これはデバイスのローカル Web インターフェイスから追加できます。 あるいは、API コマンドを実行して証明書を追加することもできます。 証明書を追加できるコマンドを確認するには、 roomos.cisco.com を参照してください

サービス証明書と信頼できる CA

証明書の検証は、TLS(Transport Layer Security)を使用する場合に必要になることがあります。 通信をセットアップする前に、有効な証明書をデバイスが提供するよう、サーバまたはクライアントが要求することがあります。

証明書は、デバイスの信頼性を確認するテキスト ファイルです。 証明書は、信頼できる認証局(CA)によって署名されている必要があります。 証明書の署名を検証するには、信頼できる CA のリストがデバイス上に存在している必要があります。 このリストには、監査ロギングとその他の接続の両方の証明書を検証するために必要なすべての CA が含まれている必要があります。

これらの証明書は、HTTPS サーバ、SIP、IEEE 802.1X、および監査ロギングの各サービスで使用されます。 デバイスには複数の証明書を保存できますが、各サービスで一度に有効な証明書は 1 つだけです。

RoomOS 2023 年 10 月以降、デバイスに CA 証明書を追加すると、Room Navigator が接続されている場合は、その証明書も Room Navigator に適用されます。 以前に追加した CA 証明書を接続された Room Navigator に同期するには、デバイスを再起動する必要があります。 周辺機器が接続されているデバイスと同じ証明書を取得したくない場合は、構成 Peripherals Security Certificates SyncToPeripheralsFalse に設定します。

以前に保存した証明書は自動的には削除されません。 CA 証明書を含む新しいファイル内のエントリが既存のリストに付加されます。

Wi-Fi 接続の場合

ネットワークで WPA-EAP 認証を使用している場合は、Board、Desk、または Room シリーズの各デバイスに信頼できる CA 証明書を追加することをお勧めします。 これは、Wi-Fi に接続する前に、それぞれのデバイスで個別に行う必要があります。

Wi-Fi 接続用の証明書を追加するには、次のファイルが必要です。

  • CA 証明書のリスト(ファイル形式:.PEM)。

  • 証明書(ファイル形式:.PEM)

  • 個別のファイルとして、または証明書と同じファイルに含まれる秘密キー(ファイル形式:.PEM)

  • パスフレーズ(秘密キーが暗号化される場合にのみ必要)

証明書と秘密キーは、デバイスの同じファイル内に保存されます。 認証が失敗した場合、接続は確立されません。

秘密鍵とパスフレーズは接続された周辺機器には適用されません。

Board、Desk、Room シリーズデバイスに証明書を追加する

1

https://admin.webex.com の顧客ビューから、 デバイス ページに移動し、リストからデバイスを選択します。 サポート にアクセスし、 ローカル デバイス コントロール を起動します。

ローカル管理者ユーザをデバイスに設定してある場合、Web ブラウザを開いて「http(s)://<エンドポイント IP またはホスト名>」と入力すると、web インターフェースに直接アクセスできます。

2

[セキュリティ(Security)] > [証明書(Certificates)] > [カスタム(Custom)] > [証明書の追加(Add Certificate)] に移動し、お使いの CA ルート証明書をアップロードしてください。

3

openssl で、秘密鍵と証明書要求を生成します。 証明書要求の内容をコピーします。 それを貼り付けて、認証局(CA)からサーバ証明書を要求します。

4

CA によって署名されたサーバ証明書をダウンロードしてください。.PEM 形式であることを確認してください。

5

[セキュリティ(Security)] > [証明書(Certificates)] > [サービス(Services)] > [証明書の追加(Add Certificate)] に移動し、秘密キーとサーバ証明書をアップロードします。

6

追加した証明書に使用するサービスを有効にします。

シンプル証明書登録プロトコル(SCEP)

SCEP (Simple Certificate Enrollment Protocol) は、デバイス上の 802.1X 認証などに使用される証明書の登録と更新のための自動化メカニズムを提供します。 SCEP を使用すると、手動による介入なしにデバイスの安全なネットワークへのアクセスを維持できます。

  • デバイスが新品の場合、または工場出荷時の状態にリセットされている場合は、SCEP URL にアクセスするためにネットワーク アクセスが必要です。 IP アドレスを取得するには、デバイスを 802.1X なしでネットワークに接続する必要があります。

