Vous pouvez ajouter des certificats à partir de l'interface web locale du périphérique. Vous pouvez également ajouter des certificats en exécutant les commandes API. Pour voir quelles commandes vous permettent d'ajouter des certificats, reportez-vous à # roomos.cisco.com .

Certificats de service et autorités de certification de confiance

La validation du certificat peut être nécessaire lorsque vous utilisez TLS (Transport Layer Security). Un serveur ou un client peut exiger que l'appareil lui présente un certificat valide avant que la communication ne soit établie.

Les certificats sont des fichiers texte qui vérifient l'authenticité du périphérique. Ces certificats doivent être signés par une autorité de certification approuvée (CA). Pour vérifier la signature des certificats, une liste d'autorités de certification de confiance doit résider sur l'appareil. La liste doit inclure toutes les autorités de certification nécessaires pour vérifier les certificats pour la journalisation d'audit et les autres connexions.

Les certificats sont utilisés pour les services suivants : serveur HTTPS, SIP, IEEE 802.1X et la journalisation d'audit. Vous pouvez stocker plusieurs certificats sur le périphérique, mais seul un certificat est activé pour chaque service à la fois.

Sur RoomOS octobre 2023 et versions ultérieures, lorsque vous ajoutez un certificat d'autorité de certification à un appareil, il est également appliqué à un navigateur de salle si celui-ci est connecté. Pour synchroniser les certificats d'autorité de certification précédemment ajoutés à un Room Navigator connecté, vous devez redémarrer l'appareil. Si vous ne souhaitez pas que les périphériques obtiennent les mêmes certificats que l'appareil auquel ils sont connectés, définissez la valeur False sur la configuration Peripherals Security Certificates SyncToPeripherals .

Les certificats précédemment stockés ne sont pas supprimés automatiquement. Les entrées dans un nouveau fichier avec des certificats d'autorité de certification sont ajoutées à la liste existante.

Pour la connexion Wi-Fi

Nous vous recommandons d'ajouter un certificat d'autorité de certification approuvé pour chaque périphérique Board, Desk ou Room Series, si votre réseau utilise l'authentification WPA-EAP. Vous devez le faire séparément pour chaque périphérique, et avant de vous connecter au réseau Wifi.

Pour ajouter des certificats pour votre connexion Wifi, vous avez besoin des fichiers suivants :

  • Liste de certificats d'autorité de certification (format de fichier : .PEM)

  • Certificat (format de fichier : .PEM)

  • Clé privée, soit sous forme de fichier séparé, soit incluse dans le même fichier que le certificat (format de fichier : .PEM)

  • Phrase secrète (nécessaire uniquement si la clé privée est chiffrée)

Le certificat et la clé privée sont stockés dans le même fichier sur le périphérique. Si l'authentification échoue, la connexion ne sera pas établie.

Le certificat et sa clé privée ne sont pas appliqués aux périphériques connectés.

Ajouter des certificats sur les appareils Board, Desk et Room Series

1

À partir de la vue client dans https://admin.webex.com , accédez à la page Appareils et sélectionnez votre appareil dans la liste. Accédez à Support et lancez les contrôles locaux de l'appareil.

Si vous avez configuré un utilisateur administrateur local, vous pouvez accéder à l'interface web directement en ouvrant un navigateur web et en tapant https://<point de terminaison ip ou nom d'hôte >.

2

Accédez à Sécurité > Certificate > Personnalisé > Ajouter un certificat et téléchargez votre ou vos certificats d'autorité de certification racine.

3

Sur openssl, générez une demande de clé privée et de certificat. Copiez le contenu de la demande de certificat. Puis collez-le pour demander le certificat du serveur à partir de votre autorité de certification (CA).

4

Téléchargez le certificat de serveur signé par votre autorité de certification. Assurez-vous qu'il se trouve au format . format PEM.

5

Accédez à Sécurité > Certificats > Services > Ajouter un certificat et charger la clé privée et le certificat de serveur.

6

Activez les services que vous souhaitez utiliser pour le certificat que vous venez d'ajouter.

Générer une demande de signature de certificat (CSR)

Les administrateurs doivent générer une demande de signature de certificat (CSR) à partir du Control Hub pour un appareil Board, Desk ou Room Series enregistré dans le cloud.

