Certifikate možete dodati s lokalnog web-sučelja uređaja. Certifikate možete dodati i pokretanjem naredbi API. Da biste vidjeli koje vam naredbe omogućuju dodavanje certifikata, pogledajte roomos.cisco.com .

Certifikati servisa i pouzdana nadležna tijela

Provjera valjanosti certifikata može biti potrebna kada koristite TLS (Transport Layer Security). Poslužitelj ili klijent može zahtijevati da im uređaj predoči valjani certifikat prije postavljanja komunikacije.

Certifikati su tekstualne datoteke koje potvrđuju autentičnost uređaja. Ove certifikate mora potpisati pouzdani Certificate Authority (CA). Da biste provjerili potpis certifikata, na uređaju se mora nalaziti popis pouzdanih nadležnih tijela. Popis mora sadržavati sva nadležna tijela potrebna za provjeru certifikata za zapisivanje nadzora i druge veze.

Certifikati se koriste za sljedeće usluge: HTTPS poslužitelj, SIP, IEEE 802.1X i zapisivanje nadzora. Na uređaj možete spremiti nekoliko certifikata, ali je istovremeno omogućen samo jedan certifikat za svaku uslugu.

U sustavu RoomOS u listopadu 2023. i novijem, kada uređaju dodate CA certifikat, on se primjenjuje i na Room Navigator ako je spojen. Za sinkronizaciju prethodno dodanih CA certifikata s povezanom Room Navigator morate ponovo pokrenuti uređaj. Ako ne želite da periferni uređaji dobivaju iste certifikate kao i uređaj s kojim je povezan, postavite konfiguraciju Sigurnosni certifikati periferije SyncToPeripherals na False.

Za Wi-Fi vezu

Preporučujemo da dodate pouzdani CA certifikat za svaki uređaj Board, Desk ili Room Series ako vaša mreža koristi WPA-EAP provjeru autentičnosti. To morate učiniti pojedinačno za svaki uređaj i prije povezivanja s Wi-Fi.

Da biste dodali certifikate za vezu Wi-Fi, potrebne su vam sljedeće datoteke:

• Popis CA certifikata (format datoteke: . PEM)

• Certifikat (format datoteke: . PEM)

• Privatni ključ, bilo kao zasebna datoteka ili uključen u istu datoteku kao i certifikat (format datoteke: . PEM)

• Pristupni izraz (potreban samo ako je privatni ključ šifriran)

Certifikat i privatni ključ pohranjeni su u istoj datoteci na uređaju. Ako provjera autentičnosti ne uspije, veza neće biti uspostavljena.

Administratori moraju generirati zahtjev za potpisivanje certifikata (CSR) iz kontrolnog centra za uređaj Board, Desk ili Room Series registriran u oblaku.

Slijedite ove korake da biste generirali CSR i prenijeli potpisani certifikat na svoj uređaj:

1. U prikazu korisnika u kontrolnom središtu otvorite stranicu Uređaji i odaberite uređaj s popisa.
2. Navigacija do akcija > pokretanje xCommand > certifikati > sigurnosti > CSR > stvori.
3. Unesite potrebne detalje certifikata i odaberite Izvrši.
4. Kopirajte sav tekst između ----ZAPOČNI ZAHTJEV ZA CERTIFIKATOM---- i ----ZAVRŠI ZAHTJEV ZA CERTIFIKATOM----.
5. Za potpisivanje pogreške CSR koristite Certificate Authority (CA) po vašem izboru.
6. Izvezite potpisani certifikat u PEM (Base64-kodiranom) formatu.
7. Otvorite potpisanu datoteku certifikata u uređivaču teksta (npr. Blok za pisanje) i kopirajte sav tekst između ----BEGIN CERTIFIKAT---- i ----END CERTIFIKAT----.
8. U kontrolnom središtu idite na Uređaje > odaberite uređaj > akcije > pokretanje xCommand > certifikati za sigurnost > > CSR > Link.
9. Zalijepite kopirani sadržaj certifikata u odjeljak Tijelo i odaberite Izvrši.
10. Osvježite stranicu da biste provjerili pojavljuje li se certifikat u odjeljku Postojeći certifikat.

