Можете да добавяте сертификати от локалния уеб интерфейс на устройството. Като алтернатива можете да добавите сертификати, като изпълните API команди. За да видите кои команди ви позволяват да добавяте сертификати, вижте roomos.cisco.com .

Сертификати за услуги и надеждни СО

При използване на TLS (сигурност на транспортния слой) може да се изисква валидиране на сертификата. Сървър или клиент може да изисква устройството да им представи валиден сертификат, преди да бъде настроена комуникация.

Сертификатите са текстови файлове, които потвърждават автентичността на устройството. Тези сертификати трябва да бъдат подписани от доверен сертифициращ орган (CA). За да се провери подписът на сертификатите, на устройството трябва да има списък с надеждни сертифициращи органи. Списъкът трябва да включва всички CAs, необходими за проверка на сертификати както за регистриране на проверка, така и за други връзки.

Сертификатите се използват за следните услуги: HTTPS сървър, SIP, IEEE 802.1X и одитно регистриране. Можете да съхранявате няколко сертификата на устройството, но само един сертификат е активиран за всяка услуга в даден момент.

В RoomOS октомври 2023 г. и по-нова версия, когато добавите CA сертификат към устройство, той се прилага и към Room Navigator, ако едно е свързано. За да синхронизирате добавените преди това CA сертификати със свързан Room Navigator, трябва да рестартирате устройството. Ако не искате периферните устройства да получават същите сертификати като устройството, към което е свързано, задайте конфигурацията Peripherals Security Certificates SyncToPeripherals на False.


Съхранените преди това сертификати не се изтриват автоматично. Записите в нов файл със сертификати на CA се добавят към съществуващия списък.

За Wi-Fi връзка

Препоръчваме ви да добавите надежден CA сертификат за всяко устройство от серията Board, Desk или Room, ако мрежата използва WPA-EAP удостоверяване. Трябва да направите това индивидуално за всяко устройство и преди да се свържете с Wi-Fi.

За да добавите сертификати за вашата Wi-Fi връзка, имате нужда от следните файлове:

  • Списък на СА сертификати (файлов формат: . PEM)

  • Сертификат (файлов формат: . PEM)

  • Частен ключ, или като отделен файл, или включен в същия файл като сертификата (файлов формат: . PEM)

  • Парола (изисква се само ако личният ключ е шифрован)

Сертификатът и личният ключ се съхраняват в един и същ файл на устройството. Ако удостоверяването е неуспешно, връзката няма да бъде установена.


Към свързани периферни устройства не се прилагат частен ключ и фраза за достъп.

Добавяне на сертификати на устройства от сериите Board, Desk и Room

1

От клиентския изглед в https://admin.webex.com отидете на страницата Устройства и изберете вашето устройство в списъка. Отидете на Поддръжка и стартирайте Контроли за локални устройства.

Ако сте настроили локален потребител на Администратор на устройството, можете да получите достъп до уеб интерфейса директно, като отворите уеб браузър и въведете http(s)://.

2

Придвижете се до Сигурност > Сертификати > Персонализирани > Добавяне на сертификат и качете своя основен сертификат(и) на CA.

3

В openssl генерирайте частен ключ и заявка за сертификат. Копирайте съдържанието на заявката за сертификат. След това го поставете, за да поискате сървърния сертификат от вашия сертифициращ орган (CA).

4

Изтеглете сертификата на сървъра, подписан от вашия CA. Уверете се, че е във формат .PEM.

5

Отидете до Сигурност > Сертификати > Услуги > Добавяне на сертификат и качете личния ключ и сертификата на сървъра.

6

Активирайте услугите, които искате да използвате за сертификата, който току-що сте добавили.

Прост протокол за записване на сертификати (SCEP)

Simple Certificate Enrollment Protocol (SCEP) осигурява автоматизиран механизъм за записване и обновяване на сертификати, които се използват например за удостоверяване с 802.1X на устройства. SCEP ви позволява да поддържате достъпа на устройството до защитени мрежи без ръчна намеса.

  • Когато устройството е ново или е било нулирано до фабричните настройки, то се нуждае от мрежов достъп за достигане до URL адреса на SCEP. Устройството трябва да е свързано към мрежата без 802.1X, за да получите IP адрес.

  • Ако използвате безжичен SSID за записване, трябва да преминете през екраните за включване, за да конфигурирате връзката с мрежата.

  • След като сте свързани към мрежата за обезпечаване, устройството не е необходимо на този етап да е на определен екран за включване.

  • За да се поберат във всички разполагания, xAPI за записване на SCEP няма да съхраняват CA сертификата, който се използва за подписване на сертификата на устройството. За удостоверяване на сървъра CA сертификатът, който се използва за валидиране на сертификата на сървъра, трябва да бъде добавен с xCommand Security Certificates CA Add.

