Certifikate lahko dodate iz lokalnega spletnega vmesnika naprave. Certifikate lahko dodate tudi tako, da zaženete ukaze API. Če si želite ogledati, kateri ukazi omogočajo dodajanje potrdil, glejte roomos.cisco.com .

Potrdila o storitvah in zaupanja vredni pristojni organi

Pri uporabi TLS (Transport Layer Security) bo morda potrebna validacija potrdila. Strežnik ali odjemalec lahko zahteva, da mu naprava pred nastavitvijo komunikacije predloži veljaven certifikat.

Potrdila so besedilne datoteke, ki preverjajo pristnost naprave. Ta potrdila mora podpisati zaupanja vreden Certificate Authority (CA). Če želite preveriti podpis potrdil, mora biti v napravi seznam zaupanja vrednih pristojnih organov. Seznam mora vključevati vse pristojne organe, potrebne za preverjanje potrdil za dnevnik revizije in druge povezave.

Certifikati se uporabljajo za te storitve: strežnik HTTPS, SIP, IEEE 802.1X in beleženje dnevnika nadzora. V napravo lahko shranite več potrdil, vendar je za vsako storitev hkrati omogočeno le eno potrdilo.

V sistemu RoomOS oktobra 2023 in pozneje, ko v napravo dodate potrdilo CA, se uporabi tudi za Room Navigator, če je povezan. Če želite predhodno dodane certifikate CA sinhronizirati s povezanim potrdilom Room Navigator, morate znova zagnati napravo. Če ne želite, da zunanje naprave prejemajo enaka potrdila kot naprava, s katero je povezana, nastavite konfiguracijo Zunanja varnostna potrdila SyncToPeripherals na False.

Za povezavo Wi-Fi

Priporočamo, da dodate zaupanja vredno potrdilo overitelja potrdil za vsako napravo Board, namizno mizo ali serijo sob, če vaše omrežje uporablja preverjanje pristnosti WPA-EAP. To morate storiti posamezno za vsako napravo in preden se povežete z Wi-Fi.

Če želite dodati potrdila za povezavo Wi-Fi, potrebujete naslednje datoteke:

• Seznam certifikatov CA (oblika datoteke: . PEM)

• Potrdilo (oblika datoteke: . PEM)

• Zasebni ključ, kot ločena datoteka ali vključen v isto datoteko kot potrdilo (oblika zapisa datoteke: . PEM)

• Geslo (potrebno samo, če je zasebni ključ šifriran)

Potrdilo in zasebni ključ sta shranjena v isti datoteki v napravi. Če preverjanje pristnosti ne uspe, povezava ne bo vzpostavljena.

Skrbniki morajo v nadzornem središču ustvariti zahtevo za podpisovanje potrdila (CSR) za napravo Board, pisalno mizo ali serijo sob, registrirano v oblaku.

Če želite ustvariti CSR in v napravo naložiti podpisano potrdilo, sledite tem korakom:

1. V pogledu stranke v aplikaciji Control Hub pojdite na stran Naprave in na seznamu izberite svojo napravo.
2. Pomaknite se do možnosti Dejanja > Zaženite xCommand > Security > Certificates > CSR > Create.
3. Vnesite zahtevane podatke o certifikatu in izberite Izvedi.
4. Kopirajte celotno besedilo med ----ZAČETEK ZAHTEVE ZA POTRDILO---- in ----KONČAJ ZAHTEVO POTRDILA----.
5. Za podpis CSR uporabite Certificate Authority (CA) po vaši izbiri.
6. Izvozite podpisano potrdilo v obliki zapisa PEM (Base64).
7. Odprite podpisano datoteko s potrdilom v urejevalniku besedila (npr. Beležnici) in kopirajte celotno besedilo med ----START CERTIFICATE---- in ----END CERTIFICATE----.
8. V središču Control Hub se pomaknite do razdelka Naprave > izberite svojo napravo > Dejanja > Zaženi xCommand > Security > Certificates > CSR > Link.
9. Prilepite kopirano vsebino potrdila v razdelek Telo in izberite Izvedi.
10. Osvežite stran, da preverite, ali je potrdilo prikazano v razdelku Obstoječe potrdilo.

