Certifikate možete dodati s lokalnog web sučelja uređaja. Alternativno, certifikate možete dodati pokretanjem naredbi API. Da biste vidjeli koje naredbe omogućuju dodavanje certifikata, pogledajte roomos.cisco.com .

Certifikati usluga i pouzdani CA-ovi

Validacija certifikata može biti potrebna pri korištenju TLS (Transport Layer Security). Poslužitelj ili klijent mogu zahtijevati da im uređaj predoči valjani certifikat prije uspostavljanja komunikacije.

Certifikati su tekstualne datoteke koje provjeravaju autentičnost uređaja. Ove certifikate mora potpisati pouzdani Certificate Authority (CA). Za provjeru potpisa certifikata, na uređaju se mora nalaziti popis pouzdanih CA-ova. Popis mora sadržavati sve CA-ove potrebne za provjeru certifikata za zapisivanje revizije i ostale veze.

Certifikati se koriste za sljedeće usluge: HTTPS poslužitelj, SIP, IEEE 802.1X i zapisivanje revizije. Na uređaju možete pohraniti nekoliko certifikata, ali za svaku uslugu istovremeno je omogućen samo jedan certifikat.

Na RoomOS-u od listopada 2023. i novijim verzijama, kada dodate CA certifikat uređaju, on se primjenjuje i na Room Navigator ako je spojen. Za sinkronizaciju prethodno dodanih CA certifikata s povezanim Room Navigatorom, morate ponovno pokrenuti uređaj. Ako ne želite da periferni uređaji dobiju iste certifikate kao i uređaj na koji su spojeni, postavite konfiguraciju Peripherals Security Certificates SyncToPeripherals na False.

Prethodno pohranjeni certifikati se ne brišu automatski. Unosi u novoj datoteci s CA certifikatima dodaju se postojećem popisu.

Za Wi-Fi vezu

Preporučujemo da dodate pouzdani CA certifikat za svaki uređaj Board, Desk ili Room Series ako vaša mreža koristi WPA-EAP autentifikaciju. To morate učiniti pojedinačno za svaki uređaj i prije nego što se povežete s Wi-Fi.

Za dodavanje certifikata za vašu Wi-Fi vezu, potrebne su vam sljedeće datoteke:

  • Popis CA certifikata (format datoteke: .PEM)

  • Certifikat (format datoteke: .PEM)

  • Privatni ključ, bilo kao zasebna datoteka ili uključen u istu datoteku kao i certifikat (format datoteke: .PEM)

  • Lozinka (potrebna samo ako je privatni ključ šifriran)

Certifikat i privatni ključ pohranjeni su u istoj datoteci na uređaju. Ako autentifikacija ne uspije, veza se neće uspostaviti.

Certifikat i njegov privatni ključ ne primjenjuju se na povezane periferne uređaje.

Dodajte certifikate na Board, Desk i Room Series uređaje

1

Iz korisničkog prikaza u https://admin.webex.com , idite na stranicu Uređaji i odaberite svoj uređaj s popisa. Idite na Podrška i pokrenite Lokalne kontrole uređaja .

Ako ste na uređaju postavili lokalnog administratora, web sučelju možete pristupiti izravno otvaranjem web preglednika i upisivanjem https://<endpoint ip ili naziv_hostname> .

2

Idite na Sigurnost > Certifikati > Prilagođeno >> Dodaj certifikat i prenesite svoje korijenske CA certifikate.

3

Na openssl-u generirajte privatni ključ i zahtjev za certifikat. Kopirajte sadržaj zahtjeva za certifikat. Zatim ga zalijepite kako biste zatražili certifikat poslužitelja od svog Certificate Authority (CA).

4

Preuzmite certifikat poslužitelja koji je potpisao vaš CA. Provjerite je li u .PEM formatu.

5

Idite na Sigurnost > Certifikati > Usluge > Dodaj certifikat i prenesite privatni ključ i certifikat poslužitelja.

6

Omogućite usluge koje želite koristiti za certifikat koji ste upravo dodali.

Generiraj zahtjev za potpisivanje certifikata (CSR)

Administratori moraju generirati zahtjev za potpisivanje certifikata (CSR) iz Control Huba za uređaj Board, Desk ili Room Series registriran u oblaku.

