Ви можете додавати сертифікати з локального веб-інтерфейсу пристрою. Альтернативно, ви можете додавати сертифікати, запускаючи команди API. Щоб побачити, які команди дозволяють додавати сертифікати, дивіться roomos.cisco.com .

Сертифікати послуг і довірені CA

При використанні TLS (Transport Layer Security) може знадобитися перевірка сертифікатів. Сервер або клієнт може вимагати, щоб пристрій надав їм дійсний сертифікат перед встановленням зв'язку.

Сертифікати — це текстові файли, які підтверджують автентичність пристрою. Ці сертифікати мають бути підписані довіреним Certificate Authority (CA). Для перевірки підпису сертифікатів на пристрої має зберігатися список довірених CA. Список має містити всі CA, необхідні для перевірки сертифікатів як для аудиту, так і для інших підключень.

Сертифікати використовуються для таких сервісів: HTTPS-сервер, SIP, IEEE 802.1X та логування аудиту. Ви можете зберігати кілька сертифікатів на пристрої, але для кожного сервісу одночасно увімкнено лише один сертифікат.

У RoomOS з жовтня 2023 року і пізніше, коли ви додаєте сертифікат CA до пристрою, він також застосовується до Room Navigator, якщо він підключений. Щоб синхронізувати раніше додані сертифікати CA з підключеним Room Navigator, потрібно перезавантажити пристрій. Якщо ви не хочете, щоб периферійні пристрої отримували ті ж сертифікати, що й пристрій, до якого вони підключені, встановіть конфігурацію Peripherals Security Certificates SyncToPeripherals на False.

Для з'єднання Wi-Fi

Рекомендуємо додати довірений сертифікат CA для кожного пристрою Board, Desk або Room Series, якщо ваша мережа використовує автентифікацію WPA-EAP. Ви повинні робити це окремо для кожного пристрою і перед тим, як підключитися до Wi-Fi.

Щоб додати сертифікати для вашого з'єднання Wi-Fi, потрібні такі файли:

• Список сертифікатів CA (формат файлу: . PEM)

• Сертифікат (формат файлу: . PEM)

• Приватний ключ, або як окремий файл, або включений у той самий файл, що й сертифікат (формат файлу: . PEM)

• Парольна фраза (потрібна лише якщо приватний ключ зашифрований)

Сертифікат і приватний ключ зберігаються в одному файлі на пристрої. Якщо автентифікація не вдасться, з'єднання не буде встановлено.

Адміністратори повинні згенерувати запит на підписання сертифікатів (CSR) з Control Hub для хмарного пристрою Board, Desk або Room Series.

Виконайте ці кроки, щоб згенерувати CSR та завантажити підписаний сертифікат на свій пристрій:

1. З перегляду клієнта в Control Hub перейдіть на сторінку пристроїв і виберіть свій пристрій зі списку.
2. Перейдіть до розділу Actions > Run xCommand > Security > Certificates > CSR > Create.
3. Введіть необхідні дані сертифіката та виберіть «Виконати».
4. Скопіюйте весь текст між ----BEGIN CERTIFICATE REQUEST---- та ----END CERTIFICATE REQUEST----.
5. Використовуйте Certificate Authority (CA) на ваш вибір, щоб підписати CSR.
6. Експортуйте підписаний сертифікат у форматі PEM (кодований у Base64).
7. Відкрийте підписаний файл сертифіката в текстовому редакторі (наприклад, Notepad) і скопіюйте весь текст між ----BEGIN CERTIFICATE---- та ----END CERTIFICATE----.
8. У Control Hub перейдіть до Пристрої > виберіть свій пристрій > Actions > Run xCommand > Security > Certificates > CSR > Link.
9. Вставте скопійований вміст сертифіката у розділ Body і виберіть Виконати.
10. Оновіть сторінку, щоб переконатися, що сертифікат розміщений у розділі «Існуючий сертифікат».

Simple Certificate Enrollment Protocol (SCEP) забезпечує автоматизований механізм реєстрації та оновлення сертифікатів, які використовуються, наприклад, для автентифікації 802.1X на пристроях. SCEP дозволяє підтримувати доступ пристрою до захищених мереж без ручного втручання.

• Коли пристрій новий або має скидання до заводських налаштувань, йому потрібен доступ до мережі, щоб отримати SCEP URL. Пристрій має бути підключений до мережі без 802.1X для отримання IP-адреси.

• Якщо використовуєте бездротовий реєстр SSID, пройдіть екрани адаптації, щоб налаштувати підключення до мережі.

• Після підключення до мережі налаштування пристрій не обов'язково має бути на певному екрані введення на посадку.

• Щоб відповідати всім розгортанням, SCEP Enrollment xAPI не зберігатимуть сертифікат CA, який використовується для підписання сертифіката пристрою. Для автентифікації сервера сертифікат CA, який використовується для перевірки сертифіката сервера, потрібно додати за допомогою xCommand Security Certificates CA Add.

