Du kan legge til sertifikater fra enhetens lokale webgrensesnitt. Du kan også legge til sertifikater ved å kjøre API-kommandoer. Hvis du vil se hvilke kommandoer som lar deg legge til sertifikater, kan du se roomos.cisco.com .

Servicesertifikater og klarerte sertifiseringsinstanser

Sertifikatsertifisering kan være påkrevet ved bruk av TLS (Transport Layer Security). En server eller klient kan kreve at enheten viser et gyldig sertifikat før kommunikasjonen er konfigurert.

Sertifikatene er tekstfiler som verifiserer ektheten til enheten. Disse sertifikatene må signeres av en klarert CA. Hvis du vil bekrefte signaturen til sertifikatene, må en liste over klarerte sertifiseringsinstanser ligge på enheten. Listen må inkludere alle CA-er som kreves for å bekrefte sertifikater for både overvåkingslogging og andre tilkoblinger.

Sertifikater brukes for følgende tjenester: HTTPS-server, SIP, IEEE 802.1 X og overvåkingslogging. Du kan lagre flere sertifikater på enheten, men bare ett sertifikat er aktivert for hver tjeneste om gangen.

På RoomOS oktober 2023 og senere, når du legger til et CA-sertifikat på en enhet, brukes det også på en romnavigator hvis en er tilkoblet. Hvis du vil synkronisere CA-sertifikatene som tidligere er lagt til, til en tilkoblet romnavigator, må du starte enheten på nytt. Hvis du ikke vil at de eksterne enhetene skal få de samme sertifikatene som enheten de er koblet til, setter du konfigurasjonen Eksterne sikkerhetssertifikater SyncToPeripherals til False.

For Wi-Fi-tilkobling

Vi anbefaler at du legger til et klarert CA-sertifikat for hver Board-, bord- eller romserieenhet, hvis nettverket ditt bruker WPA-EAP-godkjenning. Du må gjøre dette individuelt for hver enhet, og før du kobler til Wi-Fi.

Hvis du vil legge til sertifikater for Wi-Fi-tilkoblingen, trenger du følgende filer:

• CA-sertifikatliste (filformat: .PEM)

• Sertifikat (filformat: .PEM)

• Privat nøkkel, enten som en egen fil eller inkludert i samme fil som sertifikatet (filformat: .PEM)

• Passfrase (kreves bare hvis privatnøkkelen er kryptert)

Sertifikatet og den private nøkkelen er lagret i den samme filen på enheten. Hvis godkjenningen mislykkes, vil ikke tilkoblingen bli etablert.

SCEP (Simple Certificate Enrollment Protocol) gir en automatisk mekanisme for registrering og oppdatering av sertifikater som for eksempel brukes 802.1X-godkjenning på enheter. SCEP lar deg opprettholde enhetens tilgang til sikre nettverk uten manuell inngripen.

• Når enheten er ny eller har blitt tilbakestilt til fabrikkstandard, trenger den nettverkstilgang for å nå SCEP-URL-adressen. Enheten må være koblet til nettverket uten 802.1X for å få en IP adresse.

• Hvis du bruker en trådløs registrering SSID, må du gå gjennom onboarding-skjermene for å konfigurere tilkoblingen til nettverket.

• Når du er koblet til klargjøringsnettverket, trenger ikke enheten å være på en bestemt oppstartsskjerm på dette stadiet.

• For å passe alle distribusjoner lagrer ikke xAPI-ene for SCEP-registrering CA-sertifikatet som brukes til å signere enhetssertifikatet. For servergodkjenning må CA-sertifikatet som brukes til å validere serverens sertifikat, legges til med xCommand Security Certificates CA Add.

Forutsetninger

Du trenger følgende informasjon:

• URL-adressen til SCEP-serveren.

• Fingeravtrykk av det signerende CA-sertifikatet (Certificate Authority).

• Informasjon om sertifikatet som skal registreres. Dette utgjør sertifikatets emnenavn .

  • Vanlig navn

  • Navn på land

  • Navn på delstat eller provins

  • Navn på lokalitet

  • Organisasjonsnavn

  • Organisasjonsenhet

• Emnenavnet sorteres som /C= /ST= /L= /O= /OU= /CN=

• SCEP Servers utfordringspassord hvis du har konfigurert SCEP-serveren til å håndheve en OTP eller delt hemmelighet.