Slijedite ove korake za generiranje CSR i prijenos potpisanog certifikata na svoj uređaj:

  1. Iz korisničkog prikaza u Control Hubu idite na stranicu Uređaji i odaberite svoj uređaj s popisa.
  2. Idite na Radnje > Pokreni xCommand > Sigurnost > Certifikati > CSR > Stvori.
  3. Unesite potrebne podatke o certifikatu i odaberite Izvrši.
  4. Kopirajte sav tekst između ----BEGIN CERTIFICATE REQUEST---- i ----END CERTIFICATE REQUEST----.
  5. Upotrijebite Certificate Authority (CA) po vašem izboru za potpisivanje CSR.
  6. Izvezite potpisani certifikat u PEM (Base64-kodiranom) formatu.
  7. Otvorite potpisanu datoteku certifikata u programu za uređivanje teksta (npr. Notepad) i kopirajte sav tekst između ----BEGIN CERTIFICATE---- i ----END CERTIFICATE----.
  8. U Control Hubu idite na Uređaji > odaberite svoj uređaj > Radnje > Pokreni xCommand > Sigurnost > Certifikati > CSR > Poveži.
  9. Zalijepite kopirani sadržaj certifikata u odjeljak Tijelo i odaberite Izvrši.
  10. Osvježite stranicu kako biste provjerili prikazuje li se certifikat pod Postojeći certifikat.

Jednostavni protokol za upis certifikata (SCEP)

Simple Certificate Enrollment Protocol (SCEP) pruža automatizirani mehanizam za upis i osvježavanje certifikata koji se koriste, na primjer, za 802.1X autentifikaciju na uređajima. SCEP vam omogućuje održavanje pristupa uređaja sigurnim mrežama bez ručne intervencije.

  • Kada je uređaj nov ili je vraćen na tvorničke postavke, potreban mu je mrežni pristup za pristup SCEP URL-u. Uređaj bi trebao biti spojen na mrežu bez 802.1X kako bi se dobila IP adresa.

  • Ako koristite bežičnu registraciju SSID, prođite kroz zaslone za uvođenje u sustav kako biste konfigurirali vezu s mrežom.

  • Nakon što se povežete s mrežom za pružanje usluga, uređaj ne mora biti na određenom zaslonu za uključivanje.

  • Kako bi odgovarali svim implementacijama, SCEP Enrollment xAPI-ji neće pohranjivati CA certifikat koji se koristi za potpisivanje certifikata uređaja. Za autentifikaciju poslužitelja, potrebno je dodati CA certifikat koji se koristi za provjeru valjanosti certifikata poslužitelja. xCommand Sigurnosni certifikati CA Dodaj.

Preduvjeti

Trebate sljedeće informacije:

  • URL SCEP poslužitelja.

  • Otisak prsta potpisnog CA (Certificate Authority) certifikata.

  • Podaci o certifikatu za upis. To čini Naziv subjekta certifikata.

    • Uobičajeni naziv

    • Naziv države

    • Naziv države ili pokrajine

    • Naziv mjesta

    • Naziv organizacije

    • Organizacijska jedinica

  • Naziv subjekta bit će poredan kao /C= /ST= /L= /O= /OU= /CN=

  • Lozinka za provjeru SCEP poslužitelja ako ste konfigurirali SCEP poslužitelj za nametanje OTP-a ili dijeljene tajne.

Možete postaviti potrebnu veličinu ključa za par ključeva zahtjeva za certifikat pomoću sljedeće naredbe. Zadana vrijednost je 2048.

 Veličina ključa za sigurnosnu registraciju xConfiguration: <2048, 3072, 4096>

Šaljemo zahtjev za certifikat koji vrijedi godinu dana zbog isteka certifikata. Pravila na strani poslužitelja mogu promijeniti datum isteka tijekom potpisivanja certifikata.

Ethernet veza

Kada je uređaj spojen na mrežu, provjerite može li pristupiti SCEP poslužitelju. Uređaj bi trebao biti spojen na mrežu bez 802.1x kako bi se dobila IP adresa. Adresa uređaja MAC možda će trebati biti dostavljena mreži za opskrbu kako bi se dobila adresa IP. Adresu MAC možete pronaći na korisničkom sučelju ili na naljepnici na stražnjoj strani uređaja.

