Cihazın yerel web arabiriminden sertifika ekleyebilirsiniz. Alternatif olarak, API komutları çalıştırarak sertifika ekleyebilirsiniz. Hangi komutların sertifika eklemenize olanak sağladığını görmek için bkz . roomos.cisco.com .

Hizmet sertifikaları ve güvenilir CA'lar

TLS (Taşıma Katmanı Güvenliği) kullanırken sertifika doğrulama gerekli olabilir. Sunucu veya istemci, iletişim kurulmadan önce cihazın geçerli bir sertifika sunmasını gerektirebilir.

Sertifikalar, cihazın gerçekliğini doğrulayan metin dosyalarıdır. Bu sertifikaların, güvenilir sertifika yetkilisi tarafından imzalanmış olması gerekir. Sertifikaların imzasını doğrulamak için, aygıtta güvenilir CA'ların listesinin bulunması gerekir. Liste, hem denetim kaydı hem de diğer bağlantılar için sertifikaları doğrulamak için gerekli tüm CA'ları içermelidir.

Sertifikalar aşağıdaki hizmetler için kullanılır: HTTPS sunucusu, SIP, IEEE 802.1 X ve denetim günlüğü. Cihazda birden çok sertifika saklayabilirsiniz, ancak bir hizmet için aynı anda yalnızca bir sertifika etkinleştirilir.

RoomOS Ekim 2023 ve sonraki bir sürümü üzerinde, bir aygıta CA sertifikası eklediğinizde, bağlıysa Oda Gezgini'ne de uygulanır. Daha önce eklenen CA sertifikalarını bağlı bir Oda Gezgini ile senkronize etmek için, aygıtı yeniden başlatmanız gerekir. Periferlerin bağlı olduğu aygıtla aynı sertifikaları almalarını istemiyorsanız, yapılandırma Periferler Güvenlik Sertifikaları SyncToPherals'ı False olarak ayarlayın.

Daha önce depolanmış sertifikalar otomatik olarak silinmez. CA sertifikalı yeni bir dosya içindeki girişler, mevcut listeye eklenir.

Wi-Fi bağlantı için

Ağınız WPA-EAP kimlik doğrulaması kullanıyorsa, her Pano, Masa veya Oda Serisi cihazı için güvenilir bir CA sertifikası eklemenizi öneririz. Bunu tek tek ve her bir aygıt için Wi-Fi'ya bağlanmadan önce yapmanız gerekir.

Wi-Fi bağlantınıza sertifika eklemek için aşağıdaki dosyalar gerekir:

  • CA sertifika listesi (dosya biçimi: .PEM)

  • Sertifika (dosya biçimi: .PEM)

  • Özel anahtar, ayrı bir dosya olarak ya da aynı dosyaya sertifika olarak eklenir (dosya biçimi: .PEM)

  • Parola (ancak özel anahtarın şifreli olması durumunda gereklidir)

Sertifika ve özel anahtar, cihazda aynı dosyada saklanır. Kimlik doğrulama başarısız olursa, bağlantı kurulmaz.

Bağlanan periferlere özel anahtar ve parola uygulanmaz.

Pano, Masa ve Oda Serisi cihazlarına sertifika ekleme

1

'deki müşteri görünümündenhttps://admin.webex.com , Cihazlar sayfasına gidin ve listeden cihazınızı seçin. Destek'e gidin ve Yerel Cihaz Denetimlerini başlatın .

Cihazda yerel bir Yönetici rolünde kullanıcı oluşturduysanız, web arabirimine bir web tarayıcısı açıp http(s)://<endpoint ip or hostname> yazarak doğrudan ulaşabilirsiniz.

2

Güvenlik > Sertifikalar > Özel > Sertifika Ekle öğesine gidin ve kök CA sertifikalarınızı karşıya yükleyin.

3

Openssl üzerinde özel anahtar ve sertifika isteği oluşturme. Sertifika isteği içeriğini kopyalayın. Daha sonra bunu sertfiika yetkilinizden (CA) sunucu sertifikası isteğinde bulunmak için yapıştırın.

4

CA'nız tarafından imzalanan sunucu sertifikasını karşıdan yükleyin. CA'nızın içinde olduğundan emin olun. PEM biçimi.

5

Güvenlik > Sertifikalar > Hizmetler > Sertifika Ekle öğesine gidin ve özel anahtar ve sunucu sertifikasını karşıya yükleyin.

6

Az önce eklediğiniz sertifika için kullanmak istediğiniz hizmetleri etkinleştirin.

