Az egyes eszközökhöz és a csatlakoztatott perifériákhoz hozzáadhat Wi-Fi-802.1X/802.1X vagy HTTPS tanúsítványokat.
Tanúsítványokat az eszköz helyi webes felületéről adhat hozzá. Alternatív megoldásként API-parancsok futtatásával is hozzáadhat tanúsítványokat. A roomos.cisco.com címen megtekintheti, hogy mely parancsok teszik lehetővé tanúsítványok hozzáadását.
Szolgáltatástanúsítványok és megbízható hitelesítésszolgáltatók
TLS (Transport Layer Security) használata esetén szükség lehet a tanúsítvány érvényesítésére. A szerver vagy az ügyfél megkövetelheti, hogy a készülék a kommunikáció beállítása előtt érvényes tanúsítványt mutasson be.
A tanúsítványok olyan szövegfájlok, amelyek az eszköz hitelességét ellenőrzik. Ezeket a tanúsítványokat egy megbízható hitelesítésszolgáltatónak (CA) kell aláírnia. A tanúsítványok aláírásának ellenőrzéséhez a megbízható hitelesítésszolgáltatók listájának az eszközön kell lennie. A listának tartalmaznia kell az összes hitelesítésszolgáltatót, amely szükséges mind az audit naplózáshoz, mind az egyéb kapcsolatokhoz szükséges tanúsítványok ellenőrzéséhez.
A tanúsítványokat a következő szolgáltatásokhoz használják: Https szerver, SIP, IEEE 802.1X és audit naplózás. Az eszközön több tanúsítvány is tárolható, de egyszerre csak egy tanúsítvány van engedélyezve az egyes szolgáltatásokhoz.
A RoomOS 2023. októberi és későbbi verzióiban, amikor hozzáad egy CA-tanúsítványt egy eszközhöz, akkor azt a Room Navigatorra is alkalmazni fogja, ha csatlakoztatva van. A korábban hozzáadott CA-tanúsítványok egy csatlakoztatott Room Navigatorral való szinkronizálásához újra kell indítania az eszközt. Ha nem szeretné, hogy a perifériák ugyanazokat a tanúsítványokat kapják, mint az eszköz, amelyhez csatlakoznak, állítsa a Perifériák biztonsági tanúsítványai SyncToPeripherals konfigurációt False értékre.
A korábban tárolt tanúsítványok nem törlődnek automatikusan. A CA-tanúsítvánnyal rendelkező új fájl bejegyzései hozzá vannak fűzve a meglévő listához. |
Wi-Fi-kapcsolathoz
Javasoljuk, hogy adjon hozzá egy megbízható CA-tanúsítványt minden Board, Desk vagy Room sorozatú eszközhöz, ha a hálózat WPA-EAP hitelesítést használ. Ezt minden egyes eszközön külön kell megtennie, mielőtt Wi-Fi-kapcsolatot létesítene.
A Wi-Fi-kapcsolat tanúsítványainak hozzáadásához a következő fájlokra van szükség:
-
CA-tanúsítványok listája (fájlformátum: .PEM)
-
Tanúsítvány (fájlformátum: .PEM)
-
Titkos kulcs, vagy külön fájlként, vagy ugyanabban a fájlban, mint a tanúsítvány (fájlformátum: .PEM)
-
Jelszó (csak akkor szükséges, ha a privát kulcs titkosított)
A tanúsítvány és a privát kulcs ugyanabban a fájlban tárolódik az eszközön. Ha a hitelesítés sikertelen, a kapcsolat nem jön létre.
A privát kulcs és a jelszó nem vonatkozik a csatlakoztatott perifériákra. |
Tanúsítványok hozzáadása Board, Desk és Room sorozatú eszközökön
1 |
A vásárlói nézetben lépjünk https://admin.webex.com az Eszközök oldalra, és válasszuk ki a készüléket a listából. Lépjen a Támogatás elemre, és indítsa el a Helyi eszközvezérlőt. Ha beállított egy helyi rendszergazda felhasználót az eszközön, közvetlenül hozzáférhet a webinterfészhez egy webböngésző megnyitásával, és a http(s):// beírásával. |
2 |
Keresse meg a és töltse fel a CA-gyökértanúsítvány(oka) t. |
3 |
Az openssl-ben generáljunk egy privát kulcsot és tanúsítványkérelmet. A tanúsítványkérelem tartalmának másolása. Ezután illessze be, hogy kérje a szervertanúsítványt a hitelesítésszolgáltatótól (CA). |
4 |
Töltse le a hitelesítésszolgáltatója által aláírt szervertanúsítványt. Győződjön meg róla, hogy .PEM formátumú. |
5 |
Keresse meg a és töltse fel a privát kulcsot és a szerver tanúsítványát. |
6 |
Engedélyezze az éppen hozzáadott tanúsítványhoz használni kívánt szolgáltatásokat. |
Egyszerű tanúsítvány-beiktatási protokoll (SCEP)
Az SCEP (Simple Certificate Enrollment Protocol) automatizált mechanizmust biztosít az eszközök 802.1X hitelesítéséhez használt tanúsítványok regisztrálására és frissítésére. A SCEP lehetővé teszi, hogy manuális beavatkozás nélkül fenntartsa az eszköz biztonságos hálózatokhoz való hozzáférését.
-
Amikor az eszköz új, vagy gyári alaphelyzetbe állították vissza, hálózati hozzáférésre van szüksége az SCEP URL eléréséhez. IP cím megszerzéséhez az eszköznek 802.1X nélkül kell csatlakoznia a hálózathoz.
-
Ha vezeték nélküli regisztrációs SSID-t használ, a hálózattal való kapcsolat konfigurálásához végig kell haladnia a beléptetési képernyőn.
