Můžete přidat certifikáty z místního webového rozhraní zařízení. Případně můžete přidat certifikáty spuštěním příkazů API. Chcete-li zjistit, které příkazy umožňují přidávat certifikáty, přečtěte si téma roomos.cisco.com .

Certifikáty služeb a důvěryhodné certifikační autority

Při použití protokolu TLS (Transport Layer Security) může být vyžadováno ověření platnosti certifikátu. Server nebo klient mohou před navázáním komunikace požadovat, aby jim zařízení předložilo platný certifikát.

Certifikáty jsou textové soubory, které ověřují pravost zařízení. Tyto certifikáty musí být podepsány důvěryhodnou certifikační autoritou. Aby bylo možné ověřit podpis certifikátů, musí se v zařízení nacházet seznam důvěryhodných certifikačních autorit. Seznam musí obsahovat všechny certifikační autority potřebné k ověření certifikátů pro protokolování auditu i pro další připojení.

Certifikáty se používají pro následující služby: server HTTPS, SIP, IEEE 802.1X a protokolování auditu. V zařízení můžete uložit několik certifikátů, ale pro každou službu je povolen vždy pouze jeden certifikát.

Když v systému RoomOS z října 2023 a novějším přidáte certifikát certifikační autority do zařízení, použije se také na Navigátor místnosti, pokud je připojený. Chcete-li synchronizovat dříve přidané certifikáty CA s připojeným navigátorem místnosti, je nutné zařízení restartovat. Pokud nechcete, aby periferní zařízení získala stejné certifikáty jako zařízení, ke kterému je připojená, nastavte konfiguraci Periferní zařízení Certifikáty zabezpečení SyncToPeripherals na hodnotu False.

Dříve uložené certifikáty se automaticky neodstraní. Záznamy v novém souboru s certifikáty certifikačních autorit se připojí ke stávajícímu seznamu.

Pro Wi-Fi připojení

Pokud vaše síť používá ověřování WPA-EAP, doporučujeme přidat certifikát důvěryhodné certifikační autority pro každé zařízení Board, stolní zařízení nebo zařízení řady místností. To je nutné provést pro každé zařízení zvlášť a před připojením k síti Wi-Fi.

Abyste mohli přidat certifikáty pro připojení Wi-Fi, potřebujete následující soubory:

  • Seznam certifikátů certifikačních autorit (formát souboru: .PEM)

  • Certifikát (formát souboru: .PEM)

  • Soukromý klíč jako samostatný soubor nebo ve stejném souboru jako certifikát (formát souboru: .PEM).

  • Heslo (vyžadováno pouze v případě, že je soukromý klíč zašifrován)

Certifikát a soukromý klíč jsou uloženy ve stejném souboru v zařízení. Pokud se ověření nezdaří, spojení nebude navázáno.

Soukromý klíč a přístupové heslo se nepoužijí pro připojená periferní zařízení.

Přidání certifikátů na zařízení Board, Desk a Room Series

1

V zobrazení zákazníka v https://admin.webex.com přejděte na stránku Zařízení a v seznamu vyberte své zařízení. Přejděte na stránku Podpora a spusťte ovládací prvky místních zařízení.

Pokud jste v zařízení nastavili místního uživatele Správce, můžete k webovému rozhraní přistupovat přímo otevřením webového prohlížeče a zadáním http(s)://<ip koncového bodu nebo název hostitele>.

2

Přejděte do části Zabezpečení > Certifikáty > Vlastní > Přidat certifikát a nahrajte kořenové certifikáty certifikačních autorit.

3

V OpenSSL vygenerujte soukromý klíč a žádost o certifikát. Zkopírujte obsah žádosti o certifikát. Poté jej vložte a vyžádejte si certifikát serveru od certifikační autority.

4

Stáhněte si certifikát serveru podepsaný certifikační autoritou. Ujistěte se, že je v . Formát PEM.

5

Přejděte do části Zabezpečení > Certifikáty > Služby > Přidat certifikát a nahrajte soukromý klíč a certifikát serveru.

6

Povolte služby, které chcete použít pro certifikát, který jste právě přidali.

Generovat žádost o podepsání certifikátu (CSR)

Správci musí vygenerovat žádost o podpis certifikátu (CSR) z Centra řízení pro zařízení Board, stůl nebo pokojovou řadu registrované v cloudu.

