Vous pouvez ajouter des certificats à partir de l’interface Web locale du périphérique. Sinon, vous pouvez ajouter des certificats en exécutant des commandes API. Pour voir les commandes qui vous permettent d’ajouter des certificats, voir roomos.cisco.com .

Certificats de service et autorités de certification de confiance

La validation du certificat peut être requise lors de l’utilisation de TLS (Transport Layer Security). Un serveur ou un client peut exiger que le périphérique leur présente un certificat valide avant que la communication ne soit définie.

Les certificats sont des fichiers texte qui vérifient l’authenticité du périphérique. Ces certificats doivent être signés par une autorité de certification (AC) de confiance. Pour vérifier la signature des certificats, une liste des autorités de certification approuvées doit résider sur le périphérique. La liste doit inclure tous les CAs nécessaires pour vérifier les certificats à la fois pour la journalisation d’audit et autres connexions.

Les certificats sont utilisés pour les services suivants : Serveur HTTPS, SIP, IEEE 802.1X et journalisation d’audit. Vous pouvez stocker plusieurs certificats sur le périphérique, mais un seul certificat est activé pour chaque service à la fois.

Sur RoomOS octobre 2023 et versions ultérieures, lorsque vous ajoutez un certificat d’autorité de certification à un périphérique, il est également appliqué à un navigateur de salle s’il est connecté. Pour synchroniser les certificats d'autorité de certification précédemment ajoutés à un navigateur de salle connecté, vous devez redémarrer le périphérique. Si vous ne souhaitez pas que les périphériques obtiennent les mêmes certificats que le périphérique auquel il est connecté, configurez la configuration Certificats de sécurité des périphériques SyncToPeripherals sur Faux.


Les certificats précédemment stockés ne sont pas supprimés automatiquement. Les saisies dans un nouveau fichier avec les certificats des AC sont annexées à la liste existante.

Pour la connexion Wifi

Nous vous recommandons d'ajouter un certificat d'autorité de certification approuvé pour chaque périphérique de la série Board, Desk ou Room, si votre réseau utilise l'authentification WPA-EAP. Vous devez le faire individuellement pour chaque périphérique et avant de vous connecter au réseau Wi-Fi.

Pour ajouter des certificats pour votre connexion Wi-Fi, vous devez avoir les fichiers suivants :

  • Liste des certificats d'autorité de certification (format de fichier : .PEM)

  • Certificat (format de fichier : .PEM)

  • Clé privée, sous forme de fichier séparé ou incluse dans le même fichier que le certificat (format de fichier : .PEM)

  • Phrase-passe (requise uniquement si la clé privée est chiffrée)

Le certificat et la clé privée sont stockés dans le même fichier sur le périphérique. Si l’authentification échoue, la connexion ne sera pas établie.


La clé privée et le mot de passe ne sont pas appliqués aux périphériques connectés.

Ajouter des certificats sur les périphériques de la série Board, Desk et Room

1

À partir de l’affichage du https://admin.webex.com client dans , allez à la page Périphériques et sélectionnez votre périphérique dans la liste. Allez à Assistance et lancez Commandes des périphériques locaux.

Si vous avez configuré un utilisateur Admin local sur le périphérique, vous pouvez accéder directement à l'interface Web en ouvrant un navigateur Web et en saisissant http(s)://.

2

Accédez à sécurité > certificats > personnalisés > ajouter un certificat et chargez votre/vos certificat racine(s) d’ac.

3

Sur openssl, générz une clé privée et une demande de certificat. Copiez le contenu de la demande de certificat. Puis collez-le pour demander le certificat du serveur à partir de votre autorité de certification (AC).

4

Téléchargez le certificat de serveur signé par votre AC. Assurez-vous qu’il est dans . format PEM.

5

Accédez à sécurité > certificats > services > ajouter un certificat et chargez la clé privée et le certificat du serveur.

6

Activez les services que vous souhaitez utiliser pour le certificat que vous venez d'ajouter.

Protocole simple d'enregistrement de certificat (SCEP)

Le protocole SCEP (Simple Certificate Enrollment Protocol) fournit un mécanisme automatisé pour l'enregistrement et l'actualisation des certificats qui sont utilisés, par exemple, pour l'authentification 802.1X sur les périphériques. SCEP vous permet de conserver l'accès du périphérique à des réseaux sécurisés sans intervention manuelle.

  • Lorsque le périphérique est nouveau, ou a été réinitialisé aux paramètres d'usine, il doit avoir accès au réseau pour atteindre l'URL SCEP. Le périphérique doit être connecté au réseau sans 802.1X pour obtenir une adresse IP.

  • Si vous utilisez un SSID d'inscription sans fil, vous devez passer par les écrans d'intégration pour configurer la connexion avec le réseau.

  • Une fois que vous êtes connecté au réseau de mise à disposition, le périphérique n'a pas besoin d'être sur un écran d'intégration particulier à ce stade.

  • Pour s’adapter à tous les déploiements, les xAPIs d’inscription SCEP ne stockent pas le certificat d’autorité de certification utilisé pour signer le certificat du périphérique. Pour l'authentification du serveur, le certificat de l'autorité de certification qui est utilisé pour valider le certificat du serveur doit être ajouté avec xCommand Security Certificates CA Add.

