Možete dodati sertifikate iz lokalnog veb interfejsa uređaja. Alternativno, možete dodati sertifikate pokretanjem API komandi. Da biste videli koje komande vam omogućavaju da dodate sertifikate, pogledajte roomos.cisco.com .

Servisni sertifikati i pouzdani CA

Validacija sertifikata može biti potrebna kada se koristi TLS (Bezbednost transportnog sloja). Server ili klijent može zahtevati da im uređaj predstavi važeći sertifikat pre nego što se uspostavi komunikacija.

Sertifikati su tekstualne datoteke koje potvrđuju autentičnost uređaja. Ovi sertifikati moraju biti potpisani od strane pouzdanog Certificate Authority (CA). Da biste potvrdili potpis sertifikata, na uređaju se mora nalaziti lista pouzdanih CA. Lista mora da sadrži sve CA potrebne za verifikaciju sertifikata i za evidentiranje revizije i za druge veze.

Sertifikati se koriste za sledeće usluge: HTTPS server, SIP, IEEE 802.1Ks i evidentiranje revizije. Možete da sačuvate nekoliko sertifikata na uređaju, ali samo jedan sertifikat je omogućen za svaku uslugu u isto vreme.

Na RoomOS-u u oktobru 2023. i kasnije, kada dodate CA sertifikat na uređaj, on se primenjuje i na Room Navigator ako je povezan. Da biste sinhronizovali prethodno dodate CA sertifikate sa povezanim Room Navigator, morate ponovo pokrenuti uređaj. Ako ne želite da periferije dobiju iste sertifikate kao i uređaj sa kojim je povezan, podesite konfiguraciju Periferije Bezbednosni sertifikati SincToPeripherals na False.

Za Wi-Fi vezu

Preporučujemo da dodate pouzdani CA sertifikat za svaki uređaj Board, Desk ili Room Series, ako vaša mreža koristi VPA-EAP autentifikaciju. To morate uraditi pojedinačno za svaki uređaj i pre nego što se povežete sa Wi-Fi.

Da biste dodali sertifikate za vašu Wi-Fi vezu, potrebni su vam sledeći fajlovi:

• Lista sertifikata CA (format datoteke: . PEM)

• Sertifikat (format datoteke: . PEM)

• Privatni ključ, bilo kao poseban fajl ili uključen u istu datoteku kao sertifikat (format datoteke: . PEM)

• Passphrase (potrebno samo ako je privatni ključ kodiran)

Sertifikat i privatni ključ se čuvaju u istoj datoteci na uređaju. Ako autentifikacija ne uspe, veza neće biti uspostavljena.

Administratori moraju generisati zahtev za potpisivanje sertifikata (CSR) iz kontrolnog čvorišta za uređaj registrovan u oblaku Board, Desk ili Room Series.

Pratite ove korake da biste generisali CSR i otpremili potpisani sertifikat na svoj uređaj:

1. Iz prikaza kupca u Control Hub-u, idite na stranicu Uređaji i izaberite svoj uređaj sa liste.
2. Idite na Akcije > Pokreni kCommand > Bezbednosni > sertifikati > CSR > Kreiraj.
3. Unesite potrebne detalje sertifikata i izaberite Izvrši.
4. Kopirajte sav tekst između ----BEGIN CERTIFICATE REQUEST---- i ----END CERTIFICATE REQUEST----.
5. Koristite Certificate Authority (CA) po vašem izboru da potpišete CSR.
6. Izvozite potpisani sertifikat u PEM (Base64-kodiranom) formatu.
7. Otvorite potpisanu datoteku sertifikata u uređivaču teksta (npr. Notepad) i kopirajte sav tekst između ----BEGIN CERTIFICATE---- i ----END CERTIFICATE----.
8. U kontrolnom čvorištu idite na Uređaji > izaberite svoj uređaj > Akcije > Pokreni kCommand > Sertifikati za bezbednost > > CSR > Link.
9. Nalepite kopirani sadržaj sertifikata u Telo odeljak i izaberite Izvrši.
10. Osvežite stranicu da biste proverili da li se sertifikat pojavljuje pod Postojeći sertifikat.

Simple Certificate Enrollment Protocol (SCEP) pruža automatizovani mehanizam za upis i osvežavanje sertifikata koji se koriste na primer 802.1Ks autentifikacija na uređajima. SCEP vam omogućava da održite pristup uređaja sigurnim mrežama bez ručne intervencije.

• Kada je uređaj nov ili je fabrička podešavanja, potreban mu je pristup mreži da bi stigao do SCEP URL-a. Uređaj treba da bude povezan na mrežu bez 802.1Ks da dobije IP adresu.

• Ako koristite bežični upis SSID, prođite kroz ekrane za uključivanje da biste konfigurisali vezu sa mrežom.

• Kada se povežete sa mrežom za obezbeđivanje, uređaj ne mora da bude na određenom ekranu za ukrcaj.

• Da bi se uklopili u sve primene, SCEP Enrollment kAPI-ji neće čuvati CA sertifikat koji se koristi za potpisivanje sertifikata uređaja. Za proveru identiteta servera, CA sertifikat koji se koristi za validaciju sertifikata servera treba da se doda sa kCommand bezbednosnim sertifikatima CA Add.

