Cihazın yerel web arabiriminden sertifika ekleyebilirsiniz. Alternatif olarak, API komutları çalıştırarak sertifika ekleyebilirsiniz. Hangi komutların sertifika eklemenize olanak sağladığını görmek için bkz . roomos.cisco.com .

Hizmet sertifikaları ve güvenilir CA'lar

TLS (Taşıma Katmanı Güvenliği) kullanırken sertifika doğrulama gerekli olabilir. Sunucu veya istemci, iletişim kurulmadan önce cihazın geçerli bir sertifika sunmasını gerektirebilir.

Sertifikalar, cihazın gerçekliğini doğrulayan metin dosyalarıdır. Bu sertifikaların, güvenilir sertifika yetkilisi tarafından imzalanmış olması gerekir. Sertifikaların imzasını doğrulamak için, aygıtta güvenilir CA'ların listesinin bulunması gerekir. Liste, hem denetim kaydı hem de diğer bağlantılar için sertifikaları doğrulamak için gerekli tüm CA'ları içermelidir.

Sertifikalar aşağıdaki hizmetler için kullanılır: HTTPS sunucusu, SIP, IEEE 802.1 X ve denetim günlüğü. Cihazda birden çok sertifika saklayabilirsiniz, ancak bir hizmet için aynı anda yalnızca bir sertifika etkinleştirilir.

RoomOS Ekim 2023 ve sonraki bir sürümü üzerinde, bir aygıta CA sertifikası eklediğinizde, bağlıysa Oda Gezgini'ne de uygulanır. Daha önce eklenen CA sertifikalarını bağlı bir Oda Gezgini ile senkronize etmek için, aygıtı yeniden başlatmanız gerekir. Periferlerin bağlı olduğu aygıtla aynı sertifikaları almalarını istemiyorsanız, yapılandırma Periferler Güvenlik Sertifikaları SyncToPherals'ı False olarak ayarlayın.


Daha önce depolanmış sertifikalar otomatik olarak silinmez. CA sertifikalı yeni bir dosya içindeki girişler, mevcut listeye eklenir.

Wi-Fi bağlantı için

Ağınız WPA-EAP kimlik doğrulaması kullanıyorsa, her Pano, Masa veya Oda Serisi cihazı için güvenilir bir CA sertifikası eklemenizi öneririz. Bunu tek tek ve her bir aygıt için Wi-Fi'ya bağlanmadan önce yapmanız gerekir.

Wi-Fi bağlantınıza sertifika eklemek için aşağıdaki dosyalar gerekir:

  • CA sertifika listesi (dosya biçimi: .PEM)

  • Sertifika (dosya biçimi: .PEM)

  • Özel anahtar, ayrı bir dosya olarak ya da aynı dosyaya sertifika olarak eklenir (dosya biçimi: .PEM)

  • Parola (ancak özel anahtarın şifreli olması durumunda gereklidir)

Sertifika ve özel anahtar, cihazda aynı dosyada saklanır. Kimlik doğrulama başarısız olursa, bağlantı kurulmaz.


Bağlanan periferlere özel anahtar ve parola uygulanmaz.

Pano, Masa ve Oda Serisi cihazlarına sertifika ekleme

1

'deki müşteri görünümündenhttps://admin.webex.com , Cihazlar sayfasına gidin ve listeden cihazınızı seçin. Destek'e gidin ve Yerel Cihaz Denetimlerini başlatın .

Cihazda yerel bir Yönetici rolünde kullanıcı oluşturduysanız, web arabirimine bir web tarayıcısı açıp http(s)://<endpoint ip or hostname> yazarak doğrudan ulaşabilirsiniz.

2

Güvenlik > Sertifikalar > Özel > Sertifika Ekle öğesine gidin ve kök CA sertifikalarınızı karşıya yükleyin.

3

Openssl üzerinde özel anahtar ve sertifika isteği oluşturme. Sertifika isteği içeriğini kopyalayın. Daha sonra bunu sertfiika yetkilinizden (CA) sunucu sertifikası isteğinde bulunmak için yapıştırın.

4

CA'nız tarafından imzalanan sunucu sertifikasını karşıdan yükleyin. CA'nızın içinde olduğundan emin olun. PEM biçimi.

5

Güvenlik > Sertifikalar > Hizmetler > Sertifika Ekle öğesine gidin ve özel anahtar ve sunucu sertifikasını karşıya yükleyin.

6

Az önce eklediğiniz sertifika için kullanmak istediğiniz hizmetleri etkinleştirin.

Basit Sertifika Kayıt Protokolü (SCEP)

Basit Sertifika Kayıt Protokolü (SCEP), aygıtlarda örneğin 802.1X kimlik doğrulaması için kullanılan kayıt ve yenileme sertifikaları için otomatik bir mekanizma sağlar. SCEP, manuel müdahale olmaksızın cihazın güvenli ağlara erişimini korumanıza olanak sağlar.

  • Cihaz yeni olduğunda veya fabrika ayarlarına sıfırlandığında, SCEP URL'ye ulaşmak için ağ erişimine ihtiyacı vardır. Cihazın IP adresi almak için ağa 802.1X olmadan bağlanması gerekir.

  • Kablosuz kayıt SSID kullanıyorsanız, ağla bağlantıyı yapılandırmak için ekleme ekranlarından geçmeniz gerekir.

  • Hazırlama ağına bağlandıktan sonra, cihazın bu aşamada belirli bir katılım ekranında olması gerekmez.

  • Tüm dağıtımları sığdırmak için, SCEP Kaydı xAPI'leri cihaz sertifikasını imzalamak için kullanılan CA sertifikasını depolamaz. Sunucu kimlik doğrulaması için, sunucu sertifikasını doğrulamak için kullanılan CA sertifikasının xCommand Security Certificates CA Add ileeklenmesi gerekir.

