يمكنك إضافة الشهادات من واجهة الويب المحلية للجهاز. بدلاً من ذلك، يمكنك إضافة الشهادات عن طريق تشغيل أوامر API. لمشاهدة الأوامر التي تسمح لك بإضافة الشهادات، راجع roomos.cisco.com .

شهادات الخدمة والسلطات التصديق الموثوقة

قد يكون التحقق من صحة الشهادة مطلوبًا عند استخدام TLS (أمان طبقة النقل). قد يتطلب الخادم أو العميل أن يقدم الجهاز شهادة صالحة لهم قبل إعداد الاتصال.

الشهادات عبارة عن ملفات نصية للتحقق من صحة الجهاز. يجب أن يتم توقيع هذه الشهادات من قبل هيئة إصدار الشهادات الموثوقة (CA). للتحقق من توقيع الشهادات، يجب أن تتوفر قائمة بالسلطات التصديقية الموثوقة على الجهاز. يجب أن تتضمن القائمة جميع السلطات التصديقية اللازمة للتحقق من الشهادات لكل من تسجيل التدقيق والاتصالات الأخرى.

يتم استخدام الشهادات للخدمات التالية: خادم HTTPS، وSIP، وIEEE 802.1X، وتسجيل التدقيق. يمكنك تخزين عدة شهادات على الجهاز، ولكن يتم تمكين شهادة واحدة فقط لكل خدمة في كل مرة.

في نظام RoomOS أكتوبر 2023 والإصدارات الأحدث، عند إضافة شهادة CA إلى جهاز، يتم تطبيقها أيضًا على Room Navigator إذا كان متصلاً. لمزامنة شهادات CA المضافة مسبقًا مع Room Navigator المتصل، يجب عليك إعادة تشغيل الجهاز. إذا كنت لا تريد أن تحصل الأجهزة الطرفية على نفس الشهادات مثل الجهاز المتصل بها، فقم بتعيين تكوين شهادات أمان الأجهزة الطرفية SyncToPeripherals إلى False.

للاتصال Wi-Fi

نوصيك بإضافة شهادة CA موثوقة لكل جهاز من سلسلة Board أو Desk أو Room، إذا كانت شبكتك تستخدم مصادقة WPA-EAP. يجب عليك القيام بذلك بشكل فردي لكل جهاز، وقبل الاتصال بـ Wi-Fi.

لإضافة شهادات لاتصال Wi-Fi الخاص بك، تحتاج إلى الملفات التالية:

• قائمة شهادات CA (تنسيق الملف: .PEM)

• الشهادة (تنسيق الملف: .PEM)

• المفتاح الخاص، إما كملف منفصل أو مضمن في نفس الملف مثل الشهادة (تنسيق الملف: .PEM)

• عبارة المرور (مطلوبة فقط إذا تم تشفير المفتاح الخاص)

يتم تخزين الشهادة والمفتاح الخاص في نفس الملف على الجهاز. في حالة فشل المصادقة، لن يتم إنشاء الاتصال.

يوفر بروتوكول تسجيل الشهادة البسيط (SCEP) آلية آلية لتسجيل وتحديث الشهادات المستخدمة على سبيل المثال في مصادقة 802.1X على الأجهزة. يتيح لك SCEP الحفاظ على وصول الجهاز إلى الشبكات الآمنة دون تدخل يدوي.

• عندما يكون الجهاز جديدًا أو تمت إعادة ضبطه إلى إعدادات المصنع، فإنه يحتاج إلى الوصول إلى الشبكة للوصول إلى عنوان URL الخاص بـ SCEP. يجب توصيل الجهاز بالشبكة دون 802.1X للحصول على عنوان IP.

• إذا كنت تستخدم التسجيل اللاسلكي SSID، فستحتاج إلى الانتقال إلى شاشات الإعداد لتكوين الاتصال بالشبكة.

• بمجرد اتصالك بشبكة التجهيز، لن يحتاج الجهاز إلى التواجد على شاشة إعداد معينة في هذه المرحلة.

• لتلائم جميع عمليات النشر، لن تقوم واجهات برمجة تطبيقات التسجيل SCEP بتخزين شهادة CA المستخدمة لتوقيع شهادة الجهاز. بالنسبة لمصادقة الخادم، يجب إضافة شهادة CA المستخدمة للتحقق من صحة شهادة الخادم باستخدام xCommand Security Certificates CA Add.

