Certifikáty můžete přidávat z lokálního webového rozhraní zařízení. Případně můžete přidat certifikáty spuštěním příkazů API. Chcete-li zjistit, které příkazy umožňují přidávat certifikáty, přečtěte si téma roomos.cisco.com .

Certifikáty služeb a důvěryhodné certifikační autority

Při použití TLS (Transport Layer Security) může být vyžadováno ověření certifikátu. Server nebo klient může vyžadovat, aby jim zařízení před nastavením komunikace předložilo platný certifikát.

Certifikáty jsou textové soubory, které ověřují pravost zařízení. Tyto certifikáty musí být podepsány důvěryhodnou Certificate Authority (CA). Aby bylo možné ověřit podpis certifikátů, musí se v zařízení nacházet seznam důvěryhodných certifikačních autorit. Seznam musí obsahovat všechny certifikační autority potřebné k ověření certifikátů pro protokolování auditu i pro další připojení.

Certifikáty se používají pro následující služby: server HTTPS, SIP, IEEE 802.1X a protokolování auditu. V zařízení můžete uložit několik certifikátů, ale pro každou službu je najednou povolený jenom jeden certifikát.

Když v systému RoomOS z října 2023 a novějším přidáte certifikát certifikační autority do zařízení, použije se také na Room Navigator, pokud je připojený. Pokud chcete synchronizovat dříve přidané certifikáty certifikační autority s připojeným Room Navigator, musíte zařízení restartovat. Pokud nechcete, aby periferní zařízení získala stejné certifikáty jako zařízení, ke kterému je připojená, nastavte konfiguraci Periferní zařízení Certifikáty zabezpečení SyncToPeripherals na hodnotu False.

Pro Wi-Fi připojení

Pokud vaše síť používá ověřování WPA-EAP, doporučujeme přidat certifikát důvěryhodné certifikační autority pro každé zařízení Board, stolní zařízení nebo zařízení řady místností. Musíte to udělat jednotlivě pro každé zařízení a před připojením k Wi-Fi.

Chcete-li přidat certifikáty pro připojení Wi-Fi, potřebujete následující soubory:

• Seznam certifikátů CA (formát souboru: . PEM)

• Certifikát (formát souboru: . PEM)

• Soukromý klíč, buď jako samostatný soubor, nebo jako součást stejného souboru jako certifikát (formát souboru: . PEM)

• Přístupové heslo (vyžadováno pouze v případě, že je soukromý klíč šifrován)

Certifikát a soukromý klíč jsou uloženy ve stejném souboru v zařízení. Pokud se ověření nezdaří, připojení nebude navázáno.

Správci musí vygenerovat žádost o podpis certifikátu (CSR) z Centra řízení pro zařízení Board, stůl nebo řadu místností registrované v cloudu.

Pomocí těchto kroků vygenerujte CSR a nahrajte podepsaný certifikát do zařízení:

1. V zobrazení zákazníka v Centru řízení přejděte na stránku Zařízení a vyberte své zařízení ze seznamu.
2. Přejděte na Akce > Spustit xCommand > Security > Certificates > CSR > Vytvořit.
3. Zadejte požadované podrobnosti o certifikátu a vyberte Provést.
4. Zkopírujte veškerý text mezi ----ZAHÁJIT ŽÁDOST ---- ----UKONČIT ŽÁDOST CERTIFIKÁT----.
5. K podpisu CSR použijte Certificate Authority (CA) podle svého výběru.
6. Exportujte podepsaný certifikát ve formátu PEM (kódování Base64).
7. Otevřete podepsaný soubor certifikátu v textovém editoru (např. v programu Poznámkový blok) a zkopírujte veškerý text mezi ----BEGIN CERTIFICATE---- a ----END CERTIFICATE----.
8. V Centru řízení přejděte na Zařízení > vyberte své zařízení > Akce > Spustit xCommand > Security > Certificates > CSR > Link.
9. Vložte zkopírovaný obsah certifikátu do části Text a vyberte Provést.
10. Obnovte stránku a ověřte, zda se certifikát zobrazuje v části Existující certifikát.

Protokol SCEP (Simple Certificate Enrollment Protocol) poskytuje automatizovaný mechanismus pro zápis a aktualizaci certifikátů, které se používají například ověřování 802.1X na zařízeních. SCEP umožňuje udržovat přístup zařízení k zabezpečeným sítím bez ručního zásahu.

• Když je zařízení nové nebo bylo resetováno z výroby, potřebuje k dosažení adresy URL SCEP přístup k síti. Zařízení by mělo být připojeno k síti bez protokolu 802.1X, aby bylo možné získat IP adresu.

• Pokud používáte bezdrátový zápis SSID, projděte obrazovky onboardingu a nakonfigurujte připojení k síti.

• Jakmile se připojíte ke zřizovací síti, zařízení nemusí být na konkrétní přihlašovací obrazovce.

• Aby se vešly do všech nasazení, nebudou rozhraní xAPI pro zápis SCEP ukládat certifikát certifikační autority použitý k podepsání certifikátu zařízení. Pro ověření serveru je třeba certifikát certifikační autority použitý k ověření certifikátu serveru přidat pomocí příkazu xCommand Security Certificates CA Add.