Pomocí těchto kroků vygenerujte CSR a nahrajte podepsaný certifikát do zařízení:

  1. V zobrazení zákazníka v Centru řízení přejděte na stránku Zařízení a vyberte své zařízení ze seznamu.
  2. Přejděte na Akce > Spustit xCommand > Security > Certificates > CSR > Vytvořit.
  3. Zadejte požadované podrobnosti o certifikátu a vyberte Provést.
  4. Zkopírujte veškerý text mezi ----ZAHÁJIT ŽÁDOST ---- ----UKONČIT ŽÁDOST CERTIFIKÁT----.
  5. K podpisu CSR použijte Certificate Authority (CA) podle svého výběru.
  6. Exportujte podepsaný certifikát ve formátu PEM (kódování Base64).
  7. Otevřete podepsaný soubor certifikátu v textovém editoru (např. v programu Poznámkový blok) a zkopírujte veškerý text mezi ----BEGIN CERTIFICATE---- a ----END CERTIFICATE----.
  8. V Centru Control Hub přejděte na Zařízení > vyberte své zařízení > Actions > Run xCommand > Security > Certificates > CSR > Link.
  9. Vložte zkopírovaný obsah certifikátu do části Text a vyberte Provést.
  10. Obnovte stránku a ověřte, zda se certifikát zobrazuje v části Existující certifikát.

Protokol SCEP (Simple Certificate Enrollment Protocol)

Protokol SCEP (Simple Certificate Enrollment Protocol) poskytuje automatizovaný mechanismus pro zápis a aktualizaci certifikátů, které se používají například ověřování 802.1X na zařízeních. SCEP umožňuje udržovat přístup zařízení k zabezpečeným sítím bez ručního zásahu.

  • Když je zařízení nové nebo bylo resetováno z výroby, potřebuje k dosažení adresy URL SCEP přístup k síti. Zařízení by mělo být připojeno k síti bez protokolu 802.1X, aby bylo možné získat IP adresu.

  • Pokud používáte bezdrátový zápis SSID, projděte obrazovky onboardingu a nakonfigurujte připojení k síti.

  • Jakmile se připojíte ke zřizovací síti, zařízení nemusí být na konkrétní přihlašovací obrazovce.

  • Aby se vešly do všech nasazení, nebudou rozhraní xAPI pro zápis SCEP ukládat certifikát certifikační autority použitý k podepsání certifikátu zařízení. Pro ověření serveru je třeba certifikát certifikační autority použitý k ověření certifikátu serveru přidat pomocí příkazu xCommand Security Certificates CA Add.

Předpoklady

Potřebujete následující informace:

  • Adresa URL serveru SCEP.

  • Otisk certifikátu podpisové certifikační autority (Certificate Authority).

  • Informace o certifikátu k zápisu. To tvoří název subjektu certifikátu.

    • Běžný název

    • Název země

    • Název státu nebo provincie

    • Název lokality

    • Název organizace

    • Organizační jednotka

  • Název subjektu bude seřazen jako /C= /ST= /L= /O= /OU= /CN=

  • Heslo výzvy serveru SCEP, pokud jste server SCEP nakonfigurovali k vynucení jednorázového hesla nebo sdíleného tajného klíče.

Požadovanou velikost klíče pro pár klíčů žádosti o certifikát můžete nastavit pomocí následujícího příkazu. Výchozí hodnota je 2048.

 xConfiguration Security Enrollment KeySize: <2048, 3072, 4096>

Pošleme žádost o certifikát, která je platná po dobu jednoho roku pro vypršení platnosti certifikátu. Zásady na straně serveru mohou změnit datum vypršení platnosti během podepisování certifikátu.

Připojení k síti Ethernet

Když je zařízení připojené k síti, ujistěte se, že má přístup k serveru SCEP. Zařízení by mělo být připojeno k síti bez standardu 802.1x, aby bylo možné získat IP adresu. Adresa MAC zařízení může být nutné zadat zřizovací síti, aby bylo možné získat adresu IP. Adresu MAC najdete v uživatelském rozhraní nebo na štítku na zadní straně zařízení.

