Tanúsítványokat az eszköz helyi webinterfészéről adhat hozzá. Másik lehetőségként a API parancsok futtatásával is hozzáadhat tanúsítványokat. A tanúsítványok hozzáadását lehetővé tevő parancsok megtekintéséhez lásd: roomos.cisco.com .

Szolgáltatástanúsítványok és megbízható hitelesítésszolgáltatók

TLS (Transport Layer Security) használata esetén szükség lehet a tanúsítvány ellenőrzésére. A kiszolgáló vagy az ügyfél megkövetelheti, hogy a kommunikáció létrejötte előtt az eszköz érvényes tanúsítványt mutasson be.

A tanúsítványok az eszköz hitelességét igazoló szövegfájlok. Ezeket a tanúsítványokat egy megbízható hitelesítésszolgáltatónak (CA – Certificate Authority) kell aláírnia. A tanúsítványok aláírásának ellenőrzéséhez a megbízható hitelesítésszolgáltatók listájának az eszközön kell lennie. A listában minden olyan hitelesítésszolgáltatónak szerepelnie kell, amelyre az auditnaplózáshoz és a többi kapcsolathoz tartozó tanúsítványok ellenőrzéséhez szükség van.

A rendszer a következő szolgáltatásokhoz használ tanúsítványokat: HTTPS-kiszolgáló, SIP, IEEE 802.1X és auditnaplózás. Több tanúsítvány is tárolható az eszközön, de egy szolgáltatáshoz egyszerre csak egy tanúsítvány lehet aktiválva.

A RoomOS 2023. októberi és újabb verzióiban, amikor CA-tanúsítványt ad hozzá egy eszközhöz, az a Room Navigatorra is vonatkozik, ha van ilyen csatlakoztatva. A korábban hozzáadott CA-tanúsítványok csatlakoztatott Room Navigatorral való szinkronizálásához újra kell indítania az eszközt. Ha nem szeretné, hogy a perifériák ugyanazokat a tanúsítványokat kapják, mint a csatlakoztatott eszköz, állítsa a Peripherals Security Certificates SyncToPeripherals konfigurációt Falseértékre.

A korábban tárolt tanúsítványokat a rendszer nem törli automatikusan. Az CA-tanúsítványokat tartalmazó új fájl bejegyzéseit a rendszer hozzáfűzi a meglévő listához.

Wi-Fi kapcsolathoz

Azt javasoljuk, hogy minden Board, asztali vagy szobai sorozatú eszközhöz adjon hozzá egy megbízható CA-tanúsítványt, ha a hálózata WPA-EAP hitelesítést használ. Ezt egyenként kell megtennie az egyes eszközök esetében, még a Wi-Fi-hez való csatlakoztatás előtt.

Ha tanúsítványokat szeretne hozzáadni a Wi-Fi-kapcsolathoz, a következő fájlokra lesz szüksége:

  • CA-tanúsítvány-lista (fájlformátum: .PEM)

  • Tanúsítvány (fájlformátum: .PEM)

  • Titkos kulcs, vagy külön fájlként, vagy ugyanabban a fájlban, amelyben a tanúsítvány is van (fájlformátum: .PEM)

  • Jelszó (csak akkor szükséges, ha a titkos kulcs titkosítva van)

A tanúsítvány és a titkos kulcs ugyanabban a fájlban tárolódik az eszközön. Ha a hitelesítés sikertelen, a kapcsolat nem jön létre.

A privát kulcs és a jelszó nem vonatkozik a csatlakoztatott perifériákra.

Tanúsítványok hozzáadása Board, Desk és Room sorozatú eszközökön

1

Az ügyfél nézetben a(z) https://admin.webex.com részben lépjen az Eszközök oldalra, és válassza ki az eszközét a listából. Lépjen a Támogatás oldalra, és indítsa el a Helyi eszközvezérlők lehetőséget.

Ha beállított egy helyi Rendszergazda felhasználót az eszközhöz, közvetlenül elérheti a helyi webinterfészt egy webböngésző megnyitásával és a http(s)://<végpont IP-címe vagy gazdagép neve> beírásával.

