Puede agregar certificados desde la interfaz web local del dispositivo. Como alternativa, puede agregar certificados ejecutando comandos API. Para ver qué comandos le permiten agregar certificados, consulte roomos.cisco.com .

Certificados de servicio y CA de confianza

Es posible que se necesite validar el certificado cuando se utiliza TLS (Seguridad de la capa de transporte). Es posible que un servidor o un cliente requiera que el dispositivo le presente un certificado válido antes de configurar la comunicación.

Los certificados son archivos de texto que verifican la autenticidad del dispositivo. Estos certificados deben estar firmados por una autoridad de certificación (CA) de confianza. Para comprobar la firma de los certificados, debe residir en el dispositivo una lista de CA de confianza. La lista debe incluir todas las CA necesarias para verificar los certificados para el registro de auditoría y otras conexiones.

Los certificados se utilizan para los siguientes servicios: servidor HTTPS, SIP, IEEE 802.1X y registro de auditoría. Puede almacenar varios certificados en el dispositivo, pero solo se permite un certificado para cada servicio por vez.

En RoomOS de octubre de 2023 y versiones posteriores, cuando agrega un certificado de CA a un dispositivo, también se aplica a un navegador de sala si hay uno conectado. Para sincronizar los certificados de CA agregados anteriormente con un Room Navigator conectado, debe reiniciar el dispositivo. Si no desea que los periféricos obtengan los mismos certificados que el dispositivo al que están conectados, establezca la configuración Certificados de seguridad de periféricos SyncToPeripherals en False.


Los certificados que se almacenaron con anterioridad no se eliminan automáticamente. Las entradas de un archivo nuevo con certificados CA se anexan a la lista existente.

Para Wi-Fi conexión

Se recomienda agregar un certificado de CA de confianza para cada dispositivo de la serie de juntas, escritorios o salas, si la red utiliza la autenticación WPA-EAP. Debe hacer esto de forma individual para cada dispositivo y antes de conectarse a Wi-Fi.

Para agregar certificados a su conexión Wi-Fi, necesita los siguientes archivos:

  • Lista de certificados CA (formato de archivo: .PEM)

  • Certificado (formato de archivo: .PEM)

  • Clave privada, ya sea como un archivo independiente o incluida en el mismo archivo que el certificado (formato de archivo: .PEM)

  • Frase de contraseña (solo es necesaria si la clave privada está cifrada)

El certificado y la clave privada se almacenan en el mismo archivo en el dispositivo. Si falla la autenticación, no se establecerá la conexión.


La clave privada y la frase de contraseña no se aplican a los periféricos conectados.

Agregar certificados en dispositivos de las series Board, Desk y Room

1

Desde la vista del cliente en https://admin.webex.com , vaya a la página Dispositivos y seleccione su dispositivo en la lista. Vaya a Soporte e inicie Controles de dispositivo local.

Si configuró un usuario Administrador local en el dispositivo, puede acceder a la interfaz web directamente si abre un navegador web y escribe http(s)://<endpoint ip or hostname>.

2

Diríjase a Security > Certificates > Custom > Add Cerfificate (Seguridad > Certificados > Personalizados > Agregar certificado) y cargue los certificados raíz de la CA.

3

En OpenSSL, genere una clave privada y una solicitud de certificado. Copie el contenido de la solicitud de certificado. A continuación, péguelo para solicitar el certificado del servidor de su autoridad de certificación (CA).

4

Descargue el certificado de servidor firmado por la CA. Asegúrese de que está en . Formato PEM.

5

Diríjase a Security > Certificates > Services > Add Certificate (Seguridad > Certificados > Servicios > Agregar certificado) y cargue la clave privada y el certificado del servidor.

6

Habilite los servicios que desea usar para el certificado que acaba de agregar.

Protocolo simple de inscripción de certificados (SCEP)

El Protocolo simple de inscripción de certificados (SCEP) proporciona un mecanismo automatizado para inscribir y actualizar certificados que se usan, por ejemplo, para la autenticación 802.1X en dispositivos. SCEP le permite mantener el acceso del dispositivo a redes seguras sin intervención manual.

  • Cuando el dispositivo es nuevo o se ha restablecido a los valores de fábrica, necesita acceso a la red para llegar a la URL de SCEP. El dispositivo debe estar conectado a la red sin 802.1X para obtener una dirección IP.

  • Si utiliza una SSID de inscripción inalámbrica, debe pasar por las pantallas de incorporación para configurar la conexión con la red.

  • Una vez que esté conectado a la red de aprovisionamiento, el dispositivo no necesita estar en una pantalla de incorporación en particular en esta etapa.

