Du kan legge til sertifikater fra enhetens lokale webgrensesnitt. Du kan også legge til sertifikater ved å kjøre API kommandoer. Hvis du vil se hvilke kommandoer som lar deg legge til sertifikater, kan du se roomos.cisco.com .

Servicesertifikater og klarerte sertifiseringsinstanser

Sertifikatsertifisering kan være påkrevet ved bruk av TLS (Transport Layer Security). En server eller klient kan kreve at enheten viser et gyldig sertifikat før kommunikasjonen er konfigurert.

Sertifikatene er tekstfiler som verifiserer ektheten til enheten. Disse sertifikatene må signeres av en klarert CA. Hvis du vil bekrefte signaturen til sertifikatene, må en liste over klarerte sertifiseringsinstanser ligge på enheten. Listen må inkludere alle CA-er som kreves for å bekrefte sertifikater for både overvåkingslogging og andre tilkoblinger.

Sertifikater brukes for følgende tjenester: HTTPS-server, SIP, IEEE 802.1 X og overvåkingslogging. Du kan lagre flere sertifikater på enheten, men bare ett sertifikat er aktivert for hver tjeneste om gangen.

På RoomOS oktober 2023 og senere, når du legger til et CA-sertifikat på en enhet, brukes det også på en romnavigator hvis en er tilkoblet. Hvis du vil synkronisere CA-sertifikatene som tidligere er lagt til, til en tilkoblet romnavigator, må du starte enheten på nytt. Hvis du ikke vil at de eksterne enhetene skal få de samme sertifikatene som enheten de er koblet til, setter du konfigurasjonen Eksterne sikkerhetssertifikater SyncToPeripherals til False.


Tidligere lagrede sertifikater slettes ikke automatisk. Oppføringene i en ny fil med CA-sertifikater legges til i den eksisterende listen.

For Wi-Fi tilkobling

Vi anbefaler at du legger til et klarert CA-sertifikat for hver kort-, bord- eller romserieenhet hvis nettverket ditt bruker WPA-EAP-godkjenning. Du må gjøre dette individuelt for hver enhet, og før du kobler til Wi-Fi.

Hvis du vil legge til sertifikater for Wi-Fi-tilkoblingen, trenger du følgende filer:

  • CA-sertifikatliste (filformat: .PEM)

  • Sertifikat (filformat: .PEM)

  • Privat nøkkel, enten som en egen fil eller inkludert i samme fil som sertifikatet (filformat: .PEM)

  • Passfrase (kreves bare hvis privatnøkkelen er kryptert)

Sertifikatet og den private nøkkelen er lagret i den samme filen på enheten. Hvis godkjenningen mislykkes, vil ikke tilkoblingen bli etablert.


Privatnøkkel og passord brukes ikke på tilkoblede eksterne enheter.

Legge til sertifikater på enheter i Board, Desk, og Room Series

1

Fra kundevisningen i https://admin.webex.com går du til Enheter-siden og velger enheten din i listen. Gå til Support og start Local Device Controls .

Hvis du har konfigurert en lokal administratorbruker på enheten, kan du få tilgang til webgrensesnittet direkte ved å åpne en nettleser og skrive inn https://<endpoint ip eller vertsnavn>.

2

Naviger til Sikkerhet > Sertifikater > Egendefinert > Legg til sertifikat og last opp CA-rotsertifikatene dine.

3

Generer en privat nøkkel og sertifikatforespørsel på OpenSSL. Kopier innholdet i sertifikatforespørselen. Deretter limer du den inn for å be om serversertifikatet fra sertifiseringsinstansen (CA).

4

Last ned serversertifikatet signert av sertifiseringsinstansen. Kontroller at det er i . PEM-format.

5

Naviger til Sikkerhet > Sertifikater > Tjenester > Legg til sertifikat og last opp privatnøkkelen og serversertifikatet.

6

Aktiver tjenestene du vil bruke for sertifikatet du nettopp la til.

SCEP (Simple Certificate Enrollment Protocol)

SCEP (Simple Certificate Enrollment Protocol) gir en automatisert mekanisme for registrering og oppdatering av sertifikater som brukes til for eksempel 802.1X-godkjenning på enheter. SCEP lar deg opprettholde enhetens tilgang til sikre nettverk uten manuell inngripen.

  • Når enheten er ny eller har blitt tilbakestilt til fabrikkstandard, trenger den nettverkstilgang for å nå SCEP-URL-adressen. Enheten må være koblet til nettverket uten 802.1X for å få en IP adresse.

  • Hvis du bruker en trådløs registrering SSID, må du gå gjennom onboarding-skjermene for å konfigurere tilkoblingen til nettverket.

  • Når du er koblet til klargjøringsnettverket, trenger ikke enheten å være på en bestemt oppstartsskjerm på dette stadiet.

  • For å passe alle distribusjoner lagrer ikke xAPI-ene for SCEP-registrering CA-sertifikatet som brukes til å signere enhetssertifikatet. For servergodkjenning må CA-sertifikatet som brukes til å validere serverens sertifikat, legges til med xCommand Security Certificates CA Add.

