Sie können Zertifikate über die lokale Weboberfläche des Geräts hinzufügen. Alternativ können Sie Zertifikate hinzufügen, indem Sie API-Befehle ausführen. Weitere Informationen zum Hinzufügen von Zertifikaten finden Sie unter roomos.cisco.com .

Dienstzertifikate und vertrauenswürdige CAs

Bei Verwendung von TLS (Transport Layer Security) ist möglicherweise eine Zertifikatvalidierung erforderlich. Ein Server oder Client kann verlangen, dass das Gerät ein gültiges Zertifikat für sie vor dem Einrichten der Kommunikation vor sich hat.

Bei den Zertifikaten handelt es sich um Textdateien, die die Echtheit des Geräts bestätigen. Diese Zertifikate müssen von einer vertrauenswürdigen Zertifizierungsstelle (CA) signiert werden. Um die Signatur der Zertifikate zu überprüfen, muss sich eine Liste der vertrauenswürdigen CAs auf dem Gerät befinden. Die Liste muss alle CAs enthalten, die zur Überprüfung der Zertifikate sowohl für die Audit-Protokollierung als auch für andere Verbindungen benötigt werden.

Zertifikate werden für die folgenden Dienste verwendet: HTTPS-Server, SIP, IEEE 802.1X und Audit-Logging. Sie können mehrere Zertifikate auf dem Gerät speichern, es ist jedoch jeweils nur ein Zertifikat für jeden Dienst aktiviert.

Wenn Sie in RoomOS Oktober 2023 und höher einem Gerät ein CA-Zertifikat hinzufügen, wird es auch auf einen Room Navigator angewendet, wenn eines verbunden ist. Um die zuvor hinzugefügten CA-Zertifikate mit einem verbundenen Room Navigator zu synchronisieren, müssen Sie das Gerät neu starten. Wenn Sie nicht möchten, dass die Peripheriegeräte dieselben Zertifikate erhalten wie das Gerät, mit dem sie verbunden sind, legen Sie die Konfiguration Peripherals Security Certificates SyncToPeripherals auf False fest.


Zuvor gespeicherte Zertifikate werden nicht automatisch gelöscht. Die Einträge in einer neuen Datei mit CA-Zertifikaten werden an die vorhandene Liste angehängt.

Für Wi-Fi-Verbindung

Wir empfehlen Ihnen, für jedes Gerät der Board-, Desk- oder Room-Serie ein vertrauenswürdiges CA-Zertifikat hinzuzufügen, wenn Ihr Netzwerk die WPA-EAP-Authentifizierung verwendet. Sie müssen dies einzeln für jedes Gerät tun, bevor Sie eine Verbindung mit WLAN.

Um Zertifikate für Ihre Verbindung WLAN hinzuzufügen, benötigen Sie die folgenden Dateien:

  • CA-Zertifikatsliste (Dateiformat: .PEM)

  • Zertifikat (Dateiformat: .PEM)

  • Privater Schlüssel, entweder als separate Datei oder in derselben Datei wie das Zertifikat enthalten (Dateiformat: .PEM)

  • Passphrase (nur erforderlich, wenn der private Schlüssel verschlüsselt ist)

Das Zertifikat und der private Schlüssel werden in derselben Datei auf dem Gerät gespeichert. Falls die Authentifizierung fehlschlägt, wird keine Verbindung hergestellt.


Privater Schlüssel und Passphrase werden nicht auf verbundene Peripheriegeräte angewendet.

Zertifikate auf Geräten der Board-, Desk- und Room-Serie hinzufügen

1

Wechseln Sie aus der Kundenansicht in https://admin.webex.com zur Seite Geräte und wählen Sie Ihr Gerät in der Liste aus. Gehen Sie zu Support , und starten Sie die Lokale Gerätesteuerung.

Wenn Sie einen lokalen Admin -Benutzer auf dem Gerät eingerichtet haben, können Sie direkt auf die Weboberfläche zugreifen, indem Sie einen Webbrowser öffnen und http(s):// eingeben.

2

Navigieren Sie zu > Sicherheitszertifikate > Benutzerdefinierten > zum Hinzufügen eines Zertifikats und laden Sie Ihre CA-Zertifikate Stammzertifikat hoch.

