Сертификаты можно добавлять в локальном веб-интерфейсе устройства. Кроме того, сертификаты можно добавлять, выполняя команды API. Сведения о том, какие команды позволяют добавлять сертификаты, см. в разделе roomos.cisco.com .

Сертификаты службы и доверенные CAS

При использовании TLS (безопасность на транспортном уровне) может потребоваться подтверждение сертификатов Сервер или клиент может потребовать от устройства представить им действительный сертификат перед настройкой связи.

Сертификаты представляют собой текстовые файлы, подтверждающие подлинность устройства. Эти сертификаты должны быть подписаны доверенным Certificate Authority (CA). Для проверки подписи сертификатов на устройстве должен находиться список доверенных сертификатов. В список должны входить все необходимые сертификаты для проверки сертификатов как для ведения журналов аудита, так и для других соединений.

Сертификаты используются для следующих служб: сервер HTTPS, SIP, IEEE 802.1X и ведение журналов аудита. На устройстве можно хранить несколько сертификатов, но для каждой службы одновременно доступен только один сертификат.

В RoomOS октября 2023 года и последующих версий при добавлении сертификата СА к устройству он также применяется к номеру Room Navigator, если он подключен. Чтобы синхронизировать ранее добавленные сертификаты СА с подключенной Room Navigator, необходимо перезагрузить устройство. Если вы не хотите, чтобы периферийные шлюзы получили те же сертификаты, что и устройство, к которому оно подключено, задайте в конфигурации Периферийные шлюзы сертификаты безопасности SyncToPeripherals значение False.

Для подключения Wi-Fi

Рекомендуется добавлять доверенный сертификат СА для каждого устройства с номером Board, настольного устройства или устройства серии комнат, если в вашей сети используется аутентификация WPA-EAP. Это необходимо сделать отдельно для каждого устройства перед подключением к Wi-Fi.

Для добавления сертификатов для подключения Wi-Fi необходимы следующие файлы:

• список сертификатов CA (формат файла: . ПЭМ)

• Сертификат (формат файла: . ПЭМ)

• Закрытый ключ, либо как отдельный файл, либо входящий в тот же файл, что и сертификат (формат файла: . ПЭМ)

• Парольная фраза (требуется только в том случае, если закрытый ключ зашифрован)

Сертификат и закрытый ключ хранятся в одном файле на устройстве. В случае неудачи аутентификации соединение не устанавливается.

Администраторы должны сформировать запрос на подпись сертификатов (CSR) из управляющего центра для облачного устройства с номером Board, стационарного оборудования или устройства серии комнат.

Чтобы сформировать CSR и выгрузить подписанный сертификат на свое устройство, выполните следующие действия:

1. В окне "Пользователь" в control Hub перейдите на страницу "Устройства" и выберите в списке свое устройство.
2. Перейдите к разделу «Действия > Запуск сертификатов > > безопасности > безопасности > CSR > Создание.
3. Введите сведения о сертификате и нажмите "Выполнить".
4. Скопируйте весь текст между ----BEGIN CERTIFICATE REQUEST---- ----END CERTIFICATE REQUEST----.
5. Для подписи CSR используйте номер Certificate Authority (CA) по своему выбору.
6. Экспорт сертификата в формате PEM (в кодировке Base64)
7. Откройте подписанный файл сертификата в текстовом редакторе (например, в блокноте) и скопируйте весь текст между ----BEGIN CERTIFICATE---- и ----END CERTIFICATE----.
8. В окне "Центр управления" перейдите к разделу "Устройства", > выберите действия > устройства > запуска сертификатов > безопасности xCommand > Security > ссылку CSR >.
9. Вставьте содержимое скопированного сертификата в раздел "Основной текст" и нажмите "Выполнить".
10. Обновите страницу, чтобы убедиться, что сертификат отображается в разделе «Существующий сертификат».

Протокол SCEP (Simple Certificate Enrollment Protocol) обеспечивает автоматический механизм регистрации и обновления сертификатов, которые используются, например, аутентификация 802.1X на устройствах. SCEP позволяет поддерживать доступ устройства к защищенным сетям без вмешательства вручную.

• Если устройство новое или было сброшено до заводских настроек, оно нуждается в доступе к сети для доступа к URL-адресу SCEP. Для получения IP адреса устройство должно быть подключено к сети без 802.1X.

• При использовании регистрации беспроводной сети SSID перейдите на экраны настройки подключения к сети.

• После подключения к сети подготовки устройство не обязательно должно находиться на определенном экране подключения.

• Для соответствия всем развертываниям в xAPIs scEP Enrollment не будет храниться сертификат CA, используемый для подписи сертификата устройства. Для аутентификации сервера необходимо добавить сертификат CA, используемый для проверки сертификата сервера, с помощью xCommand Security Certificates CA Add.

