Du kan føje wifi-802.1X/802.1X- eller HTTPS-certifikater til individuelle enheder og forbundne periferienheder.
Du kan tilføje certifikater fra enhedens lokale webgrænseflade. Som alternativ kan du tilføje certifikater ved at køre API-kommandoer. Se, hvilke kommandoer der tillader dig at tilføje certifikater, roomos.cisco.com .
Tjenestecertifikater og betroede nøglecentre
Certifikatbekræftelse kan være påkrævet ved brug af TLS (Transport Layer Security). En server eller klient kan kræve, at enheden præsenterer et gyldigt certifikat for dem, før kommunikation er sat op.
Certifikaterne er tekstfiler, der bekræfter enhedens gyldighed. Disse certifikater skal signeres af en CA (Certificate Authority). For at bekræfte certifikaternes underskrift skal der ligge en liste over pålidelige nøglecentre på enheden. Listen skal indeholde alle CA'er, der er nødvendige for at verificere certifikater for både overvågningslogning og andre forbindelser.
Certifikater bruges til følgende tjenester: HTTPS-server, SIP, IEEE 802.1X, og overvågningslogning. Du kan gemme flere certifikater på enheden, men der er kun aktiveret ét certifikat for hver tjeneste ad gangen.
På RoomOS oktober 2023 og senere anvendes det også på en Room Navigator, når du føjer et CA-certifikat til en enhed. Hvis du vil synkronisere de tidligere tilføjede CA-certifikater til en tilsluttet rumnavigator, skal du genstarte enheden. Hvis du ikke ønsker, at eksterne enheder skal have de samme certifikater som den enhed, den er tilsluttet, skal du indstille konfigurationen Sikkerhedscertifikater for eksterne enheder SyncToPeripherals til False.
Tidligere gemte certifikater slettes ikke automatisk. Posterne i en ny fil med CA-certifikater vedhæftes til den eksisterende liste. |
For Wi-Fi-forbindelse
Vi anbefaler, at du tilføjer et pålideligt nøglecentercertifikat for hver enhed i Board-, Desk- eller Room-serien, hvis dit netværk bruger WPA-EAP-godkendelse. Du skal gøre dette individuelt for hver enhed, og før du opretter forbindelse til Wi-Fi.
For at tilføje certifikater til din Wi-Fi-forbindelse skal du bruge følgende filer:
-
CA-certifikatliste (filformat: .PEM)
-
Certifikat (filformat: .PEM)
-
Privat nøgle, enten som en separat fil eller inkluderet i samme fil som certifikatet (filformat: .PEM)
-
Adgangskodesætninger (kun påkrævet, hvis den private nøgle er krypteret)
Certifikatet og den private nøgle gemmes i den samme fil på enheden. Hvis godkendelse mislykkes, vil forbindelsen ikke blive oprettet.
Privat nøgle og adgangskodesætning anvendes ikke på tilsluttede eksterne enheder. |
Tilføj certifikater på enheder i Board-, Desk- og Room-serien
1 |
Fra kundevisningen i https://admin.webex.com skal du gå til siden Enheder og vælge din enhed på listen. Gå til Support , og start Lokal enhedskontrol. Hvis du har konfigureret en lokal administratorbruger på enheden, kan du få adgang til webgrænsefladen direkte ved at åbne en webbrowser og indtaste http(s)://. |
2 |
Naviger til |
3 |
På openssl genereres en privat nøgle og certifikatanmodning. Kopier indholdet af certifikatanmodningen. Indsæt den så for at anmode om servercertifikatet fra din nøglecenter (CA). |
4 |
Download servercertifikatet, der er underskrevet af din CA. Sørg for, at den er i . PEM-format. |
5 |
Naviger certifikat, og overfør den private nøgle og servercertifikatet. |
6 |
Aktivér de tjenester, du vil bruge til det certifikat, du lige har tilføjet. |
SCEP (Simple Certificate Enrollment Protocol)
SCEP (Simple Certificate Enrollment Protocol) giver en automatisk mekanisme til tilmelding og opdatering af certifikater, der bruges til f.eks. 802.1X-godkendelse på enheder. SCEP giver dig mulighed for at opretholde enhedens adgang til sikre netværk uden manuel indgriben.
-
Når enheden er ny eller er blevet fabriksnulstillet, skal den have netværksadgang for at få adgang til SCEP-URL-adressen. Enheden skal være tilsluttet netværket uden 802.1X for at få en IP-adresse.
-
Hvis du bruger et SSID til trådløs tilmelding, skal du gå gennem onboarding-skærmene for at konfigurere forbindelsen til netværket.
-
Når du har oprettet forbindelse til klargøringsnetværket, behøver enheden ikke at være på en bestemt onboardingskærm på nuværende tidspunkt.
