Puteți să adăugați certificate din interfața web locală a dispozitivului. Alternativ, puteți adăuga certificate executând API comenzi. Pentru a vedea ce comenzi vă permit să adăugați certificate, consultați roomos.cisco.com .

Certificatele de service și CA de încredere

Validarea certificatului poate fi necesară atunci când utilizați TLS (Transport Layer Security). Un server sau un client poate solicita ca dispozitivul să prezinte un certificat valid înainte de a fi configurată comunicarea.

Certificatele sunt fișiere text care verifică autenticitatea dispozitivului. Aceste certificate trebuie să fie semnate de către o Certificate Authority (CA) de încredere. Pentru a verifica semnătura certificatelor, o listă de CA de încredere trebuie să se afle pe dispozitiv. Lista trebuie să includă toate CA necesare pentru a verifica certificatele atât pentru înregistrarea în jurnalul de audit, cât și pentru alte conexiuni.

Certificatele sunt utilizate pentru următoarele servicii: server HTTPS, SIP, IEEE 802.1X și jurnalele de audit. Aveți posibilitatea să stocați mai multe certificate pe dispozitiv, dar numai un singur certificat este activat pentru fiecare serviciu la un moment dat.

În RoomOS octombrie 2023 și versiunile ulterioare, atunci când adăugați un certificat CA la un dispozitiv, acesta este aplicat și unui Room Navigator, dacă este conectat unul. Pentru a sincroniza certificatele CA adăugate anterior cu un Room Navigator conectat, trebuie să reporniți dispozitivul. Dacă nu doriți ca perifericele să obțină aceleași certificate ca dispozitivul la care este conectat, setați configurația Certificate de securitate periferice SyncToPeripherals la False.


Certificatele stocate anterior nu se șterg automat. Intrările dintr-un fișier nou cu certificate CA sunt adăugate la lista existentă.

Pentru Wi-Fi conexiune

Vă recomandăm să adăugați un certificat CA de încredere pentru fiecare dispozitiv din seria Board, Desk sau Room, dacă rețeaua utilizează autentificarea WPA-EAP. Trebuie să efectuați acest lucru în mod individual pentru fiecare dispozitiv și înainte de a vă conecta la Wi-Fi.

Pentru a adăuga certificate pentru conexiunea Wi-Fi, aveți nevoie de următoarele fișiere:

  • Lista de certificate CA (format fișier: .PEM)

  • Certificat (format fișier: .PEM)

  • Cheie privată, fie ca fișier separat, fie inclusă în același fișier cu certificatul (format fișier: .PEM)

  • Parolă (necesară numai dacă cheia privată este criptată)

Certificatul și cheia privată sunt stocate în același fișier pe dispozitiv. Dacă autentificarea eșuează, conexiunea nu va fi stabilită.


Cheia privată și fraza de acces nu se aplică perifericelor conectate.

Adăugarea certificatelor pe dispozitivele din seriile Board, Desk și Room

1

Din vizualizarea clientului din https://admin.webex.com , accesați pagina Dispozitive și selectați-vă dispozitivul din listă. Accesați Asistență și lansați Comenzi dispozitiv local.

Dacă ați configurat un utilizator Admin local pe dispozitiv, puteți accesa interfața web direct prin introducerea în browserul web a adresei http(s)://<IP sau nume de gazdă terminal>.

2

Navigați la Securitate > Certificate > Personalizat > Adăugare certificat și încărcați certificatele dvs. rădăcină CA.

3

În openssl, generați o cheie privată și solicitarea de certificat. Copiați conținutul solicitării de certificat. Apoi lipiți-l pentru a solicita certificatul de server de la Certificate Authority (CA).

4

Descărcați certificatul de server semnat de CA. Asigurați-vă că este în . Formatul PEM.

5

Navigați la Securitate > Certificate > Servicii > Adăugare certificat și încărcați cheia privată și certificatul de server.

6

Activați serviciile pe care doriți să le utilizați pentru certificatul pe care tocmai l-ați adăugat.

Protocol simplu de înscriere a certificatelor (SCEP)

Simple Certificate Enrollment Protocol (SCEP) oferă un mecanism automat pentru înscrierea și reîmprospătarea certificatelor, care sunt utilizate, de exemplu, pentru autentificarea 802.1X pe dispozitive. SCEP vă permite să mențineți accesul dispozitivului la rețele securizate fără intervenție manuală.

  • Când dispozitivul este nou sau a fost resetat la setările din fabrică, are nevoie de acces la rețea pentru a ajunge la URL-ul SCEP. Dispozitivul trebuie să fie conectat la rețea fără 802.1X pentru a obține o adresă IP.

  • Dacă utilizați un SSID de înscriere wireless, trebuie să parcurgeți ecranele de integrare pentru a configura conexiunea la rețea.

  • După ce v-ați conectat la rețeaua de asigurare a accesului, dispozitivul nu trebuie să se afle pe un anumit ecran de integrare în această etapă.

