Możesz dodać certyfikaty z lokalnego interfejsu internetowego urządzenia. Alternatywnie możesz dodać certyfikaty, uruchamiając polecenia API. Aby zobaczyć, które polecenia umożliwiają dodawanie certyfikatów, odwiedź stronę roomos.cisco.com .

Certyfikaty usług i zaufane urzędy certyfikacji

Weryfikacja certyfikatu może być wymagana podczas korzystania z TLS (Transport Layer Security). Serwer lub klient może wymagać, aby urządzenie przedstawiło im ważny certyfikat przed nawiązaniem komunikacji.

Certyfikaty to pliki tekstowe, które weryfikują autentyczność urządzenia. Te certyfikaty muszą być podpisane przez zaufany urząd certyfikacji (CA). Aby zweryfikować podpis certyfikatów, na urządzeniu musi znajdować się lista zaufanych urzędów certyfikacji. Lista musi zawierać wszystkie urzędy certyfikacji potrzebne do weryfikacji certyfikatów zarówno dla rejestrowania audytu, jak i innych połączeń.

Certyfikaty są wykorzystywane do następujących usług: Serwer HTTPS, SIP, IEEE 802.1X i rejestrowanie audytu. Na urządzeniu można przechowywać kilka certyfikatów, ale tylko jeden certyfikat jest włączony dla każdej usługi naraz.

W systemie RoomOS w październiku 2023 r. i później, po dodaniu certyfikatu urzędu certyfikacji do urządzenia, jest on również stosowany do urządzenia Room Navigator, jeśli jest podłączony. Aby zsynchronizować wcześniej dodane certyfikaty urzędu certyfikacji z połączonym urządzeniem Room Navigator, należy ponownie uruchomić urządzenie. Jeśli nie chcesz, aby urządzenia peryferyjne otrzymywały te same certyfikaty, co urządzenie, do którego jest podłączone, ustaw opcję Certyfikaty zabezpieczeń urządzeń peryferyjnych SyncToPeripherals na False.


Zapisane wcześniej certyfikaty nie są automatycznie usuwane. Wpisy w nowym pliku z certyfikatami CA są dołączane do istniejącej listy.

Dla połączenia Wi-Fi

Zalecamy dodanie zaufanego certyfikatu CA dla każdego urządzenia z serii Board, Desk lub Room, jeśli sieć korzysta z uwierzytelniania WPA-EAP. Musisz to zrobić indywidualnie dla każdego urządzenia i przed połączeniem się z Wi-Fi.

Aby dodać certyfikaty dla połączenia Wi-Fi, potrzebujesz następujących plików:

  • Lista certyfikatów CA (format pliku: .PEM)

  • Certyfikat (format pliku: .PEM)

  • Klucz prywatny, albo jako oddzielny plik, albo zawarty w tym samym pliku co certyfikat (format pliku: .PEM)

  • Hasło (wymagane tylko, jeśli klucz prywatny jest zaszyfrowany)

Certyfikat i klucz prywatny są przechowywane w tym samym pliku na urządzeniu. Jeśli uwierzytelnianie się nie powiedzie, połączenie nie zostanie nawiązane.


Klucz prywatny i hasło nie są stosowane do podłączonych urządzeń peryferyjnych.

Dodawanie certyfikatów w urządzeniach z serii Board, Desk i Room

1

W widoku klienta w https://admin.webex.com przejdź do strony Urządzenia i wybierz swoje urządzenie z listy. Przejdź do strony Pomoc techniczna i uruchom Sterowanie urządzeniem lokalnym.

Jeśli w urządzeniu skonfigurowano lokalnego użytkownika Admin , dostęp do interfejsu internetowego można uzyskać bezpośrednio, otwierając przeglądarkę internetową i wpisując http(s)://.

2

Przejdź do Zabezpieczenia > Certyfikaty > Niestandardowe > Dodaj certyfikat i prześlij certyfikaty główne CA.

