Du kan tilføje certifikater fra enhedens lokale webgrænseflade. Du kan også tilføje certifikater ved at køre API kommandoer. Hvis du vil se, hvilke kommandoer der giver dig mulighed for at tilføje certifikater, skal du se roomos.cisco.com .

Servicecertifikater og pålidelige CA'er

Certifikatvalidering kan være nødvendigt, når du bruger TLS (Transport Layer Security). En server eller klient kan kræve, at enheden viser et gyldigt certifikat til dem, før kommunikation er konfigureret.

Certifikaterne er tekstfiler, som kontrollerer ægtheden af enheden. Disse certifikater skal være signeret af et rodnøglecenter (CA). For at bekræfte certifikaternes signatur skal der være en liste over pålidelige CA'er på enheden. Listen skal indeholde alle nøglecentre, der kræves for at kunne bekræfte certifikater for både revisionslogføring og andre forbindelser.

Certifikater bruges til følgende tjenester: HTTPS-server, SIP, IEEE 802.1X og revisionslogføring. Du kan gemme flere certifikater på enheden, men kun ét certifikatet er aktiveret for hver enkelt tjeneste ad gangen.

På RoomOS oktober 2023 og senere, når du tilføjer et CA-certifikat til en enhed, anvendes det også på en Room Navigator, hvis en sådan er tilsluttet. Hvis du vil synkronisere de tidligere tilføjede CA-certifikater til en tilsluttet Room Navigator, skal du genstarte enheden. Hvis de eksterne enheder ikke skal have de samme certifikater som den enhed, de er tilsluttet, skal du angive konfigurationen Sikkerhedscertifikater for eksterne enheder SyncToPeripherals til Falsk.


Tidligere lagrede certifikater slettes ikke automatisk. Posterne i en ny fil med CA-certifikater føjes til listen over de eksisterende.

Til Wi-Fi forbindelse

Vi anbefaler, at du tilføjer et CA-certifikat, der er tillid til, for hver Board-, Bord- eller lokaleserieenhed, hvis dit netværk bruger WPA-EAP-godkendelse. Du skal gøre dette individuelt for hver enhed, og før du opretter forbindelse til Wi-Fi.

Hvis du vil tilføje certifikater for din Wi-Fi-forbindelse, du skal bruge følgende filer:

  • Liste over CA-certifikater (filformat: .PEM)

  • Certifikat (filformat: .PEM)

  • Privat nøgle, enten som en separat fil eller inkluderet i den samme fil som certifikatet (filformat: .PEM)

  • Adgangssætning (kræves kun, hvis den private nøgle er krypteret)

Certifikatet og den private nøgle lagres i samme fil på enheden. Hvis godkendelse mislykkes, vil der ikke kunne oprettes forbindelse.


Privat nøgle og adgangsudtryk anvendes ikke på tilsluttede eksterne enheder.

Tilføj certifikater på enheder i Board-, Desk- og Room-serien

1

Fra kundevisningen i https://admin.webex.com skal du gå til siden Enheder og vælge din enhed på listen. Gå til Support, og start Lokale enhedskontroller .

Hvis du har konfigureret en lokal administrator-bruger på enheden, kan du få adgang til webgrænsefladen direkte ved at åbne en webbrowser og indtaste http(s)://<slutpunkts-IP eller værtsnavn>.

2

Naviger til Sikkerhed > Certifikater > Brugerdefineret > Tilføj certifikat, og overfør det eller dine CA-rodcertifikater.

3

Generer en anmodning om privat nøgle og certifikatet på openssl. Kopier indholdet af certifikatanmodningen. Indsæt den derefter for at anmode om servercertifikatet fra dit nøglecenter (CA).

4

Download servercertifikatet, der er signeret af dit nøglecenter. Sørg for, at det er i . PEM-format.

5

Naviger til Sikkerhed > Certifikater > Tjenester > Tilføj certifikat, og overfør den private nøgle og servercertifikatet.

6

Aktivér de tjenester, du vil bruge til det certifikat, du lige har tilføjet.

SCEP (Simple Certificate Enrollment Protocol)

SCEP (Simple Certificate Enrollment Protocol) indeholder en automatiseret mekanisme til tilmelding og opdatering af certifikater, der f.eks. bruges til 802.1X-godkendelse på enheder. SCEP giver dig mulighed for at opretholde enhedens adgang til sikre netværk uden manuel indgriben.

  • Når enheden er ny eller er blevet fabriksnulstillet, skal den have netværksadgang for at nå SCEP-URL'en. Enheden skal sluttes til netværket uden 802.1X for at få en IP adresse.

  • Hvis du bruger en trådløs tilmelding SSID, skal du gå gennem onboarding-skærmene for at konfigurere forbindelsen til netværket.

  • Når du har oprettet forbindelse til klargøringsnetværket, behøver enheden ikke at være på en bestemt onboarding-skærm på dette tidspunkt.

