È possibile aggiungere certificati dall'interfaccia Web locale del dispositivo. In alternativa, è possibile aggiungere certificati eseguendo i comandi API. Per vedere quali comandi consentono di aggiungere certificati, vedere roomos.cisco.com .

Certificati di servizio e CA attendibili

Quando si utilizza TLS (Transport Layer Security), può essere necessaria la convalida del certificato. Un server o un client può richiedere al dispositivo di presentare un certificato valido prima di impostare la comunicazione.

I certificati sono i file di testo che verificano l'autenticità del dispositivo. Questi certificati devono essere firmati da un'autorità certificativa (CA). Per verificare la firma dei certificati, sul dispositivo deve essere presente un elenco di CA attendibili. L'elenco deve includere tutte le CA necessarie per verificare i certificati sia per le registrazioni di controllo che per altre connessioni.

I certificati vengono utilizzati per i seguenti servizi: server HTTPS, SIP, IEEE 802.1 X e registrazione di controllo. È possibile memorizzare più certificati sul dispositivo, ma è abilitato un solo certificato alla volta per ogni servizio.

Su RoomOS ottobre 2023 e versioni successive, quando si aggiunge un certificato CA a un dispositivo, questo viene applicato anche a un Room Navigator, se connesso. Per sincronizzare i certificati CA aggiunti in precedenza a un Room Navigator connesso, è necessario riavviare il dispositivo. Se non si desidera che le periferiche ottengano gli stessi certificati del dispositivo a cui sono connesse, impostare la configurazione Certificati di sicurezza periferiche SyncToPeripherals su False.

I certificati memorizzati in precedenza non vengono eliminati automaticamente. Le voci di un nuovo file con certificati CA vengono aggiunte all'elenco esistente.

Per la connessione Wi-Fi

Se la rete utilizza l'autenticazione WPA-EAP, ti consigliamo di aggiungere un certificato CA attendibile per ogni dispositivo Board, Desk o Room Series. È necessario eseguire questa operazione per ogni singolo dispositivo e prima di connettersi alla rete Wi-Fi.

Per aggiungere i certificati per la connessione Wi-Fi, sono necessari i seguenti file:

  • Elenco dei certificati CA (formato del file: .PEM)

  • Certificato (formato del file: .PEM)

  • Chiave privata, come file separato o inclusa nello stesso file come certificato (formato del file: .PEM)

  • Passphrase (obbligatoria solo se è la chiave privata è crittografata)

Il certificato e la chiave privata vengono memorizzati nello stesso file sul dispositivo. Se l'autenticazione non riesce, la connessione non viene stabilita.

Il certificato e la sua chiave privata non vengono applicati alle periferiche connesse.

Aggiungi certificati sui dispositivi Board, Desk e Room Series

1

Dalla vista cliente in https://admin.webex.com , vai alla pagina Dispositivi e seleziona il tuo dispositivo nell'elenco. Vai su Supporto e avvia Controlli dispositivo locale .

Se è stato impostato un utente Admin locale sul dispositivo, per accedere direttamente all'interfaccia Web, aprire un browser Web e digitare http(s)://<ip endpoint o nome host>.

2

Selezionare Security (Sicurezza) > Certificates (Certificati) > Custom (Personalizzato) > Add Certificate (Aggiungi certificato) e caricare uno o più certificati principali CA.

3

In openssl, generare una chiave privata e una richiesta di certificato. Copiare il contenuto della richiesta di certificato. Quindi incollarlo per richiedere il certificato del server alla propria autorità certificativa (CA).

4

Scarica il certificato del server firmato dalla tua CA. Assicurati che sia in formato .PEM.

5

Selezionare Security (Sicurezza) > Certificates (Certificati) > Services (Servizi) > Add Certificate (Aggiungi certificato) e caricare la chiave privata e il certificato del server.

6

Abilita i servizi che desideri utilizzare per il certificato appena aggiunto.

Genera richiesta di firma del certificato (CSR)

Gli amministratori devono generare una richiesta di firma del certificato (CSR) dal Control Hub per un dispositivo Board, Desk o Room Series registrato nel cloud.

