Você pode adicionar certificados na interface da Web local do dispositivo. Como alternativa, você pode adicionar certificados executando API comandos. Para ver quais comandos permitem adicionar certificados, consulte roomos.cisco.com .

Certificados de serviço e CAs confiáveis

Pode ser necessária a validação do certificado ao usar TLS (Segurança da camada de transporte). Um cliente ou um servidor pode exigir que o dispositivo apresenta um certificado válido para-los antes de comunicação estiver configurada.

Os certificados são arquivos de texto que verificar a autenticidade do dispositivo. Esses certificados têm que ser assinados por uma autoridade de certificação confiável (CA, Certificate Authority). Para verificar a assinatura dos certificados, uma lista de CAs confiáveis deve existir no dispositivo. A lista tem que incluir todas as CAs necessárias para verificar certificados para registro de auditoria e outras conexões.

Os certificados são usados para os seguintes serviços: servidor HTTPS, SIP, IEEE 802.1X e o registro de auditoria. Você pode armazenar vários certificados no dispositivo, mas somente um certificado está ativado para cada serviço por vez.

No RoomOS de outubro de 2023 e posterior, quando você adicionar um certificado de CA a um dispositivo, ele também será aplicado a um Navegador de sala se houver um conectado. Para sincronizar os certificados CA adicionados anteriormente a um Navegador de Sala conectado, você deve reinicializar o dispositivo. Se você não quiser que os periféricos obtenham os mesmos certificados do dispositivo ao qual estão conectados, defina a configuração Sincronização de certificados de segurança de periféricos sincronizados para falso.

Anteriormente armazenados certificados não serão excluídos automaticamente. As entradas em um novo arquivo com certificados de CA são anexadas à lista existente.

Para conexão Wi-Fi

Recomendamos que você adicione um certificado de CA confiável para cada dispositivo Board, Desk ou Room Series, se sua rede usar autenticação WPA-EAP. Você tem que fazer isso individualmente para cada dispositivo e antes de se conectar à rede Wi-Fi.

Para adicionar certificados para sua conexão Wi-Fi, é necessário ter os seguintes arquivos:

  • Lista de certificados de CA (formato de arquivo: .PEM)

  • Certificado (formato de arquivo: .PEM)

  • Chave privada, como um arquivo separado ou incluída no mesmo arquivo que o certificado (formato de arquivo: .PEM)

  • Senha (obrigatória somente se a chave privada estiver criptografada)

O certificado e a chave privada são armazenados no mesmo arquivo no dispositivo. Se a autenticação falhar, a conexão não será estabelecida.

Chave privada e senha não são aplicadas a periféricos conectados.

Adicionar certificados a bordo, dispositivos de mesa e de série de salas

1

Na exibição do cliente em https://admin.webex.com , vá para a página Dispositivos e selecione o dispositivo na lista. Vá para Suporte e inicie controles de dispositivo locais.

Se você tiver configurado um usuário local Admin no dispositivo, você pode acessar a interface da Web diretamente, abrindo um navegador da Web e digitando http(s)://<ip do dispositivo ou nome do host>.

2

Navegue até Segurança > Certificados > Personalizar > Adicionar certificado e carregue seus certificados raiz de CA.

3

Em openssl, crie uma solicitação de chave privada e certificado. Copie o conteúdo da solicitação de certificado. Em seguida, cole para solicitar o certificado do servidor da sua autoridade de certificação (CA).

4

Faça o download do certificado do servidor assinado pelo seu CA. Assegure-se de que ele esteja em. Formato PEM.

5

Navegue até Segurança > Certificados > Serviços > Adicionar certificado e carregue a chave privada e o certificado do servidor.

6

Ative os serviços que deseja usar para o certificado que acabou de adicionar.

