באפשרותך להוסיף אישורים מממשק האינטרנט המקומי של המכשיר. לחלופין, באפשרותך להוסיף אישורים על-ידי הפעלת פקודות API. כדי לראות אילו פקודות מאפשרות לך להוסיף אישורים, ראה roomos.cisco.com .

אישורי שירות ורשויות אישורים מהימנות

ייתכן שיהיה צורך באימות אישור בעת שימוש ב- TLS (אבטחת שכבת תעבורה). שרת או לקוח עשויים לדרוש שההתקן יציג להם אישור חוקי לפני הגדרת התקשורת.

האישורים הם קבצי טקסט המאמתים את מקוריות ההתקן. אישורים אלה חייבים להיות חתומים על-ידי Certificate Authority (CA) מהימן. כדי לאמת את חתימת האישורים, רשימה של רשויות אישורים מהימנות חייבת להימצא בהתקן. הרשימה חייבת לכלול את כל רשויות האישורים הדרושות כדי לאמת אישורים הן עבור רישום ביקורת והן עבור חיבורים אחרים.

אישורים משמשים עבור השירותים הבאים: שרת HTTPS, SIP, IEEE 802.1X ורישום ביקורת. באפשרותך לאחסן מספר אישורים בהתקן, אך רק אישור אחד זמין עבור כל שירות בכל פעם.

ב-RoomOS אוקטובר 2023 ואילך, כאשר אתם מוסיפים אישור CA למכשיר, הוא מוחל גם על Room Navigator אם אחד מהם מחובר. כדי לסנכרן את אישורי CA שנוספו בעבר לנווט חדרים מחובר, עליך לאתחל מחדש את המכשיר. אם אינך מעוניין שהציוד ההיקפי יקבל אישורים זהים לאלה של ההתקן שאליו הוא מחובר, הגדר את התצורה של אישורי אבטחה היקפיים SyncToPeripherals ל - False.

אישורים שאוחסנו בעבר אינם נמחקים באופן אוטומטי. הערכים בקובץ חדש עם אישורי CA מצורפים לרשימה הקיימת.

לחיבור Wi-Fi

מומלץ להוסיף אישור CA מהימן עבור כל מכשיר Board, שולחן העבודה או סדרת החדרים, אם הרשת שלך משתמשת באימות WPA-EAP. עליך לעשות זאת בנפרד עבור כל מכשיר, ולפני שתתחבר אל Wi-Fi.

כדי להוסיף אישורים עבור חיבור Wi-Fi, דרושים לך הקבצים הבאים:

  • רשימת אישורי CA (תבנית קובץ: . פם)

  • אישור (תבנית קובץ: . פם)

  • מפתח פרטי, כקובץ נפרד או כלול באותו קובץ כמו האישור (תבנית קובץ: . פם)

  • ביטוי סיסמה (נדרש רק אם המפתח הפרטי מוצפן)

האישור והמפתח הפרטי מאוחסנים באותו קובץ במכשיר. אם האימות נכשל, החיבור לא ייווצר.

מפתח פרטי וביטוי סיסמה אינם מוחלים על ציוד היקפי מחובר.

הוספת אישורים במכשירי Board, שולחן העבודה וסדרת החדרים

1

מתצוגת הלקוח ב - https://admin.webex.com , עבור אל הדף מכשירים ובחר את המכשיר שלך ברשימה. עבור אל תמיכה והפעל פקדי התקנים מקומיים.

אם הגדרת משתמש מנהל מקומי במכשיר, באפשרותך לגשת ישירות לממשק האינטרנט על-ידי פתיחת דפדפן אינטרנט והקלדת https://<endpoint IP או Hostname> .

2

נווט אל אישורי אבטחה >> התאמה אישית > הוסף אישור והעלה את אישורי הבסיס של רשות האישורים שלך.

3

ב- openssl, צור מפתח פרטי ובקשת אישור. העתק את תוכן בקשת האישור. לאחר מכן הדבק אותו כדי לבקש את אישור השרת מה- Certificate Authority (CA) שלך.

