يمكنك إضافة شهادات من واجهة الويب المحلية للجهاز. بدلا من ذلك، يمكنك إضافة شهادات عن طريق تشغيل الأوامر API. لمعرفة الأوامر التي تسمح لك بإضافة شهادات، راجع roomos.cisco.com .

شهادات الخدمة والمراجع المصدقة الموثوقة

قد يلزم التحقق من صحة الشهادة عند استخدام TLS (أمان طبقة النقل). قد يطلب الخادم أو العميل أن يقدم الجهاز شهادة صالحة له قبل إعداد الاتصال.

الشهادات هي ملفات نصية تتحقق من صحة الجهاز. يجب توقيع هذه الشهادات بواسطة Certificate Authority (CA) موثوق به. للتحقق من توقيع الشهادات، يجب أن توجد قائمة بالمراجع المصدقة الموثوقة على الجهاز. يجب أن تتضمن القائمة جميع المراجع المصدقة اللازمة للتحقق من الشهادات الخاصة بكل من تسجيل التدقيق والاتصالات الأخرى.

يتم استخدام الشهادات للخدمات التالية: خادم HTTPS و SIP و IEEE 802.1X وتسجيل التدقيق. يمكنك تخزين عدة شهادات على الجهاز، ولكن يتم تمكين شهادة واحدة فقط لكل خدمة في كل مرة.

في RoomOS أكتوبر 2023 والإصدارات الأحدث، عند إضافة شهادة CA إلى جهاز، يتم تطبيقها أيضا على Room Navigator إذا كان أحدها متصلا. لمزامنة شهادات المرجع المصدق المضافة مسبقا مع مستكشف الغرف المتصل، يجب عليك إعادة تشغيل الجهاز. إذا كنت لا تريد أن تحصل الأجهزة الطرفية على نفس الشهادات مثل الجهاز المتصل به، فقم بتعيين تكوين شهادات أمان الأجهزة الطرفية SyncToPeripherals إلى خطأ.

لا يتم حذف الشهادات المخزنة مسبقا تلقائيا. يتم إلحاق الإدخالات في ملف جديد مع شهادات CA بالقائمة الموجودة.

للاتصال Wi-Fi

نوصي بإضافة شهادة مرجع مصدق موثوق به لكل جهاز Board أو مكتب أو سلسلة غرف، إذا كانت شبكتك تستخدم مصادقة WPA-EAP. يجب عليك القيام بذلك بشكل فردي لكل جهاز، وقبل الاتصال ب Wi-Fi.

لإضافة شهادات للاتصال Wi-Fi، تحتاج إلى الملفات التالية:

  • قائمة شهادات CA (تنسيق الملف: . بيم)

  • الشهادة (تنسيق الملف: . بيم)

  • المفتاح الخاص، إما كملف منفصل أو مضمن في نفس ملف الشهادة (تنسيق الملف: . بيم)

  • عبارة المرور (مطلوبة فقط إذا كان المفتاح الخاص مشفرا)

يتم تخزين الشهادة والمفتاح الخاص في نفس الملف على الجهاز. في حالة فشل المصادقة، لن يتم إنشاء الاتصال.

لا يتم تطبيق المفتاح الخاص وعبارة المرور على الأجهزة الطرفية المتصلة.

إضافة شهادات على أجهزة Board والمكتب وسلسلة الغرف

1

من عرض العميل في https://admin.webex.com ، انتقل إلى صفحة الأجهزة ، وحدد جهازك في القائمة. انتقل إلى الدعم وقم بتشغيل عناصر التحكم في الجهاز المحلية.

إذا قمت بإعداد مستخدم مسؤول محلي على الجهاز، فيمكنك الوصول إلى واجهة الويب مباشرة عن طريق فتح مستعرض ويب وكتابة https://<endpoint ip أو اسم المضيف> .

2

انتقل إلى الأمان > شهادات > مخصص > إضافة شهادة وقم بتحميل شهادات جذر المرجع المصدق.

