Certyfikaty można dodawać z lokalnego interfejsu internetowego urządzenia. Certyfikaty można również dodać, uruchamiając polecenia API. Aby zobaczyć, które polecenia umożliwiają dodawanie certyfikatów, zobacz roomos.cisco.com .

Certyfikaty usług i zaufane urzędy certyfikacji

W przypadku korzystania z TLS (Transport Layer Security) może być wymagane sprawdzenie poprawności certyfikatu. Serwer lub klient może wymagać, aby urządzenie przedstawiło im ważny certyfikat przed skonfigurowaniem komunikacji.

Certyfikaty to pliki tekstowe, które weryfikują autentyczność urządzenia. Te certyfikaty muszą być podpisane przez zaufany Certificate Authority (CA). Aby można było zweryfikować podpis certyfikatów, na urządzeniu musi znajdować się lista zaufanych urzędów certyfikacji. Lista musi zawierać wszystkie urzędy certyfikacji potrzebne do weryfikowania certyfikatów zarówno dla rejestrowania inspekcji, jak i innych połączeń.

Certyfikaty są używane dla następujących usług: serwer HTTPS, SIP, IEEE 802.1X i rejestrowanie inspekcji. Na urządzeniu można przechowywać kilka certyfikatów, ale w danej chwili dla każdej usługi jest włączony tylko jeden certyfikat.

W systemie operacyjnym RoomOS z października 2023 r. i nowszych wersjach po dodaniu certyfikatu urzędu certyfikacji do urządzenia jest on również stosowany do Room Navigator, jeśli jest podłączony. Aby zsynchronizować wcześniej dodane certyfikaty urzędu certyfikacji z połączonym urządzeniem Room Navigator, należy ponownie uruchomić urządzenie. Jeśli nie chcesz, aby urządzenia peryferyjne otrzymywały te same certyfikaty, co urządzenie, do którego są podłączone, ustaw konfigurację Urządzenia peryferyjne Certyfikaty zabezpieczeń SyncToPeripherals na wartość Fałsz.

Dla połączenia Wi-Fi

Zalecamy dodanie certyfikatu zaufanego urzędu certyfikacji dla każdego urządzenia Board, Desk lub Room Series, jeśli sieć korzysta z uwierzytelniania WPA-EAP. Musisz to zrobić osobno dla każdego urządzenia i przed połączeniem z Wi-Fi.

Do dodania certyfikatów dla połączenia Wi-Fi potrzebne są następujące pliki:

• Lista certyfikatów urzędu certyfikacji (format pliku: . PEM)

• Certyfikat (format pliku: . PEM)

• Klucz prywatny, jako oddzielny plik lub zawarty w tym samym pliku co certyfikat (format pliku: . PEM)

• Hasło (wymagane tylko wtedy, gdy klucz prywatny jest zaszyfrowany)

Certyfikat i klucz prywatny są przechowywane w tym samym pliku na urządzeniu. Jeśli uwierzytelnianie nie powiedzie się, połączenie nie zostanie nawiązane.

Administratorzy muszą wygenerować żądanie podpisania certyfikatu (CSR) z Centrum sterowania dla zarejestrowanego w chmurze urządzenia Board, Desk lub Room Series.

Aby wygenerować CSR i przesłać podpisany certyfikat na urządzenie, wykonaj następujące czynności:

1. W widoku klienta w centrum sterowania przejdź do strony Urządzenia i wybierz urządzenie z listy.
2. Przejdź do Actions > Run xCommand > Security > Certificates > CSR > Create.
3. Wprowadź wymagane szczegóły certyfikatu i wybierz opcję Wykonaj.
4. Skopiuj cały tekst między ----BEGIN CERTIFICATE REQUEST---- a ----END CERTIFICATE REQUEST----.
5. Użyj wybranego Certificate Authority (CA), aby podpisać CSR.
6. Wyeksportuj podpisany certyfikat w formacie PEM (zakodowanym w Base64).
7. Otwórz podpisany plik certyfikatu w edytorze tekstu (np. Notatniku) i skopiuj cały tekst między ----BEGIN CERTIFICATE---- a ----END CERTIFICATE----.
8. W centrum sterowania przejdź do pozycji Urządzenia > wybierz urządzenie > Akcje > Uruchom > Certyfikaty zabezpieczeń > > CSR >.
9. Wklej skopiowaną zawartość certyfikatu w sekcji Treść i wybierz pozycję Wykonaj.
10. Odśwież stronę, aby sprawdzić, czy certyfikat jest wyświetlany w obszarze Istniejący certyfikat.

