Certifikáty môžete pridať z lokálneho webového rozhrania zariadenia. Prípadne môžete certifikáty pridať spustením príkazov API. Ak chcete zistiť, ktoré príkazy umožňujú pridávať certifikáty, navštívte stránku roomos.cisco.com .

Certifikáty služieb a dôveryhodné certifikačné autority

Pri použití TLS (Transport Layer Security) môže byť potrebné overenie certifikátu. Server alebo klient môže pred nastavením komunikácie vyžadovať, aby im zariadenie predložilo platný certifikát.

Certifikáty sú textové súbory, ktoré overujú pravosť zariadenia. Tieto certifikáty musia byť podpísané dôveryhodnou Certificate Authority (CA). Na overenie podpisu certifikátov musí byť v zariadení umiestnený zoznam dôveryhodných certifikačných autorít. Zoznam musí obsahovať všetky certifikačné autority potrebné na overenie certifikátov pre protokolovanie auditu aj pre iné pripojenia.

Certifikáty sa používajú pre nasledujúce služby: HTTPS server, SIP, IEEE 802.1X a protokolovanie auditu. V zariadení môžete uložiť niekoľko certifikátov, ale pre každú službu je naraz povolený iba jeden certifikát.

V systéme RoomOS od októbra 2023 a novších verziách sa certifikát CA pri pridaní do zariadenia použije aj v zariadení Room Navigator, ak je pripojené. Ak chcete synchronizovať predtým pridané certifikáty CA s pripojeným zariadením Room Navigator, musíte zariadenie reštartovať. Ak nechcete, aby periférie dostávali rovnaké certifikáty ako zariadenie, ku ktorému sú pripojené, nastavte konfiguráciu Peripherals Security Certificates SyncToPeripherals na False.

Pre pripojenie Wi-Fi

Odporúčame vám pridať dôveryhodný certifikát CA pre každé zariadenie Board, Desk alebo Room Series, ak vaša sieť používa overovanie WPA-EAP. Musíte to urobiť individuálne pre každé zariadenie a pred pripojením k Wi-Fi.

Na pridanie certifikátov pre vaše pripojenie Wi-Fi potrebujete nasledujúce súbory:

• Zoznam certifikátov CA (formát súboru: .PEM)

• Certifikát (formát súboru: .PEM)

• Súkromný kľúč, buď ako samostatný súbor, alebo zahrnutý v tom istom súbore ako certifikát (formát súboru: .PEM)

• Prístupová fráza (vyžaduje sa iba v prípade, že je súkromný kľúč šifrovaný)

Certifikát a súkromný kľúč sú uložené v tom istom súbore v zariadení. Ak overenie zlyhá, pripojenie sa nenadviaže.

Administrátori musia vygenerovať žiadosť o podpísanie certifikátu (CSR) z Control Hubu pre zariadenie Board, Desk alebo Room Series registrované v cloude.

Ak chcete vygenerovať CSR a nahrať podpísaný certifikát do zariadenia, postupujte podľa týchto krokov:

1. V zobrazení zákazníka v aplikácii Control Hub prejdite na stránku Zariadenia a vyberte svoje zariadenie zo zoznamu.
2. Prejdite na Akcie > Spustiť xCommand > Zabezpečenie > Certifikáty > CSR > Vytvoriť.
3. Zadajte požadované údaje o certifikáte a vyberte možnosť Vykonať.
4. Skopírujte celý text medzi ----BEGIN CERTIFICATE REQUEST---- a ----END CERTIFICATE REQUEST----.
5. Na podpísanie CSR použite Certificate Authority (CA) podľa vlastného výberu.
6. Exportujte podpísaný certifikát vo formáte PEM (kódovanie Base64).
7. Otvorte podpísaný súbor certifikátu v textovom editore (napr. Poznámkový blok) a skopírujte všetok text medzi ----BEGIN CERTIFICATE---- a ----END CERTIFICATE----.
8. V aplikácii Control Hub prejdite na položku Zariadenia > vyberte svoje zariadenie > Akcie > Spustiť xCommand > Zabezpečenie > Certifikáty > CSR > Prepojiť.
9. Vložte skopírovaný obsah certifikátu do sekcie Telo a vyberte možnosť Spustiť.
10. Obnovte stránku a overte, či sa certifikát zobrazuje v časti Existujúci certifikát.