SCEP (Simple Certificate Enrollment Protocol – Protocolo de Inscrição de Certificado Simples)

O SCEP (Simple Certificate Enrollment Protocol – Protocolo de inscrição de certificado simples) fornece um mecanismo automatizado para registro e atualização de certificados usados, por exemplo, a autenticação 802.1X em dispositivos. O SCEP permite manter o acesso do dispositivo a redes seguras sem intervenção manual.

  • Quando o dispositivo é novo ou foi redefinido de fábrica, precisa de acesso à rede para acessar a URL do SCEP. O dispositivo deve ser conectado à rede sem 802.1X para obter um endereço de IP.

  • Se você utilizar um registro sem fio SSID, precisará percorrer as telas a bordo para configurar a conexão com a rede.

  • Depois que você estiver conectado à rede de provisionamento, o dispositivo não precisa estar em uma tela de provisionamento específica nesta fase.

  • Para ajustar todas as implantações, os xAPIs de Registro do SCEP não armazenarão o certificado ca usado para assinar o certificado do dispositivo. Para autenticação do servidor, o certificado de CA usado para validar o certificado do servidor precisa ser adicionado com xCommand Security Certificates CA Add.

Pré-requisitos

É necessário ter as seguintes informações:

  • URL do Servidor SCEP.

  • Impressões digitais do certificado de CA (Certificate Authority) de assinatura.

  • Informações do certificado para se registrar. Isso compõe o Nome do Assunto do certificado.

    • Nome comum

    • Nome do país

    • Nome do Estado ou província

    • Nome da localidade

    • Nome da organização

    • Unidade organizacional

  • O nome do assunto será ordenado como /C= /ST= /L= /O= /OU= /CN=

  • A senha do desafio do servidor SCEP se você tiver configurado o Servidor SCEP para aplicar um OTP ou Segredo Compartilhado.

Você pode definir o tamanho da chave exigido para o keypair solicitado pelo certificado usando o seguinte comando. O padrão é 2048.

 Tamanho da inscrição de segurança da xConfiguração: <2048, 3072, 4096>

Enviamos uma solicitação de certificado que é válida para um ano para validade de certificado. A política do lado do servidor pode alterar a data de validade durante a assinatura do certificado.

Conexão Ethernet

Quando um dispositivo estiver conectado a uma rede, assegure-se de que ele possa acessar o servidor SCEP. O dispositivo deve ser conectado a uma rede sem 802.1x para obter um endereço de IP. O endereço MAC do dispositivo pode precisar ser fornecido na rede de provisionamento para obter um endereço de IP. O endereço MAC pode ser encontrado na IU ou na etiqueta na parte de trás do dispositivo.

Depois que o dispositivo estiver conectado à rede, você pode usar o SSH para o dispositivo como administrador para acessar o TSH e, em seguida, executar o seguinte comando para enviar a Solicitação de SCEP de registro: 

Solicitação SCEP de registro de serviços de certificados de segurança x

Assim que o Servidor SCEP retornar o certificado do dispositivo assinado, ative o 802.1X.

Ativar o certificado assinado:

XComissos Serviços de Certificados de Segurança Ativados

Reinicialize o dispositivo após ativar o certificado.

Conexão sem fio

Quando um dispositivo estiver conectado a uma rede sem fio, assegure-se de que ele possa acessar o servidor SCEP.

Depois que o dispositivo estiver conectado à rede, você pode usar o SSH para o dispositivo como administrador para acessar o TSH e, em seguida, executar o seguinte comando para enviar a Solicitação de SCEP de registro: 

Solicitação SCEP de registro de serviços de certificados de segurança x

O dispositivo recebe o certificado assinado do servidor SCEP.

Ativar o certificado assinado: 

XComissos Serviços de Certificados de Segurança Ativados

Após a ativação, você precisa configurar a rede de Wi-Fi com EAP-TLS autenticação. 

Configuração Wifi de rede xcommand

Por padrão, a configuração da Wi-Fi pula verificações de validação do servidor. Se apenas a autenticação unidirecional for necessária, mantenha a PermitirMissingCA padronizada para Verdadeiro.

