Можете да добавяте сертификати от локалния уеб интерфейс на устройството. Като алтернатива можете да добавите сертификати, като изпълните команди API. За да видите кои команди ви позволяват да добавяте сертификати, вижте roomos.cisco.com .

Сертификати за услуги и надеждни CA

Проверка на сертификат може да се изисква при използване на TLS (Защита на транспортния слой). Сървър или клиент може да изиска устройството да им представи валиден сертификат преди настройването на комуникацията.

Сертификатите са текстови файлове, които проверяват автентичността на устройството. Тези сертификати трябва да бъдат подписани от надежден орган за сертификати (CA). За да проверите подписа на сертификатите, на устройството трябва да се намира списък с надеждни CA. Списъкът трябва да включва всички органи за сертифициране, необходими за проверка на сертификати, както за регистриране на одита, така и за други връзки.

Сертификатите се използват за следните услуги: HTTPS сървър, SIP, IEEE 802.1X и регистриране на проверка. Можете да съхранявате няколко сертификата на устройството, но само един сертификат е разрешен за всяка услуга в даден момент.

В RoomOS октомври 2023 г. и по-късно, когато добавите CA сертификат към устройство, той се прилага и към Room Navigator, ако такъв е свързан. За да синхронизирате предварително добавените CA сертификати със свързан Room Navigator, трябва да рестартирате устройството. Ако не искате периферните устройства да получават същите сертификати като устройството, към което са свързани, задайте конфигурацията Сертификати за защита на периферни устройства SyncToPeripherals на False.

Съхранените по-рано сертификати не се изтриват автоматично. Записите в нов файл с СА сертификати се добавят към съществуващия списък.

За Wi-Fi връзка

Препоръчваме ви да добавите надежден CA сертификат за всяко устройство Board, Desk или Room Series, ако вашата мрежа използва WPA-EAP удостоверяване. Трябва да направите това поотделно за всяко устройство и преди да се свържете с Wi-Fi.

За да добавите сертификати за вашата Wi-Fi връзка, са ви необходими следните файлове:

  • Списък с СА сертификати (файлов формат: . PEM)

  • Сертификат (файлов формат: . PEM)

  • Частен ключ, или като отделен файл, или включен в същия файл като сертификата (файлов формат: . PEM)

  • Фраза за достъп (изисква се само ако частният ключ е шифрован)

Сертификатът и частният ключ се съхраняват в един и същ файл на устройството. Ако удостоверяването е неуспешно, връзката няма да бъде установена.

Частният ключ и фразата за достъп не се прилагат към свързани периферни устройства.

Добавяне на сертификати на устройства Board, Desk и Room Series

1

От изгледа на клиента в https://admin.webex.com отидете на страницата Устройства и изберете вашето устройство в списъка. Отидете на Поддръжка и стартирайте Контроли на локални устройства.

Ако сте настроили локален потребител на администратор на устройството, можете да получите достъп до уеб интерфейса директно, като отворите уеб браузър и въведете https://<endpoint ip или hostname>.

2

Придвижете се до Защита > Сертификат > Потребителски > Добавяне на сертификат и качете своите СА корневи сертификати.

3

В openssl генерирайте частен ключ и заявка за сертификат. Копирайте съдържанието на заявката за сертификат. След това го вмъкнете, за да поискате сертификата на сървъра от вашия орган за сертификати (CA).

4

Изтеглете сертификата на сървъра, подписан от вашия CA. Уверете се, че е в . PEM формат.

5

Придвижете се до Защита > Сертификати > Услуги > Добавяне на сертификати качете частния ключ и сертификата на сървъра.

6

Разрешете услугите, които искате да използвате за току-що добавения сертификат.

Генериране на заявка за подписване на сертификат (CSR)

Администраторите трябва да генерират заявка за подписване на сертификат (CSR) от Control Hub за регистрирано в облака Board, настолно устройство или устройство от серия стая.

