デバイスのローカル Web インターフェースから証明書を追加できます。 あるいは、API コマンドを実行して証明書を追加することもできます。 証明書を追加できるコマンドを確認するには、 roomos.cisco.com を参照してください。

サービス証明書と信頼できる CA

証明書の検証は、TLS（Transport Layer Security）を使用する場合に必要になることがあります。 サーバまたはクライアントは、通信を確立する前にデバイスが有効な証明書を提示することを要求する場合があります。

証明書は、デバイスの信頼性を検証するテキスト ファイルです。 これらの証明書は、信頼できる Certificate Authority (CA) によって署名されている必要があります。 証明書の署名を検証するには、信頼できる CA のリストがデバイス上に存在している必要があります。 リストには、監査ログとその他の接続の両方の証明書を検証するために必要なすべての CA を含める必要があります。

証明書は、HTTPS サーバ、SIP、IEEE 802.1X、監査ログなどのサービスに使用されます。 デバイスに複数の証明書を保存できますが、各サービスに対して一度に有効にできる証明書は 1 つだけです。

RoomOS 2023 年 10 月以降、デバイスに CA 証明書を追加すると、Room Navigator が接続されている場合はそれにも適用されます。 以前に追加した CA 証明書を接続された Room Navigator に同期するには、デバイスを再起動する必要があります。 周辺機器が接続されているデバイスと同じ証明書を取得したくない場合は、構成 Peripherals Security Certificates SyncToPeripherals を False に設定します。

Wi-Fi 接続の場合

ネットワークで WPA-EAP 認証を使用している場合は、Board、Desk、または Room シリーズの各デバイスに信頼できる CA 証明書を追加することをお勧めします。 これをデバイスごとに個別に、Wi-Fi に接続する前に実行する必要があります。

Wi-Fi 接続用の証明書を追加するには、次のファイルが必要です。

• CA 証明書リスト (ファイル形式: .PEM)

• 証明書（ファイル形式：.PEM）

• 秘密鍵（別ファイルとして、または証明書と同じファイルに含まれる）（ファイル形式：.PEM）

• パスフレーズ（秘密キーが暗号化される場合にのみ必要）

証明書と秘密鍵はデバイス上の同じファイルに保存されます。 認証が失敗した場合、接続は確立されません。

管理者は、クラウド登録済みの Board、Desk、または Room シリーズ デバイスに対して、Control Hub から証明書署名要求 (CSR) を生成する必要があります。

次の手順に従って、CSR を生成し、署名された証明書をデバイスにアップロードします。

1. Control Hub の顧客ビューから、[デバイス] ページに移動し、リストからデバイスを選択します。
2. [アクション] > [xCommand の実行] > [セキュリティ] > [証明書] > [CSR] > [作成] に移動します。
3. 必要な証明書の詳細を入力し、「実行」を選択します。
4. ----BEGIN CERTIFICATE REQUEST---- と ----END CERTIFICATE REQUEST---- の間のテキストをすべてコピーします。
5. 選択した Certificate Authority (CA) を使用して CSR に署名します。
6. 署名された証明書を PEM (Base64 エンコード) 形式でエクスポートします。
7. 署名された証明書ファイルをテキスト エディター (メモ帳など) で開き、----BEGIN CERTIFICATE---- と ----END CERTIFICATE---- の間のすべてのテキストをコピーします。
8. Control Hub で、[デバイス] > デバイスを選択 > [アクション] > [xCommand を実行] > [セキュリティ] > [証明書] > CSR > [リンク] に移動します。
9. コピーした証明書の内容を本文セクションに貼り付けて、「実行」を選択します。
10. ページを更新して、証明書が「既存の証明書」の下に表示されていることを確認します。

SCEP (Simple Certificate Enrollment Protocol) は、デバイス上の 802.1X 認証などに使用される証明書の登録と更新を自動化するメカニズムを提供します。 SCEP を使用すると、手動による介入なしにデバイスの安全なネットワークへのアクセスを維持できます。

• デバイスが新品の場合、または工場出荷時の状態にリセットされている場合は、SCEP URL にアクセスするためにネットワーク アクセスが必要です。 IP アドレスを取得するには、デバイスを 802.1X なしでネットワークに接続する必要があります。

• ワイヤレス登録 SSID を使用する場合は、オンボーディング画面に進んでネットワークとの接続を構成します。

• プロビジョニング ネットワークに接続すると、デバイスを特定のオンボーディング画面に表示する必要がなくなります。

• すべての展開に適合するために、SCEP 登録 xAPI はデバイス証明書の署名に使用される CA 証明書を保存しません。 サーバ認証の場合、サーバの証明書を検証するために使用される CA 証明書を次のように追加する必要があります。 xCommand セキュリティ証明書 CA の追加。