Simple Certificate Enrollment Protocol (SCEP) zagotavlja samodejni mehanizem za vpis in osvežitev potrdil, ki se na primer uporabljajo za preverjanje pristnosti 802.1X v napravah. SCEP vam omogoča, da ohranite dostop naprave do varnih omrežij brez ročnega posredovanja.

• Ko je naprava nova ali je bila ponastavljena na tovarniške nastavitve, potrebuje omrežni dostop, da doseže URL SCEP. Če želite pridobiti IP naslov, mora biti naprava povezana z omrežjem brez 802.1X.

• Če uporabljate brezžično včlanitev SSID, pojdite skozi zaslone za uvajanje in konfigurirajte povezavo z omrežjem.

• Ko vzpostavite povezavo z omrežjem za omogočanje uporabe, ni treba, da je naprava na določenem zaslonu za uvajanje.

• Da bi ustrezali vsem uvedbam, xAPI-ji SCEP Enrollment ne bodo shranili potrdila overitelja, ki se uporablja za podpis potrdila naprave. Za preverjanje pristnosti strežnika je treba certifikat CA, ki se uporablja za preverjanje veljavnosti certifikata strežnika, dodati z xCommand Security Certificates CA Add.

Predpogoji

Potrebujete naslednje informacije:

• URL strežnika SCEP.

• Prstni odtis podpisanega certifikata CA (Certificate Authority).

• Podatki o potrdilu za vpis. To sestavlja ime predmeta potrdila.

  • Splošno ime

  • Ime države

  • Ime države ali province

  • Ime kraja

  • Ime organizacije

  • Organizacijska enota

• Ime subjekta bo razvrščeno kot /C= /ST= /L= /O = /OU= /CN=

• Geslo za izziv strežnika SCEP, če ste strežnik SCEP konfigurirali tako, da uveljavlja OTP ali skupno skrivnost.

Želeno velikost ključa za ključ zahteve za potrdilo lahko nastavite z naslednjim ukazom. Privzeta vrednost je 2048.

 xConfiguration Security Enrollment KeySize: <2048, 3072, 4096>

Pošljemo zahtevo za potrdilo, ki velja eno leto, da certifikat poteče. Strežniški pravilnik lahko spremeni datum poteka veljavnosti med podpisovanjem potrdila.

Ethernetna povezava

Ko je naprava povezana z omrežjem, se prepričajte, da lahko dostopa do strežnika SCEP. Če želite pridobiti IP naslov, mora biti naprava povezana z omrežjem brez 802.1x. Za pridobitev IP naslova bo morda treba omrežju za omogočanje uporabe posredovati naslov MAC naprave. Naslov MAC najdete na uporabniškem vmesniku ali na nalepki na zadnji strani naprave.

Ko je naprava povezana z omrežjem, lahko SSH na napravo SSH kot skrbnik za dostop do TSH, nato pa zaženite naslednji ukaz, da pošljete zahtevo za vpis SCEP:

xCommand Security Certificates Services Enroll Zahteva SCEP 

Ko strežnik SCEP vrne podpisano potrdilo o napravi, aktivirajte 802.1X.

Aktivirajte podpisano potrdilo:

Storitve xCommand varnostnih potrdil Aktiviranje 

Po aktiviranju certifikata znova zaženite napravo.

Brezžična povezava

Ko je naprava povezana z brezžičnim omrežjem, se prepričajte, da lahko dostopa do strežnika SCEP.

Ko je naprava povezana z omrežjem, lahko SSH na napravo SSH kot skrbnik za dostop do TSH, nato pa zaženite naslednji ukaz, da pošljete zahtevo za vpis SCEP:

xCommand Security Certificates Services Enroll Zahteva SCEP 

Naprava prejme podpisano potrdilo s strežnika SCEP.