2

Menjen a Biztonság > Tanúsítványok > Egyéni > Tanúsítvány hozzáadása oldalra, és töltse fel a legfelső szintű CA-tanúsítvány(oka)t.

3

OpenSSL esetén hozzon létre egy titkos kulcsot és egy tanúsítványkérést. Másolja le a tanúsítványkérés tartalmát. Ezután illessze be, így kérve kiszolgálótanúsítványt a hitelesítésszolgáltatótól (CA).

4

Töltse le a hitelesítésszolgáltató által aláírt szervertanúsítványt. Győződjön meg arról, hogy .PEM formátumú.

5

Menjen a Biztonság > Tanúsítványok > Szolgáltatások > Tanúsítvány hozzáadása oldalra, és töltse fel a titkos kulcsot és a kiszolgálótanúsítványt.

6

Engedélyezze azokat a szolgáltatásokat, amelyeket az imént hozzáadott tanúsítványhoz használni szeretne.

Tanúsítvány aláírási kérelem generálása (CSR)

A rendszergazdáknak tanúsítvány-aláírási kérelmet (CSR) kell létrehozniuk a Control Hub-ból egy felhőben regisztrált Board, asztali vagy szobasorozatú eszközhöz.

Kövesse az alábbi lépéseket egy CSR tanúsítvány létrehozásához és egy aláírt tanúsítvány feltöltéséhez az eszközére:

  1. A Control Hub ügyfél nézetében lépjen az Eszközök oldalra, és válassza ki az eszközét a listából.
  2. Lépjen a Műveletek > xCommand futtatása > Biztonság > Tanúsítványok > CSR > Létrehozás menüpontra.
  3. Adja meg a szükséges tanúsítványadatokat, és válassza a Végrehajtás lehetőséget.
  4. Másolja ki a ----BEGIN CERTIFICATE REQUEST---- és a ----END CERTIFICATE REQUEST---- között található összes szöveget.
  5. Használj egy általad választott Certificate Authority (CA) aláírást a CSR aláírásához.
  6. Exportálja az aláírt tanúsítványt PEM (Base64 kódolású) formátumban.
  7. Nyissa meg az aláírt tanúsítványfájlt egy szövegszerkesztőben (pl. Jegyzettömbben), és másolja ki az összes szöveget a ----BEGIN CERTIFICATE---- és a ----END CERTIFICATE---- között.
  8. A Control Hubban lépjen az Eszközök > eszköz kiválasztása > Műveletek > xCommand futtatása > Biztonság > Tanúsítványok > CSR > Link menüpontra.
  9. Illessze be a másolt tanúsítvány tartalmát a Törzs részbe, és válassza a Végrehajtás lehetőséget.
  10. Frissítse az oldalt, és ellenőrizze, hogy a tanúsítvány megjelenik-e a Meglévő tanúsítvány területen.

Egyszerű tanúsítványigénylési protokoll (SCEP)

Az Egyszerű Tanúsítvány Regisztrációs Protokoll (SCEP) automatizált mechanizmust biztosít a tanúsítványok regisztrációjához és frissítéséhez, amelyeket például 802.1X hitelesítéshez használnak az eszközökön. Az SCEP lehetővé teszi az eszköz biztonságos hálózatokhoz való hozzáférésének fenntartását manuális beavatkozás nélkül.

  • Ha az eszköz új vagy gyári beállításokra lett visszaállítva, hálózati hozzáférésre van szüksége az SCEP URL eléréséhez. A készüléket 802.1X szabvány nélkül kell a hálózathoz csatlakoztatni a IP cím megszerzéséhez.

  • Vezeték nélküli regisztráció (SSID) használata esetén a hálózati kapcsolat konfigurálásához kövesse a bevezetési képernyőket.

  • Miután csatlakozott a kiépítési hálózathoz, az eszköznek nem kell egy adott bevezetési képernyőn lennie.

  • Az összes telepítéshez illeszkedés érdekében az SCEP regisztrációs xAPI-k nem tárolják az eszköztanúsítvány aláírásához használt hitelesítésszolgáltatói tanúsítványt. A szerver hitelesítéséhez a szerver tanúsítványának érvényesítéséhez használt CA tanúsítványt hozzá kell adni az xCommand Security Certificates CA Add paranccsal.

