Du kan tilføje certifikater fra enhedens lokale webgrænseflade. Alternativt kan du tilføje certifikater ved at køre API-kommandoer. For at se hvilke kommandoer der tillader dig at tilføje certifikater, se roomos.cisco.com .

Servicecertifikater og betroede CA'er

Certifikatvalidering kan være nødvendigt, når du bruger TLS (Transport Layer Security). En server eller klient kan kræve, at enheden viser et gyldigt certifikat til dem, før kommunikation er konfigureret.

Certifikaterne er tekstfiler, som kontrollerer ægtheden af enheden. Disse certifikater skal være signeret af et rodnøglecenter (CA). For at verificere certifikaternes signatur skal der være en liste over betroede CA'er på enheden. Listen skal indeholde alle nøglecentre, der kræves for at kunne bekræfte certifikater for både revisionslogføring og andre forbindelser.

Certifikater bruges til følgende tjenester: HTTPS-server, SIP, IEEE 802.1X og revisionslogføring. Du kan gemme flere certifikater på enheden, men kun ét certifikatet er aktiveret for hver enkelt tjeneste ad gangen.

På RoomOS fra oktober 2023 og senere gælder det, at når du tilføjer et CA-certifikat til en enhed, anvendes det også på en Room Navigator, hvis en sådan er tilsluttet. For at synkronisere de tidligere tilføjede CA-certifikater til en tilsluttet Room Navigator, skal du genstarte enheden. Hvis du ikke ønsker, at de eksterne enheder skal få de samme certifikater som den enhed, de er tilsluttet, skal du indstille konfigurationen Sikkerhedscertifikater for eksterne enheder Synkroniser til eksterne enheder til Falsk.

Tidligere lagrede certifikater slettes ikke automatisk. Posterne i en ny fil med CA-certifikater føjes til listen over de eksisterende.

For Wi-Fi-forbindelse

Vi anbefaler, at du tilføjer et betroet CA-certifikat til hver Board-, Desk- eller Room Series-enhed, hvis dit netværk bruger WPA-EAP-godkendelse. Du skal gøre dette individuelt for hver enhed, og før du opretter forbindelse til Wi-Fi.

Hvis du vil tilføje certifikater for din Wi-Fi-forbindelse, du skal bruge følgende filer:

  • Liste over CA-certifikater (filformat: .PEM)

  • Certifikat (filformat: .PEM)

  • Privat nøgle, enten som en separat fil eller inkluderet i den samme fil som certifikatet (filformat: .PEM)

  • Adgangssætning (kræves kun, hvis den private nøgle er krypteret)

Certifikatet og den private nøgle lagres i samme fil på enheden. Hvis godkendelse mislykkes, vil der ikke kunne oprettes forbindelse.

Privat nøgle og adgangskode anvendes ikke på tilsluttede eksterne enheder.

Tilføj certifikater på Board-, Desk- og Room Series-enheder

1

Fra kundevisningen i https://admin.webex.com skal du gå til siden Enheder og vælge din enhed på listen. Gå til Support og åbn Lokale enhedskontroller .

Hvis du har konfigureret en lokal administrator-bruger på enheden, kan du få adgang til webgrænsefladen direkte ved at åbne en webbrowser og indtaste http(s)://<slutpunkts-IP eller værtsnavn>.

2

Naviger til Sikkerhed > Certifikater > Brugerdefineret > Tilføj certifikat, og overfør det eller dine CA-rodcertifikater.

3

Generer en anmodning om privat nøgle og certifikatet på openssl. Kopier indholdet af certifikatanmodningen. Indsæt den derefter for at anmode om servercertifikatet fra dit nøglecenter (CA).

4

Download servercertifikatet, der er signeret af din CA. Sørg for, at det er i .PEM-format.

5

Naviger til Sikkerhed > Certifikater > Tjenester > Tilføj certifikat, og overfør den private nøgle og servercertifikatet.

6

Aktiver de tjenester, du vil bruge til det certifikat, du lige har tilføjet.

Generer anmodning om certifikatsignering (CSR)

Administratorer skal generere en anmodning om certifikatsignering (CSR) fra Control Hub for en cloud-registreret Board-, Desk- eller Room Series-enhed.

