Tanúsítványokat az eszköz helyi webinterfészéről adhat hozzá. Másik lehetőségként tanúsítványokat is hozzáadhat a API parancsok futtatásával. Ha meg szeretné tudni, hogy mely parancsok teszik lehetővé tanúsítványok hozzáadását, lásd: roomos.cisco.com .

Szolgáltatástanúsítványok és megbízható hitelesítésszolgáltatók

TLS (Transport Layer Security) használata esetén szükség lehet a tanúsítvány ellenőrzésére. A kiszolgáló vagy az ügyfél megkövetelheti, hogy a kommunikáció létrejötte előtt az eszköz érvényes tanúsítványt mutasson be.

A tanúsítványok az eszköz hitelességét igazoló szövegfájlok. Ezeket a tanúsítványokat egy megbízható hitelesítésszolgáltatónak (CA – Certificate Authority) kell aláírnia. A tanúsítványok aláírásának ellenőrzéséhez a megbízható hitelesítésszolgáltatók listájának az eszközön kell lennie. A listában minden olyan hitelesítésszolgáltatónak szerepelnie kell, amelyre az auditnaplózáshoz és a többi kapcsolathoz tartozó tanúsítványok ellenőrzéséhez szükség van.

A rendszer a következő szolgáltatásokhoz használ tanúsítványokat: HTTPS-kiszolgáló, SIP, IEEE 802.1X és auditnaplózás. Több tanúsítvány is tárolható az eszközön, de egy szolgáltatáshoz egyszerre csak egy tanúsítvány lehet aktiválva.

A RoomOS 2023. októberi és újabb verzióiban, amikor hitelesítésszolgáltatói tanúsítványt ad hozzá egy eszközhöz, az a Room Navigatorra is vonatkozik, ha van csatlakoztatva. Ha szinkronizálni szeretné a korábban hozzáadott hitelesítésszolgáltatói tanúsítványokat egy csatlakoztatott Room Navigatorral, újra kell indítania az eszközt. Ha nem szeretné, hogy a perifériák ugyanazokat a tanúsítványokat kapják meg, mint a csatlakoztatott eszköz, állítsa a Perifériák biztonsági tanúsítványai SyncToPeripherals konfigurációt False (Hamis ) értékre .

A korábban tárolt tanúsítványokat a rendszer nem törli automatikusan. Az CA-tanúsítványokat tartalmazó új fájl bejegyzéseit a rendszer hozzáfűzi a meglévő listához.

Wi-Fi kapcsolat esetén

Javasoljuk, hogy minden Board, Desk vagy Room sorozatú eszközhöz adjon hozzá egy megbízható hitelesítésszolgáltatói tanúsítványt, ha a hálózat WPA-EAP hitelesítést használ. Ezt egyenként kell megtennie az egyes eszközök esetében, még a Wi-Fi-hez való csatlakoztatás előtt.

Ha tanúsítványokat szeretne hozzáadni a Wi-Fi-kapcsolathoz, a következő fájlokra lesz szüksége:

  • CA-tanúsítvány-lista (fájlformátum: .PEM)

  • Tanúsítvány (fájlformátum: .PEM)

  • Titkos kulcs, vagy külön fájlként, vagy ugyanabban a fájlban, amelyben a tanúsítvány is van (fájlformátum: .PEM)

  • Jelszó (csak akkor szükséges, ha a titkos kulcs titkosítva van)

A tanúsítvány és a titkos kulcs ugyanabban a fájlban tárolódik az eszközön. Ha a hitelesítés sikertelen, a kapcsolat nem jön létre.

A rendszer nem alkalmazza a titkos kulcsot és a jelszót a csatlakoztatott perifériákra.

Tanúsítványok hozzáadása Board, Desk és Room sorozatú eszközökhöz

1

A https://admin.webex.com ügyfél nézetében lépjen az Eszközök lapra, és válassza ki az eszközt a listából. Lépjen a Támogatás elemre, és indítsa el a Helyi eszközvezérlők alkalmazást .

Ha beállított egy helyi Rendszergazda felhasználót az eszközhöz, közvetlenül elérheti a helyi webinterfészt egy webböngésző megnyitásával és a http(s)://<végpont IP-címe vagy gazdagép neve> beírásával.

2

Menjen a Biztonság > Tanúsítványok > Egyéni > Tanúsítvány hozzáadása oldalra, és töltse fel a legfelső szintű CA-tanúsítvány(oka)t.

