Du kan legge til sertifikater fra enhetens lokale webgrensesnitt. Du kan også legge til sertifikater ved å kjøre API-kommandoer. Hvis du vil se hvilke kommandoer som lar deg legge til sertifikater, kan du se roomos.cisco.com .

Servicesertifikater og klarerte sertifiseringsinstanser

Sertifikatsertifisering kan være påkrevet ved bruk av TLS (Transport Layer Security). En server eller klient kan kreve at enheten viser et gyldig sertifikat før kommunikasjonen er konfigurert.

Sertifikatene er tekstfiler som verifiserer ektheten til enheten. Disse sertifikatene må signeres av en klarert CA. Hvis du vil bekrefte signaturen til sertifikatene, må en liste over klarerte sertifiseringsinstanser ligge på enheten. Listen må inkludere alle CA-er som kreves for å bekrefte sertifikater for både overvåkingslogging og andre tilkoblinger.

Sertifikater brukes for følgende tjenester: HTTPS-server, SIP, IEEE 802.1 X og overvåkingslogging. Du kan lagre flere sertifikater på enheten, men bare ett sertifikat er aktivert for hver tjeneste om gangen.

På RoomOS oktober 2023 og senere, når du legger til et CA-sertifikat på en enhet, brukes det også på en romnavigator hvis en er tilkoblet. Hvis du vil synkronisere CA-sertifikatene som tidligere er lagt til, til en tilkoblet romnavigator, må du starte enheten på nytt. Hvis du ikke vil at de eksterne enhetene skal få de samme sertifikatene som enheten de er koblet til, setter du konfigurasjonen Eksterne sikkerhetssertifikater SyncToPeripherals til False.

Tidligere lagrede sertifikater slettes ikke automatisk. Oppføringene i en ny fil med CA-sertifikater legges til i den eksisterende listen.

For Wi-Fi-tilkobling

Vi anbefaler at du legger til et klarert CA-sertifikat for hver Board-, bord- eller romserieenhet, hvis nettverket ditt bruker WPA-EAP-godkjenning. Du må gjøre dette individuelt for hver enhet, og før du kobler til Wi-Fi.

Hvis du vil legge til sertifikater for Wi-Fi-tilkoblingen, trenger du følgende filer:

  • CA-sertifikatliste (filformat: .PEM)

  • Sertifikat (filformat: .PEM)

  • Privat nøkkel, enten som en egen fil eller inkludert i samme fil som sertifikatet (filformat: .PEM)

  • Passfrase (kreves bare hvis privatnøkkelen er kryptert)

Sertifikatet og den private nøkkelen er lagret i den samme filen på enheten. Hvis godkjenningen mislykkes, vil ikke tilkoblingen bli etablert.

Privatnøkkel og passord brukes ikke på tilkoblede eksterne enheter.

Legge til sertifikater på Board-, skrivebords- og romserieenheter

1

Fra kundevisningen i https://admin.webex.com går du til Enheter-siden og velger enheten din i listen. Gå til Support og start Local Device Controls .

Hvis du har konfigurert en lokal administratorbruker på enheten, kan du få tilgang til webgrensesnittet direkte ved å åpne en nettleser og skrive inn https://<endpoint ip eller vertsnavn>.

2

Naviger til Sikkerhet > Sertifikater > Egendefinert > Legg til sertifikat og last opp CA-rotsertifikatene dine.

3

Generer en privat nøkkel og sertifikatforespørsel på OpenSSL. Kopier innholdet i sertifikatforespørselen. Deretter limer du den inn for å be om serversertifikatet fra sertifiseringsinstansen (CA).

4

Last ned serversertifikatet signert av sertifiseringsinstansen. Kontroller at det er i . PEM-format.

5

Naviger til Sikkerhet > Sertifikater > Tjenester > Legg til sertifikat og last opp privatnøkkelen og serversertifikatet.

6

Aktiver tjenestene du vil bruke for sertifikatet du nettopp la til.

Generer forespørsel om sertifikatsignering (CSR)

Administratorer må generere en forespørsel om sertifikatsignering (CSR) fra Kontrollhub for en skyregistrert Board-, skrivebords- eller romserieenhet.

