Cihazın yerel web arabiriminden sertifika ekleyebilirsiniz. Alternatif olarak, API komutlarını çalıştırarak da sertifika ekleyebilirsiniz. Hangi komutların sertifika eklemenize olanak sağladığını görmek için bkz . roomos.cisco.com .

Hizmet sertifikaları ve güvenilir CA'lar

TLS (Taşıma Katmanı Güvenliği) kullanırken sertifika doğrulama gerekli olabilir. Sunucu veya istemci, iletişim kurulmadan önce cihazın geçerli bir sertifika sunmasını gerektirebilir.

Sertifikalar, cihazın gerçekliğini doğrulayan metin dosyalarıdır. Bu sertifikaların, güvenilir sertifika yetkilisi tarafından imzalanmış olması gerekir. Sertifikaların imzasını doğrulamak için, aygıtta güvenilir CA'ların listesinin bulunması gerekir. Liste, hem denetim kaydı hem de diğer bağlantılar için sertifikaları doğrulamak için gerekli tüm CA'ları içermelidir.

Sertifikalar aşağıdaki hizmetler için kullanılır: HTTPS sunucusu, SIP, IEEE 802.1 X ve denetim günlüğü. Cihazda birden çok sertifika saklayabilirsiniz, ancak bir hizmet için aynı anda yalnızca bir sertifika etkinleştirilir.

RoomOS Ekim 2023 ve sonraki bir sürümü üzerinde, bir aygıta CA sertifikası eklediğinizde, bağlıysa Oda Gezgini'ne de uygulanır. Daha önce eklenen CA sertifikalarını bağlı bir Oda Gezgini ile senkronize etmek için, aygıtı yeniden başlatmanız gerekir. Periferlerin bağlı olduğu aygıtla aynı sertifikaları almalarını istemiyorsanız, yapılandırma Periferler Güvenlik Sertifikaları SyncToPherals'ı False olarak ayarlayın.

Daha önce depolanmış sertifikalar otomatik olarak silinmez. CA sertifikalı yeni bir dosya içindeki girişler, mevcut listeye eklenir.

Wi-Fi bağlantısı için

Ağınız WPA-EAP kimlik doğrulaması kullanıyorsa, her Board, Masa veya Oda Serisi cihazı için güvenilir bir CA sertifikası eklemenizi öneririz. Bunu tek tek ve her bir aygıt için Wi-Fi'ya bağlanmadan önce yapmanız gerekir.

Wi-Fi bağlantınıza sertifika eklemek için aşağıdaki dosyalar gerekir:

  • CA sertifika listesi (dosya biçimi: .PEM)

  • Sertifika (dosya biçimi: .PEM)

  • Özel anahtar, ayrı bir dosya olarak ya da aynı dosyaya sertifika olarak eklenir (dosya biçimi: .PEM)

  • Parola (ancak özel anahtarın şifreli olması durumunda gereklidir)

Sertifika ve özel anahtar, cihazda aynı dosyada saklanır. Kimlik doğrulama başarısız olursa, bağlantı kurulmaz.

Bağlanan periferlere özel anahtar ve parola uygulanmaz.

Board, Masa ve Oda Serisi aygıtlarında sertifika ekleme

1

'deki müşteri görünümündenhttps://admin.webex.com , Cihazlar sayfasına gidin ve listeden cihazınızı seçin. Destek'e gidin ve Yerel Cihaz Denetimlerini başlatın .

Cihazda yerel bir Yönetici rolünde kullanıcı oluşturduysanız, web arabirimine bir web tarayıcısı açıp http(s)://<endpoint ip or hostname> yazarak doğrudan ulaşabilirsiniz.

2

Güvenlik > Sertifikalar > Özel > Sertifika Ekle öğesine gidin ve kök CA sertifikalarınızı karşıya yükleyin.

