Можете да добавяте сертификати от локалния уеб интерфейс на устройството. Като алтернатива можете да добавяте сертификати, като изпълнявате API команди. За да видите кои команди ви позволяват да добавяте сертификати, вижте roomos.cisco.com .

Сертификати за услуги и надеждни CA

Проверка на сертификат може да се изисква при използване на TLS (Защита на транспортния слой). Сървър или клиент може да изиска устройството да им представи валиден сертификат преди настройването на комуникацията.

Сертификатите са текстови файлове, които проверяват автентичността на устройството. Тези сертификати трябва да бъдат подписани от надежден орган за сертификати (CA). За да проверите подписа на сертификатите, на устройството трябва да се намира списък с надеждни CA. Списъкът трябва да включва всички органи за сертифициране, необходими за проверка на сертификати, както за регистриране на одита, така и за други връзки.

Сертификатите се използват за следните услуги: HTTPS сървър, SIP, IEEE 802.1X и регистриране на проверка. Можете да съхранявате няколко сертификата на устройството, но само един сертификат е разрешен за всяка услуга в даден момент.

В RoomOS октомври 2023 г. и по-късно, когато добавите CA сертификат към устройство, той се прилага и към Room Navigator, ако такъв е свързан. За да синхронизирате предварително добавените CA сертификати със свързан Room Navigator, трябва да рестартирате устройството. Ако не искате периферните устройства да получават същите сертификати като устройството, към което са свързани, задайте конфигурацията Сертификати за защита на периферни устройства SyncToPeripherals на False.


Съхранените по-рано сертификати не се изтриват автоматично. Записите в нов файл с СА сертификати се добавят към съществуващия списък.

За Wi-Fi връзка

Препоръчваме ви да добавите доверен CA сертификат за всяко устройство от серията Board, Desk или Room, ако вашата мрежа използва WPA-EAP удостоверяване. Трябва да направите това поотделно за всяко устройство и преди да се свържете с Wi-Fi.

За да добавите сертификати за вашата Wi-Fi връзка, са ви необходими следните файлове:

  • Списък с СА сертификати (файлов формат: . PEM)

  • Сертификат (файлов формат: . PEM)

  • Частен ключ, или като отделен файл, или включен в същия файл като сертификата (файлов формат: . PEM)

  • Фраза за достъп (изисква се само ако частният ключ е шифрован)

Сертификатът и частният ключ се съхраняват в един и същ файл на устройството. Ако удостоверяването е неуспешно, връзката няма да бъде установена.


Частният ключ и фразата за достъп не се прилагат към свързани периферни устройства.

Добавяне на сертификати на устройства от серията "Борд", "Бюро" и "Стая"

1

От изгледа на клиента в https://admin.webex.com отидете на страницата Устройства и изберете вашето устройство в списъка. Отидете на Поддръжка и стартирайте Контроли на локални устройства.

Ако сте настроили локален потребител на администратор на устройството, можете да получите достъп до уеб интерфейса директно, като отворите уеб браузър и въведете https://<endpoint ip или hostname>.

2

Придвижете се до Защита > Сертификат > Потребителски > Добавяне на сертификат и качете своите СА корневи сертификати.

3

В openssl генерирайте частен ключ и заявка за сертификат. Копирайте съдържанието на заявката за сертификат. След това го вмъкнете, за да поискате сертификата на сървъра от вашия орган за сертификати (CA).

4

Изтеглете сертификата на сървъра, подписан от вашия CA. Уверете се, че е в . PEM формат.

5

Придвижете се до Защита > Сертификати > Услуги > Добавяне на сертификати качете частния ключ и сертификата на сървъра.

6

Разрешете услугите, които искате да използвате за току-що добавения сертификат.

Прост протокол за записване на сертификати (SCEP)

Simple Certificate Enrollment Protocol (SCEP) предоставя автоматизиран механизъм за записване и опресняване на сертификати, които се използват например за 802.1X удостоверяване на устройства. SCEP ви позволява да поддържате достъпа на устройството до защитени мрежи без ръчна намеса.

  • Когато устройството е ново или е фабрично нулирано, то се нуждае от достъп до мрежата, за да достигне до SCEP URL адреса. Устройството трябва да бъде свързано към мрежата без 802.1X, за да получи IP адрес.

  • Ако използвате SSID за безжично записване, трябва да преминете през екраните за включване, за да конфигурирате връзката с мрежата.

  • След като сте свързани към мрежата за осигуряване, не е необходимо устройството да е на определен екран за включване на този етап.

  • За да паснат на всички внедрявания, xAPI за записване на SCEP няма да съхраняват CA сертификата, който се използва за подписване на сертификата на устройството. За удостоверяване на сървъра CA сертификатът, който се използва за проверка на сертификата на сървъра, трябва да бъде добавен с xCommand Security Certificates CA Add.

