장치의 로컬 웹 인터페이스에서 인증서를 추가할 수 있습니다. 또는 API 명령을 실행하여 인증서를 추가할 수 있습니다. 인증서를 추가할 수 있는 명령을 보려면 roomos.cisco.com 을 참조하세요 .

서비스 인증서 및 신뢰할 수 있는 CA

TLS(전송 계층 보안)를 사용할 때 인증서 유효성 검사가 필요할 수 있습니다. 서버 또는 클라이언트는 통신을 설정하기 전에 장치가 유효한 인증서를 제시하도록 요구할 수 있습니다.

인증서는 장치의 신뢰성을 확인하는 텍스트 파일입니다. 이러한 인증서는 신뢰할 수 있는 Certificate Authority(CA)의 서명이 있어야 합니다. 인증서의 서명을 확인하려면 신뢰할 수 있는 CA 목록이 디바이스에 있어야 합니다. 목록에는 감사 로깅 및 기타 연결 모두에 대한 인증서를 확인하는 데 필요한 모든 CA가 포함되어야 합니다.

인증서는 HTTPS 서버, SIP, IEEE 802.1X 및 감사 로깅 서비스에 사용됩니다. 장치에 여러 인증서를 저장할 수 있지만 각 서비스에 대해 한 번에 하나의 인증서만 사용할 수 있습니다.

RoomOS 2023년 10월 이상에서는 CA 인증서를 디바이스에 추가할 때 연결된 경우 Room Navigator에도 적용됩니다. 이전에 추가한 CA 인증서를 연결된 Room Navigator에 동기화하려면 장치를 재부팅해야 합니다. 주변 장치가 연결된 디바이스와 동일한 인증서를 가져오지 않도록 하려면 주변 장치 보안 인증서 SyncToPeripherals 구성을 False 로설정합니다.

Wi-Fi 연결의 경우

네트워크에서 WPA-EAP 인증을 사용하는 경우 각 Board, 데스크 또는 회의실 시리즈 장치에 대해 신뢰할 수 있는 CA 인증서를 추가하는 것이 좋습니다. Wi-Fi에 연결하기 전에 각 장치에 대해 개별적으로 이 작업을 수행해야 합니다.

Wi-Fi 연결을 위한 인증서를 추가하려면 다음 파일이 필요합니다.

• CA 인증서 목록(파일 형식: . PEM)

• 인증서(파일 형식: . PEM)

• 별도의 파일로 제공되거나 인증서와 동일한 파일에 포함된 개인 키(파일 형식: . PEM)

• 암호(개인 키가 암호화된 경우에만 필요)

인증서와 개인 키는 장치의 동일한 파일에 저장됩니다. 인증에 실패하면 연결이 설정되지 않습니다.

관리자는 클라우드 등록된 Board, 데스크 또는 룸 시리즈 장치에 대해 Control Hub에서 인증서 서명 요청(CSR)을 생성해야 합니다.

다음 단계에 따라 CSR를 생성하고 서명된 인증서를 디바이스에 업로드합니다.

1. Control Hub의 고객 보기에서 장치 페이지로 이동하고 목록에서 장치를 선택합니다.
2. 작업으로 이동하여 xCommand > Security > Certificates > CSR > Create> 실행합니다.
3. 필요한 인증서 세부 정보를 입력하고 실행을 선택합니다.
4. ----인증서 요청 시작----과 ----인증서 요청 종료----. 사이의 모든 텍스트를 복사합니다
5. 선택한 Certificate Authority(CA)를 사용하여 CSR에 서명합니다.
6. 서명된 인증서를 PEM(Base64로 인코딩) 형식으로 내보냅니다.
7. 텍스트 편집기(예: 메모장)에서 서명된 인증서 파일을 열고 ----BEGIN CERTIFICATE----와 ----END CERTIFICATE) 사이의 모든 텍스트를 복사합니다----.
8. Control Hub에서 장치로 이동> CSR > 링크 > xCommand > 보안 > 인증서 > 실행 > 작업을 선택합니다.
9. 복사한 인증서 내용을 본문 섹션에 붙여넣고 실행을 선택합니다.
10. 페이지를 새로 고쳐 기존 인증서 아래에 인증서가 나타나는지 확인합니다.