Изпълнете следните стъпки, за да генерирате CSR и да качите подписан сертификат на устройството си:

  1. От изгледа на клиента в Control Hub отидете на страницата Устройства и изберете вашето устройство от списъка.
  2. Отидете до Действия > Изпълнение на xCommand > Сертификати за защита > > CSR > Създаване.
  3. Въведете необходимите данни за сертификата и изберете Изпълнение.
  4. Копирайте целия текст между ----ЗАПОЧНЕТЕ ЗАЯВКАТА ЗА СЕРТИФИКАТ---- и ----ЗАЯВКАТА ЗА КРАЙ НА СЕРТИФИКАТА----.
  5. Използвайте Certificate Authority (CA) по ваш избор, за да подпишете CSR.
  6. Експортирайте подписания сертификат във формат PEM (кодиран Base64).
  7. Отворете подписания файл със сертификат в текстов редактор (напр. Notepad) и копирайте целия текст между ----START CERTIFICATE---- и ----END CERTIFICATE----.
  8. В Control Hub отидете до Устройства > изберете вашето устройство > Действия > Изпълнение на xCommand > Сертификати за защита > > CSR > Връзка.
  9. Поставете копираното съдържание на сертификата в секцията Тяло и изберете Изпълнение.
  10. Обновете страницата, за да проверите дали сертификатът се показва под Съществуващ сертификат.

Прост протокол за записване на сертификати (SCEP)

Simple Certificate Enrollment Protocol (SCEP) предоставя автоматизиран механизъм за записване и опресняване на сертификати, които се използват например 802.1X удостоверяване на устройства. SCEP ви позволява да поддържате достъпа на устройството до защитени мрежи без ръчна намеса.

  • Когато устройството е ново или е фабрично нулирано, то се нуждае от достъп до мрежата, за да достигне до SCEP URL адреса. Устройството трябва да бъде свързано към мрежата без 802.1X, за да получи IP адрес.

  • Ако използвате безжично записване SSID, преминете през екраните за включване, за да конфигурирате връзката с мрежата.

  • След като сте свързани към мрежата за осигуряване, не е необходимо устройството да е на определен екран за включване.

  • За да паснат на всички внедрявания, xAPI на SCEP Enrollment няма да съхраняват CA сертификата, използван за подписване на сертификата на устройството. За удостоверяване на сървъра CA сертификатът, използван за проверка на сертификата на сървъра, трябва да бъде добавен с xCommand Security Certificates CA Add.

Предпоставки

Необходима ви е следната информация:

  • URL адресът на SCEP сървъра.

  • Пръстов отпечатък на подписващия CA сертификат (Certificate Authority).

  • Информация за сертификата за записване. Това съставлява името на предмета на сертификата.

    • Общоприето име

    • Име на държавата

    • Име на щат или провинция

    • Име на населено място

    • Име на организацията

    • Организационна единица

  • Името на субекта ще бъде подредено като /C= /ST= /L= /O= /OU= /CN=

  • Паролата за предизвикателство на SCEP сървъра, ако сте конфигурирали SCEP сървъра да налага OTP или споделена тайна.

Можете да зададете необходимия размер на ключа за двойката ключове за заявка за сертификат, като използвате следната команда. По подразбиране е 2048.

 xConfiguration Security Enrollment KeySize: <2048, 3072, 4096>

Изпращаме заявка за сертификат, която е валидна една година за изтичане на сертификата. Правилата от страна на сървъра могат да променят датата на изтичане по време на подписването на сертификата.

Ethernet връзка

Когато дадено устройство е свързано към мрежа, уверете се, че има достъп до SCEP сървъра. Устройството трябва да бъде свързано към мрежа без 802.1x, за да се получи IP адрес. Адресът MAC на устройството може да се наложи да бъде предоставен на мрежата за осигуряване, за да се получи IP адрес. Адресът MAC може да бъде намерен в потребителския интерфейс или на етикета на гърба на устройството.

След като устройството е свързано към мрежата, можете да SSH към устройството като администратор за достъп до TSH, след което да изпълните следната команда, за да изпратите заявката за SCEP за записване: 

Заявка за записване на услуги за сертификати за сигурност на xCommand

След като SCEP сървърът върне подписания сертификат на устройството, активирайте 802.1X.