المتطلبات الأساسية

تحتاج إلى المعلومات التالية:

• عنوان URL لخادم SCEP.

• بصمة شهادة التوقيع CA (Certificate Authority).

• معلومات عن شهادة التسجيل. وهذا يشكل اسم الموضوع من الشهادة.

  • الاسم الشائع

  • اسم الدولة

  • اسم الولاية أو المقاطعة

  • اسم المنطقة

  • اسم المنظمة

  • الوحدة التنظيمية

• سيتم ترتيب اسم الموضوع على النحو التالي /C= /ST= /L= /O= /OU= /CN=

• كلمة مرور التحدي لخادم SCEP إذا قمت بتكوين خادم SCEP لفرض OTP أو سر مشترك.

بإمكانك تعيين حجم المفتاح المطلوب لزوج مفاتيح طلب الشهادة باستخدام الأمر التالي. الإفتراضي هو 2048.

 مفتاح تسجيل أمان xConfiguration حجم المفتاح: <2048، 3072، 4096>

نرسل طلب شهادة صالحة لمدة عام واحد لانتهاء صلاحية الشهادة. يمكن لسياسة جانب الخادم تغيير تاريخ انتهاء الصلاحية أثناء توقيع الشهادة.

اتصال إيثرنت

عند توصيل جهاز بشبكة، تأكد من أنه يمكنه الوصول إلى خادم SCEP. يجب أن يكون الجهاز متصلاً بشبكة بدون 802.1x للحصول على عنوان IP. قد يلزم توفير عنوان MAC الخاص بالجهاز لشبكة التزويد للحصول على عنوان IP. يمكن العثور على عنوان MAC على واجهة المستخدم أو على الملصق الموجود في الجزء الخلفي من الجهاز.

بعد توصيل الجهاز بالشبكة، يمكنك الاتصال بالجهاز عبر SSH كما يلي مسؤل للوصول إلى TSH، قم بتشغيل الأمر التالي لإرسال طلب التسجيل SCEP:

طلب تسجيل خدمات شهادات الأمان xCommand SCEP 

بمجرد قيام خادم SCEP بإرجاع شهادة الجهاز الموقعة، قم بتنشيط 802.1X.

تفعيل الشهادة الموقعة:

تفعيل خدمات شهادات الأمان xCommand 

أعد تشغيل الجهاز بعد تفعيل الشهادة.

اتصال لاسلكي

عند توصيل جهاز بشبكة لاسلكية، تأكد من أنه قادر على الوصول إلى خادم SCEP.

بعد توصيل الجهاز بالشبكة، يمكنك الاتصال بالجهاز عبر SSH كما يلي مسؤل للوصول إلى TSH، قم بتشغيل الأمر التالي لإرسال طلب التسجيل SCEP:

طلب تسجيل خدمات شهادات الأمان xCommand SCEP 

يستقبل الجهاز الشهادة الموقعة من خادم SCEP.

تفعيل الشهادة الموقعة:

تفعيل خدمات شهادات الأمان xCommand

بعد التنشيط، تحتاج إلى تكوين شبكة Wi-Fi باستخدام مصادقة EAP-TLS.

تكوين شبكة Wi-Fi xCommand 

بشكل افتراضي، يتخطى تكوين Wi-Fi عمليات التحقق من صحة الخادم. إذا كان مطلوبًا مصادقة أحادية الاتجاه فقط، فاحتفظ بها السماح بـ CA المفقودة التخلف عن السداد حقيقي.

لفرض التحقق من صحة الخادم، تأكد من أن السماح بـ CA المفقودة تم تعيين المعلمة الاختيارية على خطأ شنيع. إذا لم يكن من الممكن إنشاء اتصال بسبب أخطاء التحقق من صحة الخدمة، فتأكد من إضافة سلطة التصديق الصحيحة للتحقق من شهادة الخادم التي قد تكون مختلفة عن شهادة الجهاز.

API الأوصاف

الدور: مسؤول، مُتكامل

طلب تسجيل خدمات شهادات الأمان xCommand SCEP

يرسل CSR إلى خادم SCEP المحدد للتوقيع. سيتم إنشاء معلمات CSR SubjectName بالترتيب التالي: C، ST، L، O، OUs، CN.