Protokół SCEP (Simple Certificate Enrollment Protocol) zapewnia zautomatyzowany mechanizm rejestrowania i odświeżania certyfikatów, które są używane na przykład uwierzytelnianie 802.1X na urządzeniach. Protokół SCEP umożliwia utrzymanie dostępu urządzenia do bezpiecznych sieci bez konieczności ręcznej interwencji.

• Gdy urządzenie jest nowe lub zostało przywrócone do ustawień fabrycznych, musi uzyskać dostęp do sieci, aby uzyskać adres URL protokołu SCEP. Urządzenie powinno być podłączone do sieci bez 802.1X, aby uzyskać adres IP.

• Jeśli korzystasz z rejestracji bezprzewodowej SSID, przejdź przez ekrany dołączania, aby skonfigurować połączenie z siecią.

• Po nawiązaniu połączenia z siecią inicjowania obsługi administracyjnej urządzenie nie musi być wyświetlane na konkretnym ekranie dołączania.

• Aby dopasować się do wszystkich wdrożeń, interfejsy xAPI rejestracji protokołu SCEP nie będą przechowywać certyfikatu urzędu certyfikacji używanego do podpisywania certyfikatu urządzenia. W przypadku uwierzytelniania serwera certyfikat urzędu certyfikacji używany do sprawdzania poprawności certyfikatu serwera musi zostać dodany do xCommand Security Certificates CA Add.

Wymagania wstępne

Potrzebne są następujące informacje:

• Adres URL serwera SCEP.

• Odcisk palca certyfikatu podpisującego urzędu certyfikacji (Certificate Authority).

• Informacje o certyfikacie do zarejestrowania. Tworzy to nazwę podmiotu certyfikatu.

  • Nazwa zwyczajowa

  • Nazwa kraju

  • Nazwa stanu lub prowincji

  • Nazwa miejscowości

  • Nazwa organizacji

  • Jednostka organizacyjna

• Nazwa podmiotu będzie uporządkowana jako /C= /ST= /L= /O= /OU= /CN=

• Hasło wezwania serwera SCEP, jeśli serwer SCEP został skonfigurowany do wymuszania hasła jednorazowego lub wspólnego hasła.

Za pomocą następującego polecenia można ustawić wymagany rozmiar klucza dla pary kluczy żądania certyfikatu. Wartość domyślna to 2048.

 xConfiguration Security Enrollment KeySize: <2048, 3072, 4096>

Wysyłamy wniosek o certyfikat, który jest ważny przez jeden rok w celu wygaśnięcia certyfikatu. Zasady po stronie serwera mogą zmienić datę wygaśnięcia podczas podpisywania certyfikatu.

Połączenie Ethernet

Gdy urządzenie jest podłączone do sieci, upewnij się, że ma dostęp do serwera SCEP. Urządzenie powinno być podłączone do sieci bez 802.1x, aby uzyskać adres IP. Adres MAC urządzenia może wymagać podania do sieci aprowizacyjnej w celu uzyskania adresu IP. Adres MAC można znaleźć w interfejsie użytkownika lub na etykiecie z tyłu urządzenia.

Po podłączeniu urządzenia do sieci możesz użyć protokołu SSH do urządzenia jako administrator , aby uzyskać dostęp do TSH, a następnie uruchomić następujące polecenie, aby wysłać żądanie SCEP rejestracji:

xCommand Security Certificates Services Enrollment Request SCEP 

Gdy serwer protokołu SCEP zwróci podpisany certyfikat urządzenia, aktywuj protokół 802.1X.

Aktywuj podpisany certyfikat:

xCommand Security Certificates Services Aktywuj 

Uruchom ponownie urządzenie po aktywowaniu certyfikatu.

Połączenie bezprzewodowe

Gdy urządzenie jest podłączone do sieci bezprzewodowej, upewnij się, że ma dostęp do serwera SCEP.