-
Miután csatlakozott a szolgáltató hálózathoz, az eszköznek nem kell egy adott beléptetési képernyőn lennie ebben a szakaszban.
-
Az összes telepítés illesztése érdekében az SCEP Enrollment xAPI-k nem tárolják az eszköz tanúsítványának aláírására használt hitelesítésszolgáltatói tanúsítványt. A kiszolgáló hitelesítéséhez a kiszolgáló tanúsítványának érvényesítéséhez használt CA-tanúsítványt hozzá kell adni az xCommand Security Certificates CA Add funkcióval.
Előfeltételek
A következő információra van szüksége:
-
SCEP-kiszolgáló URL-címe.
-
Az aláíró CA (Certificate Authority) tanúsítvány ujjlenyomata.
-
A regisztrálni kívánt tanúsítvány adatai. Ez alkotja a tanúsítvány Tárgynevét .
-
Általános név
-
Országnév
-
Szervezetnév
-
-
Az SCEP-kiszolgáló kihívásjelszava, ha az SCEP-kiszolgálót OTP vagy megosztott titkos kód megkövetelésére konfigurálta.
Egy évig érvényes tanúsítványkérelmet küldünk a tanúsítvány lejáratára. A kiszolgálóoldali házirend megváltoztathatja a lejárati dátumot a tanúsítvány-aláírás során.
Ethernet-kapcsolat
Amikor egy eszköz hálózathoz csatlakozik, győződjön meg arról, hogy hozzá tud férni az SCEP szerverhez. Az eszköznek 802 nélkül kell csatlakoznia1x egy hálózathoz az IP-cím megszerzéséhez. Lehet, hogy az eszköz MAC-címét meg kell adni a szolgáltató hálózatnak az IP-cím megszerzéséhez. A MAC-cím a felhasználói felületen vagy az eszköz hátoldalán lévő címkén található.
xCommand biztonsági tanúsítványok és szolgáltatások regisztrációs SCEP kérés
Amint az SCEP szerver visszaküldi az aláírt eszköztanúsítványt, aktiválja a 802.1X-et, majd indítsa újra az eszközt.
xCommand biztonsági tanúsítványok szolgáltatások aktiválása
A tanúsítvány aktiválása után indítsa újra az eszközt.
Vezeték nélküli kapcsolat
Amikor egy eszköz csatlakoztatva van egy vezeték nélküli hálózathoz, győződjön meg arról, hogy hozzá tud férni az SCEP szerverhez.
xCommand biztonsági tanúsítványok és szolgáltatások regisztrációs SCEP kérés
A készülék az aláírt tanúsítványt az SCEP-kiszolgálóról kapja.
Az aláírt tanúsítvány aktiválása:
xCommand biztonsági tanúsítványok szolgáltatások aktiválása
xCommand hálózati Wi-Fi konfigurálása
Alapértelmezés szerint a Wi-Fi konfiguráció kihagyja a kiszolgáló érvényesítési ellenőrzését. Ha csak egyirányú hitelesítés szükséges, akkor az AllowMissingCA alapértelmezés szerint maradjon True.
A kiszolgáló érvényesítésének kényszerítéséhez győződjön meg arról, hogy az AllowMissingCA opcionális paraméter False értékre van állítva. Ha a kapcsolat szolgáltatásérvényesítési hibák miatt nem hozható létre, ellenőrizze, hogy a megfelelő hitelesítésszolgáltató került-e hozzáadásra a kiszolgálótanúsítvány ellenőrzéséhez, amely eltérhet az eszköz tanúsítványától.
API-leírások
Szerepkör: Rendszergazda, integrátor
xCommand biztonsági tanúsítványok és szolgáltatások regisztrációs SCEP kérés
Aláírt eszköztanúsítványt kér és tölt le
Paraméterek:
-
URL(r): <S: 0, 128>
A tanúsítvány regisztrálásához használt SCEP-kiszolgáló URL-címe.
-
Ujjlenyomat (r): <S: 0, 128>
A kiállító hitelesítésszolgáltató ujjlenyomata, amely aláírja az X509-kérelmet.
-
ChallengePassword: <S: 0, 128>
Az SCEP-kiszolgáló által beállított megosztott titkos jelszó.
-
Általános név(r): <S: 0, 128>
-
Ország neve: <S: 0, 128>
-
Szervezetnév: <S: 0, 128>
-
SanDns[5]: <S: 0, 128>
-
SanEmail[5]: <S: 0, 128>
-
SanIp[5]: <S: 0, 128>
-
SanUri[5]: <S: 0, 128>
xCommand Biztonsági tanúsítványok Szolgáltatások Regisztrációs SCEP megújítási kérelem
Hozzon létre vagy frissítsen egy olyan automatikus profilt, amely az adott hitelesítésszolgáltató által a tanúsítványok lejárta előtt kiadott összes tanúsítványra vonatkozik
Paraméterek:
-
Ujjlenyomat (r): <S: 0, 128>
A tanúsítványokat aláíró kibocsátó hitelesítésszolgáltató ujjlenyomata.
-
URL(r): <S: 0, 128>
A tanúsítványok megújításához használt SCEP-kiszolgáló URL-címe.
xCommand Biztonsági tanúsítványok Szolgáltatások Regisztráció SCEP megújítás törlése
Távolítsa el az adott hitelesítésszolgáltató autorenevelt profilját. Ez leállítja az ezen hitelesítésszolgáltató által aláírt tanúsítványok automatikus megtekintését
Paraméterek:
-
Ujjlenyomat (r): <S: 0, 128>
A kibocsátó hitelesítésszolgáltató ujjlenyomata az eltávolításhoz.
xCommand Biztonsági tanúsítványok Szolgáltatások Regisztrációs SCEP megújítási lista
A jelenleg használt automatikus megújítási profil kilistázása.