Cihazın yerel web arabiriminden sertifika ekleyebilirsiniz. Alternatif olarak, API komutlarını çalıştırarak sertifika ekleyebilirsiniz. Hangi komutların sertifika eklemenize izin verdiğini görmek için roomos.cisco.com 'a bakın.

Hizmet sertifikaları ve güvenilir CA'lar

TLS (Taşıma Katmanı Güvenliği) kullanırken sertifika doğrulama gerekli olabilir. Sunucu veya istemci, iletişim kurulmadan önce cihazın geçerli bir sertifika sunmasını gerektirebilir.

Sertifikalar, cihazın gerçekliğini doğrulayan metin dosyalarıdır. Bu sertifikaların, güvenilir sertifika yetkilisi tarafından imzalanmış olması gerekir. Sertifikaların imzasını doğrulamak için, cihazda güvenilir CA'ların bir listesinin bulunması gerekir. Liste, hem denetim kaydı hem de diğer bağlantılar için sertifikaları doğrulamak için gerekli tüm CA'ları içermelidir.

Sertifikalar aşağıdaki hizmetler için kullanılır: HTTPS sunucusu, SIP, IEEE 802.1 X ve denetim günlüğü. Cihazda birden çok sertifika saklayabilirsiniz, ancak bir hizmet için aynı anda yalnızca bir sertifika etkinleştirilir.

RoomOS Ekim 2023 ve sonraki sürümlerde, bir cihaza CA sertifikası eklediğinizde, bağlı bir Room Navigator varsa bu sertifika cihaza da uygulanır. Daha önce eklenen CA sertifikalarını bağlı bir Room Navigator ile senkronize etmek için cihazı yeniden başlatmanız gerekir. Çevre birimlerinin bağlı olduğu cihazla aynı sertifikaları almasını istemiyorsanız, Çevre Birimleri Güvenlik Sertifikaları SyncToPeripherals yapılandırmasını False olarak ayarlayın.

Daha önce depolanmış sertifikalar otomatik olarak silinmez. CA sertifikalı yeni bir dosya içindeki girişler, mevcut listeye eklenir.

Wi-Fi bağlantısı için

Ağınız WPA-EAP kimlik doğrulamasını kullanıyorsa, her Board, Masaüstü veya Oda Serisi cihaz için güvenilir bir CA sertifikası eklemenizi öneririz. Bunu tek tek ve her bir aygıt için Wi-Fi'ya bağlanmadan önce yapmanız gerekir.

Wi-Fi bağlantınıza sertifika eklemek için aşağıdaki dosyalar gerekir:

  • CA sertifika listesi (dosya biçimi: .PEM)

  • Sertifika (dosya biçimi: .PEM)

  • Özel anahtar, ayrı bir dosya olarak ya da aynı dosyaya sertifika olarak eklenir (dosya biçimi: .PEM)

  • Parola (ancak özel anahtarın şifreli olması durumunda gereklidir)

Sertifika ve özel anahtar, cihazda aynı dosyada saklanır. Kimlik doğrulama başarısız olursa, bağlantı kurulmaz.

Sertifika ve özel anahtarı bağlı çevre birimlerine uygulanmaz.

Board, Masaüstü ve Oda Serisi cihazlarına sertifika ekleyin

1

https://admin.webex.com müşteri görünümünden Cihazlar sayfasına gidin ve listeden cihazınızı seçin. Destek 'e gidin ve Yerel Aygıt Denetimleri 'ni başlatın.

Cihazda yerel bir Yönetici rolünde kullanıcı oluşturduysanız, web arabirimine bir web tarayıcısı açıp http(s)://<endpoint ip or hostname> yazarak doğrudan ulaşabilirsiniz.

2

Güvenlik > Sertifikalar > Özel > Sertifika Ekle öğesine gidin ve kök CA sertifikalarınızı karşıya yükleyin.

