Voit lisätä varmenteita laitteen paikallisesta Web-käyttöliittymästä. Voit vaihtoehtoisesti lisätä varmenteita suorittamalla API komentoa. Lisätietoja varmenteen lisäämisen sallimista komennoista on kohdassa roomos.cisco.com .

Palveluvarmenteet ja luotetut myöntäjävirastot

Varmenteen vahvistus voi olla pakollinen, kun TLS (Siirtokerrossuojaus) käytetään. Palvelin tai asiakas voi edellyttää, että laite esittää heille kelvollisen varmenteen, ennen kuin yhteys on määritetty.

Varmenteet ovat tekstitiedostoja, jotka varmistavat laitteen todennuksen. Luotetun varmenteen myöntäjän on allekirjoitettava nämä varmenteet. Varmenteen allekirjoituksen tarkistamiseksi laitteessa on oltava luettelo luotetuista yhteyspalveluista. Luetteloon on sisällyttävä kaikki varmenteet, joita tarvitaan sekä valvontakirjauksen että muiden yhteyksien varmenteen tarkistamiseen.

Varmenteita käytetään seuraavissa palveluissa: HTTPS-palvelin, SIP, IEEE 802.1X ja audit-kirjaus. Voit tallentaa laitteelle useita varmenteita, mutta kullekin palvelulle on kerrallaan käytössä vain yksi varmenne.

RoomOS-sovelluksessa lokakuussa 2023 ja myöhemmin, kun lisäät myöntäjän varmenteen laitteeseen, sitä käytetään myös huoneen navigointilaitteeseen, jos sellainen on yhdistetty. Jos haluat synkronoida aiemmin lisätyt myöntäjän varmenteet yhdistettyyn huonekäytävään, käynnistä laite uudelleen. Jos et halua, että lisälaitteet saavat samat varmenteet kuin laite, johon se on yhdistetty, määritä kokoonpanon Lisälaitteiden suojausvarmenteet synkronoidaan epätodeksi.

Aiemmin tallennettuja varmenteita ei poisteta automaattisesti. Uuden tiedoston, jossa on myöntäjävarmenteet, merkinnät liitetään olemassa olevaan luetteloon.

Wi-Fi-yhteyden osalta

Suosittelemme, että lisäät luotetun myöntäjän varmenteen kullekin taulu-, pöytä- tai huonesarjalaitteelle, jos verkko käyttää WPA-EAP-todennusta. Sinun on tehtävä tämä erikseen kunkin laitteen kohdalla ja ennen yhteyden muodostamista Wi-Fi.

Voit lisätä Wi-Fi-yhteyden varmenteita seuraavilla tiedostoilla:

  • Myöntäjän varmenneluettelo (tiedoston muoto: . PEM)

  • Varmenne (tiedostomuoto: . PEM)

  • Yksityinen avain joko erillisenä tiedostona tai samassa tiedostossa kuin varmenne (tiedostomuoto: . PEM)

  • Tunnuslause (pakollinen vain, jos yksityinen avain on salattu)

Varmenne ja yksityinen avain tallennetaan samaan tiedostoon laitteessa. Jos todennus epäonnistuu, yhteyttä ei muodostetta.

Yksityistä avainta ja salasanaa ei käytetä yhdistetyille lisälaitteille.

Varmenteen lisääminen taulu-, pöytä- ja huonesarjalaitteisiin

1

Siirry https://admin.webex.com-asiakasnäkymästä Laitteet-sivulle ja valitse laite luettelosta. Siirry Tukeen ja käynnistä paikalliset laiteohjaimet .

Jos olet määrittänyt laitteelle paikallisen valvojan käyttäjän, voit käyttää Web-käyttöliittymää suoraan avaamalla Web-selaimen ja kirjoittamalla sen https://<endpoint ip- tai isäntänimeen>.

2

Siirry suojaus > Certificates > Custom > Add-varmenteeseen ja lataa varmenteen myöntäjän päävarmenteet.

3

Avaa avaa, luo yksityinen avain- ja varmennepyyntö. Kopioi varmennepyynnön sisältö. Liitä se sitten pyytääksesi palvelinvarmennetta varmenteen myöntäjältä.

4

Lataa myöntäjän allekirjoittama palvelinvarmenne. Varmista, että se on . PEM-muoto.

5

Siirry suojaus > Certificates > Services > Add-varmenteeseen ja lataa yksityinen avain ja palvelinvarmenne.

6

Ota käyttöön palvelut, joita haluat käyttää juuri lisätyssä varmennessa.

