A tanúsítványokat az eszköz helyi webes felületén adhatja hozzá. Másik lehetőségként tanúsítványokat is hozzáadhat a API parancsok futtatásával. Ha meg szeretné tudni, hogy mely parancsok teszik lehetővé tanúsítványok hozzáadását, lásd: roomos.cisco.com .

Szolgáltatástanúsítványok és megbízható hitelesítésszolgáltatók

A TLS (Transport Layer Security) használata esetén tanúsítványérvényesítésre lehet szükség. A kiszolgáló vagy az ügyfél megkövetelheti, hogy az eszköz érvényes tanúsítványt mutasson be nekik a kommunikáció beállítása előtt.

A tanúsítványok szöveges fájlok, amelyek ellenőrzik az eszköz hitelességét. Ezeket a tanúsítványokat egy megbízható Certificate Authority (CA) aláírónak kell aláírnia. A tanúsítványok aláírásának ellenőrzéséhez a megbízható hitelesítésszolgáltatók listájának az eszközön kell lennie. A listának tartalmaznia kell az összes hitelesítésszolgáltatót, amely mind a naplózás, mind az egyéb kapcsolatok tanúsítványainak ellenőrzéséhez szükséges.

A tanúsítványok a következő szolgáltatásokhoz használhatók: HTTPS-kiszolgáló, SIP, IEEE 802.1X és naplózás. Az eszközön több tanúsítványt is tárolhat, de egyszerre csak egy tanúsítvány van engedélyezve minden szolgáltatáshoz.

A RoomOS 2023. októberi és újabb verzióiban, amikor hitelesítésszolgáltatói tanúsítványt ad hozzá egy eszközhöz, az Room Navigator is vonatkozik, ha van csatlakoztatva. A korábban hozzáadott hitelesítésszolgáltatói tanúsítványok csatlakoztatott Room Navigator szinkronizálásához újra kell indítania az eszközt. Ha nem szeretné, hogy a perifériák ugyanazokat a tanúsítványokat kapják meg, mint a csatlakoztatott eszköz, állítsa a Perifériák biztonsági tanúsítványai SyncToPeripherals konfigurációt False (Hamis ) értékre .

Wi-Fi kapcsolat esetén

Javasoljuk, hogy minden Board, Desk vagy Room sorozatú eszközhöz adjon hozzá egy megbízható hitelesítésszolgáltatói tanúsítványt, ha a hálózat WPA-EAP hitelesítést használ. Ezt minden eszközön külön kell elvégeznie, mielőtt csatlakozna a Wi-Fi.

Ha tanúsítványokat szeretne hozzáadni a Wi-Fi-kapcsolathoz, a következő fájlokra lesz szüksége:

• A hitelesítésszolgáltatói tanúsítványok listája (fájlformátum: . PEM)

• Tanúsítvány (fájlformátum: . PEM)

• Titkos kulcs, akár külön fájlként, akár ugyanabban a fájlban, mint a tanúsítvány (fájlformátum: . PEM)

• Jelszó (csak akkor szükséges, ha a titkos kulcs titkosítva van)

A tanúsítvány és a titkos kulcs ugyanabban a fájlban van tárolva az eszközön. Ha a hitelesítés sikertelen, a kapcsolat nem jön létre.

A rendszergazdáknak tanúsítvány-aláírási kérelmet (CSR) kell létrehozniuk a Control Hubból egy felhőben regisztrált Board, Desk vagy Room sorozatú eszközhöz.

Kövesse az alábbi lépéseket a CSR létrehozásához és az aláírt tanúsítvány feltöltéséhez az eszközre:

1. A Control Hub ügyfél nézetében lépjen az Eszközök lapra, és válassza ki az eszközt a listából.
2. Lépjen a Műveletek > xCommand > biztonsági > tanúsítványok futtatása > a CSR > Létrehozás lapra.
3. Adja meg a szükséges tanúsítványadatokat, majd válassza a Végrehajtás lehetőséget.
4. Másolja a teljes szöveget a ----TANÚSÍTVÁNYKÉRELEM KEZDÉSE---- és ----TANÚSÍTVÁNYKÉRELEM VÉGE----.
5. Használjon egy tetszőleges Certificate Authority (CA) karaktert a CSR aláírásához.
6. Exportálja az aláírt tanúsítványt PEM (Base64 kódolású) formátumban.
7. Nyissa meg az aláírt tanúsítványfájlt egy szövegszerkesztőben (például a Jegyzettömbben), és másolja a teljes szöveget a ----BEGIN CERTIFICATE---- és a ----END CERTIFICATE----.
8. A Control Hubban lépjen az Eszközök elemre, > válassza ki az eszközt > Műveletek > xCommand futtatása > Biztonsági >tanúsítványok futtatása > CSR > hivatkozást.
9. Illessze be a másolt tanúsítvány tartalmát a Törzs szakaszba, és válassza a Végrehajtás lehetőséget.
10. Frissítse az oldalt annak ellenőrzéséhez, hogy a tanúsítvány megjelenik-e a Meglévő tanúsítvány területen.

