Vous pouvez ajouter des certificats à partir de l'interface web locale du périphérique. Vous pouvez également ajouter des certificats en exécutant API commandes. Pour voir quelles commandes vous permettent d'ajouter des certificats, reportez-vous à # roomos.cisco.com .

Certificats de service et autorités de certification approuvées

La validation du certificat peut être nécessaire lorsque vous utilisez TLS (Transport Layer Security). Un serveur ou un client peut exiger que l'appareil lui présente un certificat valide avant que la communication ne soit établie.

Les certificats sont des fichiers texte qui vérifient l'authenticité du périphérique. Ces certificats doivent être signés par une autorité de certification approuvée (CA). Pour vérifier la signature des certificats, une liste d'autorités de certification approuvées doit résider sur le périphérique. La liste doit inclure toutes les autorités de certification nécessaires pour vérifier les certificats pour la journalisation d'audit et les autres connexions.

Les certificats sont utilisés pour les services suivants : serveur HTTPS, SIP, IEEE 802.1X et la journalisation d'audit. Vous pouvez stocker plusieurs certificats sur le périphérique, mais seul un certificat est activé pour chaque service à la fois.

Dans RoomOS octobre 2023 et versions ultérieures, lorsque vous ajoutez un certificat d'autorité de certification à un appareil, il est également appliqué à un navigateur de salle s'il est connecté. Pour synchroniser les certificats d'autorité de certification précédemment ajoutés avec un navigateur de salle connecté, vous devez redémarrer le périphérique. Si vous ne souhaitez pas que les périphériques reçoivent les mêmes certificats que l'appareil auquel ils sont connectés, définissez la configuration Certificats de sécurité des périphériques SyncToPeripherals sur False.


Les certificats précédemment stockés ne sont pas supprimés automatiquement. Les entrées dans un nouveau fichier avec des certificats d'autorité de certification sont ajoutées à la liste existante.

Pour Wi-Fi connexion

Nous vous recommandons d'ajouter un certificat d'autorité de certification approuvé pour chaque périphérique Board, Desk ou Room Series, si votre réseau utilise l'authentification WPA-EAP. Vous devez le faire séparément pour chaque périphérique, et avant de vous connecter au réseau Wifi.

Pour ajouter des certificats pour votre connexion Wifi, vous avez besoin des fichiers suivants :

  • Liste de certificats d'autorité de certification (format de fichier : .PEM)

  • Certificat (format de fichier : .PEM)

  • Clé privée, soit sous forme de fichier séparé, soit incluse dans le même fichier que le certificat (format de fichier : .PEM)

  • Phrase secrète (nécessaire uniquement si la clé privée est chiffrée)

Le certificat et la clé privée sont stockés dans le même fichier sur le périphérique. Si l'authentification échoue, la connexion ne sera pas établie.


La clé privée et la phrase secrète ne sont pas appliquées aux périphériques connectés.

Ajouter des certificats sur des périphériques Board, Desk et Room Series

1

Dans la vue client en https://admin.webex.com , accédez à la page Périphériques et sélectionnez votre périphérique dans la liste. Accédez à Support et lancez Local Device Controls .

Si vous avez configuré un utilisateur administrateur local, vous pouvez accéder à l'interface web directement en ouvrant un navigateur web et en tapant https://<point de terminaison ip ou nom d'hôte >.

2

Accédez à Sécurité > Certificate > Personnalisé > Ajouter un certificat et téléchargez votre ou vos certificats d'autorité de certification racine.

3

Sur openssl, générez une demande de clé privée et de certificat. Copiez le contenu de la demande de certificat. Puis collez-le pour demander le certificat du serveur à partir de votre autorité de certification (CA).

4

Téléchargez le certificat de serveur signé par votre autorité de certification. Assurez-vous qu'il se trouve dans . PEM.

5

Accédez à Sécurité > Certificats > Services > Ajouter un certificat et charger la clé privée et le certificat de serveur.

6

Activez les services que vous souhaitez utiliser pour le certificat que vous venez d'ajouter.

Protocole simple d'enregistrement de certificats (SCEP)

Le protocole simple d'enregistrement de certificats (SCEP) fournit un mécanisme automatisé pour l'inscription et l'actualisation des certificats qui sont utilisés, par exemple, pour l'authentification 802.1X sur les appareils. SCEP vous permet de maintenir l'accès de l'appareil à des réseaux sécurisés sans intervention manuelle.

  • Lorsque le périphérique est neuf ou a été réinitialisé aux paramètres d'usine, il a besoin d'un accès réseau pour atteindre l'URL SCEP. Le périphérique doit être connecté au réseau sans 802.1X pour obtenir une adresse IP.

  • Si vous utilisez une SSID d'inscription sans fil, vous devez passer par les écrans d'intégration pour configurer la connexion avec le réseau.

  • Une fois connecté au réseau d'approvisionnement, l'appareil n'a pas besoin d'être sur un écran d'intégration particulier à ce stade.

