장치의 로컬 웹 인터페이스에서 인증서를 추가할 수 있습니다. 또는 API 명령을 실행하여 인증서를 추가할 수 있습니다. 인증서를 추가할 수 있는 명령을 보려면 roomos.cisco.com를 참조하세요 .

서비스 인증서 및 신뢰할 수 있는 CA

TLS(Transport Layer Security)를 사용하는 경우 인증서 검증이 필요할 수 있습니다. 서버 또는 클라이언트는 통신이 설정되기 전에 장치가 유효한 인증서를 제시하도록 요구할 수 있습니다.

인증서는 장치의 정품 여부를 확인하는 텍스트 파일입니다. 이러한 인증서에는 신뢰할 수 있는 인증 기관(CA)의 서명이 있어야 합니다. 인증서의 서명을 확인하려면 신뢰할 수 있는 CA 목록이 디바이스에 있어야 합니다. 목록에는 감사 로깅과 다른 연결에 대한 인증서를 확인하는 데 필요한 모든 CA가 포함되어야 합니다.

인증서는 HTTPS 서버, SIP, IEEE 802.1X 및 감사 로깅과 같은 서비스에 사용됩니다. 장치에 여러 인증서를 저장할 수 있지만 한 번에 하나의 인증서만 각 서비스에 사용할 수 있습니다.

RoomOS 2023년 10월 이상에서 CA 인증서를 디바이스에 추가하면 연결된 경우 Room Navigator에도 적용됩니다. 이전에 추가한 CA 인증서를 연결된 룸 네비게이터에 동기화하려면 장치를 재부팅해야 합니다. 주변 장치가 연결된 디바이스와 동일한 인증서를 가져오지 않도록 하려면 주변 장치 보안 인증서 SyncToPeripherals 구성을 False 설정합니다.


이전에 저장된 인증서는 자동으로 삭제되지 않습니다. CA 인증서가 있는 새 파일의 항목이 기존 목록에 추가됩니다.

Wi-Fi 연결의 경우

네트워크에서 WPA-EAP 인증을 사용하는 경우 각 보드, 데스크 또는 룸 시리즈 디바이스에 대해 신뢰할 수 있는 CA 인증서를 추가하는 것이 좋습니다. 각 장치마다 Wi-Fi에 연결하기 전에 이 작업을 개별적으로 수행해야 합니다.

Wi-Fi 연결에 대한 인증서를 추가하려면 다음과 같은 파일이 필요합니다.

  • CA 인증서 목록(파일 형식: .PEM)

  • 인증서(파일 형식: .PEM)

  • 개별 키 또는 인증서와 동일한 파일에 포함된 개인 키(파일 형식 : .PEM)

  • 암호(개인 키를 암호화하는 경우에만 필수)

인증서와 개인 키는 장치의 동일한 파일에 저장됩니다. 인증에 실패하면 연결이 설정되지 않습니다.


개인 키와 암호는 연결된 주변 장치에 적용되지 않습니다.

보드, 데스크 및 회의실 시리즈 장치에 인증서 추가

1

https://admin.webex.com 고객 보기에서 장치 페이지로 이동하고 목록에서 장치를 선택합니다. Support(지원 )로 이동하여 Local Device Controls(로컬 장치 제어 )를 실행합니다 .

장치에서 로컬 관리 사용자를 설정한 후에 웹 브라우저를 열고 http(s)://<엔드포인트 ip 또는 호스트 이름>을 입력하여 직접 웹 인터페이스에 액세스할 수 있습니다.

2

보안 > 인증서 > 사용자 지정 > 인증서 추가로 이동하고 CA 루트 인증서를 업로드합니다.

3

Openssl에서 개인 키와 인증서 요청을 생성합니다. 인증서 요청의 내용을 복사합니다. 그런 다음 붙여 넣어 인증 기관(CA)으로부터 서버 인증서를 요청합니다.

4

CA에서 서명한 서버 인증서를 다운로드합니다. PEM 형식.

5

보안 > 인증서 > 서비스 > 인증서 추가로 이동하고 개인 키와 서버 인증서를 업로드합니다.

6

방금 추가한 인증서에 사용할 서비스를 사용하도록 설정합니다.

SCEP(Simple Certificate Enrollment Protocol)

SCEP(Simple Certificate Enrollment Protocol)는 예를 들어 장치에서 802.1X 인증에 사용되는 인증서 등록 및 새로 고침을 위한 자동화된 메커니즘을 제공합니다. SCEP를 사용하면 수동 개입 없이 보안 네트워크에 대한 장치의 액세스를 유지할 수 있습니다.

  • 장치가 새 제품이거나 공장 기본값으로 재설정된 경우 SCEP URL에 연결하려면 네트워크 액세스가 필요합니다. IP 주소를 얻으려면 장치가 802.1X 없이 네트워크에 연결되어 있어야 합니다.

  • 무선 등록 SSID 사용하는 경우 온보딩 화면을 통해 네트워크와의 연결을 구성해야 합니다.

  • 프로비전 네트워크에 연결되면 이 단계에서 장치가 특정 온보딩 화면에 있을 필요가 없습니다.

