これはデバイスのローカル Web インターフェイスから追加できます。 代わりに、API コマンドを実行して証明書を追加することもできます。 証明書の追加が可能なコマンドについては、 roomos.cisco.com を参照してください

サービス証明書と信頼できる CA

証明書の検証は、TLS(Transport Layer Security)を使用する場合に必要になることがあります。 通信をセットアップする前に、有効な証明書をデバイスが提供するよう、サーバまたはクライアントが要求することがあります。

証明書は、デバイスの信頼性を確認するテキスト ファイルです。 証明書は、信頼できる認証局(CA)によって署名されている必要があります。 証明書の署名を確認するには、信頼できる CA のリストがデバイス上に存在する必要があります。 このリストには、監査ロギングとその他の接続の両方の証明書を検証するために必要なすべての CA が含まれている必要があります。

これらの証明書は、HTTPS サーバ、SIP、IEEE 802.1X、および監査ロギングの各サービスで使用されます。 デバイスには複数の証明書を保存できますが、各サービスで一度に有効な証明書は 1 つだけです。

RoomOS 2023 年 10 月以降、CA 証明書をデバイスに追加すると、Room Navigator が接続されている場合はそれにも適用されます。 以前に追加された CA 証明書を接続された Room Navigator に同期するには、デバイスを再起動する必要があります。 周辺機器に、接続されているデバイスと同じ証明書を取得させたくない場合は、構成 Peripherals Security Certificates SyncToPeripherals に設定します。 にアクセスしてください。


以前に保存した証明書は自動的には削除されません。 CA 証明書を含む新しいファイル内のエントリが既存のリストに付加されます。

Wi-Fi 接続用

ネットワークで WPA-EAP 認証を使用する場合、各 Board、Desk、または Room シリーズ デバイスに対して、信頼できる CA 証明書を追加することを推奨します。 これは、Wi-Fi に接続する前に、それぞれのデバイスで個別に行う必要があります。

Wi-Fi 接続用の証明書を追加するには、次のファイルが必要です。

  • CA 証明書のリスト(ファイル形式:.PEM)。

  • 証明書(ファイル形式:.PEM)

  • 個別のファイルとして、または証明書と同じファイルに含まれる秘密キー(ファイル形式:.PEM)

  • パスフレーズ(秘密キーが暗号化される場合にのみ必要)

証明書と秘密キーは、デバイスの同じファイル内に保存されます。 認証が失敗した場合、接続は確立されません。


秘密鍵とパスフレーズは接続済みの周辺機器には適用されません。

Board、Desk、Room シリーズのデバイスで証明書を追加する

1

https://admin.webex.com の顧客ビューから 端末 ページに移動し、リストからお使いの端末を選択します。 [ サポート ] に移動して ローカル端末コントロール を起動してください。

ローカル管理者ユーザをデバイスに設定してある場合、Web ブラウザを開いて「http(s)://<エンドポイント IP またはホスト名>」と入力すると、web インターフェースに直接アクセスできます。

2

[セキュリティ(Security)] > [証明書(Certificates)] > [カスタム(Custom)] > [証明書の追加(Add Certificate)] に移動し、お使いの CA ルート証明書をアップロードしてください。

3

openssl で、秘密鍵と証明書要求を生成します。 証明書要求の内容をコピーします。 それを貼り付けて、認証局(CA)からサーバ証明書を要求します。

4

CA によって署名されたサーバ証明書をダウンロードします。.PEM 形式であることを確認します。

5

[セキュリティ(Security)] > [証明書(Certificates)] > [サービス(Services)] > [証明書の追加(Add Certificate)] に移動し、秘密キーとサーバ証明書をアップロードします。

6

追加した証明書に使用するサービスを有効にします。

シンプル証明書登録プロトコル(SCEP)

Simple Certificate Enrollment Protocol (SCEP) は、デバイスの 802.1X 認証などに使用される証明書を登録および更新するための自動化されたメカニズムを提供します。 SCEP を使用すると、手動の介入なしに、デバイスの安全なネットワークへのアクセスを維持できます。

  • デバイスが新しい場合、または工場出荷時設定にリセットされている場合、SCEP URL に到達するためにネットワークアクセスが必要です。 端末は 802.1X を使用しないネットワークに接続して、IP アドレスを取得する必要があります。

  • ワイヤレス登録 SSID を使用している場合、オンボーディング画面に従ってネットワークとの接続を構成する必要があります。

  • プロビジョニング ネットワークに接続されたら、この段階でデバイスを特定のオンボーディング画面にする必要はありません。

  • すべての展開に適合するように、SCEP 登録 xAPI はデバイス証明書の署名に使用される CA 証明書を保存しません。 サーバ認証の場合、サーバ証明書の検証に使用される CA 証明書は、 xCommand Security Certificates CA Add で追加する必要があります。