Følg disse trin for at generere en CSR og uploade et signeret certifikat til din enhed:

  1. Fra kundevisningen i Control Hub skal du gå til siden Enheder og vælge din enhed på listen.
  2. Naviger til Handlinger > Kør xCommand > Sikkerhed > Certifikater > CSR > Opret.
  3. Indtast de nødvendige certifikatoplysninger, og vælg Udfør.
  4. Kopiér al teksten mellem ----BEGIN CERTIFICATE REQUEST---- og ----SLUT CERTIFICATE REQUEST----.
  5. Brug en Certificate Authority (CA) efter eget valg til at underskrive CSR.
  6. Eksporter det underskrevne certifikat i PEM-format (Base64-kodet).
  7. Åbn den underskrevne certifikatfil i en teksteditor (f.eks. Notesblok), og kopier al teksten mellem ----BEGIN CERTIFICATE---- og ----END CERTIFICATE----.
  8. I Control Hub skal du navigere til Enheder > vælg din enhed > Handlinger > Kør xCommand > Sikkerhed > Certifikater > CSR > Link.
  9. Indsæt det kopierede certifikatindhold i afsnittet Brødtekst, og vælg Udfør.
  10. Opdater siden for at kontrollere, at certifikatet vises under Eksisterende certifikat.

Simple Certificate Enrollment Protocol (SCEP)

Simple Certificate Enrollment Protocol (SCEP) leverer en automatiseret mekanisme til tilmelding og opdatering af certifikater, der f.eks. bruges til 802.1X-godkendelse på enheder. SCEP giver dig mulighed for at opretholde enhedens adgang til sikre netværk uden manuel indgriben.

  • Når enheden er ny eller er blevet nulstillet til fabriksindstillingerne, skal den have netværksadgang for at nå SCEP-URL'en. Enheden skal være tilsluttet netværket uden 802.1X for at få en IP-adresse.

  • Hvis du bruger en trådløs tilmeldingsmetode SSID, skal du gennemgå onboarding-skærmene for at konfigurere forbindelsen til netværket.

  • Når du har forbindelse til klargøringsnetværket, behøver enheden ikke at være på en bestemt onboarding-skærm.

  • For at passe til alle implementeringer, gemmer SCEP Enrollment xAPI'erne ikke det CA-certifikat, der bruges til at signere enhedscertifikatet. For servergodkendelse skal det CA-certifikat, der bruges til at validere serverens certifikat, tilføjes med xCommand Security Certificates CA Add.

Forudsætninger

Du skal bruge følgende oplysninger:

  • SCEP-serverens URL.

  • Fingeraftryk af den underskrivende CA-certifikat (Certificate Authority).

  • Oplysninger om certifikatet til tilmelding. Dette udgør Emnenavn for certifikatet.

    • Almindeligt navn

    • Landets navn

    • Stat eller provinsnavn

    • Lokalitetsnavn

    • Organisationsnavn

    • Organisationsenhed

  • Emnenavnet vil blive sorteret som /C= /ST= /L= /O= /OU= /CN=

  • SCEP-serverens udfordringsadgangskode, hvis du har konfigureret SCEP-serveren til at håndhæve en OTP eller en delt hemmelighed.

Du kan indstille den nødvendige nøglestørrelse for certifikatanmodningens nøglepar ved hjælp af følgende kommando. Standardværdi er 2048.

 xConfiguration Security Enrollment KeySize: <2048, 3072, 4096>

Vi sender en certifikatanmodning, der er gyldig i et år, indtil certifikatet udløber. Serversidepolitikken kan ændre udløbsdatoen under certifikatsignering.

Ethernet-forbindelse

Når en enhed er tilsluttet et netværk, skal du sørge for, at den kan få adgang til SCEP-serveren. Enheden skal være tilsluttet et netværk uden 802.1x for at få en IP-adresse. Enhedens MAC-adresse skal muligvis angives for klargøringsnetværket for at få en IP-adresse. MAC-adressen kan findes på brugergrænsefladen eller på etiketten bag på enheden.

Når enheden er tilsluttet netværket, kan du bruge SSH til enheden som administrator For at få adgang til TSH, skal du køre følgende kommando for at sende tilmeldings-SCEP-anmodningen: 

xCommand Sikkerhedscertifikater Tjenester Tilmelding SCEP Anmodning

Når SCEP-serveren returnerer det signerede enhedscertifikat, skal du aktivere 802.1X.