3

Generieren Sie in openssl einen privaten Schlüssel und eine Zertifikatsanforderung. Kopieren Sie den Inhalt der Zertifikatsanforderung. Fügen Sie es dann ein, um das Serverzertifikat von Ihrer Zertifizierungsstelle (CA) an fordern.

4

Laden Sie das von Ihrer ZERTIFIZIERUNGsstelle signierte Serverzertifikat herunter. Stellen Sie sicher, dass er in ist. PEM-Format.

5

Navigieren Sie zu Sicherheit > Zertifikate > Dienste > Sie Zertifikat hinzufügen und laden Sie den privaten Schlüssel und das Serverzertifikat hoch.

6

Aktivieren Sie die Dienste, die Sie für das soeben hinzugefügte Zertifikat verwenden möchten.

Simple Certificate Enrollment Protocol (SCEP)

SCEP (Simple Certificate Enrollment Protocol) bietet einen automatisierten Mechanismus für die Registrierung und das Aktualisieren von Zertifikaten, die beispielsweise für die 802.1X-Authentifizierung auf Geräten verwendet werden. SCEP ermöglicht Ihnen, den Zugriff des Geräts auf sichere Netzwerke ohne manuellen Eingriff aufrechtzuerhalten.

  • Wenn das Gerät neu ist oder auf die Werkseinstellungen zurückgesetzt wurde, benötigt es Netzwerkzugriff, um die SCEP-URL zu erreichen. Das Gerät sollte ohne 802.1X mit dem Netzwerk verbunden sein, um eine IP-Adresse abzurufen.

  • Wenn Sie eine drahtlose Registrierungs-SSID verwenden, müssen Sie die Onboarding-Bildschirme durchgehen, um die Verbindung mit dem Netzwerk zu konfigurieren.

  • Nachdem Sie mit dem Bereitstellungsnetzwerk verbunden sind, muss sich das Gerät derzeit nicht auf einem bestimmten Onboarding-Bildschirm befinden.

  • Um allen Bereitstellungen gerecht zu werden, wird in den SCEP-Einschreibungs-xAPIs nicht das CA-Zertifikat gespeichert, das zum Signieren des Gerätezertifikats verwendet wird. Für die Serverauthentifizierung muss das CA-Zertifikat, das zur Validierung des Serverzertifikats verwendet wird, mit xCommand Security Certificates CA Add hinzugefügt werden.

Voraussetzungen

Sie benötigen die folgenden Informationen:

  • URL des SCEP-Servers.

  • Fingerabdruck des signierenden CA-(Certificate Authority-)Zertifikats.

  • Informationen zum zu registrierenden Zertifikat. Dies bildet den Betreffnamen des Zertifikats.

    • Allgemeiner Name

    • Ländername

    • Name der Organisation

  • Anforderungskennwort des SCEP-Servers, wenn Sie den SCEP-Server so konfiguriert haben, dass ein OTP oder Shared Secret erzwungen wird.

Wir senden eine Zertifikatsanforderung, die für ein Jahr gültig ist, um das Zertifikat ablaufen zu lassen. Die serverseitige Richtlinie kann das Ablaufdatum während der Zertifikatssignatur ändern.

Ethernet-Verbindung

Wenn ein Gerät mit einem Netzwerk verbunden ist, stellen Sie sicher, dass es auf den SCEP-Server zugreifen kann. Das Gerät sollte mit einem Netzwerk ohne 802.1x verbunden sein, um eine IP-Adresse abzurufen. Die MAC-Adresse des Geräts muss möglicherweise dem Bereitstellungsnetzwerk bereitgestellt werden, um eine IP-Adresse zu erhalten. Die MAC-Adresse befindet sich auf der Benutzeroberfläche oder auf dem Label an der Rückseite des Geräts.

Nachdem das Gerät mit dem Netzwerk verbunden wurde, können Sie SSH als Admin an das Gerät senden, um auf TSH zuzugreifen. Führen Sie dann den folgenden Befehl aus, um die Registrierungs-SCEP-Anfrage zu senden: 
xCommand Sicherheitszertifikate Dienste Registrierung SCEP-Anforderung

Nachdem der SCEP-Server das signierte Gerätezertifikat zurückgibt, aktivieren Sie 802.1X und starten Sie das Gerät neu.

