Você pode adicionar certificados na interface da Web local do dispositivo. Como alternativa, você pode adicionar certificados executando API comandos. Para ver quais comandos permitem adicionar certificados, consulte roomos.cisco.com .

Certificados de serviço e CAs confiáveis

Pode ser necessária a validação do certificado ao usar TLS (Segurança da camada de transporte). Um cliente ou um servidor pode exigir que o dispositivo apresenta um certificado válido para-los antes de comunicação estiver configurada.

Os certificados são arquivos de texto que verificar a autenticidade do dispositivo. Esses certificados têm que ser assinados por uma autoridade de certificação confiável (CA, Certificate Authority). Para verificar a assinatura dos certificados, uma lista de CAs confiáveis deve existir no dispositivo. A lista tem que incluir todas as CAs necessárias para verificar certificados para registro de auditoria e outras conexões.

Os certificados são usados para os seguintes serviços: servidor HTTPS, SIP, IEEE 802.1X e o registro de auditoria. Você pode armazenar vários certificados no dispositivo, mas somente um certificado está ativado para cada serviço por vez.

No RoomOS de outubro de 2023 e posterior, quando você adicionar um certificado de CA a um dispositivo, ele também será aplicado a um Navegador de sala se houver um conectado. Para sincronizar os certificados CA adicionados anteriormente a um Navegador de Sala conectado, você deve reinicializar o dispositivo. Se você não quiser que os periféricos obtenham os mesmos certificados do dispositivo ao qual estão conectados, defina a configuração Sincronização de certificados de segurança de periféricos sincronizados para falso.


Anteriormente armazenados certificados não serão excluídos automaticamente. As entradas em um novo arquivo com certificados de CA são anexadas à lista existente.

Para conexão Wi-Fi

Recomendamos que você adicione um certificado de CA confiável para cada dispositivo Board, Desk ou Room Series, se sua rede usar autenticação WPA-EAP. Você tem que fazer isso individualmente para cada dispositivo e antes de se conectar à rede Wi-Fi.

Para adicionar certificados para sua conexão Wi-Fi, é necessário ter os seguintes arquivos:

  • Lista de certificados de CA (formato de arquivo: .PEM)

  • Certificado (formato de arquivo: .PEM)

  • Chave privada, como um arquivo separado ou incluída no mesmo arquivo que o certificado (formato de arquivo: .PEM)

  • Senha (obrigatória somente se a chave privada estiver criptografada)

O certificado e a chave privada são armazenados no mesmo arquivo no dispositivo. Se a autenticação falhar, a conexão não será estabelecida.


Chave privada e senha não são aplicadas a periféricos conectados.

Adicionar certificados a bordo, dispositivos de mesa e de série de salas

1

Na exibição do cliente em https://admin.webex.com , vá para a página Dispositivos e selecione o dispositivo na lista. Vá para Suporte e inicie controles de dispositivo locais.

Se você tiver configurado um usuário local Admin no dispositivo, você pode acessar a interface da Web diretamente, abrindo um navegador da Web e digitando http(s)://<ip do dispositivo ou nome do host>.

2

Navegue até Segurança > Certificados > Personalizar > Adicionar certificado e carregue seus certificados raiz de CA.

3

Em openssl, crie uma solicitação de chave privada e certificado. Copie o conteúdo da solicitação de certificado. Em seguida, cole para solicitar o certificado do servidor da sua autoridade de certificação (CA).

4

Faça o download do certificado do servidor assinado pelo seu CA. Assegure-se de que ele esteja em. Formato PEM.

5

Navegue até Segurança > Certificados > Serviços > Adicionar certificado e carregue a chave privada e o certificado do servidor.

6

Ative os serviços que deseja usar para o certificado que acabou de adicionar.

SCEP (Simple Certificate Enrollment Protocol – Protocolo de Inscrição de Certificado Simples)

SCEP (Simple Certificate Enrollment Protocol – Protocolo de inscrição de certificado simples) fornece um mecanismo automatizado para registro e atualização de certificados usados, por exemplo, autenticação 802.1X em dispositivos. O SCEP permite manter o acesso do dispositivo a redes seguras sem intervenção manual.

  • Quando o dispositivo é novo ou foi redefinido de fábrica, precisa de acesso à rede para acessar a URL do SCEP. O dispositivo deve ser conectado à rede sem 802.1X para obter um endereço de IP.

  • Se você utilizar um registro sem fio SSID, precisará percorrer as telas a bordo para configurar a conexão com a rede.

  • Depois que você estiver conectado à rede de provisionamento, o dispositivo não precisa estar em uma tela de provisionamento específica nesta fase.

  • Para ajustar todas as implantações, os xAPIs de Registro do SCEP não armazenarão o certificado ca usado para assinar o certificado do dispositivo. Para autenticação do servidor, o certificado de CA usado para validar o certificado do servidor precisa ser adicionado com xCommand Security Certificates CA Add.

