Puteți să adăugați certificate din interfața web locală a dispozitivului. Alternativ, puteți adăuga certificate rulând comenzile API. Pentru a vedea ce comenzi vă permit să adăugați certificate, consultați roomos.cisco.com .

Certificate de servicii și CA-uri de încredere

Validarea certificatului poate fi necesară atunci când utilizați TLS (Transport Layer Security). Un server sau un client poate solicita ca dispozitivul să prezinte un certificat valid înainte de a fi configurată comunicarea.

Certificatele sunt fișiere text care verifică autenticitatea dispozitivului. Aceste certificate trebuie să fie semnate de către o Certificate Authority (CA) de încredere. Pentru a verifica semnătura certificatelor, pe dispozitiv trebuie să existe o listă de autorități de certificare (CA) de încredere. Lista trebuie să includă toate CA necesare pentru a verifica certificatele atât pentru înregistrarea în jurnalul de audit, cât și pentru alte conexiuni.

Certificatele sunt utilizate pentru următoarele servicii: server HTTPS, SIP, IEEE 802.1X și jurnalele de audit. Aveți posibilitatea să stocați mai multe certificate pe dispozitiv, dar numai un singur certificat este activat pentru fiecare serviciu la un moment dat.

Pe RoomOS octombrie 2023 și versiunile ulterioare, atunci când adăugați un certificat CA la un dispozitiv, acesta se aplică și unui Room Navigator, dacă este conectat unul. Pentru a sincroniza certificatele CA adăugate anterior cu un Room Navigator conectat, trebuie să reporniți dispozitivul. Dacă nu doriți ca perifericele să primească aceleași certificate ca dispozitivul la care sunt conectate, setați configurația Peripherals Security Certificates SyncToPeripherals la False.

Certificatele stocate anterior nu se șterg automat. Intrările dintr-un fișier nou cu certificate CA sunt adăugate la lista existentă.

Pentru conexiunea Wi-Fi

Vă recomandăm să adăugați un certificat CA de încredere pentru fiecare dispozitiv Board, Desk sau Room Series, dacă rețeaua dvs. utilizează autentificarea WPA-EAP. Trebuie să efectuați acest lucru în mod individual pentru fiecare dispozitiv și înainte de a vă conecta la Wi-Fi.

Pentru a adăuga certificate pentru conexiunea Wi-Fi, aveți nevoie de următoarele fișiere:

  • Lista de certificate CA (format fișier: .PEM)

  • Certificat (format fișier: .PEM)

  • Cheie privată, fie ca fișier separat, fie inclusă în același fișier cu certificatul (format fișier: .PEM)

  • Parolă (necesară numai dacă cheia privată este criptată)

Certificatul și cheia privată sunt stocate în același fișier pe dispozitiv. Dacă autentificarea eșuează, conexiunea nu va fi stabilită.

Cheia privată și parola nu sunt aplicate perifericelor conectate.

Adăugați certificate pe dispozitivele Board, Desk și Room Series

1

Din vizualizarea clientului din https://admin.webex.com , accesați pagina Dispozitive și selectați dispozitivul din listă. Accesați Asistență și lansați Comenzi locale pentru dispozitive .

Dacă ați configurat un utilizator Admin local pe dispozitiv, puteți accesa interfața web direct prin introducerea în browserul web a adresei http(s)://<IP sau nume de gazdă terminal>.

2

Navigați la Securitate > Certificate > Personalizat > Adăugare certificat și încărcați certificatele dvs. rădăcină CA.

3

În openssl, generați o cheie privată și solicitarea de certificat. Copiați conținutul solicitării de certificat. Apoi lipiți-l pentru a solicita certificatul de server de la Certificate Authority (CA).

4

Descărcați certificatul de server semnat de CA-ul dvs. Asigurați-vă că este în format .PEM.

5

Navigați la Securitate > Certificate > Servicii > Adăugare certificat și încărcați cheia privată și certificatul de server.

6

Activați serviciile pe care doriți să le utilizați pentru certificatul pe care tocmai l-ați adăugat.

Generați o cerere de semnare a certificatului (CSR)

Administratorii trebuie să genereze o cerere de semnare a certificatului (CSR) din Control Hub pentru un dispozitiv Board, Desk sau Room Series înregistrat în cloud.

