Aygıtın yerel web arabiriminden sertifika ekleyebilirsiniz. Alternatif olarak, API komutlarını çalıştırarak da sertifika ekleyebilirsiniz. Hangi komutların sertifika eklemenize olanak sağladığını görmek için bkz . roomos.cisco.com .

Hizmet sertifikaları ve güvenilir CA'lar

TLS (Aktarım Katmanı Güvenliği) kullanılırken sertifika doğrulaması gerekebilir. Bir sunucu veya istemci, iletişim kurulmadan önce aygıtın onlara geçerli bir sertifika sunmayı gerektirebilir.

Sertifikalar, aygıtın kimliğini doğrulayan metin dosyalarıdır. Bu sertifikalar güvenilir bir Certificate Authority (CA) tarafından imzalanmalıdır. Sertifikaların imzasını doğrulamak için, aygıtta güvenilir CA'ların listesinin bulunması gerekir. Bu listede, denetim günlüğü ve diğer bağlantılar için sertifikaların doğrulanması için gereken tüm CA'lar bulunmalıdır.

Sertifikalar aşağıdaki hizmetler için kullanılır: HTTPS sunucusu, SIP, IEEE 802.1X ve denetim günlüğü. Aygıtta birkaç sertifika depolayabilirsiniz, ancak her hizmet için bir kerede yalnızca bir sertifika etkindir.

RoomOS Ekim 2023 ve sonraki bir sürümü üzerinde, bir aygıta CA sertifikası eklediğinizde, bağlanırsa Room Navigator uygulamasına da uygulanır. Daha önce eklenen CA sertifikalarını bağlı bir Room Navigator ile senkronize etmek için, aygıtı yeniden başlatmanız gerekir. Periferlerin bağlı olduğu aygıtla aynı sertifikaları almalarını istemiyorsanız, yapılandırma Periferler Güvenlik Sertifikaları SyncToPherals'ı False olarak ayarlayın.

Wi-Fi bağlantısı için

Ağınız WPA-EAP kimlik doğrulaması kullanıyorsa, her Board, Masa veya Oda Serisi cihazı için güvenilir bir CA sertifikası eklemenizi öneririz. Bunu her cihaz için ve Wi-Fi'e bağlanmadan önce tek tek yapmanız gerekir.

Wi-Fi bağlantınıza sertifika eklemek için, aşağıdaki dosyalar gerekir:

• CA sertifika listesi (dosya biçimi: . PEM)

• Sertifika (dosya biçimi: . PEM)

• Özel anahtar, ayrı bir dosya olarak ya da sertifikayla aynı dosyaya eklenir (dosya biçimi: . PEM)

• Parola (yalnızca özel anahtar şifreliyse gereklidir)

Sertifika ve özel anahtar, aygıttaki aynı dosyada depolanır. Kimlik doğrulama başarısız olursa, bağlantı kurulmaz.

Yöneticilerin, buluta kayıtlı bir Board, Masa veya Oda Serisi cihazı için Control Hub'dan bir Sertifika İmza İsteği (CSR) oluşturması gerekir.

CSR oluşturmak ve imzalanan sertifikayı cihazınıza yüklemek için şu adımları izleyin:

1. Control Hub'daki müşteri görünümünden, Cihazlar sayfasına gidin ve listeden cihazınızı seçin.
2. xCommand > Güvenlik > Sertifikalarını Çalıştırma > CSR > Oluşturma > Eylemler'e gidin.
3. Gerekli sertifika ayrıntılarını girin ve Yürüt'i seçin.
4. Tüm metni ----BEGIN SERTİFİkA İSTEĞİ---- ve ----END CERTIFICATE REQUEST arasında kopyalayın----.
5. CSR imzalamak için seçtiğiniz bir Certificate Authority (CA) kullanın.
6. İmzalanan sertifikayı PEM (Base64-kodlanmış) biçiminde dışa aktarın.
7. İmzalanan sertifika dosyasını bir metin düzenleyicisinde (örneğin, Not Defteri) açın ve tüm metni ----BEGIN CERTIFICATE---- ve ----END CERTIFICATE---- arasında kopyalayın----.
8. Control Hub'da, Aygıtlar'a gidin > cihazınızın > İşlemler > Çalıştırma xCommand > Güvenlik > Sertifikaları > CSR > Bağlantısı.
9. Kopyalanan sertifika içeriğini Gövde bölümüne yapıştırın ve Yürüt'i seçin.
10. Sertifikanın Mevcut Sertifika altında göründüğünü doğrulamak için sayfayı yenileyin.

