U kunt certificaten toevoegen via de lokale webinterface van het apparaat. U kunt ook certificaten toevoegen door de opdrachten API uit te voeren. Zie roomos.cisco.com voor meer informatie over de opdrachten waarmee u certificaten kunt toevoegen.

Servicecertificaten en vertrouwde CA's

Certificaatvalidering is mogelijk vereist wanneer u TLS (Transport Layer Security) gebruikt. Een server of client vereist mogelijk dat het apparaat een geldig certificaat levert voordat communicatie tot stand wordt gebracht.

De certificaten zijn tekstbestanden die de betrouwbaarheid van het apparaat verifiëren. Deze certificaten moeten zijn ondertekend door een vertrouwde Certificate Authority (CA). Om de handtekening van de certificaten te verifiëren, moet er een lijst met vertrouwde CA's op het apparaat aanwezig zijn. De lijst moet alle CA's bevatten die nodig zijn om certificaten te verifiëren voor auditlogboekregistratie en andere verbindingen.

Certificaten worden gebruikt voor de volgende services: HTTPS-server, SIP, IEEE 802.1X en de auditlogboekregistratie. U kunt meerdere certificaten opslaan op het apparaat, maar slechts één certificaat tegelijk is ingeschakeld voor elke service.

Wanneer u in RoomOS van oktober 2023 en later een CA-certificaat aan een apparaat toevoegt, wordt dit ook toegepast op een Room Navigator als er een is aangesloten. Om de eerder toegevoegde CA-certificaten te synchroniseren met een aangesloten Room Navigator, moet u het apparaat opnieuw opstarten. Als u niet wilt dat de randapparatuur dezelfde certificaten krijgt als het apparaat waarmee het is verbonden, stelt u de configuratie Peripherals Security Certificates SyncToPeripherals in op False.

Eerder opgeslagen certificaten worden niet automatisch verwijderd. De invoeren in een nieuw bestand met CA-certificaten worden toegevoegd aan de bestaande lijst.

Voor Wi-Fi-verbinding

Wij adviseren u om voor elk Board-, Desk- of Room Series-apparaat een vertrouwd CA-certificaat toe te voegen als uw netwerk WPA-EAP-authenticatie gebruikt. U moet dit afzonderlijk doen voor elk apparaat en voordat u verbinding maakt met Wi-Fi.

Als u certificaten wilt toevoegen voor uw Wi-Fi-verbinding, hebt u de volgende bestanden nodig:

  • Lijst met CA-certificaten (bestandsindeling: .PEM)

  • Certificaat (bestandsindeling: .PEM)

  • Persoonlijke sleutel, ofwel als een afzonderlijk bestand of opgenomen in hetzelfde bestand als het certificaat (bestandsindeling: .PEM)

  • Wachtwoordzin (alleen vereist als de persoonlijke sleutel is gecodeerd)

Het certificaat en de persoonlijke sleutel worden in hetzelfde bestand op het apparaat opgeslagen. Als verificatie is mislukt, wordt de verbinding niet tot stand gebracht.

De persoonlijke sleutel en wachtwoordzin worden niet toegepast op aangesloten randapparatuur.

Certificaten toevoegen op Board-, Desk- en Room Series-apparaten

1

Ga vanuit de klantweergave in https:/​/​admin.webex.com naar de pagina Apparaten en selecteer uw apparaat in de lijst. Ga naar Ondersteuning en start Lokale apparaatbediening .

Als u een lokale Admin-gebruiker hebt ingesteld, kunt u rechtstreeks toegang krijgen tot de webinterface door een webbrowser te openen en http(s)://<eindpoint-ip of hostnaam> te typen.

2

Ga naar Beveiliging > Certificaten > Aangepast > Certificaat toevoegen en upload de CA-basiscertificaten.

3

Genereer een persoonlijke sleutel en certificaatverzoek op openssl. Kopieer de inhoud van het certificaatverzoek. Plak deze vervolgens om het servercertificaat te verzoeken van uw certificate authority (CA).

4

Download het servercertificaat dat door uw CA is ondertekend. Zorg ervoor dat het in .PEM-formaat is.

5

Ga naar Beveiliging > Certificaten > Services > Certificaat toevoegen en upload de persoonlijke sleutel en het servercertificaat.

6

Schakel de services in die u wilt gebruiken voor het certificaat dat u zojuist hebt toegevoegd.

Genereer certificaatondertekeningsaanvraag (CSR)

Beheerders moeten een Certificate Signing Request (CSR) genereren vanuit de Control Hub voor een in de cloud geregistreerd Board-, Desk- of Room Series-apparaat.