SCEP(Simple Certificate Enrollment Protocol)는 예를 들어 장치에서 802.1X 인증에 사용되는 인증서 등록 및 새로 고침을 위한 자동화된 메커니즘을 제공합니다. SCEP를 사용하면 수동 개입 없이 보안 네트워크에 대한 장치의 액세스를 유지할 수 있습니다.

• 장치가 새 제품이거나 공장 기본값으로 재설정된 경우 SCEP URL에 연결하려면 네트워크 액세스가 필요합니다. IP 주소를 얻으려면 장치가 802.1X 없이 네트워크에 연결되어 있어야 합니다.

• 무선 등록 SSID을 사용하는 경우 온보딩 화면을 통해 네트워크와의 연결을 구성합니다.

• 프로비전 네트워크에 연결되면 장치가 특정 온보딩 화면에 있을 필요가 없습니다.

• 모든 배포에 맞게 SCEP 등록 xAPI는 디바이스 인증서에 서명하는 데 사용되는 CA 인증서를 저장하지 않습니다. 서버 인증의 경우 서버 인증서의 유효성을 검사하는 데 사용되는 CA 인증서를 xCommand Security Certificates CA Add 와 함께추가해야 합니다.

사전 요건

다음 정보가 필요합니다.

• SCEP 서버의 URL.

• 서명 CA(Certificate Authority) 인증서의 지문입니다.

• 등록할 인증서의 정보입니다. 이것이 인증서의 주체 이름을 구성합니다.

  • 속칭

  • 국가 이름

  • 시/도 이름

  • 지역 이름

  • 조직 이름

  • 조직 구성 단위

• 제목 이름은 /C= /ST= /L= /O= /OU= /CN= 순으로 정렬됩니다.

• OTP 또는 공유 암호를 적용하도록 SCEP 서버를 구성한 경우 SCEP 서버의 챌린지 암호입니다.

다음 명령을 사용하여 인증서 요청 키 쌍에 필요한 키 크기를 설정할 수 있습니다. 기본값은 2048입니다.

 xConfiguration 보안 등록 키 크기: <2048, 3072, 4096>

인증서 만료를 위해 1년 동안 유효한 인증서 요청을 보냅니다. 서버 쪽 정책은 인증서 서명 중에 만료 날짜를 변경할 수 있습니다.

이더넷 연결

장치가 네트워크에 연결되면 SCEP 서버에 액세스할 수 있는지 확인합니다. IP 주소를 얻으려면 장치가 802.1x가 없는 네트워크에 연결되어 있어야 합니다. IP 주소를 얻으려면 장치의 MAC 주소를 프로비저닝 네트워크에 제공해야 할 수 있습니다. MAC 주소는 UI 또는 장치 뒷면의 레이블에서 찾을 수 있습니다.

디바이스가 네트워크에 연결되면 관리자 권한으로 디바이스에 SSH를 사용하여 TSH에 액세스한 다음, 다음 명령을 실행하여 등록 SCEP 요청을 보낼 수 있습니다.

xCommand 보안 인증서 서비스 등록 SCEP 요청 

SCEP 서버가 서명된 장치 인증서를 반환하면 802.1X를 활성화합니다.

서명된 인증서를 활성화합니다.

xCommand 보안 인증서 서비스 활성화 

인증서를 활성화한 후 장치를 재부팅합니다.

무선 통신

장치가 무선 네트워크에 연결되면 SCEP 서버에 액세스할 수 있는지 확인합니다.

디바이스가 네트워크에 연결되면 관리자 권한으로 디바이스에 SSH를 사용하여 TSH에 액세스한 다음, 다음 명령을 실행하여 등록 SCEP 요청을 보낼 수 있습니다.

xCommand 보안 인증서 서비스 등록 SCEP 요청 

장치가 SCEP 서버로부터 서명된 인증서를 수신합니다.