Az SCEP (Simple Certificate Enrollment Protocol) automatizált mechanizmust biztosít az eszközökön használt tanúsítványok igényléséhez és frissítéséhez. Az SCEP lehetővé teszi az eszköz biztonságos hálózatokhoz való hozzáférésének manuális beavatkozás nélküli fenntartását.

• Ha az eszköz új vagy gyári alaphelyzetbe állították, hálózati hozzáférésre van szüksége az SCEP URL-cím eléréséhez. A készüléket 802.1X nélkül kell csatlakoztatni a hálózathoz a IP cím megszerzéséhez.

• Ha vezeték nélküli regisztrációt használ SSID, menjen végig a felvételi képernyőkön a hálózati kapcsolat konfigurálásához.

• Miután csatlakozott a kiépítési hálózathoz, az eszköznek nem kell egy adott bevezetési képernyőn lennie.

• Az összes üzemelő példányhoz való illeszkedés érdekében az SCEP-regisztráció xAPI-k nem tárolják az eszköztanúsítvány aláírásához használt hitelesítésszolgáltatói tanúsítványt. A kiszolgáló hitelesítéséhez a kiszolgáló tanúsítványának érvényesítéséhez használt hitelesítésszolgáltatói tanúsítványt hozzá kell adni az xCommand Security Certificates CA Add parancshoz .

Előfeltételek

A következő információkra van szükség:

• SCEP-kiszolgáló URL-címe.

• Az aláíró hitelesítésszolgáltatói (Certificate Authority) tanúsítvány ujjlenyomata.

• Az igényelni kívánt tanúsítvány adatai. Ez alkotja a tanúsítvány tulajdonosának nevét .

  • Köznapi név

  • Ország neve

  • Állam vagy tartomány neve

  • Helység neve

  • Szervezet neve

  • Szervezeti egység

• A tulajdonos neve a következőképpen lesz rendezve: /C= /ST= /L= /O= /OU= /CN=

• Az SCEP-kiszolgáló kérdésjelszava, ha úgy konfigurálta az SCEP-kiszolgálót, hogy egyszeri jelszava vagy közös titkos kulcsa legyen.

A tanúsítványkérelem kulcspárjához szükséges kulcsméretet a következő paranccsal állíthatja be. Az alapértelmezett érték 2048.

 xConfiguration biztonsági beléptetési kulcs mérete: <2048, 3072, 4096>

A tanúsítvány lejáratához egy évig érvényes tanúsítványkérelmet küldünk. A kiszolgálóoldali házirend módosíthatja a lejárati dátumot a tanúsítvány aláírása során.

Ethernet-kapcsolat

Amikor egy eszköz hálózathoz csatlakozik, győződjön meg arról, hogy hozzáfér az SCEP-kiszolgálóhoz. A készüléket 802.1x szabványt nem tartalmazó hálózathoz kell csatlakoztatni a IP cím megszerzéséhez. Előfordulhat, hogy az eszköz MAC címét meg kell adni a kiépítési hálózatnak a IP cím beszerzéséhez. A MAC cím a felhasználói felületen vagy az eszköz hátulján található címkén található.

Miután csatlakoztatta az eszközt a hálózathoz, SSH-kapcsolaton keresztül rendszergazdaként elérheti az eszközt a TSH eléréséhez, majd a következő parancs futtatásával elküldheti a regisztrációs SCEP-kérelmet:

xCommand biztonsági tanúsítványok Szolgáltatások beléptetése SCEP-kérés 

Miután az SCEP-kiszolgáló visszaadja az aláírt eszköztanúsítványt, aktiválja a 802.1X szabványt.

Aktiválja az aláírt tanúsítványt:

xCommand biztonsági tanúsítvány szolgáltatások aktiválása 

Indítsa újra az eszközt a tanúsítvány aktiválása után.

Vezeték nélküli kapcsolat

Amikor egy eszköz vezeték nélküli hálózathoz csatlakozik, győződjön meg arról, hogy hozzáfér az SCEP-kiszolgálóhoz.

