ניתן להוסיף אישורי wifi-802.1X/802.1X או HTTPS למכשירים בודדים ולציוד היקפי מחובר.
באפשרותך להוסיף אישורים מממשק האינטרנט המקומי של המכשיר. לחלופין, באפשרותך להוסיף אישורים על-ידי הפעלת פקודות API. כדי לראות אילו פקודות מאפשרות לך להוסיף אישורים, ראה roomos.cisco.com .
אישורי שירות ואישורים אמינים
ייתכן שיידרש אימות אישור בעת שימוש ב-TLS (אבטחת שכבת תעבורה). שרת או לקוח עשויים לדרוש מהמכשיר להציג לו תעודה חוקית לפני הגדרת התקשורת.
האישורים הם קובצי טקסט המאמת את האותנטיות של המכשיר. תעודות אלה חייבות להיות חתומות על-ידי רשות אישורים (CA) אמינה. כדי לאמת את החתימה של האישורים, יש לשכן רשימה של תעודות CA מהימנות במכשיר. הרשימה חייבת לכלול את כל כתובות ה-CA הדרושות כדי לאמת תעודות הן עבור רישום ביקורת וחיבורים אחרים.
אישורים משמשים לשירותים הבאים: שרת HTTPS, SIP, IEEE 802.1X ורישום ביקורת. ניתן לאחסן כמה אישורים במכשיר, אך רק אישור אחד מופעל עבור כל שירות בכל פעם.
ב-RoomOS באוקטובר 2023 ואילך, כאשר אתה מוסיף אישור CA למכשיר, הוא מוחל גם על Room Navigator אם הוא מחובר. כדי לסנכרן את אישורי ה-CA שנוספו קודם לכן ל-Navigator של חדר מחובר, עליך לאתחל מחדש את המכשיר. אם אינך רוצה שההיקפיים יקבלו את אותן תעודות כמו המכשיר שאליו הוא מחובר, הגדר את התצורה תעודות אבטחה היקפיות SyncToPeripherals ל-False.
תעודות שנשמרו בעבר אינן נמחקות באופן אוטומטי. הערכים בקובץ חדש עם אישורי CA מצורפים לרשימה הקיימת. |
עבור חיבור Wi-Fi
מומלץ להוסיף תעודת CA מהימנה עבור כל מכשיר מסדרת לוח, שולחן עבודה או חדר, אם הרשת שלך משתמשת באימות WPA-EAP. עליך לעשות זאת בנפרד עבור כל מכשיר, ולפני שתתחבר ל-Wi-Fi.
כדי להוסיף אישורים עבור חיבור ה-Wi-Fi שלך, אתה זקוק לקבצים הבאים:
-
רשימת תעודות CA (תבנית קובץ: .PEM)
-
תעודה (תבנית קובץ: .PEM)
-
מפתח פרטי, כקובץ נפרד או כלול באותו קובץ של התעודה (תבנית קובץ: .PEM)
-
ביטוי סיסמה (נדרש רק אם המפתח הפרטי מוצפן)
התעודה והמפתח הפרטי מאוחסנים באותו קובץ במכשיר. אם האימות נכשל, החיבור לא ייווצר.
מפתח פרטי ומשפט סיסמה אינם חלים על ציוד היקפי מחובר. |
הוסף אישורים במכשירים מסדרת Board, Desk ו-Room
1 |
מתצוגת הלקוח ב- https://admin.webex.com , עבור אל דף מכשירים ובחר את המכשיר שלך ברשימה. עבור אל תמיכה והפעל את פקדי מכשיר מקומיים. אם הגדרת משתמש מנהל מערכת מקומי במכשיר, באפשרותך לגשת לממשק האינטרנט ישירות על-ידי פתיחת דפדפן אינטרנט והקלדה בhttp(s)://. |
2 |
נווט אל והעלה את אישורי הבסיס של CA. |
3 |
ב-openssl, צור בקשה למפתח פרטי ובקשת תעודה. העתק את התוכן של בקשת התעודה. לאחר מכן הדבק אותו כדי לבקש את אישור השרת מרשות האישורים (CA) שלך. |
4 |
הורד את אישור השרת שנחתם על-ידי ה-CA שלך. ודא שהוא נמצא בתבנית .PEM. |
5 |
נווט אל והעלה את המפתח הפרטי ואת תעודת השרת. |
6 |
הפעל את השירותים שבהם ברצונך להשתמש עבור התעודה שהוספת זה עתה. |
פרוטוקול פשוט של הרשמה לתעודה (SCEP)
Simple Certificate Enrollment Protocol (SCEP) מספק מנגנון אוטומטי להרשמה ולרענון אישורים המשמשים לאימות 802.1X לדוגמה במכשירים. SCEP מאפשר לך לשמור על הגישה של המכשיר לרשתות מאובטחות ללא התערבות ידנית.
-
כאשר המכשיר חדש, או אופס להגדרות היצרן, הוא זקוק לגישה לרשת כדי להגיע לכתובת ה-URL של SCEP. יש לחבר את המכשיר לרשת ללא 802.1X כדי להשיג כתובת IP.
