באפשרותך להוסיף אישורים מממשק האינטרנט המקומי של המכשיר. לחלופין, באפשרותך להוסיף אישורים על-ידי הפעלת פקודות API. כדי לראות אילו פקודות מאפשרות לך להוסיף אישורים, ראה roomos.cisco.com .

אישורי שירות ורשויות אישורים מהימנות

ייתכן שיהיה צורך באימות אישור בעת שימוש ב-TLS (אבטחת שכבת תעבורה). שרת או לקוח עשויים לדרוש שההתקן יציג להם אישור חוקי לפני הגדרת התקשורת.

האישורים הם קבצי טקסט המאמתים את מקוריות ההתקן. אישורים אלה חייבים להיות חתומים על-ידי רשות אישורים (CA) מהימנה. כדי לאמת את חתימת האישורים, רשימה של רשויות אישורים מהימנות חייבת להימצא בהתקן. הרשימה חייבת לכלול את כל רשויות האישורים הדרושות כדי לאמת אישורים הן עבור רישום ביקורת והן עבור חיבורים אחרים.

אישורים משמשים עבור השירותים הבאים: שרת HTTPS, SIP, IEEE 802.1X ורישום ביקורת. באפשרותך לאחסן מספר אישורים בהתקן, אך רק אישור אחד זמין עבור כל שירות בכל פעם.

ב-RoomOS אוקטובר 2023 ואילך, כאשר אתם מוסיפים אישור CA למכשיר, הוא מוחל גם על Room Navigator אם אחד מהם מחובר. כדי לסנכרן את אישורי CA שנוספו בעבר לנווט חדרים מחובר, עליך לאתחל מחדש את המכשיר. אם אינך מעוניין שהציוד ההיקפי יקבל אישורים זהים לאלה של ההתקן שאליו הוא מחובר, הגדר את התצורה של אישורי אבטחה היקפיים SyncToPeripherals ל - False.

אישורים שאוחסנו בעבר אינם נמחקים באופן אוטומטי. הערכים בקובץ חדש עם אישורי CA מצורפים לרשימה הקיימת.

לחיבור Wi-Fi

מומלץ להוסיף אישור CA מהימן עבור כל מכשיר Board, Desk או Room Series, אם הרשת שלך משתמשת באימות WPA-EAP. עליך לעשות זאת בנפרד עבור כל מכשיר, ולפני שתתחבר אל Wi-Fi.

כדי להוסיף אישורים עבור חיבור Wi-Fi, דרושים לך הקבצים הבאים:

  • רשימת אישורי CA (תבנית קובץ: . פם)

  • אישור (תבנית קובץ: . פם)

  • מפתח פרטי, כקובץ נפרד או כלול באותו קובץ כמו האישור (תבנית קובץ: . פם)

  • ביטוי סיסמה (נדרש רק אם המפתח הפרטי מוצפן)

האישור והמפתח הפרטי מאוחסנים באותו קובץ במכשיר. אם האימות נכשל, החיבור לא ייווצר.

מפתח פרטי וביטוי סיסמה אינם מוחלים על ציוד היקפי מחובר.

הוספת אישורים במכשירי Board, Desk ו-Room Series

1

מתצוגת הלקוח ב - https://admin.webex.com , עבור אל הדף מכשירים ובחר את המכשיר שלך ברשימה. עבור אל תמיכה והפעל פקדי התקנים מקומיים.

אם הגדרת משתמש מנהל מקומי במכשיר, באפשרותך לגשת ישירות לממשק האינטרנט על-ידי פתיחת דפדפן אינטרנט והקלדת https://<endpoint IP או Hostname> .

2

נווט אל אישורי אבטחה >> התאמה אישית > הוסף אישור והעלה את אישורי הבסיס של רשות האישורים שלך.

3

ב- openssl, צור מפתח פרטי ובקשת אישור. העתק את תוכן בקשת האישור. לאחר מכן הדבק אותו כדי לבקש את אישור השרת מרשות האישורים (CA) שלך.

4

הורד את אישור השרת החתום על-ידי רשות האישורים שלך. ודא שהוא נמצא ב- . פורמט PEM.

5

נווט אל אבטחה > אישורים > שירותים > הוסף אישור והעלה את המפתח הפרטי ואת אישור השרת.

6

הפוך את השירותים שבהם ברצונך להשתמש עבור האישור שזה עתה הוספת.