3

Openssl üzerinde özel anahtar ve sertifika isteği oluşturme. Sertifika isteği içeriğini kopyalayın. Daha sonra bunu sertfiika yetkilinizden (CA) sunucu sertifikası isteğinde bulunmak için yapıştırın.

4

Sertifika yetkiliniz tarafından imzalanan sunucu sertifikasını indirin. .PEM formatında olduğundan emin olun.

5

Güvenlik > Sertifikalar > Hizmetler > Sertifika Ekle öğesine gidin ve özel anahtar ve sunucu sertifikasını karşıya yükleyin.

6

Az önce eklediğiniz sertifika için kullanmak istediğiniz servisleri etkinleştirin.

Sertifika İmzalama İsteği Oluştur (CSR)

Yöneticiler, buluta kayıtlı Board, Masaüstü veya Oda Serisi cihazlar için Kontrol Merkezi'nden bir Sertifika İmzalama İsteği (CSR) oluşturmalıdır.

CSR oluşturmak ve imzalı sertifikayı cihazınıza yüklemek için şu adımları izleyin:

  1. Control Hub'daki müşteri görünümünden Aygıtlar sayfasına gidin ve listeden aygıtınızı seçin.
  2. Eylemler > xCommand'ı Çalıştır > Güvenlik > Sertifikalar > CSR > Oluştur'a gidin.
  3. Gerekli sertifika bilgilerini girin ve Çalıştır'ı seçin.
  4. ----BEGIN CERTIFICATE REQUEST---- ile ----END CERTIFICATE REQUEST---- arasındaki tüm metni kopyalayın.
  5. CSR'i imzalamak için seçtiğiniz Certificate Authority (CA) etiketini kullanın.
  6. İmzalanmış sertifikayı PEM (Base64 kodlu) formatında dışa aktarın.
  7. İmzalanmış sertifika dosyasını bir metin düzenleyicide (örneğin Not Defteri) açın ve ----BEGIN CERTIFICATE---- ile ----END CERTIFICATE---- arasındaki tüm metni kopyalayın.
  8. Denetim Merkezi'nde Aygıtlar > Aygıtınızı seçin > Eylemler > xCommand'ı Çalıştır > Güvenlik > Sertifikalar > CSR > Bağlantı'ya gidin.
  9. Kopyalanan sertifika içeriğini Gövde bölümüne yapıştırın ve Çalıştır'ı seçin.
  10. Sertifikanın Mevcut Sertifika altında göründüğünü doğrulamak için sayfayı yenileyin.

Basit Sertifika Kayıt Protokolü (SCEP)

Basit Sertifika Kayıt Protokolü (SCEP), cihazlarda örneğin 802.1X kimlik doğrulaması için kullanılan sertifikaların kaydedilmesi ve yenilenmesi için otomatik bir mekanizma sağlar. SCEP, manuel müdahaleye gerek kalmadan cihazın güvenli ağlara erişimini sürdürmenizi sağlar.

  • Cihaz yeniyse veya fabrika ayarlarına sıfırlanmışsa, SCEP URL'sine ulaşmak için ağ erişimine ihtiyaç duyar. IP adresini alabilmek için cihazın 802.1X olmadan ağa bağlı olması gerekir.

  • SSID kablosuz kaydını kullanıyorsanız, ağ bağlantısını yapılandırmak için başlangıç ekranlarını inceleyin.

  • Sağlama ağına bağlandığınızda, cihazın belirli bir katılım ekranında olması gerekmez.

  • Tüm dağıtımlara uyması için SCEP Kayıt xAPI'leri, cihaz sertifikasını imzalamak için kullanılan CA sertifikasını depolamaz. Sunucu kimlik doğrulaması için, sunucunun sertifikasını doğrulamak için kullanılan CA sertifikasının xCommand Security Certificates CA Add ile eklenmesi gerekir.

Ön Koşullar

Aşağıdaki bilgilere ihtiyacınız olacaktır:

  • SCEP Sunucusunun URL'si.