Volg deze stappen om een CSR te genereren en een ondertekend certificaat naar uw apparaat te uploaden:

  1. Ga vanuit het klantoverzicht in Control Hub naar de pagina Apparaten en selecteer uw apparaat in de lijst.
  2. Ga naar Acties > xCommand uitvoeren > Beveiliging > Certificaten > CSR > Maken.
  3. Vul de vereiste certificaatgegevens in en selecteer Uitvoeren.
  4. Kopieer alle tekst tussen ----BEGIN CERTIFICATE REQUEST---- en ----END CERTIFICATE REQUEST----.
  5. Gebruik een Certificate Authority (CA) naar keuze om de CSR te ondertekenen.
  6. Exporteer het ondertekende certificaat in PEM-formaat (Base64-gecodeerd).
  7. Open het ondertekende certificaatbestand in een teksteditor (bijvoorbeeld Kladblok) en kopieer alle tekst tussen ----BEGIN CERTIFICATE---- en ----END CERTIFICATE----.
  8. Ga in Control Hub naar Apparaten > selecteer uw apparaat > Acties > xCommand uitvoeren > Beveiliging > Certificaten > CSR > Koppeling.
  9. Plak de gekopieerde certificaatinhoud in de sectie Body en selecteer Uitvoeren.
  10. Vernieuw de pagina om te controleren of het certificaat onder Bestaand certificaat wordt weergegeven.

Eenvoudig Certificaatinschrijvingsprotocol (SCEP)

Simple Certificate Enrollment Protocol (SCEP) biedt een geautomatiseerd mechanisme voor de inschrijving en vernieuwing van certificaten die bijvoorbeeld worden gebruikt voor 802.1X-authenticatie op apparaten. Met SCEP kunt u de toegang van het apparaat tot beveiligde netwerken beheren zonder handmatige tussenkomst.

  • Wanneer het apparaat nieuw is of de fabrieksinstellingen zijn hersteld, is netwerktoegang nodig om de SCEP-URL te bereiken. Het apparaat moet worden aangesloten op het netwerk zonder 802.1X om een IP-adres te verkrijgen.

  • Als u een draadloze inschrijving SSID gebruikt, doorloopt u de onboardingschermen om de verbinding met het netwerk te configureren.

  • Zodra u verbinding hebt met het provisioningnetwerk, hoeft het apparaat niet langer op een bepaald onboardingscherm te staan.

  • Om alle implementaties te kunnen uitvoeren, slaan de SCEP Enrollment xAPI's het CA-certificaat dat wordt gebruikt om het apparaatcertificaat te ondertekenen, niet op. Voor serverauthenticatie moet het CA-certificaat dat wordt gebruikt om het certificaat van de server te valideren, worden toegevoegd met xCommand Security Certificates CA Add.

Voorwaarden

U hebt de volgende informatie nodig:

  • URL van de SCEP-server.

  • Vingerafdruk van het ondertekenende CA-certificaat (Certificate Authority).

  • Informatie over het certificaat om u in te schrijven. Dit vormt de Onderwerpnaam van het certificaat.

    • Algemene naam

    • Landnaam

    • Naam van staat of provincie

    • Plaatsnaam

    • Organisatienaam

    • Organisatie-eenheid

  • De onderwerpnaam wordt als volgt geordend: /C= /ST= /L= /O= /OU= /CN=

  • Het uitdagingswachtwoord van de SCEP-server als u de SCEP-server hebt geconfigureerd om een OTP of gedeeld geheim af te dwingen.

U kunt de vereiste sleutelgrootte voor het sleutelpaar voor certificaataanvragen instellen met de volgende opdracht. De standaardwaarde is 2048.

 xConfiguration Beveiligingsinschrijvingssleutelgrootte: <2048, 3072, 4096>

Wij sturen een certificaataanvraag die een jaar geldig is totdat het certificaat verloopt. Het serverbeleid kan de vervaldatum wijzigen tijdens het ondertekenen van het certificaat.

Ethernet-verbinding

Wanneer een apparaat is verbonden met een netwerk, controleer dan of het toegang heeft tot de SCEP-server. Het apparaat moet worden aangesloten op een netwerk zonder 802.1x om een IP-adres te verkrijgen. Mogelijk moet het MAC-adres van het apparaat aan het provisioning-netwerk worden doorgegeven om een IP-adres te verkrijgen. Het adres MAC vindt u op de gebruikersinterface of op het label aan de achterkant van het apparaat.

Nadat het apparaat is verbonden met het netwerk, kunt u via SSH verbinding maken met het apparaat als beheerder om toegang te krijgen tot TSH en voer vervolgens de volgende opdracht uit om de SCEP-aanvraag voor inschrijving te verzenden: 

xCommand Beveiligingscertificaten Services Inschrijving SCEP-aanvraag

Zodra de SCEP-server het ondertekende apparaatcertificaat retourneert, activeert u 802.1X.

