Puteți adăuga certificate din interfața web locală a dispozitivului. Alternativ, puteți adăuga certificate executând comenzile API. Pentru a vedea ce comenzi vă permit să adăugați certificate, consultați roomos.cisco.com .

Certificatele de service și CA de încredere

Validarea certificatului poate fi necesară atunci când utilizați TLS (Transport Layer Security). Un server sau client poate solicita ca dispozitivul să le prezinte un certificat valabil înainte de configurarea comunicării.

Certificatele sunt fișiere text care verifică autenticitatea dispozitivului. Aceste certificate trebuie să fie semnate de un Certificate Authority (CA) de încredere. Pentru a verifica semnătura certificatelor, o listă de CA de încredere trebuie să se afle pe dispozitiv. Lista trebuie să includă toate CA necesare pentru a verifica certificatele atât pentru înregistrarea în jurnalul de audit, cât și pentru alte conexiuni.

Certificatele sunt utilizate pentru următoarele servicii: server HTTPS, SIP, IEEE 802.1X și jurnalele de audit. Aveți posibilitatea să stocați mai multe certificate pe dispozitiv, dar numai un singur certificat este activat pentru fiecare serviciu la un moment dat.

În RoomOS octombrie 2023 și versiunile ulterioare, atunci când adăugați un certificat CA la un dispozitiv, acesta se aplică și unui Room Navigator dacă este conectat unul. Pentru a sincroniza certificatele CA adăugate anterior cu un Room Navigator conectat, trebuie să reporniți dispozitivul. Dacă nu doriți ca perifericele să obțină aceleași certificate ca dispozitivul la care este conectat, setați configurația Certificate de securitate periferice SyncToPeripherals la False.

Pentru conexiunea Wi-Fi

Vă recomandăm să adăugați un certificat CA de încredere pentru fiecare dispozitiv din seria Board, Desk sau Room, dacă rețeaua utilizează autentificarea WPA-EAP. Trebuie să faceți acest lucru individual pentru fiecare dispozitiv și înainte de a vă conecta la Wi-Fi.

Pentru a adăuga certificate pentru conexiunea Wi-Fi, aveți nevoie de următoarele fișiere:

• Lista de certificate CA (format fișier: . PEM)

• Certificat (format fișier: . PEM)

• Cheie privată, fie ca fișier separat, fie inclusă în același fișier cu certificatul (format fișier: . PEM)

• Parolă (necesară numai dacă cheia privată este criptată)

Certificatul și cheia privată sunt stocate în același fișier pe dispozitiv. Dacă autentificarea eșuează, conexiunea nu va fi stabilită.

Administratorii trebuie să genereze o solicitare de semnare a certificatului (CSR) din Control Hub pentru un dispozitiv Board, Desk sau Room înregistrat în cloud.

Urmați acești pași pentru a genera un CSR și a încărca un certificat semnat pe dispozitiv:

1. Din vizualizarea client din Control Hub, accesați pagina Dispozitive și selectați dispozitivul din listă.
2. Navigați la Actions > Run xCommand > Security > Certificates > CSR > Create (Creare).
3. Introduceți detaliile necesare ale certificatului și selectați Executare.
4. Copiați tot textul dintre ----ÎNCEPERE SOLICITARE CERTIFICAT---- ȘI ----ÎNCHEIERE SOLICITARE CERTIFICAT----.
5. Utilizați un Certificate Authority (CA) la alegere pentru a semna CSR.
6. Exportați certificatul semnat în format PEM (codificat Base64).
7. Deschideți fișierul certificat semnat într-un editor de text (de exemplu, Notepad) și copiați tot textul între ----BEGIN CERTIFICATE---- și ----END CERTIFICATE----.
8. În Control Hub, navigați la Dispozitive > selectați dispozitivul > Acțiuni > Rulați xCommand > Securitate > Certificate > linkul CSR >.
9. Lipiți conținutul certificatului copiat în secțiunea Corp și selectați Executare.
10. Reîmprospătați pagina pentru a verifica dacă certificatul apare sub Certificat existent.

Simple Certificate Enrollment Protocol (SCEP) oferă un mecanism automat pentru înscrierea și reîmprospătarea certificatelor care sunt utilizate, de exemplu, autentificarea 802.1X pe dispozitive. SCEP vă permite să mențineți accesul dispozitivului la rețele securizate fără intervenție manuală.

• Când dispozitivul este nou sau a fost resetat la setările din fabrică, are nevoie de acces la rețea pentru a ajunge la URL-ul SCEP. Dispozitivul trebuie să fie conectat la rețea fără 802.1X pentru a obține o adresă IP.

• Dacă utilizați o înscriere wireless SSID, treceți prin ecranele de integrare pentru a configura conexiunea la rețea.

• După ce v-ați conectat la rețeaua de asigurare a accesului, dispozitivul nu trebuie să se afle pe un anumit ecran de integrare.