Basit Sertifika Kayıt Protokolü (SCEP), aygıtlarda örneğin 802.1X kimlik doğrulaması gibi kullanılan sertifikalara kayıt ve yenileme için otomatik bir mekanizma sağlar. SCEP, manuel müdahale olmaksızın cihazın güvenli ağlara erişimini korumanıza olanak sağlar.

• Cihaz yeni olduğunda veya fabrika ayarlarına sıfırlandığında, SCEP URL'ye ulaşmak için ağ erişimine ihtiyacı vardır. Cihazın IP adresi almak için ağa 802.1X olmadan bağlanması gerekir.

• Kablosuz kayıt SSID kullanıyorsanız, ağla bağlantıyı yapılandırmak için ekleme ekranlarından gidin.

• Hazırlama ağına bağlandıktan sonra, cihazın belirli bir katılım ekranında olması gerekmez.

• Tüm dağıtımları sığdırmak için, SCEP Kaydı xAPI'leri cihaz sertifikasını imzalamak için kullanılan CA sertifikasını depolamaz. Sunucu kimlik doğrulaması için, sunucu sertifikasını doğrulamak için kullanılan CA sertifikasının xCommand Security Certificates CA Add ileeklenmesi gerekir.

Ön Koşullar

Aşağıdaki bilgilere ihtiyacınız olacaktır:

• SCEP Sunucusunun URL'si.

• İmzalama CA (Certificate Authority) sertifikasının parmak izi.

• Kaydedilecek sertifikanın bilgileri. Bu, sertifikanın Konu Adını oluşturur.

  • Ortak ad

  • Ülke adı

  • Eyalet veya Bölge adı

  • Yerellik adı

  • Kuruluş adı

  • Kurumsal birim

• Konu adı şu şekilde sıralanır: /C= /ST= /L= /O= /OU= /CN=

• SCEP Sunucusu'nu bir OTP veya Paylaşılan Gizli Öğe Zorlaması için yapılandırdıysanız, SCEP Sunucusu'nun meydan okuma parolası.

Sertifika isteği anahtar kartı için gerekli anahtar boyutunu aşağıdaki komutu kullanarak ayarlayabilirsiniz. Varsayılan değer 2048'dir.

 xConfiguration Security Kayıt AnahtarıSize: <2048, 3072, 4096>

Sertifika süre sonu için bir yıl geçerli olan bir sertifika isteği gönderiyoruz. Sunucu tarafı ilkesi sertifika imzalama sırasında süre sonu tarihini değiştirebilir.

Ethernet bağlantısı

Aygıt bir ağa bağlandığında, SCEP sunucusuna erişebildiğinden emin olun. Cihazın IP adresi almak için 802.1x bulunmayan bir ağa bağlanması gerekir. Cihazın MAC adresinin IP adresi alabilmesi için tedarik ağına sağlanması gerekebilir. MAC adresi, kullanıcı arabiriminde veya aygıtın arkasında bulunan etikette bulunabilir.

Aygıt ağa bağlandıktan sonra, TSH'ye erişmek için yönetici olarak cihaza SSH gönderebilir ve kayıt SCEP İsteğini göndermek için aşağıdaki komutu çalıştırabilirsiniz:

xCommand Güvenlik Sertifikaları Hizmetleri Kayıt SCEP İsteği 

SCEP Sunucusu imzalanan aygıt sertifikasını döndürdüğünde, 802.1X'i etkinleştirin.

İmzalanan sertifikayı etkinleştirin:

xCommand Güvenlik Sertifikaları Hizmetleri Etkinleştir 

Sertifikayı etkinleştirdikten sonra aygıtı yeniden başlatın.

Kablosuz bağlantı

Aygıt kablosuz bir ağa bağlandığında, SCEP sunucusuna erişebildiğinden emin olun.

Aygıt ağa bağlandıktan sonra, TSH'ye erişmek için yönetici olarak cihaza SSH gönderebilir ve kayıt SCEP İsteğini göndermek için aşağıdaki komutu çalıştırabilirsiniz:

xCommand Güvenlik Sertifikaları Hizmetleri Kayıt SCEP İsteği 

Aygıt, imzalanan sertifikayı SCEP sunucusundan alır.

