È possibile aggiungere certificati dall'interfaccia Web locale del dispositivo. In alternativa, è possibile aggiungere certificati eseguendo API comandi. Per vedere quali comandi consentono di aggiungere certificati, vedere roomos.cisco.com .

Certificati di servizio e autorità di certificazione attendibili

Quando si utilizza TLS (Transport Layer Security), può essere necessaria la convalida del certificato. Un server o un client può richiedere al dispositivo di presentare un certificato valido prima di impostare la comunicazione.

I certificati sono i file di testo che verificano l'autenticità del dispositivo. Questi certificati devono essere firmati da un'autorità certificativa (CA). Per verificare la firma dei certificati, è necessario che nel dispositivo risieda un elenco di CA attendibili. L'elenco deve includere tutte le CA necessarie per verificare i certificati sia per le registrazioni di controllo che per altre connessioni.

I certificati vengono utilizzati per i seguenti servizi: server HTTPS, SIP, IEEE 802.1 X e registrazione di controllo. È possibile memorizzare più certificati sul dispositivo, ma è abilitato un solo certificato alla volta per ogni servizio.

In RoomOS ottobre 2023 e versioni successive, quando aggiungi un certificato CA a un dispositivo, questo viene applicato anche a un Room Navigator, se ne è connesso uno. Per sincronizzare i certificati CA aggiunti in precedenza con un Room Navigator connesso, è necessario riavviare il dispositivo. Se non si desidera che le periferiche ottengano gli stessi certificati del dispositivo a cui è connesso, impostare la configurazione Peripherals Security Certificates SyncToPeripherals su False.


I certificati memorizzati in precedenza non vengono eliminati automaticamente. Le voci di un nuovo file con certificati CA vengono aggiunte all'elenco esistente.

Per Wi-Fi connessione

Si consiglia di aggiungere un certificato CA attendibile per ogni dispositivo Board, Desk o Room Series, se la rete utilizza l'autenticazione WPA-EAP. È necessario eseguire questa operazione per ogni singolo dispositivo e prima di connettersi alla rete Wi-Fi.

Per aggiungere i certificati per la connessione Wi-Fi, sono necessari i seguenti file:

  • Elenco dei certificati CA (formato del file: .PEM)

  • Certificato (formato del file: .PEM)

  • Chiave privata, come file separato o inclusa nello stesso file come certificato (formato del file: .PEM)

  • Passphrase (obbligatoria solo se è la chiave privata è crittografata)

Il certificato e la chiave privata vengono memorizzati nello stesso file sul dispositivo. Se l'autenticazione non riesce, la connessione non viene stabilita.


La chiave privata e la passphrase non vengono applicate alle periferiche collegate.

Aggiunta di certificati sui dispositivi Board, Desk e Room Series

1

Dalla vista del cliente in https://admin.webex.com , vai alla pagina Dispositivi e seleziona il tuo dispositivo nell'elenco. Vai a Supporto e avvia Controlli dispositivi locali.

Se è stato impostato un utente Admin locale sul dispositivo, per accedere direttamente all'interfaccia Web, aprire un browser Web e digitare http(s)://<ip endpoint o nome host>.

2

Selezionare Security (Sicurezza) > Certificates (Certificati) > Custom (Personalizzato) > Add Certificate (Aggiungi certificato) e caricare uno o più certificati principali CA.

3

In openssl, generare una chiave privata e una richiesta di certificato. Copiare il contenuto della richiesta di certificato. Quindi incollarlo per richiedere il certificato del server alla propria autorità certificativa (CA).

4

Scaricare il certificato del server firmato dalla CA. Assicurarsi che sia in . PEM.

5

Selezionare Security (Sicurezza) > Certificates (Certificati) > Services (Servizi) > Add Certificate (Aggiungi certificato) e caricare la chiave privata e il certificato del server.

6

Abilitare i servizi che si desidera utilizzare per il certificato appena aggiunto.

SCEP (Simple Certificate Enrollment Protocol)

Il protocollo SCEP (Simple Certificate Enrollment Protocol) fornisce un meccanismo automatico per la registrazione e l'aggiornamento dei certificati utilizzati, ad esempio, per l'autenticazione 802.1X sui dispositivi. SCEP consente di mantenere l'accesso del dispositivo a reti sicure senza intervento manuale.

  • Quando il dispositivo è nuovo o è stato ripristinato alle impostazioni di fabbrica, è necessario l'accesso alla rete per raggiungere l'URL SCEP. Il dispositivo deve essere connesso alla rete senza 802.1X per ottenere un indirizzo IP.

  • Se si utilizza un SSID di registrazione wireless, è necessario passare attraverso le schermate di onboarding per configurare la connessione con la rete.

  • Una volta connesso alla rete di provisioning, non è necessario che il dispositivo si trovi in una particolare schermata di onboarding in questa fase.

