K jednotlivým zařízením a připojeným periferním zařízením můžete přidat certifikáty Wi-Fi 802.1X/802.1X nebo HTTPS.
Certifikáty můžete přidávat z místního webového rozhraní zařízení. Případně můžete přidávat certifikáty spuštěním příkazů API. Informace o tom, které příkazy vám umožňují přidávat certifikáty, naleznete na roomos.cisco.com.
Certifikáty služeb a důvěryhodné certifikační autority
Při použití TLS (Transport Layer Security) může být vyžadováno ověření certifikátu. Server nebo klient může před nastavením komunikace požadovat, aby jim zařízení předložilo platný certifikát.
Certifikáty jsou textové soubory, které ověřují pravost zařízení. Tato osvědčení musí být podepsána důvěryhodným certifikačním orgánem (CA). K ověření podpisu certifikátů se v zařízení musí nacházet seznam důvěryhodných certifikačních autorit. Seznam musí obsahovat všechny CA potřebné k ověření certifikátů jak pro protokolování auditu, tak pro další připojení.
Certifikáty se používají pro následující služby: HTTPS server, SIP, IEEE 802.1X a protokolování auditů. Na zařízení můžete uložit několik certifikátů, ale pro každou službu je povolen pouze jeden certifikát.
Když v systému RoomOS v říjnu 2023 a novějších přidáte k zařízení certifikát CA, použije se také na zařízení Room Navigator, pokud je připojen. Chcete-li synchronizovat dříve přidané certifikáty certifikační autority s připojeným zařízením Room Navigator, musíte zařízení restartovat. Pokud nechcete, aby periferní zařízení získala stejné certifikáty jako zařízení, ke kterému je připojeno, nastavte konfiguraci Certifikáty zabezpečení periferních zařízení SyncToPeripherals na možnost False.
Dříve uložené certifikáty se automaticky nemažou. Záznamy v novém souboru s certifikáty CA jsou připojeny ke stávajícímu seznamu. |
Pro připojení k síti Wi-Fi
Pokud vaše síť používá ověřování WPA-EAP, doporučujeme přidat certifikát důvěryhodné certifikační autority pro každé zařízení řady Board, Desk nebo Room. Pro každé zařízení a před připojením k Wi-Fi to musíte udělat individuálně.
Chcete-li přidat certifikáty pro připojení Wi-Fi, potřebujete následující soubory:
-
Seznam certifikátů certifikačních autorit (formát souboru: .PEM)
-
Certifikát (formát souboru: .PEM)
-
Soukromý klíč jako samostatný soubor nebo ve stejném souboru jako certifikát (formát souboru: .PEM).
-
Heslo (vyžadováno pouze v případě, že je šifrován soukromý klíč)
Certifikát a soukromý klíč jsou uloženy ve stejném souboru na zařízení. Pokud ověření selže, spojení nebude navázáno.
Soukromý klíč a heslo se nepoužívají na připojená periferní zařízení. |
Přidání certifikátů na zařízeních řady Board, Desk a Room
1 |
V zobrazení pro zákazníky https://admin.webex.com přejděte na stránku Zařízení a v seznamu vyberte své zařízení. Přejděte do nabídky Podpora a spusťte položku Ovládání místního zařízení. Pokud jste v zařízení nastavili místního uživatele Správce , můžete přistupovat k webovému rozhraní přímo otevřením webového prohlížeče a zadáním příkazu http(s)://. |
2 |
Přejděte na a nahrajte své CA kořenové certifikáty. |
3 |
Při openssl vygenerujte soukromý klíč a požadavek na certifikát. Zkopírujte obsah žádosti o certifikát. Poté jej vložte a vyžádejte si certifikát serveru od vaší certifikační autority (CA). |
4 |
Stáhněte si certifikát serveru podepsaný Vaším CA. Ujistěte se, že je ve formátu .PEM. |
5 |
Přejděte na a nahrajte soukromý klíč a certifikát serveru. |
6 |
Povolte služby, které chcete použít pro právě přidaný certifikát. |
Protokol SCEP (Simple Certificate Enrollment Protocol)
Protokol SCEP (Simple Certificate Enrollment Protocol) poskytuje automatizovaný mechanismus registrace a obnovování certifikátů, které se používají například při ověřování 802.1X na zařízeních. Protokol SCEP umožňuje zachovat přístup zařízení k zabezpečeným sítím bez manuálního zásahu.
-
Když je zařízení nové nebo bylo obnoveno do továrního nastavení, vyžaduje pro dosažení adresy URL SCEP přístup k síti. Aby bylo možné získat adresu IP, zařízení by mělo být připojeno k síti bez standardu 802.1X.
-
Pokud používáte SSID pro přihlášení bezdrátové sítě, musíte projít registračními obrazovkami a nakonfigurovat připojení k síti.