Protokol SCEP (Simple Certificate Enrollment Protocol) poskytuje automatizovaný mechanizmus na registráciu a obnovovanie certifikátov, ktoré sa používajú napríklad na overovanie 802.1X na zariadeniach. SCEP vám umožňuje udržiavať prístup zariadenia k zabezpečeným sieťam bez manuálneho zásahu.

• Keď je zariadenie nové alebo bolo obnovené z výroby, potrebuje prístup k sieti, aby sa dostalo k adrese URL SCEP. Zariadenie by malo byť pripojené k sieti bez štandardu 802.1X, aby získalo adresu IP.

• Ak používate bezdrôtovú registráciu SSID, prejdite si úvodné obrazovky a nakonfigurujte pripojenie k sieti.

• Po pripojení k zriaďovacej sieti už zariadenie nemusí byť na konkrétnej registračnej obrazovke.

• Aby sa hodili do všetkých nasadení, rozhrania xAPI pre registráciu SCEP nebudú ukladať certifikát CA použitý na podpísanie certifikátu zariadenia. Pre overenie servera je potrebné pridať certifikát CA použitý na overenie certifikátu servera spolu s Certifikáty CA zabezpečenia xCommand Pridať .

Predpoklady

Potrebujete nasledujúce informácie:

• URL adresa servera SCEP.

• Odtlačok certifikátu podpisujúcej certifikačnej autority (Certificate Authority).

• Informácie o certifikáte na zápis. Toto tvorí Názov subjektu certifikátu.

  • Bežný názov

  • Názov krajiny

  • Názov štátu alebo provincie

  • Názov lokality

  • Názov organizácie

  • Organizačná jednotka

• Názov subjektu bude zoradený ako /C= /ST= /L= /O= /OU= /CN=

• Výzva na heslo servera SCEP, ak ste nakonfigurovali server SCEP na vynucovanie jednorazového hesla (OTP) alebo zdieľaného tajného hesla.

Požadovanú veľkosť kľúča pre pár kľúčov žiadosti o certifikát môžete nastaviť pomocou nasledujúceho príkazu. Predvolená hodnota je 2048.

 Veľkosť kľúča pre registráciu zabezpečenia xConfiguration: <2048, 3072, 4096>

Posielame žiadosť o certifikát platný jeden rok do dátumu expirácie certifikátu. Politika na strane servera môže zmeniť dátum expirácie počas podpisovania certifikátu.

Ethernetové pripojenie

Keď je zariadenie pripojené k sieti, uistite sa, že má prístup k serveru SCEP. Zariadenie by malo byť pripojené k sieti bez štandardu 802.1x, aby získalo adresu IP. Na získanie adresy IP môže byť potrebné poskytnúť sieti poskytujúcej služby adresu MAC zariadenia. Adresu MAC nájdete na používateľskom rozhraní alebo na štítku na zadnej strane zariadenia.

Po pripojení zariadenia k sieti sa k nemu môžete pripojiť cez SSH ako administrátor Ak chcete získať prístup k TSH, spustite nasledujúci príkaz na odoslanie požiadavky SCEP na registráciu:

Žiadosť o registráciu SCEP do služieb bezpečnostných certifikátov xCommand 

Keď server SCEP vráti podpísaný certifikát zariadenia, aktivujte štandard 802.1X.

Aktivujte podpísaný certifikát:

Aktivácia služieb bezpečnostných certifikátov xCommand 

Po aktivácii certifikátu reštartujte zariadenie.

Bezdrôtové pripojenie

Keď je zariadenie pripojené k bezdrôtovej sieti, uistite sa, že má prístup k serveru SCEP.

Po pripojení zariadenia k sieti sa k nemu môžete pripojiť cez SSH ako admin, aby ste mali prístup k TSH, a potom spustiť nasledujúci príkaz na odoslanie požiadavky SCEP na registráciu:

Žiadosť o registráciu SCEP do služieb bezpečnostných certifikátov xCommand 

Zariadenie prijíma podpísaný certifikát zo servera SCEP.

