장치의 로컬 웹 인터페이스에서 인증서를 추가할 수 있습니다. 또는 API 명령어를 실행하여 인증서를 추가할 수도 있습니다. 인증서 추가를 허용하는 명령어를 확인하거나 또는 을 (를) roomos.cisco.com .

서비스 인증서 및 신뢰할 수 있는 CA

TLS(Transport Layer Security)를 사용할 때 인증서 유효성 검증이 요구될 수도 있습니다. 서버 또는 클라이언트는 통신이 설정되기 전에 장치에서 유효한 인증서를 제시해야 할 수도 있습니다.

인증서는 장치의 인증을 확인하는 텍스트 파일입니다. 해당 인증서는 신뢰할 수 있는 인증 기관(CA)에서 서명해야 합니다. 인증서의 서명을 확인하려면 신뢰할 수 있는 CA 목록이 장치에 있어야 합니다. 감사 로깅 및 기타 연결 모두의 인증서를 확인하려면 목록에 필요한 모든 CAS가 포함되어야 합니다.

인증서는 다음 서비스에 대해 사용됩니다. HTTPS 서버, SIP, IEEE 802.1X 및 감사 로깅. 장치에 여러 인증서를 저장할 수 있지만, 한 번씩 각 서비스에 대해 한 개의 인증서만 활성화됩니다.

RoomOS 2023년 10월 이상에서 CA 인증서를 장치에 추가할 때 Room Navigator가 연결된 경우 Room Navigator에도 적용됩니다. 이전에 추가된 CA 인증서를 연결된 회의실 내비게이터에 동기화하려면 장치를 재부팅해야 합니다. 주변 장치가 연결된 장치와 동일한 인증서를 가져오지 않게 하려면 주변 장치 보안 인증서 SyncToPeripherals 구성을 False로 설정합니다.


이전에 저장된 인증서는 자동으로 삭제되지 않습니다. CA 인증서가 있는 새로운 파일에 있는 입력은 기존 목록에 추가됩니다.

Wi-Fi 연결용

네트워크에서 WPA-EAP 인증을 사용하는 경우 각 보드, 데스크 또는 회의실 시리즈 장치에 대해 신뢰할 수 있는 CA 인증서를 추가할 것을 권장합니다. Wi-Fi에 연결하기 전에 각 장치에 대해 개별적으로 이 작업을 해야 합니다.

Wi-Fi 연결에 대한 인증서를 추가하려면 다음 파일이 필요합니다.

  • CA 인증서 목록(파일 형식: .PEM)

  • 인증서(파일 형식: .PEM)

  • 비공개 키, 별도의 파일 또는 인증서와 동일한 파일에 포함(파일 형식: .PEM)

  • 암호 (비공개 키가 암호화된 경우만 필요)

인증서 및 비공개 키는 장치에서 동일한 파일에 저장됩니다. 인증에 실패하면 연결은 설정되지 않습니다.


비공개 키 및 암호는 연결된 주변 장치에 적용되지 않습니다.

Board, Desk 및 Room Series 장치에 인증서 추가

1

의 고객 보기 https://admin.webex.com 에서 장치 페이지로 이동 하고 목록에서 장치를 선택합니다. 지원 으로 이동하고 로컬 장치 제어를 실행합니다.

장치에 로컬 관리 사용자를 설정한 경우, 웹 브라우저를 열고 http(s)://을 입력하여 직접 웹 인터페이스에 액세스할 수 있습니다.

2

사용자 정의한 > 보안 > > CA 인증서를 업로드하고 CA 인증서를 루트 인증서.

3

openssl에서 비공개 키 및 인증서 요청을 생성합니다. 인증서 요청의 내용을 복사합니다. 그 후 인증서 기관(CA)으로부터 서버 인증서를 요청하기 위해 붙여넣습니다.

4

CA가 서명한 서버 인증서를 다운로드합니다. 이(가) 에 있습니다. PEM 형식.

5

인증서 추가 > 서비스 > > 비공개 키 및 서버 인증서를 업로드하여 보안 관리 인증서를 탐색합니다.

6

방금 추가한 인증서에 사용할 서비스를 활성화합니다.

SCEP(Simple Certificate Enrollment Protocol) 인증

SCEP(Simple Certificate Enrollment Protocol)는 장치에서 802.1X 인증과 같이 사용되는 인증서 등록 및 새로 고침을 위한 자동화된 메커니즘을 제공합니다. SCEP를 사용하면 수동 개입 없이 보안 네트워크에 대한 장치의 액세스를 유지할 수 있습니다.

  • 장치가 신규 또는 공장 설정 초기화된 경우 SCEP URL에 연결하려면 네트워크 액세스가 필요합니다. 장치는 IP 주소를 얻으려면 802.1X 없이 네트워크에 연결되어야 합니다.

  • 무선 등록 SSID를 사용하는 경우 온보딩 화면을 통해 네트워크와의 연결을 구성해야 합니다.

  • 프로비저닝 네트워크에 연결되면 이 단계에서 장치가 특정 온보딩 화면에 있을 필요가 없습니다.