Simple Certificate Enrollment Protocol (SCEP) pruža automatizirani mehanizam za prijavu i osvježavanje certifikata koji se koriste, na primjer, 802.1X autentifikacije na uređajima. SCEP vam omogućuje održavanje pristupa uređaja sigurnim mrežama bez ručne intervencije.

• Kada je uređaj nov ili je vraćen na tvorničke postavke, potreban mu je pristup mreži kako bi došao do SCEP URL-a. Uređaj treba spojiti na mrežu bez 802.1X kako bi dobio IP adresu.

• Ako koristite bežičnu prijavu SSID, prođite kroz zaslone za uključivanje kako biste konfigurirali vezu s mrežom.

• Kada se povežete s mrežom za dodjelu resursa, uređaj ne mora biti na određenom zaslonu za uključivanje.

• Kako bi odgovarao svim implementacijama, SCEP Enrollment xAPI-ji neće pohraniti CA certifikat koji se koristi za potpisivanje certifikata uređaja. Za provjeru autentičnosti poslužitelja, CA certifikat koji se koristi za provjeru valjanosti certifikata poslužitelja mora biti dodan s xCommand sigurnosnim certifikatima CA Add.

Preduvjeti

Potrebni su vam sljedeći podaci:

• URL SCEP poslužitelja.

• Otisak prsta potpisnog certifikata CA (Certificate Authority).

• Informacije o certifikatu za upis. To čini naziv predmeta certifikata.

  • Zajednički naziv

  • Naziv države

  • Naziv države ili pokrajine

  • Naziv lokaliteta

  • Naziv organizacije

  • Organizacijska jedinica

• Naziv predmeta bit će poredan kao /C= /ST= /L= /O= /OU= /CN=

• Lozinka za izazov SCEP poslužitelja ako ste konfigurirali SCEP poslužitelj za nametanje OTP-a ili Dijeljene tajne.

Pomoću sljedeće naredbe možete postaviti potrebnu veličinu ključa za uparivanje ključeva zahtjeva za certifikatom. Zadano je 2048.

 xConfiguration Security Enrollment KeySize: <2048, 3072, 4096>

Šaljemo zahtjev za certifikatom koji vrijedi godinu dana za istek certifikata. Pravilo na strani poslužitelja može promijeniti datum isteka tijekom potpisivanja certifikata.

Ethernet veza

Kada je uređaj spojen na mrežu, provjerite može li pristupiti SCEP poslužitelju. Uređaj bi trebao biti povezan s mrežom bez 802.1x kako bi dobio IP adresu. Adresa MAC uređaja možda će se morati navesti mreži dodjele resursa kako bi se dobila adresa IP. Adresu MAC možete pronaći na korisničkom sučelju ili na oznaci na stražnjoj strani uređaja.

Nakon što se uređaj poveže s mrežom, možete SSH na uređaj kao administrator pristupiti TSH-u, a zatim pokrenuti sljedeću naredbu za slanje zahtjeva za upis u SCEP:

xCommand usluge sigurnosnih certifikata Zahtjev za upis u SCEP 

Nakon što SCEP poslužitelj vrati potpisani certifikat uređaja, aktivirajte 802.1X.

Aktivirajte potpisani certifikat:

xCommand servisi sigurnosnih certifikata - aktiviranje 

Ponovno pokrenite uređaj nakon aktiviranja certifikata.

Bežična veza

Kada je uređaj spojen na bežičnu mrežu, provjerite može li pristupiti SCEP poslužitelju.

Nakon što se uređaj poveže s mrežom, možete SSH na uređaj kao administrator pristupiti TSH-u, a zatim pokrenuti sljedeću naredbu za slanje zahtjeva za upis u SCEP:

xCommand usluge sigurnosnih certifikata Zahtjev za upis u SCEP 

Uređaj dobiva potpisani certifikat sa SCEP poslužitelja.

