U kunt certificaten toevoegen via de lokale webinterface van het apparaat. U kunt ook certificaten toevoegen door de opdrachten API uit te voeren. Zie roomos.cisco.com voor meer informatie over de opdrachten waarmee u certificaten kunt toevoegen.

Servicecertificaten en vertrouwde CA's

Certificaatvalidering is mogelijk vereist wanneer u TLS (Transport Layer Security) gebruikt. Een server of client vereist mogelijk dat het apparaat een geldig certificaat levert voordat communicatie tot stand wordt gebracht.

De certificaten zijn tekstbestanden die de betrouwbaarheid van het apparaat verifiëren. Deze certificaten moeten zijn ondertekend door een vertrouwde Certificate Authority (CA). Om de handtekening van de certificaten te verifiëren, moet er een lijst met vertrouwde CA's op het apparaat aanwezig zijn. De lijst moet alle CA's bevatten die nodig zijn om certificaten te verifiëren voor auditlogboekregistratie en andere verbindingen.

Certificaten worden gebruikt voor de volgende services: HTTPS-server, SIP, IEEE 802.1X en de auditlogboekregistratie. U kunt meerdere certificaten opslaan op het apparaat, maar slechts één certificaat tegelijk is ingeschakeld voor elke service.

Vanaf RoomOS oktober 2023 wordt een CA-certificaat dat u aan een apparaat toevoegt, ook toegepast op een Room Navigator als er een is aangesloten. Om de eerder toegevoegde CA-certificaten te synchroniseren met een aangesloten Room Navigator, moet u het apparaat opnieuw opstarten. Als u niet wilt dat de randapparatuur dezelfde certificaten krijgt als het apparaat waarmee het is verbonden, stelt u de configuratie Peripherals Security Certificates SyncToPeripherals in op False.

Eerder opgeslagen certificaten worden niet automatisch verwijderd. De invoeren in een nieuw bestand met CA-certificaten worden toegevoegd aan de bestaande lijst.

Voor Wi-Fi-verbinding

Wij adviseren u om voor elk Board-, Desk- of Room Series-apparaat een vertrouwd CA-certificaat toe te voegen als uw netwerk WPA-EAP-authenticatie gebruikt. U moet dit afzonderlijk doen voor elk apparaat en voordat u verbinding maakt met Wi-Fi.

Als u certificaten wilt toevoegen voor uw Wi-Fi-verbinding, hebt u de volgende bestanden nodig:

  • Lijst met CA-certificaten (bestandsindeling: .PEM)

  • Certificaat (bestandsindeling: .PEM)

  • Persoonlijke sleutel, ofwel als een afzonderlijk bestand of opgenomen in hetzelfde bestand als het certificaat (bestandsindeling: .PEM)

  • Wachtwoordzin (alleen vereist als de persoonlijke sleutel is gecodeerd)

Het certificaat en de persoonlijke sleutel worden in hetzelfde bestand op het apparaat opgeslagen. Als verificatie is mislukt, wordt de verbinding niet tot stand gebracht.

Het certificaat en de bijbehorende persoonlijke sleutel worden niet toegepast op aangesloten randapparatuur.

Certificaten toevoegen op Board-, Desk- en Room Series-apparaten

1

Ga vanuit de klantweergave in https:/​/​admin.webex.com naar de pagina Apparaten en selecteer uw apparaat in de lijst. Ga naar Ondersteuning en start Lokale apparaatbediening .

Als u een lokale Admin-gebruiker hebt ingesteld, kunt u rechtstreeks toegang krijgen tot de webinterface door een webbrowser te openen en http(s)://<eindpoint-ip of hostnaam> te typen.

2

Ga naar Beveiliging > Certificaten > Aangepast > Certificaat toevoegen en upload de CA-basiscertificaten.

3

Genereer een persoonlijke sleutel en certificaatverzoek op openssl. Kopieer de inhoud van het certificaatverzoek. Plak deze vervolgens om het servercertificaat te verzoeken van uw certificate authority (CA).

4

Download het servercertificaat dat door uw CA is ondertekend. Zorg ervoor dat het in .PEM-formaat is.

5

Ga naar Beveiliging > Certificaten > Services > Certificaat toevoegen en upload de persoonlijke sleutel en het servercertificaat.

6

Schakel de services in die u wilt gebruiken voor het certificaat dat u zojuist hebt toegevoegd.

Genereer certificaatondertekeningsaanvraag (CSR)

Beheerders moeten een Certificate Signing Request (CSR) genereren vanuit de Control Hub voor een in de cloud geregistreerd Board-, Desk- of Room Series-apparaat.

