Voit lisätä varmenteita laitteen paikallisesta verkkokäyttöliittymästä. Vaihtoehtoisesti voit lisätä varmenteita suorittamalla API-komentoja. Katso, millä komennoilla voit lisätä varmenteita, osoitteesta roomos.cisco.com .

Palveluvarmenteet ja luotetut varmentajat

Varmenteen vahvistaminen voi olla tarpeen, kun käytetään TLS:ää (Transport Layer Security). Palvelin tai asiakas voi vaatia, että laite esittää niille voimassa olevan varmenteen ennen yhteyden muodostamista.

Varmenteet ovat tekstitiedostoja, jotka varmentavat laitteen aitouden. Näiden varmenteiden on oltava luotettavan varmentajan allekirjoittamia. Varmenteiden allekirjoituksen tarkistamiseksi laitteessa on oltava luettelo luotettavista varmentajista. Luettelon on sisällettävä kaikki varmentajat, joita tarvitaan varmenteiden tarkistamiseen sekä tarkastuksen kirjaamista että muita yhteyksiä varten.

Varmenteita käytetään seuraavissa palveluissa: HTTPS-palvelin, SIP, IEEE 802.1X ja audit-lokitus. Laitteeseen voi tallentaa useita varmenteita, mutta vain yksi varmenne on käytössä kullekin palvelulle kerrallaan.

Kun lisäät CA-varmenteen laitteeseen RoomOS October 2023:ssa ja uudemmissa versioissa, se sovelletaan myös Room Navigatoriin, jos sellainen on liitetty. Jos haluat synkronoida aiemmin lisätyt CA-varmenteet yhdistettyyn Room Navigatoriin, sinun on käynnistettävä laite uudelleen. Jos et halua, että oheislaitteet saavat samat varmenteet kuin laite, johon ne on liitetty, aseta asetusten Peripherals Security Certificates SyncToPeripherals -asetukseksi False.


Aiemmin tallennettuja varmenteita ei poisteta automaattisesti. CA-varmenteita sisältävän uuden tiedoston merkinnät liitetään olemassa olevaan luetteloon.

Wi-Fi-yhteyttä varten

Suosittelemme, että lisäät luotettavan CA-varmenteen jokaiseen Board-, Desk- tai Room Series -laitteeseen, jos verkossasi käytetään WPA-EAP-todennusta. Tämä on tehtävä erikseen jokaiselle laitteelle ja ennen Wi-Fi-yhteyden muodostamista.

Jos haluat lisätä varmenteita Wi-Fi-yhteyttäsi varten, tarvitset seuraavat tiedostot:

  • CA-varmenteen luettelo (tiedostomuoto: .PEM)

  • Varmenne (tiedostomuoto: .PEM)

  • Yksityinen avain, joko erillisenä tiedostona tai samassa tiedostossa varmenteen kanssa (tiedostomuoto: .PEM).

  • Tunnuslause (tarvitaan vain, jos yksityinen avain on salattu).

Varmenne ja yksityinen avain tallennetaan samaan tiedostoon laitteessa. Jos todennus epäonnistuu, yhteyttä ei muodosteta.


Yksityistä avainta ja salasanaa ei sovelleta liitettyihin oheislaitteisiin.

Varmenteiden lisääminen Board-, Desk- ja Room-sarjan laitteisiin.

1

Siirry asiakasnäkymässä osoitteessa https://admin.webex.com sivulle Devices ja valitse laitteesi luettelosta. Siirry osoitteeseen Support ja käynnistä Local Device Controls .

Jos olet määrittänyt laitteeseen paikallisen Admin -käyttäjän, voit käyttää verkkokäyttöliittymää suoraan avaamalla verkkoselaimen ja kirjoittamalla http(s)://.

2

Siirry osoitteeseen Turvallisuus > Varmenteet > Mukautettu > Lisää varmenne ja lataa CA-juurivarmenne(t).

3

Generoi openssl:ssä yksityinen avain ja varmennepyyntö. Kopioi varmennepyynnön sisältö. Liitä se sitten palvelinvarmenteen pyytämiseen varmentajalta (CA).

4

Lataa palvelinvarmenne, jonka varmentaja on allekirjoittanut. Varmista, että se on .PEM-muodossa.

5

Siirry osoitteeseen Suojaus > Varmenteet > Palvelut > Lisää varmenne ja lataa yksityinen avain ja palvelinvarmenne.

6

Ota käyttöön palvelut, joita haluat käyttää juuri lisäämässäsi varmenteessa.

Yksinkertainen varmenteen rekisteröintiprotokolla (SCEP)

SCEP (Simple Certificate Enrollment Protocol) tarjoaa automaattisen mekanismin varmenteiden rekisteröintiin ja päivittämiseen, joita käytetään esimerkiksi 802.1X-todennuksessa laitteissa. SCEP:n avulla voit ylläpitää laitteen pääsyä suojattuihin verkkoihin ilman manuaalisia toimenpiteitä.

  • Kun laite on uusi tai tehdasasetukset on palautettu, se tarvitsee verkkoyhteyden päästäkseen SCEP-URL-osoitteeseen. Laite on liitettävä verkkoon ilman 802.1X:ää IP-osoitteen saamiseksi.

  • Jos käytät langatonta rekisteröinti SSID-tunnusta, sinun on käytävä läpi käyttöönottonäytöt määrittääksesi yhteyden verkkoon.

  • Kun olet saanut yhteyden käyttöönottoverkkoon, laitteen ei tarvitse olla tässä vaiheessa tietyssä käyttöönottonäytössä.

