Certyfikaty można dodawać z poziomu lokalnego interfejsu sieciowego urządzenia. Certyfikaty można również dodać, uruchamiając polecenia API. Aby sprawdzić, które polecenia umożliwiają dodawanie certyfikatów, zobacz roomos.cisco.com .

Certyfikaty usług i zaufane urzędy certyfikacji

Walidacja certyfikatów może być wymagana w przypadku korzystania z TLS (Transport Layer Security). Serwer lub klient może wymagać, aby urządzenie przedstawiło mu ważny certyfikat przed nawiązaniem komunikacji.

Certyfikaty są plikami tekstowymi, które weryfikują autentyczność urządzenia. Certyfikaty te muszą być podpisane przez zaufany urząd certyfikacji (CA). Aby można było zweryfikować podpis certyfikatów, na urządzeniu musi znajdować się lista zaufanych urzędów certyfikacji. Lista musi zawierać wszystkie CA potrzebne do weryfikacji certyfikatów zarówno dla logowania audytowego jak i innych połączeń.

Certyfikaty są używane dla następujących usług: Serwer HTTPS, SIP, IEEE 802.1X oraz logowanie audytu. W urządzeniu można przechowywać kilka certyfikatów, ale w danym momencie dla każdej usługi jest włączony tylko jeden.

W systemie operacyjnym RoomOS z października 2023 r. i nowszych wersjach po dodaniu certyfikatu urzędu certyfikacji do urządzenia jest on również stosowany do programu Room Navigator, jeśli jest podłączony. Aby zsynchronizować wcześniej dodane certyfikaty urzędu certyfikacji z podłączonym programem Room Navigator, należy ponownie uruchomić urządzenie. Jeśli nie chcesz, aby urządzenia peryferyjne otrzymywały te same certyfikaty, co urządzenie, do którego są podłączone, ustaw konfigurację Urządzenia peryferyjne Certyfikaty zabezpieczeń SyncToPeripherals na wartość Fałsz.

Wcześniej zapisane certyfikaty nie są automatycznie usuwane. Wpisy w nowym pliku z certyfikatami CA są dołączane do istniejącej listy.

W przypadku połączenia Wi-Fi

Zalecamy dodanie certyfikatu zaufanego urzędu certyfikacji dla każdego urządzenia z serii Board, Desk lub Room, jeśli sieć korzysta z uwierzytelniania WPA-EAP. Musisz to zrobić indywidualnie dla każdego urządzenia i przed połączeniem z siecią Wi-Fi.

Aby dodać certyfikaty dla połączenia Wi-Fi, potrzebne są następujące pliki:

  • Lista certyfikatów CA (format pliku: .PEM)

  • Certyfikat (format pliku: .PEM)

  • Klucz prywatny, albo jako osobny plik, albo zawarty w tym samym pliku co certyfikat (format pliku: .PEM)

  • Hasło (wymagane tylko wtedy, gdy klucz prywatny jest zaszyfrowany)

Certyfikat i klucz prywatny są przechowywane w tym samym pliku na urządzeniu. Jeśli uwierzytelnienie nie powiedzie się, połączenie nie zostanie nawiązane.

Klucz prywatny i hasło nie są stosowane do podłączonych urządzeń peryferyjnych.

Dodawanie certyfikatów do urządzeń z serii Board, Desk i Room

1

Z widoku klienta w https://admin.webex.com przejdź do strony Urządzenia i wybierz swoje urządzenie z listy. Przejdź na stronę Pomoc techniczna i uruchom Lokalne mechanizmy kontroli urządzeń.

Jeśli w urządzeniu skonfigurowano użytkownika lokalnego administratora, można uzyskać bezpośredni dostęp do interfejsu sieciowego, otwierając przeglądarkę internetową i wpisując http(s)://<punkt końcowy lub nazwa hosta>.

2

Przejdź do Zabezpieczenia > Certyfikaty > Własne > Dodaj certyfikat i załaduj certyfikat główny CA.

3

W openssl wygeneruj klucz prywatny i żądanie certyfikatu. Skopiuj treść żądania certyfikatu. Następnie wklej ją, aby zażądać certyfikatu serwera od swojego urzędu certyfikacji (CA).

4

Pobierz certyfikat serwera podpisany przez urząd certyfikacji. Upewnij się, że znajduje się w formacie . Format PEM.

5

Przejdź do Zabezpieczenia > Certyfikaty > Usługi > Dodaj certyfikat i załaduj klucz prywatny oraz certyfikat serwera.

6

Włącz usługi, których chcesz używać dla właśnie dodanego certyfikatu.