3

Na openssl wygeneruj żądanie klucza prywatnego i certyfikatu. Skopiuj treść żądania certyfikatu. Następnie wklej go, aby zażądać certyfikatu serwera od urzędu certyfikacji (CA).

4

Pobierz certyfikat serwera podpisany przez CA. Upewnij się, że jest w formacie .PEM.

5

Przejdź do Zabezpieczenia > Certyfikaty > Usługi > Dodaj certyfikat i prześlij klucz prywatny oraz certyfikat serwera.

6

Włącz usługi, których chcesz użyć w odniesieniu do właśnie dodanego certyfikatu.

Protokół SCEP (Simple Certificate Enrollment Protocol)

Protokół SCEP (Simple Certificate Enrollment Protocol) zapewnia zautomatyzowany mechanizm rejestrowania i odświeżania certyfikatów, które są używane na przykład do uwierzytelniania 802.1X na urządzeniach. Protokół SCEP umożliwia utrzymanie dostępu urządzenia do bezpiecznych sieci bez ręcznej interwencji.

  • Gdy urządzenie jest nowe lub zostało zresetowane do ustawień fabrycznych, w celu uzyskania adresu URL SCEP urządzenie wymaga dostępu do sieci. Aby uzyskać adres IP, urządzenie powinno być podłączone do sieci bez 802.1X.

  • W przypadku korzystania z identyfikatora SSID rejestracji w sieci bezprzewodowej należy przejść przez ekrany wdrażania, aby skonfigurować połączenie z siecią.

  • Po podłączeniu do sieci obsługi administracyjnej urządzenie nie musi być na tym etapie wyświetlane na określonym ekranie wdrażania.

  • Aby pasować do wszystkich wdrożeń, interfejsy xAPI rejestracji protokołu SCEP nie będą przechowywać certyfikatu urzędu certyfikacji używanego do podpisywania certyfikatu urządzenia. W przypadku uwierzytelniania serwera certyfikat urzędu certyfikacji używany do sprawdzania poprawności certyfikatu serwera musi zostać dodany za pomocą xCommand Security Certificates CA Add.

Wymagania wstępne

Potrzebne są następujące informacje:

  • Adres URL serwera protokołu SCEP.

  • Odcisk palca certyfikatu urzędu certyfikacji podpisującego.

  • Informacje o certyfikacie, które należy zarejestrować. Powoduje to utworzenie nazwy tematu certyfikatu.

    • Nazwa pospolita

    • Nazwa kraju

    • Nazwa organizacji

  • Hasło wyzwania serwera SCEP, jeśli serwer SCEP został skonfigurowany do wymuszania kodu jednorazowego lub klucza współdzielonego.

W celu wygaśnięcia certyfikatu wysyłamy żądanie certyfikatu ważne przez jeden rok. Zasady po stronie serwera mogą zmienić datę wygaśnięcia podczas podpisywania certyfikatu.

Połączenie Ethernet

Gdy urządzenie jest podłączone do sieci, upewnij się, że ma dostęp do serwera protokołu SCEP. Aby uzyskać adres IP, urządzenie powinno być podłączone do sieci bez 802.1x Aby uzyskać adres IP, może być konieczne podanie adresu MAC urządzenia do sieci obsługi administracyjnej. Adres MAC można znaleźć w interfejsie użytkownika lub na etykiecie z tyłu urządzenia.

Po podłączeniu urządzenia do sieci możesz wysłać do urządzenia SSH jako administrator , aby uzyskać dostęp do TSH, a następnie uruchomić następujące polecenie, aby wysłać żądanie SCEP rejestracji: 
Żądanie protokołu SCEP dotyczące usług certyfikatów bezpieczeństwa xCommand

Po otrzymaniu podpisanego certyfikatu urządzenia przez serwer SCEP należy aktywować urządzenie 802.1X, a następnie ponownie uruchomić urządzenie.