  • Per adattarsi a tutte le distribuzioni, le xAPI di registrazione SCEP non memorizzeranno il certificato CA utilizzato per firmare il certificato del dispositivo. Per l'autenticazione del server, il certificato CA utilizzato per convalidare il certificato del server deve essere aggiunto con xCommand Security Certificates CA Add.

Prerequisiti

Sono necessarie le seguenti informazioni:

  • URL del server SCEP.

  • Impronta digitale del certificato CA (Certificate Authority) della firma.

  • Informazioni sul certificato da registrare. Questo costituisce il Nome soggetto del certificato.

    • Nome comune

    • Nome del paese

    • Nome dell'organizzazione

  • Password di verifica del server SCEP se è stato configurato il server SCEP per applicare un OTP o un segreto condiviso.

Inviamo una richiesta di certificato valida per un anno per la scadenza del certificato. I criteri sul lato server possono modificare la data di scadenza durante la firma del certificato.

Connessione Ethernet

Quando un dispositivo è connesso a una rete, assicurarsi che possa accedere al server SCEP. Il dispositivo deve essere connesso a una rete senza 802.1x per ottenere un indirizzo IP. Potrebbe essere necessario fornire l'indirizzo MAC del dispositivo alla rete di provisioning per ottenere un indirizzo IP. L'indirizzo MAC si trova sull'interfaccia utente o sull'etichetta sul retro del dispositivo.

Dopo che il dispositivo è connesso alla rete, è possibile accedere tramite SSH al dispositivo come amministratore per accedere a TSH, quindi eseguire il seguente comando per inviare la richiesta SCEP di iscrizione: 
xCommand Security Certificates Services Enrollment SCEP Request

Una volta che il server SCEP restituisce il certificato del dispositivo firmato, attivare 802.1X e riavviare il dispositivo.

Attivare il certificato firmato:
Attivazione dei servizi di certificati di sicurezza xCommand

Riavviare il dispositivo dopo aver attivato il certificato.

Connessione wireless

Quando un dispositivo è connesso a una rete wireless, assicurarsi che possa accedere al server SCEP.

Dopo che il dispositivo è connesso alla rete, è possibile accedere tramite SSH al dispositivo come amministratore per accedere a TSH, quindi eseguire il seguente comando per inviare la richiesta SCEP di iscrizione: 
xCommand Security Certificates Services Enrollment SCEP Request

Il dispositivo riceve il certificato firmato dal server SCEP.

Attivare il certificato firmato: 

Attivazione dei servizi di certificati di sicurezza xCommand
Dopo l'attivazione, è necessario configurare la rete Wi-Fi con autenticazione EAP-TLS. 
xCommand Network Wifi Configura

Per impostazione predefinita, la configurazione del Wi-Fi ignora i controlli di convalida del server. Se è richiesta solo l'autenticazione unidirezionale, mantenere AllowMissingCA impostato per impostazione predefinita su True.

Per forzare la convalida del server, verificare che il parametro facoltativo AllowMissingCA sia impostato su False. Se non è possibile stabilire una connessione a causa di errori di convalida del servizio, verificare che sia stata aggiunta la CA corretta per verificare il certificato del server, che potrebbe essere diverso dal certificato del dispositivo.

API descrizioni

Ruolo: Amministratore, Integratore

xCommand Security Certificates Services Enrollment SCEP Request

Richiede e scarica un certificato di dispositivo firmato

Parametri:

  • URL(r): <S: 0, 128>

    URL del server SCEP utilizzato per registrare un certificato.

  • Impronta digitale (r): <S: 0, 128>

    Impronta digitale della CA emittente che firmerà la richiesta X509.

  • ChallengePassword: <S: 0, 128>

    Password segreta condivisa impostata dal server SCEP.

  • NomeComune(i): <S: 0, 128>

  • Nome Paese: <S: 0, 128>

  • Nome organizzazione: <S: 0, 128>

  • SanDns[5]: <S: 0, 128>

  • SanEmail[5]: <S: 0, 128>

  • SanIp[5]: <S: 0, 128>

  • SanUri[5]: <S: 0, 128>

Richiesta di rinnovo SCEP per l'iscrizione ai certificati di sicurezza xCommand

Creare o aggiornare un profilo di rinnovo automatico applicato a tutti i certificati emessi dalla CA specificata prima della scadenza dei certificati

Parametri:

  • Impronta digitale(i): <S: 0, 128>

    Impronta digitale della CA emittente che ha firmato i certificati.

  • URL(r): <S: 0, 128>

    URL del server SCEP utilizzato per rinnovare i certificati. 

xCommand Security Certificates Service Enrollment SCEP Renewal Delete

Rimuovere il profilo con rinnovo automatico per la CA specificata. In questo modo viene interrotto il rinnovo automatico dei certificati firmati da questa CA

Parametri:

  • Impronta digitale(i): <S: 0, 128>

    Impronta digitale della CA emittente da rimuovere.

Certificati di sicurezza xCommand Registrazione servizi Elenco di rinnovo SCEP

Elenca tutti i profili autorenew attualmente utilizzati.