Volg deze stappen om een CSR te genereren en een ondertekend certificaat naar uw apparaat te uploaden:

  1. Ga vanuit het klantoverzicht in Control Hub naar de pagina Apparaten en selecteer uw apparaat in de lijst.
  2. Ga naar Acties > xCommand uitvoeren > Beveiliging > Certificaten > CSR > Maken.
  3. Vul de vereiste certificaatgegevens in en selecteer Uitvoeren.
  4. Kopieer alle tekst tussen ----BEGIN CERTIFICATE REQUEST---- en ----END CERTIFICATE REQUEST----.
  5. Gebruik een Certificate Authority (CA) naar keuze om de CSR te ondertekenen.
  6. Exporteer het ondertekende certificaat in PEM-formaat (Base64-gecodeerd).
  7. Open het ondertekende certificaatbestand in een teksteditor (bijvoorbeeld Kladblok) en kopieer alle tekst tussen ----BEGIN CERTIFICATE---- en ----END CERTIFICATE----.
  8. Ga in Control Hub naar Apparaten > selecteer uw apparaat > Acties > xCommand uitvoeren > Beveiliging > Certificaten > CSR > Koppeling.
  9. Plak de gekopieerde certificaatinhoud in het gedeelte Body en selecteer Uitvoeren.
  10. Vernieuw de pagina om te controleren of het certificaat onder Bestaand certificaat wordt weergegeven.

Eenvoudig certificaatinschrijvingsprotocol (SCEP)

Simple Certificate Enrollment Protocol (SCEP) biedt een geautomatiseerd mechanisme voor de inschrijving en vernieuwing van certificaten die bijvoorbeeld worden gebruikt voor 802.1X-authenticatie op apparaten. Met SCEP kunt u de toegang van het apparaat tot beveiligde netwerken behouden zonder handmatige tussenkomst.

  • Wanneer het apparaat nieuw is of de fabrieksinstellingen zijn hersteld, is netwerktoegang nodig om de SCEP-URL te bereiken. Het apparaat moet worden aangesloten op het netwerk zonder 802.1X om een IP-adres te verkrijgen.

  • Als u een draadloze inschrijving SSID gebruikt, doorloopt u de onboardingschermen om de verbinding met het netwerk te configureren.

  • Zodra u verbinding hebt met het provisioningnetwerk, hoeft het apparaat niet langer op een bepaald onboardingscherm te staan.

  • Om alle implementaties te kunnen uitvoeren, slaan de SCEP Enrollment xAPI's het CA-certificaat dat wordt gebruikt om het apparaatcertificaat te ondertekenen, niet op. Voor serverauthenticatie moet het CA-certificaat dat wordt gebruikt om het certificaat van de server te valideren, worden toegevoegd met xCommand Security Certificates CA Add.

Voorwaarden

U hebt de volgende informatie nodig:

  • URL van de SCEP-server.

  • Vingerafdruk van het ondertekenende CA-certificaat (Certificate Authority).

  • Informatie over het certificaat om u in te schrijven. Dit vormt de Onderwerpnaam van het certificaat.

    • Algemene naam

    • Landnaam

    • Naam van staat of provincie

    • Plaatsnaam

    • Organisatienaam

    • Organisatie-eenheid

  • De onderwerpnaam wordt als volgt geordend: /C= /ST= /L= /O= /OU= /CN=

  • Het uitdagingswachtwoord van de SCEP-server als u de SCEP-server hebt geconfigureerd om een OTP of gedeeld geheim af te dwingen.

U kunt de vereiste sleutelgrootte voor het sleutelpaar voor certificaataanvragen instellen met de volgende opdracht. De standaardwaarde is 2048.

 xConfiguration Security Enrollment KeySize: <2048, 3072, 4096>

Wij sturen een certificaataanvraag die een jaar geldig is totdat het certificaat verloopt. Het serverbeleid kan de vervaldatum wijzigen tijdens het ondertekenen van het certificaat.

Ethernet-verbinding

Wanneer een apparaat is verbonden met een netwerk, controleer dan of het toegang heeft tot de SCEP-server. Het apparaat moet worden aangesloten op een netwerk zonder 802.1x om een IP-adres te verkrijgen. Mogelijk moet het MAC-adres van het apparaat aan het provisioning-netwerk worden verstrekt om een IP-adres te verkrijgen. Het adres MAC vindt u op de gebruikersinterface of op het label aan de achterkant van het apparaat.

Nadat het apparaat is verbonden met het netwerk, kunt u via SSH verbinding maken met het apparaat als beheerder om toegang te krijgen tot TSH, voer dan de volgende opdracht uit om de SCEP-aanvraag voor inschrijving te verzenden: 

xCommand Beveiligingscertificaten Services Inschrijving SCEP-aanvraag

Zodra de SCEP-server het ondertekende apparaatcertificaat retourneert, activeert u 802.1X.

