Du kan legge til wifi-802.1X/802.1X- eller HTTPS-sertifikater til individuelle enheter og tilkoblede periferienheter.
Du kan legge til sertifikater fra enhetens lokale webgrensesnitt. Alternativt kan du legge til sertifikater ved å kjøre API-kommandoer. Hvis du vil se hvilke kommandoer du kan legge til sertifikater, kan du se roomos.cisco.com .
Tjenestesertifikater og klarerte sertifiseringsinstanser
Sertifikatvalidering kan være nødvendig ved bruk av TLS (Transport Layer Security). En server eller klient kan kreve at enheten presenterer et gyldig sertifikat for dem før kommunikasjon konfigureres.
Sertifikatene er tekstfiler som bekrefter autentisiteten til enheten. Disse sertifikatene må signeres av en klarert sertifiseringsinstans (CA). For å bekrefte signaturen til sertifikatene må det finnes en liste over klarerte sertifiseringsinstanser på enheten. Listen må inkludere alle sertifiseringsinstanser som er nødvendige for å verifisere sertifikater for både revisjonslogging og andre tilkoblinger.
Sertifikater brukes for følgende tjenester: HTTPS-server, SIP, IEEE 802.1X og overvåkingslogging. Du kan lagre flere sertifikater på enheten, men bare ett sertifikat er aktivert for hver tjeneste om gangen.
På RoomOS oktober 2023 og senere, når du legger til et CA-sertifikat i en enhet, brukes det også på en romnavigator hvis en er tilkoblet. Hvis du vil synkronisere de tidligere tillagte CA-sertifikatene til en tilkoblet romnavigator, må du starte enheten på nytt. Hvis du ikke vil at de eksterne enhetene skal få de samme sertifikatene som enheten den er koblet til, setter du konfigurasjonen Sikkerhetssertifikater for eksterne enheter SyncToPeripherals til False.
Tidligere lagrede sertifikater slettes ikke automatisk. Oppføringene i en ny fil med CA-sertifikater legges til i den eksisterende listen. |
For Wi-Fi-forbindelse
Vi anbefaler at du legger til et klarert sertifiseringsinstanssertifikat for hver enhet i Board-, Desk- eller Room-serien, hvis nettverket bruker WPA-EAP-godkjenning. Du må gjøre dette individuelt for hver enhet, og før du kobler til Wi-Fi.
Hvis du vil legge til sertifikater for Wi-Fi-tilkoblingen, trenger du følgende filer:
-
CA-sertifikatliste (filformat: .PEM)
-
Sertifikat (filformat: .PEM)
-
Privat nøkkel, enten som en egen fil eller inkludert i samme fil som sertifikatet (filformat: .PEM)
-
Passfrase (kreves bare hvis privatnøkkelen er kryptert)
Sertifikatet og den private nøkkelen lagres i samme fil på enheten. Hvis godkjenningen mislykkes, vil ikke tilkoblingen bli etablert.
Privat nøkkel og passfrase brukes ikke på tilkoblede periferienheter. |
Legg til sertifikater på enheter i Board-, Desk- og Room-serien
1 |
Fra kundevisningen i https://admin.webex.com går du til Enheter -siden og velger enheten din i listen. Gå til Støtte og start lokale enhetskontroller. Hvis du har konfigurert en lokal Administrator -bruker på enheten, kan du få tilgang til nettgrensesnittet direkte ved å åpne en nettleser og skrive inn http(s)://. |
2 |
Naviger til og last opp CA-rotsertifikatene dine. |
3 |
Generer en privat nøkkel og sertifikatforespørsel på openssl. Kopier innholdet i sertifikatforespørselen. Deretter limer du den inn for å be om serversertifikatet fra sertifiseringsinstansen (CA). |
4 |
Last ned serversertifikatet signert av CA. Kontroller at det er i .PEM-format. |
5 |
Naviger til og last opp privatnøkkelen og serversertifikatet. |
6 |
Aktiver tjenestene du vil bruke for sertifikatet du nettopp la til. |
SCEP (Simple Certificate Enrollment Protocol)
SCEP (Simple Certificate Enrollment Protocol) gir en automatisert mekanisme for registrering og oppdatering av sertifikater som brukes for eksempel til 802.1X-godkjenning på enheter. SCEP lar deg opprettholde enhetens tilgang til sikre nettverk uten manuell inngrep.
-
Når enheten er ny eller har blitt tilbakestilt til fabrikkinnstillinger, trenger den nettverkstilgang for å nå SCEP URL-adressen. Enheten må kobles til nettverket uten 802.1X for å få en IP-adresse.
-
Hvis du bruker en trådløs registrering-SSID, må du gå gjennom innføringsskjermene for å konfigurere tilkoblingen til nettverket.
