Tanúsítványokat az eszköz helyi webinterfészéről adhat hozzá. Másik lehetőségként tanúsítványokat is hozzáadhat API parancsok futtatásával. Ha meg szeretné tudni, hogy mely parancsok teszik lehetővé tanúsítványok hozzáadását, lásd: roomos.cisco.com .

Szolgáltatástanúsítványok és megbízható hitelesítésszolgáltatók

TLS (Transport Layer Security) használata esetén szükség lehet a tanúsítvány ellenőrzésére. A kiszolgáló vagy az ügyfél megkövetelheti, hogy a kommunikáció létrejötte előtt az eszköz érvényes tanúsítványt mutasson be.

A tanúsítványok az eszköz hitelességét igazoló szövegfájlok. Ezeket a tanúsítványokat egy megbízható hitelesítésszolgáltatónak (CA – Certificate Authority) kell aláírnia. A tanúsítványok aláírásának ellenőrzéséhez a megbízható hitelesítésszolgáltatók listájának az eszközön kell lennie. A listában minden olyan hitelesítésszolgáltatónak szerepelnie kell, amelyre az auditnaplózáshoz és a többi kapcsolathoz tartozó tanúsítványok ellenőrzéséhez szükség van.

A rendszer a következő szolgáltatásokhoz használ tanúsítványokat: HTTPS-kiszolgáló, SIP, IEEE 802.1X és auditnaplózás. Több tanúsítvány is tárolható az eszközön, de egy szolgáltatáshoz egyszerre csak egy tanúsítvány lehet aktiválva.

A RoomOS 2023. októberi és újabb verzióiban, amikor hitelesítésszolgáltatói tanúsítványt ad hozzá egy eszközhöz, az a Room Navigatorra is vonatkozik, ha van csatlakoztatva. Ha szinkronizálni szeretné a korábban hozzáadott hitelesítésszolgáltatói tanúsítványokat egy csatlakoztatott Room Navigatorral, újra kell indítania az eszközt. Ha nem szeretné, hogy a perifériák ugyanazokat a tanúsítványokat kapják meg, mint a csatlakoztatott eszköz, állítsa a Perifériák biztonsági tanúsítványai SyncToPeripherals konfigurációt False (Hamis ) értékre .

A korábban tárolt tanúsítványokat a rendszer nem törli automatikusan. Az CA-tanúsítványokat tartalmazó új fájl bejegyzéseit a rendszer hozzáfűzi a meglévő listához.

A Wi-Fi kapcsolat érdekében

Javasoljuk, hogy minden Board tábla, Desk vagy Room sorozatú eszközhöz adjon hozzá egy megbízható hitelesítésszolgáltatói tanúsítványt, ha a hálózat WPA-EAP hitelesítést használ. Ezt egyenként kell megtennie az egyes eszközök esetében, még a Wi-Fi-hez való csatlakoztatás előtt.

Ha tanúsítványokat szeretne hozzáadni a Wi-Fi-kapcsolathoz, a következő fájlokra lesz szüksége:

  • CA-tanúsítvány-lista (fájlformátum: .PEM)

  • Tanúsítvány (fájlformátum: .PEM)

  • Titkos kulcs, vagy külön fájlként, vagy ugyanabban a fájlban, amelyben a tanúsítvány is van (fájlformátum: .PEM)

  • Jelszó (csak akkor szükséges, ha a titkos kulcs titkosítva van)

A tanúsítvány és a titkos kulcs ugyanabban a fájlban tárolódik az eszközön. Ha a hitelesítés sikertelen, a kapcsolat nem jön létre.

A rendszer nem alkalmazza a titkos kulcsot és a jelszót a csatlakoztatott perifériákra.

Tanúsítványok hozzáadása fedélzeti, asztali és Room sorozatú eszközökhöz

1

A https://admin.webex.com ügyfél nézetében lépjen az Eszközök lapra, és válassza ki az eszközt a listából. Lépjen a Támogatás elemre, és indítsa el a Helyi eszközvezérlők alkalmazást .

Ha beállított egy helyi Rendszergazda felhasználót az eszközhöz, közvetlenül elérheti a helyi webinterfészt egy webböngésző megnyitásával és a http(s)://<végpont IP-címe vagy gazdagép neve> beírásával.

2

Menjen a Biztonság > Tanúsítványok > Egyéni > Tanúsítvány hozzáadása oldalra, és töltse fel a legfelső szintű CA-tanúsítvány(oka)t.

3

OpenSSL esetén hozzon létre egy titkos kulcsot és egy tanúsítványkérést. Másolja le a tanúsítványkérés tartalmát. Ezután illessze be, így kérve kiszolgálótanúsítványt a hitelesítésszolgáltatótól (CA).

4

Töltse le a hitelesítésszolgáltató által aláírt kiszolgálótanúsítványt. Győződjön meg arról, hogy a mappában van. PEM formátum.

5

Menjen a Biztonság > Tanúsítványok > Szolgáltatások > Tanúsítvány hozzáadása oldalra, és töltse fel a titkos kulcsot és a kiszolgálótanúsítványt.

