장치의 로컬 웹 인터페이스에서 인증서를 추가할 수 있습니다. 또는 API 명령을 실행하여 인증서를 추가할 수 있습니다. 인증서를 추가할 수 있는 명령을 보려면 roomos.cisco.com를 참조하세요 .

서비스 인증서 및 신뢰할 수 있는 CA

TLS(Transport Layer Security)를 사용하는 경우 인증서 검증이 필요할 수 있습니다. 서버 또는 클라이언트는 통신이 설정되기 전에 장치가 유효한 인증서를 제시하도록 요구할 수 있습니다.

인증서는 장치의 정품 여부를 확인하는 텍스트 파일입니다. 이러한 인증서에는 신뢰할 수 있는 인증 기관(CA)의 서명이 있어야 합니다. 인증서의 서명을 확인하려면 신뢰할 수 있는 CA 목록이 디바이스에 있어야 합니다. 목록에는 감사 로깅과 다른 연결에 대한 인증서를 확인하는 데 필요한 모든 CA가 포함되어야 합니다.

인증서는 HTTPS 서버, SIP, IEEE 802.1X 및 감사 로깅과 같은 서비스에 사용됩니다. 장치에 여러 인증서를 저장할 수 있지만 한 번에 하나의 인증서만 각 서비스에 사용할 수 있습니다.

RoomOS 2023년 10월 이상에서 CA 인증서를 디바이스에 추가하면 연결된 경우 Room Navigator에도 적용됩니다. 이전에 추가한 CA 인증서를 연결된 룸 네비게이터에 동기화하려면 장치를 재부팅해야 합니다. 주변 장치가 연결된 디바이스와 동일한 인증서를 가져오지 않도록 하려면 주변 장치 보안 인증서 SyncToPeripherals 구성을 False 로설정합니다.

Wi-Fi 연결의 경우

네트워크에서 WPA-EAP 인증을 사용하는 경우 각 Board, 데스크 또는 회의실 시리즈 장치에 대해 신뢰할 수 있는 CA 인증서를 추가하는 것이 좋습니다. 각 장치마다 Wi-Fi에 연결하기 전에 이 작업을 개별적으로 수행해야 합니다.

Wi-Fi 연결에 대한 인증서를 추가하려면 다음과 같은 파일이 필요합니다.

• CA 인증서 목록(파일 형식: .PEM)

• 인증서(파일 형식: .PEM)

• 개별 키 또는 인증서와 동일한 파일에 포함된 개인 키(파일 형식 : .PEM)

• 암호(개인 키를 암호화하는 경우에만 필수)

인증서와 개인 키는 장치의 동일한 파일에 저장됩니다. 인증에 실패하면 연결이 설정되지 않습니다.

SCEP(Simple Certificate Enrollment Protocol)는 예를 들어 장치에서 802.1X 인증에 사용되는 인증서 등록 및 새로 고침을 위한 자동화된 메커니즘을 제공합니다. SCEP를 사용하면 수동 개입 없이 보안 네트워크에 대한 장치의 액세스를 유지할 수 있습니다.

• 장치가 새 제품이거나 공장 기본값으로 재설정된 경우 SCEP URL에 연결하려면 네트워크 액세스가 필요합니다. IP 주소를 얻으려면 장치가 802.1X 없이 네트워크에 연결되어 있어야 합니다.

• 무선 등록 SSID를 사용하는 경우 온보딩 화면을 통해 네트워크와의 연결을 구성해야 합니다.

• 프로비전 네트워크에 연결되면 이 단계에서 장치가 특정 온보딩 화면에 있을 필요가 없습니다.

• 모든 배포에 맞게 SCEP 등록 xAPI는 디바이스 인증서에 서명하는 데 사용되는 CA 인증서를 저장하지 않습니다. 서버 인증의 경우 서버 인증서의 유효성을 검사하는 데 사용되는 CA 인증서를 xCommand Security Certificates CA Add 와 함께추가해야 합니다.

사전 요건

다음 정보가 필요합니다.

• SCEP 서버의 URL.

• 서명 CA(Certificate Authority) 인증서의 지문입니다.

• 등록할 인증서의 정보입니다. 이것이 인증서의 주체 이름을 구성합니다.

  • 속칭

  • 국가 이름

  • 시/도 이름

  • 지역 이름

  • 조직 이름

  • 조직 구성 단위

• 제목 이름은 /C= /ST= /L= /O= /OU= /CN= 순으로 정렬됩니다.

• OTP 또는 공유 암호를 적용하도록 SCEP 서버를 구성한 경우 SCEP 서버의 챌린지 암호입니다.

