U kunt certificaten toevoegen via de lokale webinterface van het apparaat. U kunt ook certificaten toevoegen door API-opdrachten uit te voeren. Zieroomos.cisco.com om te zien welke opdrachten u kunt gebruiken om certificaten toe te voegen.

Servicecertificaten en vertrouwde CA's

Bij het gebruik van TLS (Transport Layer Security) is mogelijk een validatie van het certificaat vereist. Een server of client kan vereist zijn dat het apparaat een geldig certificaat aan hen presenteert voordat de communicatie is ingesteld.

De certificaten zijn tekstbestanden die de echtheid van het apparaat verifiëren. Deze certificaten moeten worden ondertekend door een vertrouwde Certificate Authority (CA). Het apparaat moet een lijst met vertrouwde CA's hebben om de handtekening van de certificaten te controleren. In de lijst moeten alle CA's worden vermeld die nodig zijn voor het verifiëren van certificaten voor zowel controlelogboeken als andere verbindingen.

Certificaten worden gebruikt voor de volgende services: HTTPS-server, SIP, IEEE 802.1X en auditlogfunctie. U kunt meerdere certificaten op het apparaat opslaan, maar er is slechts één certificaat ingeschakeld voor elke service tegelijk.

Als u op RoomOS oktober 2023 en later een CA-certificaat aan een apparaat toevoegt, wordt dit ook toegepast op een Room Navigator als er verbinding is. Als u de eerder toegevoegde CA-certificaten wilt synchroniseren met verbonden Room Navigator, moet u het apparaat opnieuw opstarten. Als u niet wilt dat de randapparaten dezelfde certificaten krijgen als het apparaat waarop het is aangesloten, stelt u de configuratie van Beveiligingscertificaten SyncToPeripherals voor randapparaten in op Onwaar.

Voor Wi-Fi verbinding

We raden aan dat u een vertrouwd CA-certificaat toevoegt voor elk apparaat met Board, Desk of Room Series, als uw netwerk WPA-EAP-verificatie gebruikt. U moet dit voor elk apparaat afzonderlijk doen voordat u verbinding maakt met Wi-Fi.

Als u certificaten voor uw Wi-Fi verbinding wilt toevoegen, hebt u de volgende bestanden nodig:

• Lijst met CA-certificaten (bestandsindeling: . PEM)

• Certificaat (bestandsindeling: . PEM)

• Privésleutel, als afzonderlijk bestand of als opgenomen in hetzelfde bestand als het certificaat (bestandsindeling: . PEM)

• Wachtwoord (alleen vereist als de privésleutel is versleuteld)

Het certificaat en de privésleutel worden in hetzelfde bestand op het apparaat opgeslagen. Als verificatie mislukt, wordt de verbinding niet tot stand gebracht.

Beheerders moeten een Ondertekeningsverzoek (CSR) genereren op de Control Hub voor een in de cloud geregistreerd apparaat met Board, Desk of Room Series.

Voer de volgende stappen uit om een CSR te genereren en een ondertekend certificaat naar uw apparaat te uploaden:

1. Ga vanuit de klantweergave in Control Hub naar de pagina Apparaten en selecteer uw apparaat in de lijst.
2. Ga naar Acties > XCommand > Beveiligingscertificaten > uitvoeren > CSR > maken.
3. Voer de vereiste certificaatdetails in en selecteer Uitvoeren.
4. Kopieer alle tekst tussen ----BEGIN-CERTIFICAATAANVRAAG---- en ----END-CERTIFICAATAANVRAAG----.
5. Gebruik een Certificate Authority (CA) om de CSR te tekenen.
6. Exporteer het ondertekende certificaat in PEM-indeling (Base64-gecodeerd).
7. Open het ondertekende certificaatbestand in een teksteditor (bijvoorbeeld Kladblok) en kopieer alle tekst tussen ----BEGIN CERTIFICATE---- en ----END CERTIFICATE----.
8. Navigeer in Control Hub naar Apparaten > uw apparaat te selecteren > Bewerkingen > XCommand > Security > Certificates uitvoeren > CSR > Koppeling.
9. Plak de inhoud van het gekopieerde certificaat in de sectie Hoofdtekst en selecteer Uitvoeren.
10. Vernieuw de pagina om te controleren of het certificaat onder het bestaande certificaat wordt weergegeven.

