U kunt certificaten toevoegen via de lokale webinterface van het apparaat. U kunt ook certificaten toevoegen door API opdrachten uit te voeren. Zieroomos.cisco.com om te zien welke opdrachten u kunt gebruiken om certificaten toe te voegen .

Servicecertificaten en vertrouwde CA's

Certificaatvalidering is mogelijk vereist wanneer u TLS (Transport Layer Security) gebruikt. Een server of client vereist mogelijk dat het apparaat een geldig certificaat levert voordat communicatie tot stand wordt gebracht.

De certificaten zijn tekstbestanden die de betrouwbaarheid van het apparaat verifiëren. Deze certificaten moeten zijn ondertekend door een vertrouwde Certificate Authority (CA). Het apparaat moet een lijst met vertrouwde CA's hebben om de handtekening van de certificaten te controleren. De lijst moet alle CA's bevatten die nodig zijn om certificaten te verifiëren voor auditlogboekregistratie en andere verbindingen.

Certificaten worden gebruikt voor de volgende services: HTTPS-server, SIP, IEEE 802.1X en de auditlogboekregistratie. U kunt meerdere certificaten opslaan op het apparaat, maar slechts één certificaat tegelijk is ingeschakeld voor elke service.

Als u op RoomOS-oktober 2023 en later een CA-certificaat toevoegt aan een apparaat, wordt dit ook toegepast op de Room Navigator als er verbinding is. Als u de eerder toegevoegde CA-certificaten wilt synchroniseren met een verbonden Room Navigator, moet u het apparaat opnieuw opstarten. Als u niet wilt dat de randapparaten dezelfde certificaten krijgen als het apparaat waarop het is aangesloten, stelt u de configuratie van Beveiligingscertificaten SyncToPeripherals voor randapparaten in op Onwaar.


Eerder opgeslagen certificaten worden niet automatisch verwijderd. De invoeren in een nieuw bestand met CA-certificaten worden toegevoegd aan de bestaande lijst.

Voor Wi-Fi verbinding

We raden aan dat u een vertrouwd CA-certificaat toevoegt voor elk apparaat met Board, Desk of Room Series, als uw netwerk WPA-EAP-verificatie gebruikt. U moet dit afzonderlijk doen voor elk apparaat en voordat u verbinding maakt met Wi-Fi.

Als u certificaten wilt toevoegen voor uw Wi-Fi-verbinding, hebt u de volgende bestanden nodig:

  • Lijst met CA-certificaten (bestandsindeling: .PEM)

  • Certificaat (bestandsindeling: .PEM)

  • Persoonlijke sleutel, ofwel als een afzonderlijk bestand of opgenomen in hetzelfde bestand als het certificaat (bestandsindeling: .PEM)

  • Wachtwoordzin (alleen vereist als de persoonlijke sleutel is gecodeerd)

Het certificaat en de persoonlijke sleutel worden in hetzelfde bestand op het apparaat opgeslagen. Als verificatie is mislukt, wordt de verbinding niet tot stand gebracht.


Privétoets en wachtwoordzin worden niet toegepast op aangesloten randapparaten.

Certificaten toevoegen aan apparaten aan boord, Bureau en Room-serie

1

Ga vanuit de klantweergave in https:/​/​admin.webex.com naar de pagina Apparaten en selecteer uw apparaat in de lijst. Ga naar Ondersteuning en start Lokale apparaatknoppen .

Als u een lokale Admin-gebruiker hebt ingesteld, kunt u rechtstreeks toegang krijgen tot de webinterface door een webbrowser te openen en http(s)://<eindpoint-ip of hostnaam> te typen.

2

Ga naar Beveiliging > Certificaten > Aangepast > Certificaat toevoegen en upload de CA-basiscertificaten.

3

Genereer een persoonlijke sleutel en certificaatverzoek op openssl. Kopieer de inhoud van het certificaatverzoek. Plak deze vervolgens om het servercertificaat te verzoeken van uw certificate authority (CA).

4

Download het servercertificaat dat is ondertekend door uw CA. Controleer of het is ingeschakeld. PEM-indeling.

5

Ga naar Beveiliging > Certificaten > Services > Certificaat toevoegen en upload de persoonlijke sleutel en het servercertificaat.

6

Schakel de services in die u wilt gebruiken voor het certificaat dat u zojuist hebt toegevoegd.

SCEP (Simple Certificate Enrollment Protocol)

SCEP (Simple Certificate Enrollment Protocol) biedt een geautomatiseerd mechanisme voor het aanmelden en vernieuwen van certificaten die bijvoorbeeld worden gebruikt voor 802.1X-verificatie op apparaten. Met SCEP kunt u zonder handmatige tussenkomst de toegang van het apparaat tot beveiligde netwerken onderhouden.

  • Als het apparaat nieuw is of de fabriek opnieuw is ingesteld, moet u netwerktoegang hebben om de SCEP-URL te kunnen bereiken. Het apparaat moet zonder 802.1X op het netwerk worden aangesloten om een IP adres te verkrijgen.

  • Als u een draadloze aanmeldings-SSID gebruikt, moet u door de schermen aan boord gaan om de verbinding met het netwerk te configureren.

  • Zodra u bent verbonden met het inrichtingsnetwerk, hoeft het apparaat op dit moment geen bepaald scherm aan boord te staan.