Aktivirajte potpisani certifikat:

xCommand servisi sigurnosnih certifikata - aktiviranje

Nakon aktiviranja morate konfigurirati mrežu Wi-Fi s EAP-TLS provjerom autentičnosti.

Konfiguriranje wifi-ja za xCommand mrežu 

Prema zadanim postavkama konfiguracija Wi-Fi preskače provjere provjere valjanosti poslužitelja. Ako je potrebna samo jednosmjerna provjera autentičnosti, zadržite AllowMissingCA zadanim na True.

Da biste prisilili provjeru valjanosti poslužitelja, provjerite je li neobavezni parametar AllowMissingCA postavljen na False. Ako nije moguće uspostaviti vezu zbog pogrešaka provjere valjanosti servisa, provjerite je li dodan ispravan CA za provjeru certifikata poslužitelja koji se može razlikovati od certifikata uređaja.

API opisi

Uloga: Admin, Integrator

xCommand usluge sigurnosnih certifikata Zahtjev za upis u SCEP

Šalje CSR danom SCEP poslužitelju na potpisivanje. Parametri CSR SubjectName konstruirat će se sljedećim redoslijedom: C, ST, L, O, O, OU, CN.

Parametara:

• URL(r): <S: 0, 256>

  URL adresa SCEP poslužitelja.

• Otisak prsta(r): <S: 0, 128>

  CA certifikat Otisak prsta koji će potpisati SCEP zahtjev CSR.

• CommonName(r): <S: 0, 64>

  Dodaje "/CN=" nazivu predmeta CSR.

• ChallengePassword: <S: 0, 256>

  OTP ili Shared Secret sa SCEP poslužitelja za pristup potpisivanju.

• Naziv države: <S: 0, 2>

  Dodaje "/c=" nazivu predmeta CSR.

• StateOrProvinceName: <S: 0, 64>

  Dodaje "/ST=" nazivu predmeta CSR.

• LocalityName: <S: 0, 64>

  Dodaje "/l=" nazivu predmeta CSR.

• OrganizationName: <S: 0, 64>

  Dodaje "/o=" nazivu predmeta CSR.

• Organizacijska jedinica[5]: <S: 0, 64>

  Dodaje do 5 parametara "/OU=" nazivu predmeta CSR.

• SanDns[5]: <S: 0, 64>

  Dodaje do 5 DNS parametara alternativnom nazivu predmeta CSR.

• SanEmail[5]: <S: 0, 64>

  Dodaje do 5 parametara e-pošte u CSR Predmet alternativni naziv.

• SanIp[5]: <S: 0, 64>

  Dodaje do 5 Ip parametara alternativnom nazivu predmeta CSR.

• SanUri[5]: <S: 0, 64>

  Dodaje do 5 URI parametara alternativnom nazivu predmeta CSR.

xCommand usluge sigurnosnih certifikata Profili za prijavu Izbriši

Briše profil za prijavu kako više ne bi obnavljao certifikate.

Parametara:

• Otisak prsta(r): <S: 0, 128>

  Otisak prsta certifikata koji identificira profil koji želite ukloniti. Dostupne profile za uklanjanje možete vidjeti pokretanjem:

  Popis profila za prijavu servisa xCommand Security Certificates

Popis profila za prijavu servisa xCommand Security Certificates

Navodi profile upisa za obnovu certifikata.

 xCommand usluge sigurnosnih certifikata Upisni SCEP profili Postavi otisak prsta(r): <S: 0, 128> URL(r): <S: 0, 256>

Dodajte profil za upis za certifikate koje je izdao ca, otisci prstiju da biste za obnovu upotrijebili navedeni URL- SCEP-a.

Obnova

 Skup SCEP profila za xCommand usluge sigurnosnih certifikata

Kako bi automatski obnovio certifikat, uređaj mora imati pristup SCEP URL-u koji može dati otkaz.