SCEP (Simple Certificate Enrollment Protocol) biedt een geautomatiseerd mechanisme voor het aanmelden en vernieuwen van certificaten die worden gebruikt voor 802.1X-verificatie op apparaten. Met SCEP kunt u zonder handmatige tussenkomst de toegang van het apparaat tot beveiligde netwerken onderhouden.

• Wanneer het apparaat nieuw is of naar de fabriek is gereset, moet u netwerktoegang hebben om de SCEP-URL te kunnen bereiken. Het apparaat moet zonder 802.1X op het netwerk worden aangesloten om een IP adres te verkrijgen.

• Als u een draadloze aanmelding SSID gebruikt, ga dan door de schermen aan boord om de verbinding met het netwerk te configureren.

• Wanneer je eenmaal bent verbonden met het inrichtingsnetwerk, hoeft het apparaat geen bepaald on-board scherm te gebruiken.

• Voor alle implementaties worden door de xAP-instellingen voor SCEP-aanmelding het CA-certificaat dat wordt gebruikt om het apparaatcertificaat te ondertekenen, niet opgeslagen. Voor serververificatie moet het CA-certificaat dat wordt gebruikt voor het valideren van het servercertificaat worden toegevoegd met xCommand Beveiligingscertificaten CA Toevoegen.

Voorwaarden

U hebt de volgende informatie nodig:

• De URL van de SCEP-server.

• Vingerafdruk van het ondertekenings-CA-certificaat (Certificate Authority).

• Informatie over het certificaat dat moet worden aangemeld. Dit vormt de onderwerpnaam van het certificaat.

  • Algemene naam

  • Naam land

  • Naam staat of provincie

  • Naam van locatie

  • Naam organisatie

  • Organisatorische eenheid

• De onderwerpnaam wordt gesorteerd als /C= /ST= /L= /O= /OU= /CN=

• Het wachtwoord voor uitdaging van de SCEP-server als u de SCEP-server hebt geconfigureerd om een OTP of Shared Secret af te dwingen.

Met de volgende opdracht kunt u de vereiste sleutelmaat voor het certificaataanvraag instellen. De standaardwaarde is 2048.

 xConfiguratiebeveiliging aanmeldingsgrootte: <2048, 3072, 4096>

Wij sturen u een aanvraag voor het certificaat, dat één jaar geldig is voor het verlopen van het certificaat. Het beleid voor de server kan de geldigheidsdatum tijdens het ondertekenen van het certificaat wijzigen.

Ethernet-verbinding

Wanneer een apparaat is aangesloten op een netwerk, moet u controleren of het toegang heeft tot de SCEP-server. Het apparaat moet zonder 802,1x worden aangesloten op een netwerk om een IP adres te verkrijgen. Het MAC-adres van het apparaat moet mogelijk aan het inrichtingsnetwerk worden verstrekt om een IP te verkrijgen. Het adres MAC kan worden gevonden op de gebruikersinterface of op het label aan de achterkant van het apparaat.

Nadat het apparaat is aangesloten op het netwerk, kunt u SSH naar het apparaat als beheerder om toegang te krijgen tot TSH. Voer vervolgens de volgende opdracht uit om het SCEP-verzoek voor aanmelding te verzenden:

xCommand SCEP-aanvraag voor beveiligingscertificaten 

Zodra de SCEP-server het ondertekende apparaatcertificaat heeft geretourneerd, activeert u de 802.1X.

Het ondertekende certificaat activeren:

XCommand Security Certificates Services activeren 

Start het apparaat opnieuw op na het activeren van het certificaat.

Draadloze verbinding

Wanneer een apparaat is aangesloten op een draadloos netwerk, moet u ervoor zorgen dat het toegang heeft tot de SCEP-server.

Nadat het apparaat is aangesloten op het netwerk, kunt u SSH naar het apparaat als beheerder om toegang te krijgen tot TSH. Voer vervolgens de volgende opdracht uit om het SCEP-verzoek voor aanmelding te verzenden:

xCommand SCEP-aanvraag voor beveiligingscertificaten 

Het apparaat ontvangt het ondertekende certificaat van de SCEP-server.

