É possível adicionar certificados na interface da Web local do dispositivo. Como alternativa, você pode adicionar certificados executando comandos API. Para ver quais comandos permitem adicionar certificados, consulte roomos.cisco.com .

Certificados de serviço e CAs confiáveis

A validação do certificado pode ser necessária ao usar TLS (Segurança da camada de transporte). Um servidor ou cliente pode exigir que o dispositivo apresente um certificado válido a ele antes que a comunicação seja configurada.

Os certificados são arquivos de texto que verificam a autenticidade do dispositivo. Esses certificados devem ser assinados por um Certificate Authority (CA) confiável. Para verificar a assinatura dos certificados, uma lista de CAs confiáveis deve existir no dispositivo. A lista deve incluir todos os CAs necessários para verificar os certificados tanto para o registro de auditoria quanto para outras conexões.

Os certificados são usados para os seguintes serviços: servidor HTTPS, SIP, IEEE 802.1X e log de auditoria. É possível armazenar vários certificados no dispositivo, mas somente um certificado é ativado para cada serviço de cada vez.

No RoomOS de outubro de 2023 e posterior, ao adicionar um certificado de CA a um dispositivo, ele também é aplicado a um Room Navigator se houver um conectado. Para sincronizar os certificados CA adicionados anteriormente a um Room Navigator conectado, você deve reinicializar o dispositivo. Se você não quiser que os periféricos obtenham os mesmos certificados do dispositivo ao qual estão conectados, defina a configuração Sincronização de certificados de segurança de periféricos sincronizados para falso.

Para conexão Wi-Fi

Recomendamos que você adicione um certificado de CA confiável para cada dispositivo Board, Mesa ou Série de Salas, se sua rede usar autenticação WPA-EAP. Você deve fazer isso individualmente para cada dispositivo e antes de se conectar ao Wi-Fi.

Para adicionar certificados para a conexão Wi-Fi, é necessário ter os seguintes arquivos:

• Lista de certificados CA (formato do arquivo: . PEM)

• Certificado (formato do arquivo: . PEM)

• Chave privada, como um arquivo separado ou incluída no mesmo arquivo do certificado (formato de arquivo: . PEM)

• Senha (obrigatória somente se a chave privada for criptografada)

O certificado e a chave privada são armazenados no mesmo arquivo no dispositivo. Se houver falha na autenticação, a conexão não será estabelecida.

Os administradores devem gerar uma Solicitação de Assinatura de Certificado (CSR) a partir do Hub de Controle para um dispositivo Board, de Mesa ou de Série de Salas registrado em nuvem.

Siga as seguintes etapas para gerar um CSR e carregar um certificado assinado em seu dispositivo:

1. Na exibição do cliente no Hub de controle, vá para a página Dispositivos e selecione o dispositivo na lista.
2. Navegue até Ações > Executar certificados xCommand > security > > CSR > Criar.
3. Insira os detalhes do certificado necessário e selecione Executar.
4. Copie todo o texto entre ----BEGIN CERTIFICATE REQUEST---- e ----END CERTIFICATE REQUEST----.
5. Use um Certificate Authority (CA) de sua preferência para assinar o CSR.
6. Exportar o certificado assinado no formato PEM (Base64-encoded).
7. Abra o arquivo de certificado assinado em um editor de texto (por exemplo, Bloco de Notas) e copie todo o texto entre ----BEGIN CERTIFICATE---- e ----END CERTIFICATE----.
8. No Hub de controle, navegue até Dispositivos > selecione seu dispositivo > Ações > Executar certificados xCommand > security > > CSR > Link.
9. Cole o conteúdo do certificado copiado na seção Corpo e selecione Executar.
10. Atualize a página para verificar se o certificado aparece em Certificado Existente.

O SCEP (Simple Certificate Enrollment Protocol – Protocolo de inscrição de certificado simples) fornece um mecanismo automatizado para registro e atualização de certificados usados, por exemplo, a autenticação 802.1X em dispositivos. O SCEP permite manter o acesso do dispositivo a redes seguras sem intervenção manual.

• Quando o dispositivo é novo ou foi redefinido de fábrica, precisa de acesso de rede para acessar a URL SCEP. O dispositivo deve ser conectado à rede sem 802.1X para obter um endereço de IP.

• Se for usado um registro sem fio SSID, vá pelas telas a bordo para configurar a conexão com a rede.

• Depois que você estiver conectado à rede de provisionamento, o dispositivo não precisa estar em uma tela de provisionamento específica.

• Para ajustar todas as implantações, os xAPIs de Registro de SCEP não armazenarão o certificado CA usado para assinar o certificado do dispositivo. Para autenticação do servidor, o certificado de CA usado para validar o certificado do servidor precisa ser adicionado com xCommand Security Certificates CA Add.