3

Openssl üzerinde özel anahtar ve sertifika isteği oluşturme. Sertifika isteği içeriğini kopyalayın. Daha sonra bunu sertfiika yetkilinizden (CA) sunucu sertifikası isteğinde bulunmak için yapıştırın.

4

CA'nız tarafından imzalanan sunucu sertifikasını karşıdan yükleyin. CA'nızın içinde olduğundan emin olun. PEM biçimi.

5

Güvenlik > Sertifikalar > Hizmetler > Sertifika Ekle öğesine gidin ve özel anahtar ve sunucu sertifikasını karşıya yükleyin.

6

Az önce eklediğiniz sertifika için kullanmak istediğiniz hizmetleri etkinleştirin.

Sertifika İmza İsteği Oluştur (CSR)

Yöneticilerin, buluta kayıtlı bir Board, Masa veya Oda Serisi cihazı için Control Hub'dan bir Sertifika İmza İsteği (CSR) oluşturması gerekir.

CSR oluşturmak ve imzalanan sertifikayı cihazınıza yüklemek için şu adımları izleyin:

  1. Control Hub'daki müşteri görünümünden, Cihazlar sayfasına gidin ve listeden cihazınızı seçin.
  2. xCommand > Güvenlik > Sertifikalarını Çalıştırma > CSR > Oluşturma > Eylemler'e gidin.
  3. Gerekli sertifika ayrıntılarını girin ve Yürüt'i seçin.
  4. Tüm metni ----BEGIN SERTİFİkA İSTEĞİ---- ve ----END CERTIFICATE REQUEST arasında kopyalayın----.
  5. CSR imzalamak için seçtiğiniz bir Certificate Authority (CA) kullanın.
  6. İmzalanan sertifikayı PEM (Base64-kodlanmış) biçiminde dışa aktarın.
  7. İmzalanan sertifika dosyasını bir metin düzenleyicisinde (örneğin, Not Defteri) açın ve tüm metni ----BEGIN CERTIFICATE---- ve ----END CERTIFICATE---- arasında kopyalayın----.
  8. Kontrol Hub'ında, Aygıtlar'a gidin > cihazınızın > İşlemler > Çalıştırma xCommand > Güvenlik > Sertifikaları > CSR > Bağlantısı'na gidin.
  9. Kopyalanan sertifika içeriğini Gövde bölümüne yapıştırın ve Yürüt'i seçin.
  10. Sertifikanın Mevcut Sertifika altında göründüğünü doğrulamak için sayfayı yenileyin.

Basit Sertifika Kayıt Protokolü (SCEP)

Basit Sertifika Kayıt Protokolü (SCEP), aygıtlarda örneğin 802.1X kimlik doğrulaması gibi kullanılan sertifikalara kayıt ve yenileme için otomatik bir mekanizma sağlar. SCEP, manuel müdahale olmaksızın cihazın güvenli ağlara erişimini korumanıza olanak sağlar.

  • Cihaz yeni olduğunda veya fabrika ayarlarına sıfırlandığında, SCEP URL'ye ulaşmak için ağ erişimine ihtiyacı vardır. Cihazın IP adresi almak için ağa 802.1X olmadan bağlanması gerekir.

  • Kablosuz kayıt SSID kullanıyorsanız, ağla bağlantıyı yapılandırmak için ekleme ekranlarından gidin.

  • Hazırlama ağına bağlandıktan sonra, cihazın belirli bir katılım ekranında olması gerekmez.

  • Tüm dağıtımları sığdırmak için, SCEP Kaydı xAPI'leri cihaz sertifikasını imzalamak için kullanılan CA sertifikasını depolamaz. Sunucu kimlik doğrulaması için, sunucu sertifikasını doğrulamak için kullanılan CA sertifikasının xCommand Security Certificates CA Add ileeklenmesi gerekir.

Ön Koşullar

Aşağıdaki bilgilere ihtiyacınız olacaktır:

  • SCEP Sunucusunun URL'si.