Preduslovi

Potrebne su vam sledeće informacije:

• URL SCEP servera.

• Otisak prsta potpisnog CA (Certificate Authority) sertifikata.

• Informacije o sertifikatu za upis. Ovo čini naziv predmeta sertifikata.

  • Zajedničko ime

  • Ime zemlje

  • Ime države ili pokrajine

  • Ime lokaliteta

  • Naziv organizacije

  • Organizaciona jedinica

• Ime predmeta će biti poređeno kao / C = / ST = / L = / O = / OU = / CN =

• Lozinka za izazov SCEP servera ako ste konfigurisali SCEP server da sprovede OTP ili zajedničku tajnu.

Možete podesiti potrebnu veličinu ključa za par ključeva zahteva za sertifikat koristeći sledeću komandu. Podrazumevano je 2048.

 Ključ za upis bezbednosti kConfiguration Veličina: <2048, 3072, 4096>

Šaljemo zahtev za sertifikat koji važi godinu dana za istek sertifikata. Politika na strani servera može da promeni datum isteka tokom potpisivanja sertifikata.

Ethernet veza

Kada je uređaj povezan na mrežu, uverite se da može da pristupi SCEP serveru. Uređaj treba da bude povezan na mrežu bez 802.1k da dobije IP adresu. MAC adresa uređaja možda će morati da bude dostavljena mreži za obezbeđivanje kako bi se dobila IP adresa. Adresa MAC može se naći na korisničkom interfejsu ili na etiketi na poleđini uređaja.

Nakon što je uređaj povezan na mrežu, možete SSH na uređaj kao administrator da biste pristupili TSH-u, a zatim pokrenite sledeću komandu da biste poslali zahtev za upis SCEP-a:

kCommand Bezbednosni sertifikati Usluge upisa SCEP zahtev 

Kada SCEP Server vrati potpisani sertifikat uređaja, aktivirajte 802.1Ks.

Aktivirajte potpisani sertifikat:

Usluge bezbednosnih sertifikata kCommand Aktivirajte 

Ponovo pokrenite uređaj nakon aktiviranja sertifikata.

Bežična veza

Kada je uređaj povezan na bežičnu mrežu, uverite se da može da pristupi SCEP serveru.

Nakon što je uređaj povezan na mrežu, možete SSH na uređaj kao administrator da biste pristupili TSH-u, a zatim pokrenite sledeću komandu da biste poslali zahtev za upis SCEP-a:

kCommand Bezbednosni sertifikati Usluge upisa SCEP zahtev 

Uređaj prima potpisani sertifikat sa SCEP servera.

Aktivirajte potpisani sertifikat:

Usluge bezbednosnih sertifikata kCommand Aktivirajte

Nakon aktiviranja, potrebno je da konfigurišete Wi-Fi mrežu sa EAP-TLS autentifikacijom.

kCommand Mreža ViFi Konfigurisanje 

Po defaultu, konfiguracija Wi-Fi preskače provere validacije servera. Ako je potrebna samo jednosmerna autentifikacija, onda držite AllowMissingCA podrazumevano na True.

Da biste prisilili validaciju servera, uverite se da je AllovMissingCA opcioni parametar podešen na False. Ako veza ne može da se uspostavi zbog grešaka u validaciji servisa, proverite da li je dodata ispravna dopunska kontrola da biste proverili sertifikat servera koji se može razlikovati od sertifikata uređaja.

API opisa

Uloga: Administrator, integrator

kCommand Bezbednosni sertifikati Usluge upisa SCEP zahtev

Šalje CSR datom SCEP serveru za potpisivanje. Parametri CSR SubjectName će biti konstruisani sledećim redosledom: C, ST, L, O, OUs, CN.

Parametre:

• URL adresa (r): <S: 0, 256>

  URL adresa SCEP servera.

• Otisak prsta(r): <S: 0, 128>

  CA sertifikat Otisak prsta koji će potpisati SCEP zahtev CSR.

• CommonName(r): <S: 0, 64>

  Dodaje "/CN=" na CSR ime subjekta.

• IzazovLozinka: <S: 0, 256>

  OTP ili zajednička tajna sa SCEP servera za pristup potpisivanju.

• ZemljaIme: <S: 0, 2>

  Dodaje "/c=" na CSR ime subjekta.

• DržavaIliProvinceIme: <S: 0, 64>

  Dodaje "/ST=" na CSR ime predmeta.

• LokalitetIme: <S: 0, 64>

  Dodaje "/l =" u ime predmeta CSR.

• Naziv organizacije: <S: 0, 64>

  Dodaje "/O =" u ime predmeta CSR.

• Organizaciona jedinica[5]: <S: 0, 64>

  Dodaje do 5 "/ OU =" parametara na CSR Ime predmeta.

• SanDns[5]: <S: 0, 64>

  Dodaje do 5 DNS parametara na CSR Subject Alternative Name.

• SanEmail[5]: <S: 0, 64>

  Dodaje do 5 parametara e-pošte na CSR Subject Alternative Name.

