Puede agregar certificados desde la interfaz web local del dispositivo. Alternativamente, puede agregar certificados ejecutando los comandos API. Para ver qué comandos le permiten agregar certificados, consulte roomos.cisco.com .

Certificados de servicio y CA de confianza

Es posible que se necesite validar el certificado cuando se utiliza TLS (Seguridad de la capa de transporte). Es posible que un servidor o un cliente requiera que el dispositivo le presente un certificado válido antes de configurar la comunicación.

Los certificados son archivos de texto que verifican la autenticidad del dispositivo. Estos certificados deben estar firmados por una autoridad de certificación (CA) de confianza. Para verificar la firma de los certificados, debe residir una lista de CA confiables en el dispositivo. La lista debe incluir todas las CA necesarias para verificar los certificados para el registro de auditoría y otras conexiones.

Los certificados se utilizan para los siguientes servicios: servidor HTTPS, SIP, IEEE 802.1X y registro de auditoría. Puede almacenar varios certificados en el dispositivo, pero solo se permite un certificado para cada servicio por vez.

En RoomOS a partir de octubre de 2023, cuando agrega un certificado CA a un dispositivo, también se aplica a un Room Navigator si hay uno conectado. Para sincronizar los certificados CA agregados previamente a un Room Navigator conectado, debe reiniciar el dispositivo. Si no desea que los periféricos obtengan los mismos certificados que el dispositivo al que están conectados, establezca la configuración Peripherals Security Certificates SyncToPeripherals en False.

Los certificados que se almacenaron con anterioridad no se eliminan automáticamente. Las entradas de un archivo nuevo con certificados CA se anexan a la lista existente.

Para la conexión Wi-Fi

Le recomendamos que agregue un certificado CA confiable para cada dispositivo de la serie Board, Desk o Room, si su red utiliza autenticación WPA-EAP. Debe hacer esto de forma individual para cada dispositivo y antes de conectarse a Wi-Fi.

Para agregar certificados a su conexión Wi-Fi, necesita los siguientes archivos:

  • Lista de certificados CA (formato de archivo: .PEM)

  • Certificado (formato de archivo: .PEM)

  • Clave privada, ya sea como un archivo independiente o incluida en el mismo archivo que el certificado (formato de archivo: .PEM)

  • Frase de contraseña (solo es necesaria si la clave privada está cifrada)

El certificado y la clave privada se almacenan en el mismo archivo en el dispositivo. Si falla la autenticación, no se establecerá la conexión.

El certificado y su clave privada no se aplican a los periféricos conectados.

Agregar certificados en dispositivos de las series Board, Desk y Room

1

Desde la vista del cliente en https://admin.webex.com , vaya a la página Dispositivos y seleccione su dispositivo en la lista. Vaya a Soporte e inicie Controles del dispositivo local .

Si configuró un usuario Administrador local en el dispositivo, puede acceder a la interfaz web directamente si abre un navegador web y escribe http(s)://<endpoint ip or hostname>.

2

Diríjase a Security > Certificates > Custom > Add Cerfificate (Seguridad > Certificados > Personalizados > Agregar certificado) y cargue los certificados raíz de la CA.

3

En OpenSSL, genere una clave privada y una solicitud de certificado. Copie el contenido de la solicitud de certificado. A continuación, péguelo para solicitar el certificado del servidor de su autoridad de certificación (CA).

4

Descargue el certificado del servidor firmado por su CA. Asegúrese de que esté en formato .PEM.

5

Diríjase a Security > Certificates > Services > Add Certificate (Seguridad > Certificados > Servicios > Agregar certificado) y cargue la clave privada y el certificado del servidor.

6

Habilite los servicios que desea utilizar para el certificado que acaba de agregar.

Generar solicitud de firma de certificado (CSR)

Los administradores deben generar una solicitud de firma de certificado (CSR) desde el centro de control para un dispositivo de la serie Board, de escritorio o de sala registrado en la nube.

