Voit lisätä varmenteita laitteen paikallisesta Web-käyttöliittymästä. Voit vaihtoehtoisesti lisätä varmenteita suorittamalla API komentoa. Lisätietoja varmenteen lisäämisen sallimista komennoista on kohdassa roomos.cisco.com .

Palveluvarmenteet ja luotetut myöntäjävirastot

Varmenteen vahvistus voi olla pakollinen, kun TLS (Siirtokerrossuojaus) käytetään. Palvelin tai asiakas voi edellyttää, että laite esittää heille kelvollisen varmenteen, ennen kuin yhteys on määritetty.

Varmenteet ovat tekstitiedostoja, jotka varmistavat laitteen todennuksen. Luotetun varmenteen myöntäjän on allekirjoitettava nämä varmenteet. Varmenteen allekirjoituksen tarkistamiseksi laitteessa on oltava luettelo luotetuista yhteyspalveluista. Luetteloon on sisällyttävä kaikki varmenteet, joita tarvitaan sekä valvontakirjauksen että muiden yhteyksien varmenteen tarkistamiseen.

Varmenteita käytetään seuraavissa palveluissa: HTTPS-palvelin, SIP, IEEE 802.1X ja audit-kirjaus. Voit tallentaa laitteelle useita varmenteita, mutta kullekin palvelulle on kerrallaan käytössä vain yksi varmenne.

RoomOS-sovelluksessa lokakuussa 2023 ja myöhemmin, kun lisäät myöntäjän varmenteen laitteeseen, sitä käytetään myös huoneen navigointilaitteeseen, jos sellainen on yhdistetty. Jos haluat synkronoida aiemmin lisätyt myöntäjän varmenteet yhdistettyyn huonekäytävään, käynnistä laite uudelleen. Jos et halua, että lisälaitteet saavat samat varmenteet kuin laite, johon se on yhdistetty, määritä kokoonpanon Lisälaitteiden suojausvarmenteet synkronoidaan epätodeksi.


Aiemmin tallennettuja varmenteita ei poisteta automaattisesti. Uuden tiedoston, jossa on myöntäjävarmenteet, merkinnät liitetään olemassa olevaan luetteloon.

Wi-Fi-yhteyden osalta

Suosittelemme, että lisäät luotetun myöntäjän varmenteen kullekin taulu-, pöytä- tai huonesarjalaitteelle, jos verkko käyttää WPA-EAP-todennusta. Sinun on tehtävä tämä erikseen kunkin laitteen kohdalla ja ennen yhteyden muodostamista Wi-Fi.

Voit lisätä Wi-Fi-yhteyden varmenteita seuraavilla tiedostoilla:

  • Myöntäjän varmenneluettelo (tiedoston muoto: . PEM)

  • Varmenne (tiedostomuoto: . PEM)

  • Yksityinen avain joko erillisenä tiedostona tai samassa tiedostossa kuin varmenne (tiedostomuoto: . PEM)

  • Tunnuslause (pakollinen vain, jos yksityinen avain on salattu)

Varmenne ja yksityinen avain tallennetaan samaan tiedostoon laitteessa. Jos todennus epäonnistuu, yhteyttä ei muodostetta.


Yksityistä avainta ja salasanaa ei käytetä yhdistetyille lisälaitteille.

Varmenteen lisääminen taulu-, pöytä- ja huonesarjalaitteisiin

1

Siirry https://admin.webex.com-asiakasnäkymästä Laitteet-sivulle ja valitse laite luettelosta. Siirry Tukeen ja käynnistä paikalliset laiteohjaimet .

Jos olet määrittänyt laitteelle paikallisen valvojan käyttäjän, voit käyttää Web-käyttöliittymää suoraan avaamalla Web-selaimen ja kirjoittamalla sen https://<endpoint ip- tai isäntänimeen>.

