Certyfikaty można dodawać z poziomu lokalnego interfejsu sieciowego urządzenia. Alternatywnie możesz dodać certyfikaty, uruchamiając polecenia API. Aby zobaczyć, które polecenia umożliwiają dodawanie certyfikatów, zobacz roomos.cisco.com .

Certyfikaty usług i zaufane urzędy certyfikacji

Walidacja certyfikatów może być wymagana w przypadku korzystania z TLS (Transport Layer Security). Serwer lub klient może wymagać, aby urządzenie przedstawiło mu ważny certyfikat przed nawiązaniem komunikacji.

Certyfikaty są plikami tekstowymi, które weryfikują autentyczność urządzenia. Certyfikaty te muszą być podpisane przez zaufany urząd certyfikacji (CA). Aby zweryfikować podpis certyfikatów, na urządzeniu musi znajdować się lista zaufanych urzędów certyfikacji. Lista musi zawierać wszystkie CA potrzebne do weryfikacji certyfikatów zarówno dla logowania audytowego jak i innych połączeń.

Certyfikaty są używane dla następujących usług: Serwer HTTPS, SIP, IEEE 802.1X oraz logowanie audytu. W urządzeniu można przechowywać kilka certyfikatów, ale w danym momencie dla każdej usługi jest włączony tylko jeden.

W systemie RoomOS od października 2023 r. po dodaniu certyfikatu CA do urządzenia zostanie on również zastosowany do Room Navigator (nawigatora pomieszczeń), jeśli jest on podłączony. Aby zsynchronizować wcześniej dodane certyfikaty CA z podłączonym Room Navigatorem, należy ponownie uruchomić urządzenie. Jeśli nie chcesz, aby urządzenia peryferyjne otrzymały te same certyfikaty, co urządzenie, do którego są podłączone, ustaw konfigurację Certyfikaty zabezpieczeń urządzeń peryferyjnych SyncToPeripherals na False.

Wcześniej zapisane certyfikaty nie są automatycznie usuwane. Wpisy w nowym pliku z certyfikatami CA są dołączane do istniejącej listy.

Dla połączenia Wi-Fi

Zalecamy dodanie zaufanego certyfikatu CA dla każdego urządzenia Board, Desk lub Room Series, jeśli w sieci używane jest uwierzytelnianie WPA-EAP. Musisz to zrobić indywidualnie dla każdego urządzenia i przed połączeniem z siecią Wi-Fi.

Aby dodać certyfikaty dla połączenia Wi-Fi, potrzebne są następujące pliki:

  • Lista certyfikatów CA (format pliku: .PEM)

  • Certyfikat (format pliku: .PEM)

  • Klucz prywatny, albo jako osobny plik, albo zawarty w tym samym pliku co certyfikat (format pliku: .PEM)

  • Hasło (wymagane tylko wtedy, gdy klucz prywatny jest zaszyfrowany)

Certyfikat i klucz prywatny są przechowywane w tym samym pliku na urządzeniu. Jeśli uwierzytelnienie nie powiedzie się, połączenie nie zostanie nawiązane.

Klucz prywatny i hasło nie są stosowane do podłączonych urządzeń peryferyjnych.

Dodaj certyfikaty na urządzeniach z serii Board, Desk i Room

1

Z widoku klienta w https://admin.webex.com przejdź do strony Urządzenia i wybierz swoje urządzenie z listy. Przejdź do Pomocy i uruchom Sterowanie urządzeniami lokalnymi .

Jeśli w urządzeniu skonfigurowano użytkownika lokalnego administratora, można uzyskać bezpośredni dostęp do interfejsu sieciowego, otwierając przeglądarkę internetową i wpisując http(s)://<punkt końcowy lub nazwa hosta>.

2

Przejdź do Zabezpieczenia > Certyfikaty > Własne > Dodaj certyfikat i załaduj certyfikat główny CA.