4

הורד את אישור השרת החתום על-ידי רשות האישורים שלך. ודא שהוא נמצא ב- . פורמט PEM.

5

נווט אל אבטחה > אישורים > שירותים > הוסף אישור והעלה את המפתח הפרטי ואת אישור השרת.

6

הפוך את השירותים שבהם ברצונך להשתמש עבור האישור שזה עתה הוספת.

Simple Certificate Enrollment Protocol (SCEP)

Simple Certificate Enrollment Protocol (SCEP) מספק מנגנון אוטומטי להרשמה ולרענון אישורים המשמשים לדוגמה אימות 802.1X במכשירים. SCEP מאפשר לך לשמור על גישת המכשיר לרשתות מאובטחות ללא התערבות ידנית.

  • כאשר ההתקן חדש, או כאשר אופס להגדרות יצרן, נדרשת לו גישה לרשת כדי להגיע לכתובת ה-URL של SCEP. ההתקן צריך להיות מחובר לרשת ללא 802.1X כדי לקבל כתובת IP.

  • אם אתה משתמש בהרשמה אלחוטית SSID, עליך לעבור דרך מסכי הקליטה כדי להגדיר את החיבור לרשת.

  • לאחר שתתחבר לרשת ההקצאה, המכשיר לא חייב להיות במסך קליטה מסוים בשלב זה.

  • כדי להתאים לכל הפריסות, ממשקי ה- API של רישום SCEP לא יאחסנו את אישור CA המשמש לחתימה על אישור ההתקן. עבור אימות שרת, יש להוסיף את אישור CA המשמש לאימות אישור השרת באמצעות xCommand Security Certificates CA Add.

דרישות מוקדמות

דרושים לך הפרטים הבאים:

  • כתובת URL של שרת SCEP.

  • טביעת אצבע של אישור CA החתום (Certificate Authority).

  • מידע על האישור להרשמה. זה מהווה את שם הנושא של האישור.

    • שם נפוץ

    • שם מדינה

    • שם מדינה או מחוז

    • שם היישוב

    • שם הארגון

    • יחידה ארגונית

  • שם הנושא יסומן כ- /C= /ST= /L= /O= /OU= /CN=

  • סיסמת האתגר של שרת SCEP אם הגדרת את שרת SCEP לאכוף OTP או סוד משותף.

באפשרותך להגדיר את גודל המפתח הדרוש עבור צמד המקשים של בקשת האישור באמצעות הפקודה הבאה. ברירת המחדל היא 2048.

 xConfiguration Security Enrollment KeySize: <2048, 3072, 4096>

אנו שולחים בקשת אישור שתקפה למשך שנה אחת לתפוגת האישור. המדיניות בצד השרת יכולה לשנות את תאריך התפוגה במהלך חתימת אישור.

חיבור Ethernet

כאשר התקן מחובר לרשת, ודא שהוא יכול לגשת לשרת SCEP. ההתקן צריך להיות מחובר לרשת ללא 802.1x כדי לקבל כתובת IP. ייתכן שיהיה צורך לספק את כתובת MAC של המכשיר לרשת ההקצאה כדי לקבל כתובת IP. ניתן למצוא את כתובת MAC בממשק המשתמש או בתווית בגב המכשיר.

לאחר שההתקן מחובר לרשת, באפשרותך לשלוח SSH למכשיר כמנהל מערכת כדי לגשת ל-TSH, ולאחר מכן להפעיל את הפקודה הבאה כדי לשלוח את בקשת SCEP להרשמה: 

בקשת SCEP של שירותי אישורי אבטחה של xCommand

לאחר ששרת SCEP מחזיר את אישור ההתקן החתום, הפעל את 802.1X.

הפעל את האישור החתום:

הפעלת שירותי אישורי אבטחה של xCommand

אתחל מחדש את ההתקן לאחר הפעלת האישור.

חיבור אלחוטי

כאשר התקן מחובר לרשת אלחוטית, ודא שבאפשרותו לגשת לשרת SCEP.