Aktivirajte podpisano potrdilo:

Storitve xCommand varnostnih potrdil Aktiviranje

Po aktiviranju morate omrežje Wi-Fi konfigurirati s preverjanjem pristnosti EAP-TLS.

Konfiguracija omrežja xCommand Wifi 

Konfiguracija Wi-Fi privzeto preskoči preverjanje veljavnosti strežnika. Če je zahtevano samo enosmerno preverjanje pristnosti, naj bo AllowMissingCA privzeto nastavljena na True.

Če želite vsiliti preverjanje veljavnosti strežnika, se prepričajte, da je izbirni parameter AllowMissingCA nastavljen na False. Če povezave ni mogoče vzpostaviti zaradi napak pri preverjanju storitve, preverite, ali je bil dodan pravilen CA, da preverite potrdilo strežnika, ki se morda razlikuje od potrdila naprave.

API opisi

Vloga: skrbnik, integrator

xCommand Security Certificates Services Enroll Zahteva SCEP

Pošlje CSR danemu strežniku SCEP v podpisovanje. Parametri CSR SubjectName bodo sestavljeni v naslednjem vrstnem redu: C, ST, L, O, OE, CN.

Parametrov:

• URL(r): <S: 0, 256>

  URL naslov strežnika SCEP.

• Prstni odtis(r): <S: 0, 128>

  Prstni odtis certifikata CA, ki bo podpisal zahtevo SCEP CSR.

• Splošno ime(r): <S: 0, 64>

  Doda "/CN=" imenu zadeve CSR.

• ChallengePassword: <S: 0, 256>

  OTP ali skupna skrivnost strežnika SCEP za dostop do podpisa.

• Ime države: <S: 0, 2>

  Doda "/c=" imenu zadeve CSR.

• StateOrProvinceName: <S: 0, 64>

  Doda "/ST=" imenu zadeve CSR.

• KrajIme: <S: 0, 64>

  Doda "/L=" imenu zadeve CSR.

• Ime organizacije: <S: 0, 64>

  Doda "/o=" imenu zadeve CSR.

• Organizacijska enota[5]: <I: 0, 64>

  Sešteje do 5 parametrov "/OU=" imenu predmeta CSR.

• SanDns[5]: <Ji: 0, 64>

  Sešteje do 5 parametrov DNS alternativnemu imenu subjekta CSR.

• SanEmail[5]: <I: 0, 64>

  Doda do 5 parametrov e-pošte nadomestnemu imenu CSR Subject.

• SanIp[5]: <Je: 0, 64>

  Sešteje do 5 parametrov IP alternativnemu imenu subjekta CSR.

• SanUri[5]: <I: 0, 64>

  Sešteje do 5 parametrov URI alternativnemu imenu subjekta CSR.

Profili včlanitve storitev xCommand Security Certificate Services Izbriši

Izbriše profil včlanitve, če ne želi več podaljševati potrdil.

Parametrov:

• Prstni odtis(r): <S: 0, 128>

  Prstni odtis certifikata CA, ki označuje profil, ki ga želite odstraniti. Ogledate si lahko profile, ki so na voljo, ki jih lahko odstranite tako, da zaženete:

  Seznam profilov včlanitve storitev xCommand Security Certificate Services

Seznam profilov včlanitve storitev xCommand Security Certificate Services

Seznami Vpisni profili za podaljšanje certifikata.

 xCommand Security Certificates Services Vpis Profili SCEP Nastavi prstni odtis(r): <S: 0, 128> URL(r): <S: 0, 256>

Dodajte profil vpisa za potrdila, izdana s prstnim odtisom overitelja, če želite za podaljšanje uporabiti dani URL SCEP.

Obnovo

 Vpis storitev xCommand Security Certificate Services Nabor profilov SCEP

Za samodejno podaljšanje certifikata mora imeti naprava dostop do URL-ja SCEP, ki lahko odstopi od potrdila.