Aktivér det signerede certifikat:

xCommand Sikkerhedscertifikater Tjenester Aktiver

Genstart enheden efter aktivering af certifikatet.

Trådløs forbindelse

Når en enhed er tilsluttet et trådløst netværk, skal du sørge for, at den kan få adgang til SCEP-serveren.

Når enheden er tilsluttet netværket, kan du bruge SSH til enheden som administrator For at få adgang til TSH, skal du køre følgende kommando for at sende tilmeldings-SCEP-anmodningen: 

xCommand Sikkerhedscertifikater Tjenester Tilmelding SCEP Anmodning

Enheden modtager det signerede certifikat fra SCEP-serveren.

Aktivér det signerede certifikat: 

xCommand Sikkerhedscertifikater Tjenester Aktiver

Efter aktivering skal du konfigurere Wi-Fi-netværket med EAP-TLS-godkendelse. 

xCommand Netværk Wifi Konfiguration

Som standard springer Wi-Fi-konfigurationen servervalideringskontroller over. Hvis kun envejsgodkendelse er påkrævet, skal du beholde TilladManglerCA standardiseret til ægte.

For at gennemtvinge servervalidering skal du sørge for, at TilladManglerCA den valgfrie parameter er indstillet til falsk. Hvis der ikke kan oprettes en forbindelse på grund af tjenestevalideringsfejl, skal du kontrollere, at den korrekte CA er tilføjet for at bekræfte servercertifikatet, som kan være anderledes end enhedscertifikatet.

API beskrivelser

Rolle: Administrator, Integrator

xCommand Sikkerhedscertifikater Tjenester Tilmelding SCEP Anmodning

Sender en CSR til en given SCEP-server til signering. CSR SubjectName-parametrene vil blive konstrueret i følgende rækkefølge: C, ST, L, O, OUs, CN.

Parametre:

  • URL(r): <S: 0, 256>

    URL-adressen på SCEP-serveren.

  • Fingeraftryk(r): <S: 0, 128>

    CA-certifikatfingeraftryk, der vil underskrive SCEP-anmodningen CSR.

  • CommonName(r): <S: 0, 64>

    Tilføjer "/CN=" til emnenavnet CSR.

  • Udfordringsadgangskode: <S: 0, 256>

    OTP eller delt hemmelighed fra SCEP-serveren for adgang til underskrift.

  • Landnavn: <S: 0, 2>

    Tilføjer "/C=" til CSR Emnenavn.

  • StatEllerProvinsNavn: <S: 0, 64>

    Tilføjer "/ST=" til emnenavnet CSR.

  • Lokalitetsnavn: <S: 0, 64>

    Tilføjer "/L=" til emnenavnet CSR.

  • Organisationsnavn: <S: 0, 64>

    Tilføjer "/O=" til emnenavnet CSR.

  • Organisationsenhed[5]: <S: 0, 64>

    Tilføjer op til 5 "/OU="-parametre til emnenavnet CSR.

  • SanDns[5]: <S: 0, 64>

    Tilføjer op til 5 DNS-parametre til det alternative emnenavn CSR.

  • SanEmail[5]: <S: 0, 64>

    Tilføjer op til 5 e-mailparametre til det alternative emnenavn CSR.

  • SanIp[5]: <S: 0, 64>

    Tilføjer op til 5 IP-parametre til det alternative emnenavn CSR.

  • SanUri[5]: <S: 0, 64>

    Tilføjer op til 5 URI-parametre til det alternative emnenavn CSR.

xCommand Sikkerhedscertifikater Tjenester Tilmeldingsprofiler Slet

Sletter en tilmeldingsprofil for ikke længere at forny certifikater.

Parametre:

  • Fingeraftryk(r): <S: 0, 128>

    CA-certifikatets fingeraftryk, der identificerer den profil, du vil fjerne. Du kan se de tilgængelige profiler, der kan fjernes, ved at køre: 

    Liste over tilmeldingsprofiler for xCommand-sikkerhedscertifikater

Liste over tilmeldingsprofiler for xCommand-sikkerhedscertifikater

Viser en liste over tilmeldingsprofiler til certifikatfornyelse.

 xCommand Sikkerhedscertifikater Tjenester Tilmelding SCEP Profiler Angiv fingeraftryk(r): <S: 0, 128> URL(r): <S: 0, 256>

Tilføj en tilmeldingsprofil for certifikater udstedt af CA-fingeraftrykket for at bruge den angivne SCEP-URL til fornyelse.