Nakon što je uređaj spojen na mrežu, možete se povezati s uređajem putem SSH-a kao administrator Za pristup TSH-u, pokrenite sljedeću naredbu za slanje SCEP zahtjeva za upis: 

Zahtjev za SCEP prijavu za usluge sigurnosnih certifikata xCommand

Nakon što SCEP poslužitelj vrati potpisani certifikat uređaja, aktivirajte 802.1X.

Aktivirajte potpisani certifikat:

Aktivacija usluga sigurnosnih certifikata xCommand

Ponovno pokrenite uređaj nakon aktivacije certifikata.

Bežična veza

Kada je uređaj spojen na bežičnu mrežu, provjerite može li pristupiti SCEP poslužitelju.

Nakon što je uređaj spojen na mrežu, možete se SSH-om povezati s uređajem kao admin za pristup TSH-u, a zatim pokrenuti sljedeću naredbu za slanje SCEP zahtjeva za upis: 

Zahtjev za SCEP prijavu za usluge sigurnosnih certifikata xCommand

Uređaj prima potpisani certifikat od SCEP poslužitelja.

Aktivirajte potpisani certifikat: 

Aktivacija usluga sigurnosnih certifikata xCommand

Nakon aktivacije, potrebno je konfigurirati mrežu Wi-Fi s autentifikacijom EAP-TLS. 

xCommand Konfiguracija Wifi mreže

Prema zadanim postavkama, konfiguracija Wi-Fi preskače provjere valjanosti poslužitelja. Ako je potrebna samo jednosmjerna autentifikacija, zadana vrijednost AllowMissingCA ostavite na True.

Za prisilnu validaciju poslužitelja, provjerite je li izborni parametar AllowMissingCA postavljen na False. Ako se veza ne može uspostaviti zbog pogrešaka u validaciji usluge, provjerite je li dodan ispravan CA kako biste provjerili certifikat poslužitelja koji se može razlikovati od certifikata uređaja.

API opisi

Uloga: Administrator, Integrator

Zahtjev za SCEP prijavu za usluge sigurnosnih certifikata xCommand

Šalje CSR na zadani SCEP poslužitelj za potpisivanje. Parametri CSR SubjectName bit će konstruirani sljedećim redoslijedom: C, ST, L, O, OUs, CN.

Parametri:

  • URL(r): <S: 0, 256>

    URL adresa SCEP poslužitelja.

  • Otisak prsta(r): <S: 0, 128>

    Otisak prsta CA certifikata koji će potpisati SCEP zahtjev CSR.

  • UobičajeniNaziv(r): <S: 0, 64>

    Dodaje "/CN=" nazivu predmeta CSR.

  • Lozinka izazova: <S: 0, 256>

    OTP ili dijeljeni tajni kod sa SCEP poslužitelja za pristup potpisivanju.

  • Naziv države: <S: 0, 2>

    Dodaje "/C=" nazivu predmeta CSR.

  • NazivDržaveIliPokrajine: <S: 0, 64>

    Dodaje "/ST=" nazivu predmeta CSR.

  • Naziv mjesta: <S: 0, 64>

    Dodaje "/L=" nazivu predmeta CSR.

  • Naziv organizacije: <S: 0, 64>

    Dodaje "/O=" nazivu predmeta CSR.

  • OrganizacijskaJedinica[5]: <S: 0, 64>

    Dodaje do 5 parametara "/OU=" nazivu subjekta CSR.

  • SanDns[5]: <S: 0, 64>

    Dodaje do 5 parametara DNS alternativnom nazivu subjekta CSR.

  • SanEmail[5]: <S: 0, 64>

    Dodaje do 5 parametara e-pošte alternativnom nazivu predmeta CSR.

  • SanIp[5]: <S: 0, 64>

    Dodaje do 5 IP parametara alternativnom nazivu subjekta CSR.

  • SanUri[5]: <S: 0, 64>

    Dodaje do 5 parametara URI alternativnom nazivu subjekta CSR.

xCommand Sigurnosni certifikati Usluge upisa Profili Brisanje

Briše profil upisa kako bi se certifikati više ne obnavljali.

Parametri:

  • Otisak prsta(r): <S: 0, 128>

    Otisak prsta CA certifikata koji identificira profil koji želite ukloniti. Dostupne profile za uklanjanje možete vidjeti pokretanjem: 

    Popis profila za upis u usluge sigurnosnih certifikata xCommand

Popis profila za upis u usluge sigurnosnih certifikata xCommand

Navodi profile upisa za obnovu certifikata.

 xCommand Sigurnosni certifikati Usluge upisa SCEP profili Postavljeni otisak prsta(r): <S: 0, 128> URL(r): <S: 0, 256>

Dodajte profil za upis certifikata koje je izdao CA otisak prsta kako biste koristili zadani SCEP URL za obnovu.