Procédez comme suit pour générer un CSR et télécharger un certificat signé sur votre appareil :

  1. À partir de la vue client dans Control Hub, accédez à la page Appareils et sélectionnez votre appareil dans la liste.
  2. Accédez à Actions > exécuter xCommand > > certificats de sécurité > CSR > créer.
  3. Entrez les détails du certificat requis et sélectionnez Exécuter.
  4. Copiez tout le texte entre ----DÉBUT DE LA DEMANDE DE CERTIFICAT---- et ----FIN DE LA DEMANDE DE CERTIFICAT----.
  5. Utilisez un Certificate Authority (CA) de votre choix pour signer le CSR.
  6. Exportez le certificat signé au format PEM (encodé en Base64).
  7. Ouvrez le fichier de certificat signé dans un éditeur de texte (par exemple, le Bloc-notes) et copiez tout le texte entre ----BEGIN CERTIFICATE---- et ----END CERTIFICATE----.
  8. Dans Control Hub, accédez à Appareils > sélectionnez votre appareil > actions > exécuter xCommand > certificats de sécurité > > lien CSR >.
  9. Collez le contenu du certificat copié dans la section Corps et sélectionnez Exécuter.
  10. Actualisez la page pour vérifier que le certificat apparaît sous Certificat existant.

Protocole SCEP (Simple Certificate Enrollment Protocol)

Le protocole SCEP (Simple Certificate Enrollment Protocol) fournit un mécanisme automatisé pour l'inscription et l'actualisation des certificats qui sont utilisés, par exemple, l'authentification 802.1X sur les appareils. SCEP vous permet de maintenir l'accès de l'appareil à des réseaux sécurisés sans intervention manuelle.

  • Lorsque l'appareil est neuf ou a été réinitialisé aux paramètres d'usine, il a besoin d'un accès réseau pour atteindre l'URL SCEP. L'appareil doit être connecté au réseau sans 802.1X pour obtenir une adresse IP.

  • Si vous utilisez une inscription sans fil SSID, parcourez les écrans d'intégration pour configurer la connexion avec le réseau.

  • Une fois que vous êtes connecté au réseau d'approvisionnement, il n'est pas nécessaire que l'appareil figure sur un écran d'intégration particulier.

  • Pour s'adapter à tous les déploiements, les xAPI d'inscription SCEP ne stockent pas le certificat d'autorité de certification utilisé pour signer le certificat de l'appareil. Pour l'authentification du serveur, le certificat de l'autorité de certification utilisé pour valider le certificat du serveur doit être ajouté à l'aide de l'application de l'application de l'autorité de certification xCommand.

Prérequis

Vous avez besoin des informations ci-dessous :

  • URL du serveur SCEP.

  • Empreinte digitale du certificat de l'autorité de certification signataire (Certificate Authority).

  • Informations sur le certificat à inscrire. Il s'agit du nom de l'objet du certificat.

    • Nom commun

    • Nom du pays

    • Nom de l'État ou de la province

    • Nom de la localité

    • Nom de l'organisation

    • Unité organisationnelle

  • Le nom du sujet sera ordonné comme suit : /C= /ST= /L= /O= /OU= /CN=
  • Mot de passe d'authentification du serveur SCEP si vous avez configuré le serveur SCEP pour appliquer un OTP ou un secret partagé.

Vous pouvez définir la taille de clé requise pour la paire de clés de demande de certificat à l'aide de la commande suivante. La valeur par défaut est 2048.

 Clé d'inscription à la sécurité xConfigurationTaille : <2048, 3072, 4096>

Nous envoyons une demande de certificat valable un an pour l'expiration du certificat. La stratégie côté serveur peut modifier la date d'expiration lors de la signature du certificat.

Connexion Ethernet

Lorsqu'un périphérique est connecté à un réseau, assurez-vous qu'il peut accéder au serveur SCEP. L'appareil doit être connecté à un réseau sans 802.1x pour obtenir une adresse IP. Il peut être nécessaire de fournir l'adresse MAC de l'appareil au réseau d'approvisionnement afin d'obtenir une adresse IP. L'adresse MAC se trouve sur l'interface utilisateur ou sur l'étiquette à l'arrière de l'appareil.

