Možete dodati certifikate s lokalnog web sučelja uređaja. Alternativno, možete dodati certifikate pokretanjem API naredbi. Da biste vidjeli koje naredbe vam omogućuju dodavanje certifikata, pogledajte roomos.cisco.com.

Certifikati usluga i pouzdani CA-ovi

Provjera valjanosti certifikata može biti potrebna kada se koristi TLS (Transport Layer Security). Poslužitelj ili klijent može zahtijevati da mu uređaj dostavi valjani certifikat prije nego što se uspostavi komunikacija.

Certifikati su tekstualne datoteke koje provjeravaju autentičnost uređaja. Ove potvrde mora potpisati pouzdano tijelo za izdavanje potvrda (CA). Kako biste provjerili potpis certifikata, na uređaju mora biti naveden popis pouzdanih CA-ova. Popis mora sadržavati sve CA-ove potrebne za provjeru certifikata za evidenciju revizije i druge veze.

Certifikati se koriste za sljedeće usluge: HTTPS poslužitelj, SIP, IEEE 802.1X i revizijska evidencija. Možete pohraniti nekoliko certifikata na uređaj, ali samo jedan certifikat je omogućen za svaku uslugu u isto vrijeme.

U sustavu RoomOS od listopada 2023. i kasnije, kada dodate CA certifikat na uređaj, primjenjuje se i na Room Navigator ako je povezan. Kako biste sinkronizirali prethodno dodane CA certifikate s povezanim navigatorom sobe, morate ponovno pokrenuti uređaj. Ako ne želite da periferni uređaji dobiju iste certifikate kao i uređaj s kojim je povezan, postavite konfiguraciju Sigurnosni certifikati perifernih uređaja SyncToPeripherals na False.


Prethodno pohranjeni certifikati ne brišu se automatski. Unosi u novu datoteku s CA certifikatima prilažu se postojećem popisu.

Za Wi-Fi vezu

Preporučujemo da dodate pouzdani CA certifikat za svaki uređaj iz serije Board, Desk ili Room, ako vaša mreža upotrebljava WPA-EAP provjeru autentičnosti. To morate učiniti pojedinačno za svaki uređaj i prije spajanja na Wi-Fi.

Da biste dodali certifikate za Wi-Fi vezu, potrebne su vam sljedeće datoteke:

  • Popis CA certifikata (format datoteke: .PEM)

  • Certifikat (format datoteke: .PEM)

  • Privatni ključ, ili kao zasebna datoteka ili uključen u istu datoteku kao i certifikat (format datoteke: .PEM)

  • Lozinka (obavezno samo ako je privatni ključ šifriran)

Certifikat i privatni ključ pohranjuju se u istoj datoteci na uređaju. Ako provjera autentičnosti ne uspije, veza neće biti uspostavljena.


Na povezane periferne uređaje ne primjenjuju se privatni ključ i pristupna točka.

Dodajte certifikate na uređaje iz serija Board, Desk i Room

1

Iz korisničkog prikaza u https://admin.webex.com , idite na stranicu Uređaji i odaberite svoj uređaj na popisu. Idite na Podrška i pokrenite lokalne kontrole uređaja .

Ako ste postavili lokalnog administratorskog korisnika na uređaju, web-sučelju možete pristupiti izravno otvaranjem web-preglednika i upisivanjem u http(s)://.

2

Idi na Sigurnost > Certifikati > Prilagođeno > Dodaj Certifikat i prenesi svoje CA korijenske certifikate.

3

Na openssl-u generirajte privatni ključ i zahtjev za certifikatom. Kopirajte sadržaj zahtjeva za certifikatom. Zatim ga zalijepite kako biste zatražili certifikat poslužitelja od nadležnog tijela za izdavanje certifikata (CA).

4

Preuzmite certifikat poslužitelja koji je potpisao vaš CA. Provjerite je li u .PEM formatu.

5

Idite na Sigurnost > Certifikati > Usluge > Dodajte Certifikat i učitajte privatni ključ i certifikat poslužitelja.

6

Omogućite usluge koje želite upotrebljavati za certifikat koji ste upravo dodali.

Jednostavni protokol za upis certifikata (SCEP)

Simple Certificate Enrollment Protocol (SCEP) pruža automatizirani mehanizam za upis i osvježavanje certifikata koji se koriste, primjerice, za provjeru autentičnosti 802.1X na uređajima. SCEP vam omogućuje održavanje pristupa uređaja sigurnim mrežama bez ručne intervencije.

  • Kada je uređaj nov ili je vraćen na tvorničke postavke, potreban mu je mrežni pristup kako bi dosegnuo SCEP URL. Uređaj bi trebao biti povezan s mrežom bez 802.1X da bi se dobila IP adresa.

  • Ako koristite bežični SSID za upis, morate proći kroz zaslone za omogućavanje kako biste konfigurirali vezu s mrežom.

  • Nakon što se povežete s mrežom za omogućavanje, uređaj u ovoj fazi ne mora biti na određenom zaslonu za omogućavanje.

  • Da biste prilagodili sve implementacije, xAPI-ji za SCEP upis neće pohraniti CA certifikat koji se upotrebljava za potpisivanje certifikata uređaja. Za provjeru autentičnosti poslužitelja potrebno je dodati CA certifikat koji se upotrebljava za provjeru valjanosti certifikata poslužitelja uz xCommand Security Certificates CA Add.