İmzalanan sertifikayı etkinleştirin:

xCommand Güvenlik Sertifikaları Hizmetleri Etkinleştir

Etkinleştirdikten sonra, Wi-Fi ağını EAP-TLS kimlik doğrulaması ile yapılandırmanız gerekir.

xCommand Ağ Wifi Yapılandırması 

Varsayılan olarak, Wi-Fi yapılandırması sunucu doğrulama kontrollerini atlar. Yalnızca tek yönlü kimlik doğrulama gerekiyorsa, AllowMissingCA varsayılanı True olarak kabul edilir.

Sunucu doğrulamasını zorlamak için, AllowMissingCA isteğe bağlı parametresinin False olarak ayarlandığındanemin olun. Hizmet doğrulama hataları nedeniyle bağlantı kurulamıyorsa, aygıt sertifikasından farklı olabilecek sunucu sertifikasını doğrulamak için doğru CA'nın eklenip eklenmediğini kontrol edin.

API açıklamaları

Rol: Yönetici, Entegratör

xCommand Güvenlik Sertifikaları Hizmetleri Kayıt SCEP İsteği

Belirli bir SCEP sunucusuna imzalanması için bir CSR gönderir. CSR KonuAdı parametreleri şu sırada oluşturulur: C, ST, L, O, OU, CN.

Parametre:

• URL(r): <S: 0, 256>

  SCEP sunucusunun URL adresi.

• Parmak İzi(r): <S: 0, 128>

  SCEP isteği CSR imzalayacak CA Sertifikası Parmak İzi.

• CommonName(r): <S: 0, 64>

  CSR Konu Adına "/CN=" ekler.

• ChallengePassword: <S: 0, 256>

  İMZAya erişim için SCEP Sunucusundan OTP veya Paylaşılan Gizli kod.

• Ülke Adı: <S: 0, 2>

  CSR Konu Adı'na "/C=" ekler.

• StateOrProvinceName: <S: 0, 64>

  CSR Konu Adına "/ST=" ekler.

• YerellikAdı: <S: 0, 64>

  CSR Konu Adına "/L=" ekler.

• Kuruluş Adı: <S: 0, 64>

  CSR Konu Adına "/O=" ekler.

• Organizational<[5]: <S: 0, 64>

  CSR Konu Adı'na en çok 5 "/OU=" parametresi ekler.

• SanDns[5]: <S: 0, 64>

  CSR Konu Alternatif Adı'na en çok 5 DNS parametresi ekler.

• SanEmail[5]: <S: 0, 64>

  CSR Konu Alternatif Adına en fazla 5 E-posta parametresi ekler.

• SanIp[5]: <S: 0, 64>

  CSR Konu Alternatif Adı'na en çok 5 IP parametresi ekler.

• SanUri[5]: <S: 0, 64>

  CSR Konu Alternatif Adı'na en çok 5 URI parametresi ekler.

xCommand Güvenlik Sertifikaları Hizmetleri Kayıt Profilleri Silme

Sertifikaları artık yenilememek için bir kayıt profilini siler.

Parametre:

• Parmak İzi(r): <S: 0, 128>

  Kaldırmak istediğiniz profili tanımlayan CA sertifikası parmak izi. Çalıştırarak kaldırılacak uygun profilleri görebilirsiniz:

  xCommand Güvenlik Sertifikaları Hizmetleri Kayıt Profilleri Listesi

xCommand Güvenlik Sertifikaları Hizmetleri Kayıt Profilleri Listesi

Sertifika yenileme için Kayıt profillerini listeler.

 xCommand Güvenlik Sertifikaları Hizmetleri Kayıt SCEP Profilleri Parmak İzi(r): <S: 0, 128> URL(r): <S: 0, 256>

Yenileme için verilen SCEP URL'sini kullanmak için CA parmak izi tarafından verilen sertifikalar için bir kayıt profili ekleyin.

Yenileme

 xCommand Güvenlik Sertifikaları Hizmetleri Kayıt SCEP Profilleri Kümesi

Cihazın sertifikayı otomatik olarak yenileyebilmesi için sertifikayı gerçekleştirebilecek SCEP Url'sine erişebilmesi gerekir.