• Pentru a se potrivi tuturor implementărilor, xAPI-urile SCEP Enrollment nu vor stoca certificatul CA utilizat pentru semnarea certificatului dispozitivului. Pentru autentificarea serverului, certificatul CA utilizat pentru validarea certificatului serverului trebuie adăugat cu xCommand Security Certificates CA Add.

Condiţii prealabile

Aveți nevoie de următoarele informații:

• Adresa URL a serverului SCEP.

• Amprenta digitală a certificatului CA de semnare (Certificate Authority).

• Informații despre certificatul de înscriere. Acesta constituie numele subiectului certificatului.

  • Denumirea comună

  • Numele țării

  • Numele statului sau provinciei

  • Numele localității

  • Numele organizației

  • Unitate organizațională

• Numele subiectului va fi ordonat ca /C= /ST= /L= /O= /OU= /CN=

• Parola de provocare a serverului SCEP dacă ați configurat serverul SCEP pentru a impune un OTP sau un secret partajat.

Puteți seta dimensiunea cheii necesare pentru asocierea de chei de solicitare a certificatului, utilizând următoarea comandă. Valoarea implicită este 2048.

 xConfiguration Security Enrollment KeySize: <2048, 3072, 4096>

Trimitem o solicitare de certificat care este valabilă timp de un an pentru expirarea certificatului. Politica pe partea de server poate modifica data de expirare în timpul semnării certificatului.

Conexiune Ethernet

Când un dispozitiv este conectat la o rețea, asigurați-vă că poate accesa serverul SCEP. Dispozitivul trebuie să fie conectat la o rețea fără 802.1x pentru a obține o adresă IP. Este posibil ca adresa MAC a dispozitivului să trebuiască să fie furnizată rețelei de asigurare a accesului pentru a obține o adresă IP. Adresa MAC poate fi găsită pe interfața de utilizare sau pe eticheta din spatele dispozitivului.

După ce dispozitivul este conectat la rețea, puteți SSH pe dispozitiv ca administrator pentru a accesa TSH, apoi rulați următoarea comandă pentru a trimite solicitarea SCEP de înscriere:

Solicitare SCEP pentru înscrierea serviciilor de certificate de securitate xCommand 

După ce serverul SCEP returnează certificatul semnat al dispozitivului, activați 802.1X.

Activați certificatul semnat:

Serviciile de certificate de securitate xCommand se activează 

Reporniți dispozitivul după activarea certificatului.

Conexiune wireless

Când un dispozitiv este conectat la o rețea fără fir, asigurați-vă că poate accesa serverul SCEP.

După ce dispozitivul este conectat la rețea, puteți SSH pe dispozitiv ca administrator pentru a accesa TSH, apoi rulați următoarea comandă pentru a trimite solicitarea SCEP de înscriere:

Solicitare SCEP pentru înscrierea serviciilor de certificate de securitate xCommand 

Dispozitivul primește certificatul semnat de la serverul SCEP.

Activați certificatul semnat:

Serviciile de certificate de securitate xCommand se activează

După activare, trebuie să configurați rețeaua Wi-Fi cu autentificare EAP-TLS.

xCommand Network Wifi Configurare 

În mod implicit, configurația Wi-Fi omite verificările de validare a serverului. Dacă este necesară doar autentificarea unidirecțională, mențineți AllowMissingCA implicit la True.

Pentru a forța validarea serverului, asigurați-vă că parametrul opțional AllowMissingCA este setat la False. Dacă nu se poate stabili o conexiune din cauza erorilor de validare a serviciului, verificați dacă a fost adăugată CA corectă pentru a verifica certificatul de server, care poate fi diferit de certificatul dispozitivului.

API descrieri

Rol: Admin, Integrator

Solicitare SCEP pentru înscrierea serviciilor de certificate de securitate xCommand

Trimite un CSR la un anumit server SCEP pentru semnare. Parametrii CSR SubjectName vor fi construiți în următoarea ordine: C, ST, L, O, OUs, CN.

Parametrii:

• Adresă: <S: 0, 256>

  Adresa URL a serverului SCEP.

• Amprentă (r): <S: 0, 128>

  Amprenta certificatului CA care va semna cererea SCEP CSR.

• CommonName(r): <S: 0, 64>

  Adaugă "/CN=" la numele subiectului CSR.

• ChallengePassword: <S: 0, 256>

  OTP sau secret partajat de pe serverul SCEP pentru acces la semn.

• CountryName: <S: 0, 2>

  Adaugă "/c=" la numele subiectului CSR.

• StateOrProvinceNume: <S: 0, 64>

  Adaugă "/ST=" la numele subiectului CSR.

• LocalityName: <S: 0, 64>

  Adaugă "/l=" la numele subiectului CSR.

• NumeOrganizație: <S: 0, 64>

  Adaugă "/o=" la numele subiectului CSR.

• Unitatea organizatorică[5]: <S: 0, 64>

  Adaugă până la 5 parametri "/OU=" la numele subiectului CSR.

• SanDns[5]: <S: 0, 64>

  Adaugă până la 5 parametri DNS la numele alternativ al subiectului CSR.

• SanEmail[5]: <S: 0, 64>

  Adaugă până la 5 parametri de e-mail la numele alternativ al subiectului CSR.