• SanIp[5]: <S: 0, 64>

  Dodaje do 5 Ip parametara na CSR Subject Alternative Name.

• SanUri[5]: <S: 0, 64>

  Dodaje do 5 URI parametara na CSR Subject Alternative Name.

kCommand Bezbednosni sertifikati Usluge upisa Profili za upis Izbriši

Briše profil upisa da više ne obnavlja sertifikate.

Parametre:

• Otisak prsta(r): <S: 0, 128>

  Otisak prsta CA sertifikata koji identifikuje profil koji želite da uklonite. Možete videti dostupne profile za uklanjanje pokretanjem:

  Lista profila za upis bezbednosnih sertifikata xCommand Securiti Certificates

Lista profila za upis bezbednosnih sertifikata xCommand Securiti Certificates

Navodi profile upisa za obnovu sertifikata.

 xCommand Securiti Certificates Services Enrollment SCEP Profiles Set Fingerprint(r): <S: 0, 128> URL(r): <S: 0, 256>

Dodajte profil za upis za sertifikate koje je izdao otisak prsta CA da biste koristili datu SCEP URL adresu za obnovu.

Obnove

 kCommand Bezbednosni sertifikati Usluge upisa Skup SCEP profila

Da bi se automatski obnovio sertifikat, uređaj mora biti u mogućnosti da pristupi SCEP URL-u koji može da podnese ostavku na sertifikat.

Jednom dnevno, uređaj će proveriti sertifikate koji će isteći sa 45 dana. Uređaj će zatim pokušati da obnovi ove sertifikate ako njihov izdavač odgovara profilu.

NAPOMENA: Svi sertifikati uređaja će biti provereni za obnovu, čak i ako sertifikat nije prvobitno upisan pomoću SCEP-a.

Navigator

1. Direktno upareno: Upisani sertifikati mogu se aktivirati kao sertifikat "Uparivanje".

2. Daljinski uparen: Recite navigatoru da upiše novi SCEP sertifikat koristeći ID periferije:

   kCommand periferije Bezbednosni sertifikati Usluge upisa SCEP Zahtev 

   Profili upisa se automatski sinhronizuju sa uparenim navigatorom.

3. Samostalni navigator: Isto kao i upis kodeka

Možete podesiti 802.1k autentifikaciju direktno iz menija Podešavanja Room Navigator.

802.1k standard autentifikacije je posebno važan za Ethernet mreže i osigurava da samo ovlašćeni uređaji imaju pristup mrežnim resursima.

Različite opcije prijavljivanja su dostupne na osnovu EAP metode konfigurisane u vašoj mreži. Na primer:

• TLS: Korisničko ime i lozinka se ne koriste.
• PEAP: Sertifikati se ne koriste.
• TTLS: Potrebno je i korisničko ime / lozinka i sertifikati; ni jedno ni drugo nije opciono.

Postoji nekoliko načina da dobijete sertifikat klijenta na uređaju:

1. Otpremite PEM: Koristite funkciju dodavanja usluga bezbednosnih sertifikata.
2. Kreirajte CSR: Generišite zahtev za potpisivanje sertifikata (CSR), potpišite ga i povežite ga pomoću bezbednosnih sertifikata CSR Kreiraj/poveži.
3. SCEP: Koristite SCEP zahtev za upis usluga bezbednosnih sertifikata.
4. DHCP Opcija 43: Konfigurišite isporuku sertifikata putem ove opcije.

Podešavanje i ažuriranje sertifikata za 802.1x treba da se uradi pre uparivanja Room Navigator sa sistemom, ili nakon fabričkog resetovanja Room Navigator.

Podrazumevani akreditivi su admin i prazna lozinka. Za više informacija o tome kako da dodate sertifikate pristupom API, pogledajte najnoviju verziju vodiča API.

1. Otvorite kontrolnu tablu na Navigatoru tako što ćete dodirnuti dugme u gornjem desnom uglu ili prevlačenjem sa desne strane. Zatim dodirnite Podešavanja uređaja.
2. Idi na Mrežna veza i izaberite Ethernet .
3. Uključite opciju Upotrebi IEEE 802.1X.
   • Ako je autentifikacija podešena sa akreditivima, unesite identitet korisnika i lozinku. Takođe možete da unesete anonimni identitet: ovo je opciono polje koje pruža način da se odvoji identitet stvarnog korisnika od inicijalnog zahteva za autentifikaciju.
   • Možete se prebaciti TLS Potvrdi isključeno ili uključeno. Kada je uključen TLS verifikacija, klijent aktivno proverava autentičnost sertifikata servera tokom rukovanja TLS. Kada je TLS verifikacija isključena, klijent ne vrši aktivnu verifikaciju sertifikata servera.
   • Ako ste otpremili sertifikat klijenta pristupom API, uključite Koristi sertifikat klijenta na.
   • Uključite metode Extensible Authentication Protocol (EAP) koje želite da koristite. Izbor EAP metode zavisi od specifičnih bezbednosnih zahteva, infrastrukture i mogućnosti klijenta. EAP metode su ključne za omogućavanje sigurnog i autentifikovanog pristupa mreži.