Tanúsítványokat az eszköz helyi webinterfészéről adhat hozzá. Másik lehetőségként tanúsítványokat is hozzáadhat API parancsok futtatásával. Ha meg szeretné tudni, hogy mely parancsok teszik lehetővé tanúsítványok hozzáadását, lásd: roomos.cisco.com .

Szolgáltatástanúsítványok és megbízható hitelesítésszolgáltatók

TLS (Transport Layer Security) használata esetén szükség lehet a tanúsítvány ellenőrzésére. A kiszolgáló vagy az ügyfél megkövetelheti, hogy a kommunikáció létrejötte előtt az eszköz érvényes tanúsítványt mutasson be.

A tanúsítványok az eszköz hitelességét igazoló szövegfájlok. Ezeket a tanúsítványokat egy megbízható hitelesítésszolgáltatónak (CA – Certificate Authority) kell aláírnia. A tanúsítványok aláírásának ellenőrzéséhez a megbízható hitelesítésszolgáltatók listájának az eszközön kell lennie. A listában minden olyan hitelesítésszolgáltatónak szerepelnie kell, amelyre az auditnaplózáshoz és a többi kapcsolathoz tartozó tanúsítványok ellenőrzéséhez szükség van.

A rendszer a következő szolgáltatásokhoz használ tanúsítványokat: HTTPS-kiszolgáló, SIP, IEEE 802.1X és auditnaplózás. Több tanúsítvány is tárolható az eszközön, de egy szolgáltatáshoz egyszerre csak egy tanúsítvány lehet aktiválva.

A RoomOS 2023. októberi és újabb verzióiban, amikor hitelesítésszolgáltatói tanúsítványt ad hozzá egy eszközhöz, az a Room Navigatorra is vonatkozik, ha van csatlakoztatva. Ha szinkronizálni szeretné a korábban hozzáadott hitelesítésszolgáltatói tanúsítványokat egy csatlakoztatott Room Navigatorral, újra kell indítania az eszközt. Ha nem szeretné, hogy a perifériák ugyanazokat a tanúsítványokat kapják meg, mint a csatlakoztatott eszköz, állítsa a Perifériák biztonsági tanúsítványai SyncToPeripherals konfigurációt False (Hamis ) értékre .


A korábban tárolt tanúsítványokat a rendszer nem törli automatikusan. Az CA-tanúsítványokat tartalmazó új fájl bejegyzéseit a rendszer hozzáfűzi a meglévő listához.

A Wi-Fi kapcsolat érdekében

Javasoljuk, hogy minden Board tábla, Desk vagy Room sorozatú eszközhöz adjon hozzá egy megbízható hitelesítésszolgáltatói tanúsítványt, ha a hálózat WPA-EAP hitelesítést használ. Ezt egyenként kell megtennie az egyes eszközök esetében, még a Wi-Fi-hez való csatlakoztatás előtt.

Ha tanúsítványokat szeretne hozzáadni a Wi-Fi-kapcsolathoz, a következő fájlokra lesz szüksége:

  • CA-tanúsítvány-lista (fájlformátum: .PEM)

  • Tanúsítvány (fájlformátum: .PEM)

  • Titkos kulcs, vagy külön fájlként, vagy ugyanabban a fájlban, amelyben a tanúsítvány is van (fájlformátum: .PEM)

  • Jelszó (csak akkor szükséges, ha a titkos kulcs titkosítva van)

A tanúsítvány és a titkos kulcs ugyanabban a fájlban tárolódik az eszközön. Ha a hitelesítés sikertelen, a kapcsolat nem jön létre.


A rendszer nem alkalmazza a titkos kulcsot és a jelszót a csatlakoztatott perifériákra.

Tanúsítványok hozzáadása fedélzeti, asztali és Room sorozatú eszközökhöz

1

A https://admin.webex.com ügyfél nézetében lépjen az Eszközök lapra, és válassza ki az eszközt a listából. Lépjen a Támogatás elemre, és indítsa el a Helyi eszközvezérlők alkalmazást .

Ha beállított egy helyi Rendszergazda felhasználót az eszközhöz, közvetlenül elérheti a helyi webinterfészt egy webböngésző megnyitásával és a http(s)://<végpont IP-címe vagy gazdagép neve> beírásával.