3

في openssl ، قم بإنشاء مفتاح خاص وطلب شهادة. انسخ محتوى طلب الشهادة. ثم الصقها لطلب شهادة الخادم من Certificate Authority (CA).

4

قم بتنزيل شهادة الخادم الموقعة من المرجع المصدق. تأكد من وجودها في . تنسيق PEM.

5

انتقل إلى الأمان > الشهادات > الخدمات > إضافة شهادة وقم بتحميل المفتاح الخاص وشهادة الخادم.

6

قم بتمكين الخدمات التي تريد استخدامها للشهادة التي أضفتها للتو.

إنشاء طلب توقيع شهادة (CSR)

يجب على المسؤولين إنشاء طلب توقيع شهادة (CSR) من مركز التحكم لجهاز Board أو مكتب أو سلسلة غرف مسجل في السحابة.

اتبع هذه الخطوات لإنشاء CSR وتحميل شهادة موقعة إلى جهازك:

  1. من طريقة عرض العميل في مركز التحكم، انتقل إلى صفحة الأجهزة وحدد جهازك من القائمة.
  2. انتقل إلى الإجراءات > تشغيل xCommand > شهادات > الأمان > CSR > إنشاء.
  3. أدخل تفاصيل الشهادة المطلوبة وحدد تنفيذ.
  4. انسخ النص كله بين ----بدء طلب الشهادة---- و---- إنهاء طلب الشهادة----.
  5. استخدم Certificate Authority (CA) من اختيارك للتوقيع على CSR.
  6. قم بتصدير الشهادة الموقعة بتنسيق PEM (ترميز Base64).
  7. افتح ملف الشهادة الموقع في محرر نصوص (على سبيل المثال، المفكرة) وانسخ النص بالكامل بين ----شهادة البدء---- وشهادة ----النهاية----.
  8. في مركز التحكم، انتقل إلى الأجهزة > حدد جهازك > الإجراءات > تشغيل xCommand > شهادات الأمان > > ارتباط CSR >.
  9. الصق محتويات الشهادة المنسوخة في قسم النص الأساسي وحدد تنفيذ.
  10. قم بتحديث الصفحة للتحقق من ظهور الشهادة ضمن الشهادة الموجودة.

بروتوكول تسجيل الشهادات البسيطة (SCEP)

يوفر بروتوكول تسجيل الشهادات البسيطة (SCEP) آلية تلقائية للتسجيل وتحديث الشهادات المستخدمة على سبيل المثال مصادقة 802.1X على الأجهزة. يتيح لك SCEP الحفاظ على وصول الجهاز إلى شبكات آمنة دون تدخل يدوي.

  • عندما يكون الجهاز جديدا أو تمت إعادة ضبطه على الإعدادات الأصلية، فإنه يحتاج إلى الوصول إلى الشبكة للوصول إلى عنوان URL الخاص ب SCEP. يجب أن يكون الجهاز متصلا بالشبكة بدون 802.1X للحصول على عنوان IP.

  • إذا كنت تستخدم تسجيلا لاسلكيا SSID، فانتقل عبر شاشات الإعداد لتهيئة الاتصال بالشبكة.

  • بمجرد اتصالك بشبكة التوفير، لا يلزم أن يكون الجهاز على شاشة إعداد معينة.

  • لاحتواء جميع عمليات النشر، لن تقوم واجهات برمجة التطبيقات xAPIs لتسجيل SCEP بتخزين شهادة المرجع المصدق المستخدمة لتوقيع شهادة الجهاز. لمصادقة الخادم، يجب إضافة شهادة المرجع المصدق (CA) المستخدمة للتحقق من صحة شهادة الخادم مع إضافة المرجع المصدق لشهادات أمان xCommand.

المتطلبات الأساسية

تحتاج إلى المعلومات التالية:

  • عنوان URL لخادم SCEP.