Urmați acești pași pentru a genera un CSR și a încărca un certificat semnat pe dispozitivul dvs.:

  1. Din vizualizarea clientului din Control Hub, accesați pagina Dispozitive și selectați dispozitivul din listă.
  2. Navigați la Acțiuni > Executare xCommand > Securitate > Certificate > CSR > Creare.
  3. Introduceți detaliile certificatului necesare și selectați Executare.
  4. Copiați tot textul dintre ----BEGIN CERTIFICATE REQUEST---- și ----END CERTIFICATE REQUEST----.
  5. Folosește un Certificate Authority (CA) la alegere pentru a semna CSR.
  6. Exportați certificatul semnat în format PEM (codificat Base64).
  7. Deschideți fișierul certificatului semnat într-un editor de text (de exemplu, Notepad) și copiați tot textul dintre ----BEGIN CERTIFICATE---- și ----END CERTIFICATE----.
  8. În Control Hub, navigați la Dispozitive > selectați dispozitivul > Acțiuni > Executați xCommand > Securitate > Certificate > CSR > Legătură.
  9. Lipiți conținutul certificatului copiat în secțiunea Corp și selectați Executare.
  10. Reîmprospătați pagina pentru a verifica dacă certificatul apare sub Certificat existent.

Protocol simplu de înscriere a certificatelor (SCEP)

Protocolul simplu de înscriere a certificatelor (SCEP) oferă un mecanism automat pentru înscrierea și actualizarea certificatelor care sunt utilizate, de exemplu, pentru autentificarea 802.1X pe dispozitive. SCEP vă permite să mențineți accesul dispozitivului la rețele securizate fără intervenție manuală.

  • Când dispozitivul este nou sau a fost resetat la setările din fabrică, are nevoie de acces la rețea pentru a accesa adresa URL SCEP. Dispozitivul trebuie conectat la rețea fără 802.1X pentru a obține o adresă IP.

  • Dacă utilizați o înregistrare wireless SSID, parcurgeți ecranele de integrare pentru a configura conexiunea cu rețeaua.

  • După ce v-ați conectat la rețeaua de aprovizionare, dispozitivul nu trebuie să fie pe un anumit ecran de integrare.

  • Pentru a se potrivi tuturor implementărilor, xAPI-urile de înscriere SCEP nu vor stoca certificatul CA utilizat pentru semnarea certificatului dispozitivului. Pentru autentificarea serverului, certificatul CA utilizat pentru validarea certificatului serverului trebuie adăugat împreună cu xCommand Security Certificates CA Add.

Condiţii prealabile

Aveți nevoie de următoarele informații:

  • URL-ul serverului SCEP.

  • Amprenta digitală a certificatului CA semnatar (Certificate Authority).

  • Informații despre certificatul pentru înscriere. Acesta constituie *Numele subiectului* al certificatului.

    • Denumire comună

    • Numele țării

    • Numele statului sau provinciei

    • Numele localității

    • Numele organizației

    • Unitate organizațională

  • Numele subiectului va fi ordonat astfel /C= /ST= /L= /O= /OU= /CN=

  • Parola de verificare a serverului SCEP dacă ați configurat serverul SCEP să impună un OTP sau un secret partajat.

Puteți seta dimensiunea cheii necesară pentru perechea de chei de solicitare a certificatului utilizând următoarea comandă. Implicit este 2048.

 Dimensiunea cheii de înscriere pentru securitatea xConfiguration: <2048, 3072, 4096>

Trimitem o cerere de certificat valabilă un an, până la expirarea certificatului. Politica server-side poate modifica data de expirare în timpul semnării certificatului.

Conexiune Ethernet

Când un dispozitiv este conectat la o rețea, asigurați-vă că poate accesa serverul SCEP. Dispozitivul trebuie conectat la o rețea fără 802.1x pentru a obține o adresă IP. Adresa MAC a dispozitivului poate necesita furnizarea rețelei de furnizare pentru a obține o adresă IP. Adresa MAC poate fi găsită pe interfața cu utilizatorul sau pe eticheta de pe spatele dispozitivului.

