Certifikate možete dodati s lokalnog web-sučelja uređaja. Certifikate možete dodati i pokretanjem naredbi API. Da biste vidjeli koje vam naredbe omogućuju dodavanje certifikata, pogledajte roomos.cisco.com .

Certifikati servisa i pouzdana nadležna tijela

Provjera valjanosti certifikata može biti potrebna kada koristite TLS (Transport Layer Security). Poslužitelj ili klijent može zahtijevati da im uređaj predoči valjani certifikat prije postavljanja komunikacije.

Certifikati su tekstualne datoteke koje potvrđuju autentičnost uređaja. Ove certifikate mora potpisati pouzdana ustanova za izdavanje certifikata (CA). Da biste provjerili potpis certifikata, na uređaju se mora nalaziti popis pouzdanih nadležnih tijela. Popis mora sadržavati sva nadležna tijela potrebna za provjeru certifikata za zapisivanje nadzora i druge veze.

Certifikati se koriste za sljedeće usluge: HTTPS poslužitelj, SIP, IEEE 802.1X i zapisivanje nadzora. Na uređaj možete spremiti nekoliko certifikata, ali je istovremeno omogućen samo jedan certifikat za svaku uslugu.

U sustavu RoomOS u listopadu 2023. i novijem, kada uređaju dodate CA certifikat, on se primjenjuje i na Room Navigator ako je spojen. Za sinkronizaciju prethodno dodanih CA certifikata s povezanim Room Navigatorom morate ponovno pokrenuti uređaj. Ako ne želite da periferni uređaji dobivaju iste certifikate kao i uređaj s kojim je povezan, postavite konfiguraciju Sigurnosni certifikati periferije SyncToPeripherals na False.

Prethodno pohranjeni certifikati ne brišu se automatski. Unosi u novoj datoteci s CA certifikatima dodaju se postojećem popisu.

Za Wi-Fi vezu

Preporučujemo da dodate pouzdani CA certifikat za svaki uređaj s pločom, stolom ili serijom soba, ako vaša mreža koristi WPA-EAP provjeru autentičnosti. To morate učiniti pojedinačno za svaki uređaj i prije nego što se povežete s Wi-Fi.

Da biste dodali certifikate za Wi-Fi vezu, potrebne su vam sljedeće datoteke:

  • Popis CA certifikata (format datoteke: . PEM)

  • Certifikat (format datoteke: . PEM)

  • Privatni ključ, bilo kao zasebna datoteka ili uključen u istu datoteku kao i certifikat (format datoteke: . PEM)

  • Pristupni izraz (potreban samo ako je privatni ključ šifriran)

Certifikat i privatni ključ pohranjeni su u istoj datoteci na uređaju. Ako provjera autentičnosti ne uspije, veza neće biti uspostavljena.

Privatni ključ i pristupni izraz ne primjenjuju se na povezane periferne uređaje.

Dodavanje certifikata na uređajima serije Board, Table i Room Series

1

U korisničkom prikazu u https://admin.webex.com idite na stranicu Uređaji i odaberite uređaj s popisa. Idite na Podrška i pokrenite kontrole lokalnih uređaja.

Ako ste na uređaju postavili lokalnog administratora , web-sučelju možete pristupiti izravno tako da otvorite web-preglednik i upišete https://<endpoint ip ili naziv glavnog računala>.

2

Idite na Security > Certificates > Custom > Add Certificate i prenesite svoje CA korijenske certifikate.

3

Na openssl-u generirajte privatni ključ i zahtjev za certifikatom. Kopirajte sadržaj zahtjeva za certifikat. Zatim ga zalijepite da biste zatražili certifikat poslužitelja od ustanove za izdavanje certifikata (CA).

4

Preuzmite certifikat poslužitelja koji je potpisao vaš CA. Provjerite nalazi li se u . PEM format.

5

Idite na Security > Certificates > Services > Add Certificate i prenesite privatni ključ i certifikat poslužitelja.

6

Omogućite usluge koje želite koristiti za certifikat koji ste upravo dodali.