Obnova

 xCommand Sigurnosni certifikati Usluge upisa SCEP profila

Kako bi se certifikat automatski obnovio, uređaj mora imati pristup SCEP URL-u koji može podnijeti zahtjev za obnovu certifikata.

Jednom dnevno, uređaj će provjeravati certifikate koji istječu za 45 dana. Uređaj će zatim pokušati obnoviti ove certifikate ako njihov izdavatelj odgovara profilu.

NAPOMENA: Provjerit će se obnavljanje svih certifikata uređaja, čak i ako certifikat nije izvorno registriran pomoću SCEP-a.

Navigator

  1. Izravno uparivanje: Upisani certifikati mogu se aktivirati kao certifikati za "uparivanje".

  2. Udaljeno uparivanje: Recite navigatoru da upiše novi SCEP certifikat koristeći ID perifernog uređaja:

    Zahtjev za SCEP za registraciju usluga sigurnosnih certifikata za periferije xCommand 

    Profili upisa automatski se sinkroniziraju s uparenim navigatorom.

  3. Samostalni Navigator: Isto kao i upis kodeka

Konfigurirajte 802.1x autentifikaciju na Room Navigatoru

802.1x autentifikaciju možete postaviti izravno iz izbornika Postavke Room Navigatora.

Standard autentifikacije 802.1x posebno je važan za Ethernet mreže i osigurava da samo ovlašteni uređaji imaju pristup mrežnim resursima.

Dostupne su različite opcije prijave na temelju metode EAP konfigurirane u vašoj mreži. Na primjer:

  • TLS: Korisničko ime i lozinka se ne koriste.
  • PEAP: Certifikati se ne koriste.
  • TTLS: Obavezni su i korisničko ime/lozinka i certifikati; nijedan nije opcionalan.

Postoji nekoliko načina za dobivanje klijentskog certifikata na uređaju:

  1. Prenesite PEM: Koristite značajku Dodaj usluge sigurnosnih certifikata.
  2. Izradi CSR: Generiraj zahtjev za potpisivanje certifikata (CSR), potpiši ga i poveži pomoću sigurnosnih certifikata CSR Izradi/Poveži.
  3. SCEP: Utilize Security Certificates Services Enrollment SCEP Request.
  4. DHCP Opcija 43: Konfigurirajte isporuku certifikata putem ove opcije.

Trebalo bi postaviti i ažurirati certifikate za 802.1x prije uparivanja Room Navigator u sustav ili nakon tvorničkog resetiranja Room Navigatora.

Zadane vjerodajnice su administrator i prazna lozinka. Za više informacija o tome kako dodati certifikate pristupom API, pogledajte najnovija verzija vodiča API .

  1. Otvorite upravljačku ploču na Navigatoru dodirom gumba u gornjem desnom kutu ili prevlačenjem prsta s desne strane. Zatim dodirnite Postavke uređaja .
  2. Idi na Mrežna veza i odaberite Ethernet .
  3. Prebacite mogućnost Uporaba protokola IEEE 802.1X na Uključeno.
    • Ako je provjera autentičnosti postavljena s vjerodajnicama, unesite korisnički identitet i lozinku. Također možete unijeti anonimni identitet: ovo je neobavezno polje koje omogućuje odvajanje identiteta stvarnog korisnika od početnog zahtjeva za autentifikaciju.
    • Možete prebacivati TLS Potvrdi isključeno ili uključeno. Kada je provjera TLS uključena, klijent aktivno provjerava autentičnost certifikata poslužitelja tijekom rukovanja TLS. Kada je provjera TLS isključena, klijent ne provodi aktivnu provjeru certifikata poslužitelja.
    • Ako ste prenijeli klijentski certifikat pristupom API, preklopite Koristi klijentski certifikat na.
    • Uključi/isključi Proširivi protokol za autentifikaciju (EAP) metode koje želite koristiti. Izbor metode EAP ovisi o specifičnim sigurnosnim zahtjevima, infrastrukturi i mogućnostima klijenta. EAP metode su ključne za omogućavanje sigurnog i autentificiranog pristupa mreži.