Activeer het ondertekende certificaat:

xCommand Beveiligingscertificaten Services Activeren

Start het apparaat opnieuw op nadat u het certificaat hebt geactiveerd.

Draadloze verbinding

Wanneer een apparaat is verbonden met een draadloos netwerk, controleer dan of het toegang heeft tot de SCEP-server.

Nadat het apparaat is verbonden met het netwerk, kunt u via SSH verbinding maken met het apparaat als beheerder om toegang te krijgen tot TSH, voer dan de volgende opdracht uit om de SCEP-aanvraag voor inschrijving te verzenden: 

xCommand Beveiligingscertificaten Services Inschrijving SCEP-aanvraag

Het apparaat ontvangt het ondertekende certificaat van de SCEP-server.

Activeer het ondertekende certificaat: 

xCommand Beveiligingscertificaten Services Activeren

Na activering moet u het netwerk Wi-Fi configureren met EAP-TLS-authenticatie. 

xCommand Netwerk Wifi Configureren

Standaard slaat de configuratie Wi-Fi servervalidatiecontroles over. Als er slechts eenrichtingsauthenticatie nodig is, houd dan AllowMissingCA standaard ingesteld op WAAR.

Om servervalidatie af te dwingen, moet u ervoor zorgen dat de AllowMissingCA optionele parameter is ingesteld op Onwaar. Als er geen verbinding tot stand kan worden gebracht vanwege fouten bij de servicevalidatie, controleer dan of de juiste CA is toegevoegd om het servercertificaat te verifiëren. Dit certificaat kan verschillen van het apparaatcertificaat.

API beschrijvingen

Rol: Beheerder, Integrator

xCommand Beveiligingscertificaten Services Inschrijving SCEP-aanvraag

Stuurt een CSR naar een bepaalde SCEP-server ter ondertekening. De CSR SubjectName-parameters worden in de volgende volgorde samengesteld: C, ST, L, O, OUs, CN.

Parameters:

  • URL(r): <S: 0, 256>

    Het URL-adres van de SCEP-server.

  • Vingerafdruk(r): <S: 0, 128>

    CA-certificaatvingerafdruk die de SCEP-aanvraag zal ondertekenen CSR.

  • Algemene naam(r): <S: 0, 64>

    Voegt "/CN=" toe aan de onderwerpnaam van CSR.

  • Uitdagingswachtwoord: <S: 0, 256>

    OTP of Shared Secret van de SCEP-server voor toegang tot ondertekening.

  • Landnaam: <S: 0, 2>

    Voegt "/C=" toe aan de onderwerpnaam CSR.

  • StaatOfProvincieNaam: <S: 0, 64>

    Voegt "/ST=" toe aan de onderwerpnaam van CSR.

  • Locatienaam: <S: 0, 64>

    Voegt "/L=" toe aan de onderwerpnaam CSR.

  • Organisatienaam: <S: 0, 64>

    Voegt "/O=" toe aan de onderwerpnaam van CSR.

  • Organisatie-eenheid[5]: <S: 0, 64>

    Voegt maximaal 5 "/OU=" parameters toe aan de CSR onderwerpnaam.

  • SanDns[5]: <S: 0, 64>

    Voegt maximaal 5 DNS-parameters toe aan de CSR-onderwerpalternatieve naam.

  • SanEmail[5]: <S: 0, 64>

    Voegt maximaal 5 e-mailparameters toe aan de alternatieve onderwerpnaam CSR.

  • SanIp[5]: <S: 0, 64>

    Voegt maximaal 5 IP-parameters toe aan de alternatieve onderwerpnaam CSR.

  • SanUri[5]: <S: 0, 64>

    Voegt maximaal 5 URI-parameters toe aan de alternatieve onderwerpnaam CSR.

xCommand Beveiligingscertificaten Services Inschrijvingsprofielen Verwijderen

Verwijdert een inschrijvingsprofiel om certificaten niet langer te verlengen.

Parameters:

  • Vingerafdruk(r): <S: 0, 128>

    De vingerafdruk van het CA-certificaat die het profiel identificeert dat u wilt verwijderen. U kunt de beschikbare profielen zien die u kunt verwijderen door het volgende uit te voeren: 

    Lijst met xCommand-beveiligingscertificaten en -servicesinschrijvingsprofielen

Lijst met xCommand-beveiligingscertificaten en -servicesinschrijvingsprofielen

Geeft een overzicht van inschrijvingsprofielen voor certificaatvernieuwing.

 xCommand Beveiligingscertificaten Services Inschrijving SCEP-profielen Set Vingerafdruk(r): <S: 0, 128> URL(r): <S: 0, 256>

Voeg een inschrijvingsprofiel toe voor certificaten die zijn uitgegeven door de CA-vingerafdruk om de opgegeven SCEP-URL te gebruiken voor verlenging.