前提条件

次の情報が必要です。

• SCEP サーバの URL。

• 署名 CA (Certificate Authority) 証明書のフィンガープリント。

• 登録する証明書の情報。 これは、 件名 証明書の。

  • 共通名

  • 国名

  • 州または県名

  • 地域名

  • 組織名

  • 組織単位

• 件名は /C= /ST= /L= /O= /OU= /CN= の順序になります。

• SCEP サーバで OTP または共有シークレットを強制するように設定している場合の SCEP サーバのチャレンジ パスワード。

次のコマンドを使用して、証明書要求のキー ペアに必要なキー サイズを設定できます。 デフォルトは 2048 です。

 xConfiguration セキュリティ登録キーサイズ: <2048, 3072, 4096>

証明書の有効期限が 1 年間となる証明書リクエストを送信します。 サーバ側のポリシーにより、証明書の署名中に有効期限を変更できます。

イーサネット接続

デバイスがネットワークに接続されている場合は、SCEP サーバにアクセスできることを確認してください。 IP アドレスを取得するには、デバイスを 802.1x なしでネットワークに接続する必要があります。 IP アドレスを取得するには、デバイスの MAC アドレスをプロビジョニング ネットワークに提供する必要がある場合があります。 MAC アドレスは、UI またはデバイスの背面のラベルに記載されています。

デバイスがネットワークに接続されたら、次のようにデバイスに SSH で接続できます。 管理者 TSH にアクセスし、次のコマンドを実行して登録 SCEP 要求を送信します。

xCommand セキュリティ証明書サービス登録 SCEP リクエスト 

SCEP サーバが署名されたデバイス証明書を返したら、802.1X をアクティブ化します。

署名された証明書をアクティブ化します。

xCommand セキュリティ証明書サービスのアクティブ化 

証明書をアクティブ化した後、デバイスを再起動します。

ワイヤレス接続

デバイスがワイヤレス ネットワークに接続されている場合は、SCEP サーバにアクセスできることを確認してください。

デバイスがネットワークに接続されたら、次のようにデバイスに SSH で接続できます。 管理者 TSH にアクセスし、次のコマンドを実行して登録 SCEP 要求を送信します。

xCommand セキュリティ証明書サービス登録 SCEP リクエスト 

デバイスは SCEP サーバから署名された証明書を受信します。

署名された証明書をアクティブ化します。

xCommand セキュリティ証明書サービスのアクティブ化

有効化後、EAP-TLS 認証を使用して Wi-Fi ネットワークを設定する必要があります。

xCommand ネットワーク Wi-Fi 構成 

デフォルトでは、Wi-Fi 構成はサーバ検証チェックをスキップします。 一方向の認証のみが必要な場合は、 AllowMissingCA をデフォルトの True のままにします。

サーバの検証を強制するには、 AllowMissingCA オプション パラメータが False に設定されていることを確認します。 サービス検証エラーのために接続を確立できない場合は、デバイス証明書とは異なる可能性があるサーバ証明書を検証するために正しい CA が追加されていることを確認してください。

API の説明

役割: 管理者、インテグレーター

xCommand セキュリティ証明書サービス登録 SCEP リクエスト

指定された SCEP サーバーに署名のために CSR を送信します。 CSR SubjectName パラメータは、C、ST、L、O、OUs、CN の順に構成されます。

パラメータ:

• URL(r): <S: 0, 256>

  SCEP サーバの URL アドレス。

• 指紋(r): <S: 0, 128>

  SCEP 要求 CSR に署名するための CA 証明書の指紋。

• 共通名(r): <S: 0, 64>

  CSR サブジェクト名に "/CN=" を追加します。

• チャレンジパスワード: <S: 0, 256>

  SCEP サーバーから署名するためにアクセスするための OTP または共有秘密。

• 国名: <S: 0, 2>

  CSR サブジェクト名に "/C=" を追加します。

• 州または県名: <S: 0, 64>

  CSR サブジェクト名に "/ST=" を追加します。

• 地域名: <S: 0, 64>

  CSR サブジェクト名に "/L=" を追加します。

• 組織名: <S: 0, 64>

  CSR サブジェクト名に "/O=" を追加します。

• 組織単位 [5]: <S: 0, 64>

  最大 5 個の "/OU=" パラメータを CSR サブジェクト名に追加します。

• SanDns[5]: <S: 0, 64>

  CSR サブジェクト代替名に最大 5 つの Dns パラメータを追加します。

• サンメール [5]: <S: 0, 64>

  CSR サブジェクト代替名に最大 5 つのメールパラメータを追加します。

• サンイプ [5]: <S: 0, 64>

  CSR サブジェクト代替名に最大 5 IP パラメータを追加します。

• サンウリ [5]: <S: 0, 64>

  CSR サブジェクト代替名に最大 5 つの URI パラメーターを追加します。

xCommand セキュリティ証明書サービス登録プロファイルの削除

登録プロファイルを削除して証明書を更新しないようにします。

パラメータ:

• 指紋(r): <S: 0, 128>

  削除するプロファイルを識別する CA 証明書のフィンガープリント。 削除可能なプロファイルを確認するには、次のコマンドを実行します。

  xCommand セキュリティ証明書サービス登録プロファイルリスト

xCommand セキュリティ証明書サービス登録プロファイルリスト

証明書の更新のための登録プロファイルを一覧表示します。

 xCommand セキュリティ証明書サービス登録 SCEP プロファイル セット フィンガープリント (r): <S: 0, 128> URL (r): <S: 0, 256>

指定された SCEP URL を使用して更新するために、CA フィンガープリントによって発行された証明書の登録プロファイルを追加します。

リニューアル

 xCommand セキュリティ証明書サービス登録 SCEP プロファイル セット

証明書を自動的に更新するには、デバイスが証明書を再署名できる SCEP Url にアクセスできる必要があります。

デバイスは 1 日に 1 回、45 日で期限切れになる証明書をチェックします。 発行者がプロファイルと一致する場合、デバイスはこれらの証明書の更新を試みます。

注意: 証明書が元々 SCEP を使用して登録されていなかった場合でも、すべてのデバイス証明書は更新のためにチェックされます。

ナビゲーター

1. 直接ペアリング: 登録された証明書は、「ペアリング」証明書としてアクティブ化できます。

2. リモートペアリング: 周辺機器の ID を使用して新しい SCEP 証明書を登録するようにナビゲータに指示します。

   xCommand 周辺機器 セキュリティ証明書 サービス登録 SCEP 要求 

   登録プロファイルは、ペアリングされたナビゲーターに自動的に同期されます。

3. スタンドアロンナビゲーター: コーデック登録と同じ

Room Navigator の設定メニューから 802.1x 認証を直接設定できます。

802.1x 認証規格はイーサネット ネットワークにとって特に重要であり、承認されたデバイスのみがネットワーク リソースにアクセスできるようにします。

ネットワークで設定されている EAP メソッドに基づいて、さまざまなログイン オプションが利用できます。 次に例を示します。

• TLS: ユーザ名とパスワードは使用されません。
• PEAP: 証明書は使用されません。
• TTLS: ユーザ名/パスワードと証明書の両方が必須です。どちらもオプションではありません。

デバイス上でクライアント証明書を取得するには、いくつかの方法があります。

1. PEM をアップロードします。セキュリティ証明書サービス追加機能を使用します。
2. CSR を作成します: 証明書署名要求 (CSR) を生成し、署名して、セキュリティ証明書 CSR 作成/リンクを使用してリンクします。
3. SCEP: セキュリティ証明書サービス登録 SCEP 要求を利用します。
4. DHCP オプション 43: このオプションを使用して証明書の配信を構成します。

802.1x の証明書の設定と更新は、 Room Navigator をシステムにペアリングする前 、または Room Navigator を工場出荷時の状態にリセットした後に行う必要があります。

デフォルトの資格情報は、管理者と空のパスワードです。 API にアクセスして証明書を追加する方法の詳細については、 最新バージョンの API ガイド を参照してください。

1. 右上隅のボタンをタップするか、右側からスワイプして、ナビゲーターのコントロール パネルを開きます。 次に、[デバイス設定] をタップします。
2. [ネットワーク接続] に移動し、 [イーサネット] を選択します。
3. [IEEE802.1X を使用する] をオンに切り替えます。
   • 資格情報を使用して認証が設定されている場合は、ユーザ ID とパスフレーズを入力します。 匿名の ID を入力することもできます。これは、実際のユーザの ID を初期認証要求から分離する方法を提供するオプションのフィールドです。
   • TLS Verify をオフまたはオンに切り替えることができます。 TLS verify がオンになっている場合、クライアントは TLS ハンドシェイク中にサーバの証明書の信頼性をアクティブに検証します。 TLS verify が OFF の場合、クライアントはサーバの証明書のアクティブな検証を実行しません。
   • API にアクセスしてクライアント証明書をアップロードした場合は、 クライアント証明書を使用する の上。
   • 切り替える 拡張認証プロトコル (EAP) 使用したい方法。 EAP メソッドの選択は、特定のセキュリティ要件、インフラストラクチャ、およびクライアント機能によって異なります。 EAP メソッドは、安全で認証されたネットワーク アクセスを実現するために不可欠です。