Prérequis

Vous avez besoin des informations suivantes :

  • URL du serveur SCEP.

  • Empreinte digitale du certificat de l'autorité de certification (CA) signataire.

  • Informations sur le certificat à enregistrer. Ceci constitue le Nom du sujet du certificat.

    • Nom commun

    • Nom du pays

    • Nom de l’organisation

  • Mot de passe d'interrogation du serveur SCEP si vous avez configuré le serveur SCEP pour appliquer un MOT DE PASSE À USAGE UNIQUE ou un secret partagé.

Nous envoyons une demande de certificat valable un an pour l'expiration du certificat. La politique côté serveur peut modifier la date d'expiration lors de la signature du certificat.

Connexion Ethernet

Lorsqu'un périphérique est connecté à un réseau, assurez-vous qu'il peut accéder au serveur SCEP. Le périphérique doit être connecté à un réseau sans 802.1x pour obtenir une adresse IP. Il se peut que l'adresse MAC du périphérique doive être fournie au réseau de mise à disposition pour obtenir une adresse IP. L'adresse MAC se trouve sur l'interface utilisateur ou sur l'étiquette à l'arrière du périphérique.

Une fois que le périphérique est connecté au réseau, vous pouvez envoyer SSH au périphérique en tant qu'administrateur pour accéder à TSH, puis exécuter la commande suivante pour envoyer la demande d'inscription SCEP : 
xCommand Security Certificates Services Inscription Demande SCEP

Une fois que le serveur SCEP a renvoyé le certificat de périphérique signé, activez 802.1X, puis redémarrez le périphérique.

Activer le certificat signé :
Activation des services de certificats de sécurité xCommand

Redémarrez le périphérique après avoir activé le certificat.

Connexion sans fil

Lorsqu'un périphérique est connecté à un réseau sans fil, vérifiez qu'il peut accéder au serveur SCEP.

Une fois que le périphérique est connecté au réseau, vous pouvez envoyer SSH au périphérique en tant qu'administrateur pour accéder à TSH, puis exécuter la commande suivante pour envoyer la demande d'inscription SCEP : 
xCommand Security Certificates Services Inscription Demande SCEP

Le périphérique reçoit le certificat signé du serveur SCEP.

Activer le certificat signé : 

Activation des services de certificats de sécurité xCommand
Après l'activation, vous devez configurer le réseau Wi-Fi avec l'authentification EAP-TLS. 
Configuration du réseau Wifi xCommand

Par défaut, la configuration Wi-Fi ignore les vérifications de validation du serveur. Si une authentification unique est requise, alors gardez AllowMissingCA par défaut sur Vrai.

Pour forcer la validation du serveur, vérifiez que le paramètre facultatif AllowMissingCA est configuré sur False (Faux). Si une connexion ne peut pas être établie en raison d'erreurs de validation de service, vérifiez que l'autorité de certification correcte a été ajoutée pour vérifier le certificat du serveur qui peut être différent du certificat du périphérique.

Descriptions de l’API

Rôle : Administrateur, intégrateur

xCommand Security Certificates Services Inscription Demande SCEP

Demande et télécharge un certificat de périphérique signé

Paramètres:

  • URL(r) : <S : 0, 128>

    URL du serveur SCEP utilisée pour enregistrer un certificat.

  • Empreinte digitale (r) : <S : 0, 128>

    Empreinte digitale de l'autorité de certification émettrice qui signera la demande X509.

  • Mot de passe du défi : <S : 0, 128>

    Mot de passe secret partagé configuré par le serveur SCEP.

  • Nom commun(r) : <S : 0, 128>

  • Nom du pays : <S : 0, 128>

  • Nom de l’entreprise : <S : 0, 128>

  • SanDns[5] : <S : 0, 128>

  • SanEmail[5] : <S : 0, 128>

  • SanIp[5] : <S : 0, 128>

  • SanUri[5] : <S : 0, 128>

xCommand Security Certificates Services Inscription Demande de renouvellement SCEP

Créer ou mettre à jour un profil de renouvellement automatique qui est appliqué à tous les certificats émis par l'autorité de certification donnée avant l'expiration des certificats

Paramètres:

  • Empreinte digitale (r) : <S : 0, 128>

    Empreinte digitale de l'autorité de certification émettrice qui a signé les certificats.

  • URL(r) : <S : 0, 128>

    URL du serveur SCEP utilisée pour renouveler les certificats. 

xCommand Security Certificates Services Inscription Renouvellement SCEP Supprimer

Supprimez le profil de saisie automatique pour l'autorité de certification donnée. Ceci empêche les certificats qui sont signés par cette AC de s’auto-intégrer

Paramètres:

  • Empreinte digitale (r) : <S : 0, 128>

    L'empreinte digitale de l'autorité de certification émettrice à supprimer.

xCommand Security Certificates Services Inscription Liste de renouvellement SCEP

Lister tous les profils d'ouverture automatique actuellement utilisés.