3

W openssl wygeneruj klucz prywatny i żądanie certyfikatu. Skopiuj treść żądania certyfikatu. Następnie wklej ją, aby zażądać certyfikatu serwera od swojego urzędu certyfikacji (CA).

4

Pobierz certyfikat serwera podpisany przez Twój CA. Upewnij się, że jest w formacie .PEM.

5

Przejdź do Zabezpieczenia > Certyfikaty > Usługi > Dodaj certyfikat i załaduj klucz prywatny oraz certyfikat serwera.

6

Włącz usługi, których chcesz użyć dla certyfikatu, który właśnie dodałeś.

Wygeneruj żądanie podpisania certyfikatu (CSR)

Administratorzy muszą wygenerować żądanie podpisania certyfikatu (CSR) z Centrum sterowania dla urządzenia Board, Desk lub Room Series zarejestrowanego w chmurze.

Aby wygenerować CSR i przesłać podpisany certyfikat na swoje urządzenie, wykonaj następujące kroki:

  1. Z widoku klienta w Control Hub przejdź do strony Urządzenia i wybierz swoje urządzenie z listy.
  2. Przejdź do opcji Akcje > Uruchom xCommand > Zabezpieczenia > Certyfikaty > CSR > Utwórz.
  3. Wprowadź wymagane szczegóły certyfikatu i wybierz opcję Wykonaj.
  4. Skopiuj cały tekst pomiędzy ----BEGIN CERTIFICATE REQUEST---- i ----END CERTIFICATE REQUEST----.
  5. Użyj wybranego przez siebie tagu Certificate Authority (CA), aby podpisać CSR.
  6. Eksportuj podpisany certyfikat w formacie PEM (zakodowanym w standardzie Base64).
  7. Otwórz podpisany plik certyfikatu w edytorze tekstu (np. Notatniku) i skopiuj cały tekst pomiędzy ----BEGIN CERTIFICATE---- oraz ----END CERTIFICATE----.
  8. W Control Hub przejdź do Urządzenia > wybierz swoje urządzenie > Akcje > Uruchom xCommand > Zabezpieczenia > Certyfikaty > CSR > Łącze.
  9. Wklej skopiowaną zawartość certyfikatu do sekcji Treść i wybierz opcję Wykonaj.
  10. Odśwież stronę, aby sprawdzić, czy certyfikat jest widoczny w obszarze Istniejący certyfikat.

Prosty protokół rejestracji certyfikatów (SCEP)

Protokół SCEP (Simple Certificate Enrollment Protocol) zapewnia zautomatyzowany mechanizm rejestracji i odświeżania certyfikatów, które są używane na przykład do uwierzytelniania 802.1X na urządzeniach. SCEP umożliwia utrzymanie dostępu urządzenia do bezpiecznych sieci bez konieczności ręcznej interwencji.

  • Jeśli urządzenie jest nowe lub zostało przywrócone do ustawień fabrycznych, wymaga dostępu do sieci, aby uzyskać dostęp do adresu URL SCEP. Urządzenie należy podłączyć do sieci bez użycia protokołu 802.1X, aby uzyskać adres IP.

  • Jeśli używasz rejestracji bezprzewodowej SSID, przejdź przez ekrany wprowadzające, aby skonfigurować połączenie z siecią.

  • Po połączeniu z siecią provisioningową urządzenie nie musi wyświetlać żadnego konkretnego ekranu powitalnego.

  • Aby dopasować się do wszystkich wdrożeń, interfejsy xAPI usługi SCEP Enrollment nie będą przechowywać certyfikatu urzędu certyfikacji używanego do podpisywania certyfikatu urządzenia. W przypadku uwierzytelniania serwera należy dodać certyfikat CA używany do weryfikacji certyfikatu serwera za pomocą polecenia xCommand Security Certificates CA Add.

Wymagania wstępne

Potrzebne są następujące informacje:

  • Adres URL serwera SCEP.