Het ondertekende certificaat activeren:

XCommand Security Certificates Services activeren

Na het activeren moet u het netwerk Wi-Fi met verificatie door EAP-TLS configureren.

xCommand netwerk wifi configureren 

Standaard worden bij Wi-Fi-configuratie servervalidatiecontroles overgeslagen. Als verificatie in slechts één richting nodig is, houdt u AllowMissingCA standaard Waar in.

Om servervalidatie te forceren, moet de optionele parameter Van ToestaanMissingCA zijn ingesteld op Onwaar. Als een verbinding niet tot stand kan worden gebracht als gevolg van servicevalidatiefouten, controleert u of de juiste CA is toegevoegd om het servercertificaat te controleren dat mogelijk af verschilt van het apparaatcertificaat.

Beschrijvingen van API

Rol: Beheerder, Integrator

xCommand SCEP-aanvraag voor beveiligingscertificaten

Hiermee verzendt u een CSR naar een bepaalde SCEP-server voor ondertekening. De parameters CSR SubjectName worden in de volgende volgorde geconstrueerd: C, ST, L, O, OUs, CN.

Parameters:

• URL(r): <S: 0, 256>

  Het URL-adres van de SCEP-server.

• Vingerafdruk(r): <S: 0, 128>

  Vingerafdruk van CA-certificaat die het SCEP-verzoek CSR tekent.

• Algemene naam(r): <S: 0, 64>

  Voegt "/CN=" toe aan CSR Onderwerpnaam.

• UitdagingPassword: <S: 0, 256>

  OTP of Shared Secret van de SCEP-server voor toegang tot teken.

• Landnaam: <S: 0, 2>

  Voegt "/C=" toe aan CSR Onderwerpnaam.

• StatusOrProvinceNaam: <S: 0, 64>

  Voegt "/ST=" toe aan het veld CSR Onderwerpnaam.

• PlaatsNaam: <S: 0, 64>

  Voegt "/L=" toe aan CSR Onderwerpsnaam.

• Organisatienaam: <S: 0, 64>

  Voegt "/O=" toe aan CSR Onderwerpsnaam.

• OrganizationalUnit[5]: <S: 0, 64>

  Bij elkaar worden 5 '/OU=' parameters toegevoegd aan CSR Onderwerpnaam.

• Sans[5]: <S: 0, 64>

  Voegt maximaal 5 DNS parameters bij elkaar voor de CSR Alternatieve naam onderwerp.

• SanEmail[5]: <S: 0, 64>

  Voegt maximaal 5 e-mailparameters samen voor alternatieve naam CSR Onderwerp.

• SanIp[5]: <S: 0, 64>

  Er worden maximaal 5 IP-parameters toegevoegd aan de CSR Alternatieve naam onderwerp.

• SanUri[5]: <S: 0, 64>

  Voegt maximaal 5 URI parameters samen voor CSR Alternatieve naam onderwerp.

aanmeldingsprofielen van xCommand Security Certificates Services verwijderen

Hiermee verwijdert u een aanmeldingsprofiel om certificaten niet langer te vernieuwen.

Parameters:

• Vingerafdruk(r): <S: 0, 128>

  De vingerafdruk van het CA-certificaat die het profiel aangeeft dat u wilt verwijderen. U kunt de beschikbare profielen bekijken die u wilt verwijderen door de volgende uit te voeren:

  lijst met xCommand Security Certificates Services aanmeldingsprofielen

lijst met xCommand Security Certificates Services aanmeldingsprofielen

Hier worden aanmeldingsprofielen voor het vernieuwen van het certificaat weergegeven.

 xCommand Security Certificates Services Aanmelding SCEP Profielen Set Vingerafdruk(r): <S: 0, 128> URL(r): <S: 0, 256>

Voeg een aanmeldingsprofiel toe voor certificaten die worden uitgegeven via de vingerafdruk van de CA om de opgegeven SCEP-URL te gebruiken voor verlenging.