  • Jotta SCEP Enrollment xAPI ei tallenna CA-varmentajaa, jota käytetään laitevarmenteen allekirjoittamiseen, kaikkiin käyttöönottoihin sopivaksi. Palvelimen todennusta varten palvelimen varmenteen vahvistamiseen käytettävä CA-varmenne on lisättävä osoitteessa xCommand Security Certificates CA Add.

Edellytykset

Tarvitset seuraavat tiedot:

  • SCEP-palvelimen URL-osoite.

  • Allekirjoittaneen CA (Certificate Authority) -varmenteen sormenjälki.

  • Rekisteröitävän todistuksen tiedot. Tämä muodostaa varmenteen Subject Name .

    • Yleinen nimi

    • Maan nimi

    • Organisaation nimi

  • SCEP-palvelimen haastesalasana, jos olet määrittänyt SCEP-palvelimen käyttämään OTP:tä tai jaettua salaisuutta.

Lähetämme varmennepyynnön, joka on voimassa vuoden ajan varmenteen voimassaolon päättymistä varten. Palvelinpuolen käytäntö voi muuttaa voimassaolon päättymispäivää varmenteen allekirjoittamisen aikana.

Ethernet-yhteys

Kun laite on liitetty verkkoon, varmista, että se voi käyttää SCEP-palvelinta. Laite on liitettävä verkkoon, jossa ei ole 802.1x IP-osoitteen saamiseksi. IP-osoitteen saamiseksi laitteen MAC-osoite on ehkä ilmoitettava käyttöönottoverkolle. MAC-osoite löytyy käyttöliittymästä tai laitteen takana olevasta tarrasta.

Kun laite on liitetty verkkoon, voit käyttää TSH:ta SSH:lla laitteeseen osoitteessa admin ja lähettää sitten seuraavan komennon Enrollment SCEP Request -pyynnön: 
xCommand Security Certificates Services Enrollment SCEP-pyyntö

Kun SCEP-palvelin palauttaa allekirjoitetun laitevarmenteen, aktivoi 802.1X ja käynnistä laite uudelleen.

Aktivoi allekirjoitettu varmenne:
xCommand Security Certificates -palvelut aktivoi

Käynnistä laite uudelleen varmenteen aktivoinnin jälkeen.

Langaton yhteys

Kun laite on liitetty langattomaan verkkoon, varmista, että se voi käyttää SCEP-palvelinta.

Kun laite on liitetty verkkoon, voit käyttää TSH:ta SSH:lla laitteeseen osoitteessa admin ja lähettää sitten seuraavan komennon Enrollment SCEP Request -pyynnön: 
xCommand Security Certificates Services Enrollment SCEP-pyyntö

Laite vastaanottaa allekirjoitetun varmenteen SCEP-palvelimelta.

Aktivoi allekirjoitettu varmenne: 

xCommand Security Certificates -palvelut aktivoi
Aktivoinnin jälkeen Wi-Fi-verkko on määritettävä EAP-TLS-todennuksen avulla. 
xCommand Network Wifi Configure (Verkon Wifi-konfigurointi)

Oletusarvoisesti Wi-Fi-konfiguraatio ohittaa palvelimen validointitarkistukset. Jos vaaditaan vain yksisuuntaista todennusta, pidä AllowMissingCA oletusarvona True.

Jos haluat pakottaa palvelimen validoinnin, varmista, että valinnainen parametri AllowMissingCA on asetettu arvoon False. Jos yhteyttä ei voida muodostaa palvelun validointivirheiden vuoksi, tarkista, että oikea varmentaja on lisätty tarkistamaan palvelimen varmenne, joka voi olla eri kuin laitteen varmenne.

API-kuvaukset

Rooli: Ylläpitäjä, integraattori

xCommand Security Certificates Services Enrollment SCEP-pyyntö

Pyytää ja lataa allekirjoitetun laitevarmenteen

Parametrit:

  • URL(r): <S: 0, 128>

    SCEP-palvelimen URL-osoite, jota käytetään varmenteen rekisteröintiin.

  • Sormenjälki (r): <S: 0, 128>

    Myöntävän varmentajan sormenjälki, joka allekirjoittaa X509-pyynnön.

  • ChallengePassword: <S: 0, 128>

    SCEP-palvelimen asettama jaettu salainen salasana.

  • CommonName(r): <S: 0, 128>

  • MaaNimi: <S: 0, 128>

  • OrganizationName: <S: 0, 128>

  • SanDns[5]: <S: 0, 128>

  • SanEmail[5]: <S: 0, 128>

  • SanIp[5]: <S: 0, 128>

  • SanUri[5]: <S: 0, 128>

xCommand Security Certificates Services Enrollment SCEP uusimispyyntö

Luo tai päivitä autorenewal-profiili, jota sovelletaan kaikkiin tietyn varmentajan myöntämiin varmenteisiin ennen varmenteiden vanhentumista.

Parametrit:

  • Sormenjälki (r): <S: 0, 128>

    Varmenteen myöntävän varmentajan sormenjälki, joka on allekirjoittanut varmenteet.

  • URL(r): <S: 0, 128>

    SCEP-palvelimen URL-osoite, jota käytetään varmenteiden uusimiseen. 

xCommand Security Certificates Services Enrollment SCEP Renewal Poista

Poistaa annetun CA:n automaattisesti uudistetun profiilin. Tämä estää tämän varmentajan allekirjoittamien varmenteiden automaattisen uusimisen.

Parametrit:

  • Sormenjälki (r): <S: 0, 128>

    Poistettava myöntävän varmentajan sormenjälki.

xCommand Security Certificates Services Enrollment SCEP Renewal List (xCommand-turvasertifikaattipalveluiden rekisteröinti SCEP-luettelo)

Luettelo kaikista tällä hetkellä käytetyistä automaattisista uusista profiileista.