Følg disse trinnene for å generere et CSR og laste opp et signert sertifikat til enheten:

  1. Gå til Enheter-siden fra kundevisningen i Control Hub, og velg enheten din fra listen.
  2. Naviger til Handlinger > kjør xCommand > Security > Certificates > CSR > Create.
  3. Skriv inn de nødvendige sertifikatdetaljene, og velg Utfør.
  4. Kopier all teksten mellom ----START SERTIFIKATFORESPØRSEL---- og ----AVSLUTT SERTIFIKATFORESPØRSEL----.
  5. Bruk en Certificate Authority (CA) etter eget valg for å signere CSR.
  6. Eksporter det signerte sertifikatet i PEM-format (Base64-kodet).
  7. Åpne den signerte sertifikatfilen i et tekstredigeringsprogram (for eksempel Notisblokk) og kopier all teksten mellom ----BEGIN CERTIFICATE---- og ----END CERTIFICATE----.
  8. I Kontrollhub går du til Enheter > velger enheten din > Handlinger > kjører xCommand > Security > Certificates > koblingen CSR >.
  9. Lim inn det kopierte sertifikatinnholdet i brødtekstdelen og velg Utfør.
  10. Oppdater siden for å bekrefte at sertifikatet vises under Eksisterende sertifikat.

SCEP (Simple Certificate Enrollment Protocol)

SCEP (Simple Certificate Enrollment Protocol) gir en automatisk mekanisme for registrering og oppdatering av sertifikater som for eksempel brukes 802.1X-godkjenning på enheter. SCEP lar deg opprettholde enhetens tilgang til sikre nettverk uten manuell inngripen.

  • Når enheten er ny eller har blitt tilbakestilt til fabrikkstandard, trenger den nettverkstilgang for å nå SCEP-URL-adressen. Enheten må være koblet til nettverket uten 802.1X for å få en IP adresse.

  • Hvis du bruker en trådløs registrering SSID, gå gjennom onboarding-skjermene for å konfigurere forbindelsen med nettverket.

  • Når du er koblet til klargjøringsnettverket, trenger ikke enheten å være på en bestemt innføringsskjerm.

  • For å passe alle distribusjoner lagrer ikke xAPI-ene for SCEP-registrering CA-sertifikatet som ble brukt til å signere enhetssertifikatet. For servergodkjenning må CA-sertifikatet som brukes til å validere serverens sertifikat, legges til med xCommand Security Certificates CA Add.

Forutsetninger

Du trenger følgende informasjon:

  • URL-adressen til SCEP-serveren.

  • Fingeravtrykk av det signerende CA-sertifikatet (Certificate Authority).

  • Informasjon om sertifikatet som skal registreres. Dette utgjør sertifikatets emnenavn .

    • Vanlig navn

    • Navn på land

    • Navn på delstat eller provins

    • Navn på lokalitet

    • Organisasjonsnavn

    • Organisasjonsenhet

  • Emnenavnet sorteres som /C= /ST= /L= /O= /OU= /CN=

  • SCEP Servers utfordringspassord hvis du har konfigurert SCEP-serveren til å håndheve en OTP eller delt hemmelighet.

Du kan angi den nødvendige nøkkelstørrelsen for nøkkelparet for sertifikatforespørsel ved å bruke følgende kommando. Standard er 2048.

 xConfiguration Security Enrollment KeySize: <2048, 3072, 4096>

Vi sender en sertifikatforespørsel som er gyldig i ett år for sertifikatets utløp. Policyen på serversiden kan endre utløpsdatoen under sertifikatsignering.

Ethernet-tilkobling

Når en enhet er koblet til et nettverk, må du kontrollere at den har tilgang til SCEP-serveren. Enheten må være koblet til et nettverk uten 802.1x for å få en IP adresse. Enhetens MAC adresse må kanskje oppgis til klargjøringsnettverket for å få en IP adresse. MAC adressen finner du i brukergrensesnittet eller på etiketten på baksiden av enheten.

Etter at enheten er koblet til nettverket, kan du SSH til enheten som admin for å få tilgang til TSH, og kjør deretter følgende kommando for å sende SCEP-forespørselen for registrering: 

xCommand Security Certificates Services Enrollment SCEP-forespørsel

Når SCEP-serveren returnerer det signerte enhetssertifikatet, aktiverer du 802.1X.

