È possibile aggiungere i certificati dall'interfaccia Web locale del dispositivo. In alternativa, è possibile aggiungere i certificati eseguendo i comandi API. Per visualizzare i comandi che consentono di aggiungere certificati, vedere roomos.cisco.com .

Certificati di servizio e CA attendibili

La convalida del certificato può essere necessaria quando si utilizza il protocollo TLS (Transport Layer Security). Un server o un client potrebbe richiedere che il dispositivo presenti un certificato valido prima dell'impostazione della comunicazione.

I certificati sono file di testo che verificano l'autenticità del dispositivo. Questi certificati devono essere firmati da un'autorità di certificazione attendibile (CA). Per verificare la firma dei certificati, sul dispositivo deve essere presente un elenco di CA attendibili. L'elenco deve includere tutte le CA necessarie per verificare i certificati sia per la registrazione di audit sia per altre connessioni.

I certificati vengono utilizzati per i seguenti servizi: Server HTTPS, SIP, IEEE 802.1X e registrazione di audit. È possibile memorizzare diversi certificati sul dispositivo, ma per ciascun servizio è abilitato un solo certificato alla volta.

In RoomOS da ottobre 2023 e versioni successive, quando si aggiunge un certificato CA a un dispositivo, questo viene applicato anche a un Room Navigator, se connesso. Per sincronizzare i certificati CA aggiunti in precedenza a un Room Navigator connesso, devi riavviare il dispositivo. Se non si desidera che le periferiche ottengano gli stessi certificati del dispositivo a cui è connesso, impostare la configurazione Certificati di sicurezza periferiche SyncToPeripherals su False.


I certificati memorizzati in precedenza non vengono eliminati automaticamente. Le voci in un nuovo file con certificati CA vengono aggiunte all'elenco esistente.

Per connessione Wi-Fi

Si consiglia di aggiungere un certificato CA attendibile per ciascun dispositivo Board, Desk o serie Room, se la rete utilizza l'autenticazione WPA-EAP. È necessario eseguire questa operazione singolarmente per ciascun dispositivo e prima di eseguire la connessione Wi-Fi.

Per aggiungere certificati per la connessione Wi-Fi, sono necessari i seguenti file:

  • Elenco certificati CA (formato del file: .PEM)

  • Certificato (formato del file: .PEM)

  • Chiave privata, come file separato o inclusa nello stesso file come certificato (formato del file: .PEM)

  • Passphrase (richiesta solo se la chiave privata è crittografata)

Il certificato e la chiave privata vengono memorizzati nello stesso file sul dispositivo. Se l'autenticazione non riesce, la connessione non viene stabilita.


La chiave privata e la passphrase non vengono applicate alle periferiche connesse.

Aggiunta di certificati sui dispositivi Board, Desk e serie Room

1

Dalla vista del cliente in https://admin.webex.com , andare alla pagina Dispositivi e selezionare il dispositivo nell'elenco. Vai a Supporto e avvia Controlli dispositivi locali.

Se è stato impostato un utente Admin locale sul dispositivo, è possibile accedere direttamente all'interfaccia Web aprendo un browser Web e digitando http(s)://.

2

Andare a Sicurezza > Certificati > sito personalizzato > Aggiungi certificato e caricare le certificato radice CA.

3

In openssl, generare una chiave privata e una richiesta di certificato. Copiare il contenuto della richiesta di certificato. Quindi incollarlo per richiedere il certificato del server dall'autorità di certificazione (CA).

4

Scaricare il certificato del server firmato dalla CA. Assicurarsi che sia in . Formato PEM.

5

Andare a Sicurezza > certificati > servizi di > Aggiungi certificato e caricare la chiave privata e il certificato del server.

6

Abilitare i servizi che si desidera utilizzare per il certificato appena aggiunto.

Simple Certificate Enrollment Protocol (SCEP)

Il protocollo SCEP (Simple Certificate Enrollment Protocol) fornisce un meccanismo automatico per l'iscrizione e l'aggiornamento dei certificati utilizzati, ad esempio, sull'autenticazione 802.1X sui dispositivi. SCEP consente di mantenere l'accesso del dispositivo a reti sicure senza intervento manuale.

  • Quando il dispositivo è nuovo o è stato sottoposto al ripristino delle impostazioni di fabbrica, è necessario accedere alla rete per raggiungere l'URL SCEP. Per ottenere un indirizzo IP, il dispositivo deve essere collegato alla rete senza 802.1X.

  • Se si utilizza un SSID di iscrizione wireless, è necessario passare attraverso le schermate di onboarding per configurare la connessione alla rete.

  • Una volta eseguita la connessione alla rete di provisioning, il dispositivo non deve trovarsi in una particolare schermata di onboarding in questa fase.

  • Per adattarsi a tutte le distribuzioni, le xAPI di iscrizione SCEP non memorizzano il certificato CA utilizzato per firmare il certificato del dispositivo. Per l'autenticazione del server, il certificato CA utilizzato per convalidare il certificato del server deve essere aggiunto con xCommand Security Certificates CA Add.