Предпоставки

Необходима ви е следната информация:

  • URL адресът на SCEP сървъра.

  • Пръстов отпечатък на подписващия CA (Certificate Authority) сертификат.

  • Информация за сертификата за записване. Това съставлява името на предмета на сертификата.

    • Общоприето име

    • Име на държавата

    • Име на организацията

  • Паролата за предизвикателство на SCEP сървъра, ако сте конфигурирали SCEP сървъра да налага OTP или споделена тайна.

Изпращаме заявка за сертификат, която е валидна една година за изтичане на сертификата. Правилата от страна на сървъра могат да променят датата на изтичане по време на подписването на сертификата.

Ethernet връзка

Когато дадено устройство е свързано към мрежа, уверете се, че има достъп до SCEP сървъра. Устройството трябва да бъде свързано към мрежа без 802.1x, за да се получи IP адрес. MAC адресът на устройството може да се наложи да бъде предоставен на мрежата за осигуряване, за да се получи IP адрес. MAC адресът може да бъде намерен в потребителския интерфейс или на етикета на гърба на устройството.

След като устройството е свързано към мрежата, можете да SSH към устройството като администратор за достъп до TSH, след което да изпълните следната команда, за да изпратите заявката за SCEP за записване: 
Заявка за записване на услуги за сертификати за сигурност на xCommand

След като SCEP сървърът върне подписания сертификат на устройството, активирайте 802.1X и след това рестартирайте устройството.

Активирайте подписания сертификат:
Активиране на услугите за сертификати за сигурност на xCommand

Рестартирайте устройството след активиране на сертификата.

Безжична връзка

Когато дадено устройство е свързано към безжична мрежа, уверете се, че има достъп до SCEP сървъра.

След като устройството е свързано към мрежата, можете да SSH към устройството като администратор за достъп до TSH, след което да изпълните следната команда, за да изпратите заявката за SCEP за записване: 
Заявка за записване на услуги за сертификати за сигурност на xCommand

Устройството получава подписания сертификат от SCEP сървъра.

Активирайте подписания сертификат: 

Активиране на услугите за сертификати за сигурност на xCommand
След активиране трябва да конфигурирате Wi-Fi мрежата с EAP-TLS удостоверяване. 
xCommand Network Wifi Конфигуриране

По подразбиране конфигурацията на Wi-Fi пропуска проверките за валидиране на сървъра. Ако се изисква само еднопосочно удостоверяване, запазете AllowMissingCA по подразбиране на True.

За да наложите валидиране на сървъра, уверете се, че незадължителният параметър AllowMissingCA е зададен на False. Ако връзка не може да бъде установена поради грешки при валидиране на услугата, проверете дали е добавен правилният CA, за да проверите сертификата на сървъра, който може да е различен от сертификата на устройството.

Описания на API

Роля: Администратор, Интегратор

Заявка за записване на услуги за сертификати за сигурност на xCommand

Заявка и изтегляне на подписан сертификат за устройство

Параметри:

  • URL(r): <S: 0, 128>

    URL адресът на SCEP сървъра, използван за записване на сертификат.

  • Пръстов отпечатък (R): <S: 0, 128>

    Пръстов отпечатък на издаващия CA, който ще подпише заявката X509.

  • ПредизвикателствоПарола: <S: 0, 128>

    Споделена тайна парола, зададена от SCEP сървъра.

  • CommonName(r): <S: 0, 128>

  • Име на държавата: <S: 0, 128>

  • Име на организацията: <S: 0, 128>

  • SanDns[5]: <S: 0, 128>

  • SanEmail[5]: <S: 0, 128>

  • SanIp[5]: <S: 0, 128>

  • СанУри[5]: <S: 0, 128>

xCommand Security Certificates Services Заявка за подновяване на SCEP

Създаване или актуализиране на профил за автоматично подновяване, който се прилага към всички сертификати, издадени от дадения CA, преди изтичането на сертификатите

Параметри:

  • Пръстов отпечатък(r): <S: 0, 128>

    Пръстов отпечатък на издаващия АС, който е подписал сертификатите.

  • URL(r): <S: 0, 128>

    URL адресът на SCEP сървъра, използван за подновяване на сертификатите. 

xCommand Сертификати за сигурност Услуги Записване Подновяване на SCEP Изтриване

Премахнете автоматично подновявания профил за дадения CA. Това спира автоматичното подновяване на сертификатите, подписани от този CA

Параметри:

  • Пръстов отпечатък(r): <S: 0, 128>

    Пръстовият отпечатък на издаващия CA за премахване.

Списък за подновяване на SCEP за услуги за записване на сертификати за сигурност xCommand

Избройте всички използвани в момента профили за автоматично подновяване.