  • 모든 배포에 맞게 SCEP 등록 xAPI는 디바이스 인증서에 서명하는 데 사용되는 CA 인증서를 저장하지 않습니다. 서버 인증의 경우 서버 인증서의 유효성을 검사하는 데 사용되는 CA 인증서를 xCommand Security Certificates CA Add 와 함께추가해야 합니다.

사전 요건

다음 정보가 필요합니다.

  • SCEP 서버의 URL.

  • 서명 CA(Certificate Authority) 인증서의 지문입니다.

  • 등록할 인증서의 정보입니다. 이것이 인증서의 주체 이름을 구성합니다.

    • 속칭

    • 국가 이름

    • 조직 이름

  • OTP 또는 공유 암호를 적용하도록 SCEP 서버를 구성한 경우 SCEP 서버의 챌린지 암호입니다.

인증서 만료를 위해 1년 동안 유효한 인증서 요청을 보냅니다. 서버 쪽 정책은 인증서 서명 중에 만료 날짜를 변경할 수 있습니다.

이더넷 연결

장치가 네트워크에 연결되면 SCEP 서버에 액세스할 수 있는지 확인합니다. IP 주소를 얻으려면 장치가 802.1x가 없는 네트워크에 연결되어 있어야 합니다. IP 주소를 얻기 위해 장치의 MAC 주소를 프로비저닝 네트워크에 제공해야 할 수도 있습니다. MAC 주소는 UI 또는 장치 뒷면의 레이블에서 찾을 수 있습니다.

디바이스가 네트워크에 연결되면 관리자 권한으로 디바이스에 SSH를 사용하여 TSH에 액세스한 다음, 다음 명령을 실행하여 등록 SCEP 요청을 보낼 수 있습니다. 
xCommand 보안 인증서 서비스 등록 SCEP 요청

SCEP 서버가 서명된 장치 인증서를 반환하면 802.1X를 활성화한 다음 장치를 재부팅합니다.

서명된 인증서를 활성화합니다.
xCommand 보안 인증서 서비스 활성화

인증서를 활성화한 후 장치를 재부팅합니다.

무선 통신

장치가 무선 네트워크에 연결되면 SCEP 서버에 액세스할 수 있는지 확인합니다.

디바이스가 네트워크에 연결되면 관리자 권한으로 디바이스에 SSH를 사용하여 TSH에 액세스한 다음, 다음 명령을 실행하여 등록 SCEP 요청을 보낼 수 있습니다. 
xCommand 보안 인증서 서비스 등록 SCEP 요청

장치가 SCEP 서버로부터 서명된 인증서를 수신합니다.

서명된 인증서를 활성화합니다. 

xCommand 보안 인증서 서비스 활성화
활성화 후 EAP-TLS 인증을 사용하여 Wi-Fi 네트워크를 구성해야 합니다. 
xCommand 네트워크 Wi-Fi 구성

기본적으로 Wi-Fi 구성은 서버 유효성 검사를 건너뜁니다. 단방향 인증만 필요한 경우 AllowMissingCA 를 기본값을 True유지합니다.

서버 유효성 검사를 강제로 수행하려면 AllowMissingCA 선택적 매개 변수가 False설정되어 있는지확인합니다. 서비스 유효성 검사 오류로 인해 연결을 설정할 수 없는 경우 올바른 CA가 추가되었는지 확인하여 장치 인증서와 다를 수 있는 서버 인증서를 확인합니다.

API 설명

역할: 관리자, 통합자

xCommand 보안 인증서 서비스 등록 SCEP 요청

서명된 장치 인증서 요청 및 다운로드

매개 변수:

  • URL(r): <S: 0, 128>

    인증서를 등록하는 데 사용된 SCEP 서버 URL입니다.

  • 지문 (r) : <S : 0, 128>

    X509 요청에 서명할 발급 CA의 지문입니다.

  • 챌린지비밀번호: <S: 0, 128>

    SCEP 서버에서 설정한 공유 암호 암호입니다.

  • 일반 이름(r): <S: 0, 128>

  • 국가 이름: <S: 0, 128>

  • 조직 이름: <S: 0, 128>

  • 산DNS[5]: <S: 0, 128>

  • SanEmail[5]: <초: 0, 128>

  • SanIp[5]: <초: 0, 128>

  • 산누리[5]: <S: 0, 128>

xCommand 보안 인증서 서비스 등록 SCEP 갱신 요청

인증서가 만료되기 전에 지정된 CA에서 발급한 모든 인증서에 적용되는 자동 갱신 프로필을 만들거나 업데이트합니다

매개 변수:

  • 지문 (r): <S: 0, 128>

    인증서에 서명한 발급 CA의 지문입니다.

  • URL(r): <S: 0, 128>

    인증서를 갱신하는 데 사용되는 SCEP 서버 URL입니다. 

xCommand 보안 인증서 서비스 등록 SCEP 갱신 삭제

지정된 CA에 대한 자동 갱신된 프로필을 제거합니다. 이렇게 하면 이 CA에서 서명한 인증서의 자동 갱신이 중지됩니다

매개 변수:

  • 지문 (r): <S: 0, 128>

    제거할 발급 CA의 지문입니다.

xCommand 보안 인증서 서비스 등록 SCEP 갱신 목록

현재 사용되는 모든 자동 갱신 프로필을 나열합니다.