Puteți să adăugați certificate din interfața web locală a dispozitivului. Alternativ, puteți adăuga certificate executând API comenzi. Pentru a vedea ce comenzi vă permit să adăugați certificate, consultați roomos.cisco.com .

Certificatele de service și CA de încredere

Validarea certificatului poate fi necesară atunci când utilizați TLS (Transport Layer Security). Un server sau un client poate solicita ca dispozitivul să prezinte un certificat valid înainte de a fi configurată comunicarea.

Certificatele sunt fișiere text care verifică autenticitatea dispozitivului. Aceste certificate trebuie să fie semnate de către o Certificate Authority (CA) de încredere. Pentru a verifica semnătura certificatelor, o listă de CA de încredere trebuie să se afle pe dispozitiv. Lista trebuie să includă toate CA necesare pentru a verifica certificatele atât pentru înregistrarea în jurnalul de audit, cât și pentru alte conexiuni.

Certificatele sunt utilizate pentru următoarele servicii: server HTTPS, SIP, IEEE 802.1X și jurnalele de audit. Aveți posibilitatea să stocați mai multe certificate pe dispozitiv, dar numai un singur certificat este activat pentru fiecare serviciu la un moment dat.

În RoomOS octombrie 2023 și versiunile ulterioare, atunci când adăugați un certificat CA la un dispozitiv, acesta este aplicat și unui Room Navigator, dacă este conectat unul. Pentru a sincroniza certificatele CA adăugate anterior cu un Room Navigator conectat, trebuie să reporniți dispozitivul. Dacă nu doriți ca perifericele să obțină aceleași certificate ca dispozitivul la care este conectat, setați configurația Certificate de securitate periferice SyncToPeripherals la False.

Pentru Wi-Fi conexiune

Vă recomandăm să adăugați un certificat CA de încredere pentru fiecare dispozitiv din seria Board, Desk sau Room, dacă rețeaua utilizează autentificarea WPA-EAP. Trebuie să efectuați acest lucru în mod individual pentru fiecare dispozitiv și înainte de a vă conecta la Wi-Fi.

Pentru a adăuga certificate pentru conexiunea Wi-Fi, aveți nevoie de următoarele fișiere:

• Lista de certificate CA (format fișier: .PEM)

• Certificat (format fișier: .PEM)

• Cheie privată, fie ca fișier separat, fie inclusă în același fișier cu certificatul (format fișier: .PEM)

• Parolă (necesară numai dacă cheia privată este criptată)

Certificatul și cheia privată sunt stocate în același fișier pe dispozitiv. Dacă autentificarea eșuează, conexiunea nu va fi stabilită.

Simple Certificate Enrollment Protocol (SCEP) oferă un mecanism automat pentru înscrierea și reîmprospătarea certificatelor care sunt utilizate, de exemplu, autentificarea 802.1X pe dispozitive. SCEP vă permite să mențineți accesul dispozitivului la rețele securizate fără intervenție manuală.

• Când dispozitivul este nou sau a fost resetat la setările din fabrică, are nevoie de acces la rețea pentru a ajunge la URL-ul SCEP. Dispozitivul trebuie să fie conectat la rețea fără 802.1X pentru a obține o adresă IP.

• Dacă utilizați un SSID de înscriere wireless, trebuie să parcurgeți ecranele de integrare pentru a configura conexiunea la rețea.

• După ce v-ați conectat la rețeaua de asigurare a accesului, dispozitivul nu trebuie să se afle pe un anumit ecran de integrare în această etapă.

• Pentru a se potrivi tuturor implementărilor, xAPI-urile SCEP Enrollment nu vor stoca certificatul CA utilizat pentru semnarea certificatului dispozitivului. Pentru autentificarea serverului, certificatul CA utilizat pentru validarea certificatului serverului trebuie adăugat cu xCommand Security Certificates CA Add.

Condiţii prealabile

Aveți nevoie de următoarele informații:

• Adresa URL a serverului SCEP.

• Amprenta digitală a certificatului CA (Certificate Authority) semnatar.

• Informații despre certificatul de înscriere. Acesta constituie numele subiectului certificatului.

  • Denumirea comună

  • Numele țării

  • Numele statului sau provinciei

  • Numele localității

  • Numele organizației

  • Unitate organizațională

• Numele subiectului va fi ordonat ca /C= /ST= /L= /O= /OU= /CN=

• Parola de provocare a serverului SCEP dacă ați configurat serverul SCEP pentru a impune un OTP sau un secret partajat.