  • 모든 구축에 맞게 SCEP 등록 xAPI는 장치 인증서에 서명하는 데 사용되는 CA 인증서를 저장하지 않습니다. 서버 인증의 경우, 서버의 인증서의 유효성을 검증하기 위해 사용되는 CA 인증서가 xCommand 보안 인증서 CA 추가로 추가되어야 합니다.

전제 조건

다음 정보가 필요합니다.

  • SCEP 서버의 URL.

  • 서명 CA(Certificate Authority) 인증서의 지문입니다.

  • 등록할 인증서의 정보입니다. 이는 인증서의 주체 이름 을 구성합니다.

    • 일반 이름

    • 국가 이름

    • 조직 이름

  • OTP 또는 공유 비밀을 적용하도록 SCEP 서버를 구성한 경우 SCEP 서버의 챌린지 암호입니다.

인증서 만료에 대해 1년 동안 유효한 인증서 요청을 보냅니다. 서버 측 정책은 인증서 서명 중 만료 날짜를 변경할 수 있습니다.

이더넷 연결

장치가 네트워크에 연결되면 장치가 SCEP 서버에 액세스할 수 있는지 확인합니다. IP 주소를 얻으려면 장치가 802.1x 가 없는 네트워크에 연결되어야 합니다. IP 주소를 얻으려면 장치의 MAC 주소를 프로비저닝 네트워크에 제공해야 할 수도 있습니다. MAC 주소는 UI 또는 장치 뒷면의 레이블에서 찾을 수 있습니다.

장치가 네트워크에 연결된 후 관리자 로 장치에 SSH를 사용하여 TSH에 액세스한 후 다음 명령어를 실행하여 등록 SCEP 요청을 보낼 수 있습니다.
xCommand 보안 인증서 서비스 등록 SCEP 요청 

SCEP 서버가 서명된 장치 인증서를 반환하면 802.1X를 활성화한 다음 장치를 재부팅합니다.

서명된 인증서를 활성화합니다.
xCommand 보안 인증서 서비스 활성화 

인증서를 활성화한 후 장치를 재부팅합니다.

무선 연결

장치가 무선 네트워크에 연결되면 장치가 SCEP 서버에 액세스할 수 있는지 확인합니다.

장치가 네트워크에 연결된 후 관리자 로 장치에 SSH를 사용하여 TSH에 액세스한 후 다음 명령어를 실행하여 등록 SCEP 요청을 보낼 수 있습니다.
xCommand 보안 인증서 서비스 등록 SCEP 요청 

장치는 SCEP 서버에서 서명된 인증서를 수신합니다.

서명된 인증서를 활성화합니다.

xCommand 보안 인증서 서비스 활성화
활성화한 후에는 EAP-TLS 인증으로 Wi-Fi 네트워크를 구성해야 합니다.
xCommand 네트워크 Wifi 구성 

기본적으로 Wi-Fi 구성은 서버 유효성 검증을 건너뜁니다. 단방향 인증만 필요한 경우, AllowMissingCA 기본값을 True로 유지합니다.

서버 유효성 검증을 강제하려면 AllowMissingCA 옵션 파라미터가 False로 설정되었는지 확인합니다. 서비스 유효성 검사 오류로 인해 연결을 설정할 수 없는 경우 올바른 CA가 추가되었는지 확인하여 장치 인증서와 다를 수 있는 서버 인증서를 확인합니다.

API 설명

역할: 관리자, 통합자

xCommand 보안 인증서 서비스 등록 SCEP 요청

서명된 장치 인증서 요청 및 다운로드

매개 변수:

  • URL: <S: 0, 128>

    인증서를 등록하기 위해 사용되는 SCEP 서버 URL입니다.

  • 지문 (r): <S: 0, 128>

    X509 요청에 서명할 발급 CA의 지문입니다.

  • 챌린지 비밀번호: <S: 0, 128>

    SCEP 서버에서 설정한 공유 비밀 암호입니다.

  • 일반 이름(r): <S: 0, 128>

  • 국가 이름: <S: 0, 128>

  • 조직 이름: <S: 0, 128>

  • SanDns[5]: <S: 0, 128>

  • SanEmail[5]: <S: 0, 128>

  • SanIp[5]: <S: 0, 128>

  • SanUri[5]: <S: 0, 128>

xCommand 보안 인증서 서비스 등록 SCEP 갱신 요청

인증서가 만료되기 전에 지정된 CA에서 발급한 모든 인증서에 적용되는 자동 갱신 프로파일을 만들거나 업데이트합니다.

매개 변수:

  • 지문 (r): <S: 0, 128>

    인증서에 서명한 발급 CA의 지문입니다.

  • URL: <S: 0, 128>

    인증서를 갱신하는 데 사용되는 SCEP 서버 URL입니다.

xCommand 보안 인증서 서비스 등록 SCEP 갱신 삭제

지정된 CA에 대한 자동 갱신 프로파일을 제거합니다. 이는 이 CA에서 서명한 인증서가 자동 갱신에서 중지합니다.

매개 변수:

  • 지문 (r): <S: 0, 128>

    제거할 발급 CA의 지문입니다.

xCommand 보안 인증서 서비스 등록 SCEP 갱신 목록

현재 사용된 모든 자동 갱신 프로필을 나열합니다.