WiFi-802.1X/802.1X ili HTTPS certifikate možete dodati pojedinačnim uređajima i povezanim perifernim uređajima.
Certifikate možete dodati s lokalnog web-sučelja uređaja. Certifikate možete dodati i pokretanjem naredbi API. Da biste vidjeli koje vam naredbe omogućuju dodavanje certifikata, pogledajte roomos.cisco.com .
Certifikati servisa i pouzdana nadležna tijela
Provjera valjanosti certifikata može biti potrebna kada koristite TLS (Transport Layer Security). Poslužitelj ili klijent može zahtijevati da im uređaj predoči valjani certifikat prije postavljanja komunikacije.
Certifikati su tekstualne datoteke koje potvrđuju autentičnost uređaja. Ove certifikate mora potpisati pouzdana ustanova za izdavanje certifikata (CA). Da biste provjerili potpis certifikata, na uređaju se mora nalaziti popis pouzdanih nadležnih tijela. Popis mora sadržavati sva nadležna tijela potrebna za provjeru certifikata za zapisivanje nadzora i druge veze.
Certifikati se koriste za sljedeće usluge: HTTPS poslužitelj, SIP, IEEE 802.1X i zapisivanje nadzora. Na uređaj možete spremiti nekoliko certifikata, ali je istovremeno omogućen samo jedan certifikat za svaku uslugu.
U sustavu RoomOS u listopadu 2023. i novijem, kada uređaju dodate CA certifikat, on se primjenjuje i na Room Navigator ako je spojen. Za sinkronizaciju prethodno dodanih CA certifikata s povezanim Room Navigatorom morate ponovno pokrenuti uređaj. Ako ne želite da periferni uređaji dobivaju iste certifikate kao i uređaj s kojim je povezan, postavite konfiguraciju Sigurnosni certifikati periferije SyncToPeripherals na False.
 |
Prethodno pohranjeni certifikati ne brišu se automatski. Unosi u novoj datoteci s CA certifikatima dodaju se postojećem popisu. |
Za Wi-Fi vezu
Preporučujemo da dodate pouzdani CA certifikat za svaki uređaj s pločom, stolom ili serijom soba, ako vaša mreža koristi WPA-EAP provjeru autentičnosti. To morate učiniti pojedinačno za svaki uređaj i prije nego što se povežete s Wi-Fi.
Da biste dodali certifikate za Wi-Fi vezu, potrebne su vam sljedeće datoteke:
-
Popis CA certifikata (format datoteke: . PEM)
-
Certifikat (format datoteke: . PEM)
-
Privatni ključ, bilo kao zasebna datoteka ili uključen u istu datoteku kao i certifikat (format datoteke: . PEM)
-
Pristupni izraz (potreban samo ako je privatni ključ šifriran)
Certifikat i privatni ključ pohranjeni su u istoj datoteci na uređaju. Ako provjera autentičnosti ne uspije, veza neće biti uspostavljena.
|
Privatni ključ i pristupni izraz ne primjenjuju se na povezane periferne uređaje. |
Dodavanje certifikata na uređajima serije Board, Table i Room Series
| 1 |
U korisničkom prikazu u https://admin.webex.com idite na stranicu Uređaji i odaberite uređaj s popisa. Idite na Podrška i pokrenite kontrole lokalnih uređaja. Ako ste na uređaju postavili lokalnog administratora , web-sučelju možete pristupiti izravno tako da otvorite web-preglednik i upišete https://<endpoint ip ili naziv glavnog računala>. |
| 2 |
Idite na i prenesite svoje CA korijenske certifikate. |
| 3 |
Na openssl-u generirajte privatni ključ i zahtjev za certifikatom. Kopirajte sadržaj zahtjeva za certifikat. Zatim ga zalijepite da biste zatražili certifikat poslužitelja od ustanove za izdavanje certifikata (CA). |
| 4 |
Preuzmite certifikat poslužitelja koji je potpisao vaš CA. Provjerite nalazi li se u . PEM format. |
| 5 |
Idite na i prenesite privatni ključ i certifikat poslužitelja. |
| 6 |
Omogućite usluge koje želite koristiti za certifikat koji ste upravo dodali. |
Simple Certificate Enrollment Protocol (SCEP)
Simple Certificate Enrollment Protocol (SCEP) pruža automatizirani mehanizam za upis i osvježavanje certifikata koji se koriste za primjerice provjeru autentičnosti 802.1X na uređajima. SCEP vam omogućuje održavanje pristupa uređaja sigurnim mrežama bez ručne intervencije.
-
Kada je uređaj nov ili je vraćen na tvorničke postavke, potreban mu je pristup mreži kako bi došao do SCEP URL-a. Uređaj treba spojiti na mrežu bez 802.1X kako bi dobio IP adresu.
-
Ako koristite bežični SSID za prijavu, morate proći kroz zaslone za uključivanje kako biste konfigurirali vezu s mrežom.