Vernieuwing

 xCommand Beveiligingscertificaten Services Inschrijving SCEP Profielen Set

Om het certificaat automatisch te kunnen vernieuwen, moet het apparaat toegang hebben tot de SCEP-URL waarmee het certificaat opnieuw kan worden ondertekend.

Eenmaal per dag controleert het apparaat op certificaten die binnen 45 dagen verlopen. Het apparaat probeert deze certificaten vervolgens te vernieuwen als de uitgever ervan aan een profiel voldoet.

OPMERKING: Er wordt gecontroleerd of alle apparaatcertificaten verlengd kunnen worden, zelfs als het certificaat oorspronkelijk niet via SCEP is geregistreerd.

Navigator

  1. Direct gekoppeld: ingeschreven certificaten kunnen worden geactiveerd als 'Koppelings'-certificaat.

  2. Op afstand gekoppeld: vertel de navigator dat hij een nieuw SCEP-certificaat moet registreren met behulp van de ID van het randapparaat:

    xCommand Randapparatuur Beveiliging Certificaten Services Inschrijving SCEP-aanvraag 

    Inschrijvingsprofielen worden automatisch gesynchroniseerd met de gekoppelde navigator.

  3. Stand-alone Navigator: Hetzelfde als codec-inschrijving

802.1x-authenticatie configureren op Room Navigator

U kunt 802.1x-authenticatie rechtstreeks instellen via het menu Instellingen van de Room Navigator.

De 802.1x-authenticatiestandaard is vooral belangrijk voor Ethernet-netwerken en zorgt ervoor dat alleen geautoriseerde apparaten toegang krijgen tot de netwerkbronnen.

Er zijn verschillende inlogopties beschikbaar, afhankelijk van de EAP-methode die in uw netwerk is geconfigureerd. Bijvoorbeeld:

  • TLS: Gebruikersnaam en wachtwoord worden niet gebruikt.
  • PEAP: Certificaten worden niet gebruikt.
  • TTLS: Zowel gebruikersnaam/wachtwoord als certificaten zijn vereist; geen van beide is optioneel.

Er zijn verschillende manieren om het clientcertificaat op een apparaat te verkrijgen:

  1. Upload de PEM: Gebruik de functie Beveiligingscertificaten Services toevoegen.
  2. Maak de CSR: genereer een certificaatondertekeningsaanvraag (CSR), onderteken deze en koppel deze met behulp van beveiligingscertificaten CSR Maken/Koppelen.
  3. SCEP: Gebruik beveiligingscertificaten Services Inschrijving SCEP-verzoek.
  4. DHCP Optie 43: Configureer de certificaatlevering via deze optie.

Het instellen en bijwerken van de certificaten voor 802.1x dient te gebeuren vóór het koppelen van de Room Navigator aan een systeem, of na het terugzetten naar de fabrieksinstellingen van de Room Navigator.

De standaardinloggegevens zijn admin en een leeg wachtwoord. Voor meer informatie over het toevoegen van certificaten via API raadpleegt u de nieuwste versie van de API-handleiding .

  1. Open het bedieningspaneel op de Navigator door op de knop in de rechterbovenhoek te tikken of door vanaf de rechterkant te vegen. Tik vervolgens op Apparaatinstellingen .
  2. Ga naar Netwerkverbinding en selecteer Ethernet .
  3. Zet de optie IEEE 802.1X gebruiken op Aan.
    • Als authenticatie is ingesteld met inloggegevens, voer dan de gebruikersidentiteit en wachtwoordzin in. U kunt ook een anonieme identiteit invoeren. Dit is een optioneel veld waarmee u de identiteit van de daadwerkelijke gebruiker kunt scheiden van het oorspronkelijke authenticatieverzoek.
    • U kunt TLS Verifiëren in- of uitschakelen. Wanneer TLS verify is ingeschakeld, controleert de client actief de authenticiteit van het certificaat van de server tijdens de TLS-handshake. Wanneer TLS verify is uitgeschakeld, voert de client geen actieve verificatie uit van het certificaat van de server.
    • Als u een clientcertificaat hebt geüpload via API, schakelt u Clientcertificaat gebruiken in.
    • Schakel de Extensible Authentication Protocol (EAP) methoden in die u wilt gebruiken. De keuze voor de EAP-methode hangt af van de specifieke beveiligingsvereisten, infrastructuur en mogelijkheden van de client. EAP-methoden zijn cruciaal voor het mogelijk maken van veilige en geauthenticeerde netwerktoegang.