Můžete přidat certifikáty z místního webového rozhraní zařízení. Případně můžete přidat certifikáty spuštěním příkazů API. Chcete-li zjistit, které příkazy umožňují přidávat certifikáty, přečtěte si téma roomos.cisco.com .

Certifikáty služeb a důvěryhodné certifikační autority

Při použití protokolu TLS (Transport Layer Security) může být vyžadováno ověření platnosti certifikátu. Server nebo klient mohou před navázáním komunikace požadovat, aby jim zařízení předložilo platný certifikát.

Certifikáty jsou textové soubory, které ověřují pravost zařízení. Tyto certifikáty musí být podepsány důvěryhodnou certifikační autoritou. Aby bylo možné ověřit podpis certifikátů, musí se v zařízení nacházet seznam důvěryhodných certifikačních autorit. Seznam musí obsahovat všechny certifikační autority potřebné k ověření certifikátů pro protokolování auditu i pro další připojení.

Certifikáty se používají pro následující služby: server HTTPS, SIP, IEEE 802.1X a protokolování auditu. V zařízení můžete uložit několik certifikátů, ale pro každou službu je povolen vždy pouze jeden certifikát.

Když v systému RoomOS z října 2023 a novějším přidáte certifikát certifikační autority do zařízení, použije se také na Navigátor místnosti, pokud je připojený. Chcete-li synchronizovat dříve přidané certifikáty CA s připojeným navigátorem místnosti, je nutné zařízení restartovat. Pokud nechcete, aby periferní zařízení získala stejné certifikáty jako zařízení, ke kterému je připojená, nastavte konfiguraci Periferní zařízení Certifikáty zabezpečení SyncToPeripherals na hodnotu False.


Dříve uložené certifikáty se automaticky neodstraní. Záznamy v novém souboru s certifikáty certifikačních autorit se připojí ke stávajícímu seznamu.

Pro Wi-Fi připojení

Doporučujeme přidat certifikát důvěryhodné certifikační autority pro každé zařízení Board, Desk nebo Room Series, pokud vaše síť používá ověřování WPA-EAP. To je nutné provést pro každé zařízení zvlášť a před připojením k síti Wi-Fi.

Abyste mohli přidat certifikáty pro připojení Wi-Fi, potřebujete následující soubory:

  • Seznam certifikátů certifikačních autorit (formát souboru: .PEM)

  • Certifikát (formát souboru: .PEM)

  • Soukromý klíč jako samostatný soubor nebo ve stejném souboru jako certifikát (formát souboru: .PEM).

  • Heslo (vyžadováno pouze v případě, že je soukromý klíč zašifrován)

Certifikát a soukromý klíč jsou uloženy ve stejném souboru v zařízení. Pokud se ověření nezdaří, spojení nebude navázáno.


Soukromý klíč a přístupové heslo se nepoužijí pro připojená periferní zařízení.

Přidání certifikátů na palubu, stůl a zařízení řady Room

1

V zobrazení zákazníka v https://admin.webex.com přejděte na stránku Zařízení a v seznamu vyberte své zařízení. Přejděte na stránku Podpora a spusťte ovládací prvky místních zařízení.

Pokud jste v zařízení nastavili místního uživatele Správce, můžete k webovému rozhraní přistupovat přímo otevřením webového prohlížeče a zadáním http(s)://<ip koncového bodu nebo název hostitele>.

2

Přejděte do části Zabezpečení > Certifikáty > Vlastní > Přidat certifikát a nahrajte kořenové certifikáty certifikačních autorit.

3

V OpenSSL vygenerujte soukromý klíč a žádost o certifikát. Zkopírujte obsah žádosti o certifikát. Poté jej vložte a vyžádejte si certifikát serveru od certifikační autority.

4

Stáhněte si certifikát serveru podepsaný certifikační autoritou. Ujistěte se, že je v . Formát PEM.

5

Přejděte do části Zabezpečení > Certifikáty > Služby > Přidat certifikát a nahrajte soukromý klíč a certifikát serveru.

6

Povolte služby, které chcete použít pro certifikát, který jste právě přidali.

Protokol SCEP (Simple Certificate Enrollment Protocol)

Protokol SCEP (Simple Certificate Enrollment Protocol) poskytuje automatizovaný mechanismus pro zápis a aktualizaci certifikátů, které se používají například k ověřování 802.1X na zařízeních. SCEP umožňuje udržovat přístup zařízení k zabezpečeným sítím bez ručního zásahu.

  • Pokud je zařízení nové nebo bylo obnoveno z výroby, potřebuje přístup k síti, aby dosáhlo adresy URL SCEP. Zařízení by mělo být připojeno k síti bez protokolu 802.1X, aby bylo možné získat IP adresu.

  • Pokud používáte SSID bezdrátové registrace, musíte projít úvodní obrazovky a nakonfigurovat připojení k síti.

  • Jakmile se připojíte ke zřizovací síti, zařízení nemusí být v této fázi na konkrétní obrazovce onboardingu.