Basit Sertifika Kayıt Protokolü (SCEP)

Basit Sertifika Kayıt Protokolü (SCEP), aygıtlarda örneğin 802.1X kimlik doğrulaması gibi kullanılan sertifikalara kayıt ve yenileme için otomatik bir mekanizma sağlar. SCEP, manuel müdahale olmaksızın cihazın güvenli ağlara erişimini korumanıza olanak sağlar.

  • Cihaz yeni olduğunda veya fabrika ayarlarına sıfırlandığında, SCEP URL'ye ulaşmak için ağ erişimine ihtiyacı vardır. Cihazın IP adresi almak için ağa 802.1X olmadan bağlanması gerekir.

  • Kablosuz kayıt SSID kullanıyorsanız, ağla bağlantıyı yapılandırmak için ekleme ekranlarından geçmeniz gerekir.

  • Hazırlama ağına bağlandıktan sonra, cihazın bu aşamada belirli bir katılım ekranında olması gerekmez.

  • Tüm dağıtımları sığdırmak için, SCEP Kaydı xAPI'leri cihaz sertifikasını imzalamak için kullanılan CA sertifikasını depolamaz. Sunucu kimlik doğrulaması için, sunucu sertifikasını doğrulamak için kullanılan CA sertifikasının xCommand Security Certificates CA Add ileeklenmesi gerekir.

Ön Koşullar

Aşağıdaki bilgilere ihtiyacınız olacaktır:

  • SCEP Sunucusunun URL'si.

  • İmzalama CA (Certificate Authority) sertifikasının parmak izi.

  • Kaydedilecek sertifikanın bilgileri. Bu, sertifikanın Konu Adını oluşturur.

    • Ortak ad

    • Ülke adı

    • Eyalet veya Bölge adı

    • Yerellik adı

    • Kuruluş adı

    • Kurumsal birim

  • Konu adı şu şekilde sıralanır: /C= /ST= /L= /O= /OU= /CN=

  • SCEP Sunucusu'nu bir OTP veya Paylaşılan Gizli Öğe Zorlaması için yapılandırdıysanız, SCEP Sunucusu'nun meydan okuma parolası.

Sertifika isteği anahtar kartı için gerekli anahtar boyutunu aşağıdaki komutu kullanarak ayarlayabilirsiniz. Varsayılan değer 2048'dir.

 xConfiguration Security Kayıt AnahtarıSize: <2048, 3072, 4096>

Sertifika süre sonu için bir yıl geçerli olan bir sertifika isteği gönderiyoruz. Sunucu tarafı ilkesi sertifika imzalama sırasında süre sonu tarihini değiştirebilir.

Ethernet bağlantısı

Aygıt bir ağa bağlandığında, SCEP sunucusuna erişebildiğinden emin olun. Cihazın IP adresi almak için 802.1x bulunmayan bir ağa bağlanması gerekir. Cihazın MAC adresinin IP adresi alabilmesi için tedarik ağına sağlanması gerekebilir. MAC adresi, kullanıcı arabiriminde veya cihazın arkasında bulunan etikette bulunabilir.

Aygıt ağa bağlandıktan sonra, TSH'ye erişmek için yönetici olarak cihaza SSH gönderebilir ve kayıt SCEP İsteğini göndermek için aşağıdaki komutu çalıştırabilirsiniz: 

xCommand Güvenlik Sertifikaları Hizmetleri Kayıt SCEP İsteği

SCEP Sunucusu imzalanan aygıt sertifikasını döndürdüğünde, 802.1X'i etkinleştirin.

İmzalanan sertifikayı etkinleştirin:

xCommand Güvenlik Sertifikaları Hizmetleri Etkinleştir

Sertifikayı etkinleştirdikten sonra aygıtı yeniden başlatın.

Kablosuz bağlantı

Aygıt kablosuz bir ağa bağlandığında, SCEP sunucusuna erişebildiğinden emin olun.

Aygıt ağa bağlandıktan sonra, TSH'ye erişmek için yönetici olarak cihaza SSH gönderebilir ve kayıt SCEP İsteğini göndermek için aşağıdaki komutu çalıştırabilirsiniz: 

xCommand Güvenlik Sertifikaları Hizmetleri Kayıt SCEP İsteği

Aygıt, imzalanan sertifikayı SCEP sunucusundan alır.

İmzalanan sertifikayı etkinleştirin: 

xCommand Güvenlik Sertifikaları Hizmetleri Etkinleştir

Etkinleştirdikten sonra, Wi-Fi ağını EAP-TLS kimlik doğrulamasıyla yapılandırmanız gerekir. 

xCommand Ağ Wifi Yapılandırması

Varsayılan olarak, Wi-Fi yapılandırması sunucu doğrulama kontrollerini atlar. Yalnızca tek yönlü kimlik doğrulama gerekiyorsa, AllowMissingCA varsayılanı True olarak kabul edilir.