Preduvjeti

Trebaju vam sljedeće informacije:

  • URL SCEP poslužitelja.

  • Otisak prsta potpisnika certifikata CA (Certificate Authority).

  • Podaci certifikata za upis. To čini Naziv predmeta certifikata.

    • Zajednički naziv

    • Naziv države

    • Naziv organizacije

  • Lozinka za izazov za SCEP poslužitelj ako ste konfigurirali SCEP poslužitelj za provođenje OTP ili dijeljene tajne.

Šaljemo zahtjev za certifikat koji vrijedi jednu godinu za istek certifikata. Pravila na strani poslužitelja mogu promijeniti datum isteka tijekom potpisivanja certifikata.

Ethernet veza

Kada je uređaj povezan s mrežom, provjerite može li pristupiti SCEP poslužitelju. Uređaj treba biti povezan s mrežom bez 802.1x da bi se dobila IP adresa. MAC adresa uređaja možda će biti potrebna mreži za dodjelu resursa radi dobivanja IP adrese. MAC adresa možete pronaći na korisničkom sučelju ili na oznaci na poleđini uređaja.

Nakon što je uređaj povezan s mrežom, možete SSH na uređaj kao administrator za pristup TSH-u, a zatim pokrenuti sljedeću naredbu za slanje SCEP zahtjeva za upis: 
Zahtjev za upis SCEP-a za usluge sigurnosti xCommand

Nakon što SCEP poslužitelj vrati potpisani certifikat uređaja, aktivirajte 802.1X i ponovno pokrenite uređaj.

Aktivirajte potpisani certifikat:
Usluge sigurnosnog certifikata xCommand – aktivirati

Ponovno pokrenite uređaj nakon aktivacije certifikata.

Bežična veza

Kada je uređaj spojen na bežičnu mrežu, provjerite može li pristupiti SCEP poslužitelju.

Nakon što je uređaj povezan s mrežom, možete SSH na uređaj kao administrator za pristup TSH-u, a zatim pokrenuti sljedeću naredbu za slanje SCEP zahtjeva za upis: 
Zahtjev za upis SCEP-a za usluge sigurnosti xCommand

Uređaj prima potpisani certifikat s SCEP poslužitelja.

Aktivirajte potpisani certifikat: 

Usluge sigurnosnog certifikata xCommand – aktivirati
Nakon aktivacije morate konfigurirati Wi-Fi mrežu s EAP-TLS provjerom autentičnosti. 
Konfiguriranje xCommand WiFi mreže

Prema zadanim postavkama, Wi-Fi konfiguracija preskače provjere valjanosti poslužitelja. Ako je potrebna samo jednosmjerna provjera autentičnosti, AllowMissingCA ostavite zadanim na True.

Kako biste prisilno provjerili valjanost poslužitelja, provjerite je li neobavezni parametar AllowMissingCA postavljen na Netočno. Ako se veza ne može uspostaviti zbog pogrešaka u provjeri valjanosti usluge, provjerite je li dodan točan CA kako biste provjerili certifikat poslužitelja koji bi se mogao razlikovati od certifikata uređaja.

Opisi API-ja

Uloga: Administrator, integrator

Zahtjev za upis SCEP-a za usluge sigurnosti xCommand

Traži i preuzima potpisani certifikat uređaja

Parametara:

  • URL (R): <S: 0, 128>

    URL SCEP poslužitelja koji se upotrebljava za upis certifikata.

  • Otisak prsta (r): <S: 0, 128>

    Otisak prsta CA-e koji će potpisati Zahtjev X509.

  • LozinkaIzazova: <S: 0, 128>

    Podijeljena tajna lozinka koju je postavio SCEP poslužitelj.

  • ZajedničkiNaziv (r): <S: 0, 128>

  • NazivDržave: <S: 0, 128>

  • Naziv organizacije: <S: 0, 128>

  • SanDNS[5]: <S: 0, 128>

  • SanEmail[5]: <S: 0, 128>

  • SanIp[5]: <S: 0, 128>

  • SanUri[5]: <S: 0, 128>

Zahtjev za obnavljanje SCEP zahtjeva za obnavljanje sigurnosnih certifikata i usluga

Izradite ili ažurirajte profil automatskog obnavljanja koji će se primijeniti na sve certifikate koje je izdao određeni CA prije isteka certifikata

Parametara:

  • Otisak prsta (r): <S: 0, 128>

    Otisak prsta CA-e koji je potpisao certifikate.

  • URL (R): <S: 0, 128>

    URL SCEP poslužitelja koji se koristi za obnavljanje certifikata. 

Brisanje SCEP obnove sigurnosnih certifikata i usluga upisa u usluge xCommand

Uklonite autorizirani profil za dani CA. Time se sprječava provjera autentičnosti certifikata koje potpisuje ovaj CA

Parametara:

  • Otisak prsta (r): <S: 0, 128>

    Otisak prsta CA-e koji izdaje za uklanjanje.

Popis obnove SCEP popisa obnove za upis usluga sigurnosnih certifikata

Navedi sve trenutno korištene profile autorstva.