  • İmzalama CA (Certificate Authority) sertifikasının parmak izi.

  • Kaydedilecek sertifikanın bilgileri. Bu, sertifikanın Konu Adını oluşturur.

    • Ortak ad

    • Ülke adı

    • Eyalet veya Bölge adı

    • Yerellik adı

    • Kuruluş adı

    • Kurumsal birim

  • Konu adı şu şekilde sıralanır: /C= /ST= /L= /O= /OU= /CN=

  • SCEP Sunucusu'nu bir OTP veya Paylaşılan Gizli Öğe Zorlaması için yapılandırdıysanız, SCEP Sunucusu'nun meydan okuma parolası.

Sertifika isteği anahtar kartı için gerekli anahtar boyutunu aşağıdaki komutu kullanarak ayarlayabilirsiniz. Varsayılan değer 2048'dir.

 xConfiguration Security Kayıt AnahtarıSize: <2048, 3072, 4096>

Sertifika süre sonu için bir yıl geçerli olan bir sertifika isteği gönderiyoruz. Sunucu tarafı ilkesi sertifika imzalama sırasında süre sonu tarihini değiştirebilir.

Ethernet bağlantısı

Aygıt bir ağa bağlandığında, SCEP sunucusuna erişebildiğinden emin olun. Cihazın IP adresi almak için 802.1x bulunmayan bir ağa bağlanması gerekir. Cihazın MAC adresinin IP adresi alabilmesi için tedarik ağına sağlanması gerekebilir. MAC adresi KULLANıCı arabiriminde veya aygıtın arkasında bulunan etikette bulunabilir.

Aygıt ağa bağlandıktan sonra, TSH'ye erişmek için yönetici olarak cihaza SSH gönderebilir ve kayıt SCEP İsteğini göndermek için aşağıdaki komutu çalıştırabilirsiniz: 

xCommand Güvenlik Sertifikaları Hizmetleri Kayıt SCEP İsteği

SCEP Sunucusu imzalanan aygıt sertifikasını döndürdüğünde, 802.1X'i etkinleştirin.

İmzalanan sertifikayı etkinleştirin:

xCommand Güvenlik Sertifikaları Hizmetleri Etkinleştir

Sertifikayı etkinleştirdikten sonra aygıtı yeniden başlatın.

Kablosuz bağlantı

Aygıt kablosuz bir ağa bağlandığında, SCEP sunucusuna erişebildiğinden emin olun.

Aygıt ağa bağlandıktan sonra, TSH'ye erişmek için yönetici olarak cihaza SSH gönderebilir ve kayıt SCEP İsteğini göndermek için aşağıdaki komutu çalıştırabilirsiniz: 

xCommand Güvenlik Sertifikaları Hizmetleri Kayıt SCEP İsteği

Aygıt, imzalanan sertifikayı SCEP sunucusundan alır.

İmzalanan sertifikayı etkinleştirin: 

xCommand Güvenlik Sertifikaları Hizmetleri Etkinleştir

Etkinleştirdikten sonra, Wi-Fi ağını EAP-TLS kimlik doğrulaması ile yapılandırmanız gerekir. 

xCommand Ağ Wifi Yapılandırması

Varsayılan olarak, Wi-Fi yapılandırması sunucu doğrulama kontrollerini atlar. Yalnızca tek yönlü kimlik doğrulama gerekiyorsa, AllowMissingCA varsayılanı True olarak kabul edilir.

Sunucu doğrulamasını zorlamak için, AllowMissingCA isteğe bağlı parametresinin False olarak ayarlandığındanemin olun. Hizmet doğrulama hataları nedeniyle bağlantı kurulamıyorsa, aygıt sertifikasından farklı olabilecek sunucu sertifikasını doğrulamak için doğru CA'nın eklenip eklenmediğini kontrol edin.

