרת SCEP.

  • CommonName(r): <S: 0, 128>

  • שם מדינה: <S: 0, 128>

  • שם הארגון: <S: 0, 128>

  • SanDns[5]: <S: 0, 128>

  • SanEmail[5]: <S: 0, 128>

  • SanIp[5]: <S: 0, 128>

  • SanUri[5]: <S: 0, 128>

שירותי אישורי אבטחה של xCommand בקשת חידוש SCEP

יצירה או עדכון של פרופיל חידוש אוטומטי המוחל על כל האישורים שהונפקו על-ידי רשות אישורים נתונה לפני שתוקפם של האישורים פג

פרמטרים:

  • טביעת אצבע: <S: 0, 128>

    טביעת אצבע של המנהל המנפיק שחתם על התעודות.

  • URL(r): <S: 0, 128>

    כתובת URL של שרת SCEP המשמשת לחידוש האישורים.

xCommand אישורי אבטחה הרשמה לשירותים חידוש SCEP מחיקה

הסר את פרופיל החידוש האוטומטי עבור CA נתון. פעולה זו מונעת את החידוש האוטומטי של האישורים החתומים על-ידי רשות אישורים זו

פרמטרים:

  • טביעת אצבע: <S: 0, 128>

    טביעת האצבע של CA המנפיק להסיר.

xCommand רשימת חידוש של שירותי אישורי אבטחה של xCommand רשימת חידוש SCEP

פרט את כל פרופילי החידוש האוטומטי הנמצאים כעת בשימוש.