3

OpenSSL esetén hozzon létre egy titkos kulcsot és egy tanúsítványkérést. Másolja le a tanúsítványkérés tartalmát. Ezután illessze be, így kérve kiszolgálótanúsítványt a hitelesítésszolgáltatótól (CA).

4

Töltse le a hitelesítésszolgáltató által aláírt kiszolgálótanúsítványt. Győződjön meg arról, hogy a mappában van. PEM formátum.

5

Menjen a Biztonság > Tanúsítványok > Szolgáltatások > Tanúsítvány hozzáadása oldalra, és töltse fel a titkos kulcsot és a kiszolgálótanúsítványt.

6

Engedélyezze az imént hozzáadott tanúsítványhoz használni kívánt szolgáltatásokat.

Egyszerű tanúsítványigénylési protokoll (SCEP)

Az SCEP (Simple Certificate Enrollment Protocol) automatizált mechanizmust biztosít az eszközökön használt tanúsítványok igényléséhez és frissítéséhez. Az SCEP lehetővé teszi az eszköz biztonságos hálózatokhoz való hozzáférésének manuális beavatkozás nélküli fenntartását.

  • Ha az eszköz új, vagy gyári alaphelyzetbe állították, hálózati hozzáférésre van szüksége az SCEP URL-cím eléréséhez. A készüléket 802.1X nélkül kell csatlakoztatni a hálózathoz a IP cím megszerzéséhez.

  • Ha vezeték nélküli regisztrációt használ SSID, át kell mennie a felvételi képernyőkön a hálózati kapcsolat konfigurálásához.

  • Miután csatlakozott a kiépítési hálózathoz, az eszköznek ebben a szakaszban nem kell egy adott bevezetési képernyőn lennie.

  • Az összes üzemelő példány illeszkedése érdekében az SCEP-regisztráció xAPI-k nem tárolják az eszköztanúsítvány aláírásához használt hitelesítésszolgáltatói tanúsítványt. A kiszolgálóhitelesítéshez a kiszolgáló tanúsítványának érvényesítéséhez használt hitelesítésszolgáltatói tanúsítványt hozzá kell adni az xCommand Security Certificates CA Add parancshoz .

Előfeltételek

A következő információkra van szükség:

  • SCEP-kiszolgáló URL-címe.

  • Az aláíró hitelesítésszolgáltatói (Certificate Authority) tanúsítvány ujjlenyomata.

  • Az igényelni kívánt tanúsítvány adatai. Ez alkotja a tanúsítvány tulajdonosának nevét .

    • Köznapi név

    • Ország neve

    • Állam vagy tartomány neve

    • Helység neve

    • Szervezet neve

    • Szervezeti egység

  • A tulajdonos neve a következőképpen lesz rendezve: /C= /ST= /L= /O= /OU= /CN=

  • Az SCEP-kiszolgáló kérdésjelszava, ha úgy konfigurálta az SCEP-kiszolgálót, hogy egyszeri jelszava vagy közös titkos kulcsa legyen.

A tanúsítványkérelem kulcspárjához szükséges kulcsméretet a következő paranccsal állíthatja be. Az alapértelmezett érték 2048.

 xConfiguration biztonsági beléptetési kulcs mérete: <2048, 3072, 4096>

A tanúsítvány lejáratához egy évig érvényes tanúsítványkérelmet küldünk. A kiszolgálóoldali házirend módosíthatja a lejárati dátumot a tanúsítvány aláírása során.

Ethernet-kapcsolat

Amikor egy eszköz hálózathoz csatlakozik, győződjön meg arról, hogy hozzáfér az SCEP-kiszolgálóhoz. A készüléket 802.1x szabványt nem tartalmazó hálózathoz kell csatlakoztatni a IP cím megszerzéséhez. Előfordulhat, hogy az eszköz MAC címét meg kell adni a kiépítési hálózatnak a IP cím beszerzéséhez. A MAC cím a felhasználói felületen vagy az eszköz hátulján található címkén található.

Miután csatlakoztatta az eszközt a hálózathoz, SSH-kapcsolaton keresztül rendszergazdaként elérheti az eszközt a TSH eléréséhez, majd a következő parancs futtatásával elküldheti a regisztrációs SCEP-kérelmet: 

xCommand biztonsági tanúsítványok Szolgáltatások beléptetése SCEP-kérés

Miután az SCEP-kiszolgáló visszaadja az aláírt eszköztanúsítványt, aktiválja a 802.1X szabványt.

Aktiválja az aláírt tanúsítványt:

xCommand biztonsági tanúsítvány szolgáltatások aktiválása

Indítsa újra az eszközt a tanúsítvány aktiválása után.

