Certifikate možete dodati s lokalnog web-sučelja uređaja. Certifikate možete dodati i pokretanjem naredbi API. Da biste vidjeli koje vam naredbe omogućuju dodavanje certifikata, pogledajte roomos.cisco.com .

Certifikati servisa i pouzdana nadležna tijela

Provjera valjanosti certifikata može biti potrebna kada koristite TLS (Transport Layer Security). Poslužitelj ili klijent može zahtijevati da im uređaj predoči valjani certifikat prije postavljanja komunikacije.

Certifikati su tekstualne datoteke koje potvrđuju autentičnost uređaja. Ove certifikate mora potpisati pouzdani Certificate Authority (CA). Da biste provjerili potpis certifikata, na uređaju se mora nalaziti popis pouzdanih nadležnih tijela. Popis mora sadržavati sva nadležna tijela potrebna za provjeru certifikata za zapisivanje nadzora i druge veze.

Certifikati se koriste za sljedeće usluge: HTTPS poslužitelj, SIP, IEEE 802.1X i zapisivanje nadzora. Na uređaj možete spremiti nekoliko certifikata, ali je istovremeno omogućen samo jedan certifikat za svaku uslugu.

U sustavu RoomOS u listopadu 2023. i novijem, kada uređaju dodate CA certifikat, on se primjenjuje i na Room Navigator ako je spojen. Za sinkronizaciju prethodno dodanih CA certifikata s povezanim Room Navigatorom morate ponovno pokrenuti uređaj. Ako ne želite da periferni uređaji dobivaju iste certifikate kao i uređaj s kojim je povezan, postavite konfiguraciju Sigurnosni certifikati periferije SyncToPeripherals na False.

Prethodno pohranjeni certifikati ne brišu se automatski. Unosi u novoj datoteci s CA certifikatima dodaju se postojećem popisu.

Za vezu Wi-Fi

Preporučujemo da dodate pouzdani CA certifikat za svaki uređaj Board, Desk ili Room Series ako vaša mreža koristi WPA-EAP provjeru autentičnosti. To morate učiniti pojedinačno za svaki uređaj i prije povezivanja s Wi-Fi.

Da biste dodali certifikate za vezu Wi-Fi, potrebne su vam sljedeće datoteke:

  • Popis CA certifikata (format datoteke: . PEM)

  • Certifikat (format datoteke: . PEM)

  • Privatni ključ, bilo kao zasebna datoteka ili uključen u istu datoteku kao i certifikat (format datoteke: . PEM)

  • Pristupni izraz (potreban samo ako je privatni ključ šifriran)

Certifikat i privatni ključ pohranjeni su u istoj datoteci na uređaju. Ako provjera autentičnosti ne uspije, veza neće biti uspostavljena.

Privatni ključ i pristupni izraz ne primjenjuju se na povezane periferne uređaje.

Dodavanje certifikata na uređaje Board, Stol i Serija soba

1

U korisničkom prikazu u https://admin.webex.com idite na stranicu Uređaji i odaberite uređaj s popisa. Idite na Podrška i pokrenite kontrole lokalnih uređaja.

Ako ste na uređaju postavili lokalnog administratora , web-sučelju možete pristupiti izravno tako da otvorite web-preglednik i upišete https://<endpoint ip ili naziv glavnog računala>.

2

Idite na Security > Certificates > Custom > Add Certificate i prenesite svoje CA korijenske certifikate.

3

Na openssl-u generirajte privatni ključ i zahtjev za certifikatom. Kopirajte sadržaj zahtjeva za certifikat. Zatim ga zalijepite da biste zatražili certifikat poslužitelja od pogreške Certificate Authority (CA).

4

Preuzmite certifikat poslužitelja koji je potpisao vaš CA. Provjerite nalazi li se u . PEM format.

5

Idite na Security > Certificates > Services > Add Certificate i prenesite privatni ključ i certifikat poslužitelja.

6

Omogućite usluge koje želite koristiti za certifikat koji ste upravo dodali.

Simple Certificate Enrollment Protocol (SCEP)

Simple Certificate Enrollment Protocol (SCEP) pruža automatizirani mehanizam za prijavu i osvježavanje certifikata koji se koriste, na primjer, 802.1X autentifikacije na uređajima. SCEP vam omogućuje održavanje pristupa uređaja sigurnim mrežama bez ručne intervencije.

  • Kada je uređaj nov ili je vraćen na tvorničke postavke, potreban mu je pristup mreži kako bi došao do SCEP URL-a. Uređaj treba spojiti na mrežu bez 802.1X kako bi dobio IP adresu.

  • Ako koristite bežičnu prijavu SSID, morate proći kroz zaslone za uključivanje kako biste konfigurirali vezu s mrežom.

  • Nakon što se povežete s mrežom za dodjelu resursa, uređaj u ovoj fazi ne mora biti na određenom zaslonu za uključivanje.