다음 명령을 사용하여 인증서 요청 키 쌍에 필요한 키 크기를 설정할 수 있습니다. 기본값은 2048입니다.

 xConfiguration 보안 등록 키 크기: <2048, 3072, 4096>

인증서 만료를 위해 1년 동안 유효한 인증서 요청을 보냅니다. 서버 쪽 정책은 인증서 서명 중에 만료 날짜를 변경할 수 있습니다.

이더넷 연결

장치가 네트워크에 연결되면 SCEP 서버에 액세스할 수 있는지 확인합니다. IP 주소를 얻으려면 장치가 802.1x가 없는 네트워크에 연결되어 있어야 합니다. IP 주소를 얻으려면 장치의 MAC 주소를 프로비저닝 네트워크에 제공해야 할 수 있습니다. MAC 주소는 UI 또는 장치 뒷면의 레이블에서 찾을 수 있습니다.

디바이스가 네트워크에 연결되면 관리자 권한으로 디바이스에 SSH를 사용하여 TSH에 액세스한 다음, 다음 명령을 실행하여 등록 SCEP 요청을 보낼 수 있습니다.

xCommand 보안 인증서 서비스 등록 SCEP 요청 

SCEP 서버가 서명된 장치 인증서를 반환하면 802.1X를 활성화합니다.

서명된 인증서를 활성화합니다.

xCommand 보안 인증서 서비스 활성화 

인증서를 활성화한 후 장치를 재부팅합니다.

무선 통신

장치가 무선 네트워크에 연결되면 SCEP 서버에 액세스할 수 있는지 확인합니다.

디바이스가 네트워크에 연결되면 관리자 권한으로 디바이스에 SSH를 사용하여 TSH에 액세스한 다음, 다음 명령을 실행하여 등록 SCEP 요청을 보낼 수 있습니다.

xCommand 보안 인증서 서비스 등록 SCEP 요청 

장치가 SCEP 서버로부터 서명된 인증서를 수신합니다.

서명된 인증서를 활성화합니다.

xCommand 보안 인증서 서비스 활성화

활성화 후 EAP-TLS 인증을 사용하여 Wi-Fi 네트워크를 구성해야 합니다.

xCommand 네트워크 Wi-Fi 구성 

기본적으로 Wi-Fi 구성은 서버 유효성 검사를 건너뜁니다. 단방향 인증만 필요한 경우 AllowMissingCA 를 기본값을 True 로 유지합니다.

서버 유효성 검사를 강제로 수행하려면 AllowMissingCA 선택적 매개 변수가 False 로 설정되어 있는지확인합니다. 서비스 유효성 검사 오류로 인해 연결을 설정할 수 없는 경우 올바른 CA가 추가되었는지 확인하여 장치 인증서와 다를 수 있는 서버 인증서를 확인합니다.

API 설명

역할: 관리자, 통합자

xCommand 보안 인증서 서비스 등록 SCEP 요청

서명을 위해 지정된 SCEP 서버에 CSR 보냅니다. CSR SubjectName 매개 변수는 C, ST, L, O, OUs, CN의 순서로 생성됩니다.

매개 변수:

• URL(r): <S: 0, 256>

  SCEP 서버의 URL 주소입니다.

• 지문 (r): <S: 0, 128>

  SCEP 요청 CSR에 서명할 CA 인증서 지문입니다.

• 일반 이름(r): <S: 0, 64>

  CSR 제목 이름에 "/CN="을 추가합니다.

• 챌린지비밀번호: <S: 0, 256>

  서명에 액세스하기 위한 SCEP 서버의 OTP 또는 공유 암호입니다.

• 국가 이름: <S: 0, 2>

  CSR 제목 이름에 "/C="를 추가합니다.

• StateOrProvinceName: <S: 0, 64>

  CSR 제목 이름에 "/ST="를 추가합니다.

• 지역 이름: <S: 0, 64>

  CSR 제목 이름에 "/L="을 추가합니다.

• 조직 이름: <S: 0, 64>

  CSR 제목 이름에 "/O="를 추가합니다.

• 조직 단위[5]: <초: 0, 64>

  최대 5개의 "/OU=" 매개 변수를 CSR 제목 이름에 추가합니다.

• 산DNS[5]: <초: 0, 64>

  최대 5개의 DNS 매개 변수를 CSR 주체 대체 이름에 추가합니다.

• SanEmail[5]: <초: 0, 64>

  최대 5개의 전자 메일 매개 변수를 CSR 제목 대체 이름에 추가합니다.

• SanIp[5]: <초: 0, 64>

  최대 5개의 IP 매개 변수를 CSR 주체 대체 이름에 추가합니다.

