È possibile aggiungere certificati dall'interfaccia Web locale del dispositivo. In alternativa, è possibile aggiungere certificati eseguendo API comandi. Per vedere quali comandi consentono di aggiungere certificati, vedere roomos.cisco.com .

Certificati di servizio e autorità di certificazione attendibili

Quando si utilizza TLS (Transport Layer Security), può essere necessaria la convalida del certificato. Un server o un client può richiedere al dispositivo di presentare un certificato valido prima di impostare la comunicazione.

I certificati sono i file di testo che verificano l'autenticità del dispositivo. Questi certificati devono essere firmati da un'autorità certificativa (CA). Per verificare la firma dei certificati, è necessario che nel dispositivo risieda un elenco di CA attendibili. L'elenco deve includere tutte le CA necessarie per verificare i certificati sia per le registrazioni di controllo che per altre connessioni.

I certificati vengono utilizzati per i seguenti servizi: server HTTPS, SIP, IEEE 802.1 X e registrazione di controllo. È possibile memorizzare più certificati sul dispositivo, ma è abilitato un solo certificato alla volta per ogni servizio.

In RoomOS ottobre 2023 e versioni successive, quando aggiungi un certificato CA a un dispositivo, questo viene applicato anche a un Room Navigator, se ne è connesso uno. Per sincronizzare i certificati CA aggiunti in precedenza con un Room Navigator connesso, è necessario riavviare il dispositivo. Se non si desidera che le periferiche ottengano gli stessi certificati del dispositivo a cui è connesso, impostare la configurazione Peripherals Security Certificates SyncToPeripherals su False.

I certificati memorizzati in precedenza non vengono eliminati automaticamente. Le voci di un nuovo file con certificati CA vengono aggiunte all'elenco esistente.

Per Wi-Fi connessione

Si consiglia di aggiungere un certificato CA attendibile per ogni dispositivo Board, Desk o Room Series, se la rete utilizza l'autenticazione WPA-EAP. È necessario eseguire questa operazione per ogni singolo dispositivo e prima di connettersi alla rete Wi-Fi.

Per aggiungere i certificati per la connessione Wi-Fi, sono necessari i seguenti file:

  • Elenco dei certificati CA (formato del file: .PEM)

  • Certificato (formato del file: .PEM)

  • Chiave privata, come file separato o inclusa nello stesso file come certificato (formato del file: .PEM)

  • Passphrase (obbligatoria solo se è la chiave privata è crittografata)

Il certificato e la chiave privata vengono memorizzati nello stesso file sul dispositivo. Se l'autenticazione non riesce, la connessione non viene stabilita.

La chiave privata e la passphrase non vengono applicate alle periferiche collegate.

Aggiunta di certificati sui dispositivi Board, Desk e Room Series

1

Dalla vista del cliente in https://admin.webex.com , vai alla pagina Dispositivi e seleziona il tuo dispositivo nell'elenco. Vai a Supporto e avvia Controlli dispositivi locali.

Se è stato impostato un utente Admin locale sul dispositivo, per accedere direttamente all'interfaccia Web, aprire un browser Web e digitare http(s)://<ip endpoint o nome host>.

2

Selezionare Security (Sicurezza) > Certificates (Certificati) > Custom (Personalizzato) > Add Certificate (Aggiungi certificato) e caricare uno o più certificati principali CA.

3

In openssl, generare una chiave privata e una richiesta di certificato. Copiare il contenuto della richiesta di certificato. Quindi incollarlo per richiedere il certificato del server alla propria autorità certificativa (CA).

4

Scaricare il certificato del server firmato dalla CA. Assicurarsi che sia in . PEM.

5

Selezionare Security (Sicurezza) > Certificates (Certificati) > Services (Servizi) > Add Certificate (Aggiungi certificato) e caricare la chiave privata e il certificato del server.

6

Abilitare i servizi che si desidera utilizzare per il certificato appena aggiunto.

SCEP (Simple Certificate Enrollment Protocol)

Il protocollo SCEP (Simple Certificate Enrollment Protocol) fornisce un meccanismo automatizzato per la registrazione e l'aggiornamento dei certificati che vengono utilizzati, ad esempio, l'autenticazione 802.1X sui dispositivi. SCEP consente di mantenere l'accesso del dispositivo a reti sicure senza intervento manuale.