  • ワイヤレス登録 SSID を使用する場合は、オンボーディング画面を実行してネットワークとの接続を構成する必要があります。

  • プロビジョニング ネットワークに接続すると、この段階ではデバイスが特定のオンボーディング画面に表示される必要はありません。

  • すべての展開に適合させるために、SCEP 登録 xAPI はデバイス証明書の署名に使用される CA 証明書を保存しません。 サーバ認証の場合、サーバの証明書を検証するために使用される CA 証明書を、 xCommand Security Certificates CA Add を使用して追加する必要があります。

前提条件

次の情報が必要です。

  • SCEP サーバの URL。

  • 署名 CA (Certificate Authority) 証明書のフィンガープリント。

  • 登録する証明書の情報。 これは証明書の サブジェクト名 を構成します。

    • 通称

    • 国名

    • 州または県名

    • 地域名

    • 組織名

    • 組織単位

  • 件名は /C= /ST= /L= /O= /OU= /CN= の順序になります。

  • SCEP サーバが OTP または共有シークレットを強制するように構成している場合は、SCEP サーバのチャレンジ パスワード。

次のコマンドを使用して、証明書要求のキー ペアに必要なキー サイズを設定できます。 デフォルトは 2048 です。

 xConfiguration セキュリティ登録キーサイズ: <2048, 3072, 4096>

証明書の有効期限が切れるまで 1 年間有効な証明書リクエストを送信します。 サーバ側のポリシーにより、証明書の署名中に有効期限を変更できます。

イーサネット接続

デバイスがネットワークに接続されている場合は、SCEP サーバにアクセスできることを確認してください。 IP アドレスを取得するには、デバイスを 802.1x なしでネットワークに接続する必要があります。 IP アドレスを取得するには、デバイスの MAC アドレスをプロビジョニング ネットワークに提供する必要がある場合があります。 MAC アドレスは、UI またはデバイスの背面のラベルに記載されています。

デバイスがネットワークに接続されたら、 admin としてデバイスに SSH 接続して TSH にアクセスし、次のコマンドを実行して登録 SCEP 要求を送信できます。 

xCommand セキュリティ証明書サービス登録 SCEP リクエスト

SCEP サーバが署名されたデバイス証明書を返したら、802.1X をアクティブ化します。

署名された証明書をアクティブ化します。

xCommand セキュリティ証明書サービスの有効化

証明書をアクティブ化した後、デバイスを再起動します。

ワイヤレス接続

デバイスがワイヤレス ネットワークに接続されている場合は、SCEP サーバにアクセスできることを確認してください。

デバイスがネットワークに接続されたら、 admin としてデバイスに SSH 接続して TSH にアクセスし、次のコマンドを実行して登録 SCEP 要求を送信できます。 

xCommand セキュリティ証明書サービス登録 SCEP リクエスト

デバイスは SCEP サーバから署名された証明書を受信します。

署名された証明書をアクティブ化します。 

xCommand セキュリティ証明書サービスの有効化

有効化後、Wi-Fi ネットワークを EAP-TLS 認証で設定する必要があります。 

xCommand ネットワーク Wi-Fi 構成

デフォルトでは、Wi-Fi 構成はサーバ検証チェックをスキップします。 一方向の認証のみが必要な場合は、 不足 CA を許可 デフォルト 真実

サーバの検証を強制するには、 不足 CA を許可 オプションパラメータは次のように設定されます 間違い。 サービス検証エラーのために接続を確立できない場合は、デバイス証明書とは異なる可能性があるサーバ証明書を検証するために正しい CA が追加されていることを確認してください。

API の説明

役割: 管理者、インテグレーター

xCommand セキュリティ証明書サービス登録 SCEP リクエスト

指定された SCEP サーバーに署名のために CSR を送信します。 CSR SubjectName パラメータは、C、ST、L、O、OUs、CN の順に構成されます。

パラメータ:

  • URL(r): <S: 0, 256>

    SCEP サーバの URL アドレス。

  • 指紋(r): <S: 0, 128>

    SCEP 要求 CSR に署名するための CA 証明書の指紋。

  • 共通名(r): <S: 0, 64>

    CSR サブジェクト名に "/CN=" を追加します。

  • チャレンジパスワード: <S: 0, 256>

    SCEP サーバーから署名するためにアクセスするための OTP または共有秘密。

  • 国名: <S: 0, 2>

    CSR サブジェクト名に "/C=" を追加します。

  • 州または県名: <S: 0, 64>

    CSR サブジェクト名に "/ST=" を追加します。

  • 地域名: <S: 0, 64>

    CSR サブジェクト名に "/L=" を追加します。

  • 組織名: <S: 0, 64>

    CSR サブジェクト名に "/O=" を追加します。

  • 組織単位 [5]: <S: 0, 64>

    最大 5 個の "/OU=" パラメータを CSR サブジェクト名に追加します。

  • サンダウン [5]: <S: 0, 64>

    CSR サブジェクト代替名に最大 5 つの Dns パラメータを追加します。

  • サンメール [5]: <S: 0, 64>

    CSR サブジェクト代替名に最大 5 つのメールパラメータを追加します。

  • サンイプ [5]: <S: 0, 64>

    CSR サブジェクト代替名に最大 5 IP パラメータを追加します。

  • サンウリ [5]: <S: 0, 64>

    CSR サブジェクト代替名に最大 5 つの URI パラメーターを追加します。

xCommand セキュリティ証明書サービス登録プロファイルの削除

登録プロファイルを削除して証明書を更新しないようにします。

パラメータ:

  • 指紋(r): <S: 0, 128>

    削除するプロファイルを識別する CA 証明書のフィンガープリント。 削除可能なプロファイルを確認するには、次のコマンドを実行します。 

    xCommand セキュリティ証明書サービス登録プロファイルリスト

xCommand セキュリティ証明書サービス登録プロファイルリスト

証明書の更新のための登録プロファイルを一覧表示します。

 xCommand セキュリティ証明書サービス登録 SCEP プロファイル セット フィンガープリント(r): <S: 0, 128> URL(r): <S: 0, 256>

指定された SCEP URL を使用して更新するために、CA フィンガープリントによって発行された証明書の登録プロファイルを追加します。

リニューアル

 xCommand セキュリティ証明書サービス登録 SCEP プロファイル セット

証明書を自動的に更新するには、デバイスが証明書を再署名できる SCEP Url にアクセスできる必要があります。

デバイスは 1 日に 1 回、45 日で期限切れになる証明書をチェックします。 発行者がプロファイルと一致する場合、デバイスはこれらの証明書の更新を試みます。

注意: 証明書が元々 SCEP を使用して登録されていなかった場合でも、すべてのデバイス証明書は更新のためにチェックされます。

ナビゲーター

  1. 直接ペアリング: 登録された証明書は、「ペアリング」証明書としてアクティブ化できます。

  2. リモートペアリング: 周辺機器の ID を使用して新しい SCEP 証明書を登録するようにナビゲータに指示します。

    xCommand 周辺機器 セキュリティ証明書 サービス登録 SCEP 要求 

    登録プロファイルは、ペアリングされたナビゲーターに自動的に同期されます。

  3. スタンドアロンナビゲーター: コーデック登録と同じ

Room Navigator で 802.1x 認証を設定する

Room Navigator の設定メニューから 802.1x 認証を直接設定できます。

802.1x 認証規格はイーサネット ネットワークにとって特に重要であり、承認されたデバイスのみがネットワーク リソースにアクセスできるようにします。 ユーザ名とパスワードを使用してネットワークを認証することも、クライアント証明書を使用することもできます。 両方を同時に使用することも可能です。 802.1x サービスを使用するには、クライアント証明書を API 経由でアップロードし、アクティブ化する必要があります。

802.1x の証明書の設定と更新は、Room Navigator をシステムにペアリングする前、または Room Navigator を工場出荷時の状態にリセットした後に行う必要があります。

デフォルトの資格情報は、管理者と空のパスワードです。 API にアクセスして証明書を追加する方法の詳細については、 API ガイドの最新バージョンを参照してください

  1. 右上隅のボタンをタップするか、右側からスワイプして、ナビゲーターのコントロール パネルを開きます。 次に、[デバイス設定] をタップします。
  2. [ネットワーク接続] に移動して、 [イーサネット] を選択します
  3. [IEEE802.1X を使用する] をオンに切り替えます。
    • 資格情報を使用して認証が設定されている場合は、ユーザ ID とパスフレーズを入力します。 匿名の ID を入力することもできます。これは、実際のユーザの ID を初期認証要求から分離する方法を提供するオプションのフィールドです。
    • TLS Verify をオフまたはオンに切り替えることができます。 TLS verify がオンになっている場合、クライアントは TLS ハンドシェイク中にサーバの証明書の信頼性をアクティブに検証します。 TLS verify がオフになっている場合、クライアントはサーバの証明書のアクティブな検証を実行しません。
    • API にアクセスしてクライアント証明書をアップロードした場合は、 [クライアント証明書を使用する] をオンに切り替えます。
    • 使用する 拡張認証プロトコル (EAP) 方式を切り替えます。 EAP メソッドの選択は、特定のセキュリティ要件、インフラストラクチャ、およびクライアント機能によって異なります。 EAP メソッドは、安全で認証されたネットワーク アクセスを実現するために不可欠です。