• 산누리[5]: <S: 0, 64>

  최대 5개의 URI 매개 변수를 CSR 주체 대체 이름에 추가합니다.

xCommand 보안 인증서 서비스 등록 프로파일 삭제

등록 프로필을 삭제하여 더 이상 인증서를 갱신하지 않습니다.

매개 변수:

• 지문 (r): <S: 0, 128>

  제거할 프로파일을 식별하는 CA 인증서 지문입니다. 다음을 실행하여 제거할 수 있는 프로필을 볼 수 있습니다.

  xCommand 보안 인증서 서비스 등록 프로파일 목록

xCommand 보안 인증서 서비스 등록 프로파일 목록

인증서 갱신을 위한 등록 프로필을 나열합니다.

 xCommand 보안 인증서 서비스 등록 SCEP 프로파일 세트 지문(r): <S: 0, 128> URL(r): <S: 0, 256>

CA 지문에서 발급한 인증서에 대한 등록 프로필을 추가하여 갱신을 위해 지정된 SCEP URL을 사용합니다.

갱신

 xCommand 보안 인증서 서비스 등록 SCEP 프로파일 세트

인증서를 자동으로 갱신하려면 디바이스가 인증서를 다시 서명할 수 있는 SCEP URL에 액세스할 수 있어야 합니다.

하루에 한 번 디바이스는 45일 후에 만료되는 인증서를 확인합니다. 그런 다음 발급자가 프로필과 일치하는 경우 장치에서 이러한 인증서 갱신을 시도합니다.

참고: 인증서가 원래 SCEP를 사용하여 등록되지 않은 경우에도 모든 디바이스 인증서의 갱신이 확인됩니다.

탐색기

1. 직접 페어링: 등록된 인증서는 "페어링" 인증서로 활성화할 수 있습니다.

2. 원격 페어링: 주변 장치 ID를 사용하여 새 SCEP 인증서를 등록하도록 내비게이터에게 지시합니다.

   xCommand 주변 장치 보안 인증서 서비스 등록 SCEP 요청 

   등록 프로필은 쌍을 이루는 탐색기에 자동으로 동기화됩니다.

3. Stand-alone Navigator: 코덱 등록과 동일

802.1x 인증은 회의실 탐색기의 설정 메뉴에서 직접 설정할 수 있습니다.

802.1x 인증 표준은 이더넷 네트워크에 특히 중요하며 인증된 장치만 네트워크 리소스에 액세스할 수 있도록 합니다. 사용자 이름 및 암호를 사용하여 네트워크에 인증하거나 클라이언트 인증서를 사용할 수 있습니다. 두 가지를 동시에 사용할 수도 있습니다. 802.1x 서비스를 사용하려면 API를 통해 클라이언트 인증서를 업로드하고 활성화해야 합니다.

802.1x에 대한 인증서 설정 및 업데이트는 Room Navigator를 시스템에 페어링 하기 전이나 Room Navigator를 출하 시 재설정한 후에 수행해야 합니다.

기본 자격 증명은 admin 및 빈 암호입니다. API에 액세스하여 인증서를 추가하는 방법에 대한 자세한 내용은 최신 버전의 API 설명서를 참조하세요 .

1. 오른쪽 상단 모서리에 있는 버튼을 누르거나 오른쪽에서 스와이프하여 네비게이터의 제어판을 엽니다. 그런 다음 장치 설정을 누릅니다.
2. 네트워크 연결로 이동하여 이더넷 을 선택합니다 .
3. IEEE 802.1X 사용을 켜기로 전환합니다.
   • 자격 증명으로 인증이 설정된 경우 사용자 ID와 암호를 입력합니다. 익명 ID를 입력할 수도 있습니다. 이 필드는 실제 사용자의 ID를 초기 인증 요청과 분리하는 방법을 제공하는 선택적 필드입니다.
   • TLS 확인을 끄거나 켤 수 있습니다. TLS 확인이 켜져 있으면 클라이언트는 TLS 핸드셰이크 중에 서버 인증서의 신뢰성을 적극적으로 확인합니다. TLS 확인이 해제되면 클라이언트는 서버 인증서의 활성 확인을 수행하지 않습니다.
   • API에 액세스하여 클라이언트 인증서를 업로드한 경우 클라이언트 인증서 사용을 켭 니다.
   • 사용할 확장할 수 있는 인증 프로토콜(EAP) 방법을 전환 합니다. EAP 방법의 선택은 특정 보안 요구 사항, 인프라 및 클라이언트 기능에 따라 달라집니다. EAP 방법은 안전하고 인증된 네트워크 액세스를 사용하도록 설정하는 데 중요합니다.