Po podłączeniu urządzenia do sieci możesz użyć protokołu SSH do urządzenia jako administrator , aby uzyskać dostęp do TSH, a następnie uruchomić następujące polecenie, aby wysłać żądanie SCEP rejestracji:

xCommand Security Certificates Services Enrollment Request SCEP 

Urządzenie otrzymuje podpisany certyfikat z serwera SCEP.

Aktywuj podpisany certyfikat:

xCommand Security Certificates Services Aktywuj

Po aktywacji należy skonfigurować w sieci Wi-Fi uwierzytelnianie EAP-TLS.

xCommand Network Wifi Konfiguracja 

Domyślnie konfiguracja Wi-Fi pomija sprawdzanie poprawności serwera. Jeśli wymagane jest tylko uwierzytelnianie jednokierunkowe, zachowaj domyślną wartość True .

Aby wymusić sprawdzanie poprawności serwera, upewnij się, że parametr opcjonalny AllowMissingCA ma wartość False. Jeśli nie można nawiązać połączenia z powodu błędów sprawdzania poprawności usługi, sprawdź, czy dodano poprawny urząd certyfikacji, aby zweryfikować certyfikat serwera, który może być inny niż certyfikat urządzenia.

API opisy

Rola: Administrator, Integrator

xCommand Security Certificates Services Enrollment Request SCEP

Wysyła CSR do danego serwera SCEP w celu podpisania. Parametry CSR SubjectName będą konstruowane w następującej kolejności: C, ST, L, O, OUs, CN.

Parametry:

• URL: <S: 0, 256>

  Adres URL serwera protokołu SCEP.

• Odcisk palca(r): <S: 0, 128>

  Odcisk palca certyfikatu urzędu certyfikacji, który podpisze żądanie protokołu SCEP CSR.

• Nazwa pospolita(r): <S: 0, 64>

  Dodaje "/CN=" do nazwy podmiotu CSR.

• ChallengePassword: <S: 0, 256>

  OTP lub wspólne hasło z serwera SCEP w celu uzyskania dostępu do podpisania.

• Nazwa kraju: <S: 0, 2>

  Dodaje "/c=" do nazwy podmiotu CSR.

• StateOrProvinceName: <S: 0, 64>

  Dodaje "/ST=" do nazwy podmiotu CSR.

• NazwaMiejscowości: <S: 0, 64>

  Dodaje "/l=" do nazwy podmiotu CSR.

• Nazwa organizacji: <S: 0, 64>

  Dodaje "/O=" do nazwy podmiotu CSR.

• Jednostka organizacyjna[5]: <S: 0, 64>

  Dodaje do 5 parametrów "/OU=" do nazwy podmiotu CSR.

• SanDns[5]: <S: 0, 64>

  Dodaje do 5 parametrów DNS do alternatywnej nazwy podmiotu CSR.

• SanEmail[5]: <S: 0, 64>

  Dodaje do 5 parametrów wiadomości e-mail do alternatywnej nazwy tematu CSR.

• SanIp[5]: <S: 0, 64>

  Dodaje do 5 parametrów IP do alternatywnej nazwy podmiotu CSR.

• SanUri[5]: <S: 0, 64>

  Dodaje do 5 parametrów URI do alternatywnej nazwy podmiotu CSR.

xCommand Security Certificates Services Enrollment Profiles Delete

Usuwa profil rejestracji, aby nie odnawiać certyfikatów.

Parametry:

• Odcisk palca(r): <S: 0, 128>

  Odcisk palca certyfikatu urzędu certyfikacji identyfikujący profil, który chcesz usunąć. Dostępne profile do usunięcia można wyświetlić, uruchamiając:

  xCommand Security Certificates Services Enrollment Profiles List

xCommand Security Certificates Services Enrollment Profiles List

Wyświetla listę profili rejestracji do odnowienia certyfikatu.

 xCommand Security Certificates Services Enrollment SCEP profiles Set Fingerprint(r): <S: 0, 128> URL(r): <S: 0, 256>

Dodaj profil rejestracji dla certyfikatów wystawionych przez odcisk palca urzędu certyfikacji, aby użyć podanego adresu URL protokołu SCEP do odnowienia.

Odnowienie

 xCommand Security Certificates Services Enrollment Profiles Set SCEP Profiles Set

Aby automatycznie odnowić certyfikat, urządzenie musi mieć dostęp do adresu URL protokołu SCEP, który może ponownie podpisać certyfikat.

