Puede agregar certificados desde la interfaz web local del dispositivo. Como alternativa, puede agregar certificados ejecutando los comandos API. Para ver qué comandos le permiten agregar certificados, consulte roomos.cisco.com .

Certificados de servicio y CA de confianza

Es posible que se necesite validar el certificado cuando se utiliza TLS (Seguridad de la capa de transporte). Es posible que un servidor o un cliente requiera que el dispositivo le presente un certificado válido antes de configurar la comunicación.

Los certificados son archivos de texto que verifican la autenticidad del dispositivo. Estos certificados deben estar firmados por una autoridad de certificación (CA) de confianza. Para comprobar la firma de los certificados, debe residir en el dispositivo una lista de CA de confianza. La lista debe incluir todas las CA necesarias para verificar los certificados para el registro de auditoría y otras conexiones.

Los certificados se utilizan para los siguientes servicios: servidor HTTPS, SIP, IEEE 802.1X y registro de auditoría. Puede almacenar varios certificados en el dispositivo, pero solo se permite un certificado para cada servicio por vez.

En RoomOS de octubre de 2023 y versiones posteriores, cuando agrega un certificado de CA a un dispositivo, también se aplica a un navegador de sala si hay uno conectado. Para sincronizar los certificados de CA agregados anteriormente con un Room Navigator conectado, debe reiniciar el dispositivo. Si no desea que los periféricos obtengan los mismos certificados que el dispositivo al que están conectados, establezca la configuración Certificados de seguridad de periféricos SyncToPeripherals en False.

Los certificados que se almacenaron con anterioridad no se eliminan automáticamente. Las entradas de un archivo nuevo con certificados CA se anexan a la lista existente.

Para la conexión Wi-Fi

Se recomienda agregar un certificado de CA de confianza para cada dispositivo Board, escritorio o serie de salas, si la red utiliza la autenticación WPA-EAP. Debe hacer esto de forma individual para cada dispositivo y antes de conectarse a Wi-Fi.

Para agregar certificados a su conexión Wi-Fi, necesita los siguientes archivos:

  • Lista de certificados CA (formato de archivo: .PEM)

  • Certificado (formato de archivo: .PEM)

  • Clave privada, ya sea como un archivo independiente o incluida en el mismo archivo que el certificado (formato de archivo: .PEM)

  • Frase de contraseña (solo es necesaria si la clave privada está cifrada)

El certificado y la clave privada se almacenan en el mismo archivo en el dispositivo. Si falla la autenticación, no se establecerá la conexión.

La clave privada y la frase de contraseña no se aplican a los periféricos conectados.

Agregar certificados en dispositivos Board, Desk y Room Series

1

Desde la vista del cliente en https://admin.webex.com , vaya a la página Dispositivos y seleccione su dispositivo en la lista. Vaya a Soporte e inicie Controles de dispositivo local.

Si configuró un usuario Administrador local en el dispositivo, puede acceder a la interfaz web directamente si abre un navegador web y escribe http(s)://<endpoint ip or hostname>.

2

Diríjase a Security > Certificates > Custom > Add Cerfificate (Seguridad > Certificados > Personalizados > Agregar certificado) y cargue los certificados raíz de la CA.

3

En OpenSSL, genere una clave privada y una solicitud de certificado. Copie el contenido de la solicitud de certificado. A continuación, péguelo para solicitar el certificado del servidor de su autoridad de certificación (CA).

4

Descargue el certificado de servidor firmado por la CA. Asegúrese de que está en . Formato PEM.

5

Diríjase a Security > Certificates > Services > Add Certificate (Seguridad > Certificados > Servicios > Agregar certificado) y cargue la clave privada y el certificado del servidor.

6

Habilite los servicios que desea usar para el certificado que acaba de agregar.

Generar solicitud de firma de certificado (CSR)

Los administradores deben generar una solicitud de firma de certificado (CSR) desde el Centro de control para un dispositivo Board, escritorio o serie de salas registrado en la nube.