2

Menjen a Biztonság > Tanúsítványok > Egyéni > Tanúsítvány hozzáadása oldalra, és töltse fel a legfelső szintű CA-tanúsítvány(oka)t.

3

OpenSSL esetén hozzon létre egy titkos kulcsot és egy tanúsítványkérést. Másolja le a tanúsítványkérés tartalmát. Ezután illessze be, így kérve kiszolgálótanúsítványt a hitelesítésszolgáltatótól (CA).

4

Töltse le a hitelesítésszolgáltató által aláírt kiszolgálótanúsítványt. Győződjön meg arról, hogy a mappában van. PEM formátum.

5

Menjen a Biztonság > Tanúsítványok > Szolgáltatások > Tanúsítvány hozzáadása oldalra, és töltse fel a titkos kulcsot és a kiszolgálótanúsítványt.

6

Engedélyezze az imént hozzáadott tanúsítványhoz használni kívánt szolgáltatásokat.

Egyszerű tanúsítványigénylési protokoll (SCEP)

Az SCEP (Simple Certificate Enrollment Protocol) automatizált mechanizmust biztosít az eszközökön például a 802.1X hitelesítéshez használt tanúsítványok igényléséhez és frissítéséhez. Az SCEP lehetővé teszi az eszköz biztonságos hálózatokhoz való hozzáférésének manuális beavatkozás nélküli fenntartását.

  • Ha az eszköz új, vagy gyári alaphelyzetbe állították, hálózati hozzáférésre van szüksége az SCEP URL-cím eléréséhez. A készüléket 802.1X nélkül kell csatlakoztatni a hálózathoz a IP cím megszerzéséhez.

  • Ha vezeték nélküli regisztrációs SSID használ, át kell mennie a felvételi képernyőkön a hálózati kapcsolat konfigurálásához.

  • Miután csatlakozott a kiépítési hálózathoz, az eszköznek ebben a szakaszban nem kell egy adott bevezetési képernyőn lennie.

  • Az összes üzemelő példány illeszkedése érdekében az SCEP-regisztráció xAPI-k nem tárolják az eszköztanúsítvány aláírásához használt hitelesítésszolgáltatói tanúsítványt. A kiszolgálóhitelesítéshez a kiszolgáló tanúsítványának érvényesítéséhez használt hitelesítésszolgáltatói tanúsítványt hozzá kell adni az xCommand Security Certificates CA Add parancshoz .

Előfeltételek

A következő információkra van szükség:

  • SCEP-kiszolgáló URL-címe.

  • Az aláíró hitelesítésszolgáltatói (Certificate Authority) tanúsítvány ujjlenyomata.

  • Az igényelni kívánt tanúsítvány adatai. Ez alkotja a tanúsítvány tulajdonosának nevét .

    • Köznapi név

    • Ország neve

    • Szervezet neve

  • Az SCEP-kiszolgáló kérdésjelszava, ha úgy konfigurálta az SCEP-kiszolgálót, hogy egyszeri jelszava vagy közös titkos kulcsa legyen.

A tanúsítvány lejáratához egy évig érvényes tanúsítványkérelmet küldünk. A kiszolgálóoldali házirend módosíthatja a lejárati dátumot a tanúsítvány aláírása során.

Ethernet-kapcsolat

Amikor egy eszköz hálózathoz csatlakozik, győződjön meg arról, hogy hozzáfér az SCEP-kiszolgálóhoz. A készüléket 802.1x szabványt nem tartalmazó hálózathoz kell csatlakoztatni a IP cím megszerzéséhez. Előfordulhat, hogy az eszköz MAC címét meg kell adni a kiépítési hálózatnak a IP cím beszerzéséhez. Az MAC cím megtalálható a felhasználói felületen vagy a készülék hátulján található címkén.

Miután csatlakoztatta az eszközt a hálózathoz, SSH-kapcsolaton keresztül rendszergazdaként elérheti az eszközt a TSH eléréséhez, majd a következő parancs futtatásával elküldheti a regisztrációs SCEP-kérelmet: 
xCommand biztonsági tanúsítványok Szolgáltatások beléptetése SCEP-kérés

Miután az SCEP-kiszolgáló visszaadja az aláírt eszköztanúsítványt, aktiválja a 802.1X szabványt, majd indítsa újra az eszközt.