Активирайте подписания сертификат:

Активиране на услугите за сертификати за сигурност на xCommand

Рестартирайте устройството след активиране на сертификата.

Безжична връзка

Когато дадено устройство е свързано към безжична мрежа, уверете се, че има достъп до SCEP сървъра.

След като устройството е свързано към мрежата, можете да SSH към устройството като администратор за достъп до TSH, след което да изпълните следната команда, за да изпратите заявката за SCEP за записване: 

Заявка за записване на услуги за сертификати за сигурност на xCommand

Устройството получава подписания сертификат от SCEP сървъра.

Активирайте подписания сертификат: 

Активиране на услугите за сертификати за сигурност на xCommand

След активиране трябва да конфигурирате мрежата Wi-Fi с удостоверяване EAP-TLS. 

xCommand Network Wifi Конфигуриране

По подразбиране конфигурацията Wi-Fi пропуска проверките за валидиране на сървъра. Ако се изисква само еднопосочно удостоверяване, запазете AllowMissingCA по подразбиране на True.

За да наложите валидиране на сървъра, уверете се, че незадължителният параметър AllowMissingCA е зададен на False. Ако връзка не може да бъде установена поради грешки при валидиране на услугата, проверете дали е добавен правилният CA, за да проверите сертификата на сървъра, който може да е различен от сертификата на устройството.

API описания

Роля: Администратор, Интегратор

Заявка за записване на услуги за сертификати за сигурност на xCommand

Изпраща CSR до даден SCEP сървър за подписване. Параметрите CSR SubjectName ще бъдат конструирани в следния ред: C, ST, L, O, OUs, CN.

Параметри:

  • URL(r): <S: 0, 256>

    URL адресът на SCEP сървъра.

  • Пръстов отпечатък(r): <S: 0, 128>

    CA сертификат Пръстов отпечатък, който ще подпише SCEP заявката CSR.

  • CommonName(r): <S: 0, 64>

    Добавя "/CN=" към името на субекта CSR.

  • ПредизвикателствоПарола: <S: 0, 256>

    OTP или споделена тайна от SCEP сървъра за достъп до подписване.

  • Име на държавата: <S: 0, 2>

    Добавя "/C=" към името на обекта CSR.

  • StateOrProvinceИме: <S: 0, 64>

    Добавя "/ST=" към името на темата CSR.

  • Име на населено място: <S: 0, 64>

    Добавя "/L=" към името на субекта CSR.

  • Име на организацията: <S: 0, 64>

    Добавя "/O=" към името на обекта CSR.

  • Организационна единица[5]: <S: 0, 64>

    Добавя до 5 параметъра "/OU=" към името на темата CSR.

  • SanDns[5]: <S: 0, 64>

    Добавя до 5 DNS параметъра към алтернативното име на тема CSR.

  • SanEmail[5]: <S: 0, 64>

    Добавя до 5 имейл параметъра към алтернативното име на тема CSR.

  • SanIp[5]: <S: 0, 64>

    Добавя до 5 IP параметъра към CSR Алтернативно име на темата.

  • СанУри[5]: <S: 0, 64>

    Добавя до 5 URI параметъра към алтернативното име на тема CSR.

xCommand Сертификати за сигурност Услуги Профили за записване Изтриване

Изтрива профил за записване, за да не се подновяват повече сертификати.

Параметри:

  • Пръстов отпечатък(r): <S: 0, 128>

    Пръстовият отпечатък на CA сертификат, който идентифицира профила, който искате да премахнете. Можете да видите наличните профили за премахване, като стартирате: 

    Списък с профили за записване на услуги за сертификати за защита на xCommand

Списък с профили за записване на услуги за сертификати за защита на xCommand

Изброява профили за записване за подновяване на сертификат.

 xCommand сертификати за сигурност Услуги за записване SCEP Profiles Набор от пръстови отпечатъци (r): <S: 0, 128> URL(r): <S: 0, 256>

Добавете профил за записване за сертификати, издадени от пръстов отпечатък на CA, за да използвате дадения URL адрес на SCEP за подновяване.