Fornyelse

 xCommand Sikkerhedscertifikater Tjenester Tilmelding SCEP Profilsæt

For at certifikatet automatisk kan fornyes, skal enheden kunne få adgang til den SCEP-URL, der kan opsige certifikatet.

En gang dagligt vil enheden tjekke for certifikater, der udløber om 45 dage. Enheden vil derefter forsøge at forny disse certifikater, hvis deres udsteder matcher en profil.

BEMÆRK: Alle enhedscertifikater vil blive kontrolleret for fornyelse, selvom certifikatet ikke oprindeligt blev tilmeldt ved hjælp af SCEP.

Navigator

  1. Direkte parring: Tilmeldte certifikater kan aktiveres som "parrings"-certifikat.

  2. Fjernparret: Bed navigatoren om at tilmelde et nyt SCEP-certifikat ved hjælp af den eksterne enhed's ID:

    xCommand Peripherals Sikkerhedscertifikater Tjenester Tilmelding SCEP-anmodning 

    Tilmeldingsprofiler synkroniseres automatisk med den parrede navigator.

  3. Stand-alone Navigator: Samme som codec-tilmelding

Konfigurer 802.1x-godkendelse på Room Navigator

Du kan konfigurere 802.1x-godkendelse direkte fra Room Navigators indstillingsmenu.

802.1x-godkendelsesstandarden er særligt vigtig for Ethernet-netværk, og den sikrer, at kun autoriserede enheder får adgang til netværksressourcerne.

Der er forskellige loginmuligheder tilgængelige baseret på den EAP-metode, der er konfigureret i dit netværk. For eksempel:

  • TLS: Brugernavn og adgangskode bruges ikke.
  • PEAP: Certifikater bruges ikke.
  • TTLS: Både brugernavn/adgangskode og certifikater er påkrævet; ingen af ​​delene er valgfrie.

Der er flere måder at få klientcertifikatet på en enhed:

  1. Upload PEM'en: Brug funktionen Tilføj sikkerhedscertifikattjenester.
  2. Opret CSR: Generer en certifikatsigneringsanmodning (CSR), underskriv den, og link den ved hjælp af sikkerhedscertifikater CSR Opret/Link.
  3. SCEP: Brug sikkerhedscertifikater Tjenester Tilmelding SCEP-anmodning.
  4. DHCP Mulighed 43: Konfigurer certifikatleveringen via denne mulighed.

Opsætning og opdatering af certifikaterne til 802.1x bør udføres før parring Room Navigator til et system, eller efter fabriksnulstilling af Room Navigator.

Standardoplysningerne er admin og en blank adgangskode. For mere information om, hvordan du tilføjer certifikater ved at tilgå API, se den seneste version af API-guiden .

  1. Åbn kontrolpanelet på Navigatoren ved at trykke på knappen i øverste højre hjørne eller ved at stryge fra højre side. Tryk derefter på Enhedsindstillinger .
  2. Gå til Netværksforbindelse og vælg Ethernet .
  3. Slå Brug IEEE 802.1 x til/fra.
    • Hvis godkendelse er konfigureret med legitimationsoplysninger, skal du indtaste brugeridentitet og adgangskode. Du kan også indtaste en anonym identitet: dette er et valgfrit felt, der giver mulighed for at adskille den faktiske brugers identitet fra den oprindelige godkendelsesanmodning.
    • Du kan skifte TLS Bekræft slukket eller tændt. Når TLS verification er slået TIL, verificerer klienten aktivt ægtheden af ​​serverens certifikat under TLS handshake. Når TLS verification er slået FRA, udfører klienten ikke aktiv verificering af serverens certifikat.
    • Hvis du har uploadet et klientcertifikat ved at tilgå API, skal du slå Brug klientcertifikat på.
    • Slå den til/fra Udvidelig godkendelsesprotokol (EAP) metoder, du vil bruge. Valget af EAP-metoden afhænger af de specifikke sikkerhedskrav, infrastruktur og klientens muligheder. EAP-metoder er afgørende for at muliggøre sikker og autentificeret netværksadgang.