Une fois que l'appareil est connecté au réseau, vous pouvez vous connecter à l'appareil en tant qu'administrateur pour accéder à TSH, puis exécuter la commande suivante pour envoyer la demande SCEP d'inscription :

xCommand Security Certificats Services Enrôlement Demande SCEP 

Une fois que le serveur SCEP a renvoyé le certificat de périphérique signé, activez la norme 802.1X.

Activez le certificat signé :

xCommand Security Certificats Services Activer 

Redémarrez l'appareil après avoir activé le certificat.

Connexion sans fil

Lorsqu'un périphérique est connecté à un réseau sans fil, assurez-vous qu'il peut accéder au serveur SCEP.

Une fois que l'appareil est connecté au réseau, vous pouvez vous connecter à l'appareil en tant qu'administrateur pour accéder à TSH, puis exécuter la commande suivante pour envoyer la demande SCEP d'inscription :

xCommand Security Certificats Services Enrôlement Demande SCEP 

L'appareil reçoit le certificat signé du serveur SCEP.

Activez le certificat signé :

xCommand Security Certificats Services Activer

Après l'activation, vous devez configurer le réseau Wi-Fi avec l'authentification EAP-TLS.

xCommand Network Wifi Configurer 

Par défaut, la configuration Wi-Fi ignore les vérifications de validation du serveur. Si seule l'authentification unidirectionnelle est requise, conservez la valeur par défaut True .

Pour forcer la validation du serveur, assurez-vous que le paramètre facultatif AllowMissingCA est défini sur False. Si une connexion ne peut pas être établie en raison d'erreurs de validation de service, vérifiez que l'autorité de certification correcte a été ajoutée pour vérifier le certificat du serveur qui peut être différent du certificat de l'appareil.

API descriptions

Rôle : Admin, Intégrateur

xCommand Security Certificats Services Enrôlement Demande SCEP

Envoie un CSR à un serveur SCEP donné pour signature. Les paramètres CSR SubjectName seront construits dans l'ordre suivant : C, ST, L, O, OO, NC.

Paramètres :

  • URL(r) : <S : 0, 256>

    L'adresse URL du serveur SCEP.

  • Empreinte digitale (r) : <S : 0, 128>

    Empreinte digitale du certificat CA qui signera la demande SCEP CSR.

  • Nom commun(r) : <S : 0, 64>

    Ajoute « /CN= » au nom du sujet CSR.

  • ChallengeMot de passe : <S : 0, 256>

    OTP ou secret partagé à partir du serveur SCEP pour l'accès à la signature.

  • PaysNom : <S : 0, 2>

    Ajoute « /C= » au nom du sujet CSR.

  • ÉtatOuProvinceNom : <S : 0, 64>

    Ajoute « /ST= » au nom du sujet CSR.

  • LocalitéNom : <S : 0, 64>

    Ajoute « /L= » au nom du sujet CSR.

  • Nom de l'organisation : <S : 0, 64>

    Ajoute « /O= » au nom du sujet CSR.

  • Unité organisationnelle[5] : <S : 0, 64>

    Ajoute jusqu'à 5 paramètres « /OU= » au nom du sujet CSR.

  • SanDns[5] : <S : 0, 64>

    Ajoute jusqu'à 5 paramètres DNS au nom alternatif du sujet CSR.

  • SanEmail[5] : <S : 0, 64>

    Ajoute jusqu'à 5 paramètres d'e-mail à l'autre nom de l'objet CSR.

  • SanIp[5] : <S : 0, 64>

    Ajoute jusqu'à 5 paramètres Ip au nom alternatif du sujet CSR.

  • SanUri[5] : <S : 0, 64>

    Ajoute jusqu'à 5 paramètres URI au nom alternatif du sujet CSR.

xCommand Sécurité Certificats Services Enrôlement Profils Supprimer

Supprime un profil d'inscription pour ne plus renouveler les certificats.

Paramètres :

  • Empreinte digitale : <S : 0, 128>

    L'empreinte digitale du certificat d'autorité de certification qui identifie le profil que vous souhaitez supprimer. Vous pouvez voir les profils disponibles à supprimer en cours d'exécution :

    Liste des profils d'inscription des services de certificats de sécurité xCommand

Liste des profils d'inscription des services de certificats de sécurité xCommand

Répertorie les profils d'inscription pour le renouvellement de certificat.