• SanIp[5]: <S: 0, 64>

  Adaugă până la 5 parametri IP la numele alternativ al subiectului CSR.

• SanUri[5]: <S: 0, 64>

  Adaugă până la 5 parametri URI la numele alternativ al subiectului CSR.

Certificate de securitate xCommand Profiluri de înscriere servicii Ștergere

Șterge un profil de înscriere pentru a nu mai reînnoi certificatele.

Parametrii:

• Amprentă (r): <S: 0, 128>

  Amprenta certificatului CA care identifică profilul pe care doriți să îl eliminați. Puteți vedea profilurile disponibile pentru eliminare rulând:

  Lista de profiluri de înscriere a serviciilor de certificate de securitate xCommand

Lista de profiluri de înscriere a serviciilor de certificate de securitate xCommand

Listează profilurile de înscriere pentru reînnoirea certificatului.

 Certificate de securitate xCommand Încadrare servicii Profiluri SCEP Set amprentă(r): <S: 0, 128> URL(r): <S: 0, 256>

Adăugați un profil de înscriere pentru certificatele emise de amprenta CA pentru a utiliza URL-ul SCEP dat pentru reînnoire.

Reînnoire

 Set de profiluri SCEP pentru înscrierea certificatelor de securitate xCommand

Pentru a reînnoi automat certificatul, dispozitivul trebuie să poată accesa URL-ul SCEP care poate renunța la certificat.

O dată pe zi, dispozitivul va verifica dacă există certificate care vor expira în 45 de zile. Dispozitivul va încerca apoi să reînnoiască aceste certificate dacă emitentul lor corespunde unui profil.

NOTĂ: Toate certificatele dispozitivelor vor fi verificate pentru reînnoire, chiar dacă certificatul nu a fost înscris inițial utilizând SCEP.

Navigator

1. Asociere directă: certificatele înscrise pot fi activate ca certificate de "asociere".

2. Remote Paired: Spuneți navigatorului să înscrie un nou certificat SCEP utilizând ID-ul perifericului:

   Periferice xCommand Certificate de securitate Servicii Înscriere Solicitare SCEP 

   Profilurile de înscriere sunt sincronizate automat cu navigatorul asociat.

3. Navigator independent: la fel ca înscrierea codecului

Puteți configura autentificarea 802.1x direct din meniul Setări al Room Navigator.

Standardul de autentificare 802.1x este deosebit de important pentru rețelele Ethernet și asigură faptul că numai dispozitivele autorizate primesc acces la resursele rețelei.

Sunt disponibile diferite opțiuni de conectare pe baza metodei EAP configurate în rețeaua dvs. De exemplu:

• TLS: Numele de utilizator și parola nu sunt utilizate.
• PEAP: Certificatele nu sunt utilizate.
• TTLS: Sunt necesare atât numele de utilizator / parola, cât și certificatele; Niciuna dintre acestea nu este opțională.

Există mai multe modalități de a obține certificatul client pe un dispozitiv:

1. Încărcați PEM: Utilizați caracteristica Adăugare servicii certificate de securitate.
2. Creați CSR: Generați o solicitare de semnare a certificatului (CSR), semnați-o și legați-o utilizând certificatele de securitate CSR Creare/Conectare.
3. SCEP: Utilizați solicitarea SCEP de înscriere a serviciilor de certificate de securitate.
4. DHCP Opțiunea 43: Configurați livrarea certificatului prin această opțiune.

Configurarea și actualizarea certificatelor pentru 802.1x trebuie făcută înainte de asocierea Room Navigator la un sistem sau după resetarea din fabrică a Room Navigator.

Acreditările implicite sunt admin și parolă necompletată. Pentru mai multe informații despre cum să adăugați certificate accesând API, consultați cea mai recentă versiune a ghidului API.

1. Deschideți panoul de control de pe Navigator atingând butonul din colțul din dreapta sus sau glisând din partea dreaptă. Apoi atingeți Setări dispozitiv.
2. Accesați Conexiune la rețea și selectați Ethernet .
3. Activați Utilizare IEEE 802.1X.
   • Dacă autentificarea este configurată cu acreditări, introduceți identitatea utilizatorului și fraza de acces. De asemenea, puteți introduce o identitate anonimă: acesta este un câmp opțional care oferă o modalitate de a separa identitatea utilizatorului real de solicitarea inițială de autentificare.
   • Puteți comuta TLS Verify off sau on. Când TLS verify este activat, clientul verifică în mod activ autenticitatea certificatului serverului în timpul strângerii de mână TLS. Când TLS verify este dezactivat, clientul nu efectuează verificarea activă a certificatului serverului.
   • Dacă ați încărcat un certificat de client accesând API, activați Utilizați certificatul de client.
   • Comutați metodele Extensible Authentication Protocol (EAP) pe care doriți să le utilizați. Alegerea metodei EAP depinde de cerințele specifice de securitate, infrastructură și capacitățile clientului. Metodele EAP sunt cruciale pentru a permite accesul securizat și autentificat la rețea.