U kunt certificaten toevoegen vanuit de lokale webinterface van het apparaat. U kunt ook certificaten toevoegen door API-opdrachten uit te voeren. Zie de lijst om te zien voor welke opdrachten u certificaten kunt roomos.cisco.com .

Servicecertificaten en vertrouwde CA's

Certificaatvalidatie is mogelijk vereist bij gebruik van TLS (Transport Layer Security). Voor een server of client kan het zijn dat het apparaat een geldig certificaat voor hen presenteert voordat de communicatie wordt ingesteld.

De certificaten zijn tekstbestanden die de authenticiteit van het apparaat verifiëren. Deze certificaten moeten zijn ondertekend door een vertrouwde certificeringsinstantie (CA). Het apparaat moet een lijst met vertrouwde CA's bevatten om de handtekening van de certificaten te verifiëren. De lijst moet alle AAS's bevatten die nodig zijn om certificaten voor zowel controlelog als andere verbindingen te verifiëren.

Certificaten worden gebruikt voor de volgende services: HTTPS-server, SIP, IEEE 802.1X en controlelog. U kunt meerdere certificaten op het apparaat opslaan, maar er is slechts één certificaat tegelijk ingeschakeld voor elke service.

Wanneer u in RoomOS oktober 2023 en later een CA-certificaat aan een apparaat toevoegt, wordt dit ook toegepast op een Room Navigator als er een is verbonden. Als u de eerder toegevoegde CA-certificaten wilt synchroniseren met een verbonden Room Navigator, moet u het apparaat opnieuw opstarten. Als u niet wilt dat de randapparatuur dezelfde certificaten krijgt als het apparaat waarmee het is verbonden, stelt u de configuratie SyncToPeripherals beveiligingscertificaten voor randapparatuur in op Onwaar.


Eerder opgeslagen certificaten worden niet automatisch verwijderd. De vermeldingen in een nieuw bestand met CA-certificaten worden toegevoegd aan de bestaande lijst.

Voor Wi-Fi-verbinding

We raden u aan een vertrouwd CA-certificaat toe te voegen voor elk Board-, Desk- of Room-serieapparaat, als uw netwerk WPA-EAP-verificatie gebruikt. U moet dit voor elk apparaat afzonderlijk doen en voordat u verbinding maakt met wifi.

Als u certificaten voor uw Wi-Fi-verbinding wilt toevoegen, hebt u de volgende bestanden nodig:

  • Lijst met CA-certificaten (bestandsindeling: .PEM)

  • Certificaat (bestandsindeling: .PEM)

  • Privésleutel, als een afzonderlijk bestand of opgenomen in hetzelfde bestand als het certificaat (bestandsindeling: .PEM)

  • Wachtwoordzin (alleen vereist als de privésleutel is gecodeerd)

Het certificaat en de privésleutel worden in hetzelfde bestand opgeslagen op het apparaat. Als de verificatie mislukt, wordt de verbinding niet tot stand gebracht.


Privésleutel en wachtwoordzin worden niet toegepast op verbonden randapparatuur.

Certificaten toevoegen aan apparaten uit de Board-, Desk- en Room-serie

1

Ga vanuit de klantweergave in https://admin.webex.com naar de pagina Apparaten en selecteer uw apparaat in de lijst. Ga naar Ondersteuning en start Bedieningselementen voor lokale apparaten.

Als u een lokale admingebruiker op het apparaat hebt ingesteld, kunt u de webinterface rechtstreeks openen door een webbrowser te openen en http(s):// in te voeren.

2

Navigeer naar Beveiliging > certificaten > aangepaste > certificaat toevoegen en upload uw CA hoofdcertificaat(s).

3

Met OpenSSL genereert u een privésleutel en certificaatverzoek. Kopieer de inhoud van de certificaataanvraag. Plak het vervolgens om het servercertificaat aan te vragen bij uw certificaatautoriteit (CA).

4

Download het servercertificaat dat is ondertekend door uw CA. Zorg ervoor dat deze in is. PEM-indeling.

5

Ga naar Beveiliging > Certificaten > Services > Certificaat toevoegen en upload de privésleutel en het servercertificaat.

6

Schakel de services in die u wilt gebruiken voor het certificaat dat u zojuist hebt toegevoegd.

Simple Certificate Enrollment Protocol (SCEP)

Simple Certificate Enrollment Protocol (SCEP) biedt een geautomatiseerd mechanisme voor inschrijvings- en vernieuwingscertificaten die worden gebruikt voor bijvoorbeeld 802.1X-verificatie op apparaten. Met SCEP kunt u de toegang van het apparaat tot beveiligde netwerken behouden zonder handmatige tussenkomst.

  • Wanneer het apparaat nieuw is of wanneer het is teruggezet naar de fabrieksinstellingen, heeft het netwerktoegang nodig om de SCEP-URL te bereiken. Het apparaat moet zijn verbonden met het netwerk zonder 802.1X om een IP-adres te verkrijgen.

  • Als u een draadloze inschrijvings-SSID gebruikt, moet u door de onboardingschermen gaan om de verbinding met het netwerk te configureren.

  • Zodra u verbonden bent met het inrichtingsnetwerk, hoeft het apparaat in deze fase niet meer op een bepaald onboardingscherm te staan.

  • Voor alle implementaties slaat de SCEP Enrollment xAPI's het CA-certificaat niet op dat wordt gebruikt om het apparaatcertificaat te ondertekenen. Voor serververificatie moet het CA-certificaat dat wordt gebruikt om het servercertificaat te valideren, worden toegevoegd met xCommand Security Certificates CA Add.