Pré-requisitos

É necessário ter as seguintes informações:

• URL do Servidor SCEP.

• Impressões digitais do certificado de CA (Certificate Authority) de assinatura.

• Informações do certificado para se registrar. Isso compõe o Nome do Assunto do certificado.

  • Nome comum

  • Nome do país

  • Nome do Estado ou província

  • Nome da localidade

  • Nome da organização

  • Unidade organizacional

• O nome do assunto será ordenado como /C= /ST= /L= /O= /OU= /CN=

• A senha do desafio do servidor SCEP se você tiver configurado o Servidor SCEP para aplicar um OTP ou Segredo Compartilhado.

Você pode definir o tamanho da chave exigido para o keypair solicitado pelo certificado usando o seguinte comando. O padrão é 2048.

 Tamanho da inscrição de segurança da xConfiguração: <2048, 3072, 4096>

Enviamos uma solicitação de certificado que é válida para um ano para validade de certificado. A política do lado do servidor pode alterar a data de validade durante a assinatura do certificado.

Conexão Ethernet

Quando um dispositivo estiver conectado a uma rede, assegure-se de que ele possa acessar o servidor SCEP. O dispositivo deve ser conectado a uma rede sem 802.1x para obter um endereço de IP. O endereço MAC do dispositivo pode precisar ser fornecido na rede de provisionamento para obter um endereço de IP. O endereço MAC pode ser encontrado na interface de usuário ou na etiqueta na parte de trás do dispositivo.

Depois que o dispositivo estiver conectado à rede, você pode usar o SSH para o dispositivo como administrador para acessar o TSH e, em seguida, executar o seguinte comando para enviar a Solicitação de SCEP de registro:

Solicitação SCEP de registro de serviços de certificados de segurança x 

Assim que o Servidor SCEP retornar o certificado do dispositivo assinado, ative o 802.1X.

Ativar o certificado assinado:

XComissos Serviços de Certificados de Segurança Ativados 

Reinicialize o dispositivo após ativar o certificado.

Conexão sem fio

Quando um dispositivo estiver conectado a uma rede sem fio, assegure-se de que ele possa acessar o servidor SCEP.

Depois que o dispositivo estiver conectado à rede, você pode usar o SSH para o dispositivo como administrador para acessar o TSH e, em seguida, executar o seguinte comando para enviar a Solicitação de SCEP de registro:

Solicitação SCEP de registro de serviços de certificados de segurança x 

O dispositivo recebe o certificado assinado do servidor SCEP.

Ativar o certificado assinado:

XComissos Serviços de Certificados de Segurança Ativados

Após a ativação, você precisa configurar a rede Wi-Fi com a autenticação EAP-TLS.

Configuração Wifi de rede xcommand 

Por padrão, a configuração Wi-Fi pula verificações de validação do servidor. Se apenas a autenticação unidirecional for necessária, mantenha a PermitirMissingCA padronizada para Verdadeiro.

Para forçar a validação do servidor, assegure-se de que o parâmetro opcional AllowMissingCA esteja definido como Falso. Se uma conexão não puder ser estabelecida devido a erros de validação do serviço, verifique se o CA correto foi adicionado para verificar o certificado do servidor que pode ser diferente do certificado do dispositivo.

Descrições de API

Função: Administrador, Integrador

Solicitação SCEP de registro de serviços de certificados de segurança x

Envia um CSR para um determinado servidor SCEP para assinatura. Os parâmetros CSR SubjectName serão construídos na seguinte ordem: C, ST, L, O, OUs, CN.

Parâmetros:

• URL(r): <S: 0, 256>

  O endereço de URL do servidor SCEP.

• Impressões digitais(r): <S: 0, 128>

  Impressão digital do certificado CA que assinará a solicitação SCEP CSR.

• CommonName(r): <S: 0, 64>

  Adiciona "/CN=" ao nome do assunto CSR.

• Senha do Desafio: <S: 0, 256>

  OTP ou Segredo Compartilhado do Servidor SCEP para acesso ao sinal de

• Nome do país: <S: 0, 2>

  Adiciona "/C=" ao nome do assunto CSR.

• StateOrProvinceName: <S: 0, 64>

  Adiciona "/ST=" ao nome do assunto CSR.

• Nome da localidade: <S: 0, 64>

  Adiciona "/L=" ao nome do assunto do CSR.

• Nome da organização: <S: 0, 64>

  Adiciona "/O=" ao CSR Nome do assunto.

• Nites organizacionais[5]: <S: 0, 64>

  Adiciona até 5 parâmetros "/OU=" ao CSR Nome do assunto.

• SanDns[5]: <S: 0, 64>

  Adiciona até 5 parâmetros DNS ao CSR Nome alternativo do assunto.