  • Odcisk palca podpisującego certyfikatu CA (Certificate Authority).

  • Informacje o certyfikacie, który należy zarejestrować. Stanowi to Nazwę podmiotu certyfikatu.

    • Nazwa pospolita

    • Nazwa kraju

    • Nazwa stanu lub prowincji

    • Nazwa miejscowości

    • Nazwa organizacji

    • Jednostka organizacyjna

  • Nazwa podmiotu będzie uporządkowana następująco: /C= /ST= /L= /O= /OU= /CN=

  • Hasło wyzwania serwera SCEP, jeśli skonfigurowano serwer SCEP tak, aby wymuszał użycie hasła jednorazowego lub współdzielonego hasła.

Wymagany rozmiar klucza dla pary kluczy żądania certyfikatu można ustawić za pomocą następującego polecenia. Wartość domyślna: 2048.

 xKlucz rejestracyjny zabezpieczeń konfiguracjiRozmiar: <2048, 3072, 4096>

Wysyłamy prośbę o certyfikat, który jest ważny przez rok i wygasa po upływie terminu ważności. Polityka po stronie serwera może zmienić datę wygaśnięcia podczas podpisywania certyfikatu.

Połączenie Ethernetowe

Po podłączeniu urządzenia do sieci upewnij się, że ma ono dostęp do serwera SCEP. Urządzenie należy podłączyć do sieci bez protokołu 802.1x, aby uzyskać adres IP. Aby uzyskać adres IP, konieczne może być podanie adresu MAC urządzenia w sieci provisioningowej. Adres MAC można znaleźć w interfejsie użytkownika lub na etykiecie z tyłu urządzenia.

Po podłączeniu urządzenia do sieci można nawiązać połączenie SSH z urządzeniem, administracja aby uzyskać dostęp do TSH, uruchom następujące polecenie, aby wysłać żądanie rejestracji SCEP: 

Rejestracja usług certyfikatów zabezpieczeń xCommand Żądanie SCEP

Gdy serwer SCEP zwróci podpisany certyfikat urządzenia, należy aktywować protokół 802.1X.

Aktywuj podpisany certyfikat:

Aktywuj usługi certyfikatów bezpieczeństwa xCommand

Po aktywowaniu certyfikatu uruchom ponownie urządzenie.

Połączenie bezprzewodowe

Jeśli urządzenie jest podłączone do sieci bezprzewodowej, upewnij się, że ma ono dostęp do serwera SCEP.

Po podłączeniu urządzenia do sieci można nawiązać połączenie SSH z urządzeniem, administracja aby uzyskać dostęp do TSH, uruchom następujące polecenie, aby wysłać żądanie rejestracji SCEP: 

Rejestracja usług certyfikatów zabezpieczeń xCommand Żądanie SCEP

Urządzenie otrzymuje podpisany certyfikat od serwera SCEP.

Aktywuj podpisany certyfikat: 

Aktywuj usługi certyfikatów bezpieczeństwa xCommand

Po aktywacji należy skonfigurować sieć Wi-Fi z uwierzytelnianiem EAP-TLS. 

Konfiguracja sieci Wi-Fi xCommand

Domyślnie konfiguracja Wi-Fi pomija sprawdzanie poprawności serwera. Jeżeli wymagane jest tylko uwierzytelnianie jednokierunkowe, należy zachować Zezwalaj na brakująceCA domyślnie PRAWDA.

Aby wymusić walidację serwera, upewnij się, że Zezwalaj na brakująceCA opcjonalny parametr jest ustawiony na FAŁSZ. Jeśli nie można nawiązać połączenia z powodu błędów walidacji usługi, sprawdź, czy dodano prawidłowy urząd certyfikacji w celu weryfikacji certyfikatu serwera. Może on być inny niż certyfikat urządzenia.