Sunucu doğrulamasını zorlamak için, AllowMissingCA isteğe bağlı parametresinin False olarak ayarlandığındanemin olun. Hizmet doğrulama hataları nedeniyle bağlantı kurulamıyorsa, aygıt sertifikasından farklı olabilecek sunucu sertifikasını doğrulamak için doğru CA'nın eklenip eklenmediğini kontrol edin.

API açıklamaları

Rol: Yönetici, Entegratör

xCommand Güvenlik Sertifikaları Hizmetleri Kayıt SCEP İsteği

Belirli bir SCEP sunucusuna, imzalanması için bir CSR gönderir. CSR KonuAdı parametreleri şu sırada oluşturulur: C, ST, L, O, OU, CN.

Parametre:

  • URL(r): <S: 0, 256>

    SCEP sunucusunun URL adresi.

  • Parmak İzi(r): <S: 0, 128>

    SCEP isteği CSR imzalayacak CA Sertifikası Parmak İzi.

  • CommonName(r): <S: 0, 64>

    CSR Konu Adına "/CN=" ekler.

  • ChallengePassword: <S: 0, 256>

    İMZAya erişim için SCEP Sunucusundan OTP veya Paylaşılan Gizli kod.

  • Ülke Adı: <S: 0, 2>

    CSR Konu Adı'na "/C=" ekler.

  • StateOrProvinceName: <S: 0, 64>

    CSR Konu Adına "/ST=" ekler.

  • YerellikAdı: <S: 0, 64>

    CSR Konu Adına "/L=" ekler.

  • Kuruluş Adı: <S: 0, 64>

    CSR Konu Adına "/O=" ekler.

  • Organizational<[5]: <S: 0, 64>

    CSR Konu Adı'na en çok 5 "/OU=" parametresi ekler.

  • SanDns[5]: <S: 0, 64>

    CSR Konu Alternatif Adına en fazla 5 Dns parametresi ekler.

  • SanEmail[5]: <S: 0, 64>

    CSR Konu Alternatif Adına en fazla 5 E-posta parametresi ekler.

  • SanIp[5]: <S: 0, 64>

    CSR Konu Alternatif Adına en fazla 5 IP parametresi ekler.

  • SanUri[5]: <S: 0, 64>

    CSR Konu Alternatif Adına en fazla 5 Uri parametresi ekler.

xCommand Güvenlik Sertifikaları Hizmetleri Kayıt Profilleri Silme

Sertifikaları artık yenilememek için bir kayıt profilini siler.

Parametre:

  • Parmak İzi(r): <S: 0, 128>

    Silinen sertifikanın benzersiz Tanımlayıcısı. Şunları çalıştırarak parmak izi kimliğini alabilirsiniz:

     xCommand Güvenlik Sertifikaları Hizmetleri Göster

xCommand Güvenlik Sertifikaları Hizmetleri Kayıt Profilleri Listesi

Sertifika yenileme için Kayıt profillerini listeler.

 xCommand Güvenlik Sertifikaları Hizmetleri Kayıt SCEP Profilleri Parmak İzi(r): <S: 0, 128> URL(r): <S: 0, 256>

Yeni sertifika ekleme

Yenileme

 xCommand Güvenlik Sertifikaları Hizmetleri Kayıt SCEP Profilleri Kümesi

Cihazın sertifikayı otomatik olarak yenileyebilmesi için sertifikayı gerçekleştirebilecek SCEP Url'sine erişebilmesi gerekir.

Cihaz günlük olarak 45 gün içinde dolacak sertifikaları kontrol eder. Aygıt daha sonra, vereni bir profille eşleşiyorsa bu sertifikayı yenilemeye çalışır.

NOT: Sertifika ilk olarak SCEP kullanılarak kaydedilmemiş olsa bile tüm cihaz sertifikalarının yenilenmesi için kontrol edilir.

Navigator

  1. Doğrudan Eşleştirilmiş: Kayıtlı Sertifikalar "Eşleştirme" sertifikası olarak etkinleştirilebilir.

  2. Uzaktan Eşleştirilmiş: Navigator'a Periferin kimliğini kullanarak yeni bir SCEP sertifikası kaydetmesini söyleyin:

    xCommand Periferler Güvenlik Sertifikaları Hizmetleri Kayıt SCEP İsteği 

    Kayıt profilleri otomatik olarak eşleştirilmiş navigator ile senkronize edilir.

  3. Bağımsız Navigator: Codec kaydıyla aynıdır