Activeer het ondertekende certificaat:

xCommand Beveiligingscertificaten Services Activeren

Start het apparaat opnieuw op nadat u het certificaat hebt geactiveerd.

Draadloze verbinding

Wanneer een apparaat is verbonden met een draadloos netwerk, controleer dan of het toegang heeft tot de SCEP-server.

Nadat het apparaat is verbonden met het netwerk, kunt u via SSH verbinding maken met het apparaat als beheerder om toegang te krijgen tot TSH en voer vervolgens de volgende opdracht uit om de SCEP-aanvraag voor inschrijving te verzenden: 

xCommand Beveiligingscertificaten Services Inschrijving SCEP-aanvraag

Het apparaat ontvangt het ondertekende certificaat van de SCEP-server.

Activeer het ondertekende certificaat: 

xCommand Beveiligingscertificaten Services Activeren

Na activering moet u het netwerk Wi-Fi configureren met EAP-TLS-authenticatie. 

xCommand Netwerk Wifi Configureren

Standaard slaat de configuratie Wi-Fi servervalidatiecontroles over. Als er slechts eenrichtingsauthenticatie nodig is, houd dan AllowMissingCA standaard ingesteld op WAAR.

Om servervalidatie af te dwingen, moet u ervoor zorgen dat de AllowMissingCA optionele parameter is ingesteld op Onwaar. Als er geen verbinding tot stand kan worden gebracht vanwege fouten bij de servicevalidatie, controleer dan of de juiste CA is toegevoegd om het servercertificaat te verifiëren. Dit certificaat kan verschillen van het apparaatcertificaat.

API beschrijvingen

Rol: Beheerder, Integrator

xCommand Beveiligingscertificaten Services Inschrijving SCEP-aanvraag

Stuurt een CSR naar een opgegeven SCEP-server ter ondertekening. De CSR SubjectName-parameters worden in de volgende volgorde samengesteld: C, ST, L, O, OUs, CN.

Parameters:

  • URL(r): <S: 0, 256>

    Het URL-adres van de SCEP-server.

  • Vingerafdruk(r): <S: 0, 128>

    CA-certificaatvingerafdruk die de SCEP-aanvraag zal ondertekenen CSR.

  • Gemeenschappelijke naam(r): <S: 0, 64>

    Voegt "/CN=" toe aan de onderwerpnaam van CSR.

  • Uitdagingswachtwoord: <S: 0, 256>

    OTP of Shared Secret van de SCEP-server voor toegang tot ondertekening.

  • Landnaam: <S: 0, 2>

    Voegt "/C=" toe aan de onderwerpnaam CSR.

  • StaatOfProvincieNaam: <S: 0, 64>

    Voegt "/ST=" toe aan de onderwerpnaam van CSR.

  • Locatienaam: <S: 0, 64>

    Voegt "/L=" toe aan de onderwerpnaam CSR.

  • Organisatienaam: <S: 0, 64>

    Voegt "/O=" toe aan de onderwerpnaam van CSR.

  • Organisatie-eenheid[5]: <S: 0, 64>

    Voegt maximaal 5 "/OU=" parameters toe aan de CSR onderwerpnaam.

  • SanDns[5]: <S: 0, 64>

    Voegt maximaal 5 DNS-parameters toe aan de CSR-onderwerpalternatieve naam.

  • SanEmail[5]: <S: 0, 64>

    Voeg maximaal 5 e-mailparameters toe aan de alternatieve onderwerpnaam CSR.

  • SanIp[5]: <S: 0, 64>

    Voegt maximaal 5 IP-parameters toe aan de alternatieve onderwerpnaam CSR.

  • SanUri[5]: <S: 0, 64>

    Voegt maximaal 5 URI-parameters toe aan de alternatieve onderwerpnaam CSR.

xCommand Beveiligingscertificaten Services Inschrijvingsprofielen Verwijderen

Verwijdert een inschrijvingsprofiel om certificaten niet langer te verlengen.

Parameters:

  • Vingerafdruk(r): <S: 0, 128>

    De vingerafdruk van het CA-certificaat die het profiel identificeert dat u wilt verwijderen. U kunt de beschikbare profielen zien die u kunt verwijderen door het volgende uit te voeren: 

    Lijst met xCommand-beveiligingscertificaten en -servicesinschrijvingsprofielen

lijst met xCommand Security Certificates Services aanmeldingsprofielen

Hier worden aanmeldingsprofielen voor het vernieuwen van het certificaat weergegeven.

 xCommand Security Certificates Services Aanmelding SCEP Profielen Set Vingerafdruk(r): <S: 0, 128> URL(r): <S: 0, 256>

Voeg een aanmeldingsprofiel toe voor certificaten die worden uitgegeven via de vingerafdruk van de CA om de opgegeven SCEP-URL te gebruiken voor verlenging.