-
Når du er koblet til klargjøringsnettverket, trenger ikke enheten å være på en bestemt innføringsskjerm på dette stadiet.
-
For å passe til alle distribusjoner, lagrer ikke xAPI-ene SCEP-registrering CA-sertifikatet som brukes til å signere enhetssertifikatet. For servergodkjenning må CA-sertifikatet som brukes til å validere serverens sertifikat, legges til med xCommand Security Certificates CA Add.
Forutsetninger
Du trenger følgende informasjon:
-
URL-adresse til SCEP-serveren.
-
Fingeravtrykk av CA-sertifikatet (Certificate Authority).
-
Informasjon om sertifikatet som skal registreres. Dette utgjør emnenavnet for sertifikatet.
-
Vanlig navn
-
Navn på land
-
Organisasjonsnavn
-
-
SCEP-serverens utfordringspassord hvis du har konfigurert SCEP-serveren til å håndheve en OTP eller delt hemmelighet.
Vi sender en sertifikatforespørsel som er gyldig i ett år for sertifikatutløp. Retningslinjene på serversiden kan endre utløpsdatoen under sertifikatsignering.
Ethernet-tilkobling
Når en enhet er koblet til et nettverk, må du sørge for at den har tilgang til SCEP-serveren. Enheten må kobles til et nettverk uten 802.1x for å få en IP-adresse. Det kan hende at enhetens MAC-adresse må oppgis til klargjøringsnettverket for å kunne hente en IP-adresse. MAC-adressen finnes på brukergrensesnittet eller på etiketten på baksiden av enheten.
xCommand Security Certificates Services Registrering SCEP-forespørsel
Når SCEP-serveren returnerer det signerte enhetssertifikatet, aktiverer du 802.1X og starter deretter enheten på nytt.
Aktiver xCommand-sikkerhetssertifikattjenester
Start enheten på nytt etter at sertifikatet er aktivert.
Trådløs tilkobling
Når en enhet er koblet til et trådløst nettverk, må du sørge for at den har tilgang til SCEP-serveren.
xCommand Security Certificates Services Registrering SCEP-forespørsel
Enheten mottar det signerte sertifikatet fra SCEP-serveren.
Aktiver det signerte sertifikatet:
Aktiver xCommand-sikkerhetssertifikattjenester
xCommand Network Wifi Configure
Som standard hopper Wi-Fi-konfigurasjonen over servervalideringskontroller. Hvis enveis godkjenning bare kreves, behold AllowMissingCA som standard til True.
Hvis du vil fremtvinge servervalidering, må du kontrollere at den valgfrie parameteren AllowMissingCA er satt til False. Hvis en tilkobling ikke kan opprettes på grunn av tjenestevalideringsfeil, må du kontrollere at riktig CA er lagt til for å bekrefte serversertifikatet, som kan være forskjellig fra enhetssertifikatet.
API-beskrivelser
Rolle: Administrator, integrator
xCommand Security Certificates Services Registrering SCEP-forespørsel
Ber om og laster ned et signert enhetssertifikat
Parametre:
-
URL(er): <S: 0, 128>
URL-adressen til SCEP-serveren som brukes til å registrere et sertifikat.
-
Fingeravtrykk (r): <S: 0, 128>
Den utstedende CAs fingeravtrykk som signerer X509-forespørselen.
-
ChallengePassword: <S: 0, 128>
Delt hemmelig passord angitt av SCEP-serveren.
-
Vanlig(e) navn(e): <S: 0, 128>
-
Navn på land: <S: 0, 128>
-
Organisasjonsnavn: <S: 0, 128>
-
SanDns[5]: <S: 0, 128>
-
SanEmail[5]: <S: 0, 128>
-
SanIp[5]: <S: 0, 128>
-
SanUri[5]: <S: 0, 128>
xCommand Security Certificates Services Enrolling SCEP Renewal Request
Opprett eller oppdater en automatisk fornyelsesprofil som gjelder for alle sertifikater utstedt av den angitte sertifiseringsinstansen før sertifikatene utløper
Parametre:
-
Fingeravtrykk (r): <S: 0, 128>
Den utstedende CAs fingeravtrykk som signerte sertifikatene.
-
URL(er): <S: 0, 128>
URL-adressen til SCEP-serveren som brukes til å fornye sertifikatene.
xCommand Security Certificates Services Enrolling SCEP Renewal Delete
Fjern den autoriserte profilen for den angitte sertifiseringsinstansen. Dette stopper sertifikatene som er signert av denne sertifiseringsinstansen, fra automatisk godkjenning
Parametre:
-
Fingeravtrykk (r): <S: 0, 128>
Den utstedende CAs fingeravtrykk å fjerne.
xCommand Security Certificates Services Enrolling SCEP Renewal List
Liste opp alle bilprofiler som brukes for øyeblikket.