Du kan legge til sertifikater fra enhetens lokale webgrensesnitt. Du kan også legge til sertifikater ved å kjøre API kommandoer. Hvis du vil se hvilke kommandoer som lar deg legge til sertifikater, kan du se roomos.cisco.com .

Servicesertifikater og klarerte sertifiseringsinstanser

Sertifikatsertifisering kan være påkrevet ved bruk av TLS (Transport Layer Security). En server eller klient kan kreve at enheten viser et gyldig sertifikat før kommunikasjonen er konfigurert.

Sertifikatene er tekstfiler som verifiserer ektheten til enheten. Disse sertifikatene må signeres av en klarert CA. Hvis du vil bekrefte signaturen til sertifikatene, må en liste over klarerte sertifiseringsinstanser ligge på enheten. Listen må inkludere alle CA-er som kreves for å bekrefte sertifikater for både overvåkingslogging og andre tilkoblinger.

Sertifikater brukes for følgende tjenester: HTTPS-server, SIP, IEEE 802.1 X og overvåkingslogging. Du kan lagre flere sertifikater på enheten, men bare ett sertifikat er aktivert for hver tjeneste om gangen.

På RoomOS oktober 2023 og senere, når du legger til et CA-sertifikat på en enhet, brukes det også på en romnavigator hvis en er tilkoblet. Hvis du vil synkronisere CA-sertifikatene som tidligere er lagt til, til en tilkoblet romnavigator, må du starte enheten på nytt. Hvis du ikke vil at de eksterne enhetene skal få de samme sertifikatene som enheten de er koblet til, setter du konfigurasjonen Eksterne sikkerhetssertifikater SyncToPeripherals til False.

For Wi-Fi tilkobling

Vi anbefaler at du legger til et klarert CA-sertifikat for hver kort-, bord- eller romserieenhet hvis nettverket ditt bruker WPA-EAP-godkjenning. Du må gjøre dette individuelt for hver enhet, og før du kobler til Wi-Fi.

Hvis du vil legge til sertifikater for Wi-Fi-tilkoblingen, trenger du følgende filer:

• CA-sertifikatliste (filformat: .PEM)

• Sertifikat (filformat: .PEM)

• Privat nøkkel, enten som en egen fil eller inkludert i samme fil som sertifikatet (filformat: .PEM)

• Passfrase (kreves bare hvis privatnøkkelen er kryptert)

Sertifikatet og den private nøkkelen er lagret i den samme filen på enheten. Hvis godkjenningen mislykkes, vil ikke tilkoblingen bli etablert.

SCEP (Simple Certificate Enrollment Protocol) gir en automatisk mekanisme for registrering og oppdatering av sertifikater som for eksempel brukes 802.1X-godkjenning på enheter. SCEP lar deg opprettholde enhetens tilgang til sikre nettverk uten manuell inngripen.

• Når enheten er ny eller har blitt tilbakestilt til fabrikkstandard, trenger den nettverkstilgang for å nå SCEP-URL-adressen. Enheten må være koblet til nettverket uten 802.1X for å få en IP adresse.

• Hvis du bruker en trådløs registrering SSID, må du gå gjennom onboarding-skjermene for å konfigurere tilkoblingen til nettverket.

• Når du er koblet til klargjøringsnettverket, trenger ikke enheten å være på en bestemt oppstartsskjerm på dette stadiet.

• For å passe alle distribusjoner lagrer ikke xAPI-ene for SCEP-registrering CA-sertifikatet som brukes til å signere enhetssertifikatet. For servergodkjenning må CA-sertifikatet som brukes til å validere serverens sertifikat, legges til med xCommand Security Certificates CA Add.

Forutsetninger

Du trenger følgende informasjon:

• URL-adressen til SCEP-serveren.

• Fingeravtrykk av det signerende CA-sertifikatet (Certificate Authority).

• Informasjon om sertifikatet som skal registreres. Dette utgjør sertifikatets emnenavn .

  • Vanlig navn

  • Navn på land

  • Navn på delstat eller provins

  • Navn på lokalitet

  • Organisasjonsnavn

  • Organisasjonsenhet

• Emnenavnet sorteres som /C= /ST= /L= /O= /OU= /CN=

• SCEP Servers utfordringspassord hvis du har konfigurert SCEP-serveren til å håndheve en OTP eller delt hemmelighet.

Du kan angi den nødvendige nøkkelstørrelsen for nøkkelparet for sertifikatforespørsel ved å bruke følgende kommando. Standard er 2048.

 xConfiguration Security Enrollment KeySize: <2048, 3072, 4096>

Vi sender en sertifikatforespørsel som er gyldig i ett år for sertifikatets utløp. Policyen på serversiden kan endre utløpsdatoen under sertifikatsignering.

Ethernet-tilkobling

Når en enhet er koblet til et nettverk, må du kontrollere at den har tilgang til SCEP-serveren. Enheten må være koblet til et nettverk uten 802.1x for å få en IP adresse. Det kan være nødvendig å oppgi enhetens MAC adresse til klargjøringsnettverket for å få en IP adresse. Du finner MAC adressen på brukergrensesnittet eller etiketten på baksiden av enheten.

Etter at enheten er koblet til nettverket, kan du SSH til enheten som admin for å få tilgang til TSH, og kjør deretter følgende kommando for å sende SCEP-forespørselen for registrering:

xCommand Security Certificates Services Enrollment SCEP-forespørsel 

Når SCEP-serveren returnerer det signerte enhetssertifikatet, aktiverer du 802.1X.