Miután csatlakoztatta az eszközt a hálózathoz, SSH-kapcsolaton keresztül rendszergazdaként elérheti az eszközt a TSH eléréséhez, majd a következő parancs futtatásával elküldheti a regisztrációs SCEP-kérelmet:

xCommand biztonsági tanúsítványok Szolgáltatások beléptetése SCEP-kérés 

Az eszköz megkapja az aláírt tanúsítványt az SCEP-kiszolgálótól.

Aktiválja az aláírt tanúsítványt:

xCommand biztonsági tanúsítvány szolgáltatások aktiválása

Az aktiválás után konfigurálnia kell a Wi-Fi hálózatot EAP-TLS hitelesítéssel.

xCommand hálózati wifi konfigurálása 

Alapértelmezés szerint a Wi-Fi konfiguráció kihagyja a kiszolgáló érvényesítési ellenőrzéseit. Ha csak egyirányú hitelesítésre van szükség, tartsa az AllowMissingCA alapértelmezett értékét Igaz értéken.

A kiszolgáló érvényesítésének kényszerítéséhez győződjön meg arról, hogy az AllowMissingCA választható paraméter értéke Hamis. Ha szolgáltatásérvényesítési hibák miatt nem hozható létre kapcsolat, ellenőrizze, hogy a megfelelő hitelesítésszolgáltató lett-e hozzáadva a kiszolgálói tanúsítvány ellenőrzéséhez, amely eltérhet az eszköz tanúsítványától.

API Leírások

Szerep: Rendszergazda, Integrátor

xCommand biztonsági tanúsítványok Szolgáltatások beléptetése SCEP-kérés

CSR küld egy adott SCEP-kiszolgálónak aláírásra. A CSR SubjectName paraméterek felépítése a következő sorrendben történik: C, ST, L, O, OUs, CN.

Paraméterek:

• URL(r): <S: 0, 256>

  Az SCEP-kiszolgáló URL-címe.

• Ujjlenyomat(r): <S: 0, 128>

  A hitelesítésszolgáltatói tanúsítvány ujjlenyomata, amely aláírja az SCEP-kérelmet CSR.

• Köznév (r): <S: 0, 64>

  "/CN=" hozzáadása a CSR tulajdonos nevéhez.

• ChallengePassword: <S: 0, 256>

  OTP vagy megosztott titkos kulcs az SCEP-kiszolgálóról az aláíráshoz való hozzáféréshez.

• Országnév: <S: 0, 2>

  "/C=" hozzáadása a CSR tulajdonos nevéhez.

• StateOrProvinceName: <S: 0, 64>

  "/ST=" hozzáadása a CSR tulajdonos nevéhez.

• Helységnév: <S: 0, 64>

  "/L=" hozzáadása a CSR tulajdonos nevéhez.

• Szervezet neve: <S: 0, 64>

  "/O=" hozzáadása a CSR tulajdonos nevéhez.

• Szervezeti egység[5]: <S: 0, 64>

  Legfeljebb 5 "/OU=" paramétert adhat hozzá a CSR tulajdonos nevéhez.

• SanDns[5]: <S: 0, 64>

  Legfeljebb 5 DNS paramétert ad hozzá a CSR tárgy alternatív nevéhez.

• SanEmail[5]: <S: 0, 64>

  Legfeljebb 5 e-mail paramétert ad hozzá a CSR tárgy alternatív nevéhez.

• SanIp[5]: <Sz: 0, 64>

  Legfeljebb 5 IP-paramétert ad hozzá a CSR tárgy alternatív nevéhez.

• SanUri[5]: < sz: 0, 64>

  Legfeljebb 5 URI paramétert ad hozzá a CSR tárgy alternatív nevéhez.

xCommand biztonsági tanúsítványok Szolgáltatások beléptetési profiljai Törlés

Töröl egy beléptetési profilt, hogy a továbbiakban ne újítsa meg a tanúsítványokat.

Paraméterek:

• Ujjlenyomat(r): <S: 0, 128>

  A hitelesítésszolgáltatói tanúsítvány ujjlenyomata, amely azonosítja az eltávolítani kívánt profilt. Az eltávolítandó profilokat a következő futtatásával tekintheti meg:

  xCommand biztonsági tanúsítványok szolgáltatások beléptetési profiljainak listája

xCommand biztonsági tanúsítványok szolgáltatások beléptetési profiljainak listája

Felsorolja a tanúsítvány megújításához szükséges beléptetési profilokat.

 xCommand biztonsági tanúsítványok Szolgáltatások beléptetése SCEP-profilok beállítása Ujjlenyomat(r): <S: 0, 128> URL(r): <S: 0, 256>

Adjon hozzá egy beléptetési profilt a hitelesítésszolgáltató ujjlenyomata által kiállított tanúsítványokhoz, hogy a megadott SCEP URL-címet használja a megújításhoz.

