Tanúsítványokat az eszköz helyi webinterfészéről adhat hozzá. Másik lehetőségként tanúsítványokat is hozzáadhat a API parancsok futtatásával. Ha meg szeretné tudni, hogy mely parancsok teszik lehetővé tanúsítványok hozzáadását, olvassa el a roomos.cisco.com .

Szolgáltatástanúsítványok és megbízható hitelesítésszolgáltatók

TLS (Transport Layer Security) használata esetén szükség lehet a tanúsítvány ellenőrzésére. A kiszolgáló vagy az ügyfél megkövetelheti, hogy a kommunikáció létrejötte előtt az eszköz érvényes tanúsítványt mutasson be.

A tanúsítványok az eszköz hitelességét igazoló szövegfájlok. Ezeket a tanúsítványokat egy megbízható hitelesítésszolgáltatónak (CA – Certificate Authority) kell aláírnia. A tanúsítványok aláírásának ellenőrzéséhez a megbízható hitelesítésszolgáltatók listájának az eszközön kell lennie. A listában minden olyan hitelesítésszolgáltatónak szerepelnie kell, amelyre az auditnaplózáshoz és a többi kapcsolathoz tartozó tanúsítványok ellenőrzéséhez szükség van.

A rendszer a következő szolgáltatásokhoz használ tanúsítványokat: HTTPS-kiszolgáló, SIP, IEEE 802.1X és auditnaplózás. Több tanúsítvány is tárolható az eszközön, de egy szolgáltatáshoz egyszerre csak egy tanúsítvány lehet aktiválva.

A RoomOS 2023. októberi és újabb verzióiban, amikor hitelesítésszolgáltatói tanúsítványt ad hozzá egy eszközhöz, az a Room Navigatorra is vonatkozik, ha van csatlakoztatva. Ha szinkronizálni szeretné a korábban hozzáadott hitelesítésszolgáltatói tanúsítványokat egy csatlakoztatott Room Navigatorral, újra kell indítania az eszközt. Ha nem szeretné, hogy a perifériák ugyanazokat a tanúsítványokat kapják meg, mint a csatlakoztatott eszköz, állítsa a Perifériák biztonsági tanúsítványai SyncToPeripherals konfigurációt False (Hamis ) értékre .

A korábban tárolt tanúsítványokat a rendszer nem törli automatikusan. Az CA-tanúsítványokat tartalmazó új fájl bejegyzéseit a rendszer hozzáfűzi a meglévő listához.

Wi-Fi kapcsolat esetén

Javasoljuk, hogy minden Board, Desk vagy Room sorozatú eszközhöz adjon hozzá egy megbízható hitelesítésszolgáltatói tanúsítványt, ha a hálózat WPA-EAP hitelesítést használ. Ezt egyenként kell megtennie az egyes eszközök esetében, még a Wi-Fi-hez való csatlakoztatás előtt.

Ha tanúsítványokat szeretne hozzáadni a Wi-Fi-kapcsolathoz, a következő fájlokra lesz szüksége:

  • CA-tanúsítvány-lista (fájlformátum: .PEM)

  • Tanúsítvány (fájlformátum: .PEM)

  • Titkos kulcs, vagy külön fájlként, vagy ugyanabban a fájlban, amelyben a tanúsítvány is van (fájlformátum: .PEM)

  • Jelszó (csak akkor szükséges, ha a titkos kulcs titkosítva van)

A tanúsítvány és a titkos kulcs ugyanabban a fájlban tárolódik az eszközön. Ha a hitelesítés sikertelen, a kapcsolat nem jön létre.

A tanúsítvány és annak titkos kulcsa nem vonatkozik a csatlakoztatott perifériákra.

Tanúsítványok hozzáadása Board, Desk és Room sorozatú eszközökhöz

1

A https://admin.webex.com ügyfél nézetében lépjen az Eszközök lapra, és válassza ki az eszközt a listából. Lépjen a Támogatás elemre, és indítsa el a Helyi eszközvezérlők alkalmazást .

Ha beállított egy helyi Rendszergazda felhasználót az eszközhöz, közvetlenül elérheti a helyi webinterfészt egy webböngésző megnyitásával és a http(s)://<végpont IP-címe vagy gazdagép neve> beírásával.