Raz dziennie urządzenie sprawdza dostępność certyfikatów, które wygasną po 45 dniach. Urządzenie podejmie próbę odnowienia tych certyfikatów, jeśli ich wystawca pasuje do profilu.

UWAGA: Wszystkie certyfikaty urządzeń zostaną sprawdzone pod kątem odnowienia, nawet jeśli certyfikat nie został pierwotnie zarejestrowany przy użyciu protokołu SCEP.

Nawigator

1. Bezpośrednie sparowanie: zarejestrowane certyfikaty można aktywować jako certyfikaty "Parowanie".

2. Zdalne sparowanie: Poleć nawigatorowi, aby zarejestrował nowy certyfikat SCEP przy użyciu identyfikatora urządzenia peryferyjnego:

   Urządzenia peryferyjne xCommand Certyfikaty zabezpieczeń Żądanie rejestracji usług SCEP 

   Profile rejestracji są automatycznie synchronizowane ze sparowanym nawigatorem.

3. Autonomiczny program Navigator: taki sam jak rejestrowanie kodeków

Uwierzytelnianie 802.1x można skonfigurować bezpośrednio z menu Ustawienia Room Navigator.

Standard uwierzytelniania 802.1x jest szczególnie ważny w przypadku sieci Ethernet i zapewnia, że tylko autoryzowane urządzenia mają dostęp do zasobów sieciowych.

Dostępne są różne opcje logowania w zależności od metody EAP skonfigurowanej w sieci. Na przykład:

• TLS: Nazwa użytkownika i hasło nie są używane.
• PEAP: Certyfikaty nie są używane.
• TTLS: wymagana jest zarówno nazwa użytkownika/hasło, jak i certyfikaty; Żadna z nich nie jest opcjonalna.

Istnieje kilka sposobów uzyskania certyfikatu klienta na urządzeniu:There are several ways to get the client certificate on a device:

1. Prześlij PEM: użyj funkcji dodawania usług certyfikatów zabezpieczeń.
2. Utwórz CSR: Generuj żądanie podpisania certyfikatu (CSR), podpisz je i połącz za pomocą certyfikatów zabezpieczeń CSR Utwórz/Połącz.
3. SCEP: Wykorzystaj żądanie SCEP rejestracji usług certyfikatów zabezpieczeń.
4. DHCP Opcja 43: Skonfiguruj dostarczanie certyfikatów za pomocą tej opcji.

Konfigurowanie i aktualizowanie certyfikatów dla standardu 802.1x należy wykonać przed sparowaniem Room Navigator z systemem lub po przywróceniu fabrycznego Room Navigator.

Domyślne poświadczenia to admin i puste hasło. Aby uzyskać więcej informacji na temat dodawania certyfikatów za pomocą API, zobacz najnowszą wersję przewodnika API.

1. Otwórz panel sterowania w Nawigatorze, dotykając przycisku w prawym górnym rogu lub przesuwając palcem z prawej strony. Następnie stuknij pozycję Ustawienia urządzenia.
2. Przejdź do strony Połączenie sieciowe i wybierz opcję Ethernet .
3. Włącz opcję Użyj standardu IEEE 802.1X.
   • Jeśli uwierzytelnianie jest skonfigurowane przy użyciu poświadczeń, wprowadź tożsamość użytkownika i hasło. Można również wprowadzić tożsamość anonimową: jest to opcjonalne pole, które umożliwia oddzielenie tożsamości rzeczywistego użytkownika od początkowego żądania uwierzytelnienia.
   • Możesz przełączyć TLS Weryfikacja wyłączona lub włączona. Gdy weryfikacja TLS jest włączona, klient aktywnie weryfikuje autentyczność certyfikatu serwera podczas uzgadniania TLS. Gdy TLS weryfikacja jest wyłączona, klient nie przeprowadza aktywnej weryfikacji certyfikatu serwera.
   • Jeśli certyfikat klienta został przesłany, uzyskując dostęp do API, włącz opcję Użyj certyfikatu klienta.
   • Przełącz metody protokołu uwierzytelniania rozszerzonego (EAP), których chcesz użyć. Wybór metody EAP zależy od konkretnych wymagań bezpieczeństwa, infrastruktury i możliwości klienta. Metody EAP mają kluczowe znaczenie dla zapewnienia bezpiecznego i uwierzytelnionego dostępu do sieci.