Segui questi passaggi per generare un CSR e caricare un certificato firmato sul tuo dispositivo:

  1. Dalla vista cliente in Control Hub, vai alla pagina Dispositivi e seleziona il tuo dispositivo dall'elenco.
  2. Vai su Azioni > Esegui xCommand > Sicurezza > Certificati > CSR > Crea.
  3. Inserisci i dettagli del certificato richiesti e seleziona Esegui.
  4. Copia tutto il testo tra ----BEGIN CERTIFICATE REQUEST---- e ----END CERTIFICATE REQUEST----.
  5. Utilizza un Certificate Authority (CA) a tua scelta per firmare il CSR.
  6. Esportare il certificato firmato in formato PEM (codificato Base64).
  7. Aprire il file del certificato firmato in un editor di testo (ad esempio, Blocco note) e copiare tutto il testo tra ----BEGIN CERTIFICATE---- e ----END CERTIFICATE----.
  8. In Control Hub, vai su Dispositivi > seleziona il tuo dispositivo > Azioni > Esegui xCommand > Sicurezza > Certificati > CSR > Collegamento.
  9. Incollare il contenuto del certificato copiato nella sezione Corpo e selezionare Esegui.
  10. Aggiorna la pagina per verificare che il certificato venga visualizzato in Certificato esistente.

Protocollo semplice di registrazione del certificato (SCEP)

Il protocollo SCEP (Simple Certificate Enrollment Protocol) fornisce un meccanismo automatizzato per la registrazione e l'aggiornamento dei certificati utilizzati, ad esempio, per l'autenticazione 802.1X sui dispositivi. SCEP consente di mantenere l'accesso del dispositivo alle reti protette senza intervento manuale.

  • Quando il dispositivo è nuovo o è stato ripristinato alle impostazioni di fabbrica, necessita dell'accesso alla rete per raggiungere l'URL SCEP. Per ottenere un indirizzo IP, il dispositivo deve essere connesso alla rete senza 802.1X.

  • Se si utilizza una registrazione wireless SSID, passare attraverso le schermate di onboarding per configurare la connessione con la rete.

  • Una volta connessi alla rete di provisioning, non è necessario che il dispositivo si trovi in una schermata di onboarding specifica.

  • Per adattarsi a tutte le distribuzioni, le xAPI di registrazione SCEP non memorizzeranno il certificato CA utilizzato per firmare il certificato del dispositivo. Per l'autenticazione del server, il certificato CA utilizzato per convalidare il certificato del server deve essere aggiunto con xCommand Security Certificates CA Add.

Prerequisiti

Sono necessarie le seguenti informazioni:

  • URL del server SCEP.

  • Impronta digitale del certificato CA firmatario (Certificate Authority).

  • Informazioni sul certificato da iscrivere. Questo costituisce il Nome soggetto del certificato.

    • Nome comune

    • Nome del paese

    • Nome dello Stato o della Provincia

    • Nome della località

    • Nome dell'organizzazione

    • Unità organizzativa

  • Il nome del soggetto sarà ordinato come /C= /ST= /L= /O= /OU= /CN=

  • Password di verifica del server SCEP se è stato configurato il server SCEP per applicare un OTP o un segreto condiviso.

È possibile impostare la dimensione della chiave richiesta per la coppia di chiavi della richiesta di certificato utilizzando il seguente comando. Il valore predefinito è 2048.

 xConfiguration Security Enrollment KeySize: <2048, 3072, 4096>

Inviamo una richiesta di certificato valida per un anno prima della scadenza del certificato. La policy lato server può modificare la data di scadenza durante la firma del certificato.

Connessione Ethernet

Quando un dispositivo è connesso a una rete, assicurarsi che possa accedere al server SCEP. Per ottenere un indirizzo IP, il dispositivo deve essere connesso a una rete senza 802.1x. Potrebbe essere necessario fornire l'indirizzo MAC del dispositivo alla rete di provisioning per ottenere un indirizzo IP. L'indirizzo MAC è reperibile sull'interfaccia utente o sull'etichetta sul retro del dispositivo.

Dopo che il dispositivo è connesso alla rete, è possibile effettuare l'accesso SSH al dispositivo come amministratore per accedere a TSH, quindi eseguire il seguente comando per inviare la richiesta SCEP di iscrizione: 

Richiesta SCEP di iscrizione ai servizi di certificati di sicurezza xCommand

Una volta che il server SCEP restituisce il certificato del dispositivo firmato, attivare 802.1X.