Необхідні умови

Вам потрібна така інформація:

• URL сервера SCEP.

• Відбиток пальця сертифіката CA (Certificate Authority).

• Інформація про сертифікат для реєстрації. Це утворює назву предмета сертифіката.

  • Поширена назва

  • Назва країни

  • Назва штату або провінції

  • Назва місцевості

  • Назва організації

  • Організаційна одиниця

• Назва предмета буде впорядкована як /C= /ST= /L= /O= /OU= /CN=

• Викликовий пароль сервера SCEP, якщо ви налаштували сервер SCEP для застосування OTP або спільної таємниці.

Ви можете встановити необхідний розмір ключа для пари ключів запиту сертифіката за допомогою наступної команди. За замовчуванням — 2048.

 xКлюч реєстрації безпеки конфігураціїРозмір: <2048, 3072, 4096>

Ми надсилаємо запит на сертифікат, який дійсний протягом одного року на термін дії сертифіката. Політика на стороні сервера може змінювати дату закінчення під час підписання сертифікатів.

Ethernet-з'єднання

Коли пристрій підключений до мережі, переконайтеся, що він може отримати доступ до сервера SCEP. Пристрій має бути підключений до мережі без 802.1x, щоб отримати IP-адресу. Адресу MAC пристрою може знадобитися надати мережі провізінгу для отримання IP адреси. Адресу MAC можна знайти на інтерфейсі або на етикетці ззаду пристрою.

Після підключення пристрою до мережі ви можете надіслати SSH до пристрою як адміністратор для доступу до TSH, а потім виконати таку команду для надсилання запиту SCEP на реєстрацію:

xCommand Сертифікати безпеки Послуги Реєстрація SCEP Запит 

Після повернення підписаного сертифіката пристрою сервером SCEP активуйте 802.1X.

Активуйте підписаний сертифікат:

Активація сервісів сертифікацій безпеки xCommand 

Перезавантажте пристрій після активації сертифіката.

Бездротове з'єднання

Коли пристрій підключений до бездротової мережі, переконайтеся, що він може отримати доступ до сервера SCEP.

Після підключення пристрою до мережі ви можете надіслати SSH до пристрою як адміністратор для доступу до TSH, а потім виконати таку команду для надсилання запиту SCEP на реєстрацію:

xCommand Сертифікати безпеки Послуги Реєстрація SCEP Запит 

Пристрій отримує підписаний сертифікат від сервера SCEP.

Активуйте підписаний сертифікат:

Активація сервісів сертифікацій безпеки xCommand

Після активації потрібно налаштувати мережу Wi-Fi з автентифікацією EAP-TLS.

xCommand Network Wifi Конфігурація 

За замовчуванням конфігурація Wi-Fi пропускає перевірки перевірки сервера. Якщо потрібна лише одностороння автентифікація, AllowMissingCA залишайте за замовчуванням True .

Щоб примусово перевірити сервер, переконайтеся, що опціональний параметр AllowMissingCA встановлений на False. Якщо з'єднання не вдається встановити через помилки перевірки сервісу, перевірте, чи додано правильний CA для підтвердження сертифіката сервера, який може відрізнятися від сертифіката пристрою.

API описи

Роль: адміністратор, інтегратор

xCommand Сертифікати безпеки Послуги Реєстрація SCEP Запит

Відправляє CSR на певний сервер SCEP для підписання. Параметри CSR SubjectName будуть побудовані в такому порядку: C, ST, L, O, OUs, CN.

Параметри:

• URL(r): <S: 0, 256>

  URL-адреса сервера SCEP.

• Відбиток пальця(r): <S: 0, 128>

  Відбиток пальця CA Certificate, який підпише запит SCEP CSR.

• CommonName(r): <S: 0, 64>

  Додає "/CN=" до назви CSR суб'єкта.

• ВикликПароль: <S: 0, 256>

  OTP або Shared Secret з сервера SCEP для доступу до підпису.

• Назва країни: <S: 0, 2>

  Додає "/C=" до назви суб'єкта CSR.

• ДержаваАбоПровінціяНазва: <S: 0, 64>

  Додає "/ST=" до назви CSR суб'єкта.

• Назва місцевості: <S: 0, 64>

  Додає "/L=" до назви суб'єкта CSR.

• ОрганізаціяНазва: <S: 0, 64>

  Додає "/O=" до назви CSR суб'єкта.

• Організаційний підрозділ[5]: <S: 0, 64>

  У сумі до назви суб'єкта CSR утворюється 5 параметрів "/OU=".

• SanDns[5]: <S: 0, 64>

  У сумі 5 параметрів DNS до альтернативної назви суб'єкта CSR.

• SanEmail[5]: <S: 0, 64>

  Додається до 5 параметрів електронної пошти до альтернативної назви CSR Subject Alternative.

• SanIp[5]: <S: 0, 64>

  Додає до 5 ip-параметрів до альтернативної назви CSR суб'єкта.