Voorwaarden

U hebt de volgende informatie nodig:

  • URL van SCEP-server.

  • Vingerafdruk van het certificaat van de ondertekenende certificeringsinstantie (CA).

  • Informatie van het certificaat dat moet worden ingeschreven. Dit is de onderwerpnaam van het certificaat.

    • Algemene naam

    • Landnaam

    • Organisatienaam

  • Het wachtwoord van de SCEP-server als u de SCEP-server hebt geconfigureerd om een OTP of gedeeld geheim af te dwingen.

We verzenden een certificaataanvraag die één jaar geldig is voor het verlopen van het certificaat. Het serverbeleid kan de vervaldatum wijzigen tijdens het ondertekenen van het certificaat.

Ethernet-verbinding

Wanneer een apparaat is verbonden met een netwerk, zorgt u ervoor dat het toegang heeft tot de SCEP-server. Het apparaat moet zijn verbonden met een netwerk zonder 802.1x om een IP-adres te verkrijgen. Het MAC-adres van het apparaat moet mogelijk worden verstrekt aan het inrichtingsnetwerk om een IP-adres te verkrijgen. Het MAC-adres vindt u in de gebruikersinterface of op het label achterop het apparaat.

Nadat het apparaat is verbonden met het netwerk, kunt u SSH als beheerder verbinding maken met het apparaat om toegang te krijgen tot TSH en vervolgens de volgende opdracht uitvoeren om het SCEP-verzoek voor inschrijving te verzenden: 
xCommand-beveiligingscertificaten Services Enrollment SCEP-verzoek

Zodra de SCEP-server het ondertekende apparaatcertificaat retourneert, activeert u de 802.1X en start u het apparaat opnieuw op.

Het ondertekende certificaat activeren:
Services voor xCommand-beveiligingscertificaten activeren

Start het apparaat opnieuw op nadat het certificaat is geactiveerd.

Draadloze verbinding

Wanneer een apparaat is verbonden met een draadloos netwerk, zorgt u ervoor dat het toegang heeft tot de SCEP-server.

Nadat het apparaat is verbonden met het netwerk, kunt u SSH als beheerder verbinding maken met het apparaat om toegang te krijgen tot TSH en vervolgens de volgende opdracht uitvoeren om het SCEP-verzoek voor inschrijving te verzenden: 
xCommand-beveiligingscertificaten Services Enrollment SCEP-verzoek

Het apparaat ontvangt het ondertekende certificaat van de SCEP-server.

Het ondertekende certificaat activeren: 

Services voor xCommand-beveiligingscertificaten activeren
Na de activering moet u het Wi-Fi-netwerk configureren met EAP-TLS-verificatie. 
xCommand Netwerk WiFi configureren

De Wi-Fi-configuratie slaat standaard de validatiecontroles van de server over. Als er slechts eenwegverificatie vereist is, houdt u AllowMissingCA ingesteld op Waar.

Om servervalidatie te forceren, moet de optionele parameter AllowMissingCA zijn ingesteld op Onwaar. Als een verbinding niet tot stand kan worden gebracht vanwege servicevalidatiefouten, controleert u of de juiste CA is toegevoegd om het servercertificaat te verifiëren, wat mogelijk afwijkt van het apparaatcertificaat.

API-beschrijvingen

Rol: Beheerder, integrator

xCommand-beveiligingscertificaten Services Enrollment SCEP-verzoek

Vraagt en downloadt een ondertekend apparaatcertificaat

Parameters:

  • URL(r): <S: 0, 128>

    SCEP-server-URL die wordt gebruikt om een certificaat in te schrijven.

  • Vingerafdruk (r): <S: 0, 128>

    De vingerafdruk van de verstrekkende CA die het X509-verzoek ondertekent.

  • ChallengePassword: <S: 0, 128>

    Gedeeld geheim wachtwoord dat is ingesteld door de SCEP-server.

  • Algemene naam(r): <S: 0, 128>

  • Landnaam: <S: 0, 128>

  • Organisatienaam: <S: 0, 128>

  • SanDns[5]: <S: 0, 128>

  • SanEmail[5]: <S: 0, 128>

  • SanIp[5]: <S: 0, 128>

  • SanUri[5]: <S: 0, 128>

xCommand-beveiligingscertificaten services inschrijving SCEP-verlengingsaanvraag

Maak of werk een autorenewal-profiel bij dat wordt toegepast op alle certificaten die zijn uitgegeven door de opgegeven CA voordat de certificaten verlopen

Parameters:

  • Vingerafdruk (r): <S: 0, 128>

    De vingerafdruk van de verstrekkende CA die de certificaten heeft ondertekend.

  • URL(r): <S: 0, 128>

    SCEP-server-URL gebruikt om de certificaten te vernieuwen. 

xCommand Beveiligingscertificaten Services inschrijving SCEP-verlenging verwijderen

Verwijder het automatische profiel voor de opgegeven CA. Hiermee stopt u automatisch de certificaten die door deze CA zijn ondertekend

Parameters:

  • Vingerafdruk (r): <S: 0, 128>

    De vingerafdruk van de uitgevende CA die moet worden verwijderd.

xCommand-beveiligingscertificaten services inschrijving SCEP-verlengingslijst

Maak een lijst van alle momenteel gebruikte automatische nieuwe profielen.