Előfeltételek

A következő információkra van szükség:

  • Az SCEP-kiszolgáló URL-címe.

  • Az aláíró CA tanúsítványának ujjlenyomata (Certificate Authority).

  • A beiratkozni kívánt tanúsítvány adatai. Ez alkotja a tanúsítvány tulajdonosnevét .

    • Közönséges név

    • Ország neve

    • Állam vagy tartomány neve

    • Helység neve

    • Szervezet neve

    • Szervezeti egység

  • A személy neve a következőképpen lesz rendezve: /C= /ST= /L= /O= /OU= /CN=

  • Az SCEP-kiszolgáló biztonsági jelszava, ha úgy állította be az SCEP-kiszolgálót, hogy egyszer használatos jelszót vagy megosztott titkot kényszerítsen ki.

A tanúsítványkérelem kulcspárjához szükséges kulcsméretet a következő paranccsal állíthatja be. Az alapértelmezett érték 2048.

 xConfiguration biztonsági regisztrációs kulcsméret: <2048, 3072, 4096>

Egy évig érvényes tanúsítványkérelmet küldünk a tanúsítvány lejáratakor. A szerveroldali szabályzat módosíthatja a lejárati dátumot a tanúsítvány aláírása során.

Ethernet-kapcsolat

Amikor egy eszköz hálózathoz csatlakozik, győződjön meg arról, hogy hozzáfér az SCEP-kiszolgálóhoz. A készüléket egy 802.1x szabvány nélküli hálózathoz kell csatlakoztatni a IP cím megszerzéséhez. Előfordulhat, hogy az eszköz MAC címét meg kell adni a kiépítendő hálózatnak a IP cím megszerzéséhez. A MAC cím a felhasználói felületen vagy az eszköz hátulján található címkén található.

Miután az eszköz csatlakoztatva van a hálózathoz, SSH-n keresztül csatlakozhat az eszközhöz, például admin a TSH eléréséhez, majd futtassa a következő parancsot a regisztrációs SCEP kérelem elküldéséhez: 

xCommand biztonsági tanúsítványszolgáltatások regisztrációs SCEP-kérelem

Miután az SCEP-kiszolgáló visszaküldi az aláírt eszköztanúsítványt, aktiválja a 802.1X szabványt.

Az aláírt tanúsítvány aktiválása:

xCommand biztonsági tanúsítványszolgáltatások aktiválása

A tanúsítvány aktiválása után indítsa újra az eszközt.

Vezeték nélküli kapcsolat

Amikor egy eszköz vezeték nélküli hálózathoz csatlakozik, győződjön meg arról, hogy hozzáfér az SCEP-kiszolgálóhoz.

Miután az eszköz csatlakoztatva van a hálózathoz, SSH-n keresztül csatlakozhat az eszközhöz, például admin a TSH eléréséhez, majd futtassa a következő parancsot a regisztrációs SCEP kérelem elküldéséhez: 

xCommand biztonsági tanúsítványszolgáltatások regisztrációs SCEP-kérelem

Az eszköz aláírt tanúsítványt kap az SCEP-kiszolgálótól.

Az aláírt tanúsítvány aktiválása: 

xCommand biztonsági tanúsítványszolgáltatások aktiválása

Az aktiválás után konfigurálnia kell a Wi-Fi hálózatot EAP-TLS hitelesítéssel. 

xCommand hálózati Wifi konfigurálása

Alapértelmezés szerint a Wi-Fi konfiguráció kihagyja a szerver érvényesítési ellenőrzéseit. Ha csak egyirányú hitelesítésre van szükség, akkor tartsa meg AllowMissingCA alapértelmezett Igaz.

A kiszolgáló érvényesítésének kikényszerítéséhez győződjön meg arról, hogy a AllowMissingCA opcionális paraméter értéke Hamis. Ha a szolgáltatás-érvényesítési hibák miatt nem lehet kapcsolatot létrehozni, ellenőrizze, hogy a megfelelő hitelesítésszolgáltató lett-e hozzáadva a szervertanúsítvány ellenőrzéséhez, amely eltérhet az eszköztanúsítványtól.