Signiertes Zertifikat aktivieren:
xCommand-Sicherheitszertifikatsdienste aktivieren

Starten Sie das Gerät nach der Aktivierung des Zertifikats neu.

Drahtlose Verbindung

Wenn ein Gerät mit einem drahtlosen Netzwerk verbunden ist, stellen Sie sicher, dass es auf den SCEP-Server zugreifen kann.

Nachdem das Gerät mit dem Netzwerk verbunden wurde, können Sie SSH als Admin an das Gerät senden, um auf TSH zuzugreifen. Führen Sie dann den folgenden Befehl aus, um die Registrierungs-SCEP-Anfrage zu senden: 
xCommand Sicherheitszertifikate Dienste Registrierung SCEP-Anforderung

Das Gerät empfängt das signierte Zertifikat vom SCEP-Server.

Signiertes Zertifikat aktivieren: 

xCommand-Sicherheitszertifikatsdienste aktivieren
Nach dem Aktivieren müssen Sie das Wi-Fi-Netzwerk mit EAP-TLS-Authentifizierung konfigurieren. 
xCommand Netzwerk-WLAN konfigurieren

Standardmäßig überspringt die Wi-Fi-Konfiguration die Servervalidierungsüberprüfungen. Wenn nur eine unidirektionale Authentifizierung erforderlich ist, lassen Sie AllowMissingCA standardmäßig auf True gesetzt.

Um die Servervalidierung zu erzwingen, stellen Sie sicher, dass der optionale Parameter AllowMissingCA auf False gesetzt ist. Wenn aufgrund von Dienstvalidierungsfehlern keine Verbindung hergestellt werden kann, überprüfen Sie, ob die richtige CA hinzugefügt wurde, um das Serverzertifikat zu überprüfen, das sich möglicherweise vom Gerätezertifikat unterscheidet.

API-Beschreibungen

Rolle: Admin, Integrator

xCommand Sicherheitszertifikate Dienste Registrierung SCEP-Anforderung

Fordert ein signiertes Gerätezertifikat an und lädt es herunter

Parameter:

  • URL(r): <S: 0, 128>

    Die SCEP-Server-URL, die zur Registrierung eines Zertifikats verwendet wird.

  • Fingerabdruck (r): <S: 0, 128>

    Der Fingerabdruck der Ausstellenden CA, der die X509-Anforderung signiert.

  • ChallengePassword: <S: 0, 128>

    Vom SCEP-Server festgelegtes Shared-Secret-Kennwort.

  • Allgemeiner(r) Name(r): <S: 0, 128>

  • Ländername: <S: 0, 128>

  • Name der Organisation: <S: 0, 128>

  • SanDns[5]: <S: 0, 128>

  • SanEmail[5]: <S: 0, 128>

  • SanIp[5]: <S: 0, 128>

  • SanUri[5]: <S: 0, 128>

xCommand Sicherheitszertifikate Dienste Registrierung SCEP-Verlängerungsanfrage

Erstellen oder aktualisieren Sie ein automatisches Profil, das auf alle Zertifikate angewendet wird, die von der angegebenen Zertifizierungsstelle vor Ablauf der Zertifikate ausgestellt wurden.

Parameter:

  • Fingerabdruck (r): <S: 0, 128>

    Der Fingerabdruck der ausstellenden Zertifizierungsstelle, der die Zertifikate signiert hat.

  • URL(r): <S: 0, 128>

    SCEP-Server-URL, die zur Erneuerung der Zertifikate verwendet wird. 

xCommand Sicherheitszertifikate Dienste Registrierung SCEP-Verlängerung Löschen

Entfernen Sie das automatisch erstellte Profil für die angegebene CA. Dadurch wird das automatische Senden der von dieser CA signierten Zertifikate verhindert.

Parameter:

  • Fingerabdruck (r): <S: 0, 128>

    Der Fingerabdruck der ausstellenden CA, der entfernt werden soll.

xCommand Sicherheitszertifikate Dienste Registrierung SCEP-Verlängerungsliste

Liste alle aktuell verwendeten Autorenprofile auf.