Simple Certificate Enrollment Protocol (SCEP)

Simple Certificate Enrollment Protocol (SCEP) pruža automatizirani mehanizam za prijavu i osvježavanje certifikata koji se koriste, na primjer, 802.1X autentifikacije na uređajima. SCEP vam omogućuje održavanje pristupa uređaja sigurnim mrežama bez ručne intervencije.

  • Kada je uređaj nov ili je vraćen na tvorničke postavke, potreban mu je pristup mreži kako bi došao do SCEP URL-a. Uređaj treba spojiti na mrežu bez 802.1X kako bi dobio IP adresu.

  • Ako koristite bežični SSID za prijavu, morate proći kroz zaslone za uključivanje kako biste konfigurirali vezu s mrežom.

  • Nakon što se povežete s mrežom za dodjelu resursa, uređaj u ovoj fazi ne mora biti na određenom zaslonu za uključivanje.

  • Kako bi odgovarao svim implementacijama, SCEP Enrollment xAPI-ji neće pohraniti CA certifikat koji se koristi za potpisivanje certifikata uređaja. Za provjeru autentičnosti poslužitelja, CA certifikat koji se koristi za provjeru valjanosti certifikata poslužitelja mora biti dodan s xCommand sigurnosnim certifikatima CA Add.

Preduvjeti

Potrebni su vam sljedeći podaci:

  • URL SCEP poslužitelja.

  • Otisak prsta potpisnog certifikata CA (Certificate Authority).

  • Informacije o certifikatu za upis. To čini naziv predmeta certifikata.

    • Zajednički naziv

    • Naziv države

    • Naziv države ili pokrajine

    • Naziv lokaliteta

    • Naziv organizacije

    • Organizacijska jedinica

  • Naziv predmeta bit će poredan kao /C= /ST= /L= /O= /OU= /CN=

  • Lozinka za izazov SCEP poslužitelja ako ste konfigurirali SCEP poslužitelj za nametanje OTP-a ili Dijeljene tajne.

Pomoću sljedeće naredbe možete postaviti potrebnu veličinu ključa za uparivanje ključeva zahtjeva za certifikatom. Zadano je 2048.

 xConfiguration Security Enrollment KeySize: <2048, 3072, 4096>

Šaljemo zahtjev za certifikatom koji vrijedi godinu dana za istek certifikata. Pravilo na strani poslužitelja može promijeniti datum isteka tijekom potpisivanja certifikata.

Ethernet veza

Kada je uređaj spojen na mrežu, provjerite može li pristupiti SCEP poslužitelju. Uređaj bi trebao biti povezan s mrežom bez 802.1x kako bi dobio IP adresu. Možda će biti potrebno navesti MAC adresu uređaja mreži za dodjelu resursa kako bi se dobila adresa IP. MAC adresu možete pronaći na korisničkom sučelju ili na naljepnici na stražnjoj strani uređaja.

Nakon što se uređaj poveže s mrežom, možete SSH na uređaj kao administrator pristupiti TSH-u, a zatim pokrenuti sljedeću naredbu za slanje zahtjeva za upis u SCEP: 

xCommand usluge sigurnosnih certifikata Zahtjev za upis u SCEP

Nakon što SCEP poslužitelj vrati potpisani certifikat uređaja, aktivirajte 802.1X.

Aktivirajte potpisani certifikat:

xCommand servisi sigurnosnih certifikata - aktiviranje

Ponovno pokrenite uređaj nakon aktiviranja certifikata.

Bežična veza

Kada je uređaj spojen na bežičnu mrežu, provjerite može li pristupiti SCEP poslužitelju.

Nakon što se uređaj poveže s mrežom, možete SSH na uređaj kao administrator pristupiti TSH-u, a zatim pokrenuti sljedeću naredbu za slanje zahtjeva za upis u SCEP: 

xCommand usluge sigurnosnih certifikata Zahtjev za upis u SCEP

Uređaj dobiva potpisani certifikat sa SCEP poslužitelja.

Aktivirajte potpisani certifikat: 

xCommand servisi sigurnosnih certifikata - aktiviranje

Nakon aktiviranja morate konfigurirati Wi-Fi mrežu s EAP-TLS provjerom autentičnosti. 

Konfiguriranje wifi-ja za xCommand mrežu

Prema zadanim postavkama konfiguracija Wi-Fi preskače provjere provjere valjanosti poslužitelja. Ako je potrebna samo jednosmjerna provjera autentičnosti, zadržite AllowMissingCA zadanim na True.