Aktiválja az aláírt tanúsítványt:
xCommand biztonsági tanúsítvány szolgáltatások aktiválása

Indítsa újra az eszközt a tanúsítvány aktiválása után.

Vezeték nélküli kapcsolat

Amikor egy eszköz vezeték nélküli hálózathoz csatlakozik, győződjön meg arról, hogy hozzáfér az SCEP-kiszolgálóhoz.

Miután csatlakoztatta az eszközt a hálózathoz, SSH-kapcsolaton keresztül rendszergazdaként elérheti az eszközt a TSH eléréséhez, majd a következő parancs futtatásával elküldheti a regisztrációs SCEP-kérelmet: 
xCommand biztonsági tanúsítványok Szolgáltatások beléptetése SCEP-kérés

Az eszköz megkapja az aláírt tanúsítványt az SCEP-kiszolgálótól.

Aktiválja az aláírt tanúsítványt: 

xCommand biztonsági tanúsítvány szolgáltatások aktiválása
Az aktiválás után konfigurálnia kell a Wi-Fi hálózatot EAP-TLS hitelesítéssel. 
xCommand hálózati wifi konfigurálása

Alapértelmezés szerint a Wi-Fi konfiguráció kihagyja a kiszolgáló érvényesítési ellenőrzéseit. Ha csak egyirányú hitelesítésre van szükség, tartsa az AllowMissingCA alapértelmezett értékét Igaz értéken.

A kiszolgáló érvényesítésének kényszerítéséhez győződjön meg arról, hogy az AllowMissingCA választható paraméter értéke Hamis. Ha szolgáltatásérvényesítési hibák miatt nem hozható létre kapcsolat, ellenőrizze, hogy a megfelelő hitelesítésszolgáltató lett-e hozzáadva a kiszolgálói tanúsítvány ellenőrzéséhez, amely eltérhet az eszköz tanúsítványától.

API leírások

Szerep: Rendszergazda, Integrátor

xCommand biztonsági tanúsítványok Szolgáltatások beléptetése SCEP-kérés

Aláírt eszköztanúsítványt kér és tölt le

Paraméterek:

  • URL(r): <S: 0, 128>

    A tanúsítvány igényléséhez használt SCEP-kiszolgáló URL-címe.

  • Ujjlenyomat (r): <S: 0, 128>

    A kiállító hitelesítésszolgáltató ujjlenyomata, amely aláírja az X509 kérelmet.

  • ChallengePassword: <S: 0, 128>

    Az SCEP-kiszolgáló által beállított közös titkos jelszó.

  • Köznév (r): <S: 0, 128>

  • Országnév: <S: 0, 128>

  • Szervezet neve: <S: 0, 128>

  • SanDns[5]: <S: 0, 128>

  • E-mail[5]: <S: 0, 128>

  • SanIp[5]: <Sz: 0, 128>

  • SanUri[5]: <Sz: 0, 128>

xCommand biztonsági tanúsítványok Szolgáltatások beléptetése SCEP-megújítási kérelem

Hozzon létre vagy frissítsen egy automatikus megújítási profilt, amely az adott hitelesítésszolgáltató által a tanúsítványok lejárata előtt kiállított összes tanúsítványra vonatkozik

Paraméterek:

  • Ujjlenyomat(r): <S: 0, 128>

    A kiállító hitelesítésszolgáltató ujjlenyomata, amely aláírta a tanúsítványokat.

  • URL(r): <S: 0, 128>

    A tanúsítványok megújításához használt SCEP-kiszolgáló URL-címe. 

xCommand biztonsági tanúsítványok Szolgáltatások beléptetése SCEP megújítás Törlés

Távolítsa el az adott hitelesítésszolgáltató automatikusan megújított profilját. Ez megakadályozza a hitelesítésszolgáltató által aláírt tanúsítványok automatikus megújítását

Paraméterek:

  • Ujjlenyomat(r): <S: 0, 128>

    A kiállító hitelesítésszolgáltató eltávolítandó ujjlenyomata.

xCommand biztonsági tanúsítványok Szolgáltatások beléptetése SCEP-megújítási lista

Sorolja fel az összes jelenleg használt automatikus megújítási profilt.