Hernieuwing

 xCommand Security Certificates Services registratie SCEP profielen instellen

Voor de automatische vernieuwing van het certificaat moet het apparaat toegang hebben tot de SCEP-URL die het certificaat kan toewijzen.

Eenmaal per dag wordt gecontroleerd of het apparaat certificaten heeft die na 45 dagen verlopen. Het apparaat zal vervolgens proberen het certificaat te vernieuwen als de uitgever voldoet aan een profiel.

LET OP: Alle apparaatcertificaten worden geselecteerd voor verlenging, ook als het certificaat niet oorspronkelijk is aangemeld met SCEP.

Zeevaarder

  1. Direct gekoppeld: Aangemeld certificaten kunnen worden geactiveerd als een 'koppelen'-certificaat.

  2. Extern gekoppeld: geef de navigator op om een nieuw SCEP-certificaat in te schrijven op basis van de id van het randapparaat:

    xCommand BEVEILIGINGScertificaten voor randapparatuur Aanmelding SCEP-verzoek 

    Aanmeldingsprofielen worden automatisch gesynchroniseerd met de gekoppelde navigator.

  3. Stand-alone Navigator: hetzelfde als codec-aanmelding

802.1x-verificatie configureren voor de Navigator van de ruimte

U kunt 802.1x-verificatie rechtstreeks instellen vanuit het menu Instellingen van de Navigator van de ruimte.

De 802.1x-verificatiestandaard is met name van belang voor Ethernet-netwerken en zorgt ervoor dat alleen geautoriseerde apparaten toegang tot de netwerkbronnen krijgen.

Afhankelijk van de methode EAP die in uw netwerk wordt geconfigureerd, zijn verschillende aanmeldingsopties beschikbaar. Bijvoorbeeld:

  • TLS: gebruikersnaam en wachtwoord worden niet gebruikt.
  • PEAP: Certificaten worden niet gebruikt.
  • TTLS: zowel gebruikersnaam of wachtwoord als certificaten zijn vereist; is niet optioneel.

U kunt het clientcertificaat op een apparaat op verschillende manieren ophalen:

  1. De PEM uploaden: gebruik de functie Beveiligingscertificaten toevoegen.
  2. Maak CSR: Genereer een ondertekeningsverzoek (CSR certificaat), onderteken dit en koppel het met behulp van Beveiligingscertificaten CSR Maken/Koppeling.
  3. SCEP: gebruik van security certificates services aanmelding SCEP-verzoek.
  4. DHCP Optie 43: configureer de levering van het certificaat via deze optie.

De certificaten voor 802,1x configureren en bijwerken voordat u de Navigator van de room koppelt aan een systeem of nadat de navigator van de room opnieuw wordt ingesteld.

De standaardreferenties zijn admin en een leeg wachtwoord. Meer informatie over het toevoegen van certificaten vindt u in de API de nieuwste versie van de handleiding API.

  1. Open het controlepaneel van de Navigator door te tikken op de knop in de rechterbovenhoek of door vanaf de rechterkant te vegen. Tik vervolgens op Apparaatinstellingen .
  2. Ga naar Netwerkverbinding en selecteer Ethernet .
  3. Zet de optie IEEE 802.1X gebruiken op Aan.
    • Als verificatie is ingesteld met referenties, voert u de gebruikersidentiteit en wachtwoordzin in. U kunt ook een anonieme identiteit invoeren: dit is een optioneel veld dat een manier biedt om de werkelijke identiteit van de gebruiker te scheiden van de eerste verificatieaanvraag.
    • U kuntTLS Verifiëren in- of uitschakelen. Wanneer TLS controleren is ingeschakeld, controleert de client actief de echtheid van het servercertificaat tijdens de TLS-handshake. Wanneer TLS controleren is uitgeschakeld, voert de client geen actieve verificatie uit van het certificaat van de server.
    • Als u een clientcertificaat hebt geüpload via de API, schakelt u Clientcertificaat gebruiken in.
    • Schakel de methoden voor Extensible Authentication Protocol (EAP) in die u wilt gebruiken. De keuze van de EAP methode hangt af van de specifieke beveiligingsvereisten, de infrastructuur en de clientmogelijkheden. EAP methoden zijn cruciaal voor het inschakelen van veilige en geverifieerde netwerktoegang.