Po připojení zařízení k síti můžete k zařízení připojit SSH jako správce pro přístup k TSH a pak spuštěním následujícího příkazu odeslat žádost SCEP o registraci: 

xCommand Požadavek SCEP na zápis do služby Security Certificates Services

Jakmile server SCEP vrátí podepsaný certifikát zařízení, aktivujte protokol 802.1X.

Aktivace podepsaného certifikátu:

xCommand Služba bezpečnostních certifikátů aktivovat

Po aktivaci certifikátu restartujte zařízení.

Bezdrátové připojení

Když je zařízení připojeno k bezdrátové síti, ujistěte se, že má přístup k serveru SCEP.

Po připojení zařízení k síti můžete k zařízení připojit SSH jako správce pro přístup k TSH a pak spuštěním následujícího příkazu odeslat žádost SCEP o registraci: 

xCommand Požadavek SCEP na zápis do služby Security Certificates Services

Zařízení obdrží podepsaný certifikát ze serveru SCEP.

Aktivace podepsaného certifikátu: 

xCommand Služba bezpečnostních certifikátů aktivovat

Po aktivaci je třeba nakonfigurovat síť Wi-Fi s ověřováním EAP-TLS. 

xCommand Network Wifi Konfigurace

Ve výchozím nastavení konfigurace Wi-Fi přeskočí ověření serveru. Pokud je vyžadováno pouze jednosměrné ověřování, ponechte AllowMissingCA výchozí hodnotu True.

Chcete-li vynutit ověření serveru, ujistěte se, že je volitelný parametr AllowMissingCA nastaven na hodnotu False. Pokud připojení nelze navázat kvůli chybám ověření služby, zkontrolujte, zda byla přidána správná certifikační autorita a ověřte certifikát serveru, který se může lišit od certifikátu zařízení.

API popisy

Role: Správce, integrátor

xCommand Požadavek SCEP na zápis do služby Security Certificates Services

Odešle CSR na daný server SCEP k podpisu. Parametry CSR SubjectName budou konstruovány v následujícím pořadí: C, ST, L, O, OUs, CN.

Parametry:

  • URL(r): <S: 0, 256>

    Adresa URL serveru SCEP.

  • Otisk prstu: <S: 0, 128>

    Otisk certifikátu certifikační autority, který podepíše požadavek SCEP CSR.

  • CommonName(r): <S: 0, 64>

    Přidá "/CN=" k CSR názvu subjektu.

  • ChallengePassword: <S: 0, 256>

    Jednorázový nebo sdílený tajný klíč ze serveru SCEP pro přístup k podpisu.

  • CountryName: <S: 0, 2>

    Přidá "/c=" k CSR názvu subjektu.

  • StateOrProvinceName: <S: 0, 64>

    Přidá "/ST=" k CSR názvu subjektu.

  • LocalityName: <S: 0, 64>

    Přidá "/l=" k CSR názvu subjektu.

  • Organizace Název: <S: 0, 64>

    Přidá "/o=" k CSR názvu subjektu.

  • Organizační jednotka[5]: <S: 0, 64>

    Přidá až 5 parametrů "/OU=" k CSR názvu subjektu.

  • SanDns[5]: <S: 0, 64>

    Přidá až 5 parametrů DNS k alternativnímu názvu předmětu CSR.

  • SanEmail[5]: <S: 0, 64>

    Přidá až 5 parametrů e-mailu k CSR alternativnímu názvu předmětu.

  • SanIp[5]: <S: 0, 64>

    Přidá až 5 parametrů IP k alternativnímu názvu předmětu CSR.

  • SanUri[5]: <S: 0, 64>

    Přidá až 5 parametrů URI k alternativnímu názvu předmětu CSR.

xCommand Certifikáty zabezpečení Služby Profily zápisu Odstranit

Odstraní profil zápisu, aby se již certifikáty neobnovovaly.

Parametry:

  • Otisk prstu: <S: 0, 128>

    Otisk certifikátu certifikační autority identifikující profil, který chcete odebrat. Dostupné profily, které chcete odebrat, můžete zobrazit spuštěním: 

    xCommand Certifikáty zabezpečení Seznam profilů zápisu služeb

xCommand Certifikáty zabezpečení Seznam profilů zápisu služeb

Zobrazí seznam profilů zápisu pro obnovení certifikátu.

 xCommand Zápis do služby Certifikáty zabezpečení Profily SCEP Nastavit otisk prstu: <S: 0, 128> URL(r): <S: 0, 256>

Přidejte registrační profil pro certifikáty vystavené otiskem certifikační autority, abyste mohli k obnovení použít danou adresu URL protokolu SCEP.