  • For at tilpasse alle installationer gemmer SCEP Enrollment xAPI'erne ikke det CA-certifikat, der bruges til at signere enhedscertifikatet. For servergodkendelse skal CA-certifikatet, der bruges til at validere serverens certifikat, tilføjes med xCommand Security Certificates CA Add.

Forudsætninger

Du skal bruge følgende oplysninger:

  • SCEP-serverens URL-adresse.

  • Fingeraftryk af det signerende CA (Certificate Authority)-certifikat.

  • Oplysninger om certifikatet, der skal tilmeldes. Dette udgør certifikatets emnenavn .

    • Almindeligt navn

    • Landets navn

    • Organisationens navn

  • SCEP-serverens udfordringsadgangskode, hvis du har konfigureret SCEP-serveren til at håndhæve en OTP eller delt hemmelighed.

Vi sender en certifikatanmodning, der er gyldig i et år til certifikatudløb. Politikken på serversiden kan ændre udløbsdatoen under certifikatsignering.

Ethernet-forbindelse

Når en enhed er tilsluttet et netværk, skal du sørge for, at den har adgang til SCEP-serveren. Enheden skal være tilsluttet et netværk uden 802.1x for at få en IP adresse. Det kan være nødvendigt at angive enhedens MAC adresse til klargøringsnetværket for at få en IP adresse. Den MAC adresse findes på brugergrænsefladen eller på etiketten bag på enheden.

Når enheden er tilsluttet netværket, kan du SSH til enheden som administrator for at få adgang til TSH og derefter køre følgende kommando for at sende SCEP-anmodningen om tilmelding: 
xCommand Security Certificates Services Tilmelding SCEP-anmodning

Når SCEP-serveren returnerer det signerede enhedscertifikat, skal du aktivere 802.1X og genstarte enheden.

Aktivér det signerede certifikat:
xCommand Security Certificates Services Activate

Genstart enheden efter aktivering af certifikatet.

Trådløs forbindelse

Når en enhed er tilsluttet et trådløst netværk, skal du sørge for, at den har adgang til SCEP-serveren.

Når enheden er tilsluttet netværket, kan du SSH til enheden som administrator for at få adgang til TSH og derefter køre følgende kommando for at sende SCEP-anmodningen om tilmelding: 
xCommand Security Certificates Services Tilmelding SCEP-anmodning

Enheden modtager det signerede certifikat fra SCEP-serveren.

Aktivér det signerede certifikat: 

xCommand Security Certificates Services Activate
Efter aktivering skal du konfigurere det Wi-Fi netværk med EAP-TLS godkendelse. 
xCommand Konfiguration af netværkswifi

Som standard springer Wi-Fi konfigurationen servervalideringskontroller over. Hvis der kun kræves envejsgodkendelse, skal du holde AllowMissingCA standardiseret til Sand.

Hvis du vil gennemtvinge servervalidering, skal du sørge for, at den valgfrie parameter AllowMissingCA er indstillet til False. Hvis det ikke er muligt at oprette forbindelse på grund af tjenestevalideringsfejl, skal du kontrollere, at den korrekte CA er blevet tilføjet for at kontrollere servercertifikatet, som kan være forskelligt fra enhedscertifikatet.

API beskrivelser

Rolle: Admin, Integrator

xCommand Security Certificates Services Tilmelding SCEP-anmodning

Anmoder om og downloader et signeret enhedscertifikat

Parametre:

  • URL(r): <S: 0, 128>

    SCEP-server-URL-adresse, der bruges til at tilmelde et certifikat.

  • Fingeraftryk (r): <S: 0, 128>

    Det udstedende CA's fingeraftryk, der underskriver X509-anmodningen.

  • ChallengePassword: <S: 0, 128>

    Shared Secret-adgangskode indstillet af SCEP-serveren.

  • CommonName (r): <S: 0, 128>

  • Landnavn: <S: 0, 128>

  • Organisationsnavn: <S: 0, 128>

  • SanDns[5]: <S: 0, 128>

  • SanEmail[5]: <S: 0, 128>

  • SanIp[5]: <S: 0, 128>

  • SanUri[5]: <S: 0, 128>

xCommand Security Certificates Services Tilmelding Anmodning om fornyelse af SCEP

Oprette eller opdatere en profil til automatisk fornyelse, der anvendes på alle certifikater, der er udstedt af det angivne nøglecenter, før certifikaterne udløber

Parametre:

  • Fingeraftryk: <S: 0, 128>

    Den udstedende CA's fingeraftryk, der signerede certifikaterne.

  • URL(r): <S: 0, 128>

    SCEP-server-URL-adresse, der bruges til at forny certifikaterne. 

xCommand Security Certificates Services Tilmelding SCEP-fornyelse Slet

Fjern den automatisk fornyede profil for det givne CA. Dette forhindrer ikke de certifikater, der er signeret af dette nøglecenter, i at forny automatisk

Parametre:

  • Fingeraftryk: <S: 0, 128>

    Den udstedende CA's fingeraftryk, der skal fjernes.

xCommand Security Certificates Services Tilmelding SCEP-fornyelsesliste

Vis alle aktuelt anvendte profiler for automatisk fornyelse.