Puede agregar certificados desde la interfaz web local del dispositivo. Como alternativa, puede agregar certificados mediante la ejecución de comandos de API. Para ver qué comandos le permiten agregar certificados, consulte roomos.cisco.com .

Certificados de servicio y CA de confianza

Es posible que se requiera la validación del certificado cuando se utiliza TLS (Seguridad de capa de transporte). Un servidor o cliente puede requerir que el dispositivo presente un certificado válido antes de configurar la comunicación.

Los certificados son archivos de texto que verifican la autenticidad del dispositivo. Estos certificados deben estar firmados por una autoridad de certificación (CA) de confianza. Para verificar la firma de los certificados, debe haber una lista de CA de confianza en el dispositivo. La lista debe incluir todas las CA necesarias para verificar los certificados tanto para el registro de auditoría como para otras conexiones.

Los certificados se utilizan para los siguientes servicios: Servidor HTTPS, SIP, IEEE 802.1X, y registros de auditoría. Puede almacenar varios certificados en el dispositivo, pero solo se habilita un certificado para cada servicio a la vez.

En octubre de 2023 y versiones posteriores de RoomOS, cuando agrega un certificado de CA a un dispositivo, también se aplica a un Room Navigator si hay uno conectado. Para sincronizar los certificados de CA agregados anteriormente a un Room Navigator conectado, debe reiniciar el dispositivo. Si no desea que los periféricos obtengan los mismos certificados que el dispositivo al que está conectado, defina la configuración Certificados de seguridad de los periféricos Sincronización con los periféricos en Falso.


Los certificados almacenados anteriormente no se eliminan automáticamente. Las entradas en un nuevo archivo con certificados de CA se anexan a la lista existente.

Para la conexión Wi-Fi

Le recomendamos que agregue un certificado de CA de confianza para cada dispositivo de la serie Board, Desk o Room, si su red utiliza autenticación WPA-EAP. Debe hacerlo individualmente para cada dispositivo, y antes de conectarse a Wi-Fi.

Para agregar certificados para su conexión Wi-Fi, necesita los siguientes archivos:

  • Lista de certificados CA (formato de archivo: .PEM)

  • Certificado (formato de archivo: .PEM)

  • Clave privada, ya sea como archivo separado o incluida en el mismo archivo que el certificado (formato de archivo: .PEM)

  • Frase de contraseña (se requiere solo si la clave privada está cifrada)

El certificado y la clave privada se almacenan en el mismo archivo en el dispositivo. Si falla la autenticación, no se establecerá la conexión.


La clave privada y la frase de contraseña no se aplican a los periféricos conectados.

Agregar certificados en dispositivos de las series Board, Desk y Room

1

Desde la vista del cliente en https://admin.webex.com , vaya a la página Dispositivos y seleccione su dispositivo en la lista. Vaya a Soporte e inicie Controles de dispositivos locales.

Si ha configurado un usuario administrador local en el dispositivo, puede acceder a la interfaz web directamente al abrir un navegador web y escribir http(s)://.

2

Diríjase a Seguridad > certificados > personalizados > Agregar certificado y cargue sus ca certificado raíz(s).

3

En openssl, genere una clave privada y una solicitud de certificado. Copie el contenido de la solicitud de certificado. Luego péguelo para solicitar el certificado del servidor a su autoridad de certificación (CA).

4

Descargue el certificado del servidor firmado por su CA. Asegúrese de que está en . Formato PEM.

5

Diríjase a Seguridad > para > de > Agregar certificado y cargue la clave privada y el certificado del servidor.

6

Habilite los servicios que desea utilizar para el certificado que acaba de agregar.

Protocolo de inscripción de certificados simples (SCEP)

El Simple Certificate Enrollment Protocol (Protocolo de inscripción de certificados simple, SCEP) proporciona un mecanismo automatizado para la inscripción y la actualización de certificados que se utilizan, por ejemplo, para la autenticación 802.1X en dispositivos. SCEP le permite mantener el acceso del dispositivo a redes seguras sin intervención manual.

  • Cuando el dispositivo es nuevo, o se ha restablecido los valores de fábrica, necesita acceso a la red para acceder a la URL del SCEP. El dispositivo debe estar conectado a la red sin 802.1X para obtener una dirección IP.

  • Si utiliza un SSID de inscripción inalámbrica, debe recorrer las pantallas de incorporación para configurar la conexión con la red.

  • Una vez conectado a la red de aprovisionamiento, no es necesario que el dispositivo aparezca en una pantalla de incorporación específica en esta etapa.

  • Para adaptarse a todas las implementaciones, las xAPI de inscripción del SCEP no almacenarán el certificado de CA que se utiliza para firmar el certificado del dispositivo. Para la autenticación del servidor, el certificado de CA que se utiliza para validar el certificado del servidor debe agregarse con xCommand Security Certificates CA Add.