Предварителни изисквания

Необходима ви е следната информация:

  • URL адресът на SCEP сървъра.

  • Пръстов отпечатък на подписващия сертификат CA (Certificate Authority).

  • Информация за сертификата, който да бъде записан. Това съставлява Име на субекта на сертификата.

    • Общо име

    • Име на страна

    • Име на организацията

  • Парола за предизвикателство на SCEP сървър, ако сте конфигурирали SCEP сървър да налага еднократна парола или споделена тайна.

Изпращаме заявка за сертификат, която е валидна за една година за изтичане на сертификата. Правилата от страна на сървъра могат да променят датата на изтичане по време на подписване на сертификат.

Ethernet връзка

Когато устройството е свързано към мрежа, се уверете, че има достъп до SCEP сървъра. Устройството трябва да е свързано към мрежа без 802.1x , за да получите IP адрес. MAC адресът на устройството може да се наложи да се предостави на мрежата за обезпечаване, за да се получи IP адрес. MAC адресът може да бъде намерен на потребителския интерфейс или на етикета от задната страна на устройството.

След като устройството е свързано към мрежата, можете да SSH към устройството като администратор за достъп до TSH, след което изпълнете следната команда, за да изпратите заявката за записване SCEP: 
Заявка за записване на услуги за сертификати за защита на xCommand

След като SCEP сървърът върне подписания сертификат на устройството, активирайте 802.1X и след това рестартирайте устройството.

Активиране на подписания сертификат:
Услугите за сертификати за защита на xCommand активират

Рестартирайте устройството след активиране на сертификата.

Безжична връзка

Когато устройството е свързано към безжична мрежа, се уверете, че има достъп до SCEP сървъра.

След като устройството е свързано към мрежата, можете да SSH към устройството като администратор за достъп до TSH, след което изпълнете следната команда, за да изпратите заявката за записване SCEP: 
Заявка за записване на услуги за сертификати за защита на xCommand

Устройството получава подписания сертификат от SCEP сървъра.

Активиране на подписания сертификат: 

Услугите за сертификати за защита на xCommand активират
След активирането трябва да конфигурирате Wi-Fi мрежата с EAP-TLS удостоверяване. 
Конфигуриране на Wi-Fi мрежа на xCommand

По подразбиране проверката на сървъра за пропуснати настройки на Wi-Fi конфигурацията се проверява. Ако се изисква само еднопосочно удостоверяване, оставете AllowMissingCA по подразбиране на True.

За да принудите проверката на сървъра, се уверете, че незадължителният параметър AllowMissingCA е зададен на False. Ако не може да се установи връзка поради грешки при валидиране на услугата, проверете дали е добавен правилният CA, за да потвърдите сертификата на сървъра, който може да е различен от сертификата на устройството.

Описания на API

Роля: Администратор, интегратор

Заявка за записване на услуги за сертификати за защита на xCommand

Иска и изтегля подписан сертификат на устройство

Параметри:

  • URL адрес(и): <S: 0, 128>

    URL на SCEP сървър, използван за записване на сертификат.

  • Пръстов отпечатък (р): <S: 0, 128>

    Пръстовият отпечатък на издаващия СО, който ще подпише заявката X509.

  • Парола за предизвикателство: <S: 0, 128>

    Споделена парола за тайна, зададена от SCEP сървъра.

  • CommonName(r): <S: 0, 128>

  • Име на страна: <S: 0, 128>

  • Име на организацията: <S: 0, 128>

  • SanDns[5]: <S: 0, 128>

  • СанИмейл[5]: <S: 0, 128>

  • SanIp[5]: <S: 0, 128>

  • SanUri[5]: <S: 0, 128>

xCommand Security Certificates Services Записване на SCEP искане за подновяване

Създайте или актуализирайте профил за автоматично подновяване, който се прилага към всички сертификати, издадени от дадения СО, преди сертификатите да изтекат

Параметри:

  • Пръстов отпечатък (р): <S: 0, 128>

    Пръстовият отпечатък на издаващия орган, подписал сертификатите.

  • URL адрес(и): <S: 0, 128>

    URL на SCEP сървър, използван за подновяване на сертификатите. 

Записване на услуги за сертификати за защита на xCommand – изтриване на подновяване на SCEP

Премахнете автоматично реновирания профил за дадения СО. Това спира автоматичното подновяване на сертификатите, които са подписани от този СО

Параметри:

  • Пръстов отпечатък (р): <S: 0, 128>

    Пръстовият отпечатък на издаващия СО да се премахне.

Списък за подновяване на SCEP списък за подновяване на сертификати за защита на xCommand

Списък на всички използвани в момента профили за автоматично подновяване.