Puteți adăuga certificate din interfața web locală a dispozitivului. Alternativ, puteți adăuga certificate executând comenzi API. Pentru a vedea ce comenzi vă permit să adăugați certificate, consultați roomos.cisco.com .

Certificate de serviciu și CA de încredere

Validarea certificatului poate fi necesară atunci când utilizați TLS (Transport Layer Security). Un server sau un client poate solicita ca dispozitivul să le prezinte un certificat valid înainte de configurarea comunicării.

Certificatele sunt fișiere text care verifică autenticitatea dispozitivului. Aceste certificate trebuie să fie semnate de o autoritate de certificare de încredere (CA). Pentru a verifica semnătura certificatelor, o listă de CA de încredere trebuie să se afle pe dispozitiv. Lista trebuie să includă toate autoritățile competente necesare pentru a verifica certificatele atât pentru înregistrarea în jurnal a auditului, cât și pentru alte conexiuni.

Certificatele sunt utilizate pentru următoarele servicii: Server HTTPS, SIP, IEEE 802.1X și înregistrarea în jurnal a auditului. Puteți stoca mai multe certificate pe dispozitiv, dar este activat un singur certificat pentru fiecare serviciu la un moment dat.

În RoomOS octombrie 2023 și versiunile ulterioare, atunci când adăugați un certificat CA la un dispozitiv, acesta este aplicat și la un Room Navigator, dacă unul este conectat. Pentru a sincroniza certificatele CA adăugate anterior într-un Room Navigator conectat, trebuie să reporniți dispozitivul. Dacă nu doriți ca periferice să primească aceleași certificate ca dispozitivul la care este conectat, setați configurația Sincronizare certificate de securitate periferice la valoarea Fals.


Certificatele stocate anterior nu sunt șterse automat. Intrările dintr-un fișier nou cu certificate CA sunt anexate la lista existentă.

Pentru o conexiune Wi-Fi

Vă recomandăm să adăugați un certificat CA de încredere pentru fiecare dispozitiv din seria Board, Desk sau Room dacă rețeaua utilizează autentificarea WPA-EAP. Trebuie să faceți acest lucru individual pentru fiecare dispozitiv și înainte de a vă conecta la Wi-Fi.

Pentru a adăuga certificate pentru conexiunea Wi-Fi, aveți nevoie de următoarele fișiere:

  • Lista de certificate CA (format fișier: .PEM)

  • Certificat (format fișier: .PEM)

  • Cheie privată, fie ca fișier separat, fie inclusă în același fișier cu certificatul (format fișier: .PEM)

  • Frază de acces (necesară numai dacă cheia privată este criptată)

Certificatul și cheia privată sunt stocate în același fișier de pe dispozitiv. Dacă autentificarea nu reușește, conexiunea nu va fi stabilită.


Cheia privată și fraza de acces nu sunt aplicate la periferice conectate.

Adăugarea certificatelor pe dispozitivele din seriile Board, Desk și Room

1

Din vizualizarea client din https://admin.webex.com , accesați pagina Dispozitive și selectați dispozitivul din listă. Accesați Asistență și lansați Comenzile dispozitivului local .

Dacă ați configurat un utilizator Admin local pe dispozitiv, puteți accesa interfața web direct deschizând un browser web și tastând http(s)://.

2

Navigați la certificatele de securitate > > > particularizate adăugați certificatul și încărcați certificatele rădăcină CA.

3

Pe openssl, genera o cheie privată și solicitare de certificat. Copiați conținutul cererii de certificat. Apoi lipiți-l pentru a solicita certificatul de server de la autoritatea de certificare (CA).

4

Descărcați certificatul de server semnat de CA. Asigurați-vă că este în . Format PEM.

5

Navigați la Certificate > de securitate > servicii > Adăugați certificat și încărcați cheia privată și certificatul de server.

6

Activați serviciile pe care doriți să le utilizați pentru certificatul pe care tocmai l-ați adăugat.

Protocol simplu de înregistrare a certificatelor (SCEP)

Simple Certificate Enrollment Protocol (SCEP) oferă un mecanism automat de înregistrare și reîmprospătare a certificatelor care sunt utilizate pentru, de exemplu, autentificarea 802.1X pe dispozitive. SCEP vă permite să mențineți accesul dispozitivului la rețele securizate fără intervenție manuală.

  • Atunci când dispozitivul este nou sau a fost resetat la setările din fabrică, acesta are nevoie de acces la rețea pentru a accesa URL SCEP. Dispozitivul trebuie să fie conectat la rețea fără 802.1X pentru a obține o adresă IP.

  • Dacă utilizați un SSID de înregistrare wireless, trebuie să parcurgeți ecranele de integrare pentru a configura conexiunea la rețea.

  • După ce v-ați conectat la rețeaua de asigurare a accesului, dispozitivul nu trebuie să fie pe un anumit ecran de integrare în această etapă.