Da biste prisilili provjeru valjanosti poslužitelja, provjerite je li neobavezni parametar AllowMissingCA postavljen na False. Ako nije moguće uspostaviti vezu zbog pogrešaka provjere valjanosti servisa, provjerite je li dodan ispravan CA za provjeru certifikata poslužitelja koji se može razlikovati od certifikata uređaja.

API opisi

Uloga: Admin, Integrator

xCommand usluge sigurnosnih certifikata Zahtjev za upis u SCEP

Šalje CSR određenom SCEP poslužitelju na potpisivanje. Parametri CSR SubjectName konstruirat će se sljedećim redoslijedom: C, ST, L, O, OU, CN.

Parametara:

  • URL(r): <S: 0, 256>

    URL adresa SCEP poslužitelja.

  • Otisak prsta(r): <S: 0, 128>

    CA certifikat Otisak prsta koji će CSR potpisati zahtjev SCEP-a.

  • CommonName(r): <S: 0, 64>

    Dodaje "/CN=" CSR nazivu predmeta.

  • ChallengePassword: <S: 0, 256>

    OTP ili Shared Secret sa SCEP poslužitelja za pristup potpisivanju.

  • Naziv države: <S: 0, 2>

    Dodaje "/c=" CSR nazivu predmeta.

  • StateOrProvinceName: <S: 0, 64>

    Dodaje "/ST=" CSR nazivu predmeta.

  • LocalityName: <S: 0, 64>

    Dodaje "/l=" CSR nazivu predmeta.

  • OrganizationName: <S: 0, 64>

    Dodaje "/o=" CSR nazivu predmeta.

  • Organizacijska jedinica[5]: <S: 0, 64>

    Dodaje do 5 parametara "/OU=" CSR nazivu predmeta.

  • SanDns[5]: <S: 0, 64>

    Dodaje do 5 Dns parametara alternativnom nazivu predmeta CSR.

  • SanEmail[5]: <S: 0, 64>

    Dodaje do 5 parametara e-pošte u CSR Alternativni naziv predmeta.

  • SanIp[5]: <S: 0, 64>

    Dodaje do 5 Ip parametara alternativnom nazivu predmeta CSR.

  • SanUri[5]: <S: 0, 64>

    Dodaje do 5 parametara Uria alternativnom nazivu predmeta CSR.

xCommand usluge sigurnosnih certifikata Profili za prijavu Izbriši

Briše profil za prijavu kako više ne bi obnavljao certifikate.

Parametara:

  • Otisak prsta(r): <S: 0, 128>

    Jedinstveni identifikator za izbrisani certifikat. ID otiska prsta možete dobiti tako da pokrenete:

     xCommand prikaz servisa sigurnosnih certifikata

Popis profila za prijavu servisa xCommand Security Certificates

Navodi profile upisa za obnovu certifikata.

 xCommand usluge sigurnosnih certifikata Upisni SCEP profili Postavi otisak prsta(r): <S: 0, 128> URL(r): <S: 0, 256>

Dodaj novi certifikat

Obnova

 Skup SCEP profila za xCommand usluge sigurnosnih certifikata

Kako bi automatski obnovio certifikat, uređaj mora imati pristup SCEP URL-u koji može dati otkaz.

Jednom dnevno, uređaj će provjeriti ima li certifikata koji će isteći za 45 dana. Uređaj će zatim pokušati obnoviti te certifikate ako se njihov izdavatelj podudara s profilom.

NAPOMENA: Svi certifikati uređaja provjeravat će se radi obnove, čak i ako certifikat nije izvorno upisan pomoću SCEP-a.

Moreplovac

  1. Izravno upareno: Upisani certifikati mogu se aktivirati kao certifikat "Uparivanje".

  2. Daljinski uparen: recite navigatoru da upiše novi SCEP certifikat pomoću perifernog ID-a:

    xCommand periferni uređaji Usluge sigurnosnih certifikata Zahtjev za upis u SCEP 

    Profili za upis automatski se sinkroniziraju s uparenim navigatorom.

  3. Samostalni navigator: Isto kao i upis kodeka