  • Kako bi odgovarao svim implementacijama, SCEP Enrollment xAPI-ji neće pohraniti CA certifikat koji se koristi za potpisivanje certifikata uređaja. Za provjeru autentičnosti poslužitelja, CA certifikat koji se koristi za provjeru valjanosti certifikata poslužitelja mora biti dodan s xCommand sigurnosnim certifikatima CA Add.

Preduvjeti

Potrebni su vam sljedeći podaci:

  • URL SCEP poslužitelja.

  • Otisak prsta potpisnog certifikata CA (Certificate Authority).

  • Informacije o certifikatu za upis. To čini naziv predmeta certifikata.

    • Zajednički naziv

    • Naziv države

    • Naziv države ili pokrajine

    • Naziv lokaliteta

    • Naziv organizacije

    • Organizacijska jedinica

  • Naziv predmeta bit će poredan kao /C= /ST= /L= /O= /OU= /CN=

  • Lozinka za izazov SCEP poslužitelja ako ste konfigurirali SCEP poslužitelj za nametanje OTP-a ili Dijeljene tajne.

Pomoću sljedeće naredbe možete postaviti potrebnu veličinu ključa za uparivanje ključeva zahtjeva za certifikatom. Zadano je 2048.

 xConfiguration Security Enrollment KeySize: <2048, 3072, 4096>

Šaljemo zahtjev za certifikatom koji vrijedi godinu dana za istek certifikata. Pravilo na strani poslužitelja može promijeniti datum isteka tijekom potpisivanja certifikata.

Ethernet veza

Kada je uređaj spojen na mrežu, provjerite može li pristupiti SCEP poslužitelju. Uređaj bi trebao biti povezan s mrežom bez 802.1x kako bi dobio IP adresu. Možda će biti potrebno navesti MAC adresu uređaja mreži dodjele resursa kako bi se dobila adresa IP. Adresu MAC možete pronaći na korisničkom sučelju ili na naljepnici na stražnjoj strani uređaja.

Nakon što se uređaj poveže s mrežom, možete SSH na uređaj kao administrator pristupiti TSH-u, a zatim pokrenuti sljedeću naredbu za slanje zahtjeva za upis u SCEP: 

xCommand usluge sigurnosnih certifikata Zahtjev za upis u SCEP

Nakon što SCEP poslužitelj vrati potpisani certifikat uređaja, aktivirajte 802.1X.

Aktivirajte potpisani certifikat:

xCommand servisi sigurnosnih certifikata - aktiviranje

Ponovno pokrenite uređaj nakon aktiviranja certifikata.

Bežična veza

Kada je uređaj spojen na bežičnu mrežu, provjerite može li pristupiti SCEP poslužitelju.

Nakon što se uređaj poveže s mrežom, možete SSH na uređaj kao administrator pristupiti TSH-u, a zatim pokrenuti sljedeću naredbu za slanje zahtjeva za upis u SCEP: 

xCommand usluge sigurnosnih certifikata Zahtjev za upis u SCEP

Uređaj dobiva potpisani certifikat sa SCEP poslužitelja.

Aktivirajte potpisani certifikat: 

xCommand servisi sigurnosnih certifikata - aktiviranje

Nakon aktiviranja morate konfigurirati mrežu Wi-Fi s EAP-TLS provjerom autentičnosti. 

Konfiguriranje wifi-ja za xCommand mrežu

Prema zadanim postavkama konfiguracija Wi-Fi preskače provjere provjere valjanosti poslužitelja. Ako je potrebna samo jednosmjerna provjera autentičnosti, zadržite AllowMissingCA zadanim na True.

Da biste prisilili provjeru valjanosti poslužitelja, provjerite je li neobavezni parametar AllowMissingCA postavljen na False. Ako nije moguće uspostaviti vezu zbog pogrešaka provjere valjanosti servisa, provjerite je li dodan ispravan CA za provjeru certifikata poslužitelja koji se može razlikovati od certifikata uređaja.

API opisi

Uloga: Admin, Integrator

xCommand usluge sigurnosnih certifikata Zahtjev za upis u SCEP

Šalje CSR danom SCEP poslužitelju na potpisivanje. Parametri CSR SubjectName konstruirat će se sljedećim redoslijedom: C, ST, L, O, O, OU, CN.

Parametara:

  • URL(r): <S: 0, 256>

    URL adresa SCEP poslužitelja.

  • Otisak prsta(r): <S: 0, 128>

    CA certifikat Otisak prsta koji će potpisati SCEP zahtjev CSR.

  • CommonName(r): <S: 0, 64>

    Dodaje "/CN=" nazivu predmeta CSR.

  • ChallengePassword: <S: 0, 256>

    OTP ili Shared Secret sa SCEP poslužitelja za pristup potpisivanju.

  • Naziv države: <S: 0, 2>

    Dodaje "/c=" nazivu predmeta CSR.

  • StateOrProvinceName: <S: 0, 64>

    Dodaje "/ST=" nazivu predmeta CSR.

  • LocalityName: <S: 0, 64>

    Dodaje "/l=" nazivu predmeta CSR.

  • OrganizationName: <S: 0, 64>

    Dodaje "/o=" nazivu predmeta CSR.