  • İmzalayan CA (Certificate Authority) sertifikasının parmak izi.

  • Kayıt için gerekli sertifika bilgileri. Bu, sertifikanın Konu Adını oluşturur.

    • Yaygın adı

    • Ülke adı

    • Eyalet veya İl adı

    • Yerellik adı

    • Kuruluş adı

    • Örgütsel birim

  • Konu adı şu şekilde sıralanacaktır: /C= /ST= /L= /O= /OU= /CN=

  • SCEP Sunucusunu OTP veya Paylaşılan Gizliliği zorunlu kılacak şekilde yapılandırdıysanız SCEP Sunucusunun meydan okuma parolası.

Sertifika isteği anahtar çifti için gereken anahtar boyutunu aşağıdaki komutu kullanarak ayarlayabilirsiniz. Varsayılan 2048'dir.

 xConfiguration Güvenlik Kayıt Anahtarı Boyutu: <2048, 3072, 4096>

Sertifika süresinin dolması halinde 1 yıl geçerliliği olan sertifika talebi gönderiyoruz. Sunucu tarafındaki politika, sertifika imzalama sırasında son kullanma tarihini değiştirebilir.

Ethernet bağlantısı

Bir cihaz bir ağa bağlandığında SCEP sunucusuna erişebildiğinden emin olun. IP adresini alabilmek için cihazın 802.1x olmayan bir ağa bağlı olması gerekir. IP adresini elde etmek için cihazın MAC adresinin sağlama ağına sağlanması gerekebilir. MAC adresini kullanıcı arayüzünde veya cihazın arkasındaki etikette bulabilirsiniz.

Cihaz ağa bağlandıktan sonra cihaza SSH ile bağlanabilirsiniz. yönetici TSH'ye erişmek için Kayıt SCEP İsteğini göndermek üzere aşağıdaki komutu çalıştırın: 

xCommand Güvenlik Sertifikaları Hizmetleri Kaydı SCEP Talebi

SCEP Sunucusu imzalanmış aygıt sertifikasını döndürdüğünde 802.1X'i etkinleştirin.

İmzalanmış sertifikayı etkinleştirin:

xCommand Güvenlik Sertifikaları Hizmetlerini Etkinleştir

Sertifikayı etkinleştirdikten sonra cihazı yeniden başlatın.

Kablosuz bağlantı

Bir cihaz kablosuz ağa bağlandığında SCEP sunucusuna erişebildiğinden emin olun.

Cihaz ağa bağlandıktan sonra cihaza SSH ile bağlanabilirsiniz. yönetici TSH'ye erişmek için Kayıt SCEP İsteğini göndermek üzere aşağıdaki komutu çalıştırın: 

xCommand Güvenlik Sertifikaları Hizmetleri Kaydı SCEP Talebi

Cihaz, imzalanmış sertifikayı SCEP sunucusundan alır.

İmzalanmış sertifikayı etkinleştirin: 

xCommand Güvenlik Sertifikaları Hizmetlerini Etkinleştir

Etkinleştirdikten sonra Wi-Fi ağını EAP-TLS kimlik doğrulamasıyla yapılandırmanız gerekir. 

xCommand Ağ Wifi Yapılandırması

Varsayılan olarak, Wi-Fi yapılandırması sunucu doğrulama kontrollerini atlar. Yalnızca tek yönlü kimlik doğrulaması gerekiyorsa, o zaman saklayın EksikCA'ya İzin Ver varsayılan olarak Doğru.

Sunucu doğrulamasını zorlamak için, şunu sağlayın: EksikCA'ya İzin Ver isteğe bağlı parametre şu şekilde ayarlandı: YANLIŞ. Servis doğrulama hataları nedeniyle bağlantı kurulamıyorsa, cihaz sertifikasından farklı olabilecek sunucu sertifikasını doğrulamak için doğru CA'nın eklendiğini kontrol edin.