API leírások

Szerepkör: Adminisztrátor, Integrátor

xCommand biztonsági tanúsítványszolgáltatások regisztrációs SCEP-kérelem

Egy CSR kódot küld egy adott SCEP-kiszolgálónak aláírásra. A CSR SubjectName paraméterek a következő sorrendben lesznek összeállítva: C, ST, L, O, OUs, CN.

Paraméterek:

  • URL(r): <S: 0, 256>

    Az SCEP-kiszolgáló URL-címe.

  • Ujjlenyomat(r): <S: 0, 128>

    A SCEP-kérést aláíró CA-tanúsítvány ujjlenyomata CSR.

  • KözösNév(r): <S: 0, 64>

    Hozzáadja a "/CN=" karakterláncot a CSR alany nevéhez.

  • Jelszókérdés: <S: 0, 256>

    OTP vagy megosztott titkos kód az SCEP-kiszolgálóról az aláíráshoz való hozzáféréshez.

  • Országnév: <S: 0, 2>

    Hozzáadja a "/C="-t a CSR tárgynévhez.

  • ÁllamVagyTartományNeve: <S: 0, 64>

    Hozzáadja a "/ST=" karakterláncot a CSR alany nevéhez.

  • Helységnév: <S: 0, 64>

    Hozzáadja a "/L=" karakterláncot a CSR alany nevéhez.

  • Szervezet neve: <S: 0, 64>

    Hozzáadja a "/O=" karakterláncot a CSR alany nevéhez.

  • SzervezetiEgység[5]: <S: 0, 64>

    Legfeljebb 5 "/OU=" paramétert ad hozzá a CSR tulajdonos nevéhez.

  • SanDns[5]: <S: 0, 64>

    Legfeljebb 5 DNS paramétert ad hozzá a CSR alany alternatív nevéhez.

  • SanEmail[5]: <S: 0, 64>

    Legfeljebb 5 e-mail paramétert ad hozzá a CSR tárgy alternatív nevéhez.

  • SanIp[5]: <S: 0, 64>

    Legfeljebb 5 IP-paramétert ad hozzá a CSR alany alternatív nevéhez.

  • SanUri[5]: <S: 0, 64>

    Legfeljebb 5 URI paramétert ad hozzá a CSR alany alternatív nevéhez.

xCommand biztonsági tanúsítványok szolgáltatásregisztrációs profilok törlése

Törli a regisztrációs profilt, hogy a tanúsítványok többé ne újuljanak meg.

Paraméterek:

  • Ujjlenyomat(r): <S: 0, 128>

    A CA tanúsítvány ujjlenyomata, amely azonosítja az eltávolítani kívánt profilt. A következő futtatásával megtekintheti az eltávolítható profilokat: 

    xCommand biztonsági tanúsítványszolgáltatások regisztrációs profiljainak listája

xCommand biztonsági tanúsítványszolgáltatások regisztrációs profiljainak listája

Felsorolja a tanúsítvány megújításához szükséges regisztrációs profilokat.

 xCommand biztonsági tanúsítványok szolgáltatásregisztráció SCEP profilok beállítása Ujjlenyomat(r): <S: 0, 128> URL(r): <S: 0, 256>

Adjon hozzá egy regisztrációs profilt a CA ujjlenyomat által kiállított tanúsítványokhoz, hogy a megújításhoz az adott SCEP URL-címet használhassa.

Megújítás

 xCommand biztonsági tanúsítványszolgáltatások regisztrációjának SCEP-profilkészlete

A tanúsítvány automatikus megújításához az eszköznek képesnek kell lennie hozzáférni ahhoz az SCEP URL-címhez, amely lehetővé teszi a tanúsítvány lemondását.

A készülék naponta egyszer ellenőrzi a 45 nap múlva lejáró tanúsítványokat. Az eszköz ezután megpróbálja megújítani ezeket a tanúsítványokat, ha a kibocsátójuk megegyezik egy profillal.