2

Menjen a Biztonság > Tanúsítványok > Egyéni > Tanúsítvány hozzáadása oldalra, és töltse fel a legfelső szintű CA-tanúsítvány(oka)t.

3

OpenSSL esetén hozzon létre egy titkos kulcsot és egy tanúsítványkérést. Másolja le a tanúsítványkérés tartalmát. Ezután illessze be, így kérve kiszolgálótanúsítványt a hitelesítésszolgáltatótól (CA).

4

Töltse le a hitelesítésszolgáltató által aláírt kiszolgálótanúsítványt. Győződjön meg arról, hogy a mappában van. PEM formátum.

5

Menjen a Biztonság > Tanúsítványok > Szolgáltatások > Tanúsítvány hozzáadása oldalra, és töltse fel a titkos kulcsot és a kiszolgálótanúsítványt.

6

Engedélyezze az imént hozzáadott tanúsítványhoz használni kívánt szolgáltatásokat.

Tanúsítvány-aláírási kérelem létrehozása (CSR)

A rendszergazdáknak tanúsítvány-aláírási kérelmet (CSR) kell létrehozniuk a Control Hubból egy felhőben regisztrált Board, Desk vagy Room sorozatú eszközhöz.

Kövesse az alábbi lépéseket a CSR létrehozásához, és töltsön fel egy aláírt tanúsítványt az eszközére:

  1. A Control Hub ügyfél nézetében lépjen az Eszközök lapra, és válassza ki az eszközt a listából.
  2. Lépjen a Műveletek > xCommand futtatása > Biztonsági > tanúsítványok > CSR > Létrehozás .
  3. Adja meg a szükséges tanúsítványadatokat, majd válassza a Végrehajtás lehetőséget.
  4. Másolja a teljes szöveget a ----TANÚSÍTVÁNYKÉRELEM KEZDÉSE---- és ----TANÚSÍTVÁNYKÉRELEM VÉGE----.
  5. A CSR aláírásához használjon egy tetszőleges Certificate Authority (CA) karaktert.
  6. Exportálja az aláírt tanúsítványt PEM (Base64 kódolású) formátumban.
  7. Nyissa meg az aláírt tanúsítványfájlt egy szövegszerkesztőben (például a Jegyzettömbben), és másolja a teljes szöveget a ----BEGIN CERTIFICATE---- és a ----END CERTIFICATE----.
  8. A Control Hubban lépjen az Eszközök elemre, > válassza ki az eszközt > Műveletek > xCommand futtatása > Biztonsági >tanúsítványok futtatása > CSR > hivatkozást.
  9. Illessze be a másolt tanúsítvány tartalmát a Törzs szakaszba, és válassza a Végrehajtás lehetőséget.
  10. Frissítse az oldalt annak ellenőrzéséhez, hogy a tanúsítvány megjelenik-e a Meglévő tanúsítvány területen.

Egyszerű tanúsítványigénylési protokoll (SCEP)

Az SCEP (Simple Certificate Enrollment Protocol) automatizált mechanizmust biztosít az eszközökön használt tanúsítványok igényléséhez és frissítéséhez. Az SCEP lehetővé teszi az eszköz biztonságos hálózatokhoz való hozzáférésének manuális beavatkozás nélküli fenntartását.

  • Ha az eszköz új vagy gyári alaphelyzetbe állították, hálózati hozzáférésre van szüksége az SCEP URL-cím eléréséhez. A készüléket 802.1X nélkül kell csatlakoztatni a hálózathoz a IP cím megszerzéséhez.

  • Ha vezeték nélküli regisztrációt használ SSID, menjen végig a felvételi képernyőkön a hálózati kapcsolat konfigurálásához.

  • Miután csatlakozott a kiépítési hálózathoz, az eszköznek nem kell egy adott bevezetési képernyőn lennie.

  • Az összes üzemelő példányhoz való illeszkedés érdekében az SCEP-regisztráció xAPI-k nem tárolják az eszköztanúsítvány aláírásához használt hitelesítésszolgáltatói tanúsítványt. A kiszolgáló hitelesítéséhez a kiszolgáló tanúsítványának érvényesítéséhez használt hitelesítésszolgáltatói tanúsítványt hozzá kell adni az xCommand Security Certificates CA Add parancshoz .

