デバイスのローカル ウェブ インターフェイスから証明書を追加できます。または、API コマンドを実行して証明書を追加することもできます。証明書を追加できるコマンドを確認するには、 を参照 roomos.cisco.com

サービス証明書と信頼できる CA

TLS (Transport Layer Security) を使用する場合、証明書の検証が必要になる場合があります。サーバーまたはクライアントは、通信がセットアップされる前に、デバイスが有効な証明書を提示する必要がある場合があります。

証明書は、デバイスの信頼性を確認するテキスト ファイルです。これらの証明書は信頼できる証明機関 (CA) によって署名されている必要があります。証明書の署名を確認するには、信頼できる CA のリストがデバイスに存在している必要があります。このリストには、監査ログと他の接続の両方に対する証明書を検証するために必要なすべての CA が含まれる必要があります。

証明書は以下のサービスで使用されます。HTTPS サーバー、SIP、IEEE 802.1X、および監査ログ。デバイスには複数の証明書を保存できますが、一度に 1 つのサービスで有効な証明書は 1 つのみです。

2023 年 10 月以降の RoomOS では、CA 証明書をデバイスに追加すると、デバイスが接続されている場合は Room Navigator にも適用されます。以前に追加した CA 証明書を接続済みの Room Navigator に同期するには、デバイスを再起動する必要があります。周辺機器が接続されているデバイスと同じ証明書を取得したくない場合は、Peripherals Security Certificates SyncToPeripheralsFalse に設定します。


以前保存された証明書は自動的には削除されません。CA 証明書のある新しいファイルのエントリは、既存のリストに追加されます。

Wi-Fi 接続の場合

ネットワークで WPA-EAP 認証を使用している場合は、各 Board、Desk、または Room Series デバイスに対して信頼できる CA 証明書を追加することをお勧めします。これは、Wi-Fi に接続する前に、各デバイスに対して個別に行う必要があります。

Wi-Fi 接続に証明書を追加するには、以下のファイルが必要です。

  • CA 証明書リスト(ファイル形式: .PEM)

  • 証明書 (ファイル形式: .PEM)

  • 秘密キー(別のファイルとして、または証明書と同じファイルに含まれる(ファイル形式:.PEM)

  • パスフレーズ (プライベートキーが暗号化されている場合にのみ必要)

証明書とプライベートキーはデバイス上の同じファイルに保存されます。認証に失敗すると、接続は確立されません。


秘密鍵とパスフレーズは接続された周辺機器には適用されません。

Board、Desk、Room シリーズのデバイスに証明書を追加する

1

の顧客ビューから、[デバイス https://admin.webex.com ] ページに 移動 して、リストからデバイスを選択します。 [サポート] に移動し、 [ローカル デバイス コントロール] を起動します。

デバイスにローカルの管理者 ユーザーを設定している場合は、Web ブラウザを開いて、http(s):// を入力することで、Web インターフェイスに直接アクセスできます。

2

[カスタム 証明書] > > [ >] に移動し、CA 証明書ルート証明書アップロードします。

3

openssl で、プライベートキーと証明書リクエストを生成します。証明書リクエストの内容をコピーします。それから貼り付け、証明機関 (CA) からサーバー証明書を要求します。

4

CA が署名したサーバー証明書をダウンロードします。にあるか確認します。PEM 形式です。

5

[サービス] の > [ >] に移動>、プライベートキーとサーバー証明書をアップロードします。

6

追加した証明書に使用するサービスを有効にします。

簡易証明書登録プロトコル(SCEP)

Simple Certificate Enrollment Protocol(SCEP)は、デバイスの 802.1X 認証などの証明書を登録および更新するための自動メカニズムを提供します。SCEP を使用すると、手動による操作なしでセキュアなネットワークへのデバイスのアクセスを維持できます。

  • デバイスが新しい場合、または工場出荷時の状態にリセットされている場合、SCEP URL に到達するにはネットワーク アクセスが必要です。IP アドレスを取得するには、デバイスは 802.1X なしでネットワークに接続する必要があります。

  • ワイヤレス登録 SSID を使用している場合は、オンボーディング画面を通じてネットワークとの接続を設定する必要があります。

  • プロビジョニング ネットワークに接続すると、デバイスはこのステージで特定のオンボーディング画面に表示される必要はありません。

  • すべての展開に適合させるために、SCEP 登録 xAPI は、デバイス証明書の署名に使用される CA 証明書を保存しません。サーバー認証の場合、サーバーの証明書を検証するために使用される CA 証明書を xCommand Security Certificates CA Add で追加する必要があります。