  • Pentru a se potrivi tuturor implementărilor, xAPI-urile SCEP Enrollment nu vor stoca certificatul CA utilizat pentru semnarea certificatului dispozitivului. Pentru autentificarea serverului, certificatul CA utilizat pentru validarea certificatului serverului trebuie adăugat cu xCommand Security Certificates CA Add.

Condiţii prealabile

Aveți nevoie de următoarele informații:

  • Adresa URL a serverului SCEP.

  • Amprenta digitală a certificatului CA (Certificate Authority) semnatar.

  • Informații despre certificatul de înscriere. Acesta constituie numele subiectului certificatului.

    • Denumirea comună

    • Numele țării

    • Numele organizației

  • Parola de provocare a serverului SCEP dacă ați configurat serverul SCEP pentru a impune un OTP sau un secret partajat.

Trimitem o solicitare de certificat care este valabilă timp de un an pentru expirarea certificatului. Politica pe partea de server poate modifica data de expirare în timpul semnării certificatului.

Conexiune Ethernet

Când un dispozitiv este conectat la o rețea, asigurați-vă că poate accesa serverul SCEP. Dispozitivul trebuie să fie conectat la o rețea fără 802.1x pentru a obține o adresă IP. Este posibil ca adresa de MAC a dispozitivului să trebuiască să fie furnizată rețelei de asigurare a accesului pentru a obține o adresă IP. Adresa MAC poate fi găsită pe interfața de utilizare sau pe eticheta din spatele dispozitivului.

După ce dispozitivul este conectat la rețea, puteți SSH pe dispozitiv ca administrator pentru a accesa TSH, apoi rulați următoarea comandă pentru a trimite solicitarea SCEP de înscriere: 
Solicitare SCEP pentru înscrierea serviciilor de certificate de securitate xCommand

După ce serverul SCEP returnează certificatul de dispozitiv semnat, activați 802.1X și apoi reporniți dispozitivul.

Activați certificatul semnat:
Serviciile de certificate de securitate xCommand se activează

Reporniți dispozitivul după activarea certificatului.

Conexiune wireless

Când un dispozitiv este conectat la o rețea fără fir, asigurați-vă că poate accesa serverul SCEP.

După ce dispozitivul este conectat la rețea, puteți SSH pe dispozitiv ca administrator pentru a accesa TSH, apoi rulați următoarea comandă pentru a trimite solicitarea SCEP de înscriere: 
Solicitare SCEP pentru înscrierea serviciilor de certificate de securitate xCommand

Dispozitivul primește certificatul semnat de la serverul SCEP.

Activați certificatul semnat: 

Serviciile de certificate de securitate xCommand se activează
După activare, trebuie să configurați rețeaua Wi-Fi cu autentificare EAP-TLS. 
xCommand Network Wifi Configurare

În mod implicit, configurația Wi-Fi omite verificările validării serverului. Dacă este necesară doar autentificarea unidirecțională, mențineți AllowMissingCA implicit la True.

Pentru a forța validarea serverului, asigurați-vă că parametrul opțional AllowMissingCA este setat la False. Dacă nu se poate stabili o conexiune din cauza erorilor de validare a serviciului, verificați dacă a fost adăugată CA corectă pentru a verifica certificatul de server, care poate fi diferit de certificatul dispozitivului.

API descrieri

Rol: Admin, Integrator

Solicitare SCEP pentru înscrierea serviciilor de certificate de securitate xCommand

Solicită și descarcă un certificat de dispozitiv semnat

Parametrii:

  • Adresă: <S: 0, 128>

    URL-ul serverului SCEP utilizat pentru înscrierea unui certificat.

  • Amprentă digitală (r): <S: 0, 128>

    Amprenta autorității de certificare emitente care va semna cererea X509.

  • ChallengePassword: <S: 0, 128>

    Parolă secretă partajată setată de serverul SCEP.

  • CommonName(r): <S: 0, 128>

  • Numele țării: <S: 0, 128>

  • NumeOrganizație: <S: 0, 128>

  • SanDns[5]: <S: 0, 128>

  • SanEmail[5]: <S: 0, 128>

  • SanIp[5]: <S: 0, 128>

  • SanUri[5]: <S: 0, 128>

Certificate de securitate xCommand Solicitare de reînnoire a serviciilor de înrolare SCEP

Crearea sau actualizarea unui profil de reînnoire automată care se aplică tuturor certificatelor emise de autoritatea de certificare dată înainte de expirarea certificatelor

Parametrii:

  • Amprentă (r): <S: 0, 128>

    Amprenta autorității de certificare emitente care a semnat certificatele.

  • Adresă: <S: 0, 128>

    URL-ul serverului SCEP utilizat pentru reînnoirea certificatelor. 

Certificate de securitate xCommand Înrolare servicii Reînnoire SCEP Ștergere

Eliminați profilul de reînnoire automată pentru AC dată. Acest lucru oprește reînnoirea automată a certificatelor semnate de această CA

Parametrii:

  • Amprentă (r): <S: 0, 128>

    Amprenta autorității de certificare emitente trebuie eliminată.

Lista de reînnoire SCEP pentru înscrierea în certificatele de securitate xCommand

Listați toate profilurile de reînnoire automată utilizate în prezent.