서명된 인증서를 활성화합니다.

xCommand 보안 인증서 서비스 활성화

활성화 후 EAP-TLS 인증을 사용하여 Wi-Fi 네트워크를 구성해야 합니다.

xCommand 네트워크 Wi-Fi 구성 

기본적으로 Wi-Fi 구성은 서버 유효성 검사를 건너뜁니다. 단방향 인증만 필요한 경우 AllowMissingCA 를 기본값을 True 로 유지합니다.

서버 유효성 검사를 강제로 수행하려면 AllowMissingCA 선택적 매개 변수가 False 로 설정되어 있는지확인합니다. 서비스 유효성 검사 오류로 인해 연결을 설정할 수 없는 경우 올바른 CA가 추가되었는지 확인하여 장치 인증서와 다를 수 있는 서버 인증서를 확인합니다.

API 설명

역할: 관리자, 통합자

xCommand 보안 인증서 서비스 등록 SCEP 요청

서명을 위해 지정된 SCEP 서버에 CSR 보냅니다. CSR SubjectName 매개 변수는 C, ST, L, O, OUs, CN의 순서로 생성됩니다.

매개 변수:

• URL(r): <S: 0, 256>

  SCEP 서버의 URL 주소입니다.

• 지문 (r): <S: 0, 128>

  SCEP 요청 CSR에 서명할 CA 인증서 지문입니다.

• 일반 이름(r): <S: 0, 64>

  CSR 제목 이름에 "/CN="을 추가합니다.

• 챌린지비밀번호: <S: 0, 256>

  서명에 액세스하기 위한 SCEP 서버의 OTP 또는 공유 암호입니다.

• 국가 이름: <S: 0, 2>

  CSR 제목 이름에 "/C="를 추가합니다.

• StateOrProvinceName: <S: 0, 64>

  CSR 제목 이름에 "/ST="를 추가합니다.

• 지역 이름: <S: 0, 64>

  CSR 제목 이름에 "/L="을 추가합니다.

• 조직 이름: <S: 0, 64>

  CSR 제목 이름에 "/O="를 추가합니다.

• 조직 단위[5]: <초: 0, 64>

  최대 5개의 "/OU=" 매개 변수를 CSR 제목 이름에 추가합니다.

• 산DNS[5]: <초: 0, 64>

  최대 5개의 DNS 매개 변수를 CSR 주체 대체 이름에 추가합니다.

• SanEmail[5]: <초: 0, 64>

  최대 5개의 전자 메일 매개 변수를 CSR 제목 대체 이름에 추가합니다.

• SanIp[5]: <초: 0, 64>

  최대 5개의 IP 매개 변수를 CSR 주체 대체 이름에 추가합니다.

• 산누리[5]: <S: 0, 64>

  최대 5개의 URI 매개 변수를 CSR 주체 대체 이름에 추가합니다.

xCommand 보안 인증서 서비스 등록 프로파일 삭제

등록 프로필을 삭제하여 더 이상 인증서를 갱신하지 않습니다.

매개 변수:

• 지문 (r): <S: 0, 128>

  제거할 프로파일을 식별하는 CA 인증서 지문입니다. 다음을 실행하여 제거할 수 있는 프로필을 볼 수 있습니다.

  xCommand 보안 인증서 서비스 등록 프로파일 목록

xCommand 보안 인증서 서비스 등록 프로파일 목록

인증서 갱신을 위한 등록 프로필을 나열합니다.

 xCommand 보안 인증서 서비스 등록 SCEP 프로파일 세트 지문(r): <S: 0, 128> URL(r): <S: 0, 256>

CA 지문에서 발급한 인증서에 대한 등록 프로필을 추가하여 갱신을 위해 지정된 SCEP URL을 사용합니다.

갱신

 xCommand 보안 인증서 서비스 등록 SCEP 프로파일 세트

인증서를 자동으로 갱신하려면 디바이스가 인증서를 다시 서명할 수 있는 SCEP URL에 액세스할 수 있어야 합니다.