Du kan angi den nødvendige nøkkelstørrelsen for nøkkelparet for sertifikatforespørsel ved å bruke følgende kommando. Standard er 2048.

 xConfiguration Security Enrollment KeySize: <2048, 3072, 4096>

Vi sender en sertifikatforespørsel som er gyldig i ett år for sertifikatets utløp. Policyen på serversiden kan endre utløpsdatoen under sertifikatsignering.

Ethernet-tilkobling

Når en enhet er koblet til et nettverk, må du kontrollere at den har tilgang til SCEP-serveren. Enheten må være koblet til et nettverk uten 802.1x for å få en IP adresse. Enhetens MAC adresse må kanskje oppgis til klargjøringsnettverket for å få en IP adresse. MAC adressen finner du i brukergrensesnittet eller på etiketten på baksiden av enheten.

Etter at enheten er koblet til nettverket, kan du SSH til enheten som admin for å få tilgang til TSH, og kjør deretter følgende kommando for å sende SCEP-forespørselen for registrering:

xCommand Security Certificates Services Enrollment SCEP-forespørsel 

Når SCEP-serveren returnerer det signerte enhetssertifikatet, aktiverer du 802.1X.

Aktivere det signerte sertifikatet:

xCommand Sikkerhetssertifikater Tjenester Aktivere 

Start enheten på nytt etter at du har aktivert sertifikatet.

Trådløs tilkobling

Når en enhet er koblet til et trådløst nettverk, må du kontrollere at den har tilgang til SCEP-serveren.

Etter at enheten er koblet til nettverket, kan du SSH til enheten som admin for å få tilgang til TSH, og kjør deretter følgende kommando for å sende SCEP-forespørselen for registrering:

xCommand Security Certificates Services Enrollment SCEP-forespørsel 

Enheten mottar det signerte sertifikatet fra SCEP-serveren.

Aktivere det signerte sertifikatet:

xCommand Sikkerhetssertifikater Tjenester Aktivere

Etter aktivering må du konfigurere Wi-Fi-nettverket med EAP-TLS-autentisering.

xCommand Network Wifi Konfigurer 

Som standard hopper Wi-Fi-konfigurasjonen over servervalideringskontroller. Hvis bare enveisgodkjenning kreves, må du bruke AllowMissingCA som standard.

Hvis du vil fremtvinge servervalidering, kontrollerer du at den valgfrie parameteren AllowMissingCA er satt til False. Hvis en tilkobling ikke kan opprettes på grunn av tjenestevalideringsfeil, må du kontrollere at riktig sertifiseringsinstans er lagt til for å bekrefte serversertifikatet, som kan være forskjellig fra enhetssertifikatet.

API beskrivelser

Rolle: Administrator, integrator

xCommand Security Certificates Services Enrollment SCEP-forespørsel

Sender en CSR til en gitt SCEP-server for signering. CSR SubjectName-parametrene vil bli konstruert i følgende rekkefølge: C, ST, L, O, OUs, CN.

Parametere:

• URL(r): <S: 0, 256>

  URL-adressen til SCEP-serveren.

• Fingeravtrykk: <S: 0, 128>

  CA-sertifikat Fingeravtrykk som vil signere SCEP-forespørselen CSR.

• CommonName(r): <S: 0, 64>

  Legger til "/CN=" i emnenavnet CSR.

• ChallengePassword: <S: 0, 256>

  OTP eller delt hemmelighet fra SCEP-serveren for tilgang til signering.

• Landnavn: <S: 0, 2>

  Legger til "/c=" i emnenavnet CSR.

• StateOrProvinceName: <S: 0, 64>

  Legger til "/ST=" i emnenavnet CSR.

• LocalityName: <S: 0, 64>

  Legger til "/l=" i emnenavnet CSR.

• OrganizationName: <S: 0, 64>

  Legger til "/o=" i emnenavnet CSR.

• Organisasjonsenhet[5]: <S: 0, 64>

  Legger til opptil 5 "/OU="-parametere til emnenavnet CSR.

• SanDns[5]: <S: 0, 64>

  Legger opp til 5 DNS parametere til CSR Emne alternativt navn.

• SanEmail[5]: <S: 0, 64>

  Legger til opptil 5 e-postparametere i CSR Emnealternativt navn.

• SanIp[5]: <S: 0, 64>

  Legger til opptil 5 IP-parametere i CSR Subject Alternative Name.