Подновяване

 xCommand сертификати за сигурност Набор от SCEP профили за записване

За да поднови автоматично сертификата, устройството трябва да има достъп до SCEP URL адреса, който може да преподпише сертификата.

Веднъж дневно устройството ще проверява за сертификати, които ще изтекат след 45 дни. След това устройството ще се опита да поднови тези сертификати, ако техният издател съвпада с профил.

ЗАБЕЛЕЖКА: Всички сертификати на устройства ще бъдат проверени за подновяване, дори ако сертификатът първоначално не е бил регистриран чрез SCEP.

Навигатор

  1. Директно сдвояване: Регистрираните сертификати могат да бъдат активирани като сертификат "Сдвояване".

  2. Отдалечено сдвоено: Кажете на навигатора да регистрира нов SCEP сертификат, като използва идентификатора на периферното устройство:

    xCommand Периферни устройства Сертификати за защита Услуги Заявка за записване на SCEP 

    Профилите за записване се синхронизират автоматично със сдвоен навигатор.

  3. Самостоятелен навигатор: Същото като записването на кодек

Конфигуриране на 802.1x удостоверяване в Room Navigator

Можете да настроите 802.1x удостоверяване директно от менюто Настройки на Room Navigator.

Стандартът за удостоверяване 802.1x е особено важен за Ethernet мрежите и гарантира, че само оторизирани устройства получават достъп до мрежовите ресурси.

Налични са различни опции за влизане въз основа на метода EAP, конфигуриран във вашата мрежа. Например:

  • TLS: Потребителското име и паролата не се използват.
  • PEAP: Сертификатите не се използват.
  • TTLS: Изискват се както потребителско име/парола, така и сертификати; нито едно от двете не е задължително.

Има няколко начина за получаване на клиентски сертификат на устройство:

  1. Качване на PEM: Използвайте функцията за добавяне на услуги за сертификати за сигурност.
  2. Създайте CSR: Генериране на заявка за подписване на сертификат (CSR), подпишете го и го свържете с помощта на сертификати за защита CSR Създаване/свързване.
  3. SCEP: Използвайте заявка за записване на SCEP за услуги за сертификати за сигурност.
  4. DHCP Опция 43: Конфигурирайте доставката на сертификати чрез тази опция.

Настройката и актуализирането на сертификатите за 802.1x трябва да се извърши преди сдвояване на Room Navigator със система или след фабрично нулиране на Room Navigator.

Идентификационните данни по подразбиране са администратор и празна парола. За повече информация как да добавите сертификати чрез достъп до API, вижте най-новата версия на ръководството API.

  1. Отворете контролния панел на навигатора, като докоснете бутона в горния десен ъгъл или плъзнете от дясната страна. След това докоснете Настройки на устройството.
  2. Отидете на Мрежова връзка и изберете Ethernet .
  3. Включете Употреба на IEEE 802.1X.
    • Ако удостоверяването е настроено с идентификационни данни, въведете потребителската самоличност и паролата. Можете също да въведете анонимна самоличност: това е незадължително поле, което предоставя начин за отделяне на действителната самоличност на потребителя от първоначалната заявка за удостоверяване.
    • Можете да включите или включите TLS Потвърждаване . Когато TLS verify е включен, клиентът активно проверява автентичността на сертификата на сървъра по време на ръкостискането TLS. Когато TLS verify е изключен, клиентът не извършва активна проверка на сертификата на сървъра.
    • Ако сте качили клиентски сертификат чрез достъп до API, включете Използване на клиентски сертификат .
    • Превключете методите на Extensible Authentication Protocol (EAP), които искате да използвате. Изборът на метод EAP зависи от специфичните изисквания за сигурност, инфраструктурата и възможностите на клиента. EAP методите са от решаващо значение за осигуряване на сигурен и удостоверен достъп до мрежата.