לאחר שההתקן מחובר לרשת, באפשרותך לשלוח SSH למכשיר כמנהל מערכת כדי לגשת ל-TSH, ולאחר מכן להפעיל את הפקודה הבאה כדי לשלוח את בקשת SCEP להרשמה: 

בקשת SCEP של שירותי אישורי אבטחה של xCommand

ההתקן מקבל את האישור החתום משרת SCEP.

הפעל את האישור החתום: 

הפעלת שירותי אישורי אבטחה של xCommand

לאחר ההפעלה, עליך להגדיר את רשת Wi-Fi עם אימות EAP-TLS. 

הגדרת Wifi ברשת xCommand

כברירת מחדל, תצורת Wi-Fi מדלגת על בדיקות אימות השרת. אם נדרש אימות חד-כיווני בלבד, השאר את AllowMissingCA כברירת מחדל כ - True.

כדי לכפות אימות שרת, ודא שהפרמטר האופציונלי AllowMissingCA מוגדר כ - False. אם לא ניתן ליצור חיבור עקב שגיאות אימות שירות, ודא שרשות האישורים הנכונה נוספה כדי לאמת את אישור השרת שעשוי להיות שונה מאישור ההתקן.

API תיאורים

תפקיד: מנהל, אינטגרטור

בקשת SCEP של שירותי אישורי אבטחה של xCommand

שליחת CSR לשרת SCEP נתון לצורך חתימה. הפרמטרים CSR SubjectName ייבנו בסדר הבא: C, ST, L, O, OUs, CN.

פרמטרים:

  • URL(r): <S: 0, 256>

    כתובת ה-URL של שרת SCEP.

  • טביעת אצבע: <S: 0, 128>

    טביעת אצבע של אישור CA שתחתום על בקשת SCEP CSR.

  • CommonName(r): <S: 0, 64>

    הוספת "/CN=" לשם הנושא CSR.

  • ChallengePassword: <S: 0, 256>

    OTP או סוד משותף משרת SCEP לקבלת גישה לחתימה.

  • שם מדינה: <S: 0, 2>

    הוספת "/c=" לשם הנושא CSR.

  • StateOrProvinceName: <S: 0, 64>

    הוספת "/ST=" לשם הנושא CSR.

  • שם היישוב: <S: 0, 64>

    הוספת "/l=" לשם הנושא CSR.

  • OrganizationName: <S: 0, 64>

    הוספת "/o=" לשם הנושא CSR.

  • יחידה ארגונית[5]: <S: 0, 64>

    מוסיף עד 5 פרמטרים "/OU=" לשם הנושא CSR.

  • SanDns[5]: <S: 0, 64>

    הוספת עד 5 פרמטרים DNS לשם החלופי של הנושא CSR.

  • SanEmail[5]: <S: 0, 64>

    מוסיף עד 5 פרמטרים של דואר אלקטרוני לשם החלופי של הנושא CSR.

  • SanIp[5]: <S: 0, 64>

    מוסיף עד 5 פרמטרי IP לשם החלופי של הנושא CSR.

  • SanUri[5]: <S: 0, 64>

    מוסיף עד 5 פרמטרים URI לשם החלופי של הנושא CSR.

xCommand אישורי אבטחה שירותים פרופילי הרשמה מחיקה

מחיקת פרופיל הרשמה כדי לא לחדש עוד אישורים.

פרמטרים:

  • טביעת אצבע: <S: 0, 128>

    טביעת האצבע של אישור CA המזהה את הפרופיל שברצונך להסיר. באפשרותך לראות את הפרופילים הזמינים להסרה על-ידי הפעלה: 

    רשימת פרופילי הרשמה של שירותי אישורי אבטחה של xCommand

רשימת פרופילי הרשמה של שירותי אישורי אבטחה של xCommand

פירוט פרופילי הרשמה לחידוש אישור.

 xCommand רישום שירותי אישורי אבטחה הגדרת פרופילי SCEP טביעת אצבע: <S: 0, 128> URL(r): <S: 0, 256>

הוסף פרופיל הרשמה עבור אישורים שהונפקו על-ידי טביעת האצבע של רשות האישורים כדי להשתמש בכתובת ה-SCEP הנתונה לצורך החידוש.