• Correio de sanemail[5]: <S: 0, 64>

  Adiciona até 5 parâmetros de email ao nome alternativo do assunto CSR.

• SanIp[5]: <S: 0, 64>

  Adiciona até 5 parâmetros Ip ao nome alternativo do assunto CSR.

• SanUri[5]: <S: 0, 64>

  Adiciona até 5 parâmetros URI ao CSR Nome alternativo do assunto.

Perfis de registro de serviços de certificados xcomuários de segurança são excluídos

Exclui um perfil de registro para não renovar mais os certificados.

Parâmetros:

• Impressões digitais(r): <S: 0, 128>

  A impressão digital do certificado CA que identifica o perfil que você deseja remover. Você pode ver os perfis disponíveis a serem removidos executando:

  Lista Perfis de registro de serviços de certificados xComissão e segurança

Lista Perfis de registro de serviços de certificados xComissão e segurança

Lista perfis de registro para renovação de certificado.

 Perfis SCEP de registro de certificados de segurança xCommand definem Impressões digitais(r): <S: 0, 128> URL(r): <S: 0, 256>

Adicione um perfil de registro para certificados emitidos pela impressão digital do CA para usar a URL SCEP fornecida para renovação.

Renovação

 Conjunto de Perfis SCEP de registro de certificados xComuton e segurança

Para renovar automaticamente o certificado, o dispositivo precisa conseguir acessar a Url SCEP que pode renunciar ao certificado.

Uma vez por dia, o dispositivo verificará os certificados que expirarão com 45 dias. O dispositivo então tentará renovar esse certificado se seu emissor corresponder a um perfil.

OBSERVAÇÃO: todos os certificados do dispositivo serão verificados para renovação, mesmo se o certificado não tiver sido originalmente registrado usando SCEP.

Navegador

1. Direto emparelhado: os certificados matriculados podem ser ativados como certificado "Emparelhamento".

2. Remote Paired: informe ao navegador para registrar um novo certificado SCEP usando a ID do Periférico:

   Solicitação SCEP de registro de certificados de segurança de periféricos x 

   Os perfis de registro são automaticamente sincronizados com o navegador emparelhado.

3. Navegador independente: o mesmo do registro de codec

Você pode configurar a autenticação 802.1x diretamente no menu Configurações do Room Navigator.

O padrão de autenticação 802.1x é particularmente importante para as redes Ethernet e garante que somente dispositivos autorizados tenham acesso aos recursos da rede.

Opções de logon diferentes estão disponíveis com base no método EAP configurado em sua rede. Por exemplo:

• TLS: nome do usuário e senha não são usados.
• PEAP: Certificados não usados.
• TTLS: são necessários nome de usuário/senha e certificados; nenhum dos dois é opcional.

Há várias maneiras de obter o certificado do cliente em um dispositivo:

1. Carregar o PEM: use o recurso Serviços de certificados de segurança.
2. Crie o CSR: Gerar uma Solicitação de Assinatura de Certificado (CSR), assino-a e vincule-a usando Certificados de segurança CSR Criar/Link.
3. SCEP: utilize a Solicitação SCEP de registro de serviços de certificados de segurança.
4. DHCP Opção 43: configure a entrega do certificado através desta opção.

A configuração e a atualização dos certificados para 802.1x devem ser feitas antes de emparelhar a Room Navigator com um sistema ou depois de uma redefinição de fábrica do Room Navigator.

As credenciais padrão são administradores e senha em branco. Para obter mais informações sobre como adicionar certificados acessando a API #, consulte a versão mais recente do guia API.

1. Abra o painel de controle do Navegador, tocando no botão no canto superior direito ou deslizando do lado direito. Em seguida, toque nas configurações do Dispositivo.
2. Vá para conexão de rede e selecione Ethernet .
3. Alterne Usar IEEE 802.1X para Ligado.
   • Se a autenticação estiver configurada com credenciais, insira a identidade do usuário e senha. Você também pode inserir uma identidade anônima: esse é um campo opcional que fornece uma maneira de separar a identidade do usuário real da solicitação de autenticação inicial.
   • É possível ativar ou desativar TLS Verificar . Quando TLS verificar se está ativado, o cliente verifica ativamente a autenticidade do certificado do servidor durante o handshake TLS. Quando TLS verificar se está desativado, o cliente não executa verificação ativa do certificado do servidor.
   • Se tiver carregado um certificado de cliente acessando o API, alterne a opção Usar certificado do cliente.
   • Alterne os métodos de Protocolo de Autenticação Extensível (EAP) que deseja usar. A escolha do método EAP depende dos requisitos de segurança, infraestrutura e recursos de cliente específicos. EAP métodos são cruciais para habilitar o acesso à rede seguro e autenticado.