Requisitos previos

Necesita la siguiente información:

  • URL del servidor SCEP.

  • Huella digital del certificado de CA (autoridad de certificación) firmado.

  • Información del certificado para inscribirse. Esto constituye el Nombre del sujeto del certificado.

    • Nombre común

    • Nombre del país

    • Nombre de la organización

  • La contraseña de desafío del servidor SCEP si ha configurado el servidor SCEP para imponer un OTP o un secreto compartido.

Enviamos una solicitud de certificado con una validez de un año para la caducidad del certificado. La política del lado del servidor puede cambiar la fecha de caducidad durante la firma del certificado.

Conexión Ethernet

Cuando un dispositivo esté conectado a una red, asegúrese de que pueda acceder al servidor SCEP. El dispositivo debe estar conectado a una red sin 802.1x para obtener una dirección IP. Es posible que sea necesario proporcionar la dirección MAC del dispositivo a la red de aprovisionamiento para obtener una dirección IP. La dirección MAC se puede encontrar en la interfaz de usuario o en la etiqueta de la parte posterior del dispositivo.

Una vez que el dispositivo esté conectado a la red, puede realizar SSH al dispositivo como administrador para acceder a TSH y, a continuación, ejecutar el siguiente comando para enviar la solicitud SCEP de inscripción: 
Solicitud de inscripción de servicios de certificados de seguridad xCommand SCEP

Una vez que el servidor SCEP devuelva el certificado del dispositivo firmado, active el 802.1X y, a continuación, reinicie el dispositivo.

Activar el certificado firmado:
Activación de los servicios de certificados de seguridad de xCommand

Reinicie el dispositivo después de activar el certificado.

Conexión inalámbrica

Cuando un dispositivo esté conectado a una red inalámbrica, asegúrese de que pueda acceder al servidor SCEP.

Una vez que el dispositivo esté conectado a la red, puede realizar SSH al dispositivo como administrador para acceder a TSH y, a continuación, ejecutar el siguiente comando para enviar la solicitud SCEP de inscripción: 
Solicitud de inscripción de servicios de certificados de seguridad xCommand SCEP

El dispositivo recibe el certificado firmado del servidor SCEP.

Activar el certificado firmado: 

Activación de los servicios de certificados de seguridad de xCommand
Después de la activación, debe configurar la red Wi-Fi con autenticación EAP-TLS. 
Configuración de wifi de red de xCommand

De forma predeterminada, la configuración de Wi-Fi omite las comprobaciones de validación del servidor. Si solo se requiere autenticación unidireccional, mantenga AllowMissingCA predeterminado en Verdadero.

Para forzar la validación del servidor, asegúrese de que el parámetro opcional AllowMissingCA esté definido en False. Si no se puede establecer una conexión debido a errores de validación del servicio, compruebe que se haya agregado la CA correcta para verificar que el certificado del servidor sea diferente al certificado del dispositivo.

Descripciones de API

Rol: Administrador, integrador

Solicitud de inscripción de servicios de certificados de seguridad xCommand SCEP

Solicita y descarga un certificado de dispositivo firmado

Parámetros:

  • URL(r): <S: 0, 128>

    URL del servidor del SCEP utilizada para inscribir un certificado.

  • Huella digital (r): <S: 0, 128>

    La huella digital de la CA emisora que firmará la solicitud X509.

  • Contraseña de desafío: <S: 0, 128>

    Contraseña secreta compartida establecida por el servidor SCEP.

  • Nombre común(r): <S: 0, 128>

  • Nombre del país: <S: 0, 128>

  • Nombre de la organización: <S: 0, 128>

  • SanDns[5]: <S: 0, 128>

  • SanEmail[5]: <S: 0, 128>

  • SanIp[5]: <S: 0, 128>

  • SanUri[5]: <S: 0, 128>

xCommand Certificados de seguridad Inscripción Solicitud de renovación del SCEP

Crear o actualizar un perfil de renovación automática que se aplique a todos los certificados emitidos por la CA dada antes de que caduquen los certificados

Parámetros:

  • Huella digital (r): <S: 0, 128>

    La huella digital de la CA emisora que firmó los certificados.

  • URL(r): <S: 0, 128>

    URL del servidor del SCEP utilizada para renovar los certificados. 

xCommand Certificados de seguridad Inscripción Renovación del SCEP Eliminar

Elimine el perfil de solicitud automática para la CA dada. Esto impide que los certificados que están firmados por esta CA se transmitan automáticamente

Parámetros:

  • Huella digital (r): <S: 0, 128>

    La huella digital de la CA emisora que se debe quitar.

xCommand Certificados de seguridad Inscripción de servicios SCEP Lista de renovación

Lista todos los perfiles nuevos utilizados actualmente.