-
Nakon što se povežete s mrežom za dodjelu resursa, uređaj u ovoj fazi ne mora biti na određenom zaslonu za uključivanje.
-
Kako bi odgovarao svim implementacijama, SCEP Enrollment xAPI-ji neće pohraniti CA certifikat koji se koristi za potpisivanje certifikata uređaja. Za provjeru autentičnosti poslužitelja, CA certifikat koji se koristi za provjeru valjanosti certifikata poslužitelja mora biti dodan s xCommand sigurnosnim certifikatima CA Add.
Preduvjeti
Potrebni su vam sljedeći podaci:
-
URL SCEP poslužitelja.
-
Otisak prsta potpisnog certifikata CA (Certificate Authority).
-
Informacije o certifikatu za upis. To čini naziv predmeta certifikata.
-
Zajednički naziv
-
Naziv države
-
Naziv organizacije
-
-
Lozinka za izazov SCEP poslužitelja ako ste konfigurirali SCEP poslužitelj za nametanje OTP-a ili Dijeljene tajne.
Šaljemo zahtjev za certifikatom koji vrijedi godinu dana za istek certifikata. Pravilo na strani poslužitelja može promijeniti datum isteka tijekom potpisivanja certifikata.
Ethernet veza
Kada je uređaj spojen na mrežu, provjerite može li pristupiti SCEP poslužitelju. Uređaj bi trebao biti povezan s mrežom bez 802.1x kako bi dobio IP adresu. Možda će biti potrebno navesti MAC adresu uređaja mreži za dodjelu resursa kako bi se dobila adresa IP. MAC adresu možete pronaći na korisničkom sučelju ili na naljepnici na stražnjoj strani uređaja.
xCommand usluge sigurnosnih certifikata Zahtjev za upis u SCEP Nakon što SCEP poslužitelj vrati potpisani certifikat uređaja, aktivirajte 802.1X, a zatim ponovno pokrenite uređaj.
xCommand servisi sigurnosnih certifikata - aktiviranje Ponovno pokrenite uređaj nakon aktiviranja certifikata.
Bežična veza
Kada je uređaj spojen na bežičnu mrežu, provjerite može li pristupiti SCEP poslužitelju.
xCommand usluge sigurnosnih certifikata Zahtjev za upis u SCEP Uređaj dobiva potpisani certifikat sa SCEP poslužitelja.
Aktivirajte potpisani certifikat:
xCommand servisi sigurnosnih certifikata - aktiviranjeKonfiguriranje wifi-ja za xCommand mrežu Prema zadanim postavkama konfiguracija Wi-Fi preskače provjere provjere valjanosti poslužitelja. Ako je potrebna samo jednosmjerna provjera autentičnosti, zadržite AllowMissingCA zadanim na True.
Da biste prisilili provjeru valjanosti poslužitelja, provjerite je li neobavezni parametar AllowMissingCA postavljen na False. Ako nije moguće uspostaviti vezu zbog pogrešaka provjere valjanosti servisa, provjerite je li dodan ispravan CA za provjeru certifikata poslužitelja koji se može razlikovati od certifikata uređaja.
API opisi
Uloga: Admin, Integrator
xCommand usluge sigurnosnih certifikata Zahtjev za upis u SCEPTraži i preuzima potpisani certifikat uređaja
Parametara:
-
URL(r): <S: 0, 128>
URL SCEP poslužitelja koji se koristi za registraciju certifikata.
-
Otisak prsta (r): <S: 0, 128>
Otisak prsta izdavatelja koji će potpisati zahtjev X509.
-
ChallengePassword: <S: 0, 128>
Zajednička tajna lozinka koju je postavio SCEP poslužitelj.
-
CommonName(r): <S: 0, 128>
-
Naziv države: <S: 0, 128>
-
Naziv organizacije: <S: 0, 128>
-
SanDns[5]: <S: 0, 128>
-
SanEmail[5]: <S: 0, 128>
-
SanIp[5]: <S: 0, 128>
-
SanUri[5]: <S: 0, 128>
xCommand usluge sigurnosnih certifikata Zahtjev za obnovu SCEP-aStvorite ili ažurirajte profil autorenewal koji se primjenjuje na sve certifikate koje je izdao dani izdavatelj certifikata prije isteka certifikata
Parametara:
-
Otisak prsta(r): <S: 0, 128>
Otisak prsta ca koji je potpisao certifikate.
-
URL(r): <S: 0, 128>
URL SCEP poslužitelja koji se koristi za obnavljanje certifikata.
xCommand usluge sigurnosnih certifikata Upisno brisanje SCEP-aUklonite automatski obnovljeni profil za navedeni ca. Time se onemogućuje automatsko obnavljanje certifikata koje je potpisao ovaj izdavatelj certifikata
Parametara:
-
Otisak prsta(r): <S: 0, 128>
Izdavanje ca otisak prsta ukloniti.
xCommand usluge sigurnosnih certifikata Upisni popis SCEP-aPopis svih trenutno korištenih automatskih profila.