Vezeték nélküli kapcsolat

Amikor egy eszköz vezeték nélküli hálózathoz csatlakozik, győződjön meg arról, hogy hozzáfér az SCEP-kiszolgálóhoz.

Miután csatlakoztatta az eszközt a hálózathoz, SSH-kapcsolaton keresztül rendszergazdaként elérheti az eszközt a TSH eléréséhez, majd a következő parancs futtatásával elküldheti a regisztrációs SCEP-kérelmet: 

xCommand biztonsági tanúsítványok Szolgáltatások beléptetése SCEP-kérés

Az eszköz megkapja az aláírt tanúsítványt az SCEP-kiszolgálótól.

Aktiválja az aláírt tanúsítványt: 

xCommand biztonsági tanúsítvány szolgáltatások aktiválása

Az aktiválás után konfigurálnia kell a Wi-Fi hálózatot EAP-TLS hitelesítéssel. 

xCommand hálózati wifi konfigurálása

Alapértelmezés szerint a Wi-Fi konfiguráció kihagyja a kiszolgáló érvényesítési ellenőrzéseit. Ha csak egyirányú hitelesítésre van szükség, tartsa az AllowMissingCA alapértelmezett értékét Igaz értéken.

A kiszolgáló érvényesítésének kényszerítéséhez győződjön meg arról, hogy az AllowMissingCA választható paraméter értéke Hamis. Ha szolgáltatásérvényesítési hibák miatt nem hozható létre kapcsolat, ellenőrizze, hogy a megfelelő hitelesítésszolgáltató lett-e hozzáadva a kiszolgálói tanúsítvány ellenőrzéséhez, amely eltérhet az eszköz tanúsítványától.

API leírások

Szerep: Rendszergazda, Integrátor

xCommand biztonsági tanúsítványok Szolgáltatások beléptetése SCEP-kérés

CSR küld egy adott SCEP-kiszolgálónak aláírásra. A CSR SubjectName paraméterek felépítése a következő sorrendben történik: C, ST, L, O, OUs, CN.

Paraméterek:

  • URL(r): <S: 0, 256>

    Az SCEP-kiszolgáló URL-címe.

  • Ujjlenyomat(r): <S: 0, 128>

    A hitelesítésszolgáltatói tanúsítvány ujjlenyomata, amely aláírja az SCEP-kérelmet CSR.

  • Köznév (r): <S: 0, 64>

    "/CN=" hozzáadása a CSR tulajdonos nevéhez.

  • ChallengePassword: <S: 0, 256>

    OTP vagy megosztott titkos kulcs az SCEP-kiszolgálóról az aláíráshoz való hozzáféréshez.

  • Országnév: <S: 0, 2>

    "/C=" hozzáadása a CSR tulajdonos nevéhez.

  • StateOrProvinceName: <S: 0, 64>

    "/ST=" hozzáadása a CSR tulajdonos nevéhez.

  • Helységnév: <S: 0, 64>

    "/L=" hozzáadása a CSR tulajdonos nevéhez.

  • Szervezet neve: <S: 0, 64>

    "/O=" hozzáadása a CSR tulajdonos nevéhez.

  • Szervezeti egység[5]: <S: 0, 64>

    Legfeljebb 5 "/OU=" paramétert adhat hozzá a CSR tulajdonos nevéhez.

  • SanDns[5]: <S: 0, 64>

    Legfeljebb 5 DNS paramétert ad hozzá a CSR tárgy alternatív nevéhez.

  • SanEmail[5]: <S: 0, 64>

    Legfeljebb 5 e-mail paramétert adhat hozzá a CSR tárgy alternatív nevéhez.

  • SanIp[5]: <Sz: 0, 64>

    Legfeljebb 5 IP-paramétert ad hozzá a CSR tárgy alternatív nevéhez.

  • SanUri[5]: < sz: 0, 64>

    Legfeljebb 5 URI paramétert ad hozzá a CSR tárgy alternatív nevéhez.

xCommand biztonsági tanúsítványok Szolgáltatások beléptetési profiljai Törlés

Töröl egy beléptetési profilt, hogy a továbbiakban ne újítsa meg a tanúsítványokat.