MEGJEGYZÉS: A rendszer minden eszköztanúsítvány megújítását ellenőrzi, még akkor is, ha a tanúsítványt eredetileg nem a SCEP használatával regisztrálták.

Navigátor

  1. Közvetlen párosítás: A regisztrált tanúsítványok „Párosítás” tanúsítványként aktiválhatók.

  2. Távoli párosítás: Utasítsa a navigátort, hogy regisztráljon egy új SCEP tanúsítványt a periféria azonosítójával:

    xCommand perifériák biztonsági tanúsítványai szolgáltatások regisztrációja SCEP kérelem 

    A regisztrációs profilok automatikusan szinkronizálódnak a párosított navigátorral.

  3. Önálló Navigator: Ugyanaz, mint a kodek regisztrációja

802.1x hitelesítés konfigurálása a Room Navigatorban

A 802.1x hitelesítést közvetlenül a Room Navigator Beállítások menüjéből állíthatja be.

A 802.1x hitelesítési szabvány különösen fontos az Ethernet hálózatok esetében, és biztosítja, hogy csak a jogosult eszközök férhessenek hozzá a hálózati erőforrásokhoz.

A hálózatban konfigurált EAP metódustól függően különböző bejelentkezési lehetőségek állnak rendelkezésre. Például:

  • TLS: Felhasználónév és jelszó nem használatos.
  • PEAP: A tanúsítványok nincsenek használatban.
  • TTLS: Mind a felhasználónév/jelszó, mind a tanúsítványok megadása kötelező; egyik sem opcionális.

Többféleképpen is megszerezheti a kliens tanúsítványt egy eszközön:

  1. PEM feltöltése: Használja a Biztonsági tanúsítványszolgáltatások hozzáadása funkciót.
  2. Hozza létre a CSR: tanúsítvány-aláírási kérelmet (CSR), írja alá, és csatolja össze biztonsági tanúsítványok használatával. CSR Létrehozás/Összekapcsolás.
  3. SCEP: Használja a biztonsági tanúsítványok szolgáltatásait az SCEP kérelmet.
  4. DHCP 43. lehetőség: Konfigurálja a tanúsítvány kézbesítését ezzel a lehetőséggel.

A 802.1x tanúsítványok beállítását és frissítését el kell végezni. párosítás előtt a Room Navigator rendszerhez való csatlakoztatását, vagy a Room Navigator gyári beállításainak visszaállítása után.

Az alapértelmezett hitelesítő adatok az admin és az üres jelszó. A API eléréssel történő tanúsítványok hozzáadásáról további információt a következő helyen talál: a API útmutató legújabb verziója .

  1. Nyissa meg a Navigátor kezelőpaneljét a jobb felső sarokban található gombra koppintva, vagy jobb oldalról húzva az ujját. Ezután koppintson Eszközbeállítások .
  2. Menj ide Hálózati kapcsolat és válassza ki Ethernet .
  3. Kapcsolja be az IEEE 802.1X használata lehetőséget.
    • Ha a hitelesítés hitelesítő adatokkal van beállítva, adja meg a felhasználói azonosítót és a jelszót. Megadhat egy névtelen identitást is: ez egy opcionális mező, amely lehetővé teszi a tényleges felhasználó identitásának elkülönítését a kezdeti hitelesítési kéréstől.
    • Átkapcsolhat TLS Ellenőrzés ki vagy be. Amikor a TLS ellenőrzés be van kapcsolva, a kliens aktívan ellenőrzi a szerver tanúsítványának hitelességét a TLS kézfogás során. Amikor a TLS verify ki van kapcsolva, a kliens nem végzi el aktívan a szerver tanúsítványának ellenőrzését.
    • Ha feltöltött egy klienstanúsítványt a API, a váltás lehetőség elérésével. Klienstanúsítvány használata on.
    • Váltás a Bővíthető hitelesítési protokoll (EAP) a használni kívánt módszereket. A EAP metódus megválasztása az adott biztonsági követelményektől, az infrastruktúrától és az ügyfél képességeitől függ. A EAP metódusok kulcsfontosságúak a biztonságos és hitelesített hálózati hozzáférés lehetővé tételéhez.