Aktywuj podpisany certyfikat:
Włącz usługi certyfikatów bezpieczeństwa xCommand

Po aktywacji certyfikatu uruchom ponownie urządzenie.

Połączenie bezprzewodowe

Gdy urządzenie jest podłączone do sieci bezprzewodowej, upewnij się, że ma dostęp do serwera protokołu SCEP.

Po podłączeniu urządzenia do sieci możesz wysłać do urządzenia SSH jako administrator , aby uzyskać dostęp do TSH, a następnie uruchomić następujące polecenie, aby wysłać żądanie SCEP rejestracji: 
Żądanie protokołu SCEP dotyczące usług certyfikatów bezpieczeństwa xCommand

Urządzenie odbiera podpisany certyfikat z serwera protokołu SCEP.

Aktywuj podpisany certyfikat: 

Włącz usługi certyfikatów bezpieczeństwa xCommand
Po aktywacji należy skonfigurować sieć Wi-Fi z uwierzytelnianiem EAP-TLS. 
Konfigurowanie sieci Wi-Fi xCommand

Domyślnie konfiguracja sieci Wi-Fi pomija sprawdzanie poprawności serwera. Jeśli wymagane jest tylko uwierzytelnianie jednokierunkowe, zachowaj wartość AllowMissingCA na True.

Aby wymusić weryfikację serwera, upewnij się, że opcjonalny parametr AllowMissingCA jest ustawiony na False. Jeśli nie można nawiązać połączenia z powodu błędów sprawdzania poprawności usługi, sprawdź, czy dodano poprawny urząd certyfikacji, aby zweryfikować certyfikat serwera, który może być inny niż certyfikat urządzenia.

Opisy API

Rola: Administrator, integrator

Żądanie protokołu SCEP dotyczące usług certyfikatów bezpieczeństwa xCommand

Żąda i pobiera podpisany certyfikat urządzenia

Parametry:

  • Adres URL (r): <S: 0, 128>

    Adres URL serwera protokołu SCEP używany do rejestrowania certyfikatu.

  • Odcisk palca (r): <S: 0, 128>

    Odcisk palca wystawiającego urząd certyfikacji, który podpisze żądanie X509.

  • Hasło wyzwania: <S: 0, 128>

    Hasło współdzielone tajne ustawione przez serwer protokołu SCEP.

  • Nazwa pospolita: <S: 0, 128>

  • Nazwa kraju: <S: 0, 128>

  • Nazwa organizacji: <S: 0, 128>

  • SanDns[5]: <S: 0, 128>

  • SanEmail[5]: <S: 0, 128>

  • SanIp[5]: <S: 0, 128>

  • SanUri[5]: <S: 0, 128>

Żądanie odnowienia protokołu SCEP dotyczące usług certyfikatów bezpieczeństwa xCommand

Utwórz lub zaktualizuj profil automatycznego odnawiania, który jest stosowany do wszystkich certyfikatów wydanych przez dany urząd certyfikacji przed wygaśnięciem certyfikatów

Parametry:

  • Odcisk palca (r): <S: 0, 128>

    Odcisk palca urzędu certyfikacji wydającego certyfikaty.

  • Adres URL (r): <S: 0, 128>

    Adres URL serwera protokołu SCEP używany do odnawiania certyfikatów. 

Usunięcie rozszerzenia protokołu SCEP rejestracji usług certyfikatów bezpieczeństwa xCommand

Usuń profil automatycznego odnawiania dla danego urzędu certyfikacji. Uniemożliwia to automatyczne odnawianie certyfikatów podpisanych przez ten urząd certyfikacji

Parametry:

  • Odcisk palca (r): <S: 0, 128>

    Odcisk palca urzędu certyfikacji wydającego powinien zostać usunięty.

Lista odnowień protokołu SCEP rejestracji usług certyfikatów bezpieczeństwa xCommand

Wyświetla wszystkie aktualnie używane profile automatycznego odnawiania.