  • Pour s'adapter à tous les déploiements, les xAPI d'inscription SCEP ne stockent pas le certificat d'autorité de certification utilisé pour signer le certificat de l'appareil. Pour l'authentification du serveur, le certificat d'autorité de certification utilisé pour valider le certificat du serveur doit être ajouté avec xCommand Security Certificates CA Add.

Prérequis

Vous avez besoin des informations ci-dessous :

  • URL du serveur SCEP.

  • Empreinte digitale du certificat d'autorité de certification (Certificate Authority) signataire.

  • Informations du certificat à inscrire. Ce nom constitue le nom de l'objet du certificat.

    • Nom commun

    • Nom du pays

    • Nom de l'organisation

  • Le mot de passe de défi du serveur SCEP si vous avez configuré le serveur SCEP pour appliquer un mot de passe à usage unique ou un secret partagé.

Nous envoyons une demande de certificat valable un an pour l'expiration du certificat. La stratégie côté serveur peut modifier la date d'expiration pendant la signature du certificat.

Connexion Ethernet

Lorsqu'un périphérique est connecté à un réseau, vérifiez qu'il peut accéder au serveur SCEP. L'appareil doit être connecté à un réseau sans 802.1x pour obtenir une adresse IP. Il peut être nécessaire de fournir l'adresse MAC du périphérique au réseau d'approvisionnement pour obtenir une adresse IP. L'adresse MAC se trouve dans l'interface utilisateur ou sur l'étiquette située à l'arrière de l'appareil.

Une fois l'appareil connecté au réseau, vous pouvez SSH à l'appareil en tant qu'administrateur pour accéder à TSH, puis exécuter la commande suivante pour envoyer la demande SCEP d'inscription : 
Demande SCEP d'inscription aux services de certificats de sécurité xCommand

Une fois que le serveur SCEP renvoie le certificat de périphérique signé, activez le périphérique 802.1X, puis redémarrez le périphérique.

Activez le certificat signé :
Les services de certificats de sécurité xCommand s'activent

Redémarrez l'appareil après avoir activé le certificat.

Connexion sans fil

Lorsqu'un périphérique est connecté à un réseau sans fil, vérifiez qu'il peut accéder au serveur SCEP.

Une fois l'appareil connecté au réseau, vous pouvez SSH à l'appareil en tant qu'administrateur pour accéder à TSH, puis exécuter la commande suivante pour envoyer la demande SCEP d'inscription : 
Demande SCEP d'inscription aux services de certificats de sécurité xCommand

Le périphérique reçoit le certificat signé à partir du serveur SCEP.

Activez le certificat signé : 

Les services de certificats de sécurité xCommand s'activent
Après l'activation, vous devez configurer le réseau Wi-Fi avec l'authentification EAP-TLS. 
xCommand Network Wifi Configurer

Par défaut, la configuration du Wi-Fi ignore les vérifications de validation du serveur. Si une seule authentification unidirectionnelle est requise, conservez AllowMissingCA par défaut sur True.

Pour forcer la validation du serveur, assurez-vous que le paramètre facultatif AllowMissingCA a la valeur False. Si une connexion ne peut pas être établie en raison d'erreurs de validation de service, vérifiez que l'autorité de certification correcte a été ajoutée pour vérifier le certificat du serveur, qui peut être différent du certificat du périphérique.

API descriptions

Rôle : Admin, Intégrateur

Demande SCEP d'inscription aux services de certificats de sécurité xCommand

Demande et télécharge un certificat de périphérique signé

Paramètres :

  • URL(r) : <S : 0, 128>

    URL du serveur SCEP utilisée pour inscrire un certificat.

  • Empreinte digitale (r) : <S : 0, 128>

    L'empreinte digitale de l'autorité de certification émettrice qui signera la requête X509.

  • ChallengePassword : <S : 0, 128>

    Mot de passe de secret partagé défini par le serveur SCEP.

  • Nom commun(r) : <S : 0, 128>

  • Nom du pays : <S : 0, 128>

  • Nom de l'organisation : <S : 0, 128>

  • SanDns[5] : <S : 0, 128>

  • SanEmail[5] : <S : 0, 128>

  • SanIp[5] : <S : 0, 128>

  • SanUri[5] : <S : 0, 128>

Inscription aux services de certificats de sécurité xCommand Demande de renouvellement SCEP

Créer ou mettre à jour un profil de renouvellement automatique appliqué à tous les certificats émis par l'autorité de certification donnée avant leur expiration

Paramètres :

  • Empreinte digitale : <S : 0, 128>

    Empreinte digitale de l'autorité de certification émettrice qui a signé les certificats.

  • URL(r) : <S : 0, 128>

    URL du serveur SCEP utilisée pour renouveler les certificats. 

xCommand Security Certificates Services Inscription SCEP Renewal (Renouvellement de SCEP)

Supprimez le profil renouvelé automatiquement pour l'autorité de certification donnée. Cela empêche les certificats signés par cette autorité de certification de se renouveler automatiquement

Paramètres :

  • Empreinte digitale : <S : 0, 128>

    L'empreinte digitale de l'autorité de certification émettrice à supprimer.

Liste de renouvellement SCEP des services de certificats de sécurité xCommand

Répertorie tous les profils de renouvellement automatique actuellement utilisés.