 Inscription des services de certificats de sécurité xCommand Définition des profils SCEP Empreinte digitale : <S : 0, 128> URL(r) : <S : 0, 256>

Ajoutez un profil d'inscription pour les certificats émis par l'empreinte d'autorité de certification afin d'utiliser l'URL SCEP donnée pour le renouvellement.

Renouvellement

 Enregistrement des services de certificats de sécurité xCommand Ensemble des profils SCEP

Pour renouveler automatiquement le certificat, l'appareil doit pouvoir accéder à l'URL SCEP qui peut signer le certificat.

Une fois par jour, l'appareil vérifie les certificats qui expireront dans 45 jours. L'appareil tentera ensuite de renouveler ces certificats si leur émetteur correspond à un profil.

REMARQUE : le renouvellement de tous les certificats d'appareil sera vérifié, même si le certificat n'a pas été initialement inscrit à l'aide de SCEP.

Navigateur

  1. Jumelage direct : les certificats inscrits peuvent être activés en tant que certificat "Couplage".

  2. Jumelé à distance : demandez au navigateur d'inscrire un nouveau certificat SCEP à l'aide de l'ID du périphérique :

    xCommand Périphériques Certificats de sécurité Services d'inscription Demande SCEP 

    Les profils d'inscription sont automatiquement synchronisés avec le navigateur jumelé.

  3. Navigateur autonome : identique à l'inscription des codecs

Configurer l'authentification 802.1x sur Room Navigator

Vous pouvez configurer l'authentification 802.1x directement à partir du menu Paramètres du navigateur de salle.

La norme d'authentification 802.1x est particulièrement importante pour les réseaux Ethernet ; elle garantit que seuls les périphériques autorisés sont autorisés à accéder aux ressources réseau.

Différentes options de connexion sont disponibles en fonction de la méthode EAP configurée dans votre réseau. Par exemple :

  • TLS : Le nom d'utilisateur et le mot de passe ne sont pas utilisés.
  • PEAP : Les certificats ne sont pas utilisés.
  • TTLS : le nom d'utilisateur/mot de passe et les certificats sont requis ; ni l'un ni l'autre n'est facultatif.

Il existe plusieurs façons d'obtenir le certificat client sur un appareil :

  1. Chargez le PEM : utilisez la fonctionnalité Ajouter des services de certificats de sécurité.
  2. Créez le CSR : Générez une demande de signature de certificat (CSR), signez-la et liez-la à l'aide des certificats de sécurité CSR Créer/Lier.
  3. SCEP : utiliser la demande SCEP d'inscription aux services de certificats de sécurité.
  4. DHCP Option 43 : Configurez la livraison du certificat via cette option.

La configuration et la mise à jour des certificats pour 802.1x doivent être effectuées avant le couplage du navigateur de salle à un système ou après la réinitialisation du navigateur de salle.

Les informations d'authentification par défaut sont admin et mot de passe vide. Pour plus d'informations sur la façon d'ajouter des certificats en accédant au API, consultez la dernière version du guide API.

  1. Ouvrez le panneau de commande du navigateur en appuyant sur le bouton dans le coin supérieur droit ou en balayant à partir du côté droit. Puis, appuyez sur sur Paramètres du périphérique.
  2. Accédez à Connexion réseau et sélectionnez Ethernet .
  3. Basculez l'option Utiliser IEEE 802.1X sur Activer.
    • Si l'authentification est configurée avec des informations d'identification, saisissez l'identité de l'utilisateur et la phrase secrète. Vous pouvez également saisir une identité anonyme : il s'agit d'un champ facultatif qui permet de séparer l'identité de l'utilisateur réel de la demande d'authentification initiale.
    • Vous pouvez activer# TLS Vérifier . Lorsque la vérification TLS est activée, le client vérifie activement l'authenticité du certificat du serveur lors de la négociation TLS. Lorsque TLS verify est désactivé, le client n'effectue pas de vérification active du certificat du serveur.
    • Si vous avez téléchargé un certificat client en accédant au API, activez Utiliser le certificat client.
    • Active ou désactivez les méthodes EAP (Extensible Authentication Protocol) que vous souhaitez utiliser. Le choix de la méthode EAP dépend des exigences spécifiques en matière de sécurité, de l'infrastructure et des capacités du client. Les méthodes EAP sont cruciales pour permettre un accès réseau sécurisé et authentifié.