حدود:

• عنوان URL(r): <S: 0, 256>

  عنوان URL لخادم SCEP.

• بصمة الإصبع(r): <S: 0, 128>

  بصمة شهادة CA التي ستوقع طلب SCEP CSR.

• الاسم الشائع(r): <S: 0، 64>

  يضيف "/CN=" إلى اسم الموضوع CSR.

• كلمة المرور للتحدي: <S: 0, 256>

  OTP أو السر المشترك من خادم SCEP للوصول إلى التوقيع.

• اسم الدولة: <S: 0, 2>

  يضيف "/C=" إلى اسم الموضوع CSR.

• اسم الولاية أو المقاطعة: <S: 0، 64>

  يضيف "/ST=" إلى اسم الموضوع CSR.

• اسم المنطقة: <S: 0, 64>

  يضيف "/L=" إلى اسم الموضوع CSR.

• اسم المنظمة: <S: 0, 64>

  يضيف "/O=" إلى اسم الموضوع CSR.

• الوحدة التنظيمية[5]: <S: 0، 64>

  يضيف ما يصل إلى 5 معلمات "/OU=" إلى اسم الموضوع CSR.

• SanDns[5]: <S: 0، 64>

  يضيف ما يصل إلى 5 معلمات Dns إلى اسم الموضوع البديل CSR.

• SanEmail[5]: <S: 0, 64>

  يضيف ما يصل إلى 5 معلمات بريد إلكتروني إلى اسم الموضوع البديل CSR.

• SanIp[5]: <S: 0، 64>

  يضيف ما يصل إلى 5 معلمات Ip إلى اسم الموضوع البديل CSR.

• سانوري[5]: <S: 0، 64>

  يضيف ما يصل إلى 5 معلمات Uri إلى اسم الموضوع البديل CSR.

حذف ملفات تعريف تسجيل خدمات شهادات الأمان الخاصة بـ xCommand

يقوم بحذف ملف تعريف التسجيل حتى لا يتم تجديد الشهادات بعد الآن.

حدود:

• بصمة الإصبع(r): <S: 0, 128>

  بصمة شهادة CA التي تحدد الملف الشخصي الذي ترغب في إزالته. يمكنك رؤية الملفات الشخصية المتاحة للإزالة عن طريق تشغيل:

  قائمة ملفات تعريف تسجيل خدمات شهادات الأمان xCommand

قائمة ملفات تعريف تسجيل خدمات شهادات الأمان xCommand

قوائم ملفات تعريف التسجيل لتجديد الشهادة.

 خدمات تسجيل شهادات الأمان xCommand ملفات تعريف SCEP تعيين بصمة الإصبع(r): <S: 0, 128> عنوان URL(r): <S: 0, 256>

أضف ملف تعريف تسجيل للشهادات الصادرة عن بصمة CA لاستخدام عنوان URL الخاص بـ SCEP للتجديد.

تجديد

 مجموعة ملفات تعريف SCEP لتسجيل خدمات شهادات الأمان الخاصة بـ xCommand

لتجديد الشهادة تلقائيًا، يجب أن يكون الجهاز قادرًا على الوصول إلى عنوان URL الخاص بـ SCEP الذي يمكنه إعادة تعيين الشهادة.

سيقوم الجهاز مرة واحدة يوميًا بالتحقق من الشهادات التي ستنتهي صلاحيتها بعد 45 يومًا. سيحاول الجهاز بعد ذلك تجديد هذه الشهادة إذا كان مصدرها يطابق ملف تعريف معين.

ملاحظة: سيتم التحقق من جميع شهادات الأجهزة للتجديد، حتى لو لم يتم تسجيل الشهادة في الأصل باستخدام SCEP.

الملاح

1. الاقتران المباشر: يمكن تنشيط الشهادات المسجلة كشهادة "اقتران".

2. الاقتران عن بعد: أخبر المستكشف بتسجيل شهادة SCEP جديدة باستخدام معرف الجهاز المحيطي:

   خدمات تسجيل شهادات الأمان لأجهزة xCommand الطرفية طلب SCEP 

   يتم مزامنة ملفات تعريف التسجيل تلقائيًا مع المتصفح المقترن.

3. المستكشف المستقل: نفس تسجيل الترميز