API açıklamaları

Rol: Yönetici, Entegratör

xCommand Güvenlik Sertifikaları Hizmetleri Kaydı SCEP Talebi

İmzalanması için belirli bir SCEP sunucusuna CSR gönderir. CSR SubjectName parametreleri şu sırayla oluşturulacaktır: C, ST, L, O, OU'lar, CN.

Parametreler:

  • URL(r): <S: 0, 256>

    SCEP sunucusunun URL adresi.

  • Parmak izi(r): <S: 0, 128>

    SCEP isteğini imzalayacak CA Sertifika Parmak İzi CSR.

  • OrtakAd(r): <S: 0, 64>

    CSR Konu Adına "/CN=" ekler.

  • ChallengePassword: <S: 0, 256>

    İmzalama erişimi için SCEP Sunucusundan OTP veya Paylaşımlı Gizli Bilgi.

  • ÜlkeAdı: <S: 0, 2>

    CSR Konu Adına "/C=" ekler.

  • EyaletVeyaİlAdı: <S: 0, 64>

    CSR Konu Adına "/ST=" ekler.

  • YerellikAdı: <S: 0, 64>

    CSR Konu Adına "/L=" ekler.

  • KuruluşAdı: <S: 0, 64>

    CSR Konu Adına "/O=" ekler.

  • Organizasyon Birimi[5]: <S: 0, 64>

    CSR Konu Adına en fazla 5 "/OU=" parametresi ekler.

  • SanDns[5]: <S: 0, 64>

    CSR Konu Alternatif Adına en fazla 5 DNS parametresi ekler.

  • SanEmail[5]: <S: 0, 64>

    CSR Konu Alternatif Adına en fazla 5 E-posta parametresi ekler.

  • SanIp[5]: <S: 0, 64>

    CSR Konu Alternatif Adına en fazla 5 Ip parametresi ekler.

  • SanUri[5]: <S: 0, 64>

    CSR Konu Alternatif Adına en fazla 5 URI parametresi ekler.

xCommand Güvenlik Sertifikaları Hizmetleri Kayıt Profillerini Sil

Sertifikaların artık yenilenmemesi için kayıt profilini siler.

Parametreler:

  • Parmak izi(r): <S: 0, 128>

    Kaldırmak istediğiniz profili tanımlayan CA sertifika parmak izi. Kaldırılabilecek profilleri görmek için şu komutu çalıştırabilirsiniz: 

    xCommand Güvenlik Sertifikaları Hizmetleri Kayıt Profilleri Listesi

xCommand Güvenlik Sertifikaları Hizmetleri Kayıt Profilleri Listesi

Sertifika yenileme için Kayıt profillerini listeler.

 xCommand Güvenlik Sertifikaları Hizmetleri Kaydı SCEP Profilleri Parmak İzi Ayarı(r): <S: 0, 128> URL(r): <S: 0, 256>

Yenileme için verilen SCEP URL'sini kullanmak üzere CA parmak izi tarafından verilen sertifikalar için bir kayıt profili ekleyin.

Yenileme

 xCommand Güvenlik Sertifikaları Hizmetleri Kaydı SCEP Profilleri Ayarlandı

Sertifikanın otomatik olarak yenilenmesi için cihazın sertifikayı iptal edebilen SCEP URL'sine erişebilmesi gerekir.

Cihaz, 45 gün sonra sona erecek sertifikaları günde bir kez kontrol edecektir. Cihaz daha sonra sertifikayı veren kuruluş bir profille eşleşirse bu sertifikaları yenilemeyi deneyecektir.

NOT: Sertifika başlangıçta SCEP kullanılarak kaydedilmemiş olsa bile, tüm cihaz sertifikalarının yenilenmesi kontrol edilecektir.