Ön Koşullar

Aşağıdaki bilgilere ihtiyacınız olacaktır:

  • SCEP Sunucusunun URL'si.

  • İmzalama CA (Certificate Authority) sertifikasının parmak izi.

  • Kaydedilecek sertifikanın bilgileri. Bu, sertifikanın Konu Adını oluşturur.

    • Ortak ad

    • Ülke adı

    • Kuruluş adı

  • SCEP Sunucusu'nu bir OTP veya Paylaşılan Gizli Öğe Zorlaması için yapılandırdıysanız, SCEP Sunucusu'nun meydan okuma parolası.

Sertifika süre sonu için bir yıl geçerli olan bir sertifika isteği gönderiyoruz. Sunucu tarafı ilkesi sertifika imzalama sırasında süre sonu tarihini değiştirebilir.

Ethernet bağlantısı

Aygıt bir ağa bağlandığında, SCEP sunucusuna erişebildiğinden emin olun. Cihazın IP adresi almak için 802.1x bulunmayan bir ağa bağlanması gerekir. Cihazın MAC adresinin IP adresi alabilmesi için tedarik ağına sağlanması gerekebilir. MAC adresi, kullanıcı arabiriminde veya cihazın arkasında bulunan etikette bulunabilir.

Aygıt ağa bağlandıktan sonra, TSH'ye erişmek için yönetici olarak cihaza SSH gönderebilir ve kayıt SCEP İsteğini göndermek için aşağıdaki komutu çalıştırabilirsiniz: 
xCommand Güvenlik Sertifikaları Hizmetleri Kayıt SCEP İsteği

SCEP Sunucusu imzalanan aygıt sertifikasını döndürdüğünde, 802.1X'i etkinleştirin ve ardından aygıtı yeniden başlatın.

İmzalanan sertifikayı etkinleştirin:
xCommand Güvenlik Sertifikaları Hizmetleri Etkinleştir

Sertifikayı etkinleştirdikten sonra aygıtı yeniden başlatın.

Kablosuz bağlantı

Aygıt kablosuz bir ağa bağlandığında, SCEP sunucusuna erişebildiğinden emin olun.

Aygıt ağa bağlandıktan sonra, TSH'ye erişmek için yönetici olarak cihaza SSH gönderebilir ve kayıt SCEP İsteğini göndermek için aşağıdaki komutu çalıştırabilirsiniz: 
xCommand Güvenlik Sertifikaları Hizmetleri Kayıt SCEP İsteği

Aygıt, imzalanan sertifikayı SCEP sunucusundan alır.

İmzalanan sertifikayı etkinleştirin: 

xCommand Güvenlik Sertifikaları Hizmetleri Etkinleştir
Etkinleştirdikten sonra, Wi-Fi ağını EAP-TLS kimlik doğrulamasıyla yapılandırmanız gerekir. 
xCommand Ağ Wifi Yapılandırması

Varsayılan olarak, Wi-Fi yapılandırması sunucu doğrulama kontrollerini atlar. Yalnızca tek yönlü kimlik doğrulama gerekiyorsa, AllowMissingCA varsayılanı True olarak kabul edilir.

Sunucu doğrulamasını zorlamak için, AllowMissingCA isteğe bağlı parametresinin False olarak ayarlandığındanemin olun. Hizmet doğrulama hataları nedeniyle bağlantı kurulamıyorsa, aygıt sertifikasından farklı olabilecek sunucu sertifikasını doğrulamak için doğru CA'nın eklenip eklenmediğini kontrol edin.

API açıklamaları

Rol: Yönetici, Entegratör

xCommand Güvenlik Sertifikaları Hizmetleri Kayıt SCEP İsteği

İmzalanan bir cihaz sertifikası ister ve indirir

Parametre:

  • URL(r): <S: 0, 128>

    Bir sertifikayı kaydetmek için kullanılan SCEP sunucu URL'si.

  • Parmak İzi (r): <S: 0, 128>

    X509 İsteğini imzalayacak veren CA'nın Parmak İzi.

  • ChallengePassword: <S: 0, 128>

    SCEP Sunucusu tarafından ayarlanan Paylaşılan Gizli parola.

  • CommonName(r): <S: 0, 128>

  • Ülke Adı: <S: 0, 128>

  • Kuruluş Adı: <S: 0, 128>

  • SanDns[5]: <S: 0, 128>

  • SanEmail[5]: <S: 0, 128>

  • SanIp[5]: <S: 0, 128>

  • SanUri[5]: <S: 0, 128>

xCommand Güvenlik Sertifikaları Hizmetleri Kaydı SCEP Yenileme İsteği

Sertifikaların süresi dolmadan önce, verilen CA tarafından verilen tüm sertifikalara uygulanan bir otomatik yeniden oluşturma profili oluşturma veya güncelleme

Parametre:

  • Parmak İzi(r): <S: 0, 128>

    Sertifikaları imzalayan ca'nın parmak izi.

  • URL(r): <S: 0, 128>

    Sertifikaları yenilemek için kullanılan SCEP sunucu URL'si. 

xCommand Güvenlik Sertifikaları Hizmetleri Kaydı SCEP Yenileme Silme

Verilen CA için otomatik olarak oluşturulan profili kaldırın. Bu, bu CA tarafından imzalanan sertifikaların otomatik yeniden yeniden atanmasından vazgeçer.

Parametre:

  • Parmak İzi(r): <S: 0, 128>

    Çıkarılacak ca'nın parmak izi.

xCommand Güvenlik Sertifikaları Hizmetleri Kaydı SCEP Yenileme Listesi

Geçerli olarak kullanılan tüm otomatik yeniden ekleme profillerini listeler.