• SanUri[5]: <S: 0, 64>

  У сумі до альтернативної назви CSR дає 5 параметрів URI.

xCommand Сертифікати безпеки Сервіси Профілі реєстрації Видалити

Видаляє профіль реєстрації, щоб більше не продовжувати сертифікати.

Параметри:

• Відбиток пальця(r): <S: 0, 128>

  Відбиток пальця сертифіката CA, який ідентифікує профіль, який ви хочете видалити. Ви можете побачити доступні профілі для видалення, запустивши його:

  xCommand Security Certificates Services Список профілів реєстрації

xCommand Security Certificates Services Список профілів реєстрації

Перелік профілів реєстрації для поновлення сертифіката.

 xCommand Security Certificates Services Enrollment SCEP Set Fingerprint(r): <S: 0, 128> URL(r): <S: 0, 256>

Додайте профіль реєстрації сертифікатів, виданих за CA fingerprint, щоб використовувати заданий SCEP URL для поновлення.

Оновлення

 xCommand Security Certificates Services Enrollment SCEP Profile Set

Для автоматичного поновлення сертифіката пристрій повинен мати доступ до SCEP URL, яка може повторно підписати сертифікат.

Один раз на день пристрій перевіряє наявність сертифікатів, термін дії яких закінчується через 45 днів. Пристрій потім спробує поновити ці сертифікати, якщо їхній емітент відповідає профілю.

ПРИМІТКА: Усі сертифікати пристроїв будуть перевірені на поновлення, навіть якщо сертифікат спочатку не був зареєстрований через SCEP.

Навігатор

1. Пряме спарювання: Зареєстровані сертифікати можна активувати як сертифікат «Pairing».

2. Віддалене спарювання: Скажіть навігатору зареєструвати новий сертифікат SCEP, використовуючи ідентифікатор периферійного пристрою:

   xCommand Периферійні пристрої Сертифікати безпеки Послуги Реєстрація SCEP Запит 

   Профілі реєстрації автоматично синхронізуються з парним навігатором.

3. Автономний навігатор: Те саме, що й реєстрація кодеків

Ви можете налаштувати автентифікацію 802.1x безпосередньо з меню налаштувань Room Navigator.

Стандарт автентифікації 802.1x особливо важливий для мереж Ethernet і гарантує, що доступ до мережевих ресурсів отримують лише авторизовані пристрої.

Доступні різні варіанти входу залежно від методу EAP, налаштованого у вашій мережі. Наприклад:

• TLS: Ім'я користувача та пароль не використовуються.
• PEAP: Сертифікати не використовуються.
• TTLS: Потрібні як ім'я користувача/пароль, так і сертифікати; Жоден із них не є опціональним.

Існує кілька способів отримати сертифікат клієнта на пристрої:

1. Завантажити PEM: Використати функцію Security Certificates Services Add.
2. Створіть CSR: Згенеруйте запит на підписання сертифіката (CSR), підпишіть його та зв'яжіть за допомогою сертифікатів безпеки CSR Створити/Зв'язати.
3. SCEP: Використати запит SCEP на сертифікати безпеки, послуги реєстрації.
4. DHCP Варіант 43: Налаштувати доставку сертифіката через цю опцію.

Налаштування та оновлення сертифікатів для 802.1x слід робити перед підключенням Room Navigator до системи або після скидання Room Navigator до заводських налаштувань.

Стандартні облікові дані — адміністратор і порожній пароль. Для отримання додаткової інформації про те, як додати сертифікати, переглянувши API, дивіться останню версію посібника API.

1. Відкрийте панель керування на Навігаторі, натискаючи кнопку у верхньому правому куті або проводячи пальцем справа. Потім натисніть Налаштування пристрою.
2. Перейдіть у розділ Мережеве з'єднання і виберіть Ethernet .
3. Активуйте перемикач Use IEEE 802.1X (Використовувати IEEE 802.1X).
   • Якщо автентифікація налаштована з обліковими даними, введіть ідентифікатор користувача та пароль. Ви також можете ввести анонімну особу: це необов'язкове поле, яке дозволяє відокремити особистість користувача від початкового запиту на автентифікацію.
   • Ви можете вмикати TLS Перевірка вимкнено або ввімкнено. Коли TLS verify увімкнено, клієнт активно перевіряє автентичність сертифіката сервера під час рукостискання TLS. Коли TLS verify вимкнено, клієнт не виконує активну перевірку сертифіката сервера.
   • Якщо ви завантажили клієнтський сертифікат, відкривши API, увімкніть Використати сертифікат клієнта.
   • Перемикайте методи Extensible Authentication Protocol (EAP ), які ви хочете використовувати. Вибір методу EAP залежить від конкретних вимог до безпеки, інфраструктури та можливостей клієнта. EAP методи є ключовими для забезпечення безпечного та автентифікованого доступу до мережі.