Előfeltételek

A következő információkra van szükség:

  • SCEP-kiszolgáló URL-címe.

  • Az aláíró hitelesítésszolgáltatói (Certificate Authority) tanúsítvány ujjlenyomata.

  • Az igényelni kívánt tanúsítvány adatai. Ez alkotja a tanúsítvány tulajdonosának nevét .

    • Köznapi név

    • Ország neve

    • Állam vagy tartomány neve

    • Helység neve

    • Szervezet neve

    • Szervezeti egység

  • A tulajdonos neve a következőképpen lesz rendezve: /C= /ST= /L= /O= /OU= /CN=

  • Az SCEP-kiszolgáló kérdésjelszava, ha úgy konfigurálta az SCEP-kiszolgálót, hogy egyszeri jelszava vagy közös titkos kulcsa legyen.

A tanúsítványkérelem kulcspárjához szükséges kulcsméretet a következő paranccsal állíthatja be. Az alapértelmezett érték 2048.

 xConfiguration biztonsági beléptetési kulcs mérete: <2048, 3072, 4096>

A tanúsítvány lejáratához egy évig érvényes tanúsítványkérelmet küldünk. A kiszolgálóoldali házirend módosíthatja a lejárati dátumot a tanúsítvány aláírása során.

Ethernet-kapcsolat

Amikor egy eszköz hálózathoz csatlakozik, győződjön meg arról, hogy hozzáfér az SCEP-kiszolgálóhoz. A készüléket 802.1x szabványt nem tartalmazó hálózathoz kell csatlakoztatni a IP cím megszerzéséhez. Előfordulhat, hogy az eszköz MAC címét meg kell adni a kiépítési hálózatnak a IP cím beszerzéséhez. A MAC cím a felhasználói felületen vagy az eszköz hátulján található címkén található.

Miután csatlakoztatta az eszközt a hálózathoz, SSH-kapcsolaton keresztül rendszergazdaként elérheti az eszközt a TSH eléréséhez, majd a következő parancs futtatásával elküldheti a regisztrációs SCEP-kérelmet: 

xCommand biztonsági tanúsítványok Szolgáltatások beléptetése SCEP-kérés

Miután az SCEP-kiszolgáló visszaadja az aláírt eszköztanúsítványt, aktiválja a 802.1X szabványt.

Aktiválja az aláírt tanúsítványt:

xCommand biztonsági tanúsítvány szolgáltatások aktiválása

Indítsa újra az eszközt a tanúsítvány aktiválása után.

Vezeték nélküli kapcsolat

Amikor egy eszköz vezeték nélküli hálózathoz csatlakozik, győződjön meg arról, hogy hozzáfér az SCEP-kiszolgálóhoz.

Miután csatlakoztatta az eszközt a hálózathoz, SSH-kapcsolaton keresztül rendszergazdaként elérheti az eszközt a TSH eléréséhez, majd a következő parancs futtatásával elküldheti a regisztrációs SCEP-kérelmet: 

xCommand biztonsági tanúsítványok Szolgáltatások beléptetése SCEP-kérés

Az eszköz megkapja az aláírt tanúsítványt az SCEP-kiszolgálótól.

Aktiválja az aláírt tanúsítványt: 

xCommand biztonsági tanúsítvány szolgáltatások aktiválása

Az aktiválás után konfigurálnia kell a Wi-Fi hálózatot EAP-TLS hitelesítéssel. 

xCommand hálózati wifi konfigurálása

Alapértelmezés szerint a Wi-Fi konfiguráció kihagyja a kiszolgáló érvényesítési ellenőrzéseit. Ha csak egyirányú hitelesítésre van szükség, tartsa az AllowMissingCA alapértelmezett értékét Igaz értéken.

A kiszolgáló érvényesítésének kényszerítéséhez győződjön meg arról, hogy az AllowMissingCA választható paraméter értéke Hamis. Ha szolgáltatásérvényesítési hibák miatt nem hozható létre kapcsolat, ellenőrizze, hogy a megfelelő hitelesítésszolgáltató lett-e hozzáadva a kiszolgálói tanúsítvány ellenőrzéséhez, amely eltérhet az eszköz tanúsítványától.