-
אם אתה משתמש ב-SSID להרשמה אלחוטית, עליך לעבור דרך מסכי הצירוף כדי לקבוע את תצורת החיבור לרשת.
-
לאחר שתתחבר לרשת ההקצאה, המכשיר לא צריך להיות במסך קליטה מסוים בשלב זה.
-
כדי להתאים לכל הפריסות, ה-xAPIs של הרשמה ל-SCEP לא יאחסנו את תעודת ה-CA המשמשת לחתימה על אישור המכשיר. לאימות שרת, יש להוסיף את תעודת ה-CA המשמשת לאימות אישור השרת עם xCommand Security Certificates CA Add.
תנאים מוקדמים
אתה זקוק למידע הבא:
-
כתובת URL של שרת SCEP.
-
טביעת אצבע של תעודת CA החתימה (Certificate Authority).
-
מידע על התעודה שיש לרשום. זה מהווה את שם הנושא של התעודה.
-
שם נפוץ
-
שם מדינה
-
שם ארגון
-
-
סיסמת האתגר של שרת SCEP אם הגדרת את שרת SCEP לאכוף OTP או סוד משותף.
אנחנו שולחים בקשת תעודה תקפה למשך שנה אחת לתאריך התפוגה של התעודה. המדיניות בצד השרת יכולה לשנות את תאריך התפוגה במהלך חתימת התעודה.
חיבור Ethernet
כאשר מכשיר מחובר לרשת, ודא שהוא יכול לגשת לשרת SCEP. יש לחבר את המכשיר לרשת ללא 802.1x כדי לקבל כתובת IP. ייתכן שיהיה צורך לספק את כתובת ה-MAC של המכשיר לרשת ההקצאה כדי להשיג כתובת IP. ניתן למצוא את כתובת ה-MAC בממשק המשתמש או בתווית בגב המכשיר.
xCommand Security Certificates Services Enrollment Request SCEP
לאחר ששרת SCEP מחזיר את אישור המכשיר החתום, הפעל את 802.1X ולאחר מכן אתחל את המכשיר.
שירותי xCommand Security Certificates Enable
אתחל את המכשיר לאחר הפעלת התעודה.
חיבור אלחוטי
כאשר מכשיר מחובר לרשת אלחוטית, ודא שהוא יכול לגשת לשרת SCEP.
xCommand Security Certificates Services Enrollment Request SCEP
המכשיר מקבל את האישור החתום משרת SCEP.
הפעל את התעודה החתומה:
שירותי xCommand Security Certificates Enable
הגדרת תצורת Wi-Fi של רשת xCommand
כברירת מחדל, תצורת ה-Wi-Fi מדלג על בדיקות אימות השרת. אם נדרש אימות חד-כיווני בלבד, השאר את ברירת המחדל AllowMissingCA ל-True.
כדי לאלץ אימות שרת, ודא שהפרמטר האופציונלי AllowMissingCA מוגדר ל-False. אם לא ניתן ליצור חיבור עקב שגיאות אימות שירות, בדוק שהתווסף ה-CA הנכון כדי לאמת את תעודת השרת שעלולה להיות שונה מאישור המכשיר.
תיאורים של API
תפקיד: מנהל מערכת, משלב
xCommand Security Certificates Services Enrollment Request SCEP
מבקש ומוריד אישור מכשיר חתום
פרמטרים:
-
כתובת (r): <S: 0, 128>
כתובת URL של שרת SCEP המשמשת לרישום תעודה.
-
טביעת אצבע (r): 0, 128>
טביעת האצבע של רשות השידור שתחתום על בקשת X509.
-
סיסמה: <S: 0, 128>
סיסמה סודית משותפת שהוגדרה על-ידי שרת SCEP.
-
שם נפוץ(r): <S: 0, 128>
-
שם מדינה: <S: 0, 128>
-
שם ארגון: <S: 0, 128>
-
SanDns[5]: <S: 0, 128>
-
SanEmail[5]: <S: 0, 128>
-
SanIp[5]: <S: 0, 128>
-
סן אורי[5]: <S: 0, 128>
xCommand Security Certificates Services Enrollment Renewal SCEP
צור או עדכן פרופיל חידוש אוטומטי שחל על כל האישורים שהונפקו על-ידי ה-CA הנתון לפני שתוקף האישורים יפוג
פרמטרים:
-
טביעת אצבע (r): 0, 128>
טביעת האצבע של רשות השידור שחתמה על האישורים.
-
כתובת (r): <S: 0, 128>
כתובת URL של שרת SCEP המשמשת לחידוש האישורים.
xCommand Security Certificates Services הרשמה חידוש SCEP מחיקה
הסר את הפרופיל המותאם באופן אוטומטי עבור ה-CA הנתון. פעולה זו מונעת מהתעודות החתומות על-ידי רשות התעודות הזו לבצע עריכה אוטומטית
פרמטרים:
-
טביעת אצבע (r): 0, 128>
טביעת האצבע של רשות השידור המונפקת שיש להסיר.
רשימת החידוש של xCommand Security Certificates Services Enrollment SCEP
פרט את כל פרופילי autorenew שנמצאים כעת בשימוש.