Attiva il certificato firmato:

Attivazione dei servizi certificati di sicurezza xCommand

Riavviare il dispositivo dopo aver attivato il certificato.

Connessione wireless

Quando un dispositivo è connesso a una rete wireless, assicurarsi che possa accedere al server SCEP.

Dopo che il dispositivo è connesso alla rete, è possibile effettuare l'accesso SSH al dispositivo come amministratore per accedere a TSH, quindi eseguire il seguente comando per inviare la richiesta SCEP di iscrizione: 

Richiesta SCEP di iscrizione ai servizi di certificati di sicurezza xCommand

Il dispositivo riceve il certificato firmato dal server SCEP.

Attiva il certificato firmato: 

Attivazione dei servizi certificati di sicurezza xCommand

Dopo l'attivazione, è necessario configurare la rete Wi-Fi con l'autenticazione EAP-TLS. 

xCommand Rete Wifi Configura

Per impostazione predefinita, la configurazione Wi-Fi salta i controlli di convalida del server. Se è richiesta solo l'autenticazione unidirezionale, allora mantieni AllowMissingCA impostato di default su VERO.

Per forzare la convalida del server, assicurarsi che AllowMissingCA il parametro facoltativo è impostato su Falso. Se non è possibile stabilire una connessione a causa di errori di convalida del servizio, verificare che sia stata aggiunta la CA corretta per verificare il certificato del server, che potrebbe essere diverso dal certificato del dispositivo.

API descrizioni

Ruolo: Amministratore, Integratore

Richiesta SCEP di iscrizione ai servizi di certificati di sicurezza xCommand

Invia un CSR a un dato server SCEP per la firma. I parametri SubjectName CSR verranno costruiti nel seguente ordine: C, ST, L, O, OUs, CN.

Parametri:

  • URL(r): <S: 0, 256>

    L'indirizzo URL del server SCEP.

  • Impronta digitale(r): <S: 0, 128>

    Impronta digitale del certificato CA che firmerà la richiesta SCEP CSR.

  • NomeComune(r): <S: 0, 64>

    Aggiunge "/CN=" al nome dell'oggetto CSR.

  • Password di sfida: <S: 0, 256>

    OTP o segreto condiviso dal server SCEP per l'accesso alla firma.

  • Nome Paese: <S: 0, 2>

    Aggiunge "/C=" al nome dell'oggetto CSR.

  • NomeStatoOProvincia: <S: 0, 64>

    Aggiunge "/ST=" al nome dell'oggetto CSR.

  • Nome località: <S: 0, 64>

    Aggiunge "/L=" al nome dell'oggetto CSR.

  • Nome dell'organizzazione: <S: 0, 64>

    Aggiunge "/O=" al nome dell'oggetto CSR.

  • Unità organizzativa[5]: <S: 0, 64>

    Aggiunge fino a 5 parametri "/OU=" al nome del soggetto CSR.

  • SanDns[5]: <S: 0, 64>

    Aggiunge fino a 5 parametri DNS al nome alternativo del soggetto CSR.

  • SanEmail[5]: <S: 0, 64>

    Aggiunge fino a 5 parametri e-mail al nome alternativo dell'oggetto CSR.

  • SanIp[5]: <S: 0, 64>

    Aggiunge fino a 5 parametri IP al nome alternativo del soggetto CSR.

  • SanUri[5]: <S: 0, 64>

    Aggiunge fino a 5 parametri URI al nome alternativo del soggetto CSR.

Eliminazione dei profili di registrazione dei servizi dei certificati di sicurezza xCommand

Elimina un profilo di iscrizione per non rinnovare più i certificati.

Parametri:

  • Impronta digitale(r): <S: 0, 128>

    L'impronta digitale del certificato CA che identifica il profilo che desideri rimuovere. Puoi visualizzare i profili disponibili da rimuovere eseguendo: 

    Elenco dei profili di registrazione dei servizi di certificati di sicurezza xCommand

Elenco dei profili di registrazione dei servizi di certificati di sicurezza xCommand

Elenca i profili di iscrizione per il rinnovo del certificato.