Aktivujte podpísaný certifikát:

Aktivácia služieb bezpečnostných certifikátov xCommand

Po aktivácii je potrebné nakonfigurovať sieť Wi-Fi s autentifikáciou EAP-TLS.

Konfigurácia siete Wi-Fi xCommand 

Konfigurácia Wi-Fi predvolene preskakuje overovacie kontroly servera. Ak sa vyžaduje iba jednosmerné overenie, ponechajte predvolenú hodnotu AllowMissingCA True .

Ak chcete vynútiť overenie servera, uistite sa, že voliteľný parameter AllowMissingCA je nastavený na False. Ak sa pripojenie nedá nadviazať z dôvodu chýb overenia služby, skontrolujte, či bola pridaná správna certifikačná autorita, aby sa overil certifikát servera, ktorý sa môže líšiť od certifikátu zariadenia.

API popisy

Pozícia: Administrátor, Integrátor

Žiadosť o registráciu SCEP do služieb bezpečnostných certifikátov xCommand

Odošle CSR na daný SCEP server na podpis. Parametre CSR SubjectName budú zostavené v nasledujúcom poradí: C, ST, L, O, OU, CN.

Parametre:

• URL(r): <S: 0, 256>

  URL adresa servera SCEP.

• Odtlačok prsta(r): <S: 0, 128>

  Odtlačok prsta certifikátu CA, ktorý podpíše požiadavku SCEP CSR.

• Bežný názov(r): <S: 0, 64>

  Pridá "/CN=" k názvu subjektu CSR.

• Heslo výzvy: <S: 0, 256>

  OTP alebo zdieľaný tajný kľúč zo servera SCEP pre prístup k podpisu.

• Názov krajiny: <S: 0, 2>

  Pridá "/C=" k názvu subjektu CSR.

• Názov štátu alebo provincie: <S: 0, 64>

  Pridá "/ST=" k názvu subjektu CSR.

• Názov lokality: <S: 0, 64>

  Pridá "/L=" k názvu subjektu CSR.

• Názov organizácie: <S: 0, 64>

  Pridá "/O=" k názvu subjektu CSR.

• OrganizačnáJednotka[5]: <S: 0, 64>

  Pridá až 5 parametrov "/OU=" k názvu subjektu CSR.

• SanDns[5]: <S: 0, 64>

  Pridá až 5 parametrov DNS k alternatívnemu názvu subjektu CSR.

• SanEmail[5]: <S: 0, 64>

  Pridá až 5 parametrov e-mailu k alternatívnemu názvu predmetu CSR.

• SanIp[5]: <S: 0, 64>

  Pridá až 5 parametrov IP k alternatívnemu názvu subjektu CSR.

• SanUri[5]: <S: 0, 64>

  Pridá až 5 parametrov URI k alternatívnemu názvu subjektu CSR.

Profily registrácie služieb bezpečnostných certifikátov xCommand Odstrániť

Odstráni registračný profil, aby sa už neobnovovali certifikáty.

Parametre:

• Odtlačok prsta(r): <S: 0, 128>

  Odtlačok prsta certifikátu CA, ktorý identifikuje profil, ktorý chcete odstrániť. Dostupné profily, ktoré je možné odstrániť, si môžete pozrieť spustením:

  Zoznam profilov registrácie služieb bezpečnostných certifikátov xCommand

Zoznam profilov registrácie služieb bezpečnostných certifikátov xCommand

Zoznam profilov registrácie pre obnovenie certifikátu.

 Registrácia služieb bezpečnostných certifikátov xCommand Profily SCEP Nastavenie odtlačkov prstov: <S: 0, 128> URL(r): <S: 0, 256>

Pridajte registračný profil pre certifikáty vydané odtlačkom prsta certifikačnej autority, aby sa na obnovenie použila daná URL adresa SCEP.

Obnova

 Sada profilov SCEP pre registráciu služieb bezpečnostných certifikátov xCommand

Aby sa certifikát mohol automaticky obnoviť, zariadenie musí mať prístup k URL adrese SCEP, ktorá môže certifikát obnoviť.