API leírások

Szerep: Rendszergazda, Integrátor

xCommand biztonsági tanúsítványok Szolgáltatások beléptetése SCEP-kérés

CSR küld egy adott SCEP-kiszolgálónak aláírásra. A CSR SubjectName paraméterek felépítése a következő sorrendben történik: C, ST, L, O, OUs, CN.

Paraméterek:

  • URL(r): <S: 0, 256>

    Az SCEP-kiszolgáló URL-címe.

  • Ujjlenyomat(r): <S: 0, 128>

    Hitelesítésszolgáltatói tanúsítvány ujjlenyomata, amely aláírja az SCEP-kérelmet CSR.

  • Köznév (r): <S: 0, 64>

    "/CN=" hozzáadása a CSR tulajdonos nevéhez.

  • ChallengePassword: <S: 0, 256>

    OTP vagy megosztott titkos kulcs az SCEP-kiszolgálóról az aláíráshoz való hozzáféréshez.

  • Országnév: <S: 0, 2>

    "/C=" hozzáadása a CSR tulajdonos nevéhez.

  • StateOrProvinceName: <S: 0, 64>

    "/ST=" hozzáadása a CSR tulajdonos nevéhez.

  • Helységnév: <S: 0, 64>

    "/L=" hozzáadása a CSR tulajdonos nevéhez.

  • Szervezet neve: <S: 0, 64>

    "/O=" hozzáadása a CSR tulajdonos nevéhez.

  • Szervezeti egység[5]: <S: 0, 64>

    Legfeljebb 5 "/OU=" paramétert adhat hozzá a CSR tulajdonos nevéhez.

  • SanDns[5]: <S: 0, 64>

    Legfeljebb 5 DNS paramétert ad hozzá a CSR tárgy alternatív nevéhez.

  • SanEmail[5]: <S: 0, 64>

    Legfeljebb 5 e-mail paramétert adhat hozzá a CSR tárgy alternatív nevéhez.

  • SanIp[5]: <Sz: 0, 64>

    Legfeljebb 5 IP-paramétert ad hozzá a CSR tárgy alternatív nevéhez.

  • SanUri[5]: < sz: 0, 64>

    Legfeljebb 5 URI paramétert ad hozzá a CSR Tárgy alternatív nevéhez.

xCommand biztonsági tanúsítványok Szolgáltatások beléptetési profiljai Törlés

Töröl egy beléptetési profilt, hogy a továbbiakban ne újítsa meg a tanúsítványokat.

Paraméterek:

  • Ujjlenyomat(r): <S: 0, 128>

    A CA tanúsítvány ujjlenyomata, amely azonosítja az eltávolítani kívánt profilt. A következő futtatásával megtekintheti az eltávolítható profilokat: 

    xCommand biztonsági tanúsítványszolgáltatások regisztrációs profiljainak listája

xCommand biztonsági tanúsítványszolgáltatások regisztrációs profiljainak listája

Felsorolja a tanúsítvány megújításához szükséges regisztrációs profilokat.

 xCommand biztonsági tanúsítványok szolgáltatásregisztráció SCEP profilok beállítása Ujjlenyomat(r): <S: 0, 128> URL(r): <S: 0, 256>

Adjon hozzá egy regisztrációs profilt a CA ujjlenyomat által kiállított tanúsítványokhoz, hogy a megújításhoz az adott SCEP URL-címet használhassa.

Megújítás

 xCommand biztonsági tanúsítványszolgáltatások regisztrációjának SCEP-profilkészlete

A tanúsítvány automatikus megújításához az eszköznek képesnek kell lennie hozzáférni ahhoz az SCEP URL-címhez, amely lehetővé teszi a tanúsítvány lemondását.

A készülék naponta egyszer ellenőrzi a 45 nap múlva lejáró tanúsítványokat. Az eszköz ezután megpróbálja megújítani ezeket a tanúsítványokat, ha a kibocsátójuk megegyezik egy profillal.