Protokół SCEP (Simple Certificate Enrollment Protocol)

Protokół SCEP (Simple Certificate Enrollment Protocol) zapewnia zautomatyzowany mechanizm rejestrowania i odświeżania certyfikatów, które są używane na przykład uwierzytelnianie 802.1X na urządzeniach. Protokół SCEP umożliwia utrzymanie dostępu urządzenia do bezpiecznych sieci bez konieczności ręcznej interwencji.

  • Gdy urządzenie jest nowe lub zostało przywrócone do ustawień fabrycznych, musi uzyskać dostęp do sieci, aby uzyskać adres URL protokołu SCEP. Urządzenie powinno być podłączone do sieci bez 802.1X, aby uzyskać adres IP.

  • W przypadku korzystania z bezprzewodowego SSID rejestracji należy przejść przez ekrany dołączania, aby skonfigurować połączenie z siecią.

  • Po nawiązaniu połączenia z siecią inicjowania obsługi urządzenia nie musi być na tym etapie wyświetlany konkretny ekran dołączania.

  • Aby dopasować się do wszystkich wdrożeń, interfejsy xAPI rejestracji protokołu SCEP nie będą przechowywać certyfikatu urzędu certyfikacji używanego do podpisywania certyfikatu urządzenia. W przypadku uwierzytelniania serwera certyfikat urzędu certyfikacji używany do sprawdzania poprawności certyfikatu serwera musi zostać dodany do xCommand Security Certificates CA Add.

Wymagania wstępne

Potrzebne są następujące informacje:

  • Adres URL serwera SCEP.

  • Odcisk palca certyfikatu podpisującego urzędu certyfikacji (Certificate Authority).

  • Informacje o certyfikacie do zarejestrowania. Tworzy to nazwę podmiotu certyfikatu.

    • Nazwa zwyczajowa

    • Nazwa kraju

    • Nazwa stanu lub prowincji

    • Nazwa miejscowości

    • Nazwa organizacji

    • Jednostka organizacyjna

  • Nazwa podmiotu będzie uporządkowana jako /C= /ST= /L= /O= /OU= /CN=

  • Hasło wezwania serwera SCEP, jeśli serwer SCEP został skonfigurowany do wymuszania hasła jednorazowego lub wspólnego hasła.

Za pomocą następującego polecenia można ustawić wymagany rozmiar klucza dla pary kluczy żądania certyfikatu. Wartość domyślna to 2048.

 xConfiguration Security Enrollment KeySize: <2048, 3072, 4096>

Wysyłamy wniosek o certyfikat, który jest ważny przez jeden rok w celu wygaśnięcia certyfikatu. Zasady po stronie serwera mogą zmienić datę wygaśnięcia podczas podpisywania certyfikatu.

Połączenie Ethernet

Gdy urządzenie jest podłączone do sieci, upewnij się, że ma dostęp do serwera SCEP. Urządzenie powinno być podłączone do sieci bez 802.1x, aby uzyskać adres IP. W celu uzyskania adresu IP może być konieczne dostarczenie adresu MAC urządzenia do sieci obsługującej. Adres MAC można znaleźć w interfejsie użytkownika lub na etykiecie z tyłu urządzenia.

Po podłączeniu urządzenia do sieci możesz użyć protokołu SSH do urządzenia jako administrator , aby uzyskać dostęp do TSH, a następnie uruchomić następujące polecenie, aby wysłać żądanie SCEP rejestracji: 

xCommand Security Certificates Services Enrollment Request SCEP

Gdy serwer protokołu SCEP zwróci podpisany certyfikat urządzenia, aktywuj protokół 802.1X.

Aktywuj podpisany certyfikat:

xCommand Security Certificates Services Aktywuj

Uruchom ponownie urządzenie po aktywowaniu certyfikatu.

Połączenie bezprzewodowe

Gdy urządzenie jest podłączone do sieci bezprzewodowej, upewnij się, że ma dostęp do serwera SCEP.

Po podłączeniu urządzenia do sieci możesz użyć protokołu SSH do urządzenia jako administrator , aby uzyskać dostęp do TSH, a następnie uruchomić następujące polecenie, aby wysłać żądanie SCEP rejestracji: 

xCommand Security Certificates Services Enrollment Request SCEP

Urządzenie otrzymuje podpisany certyfikat z serwera SCEP.

Aktywuj podpisany certyfikat: 

xCommand Security Certificates Services Aktywuj

Po aktywacji należy skonfigurować sieć Wi-Fi z uwierzytelnianiem EAP-TLS. 

xCommand Network Wifi Konfiguracja

Domyślnie konfiguracja Wi-Fi pomija sprawdzanie poprawności serwera. Jeśli wymagane jest tylko uwierzytelnianie jednokierunkowe, zachowaj domyślną wartość True .