6

Engedélyezze az imént hozzáadott tanúsítványhoz használni kívánt szolgáltatásokat.

Egyszerű tanúsítványigénylési protokoll (SCEP)

Az SCEP (Simple Certificate Enrollment Protocol) automatizált mechanizmust biztosít az eszközökön használt tanúsítványok igényléséhez és frissítéséhez. Az SCEP lehetővé teszi az eszköz biztonságos hálózatokhoz való hozzáférésének manuális beavatkozás nélküli fenntartását.

  • Ha az eszköz új, vagy gyári alaphelyzetbe állították, hálózati hozzáférésre van szüksége az SCEP URL-cím eléréséhez. A készüléket 802.1X nélkül kell csatlakoztatni a hálózathoz a IP cím megszerzéséhez.

  • Ha vezeték nélküli regisztrációs SSID használ, át kell mennie a felvételi képernyőkön a hálózati kapcsolat konfigurálásához.

  • Miután csatlakozott a kiépítési hálózathoz, az eszköznek ebben a szakaszban nem kell egy adott bevezetési képernyőn lennie.

  • Az összes üzemelő példány illeszkedése érdekében az SCEP-regisztráció xAPI-k nem tárolják az eszköztanúsítvány aláírásához használt hitelesítésszolgáltatói tanúsítványt. A kiszolgálóhitelesítéshez a kiszolgáló tanúsítványának érvényesítéséhez használt hitelesítésszolgáltatói tanúsítványt hozzá kell adni az xCommand Security Certificates CA Add parancshoz .

Előfeltételek

A következő információkra van szükség:

  • SCEP-kiszolgáló URL-címe.

  • Az aláíró hitelesítésszolgáltatói (Certificate Authority) tanúsítvány ujjlenyomata.

  • Az igényelni kívánt tanúsítvány adatai. Ez alkotja a tanúsítvány tulajdonosának nevét .

    • Köznapi név

    • Ország neve

    • Állam vagy tartomány neve

    • Helység neve

    • Szervezet neve

    • Szervezeti egység

  • A tulajdonos neve a következőképpen lesz rendezve: /C= /ST= /L= /O= /OU= /CN=

  • Az SCEP-kiszolgáló kérdésjelszava, ha úgy konfigurálta az SCEP-kiszolgálót, hogy egyszeri jelszava vagy közös titkos kulcsa legyen.

A tanúsítványkérelem kulcspárjához szükséges kulcsméretet a következő paranccsal állíthatja be. Az alapértelmezett érték 2048.

 xConfiguration biztonsági beléptetési kulcs mérete: <2048, 3072, 4096>

A tanúsítvány lejáratához egy évig érvényes tanúsítványkérelmet küldünk. A kiszolgálóoldali házirend módosíthatja a lejárati dátumot a tanúsítvány aláírása során.

Ethernet-kapcsolat

Amikor egy eszköz hálózathoz csatlakozik, győződjön meg arról, hogy hozzáfér az SCEP-kiszolgálóhoz. A készüléket 802.1x szabványt nem tartalmazó hálózathoz kell csatlakoztatni a IP cím megszerzéséhez. Előfordulhat, hogy az eszköz MAC címét meg kell adni a kiépítési hálózatnak a IP cím beszerzéséhez. Az MAC cím megtalálható a felhasználói felületen vagy a készülék hátulján található címkén.

Miután csatlakoztatta az eszközt a hálózathoz, SSH-kapcsolaton keresztül rendszergazdaként elérheti az eszközt a TSH eléréséhez, majd a következő parancs futtatásával elküldheti a regisztrációs SCEP-kérelmet: 

xCommand biztonsági tanúsítványok Szolgáltatások beléptetése SCEP-kérés

Miután az SCEP-kiszolgáló visszaadja az aláírt eszköztanúsítványt, aktiválja a 802.1X szabványt.

Aktiválja az aláírt tanúsítványt:

xCommand biztonsági tanúsítvány szolgáltatások aktiválása

Indítsa újra az eszközt a tanúsítvány aktiválása után.

Vezeték nélküli kapcsolat

Amikor egy eszköz vezeték nélküli hálózathoz csatlakozik, győződjön meg arról, hogy hozzáfér az SCEP-kiszolgálóhoz.

Miután csatlakoztatta az eszközt a hálózathoz, SSH-kapcsolaton keresztül rendszergazdaként elérheti az eszközt a TSH eléréséhez, majd a következő parancs futtatásával elküldheti a regisztrációs SCEP-kérelmet: 

xCommand biztonsági tanúsítványok Szolgáltatások beléptetése SCEP-kérés

Az eszköz megkapja az aláírt tanúsítványt az SCEP-kiszolgálótól.

Aktiválja az aláírt tanúsítványt: 

xCommand biztonsági tanúsítvány szolgáltatások aktiválása

Az aktiválás után konfigurálnia kell a Wi-Fi hálózatot EAP-TLS hitelesítéssel. 

xCommand hálózati wifi konfigurálása

Alapértelmezés szerint a Wi-Fi konfiguráció kihagyja a kiszolgáló érvényesítési ellenőrzéseit. Ha csak egyirányú hitelesítésre van szükség, tartsa az AllowMissingCA alapértelmezett értékét Igaz értéken.