Siga estos pasos para generar un CSR y cargar un certificado firmado en su dispositivo:

  1. En la vista del cliente en Control Hub, ve a la página Dispositivos y selecciona tu dispositivo de la lista.
  2. Vaya a Acciones > Ejecutar xCommand > Certificados de > de seguridad > CSR > Crear.
  3. Introduzca los detalles del certificado requeridos y seleccione Ejecutar.
  4. Copie todo el texto entre ----BEGIN CERTIFICATE REQUEST---- y ----END CERTIFICATE REQUEST----.
  5. Use un Certificate Authority (CA) de su elección para firmar el CSR.
  6. Exporte el certificado firmado en formato PEM (codificado en Base64).
  7. Abra el archivo de certificado firmado en un editor de texto (por ejemplo, el Bloc de notas) y copie todo el texto entre ----BEGIN CERTIFICATE---- y ----END CERTIFICATE----.
  8. En el Centro de control, vaya a Dispositivos > seleccione su dispositivo > Acciones > Ejecutar xCommand > Certificados de > de seguridad > Vínculo CSR >.
  9. Pegue el contenido del certificado copiado en la sección Cuerpo y seleccione Ejecutar.
  10. Actualice la página para comprobar que el certificado aparece en Certificado existente.

Protocolo simple de inscripción de certificados (SCEP)

El Protocolo simple de inscripción de certificados (SCEP) proporciona un mecanismo automatizado para inscribir y actualizar certificados que se utilizan, por ejemplo, la autenticación 802.1X en dispositivos. SCEP le permite mantener el acceso del dispositivo a redes seguras sin intervención manual.

  • Cuando el dispositivo es nuevo o se ha restablecido a los valores de fábrica, necesita acceso a la red para llegar a la URL de SCEP. El dispositivo debe estar conectado a la red sin 802.1X para obtener una dirección IP.

  • Si utiliza un SSID de inscripción inalámbrica, pase por las pantallas de incorporación para configurar la conexión con la red.

  • Una vez que esté conectado a la red de aprovisionamiento, no es necesario que el dispositivo esté en una pantalla de incorporación determinada.

  • Para adaptarse a todas las implementaciones, las xAPI de inscripción de SCEP no almacenarán el certificado de CA utilizado para firmar el certificado del dispositivo. Para la autenticación del servidor, el certificado de CA utilizado para validar el certificado del servidor debe agregarse con xCommand Security Certificates CA Add.

Requisitos previos

Necesita la siguiente información:

  • URL del servidor SCEP.

  • Huella digital del certificado de CA (Certificate Authority) firmante.

  • Información del certificado a inscribir. Esto constituye el nombre de sujeto del certificado.

    • Nombre común

    • Nombre del país

    • Nombre del estado o provincia

    • Nombre de localidad

    • Nombre de la organización

    • Unidad organizativa

  • El nombre del asunto se ordenará como /C= /ST= /L= /O= /OU= /CN=

  • Contraseña de desafío del servidor SCEP si ha configurado el servidor SCEP para exigir una OTP o un secreto compartido.

Puede establecer el tamaño de clave necesario para el par de claves de solicitud de certificado mediante el siguiente comando. El valor predeterminado es 2048.

 xConfiguration Security Enrollment KeySize: <2048, 3072, 4096>

Enviamos una solicitud de certificado que es válida por un año para la expiración del certificado. La directiva del lado del servidor puede cambiar la fecha de caducidad durante la firma del certificado.

Conexión Ethernet

Cuando un dispositivo está conectado a una red, asegúrese de que pueda acceder al servidor SCEP. El dispositivo debe estar conectado a una red sin 802.1x para obtener una dirección IP. Es posible que sea necesario proporcionar la dirección MAC del dispositivo a la red de aprovisionamiento para obtener una dirección IP. La dirección MAC se puede encontrar en la interfaz de usuario o en la etiqueta en la parte posterior del dispositivo.

