Sie können Zertifikate über die lokale Weboberfläche des Geräts konfigurieren. Alternativ können Sie Zertifikate hinzufügen, indem Sie API Befehle ausführen. Informationen dazu, mit welchen Befehlen Sie Zertifikate hinzufügen können, finden Sie unter roomos.cisco.com .

Dienstzertifikate und vertrauenswürdige Zertifizierungsstellen

Eine Überprüfung des Serverzertifikats kann erforderlich sein, wenn Sie TLS (Transport Layer Security) verwenden. Ein Server oder Client kann erfordern, dass das Gerät ein gültiges Zertifikat vorweist, bevor die Kommunikation eingerichtet wird.

Die Zertifikate sind Textdateien, die die Authentizität des Geräts verifizieren. Diese Zertifikate müssen von einer vertrauenswürdigen Zertifizierungsstelle (CA) signiert sein. Um die Signatur der Zertifikate zu überprüfen, muss sich eine Liste vertrauenswürdiger Zertifizierungsstellen auf dem Gerät befinden. Die Liste muss alle CAs enthalten, um die Zertifikate sowohl für die Auditprotokollierung als auch für andere Verbindungen zu verifizieren.

Zertifikate werden für die folgenden Dienste verwendet: HTTPS-Server, SIP, IEEE 802.1X und Auditprotokollierung. Sie können mehrere Zertifikate auf dem Gerät speichern, aber nur ein Zertifikat wird zu einem bestimmten Zeitpunkt für jeden Dienst aktiviert.

Wenn Sie unter RoomOS Oktober 2023 und höher einem Gerät ein CA-Zertifikat hinzufügen, wird es auch auf einen Room Navigator angewendet, falls einer verbunden ist. Um die zuvor hinzugefügten CA-Zertifikate mit einem angeschlossenen Room Navigator zu synchronisieren, müssen Sie das Gerät neu starten. Wenn Sie nicht möchten, dass die Peripheriegeräte die gleichen Zertifikate wie das Gerät erhalten, mit dem sie verbunden sind, legen Sie die Konfiguration Peripherie-Sicherheitszertifikate SyncToPeripherals auf False fest.


Zuvor gespeicherte Zertifikate werden nicht automatisch gelöscht. Die Einträge in einer neuen Datei mit CA-Zertifikaten werden an die vorhandene Liste angehängt.

Für Wi-Fi Verbindung

Wir empfehlen Ihnen, für jedes Board-, Desk- oder Room Series-Gerät ein vertrauenswürdiges CA-Zertifikat hinzuzufügen, wenn Ihr Netzwerk die WPA-EAP-Authentifizierung verwendet. Sie müssen dies einzeln für jedes Gerät erledigen und bevor Sie eine Verbindung mit Wi-Fi herstellen.

Um Zertifikate für die Wi-Fi-Verbindung hinzuzufügen, benötigen Sie die folgenden Dateien:

  • CA-Zertifikatliste (Dateiformat: .PEM)

  • Zertifikat (Dateiformat: .PEM)

  • Privater Schlüssel, entweder als eine separate Datei oder in der gleichen Datei wie das Zertifikat enthalten (Dateiformat: .PEM)

  • Passphrase (nur erforderlich, wenn der private Schlüssel verschlüsselt ist)

Das Zertifikat und der private Schlüssel werden in der gleichen Datei auf dem Gerät gespeichert. Wenn die Authentifizierung fehlschlägt, wird die Verbindung nicht hergestellt.


Privater Schlüssel und Passphrase werden nicht auf angeschlossene Peripheriegeräte angewendet.

Hinzufügen von Zertifikaten auf Board-, Desk- und Room Series-Geräten

1

Wechseln Sie in der Kundenansicht in https://admin.webex.com zur Seite Geräte und wählen Sie Ihr Gerät in der Liste aus. Gehen Sie zu Support und starten Sie die lokale Gerätesteuerung .

Nach der Einrichtung eines Benutzers als Administrator für das Gerät können Sie durch das Öffnen eines Webbrowsers und durch Eingabe von http(s)://<Endpunkt-IP oder Hostname> direkt auf die Weboberfläche zugreifen.

2

Navigieren Sie zu Sicherheit > Zertifikate > Benutzerdefiniert > Zertifikat hinzufügen und laden Sie Ihr(e) CA-Stammzertifikat(e) hoch.