  • Voor alle implementaties worden door xAP-aanmelding xAP's niet het CA-certificaat opgeslagen dat wordt gebruikt om het apparaatcertificaat te ondertekenen. Voor serververificatie moet het CA-certificaat dat wordt gebruikt om het servercertificaat te valideren, worden toegevoegd met xCommand Beveiligingscertificaten CA Toevoegen.

Voorwaarden

U hebt de volgende informatie nodig:

  • De URL van de SCEP-server.

  • Vingerafdruk van het ondertekenings-CA-certificaat (Certificate Authority).

  • Informatie over het certificaat dat moet worden aangemeld. Dit vormt de onderwerpnaam van het certificaat.

    • Algemene naam

    • Naam land

    • Naam organisatie

  • Het wachtwoord voor uitdaging van de SCEP-server als u de SCEP-server hebt geconfigureerd om een OTP of Shared Secret af te dwingen.

Wij sturen u een aanvraag voor het certificaat, dat één jaar geldig is voor het verlopen van het certificaat. Het beleid voor de server kan de geldigheidsdatum tijdens het ondertekenen van het certificaat wijzigen.

Ethernet-verbinding

Wanneer een apparaat is aangesloten op een netwerk, moet u controleren of het toegang heeft tot de SCEP-server. Het apparaat moet zonder 802,1x worden aangesloten op een netwerk om een IP adres te verkrijgen. Het MAC van het apparaat moet mogelijk aan het inrichtingsnetwerk worden opgegeven om een IP adres te verkrijgen. Het MAC adres vind je op de ui of op het label aan de achterzijde van het apparaat.

Nadat het apparaat is aangesloten op het netwerk, kunt u SSH naar het apparaat als beheerder om toegang te krijgen tot TSH. Voer vervolgens de volgende opdracht uit om het SCEP-verzoek voor aanmelding te verzenden: 
xCommand SCEP-aanvraag voor beveiligingscertificaten

Zodra de SCEP-server het ondertekende apparaatcertificaat heeft geretourneerd, activeert u de 802.1X en start u het apparaat opnieuw op.

Het ondertekende certificaat activeren:
XCommand Security Certificates Services activeren

Start het apparaat opnieuw op na het activeren van het certificaat.

Draadloze verbinding

Wanneer een apparaat is aangesloten op een draadloos netwerk, moet u ervoor zorgen dat het toegang heeft tot de SCEP-server.

Nadat het apparaat is aangesloten op het netwerk, kunt u SSH naar het apparaat als beheerder om toegang te krijgen tot TSH. Voer vervolgens de volgende opdracht uit om het SCEP-verzoek voor aanmelding te verzenden: 
xCommand SCEP-aanvraag voor beveiligingscertificaten

Het apparaat ontvangt het ondertekende certificaat van de SCEP-server.

Het ondertekende certificaat activeren: 

XCommand Security Certificates Services activeren
Na het activeren moet u het Wi-Fi-netwerk met EAP-TLS-verificatie configureren. 
xCommand netwerk wifi configureren

Standaard worden bij de Wi-Fi configuratie servervalidatiecontroles overgeslagen. Als verificatie in slechts één richting nodig is, houdt u AllowMissingCA standaard Waar in.

Om servervalidatie te forceren, moet de optionele parameter Van ToestaanMissingCA zijn ingesteld op Onwaar. Als een verbinding niet tot stand kan worden gebracht als gevolg van servicevalidatiefouten, controleert u of de juiste CA is toegevoegd om het servercertificaat te controleren dat mogelijk af verschilt van het apparaatcertificaat.

API beschrijvingen

Rol: Beheerder, Integrator

xCommand SCEP-aanvraag voor beveiligingscertificaten

Aanvragen en downloaden van een ondertekend apparaatcertificaat

Parameters:

  • URL(r): <S: 0, 128>

    URL van DE SCEP-server om een certificaat in te schrijven.

  • Vingerafdruk (r): <S: 0, 128>

    De vingerafdruk van de ca. die het X509-verzoek tekent.

  • UitdagingPassword: <S: 0, 128>

    Gedeeld geheim wachtwoord ingesteld door de SCEP-server.

  • Algemene naam(r): <S: 0, 128>

  • Landnaam: <S: 0, 128>

  • Organisatienaam: <S: 0, 128>

  • Sanns[5]: <S: 0, 128>

  • Sanemail[5]: <S: 0, 128>

  • SanIp[5]: <S: 0, 128>

  • SanUri[5]: <S: 0, 128>

xCommand Security Certificates Services aanmelding SCEP vernieuwingsaanvraag

Een profiel voor automatisch gebruik maken of bijwerken dat wordt toegepast op alle certificaten die door de opgegeven CA worden uitgegeven voordat de certificaten verlopen.

Parameters:

  • Vingerafdruk(r): <S: 0, 128>

    De vingerafdruk van de certificeringsinstantie die de certificaten heeft ondertekend.

  • URL(r): <S: 0, 128>

    URL van SCEP-server om de certificaten te vernieuwen. 

xCommand Security Certificates Services Aanmelding SCEP Vernieuwing verwijderen

Verwijder het profiel dat automatisch wordt beantwoord voor de opgegeven ca. Hierdoor worden de certificaten die zijn ondertekend door deze CA gestopt voor automatischrenewing

Parameters:

  • Vingerafdruk(r): <S: 0, 128>

    De vingerafdruk van de certificeringsinstantie die moet worden verwijderd.

xCommand Security Certificates Services Inschrijving SCEP Vernieuwingslijst

Een lijst maken van alle momenteel gebruikte profielen voor automatisch opnieuw kiezen.