-
For at passe til alle installationer gemmer xAPI'erne til SCEP-tilmelding ikke det CA-certifikat, der bruges til at underskrive enhedscertifikatet. For servergodkendelse skal det CA-certifikat, der bruges til at validere serverens certifikat, tilføjes med xCommand-sikkerhedscertifikater CA Add.
Forudsætninger
Du skal bruge følgende oplysninger:
-
URL-adresse til SCEP-serveren.
-
Fingeraftryk af det underskrevne CA-certifikat (Certificate Authority).
-
Oplysninger om det certifikat, der skal tilmeldes. Dette udgør certifikatets Emnenavn .
-
Fælles navn
-
Landenavn
-
Organisationens navn
-
-
SCEP-serverens udfordringsadgangskode, hvis du har konfigureret SCEP-serveren til at gennemtvinge en OTP eller delt hemmelighed.
Vi sender en certifikatanmodning, der er gyldig i et år for certifikatets udløb. Politikken på serversiden kan ændre udløbsdatoen under certifikatsignering.
Ethernet-forbindelse
Når en enhed er tilsluttet et netværk, skal du sørge for, at den kan få adgang til SCEP-serveren. Enheden skal være tilsluttet et netværk uden 802.1x for at få en IP-adresse. Enhedens MAC-adresse skal muligvis angives til klargøringsnetværket for at få en IP-adresse. MAC-adressen kan findes på brugergrænsefladen eller på etiketten bag på enheden.
xCommand-sikkerhedscertifikater tjenestetilmelding SCEP-anmodning
Når SCEP-serveren returnerer det signerede enhedscertifikat, skal du aktivere 802.1X og derefter genstarte enheden.
Aktivér xCommand-sikkerhedsservicer
Genstart enheden efter aktivering af certifikatet.
Trådløs forbindelse
Når en enhed er tilsluttet et trådløst netværk, skal du sørge for, at den kan få adgang til SCEP-serveren.
xCommand-sikkerhedscertifikater tjenestetilmelding SCEP-anmodning
Enheden modtager det signerede certifikat fra SCEP-serveren.
Aktivér det signerede certifikat:
Aktivér xCommand-sikkerhedsservicer
xCommand-netværkskonfiguration Wi-Fi
Som standard springer Wi-Fi-konfigurationen over servervalideringskontrollen. Hvis der kun kræves envejsgodkendelse, skal du beholde AllowMissingCA som standard til True.
For at gennemtvinge servervalidering skal du sikre, at den valgfri parameter AllowMissingCA er indstillet til False. Hvis der ikke kan oprettes en forbindelse på grund af fejl i tjenestevalidering, skal du kontrollere, at det korrekte CA er blevet tilføjet for at bekræfte servercertifikatet, som kan være anderledes end enhedscertifikatet.
API-beskrivelser
Rolle: Administrator, integrator
xCommand-sikkerhedscertifikater tjenestetilmelding SCEP-anmodning
Anmoder om og downloader et signeret enhedscertifikat
Parametre:
-
URL-adresse(r): <S: 0, 128>
SCEP-servers URL-adresse, der bruges til at registrere et certifikat.
-
Fingeraftryk (r): <S: 0, 128>
Det udstedende nøglecenterets fingeraftryk, der vil underskrive X509-anmodningen.
-
ChallengePassword: <S: 0, 128>
Delt hemmelig adgangskode indstillet af SCEP-serveren.
-
Fælles(r) navn(r): <S: 0, 128>
-
Landenavn: <S: 0, 128>
-
OrganisationensNavn: <S: 0, 128>
-
SanDns[5]: <S: 0, 128>
-
SanEmail[5]: <S: 0, 128>
-
SanIp[5]: <S: 0, 128>
-
SanUri[5]: <S: 0, 128>
xCommand-sikkerhedscertifikater tjenestetilmelding SCEP-fornyelsesanmodning
Opret eller opdater en automatisk opdateringsprofil, der anvendes på alle certifikater, der er udstedt af den pågældende CA, før certifikaterne udløber
Parametre:
-
Fingeraftryk (r): <S: 0, 128>
Det udstedende nøglecenters fingeraftryk, der underskrev certifikaterne.
-
URL-adresse(r): <S: 0, 128>
SCEP-servers URL-adresse, der bruges til at forny certifikaterne.
Slet xCommand-sikkerhedscertifikater tjenestetilmelding SCEP-fornyelse
Fjern den godkendte profil for det givne CA. Dette forhindrer de certifikater, der er signeret af dette nøglecenter, i at godkende automatisk
Parametre:
-
Fingeraftryk (r): <S: 0, 128>
Det udstedende nøglecenters fingeraftryk, der skal fjernes.
xCommand-sikkerhedscertifikater tjenestetilmelding SCEP-fornyelsesliste
Vis alle aktuelt anvendte autorenew-profiler.