3

Generieren Sie auf openssl einen privaten Schlüssel und eine Zertifikatanforderung. Kopieren Sie den Inhalt der Zertifikatanforderung. Fügen Sie ihn dann ein, um das Serverzertifikat von Ihrer Zertifizierungsstelle (CA) anzufordern.

4

Laden Sie das von Ihrer Zertifizierungsstelle signierte Serverzertifikat herunter. Stellen Sie sicher, dass es sich in . PEM-Format.

5

Navigieren Sie zu Sicherheit > Zertifikate > Dienste > Zertifikat hinzufügen und laden Sie den privaten Schlüssel und das Serverzertifikat hoch.

6

Aktivieren Sie die Dienste, die Sie für das soeben hinzugefügte Zertifikat verwenden möchten.

SCEP (Simple Certificate Enrollment Protocol)

SCEP (Simple Certificate Enrollment Protocol) bietet einen automatisierten Mechanismus für die Registrierung und Aktualisierung von Zertifikaten, die beispielsweise für die 802.1X-Authentifizierung auf Geräten verwendet werden. SCEP ermöglicht es Ihnen, den Zugriff des Geräts auf sichere Netzwerke ohne manuelle Eingriffe aufrechtzuerhalten.

  • Wenn das Gerät neu ist oder auf die Werkseinstellungen zurückgesetzt wurde, benötigt es Netzwerkzugriff, um die SCEP-URL zu erreichen. Das Gerät muss an das Netzwerk ohne 802.1X angeschlossen werden, um eine IP Adresse zu erhalten.

  • Wenn Sie ein SSID für die drahtlose Registrierung verwenden, müssen Sie die Onboarding-Bildschirme durchlaufen, um die Verbindung mit dem Netzwerk zu konfigurieren.

  • Sobald Sie mit dem Bereitstellungsnetzwerk verbunden sind, muss sich das Gerät zu diesem Zeitpunkt nicht auf einem bestimmten Onboarding-Bildschirm befinden.

  • Um für alle Bereitstellungen geeignet zu sein, speichern die SCEP-Registrierungs-xAPIs nicht das CA-Zertifikat, das zum Signieren des Gerätezertifikats verwendet wird. Für die Serverauthentifizierung muss das CA-Zertifikat, das zur Validierung des Zertifikats des Servers verwendet wird, mit xCommand Security Certificates CA Add hinzugefügt werden.

Voraussetzungen

Sie benötigen die folgenden Informationen:

  • Die URL des SCEP-Servers.

  • Fingerabdruck des Zertifikats der signierenden Zertifizierungsstelle (Certificate Authority).

  • Informationen über das zu registrierende Zertifikat. Daraus ergibt sich der Antragstellername des Zertifikats.

    • Trivialname

    • Ländername

    • Organisationsname

  • Das Challenge-Passwort des SCEP-Servers, wenn Sie den SCEP-Server so konfiguriert haben, dass ein OTP oder Shared Secret erzwungen wird.

Wir senden eine Zertifikatsanforderung, die ein Jahr lang gültig ist, um das Zertifikat abzulaufen. Die serverseitige Richtlinie kann das Ablaufdatum während der Zertifikatssignatur ändern.

Ethernet-Verbindung

Wenn ein Gerät mit einem Netzwerk verbunden ist, stellen Sie sicher, dass es auf den SCEP-Server zugreifen kann. Das Gerät muss an ein Netzwerk ohne 802,1x angeschlossen werden, um eine IP Adresse zu erhalten. Die MAC Adresse des Geräts muss möglicherweise dem Bereitstellungsnetzwerk mitgeteilt werden, um eine IP Adresse abzurufen. Die MAC Adresse finden Sie auf der Benutzeroberfläche oder auf dem Etikett auf der Rückseite des Geräts.

Nachdem das Gerät mit dem Netzwerk verbunden wurde, können Sie als Administrator eine SSH-Verbindung mit dem Gerät herstellen, um auf TSH zuzugreifen, und dann den folgenden Befehl ausführen, um die Registrierungs-SCEP-Anforderung zu senden: 
xCommand-Sicherheitszertifikate Services Registrierung SCEP-Anforderung

Sobald der SCEP-Server das signierte Gerätezertifikat zurückgegeben hat, aktivieren Sie 802.1X und starten Sie das Gerät neu.