  • بصمة شهادة CA (Certificate Authority) الموقعة.

  • معلومات الشهادة للتسجيل. هذا يشكل اسم الموضوع للشهادة.

    • الاسم الشائع

    • اسم الدولة

    • اسم الولاية أو المقاطعة

    • اسم المنطقة

    • اسم المؤسسة

    • الوحدة التنظيمية

  • سيتم ترتيب اسم الموضوع ك / C = / ST = / L = / O = / OU= / CN =

  • كلمة مرور التحدي الخاصة بخادم SCEP إذا كنت قد هيأت خادم SCEP لفرض كلمة مرور لمرة واحدة أو سر مشترك.

يمكنك تعيين حجم المفتاح المطلوب لزوج مفاتيح طلب الشهادة باستخدام الأمر التالي. الافتراضي هو 2048.

 حجم مفتاح تسجيل أمان xConfiguration: <2048، 3072، 4096>

نرسل طلب شهادة صالح لمدة عام واحد لانتهاء صلاحية الشهادة. يمكن للنهج من جانب الخادم تغيير تاريخ انتهاء الصلاحية أثناء توقيع الشهادة.

اتصال إيثرنت

عند اتصال جهاز بشبكة، تأكد من إمكانية وصوله إلى خادم SCEP. يجب أن يكون الجهاز متصلا بشبكة بدون 802.1x للحصول على عنوان IP. قد يلزم تقديم عنوان MAC للجهاز إلى شبكة التوفير من أجل الحصول على عنوان IP. يمكن العثور على العنوان MAC على واجهة المستخدم أو على الملصق الموجود في الجزء الخلفي من الجهاز.

بعد توصيل الجهاز بالشبكة، يمكنك توصيل SSH بالجهاز كمسؤول للوصول إلى TSH، ثم تشغيل الأمر التالي لإرسال طلب SCEP للتسجيل: 

طلب SCEP التسجيل في خدمات شهادات الأمان xCommand

بمجرد أن يعيد خادم SCEP شهادة الجهاز الموقعة، قم بتنشيط 802.1X.

تفعيل الشهادة الموقعة:

تنشيط خدمات شهادات الأمان xCommand

أعد تشغيل الجهاز بعد تنشيط الشهادة.

اتصال لاسلكي

عند توصيل جهاز بشبكة لاسلكية، تأكد من إمكانية وصوله إلى خادم SCEP.

بعد توصيل الجهاز بالشبكة، يمكنك تسجيل الدخول إلى الجهاز عبر SSH كمسؤول للوصول إلى TSH، ثم تشغيل الأمر التالي لإرسال طلب التسجيل SCEP: 

طلب تسجيل خدمات شهادات أمان xCommand SCEP

يستقبل الجهاز الشهادة الموقعة من خادم SCEP.

تفعيل الشهادة الموقعة: 

تفعيل خدمات شهادات الأمان xCommand

بعد التنشيط، تحتاج إلى تكوين شبكة Wi-Fi باستخدام مصادقة EAP-TLS. 

تكوين شبكة Wi-Fi xCommand

بشكل افتراضي، يتخطى تكوين Wi-Fi عمليات التحقق من صحة الخادم. إذا كان مطلوبًا مصادقة أحادية الاتجاه فقط، فاحتفظ بـ AllowMissingCA مُعيَّنًا افتراضيًا على True.

لفرض التحقق من صحة الخادم، تأكد من تعيين المعلمة الاختيارية AllowMissingCA على False. إذا لم يكن من الممكن إنشاء اتصال بسبب أخطاء التحقق من صحة الخدمة، فتأكد من إضافة سلطة التصديق الصحيحة للتحقق من شهادة الخادم التي قد تكون مختلفة عن شهادة الجهاز.

API الأوصاف

الدور: مسؤول، مُتكامل

طلب تسجيل خدمات شهادات أمان xCommand SCEP

يرسل CSR إلى خادم SCEP المحدد للتوقيع. سيتم إنشاء معلمات SubjectName CSR بالترتيب التالي: C، ST، L، O، OUs، CN.

