Você pode adicionar certificados a partir da interface da web local do dispositivo. Alternativamente, você pode adicionar certificados executando comandos API. Para ver quais comandos permitem que você adicione certificados, consulte roomos.cisco.com .

Certificados de serviço e CAs confiáveis

A validação do certificado pode ser necessária ao usar o TLS (Transport Layer Security). Um servidor ou cliente pode exigir que o dispositivo apresente um certificado válido a eles antes da configuração da comunicação.

Os certificados são arquivos de texto que verificam a autenticidade do dispositivo. Esses certificados devem ser assinados por uma autoridade de certificação confiável (CA). Para verificar a assinatura dos certificados, uma lista de CAs confiáveis deve residir no dispositivo. A lista deve incluir todos os CAs necessários para verificar os certificados de registro de auditoria e outras conexões.

Os certificados são usados para os seguintes serviços: Servidor HTTPS, SIP, IEEE 802.1X e registro de auditoria. Você pode armazenar vários certificados no dispositivo, mas apenas um certificado é habilitado para cada serviço de cada vez.

No RoomOS de outubro de 2023 e posterior, quando você adiciona um certificado CA a um dispositivo, ele também é aplicado a um Room Navigator se um estiver conectado. Para sincronizar os certificados CA adicionados anteriormente a um Room Navigator conectado, você deve reinicializar o dispositivo. Se você não quiser que os periféricos obtenham os mesmos certificados ao qual o dispositivo está conectado, defina a configuração Peripherals Security Certificates SyncToPeripherals to False .


Os certificados armazenados anteriormente não são excluídos automaticamente. As entradas em um novo arquivo com certificados de CA são anexadas à lista existente.

Para conexão Wi-Fi

Recomendamos que você adicione um certificado de CA confiável para cada dispositivo da série Board, Desk ou Room, se sua rede usar autenticação WPA-EAP. Você deve fazer isso individualmente para cada dispositivo e antes de se conectar ao Wi-Fi.

Para adicionar certificados para sua conexão Wi-Fi, você precisa dos seguintes arquivos:

  • Lista de certificados CA (formato de arquivo: .PEM)

  • Certificado (formato de arquivo: .PEM)

  • Chave privada, como um arquivo separado ou incluída no mesmo arquivo que o certificado (formato de arquivo: .PEM)

  • Senha (necessária somente se a chave privada estiver criptografada)

O certificado e a chave privada são armazenados no mesmo arquivo no dispositivo. Se a autenticação falhar, a conexão não será estabelecida.


A chave privada e a senha não são aplicadas a periféricos conectados.

Adicionar certificados nos dispositivos da série Board, Desk e Room

1

Na exibição do cliente em https://admin.webex.com , vá para a página Dispositivos e selecione seu dispositivo na lista. Vá para Suporte e inicie o Local Device Controls .

Se você tiver configurado um usuário Admin local no dispositivo, poderá acessar a interface da Web diretamente abrindo um navegador da Web e digitando http(s)://.

2

Navegue até Segurança > Certificados > Personalizados > Adicionar Certificado e carregue seu(s) certificado(s) de CA certificado raiz(s).

3

No openssl, gere uma chave privada e uma solicitação de certificado. Copie o conteúdo da solicitação de certificado. Em seguida, colar para solicitar o certificado do servidor da sua autoridade de certificação (CA).

4

Baixe o certificado do servidor assinado pela ca. Certifique-se de que ele está no . Formato PEM.

5

Navegue para Segurança > Certificados > de > adicionar certificado e carregue a chave privada e o certificado do servidor.

6

Habilite os serviços que você deseja usar para o certificado que acabou de adicionar.

Protocolo SCEP (Simple Certificate Enrollment Protocol)

O protocolo SCEP (Simple Certificate Enrollment Protocol) fornece um mecanismo automatizado para certificados de inscrição e atualização que são usados para, por exemplo, autenticação 802.1X em dispositivos. O SCEP permite que você mantenha o acesso do dispositivo a redes seguras sem intervenção manual.

  • Quando o dispositivo é novo ou foi redefinido de fábrica, ele precisa de acesso à rede para acessar a URL do SCEP. O dispositivo deve estar conectado à rede sem 802.1X para obter um endereço IP.

  • Se estiver usando um SSID de registro sem fio, você precisará passar pelas telas de integração para configurar a conexão com a rede.

  • Depois de estar conectado à rede de provisionamento, o dispositivo não precisa estar em uma tela de integração específica neste estágio.

  • Para atender a todas as implantações, as xAPIs de inscrição SCEP não armazenarão o certificado da CA que é usado para assinar o certificado do dispositivo. Para autenticação do servidor, o certificado CA que é usado para validar o certificado do servidor precisa ser adicionado com xCommand Security Certificates CA Add .