Obnovení

 xCommand Certifikáty zabezpečení Služby Zápis Profily SCEP Set

Aby bylo možné certifikát automaticky obnovit, musí mít zařízení přístup k adrese URL SCEP, která může certifikát znovu podepsat.

Jednou denně zařízení zkontroluje certifikáty, jejichž platnost vyprší po 45 dnech. Zařízení se pak pokusí obnovit tyto certifikáty, pokud jejich vystavitel odpovídá profilu.

POZNÁMKA: Obnovení všech certifikátů zařízení se zkontroluje, i když certifikát nebyl původně zaregistrovaný pomocí protokolu SCEP.

Navigátor

  1. Přímo spárované: Zapsané certifikáty lze aktivovat jako "párovací" certifikát.

  2. Vzdálené spárování: Sdělte navigátoru, aby zapsal nový certifikát SCEP pomocí ID periferního zařízení:

    Periferní zařízení xCommand Certifikáty zabezpečení Požadavek SCEP na služby 

    Registrační profily se automaticky synchronizují do spárovaného navigátoru.

  3. Samostatný navigátor: Stejné jako registrace kodeku

Konfigurace ověřování 802.1x v aplikaci Room Navigator

Ověřování 802.1x můžete nastavit přímo v nabídce Nastavení navigátoru místnosti.

Standard ověřování 802.1x je zvláště důležitý pro sítě Ethernet a zajišťuje, že přístup k síťovým prostředkům mají pouze autorizovaná zařízení.

K dispozici jsou různé možnosti přihlášení na základě metody EAP nakonfigurované ve vaší síti. Příklad:

  • TLS: Uživatelské jméno a heslo se nepoužívají.
  • PEAP: Certifikáty se nepoužívají.
  • TTLS: Vyžaduje se uživatelské jméno/heslo i certifikáty. Ani jedno není volitelné.

Existuje několik způsobů, jak získat klientský certifikát na zařízení:

  1. Nahrání PEM: Použijte funkci Přidat službu Certifikáty zabezpečení.
  2. Vytvořte CSR: Vygenerujte žádost o podpis certifikátu (CSR), podepište ji a propojte pomocí Certifikáty zabezpečení CSR Vytvořit/propojit.
  3. SCEP: Využití žádosti SCEP o zápis do služby Security Certificates Services.
  4. DHCP Možnost 43: Nakonfigurujte doručování certifikátů pomocí této možnosti.

Nastavení a aktualizace certifikátů pro 802.1x by měla být provedena před spárováním Room Navigatoru se systémem nebo po továrním resetování Room Navigator.

Výchozí přihlašovací údaje jsou admin a prázdné heslo. Další informace o přidávání certifikátů pomocí přístupu k API naleznete v nejnovější verzi příručky API.

  1. Otevřete ovládací panel v Navigátoru klepnutím na tlačítko v pravém horním rohu nebo přejetím prstem z pravé strany. Poté klepněte na Nastavení zařízení.
  2. Přejděte do části Síťové připojení a vyberte možnost Ethernet .
  3. Zapněte přepínač Použít IEEE 802.1X.
    • Pokud je ověřování nastaveno pomocí přihlašovacích údajů, zadejte identitu uživatele a přístupové heslo. Můžete také zadat anonymní identitu: toto je volitelné pole, které poskytuje způsob, jak oddělit skutečnou identitu uživatele od počáteční žádosti o ověření.
    • Můžete přepínat TLS Ověřit vypnuto nebo zapnuto. Pokud je TLS verify zapnuto, klient aktivně ověřuje pravost certifikátu serveru během metody handshake TLS. Pokud je TLS verify vypnuto, klient neprovádí aktivní ověření certifikátu serveru.
    • Pokud jste nahráli klientský certifikát přístupem k API, přepněte možnost Použít klientský certifikát na.
    • Přepněte metody EAP (Extensible Authentication Protocol), které chcete použít. Volba metody EAP závisí na konkrétních požadavcích na zabezpečení, infrastruktuře a schopnostech klienta. Metody EAP jsou zásadní pro umožnění zabezpečeného a ověřeného přístupu k síti.