Megújulás

 xCommand biztonsági tanúsítványok Szolgáltatások beléptetése SCEP-profilok beállítása

A tanúsítvány automatikus megújításához az eszköznek hozzá kell férnie az SCEP URL-címéhez, amely újra aláírhatja a tanúsítványt.

Naponta egyszer a készülék ellenőrzi, hogy vannak-e olyan tanúsítványok, amelyek 45 nap múlva lejárnak. Az eszköz ezután megpróbálja megújítani ezeket a tanúsítványokat, ha a kiállítójuk megfelel egy profilnak.

MEGJEGYZÉS: A rendszer ellenőrzi az összes eszköztanúsítvány megújítását, még akkor is, ha a tanúsítványt eredetileg nem SCEP használatával regisztrálták.

Navigátor

1. Közvetlen párosítás: Az igényelt tanúsítványok "párosítási" tanúsítványként aktiválhatók.

2. Távoli párosítás: Mondja meg a navigátornak, hogy regisztráljon egy új SCEP-tanúsítványt a periféria azonosítójával:

   xCommand perifériák Biztonsági tanúsítványok Szolgáltatások beléptetése SCEP-kérés 

   A regisztrációs profilok automatikusan szinkronizálódnak a párosított kezelővel.

3. Önálló navigátor: Ugyanaz, mint a kodekek regisztrálása

A 802.1x hitelesítést közvetlenül a Room Navigator Beállítások menüjéből állíthatja be.

A 802.1x hitelesítési szabvány különösen fontos az Ethernet hálózatok esetében, és biztosítja, hogy csak az engedélyezett eszközök férhessenek hozzá a hálózati erőforrásokhoz.

Különböző bejelentkezési lehetőségek állnak rendelkezésre a hálózatban konfigurált EAP módszer alapján. Például:

• TLS: A rendszer nem használ felhasználónevet és jelszót.
• PEAP: A rendszer nem használ tanúsítványokat.
• TTLS: Felhasználónév/jelszó és tanúsítványok is szükségesek; egyik sem választható.

Az ügyféltanúsítványt többféleképpen is lekérheti egy eszközön:

1. Töltse fel a PEM-et: Használja a Biztonsági tanúsítványszolgáltatások hozzáadása funkciót.
2. Hozza létre a CSR: Tanúsítvány-aláírási kérelem létrehozása (CSR), aláírása és csatolása a Biztonsági tanúsítványok CSR Create/Link használatával.
3. SCEP: Biztonsági tanúsítványok használata szolgáltatások igénylési SCEP-kérése.
4. DHCP 43. lehetőség: Konfigurálja a tanúsítvány kézbesítését ezzel a beállítással.

A 802.1x tanúsítványainak beállítását és frissítését a Room Navigator rendszerrel való párosítása vagy a Room Navigator gyári beállításainak visszaállítása előtt kell elvégezni .

Az alapértelmezett hitelesítő adatok a rendszergazdai és az üres jelszó. A tanúsítványok API elérésével történő hozzáadásáról további információt a API útmutató legújabb verziójában talál .

1. Nyissa meg a kezelőpanelt a Navigátoron a jobb felső sarokban lévő gombra koppintva, vagy pöccintsen a jobb oldalról. Ezután koppintson az Eszközbeállítások elemre .
2. Lépjen a Hálózati kapcsolat elemre, és válassza az Ethernet lehetőséget .
3. Kapcsolja be az IEEE 802.1X használata lehetőséget.
   • Ha a hitelesítés hitelesítő adatokkal van beállítva, adja meg a felhasználó azonosítóját és jelszavát. Névtelen identitást is megadhat: ez egy opcionális mező, amely lehetővé teszi a tényleges felhasználó identitásának elkülönítését a kezdeti hitelesítési kérelemtől.
   • A TLS Verify ki- vagy bekapcsolt kapcsolót kapcsolhatja be. Ha a TLS ellenőrzés be van kapcsolva, az ügyfél aktívan ellenőrzi a kiszolgáló tanúsítványának hitelességét a TLS kézfogás során. Ha a TLS verify ki van kapcsolva, az ügyfél nem ellenőrzi aktívan a kiszolgáló tanúsítványát.
   • Ha a API elérésével töltött fel ügyféltanúsítványt, kapcsolja be az Ügyféltanúsítvány használata beállítást.
   • Váltson a használni kívánt EAP hitelesítési protokoll módszerek között . A EAP módszer kiválasztása az adott biztonsági követelményektől, infrastruktúrától és ügyfélképességektől függ. EAP módszerek elengedhetetlenek a biztonságos és hitelesített hálózati hozzáférés engedélyezéséhez.