Aktivere det signerte sertifikatet:

xCommand Sikkerhetssertifikater Tjenester Aktivere 

Start enheten på nytt etter at du har aktivert sertifikatet.

Trådløs tilkobling

Når en enhet er koblet til et trådløst nettverk, må du kontrollere at den har tilgang til SCEP-serveren.

Etter at enheten er koblet til nettverket, kan du SSH til enheten som admin for å få tilgang til TSH, og kjør deretter følgende kommando for å sende SCEP-forespørselen for registrering:

xCommand Security Certificates Services Enrollment SCEP-forespørsel 

Enheten mottar det signerte sertifikatet fra SCEP-serveren.

Aktivere det signerte sertifikatet:

xCommand Sikkerhetssertifikater Tjenester Aktivere

Etter aktivering må du konfigurere det Wi-Fi nettverket med EAP-TLS autentisering.

xCommand Network Wifi Konfigurer 

Som standard hopper Wi-Fi-konfigurasjonen over servervalideringskontroller. Hvis bare enveisgodkjenning kreves, må du bruke AllowMissingCA som standard.

Hvis du vil fremtvinge servervalidering, kontrollerer du at den valgfrie parameteren AllowMissingCA er satt til False. Hvis en tilkobling ikke kan opprettes på grunn av tjenestevalideringsfeil, må du kontrollere at riktig sertifiseringsinstans er lagt til for å bekrefte serversertifikatet, som kan være forskjellig fra enhetssertifikatet.

API beskrivelser

Rolle: Administrator, integrator

xCommand Security Certificates Services Enrollment SCEP-forespørsel

Sender en CSR til en gitt SCEP-server for signering. De CSR SubjectName-parametrene vil bli konstruert i følgende rekkefølge: C, ST, L, O, OUs, CN.

Parametere:

• URL(r): <S: 0, 256>

  URL-adressen til SCEP-serveren.

• Fingeravtrykk: <S: 0, 128>

  CA-sertifikat Fingeravtrykk som vil signere SCEP-forespørselen CSR.

• CommonName(r): <S: 0, 64>

  Legger til "/CN=" i det CSR emnenavnet.

• ChallengePassword: <S: 0, 256>

  OTP eller delt hemmelighet fra SCEP-serveren for tilgang til signering.

• Landnavn: <S: 0, 2>

  Legger til "/c=" i det CSR emnenavnet.

• StateOrProvinceName: <S: 0, 64>

  Legger til "/ST=" i det CSR emnenavnet.

• LocalityName: <S: 0, 64>

  Legger til "/l=" i det CSR emnenavnet.

• OrganizationName: <S: 0, 64>

  Legger til "/o=" i det CSR emnenavnet.

• Organisasjonsenhet[5]: <S: 0, 64>

  Legger til opptil 5 "/OU="-parametere i det CSR emnenavnet.

• SanDns[5]: <S: 0, 64>

  Legger til opptil 5 DNS-parametere i det alternative navnet på CSR emne.

• SanEmail[5]: <S: 0, 64>

  Legger til opptil 5 e-postparametere i det alternative navnet på CSR emne.

• SanIp[5]: <S: 0, 64>

  Legger til opptil 5 IP-parametere i det alternative navnet på CSR emne.

• SanUri[5]: <S: 0, 64>

  Legger til opptil 5 Uri-parametere i det alternative navnet på CSR emne.

xCommand Sikkerhetssertifikater Tjenester Registreringsprofiler Slett

Sletter en registreringsprofil for ikke lenger å fornye sertifikater.

Parametere:

• Fingeravtrykk: <S: 0, 128>

  CA-sertifikatets fingeravtrykk som identifiserer profilen du vil fjerne. Du kan se de tilgjengelige profilene du kan fjerne, ved å kjøre:

  Liste over profiler for xCommand-sikkerhetssertifikater for tjenesteregistrering

Liste over profiler for xCommand-sikkerhetssertifikater for tjenesteregistrering

Lister Registreringsprofiler for sertifikatfornyelse.

 xCommand-sikkerhetssertifikater Registrering av tjenester SCEP-profilsett Fingeravtrykk(r): <S: 0, 128> URL(r): <S: 0, 256>

Legg til en registreringsprofil for sertifikater utstedt av CA-fingeravtrykket for å bruke den angitte SCEP-URL-adressen for fornyelse.

Fornyelse

 xCommand-sikkerhetssertifikater Registrering av tjenester SCEP-profilsett

For å kunne fornye sertifikatet automatisk, må enheten ha tilgang til SCEP-URL-adressen som kan trekke sertifikatet tilbake.

En gang daglig vil enheten se etter sertifikater som utløper med 45 dager. Enheten vil deretter forsøke å fornye dette sertifikatet hvis utstederen samsvarer med en profil.

MERK: Alle enhetssertifikater vil bli sjekket for fornyelse, selv om sertifikatet ikke opprinnelig ble registrert ved hjelp av SCEP.

Navigatør

1. Direkte paret: Registrerte sertifikater kan aktiveres som "Paring"-sertifikat.

2. Ekstern paring: Be navigatøren om å registrere et nytt SCEP-sertifikat ved hjelp av den eksterne enhetens ID:

   xCommand eksterne enheter Sikkerhetssertifikater Tjenesteregistrering SCEP-forespørsel 

   Påmeldingsprofiler synkroniseres automatisk til paret navigator.

3. Frittstående navigator: Samme som kodekregistrering