SCEP (Simple Certificate Enrollment Protocol)

ScEP (Simple Certificate Enrollment Protocol) tarjoaa automaattisen mekanismin esimerkiksi 802.1X-todennusta käyttävien varmenneiden ilmoittautumiseen ja virkistysvarmenteisiin laitteissa. SCEP:n avulla voit ylläpitää laitteen pääsyn suojattuihin verkkoihin ilman manuaalista kaappausta.

  • Kun laite on uusi tai se on palautettu tehdasasetuksiin, se tarvitsee verkkoyhteyden päästäkseen SCEP URL-osoitteeseen. Laitteen tulee olla yhteydessä verkkoon ilman 802.1X-yhteyttä, jotta se saa IP-osoitteen.

  • Jos käytät langatonta ilmoittautumista SSID, sinun on määritettävä yhteys verkkoon lautalla -näytöillä.

  • Kun olet yhteydessä provisiointiverkkoon, laitteen ei tässä vaiheessa tarvitse olla tietyllä aluksellaolonäytöllä.

  • Jotta scep-ilmoittautumisten xAP-varmenteet sopivat kaikkiin käyttöönotoihin, ne eivät tallenna varmenteen myöntäjän varmennetta, jota käytetään laitevarmenteen allekirjoittamiseen. Palvelimen todennusta varten palvelimen varmenteen myöntäjän varmenne, jota käytetään palvelimen varmenteen vahvistamiseen, on lisättävä xOikeus- ja Suojausvarmenteiden myöntäjän lisäys -varmenteella.

Edellytykset

Tarvitset seuraavat tiedot:

  • SCEP-palvelimen URL.

  • Allekirjoittavan myöntäjän varmenteen (Certificate Authority) sormenjälki.

  • Ilmoittautumisvarmenteen tiedot. Tämä muodostaa varmenteen aiheen nimen .

    • Yleinen nimi

    • Maan nimi

    • Tilan tai provinssin nimi

    • Kielinimi

    • Organisaation nimi

    • Organisaatioyksikkö

  • Aiheen nimi tilataan nimellä /C= /ST= /L= /O= /OU= /CN=

  • SCEP-palvelimen haastesalasana, jos olet määrittänyt SCEP-palvelimen määrittämään otp- tai jaetun salaisuuden määritystä varten.

Voit määrittää varmennepyynnön avainpairille tarvittavan avaimen koon seuraavalla komennolla. Oletus on 2048.

 xConfiguration Security Enrollment KeySize: <2048, 3072, 4096>

Lähetämme varmenteen voimassaolon päättymistä varten vuoden kestäneen varmennepyynnön. Palvelinpuolen käytäntö voi muuttaa voimassaolon päättymispäivämäärää varmenteen allekirjoituksen aikana.

Ethernet-yhteys

Kun laite on yhdistetty verkkoon, varmista, että se voi käyttää SCEP-palvelinta. Laitteen tulee olla yhdistetty verkkoon ilman 802.1x-yhteyttä, jotta se saa IP-osoitteen. Laitteen MAC-osoite saattaa olla annettava provisiointiverkkoon, jotta se voi saada IP osoitteen. MAC-osoite löytyy käyttöliittymästä tai laitteen takaosasta.

Kun laite on yhdistetty verkkoon, voit SSH:n laitteelle järjestelmänvalvojana käyttää TSH:tä ja lähettää ilmoittautumispyyntö SCEP-pyynnön seuraavalla komennolla: 

xCont.suojausvarmenteiden palvelurekisteröinnin SCEP-pyyntö

Kun SCEP-palvelin palauttaa allekirjoitetun laitevarmenteen, aktivoi 802.1X.

Aktivoi allekirjoitettu varmenne:

xKirjaus- ja suojausvarmennepalvelut aktivoitu

Käynnistä laite uudelleen varmenteen aktivoinnin jälkeen.

Langaton yhteys

Kun laite on yhdistetty langattomaan verkkoon, varmista, että se voi käyttää SCEP-palvelinta.

Kun laite on yhdistetty verkkoon, voit SSH:n laitteelle järjestelmänvalvojana käyttää TSH:tä ja lähettää ilmoittautumispyyntö SCEP-pyynnön seuraavalla komennolla: 

xCont.suojausvarmenteiden palvelurekisteröinnin SCEP-pyyntö

Laite vastaanottaa allekirjoitetun varmenteen SCEP-palvelimesta.

Aktivoi allekirjoitettu varmenne: 

xKirjaus- ja suojausvarmennepalvelut aktivoitu

Aktivoinnin jälkeen sinun on määritettävä Wi-Fi-verkko EAP-TLS todennus. 

xFin ja Verkon Wifi-asetukset

Wi-Fi-määritykset ohittavat oletusarvoisesti palvelimen vahvistustarkastukset. Jos tarvitaan vain yksisuuntainen todennus, pidä AllowMissingCA oletusarvona Tosi.