  • Organizacijska jedinica[5]: <S: 0, 64>

    Dodaje do 5 parametara "/OU=" nazivu predmeta CSR.

  • SanDns[5]: <S: 0, 64>

    Dodaje do 5 DNS parametara alternativnom nazivu predmeta CSR.

  • SanEmail[5]: <S: 0, 64>

    Dodaje do 5 parametara e-pošte alternativnom nazivu predmeta CSR.

  • SanIp[5]: <S: 0, 64>

    Dodaje do 5 Ip parametara alternativnom nazivu predmeta CSR.

  • SanUri[5]: <S: 0, 64>

    Dodaje do 5 URI parametara alternativnom nazivu predmeta CSR.

xCommand usluge sigurnosnih certifikata Profili za prijavu Izbriši

Briše profil za prijavu kako više ne bi obnavljao certifikate.

Parametara:

  • Otisak prsta(r): <S: 0, 128>

    Otisak prsta certifikata koji identificira profil koji želite ukloniti. Dostupne profile za uklanjanje možete vidjeti pokretanjem: 

    Popis profila za prijavu servisa xCommand Security Certificates

Popis profila za prijavu servisa xCommand Security Certificates

Navodi profile upisa za obnovu certifikata.

 xCommand usluge sigurnosnih certifikata Upisni SCEP profili Postavi otisak prsta(r): <S: 0, 128> URL(r): <S: 0, 256>

Dodajte profil za upis za certifikate koje je izdao ca, otisci prstiju da biste za obnovu upotrijebili navedeni URL- SCEP-a.

Obnova

 Skup SCEP profila za xCommand usluge sigurnosnih certifikata

Kako bi automatski obnovio certifikat, uređaj mora imati pristup SCEP URL-u koji može dati otkaz.

Jednom dnevno, uređaj će provjeriti ima li certifikata koji će isteći za 45 dana. Uređaj će zatim pokušati obnoviti te certifikate ako se njihov izdavatelj podudara s profilom.

NAPOMENA: Svi certifikati uređaja provjeravat će se radi obnove, čak i ako certifikat nije izvorno upisan pomoću SCEP-a.

Moreplovac

  1. Izravno upareno: Upisani certifikati mogu se aktivirati kao certifikat "Uparivanje".

  2. Daljinski uparen: recite navigatoru da upiše novi SCEP certifikat pomoću perifernog ID-a:

    xCommand periferni uređaji Usluge sigurnosnih certifikata Zahtjev za upis u SCEP 

    Profili za upis automatski se sinkroniziraju s uparenim navigatorom.

  3. Samostalni navigator: Isto kao i upis kodeka

Konfiguriranje provjere autentičnosti 802.1x na navigatoru soba

Autentifikaciju 802.1x možete postaviti izravno iz izbornika Postavke navigatora sobe.

Standard provjere autentičnosti 802.1x posebno je važan za Ethernet mreže i osigurava da samo ovlašteni uređaji imaju pristup mrežnim resursima. Možete koristiti korisničko ime i lozinku za provjeru autentičnosti mreže ili možete koristiti certifikate klijenta. Također je moguće koristiti oboje u isto vrijeme. Klijentski certifikati moraju se prenijeti putem API i aktivirati kako bi se koristila usluga 802.1x.

Postavljanje i ažuriranje certifikata za 802.1x mora se obaviti prije uparivanja Room Navigatora sa sustavom ili nakon tvorničkog resetiranja Room Navigatora.

Zadane vjerodajnice su administratorska i prazna lozinka. Dodatne informacije o dodavanju certifikata pristupom API potražite u najnovijoj verziji vodiča API.

  1. Otvorite upravljačku ploču na Navigatoru dodirom gumba u gornjem desnom kutu ili povlačenjem s desne strane. Zatim dodirnite Postavke uređaja.
  2. Idite na Mrežna veza i odaberite Ethernet .
  3. Prebacite mogućnost Uporaba protokola IEEE 802.1X na Uključeno.
    • Ako je provjera autentičnosti postavljena s vjerodajnicama, unesite korisnički identitet i pristupni izraz. Možete unijeti i anonimni identitet: ovo je neobavezno polje koje omogućuje odvajanje stvarnog identiteta korisnika od početnog zahtjeva za provjeru autentičnosti.
    • Možete prebaciti TLS Provjeriti isključeno ili uključeno. Kada je uključena provjera TLS, klijent aktivno provjerava autentičnost certifikata poslužitelja tijekom rukovanja TLS. Kada je TLS provjera isključena, klijent ne provodi aktivnu provjeru certifikata poslužitelja.
    • Ako ste prenijeli certifikat klijenta pristupanjem pogrešci API, uključite opciju Koristi klijentski certifikat .
    • Uključite metode koje želite koristiti Proširivi protokol provjere autentičnosti (EAP). Izbor metode EAP ovisi o specifičnim sigurnosnim zahtjevima, infrastrukturi i mogućnostima klijenta. Metode EAP ključne su za omogućavanje sigurnog i provjerenog pristupa mreži.