Cihaz günlük olarak 45 gün içinde dolacak sertifikaları kontrol eder. Aygıt daha sonra, vereni bir profille eşleşiyorsa bu sertifikayı yenilemeye çalışır.

NOT: Sertifika ilk olarak SCEP kullanılarak kaydedilmemiş olsa bile tüm cihaz sertifikalarının yenilenmesi için kontrol edilir.

Navigator

1. Doğrudan Eşleştirilmiş: Kayıtlı Sertifikalar "Eşleştirme" sertifikası olarak etkinleştirilebilir.

2. Uzaktan Eşleştirilmiş: Navigator'a Periferin kimliğini kullanarak yeni bir SCEP sertifikası kaydetmesini söyleyin:

   xCommand Periferler Güvenlik Sertifikaları Hizmetleri Kayıt SCEP İsteği 

   Kayıt profilleri otomatik olarak eşleştirilmiş navigator ile senkronize edilir.

3. Bağımsız Navigator: Codec kaydıyla aynıdır

802.1x kimlik doğrulamasını doğrudan Room Navigator'ın Ayarlar menüsünden ayarlayabilirsiniz.

802.1x kimlik doğrulama standardı, Ethernet ağları için özellikle önemlidir ve yalnızca yetkili cihazlara ağ kaynaklarına erişim izni verilmesini sağlar.

Ağınızda yapılandırılan EAP yöntemine bağlı olarak farklı oturum açma seçenekleri kullanılabilir. Örnek:

• TLS: Kullanıcı adı ve parola kullanılmaz.
• PEAP: Sertifikalar kullanılmaz.
• TTLS: Hem kullanıcı adı/parola hem de sertifika gereklidir; isteğe bağlı değildir.

Bir aygıtta istemci sertifikasını almanın birkaç yolu vardır:

1. PEM'i Karşıya Yükleme: Güvenlik Sertifikası Hizmetleri Ekleme özelliğini kullanın.
2. CSR oluşturma: Sertifika İmza İsteği Oluştur (CSR), imzalayın ve Güvenlik Sertifikaları CSR Oluştur/Bağlantı kullanarak bağlayın.
3. SCEP: Güvenlik Sertifikaları Hizmetleri Kayıt SCEP İsteğini Kullan.
4. DHCP Seçenek 43: Bu seçenek aracılığıyla sertifika teslimini yapılandırın.

802.1x sertifikalarını ayarlama ve güncelleme, Room Navigator bir sistemle eşleştirmeden önce veya fabrika ayarlarına sıfırlanmasından önce Room Navigator yapılmalıdır.

Varsayılan kimlik bilgileri yönetici ve boş paroladır. API'ne erişerek sertifika ekleme hakkında daha fazla bilgi için, API kılavuzunun en son sürümüne bakın .

1. Sağ üst köşedeki düğmeye dokunarak veya sağ taraftan kaydırarak Gezgini'nde kontrol panelini açın. Ardından Cihaz ayarları'na dokunun .
2. Ağ bağlantısına gidin ve Ethernet'i seçin .
3. IEEE 802.1X'i Kullan anahtarını açın.
   • Kimlik doğrulama kimlik bilgileriyle ayarlanırsa, kullanıcı kimliğini ve parolayı girin. Ayrıca adsız kimlik de girebilirsiniz: bu alan, gerçek kullanıcının kimliğini ilk kimlik doğrulama isteğinden ayırmak için bir yol sağlayan isteğe bağlıdır.
   • TLS Doğrula özelliğini devre dışı veya açık olarak değiştirebilirsiniz . TLS doğrula özelliği AÇıK olduğunda, istemci TLS el sıkışması sırasında sunucu sertifikasının özgünlüğünü etkin şekilde doğrular. TLS doğrulama kapalı olduğunda, istemci sunucu sertifikasının etkin doğrulamasını gerçekleştirmez.
   • API'ne erişerek bir istemci sertifikasını karşıya yüklediyseniz, İstemci Sertifikasını Kullan özelliğini açın .
   • Kullanmak istediğiniz Genişletilebilir Kimlik Doğrulama Protokolü (EAP) yöntemlerini değiştirin. EAP yönteminin seçilmesi, belirli güvenlik gereksinimlerine, altyapıya ve istemci özelliklerine bağlıdır. EAP yöntemleri, güvenli ve kimliği doğrulanmış ağ erişimini etkinleştirmek için çok önemlidir.