حدود:

  • عنوان URL(r): <S: 0, 256>

    عنوان URL لخادم SCEP.

  • بصمة الإصبع(r): <S: 0, 128>

    بصمة شهادة CA التي ستوقع طلب SCEP CSR.

  • الاسم الشائع(r): <S: 0، 64>

    يضيف "/CN=" إلى اسم الموضوع CSR.

  • كلمة المرور للتحدي: <S: 0, 256>

    OTP أو السر المشترك من خادم SCEP للوصول إلى التوقيع.

  • اسم الدولة: <S: 0, 2>

    يضيف "/C=" إلى اسم الموضوع CSR.

  • اسم الولاية أو المقاطعة: <S: 0، 64>

    يضيف "/ST=" إلى اسم الموضوع CSR.

  • اسم المنطقة: <S: 0, 64>

    يضيف "/L=" إلى اسم الموضوع CSR.

  • اسم المنظمة: <S: 0, 64>

    يضيف "/O=" إلى اسم الموضوع CSR.

  • الوحدة التنظيمية[5]: <S: 0، 64>

    يضيف ما يصل إلى 5 معلمات "/OU=" إلى اسم الموضوع CSR.

  • SanDns[5]: <S: 0، 64>

    يضيف ما يصل إلى 5 معلمات DNS إلى الاسم البديل للموضوع CSR.

  • SanEmail[5]: <S: 0, 64>

    يضيف ما يصل إلى 5 معلمات بريد إلكتروني إلى اسم الموضوع البديل CSR.

  • SanIp[5]: <S: 0، 64>

    يضيف ما يصل إلى 5 معلمات Ip إلى الاسم البديل للموضوع CSR.

  • سانوري[5]: <S: 0، 64>

    يضيف ما يصل إلى 5 معلمات URI إلى الاسم البديل للموضوع CSR.

حذف ملفات تعريف تسجيل خدمات شهادات الأمان الخاصة بـ xCommand

يقوم بحذف ملف تعريف التسجيل حتى لا يتم تجديد الشهادات بعد الآن.

حدود:

  • بصمة الإصبع(r): <S: 0, 128>

    بصمة شهادة CA التي تحدد الملف الشخصي الذي ترغب في إزالته. يمكنك رؤية الملفات الشخصية المتاحة للإزالة عن طريق تشغيل: 

    قائمة ملفات تعريف تسجيل خدمات شهادات الأمان xCommand

قائمة ملفات تعريف تسجيل خدمات شهادات الأمان xCommand

قوائم ملفات تعريف التسجيل لتجديد الشهادة.

 خدمات تسجيل شهادات الأمان xCommand ملفات تعريف SCEP تعيين بصمة الإصبع(r): <S: 0, 128> عنوان URL(r): <S: 0, 256>

أضف ملف تعريف تسجيل للشهادات الصادرة عن بصمة CA لاستخدام عنوان URL الخاص بـ SCEP للتجديد.

تجديد

 مجموعة ملفات تعريف SCEP لتسجيل خدمات شهادات الأمان الخاصة بـ xCommand

لتجديد الشهادة تلقائيًا، يجب أن يكون الجهاز قادرًا على الوصول إلى عنوان URL الخاص بـ SCEP الذي يمكنه إعادة تعيين الشهادة.

سيقوم الجهاز مرة واحدة يوميًا بالتحقق من الشهادات التي ستنتهي صلاحيتها بعد 45 يومًا. سيحاول الجهاز بعد ذلك تجديد هذه الشهادة إذا كان مصدرها يطابق ملف تعريف معين.

ملاحظة: سيتم التحقق من جميع شهادات الأجهزة للتجديد، حتى لو لم يتم تسجيل الشهادة في الأصل باستخدام SCEP.

