Potrdila lahko dodate iz lokalnega spletnega vmesnika naprave. Potrdila lahko dodate tudi z zagonom ukazov API. Če si želite ogledati, kateri ukazi omogočajo dodajanje potrdil, glejte roomos.cisco.com .

Potrdila storitev in zaupanja vredni overitelji potrdil

Pri uporabi TLS (varnost transportne plasti) bo morda potrebno preverjanje potrdila. Strežnik ali odjemalec lahko zahteva, da mu naprava predloži veljavno potrdilo, preden se vzpostavi komunikacija.

Potrdila so besedilne datoteke, ki potrjujejo pristnost naprave. Ta potrdila mora podpisati zaupanja vreden overitelj Certificate Authority (CA). Za preverjanje podpisa potrdil mora biti na napravi seznam zaupanja vrednih overiteljev potrdil. Seznam mora vključevati vse overitelje potrdil, ki so potrebni za preverjanje potrdil za beleženje nadzora in druge povezave.

Potrdila se uporabljajo za naslednje storitve: strežnik HTTPS, SIP, IEEE 802.1X in beleženje nadzora. V napravi lahko shranite več potrdil, vendar je za vsako storitev hkrati omogočeno samo eno potrdilo.

V sistemu RoomOS od oktobra 2023 in novejših različic se potrdilo CA, ki ga dodate napravi, uporabi tudi za Room Navigator, če je ta povezan. Če želite sinhronizirati prej dodana potrdila CA s povezanim Room Navigatorjem, morate napravo znova zagnati. Če ne želite, da periferne naprave prejmejo enaka potrdila kot naprava, na katero so priključene, nastavite konfiguracijo Varnostna potrdila perifernih naprav SyncToPeripherals na Napačno.

Predhodno shranjena potrdila se ne izbrišejo samodejno. Vnosi v novi datoteki s potrdili CA so dodani obstoječemu seznamu.

Za povezavo Wi-Fi

Priporočamo, da za vsako napravo Board, Desk ali Room Series dodate zaupanja vredno potrdilo, če vaše omrežje uporablja preverjanje pristnosti WPA-EAP. To morate storiti posebej za vsako napravo in preden se povežete z Wi-Fi.

Za dodajanje potrdil za povezavo Wi-Fi potrebujete naslednje datoteke:

  • Seznam potrdil CA (oblika datoteke: .PEM)

  • Potrdilo (format datoteke: .PEM)

  • Zasebni ključ, bodisi kot ločena datoteka bodisi vključen v isto datoteko kot potrdilo (format datoteke: .PEM)

  • Geslo (zahtevano le, če je zasebni ključ šifriran)

Potrdilo in zasebni ključ sta shranjena v isti datoteki na napravi. Če preverjanje pristnosti ne uspe, povezava ne bo vzpostavljena.

Zasebni ključ in geslo se ne uporabljata za priključene periferne naprave.

Dodajte potrdila v naprave Board, Desk in Room Series

1

V pogledu stranke v https://admin.webex.com pojdite na stran Naprave in na seznamu izberite svojo napravo. Pojdite na Podpora in zaženite Lokalni nadzor naprav .

Če ste v napravi nastavili lokalnega skrbnika, lahko do spletnega vmesnika dostopate neposredno tako, da odprete spletni brskalnik in vnesete https://<endpoint ip ali ime gostitelja> .

2

Pomaknite se do Varnost > Potrdila > Po meri >> Dodaj potrdilo in naložite korenska potrdila CA.

3

V openssl ustvarite zasebni ključ in zahtevo za potrdilo. Kopirajte vsebino zahteve za potrdilo. Nato ga prilepite, da od svojega Certificate Authority (CA) zahtevate strežniško potrdilo.

4

Prenesite strežniško potrdilo, ki ga je podpisal vaš overitelj potrdil. Prepričajte se, da je v formatu .PEM.

5

Pomaknite se do Varnost > Potrdila > Storitve > Dodaj potrdilo in naložite zasebni ključ in potrdilo strežnika.

6

Omogočite storitve, ki jih želite uporabljati za potrdilo, ki ste ga pravkar dodali.

Generiraj zahtevo za podpis potrdila (CSR)

Skrbniki morajo za napravo Board, Desk ali Room Series, registrirano v oblaku, ustvariti zahtevo za podpis potrdila (CSR) iz nadzornega središča.