Zariadenie raz denne skontroluje certifikáty, ktorých platnosť vyprší o 45 dní. Zariadenie sa potom pokúsi obnoviť tieto certifikáty, ak ich vydavateľ zodpovedá profilu.

POZNÁMKA: Všetky certifikáty zariadenia budú skontrolované na obnovenie, a to aj v prípade, že certifikát nebol pôvodne zaregistrovaný pomocou protokolu SCEP.

Navigátor

1. Priame párovanie: Zaregistrované certifikáty je možné aktivovať ako „párovací“ certifikát.

2. Vzdialené spárovanie: Povedzte navigátoru, aby zaregistroval nový certifikát SCEP pomocou ID periférneho zariadenia:

   Žiadosť o registráciu bezpečnostných certifikátov pre periférie xCommand SCEP 

   Profily registrácie sa automaticky synchronizujú so spárovaným navigátorom.

3. Samostatný navigátor: Rovnaké ako pri registrácii kodekov

Overovanie 802.1x môžete nastaviť priamo z ponuky nastavení Room Navigator.

Autentifikačný štandard 802.1x je obzvlášť dôležitý pre ethernetové siete a zabezpečuje, že prístup k sieťovým zdrojom majú iba autorizované zariadenia.

K dispozícii sú rôzne možnosti prihlásenia na základe metódy EAP nakonfigurovanej vo vašej sieti. Príklad:

• TLS: Používateľské meno a heslo sa nepoužívajú.
• PEAP: Certifikáty sa nepoužívajú.
• TTLS: Vyžaduje sa používateľské meno/heslo aj certifikáty; ani jeden z nich nie je voliteľný.

Existuje niekoľko spôsobov, ako získať klientsky certifikát na zariadení:

1. Nahrajte PEM: Použite funkciu Pridať služby bezpečnostných certifikátov.
2. Vytvorte CSR: Vygenerujte žiadosť o podpísanie certifikátu (CSR), podpíšte ju a prepojte ju pomocou bezpečnostných certifikátov CSR Vytvoriť/Prepojiť.
3. SCEP: Požiadavka SCEP na registráciu služieb bezpečnostných certifikátov.
4. DHCP Možnosť 43: Nakonfigurujte doručovanie certifikátov pomocou tejto možnosti.

Nastavenie a aktualizácia certifikátov pre 802.1x by sa mali vykonať pred párovaním navigátora miestností do systému alebo po obnovení továrenských nastavení zariadenia navigátora miestností.

Predvolené prihlasovacie údaje sú admin a prázdne heslo. Viac informácií o tom, ako pridať certifikáty prístupom k API, nájdete v časti najnovšia verzia sprievodcu API .

1. Otvorte ovládací panel v Navigátore klepnutím na tlačidlo v pravom hornom rohu alebo potiahnutím prsta z pravej strany. Potom klepnite na Nastavenia zariadenia .
2. Prejsť na Sieťové pripojenie a vyberte Ethernet .
3. Prepnúť Použite IEEE 802.1X zapnuté.
   • Ak je overovanie nastavené pomocou prihlasovacích údajov, zadajte identitu používateľa a prístupovú frázu. Môžete tiež zadať anonymnú identitu: toto je voliteľné pole, ktoré umožňuje oddeliť identitu skutočného používateľa od pôvodnej požiadavky na overenie.
   • Môžete prepínať TLS Overiť vypnuté alebo zapnuté. Keď je overenie TLS zapnuté, klient aktívne overuje pravosť certifikátu servera počas nadviazania spojenia TLS. Keď je overovanie TLS vypnuté, klient nevykonáva aktívne overovanie certifikátu servera.
   • Ak ste nahrali klientsky certifikát prístupom k API, prepnite Použiť klientsky certifikát zapnuté.
   • Prepnúť Protokol rozšíriteľného overovania (EAP) metódy, ktoré chcete použiť. Výber metódy EAP závisí od špecifických bezpečnostných požiadaviek, infraštruktúry a možností klienta. Metódy EAP sú kľúčové pre umožnenie bezpečného a overeného prístupu k sieti.