الملاح

  1. الاقتران المباشر: يمكن تنشيط الشهادات المسجلة كشهادة "اقتران".

  2. الاقتران عن بعد: أخبر المستكشف بتسجيل شهادة SCEP جديدة باستخدام معرف الجهاز المحيطي:

    خدمات تسجيل شهادات الأمان لأجهزة xCommand الطرفية طلب SCEP 

    يتم مزامنة ملفات تعريف التسجيل تلقائيًا مع المتصفح المقترن.

  3. المستكشف المستقل: نفس تسجيل الترميز

تكوين مصادقة 802.1x على Room Navigator

بإمكانك إعداد مصادقة 802.1x مباشرةً من قائمة إعدادات Room Navigator.

يعد معيار المصادقة 802.1x مهمًا بشكل خاص لشبكات Ethernet، فهو يضمن منح الأجهزة المصرح لها فقط حق الوصول إلى موارد الشبكة.

تتوفر خيارات تسجيل دخول مختلفة بناءً على طريقة EAP التي تم تكوينها في شبكتك. على سبيل المثال:

  • TLS: لا يتم استخدام اسم المستخدم وكلمة المرور.
  • PEAP:لا يتم استخدام الشهادات.
  • TTLS: مطلوب اسم المستخدم/كلمة المرور والشهادات؛ ولا يعد أي منهما اختياريًا.

هناك عدة طرق للحصول على شهادة العميل على جهاز:

  1. تحميل PEM: استخدم ميزة إضافة خدمات شهادات الأمان.
  2. إنشاء CSR: إنشاء طلب توقيع شهادة (CSR)، وتوقيعه، وربطه باستخدام شهادات الأمان CSR إنشاء/ربط.
  3. SCEP: الاستفادة من طلب تسجيل خدمات شهادات الأمان (SCEP).
  4. DHCP الخيار 43: تكوين تسليم الشهادة من خلال هذا الخيار.

ينبغي إعداد وتحديث الشهادات لـ 802.1x قبل الاقتران مستكشف الغرفة إلى النظام، أو بعد إعادة ضبط المصنع لمستكشف الغرفة.

بيانات الاعتماد الافتراضية هي المسؤول وكلمة المرور فارغة. لمزيد من المعلومات حول كيفية إضافة الشهادات عن طريق الوصول إلى API، راجع أحدث إصدار من دليل API .

  1. افتح لوحة التحكم في المتصفح بالضغط على الزر الموجود في الزاوية اليمنى العليا أو التمرير من الجانب الأيمن. ثم اضغط إعدادات الجهاز .
  2. اذهب الى اتصال الشبكة وحدد إيثرنت .
  3. قم بتبديل استخدام IEEE 802.1X إلى وضع التشغيل.
    • إذا تم إعداد المصادقة باستخدام بيانات الاعتماد، فأدخل هوية المستخدم وكلمة المرور. يمكنك أيضًا إدخال هوية مجهولة: وهو حقل اختياري يوفر طريقة لفصل هوية المستخدم الفعلية عن طلب المصادقة الأولي.
    • يمكنك التبديل TLS تحقق إيقاف أو تشغيل. عندما يتم تشغيل التحقق TLS، يتحقق العميل بشكل نشط من صحة شهادة الخادم أثناء مصافحة TLS. عندما يتم إيقاف تشغيل التحقق TLS، لا يقوم العميل بإجراء التحقق النشط لشهادة الخادم.
    • إذا قمت بتحميل شهادة عميل عن طريق الوصول إلى API، قم بالتبديل استخدام شهادة العميل على.
    • تبديل بروتوكول المصادقة القابل للتوسيع (EAP) الأساليب التي تريد استخدامها. يعتمد اختيار طريقة EAP على متطلبات الأمان والبنية الأساسية وقدرات العميل المحددة. تعتبر طرق EAP ضرورية لتمكين الوصول الآمن والموثق إلى الشبكة.