U kunt certificaten toevoegen via de lokale webinterface van het apparaat. U kunt ook certificaten toevoegen door API opdrachten uit te voeren. Zieroomos.cisco.com om te zien welke opdrachten u kunt gebruiken om certificaten toe te voegen .

Servicecertificaten en vertrouwde CA's

Certificaatvalidering is mogelijk vereist wanneer u TLS (Transport Layer Security) gebruikt. Een server of client vereist mogelijk dat het apparaat een geldig certificaat levert voordat communicatie tot stand wordt gebracht.

De certificaten zijn tekstbestanden die de betrouwbaarheid van het apparaat verifiëren. Deze certificaten moeten zijn ondertekend door een vertrouwde Certificate Authority (CA). Het apparaat moet een lijst met vertrouwde CA's hebben om de handtekening van de certificaten te controleren. De lijst moet alle CA's bevatten die nodig zijn om certificaten te verifiëren voor auditlogboekregistratie en andere verbindingen.

Certificaten worden gebruikt voor de volgende services: HTTPS-server, SIP, IEEE 802.1X en de auditlogboekregistratie. U kunt meerdere certificaten opslaan op het apparaat, maar slechts één certificaat tegelijk is ingeschakeld voor elke service.

Als u op RoomOS-oktober 2023 en later een CA-certificaat toevoegt aan een apparaat, wordt dit ook toegepast op de Room Navigator als er verbinding is. Als u de eerder toegevoegde CA-certificaten wilt synchroniseren met een verbonden Room Navigator, moet u het apparaat opnieuw opstarten. Als u niet wilt dat de randapparaten dezelfde certificaten krijgen als het apparaat waarop het is aangesloten, stelt u de configuratie van Beveiligingscertificaten SyncToPeripherals voor randapparaten in op Onwaar.

Eerder opgeslagen certificaten worden niet automatisch verwijderd. De invoeren in een nieuw bestand met CA-certificaten worden toegevoegd aan de bestaande lijst.

Voor Wi-Fi verbinding

We raden aan dat u een vertrouwd CA-certificaat toevoegt voor elk apparaat met Board, Desk of Room Series, als uw netwerk WPA-EAP-verificatie gebruikt. U moet dit afzonderlijk doen voor elk apparaat en voordat u verbinding maakt met Wi-Fi.

Als u certificaten wilt toevoegen voor uw Wi-Fi-verbinding, hebt u de volgende bestanden nodig:

  • Lijst met CA-certificaten (bestandsindeling: .PEM)

  • Certificaat (bestandsindeling: .PEM)

  • Persoonlijke sleutel, ofwel als een afzonderlijk bestand of opgenomen in hetzelfde bestand als het certificaat (bestandsindeling: .PEM)

  • Wachtwoordzin (alleen vereist als de persoonlijke sleutel is gecodeerd)

Het certificaat en de persoonlijke sleutel worden in hetzelfde bestand op het apparaat opgeslagen. Als verificatie is mislukt, wordt de verbinding niet tot stand gebracht.

Privétoets en wachtwoordzin worden niet toegepast op aangesloten randapparaten.

Certificaten toevoegen aan apparaten aan boord, Bureau en Room-serie

1

Ga vanuit de klantweergave in https:/​/​admin.webex.com naar de pagina Apparaten en selecteer uw apparaat in de lijst. Ga naar Ondersteuning en start Lokale apparaatknoppen .

Als u een lokale Admin-gebruiker hebt ingesteld, kunt u rechtstreeks toegang krijgen tot de webinterface door een webbrowser te openen en http(s)://<eindpoint-ip of hostnaam> te typen.

2

Ga naar Beveiliging > Certificaten > Aangepast > Certificaat toevoegen en upload de CA-basiscertificaten.

3

Genereer een persoonlijke sleutel en certificaatverzoek op openssl. Kopieer de inhoud van het certificaatverzoek. Plak deze vervolgens om het servercertificaat te verzoeken van uw certificate authority (CA).

4

Download het servercertificaat dat is ondertekend door uw CA. Controleer of het is ingeschakeld. PEM-indeling.

5

Ga naar Beveiliging > Certificaten > Services > Certificaat toevoegen en upload de persoonlijke sleutel en het servercertificaat.

6

Schakel de services in die u wilt gebruiken voor het certificaat dat u zojuist hebt toegevoegd.

SCEP (Simple Certificate Enrollment Protocol)

SCEP (Simple Certificate Enrollment Protocol) biedt een geautomatiseerd mechanisme voor het aanmelden en vernieuwen van certificaten die worden gebruikt voor 802.1X-verificatie op apparaten. Met SCEP kunt u zonder handmatige tussenkomst de toegang van het apparaat tot beveiligde netwerken onderhouden.