Pré-requisitos

É necessário ter as seguintes informações:

  • URL do Servidor SCEP.

  • Impressões digitais do certificado de CA (Certificate Authority) de assinatura.

  • Informações do certificado para se registrar. Isso compõe o Nome do Assunto do certificado.

    • Nome comum

    • Nome do país

    • Nome da organização

  • A senha do desafio do servidor SCEP se você tiver configurado o Servidor SCEP para aplicar um OTP ou Segredo Compartilhado.

Enviamos uma solicitação de certificado que é válida para um ano para validade de certificado. A política do lado do servidor pode alterar a data de validade durante a assinatura do certificado.

Conexão Ethernet

Quando um dispositivo estiver conectado a uma rede, assegure-se de que ele possa acessar o servidor SCEP. O dispositivo deve ser conectado a uma rede sem 802.1x para obter um endereço de IP. O endereço MAC do dispositivo pode precisar ser fornecido na rede de provisionamento para obter um endereço de IP. O endereço MAC pode ser encontrado na IU ou na etiqueta na parte de trás do dispositivo.

Depois que o dispositivo estiver conectado à rede, você pode usar o SSH para o dispositivo como administrador para acessar o TSH e, em seguida, executar o seguinte comando para enviar a Solicitação de SCEP de registro: 
Solicitação SCEP de registro de serviços de certificados de segurança x

Assim que o Servidor SCEP retornar o certificado do dispositivo assinado, ative o 802.1X e então reinicialize o dispositivo.

Ativar o certificado assinado:
XComissos Serviços de Certificados de Segurança Ativados

Reinicialize o dispositivo após ativar o certificado.

Conexão sem fio

Quando um dispositivo estiver conectado a uma rede sem fio, assegure-se de que ele possa acessar o servidor SCEP.

Depois que o dispositivo estiver conectado à rede, você pode usar o SSH para o dispositivo como administrador para acessar o TSH e, em seguida, executar o seguinte comando para enviar a Solicitação de SCEP de registro: 
Solicitação SCEP de registro de serviços de certificados de segurança x

O dispositivo recebe o certificado assinado do servidor SCEP.

Ativar o certificado assinado: 

XComissos Serviços de Certificados de Segurança Ativados
Após a ativação, você precisa configurar a rede de Wi-Fi com EAP-TLS autenticação. 
Configuração Wifi de rede xcommand

Por padrão, a configuração da Wi-Fi pula verificações de validação do servidor. Se apenas a autenticação unidirecional for necessária, mantenha a PermitirMissingCA padronizada para Verdadeiro.

Para forçar a validação do servidor, assegure-se de que o parâmetro opcional AllowMissingCA esteja definido como Falso. Se uma conexão não puder ser estabelecida devido a erros de validação do serviço, verifique se o CA correto foi adicionado para verificar o certificado do servidor que pode ser diferente do certificado do dispositivo.

Descrições API

Função: Administrador, Integrador

Solicitação SCEP de registro de serviços de certificados de segurança x

Solicita e baixa um certificado do dispositivo assinado

Parâmetros:

  • URL(r): <S: 0, 128>

    URL do servidor SCEP usada para registrar um certificado.

  • Impressões digitais (r): <S: 0, 128>

    A Emissão de impressões digitais do CA que assinará a Solicitação X509.

  • Senha do Desafio: <S: 0, 128>

    Senha secreta compartilhada definida pelo Servidor SCEP.

  • CommonName(r): <S: 0, 128>

  • Nome do país: <S: 0, 128>

  • Nome da organização: <S: 0, 128>

  • SanDns[5]: <S: 0, 128>

  • Correio de sanemail[5]: <S: 0, 128>

  • SanIp[5]: <S: 0, 128>

  • SanUri[5]: <S: 0, 128>

Solicitação de renovação SCEP de registro de certificados de segurança xCommand

Criar ou atualizar um perfil de confirmação que é aplicado a todos os certificados emitidos pelo CA fornecido antes da expiração dos certificados

Parâmetros:

  • Impressões digitais(r): <S: 0, 128>

    A emissão da impressão digital da CA que assinou os certificados.

  • URL(r): <S: 0, 128>

    URL do servidor SCEP usada para renovar os certificados. 

Exclusão da Renovação SCEP de certificados de segurança xCometos e segurança

Remover o perfil de novo autorenewed para o CA fornecido. Isso interrompe que os certificados assinados por este CA sejam de autorewing

Parâmetros:

  • Impressões digitais(r): <S: 0, 128>

    A emissão da impressão digital da CA para remover.

Lista de renovação SCEP de registro de certificados xComuários e segurança

Liste todos os perfis de autorenew usados no momento.