  • Para adaptarse a todas las implementaciones, las xAPI de inscripción de SCEP no almacenarán el certificado de CA que se usa para firmar el certificado del dispositivo. Para la autenticación del servidor, el certificado de CA que se utiliza para validar el certificado del servidor debe agregarse con xCommand Security Certificates CA Add.

Requisitos previos

Necesita la siguiente información:

  • URL del servidor SCEP.

  • Huella digital del certificado de CA (Certificate Authority) firmante.

  • Información del certificado a inscribir. Esto constituye el nombre de sujeto del certificado.

    • Nombre común

    • Nombre del país

    • Nombre de la organización

  • Contraseña de desafío del servidor SCEP si ha configurado el servidor SCEP para exigir una OTP o un secreto compartido.

Enviamos una solicitud de certificado que es válida por un año para la expiración del certificado. La directiva del lado del servidor puede cambiar la fecha de caducidad durante la firma del certificado.

Conexión Ethernet

Cuando un dispositivo está conectado a una red, asegúrese de que pueda acceder al servidor SCEP. El dispositivo debe estar conectado a una red sin 802.1x para obtener una dirección IP. Es posible que sea necesario proporcionar la dirección de MAC del dispositivo a la red de aprovisionamiento para obtener una dirección IP. La dirección MAC se puede encontrar en la interfaz de usuario o en la etiqueta en la parte posterior del dispositivo.

Una vez que el dispositivo está conectado a la red, puede SSH en el dispositivo como administrador para acceder a TSH y, a continuación, ejecutar el siguiente comando para enviar la solicitud SCEP de inscripción: 
xCommand Security Certificates Services Enrollment SCEP Request

Una vez que el servidor SCEP devuelve el certificado del dispositivo firmado, active el 802.1X y, a continuación, reinicie el dispositivo.

Active el certificado firmado:
xCommand Security Certificates Services Activate

Reinicie el dispositivo después de activar el certificado.

Conexión inalámbrica

Cuando un dispositivo está conectado a una red inalámbrica, asegúrese de que pueda acceder al servidor SCEP.

Una vez que el dispositivo está conectado a la red, puede SSH en el dispositivo como administrador para acceder a TSH y, a continuación, ejecutar el siguiente comando para enviar la solicitud SCEP de inscripción: 
xCommand Security Certificates Services Enrollment SCEP Request

El dispositivo recibe el certificado firmado del servidor SCEP.

Active el certificado firmado: 

xCommand Security Certificates Services Activate
Después de la activación, debe configurar la red Wi-Fi con autenticación EAP-TLS. 
xCommand Network Wifi Configurar

De forma predeterminada, la configuración de Wi-Fi omite las comprobaciones de validación del servidor. Si solo se requiere autenticación unidireccional, mantenga AllowMissingCA predeterminado en True.

Para forzar la validación del servidor, asegúrese de que el parámetro opcional AllowMissingCA esté establecido en False. Si no se puede establecer una conexión debido a errores de validación del servicio, compruebe que se ha agregado la CA correcta para verificar el certificado del servidor, que puede ser diferente del certificado del dispositivo.

API descripciones

Rol: Administrador, Integrador

xCommand Security Certificates Services Enrollment SCEP Request

Solicita y descarga un certificado de dispositivo firmado

Parámetros:

  • URL(r): <S: 0, 128>

    URL del servidor SCEP utilizado para inscribir un certificado.

  • Huella digital (r): <S: 0, 128>

    La huella digital de la CA emisora que firmará la solicitud X509.

  • DesafíoContraseña: <S: 0, 128>

    Contraseña secreta compartida establecida por el servidor SCEP.

  • CommonName(r): <S: 0, 128>

  • Nombre del país: <S: 0, 128>

  • Nombre de la organización: <S: 0, 128>

  • SanDns[5]: <S: 0, 128>

  • SanEmail[5]: <S: 0, 128>

  • SanIp[5]: <S: 0, 128>

  • SanUri[5]: <S: 0, 128>

Inscripción en servicios de certificados de seguridad de xCommand Solicitud de renovación de SCEP

Crear o actualizar un perfil de renovación automática que se aplique a todos los certificados emitidos por la CA determinada antes de que caduquen los certificados

Parámetros:

  • Huella digital(r): <S: 0, 128>

    La huella digital de la CA emisora que firmó los certificados.

  • URL(r): <S: 0, 128>

    URL del servidor SCEP utilizada para renovar los certificados. 

xCommand Security Certificates Services Enrollment SCEP Renewal Delete

Quite el perfil de renovación automática de la CA dada. Esto impide que los certificados firmados por esta CA se autorenewing

Parámetros:

  • Huella digital(r): <S: 0, 128>

    La huella digital de la CA emisora para eliminar.

xCommand Security Certificates Services Enrollment Lista de renovación de SCEP

Enumere todos los perfiles de renovación automática utilizados actualmente.