하루에 한 번 디바이스는 45일 후에 만료되는 인증서를 확인합니다. 그런 다음 발급자가 프로필과 일치하는 경우 장치에서 이러한 인증서 갱신을 시도합니다.

참고: 인증서가 원래 SCEP를 사용하여 등록되지 않은 경우에도 모든 디바이스 인증서의 갱신이 확인됩니다.

탐색기

1. 직접 페어링: 등록된 인증서는 "페어링" 인증서로 활성화할 수 있습니다.

2. 원격 페어링: 주변 장치 ID를 사용하여 새 SCEP 인증서를 등록하도록 내비게이터에게 지시합니다.

   xCommand 주변 장치 보안 인증서 서비스 등록 SCEP 요청 

   등록 프로필은 쌍을 이루는 탐색기에 자동으로 동기화됩니다.

3. Stand-alone Navigator: 코덱 등록과 동일

Room Navigator의 설정 메뉴에서 직접 802.1x 인증을 설정할 수 있습니다.

802.1x 인증 표준은 이더넷 네트워크에 특히 중요하며 인증된 장치만 네트워크 리소스에 액세스할 수 있도록 합니다.

네트워크에 구성된 EAP 방법에 따라 다른 로그인 옵션을 사용할 수 있습니다. 예:

• TLS: 사용자 이름과 비밀번호가 사용되지 않습니다.
• PEAP: 인증서가 사용되지 않습니다.
• TTLS: 사용자 이름/암호 및 인증서가 모두 필요합니다. 둘 다 선택 사항이 아닙니다.

디바이스에서 클라이언트 인증서를 가져오는 방법에는 여러 가지가 있습니다.

1. PEM 업로드: 보안 인증서 서비스 추가 기능을 사용합니다.
2. CSR: 인증서 서명 요청(CSR)을 생성하고, 서명하고, 보안 인증서 CSR 만들기/연결을 사용하여 연결합니다.
3. SCEP: 보안 인증서 서비스 등록 SCEP 요청을 활용합니다.
4. DHCP 옵션 43: 이 옵션을 통해 인증서 전달을 구성합니다.

802.1x용 인증서 설정 및 업데이트는 Room Navigator를 시스템에 페어링 하기 전이나 Room Navigator를 출하 시 재설정한 후에 수행해야 합니다.

기본 자격 증명은 admin 및 빈 암호입니다. API에 액세스하여 인증서를 추가하는 방법에 대한 자세한 내용은 최신 버전의 API 설명서를 참조하세요 .

1. 오른쪽 상단 모서리에 있는 버튼을 누르거나 오른쪽에서 스와이프하여 네비게이터의 제어판을 엽니다. 그런 다음 장치 설정을 누릅니다.
2. 네트워크 연결로 이동하여 이더넷 을 선택합니다 .
3. IEEE 802.1X 사용을 켜기로 전환합니다.
   • 자격 증명으로 인증이 설정된 경우 사용자 ID와 암호를 입력합니다. 익명 ID를 입력할 수도 있습니다. 이 필드는 실제 사용자의 ID를 초기 인증 요청과 분리하는 방법을 제공하는 선택적 필드입니다.
   • TLS 확인을 끄거나 켤 수 있습니다. TLS 확인이 켜져 있으면 클라이언트는 TLS 핸드셰이크 중에 서버 인증서의 신뢰성을 적극적으로 확인합니다. TLS 확인이 해제되면 클라이언트는 서버 인증서의 활성 확인을 수행하지 않습니다.
   • API에 액세스하여 클라이언트 인증서를 업로드한 경우 클라이언트 인증서 사용을 켭 니다.
   • 사용할 확장할 수 있는 인증 프로토콜(EAP) 방법을 전환 합니다. EAP 방법의 선택은 특정 보안 요구 사항, 인프라 및 클라이언트 기능에 따라 달라집니다. EAP 방법은 안전하고 인증된 네트워크 액세스를 사용하도록 설정하는 데 매우 중요합니다.