Simple Certificate Enrollment Protocol (SCEP)

Simple Certificate Enrollment Protocol (SCEP) מספק מנגנון אוטומטי להרשמה ולרענון אישורים המשמשים לדוגמה אימות 802.1X במכשירים. SCEP מאפשר לך לשמור על גישת המכשיר לרשתות מאובטחות ללא התערבות ידנית.

  • כאשר ההתקן חדש, או כאשר אופס להגדרות יצרן, נדרשת לו גישה לרשת כדי להגיע לכתובת ה-URL של SCEP. ההתקן צריך להיות מחובר לרשת ללא 802.1X כדי לקבל כתובת IP.

  • אם אתה משתמש SSID הרשמה אלחוטית, עליך לעבור דרך מסכי הקליטה כדי להגדיר את החיבור לרשת.

  • לאחר שתתחבר לרשת ההקצאה, המכשיר לא חייב להיות במסך קליטה מסוים בשלב זה.

  • כדי להתאים לכל הפריסות, ממשקי ה- API של רישום SCEP לא יאחסנו את אישור CA המשמש לחתימה על אישור ההתקן. עבור אימות שרת, יש להוסיף את אישור CA המשמש לאימות אישור השרת באמצעות xCommand Security Certificates CA Add.

דרישות מוקדמות

דרושים לך הפרטים הבאים:

  • כתובת URL של שרת SCEP.

  • טביעת אצבע של אישור CA (Certificate Authority) החתימה.

  • מידע על האישור להרשמה. זה מהווה את שם הנושא של האישור.

    • שם נפוץ

    • שם מדינה

    • שם מדינה או מחוז

    • שם היישוב

    • שם הארגון

    • יחידה ארגונית

  • שם הנושא יסומן כ- /C= /ST= /L= /O= /OU= /CN=

  • סיסמת האתגר של שרת SCEP אם הגדרת את שרת SCEP לאכוף OTP או סוד משותף.

באפשרותך להגדיר את גודל המפתח הדרוש עבור צמד המקשים של בקשת האישור באמצעות הפקודה הבאה. ברירת המחדל היא 2048.

 xConfiguration Security Enrollment KeySize: <2048, 3072, 4096>

אנו שולחים בקשת אישור שתקפה למשך שנה אחת לתפוגת האישור. המדיניות בצד השרת יכולה לשנות את תאריך התפוגה במהלך חתימת אישור.

חיבור Ethernet

כאשר התקן מחובר לרשת, ודא שהוא יכול לגשת לשרת SCEP. ההתקן צריך להיות מחובר לרשת ללא 802.1x כדי לקבל כתובת IP. ייתכן שיהיה צורך לספק את כתובת MAC של המכשיר לרשת ההקצאה כדי לקבל כתובת IP. ניתן למצוא את כתובת MAC בממשק המשתמש או בתווית בגב המכשיר.

לאחר שההתקן מחובר לרשת, באפשרותך לשלוח SSH למכשיר כמנהל מערכת כדי לגשת ל-TSH, ולאחר מכן להפעיל את הפקודה הבאה כדי לשלוח את בקשת SCEP להרשמה: 

בקשת SCEP של שירותי אישורי אבטחה של xCommand

לאחר ששרת SCEP מחזיר את אישור ההתקן החתום, הפעל את 802.1X.

הפעל את האישור החתום:

הפעלת שירותי אישורי אבטחה של xCommand

אתחל מחדש את ההתקן לאחר הפעלת האישור.

חיבור אלחוטי

כאשר התקן מחובר לרשת אלחוטית, ודא שבאפשרותו לגשת לשרת SCEP.

לאחר שההתקן מחובר לרשת, באפשרותך לשלוח SSH למכשיר כמנהל מערכת כדי לגשת ל-TSH, ולאחר מכן להפעיל את הפקודה הבאה כדי לשלוח את בקשת SCEP להרשמה: 

בקשת SCEP של שירותי אישורי אבטחה של xCommand

ההתקן מקבל את האישור החתום משרת SCEP.

הפעל את האישור החתום: 

הפעלת שירותי אישורי אבטחה של xCommand

לאחר ההפעלה, עליך להגדיר את רשת Wi-Fi עם אימות EAP-TLS. 

הגדרת Wifi ברשת xCommand

כברירת מחדל, תצורת Wi-Fi מדלגת על בדיקות אימות השרת. אם נדרש אימות חד-כיווני בלבד, השאר את AllowMissingCA כברירת מחדל כ - True.