API açıklamaları

Rol: Yönetici, Entegratör

xCommand Güvenlik Sertifikaları Hizmetleri Kayıt SCEP İsteği

Belirli bir SCEP sunucusuna imzalanması için bir CSR gönderir. CSR KonuAdı parametreleri şu sırada oluşturulur: C, ST, L, O, O, OU, CN.

Parametre:

  • URL(r): <S: 0, 256>

    SCEP sunucusunun URL adresi.

  • Parmak İzi(r): <S: 0, 128>

    SCEP isteği CSR imzalayacak CA Sertifikası Parmak İzi.

  • CommonName(r): <S: 0, 64>

    CSR Konu Adına "/CN=" ekler.

  • ChallengePassword: <S: 0, 256>

    İMZAya erişim için SCEP Sunucusundan OTP veya Paylaşılan Gizli kod.

  • Ülke Adı: <S: 0, 2>

    CSR Konu Adı'na "/C=" ekler.

  • StateOrProvinceName: <S: 0, 64>

    CSR Konu Adına "/ST=" ekler.

  • YerellikAdı: <S: 0, 64>

    CSR Konu Adına "/L=" ekler.

  • Kuruluş Adı: <S: 0, 64>

    CSR Konu Adına "/O=" ekler.

  • Organizational<[5]: <S: 0, 64>

    CSR Konu Adı'na en çok 5 "/OU=" parametresi ekler.

  • SanDns[5]: <S: 0, 64>

    CSR Konu Alternatif Adı'na en çok 5 DNS parametresi ekler.

  • SanEmail[5]: <S: 0, 64>

    CSR Konu Alternatif Adı'na en fazla 5 E-posta parametresi ekler.

  • SanIp[5]: <S: 0, 64>

    CSR Konu Alternatif Adı'na en fazla 5 IP parametresi ekler.

  • SanUri[5]: <S: 0, 64>

    CSR Konu Alternatif Adı'na en çok 5 URI parametresi ekler.

xCommand Güvenlik Sertifikaları Hizmetleri Kayıt Profilleri Silme

Sertifikaları artık yenilememek için bir kayıt profilini siler.

Parametre:

  • Parmak İzi(r): <S: 0, 128>

    Kaldırmak istediğiniz profili tanımlayan CA sertifikası parmak izi. Çalıştırarak kaldırılacak uygun profilleri görebilirsiniz: 

    xCommand Güvenlik Sertifikaları Hizmetleri Kayıt Profilleri Listesi

xCommand Güvenlik Sertifikaları Hizmetleri Kayıt Profilleri Listesi

Sertifika yenileme için Kayıt profillerini listeler.

 xCommand Güvenlik Sertifikaları Hizmetleri Kayıt SCEP Profilleri Parmak İzi(r): <S: 0, 128> URL(r): <S: 0, 256>

Yenileme için verilen SCEP URL'sini kullanmak için CA parmak izi tarafından verilen sertifikalar için bir kayıt profili ekleyin.

Yenileme

 xCommand Güvenlik Sertifikaları Hizmetleri Kayıt SCEP Profilleri Kümesi

Cihazın sertifikayı otomatik olarak yenileyebilmesi için sertifikayı gerçekleştirebilecek SCEP Url'sine erişebilmesi gerekir.

Cihaz günlük olarak 45 gün içinde dolacak sertifikaları kontrol eder. Aygıt daha sonra, vereni bir profille eşleşiyorsa bu sertifikayı yenilemeye çalışır.

NOT: Sertifika ilk olarak SCEP kullanılarak kaydedilmemiş olsa bile tüm cihaz sertifikalarının yenilenmesi için kontrol edilir.

Navigator

  1. Doğrudan Eşleştirilmiş: Kayıtlı Sertifikalar "Eşleştirme" sertifikası olarak etkinleştirilebilir.

  2. Uzaktan Eşleştirilmiş: Navigator'a Periferin kimliğini kullanarak yeni bir SCEP sertifikası kaydetmesini söyleyin:

    xCommand Periferler Güvenlik Sertifikaları Hizmetleri Kayıt SCEP İsteği 

    Kayıt profilleri otomatik olarak eşleştirilmiş navigator ile senkronize edilir.