Aby wymusić sprawdzanie poprawności serwera, upewnij się, że parametr opcjonalny AllowMissingCA ma wartość False. Jeśli nie można nawiązać połączenia z powodu błędów sprawdzania poprawności usługi, sprawdź, czy dodano poprawny urząd certyfikacji, aby zweryfikować certyfikat serwera, który może być inny niż certyfikat urządzenia.

API opisy

Rola: Administrator, Integrator

xCommand Security Certificates Services Enrollment Request SCEP

Wysyła CSR do danego serwera SCEP w celu podpisania. Parametry CSR SubjectName będą konstruowane w następującej kolejności: C, ST, L, O, OUs, CN.

Parametry:

  • URL: <S: 0, 256>

    Adres URL serwera protokołu SCEP.

  • Odcisk palca(r): <S: 0, 128>

    Odcisk palca certyfikatu urzędu certyfikacji, który podpisze żądanie protokołu SCEP CSR.

  • Nazwa pospolita(r): <S: 0, 64>

    Dodaje "/CN=" do nazwy podmiotu CSR.

  • ChallengePassword: <S: 0, 256>

    OTP lub wspólne hasło z serwera SCEP w celu uzyskania dostępu do podpisania.

  • Nazwa kraju: <S: 0, 2>

    Dodaje "/c=" do nazwy podmiotu CSR.

  • StateOrProvinceName: <S: 0, 64>

    Dodaje "/ST=" do nazwy podmiotu CSR.

  • NazwaMiejscowości: <S: 0, 64>

    Dodaje "/l=" do nazwy podmiotu CSR.

  • Nazwa organizacji: <S: 0, 64>

    Dodaje "/O=" do nazwy podmiotu CSR.

  • Jednostka organizacyjna[5]: <S: 0, 64>

    Dodaje do 5 parametrów "/OU=" do nazwy podmiotu CSR.

  • SanDns[5]: <S: 0, 64>

    Dodaje do 5 parametrów DNS do alternatywnej nazwy podmiotu CSR.

  • SanEmail[5]: <S: 0, 64>

    Dodaje do 5 parametrów wiadomości e-mail do alternatywnej nazwy CSR tematu.

  • SanIp[5]: <S: 0, 64>

    Dodaje do 5 parametrów IP do alternatywnej nazwy podmiotu CSR.

  • SanUri[5]: <S: 0, 64>

    Dodaje do 5 parametrów Uri do alternatywnej nazwy podmiotu CSR.

xCommand Security Certificates Services Enrollment Profiles Delete

Usuwa profil rejestracji, aby nie odnawiać certyfikatów.

Parametry:

  • Odcisk palca(r): <S: 0, 128>

    Unikatowy identyfikator usuwanego certyfikatu. Identyfikator odcisku palca można uzyskać, uruchamiając:

     xCommand Security Certificates Services Show

xCommand Security Certificates Services Enrollment Profiles List

Wyświetla listę profili rejestracji do odnowienia certyfikatu.

 xCommand Security Certificates Services Enrollment SCEP profiles Set Fingerprint(r): <S: 0, 128> URL(r): <S: 0, 256>

Dodaj nowy certyfikat

Odnowienie

 xCommand Security Certificates Services Enrollment Profiles Set SCEP Profiles Set

Aby automatycznie odnowić certyfikat, urządzenie musi mieć dostęp do adresu URL protokołu SCEP, który może ponownie podpisać certyfikat.

Raz dziennie urządzenie sprawdza dostępność certyfikatów, które wygasną po 45 dniach. Urządzenie podejmie próbę odnowienia tych certyfikatów, jeśli ich wystawca pasuje do profilu.

UWAGA: Wszystkie certyfikaty urządzeń zostaną sprawdzone pod kątem odnowienia, nawet jeśli certyfikat nie został pierwotnie zarejestrowany przy użyciu protokołu SCEP.

Nawigator

  1. Bezpośrednie sparowanie: zarejestrowane certyfikaty można aktywować jako certyfikaty "Parowanie".

  2. Zdalne sparowanie: Poleć nawigatorowi, aby zarejestrował nowy certyfikat SCEP przy użyciu identyfikatora urządzenia peryferyjnego:

    Urządzenia peryferyjne xCommand Certyfikaty zabezpieczeń Żądanie rejestracji usług SCEP 

    Profile rejestracji są automatycznie synchronizowane ze sparowanym nawigatorem.

  3. Autonomiczny program Navigator: taki sam jak rejestrowanie kodeków