Předpoklady

Potřebujete následující informace:

• Adresa URL serveru SCEP.

• Otisk certifikátu podpisové certifikační autority (Certificate Authority).

• Informace o certifikátu k zápisu. To tvoří název subjektu certifikátu.

  • Běžný název

  • Název země

  • Název státu nebo provincie

  • Název lokality

  • Název organizace

  • Organizační jednotka

• Název subjektu bude seřazen jako /C= /ST= /L= /O= /OU= /CN=

• Heslo výzvy serveru SCEP, pokud jste server SCEP nakonfigurovali k vynucení jednorázového hesla nebo sdíleného tajného klíče.

Požadovanou velikost klíče pro pár klíčů žádosti o certifikát můžete nastavit pomocí následujícího příkazu. Výchozí hodnota je 2048.

 xConfiguration Security Enrollment KeySize: <2048, 3072, 4096>

Pošleme žádost o certifikát, která je platná po dobu jednoho roku pro vypršení platnosti certifikátu. Zásady na straně serveru mohou změnit datum vypršení platnosti během podepisování certifikátu.

Připojení k síti Ethernet

Když je zařízení připojené k síti, ujistěte se, že má přístup k serveru SCEP. Zařízení by mělo být připojeno k síti bez standardu 802.1x, aby bylo možné získat IP adresu. Adresa MAC zařízení může být nutné zadat zřizovací síti, aby bylo možné získat IP adresu. Adresu MAC najdete v uživatelském rozhraní nebo na popisku na zadní straně zařízení.

Po připojení zařízení k síti můžete k zařízení připojit SSH jako správce pro přístup k TSH a pak spuštěním následujícího příkazu odeslat žádost SCEP o registraci:

xCommand Požadavek SCEP na zápis do služby Security Certificates Services 

Jakmile server SCEP vrátí podepsaný certifikát zařízení, aktivujte protokol 802.1X.

Aktivace podepsaného certifikátu:

xCommand Služba bezpečnostních certifikátů aktivovat 

Po aktivaci certifikátu restartujte zařízení.

Bezdrátové připojení

Když je zařízení připojeno k bezdrátové síti, ujistěte se, že má přístup k serveru SCEP.

Po připojení zařízení k síti můžete k zařízení připojit SSH jako správce pro přístup k TSH a pak spuštěním následujícího příkazu odeslat žádost SCEP o registraci:

xCommand Požadavek SCEP na zápis do služby Security Certificates Services 

Zařízení obdrží podepsaný certifikát ze serveru SCEP.

Aktivace podepsaného certifikátu:

xCommand Služba bezpečnostních certifikátů aktivovat

Po aktivaci je třeba nakonfigurovat síť Wi-Fi s ověřováním EAP-TLS.

xCommand Network Wifi Konfigurace 

Ve výchozím nastavení konfigurace Wi-Fi přeskočí ověření serveru. Pokud je vyžadováno pouze jednosměrné ověřování, ponechte AllowMissingCA výchozí hodnotu True.

Chcete-li vynutit ověření serveru, ujistěte se, že je volitelný parametr AllowMissingCA nastaven na hodnotu False. Pokud připojení nelze navázat kvůli chybám ověření služby, zkontrolujte, zda byla přidána správná certifikační autorita a ověřte certifikát serveru, který se může lišit od certifikátu zařízení.

API popisy

Role: Správce, integrátor

xCommand Požadavek SCEP na zápis do služby Security Certificates Services

Odešle CSR na daný server SCEP k podpisu. Parametry CSR SubjectName budou konstruovány v následujícím pořadí: C, ST, L, O, OUs, CN.

Parametry:

• URL(r): <S: 0, 256>

  Adresa URL serveru SCEP.

• Otisk prstu: <S: 0, 128>

  Otisk certifikátu CA, který podepíše požadavek SCEP CSR.

• CommonName(r): <S: 0, 64>

  Přidá "/CN=" k CSR názvu subjektu.

• ChallengePassword: <S: 0, 256>

  Jednorázový nebo sdílený tajný klíč ze serveru SCEP pro přístup k podpisu.

• CountryName: <S: 0, 2>

  Přidá "/c=" k CSR názvu subjektu.

• StateOrProvinceName: <S: 0, 64>

  Přidá "/ST=" k CSR názvu subjektu.

• LocalityName: <S: 0, 64>

  Přidá "/l=" k CSR názvu subjektu.

• Organizace Název: <S: 0, 64>

  Přidá "/o=" k CSR názvu subjektu.

• Organizační jednotka[5]: <S: 0, 64>

  Přidá až 5 parametrů "/OU=" k CSR názvu subjektu.

• SanDns[5]: <S: 0, 64>

  Přidá až 5 parametrů DNS k alternativnímu názvu předmětu CSR.

• SanEmail[5]: <S: 0, 64>

  Přidá až 5 parametrů e-mailu k CSR alternativnímu názvu předmětu.