Pré-requisitos

Você precisa das seguintes informações:

  • URL do servidor SCEP.

  • Impressão digital do certificado CA (Certificate Authority) de assinatura.

  • Informações do certificado a ser registrado. Isso compõe o Nome do assunto do certificado.

    • Nome Comum

    • Nome do país

    • Nome da organização

  • Senha de desafio do servidor SCEP se você tiver configurado o servidor SCEP para executar um OTP ou um segredo compartilhado.

Enviamos uma solicitação de certificado válida por um ano para expiração do certificado. A política do lado do servidor pode alterar a data de expiração durante a assinatura do certificado.

Conexão Ethernet

Quando um dispositivo estiver conectado a uma rede, certifique-se de que ele possa acessar o servidor SCEP. O dispositivo deve estar conectado a uma rede sem 802.1x para obter um endereço IP. O endereço MAC do dispositivo pode precisar ser fornecido à rede de provisionamento para obter um endereço IP. O endereço MAC pode ser encontrado na IU ou no rótulo na parte de trás do dispositivo.

Depois que o dispositivo estiver conectado à rede, você poderá SSH para o dispositivo como admin para acessar o TSH e, em seguida, executar o seguinte comando para enviar a solicitação SCEP de inscrição: 
Solicitação SCEP de inscrição dos serviços de certificados de segurança xCommand

Depois que o servidor SCEP retornar o certificado de dispositivo assinado, ative o 802.1X e reinicie o dispositivo.

Ative o certificado assinado:
Ativar os serviços de certificados de segurança xCommand

Reinicialize o dispositivo após ativar o certificado.

Conexão sem fio

Quando um dispositivo estiver conectado a uma rede sem fio, certifique-se de que ele possa acessar o servidor SCEP.

Depois que o dispositivo estiver conectado à rede, você poderá SSH para o dispositivo como admin para acessar o TSH e, em seguida, executar o seguinte comando para enviar a solicitação SCEP de inscrição: 
Solicitação SCEP de inscrição dos serviços de certificados de segurança xCommand

O dispositivo recebe o certificado assinado do servidor SCEP.

Ative o certificado assinado: 

Ativar os serviços de certificados de segurança xCommand
Após a ativação, você precisa configurar a rede Wi-Fi com a autenticação EAP-TLS. 
Configuração de Wi-Fi de rede xCommand

Por padrão, a configuração de Wi-Fi ignora as verificações de validação do servidor. Se apenas a autenticação unidirecional for necessária, mantenha AllowMissingCA padronizada para True .

Para forçar a validação do servidor, certifique-se de que o parâmetro opcional AllowMissingCA esteja definido como False . Se uma conexão não puder ser estabelecida devido a erros de validação do serviço, verifique se a CA correta foi adicionada para verificar o certificado do servidor, que pode ser diferente do certificado do dispositivo.

Descrições da API

Função: Administrador, Integrator

Solicitação SCEP de inscrição dos serviços de certificados de segurança xCommand

Solicitações e downloads de um certificado de dispositivo assinado

Parâmetros:

  • URL(r): <S: 0, 128>

    URL do servidor SCEP usada para registrar um certificado.

  • Impressão digital (r): <S: 0, 128>

    A Impressão digital Da CA Emissor que assinará a Solicitação X509.

  • ChallengePassword: <S: 0, 128>

    Senha do segredo compartilhado definida pelo servidor SCEP.

  • CommonName(r): <S: 0, 128>

  • Nome do campo: <S: 0, 128>

  • Nome da organização: <S: 0, 128>

  • SanDns[5]: <S: 0, 128>

  • SanEmail[5]: <S: 0, 128>

  • SanIp[5]: <S: 0, 128>

  • SanUri[5]: <S: 0, 128>

Solicitação de renovação SCEP de inscrição dos serviços de certificados de segurança xCommand

Crie ou atualize um perfil de renovação automática que seja aplicado a todos os certificados emitidos pela CA fornecida antes do vencimento dos certificados

Parâmetros:

  • Impressão digital (r): <S: 0, 128>

    A impressão digital da CA emissora que assinou os certificados.

  • URL(r): <S: 0, 128>

    URL do servidor SCEP usada para renovar os certificados. 

Exclusão da renovação SCEP de registro dos serviços de segurança xCommand

Remova o perfil gravado automaticamente para a autoridade de certificação fornecida. Isso interrompe os certificados assinados por esta CA da redefinição automática

Parâmetros:

  • Impressão digital (r): <S: 0, 128>

    A impressão digital da CA emissora para remover.

Lista de renovação SCEP de inscrição de serviços de certificados de segurança xCommand

Liste todos os perfis de autorenew usados no momento.