Aktivere det signerte sertifikatet:

xCommand Sikkerhetssertifikater Tjenester Aktivere

Start enheten på nytt etter at du har aktivert sertifikatet.

Trådløs tilkobling

Når en enhet er koblet til et trådløst nettverk, må du kontrollere at den har tilgang til SCEP-serveren.

Etter at enheten er koblet til nettverket, kan du SSH til enheten som admin for å få tilgang til TSH, og kjør deretter følgende kommando for å sende SCEP-forespørselen for registrering: 

xCommand Security Certificates Services Enrollment SCEP-forespørsel

Enheten mottar det signerte sertifikatet fra SCEP-serveren.

Aktivere det signerte sertifikatet: 

xCommand Sikkerhetssertifikater Tjenester Aktivere

Etter aktivering må du konfigurere Wi-Fi-nettverket med EAP-TLS-autentisering. 

xCommand Network Wifi Konfigurer

Som standard hopper Wi-Fi-konfigurasjonen over servervalideringskontroller. Hvis bare enveisgodkjenning kreves, må du bruke AllowMissingCA som standard.

Hvis du vil fremtvinge servervalidering, kontrollerer du at den valgfrie parameteren AllowMissingCA er satt til False. Hvis en tilkobling ikke kan opprettes på grunn av tjenestevalideringsfeil, må du kontrollere at riktig sertifiseringsinstans er lagt til for å bekrefte serversertifikatet, som kan være forskjellig fra enhetssertifikatet.

API beskrivelser

Rolle: Administrator, integrator

xCommand Security Certificates Services Enrollment SCEP-forespørsel

Sender en CSR til en gitt SCEP-server for signering. CSR SubjectName-parametrene blir konstruert i følgende rekkefølge: C, ST, L, O, OUs, CN.

Parametere:

  • URL(r): <S: 0, 256>

    URL-adressen til SCEP-serveren.

  • Fingeravtrykk: <S: 0, 128>

    CA-sertifikat Fingeravtrykk som vil signere SCEP-forespørselen CSR.

  • CommonName(r): <S: 0, 64>

    Legger til "/CN=" i emnenavnet CSR.

  • ChallengePassword: <S: 0, 256>

    OTP eller delt hemmelighet fra SCEP-serveren for tilgang til signering.

  • Landnavn: <S: 0, 2>

    Legger til "/c=" i emnenavnet CSR.

  • StateOrProvinceName: <S: 0, 64>

    Legger til "/ST=" i emnenavnet CSR.

  • LocalityName: <S: 0, 64>

    Legger til "/l=" i emnenavnet CSR.

  • OrganizationName: <S: 0, 64>

    Legger til "/o=" i emnenavnet CSR.

  • Organisasjonsenhet[5]: <S: 0, 64>

    Legger til opptil 5 "/OU="-parametere til emnenavnet CSR.

  • SanDns[5]: <S: 0, 64>

    Legger opp til 5 DNS parametere til CSR Subject Alternative Name.

  • SanEmail[5]: <S: 0, 64>

    Legger til opptil 5 e-postparametere til CSR emnealternativt navn.

  • SanIp[5]: <S: 0, 64>

    Legger til opptil 5 IP-parametere i CSR Subject Alternative Name.

  • SanUri[5]: <S: 0, 64>

    Legger opp til 5 URI parametere til CSR Subject Alternative Name.

xCommand Sikkerhetssertifikater Tjenester Registreringsprofiler Slett

Sletter en registreringsprofil for ikke lenger å fornye sertifikater.

Parametere:

  • Fingeravtrykk: <S: 0, 128>

    CA-sertifikatets fingeravtrykk som identifiserer profilen du vil fjerne. Du kan se de tilgjengelige profilene du kan fjerne, ved å kjøre: 

    Liste over profiler for xCommand-sikkerhetssertifikater for tjenesteregistrering

Liste over profiler for xCommand-sikkerhetssertifikater for tjenesteregistrering

Lister Registreringsprofiler for sertifikatfornyelse.

 xCommand-sikkerhetssertifikater Registrering av tjenester SCEP-profilsett Fingeravtrykk(r): <S: 0, 128> URL(r): <S: 0, 256>

Legg til en registreringsprofil for sertifikater utstedt av CA-fingeravtrykket for å bruke den angitte SCEP-URL-adressen for fornyelse.