  • Quando il dispositivo è nuovo o è stato ripristinato alle impostazioni di fabbrica, è necessario l'accesso alla rete per raggiungere l'URL SCEP. Il dispositivo deve essere connesso alla rete senza 802.1X per ottenere un indirizzo IP.

  • Se si utilizza un SSID di registrazione wireless, è necessario passare attraverso le schermate di onboarding per configurare la connessione con la rete.

  • Una volta connesso alla rete di provisioning, non è necessario che il dispositivo si trovi in una particolare schermata di onboarding in questa fase.

  • Per adattarsi a tutte le distribuzioni, le xAPI di registrazione SCEP non memorizzeranno il certificato CA utilizzato per firmare il certificato del dispositivo. Per l'autenticazione del server, il certificato CA utilizzato per convalidare il certificato del server deve essere aggiunto con xCommand Security Certificates CA Add.

Prerequisiti

Sono necessarie le seguenti informazioni:

  • URL del server SCEP.

  • Impronta digitale del certificato CA (Certificate Authority) della firma.

  • Informazioni sul certificato da registrare. Questo costituisce il Nome soggetto del certificato.

    • Nome comune

    • Nome del paese

    • Nome dello stato o della provincia

    • Nome della località

    • Nome dell'organizzazione

    • Unità organizzativa

  • Il nome del soggetto verrà ordinato come /C= /ST= /L= /O= /OU= /CN=

  • Password di verifica del server SCEP se è stato configurato il server SCEP per applicare un OTP o un segreto condiviso.

È possibile impostare la dimensione della chiave richiesta per la coppia di chiavi di richiesta del certificato utilizzando il comando seguente. Il valore predefinito è 2048.

 xConfiguration Security Enrollment KeySize: <2048, 3072, 4096>

Inviamo una richiesta di certificato valida per un anno per la scadenza del certificato. I criteri sul lato server possono modificare la data di scadenza durante la firma del certificato.

Connessione Ethernet

Quando un dispositivo è connesso a una rete, assicurarsi che possa accedere al server SCEP. Il dispositivo deve essere connesso a una rete senza 802.1x per ottenere un indirizzo IP. Potrebbe essere necessario fornire l'indirizzo MAC del dispositivo alla rete di provisioning per ottenere un indirizzo IP. L'indirizzo MAC si trova sull'interfaccia utente o sull'etichetta sul retro del dispositivo.

Dopo che il dispositivo è connesso alla rete, è possibile accedere tramite SSH al dispositivo come amministratore per accedere a TSH, quindi eseguire il seguente comando per inviare la richiesta SCEP di iscrizione: 

xCommand Security Certificates Services Enrollment SCEP Request

Una volta che il server SCEP restituisce il certificato del dispositivo firmato, attivare 802.1X.

Attivare il certificato firmato:

Attivazione dei servizi di certificati di sicurezza xCommand

Riavviare il dispositivo dopo aver attivato il certificato.

Connessione wireless

Quando un dispositivo è connesso a una rete wireless, assicurarsi che possa accedere al server SCEP.

Dopo che il dispositivo è connesso alla rete, è possibile accedere tramite SSH al dispositivo come amministratore per accedere a TSH, quindi eseguire il seguente comando per inviare la richiesta SCEP di iscrizione: 

xCommand Security Certificates Services Enrollment SCEP Request

Il dispositivo riceve il certificato firmato dal server SCEP.

Attivare il certificato firmato: 

Attivazione dei servizi di certificati di sicurezza xCommand

Dopo l'attivazione, è necessario configurare la rete Wi-Fi con autenticazione EAP-TLS. 

xCommand Network Wifi Configura

Per impostazione predefinita, la configurazione del Wi-Fi ignora i controlli di convalida del server. Se è richiesta solo l'autenticazione unidirezionale, mantenere AllowMissingCA impostato per impostazione predefinita su True.