Una vez que el dispositivo está conectado a la red, puede SSH en el dispositivo como administrador para acceder a TSH y, a continuación, ejecutar el siguiente comando para enviar la solicitud SCEP de inscripción: 

xCommand Security Certificates Services Enrollment SCEP Request

Una vez que el servidor SCEP devuelve el certificado del dispositivo firmado, active el 802.1X.

Active el certificado firmado:

xCommand Security Certificates Services Activate

Reinicie el dispositivo después de activar el certificado.

Conexión inalámbrica

Cuando un dispositivo está conectado a una red inalámbrica, asegúrese de que pueda acceder al servidor SCEP.

Una vez que el dispositivo está conectado a la red, puede SSH en el dispositivo como administrador para acceder a TSH y, a continuación, ejecutar el siguiente comando para enviar la solicitud SCEP de inscripción: 

xCommand Security Certificates Services Enrollment SCEP Request

El dispositivo recibe el certificado firmado del servidor SCEP.

Active el certificado firmado: 

xCommand Security Certificates Services Activate

Después de la activación, debe configurar la red Wi-Fi con autenticación EAP-TLS. 

xCommand Network Wifi Configurar

De forma predeterminada, la configuración Wi-Fi omite las comprobaciones de validación del servidor. Si solo se requiere autenticación unidireccional, mantenga AllowMissingCA predeterminado en True.

Para forzar la validación del servidor, asegúrese de que el parámetro opcional AllowMissingCA esté establecido en False. Si no se puede establecer una conexión debido a errores de validación del servicio, compruebe que se ha agregado la CA correcta para verificar el certificado del servidor, que puede ser diferente del certificado del dispositivo.

API descripciones

Rol: Administrador, Integrador

xCommand Security Certificates Services Enrollment SCEP Request

Envía un CSR a un servidor SCEP determinado para su firma. Los parámetros CSR SubjectName se construirán en el siguiente orden: C, ST, L, O, OUs, CN.

Parámetros:

  • URL(r): <S: 0, 256>

    La dirección URL del servidor SCEP.

  • Huella digital(r): <S: 0, 128>

    Huella digital del certificado de CA que firmará la solicitud SCEP CSR.

  • Nombre común(r): <S: 0, 64>

    Agrega "/CN=" al nombre de asunto CSR.

  • DesafíoContraseña: <S: 0, 256>

    OTP o secreto compartido desde el servidor SCEP para acceder a la firma.

  • Nombre del país: <S: 0, 2>

    Agrega "/c=" al nombre del asunto CSR.

  • StateOrProvinceName: <S: 0, 64>

    Agrega "/ST=" al nombre del asunto CSR.

  • LocalityName: <S: 0, 64>

    Agrega "/l=" al nombre del asunto CSR.

  • Nombre de la organización: <S: 0, 64>

    Agrega "/o=" al nombre del asunto CSR.

  • Unidad organizativa[5]: <S: 0, 64>

    Agrega hasta 5 parámetros "/OU=" al nombre de asunto CSR.

  • SanDns[5]: <S: 0, 64>

    Agrega hasta 5 parámetros DNS al nombre alternativo del sujeto CSR.

  • SanEmail[5]: <S: 0, 64>

    Agrega hasta 5 parámetros de correo electrónico al nombre alternativo del asunto CSR.

  • SanIp[5]: <S: 0, 64>

    Agrega hasta 5 parámetros Ip al nombre alternativo del sujeto CSR.

  • SanUri[5]: <S: 0, 64>

    Agrega hasta 5 parámetros URI al nombre alternativo del sujeto CSR.

xCommand Security Certificates Services Perfiles de inscripción Eliminar

Elimina un perfil de inscripción para no renovar más los certificados.

Parámetros:

  • Huella digital(r): <S: 0, 128>

    La huella digital del certificado de CA que identifica el perfil que desea eliminar. Puede ver los perfiles disponibles para eliminar ejecutando: 

    Lista de perfiles de inscripción de servicios de certificados de seguridad de xCommand

Lista de perfiles de inscripción de servicios de certificados de seguridad de xCommand

Enumera los perfiles de inscripción para la renovación de certificados.

 xCommand Certificados de seguridad Inscripción de servicios Perfiles SCEP Establecer huella digital(r): <S: 0, 128> URL(r): <S: 0, 256>

Agregue un perfil de inscripción para los certificados emitidos por la huella digital de CA para usar la dirección URL de SCEP especificada para la renovación.