חידוש

 שירותי אישורי אבטחה של xCommand הרשמה לשירותי הגדרת פרופילי SCEP

כדי לחדש את האישור באופן אוטומטי, ההתקן צריך להיות מסוגל לגשת לכתובת ה-URL של SCEP שיכולה לחתום את האישור.

פעם ביום, המכשיר יבדוק אם יש אישורים שתוקפם יפוג תוך 45 יום. לאחר מכן, המכשיר ינסה לחדש אישורים אלה אם המנפיק שלהם תואם לפרופיל.

הערה: כל אישורי ההתקן ייבדקו לצורך חידוש, גם אם האישור לא נרשם במקור באמצעות SCEP.

נווט

  1. שיוך ישיר: ניתן להפעיל אישורים רשומים כאישור "שיוך".

  2. שיוך מרוחק: אמור לנווט לרשום אישור SCEP חדש באמצעות מזהה הציוד ההיקפי:

    xCommand ציוד היקפי אישורי אבטחה שירותי הרשמה בקשת SCEP 

    פרופילי הרשמה מסונכרנים באופן אוטומטי עם נווט משויך.

  3. נווט עצמאי: זהה לרישום קודק

הגדרת אימות 802.1x בנווט החדר

באפשרותך להגדיר אימות 802.1x ישירות מתפריט ההגדרות של נווט החדר.

תקן אימות 802.1x חשוב במיוחד עבור רשתות Ethernet, והוא מבטיח שרק מכשירים מורשים יקבלו גישה למשאבי הרשת. באפשרותך להשתמש בשם משתמש ובסיסמה כדי לבצע אימות לרשת או להשתמש באישורי לקוח. אפשר גם להשתמש בשניהם בו זמנית. יש להעלות את אישורי הלקוח דרך API ולהפעיל אותם, כדי להשתמש בשירות 802.1x.

יש להגדיר ולעדכן את האישורים עבור 802.1x לפני שיוך נווט החדר למערכת, או לאחר איפוס נווט החדר להגדרות היצרן.

אישורי ברירת המחדל הם מנהל מערכת וסיסמה ריקה. לקבלת מידע נוסף אודות אופן הוספת אישורים על-ידי גישה ל- API, עיין בגירסה העדכנית ביותר של מדריך API.

  1. פתח את לוח הבקרה בנווט על-ידי הקשה על הלחצן בפינה השמאלית העליונה או החלקה מהירה מצד ימין. לאחר מכן הקישו על 'הגדרות מכשיר'.
  2. עבור אל חיבור רשת ובחר Ethernet .
  3. לְמַתֵג השתמש ב-IEEE 802.1X עַל.
    • אם האימות מוגדר עם אישורים, הזן את זהות המשתמש ואת ביטוי הסיסמה. באפשרותך גם להזין זהות אנונימית: זהו שדה אופציונלי המספק דרך להפריד את זהות המשתמש בפועל מבקשת האימות הראשונית.
    • באפשרותך לעבור למצב TLS אמת כבוי או מופעל. כאשר אימות TLS מופעל, הלקוח מאמת באופן פעיל את מקוריות אישור השרת במהלך לחיצת היד TLS. כאשר אימות TLS מבוטל, הלקוח אינו מבצע אימות פעיל של אישור השרת.
    • אם העלית אישור לקוח על-ידי גישה אל API, הפעל את מצב השתמש באישור לקוח.
    • החלף את פעולת השירות Extensible Authentication Protocol (EAP) שבה ברצונך להשתמש. הבחירה בשיטת EAP תלויה בדרישות האבטחה הספציפיות, בתשתית וביכולות הלקוח. שיטות EAP חיוניות להפעלת גישה מאובטחת ומאומתת לרשת.