Za ustvarjanje CSR in nalaganje podpisanega potrdila v napravo sledite tem korakom:

  1. V pogledu stranke v Control Hubu pojdite na stran Naprave in na seznamu izberite svojo napravo.
  2. Pojdite na Dejanja > Zaženi xCommand > Varnost > Potrdila > CSR > Ustvari.
  3. Vnesite zahtevane podatke o potrdilu in izberite Izvedi.
  4. Kopirajte celotno besedilo med ----BEGIN CERTIFICATE REQUEST---- in ----END CERTIFICATE REQUEST----.
  5. Za podpis CSR uporabite Certificate Authority (CA) po vaši izbiri.
  6. Izvozite podpisano potrdilo v formatu PEM (kodirano v Base64).
  7. Odprite podpisano datoteko potrdila v urejevalniku besedil (npr. Beležnica) in kopirajte vse besedilo med ----BEGIN CERTIFICATE---- in ----END CERTIFICATE----.
  8. V Control Hub se pomaknite do Naprave > izberite svojo napravo > Dejanja > Zaženi xCommand > Varnost > Potrdila > CSR > Povezava.
  9. Prilepite kopirano vsebino potrdila v razdelek Telo in izberite Izvedi.
  10. Osvežite stran, da preverite, ali se potrdilo prikaže pod možnostjo Obstoječe potrdilo.

Protokol za preprosto vpisovanje potrdil (SCEP)

Protokol SCEP (Simple Certificate Enrollment Protocol) zagotavlja avtomatiziran mehanizem za vpis in osveževanje potrdil, ki se uporabljajo na primer za preverjanje pristnosti 802.1X v napravah. SCEP vam omogoča, da ohranite dostop naprave do varnih omrežij brez ročnega posredovanja.

  • Ko je naprava nova ali je bila ponastavljena na tovarniške nastavitve, potrebuje dostop do omrežja, da doseže URL SCEP. Naprava mora biti povezana z omrežjem brez standarda 802.1X, da pridobi naslov IP.

  • Če uporabljate brezžično registracijo SSID, pojdite na zaslone za uvajanje, da konfigurirate povezavo z omrežjem.

  • Ko ste povezani z omrežjem za omogočanje uporabe, naprava ni več potrebna na določenem zaslonu za uvajanje.

  • Da bi ustrezali vsem uvajanjem, API-ji xAPI za vpis SCEP ne bodo shranjevali potrdila CA, ki se uporablja za podpis potrdila naprave. Za preverjanje pristnosti strežnika je treba dodati potrdilo CA, ki se uporablja za preverjanje veljavnosti potrdila strežnika, skupaj z Varnostna potrdila xCommand CA Dodaj.

Predpogoji

Potrebujete naslednje informacije:

  • URL strežnika SCEP.

  • Prstni odtis potrdila overitelja potrdila (Certificate Authority).

  • Podatki o potrdilu za vpis. To sestavlja Ime subjekta potrdila.

    • Splošno ime

    • Ime države

    • Ime zvezne države ali province

    • Ime kraja

    • Ime organizacije

    • Organizacijska enota

  • Ime subjekta bo urejeno kot /C= /ST= /L= /O= /OU= /CN=

  • Geslo za preverjanje strežnika SCEP, če ste strežnik SCEP konfigurirali za uveljavljanje enkratnega gesla (OTP) ali skupne skrivnosti (Shared Secret).

Zahtevano velikost ključa za par ključev zahteve za potrdilo lahko nastavite z naslednjim ukazom. Privzeta vrednost je 2048.

 Velikost ključa za varnostni vpis xConfiguration: <2048, 3072, 4096>

Za potečenje certifikata pošljemo zahtevo za potrdilo, ki velja eno leto. Pravilnik na strani strežnika lahko spremeni datum poteka veljavnosti med podpisovanjem potrdila.

Ethernetna povezava

Ko je naprava povezana z omrežjem, se prepričajte, da lahko dostopa do strežnika SCEP. Naprava mora biti povezana z omrežjem brez standarda 802.1x, da pridobi naslov IP. Za pridobitev naslova IP bo morda treba omrežju za omogočanje uporabe posredovati naslov naprave MAC. Naslov MAC najdete na uporabniškem vmesniku ali na nalepki na zadnji strani naprave.