2

Siirry suojaus > Certificates > Custom > Add-varmenteeseen ja lataa varmenteen myöntäjän päävarmenteet.

3

Avaa avaa, luo yksityinen avain- ja varmennepyyntö. Kopioi varmennepyynnön sisältö. Liitä se sitten pyytääksesi palvelinvarmennetta varmenteen myöntäjältä.

4

Lataa myöntäjän allekirjoittama palvelinvarmenne. Varmista, että se on . PEM-muoto.

5

Siirry suojaus > Certificates > Services > Add-varmenteeseen ja lataa yksityinen avain ja palvelinvarmenne.

6

Ota käyttöön palvelut, joita haluat käyttää juuri lisätyssä varmennessa.

SCEP (Simple Certificate Enrollment Protocol)

ScEP (Simple Certificate Enrollment Protocol) tarjoaa automaattisen mekanismin esimerkiksi 802.1X-todennusta käyttäville ilmoittautumis- ja päivitysvarmenneille laitteissa. SCEP:n avulla voit ylläpitää laitteen pääsyn suojattuihin verkkoihin ilman manuaalista kaappausta.

  • Kun laite on uusi tai se on palautettu tehdasasetuksiin, se tarvitsee verkkoyhteyden päästäkseen SCEP URL-osoitteeseen. Laitteen tulee olla yhteydessä verkkoon ilman 802.1X-yhteyttä, jotta se saa IP-osoitteen.

  • Jos käytät langatonta ilmoittautumista SSID, sinun on määritettävä yhteys verkkoon lautalla -näytöillä.

  • Kun olet yhteydessä provisiointiverkkoon, laitteen ei tässä vaiheessa tarvitse olla tietyllä aluksellaolonäytöllä.

  • Jotta scep-ilmoittautumisten xAP-varmenteet sopivat kaikkiin käyttöönotoihin, ne eivät tallenna varmenteen myöntäjän varmennetta, jota käytetään laitevarmenteen allekirjoittamiseen. Palvelimen todennusta varten palvelimen varmenteen myöntäjän varmenne, jota käytetään palvelimen varmenteen vahvistamiseen, on lisättävä xOikeus- ja Suojausvarmenteiden myöntäjän lisäys -varmenteella.

Edellytykset

Tarvitset seuraavat tiedot:

  • SCEP-palvelimen URL.

  • Allekirjoittavan myöntäjän varmenteen (Certificate Authority) sormenjälki.

  • Ilmoittautumisvarmenteen tiedot. Tämä muodostaa varmenteen aiheen nimen .

    • Yleinen nimi

    • Maan nimi

    • Organisaation nimi

  • SCEP-palvelimen haastesalasana, jos olet määrittänyt SCEP-palvelimen määrittämään otp- tai jaetun salaisuuden määritystä varten.

Lähetämme varmenteen voimassaolon päättymistä varten vuoden kestäneen varmennepyynnön. Palvelinpuolen käytäntö voi muuttaa voimassaolon päättymispäivämäärää varmenteen allekirjoituksen aikana.

Ethernet-yhteys

Kun laite on yhdistetty verkkoon, varmista, että se voi käyttää SCEP-palvelinta. Laitteen tulee olla yhdistetty verkkoon ilman 802.1x-yhteyttä, jotta se saa IP-osoitteen. Laitteen MAC-osoite saattaa olla annettava provisiointiverkkoon, jotta se voi saada IP osoitteen. MAC-osoite löytyy käyttöliittymästä tai laitteen takaosasta.

Kun laite on yhdistetty verkkoon, voit SSH:n laitteelle järjestelmänvalvojana käyttää TSH:tä ja lähettää ilmoittautumispyyntö SCEP-pyynnön seuraavalla komennolla: 
xCont.suojausvarmenteiden palvelurekisteröinnin SCEP-pyyntö

Kun SCEP-palvelin palauttaa allekirjoitetun laitevarmenteen, aktivoi 802.1X ja käynnistä laite uudelleen.