前提条件

次の情報が必要です。

  • SCEP サーバの URL。

  • 署名 CA (Certificate Authority) 証明書の指紋。

  • 登録する証明書の情報。 証明書のサブジェクト名 となります。

    • 共通名

    • 国名

    • 組織名

  • OTP または共有シークレットを強制するように SCEP サーバを構成した場合、SCEP サーバのチャレンジパスワード。

証明書の有効期限が 1 年間有効な証明書の要求を送信します。 サーバ側のポリシーにより、証明書の署名中に有効期限が変更される場合があります。

イーサネット接続

デバイスがネットワークに接続されている場合、SCEP サーバにアクセスできることを確認してください。 IP アドレスを取得するには、端末が 802.1x 未対応のネットワークに接続されている必要があります。 デバイスの MAC アドレスは、IP アドレスを取得するために、プロビジョニング ネットワークに提供される必要がある場合があります。 MAC アドレスは、UI または端末の背面のラベルで見つけることができます。

端末がネットワークに接続されたら、 admin として端末に SSH で接続して TSH にアクセスし、次のコマンドを実行して登録 SCEP リクエストを送信します。 
xCommand Security Certificates Services 登録 SCEP リクエスト

SCEP サーバが署名済みデバイス証明書を返したら、802.1X をアクティベートしてからデバイスを再起動します。

署名付き証明書を有効にします。
xCommand Security Certificates Services が有効になります

証明書を有効にした後、デバイスをリブートします。

ワイヤレス接続

デバイスがワイヤレス ネットワークに接続されている場合、SCEP サーバにアクセスできることを確認します。

端末がネットワークに接続されたら、 admin として端末に SSH で接続して TSH にアクセスし、次のコマンドを実行して登録 SCEP リクエストを送信します。 
xCommand Security Certificates Services 登録 SCEP リクエスト

デバイスは、SCEP サーバから署名された証明書を受け取ります。

署名付き証明書を有効にします。 

xCommand Security Certificates Services が有効になります
アクティベートしたら、EAP-TLS 認証で Wi-Fi ネットワークを設定する必要があります。 
xCommand ネットワーク Wi-Fi 設定

デフォルトでは、Wi-Fi 設定でサーバの検証チェックがスキップされます。 一方向の認証のみが必要な場合は、[ AllowMissingCA ] をデフォルトの True に設定します。

サーバ検証を強制するには、オプションのパラメータである AllowMissingCAFalse に設定します。 サービス検証エラーのために接続を確立できない場合、正しい CA が追加され、デバイス証明書と異なる可能性があるサーバ証明書を確認することを確認してください。

API ディスクリプション

役割: 管理者、インテグレータ

xCommand Security Certificates Services 登録 SCEP リクエスト

署名済みデバイス証明書を要求してダウンロードする

パラメータ:

  • URL(r): <S: 0, 128>

    証明書の登録に使用される SCEP サーバ URL。

  • 指紋 (r): <S: 0, 128>

    X509 リクエストに署名する発行 CA の指紋。

  • チャレンジパスワード: <S: 0, 128>

    SCEP サーバにより設定された共有シークレットパスワードです。

  • CommonName(r): <S: 0, 128>

  • 国名: <S: 0, 128>

  • OrganizationName: <S: 0, 128>

  • SanDns[5]: <S: 0, 128>

  • SanEmail[5]: <S: 0, 128>

  • SanIp[5]: <S: 0, 128>

  • SanUri[5]: <S: 0, 128>

xCommand セキュリティ証明書サービス登録 SCEP 更新リクエスト

証明書の有効期限が切れる前に、指定された CA によって発行されたすべての証明書に適用される自動更新プロファイルを作成または更新します。

パラメータ:

  • 指紋認証: <S: 0, 128>

    証明書に署名した発行 CA の指紋。

  • URL(r): <S: 0, 128>

    証明書の更新に使用される SCEP サーバ URL。 

xCommand Security Certificates Services Enrollment SCEP Renewal Delete

指定された CA の自動更新プロファイルを削除します。これにより、この CA によって署名された証明書の自動更新が停止されます

パラメータ:

  • 指紋認証: <S: 0, 128>

    削除する発行 CA の指紋。

xCommand Security 証明書サービス登録 SCEP 更新リスト

現在使用されているすべての自動更新プロファイルを一覧表示します。