Siga estos pasos para generar un CSR y cargar un certificado firmado en su dispositivo:

  1. Desde la vista del cliente en Control Hub, vaya a la página Dispositivos y seleccione su dispositivo de la lista.
  2. Vaya a Acciones > Ejecutar xCommand > Seguridad > Certificados > CSR > Crear.
  3. Ingrese los detalles del certificado requerido y seleccione Ejecutar.
  4. Copie todo el texto entre ----BEGIN CERTIFICATE REQUEST---- y ----END CERTIFICATE REQUEST----.
  5. Utilice un Certificate Authority (CA) de su elección para firmar el CSR.
  6. Exporte el certificado firmado en formato PEM (codificado en Base64).
  7. Abra el archivo del certificado firmado en un editor de texto (por ejemplo, el Bloc de notas) y copie todo el texto entre ----BEGIN CERTIFICATE---- y ----END CERTIFICATE----.
  8. En Control Hub, navegue a Dispositivos > seleccione su dispositivo > Acciones > Ejecutar xCommand > Seguridad > Certificados > CSR > Enlace.
  9. Pegue el contenido del certificado copiado en la sección Cuerpo y seleccione Ejecutar.
  10. Actualice la página para verificar que el certificado aparezca en Certificado existente.

Protocolo simple de inscripción de certificados (SCEP)

El Protocolo simple de inscripción de certificados (SCEP) proporciona un mecanismo automatizado para la inscripción y actualización de certificados que se utilizan, por ejemplo, para la autenticación 802.1X en los dispositivos. SCEP le permite mantener el acceso del dispositivo a redes seguras sin intervención manual.

  • Cuando el dispositivo es nuevo o se ha restablecido de fábrica, necesita acceso a la red para llegar a la URL de SCEP. El dispositivo debe estar conectado a la red sin 802.1X para obtener una dirección IP.

  • Si utiliza una inscripción inalámbrica SSID, revise las pantallas de incorporación para configurar la conexión con la red.

  • Una vez que esté conectado a la red de aprovisionamiento, no es necesario que el dispositivo esté en una pantalla de incorporación particular.

  • Para adaptarse a todas las implementaciones, las xAPI de inscripción de SCEP no almacenarán el certificado de CA utilizado para firmar el certificado del dispositivo. Para la autenticación del servidor, el certificado CA utilizado para validar el certificado del servidor debe agregarse con xCommand Security Certificates CA Add.

Requisitos previos

Necesita la siguiente información:

  • URL del servidor SCEP.

  • Huella digital del certificado de la CA firmante (Certificate Authority).

  • Información del certificado a inscribir. Esto constituye el Nombre del sujeto del certificado.

    • Nombre común

    • Nombre del país

    • Nombre del estado o provincia

    • Nombre de la localidad

    • Nombre de la organización

    • Unidad organizativa

  • El nombre del sujeto se ordenará como /C= /ST= /L= /O= /OU= /CN=

  • Contraseña de desafío del servidor SCEP si ha configurado el servidor SCEP para aplicar un OTP o un secreto compartido.

Puede establecer el tamaño de clave requerido para el par de claves de solicitud de certificado utilizando el siguiente comando. El valor predeterminado es 2048.

 xConfiguration Seguridad Inscripción Tamaño de clave: <2048, 3072, 4096>

Enviamos una solicitud de certificado que es válida por un año para la expiración del certificado. La política del lado del servidor puede cambiar la fecha de vencimiento durante la firma del certificado.

Conexión Ethernet

Cuando un dispositivo esté conectado a una red, asegúrese de que pueda acceder al servidor SCEP. El dispositivo debe estar conectado a una red sin 802.1x para obtener una dirección IP. Es posible que sea necesario proporcionar la dirección MAC del dispositivo a la red de aprovisionamiento para obtener una dirección IP. La dirección MAC se puede encontrar en la interfaz de usuario o en la etiqueta en la parte posterior del dispositivo.

Una vez que el dispositivo esté conectado a la red, puede acceder al dispositivo mediante SSH como administración Para acceder a TSH, ejecute el siguiente comando para enviar la solicitud de inscripción SCEP: 

Solicitud de SCEP de inscripción en los servicios de certificados de seguridad de xCommand

Una vez que el servidor SCEP devuelva el certificado del dispositivo firmado, active el 802.1X.