Navigatör

  1. Doğrudan Eşleştirilmiş: Kayıtlı Sertifikalar "Eşleştirme" sertifikası olarak aktifleştirilebilir.

  2. Uzaktan Eşleştirildi: Gezgine, Çevre Biriminin Kimliğini kullanarak yeni bir SCEP sertifikası kaydetmesini söyleyin:

    xCommand Çevre Birimleri Güvenlik Sertifikaları Hizmetleri Kaydı SCEP Talebi 

    Kayıt profilleri otomatik olarak eşleştirilen navigatöre senkronize edilir.

  3. Bağımsız Navigator: Kodek kaydıyla aynı

Room Navigator'da 802.1x kimlik doğrulamasını yapılandırın

802.1x kimlik doğrulamasını doğrudan Oda Gezgini'nin Ayarlar menüsünden ayarlayabilirsiniz.

802.1x kimlik doğrulama standardı özellikle Ethernet ağları için önemlidir ve yalnızca yetkili cihazların ağ kaynaklarına erişebilmesini sağlar.

Ağınızda yapılandırılan EAP yöntemine bağlı olarak farklı oturum açma seçenekleri mevcuttur. Örnek:

  • TLS: Kullanıcı adı ve şifre kullanılmıyor.
  • PEAP: Sertifikalar kullanılmıyor.
  • TTLS: Hem kullanıcı adı/şifre hem de sertifika gereklidir; hiçbiri isteğe bağlı değildir.

Bir cihazda istemci sertifikasını almanın birkaç yolu vardır:

  1. PEM'i yükleyin: Güvenlik Sertifikaları Hizmetleri Ekleme özelliğini kullanın.
  2. CSR oluşturun: Bir Sertifika İmzalama İsteği (CSR) oluşturun, imzalayın ve Güvenlik Sertifikaları CSR Oluştur/Bağla kullanarak bağlayın.
  3. SCEP: Güvenlik Sertifikaları Hizmetleri Kaydı SCEP İsteğini Kullanın.
  4. DHCP Seçenek 43: Sertifika teslimatını bu seçenek aracılığıyla yapılandırın.

802.1x için sertifikaların kurulumu ve güncellenmesi yapılmalıdır eşleştirmeden önce Oda Gezgini'ni bir sisteme veya Oda Gezgini'ni fabrika ayarlarına sıfırladıktan sonra.

Varsayılan kimlik bilgileri admin ve boş paroladır. API'ye erişerek sertifika ekleme hakkında daha fazla bilgi için bkz. API rehberinin en son sürümü .

  1. Navigator'da sağ üst köşedeki düğmeye dokunarak veya sağ taraftan kaydırarak kontrol panelini açın. Sonra dokunun Cihaz ayarları .
  2. Git Ağ bağlantısı ve seç Ethernet .
  3. IEEE 802.1X'i Kullan anahtarını açın.
    • Kimlik doğrulaması kimlik bilgileriyle ayarlanmışsa, kullanıcı kimliğini ve parolayı girin. Ayrıca anonim bir kimlik de girebilirsiniz: Bu, gerçek kullanıcının kimliğini ilk kimlik doğrulama isteğinden ayırmanın bir yolunu sağlayan isteğe bağlı bir alandır.
    • Geçiş yapabilirsiniz TLS Doğrula açık veya kapalı. TLS doğrulaması AÇIK olduğunda, istemci TLS el sıkışması sırasında sunucunun sertifikasının gerçekliğini etkin bir şekilde doğrular. TLS doğrulaması KAPALI olduğunda, istemci sunucunun sertifikasının etkin doğrulamasını gerçekleştirmez.
    • API'ye erişerek bir istemci sertifikası yüklediyseniz, geçiş yapın İstemci Sertifikasını Kullan Açık.
    • Geçiş yap Genişletilebilir Kimlik Doğrulama Protokolü (EAP) kullanmak istediğiniz yöntemler. EAP yönteminin seçimi, belirli güvenlik gereksinimlerine, altyapıya ve istemci yeteneklerine bağlıdır. EAP yöntemleri güvenli ve kimliği doğrulanmış ağ erişimini sağlamak için kritik öneme sahiptir.