Prerequisiti

Sono necessarie le seguenti informazioni:

  • URL del server SCEP.

  • Impronta digitale del certificato dell'autorità certificativa (CA) della firma.

  • Informazioni sul certificato da iscrivere. In questo modo viene composto il Nome oggetto del certificato.

    • Nome comune

    • Nome paese

    • Nome organizzazione

  • La password di verifica del server SCEP se è stato configurato il server SCEP per applicare un OTP o un segreto condiviso.

Per la scadenza del certificato, viene inviata una richiesta di certificato valida per un anno. La policy lato server può modificare la data di scadenza durante la firma del certificato.

Connessione Ethernet

Quando un dispositivo è connesso a una rete, accertarsi che possa accedere al server SCEP. Il dispositivo deve essere connesso a una rete senza 802.1x per ottenere un indirizzo IP. Per ottenere un indirizzo IP, potrebbe essere necessario fornire l'indirizzo MAC del dispositivo alla rete di provisioning. L'indirizzo MAC è disponibile sull'interfaccia utente o sull'etichetta sul retro del dispositivo.

Dopo che il dispositivo è connesso alla rete, è possibile eseguire SSH al dispositivo come amministratore per accedere a TSH, quindi eseguire il seguente comando per inviare la richiesta di iscrizione SCEP: 
Richiesta di iscrizione SCEP per i certificati di sicurezza xCommand

Quando il server SCEP restituisce il certificato del dispositivo firmato, attivare 802.1X e riavviare il dispositivo.

Attivare il certificato firmato:
Attivazione dei servizi dei certificati di sicurezza xCommand

Riavviare il dispositivo dopo l'attivazione del certificato.

Connessione wireless

Quando un dispositivo è connesso a una rete wireless, accertarsi che possa accedere al server SCEP.

Dopo che il dispositivo è connesso alla rete, è possibile eseguire SSH al dispositivo come amministratore per accedere a TSH, quindi eseguire il seguente comando per inviare la richiesta di iscrizione SCEP: 
Richiesta di iscrizione SCEP per i certificati di sicurezza xCommand

Il dispositivo riceve il certificato firmato dal server SCEP.

Attivare il certificato firmato: 

Attivazione dei servizi dei certificati di sicurezza xCommand
Dopo l'attivazione, è necessario configurare la rete Wi-Fi con autenticazione EAP-TLS. 
Configurazione Wi-Fi di rete xCommand

Per impostazione predefinita, la configurazione Wi-Fi ignora i controlli di convalida del server. Se è richiesta solo l'autenticazione a una via, mantieni AllowMissingCA impostato automaticamente su True.

Per forzare la convalida del server, assicurarsi che il parametro opzionale AllowMissingCA sia impostato su False. Se non è possibile stabilire una connessione a causa di errori di convalida del servizio, verificare che sia stata aggiunta la CA corretta per verificare il certificato del server, che può essere diverso dal certificato del dispositivo.

Descrizioni API

Ruolo: Amministratore, Integratore

Richiesta di iscrizione SCEP per i certificati di sicurezza xCommand

Richiede e scarica un certificato di dispositivo firmato

Parametri:

  • URL(r): <S: 0, 128>

    URL del server SCEP utilizzato per iscrivere un certificato.

  • Impronta digitale (r): <S: 0, 128>

    L'impronta digitale della CA che emette che firmerà la richiesta X509.

  • ChallengePassword: <S: 0, 128>

    Password segreta condivisa impostata dal server SCEP.

  • CommonName(r): <S: 0, 128>

  • Nome paese: <S: 0, 128>

  • Nome organizzazione: <S: 0, 128>

  • SanDns[5]: <S: 0, 128>

  • SanEmail[5]: <S: 0, 128>

  • SanIp[5]: <S: 0, 128>

  • SanUri[5]: <S: 0, 128>

Richiesta di rinnovo SCEP per l'iscrizione dei servizi certificati di sicurezza xCommand

Creare o aggiornare un profilo di autenticazione che venga applicato a tutti i certificati emessi dalla CA specificata prima della scadenza dei certificati

Parametri:

  • Impronta digitale (r): <S: 0, 128>

    L'impronta digitale della CA che ha firmato i certificati.

  • URL(r): <S: 0, 128>

    URL del server SCEP utilizzato per rinnovare i certificati. 

Eliminazione rinnovo SCEP iscrizione servizi certificati di sicurezza xCommand

Rimuovere il profilo assegnato automaticamente per la CA specificata. In questo modo, i certificati firmati da questa CA non vengono trasferiti automaticamente

Parametri:

  • Impronta digitale (r): <S: 0, 128>

    L'impronta digitale della CA di emissione da rimuovere.

Elenco dei rinnovi dell'iscrizione dei servizi dei certificati di sicurezza xCommand

Elenca tutti i profili di autenticazione attualmente utilizzati.