Ko je naprava povezana z omrežjem, se lahko do nje povežete prek SSH kot administrator Za dostop do TSH zaženite naslednji ukaz, da pošljete zahtevo za vpis SCEP: 

Zahteva za vpis v storitve varnostnih potrdil xCommand SCEP

Ko strežnik SCEP vrne podpisano potrdilo naprave, aktivirajte 802.1X.

Aktivirajte podpisano potrdilo:

Aktiviranje storitev varnostnih potrdil xCommand

Po aktivaciji potrdila znova zaženite napravo.

Brezžična povezava

Ko je naprava povezana z brezžičnim omrežjem, se prepričajte, da lahko dostopa do strežnika SCEP.

Ko je naprava povezana z omrežjem, lahko SSH na napravo SSH kot skrbnik za dostop do TSH, nato pa zaženite naslednji ukaz, da pošljete zahtevo za vpis SCEP: 

xCommand Security Certificates Services Enroll Zahteva SCEP

Naprava prejme podpisano potrdilo s strežnika SCEP.

Aktivirajte podpisano potrdilo: 

Storitve xCommand varnostnih potrdil Aktiviranje

Po aktiviranju morate omrežje Wi-Fi konfigurirati s preverjanjem pristnosti EAP-TLS. 

Konfiguracija omrežja xCommand Wifi

Konfiguracija Wi-Fi privzeto preskoči preverjanje veljavnosti strežnika. Če je zahtevano samo enosmerno preverjanje pristnosti, naj bo AllowMissingCA privzeto nastavljena na True.

Če želite vsiliti preverjanje veljavnosti strežnika, se prepričajte, da je izbirni parameter AllowMissingCA nastavljen na False. Če povezave ni mogoče vzpostaviti zaradi napak pri preverjanju storitve, preverite, ali je bil dodan pravilen CA, da preverite potrdilo strežnika, ki se morda razlikuje od potrdila naprave.

API opisi

Vloga: skrbnik, integrator

xCommand Security Certificates Services Enroll Zahteva SCEP

Pošlje CSR danemu strežniku SCEP v podpisovanje. Parametri CSR SubjectName bodo sestavljeni v naslednjem vrstnem redu: C, ST, L, O, OUs, CN.

Parametrov:

  • URL(r): <S: 0, 256>

    URL naslov strežnika SCEP.

  • Prstni odtis(r): <S: 0, 128>

    Prstni odtis certifikata CA, ki bo podpisal zahtevo SCEP CSR.

  • Splošno ime(r): <S: 0, 64>

    Doda "/CN=" imenu zadeve CSR.

  • ChallengePassword: <S: 0, 256>

    OTP ali skupna skrivnost strežnika SCEP za dostop do podpisa.

  • Ime države: <S: 0, 2>

    Doda "/c=" imenu zadeve CSR.

  • StateOrProvinceName: <S: 0, 64>

    Doda "/ST=" imenu zadeve CSR.

  • KrajIme: <S: 0, 64>

    Doda "/l=" imenu zadeve CSR.

  • Ime organizacije: <S: 0, 64>

    Doda "/o=" imenu zadeve CSR.

  • Organizacijska enota[5]: <I: 0, 64>

    Sešteje do 5 parametrov "/OU=" imenu predmeta CSR.

  • SanDns[5]: <Ji: 0, 64>

    Sešteje do 5 parametrov DNS alternativnemu imenu subjekta CSR.

  • SanEmail[5]: <I: 0, 64>

    Doda do 5 parametrov e-pošte nadomestnemu imenu zadeve CSR.

  • SanIp[5]: <Je: 0, 64>

    Sešteje do 5 parametrov IP alternativnemu imenu predmeta CSR.

  • SanUri[5]: <I: 0, 64>

    Sešteje do 5 parametrov URI alternativnemu imenu subjekta CSR.

Profili včlanitve storitev xCommand Security Certificate Services Izbriši

Izbriše profil včlanitve, če ne želi več podaljševati potrdil.

Parametrov:

  • Prstni odtis(r): <S: 0, 128>

    Prstni odtis certifikata CA, ki označuje profil, ki ga želite odstraniti. Ogledate si lahko profile, ki so na voljo, ki jih lahko odstranite tako, da zaženete: 

    Seznam profilov včlanitve storitev xCommand Security Certificate Services

Seznam profilov včlanitve storitev xCommand Security Certificate Services

Seznami Vpisni profili za podaljšanje certifikata.

 xCommand Security Certificates Services Vpis Profili SCEP Nastavi prstni odtis(r): <S: 0, 128> URL(r): <S: 0, 256>

Dodajte profil vpisa za potrdila, izdana s prstnim odtisom overitelja, če želite za podaljšanje uporabiti dani URL SCEP.