API opisy

Rola: Administrator, Integrator

Rejestracja usług certyfikatów zabezpieczeń xCommand Żądanie SCEP

Wysyła sygnał CSR do danego serwera SCEP w celu podpisania. Parametry SubjectName CSR zostaną skonstruowane w następującej kolejności: C, ST, L, O, OU, CN.

Parametry:

  • Adres URL(r): <S: 0, 256>

    Adres URL serwera SCEP.

  • Odcisk palca(r): <S: 0, 128>

    Odcisk certyfikatu CA, który podpisze żądanie SCEP CSR.

  • Nazwa pospolita(r): <S: 0, 64>

    Dodaje „/CN=” do nazwy podmiotu CSR.

  • Hasło wyzwania: <S: 0, 256>

    OTP lub Shared Secret z serwera SCEP w celu uzyskania dostępu do podpisu.

  • NazwaKraju: <S: 0, 2>

    Dodaje „/C=" do nazwy podmiotu CSR.

  • Nazwa stanu lub prowincji: <S: 0, 64>

    Dodaje „/ST=” do nazwy podmiotu CSR.

  • Nazwa lokalizacji: <S: 0, 64>

    Dodaje „/L=” do nazwy podmiotu CSR.

  • Nazwa organizacji: <S: 0, 64>

    Dodaje „/O=” do nazwy podmiotu CSR.

  • Jednostka organizacyjna[5]: <S: 0, 64>

    Dodaje do 5 parametrów „/OU=” do nazwy podmiotu CSR.

  • SanDns[5]: <S: 0, 64>

    Dodaje do 5 parametrów DNS do alternatywnej nazwy podmiotu CSR.

  • SanEmail[5]: <S: 0, 64>

    Dodaje do 5 parametrów e-mail do alternatywnej nazwy podmiotu CSR.

  • SanIp[5]: <S: 0, 64>

    Dodaje do 5 parametrów IP do alternatywnej nazwy podmiotu CSR.

  • SanUri[5]: <S: 0, 64>

    Dodaje do 5 parametrów URI do alternatywnej nazwy podmiotu CSR.

xCommand Security Certificates Services Rejestracja Profile Usuń

Usuwa profil rejestracji, aby nie odnawiać już certyfikatów.

Parametry:

  • Odcisk palca(r): <S: 0, 128>

    Odcisk palca certyfikatu CA identyfikujący profil, który chcesz usunąć. Możesz zobaczyć dostępne profile do usunięcia, uruchamiając: 

    Lista profili rejestracji usług certyfikatów zabezpieczeń xCommand

Lista profili rejestracji usług certyfikatów zabezpieczeń xCommand

Wyświetla profile rejestracyjne na potrzeby odnowienia certyfikatu.

 Rejestracja usług certyfikatów zabezpieczeń xCommand Profile SCEP Ustaw odcisk palca(r): <S: 0, 128> URL(r): <S: 0, 256>

Dodaj profil rejestracji dla certyfikatów wydanych przez odcisk palca CA, aby używać podanego adresu URL SCEP do odnawiania.

Odnowienie

 Zestaw profili SCEP rejestracji certyfikatów zabezpieczeń xCommand

Aby automatycznie odnowić certyfikat, urządzenie musi mieć dostęp do adresu URL SCEP, za pomocą którego można podpisać certyfikat.

Urządzenie raz dziennie będzie sprawdzać, czy istnieją certyfikaty, które wygasają za 45 dni. Urządzenie podejmie następnie próbę odnowienia certyfikatów, jeśli ich wystawca będzie odpowiadał profilowi.

UWAGA: Wszystkie certyfikaty urządzeń zostaną sprawdzone pod kątem odnowienia, nawet jeśli certyfikat nie został pierwotnie zarejestrowany przy użyciu protokołu SCEP.