前提条件

次の情報が必要です。

  • SCEP サーバの URL。

  • 署名する CA (認証局) 証明書の指紋。

  • 登録する証明書の情報。これにより、証明書のサブジェクト名 になります。

    • 通称

    • 国名

    • 組織名

  • OTP または共有秘密を強制するように SCEP サーバを設定している場合は、SCEP Server のチャレンジパスワード。

証明書の有効期限が 1 年間有効である証明書リクエストを送信します。サーバ側のポリシーは、証明書署名中に有効期限を変更できます。

イーサネット接続

デバイスがネットワークに接続されている場合は、SCEP サーバにアクセスできることを確認してください。IP アドレスを取得するには、デバイスは 802 なしでネットワークに接続されている必要があります。1x IP アドレスを取得するには、デバイスの MAC アドレスをプロビジョニング ネットワークに提供する必要があります。MAC アドレスは UI またはデバイスの背面にあるラベルにあります。

デバイスがネットワークに接続された後、admin としてデバイスに SSH を使用して TSH にアクセスし、次のコマンドを実行して登録 SCEP 要求を送信できます。
xCommand セキュリティ証明書サービスの登録 SCEP 要求

SCEP サーバが署名付きデバイス証明書を返したら、802.1X をアクティベートしてから、デバイスを再起動します。

署名付き証明書を有効にします。
xCommand セキュリティ証明書サービスの有効化

証明書をアクティベートした後でデバイスを再起動します。

ワイヤレス接続

デバイスがワイヤレス ネットワークに接続されている場合は、SCEP サーバにアクセスできることを確認してください。

デバイスがネットワークに接続された後、admin としてデバイスに SSH を使用して TSH にアクセスし、次のコマンドを実行して登録 SCEP 要求を送信できます。
xCommand セキュリティ証明書サービスの登録 SCEP 要求

デバイスは、SCEP サーバから署名された証明書を受信します。

署名付き証明書を有効にします。 

xCommand セキュリティ証明書サービスの有効化
アクティベート後、EAP-TLS 認証を使用して Wi-Fi ネットワークを設定する必要があります。
xCommand ネットワーク WiFi の設定

デフォルトでは、Wi-Fi 設定はサーバ検証チェックをスキップします。一方向の認証のみが必要な場合は、AllowMissingCA をデフォルトで True のままにします。

サーバー検証を強制するには、AllowMissingCA オプションパラメータが False に設定されていることを確認します。サービス検証エラーのために接続を確立できない場合は、正しい CA が追加されていることを確認して、デバイス証明書とは異なるサーバ証明書を確認します。

API の説明

役割:管理者、インテグレータ

xCommand セキュリティ証明書サービスの登録 SCEP 要求

署名済みデバイスの証明書を要求およびダウンロード

パラメーター:

  • URL(r): <S: 0, 128>

    証明書の登録に使用される SCEP サーバ URL。

  • 指紋認証 (r): <S: 0, 128>

    X509 要求に署名する発行 CA のフィンガープリント。

  • ChallengePassword: <S: 0, 128>

    SCEP サーバによって設定された共有秘密パスワード。

  • 共通名(r): <S: 0, 128>

  • 国名: <S: 0, 128>

  • 組織名: <S: 0, 128>

  • SanDns[1]: <S: 0, 128>

  • SanEmail[5]: <S: 0, 128>

  • SanIp[5]: <S: 0, 128>

  • SanUri[5]: <S: 0, 128>

xCommand セキュリティ証明書サービスの登録 SCEP 更新リクエスト

証明書の有効期限が切れる前に、指定された CA によって発行されたすべての証明書に適用される自動更新プロファイルを作成または更新します。

パラメーター:

  • 指紋認証 (r): <S: 0, 128>

    証明書に署名した発行する CA のフィンガープリント。

  • URL(r): <S: 0, 128>

    証明書の更新に使用される SCEP サーバ URL。 

xCommand セキュリティ証明書サービスの登録 SCEP 更新の削除

指定された CA の自動更新されたプロファイルを削除します。これにより、この CA によって署名された証明書が自動更新されなくなります

パラメーター:

  • 指紋認証 (r): <S: 0, 128>

    削除する発行する CA の指紋です。

xCommand セキュリティ証明書サービス登録 SCEP 更新リスト

現在使用されているすべての自動更新プロファイルを一覧表示します。