După ce dispozitivul este conectat la rețea, vă puteți conecta prin SSH la dispozitiv ca administrator pentru a accesa TSH, executați următoarea comandă pentru a trimite cererea SCEP de înscriere: 

Cerere SCEP de înscriere la serviciile xCommand Security Certificates

După ce serverul SCEP returnează certificatul dispozitivului semnat, activați 802.1X.

Activați certificatul semnat:

Activare servicii certificate de securitate xCommand

Reporniți dispozitivul după activarea certificatului.

Conexiune wireless

Când un dispozitiv este conectat la o rețea wireless, asigurați-vă că poate accesa serverul SCEP.

După ce dispozitivul este conectat la rețea, vă puteți conecta prin SSH la dispozitiv ca administrator pentru a accesa TSH, executați următoarea comandă pentru a trimite cererea SCEP de înscriere: 

Cerere SCEP de înscriere la serviciile xCommand Security Certificates

Dispozitivul primește certificatul semnat de la serverul SCEP.

Activați certificatul semnat: 

Activare servicii certificate de securitate xCommand

După activare, trebuie să configurați rețeaua Wi-Fi cu autentificarea EAP-TLS. 

Configurare rețea Wifi xCommand

În mod implicit, configurația Wi-Fi omite verificările de validare a serverului. Dacă este necesară o singură autentificare unidirecțională, atunci păstrați PermiteCA lipsă implicit la Adevărat.

Pentru a forța validarea serverului, asigurați-vă că PermiteCA lipsă parametrul opțional este setat la Fals. Dacă nu se poate stabili o conexiune din cauza unor erori de validare a serviciului, verificați dacă a fost adăugată autoritatea de certificare (CA) corectă pentru a verifica certificatul serverului, care poate fi diferit de certificatul dispozitivului.

Descrieri API

Rol: Administrator, Integrator

Cerere SCEP de înscriere la serviciile xCommand Security Certificates

Trimite un mesaj CSR către un server SCEP dat pentru semnare. Parametrii CSR SubjectName vor fi construiți în următoarea ordine: C, ST, L, O, OUs, CN.

Parametri:

  • URL(r): <S: 0, 256>

    Adresa URL a serverului SCEP.

  • Amprentă digitală (r): <S: 0, 128>

    Amprenta digitală a certificatului CA care va semna solicitarea SCEP CSR.

  • Nume comun(r): <S: 0, 64>

    Adaugă „/CN=" la numele subiectului CSR.

  • ParolăProvocare: <S: 0, 256>

    OTP sau Secret partajat de la serverul SCEP pentru acces la semnătură.

  • Nume țară: <S: 0, 2>

    Adaugă „/C=" la numele subiectului CSR.

  • NumeStatSauProvincie: <S: 0, 64>

    Adaugă „/ST=" la numele subiectului CSR.

  • NumeLocalitate: <S: 0, 64>

    Adaugă „/L=" la numele subiectului CSR.

  • Nume organizație: <S: 0, 64>

    Adaugă „/O=" la numele subiectului CSR.

  • Unitate organizațională[5]: <S: 0, 64>

    Adaugă până la 5 parametri "/OU=" la numele subiectului CSR.

  • SanDns[5]: <S: 0, 64>

    Adaugă până la 5 parametri DNS la numele alternativ al subiectului CSR.

  • SanEmail[5]: <S: 0, 64>

    Adaugă până la 5 parametri de e-mail la numele alternativ al subiectului CSR.

  • SanIp[5]: <S: 0, 64>

    Adaugă până la 5 parametri IP la numele alternativ al subiectului CSR.

  • SanUri[5]: <S: 0, 64>

    Adaugă până la 5 parametri URI la numele alternativ al subiectului CSR.

Profiluri de înscriere pentru servicii de certificate de securitate xCommand Ștergere

Șterge un profil de înscriere pentru a nu mai reînnoi certificatele.

Parametrii:

  • Amprentă (r): <S: 0, 128>

    Amprenta certificatului CA care identifică profilul pe care doriți să îl eliminați. Puteți vedea profilurile disponibile pentru eliminare rulând: 

    Lista de profiluri de înscriere a serviciilor de certificate de securitate xCommand

Lista de profiluri de înscriere a serviciilor de certificate de securitate xCommand

Listează profilurile de înscriere pentru reînnoirea certificatului.