Hernieuwing

 xCommand Security Certificates Services registratie SCEP profielen instellen

Voor de automatische vernieuwing van het certificaat moet het apparaat toegang hebben tot de SCEP-URL die het certificaat kan toewijzen.

Eenmaal per dag wordt gecontroleerd of het apparaat certificaten heeft die na 45 dagen verlopen. Het apparaat zal vervolgens proberen het certificaat te vernieuwen als de uitgever voldoet aan een profiel.

LET OP: Alle apparaatcertificaten worden geselecteerd voor verlenging, ook als het certificaat niet oorspronkelijk is aangemeld met SCEP.

Zeevaarder

1. Direct gekoppeld: Aangemeld certificaten kunnen worden geactiveerd als een 'koppelen'-certificaat.

2. Extern gekoppeld: geef de navigator op om een nieuw SCEP-certificaat in te schrijven op basis van de id van het randapparaat:

   xCommand BEVEILIGINGScertificaten voor randapparatuur Aanmelding SCEP-verzoek 

   Aanmeldingsprofielen worden automatisch gesynchroniseerd met de gekoppelde navigator.

3. Stand-alone Navigator: hetzelfde als codec-aanmelding

U kunt 802.1x-verificatie rechtstreeks instellen vanuit het menu Instellingen van Room Navigator.

De 802.1x-verificatiestandaard is met name van belang voor Ethernet-netwerken en zorgt ervoor dat alleen geautoriseerde apparaten toegang tot de netwerkbronnen krijgen.

Afhankelijk van de methode EAP die in uw netwerk wordt geconfigureerd, zijn verschillende aanmeldingsopties beschikbaar. Bijvoorbeeld:

• TLS: gebruikersnaam en wachtwoord worden niet gebruikt.
• PEAP: Certificaten worden niet gebruikt.
• TTLS: zowel gebruikersnaam of wachtwoord als certificaten zijn vereist; is niet optioneel.

U kunt het clientcertificaat op een apparaat op verschillende manieren ophalen:

1. De PEM uploaden: gebruik de functie Beveiligingscertificaten toevoegen.
2. Maak CSR: Genereer een ondertekeningsverzoek (CSR certificaat), onderteken dit en koppel het met behulp van Beveiligingscertificaten CSR Maken/Koppeling.
3. SCEP: gebruik van security certificates services aanmelding SCEP-verzoek.
4. DHCP Optie 43: Configureer de levering van het certificaat via deze optie.

De certificaten voor 802.1x configureren en bijwerken voordat u de Room Navigator aan een systeem koppelt of nadat de fabrieksinstelling Room Navigator opnieuw instelt.

De standaardreferenties zijn admin en een leeg wachtwoord. Meer informatie over het toevoegen van certificaten vindt u in de nieuwste versie van de handleiding API API .

1. Open het controlepaneel van de Navigator door te tikken op de knop in de rechterbovenhoek of door vanaf de rechterkant te vegen. Tik vervolgens op Apparaatinstellingen .
2. Ga naar Netwerkverbinding en selecteer Ethernet .
3. Zet de optie IEEE 802.1X gebruiken op Aan.
   • Als verificatie is ingesteld met referenties, voert u de gebruikersidentiteit en wachtwoordzin in. U kunt ook een anonieme identiteit invoeren: dit is een optioneel veld dat een manier biedt om de werkelijke identiteit van de gebruiker te scheiden van de eerste verificatieaanvraag.
   • U kuntTLS Verifiëren in- of uitschakelen. Wanneer TLS verifiëren is ingeschakeld, controleert de client actief de echtheid van het servercertificaat tijdens de TLS-handshake. Wanneer TLS controleren is uitgeschakeld, voert de client geen actieve verificatie uit voor het certificaat van de server.
   • Als u een clientcertificaat hebt geüpload via de knop API, schakelt u Clientcertificaat gebruiken in.
   • Schakel de methoden voor Extensible Authentication Protocol (EAP) in die u wilt gebruiken. De keuze van de EAP methode hangt af van de specifieke beveiligingsvereisten, de infrastructuur en de clientmogelijkheden. EAP methoden zijn cruciaal voor het inschakelen van veilige en geverifieerde netwerktoegang.