Forutsetninger

Du trenger følgende informasjon:

  • URL-adressen til SCEP-serveren.

  • Fingeravtrykk av det signerende CA-sertifikatet (Certificate Authority).

  • Informasjon om sertifikatet som skal registreres. Dette utgjør sertifikatets emnenavn .

    • Vanlig navn

    • Navn på land

    • Organisasjonsnavn

  • SCEP Servers utfordringspassord hvis du har konfigurert SCEP-serveren til å håndheve en OTP eller delt hemmelighet.

Vi sender en sertifikatforespørsel som er gyldig i ett år for sertifikatets utløp. Policyen på serversiden kan endre utløpsdatoen under sertifikatsignering.

Ethernet-tilkobling

Når en enhet er koblet til et nettverk, må du kontrollere at den har tilgang til SCEP-serveren. Enheten må være koblet til et nettverk uten 802.1x for å få en IP adresse. Det kan være nødvendig å oppgi enhetens MAC adresse til klargjøringsnettverket for å få en IP adresse. Du finner MAC adressen på brukergrensesnittet eller etiketten på baksiden av enheten.

Etter at enheten er koblet til nettverket, kan du SSH til enheten som admin for å få tilgang til TSH, og kjør deretter følgende kommando for å sende SCEP-forespørselen for registrering: 
xCommand Security Certificates Services Enrollment SCEP-forespørsel

Når SCEP-serveren returnerer det signerte enhetssertifikatet, aktiverer du 802.1X og starter deretter enheten på nytt.

Aktivere det signerte sertifikatet:
xCommand Sikkerhetssertifikater Tjenester Aktivere

Start enheten på nytt etter at du har aktivert sertifikatet.

Trådløs tilkobling

Når en enhet er koblet til et trådløst nettverk, må du kontrollere at den har tilgang til SCEP-serveren.

Etter at enheten er koblet til nettverket, kan du SSH til enheten som admin for å få tilgang til TSH, og kjør deretter følgende kommando for å sende SCEP-forespørselen for registrering: 
xCommand Security Certificates Services Enrollment SCEP-forespørsel

Enheten mottar det signerte sertifikatet fra SCEP-serveren.

Aktivere det signerte sertifikatet: 

xCommand Sikkerhetssertifikater Tjenester Aktivere
Etter aktivering må du konfigurere det Wi-Fi nettverket med EAP-TLS autentisering. 
xCommand Network Wifi Konfigurer

Som standard hopper Wi-Fi-konfigurasjonen over servervalideringskontroller. Hvis bare enveisgodkjenning kreves, må du bruke AllowMissingCA som standard.

Hvis du vil fremtvinge servervalidering, kontrollerer du at den valgfrie parameteren AllowMissingCA er satt til False. Hvis en tilkobling ikke kan opprettes på grunn av tjenestevalideringsfeil, må du kontrollere at riktig sertifiseringsinstans er lagt til for å bekrefte serversertifikatet, som kan være forskjellig fra enhetssertifikatet.

API beskrivelser

Rolle: Administrator, integrator

xCommand Security Certificates Services Enrollment SCEP-forespørsel

Ber om og laster ned et signert enhetssertifikat

Parametere:

  • URL (r): <S: 0, 128>

    URL-adressen til SCEP-serveren som brukes til å registrere et sertifikat.

  • Fingeravtrykk (r): <S: 0, 128>

    Den utstedende CAs fingeravtrykk som vil signere X509-forespørselen.

  • Utfordringspassord: <S: 0, 128>

    Delt hemmelig passord angitt av SCEP-serveren.

  • Fellesnavn(r): <S: 0, 128>

  • Landnavn: <S: 0, 128>

  • Organisasjonsnavn: <S: 0, 128>

  • SanDns[5]: <S: 0, 128>

  • SanEmail[5]: <S: 0, 128>

  • SanIp[5]: <S: 0, 128>

  • SanUri[5]: <S: 0, 128>

xCommand sikkerhetssertifikater Tjenester Registrering SCEP Forespørsel om fornyelse

Opprett eller oppdater en profil for automatisk fornyelse som brukes på alle sertifikater som utstedes av den angitte sertifiseringsinstansen før sertifikatene utløper

Parametere:

  • Fingeravtrykk: <S: 0, 128>

    Den utstedende CAs fingeravtrykk som signerte sertifikatene.

  • URL (r): <S: 0, 128>

    URL-adressen til SCEP-serveren som brukes til å fornye sertifikatene. 

xCommand-sikkerhetssertifikater Registrering av tjenester SCEP-fornyelse Slett

Fjern profilen for den automatisk fornyede sertifiseringsinstansen. Dette hindrer automatisk fornyelse av sertifikatene som er signert av denne sertifiseringsinstansen

Parametere:

  • Fingeravtrykk: <S: 0, 128>

    Den utstedende CAs fingeravtrykk for å fjerne.

xCommand-sikkerhetssertifikater Registrering av tjenester Liste over SCEP-fornyelser

Liste over alle profiler som brukes for øyeblikket automatisk.