Предварительная подготовка

Вам потребуются следующие сведения:

• URL сервера SCEP.

• Опечатка свидетельства о подписании CA (Certificate Authority).

• Информация о сертификате для регистрации. Сюда выпадает имя темы сертификата.

  • Общее имя

  • Название страны

  • Название штата или провинции

  • Название населенного пункта

  • Название организации

  • Подразделения

• Имя темы будет упорядочено как /C= /ST= /L= /O= /OU= /CN=

• Пароль вызова сервера SCEP, если вы настроили сервер SCEP для принудительного ввода OTP или общего секрета.

Вы можете задать необходимый размер ключа для клавиатуры запроса сертификата, используя следующую команду: Значение по умолчанию — 2048.

 Ключ регистрации для безопасности xConfiguration: <2048, 3072, 4096>

Мы отправляем запрос на сертификат, действительный в течение одного года для истечения сертификата. Политика на стороне сервера может изменить дату истечения срока действия во время подписи сертификата.

Подключение Ethernet

Если устройство подключено к сети, убедитесь, что оно имеет доступ к серверу SCEP. Для получения IP адреса устройство должно быть подключено к сети без 802.1x. Адрес MAC устройства, возможно, потребуется предоставить сети подготовки, чтобы получить IP-адрес. Адрес MAC можно найти в интерфейсе пользователя или на метке на задней панели устройства.

После подключения устройства к сети вы можете использовать SSH к устройству в качестве администратора для доступа к TSH, а затем выполнить следующую команду для отправки запроса SCEP на регистрацию:

Запрос SCEP на регистрацию служб сертификации xCommand безопасности 

После того как сервер SCEP вернет подписанный сертификат устройства, активируйте 802.1X.

Активация подписанного сертификата:

Активация служб сертификатов xCommand безопасности 

Перезагрузите устройство после активации сертификата.

Подключение к беспроводной сети

Если устройство подключено к беспроводной сети, убедитесь, что оно имеет доступ к серверу SCEP.

После подключения устройства к сети вы можете использовать SSH к устройству в качестве администратора для доступа к TSH, а затем выполнить следующую команду для отправки запроса SCEP на регистрацию:

Запрос SCEP на регистрацию служб сертификации xCommand безопасности 

Устройство получает подписанный сертификат с сервера SCEP.

Активация подписанного сертификата:

Активация служб сертификатов xCommand безопасности

После активации необходимо настроить сеть Wi-Fi аутентификацию EAP-TLS.

Настройка сети Wi-Fi xCommand 

По умолчанию в конфигурации Wi-Fi проверки серверов не выполняются. Если требуется только односторонняя аутентификация, оставьте AllowMissingCA значение True по умолчанию.

Для принудительной проверки серверов убедитесь, что для дополнительного параметра AllowMissingCA установлено значение False. Если подключение не удается установить из-за ошибок, вызванных проверкой службы, убедитесь, что добавлен правильный CA для проверки сертификата сервера, который может отличаться от сертификата устройства.

Описание API

Роль: администратор, системный администратор

Запрос SCEP на регистрацию служб сертификации xCommand безопасности

Отправляет сообщение CSR на данном сервере SCEP для подписи. Параметры CSR SubjectName будут построены в следующем порядке: C, ST, L, O, O, O, CN.

Параметры:

• URL (r): <S: 0, 256>

  URL-адрес сервера SCEP.

• Отпечатки пальцев (r): <S: 0, 128>

  Сертификат CA подпишите запрос SCEP CSR.

• CommonName (r): <S: 0, 64>

  Добавляет "/CN=" к имени CSR имени темы.

• ВызовПассайдвор: <S: 0, 256>

  OTP или Общий секрет с сервера SCEP для доступа для подписи.

• Страна: <S: 0, 2>

  Добавляет "/C=" к имени CSR имени темы.

• StateOrProvinceName: <S: 0, 64>

  Добавляет "/ST=" в имя CSR имени темы.

• МестоположениеИм.: <S: 0, 64>

  Добавляет "/L=" к имени CSR имени темы.

• Название организации: <S: 0, 64>

  Добавляет "/O=" к имени CSR имени темы.

• ОрганизационныйUnit[5]: <S: 0, 64>

  Добавляет до 5 параметров "/OU=" к имени CSR имени темы.

• Санднс[5]: <С: 0, 64>

  Добавляет до 5 параметров DNS к альтернативному имени CSR темы.

• Sanemail[5]: <С: 0, 64>

  Добавляет до 5 параметров электронной почты к альтернативному имени CSR темы Альтернативное имя.