Nawigator

  1. Bezpośrednio sparowane: Zarejestrowane certyfikaty można aktywować jako certyfikaty „parujące”.

  2. Zdalne sparowanie: Poleć nawigatorowi zarejestrowanie nowego certyfikatu SCEP przy użyciu identyfikatora urządzenia peryferyjnego:

    Certyfikaty bezpieczeństwa urządzeń peryferyjnych xCommand Rejestracja usług Żądanie SCEP 

    Profile rejestracyjne są automatycznie synchronizowane ze sparowanym nawigatorem.

  3. Samodzielny nawigator: taki sam jak rejestracja kodeka

Konfigurowanie uwierzytelniania 802.1x w Room Navigator

Uwierzytelnianie 802.1x możesz skonfigurować bezpośrednio w menu Ustawienia Room Navigator.

Standard uwierzytelniania 802.1x jest szczególnie istotny w przypadku sieci Ethernet, ponieważ gwarantuje, że dostęp do zasobów sieciowych będą miały wyłącznie autoryzowane urządzenia.

W zależności od metody EAP skonfigurowanej w Twojej sieci, dostępne są różne opcje logowania. Na przykład:

  • TLS: Nazwa użytkownika i hasło nie są używane.
  • PEAP: Certyfikaty nie są używane.
  • TTLS: Nazwa użytkownika, hasło i certyfikaty są wymagane; żadne z nich nie jest opcjonalne.

Istnieje kilka sposobów uzyskania certyfikatu klienta na urządzeniu:

  1. Prześlij plik PEM: Skorzystaj z funkcji Dodaj usługi certyfikatów bezpieczeństwa.
  2. Utwórz CSR: Wygeneruj żądanie podpisania certyfikatu (CSR), podpisz je i powiąż za pomocą certyfikatów bezpieczeństwa CSR Utwórz/Powiąż.
  3. SCEP: Wykorzystaj żądanie SCEP dotyczące rejestracji usług certyfikatów bezpieczeństwa.
  4. DHCP Opcja 43: Skonfiguruj dostarczanie certyfikatu za pomocą tej opcji.

Należy skonfigurować i zaktualizować certyfikaty dla standardu 802.1x przed parowaniem Room Navigator do systemu lub po przywróceniu ustawień fabrycznych Room Navigator.

Domyślne dane logowania to admin i puste hasło. Aby uzyskać więcej informacji na temat dodawania certyfikatów poprzez dostęp do API, zobacz najnowsza wersja przewodnika API .

  1. Otwórz panel sterowania w urządzeniu Navigator, dotykając przycisku w prawym górnym rogu lub przesuwając palcem od prawej strony. Następnie stuknij Ustawienia urządzenia .
  2. Idź do Połączenie sieciowe i wybierz Sieć Ethernetowa .
  3. Włącz opcję Użyj standardu IEEE 802.1X.
    • Jeśli uwierzytelnianie jest skonfigurowane za pomocą danych uwierzytelniających, wprowadź tożsamość użytkownika i hasło. Możesz również wprowadzić anonimową tożsamość: jest to pole opcjonalne, które umożliwia oddzielenie rzeczywistej tożsamości użytkownika od początkowego żądania uwierzytelnienia.
    • Możesz przełączać TLS Zweryfikuj wyłączony lub włączony. Gdy weryfikacja TLS jest włączona, klient aktywnie weryfikuje autentyczność certyfikatu serwera podczas uzgadniania TLS. Gdy opcja TLS verify jest WYŁĄCZONA, klient nie wykonuje aktywnej weryfikacji certyfikatu serwera.
    • Jeśli przesłałeś certyfikat klienta, uzyskując dostęp do API, przełącz Użyj certyfikatu klienta NA.
    • Przełącz Rozszerzalny protokół uwierzytelniania (EAP) metody, których chcesz użyć. Wybór metody EAP zależy od konkretnych wymagań bezpieczeństwa, infrastruktury i możliwości klienta. Metody EAP mają kluczowe znaczenie dla zapewnienia bezpiecznego i uwierzytelnionego dostępu do sieci.