-
Jakmile se připojíte k zřizovací síti, zařízení nemusí být v této fázi na konkrétní obrazovce registrace.
-
Aby bylo možné použít všechna nasazení, rozhraní xAPI přihlášení SCEP neuloží certifikát CA, který se používá k podpisu certifikátu zařízení. Pro ověření serveru je třeba certifikát CA, který se používá k ověření certifikátu serveru, přidat pomocí položky xCommand Security Certificates CA Add.
Požadavky
Budete potřebovat následující informace:
-
Adresa URL serveru SCEP.
-
Otisk podpisu certifikátu certifikační autority (certifikační autority).
-
Informace o certifikátu k zápisu. Z tohoto důvodu se vytváří název předmětu certifikátu.
-
Obecný název
-
Název země
-
Název organizace
-
-
Ověřovací heslo serveru SCEP, pokud jste server SCEP nakonfigurovali tak, aby vynucoval jednorázový kód PIN nebo sdílený tajný kód.
Zašleme žádost o certifikát, který je platný po dobu jednoho roku, aby vypršela platnost certifikátu. Zásady na straně serveru mohou během podepisování certifikátu změnit datum vypršení platnosti.
Ethernetové připojení
Když je zařízení připojeno k síti, ujistěte se, že má přístup k serveru SCEP. Zařízení by mělo být připojeno k síti bez standardu 802.1x Chcete-li získat adresu IP. Aby bylo možné získat adresu IP, možná bude nutné uvést adresu MAC zařízení do zřizovací sítě. Adresu MAC naleznete v uživatelském rozhraní nebo na štítku na zadní straně zařízení.
xCommand Security Certificate Services Žádost o SCEP
Jakmile server SCEP vrátí podepsaný certifikát zařízení, aktivujte protokol 802.1X a poté zařízení restartujte.
Aktivace služeb certifikátů zabezpečení xCommand
Po aktivaci certifikátu restartujte zařízení.
Bezdrátové připojení
Když je zařízení připojeno k bezdrátové síti, ujistěte se, že má přístup k serveru SCEP.
xCommand Security Certificate Services Žádost o SCEP
Zařízení obdrží podepsaný certifikát ze serveru SCEP.
Aktivovat podepsaný certifikát:
Aktivace služeb certifikátů zabezpečení xCommand
Nastavení Wi-Fi sítě xCommand
Ve výchozím nastavení konfigurace Wi-Fi přeskočí kontroly ověření serveru. Pokud je vyžadováno pouze jednosměrné ověření, ponechte možnost AllowMissingCA ve výchozím nastavení na hodnotu True.
Chcete-li vynutit ověření serveru, ujistěte se, že je volitelný parametr AllowMissingCA nastaven na hodnotu False. Pokud připojení nelze navázat z důvodu chyb ověření služby, zkontrolujte, zda byla přidána správná certifikační autorita pro ověření certifikátu serveru, který se může lišit od certifikátu zařízení.
Popisy rozhraní API
Role: Správce, integrátor
xCommand Security Certificate Services Žádost o SCEP
Vyžádá a stáhne podepsaný certifikát zařízení
Parametry:
-
Adresa URL(r): <S: 0, 128>
Adresa URL serveru SCEP používaná k registraci certifikátu.
-
Otisk prstu (r): <S: 0, 128>
Otisk prstu vydávající certifikační autority, který podepíše žádost X509.
-
Heslo pro výzvu: <S: 0, 128>
Heslo sdíleného tajného klíče nastavené serverem SCEP.
-
Obecný název(r): <S: 0, 128>
-
Název země: <S: 0, 128>
-
Název organizace: <S: 0, 128>
-
SanDns[5]: <S: 0, 128>
-
SanEmail[5]: <S: 0, 128>
-
SanIp[5]: <S: 0, 128>
-
SanUri[5]: <S: 0, 128>
xCommand Security Certificate Services Žádost o obnovení SCEP
Vytvořte nebo aktualizujte profil automatického prodloužení, který se použije na všechny certifikáty vydané danou certifikační autoritou před vypršením platnosti certifikátů
Parametry:
-
Otisk prstu (r): <S: 0, 128>
Otisk prstu vydávající certifikační autority, která certifikáty podepsala.
-
Adresa URL(r): <S: 0, 128>
Adresa URL serveru SCEP používaná k obnovení certifikátů.
xCommand Security Certificate Services Enrollment SCEP Renewal Delete
Odeberte profil rozšířený automaticky pro danou certifikační autoritu. Tímto zabráníte automatickému obnovování certifikátů podepsaných touto certifikační autoritou.
Parametry:
-
Otisk prstu (r): <S: 0, 128>
Otisk prstu vydávající certifikační autority k odebrání.
xCommand Security Certificate Services Enrollment Seznam obnovení SCEP
Vypsat všechny aktuálně používané profily autorenew.