  • Aby vyhovovala všem nasazením, nebudou rozhraní xAPI pro zápis SCEP ukládat certifikát certifikační autority, který se používá k podepsání certifikátu zařízení. Pro ověření serveru je třeba přidat certifikát certifikační autority, který se používá k ověření certifikátu serveru, pomocí příkazu xCommand Security Certificates CA Add.

Předpoklady

Potřebujete následující informace:

  • Adresa URL serveru SCEP.

  • Otisk certifikátu podpisové certifikační autority (Certificate Authority).

  • Informace o certifikátu k zápisu. To tvoří název subjektu certifikátu.

    • Běžný název

    • Název země

    • Název organizace

  • Heslo výzvy serveru SCEP, pokud jste server SCEP nakonfigurovali k vynucení jednorázového hesla nebo sdíleného tajného klíče.

Pošleme žádost o certifikát, která je platná po dobu jednoho roku pro vypršení platnosti certifikátu. Zásady na straně serveru mohou změnit datum vypršení platnosti během podepisování certifikátu.

Připojení k síti Ethernet

Když je zařízení připojené k síti, ujistěte se, že má přístup k serveru SCEP. Zařízení by mělo být připojeno k síti bez standardu 802.1x, aby bylo možné získat IP adresu. Adresa MAC zařízení může být nutné zadat zřizovací síti, aby bylo možné získat IP adresu. Adresu MAC najdete v uživatelském rozhraní nebo na štítku na zadní straně zařízení.

Po připojení zařízení k síti můžete k zařízení připojit SSH jako správce pro přístup k TSH a pak spuštěním následujícího příkazu odeslat žádost SCEP o registraci: 
xCommand Požadavek SCEP na zápis do služby Security Certificates Services

Jakmile server SCEP vrátí podepsaný certifikát zařízení, aktivujte protokol 802.1X a restartujte zařízení.

Aktivace podepsaného certifikátu:
xCommand Služba bezpečnostních certifikátů aktivovat

Po aktivaci certifikátu restartujte zařízení.

Bezdrátové připojení

Když je zařízení připojeno k bezdrátové síti, ujistěte se, že má přístup k serveru SCEP.

Po připojení zařízení k síti můžete k zařízení připojit SSH jako správce pro přístup k TSH a pak spuštěním následujícího příkazu odeslat žádost SCEP o registraci: 
xCommand Požadavek SCEP na zápis do služby Security Certificates Services

Zařízení obdrží podepsaný certifikát ze serveru SCEP.

Aktivace podepsaného certifikátu: 

xCommand Služba bezpečnostních certifikátů aktivovat
Po aktivaci je třeba nakonfigurovat Wi-Fi síť s ověřováním EAP-TLS. 
xCommand Network Wifi Konfigurace

Ve výchozím nastavení konfigurace Wi-Fi přeskočí ověření serveru. Pokud je vyžadováno pouze jednosměrné ověřování, ponechte AllowMissingCA výchozí hodnotu True.

Chcete-li vynutit ověření serveru, ujistěte se, že je volitelný parametr AllowMissingCA nastaven na hodnotu False. Pokud připojení nelze navázat kvůli chybám ověření služby, zkontrolujte, zda byla přidána správná certifikační autorita a ověřte certifikát serveru, který se může lišit od certifikátu zařízení.

API popisy

Role: Správce, integrátor

xCommand Požadavek SCEP na zápis do služby Security Certificates Services

Vyžádá si podepsaný certifikát zařízení a stáhne ho.

Parametry:

  • URL(r): <S: 0, 128>

    Adresa URL serveru SCEP použitá k zápisu certifikátu

  • Otisk prstu (r): <S: 0, 128>

    Otisk prstu vydávající certifikační autority, který podepíše žádost X509.

  • ChallengePassword: <S: 0, 128>

    Heslo sdíleného tajného klíče nastavené serverem SCEP.

  • Běžný název (r): <S: 0, 128>

  • CountryName: <S: 0, 128>

  • Název organizace: <S: 0, 128>

  • SanDns[5]: <S: 0, 128>

  • SanEmail[5]: <S: 0, 128>

  • SanIp[5]: <S: 0, 128>

  • SanUri[5]: <S: 0, 128>

xCommand Security Certificates Services Enrollment Žádost o obnovení SCEP

Vytvořte nebo aktualizujte profil automatického obnovení, který se použije u všech certifikátů vydaných danou certifikační autoritou před vypršením platnosti certifikátů

Parametry:

  • Otisk prstu: <S: 0, 128>

    Otisk prstu vydávající certifikační autority, která certifikáty podepsala.

  • URL(r): <S: 0, 128>

    Adresa URL serveru SCEP použitá k obnovení certifikátů. 

xCommand Certifikáty zabezpečení Služby Zápis Obnovení SCEP Odstranit

Odeberte profil automatického obnovení pro danou certifikační autoritu. Tím se zabrání automatickému obnovení certifikátů podepsaných touto certifikační autoritou

Parametry:

  • Otisk prstu: <S: 0, 128>

    Otisk prstu vydávající certifikační autority, který chcete odstranit.

xCommand Security Certificates Services Enrollment Seznam obnovení SCEP

Seznam všech aktuálně používaných profilů autorenew.