• SanIp[5]: <S: 0, 64>

  Přidá až 5 parametrů IP k alternativnímu názvu předmětu CSR.

• SanUri[5]: <S: 0, 64>

  Přidá až 5 parametrů URI k alternativnímu názvu předmětu CSR.

xCommand Certifikáty zabezpečení Služby Profily zápisu Odstranit

Odstraní profil zápisu, aby se již certifikáty neobnovovaly.

Parametry:

• Otisk prstu: <S: 0, 128>

  Otisk certifikátu certifikační autority identifikující profil, který chcete odebrat. Dostupné profily, které chcete odebrat, můžete zobrazit spuštěním:

  xCommand Certifikáty zabezpečení Seznam profilů zápisu služeb

xCommand Certifikáty zabezpečení Seznam profilů zápisu služeb

Zobrazí seznam profilů zápisu pro obnovení certifikátu.

 xCommand Zápis do služby Certifikáty zabezpečení Profily SCEP Nastavit otisk prstu: <S: 0, 128> URL(r): <S: 0, 256>

Přidejte registrační profil pro certifikáty vystavené otiskem certifikační autority, abyste mohli k obnovení použít danou adresu URL protokolu SCEP.

Obnovení

 xCommand Certifikáty zabezpečení Služby Zápis Profily SCEP Set

Aby bylo možné certifikát automaticky obnovit, musí mít zařízení přístup k adrese URL SCEP, která může certifikát znovu podepsat.

Jednou denně zařízení zkontroluje certifikáty, jejichž platnost vyprší po 45 dnech. Zařízení se pak pokusí obnovit tyto certifikáty, pokud jejich vystavitel odpovídá profilu.

POZNÁMKA: Obnovení všech certifikátů zařízení se zkontroluje, i když certifikát nebyl původně zaregistrovaný pomocí protokolu SCEP.

Navigátor

1. Přímo spárované: Zapsané certifikáty lze aktivovat jako "párovací" certifikát.

2. Vzdálené spárování: Sdělte navigátoru, aby zapsal nový certifikát SCEP pomocí ID periferního zařízení:

   Periferní zařízení xCommand Certifikáty zabezpečení Požadavek SCEP na služby 

   Registrační profily se automaticky synchronizují do spárovaného navigátoru.

3. Samostatný navigátor: Stejné jako registrace kodeku

Ověřování 802.1x můžete nastavit přímo z nabídky Nastavení Room Navigator.

Standard ověřování 802.1x je zvláště důležitý pro sítě Ethernet a zajišťuje, že přístup k síťovým prostředkům mají pouze autorizovaná zařízení.

K dispozici jsou různé možnosti přihlášení na základě metody EAP nakonfigurované ve vaší síti. Příklad:

• TLS: Uživatelské jméno a heslo se nepoužívají.
• PEAP: Certifikáty se nepoužívají.
• TTLS: Vyžaduje se uživatelské jméno/heslo i certifikáty. Ani jedno není volitelné.

Existuje několik způsobů, jak získat klientský certifikát na zařízení:

1. Nahrání PEM: Použijte funkci Přidat službu Certifikáty zabezpečení.
2. Vytvořte CSR: Generate a Certificate Signing Request (CSR), podepište ji a propojte pomocí Security Certificates CSR Create/Link.
3. SCEP: Využití žádosti SCEP o zápis do služby Security Certificates Services.
4. DHCP Možnost 43: Nakonfigurujte doručování certifikátů pomocí této možnosti.

Nastavení a aktualizace certifikátů pro 802.1x by měla být provedena před spárováním Room Navigator se systémem nebo po továrním resetování Room Navigator.

Výchozí přihlašovací údaje jsou admin a prázdné heslo. Další informace o přidávání certifikátů pomocí přístupu k API naleznete v nejnovější verzi příručky API.

1. Otevřete ovládací panel v Navigátoru klepnutím na tlačítko v pravém horním rohu nebo přejetím prstem z pravé strany. Poté klepněte na Nastavení zařízení.
2. Přejděte do části Síťové připojení a vyberte možnost Ethernet .
3. Zapněte přepínač Použít IEEE 802.1X.
   • Pokud je ověřování nastaveno pomocí přihlašovacích údajů, zadejte identitu uživatele a přístupové heslo. Můžete také zadat anonymní identitu: toto je volitelné pole, které poskytuje způsob, jak oddělit skutečnou identitu uživatele od počáteční žádosti o ověření.
   • Můžete přepínat TLS Ověřit vypnuto nebo zapnuto. Pokud je TLS verify zapnuto, klient aktivně ověřuje pravost certifikátu serveru během metody handshake TLS. Pokud je TLS verify vypnuto, klient neprovádí aktivní ověření certifikátu serveru.
   • Pokud jste nahráli klientský certifikát přístupem k API, přepněte možnost Použít klientský certifikát na.
   • Přepněte metody EAP (Extensible Authentication Protocol), které chcete použít. Volba metody EAP závisí na konkrétních požadavcích na zabezpečení, infrastruktuře a schopnostech klienta. Metody EAP jsou zásadní pro umožnění zabezpečeného a ověřeného přístupu k síti.