Pakota palvelimen vahvistus varmista, että AllowMissingCA-valinnainen parametri on Epätosi. Jos yhteyttä ei saada muodostettu palvelun vahvistusvirheiden vuoksi, tarkista, että oikea myöntäjä on lisätty vahvistamaan palvelinvarmenne, joka voi olla eri kuin laitevarmenne.

API kuvaukset

Rooli: Järjestelmänvalvoja, integraattori

xCont.suojausvarmenteiden palvelurekisteröinnin SCEP-pyyntö

Lähettää CSR annettuun SCEP-palvelimeen allekirjoitusta varten. CSR SubjectName -parametrit määritetään seuraavassa järjestyksessä: C, ST, L, O, OUs, CN.

Parametrit:

  • URL(r): <S: 0, 256>

    SCEP-palvelimen URL-osoite.

  • Sormenjälki(r): <S: 0, 128>

    SCEP-pyynnön allekirjoittavan myöntäjän varmennetunnuksen CSR.

  • Yleinen nimi(r): <S: 0, 64>

    Lisää CSR aiheen nimeen "/CN=".

  • Haastepassword: <S: 0, 256>

    OTP tai Jaettu salaisuus SCEP-palvelimesta, jotta voit käyttää allekirjoitusta.

  • CountryName: <S: 0, 2>

    Lisää CSR aiheen nimeen "/C=".

  • StateOrProvinceName: <S: 0, 64>

    Lisää CSR aiheen nimeen "/ST=".

  • Kielinimi: <S: 0, 64>

    Lisää CSR aiheen nimeen "/L=".

  • Organisaation nimi: <S: 0, 64>

    Lisää CSR aiheen nimeen "/O=".

  • OrganizationalUnit[5]: <S: 0, 64>

    Lisää enintään 5 "/OU=" -parametria CSR aiheen nimeen.

  • SanDns[5]: <S: 0, 64>

    Lisää enintään viisi Dns-parametria CSR Aiheen vaihtoehtoinen nimi.

  • SanEmail[5]: <S: 0, 64>

    Lisää enintään viisi sähköpostiparametria CSR Aiheen vaihtoehtoinen nimi.

  • Käyttöohje[5]: <S: 0, 64>

    Lisää enintään 5 Ip-parametria CSR Aiheen vaihtoehtoinen nimi.

  • SanUri[5]: <S: 0, 64>

    Lisää enintään 5 Uri-parametria CSR Aiheen vaihtoehtoinen nimi.

xKäytäntö- ja suojausvarmenteiden palvelujen ilmoittautumisprofiilien poistaminen

Poistaa ilmoittautumisprofiilin, jotta varmenteita ei enää uusita.

Parametrit:

  • Sormenjälki(r): <S: 0, 128>

    Poistetun varmenteen yksilöivä tunnus. Voit saada sormenjälkitunnuksen suorittamalla:

     xKirjaus- ja suojausvarmennepalvelujen show

xKäytäntöjen ja suojausvarmenteiden palvelujen ilmoittautumisprofiilien luettelo

Luettelee varmenteen uusimisen ilmoittautumisprofiilit.

 xCont-suojausvarmenteiden palvelujen ilmoittautuminen SCEP-profiilit määritä sormenjälki(r): <S: 0, 128> URL(r): <S: 0, 256>

Lisää uusi varmenne

Uusiminen

 xCont.varmenteiden ja suojausvarmenteiden palvelujen ilmoittautumisen SCEP-profiilit on asetettu

Jotta varmenne voidaan uusia automaattisesti, laitteen on voitava käyttää SCEP Url -osoitetta, joka voi riitauttaa varmenteen.

Kerran päivässä laite tarkistaa varmenteet, jotka vanhenevat 45 päivän kuluttua. Laite yrittää sitten uusia tämän varmenteen, jos laitteen myöntäjä vastaa profiilia.

HUOMAUTUS: Kaikki laitevarmenteet tarkistetaan uusimista varten, vaikka varmennetta ei alun perin olisi rekisteröity SCEP:n avulla.

Merenkulkija

  1. Suora yhdistäminen: Ilmoittautumisvarmenteet voidaan aktivoida "Yhdistäminen"-varmenteeksi.

  2. Etäpari: Pyydä navigaattoria rekisteröimään uusi SCEP-varmenne lisälaitteen tunnuksella:

    xCont.lisälaitteiden suojausvarmenteiden palvelurekisteröinti SCEP-pyyntö 

    Ilmoittautumisprofiilit synkronoidaan automaattisesti yhdistetyn navigaattorin kanssa.

  3. Erillinen navigointi: Sama kuin koodekkirekisteröinnit