Per forzare la convalida del server, verificare che il parametro facoltativo AllowMissingCA sia impostato su False. Se non è possibile stabilire una connessione a causa di errori di convalida del servizio, verificare che sia stata aggiunta la CA corretta per verificare il certificato del server, che potrebbe essere diverso dal certificato del dispositivo.

API descrizioni

Ruolo: Amministratore, Integratore

xCommand Security Certificates Services Enrollment SCEP Request

Invia un CSR a un determinato server SCEP per la firma. I parametri CSR SubjectName verranno costruiti nell'ordine seguente: C, ST, L, O, OUs, CN.

Parametri:

  • URL(r): <S: 0, 256>

    L'indirizzo URL del server SCEP.

  • Impronta digitale(i): <S: 0, 128>

    Impronta digitale del certificato CA che firmerà la richiesta SCEP CSR.

  • NomeComune(i): <S: 0, 64>

    Aggiunge "/CN=" al nome del soggetto CSR.

  • ChallengePassword: <S: 0, 256>

    OTP o segreto condiviso dal server SCEP per l'accesso da firmare.

  • Nome Paese: <S: 0, 2>

    Aggiunge "/c=" al nome del soggetto CSR.

  • StateOrProvinceName: <S: 0, 64>

    Aggiunge "/ST=" al nome del soggetto CSR.

  • LocalitàNome: <S: 0, 64>

    Aggiunge "/l=" al nome del soggetto CSR.

  • Nome organizzazione: <S: 0, 64>

    Aggiunge "/O=" al nome del soggetto CSR.

  • Unità organizzativa[5]: <S: 0, 64>

    Aggiunge fino a 5 parametri "/OU=" al CSR Nome soggetto.

  • SanDns[5]: <S: 0, 64>

    Aggiunge fino a 5 parametri Dns al CSR Nome alternativo soggetto.

  • SanEmail[5]: <S: 0, 64>

    Aggiunge fino a 5 parametri e-mail al CSR Nome alternativo oggetto.

  • SanIp[5]: <S: 0, 64>

    Aggiunge fino a 5 parametri Ip al CSR Nome alternativo soggetto.

  • SanUri[5]: <S: 0, 64>

    Aggiunge fino a 5 parametri Uri al CSR Subject Alternative Name.

xCommand Security Certificates Services Enrollment Profiles Delete

Elimina un profilo di registrazione per non rinnovare più i certificati.

Parametri:

  • Impronta digitale(i): <S: 0, 128>

    Impronta digitale del certificato CA che identifica il profilo che si desidera rimuovere. È possibile visualizzare i profili disponibili da rimuovere eseguendo: 

    Certificati di sicurezza xCommand Elenco dei profili di registrazione dei servizi

Certificati di sicurezza xCommand Elenco dei profili di registrazione dei servizi

Vengono elencati i profili di registrazione per il rinnovo del certificato.

 xCommand Security Certificates Services Enrollment SCEP Profiles Set Fingerprint(r): <S: 0, 128> URL(r): <S: 0, 256>

Aggiungere un profilo di registrazione per i certificati emessi dall'impronta digitale della CA per utilizzare l'URL SCEP specificato per il rinnovo.

Rinnovamento

 xCommand Security Certificates Services Enrollment SCEP Profiles Set

Per rinnovare automaticamente il certificato, il dispositivo deve essere in grado di accedere all'URL SCEP che può firmare nuovamente il certificato.

Una volta al giorno, il dispositivo verificherà la presenza di certificati che scadranno entro 45 giorni. Il dispositivo tenterà quindi di rinnovare questi certificati se l'autorità emittente corrisponde a un profilo.

NOTA: tutti i certificati del dispositivo verranno controllati per il rinnovo, anche se il certificato non è stato originariamente registrato utilizzando SCEP.

Navigatore

  1. Direct Paired: i certificati iscritti possono essere attivati come certificato "Pairing".

  2. Accoppiamento remoto: Indicare al navigatore di registrare un nuovo certificato SCEP utilizzando l'ID della periferica:

    Periferiche xCommand Certificati di sicurezza Registrazione servizi Richiesta SCEP 

    I profili di iscrizione vengono sincronizzati automaticamente con il navigatore accoppiato.

  3. Navigatore autonomo: uguale alla registrazione codec