• SanUri[5]: <S: 0, 64>

  Legger opp til 5 URI parametere til CSR Subject Alternative Name.

xCommand Sikkerhetssertifikater Tjenester Registreringsprofiler Slett

Sletter en registreringsprofil for ikke lenger å fornye sertifikater.

Parametere:

• Fingeravtrykk: <S: 0, 128>

  CA-sertifikatets fingeravtrykk som identifiserer profilen du vil fjerne. Du kan se de tilgjengelige profilene du kan fjerne, ved å kjøre:

  Liste over profiler for xCommand-sikkerhetssertifikater for tjenesteregistrering

Liste over profiler for xCommand-sikkerhetssertifikater for tjenesteregistrering

Lister Registreringsprofiler for sertifikatfornyelse.

 xCommand-sikkerhetssertifikater Registrering av tjenester SCEP-profilsett Fingeravtrykk(r): <S: 0, 128> URL(r): <S: 0, 256>

Legg til en registreringsprofil for sertifikater utstedt av CA-fingeravtrykket for å bruke den angitte SCEP-URL-adressen for fornyelse.

Fornyelse

 xCommand-sikkerhetssertifikater Registrering av tjenester SCEP-profilsett

For å kunne fornye sertifikatet automatisk, må enheten ha tilgang til SCEP-URL-adressen som kan trekke sertifikatet tilbake.

En gang daglig vil enheten se etter sertifikater som utløper med 45 dager. Enheten vil deretter forsøke å fornye dette sertifikatet hvis utstederen samsvarer med en profil.

MERK: Alle enhetssertifikater vil bli sjekket for fornyelse, selv om sertifikatet ikke opprinnelig ble registrert ved hjelp av SCEP.

Navigatør

1. Direkte paret: Registrerte sertifikater kan aktiveres som "Paring"-sertifikat.

2. Ekstern paring: Be navigatøren om å registrere et nytt SCEP-sertifikat ved hjelp av den eksterne enhetens ID:

   xCommand eksterne enheter Sikkerhetssertifikater Tjenesteregistrering SCEP-forespørsel 

   Påmeldingsprofiler synkroniseres automatisk til paret navigator.

3. Frittstående navigator: Samme som kodekregistrering

Du kan konfigurere 802.1x-godkjenning direkte fra Romnavigatørens Innstillinger-meny.

802.1x-godkjenningsstandarden er spesielt viktig for Ethernet-nettverk, og den sikrer at bare autoriserte enheter får tilgang til nettverksressursene. Du kan bruke et brukernavn og passord for å godkjenne til nettverket, eller du kan bruke klientsertifikater. Det er også mulig å bruke begge samtidig. Klientsertifikatene må lastes opp via API og aktiveres for å kunne bruke 802.1x-tjenesten.

Oppsett og oppdatering av sertifikatene for 802.1x må gjøres før paring av Room Navigator til et system, eller etter at fabrikkinnstillingene er tilbakestilt til romnavigatoren.

Standardlegitimasjonen er admin og tomt passord. Hvis du vil ha mer informasjon om hvordan du legger til sertifikater ved å gå til API, kan du se den nyeste versjonen av API veiledningen .

1. Åpne kontrollpanelet på navigatoren ved å trykke på knappen øverst til høyre eller sveipe fra høyre side. Trykk deretter på Enhetsinnstillinger .
2. Gå til Nettverkstilkobling og velg Ethernet .
3. Veksle mellom Bruk IEEE 802.1X på.
   • Hvis godkjenning er konfigurert med legitimasjon, angir du brukeridentiteten og passordet. Du kan også angi en anonym identitet: Dette er et valgfritt felt som gjør det mulig å skille den faktiske brukerens identitet fra den første godkjenningsforespørselen.
   • Du kan slå TLS Bekreft av eller på. Når TLS verifisere er slått PÅ, verifiserer klienten aktivt ektheten til serverens sertifikat under TLS-håndtrykket. Når TLS verify er slått AV, utfører ikke klienten aktiv verifisering av serverens sertifikat.
   • Hvis du har lastet opp et klientsertifikat ved å åpne API, slår du på Bruk klientsertifikat .
   • Slå mellom metodene for EAP (Extensible Authentication Protocol) du vil bruke. Valget av EAP metoden avhenger av de spesifikke sikkerhetskravene, infrastrukturen og klientfunksjonene. EAP metoder er avgjørende for å aktivere sikker og autentisert nettverkstilgang.