Aktivieren Sie das signierte Zertifikat:
xCommand-Sicherheitszertifikate Services aktivieren

Starten Sie das Gerät nach der Aktivierung des Zertifikats neu.

Drahtlose Verbindung

Wenn ein Gerät mit einem Drahtlosnetzwerk verbunden ist, stellen Sie sicher, dass es auf den SCEP-Server zugreifen kann.

Nachdem das Gerät mit dem Netzwerk verbunden wurde, können Sie als Administrator eine SSH-Verbindung mit dem Gerät herstellen, um auf TSH zuzugreifen, und dann den folgenden Befehl ausführen, um die Registrierungs-SCEP-Anforderung zu senden: 
xCommand-Sicherheitszertifikate Services Registrierung SCEP-Anforderung

Das Gerät empfängt das signierte Zertifikat vom SCEP-Server.

Aktivieren Sie das signierte Zertifikat: 

xCommand-Sicherheitszertifikate Services aktivieren
Nach der Aktivierung müssen Sie das Wi-Fi Netzwerk mit EAP-TLS Authentifizierung konfigurieren. 
xCommand Netzwerk-WLAN-Konfiguration

Standardmäßig überspringt die Wi-Fi-Konfiguration die Servervalidierungsprüfungen. Wenn nur eine unidirektionale Authentifizierung erforderlich ist, behalten Sie die Standardeinstellung von AllowMissingCA auf True bei.

Um die Serverüberprüfung zu erzwingen, stellen Sie sicher, dass der optionale Parameter AllowMissingCA auf False festgelegt ist. Wenn aufgrund von Fehlern bei der Dienstüberprüfung keine Verbindung hergestellt werden kann, überprüfen Sie, ob die richtige Zertifizierungsstelle hinzugefügt wurde, um das Serverzertifikat zu überprüfen, das sich möglicherweise vom Gerätezertifikat unterscheidet.

API Beschreibungen

Rolle: Admin, Integrator

xCommand-Sicherheitszertifikate Services Registrierung SCEP-Anforderung

Signiertes Gerätezertifikat anfordern und herunterladen

Parameter:

  • URL(r): <S: 0, 128>

    SCEP-Server-URL, die zum Registrieren eines Zertifikats verwendet wird.

  • Fingerabdruck (r): <S: 0, 128>

    Der Fingerabdruck der ausstellenden Zertifizierungsstelle, mit dem die X509-Anforderung signiert wird.

  • ChallengePassword: <S: 0, 128>

    Shared Secret-Kennwort, das vom SCEP-Server festgelegt wird.

  • CommonName(r): <S: 0, 128>

  • Name des Landes: <S: 0, 128>

  • Name der Organisation: <S: 0, 128>

  • SanDns[5]: <S: 0, 128>

  • SanEmail[5]: <S: 0, 128>

  • SanIp[5]: <S: 0, 128>

  • SanUri[5]: <S: 0, 128>

xCommand Security Certificates Services Enrollment SCEP Renewal Request (SCEP-Verlängerungsantrag) für die xCommand-Sicherheitszertifikate

Erstellen oder Aktualisieren eines Profils für die automatische Verlängerung, das auf alle von der angegebenen Zertifizierungsstelle ausgestellten Zertifikate angewendet wird, bevor die Zertifikate ablaufen

Parameter:

  • Fingerabdruck(r): <S: 0, 128>

    Der Fingerabdruck der ausstellenden Zertifizierungsstelle, mit der die Zertifikate signiert wurden.

  • URL(r): <S: 0, 128>

    SCEP-Server-URL, die zum Erneuern der Zertifikate verwendet wird. 

xCommand-Sicherheitszertifikate Services Registrierung SCEP-Erneuerung Löschen

Entfernen Sie das automatisch erneuerte Profil für die angegebene Zertifizierungsstelle. Dadurch wird verhindert, dass die von dieser Zertifizierungsstelle signierten Zertifikate automatisch erneuert werden

Parameter:

  • Fingerabdruck(r): <S: 0, 128>

    Der Fingerabdruck der ausstellenden Zertifizierungsstelle, der entfernt werden soll.

xCommand-Sicherheitszertifikate Services Registrierung SCEP-Erneuerungsliste

Listet alle derzeit verwendeten Profile für die automatische Verlängerung auf.