• Санип[5]: <С: 0, 64>

  Добавляет до 5 IP-параметров к альтернативному имени CSR субъекту.

• СанУри[5]: <С: 0, 64>

  Добавляет до 5 параметров URI к альтернативному имени CSR темы.

Профиль регистрации служб xCommand сертификатов безопасности удалить

Удаление профиля регистрации, чтобы больше не обновлять сертификаты.

Параметры:

• Отпечатки пальцев (r): <S: 0, 128>

  Сертификат СА опечаткания, который определяет профиль, который вы хотите удалить. Можно просмотреть профили, доступные для удаления при выполнении следующих действий:

  Список профилей регистрации служб сертификатов безопасности xCommand

Список профилей регистрации служб сертификатов безопасности xCommand

Отображает профили регистрации для обновления сертификатов.

 xCommand сертификатов безопасности службы регистрации SCEP профили установка отпечатков пальцев (r): <S: 0, 128> URL(r): <S: 0, 256>

Добавьте профиль регистрации для сертификатов, выданных отпечатками пальцев CA, чтобы использовать данный URL SCEP для продления.

Возобновление

 Набор профилей профилей scEP для сертификатов xCommand безопасности служб

Чтобы автоматически обновлять сертификат, устройство должно иметь доступ к URL SCEP, который может отказаться от сертификата.

Один раз в день устройство будет проверять наличие сертификатов, срок действия которого истекает через 45 дней. Затем устройство предпринимает попытку обновить эти сертификаты, если их выпуск соответствует профилю.

ПРИМЕЧАНИЕ: Все сертификаты устройств будут проверены на продление, даже если сертификат не был первоначально зарегистрирован с помощью SCEP.

Штурман

1. Прямая привязка: зарегистрированные сертификаты могут быть активированы как сертификат сопряжения.

2. Удаленное сопряжение: говорите навигатору зарегистрировать новый сертификат SCEP с использованием идентификатора периферийного устройства:

   Запрос SCEP на регистрацию сертификатов и периферийных устройств xCommand периферийных шлюзов 

   Профили регистрации автоматически синхронизируются с сопряженным навигатором.

3. Автономный навигатор: то же самое, что и регистрация кодека

Вы можете настроить аутентификацию 802.1x непосредственно из меню настроек Room Navigator.

Для сетей Ethernet особенно важен стандарт аутентификации 802.1x, который гарантирует, что только разрешенные устройства будут получать доступ к сетевым ресурсам.

На основе метода EAP, настроенного в вашей сети, доступны различные варианты входа. Пример:

• TLS: имя пользователя и пароль не используются.
• PEAP: сертификаты не используются.
• TTLS: требуются и имя пользователя, и пароль, и сертификаты; это не является обязательным.

Существует несколько способов получения сертификата клиента на устройстве

1. Выгрузка PEM: используйте функцию добавления служб сертификации безопасности.
2. Создайте CSR: создайте запрос на подпись сертификата (CSR), подпишите его и свяйте с помощью сертификатов безопасности CSR создания/ссылки.
3. SCEP: используйте запрос SCEP на регистрацию сертификатов безопасности.
4. DHCP опция 43: настройте доставку сертификатов с помощью этого параметра.

Настройка и обновление сертификатов для 802.1x следует сделать до сопряжения Room Navigator с системой или до сброса Room Navigator до заводских настроек.

Учетные данные по умолчанию: администратор и пустой пароль. Дополнительные сведения о добавлении сертификатов путем доступа к разделу API см . в последней версии руководства по API.

1. Откройте панель управления в навигаторе, нажав на кнопку в правом верхнем углу или выполнив пальцем справа. Затем коснитесь настроек устройства.
2. Перейдите на «Сетевое подключение » и выберите Ethernet .
3. Включите использование IEEE 802.1X, задав Вкл.
   • Если аутентификация настроена с использованием учетных данных, введите идентификацию пользователя и парольную фразу. Кроме того, можно ввести анонимную идентификацию: это поле не является обязательным, в этом поле предоставляется способ отделить удостоверение фактического пользователя от первоначального запроса на аутентификацию.
   • Вы можете выключить TLS Проверить выкл. Если параметр TLS verify включен, клиент активно проверяет подлинность сертификата сервера во время рукопожатия TLS. Если параметр TLS verify выключен, клиент не выполняет активную проверку сертификата сервера.
   • Если вы выгрузили сертификат клиента, нажав на API, следует переключиться «Использовать сертификат клиента» в.
   • Переключение между используемыми методами по протоколу аутентификации (EAP) . Выбор метода EAP зависит от конкретных требований безопасности, инфраструктуры и возможностей клиента. Методы EAP имеют принципиальное значение для обеспечения защищенного и аутентифицированного доступа к сети.