 Servizi di registrazione certificati di sicurezza xCommand Profili SCEP Imposta impronta digitale(r): <S: 0, 128> URL(r): <S: 0, 256>

Aggiungere un profilo di registrazione per i certificati emessi dall'impronta digitale della CA per utilizzare l'URL SCEP specificato per il rinnovo.

Rinnovo

 Set di profili SCEP per l'iscrizione ai servizi di certificati di sicurezza xCommand

Per rinnovare automaticamente il certificato, il dispositivo deve essere in grado di accedere all'URL SCEP che può rinnovare il certificato.

Una volta al giorno, il dispositivo verificherà la presenza di certificati in scadenza entro 45 giorni. Il dispositivo tenterà quindi di rinnovare questi certificati se l'emittente corrisponde a un profilo.

NOTA: tutti i certificati dei dispositivi verranno controllati per il rinnovo, anche se il certificato non è stato originariamente registrato tramite SCEP.

Navigatore

  1. Abbinamento diretto: i certificati registrati possono essere attivati come certificati di "abbinamento".

  2. Remoto associato: indica al navigatore di registrare un nuovo certificato SCEP utilizzando l'ID della periferica:

    Richiesta SCEP di iscrizione ai servizi di certificati di sicurezza per periferiche xCommand 

    I profili di iscrizione vengono sincronizzati automaticamente con il navigatore associato.

  3. Navigatore autonomo: uguale alla registrazione del codec

Configurare l'autenticazione 802.1x su Room Navigator

È possibile impostare l'autenticazione 802.1x direttamente dal menu Impostazioni di Room Navigator.

Lo standard di autenticazione 802.1x è particolarmente importante per le reti Ethernet e garantisce che solo i dispositivi autorizzati possano accedere alle risorse di rete.

Sono disponibili diverse opzioni di accesso in base al metodo EAP configurato nella rete. Ad esempio:

  • TLS: Nome utente e password non vengono utilizzati.
  • PEAP: I certificati non vengono utilizzati.
  • TTLS: sono obbligatori sia il nome utente/password sia i certificati; nessuno dei due è facoltativo.

Esistono diversi modi per ottenere il certificato client su un dispositivo:

  1. Carica il PEM: utilizza la funzionalità Aggiungi servizi certificati di sicurezza.
  2. Crea CSR: genera una richiesta di firma del certificato (CSR), firmala e collegala utilizzando i certificati di sicurezza CSR Crea/Collega.
  3. SCEP: utilizza la richiesta SCEP di registrazione dei servizi di certificati di sicurezza.
  4. DHCP Opzione 43: Configurare la consegna del certificato tramite questa opzione.

L'impostazione e l'aggiornamento dei certificati per 802.1x dovrebbero essere eseguiti prima dell'accoppiamento il Room Navigator a un sistema o dopo aver ripristinato le impostazioni di fabbrica del Room Navigator.

Le credenziali predefinite sono admin e password vuota. Per ulteriori informazioni su come aggiungere certificati accedendo a API, vedere l'ultima versione della guida API .

  1. Aprire il pannello di controllo sul Navigator toccando il pulsante nell'angolo in alto a destra o scorrendo dal lato destro. Poi toccare Impostazioni dispositivo.
  2. Vai a Connessione di rete e seleziona Ethernet .
  3. Impostare Usa IEEE 802.1X su Attivato.
    • Se l'autenticazione è impostata con credenziali, immettere l'identità dell'utente e la passphrase. È anche possibile immettere un'identità anonima: si tratta di un campo facoltativo che consente di separare l'identità effettiva dell'utente dalla richiesta di autenticazione iniziale.
    • Puoi alternare TLS Verifica spento o acceso. Quando la verifica TLS è attivata, il client verifica attivamente l'autenticità del certificato del server durante l'handshake TLS. Quando TLS verify è disattivato, il client non esegue la verifica attiva del certificato del server.
    • Se hai caricato un certificato client accedendo a API, attiva/disattiva Utilizza il certificato client SU.
    • Attiva/disattiva la Protocollo di autenticazione estensibile (EAP) metodi che vuoi utilizzare. La scelta del metodo EAP dipende dai requisiti di sicurezza specifici, dall'infrastruttura e dalle capacità del client. I metodi EAP sono fondamentali per consentire un accesso alla rete sicuro e autenticato.