Renovación

 xCommand Security Certificates Services Enrollment SCEP Profiles Set

Para renovar automáticamente el certificado, el dispositivo debe poder acceder a la URL de SCEP que puede resignar el certificado.

Una vez al día, el dispositivo comprobará si hay certificados que caducarán en un plazo de 45 días. A continuación, el dispositivo intentará renovar estos certificados si su emisor coincide con un perfil.

NOTA: Se comprobará la renovación de todos los certificados de dispositivo, incluso si el certificado no se inscribió originalmente con SCEP.

Navegante

  1. Emparejamiento directo: Los certificados inscritos se pueden activar como certificado de "emparejamiento".

  2. Emparejado remoto: indique al navegador que inscriba un nuevo certificado SCEP utilizando el ID del periférico:

    Periféricos de xCommand Certificados de seguridad Inscripción de servicios Solicitud SCEP 

    Los perfiles de inscripción se sincronizan automáticamente con el navegador emparejado.

  3. Navegador independiente: igual que la inscripción de códecs

Configurar la autenticación 802.1x en Room Navigator

Puede configurar la autenticación 802.1x directamente desde el menú Configuración del navegador de salas.

El estándar de autenticación 802.1x es particularmente importante para las redes Ethernet y garantiza que solo los dispositivos autorizados tengan acceso a los recursos de red.

Hay diferentes opciones de inicio de sesión disponibles según el método EAP configurado en su red. Por ejemplo:

  • TLS: No se utiliza el nombre de usuario ni la contraseña.
  • PEAP: No se utilizan certificados.
  • TTLS: Se requieren tanto el nombre de usuario/contraseña como los certificados; Ninguno de los dos es opcional.

Hay varias formas de obtener el certificado de cliente en un dispositivo:

  1. Cargue el PEM: use la característica Agregar servicios de certificados de seguridad.
  2. Cree el CSR: Generar una solicitud de firma de certificado (CSR), fírmelo y vincúlelo usando Certificados de seguridad CSR Crear/Vincular.
  3. SCEP: Utilice la solicitud SCEP de inscripción de servicios de certificados de seguridad.
  4. DHCP Opción 43: Configure la entrega de certificados a través de esta opción.

La configuración y actualización de los certificados para 802.1x debe realizarse antes de emparejar el Navegador de salas con un sistema o después de restablecer de fábrica el Navegador de salas.

Las credenciales predeterminadas son admin y contraseña en blanco. Para obtener más información sobre cómo agregar certificados accediendo al API, consulte la última versión de la guía API.

  1. Abra el panel de control en el navegador tocando el botón en la esquina superior derecha o deslizando desde el lado derecho. A continuación, toca Configuración del dispositivo.
  2. Vaya a Conexión de red y seleccione Ethernet .
  3. Active Usar IEEE 802.1X.
    • Si la autenticación está configurada con credenciales, introduzca la identidad del usuario y la frase de contraseña. También puede introducir una identidad anónima: este es un campo opcional que proporciona una manera de separar la identidad del usuario real de la solicitud de autenticación inicial.
    • Puede activar o desactivar TLS verificar . Cuando TLS verify está activado, el cliente verifica activamente la autenticidad del certificado del servidor durante el protocolo de enlace TLS. Cuando TLS verify está desactivado, el cliente no realiza una verificación activa del certificado del servidor.
    • Si ha cargado un certificado de cliente accediendo al API, active Usar certificado de cliente.
    • Alterne los métodos del Protocolo de autenticación extensible (EAP) que desea utilizar. La elección del método EAP depende de los requisitos de seguridad específicos, la infraestructura y las capacidades del cliente. Los métodos EAP son cruciales para permitir el acceso seguro y autenticado a la red.