  • Als het apparaat nieuw is of de fabriek opnieuw is ingesteld, moet u netwerktoegang hebben om de SCEP-URL te kunnen bereiken. Het apparaat moet zonder 802.1X op het netwerk worden aangesloten om een IP adres te verkrijgen.

  • Als u een draadloze aanmeldings-SSID gebruikt, moet u door de schermen aan boord gaan om de verbinding met het netwerk te configureren.

  • Zodra u bent verbonden met het inrichtingsnetwerk, hoeft het apparaat op dit moment geen bepaald scherm aan boord te staan.

  • Voor alle implementaties worden door xAP-aanmelding xAP's niet het CA-certificaat opgeslagen dat wordt gebruikt om het apparaatcertificaat te ondertekenen. Voor serververificatie moet het CA-certificaat dat wordt gebruikt om het servercertificaat te valideren, worden toegevoegd met xCommand Beveiligingscertificaten CA Toevoegen.

Voorwaarden

U hebt de volgende informatie nodig:

  • De URL van de SCEP-server.

  • Vingerafdruk van het ondertekenings-CA-certificaat (Certificate Authority).

  • Informatie over het certificaat dat moet worden aangemeld. Dit vormt de onderwerpnaam van het certificaat.

    • Algemene naam

    • Naam land

    • Naam staat of provincie

    • Naam van locatie

    • Naam organisatie

    • Organisatorische eenheid

  • De onderwerpnaam wordt gesorteerd als /C= /ST= /L= /O= /OU= /CN=

  • Het wachtwoord voor uitdaging van de SCEP-server als u de SCEP-server hebt geconfigureerd om een OTP of Shared Secret af te dwingen.

Met de volgende opdracht kunt u de vereiste sleutelmaat voor het certificaataanvraag instellen. De standaardwaarde is 2048.

 xConfiguratiebeveiliging aanmeldingsgrootte: <2048, 3072, 4096>

Wij sturen u een aanvraag voor het certificaat, dat één jaar geldig is voor het verlopen van het certificaat. Het beleid voor de server kan de geldigheidsdatum tijdens het ondertekenen van het certificaat wijzigen.

Ethernet-verbinding

Wanneer een apparaat is aangesloten op een netwerk, moet u controleren of het toegang heeft tot de SCEP-server. Het apparaat moet zonder 802,1x worden aangesloten op een netwerk om een IP adres te verkrijgen. Het MAC van het apparaat moet mogelijk aan het inrichtingsnetwerk worden opgegeven om een IP adres te verkrijgen. Het MAC adres vind je op de ui of op het label aan de achterzijde van het apparaat.

Nadat het apparaat is aangesloten op het netwerk, kunt u SSH naar het apparaat als beheerder om toegang te krijgen tot TSH. Voer vervolgens de volgende opdracht uit om het SCEP-verzoek voor aanmelding te verzenden: 

xCommand SCEP-aanvraag voor beveiligingscertificaten

Zodra de SCEP-server het ondertekende apparaatcertificaat heeft geretourneerd, activeert u de 802.1X.

Het ondertekende certificaat activeren:

XCommand Security Certificates Services activeren

Start het apparaat opnieuw op na het activeren van het certificaat.

Draadloze verbinding

Wanneer een apparaat is aangesloten op een draadloos netwerk, moet u ervoor zorgen dat het toegang heeft tot de SCEP-server.

Nadat het apparaat is aangesloten op het netwerk, kunt u SSH naar het apparaat als beheerder om toegang te krijgen tot TSH. Voer vervolgens de volgende opdracht uit om het SCEP-verzoek voor aanmelding te verzenden: 

xCommand SCEP-aanvraag voor beveiligingscertificaten

Het apparaat ontvangt het ondertekende certificaat van de SCEP-server.

Het ondertekende certificaat activeren: 

XCommand Security Certificates Services activeren

Na het activeren moet u het Wi-Fi-netwerk met EAP-TLS-verificatie configureren. 

xCommand netwerk wifi configureren

Standaard worden bij de Wi-Fi configuratie servervalidatiecontroles overgeslagen. Als verificatie in slechts één richting nodig is, houdt u AllowMissingCA standaard Waar in.

Om servervalidatie te forceren, moet de optionele parameter Van ToestaanMissingCA zijn ingesteld op Onwaar. Als een verbinding niet tot stand kan worden gebracht als gevolg van servicevalidatiefouten, controleert u of de juiste CA is toegevoegd om het servercertificaat te controleren dat mogelijk af verschilt van het apparaatcertificaat.