Activar el certificado firmado:

Servicios de certificados de seguridad de xCommand Activar

Reinicie el dispositivo después de activar el certificado.

Conexión inalámbrica

Cuando un dispositivo esté conectado a una red inalámbrica, asegúrese de que pueda acceder al servidor SCEP.

Una vez que el dispositivo esté conectado a la red, puede acceder al dispositivo mediante SSH como administración Para acceder a TSH, ejecute el siguiente comando para enviar la solicitud de inscripción SCEP: 

Solicitud de SCEP de inscripción en los servicios de certificados de seguridad de xCommand

El dispositivo recibe el certificado firmado del servidor SCEP.

Activar el certificado firmado: 

Servicios de certificados de seguridad de xCommand Activar

Después de la activación, debe configurar la red Wi-Fi con la autenticación EAP-TLS. 

Configurar red Wifi de xCommand

De forma predeterminada, la configuración Wi-Fi omite las comprobaciones de validación del servidor. Si solo se requiere autenticación unidireccional, manténgala Permitir CA faltante predeterminado a Verdadero.

Para forzar la validación del servidor, asegúrese de que Permitir CA faltante El parámetro opcional se establece en FALSO. Si no se puede establecer una conexión debido a errores de validación del servicio, verifique que se haya agregado la CA correcta para verificar el certificado del servidor, que puede ser diferente del certificado del dispositivo.

Descripciones de API

Rol: Administrador, Integrador

Solicitud de SCEP de inscripción en los servicios de certificados de seguridad de xCommand

Envía un CSR a un servidor SCEP determinado para firmar. Los parámetros SubjectName CSR se construirán en el siguiente orden: C, ST, L, O, OUs, CN.

Parámetros:

  • URL(r): <S: 0, 256>

    La dirección URL del servidor SCEP.

  • Huella dactilar(r): <S: 0, 128>

    Huella digital del certificado CA que firmará la solicitud SCEP CSR.

  • Nombre común(r): <S: 0, 64>

    Agrega "/CN=" al nombre del sujeto CSR.

  • Contraseña de desafío: <S: 0, 256>

    OTP o secreto compartido del servidor SCEP para acceder a la firma.

  • Nombre del país: <S: 0, 2>

    Agrega "/C=" al nombre del sujeto CSR.

  • Nombre del estado o provincia: <S: 0, 64>

    Agrega "/ST=" al nombre del sujeto CSR.

  • Nombre de la localidad: <S: 0, 64>

    Agrega "/L=" al nombre del sujeto CSR.

  • Nombre de la organización: <S: 0, 64>

    Agrega "/O=" al nombre del sujeto CSR.

  • UnidadOrganizativa[5]: <S: 0, 64>

    Agrega hasta 5 parámetros "/OU=" al nombre del sujeto CSR.

  • SanDns[5]: <S: 0, 64>

    Agrega hasta 5 parámetros DNS al nombre alternativo del sujeto CSR.

  • SanEmail[5]: <S: 0, 64>

    Agrega hasta 5 parámetros de correo electrónico al nombre alternativo del asunto CSR.

  • SanIp[5]: <S: 0, 64>

    Agrega hasta 5 parámetros de IP al nombre alternativo del sujeto CSR.

  • SanUri[5]: <S: 0, 64>

    Agrega hasta 5 parámetros URI al nombre alternativo del sujeto CSR.

xCommand Seguridad Certificados Servicios Inscripción Perfiles Eliminar

Elimina un perfil de inscripción para no renovar más certificados.

Parámetros:

  • Huella dactilar(r): <S: 0, 128>

    La huella digital del certificado CA que identifica el perfil que desea eliminar. Puede ver los perfiles disponibles para eliminar ejecutando: 

    Lista de perfiles de inscripción de servicios de certificados de seguridad de xCommand

Lista de perfiles de inscripción de servicios de certificados de seguridad de xCommand

Enumera los perfiles de inscripción para la renovación de certificados.