 Certificate de securitate xCommand Încadrare servicii Profiluri SCEP Set amprentă(r): <S: 0, 128> URL(r): <S: 0, 256>

Adăugați un profil de înscriere pentru certificatele emise de amprenta CA pentru a utiliza URL-ul SCEP dat pentru reînnoire.

Reînnoire

 Set de profiluri SCEP pentru înscrierea certificatelor de securitate xCommand

Pentru a reînnoi automat certificatul, dispozitivul trebuie să poată accesa URL-ul SCEP care poate renunța la certificat.

O dată pe zi, dispozitivul va verifica dacă există certificate care vor expira în 45 de zile. Dispozitivul va încerca apoi să reînnoiască aceste certificate dacă emitentul lor corespunde unui profil.

NOTĂ: Toate certificatele dispozitivelor vor fi verificate pentru reînnoire, chiar dacă certificatul nu a fost înscris inițial utilizând SCEP.

Navigator

  1. Asociere directă: certificatele înscrise pot fi activate ca certificate de "asociere".

  2. Remote Paired: Spuneți navigatorului să înscrie un nou certificat SCEP utilizând ID-ul perifericului:

    Periferice xCommand Certificate de securitate Servicii Înscriere Solicitare SCEP 

    Profilurile de înscriere sunt sincronizate automat cu navigatorul asociat.

  3. Navigator independent: la fel ca înscrierea codecului

Configurarea autentificării 802.1x în Room Navigator

Puteți configura autentificarea 802.1x direct din meniul Setări din Room Navigator.

Standardul de autentificare 802.1x este deosebit de important pentru rețelele Ethernet și asigură faptul că numai dispozitivele autorizate primesc acces la resursele rețelei.

Sunt disponibile diferite opțiuni de conectare pe baza metodei EAP configurate în rețeaua dvs. De exemplu:

  • TLS: Numele de utilizator și parola nu sunt utilizate.
  • PEAP: Certificatele nu sunt utilizate.
  • TTLS: Sunt necesare atât numele de utilizator / parola, cât și certificatele; Niciuna dintre acestea nu este opțională.

Există mai multe modalități de a obține certificatul client pe un dispozitiv:

  1. Încărcați PEM: Utilizați caracteristica Adăugare servicii certificate de securitate.
  2. Creați CSR: Generați o solicitare de semnare a certificatului (CSR), semnați-o și conectați-o utilizând certificatele de securitate CSR Creare/Conectare.
  3. SCEP: Utilizați solicitarea SCEP de înscriere a serviciilor de certificate de securitate.
  4. DHCP Opțiunea 43: Configurați livrarea certificatului prin această opțiune.

Configurarea și actualizarea certificatelor pentru 802.1x trebuie efectuate înainte de asocierea Room Navigator la un sistem sau după resetarea Room Navigator la setările din fabrică.

Acreditările implicite sunt admin și parolă necompletată. Pentru mai multe informații despre cum să adăugați certificate accesând API, consultați cea mai recentă versiune a ghidului API.

  1. Deschideți panoul de control de pe Navigator atingând butonul din colțul din dreapta sus sau glisând din partea dreaptă. Apoi atingeți Setări dispozitiv.
  2. Accesați Conexiune la rețea și selectați Ethernet .
  3. Activați Utilizare IEEE 802.1X.
    • Dacă autentificarea este configurată cu acreditări, introduceți identitatea utilizatorului și fraza de acces. De asemenea, puteți introduce o identitate anonimă: acesta este un câmp opțional care oferă o modalitate de a separa identitatea utilizatorului real de solicitarea inițială de autentificare.
    • Puteți comuta TLS Verificați dezactivat sau activat. Când TLS verify este activat, clientul verifică în mod activ autenticitatea certificatului serverului în timpul strângerii de mână TLS. Când TLS verify este dezactivat, clientul nu efectuează verificarea activă a certificatului serverului.
    • Dacă ați încărcat un certificat de client accesând API, activați Utilizați certificatul de client.
    • Comutați metodele Extensible Authentication Protocol (EAP) pe care doriți să le utilizați. Alegerea metodei EAP depinde de cerințele specifice de securitate, infrastructură și capacitățile clientului. Metodele EAP sunt cruciale pentru a permite accesul securizat și autentificat la rețea.