Obnovo

 Vpis storitev xCommand Security Certificate Services Nabor profilov SCEP

Za samodejno podaljšanje certifikata mora imeti naprava dostop do URL-ja SCEP, ki lahko odstopi od potrdila.

Enkrat na dan bo naprava preverila, ali so na voljo potrdila, ki bodo potekla 45 dni. Naprava bo nato poskusila obnoviti to potrdilo, če se njegov izdajatelj ujema s profilom.

OPOMBA: Podaljšanje vseh potrdil naprave bo preverjeno, tudi če potrdilo prvotno ni bilo včlanjeno s SCEP.

Navigator

  1. Neposredno seznanjeno: Včlanjena potrdila lahko aktivirate kot potrdilo »Seznanjanje«.

  2. Oddaljeno seznanjanje: povejte navigatorju, naj vpiše novo potrdilo SCEP z ID-jem zunanje naprave:

    xCommand Periferne naprave Vpis storitev varnostnih certifikatov Zahteva SCEP 

    Profili včlanitev se samodejno sinhronizirajo s seznanjenim navigatorjem.

  3. Samostojni krmar: enako kot vpis kodekov

Konfiguracija preverjanja pristnosti 802.1x v aplikaciji Room Navigator

Preverjanje pristnosti 802.1x lahko nastavite neposredno v meniju Nastavitve navigatorja v sobi.

Standard preverjanja pristnosti 802.1x je še posebej pomemben za ethernetna omrežja in zagotavlja, da imajo dostop do omrežnih virov samo pooblaščene naprave.

Na voljo so različne možnosti prijave glede na metodo EAP, konfigurirano v vašem omrežju. Na primer:

  • TLS: Uporabniško ime in geslo se ne uporabljata.
  • PEAP: Certifikati se ne uporabljajo.
  • TTLS: Potrebno je uporabniško ime/geslo in certifikati; Niti ni neobvezno.

Potrdilo odjemalca lahko v napravi pridobite na več načinov:

  1. Naložite PEM: uporabite funkcijo »Storitve varnostnih potrdil« dodaj.
  2. Ustvarite CSR: Ustvarite zahtevo za podpis certifikata (CSR), jo podpišite in povežite z uporabo varnostnih potrdil CSR Ustvari/poveži.
  3. SCEP: Uporabite zahtevo SCEP za vpis storitev varnostnih potrdil.
  4. DHCP 43. možnost: S to možnostjo konfigurirajte dostavo potrdila.

Certifikate za 802.1x je treba nastaviti in posodobiti pred seznanitvijo navigatorja v prostoru s sistemom ali po tovarniški ponastavitvi navigatorja v sobi.

Privzeti poverilnici sta skrbniško in prazno geslo. Za več informacij o dodajanju certifikatov z dostopom do API glejte najnovejšo različico vodnika API.

  1. Odprite nadzorno ploščo v Navigatorju tako, da tapnete gumb v zgornjem desnem kotu ali podrsnete z desne strani. Nato tapnite Nastavitve naprave.
  2. Pojdite na Omrežna povezava in izberite Ethernet .
  3. Vklopite možnost Uporabi IEEE 802.1X .
    • Če je preverjanje pristnosti nastavljeno s poverilnicami, vnesite identiteto uporabnika in geslo. Vnesete lahko tudi anonimno identiteto: to je izbirno polje, s katerim lahko ločite identiteto dejanskega uporabnika od prvotne zahteve za preverjanje pristnosti.
    • Preklopite lahko TLS Preverjanje izklopite ali vklopite. Ko je TLS verify vklopljen, odjemalec aktivno preveri pristnost certifikata strežnika med stiskanjem roke TLS. Ko je možnost TLS verify izklopljena, odjemalec ne izvaja aktivnega preverjanja certifikata strežnika.
    • Če ste certifikat odjemalca naložili z dostopom do potrdila API, vklopite možnost Uporabi potrdilo odjemalca.
    • Preklopite metode protokola razširljivega preverjanja pristnosti (EAP), ki jih želite uporabiti. Izbira metode EAP je odvisna od specifičnih varnostnih zahtev, infrastrukture in zmogljivosti odjemalca. Metode EAP so ključnega pomena za omogočanje varnega in overjenega dostopa do omrežja.