Paraméterek:

  • Ujjlenyomat(r): <S: 0, 128>

    A hitelesítésszolgáltatói tanúsítvány ujjlenyomata, amely azonosítja az eltávolítani kívánt profilt. Az eltávolítandó profilokat a következő futtatásával tekintheti meg: 

    xCommand biztonsági tanúsítványok szolgáltatások beléptetési profiljainak listája

xCommand biztonsági tanúsítványok szolgáltatások beléptetési profiljainak listája

Felsorolja a tanúsítvány megújításához szükséges beléptetési profilokat.

 xCommand biztonsági tanúsítványok Szolgáltatások beléptetése SCEP-profilok beállítása Ujjlenyomat(r): <S: 0, 128> URL(r): <S: 0, 256>

Adjon hozzá egy beléptetési profilt a hitelesítésszolgáltató ujjlenyomata által kiállított tanúsítványokhoz, hogy a megadott SCEP URL-címet használja a megújításhoz.

Megújulás

 xCommand biztonsági tanúsítványok Szolgáltatások beléptetése SCEP-profilok beállítása

A tanúsítvány automatikus megújításához az eszköznek hozzá kell férnie az SCEP URL-címéhez, amely újra aláírhatja a tanúsítványt.

Naponta egyszer a készülék ellenőrzi, hogy vannak-e olyan tanúsítványok, amelyek 45 nap múlva lejárnak. Az eszköz ezután megpróbálja megújítani ezeket a tanúsítványokat, ha a kiállítójuk megfelel egy profilnak.

MEGJEGYZÉS: A rendszer ellenőrzi az összes eszköztanúsítvány megújítását, még akkor is, ha a tanúsítványt eredetileg nem SCEP használatával regisztrálták.

Navigátor

  1. Közvetlen párosítás: Az igényelt tanúsítványok "párosítási" tanúsítványként aktiválhatók.

  2. Távoli párosítás: Mondja meg a navigátornak, hogy regisztráljon egy új SCEP-tanúsítványt a periféria azonosítójával:

    xCommand perifériák Biztonsági tanúsítványok Szolgáltatások beléptetése SCEP-kérés 

    A regisztrációs profilok automatikusan szinkronizálódnak a párosított kezelővel.

  3. Önálló navigátor: Ugyanaz, mint a kodekek regisztrálása

802.1x hitelesítés konfigurálása a Room Navigatoron

A 802.1x hitelesítést közvetlenül a Room Navigator Beállítások menüjéből állíthatja be.

A 802.1x hitelesítési szabvány különösen fontos az Ethernet hálózatok esetében, és biztosítja, hogy csak az engedélyezett eszközök férhessenek hozzá a hálózati erőforrásokhoz. A hálózaton való hitelesítéshez használhat felhasználónevet és jelszót, vagy használhat ügyféltanúsítványokat. Lehetőség van mindkettő egyidejű használatára is. A 802.1x szolgáltatás használatához az ügyféltanúsítványokat a API keresztül kell feltölteni és aktiválni.

A 802.1x tanúsítványainak beállítását és frissítését a Room Navigator rendszerrel való párosítása vagy a Room Navigator gyári beállításainak visszaállítása előtt kell elvégezni .

Az alapértelmezett hitelesítő adatok a rendszergazdai és az üres jelszó. A tanúsítványok API elérésével történő hozzáadásáról további információt a API útmutató legújabb verziójában talál .

  1. Nyissa meg a kezelőpanelt a Navigátoron a jobb felső sarokban lévő gombra koppintva, vagy pöccintsen a jobb oldalról. Ezután koppintson az Eszközbeállítások elemre .
  2. Lépjen a Hálózati kapcsolat elemre, és válassza az Ethernet lehetőséget .
  3. Kapcsolja be az IEEE 802.1X használata lehetőséget.
    • Ha a hitelesítés hitelesítő adatokkal van beállítva, adja meg a felhasználó azonosítóját és jelszavát. Névtelen identitást is megadhat: ez egy opcionális mező, amely lehetővé teszi a tényleges felhasználó identitásának elkülönítését a kezdeti hitelesítési kérelemtől.
    • A TLS Ellenőrzés ki- vagy bekapcsolható . Ha a TLS ellenőrzés be van kapcsolva, az ügyfél aktívan ellenőrzi a kiszolgáló tanúsítványának hitelességét a TLS kézfogás során. Ha a TLS verify ki van kapcsolva, az ügyfél nem ellenőrzi aktívan a kiszolgáló tanúsítványát.
    • Ha a API elérésével töltött fel ügyféltanúsítványt, kapcsolja be az Ügyféltanúsítvány használata beállítást.
    • Váltson a használni kívánt EAP) módszerek között. A EAP módszer kiválasztása az adott biztonsági követelményektől, infrastruktúrától és ügyfélképességektől függ. EAP módszerek elengedhetetlenek a biztonságos és hitelesített hálózati hozzáférés engedélyezéséhez.