 Servicios de certificados de seguridad de xCommand Inscripción Perfiles SCEP Huella digital(r): <S: 0, 128> URL(r): <S: 0, 256>

Agregue un perfil de inscripción para los certificados emitidos por la huella digital de CA para utilizar la URL SCEP proporcionada para la renovación.

Renovación

 Conjunto de perfiles SCEP de inscripción de servicios de certificados de seguridad de xCommand

Para renovar automáticamente el certificado, el dispositivo debe poder acceder a la URL de SCEP que puede renovar el certificado.

Una vez al día, el dispositivo verificará si hay certificados que caducarán en 45 días. Luego, el dispositivo intentará renovar estos certificados si su emisor coincide con un perfil.

NOTA: Se verificarán todos los certificados del dispositivo para su renovación, incluso si el certificado no se inscribió originalmente mediante SCEP.

Navegador

  1. Emparejamiento directo: los certificados inscritos se pueden activar como certificado de "Emparejamiento".

  2. Emparejamiento remoto: indique al navegador que inscriba un nuevo certificado SCEP utilizando el ID del periférico:

    Servicios de certificados de seguridad de periféricos xCommand Solicitud de inscripción SCEP 

    Los perfiles de inscripción se sincronizan automáticamente con el navegador emparejado.

  3. Navegador independiente: igual que la inscripción de códecs

Configurar la autenticación 802.1x en Room Navigator

Puede configurar la autenticación 802.1x directamente desde el menú Configuración de Room Navigator.

El estándar de autenticación 802.1x es particularmente importante para las redes Ethernet y garantiza que sólo los dispositivos autorizados tengan acceso a los recursos de la red.

Hay diferentes opciones de inicio de sesión disponibles según el método EAP configurado en su red. Por ejemplo:

  • TLS: No se utilizan nombre de usuario ni contraseña.
  • PEAP: No se utilizan certificados.
  • TTLS: Tanto el nombre de usuario/contraseña como los certificados son obligatorios; ninguno es opcional.

Hay varias formas de obtener el certificado de cliente en un dispositivo:

  1. Cargar el PEM: utilice la función Agregar servicios de certificados de seguridad.
  2. Crear CSR: generar una solicitud de firma de certificado (CSR), firmarla y vincularla mediante certificados de seguridad CSR Crear/Vincular.
  3. SCEP: Utilice la solicitud SCEP de inscripción a servicios de certificados de seguridad.
  4. DHCP Opción 43: Configure la entrega del certificado a través de esta opción.

La configuración y actualización de los certificados para 802.1x debe realizarse antes del emparejamiento el Room Navigator a un sistema, o después de restablecer de fábrica el Room Navigator.

Las credenciales predeterminadas son administrador y contraseña en blanco. Para obtener más información sobre cómo agregar certificados accediendo a API, consulte La última versión de la guía API .

  1. Abra el panel de control en el Navegador tocando el botón en la esquina superior derecha o deslizándose desde el lado derecho. Luego toque Configuración del dispositivo .
  2. Ir a Conexión de red y seleccione Ethernet .
  3. Active Usar IEEE 802.1X.
    • Si la autenticación se configura con credenciales, ingrese la identidad del usuario y la contraseña. También puede ingresar una identidad anónima: este es un campo opcional que proporciona una manera de separar la identidad del usuario real de la solicitud de autenticación inicial.
    • Puedes alternar TLS Verificar apagado o encendido. Cuando la verificación TLS está activada, el cliente verifica activamente la autenticidad del certificado del servidor durante el protocolo de enlace TLS. Cuando la verificación TLS está desactivada, el cliente no realiza la verificación activa del certificado del servidor.
    • Si ha cargado un certificado de cliente accediendo a API, active o desactive Usar certificado de cliente en.
    • Alternar el Protocolo de autenticación extensible (EAP) métodos que desea utilizar. La elección del método EAP depende de los requisitos de seguridad específicos, la infraestructura y las capacidades del cliente. Los métodos EAP son cruciales para permitir un acceso seguro y autenticado a la red.