Para forçar a validação do servidor, assegure-se de que o parâmetro opcional AllowMissingCA esteja definido como Falso. Se uma conexão não puder ser estabelecida devido a erros de validação do serviço, verifique se o CA correto foi adicionado para verificar o certificado do servidor que pode ser diferente do certificado do dispositivo.

Descrições API

Função: Administrador, Integrador

Solicitação SCEP de registro de serviços de certificados de segurança x

Envia uma CSR para um determinado servidor SCEP para assinatura. O CSR parâmetros SubjectName será construído na seguinte ordem: C, ST, L, O, OUs, CN.

Parâmetros:

  • URL(r): <S: 0, 256>

    O endereço de URL do servidor SCEP.

  • Impressões digitais(r): <S: 0, 128>

    Impressão digital do certificado CA que assinará a solicitação SCEP CSR.

  • CommonName(r): <S: 0, 64>

    Adiciona "/CN=" ao CSR Nome do assunto.

  • Senha do Desafio: <S: 0, 256>

    OTP ou Segredo Compartilhado do Servidor SCEP para acesso ao sinal de

  • Nome do país: <S: 0, 2>

    Adiciona "/C=" ao CSR Nome do assunto.

  • StateOrProvinceName: <S: 0, 64>

    Adiciona "/ST=" ao CSR Nome do assunto.

  • Nome da localidade: <S: 0, 64>

    Adiciona "/L=" ao CSR Nome do assunto.

  • Nome da organização: <S: 0, 64>

    Adiciona "/O=" ao CSR Nome do assunto.

  • Nites organizacionais[5]: <S: 0, 64>

    Adiciona até 5 parâmetros "/OU=" ao CSR Nome do assunto.

  • SanDns[5]: <S: 0, 64>

    Adiciona até 5 parâmetros Dns ao CSR Nome Alternativo do Assunto.

  • Correio de sanemail[5]: <S: 0, 64>

    Adiciona até 5 parâmetros de Email ao CSR Nome Alternativo do Assunto.

  • SanIp[5]: <S: 0, 64>

    Adiciona até 5 parâmetros Ip ao nome alternativo do assunto CSR.

  • SanUri[5]: <S: 0, 64>

    Adiciona até 5 parâmetros de Uri ao CSR Nome Alternativo do Assunto.

Perfis de registro de serviços de certificados xcomuários de segurança são excluídos

Exclui um perfil de registro para não renovar mais os certificados.

Parâmetros:

  • Impressões digitais(r): <S: 0, 128>

    O Identificador exclusivo para o certificado que é excluído. Você pode obter a ID da impressão digital executando:

     Show de Serviços de Certificados xComissão e Segurança

Lista Perfis de registro de serviços de certificados xComissão e segurança

Lista perfis de registro para renovação de certificado.

 Perfis SCEP de registro de certificados de segurança xCommand definem Impressões digitais(r): <S: 0, 128> URL(r): <S: 0, 256>

Adicionar novo certificado

Renovação

 Conjunto de Perfis SCEP de registro de certificados xComuton e segurança

Para renovar automaticamente o certificado, o dispositivo precisa conseguir acessar a Url SCEP que pode renunciar ao certificado.

Uma vez por dia, o dispositivo verificará os certificados que expirarão com 45 dias. O dispositivo então tentará renovar esse certificado se seu emissor corresponder a um perfil.

OBSERVAÇÃO: todos os certificados do dispositivo serão verificados para renovação, mesmo se o certificado não tiver sido originalmente registrado usando SCEP.

Navegador

  1. Direto emparelhado: os certificados matriculados podem ser ativados como certificado "Emparelhamento".

  2. Remote Paired: informe ao navegador para registrar um novo certificado SCEP usando a ID do Periférico:

    Solicitação SCEP de registro de certificados de segurança de periféricos x 

    Os perfis de registro são automaticamente sincronizados com o navegador emparelhado.

  3. Navegador independente: o mesmo do registro de codec