  • Pentru a se potrivi cu toate implementările, xAPI-urile de înregistrare SCEP nu vor stoca certificatul CA utilizat pentru a semna certificatul dispozitivului. Pentru autentificarea serverului, certificatul CA utilizat pentru validarea certificatului serverului trebuie adăugat cu xCommand Security Certificates CA Add.

Cerințe preliminare

Aveți nevoie de următoarele informații:

  • URL-ul serverului SCEP.

  • Amprenta certificatului CA (Certificate Authority) care semnează.

  • Informații despre certificatul care se va înregistra. Aceasta constituie Numele subiectului certificatului.

    • Denumire comună

    • Nume țară

    • Denumire organizație

  • Parola de provocare a serverului SCEP dacă ați configurat serverul SCEP pentru a impune un OTP sau un secret partajat.

Trimitem o solicitare de certificat care este valabilă un an pentru expirarea certificatului. Politica de pe server poate schimba data de expirare în timpul semnării certificatului.

Conexiune Ethernet

Atunci când un dispozitiv este conectat la o rețea, asigurați-vă că poate accesa serverul SCEP. Dispozitivul trebuie să fie conectat la o rețea fără 802.1x pentru a obține o adresă IP. Este posibil ca adresa MAC a dispozitivului să fie furnizată rețelei de asigurare a accesului pentru a obține o adresă IP. Adresa MAC poate fi găsită pe interfața cu utilizatorul sau pe eticheta din spatele dispozitivului.

După ce dispozitivul este conectat la rețea, puteți să vă conectați la dispozitiv ca administrator pentru a accesa TSH, apoi să executați următoarea comandă pentru a trimite solicitarea SCEP de înscriere: 
Solicitare SCEP înregistrare servicii certificate de securitate xCommand

După ce serverul SCEP returnează certificatul de dispozitiv semnat, activați 802.1X și apoi reporniți dispozitivul.

Activați certificatul semnat:
Activați serviciile de certificate de securitate xCommand

Reporniți dispozitivul după activarea certificatului.

Conexiune wireless

Atunci când un dispozitiv este conectat la o rețea wireless, asigurați-vă că poate accesa serverul SCEP.

După ce dispozitivul este conectat la rețea, puteți să vă conectați la dispozitiv ca administrator pentru a accesa TSH, apoi să executați următoarea comandă pentru a trimite solicitarea SCEP de înscriere: 
Solicitare SCEP înregistrare servicii certificate de securitate xCommand

Dispozitivul primește certificatul semnat de la serverul SCEP.

Activați certificatul semnat: 

Activați serviciile de certificate de securitate xCommand
După activare, trebuie să configurați rețeaua Wi-Fi cu autentificare EAP-TLS. 
Configurați rețeaua Wi-Fi xCommand

În mod implicit, configurația Wi-Fi omite verificările de validare a serverului. Dacă este necesară doar autentificarea unidirecțională, atunci mențineți valoarea AllowMissingCA prestabilită la valoarea True.

Pentru a forța validarea serverului, asigurați-vă că parametrul opțional AllowMissingCA este setat la valoarea False. Dacă nu se poate stabili o conexiune din cauza erorilor de validare a serviciului, verificați dacă s-a adăugat CA corect pentru a verifica certificatul de server care poate fi diferit de certificatul dispozitivului.

Descrieri API

Rol: Administrator, integrator

Solicitare SCEP înregistrare servicii certificate de securitate xCommand

Solicită și descarcă un certificat de dispozitiv semnat

Parametrii:

  • URL(r): <S: 0, 128>

    URL-ul serverului SCEP utilizat pentru a înscrie un certificat.

  • Amprentă (r): <S: 0, 128>

    Amprenta CA emitentă care va semna solicitarea X509.

  • Parolă provocare: <S: 0, 128>

    Parolă secretă partajată setată de serverul SCEP.

  • Denumire comună: <S: 0, 128>

  • Nume țară: <S: 0, 128>

  • Denumire organizație: <S: 0, 128>

  • SanDns[5]: <S: 0, 128>

  • SanEmail[5]: <S: 0, 128>

  • SanIp[5]: <S: 0, 128>

  • SanUri[5]: <S: 0, 128>

Solicitare de reînnoire SCEP pentru serviciile de certificate de securitate xCommand

Creați sau actualizați un profil de reînnoire automată care este aplicat tuturor certificatelor emise de autoritatea de certificare dată înainte ca certificatele să expire

Parametrii:

  • Amprentă (r): <S: 0, 128>

    Amprenta CA emitentă care a semnat certificatele.

  • URL(r): <S: 0, 128>

    URL-ul serverului SCEP utilizat pentru a reînnoi certificatele. 

Înregistrare servicii certificate de securitate xCommand Ștergere reînnoire SCEP

Eliminați profilul reînnoit automat pentru autoritatea de certificare dată. Această acțiune oprește reînnoirea automată a certificatelor semnate de această CA

Parametrii:

  • Amprentă (r): <S: 0, 128>

    Amprenta autorității de certificare emitente de eliminat.

Listă de reînnoire SCEP privind înregistrarea serviciilor de certificate de securitate xCommand

Enumeră toate profilurile de reînnoire automată utilizate în prezent.