Fornyelse

 xCommand-sikkerhetssertifikater Registrering av tjenester SCEP-profilsett

For å kunne fornye sertifikatet automatisk, må enheten ha tilgang til SCEP-URL-adressen som kan trekke sertifikatet tilbake.

En gang daglig vil enheten se etter sertifikater som utløper med 45 dager. Enheten vil deretter forsøke å fornye dette sertifikatet hvis utstederen samsvarer med en profil.

MERK: Alle enhetssertifikater vil bli sjekket for fornyelse, selv om sertifikatet ikke opprinnelig ble registrert ved hjelp av SCEP.

Navigatør

  1. Direkte paret: Registrerte sertifikater kan aktiveres som "Paring"-sertifikat.

  2. Ekstern paring: Be navigatøren om å registrere et nytt SCEP-sertifikat ved hjelp av den eksterne enhetens ID:

    xCommand eksterne enheter Sikkerhetssertifikater Tjenesteregistrering SCEP-forespørsel 

    Påmeldingsprofiler synkroniseres automatisk til paret navigator.

  3. Frittstående navigator: Samme som kodekregistrering

Konfigurere 802.1x-godkjenning i romnavigatoren

Du kan konfigurere 802.1x-godkjenning direkte fra Romnavigatørens Innstillinger-meny.

802.1x-godkjenningsstandarden er spesielt viktig for Ethernet-nettverk, og den sikrer at bare autoriserte enheter får tilgang til nettverksressursene.

Ulike påloggingsalternativer er tilgjengelige basert på EAP-metoden som er konfigurert i nettverket ditt. Eksempel:

  • TLS: Brukernavn og passord brukes ikke.
  • PEAP: Sertifikater brukes ikke.
  • TTLS: Både brukernavn/passord og sertifikater kreves. Ingen av delene er valgfrie.

Det er flere måter å få klientsertifikatet på en enhet:

  1. Last opp PEM: Bruk funksjonen Legg til sikkerhetssertifikattjenester.
  2. Opprett CSR: Generer en forespørsel om sertifikatsignering (CSR), signer den og koble den til ved hjelp av sikkerhetssertifikater CSR Opprett/koble.
  3. SCEP: Bruk sikkerhetssertifikattjenester Registrering SCEP-forespørsel.
  4. DHCP Alternativ 43: Konfigurer sertifikatleveringen gjennom dette alternativet.

Oppsett og oppdatering av sertifikatene for 802.1x bør gjøres før paring av romnavigatøren til et system, eller etter at romnavigatøren er tilbakestilt til fabrikkstandard.

Standardlegitimasjonen er admin og tomt passord. Hvis du vil ha mer informasjon om hvordan du legger til sertifikater ved å gå til API, kan du se den nyeste versjonen av API veiledningen .

  1. Åpne kontrollpanelet på navigatoren ved å trykke på knappen øverst til høyre eller sveipe fra høyre side. Trykk deretter på Enhetsinnstillinger .
  2. Gå til Nettverkstilkobling og velg Ethernet .
  3. Veksle mellom Bruk IEEE 802.1X på.
    • Hvis godkjenning er konfigurert med legitimasjon, angir du brukeridentiteten og passordet. Du kan også angi en anonym identitet: Dette er et valgfritt felt som gjør det mulig å skille den faktiske brukerens identitet fra den første godkjenningsforespørselen.
    • Du kan slå TLS Bekreft av eller på. Når TLS verifisering er slått PÅ, verifiserer klienten aktivt ektheten til serverens sertifikat under TLS-håndtrykket. Når TLS verify er slått AV, utfører ikke klienten aktiv verifisering av serverens sertifikat.
    • Hvis du har lastet opp et klientsertifikat ved å åpne API, slår du på Bruk klientsertifikat .
    • Bytt metodene for Extensible Authentication Protocol (EAP) du vil bruke. Valget av EAP metoden avhenger av de spesifikke sikkerhetskravene, infrastrukturen og klientfunksjonene. EAP metoder er avgjørende for å aktivere sikker og autentisert nettverkstilgang.