כדי לכפות אימות שרת, ודא שהפרמטר האופציונלי AllowMissingCA מוגדר כ - False. אם לא ניתן ליצור חיבור עקב שגיאות אימות שירות, ודא שרשות האישורים הנכונה נוספה כדי לאמת את אישור השרת שעשוי להיות שונה מאישור ההתקן.

API תיאורים

תפקיד: מנהל, אינטגרטור

בקשת SCEP של שירותי אישורי אבטחה של xCommand

שליחת CSR לשרת SCEP נתון לצורך חתימה. הפרמטרים CSR SubjectName ייבנו בסדר הבא: C, ST, L, O, OUs, CN.

פרמטרים:

  • URL(r): <S: 0, 256>

    כתובת ה-URL של שרת SCEP.

  • טביעת אצבע: <S: 0, 128>

    טביעת אצבע של אישור CA שתחתום על בקשת SCEP CSR.

  • CommonName(r): <S: 0, 64>

    הוספת "/CN=" לשם הנושא CSR.

  • ChallengePassword: <S: 0, 256>

    OTP או סוד משותף משרת SCEP לקבלת גישה לחתימה.

  • שם מדינה: <S: 0, 2>

    הוספת "/c=" לשם הנושא CSR.

  • StateOrProvinceName: <S: 0, 64>

    הוספת "/ST=" לשם הנושא CSR.

  • שם היישוב: <S: 0, 64>

    הוספת "/l=" לשם הנושא CSR.

  • OrganizationName: <S: 0, 64>

    הוספת "/o=" לשם הנושא CSR.

  • יחידה ארגונית[5]: <S: 0, 64>

    מוסיף עד 5 פרמטרים "/OU=" לשם הנושא CSR.

  • SanDns[5]: <S: 0, 64>

    מוסיף עד 5 פרמטרים של Dns לשם החלופי של נושא CSR.

  • SanEmail[5]: <S: 0, 64>

    מוסיף עד 5 פרמטרים של דואר אלקטרוני לשם החלופי של נושא CSR.

  • SanIp[5]: <S: 0, 64>

    מוסיף עד 5 פרמטרי IP לשם החלופי של נושא CSR.

  • SanUri[5]: <S: 0, 64>

    מוסיף עד 5 פרמטרים של אורי לשם החלופי של נושא CSR.

xCommand אישורי אבטחה שירותים פרופילי הרשמה מחיקה

מחיקת פרופיל הרשמה כדי לא לחדש עוד אישורים.

פרמטרים:

  • טביעת אצבע: <S: 0, 128>

    טביעת האצבע של אישור CA המזהה את הפרופיל שברצונך להסיר. באפשרותך לראות את הפרופילים הזמינים להסרה על-ידי הפעלה: 

    רשימת פרופילי הרשמה של שירותי אישורי אבטחה של xCommand

רשימת פרופילי הרשמה של שירותי אישורי אבטחה של xCommand

פירוט פרופילי הרשמה לחידוש אישור.

 xCommand רישום שירותי אישורי אבטחה הגדרת פרופילי SCEP טביעת אצבע: <S: 0, 128> URL(r): <S: 0, 256>

הוסף פרופיל הרשמה עבור אישורים שהונפקו על-ידי טביעת האצבע של רשות האישורים כדי להשתמש בכתובת ה-SCEP הנתונה לצורך החידוש.

חידוש

 שירותי אישורי אבטחה של xCommand הרשמה לשירותי הגדרת פרופילי SCEP

כדי לחדש את האישור באופן אוטומטי, ההתקן צריך להיות מסוגל לגשת לכתובת ה-URL של SCEP שיכולה לחתום את האישור.

פעם ביום, המכשיר יבדוק אם יש אישורים שתוקפם יפוג תוך 45 יום. לאחר מכן, המכשיר ינסה לחדש אישורים אלה אם המנפיק שלהם תואם לפרופיל.

הערה: כל אישורי ההתקן ייבדקו לצורך חידוש, גם אם האישור לא נרשם במקור באמצעות SCEP.

נווט

  1. שיוך ישיר: ניתן להפעיל אישורים רשומים כאישור "שיוך".

  2. שיוך מרוחק: אמור לנווט לרשום אישור SCEP חדש באמצעות מזהה הציוד ההיקפי:

    xCommand ציוד היקפי אישורי אבטחה שירותי הרשמה בקשת SCEP 

    פרופילי הרשמה מסונכרנים באופן אוטומטי עם נווט משויך.

  3. נווט עצמאי: זהה לרישום קודק