API beschrijvingen

Rol: Beheerder, Integrator

xCommand SCEP-aanvraag voor beveiligingscertificaten

Verzendt een CSR naar een bepaalde SCEP-server om te tekenen. De parameters van CSR SubjectName worden in de volgende volgorde geconstrueerd: C, ST, L, O, OUs, CN.

Parameters:

  • URL(r): <S: 0, 256>

    Het URL-adres van de SCEP-server.

  • Vingerafdruk(r): <S: 0, 128>

    Vingerafdruk van CA-certificaat die het SCEP-verzoek CSR tekent.

  • Algemene naam(r): <S: 0, 64>

    Voegt "/CN=" toe aan het CSR Onderwerpnaam.

  • UitdagingPassword: <S: 0, 256>

    OTP of Shared Secret van de SCEP-server voor toegang tot teken.

  • Landnaam: <S: 0, 2>

    Voegt "/C=" toe aan het CSR Onderwerpnaam.

  • StatusOrProvinceNaam: <S: 0, 64>

    Voegt "/ST=" toe aan het CSR Onderwerpnaam.

  • PlaatsNaam: <S: 0, 64>

    Voegt "/L=" toe aan het CSR Onderwerpnaam.

  • Organisatienaam: <S: 0, 64>

    Voegt "/O=" toe aan het CSR Onderwerpnaam.

  • OrganizationalUnit[5]: <S: 0, 64>

    Bij elkaar worden maximaal 5 "/OU=" parameters toegevoegd aan de CSR Onderwerpnaam.

  • Sans[5]: <S: 0, 64>

    Er worden maximaal 5 DNS-parameters toegevoegd aan de CSR Alternatieve naam onderwerp.

  • SanEmail[5]: <S: 0, 64>

    Er worden maximaal 5 e-mailparameters toegevoegd aan de CSR Alternatieve naam onderwerp.

  • SanIp[5]: <S: 0, 64>

    Er worden maximaal 5 IP-parameters toegevoegd aan de CSR Alternatieve naam onderwerp.

  • SanUri[5]: <S: 0, 64>

    Samen worden maximaal 5 Uri-parameters toegevoegd aan de CSR Alternatieve naam onderwerp.

aanmeldingsprofielen van xCommand Security Certificates Services verwijderen

Hiermee verwijdert u een aanmeldingsprofiel om certificaten niet langer te vernieuwen.

Parameters:

  • Vingerafdruk(r): <S: 0, 128>

    De vingerafdruk van het CA-certificaat die het profiel aangeeft dat u wilt verwijderen. U kunt de beschikbare profielen bekijken die u wilt verwijderen door de volgende uit te voeren: 

    lijst met xCommand Security Certificates Services aanmeldingsprofielen

lijst met xCommand Security Certificates Services aanmeldingsprofielen

Hier worden aanmeldingsprofielen voor het vernieuwen van het certificaat weergegeven.

 xCommand Security Certificates Services Aanmelding SCEP Profielen Set Vingerafdruk(r): <S: 0, 128> URL(r): <S: 0, 256>

Voeg een aanmeldingsprofiel toe voor certificaten die worden uitgegeven via de vingerafdruk van de CA om de opgegeven SCEP-URL te gebruiken voor verlenging.

Hernieuwing

 xCommand Security Certificates Services registratie SCEP profielen instellen

Voor de automatische vernieuwing van het certificaat moet het apparaat toegang hebben tot de SCEP-URL die het certificaat kan toewijzen.

Eenmaal per dag wordt gecontroleerd of het apparaat certificaten heeft die na 45 dagen verlopen. Het apparaat zal vervolgens proberen het certificaat te vernieuwen als de uitgever voldoet aan een profiel.

LET OP: Alle apparaatcertificaten worden geselecteerd voor verlenging, ook als het certificaat niet oorspronkelijk is aangemeld met SCEP.

Zeevaarder

  1. Direct gekoppeld: Aangemeld certificaten kunnen worden geactiveerd als een 'koppelen'-certificaat.

  2. Extern gekoppeld: geef de navigator op om een nieuw SCEP-certificaat in te schrijven op basis van de id van het randapparaat:

    xCommand BEVEILIGINGScertificaten voor randapparatuur Aanmelding SCEP-verzoek 

    Aanmeldingsprofielen worden automatisch gesynchroniseerd met de gekoppelde navigator.

  3. Stand-alone Navigator: hetzelfde als codec-aanmelding