Aktivoi allekirjoitettu varmenne:
xKirjaus- ja suojausvarmennepalvelut aktivoitu

Käynnistä laite uudelleen varmenteen aktivoinnin jälkeen.

Langaton yhteys

Kun laite on yhdistetty langattomaan verkkoon, varmista, että se voi käyttää SCEP-palvelinta.

Kun laite on yhdistetty verkkoon, voit SSH:n laitteelle järjestelmänvalvojana käyttää TSH:tä ja lähettää ilmoittautumispyyntö SCEP-pyynnön seuraavalla komennolla: 
xCont.suojausvarmenteiden palvelurekisteröinnin SCEP-pyyntö

Laite vastaanottaa allekirjoitetun varmenteen SCEP-palvelimesta.

Aktivoi allekirjoitettu varmenne: 

xKirjaus- ja suojausvarmennepalvelut aktivoitu
Aktivoinnin jälkeen sinun on määritettävä Wi-Fi-verkko EAP-TLS todennus. 
xFin ja Verkon Wifi-asetukset

Wi-Fi-määritykset ohittavat oletusarvoisesti palvelimen vahvistustarkastukset. Jos tarvitaan vain yksisuuntainen todennus, pidä AllowMissingCA oletusarvona Tosi.

Pakota palvelimen vahvistus varmista, että AllowMissingCA-valinnainen parametri on Epätosi. Jos yhteyttä ei saada muodostettu palvelun vahvistusvirheiden vuoksi, tarkista, että oikea myöntäjä on lisätty vahvistamaan palvelinvarmenne, joka voi olla eri kuin laitevarmenne.

API kuvaukset

Rooli: Järjestelmänvalvoja, integraattori

xCont.suojausvarmenteiden palvelurekisteröinnin SCEP-pyyntö

Pyytää ja lataa allekirjoitetun laitevarmenteen

Parametrit:

  • URL(r): <S: 0, 128>

    VARmenteen rekisteröinnissä käytettävä SCEP-palvelimen URL.

  • Sormenjälki (r): <S: 0, 128>

    Myöntäjän sormenjälki, joka allekirjoittaa X509-pyynnön.

  • Haastepassword: <S: 0, 128>

    SCEP-palvelimen asettama Jaettu salaus -salasana.

  • Yleinen nimi(r): <S: 0, 128>

  • CountryName: <S: 0, 128>

  • Organisaation nimi: <S: 0, 128>

  • SanDns[5]: <S: 0, 128>

  • SanEmail[5]: <S: 0, 128>

  • Käyttöohje[5]: <S: 0, 128>

  • SanUri[5]: <S: 0, 128>

xCont.suojausvarmenteiden palvelujen ilmoittautumispyyntö SCEP:n uusimispyyntö

Luo tai päivitä autorenewal-profiili, jota käytetään kaikkiin annetun myöntäjän myöntämiin varmenteisiin ennen varmenteen vanhentumista

Parametrit:

  • Sormenjälki(r): <S: 0, 128>

    Varmenteen myöntäjän sormenjälki, joka allekirjoitti varmenteet.

  • URL(r): <S: 0, 128>

    Varmenteen uusimiseen käytettävä SCEP-palvelimen URL. 

xCont.suojausvarmenteiden palvelurekisteröinnin SCEP-uusimisen poistaminen

Poista annetun myöntäjän automaattisesti uusittu profiili. Tämä pysäyttää tämän myöntäjän allekirjoittamat varmenteet automaattisesta uudelleenohjautumisesta

Parametrit:

  • Sormenjälki(r): <S: 0, 128>

    Tunnistetaan myöntäjän sormenjälki poisteltaessa.

xCont.suojausvarmenteiden palvelujen ilmoittautuminen SCEP:n uusimisluettelo

Luettele kaikki käytetyt automaattisen uudelleenohjauksen profiilit.