Jednom dnevno, uređaj će provjeriti ima li certifikata koji će isteći za 45 dana. Uređaj će zatim pokušati obnoviti te certifikate ako se njihov izdavatelj podudara s profilom.

NAPOMENA: Svi certifikati uređaja provjeravat će se radi obnove, čak i ako certifikat nije izvorno upisan pomoću SCEP-a.

Moreplovac

1. Izravno upareno: Upisani certifikati mogu se aktivirati kao certifikat "Uparivanje".

2. Daljinski uparen: recite navigatoru da upiše novi SCEP certifikat pomoću perifernog ID-a:

   xCommand periferni uređaji Usluge sigurnosnih certifikata Zahtjev za upis u SCEP 

   Profili za upis automatski se sinkroniziraju s uparenim navigatorom.

3. Samostalni navigator: Isto kao i upis kodeka

Autentifikaciju 802.1x možete postaviti izravno s izbornika Room Navigator Postavke.

Standard provjere autentičnosti 802.1x posebno je važan za Ethernet mreže i osigurava da samo ovlašteni uređaji imaju pristup mrežnim resursima.

Dostupne su različite mogućnosti prijave na temelju metode EAP konfigurirane u vašoj mreži. Na primjer:

• TLS: Korisničko ime i lozinka se ne koriste.
• PEAP: Certifikati se ne koriste.
• TTLS: Potrebno je i korisničko ime/lozinka i certifikati; Nijedno nije opcionalno.

Postoji nekoliko načina za dobivanje certifikata klijenta na uređaju:

1. Prijenos PEM-a: koristite značajku Dodavanje servisa sigurnosnih certifikata.
2. Stvorite CSR: Generirajte zahtjev za potpisivanje certifikata (CSR), potpišite ga i povežite pomoću sigurnosnih certifikata CSR Stvori/poveži.
3. SCEP: Korištenje zahtjeva za upis u SCEP usluge sigurnosnih certifikata.
4. DHCP Opcija 43: Konfigurirajte isporuku certifikata putem ove opcije.

Postavljanje i ažuriranje certifikata za 802.1x potrebno je obaviti prije uparivanja pogreške Room Navigator sa sustavom ili nakon vraćanja pogreške Room Navigator na tvorničke postavke.

Zadane vjerodajnice su administratorska i prazna lozinka. Dodatne informacije o dodavanju certifikata pristupom API potražite u najnovijoj verziji vodiča API.

1. Otvorite upravljačku ploču na Navigatoru dodirom gumba u gornjem desnom kutu ili povlačenjem s desne strane. Zatim dodirnite Postavke uređaja.
2. Idite na Mrežna veza i odaberite Ethernet .
3. Prebacite mogućnost Uporaba protokola IEEE 802.1X na Uključeno.
   • Ako je provjera autentičnosti postavljena s vjerodajnicama, unesite korisnički identitet i pristupni izraz. Možete unijeti i anonimni identitet: ovo je neobavezno polje koje omogućuje odvajanje stvarnog identiteta korisnika od početnog zahtjeva za provjeru autentičnosti.
   • Možete prebaciti TLS Provjeriti isključeno ili uključeno. Kada je TLS provjera uključena, klijent aktivno provjerava autentičnost certifikata poslužitelja tijekom rukovanja TLS. Kada je TLS potvrda isključena, klijent ne provodi aktivnu provjeru certifikata poslužitelja.
   • Ako ste prenijeli certifikat klijenta pristupanjem pogrešci API, uključite opciju Koristi klijentski certifikat .
   • Uključite metode koje želite koristiti Proširivi protokol provjere autentičnosti (EAP). Izbor metode EAP ovisi o specifičnim sigurnosnim zahtjevima, infrastrukturi i mogućnostima klijenta. Metode EAP ključne su za omogućavanje sigurnog i provjerenog pristupa mreži.