Enkrat na dan bo naprava preverila, ali so na voljo potrdila, ki bodo potekla 45 dni. Naprava bo nato poskusila obnoviti to potrdilo, če se njegov izdajatelj ujema s profilom.

OPOMBA: Podaljšanje vseh potrdil naprave bo preverjeno, tudi če potrdilo prvotno ni bilo včlanjeno s SCEP.

Navigator

1. Neposredno seznanjeno: Včlanjena potrdila lahko aktivirate kot potrdilo »Seznanjanje«.

2. Oddaljeno seznanjanje: povejte navigatorju, naj vpiše novo potrdilo SCEP z ID-jem zunanje naprave:

   xCommand Periferne naprave Vpis storitev varnostnih certifikatov Zahteva SCEP 

   Profili včlanitev se samodejno sinhronizirajo s seznanjenim navigatorjem.

3. Samostojni krmar: enako kot vpis kodekov

Preverjanje pristnosti 802.1x lahko nastavite neposredno v meniju Nastavitve Room Navigator.

Standard preverjanja pristnosti 802.1x je še posebej pomemben za ethernetna omrežja in zagotavlja, da imajo dostop do omrežnih virov samo pooblaščene naprave.

Na voljo so različne možnosti prijave glede na metodo EAP, konfigurirano v vašem omrežju. Na primer:

• TLS: Uporabniško ime in geslo se ne uporabljata.
• PEAP: Certifikati se ne uporabljajo.
• TTLS: Potrebno je uporabniško ime/geslo in certifikati; Niti ni neobvezno.

Potrdilo odjemalca lahko v napravi pridobite na več načinov:

1. Naložite PEM: uporabite funkcijo »Storitve varnostnih potrdil« dodaj.
2. Ustvarite CSR: Ustvarite zahtevo za podpis certifikata (CSR), jo podpišite in povežite z uporabo varnostnih potrdil CSR Ustvari/poveži.
3. SCEP: Uporabite zahtevo SCEP za vpis storitev varnostnih potrdil.
4. DHCP 43. možnost: S to možnostjo konfigurirajte dostavo potrdila.

Certifikate za 802.1x je treba nastaviti in posodobiti pred seznanjanjem Room Navigator s sistemom ali po tovarniški ponastavitvi Room Navigator.

Privzeti poverilnici sta skrbniško in prazno geslo. Če želite več informacij o dodajanju certifikatov z dostopom do API, glejte najnovejšo različico vodnika API.

1. Odprite nadzorno ploščo v Navigatorju tako, da tapnete gumb v zgornjem desnem kotu ali podrsnete z desne strani. Nato tapnite Nastavitve naprave.
2. Pojdite na Omrežna povezava in izberite Ethernet .
3. Vklopite možnost Uporabi IEEE 802.1X .
   • Če je preverjanje pristnosti nastavljeno s poverilnicami, vnesite identiteto uporabnika in geslo. Vnesete lahko tudi anonimno identiteto: to je izbirno polje, s katerim lahko ločite identiteto dejanskega uporabnika od prvotne zahteve za preverjanje pristnosti.
   • Možnost TLS Verify lahko izklopite ali vklopite. Ko je možnost TLS verify vklopljena, odjemalec aktivno preveri pristnost certifikata strežnika med stiskanjem roke TLS. Ko je TLS verify izklopljeno, odjemalec ne izvaja aktivnega preverjanja certifikata strežnika.
   • Če ste certifikat odjemalca naložili z dostopom do potrdila API, vklopite možnost Uporabi potrdilo odjemalca.
   • Preklopite metode protokola razširljive avtentikacije (EAP), ki jih želite uporabiti. Izbira metode EAP je odvisna od specifičnih varnostnih zahtev, infrastrukture in zmogljivosti odjemalca. Metode EAP so ključnega pomena za omogočanje varnega in overjenega dostopa do omrežja.