MEGJEGYZÉS: A rendszer minden eszköztanúsítvány megújítását ellenőrzi, még akkor is, ha a tanúsítványt eredetileg nem a SCEP használatával regisztrálták.

Navigátor

  1. Közvetlen párosítás: A regisztrált tanúsítványok „Párosítás” tanúsítványként aktiválhatók.

  2. Távoli párosítás: Utasítsa a navigátort, hogy regisztráljon egy új SCEP tanúsítványt a periféria azonosítójával:

    xCommand perifériák biztonsági tanúsítványai szolgáltatások regisztrációja SCEP kérelem 

    A regisztrációs profilok automatikusan szinkronizálódnak a párosított navigátorral.

  3. Önálló Navigator: Ugyanaz, mint a kodek regisztrációja

802.1x hitelesítés konfigurálása a Room Navigatorban

A 802.1x hitelesítést közvetlenül a Room Navigator Beállítások menüjéből állíthatja be.

A 802.1x hitelesítési szabvány különösen fontos az Ethernet hálózatok esetében, és biztosítja, hogy csak a jogosult eszközök férhessenek hozzá a hálózati erőforrásokhoz.

A hálózatban konfigurált EAP metódustól függően különböző bejelentkezési lehetőségek állnak rendelkezésre. Például:

  • TLS: Felhasználónév és jelszó nem használatos.
  • PEAP: A tanúsítványok nincsenek használatban.
  • TTLS: Mind a felhasználónév/jelszó, mind a tanúsítványok megadása kötelező; egyik sem opcionális.

Többféleképpen is megszerezheti a kliens tanúsítványt egy eszközön:

  1. PEM feltöltése: Használja a Biztonsági tanúsítványszolgáltatások hozzáadása funkciót.
  2. Hozza létre a CSR: tanúsítvány-aláírási kérelmet (CSR), írja alá, és csatolja össze biztonsági tanúsítványok használatával. CSR Létrehozás/Összekapcsolás.
  3. SCEP: Használja a biztonsági tanúsítványok szolgáltatásait az SCEP kérelmet.
  4. DHCP 43. lehetőség: Konfigurálja a tanúsítvány kézbesítését ezzel a lehetőséggel.

A 802.1x tanúsítványok beállítását és frissítését el kell végezni. párosítás előtt a Room Navigator rendszerhez való csatlakoztatását, vagy a Room Navigator gyári beállításainak visszaállítása után.

Az alapértelmezett hitelesítő adatok az admin és az üres jelszó. A API eléréssel történő tanúsítványok hozzáadásáról további információt a következő helyen talál: a API útmutató legújabb verziója .

  1. Nyissa meg a Navigátor kezelőpaneljét a jobb felső sarokban található gombra koppintva, vagy jobb oldalról húzva az ujját. Ezután koppintson Eszközbeállítások .
  2. Menj ide Hálózati kapcsolat és válassza ki Ethernet .
  3. Kapcsolja be az IEEE 802.1X használata lehetőséget.
    • Ha a hitelesítés hitelesítő adatokkal van beállítva, adja meg a felhasználói azonosítót és a jelszót. Megadhat egy névtelen identitást is: ez egy opcionális mező, amely lehetővé teszi a tényleges felhasználó identitásának elkülönítését a kezdeti hitelesítési kéréstől.
    • Átkapcsolhat TLS Ellenőrzés ki vagy be. Amikor a TLS ellenőrzés be van kapcsolva, a kliens aktívan ellenőrzi a szerver tanúsítványának hitelességét a TLS kézfogás során. Amikor a TLS verify ki van kapcsolva, a kliens nem végzi el aktívan a szerver tanúsítványának ellenőrzését.
    • Ha feltöltött egy klienstanúsítványt a API, a váltás lehetőség elérésével. Klienstanúsítvány használata on.
    • Váltás a Bővíthető hitelesítési protokoll (EAP) a használni kívánt módszereket. A EAP metódus megválasztása az adott biztonsági követelményektől, az infrastruktúrától és az ügyfél képességeitől függ. A EAP metódusok kulcsfontosságúak a biztonságos és hitelesített hálózati hozzáférés lehetővé tételéhez.