  3. Bağımsız Navigator: Codec kaydıyla aynıdır

Oda Gezgini'nde 802.1x kimlik doğrulamayı yapılandırma

802.1x kimlik doğrulamasını doğrudan Oda Gezgini'nin Ayarlar menüsünden ayarlayabilirsiniz.

802.1x kimlik doğrulama standardı, Ethernet ağları için özellikle önemlidir ve yalnızca yetkili cihazlara ağ kaynaklarına erişim izni verilmesini sağlar.

Ağınızda yapılandırılan EAP yöntemine bağlı olarak farklı oturum açma seçenekleri kullanılabilir. Örnek:

  • TLS: Kullanıcı adı ve parola kullanılmaz.
  • PEAP: Sertifikalar kullanılmaz.
  • TTLS: Hem kullanıcı adı/parola hem de sertifika gereklidir; isteğe bağlı değildir.

Bir aygıtta istemci sertifikasını almanın birkaç yolu vardır:

  1. PEM'i Karşıya Yükleme: Güvenlik Sertifikası Hizmetleri Ekleme özelliğini kullanın.
  2. CSR oluşturun: Sertifika İmza İsteği Oluştur (CSR), imzalayın ve Güvenlik Sertifikaları CSR Oluştur/Bağlantı kullanarak bağlayın.
  3. SCEP: Güvenlik Sertifikaları Hizmetleri Kayıt SCEP İsteğini Kullan.
  4. DHCP Seçenek 43: Bu seçenek aracılığıyla sertifika teslimini yapılandırın.

802.1x sertifikalarını ayarlama ve güncelleme, Oda Gezgini'ni bir sistemle eşleştirmeden önce veya fabrika tarafından Oda Gezgini'ni sıfırlamadan önce yapılmalıdır .

Varsayılan kimlik bilgileri yönetici ve boş paroladır. API'ne erişerek sertifika ekleme hakkında daha fazla bilgi için, API kılavuzunun en son sürümüne bakın .

  1. Sağ üst köşedeki düğmeye dokunarak veya sağ taraftan kaydırarak Gezgini'nde kontrol panelini açın. Ardından Cihaz ayarları'na dokunun .
  2. Ağ bağlantısına gidin ve Ethernet'i seçin .
  3. IEEE 802.1X'i Kullan anahtarını açın.
    • Kimlik doğrulama kimlik bilgileriyle ayarlanırsa, kullanıcı kimliğini ve parolayı girin. Ayrıca adsız kimlik de girebilirsiniz: bu alan, gerçek kullanıcının kimliğini ilk kimlik doğrulama isteğinden ayırmak için bir yol sağlayan isteğe bağlıdır.
    • TLS Doğrula özelliğini devre dışı veya açık olarak değiştirebilirsiniz . TLS doğrula özelliği AÇıK olduğunda, istemci TLS el sıkıştığı sırada sunucu sertifikasının özgünlüğünü etkin şekilde doğrular. TLS doğrulama KAPALı olduğunda, istemci sunucu sertifikasının etkin doğrulamasını gerçekleştirmez.
    • API'ne erişerek bir istemci sertifikasını karşıya yüklediyseniz, İstemci Sertifikasını Kullan seçeneğini açın .
    • Kullanmak istediğiniz Genişletilebilir Kimlik Doğrulama Protokolü (EAP) yöntemlerini değiştirin. EAP yönteminin seçimi özel güvenlik gereksinimlerine, altyapıya ve istemci özelliklerine bağlıdır. EAP yöntemleri, güvenli ve kimliği doğrulanmış ağ erişimini etkinleştirmek için çok önemlidir.