A kiszolgáló érvényesítésének kényszerítéséhez győződjön meg arról, hogy az AllowMissingCA választható paraméter értéke Hamis. Ha szolgáltatásérvényesítési hibák miatt nem hozható létre kapcsolat, ellenőrizze, hogy a megfelelő hitelesítésszolgáltató lett-e hozzáadva a kiszolgálói tanúsítvány ellenőrzéséhez, amely eltérhet az eszköz tanúsítványától.

API leírások

Szerep: Rendszergazda, Integrátor

xCommand biztonsági tanúsítványok Szolgáltatások beléptetése SCEP-kérés

CSR küld egy adott SCEP-kiszolgálónak aláírásra. A CSR SubjectName paraméterek felépítése a következő sorrendben történik: C, ST, L, O, OUs, CN.

Paraméterek:

  • URL(r): <S: 0, 256>

    Az SCEP-kiszolgáló URL-címe.

  • Ujjlenyomat(r): <S: 0, 128>

    Hitelesítésszolgáltatói tanúsítvány ujjlenyomata, amely aláírja az SCEP-kérelem CSR.

  • Köznév (r): <S: 0, 64>

    "/CN=" hozzáadása a CSR tulajdonos nevéhez.

  • ChallengePassword: <S: 0, 256>

    OTP vagy megosztott titkos kulcs az SCEP-kiszolgálóról az aláíráshoz való hozzáféréshez.

  • Országnév: <S: 0, 2>

    "/C=" hozzáadása a CSR tulajdonos nevéhez.

  • StateOrProvinceName: <S: 0, 64>

    "/ST=" hozzáadása a CSR tulajdonos nevéhez.

  • Helységnév: <S: 0, 64>

    "/L=" hozzáadása a CSR tulajdonos nevéhez.

  • Szervezet neve: <S: 0, 64>

    "/O=" hozzáadása a CSR tulajdonos nevéhez.

  • Szervezeti egység[5]: <S: 0, 64>

    Legfeljebb 5 "/OU=" paramétert adhat hozzá a CSR tulajdonos nevéhez.

  • SanDns[5]: <S: 0, 64>

    Legfeljebb 5 DNS-paramétert ad hozzá a CSR tulajdonos alternatív nevéhez.

  • SanEmail[5]: <S: 0, 64>

    Legfeljebb 5 e-mail paramétert ad hozzá a CSR Tárgy alternatív nevéhez.

  • SanIp[5]: <Sz: 0, 64>

    Legfeljebb 5 IP-paramétert ad hozzá a CSR tulajdonos alternatív nevéhez.

  • SanUri[5]: < sz: 0, 64>

    Legfeljebb 5 URI-paramétert ad hozzá a CSR Tulajdonos alternatív nevéhez.

xCommand biztonsági tanúsítványok Szolgáltatások beléptetési profiljai Törlés

Töröl egy beléptetési profilt, hogy a továbbiakban ne újítsa meg a tanúsítványokat.

Paraméterek:

  • Ujjlenyomat(r): <S: 0, 128>

    A törölt tanúsítvány egyedi azonosítója. Az ujjlenyomat-azonosítót a következő futtatásával kaphatja meg:

     xCommand biztonsági tanúsítványok szolgáltatásai Mutasd

xCommand biztonsági tanúsítványok szolgáltatások beléptetési profiljainak listája

Felsorolja a tanúsítvány megújításához szükséges beléptetési profilokat.

 xCommand biztonsági tanúsítványok Szolgáltatások beléptetése SCEP-profilok beállítása Ujjlenyomat(r): <S: 0, 128> URL(r): <S: 0, 256>

Új tanúsítvány hozzáadása

Megújulás

 xCommand biztonsági tanúsítványok Szolgáltatások beléptetése SCEP-profilok beállítása

A tanúsítvány automatikus megújításához az eszköznek hozzá kell férnie az SCEP URL-címéhez, amely újra aláírhatja a tanúsítványt.

Naponta egyszer a készülék ellenőrzi, hogy vannak-e olyan tanúsítványok, amelyek 45 nap múlva lejárnak. Az eszköz ezután megpróbálja megújítani ezeket a tanúsítványokat, ha a kiállítójuk megfelel egy profilnak.

MEGJEGYZÉS: A rendszer ellenőrzi az összes eszköztanúsítvány megújítását, még akkor is, ha a tanúsítványt eredetileg nem SCEP használatával regisztrálták.

Navigátor

  1. Közvetlen párosítás: Az igényelt tanúsítványok "párosítási" tanúsítványként aktiválhatók.

  2. Távoli párosítás: Mondja meg a navigátornak, hogy regisztráljon egy új SCEP-tanúsítványt a periféria azonosítójával:

    xCommand perifériák Biztonsági tanúsítványok Szolgáltatások beléptetése SCEP-kérés 

    A regisztrációs profilok automatikusan szinkronizálódnak a párosított kezelővel.

  3. Önálló navigátor: Ugyanaz, mint a kodekek regisztrálása