Puteți seta dimensiunea cheii necesare pentru asocierea de chei de solicitare a certificatului, utilizând următoarea comandă. Valoarea implicită este 2048.

 xConfiguration Security Enrollment KeySize: <2048, 3072, 4096>

Trimitem o solicitare de certificat care este valabilă timp de un an pentru expirarea certificatului. Politica pe partea de server poate modifica data de expirare în timpul semnării certificatului.

Conexiune Ethernet

Când un dispozitiv este conectat la o rețea, asigurați-vă că poate accesa serverul SCEP. Dispozitivul trebuie să fie conectat la o rețea fără 802.1x pentru a obține o adresă IP. Este posibil ca adresa de MAC a dispozitivului să trebuiască să fie furnizată rețelei de asigurare a accesului pentru a obține o adresă IP. Adresa MAC poate fi găsită pe interfața de utilizare sau pe eticheta din spatele dispozitivului.

După ce dispozitivul este conectat la rețea, puteți SSH pe dispozitiv ca administrator pentru a accesa TSH, apoi rulați următoarea comandă pentru a trimite solicitarea SCEP de înscriere:

Solicitare SCEP pentru înscrierea serviciilor de certificate de securitate xCommand 

După ce serverul SCEP returnează certificatul semnat al dispozitivului, activați 802.1X.

Activați certificatul semnat:

Serviciile de certificate de securitate xCommand se activează 

Reporniți dispozitivul după activarea certificatului.

Conexiune wireless

Când un dispozitiv este conectat la o rețea fără fir, asigurați-vă că poate accesa serverul SCEP.

După ce dispozitivul este conectat la rețea, puteți SSH pe dispozitiv ca administrator pentru a accesa TSH, apoi rulați următoarea comandă pentru a trimite solicitarea SCEP de înscriere:

Solicitare SCEP pentru înscrierea serviciilor de certificate de securitate xCommand 

Dispozitivul primește certificatul semnat de la serverul SCEP.

Activați certificatul semnat:

Serviciile de certificate de securitate xCommand se activează

După activare, trebuie să configurați rețeaua Wi-Fi cu autentificare EAP-TLS.

xCommand Network Wifi Configurare 

În mod implicit, configurația Wi-Fi omite verificările validării serverului. Dacă este necesară doar autentificarea unidirecțională, mențineți AllowMissingCA implicit la True.

Pentru a forța validarea serverului, asigurați-vă că parametrul opțional AllowMissingCA este setat la False. Dacă nu se poate stabili o conexiune din cauza erorilor de validare a serviciului, verificați dacă a fost adăugată CA corectă pentru a verifica certificatul de server, care poate fi diferit de certificatul dispozitivului.

API descrieri

Rol: Admin, Integrator

Solicitare SCEP pentru înscrierea serviciilor de certificate de securitate xCommand

Trimite un CSR la un anumit server SCEP pentru semnare. Parametrii CSR SubjectName vor fi construiți în următoarea ordine: C, ST, L, O, OUs, NC.

Parametrii:

• Adresă: <S: 0, 256>

  Adresa URL a serverului SCEP.

• Amprentă (r): <S: 0, 128>

  Amprenta certificatului CA care va semna CSR de solicitare SCEP.

• CommonName(r): <S: 0, 64>

  Adaugă "/CN=" la numele CSR al subiectului.

• ChallengePassword: <S: 0, 256>

  OTP sau secret partajat de pe serverul SCEP pentru acces la semn.

• CountryName: <S: 0, 2>

  Adaugă "/c=" la numele subiectului CSR.

• StateOrProvinceNume: <S: 0, 64>

  Adaugă "/ST=" la numele subiectului CSR.

• LocalityName: <S: 0, 64>

  Adaugă "/l=" la numele CSR al subiectului.

• NumeOrganizație: <S: 0, 64>

  Adaugă "/o=" la numele CSR al subiectului.

• Unitatea organizatorică[5]: <S: 0, 64>

  Adaugă până la 5 parametri "/OU=" la numele CSR al subiectului.

• SanDns[5]: <S: 0, 64>

  Adaugă până la 5 parametri Dns la numele alternativ al subiectului CSR.

• SanEmail[5]: <S: 0, 64>

  Adaugă până la 5 parametri de e-mail la numele alternativ al subiectului CSR.

• SanIp[5]: <S: 0, 64>

  Adaugă până la 5 parametri IP la numele alternativ al subiectului CSR.

• SanUri[5]: <S: 0, 64>

  Adaugă până la 5 parametri Uri la numele alternativ al subiectului CSR.

Certificate de securitate xCommand Profiluri de înscriere servicii Ștergere

Șterge un profil de înscriere pentru a nu mai reînnoi certificatele.

Parametrii:

• Amprentă (r): <S: 0, 128>

  Identificatorul unic pentru certificatul care este șters. Puteți obține ID-ul amprentei rulând:

   Afișarea serviciilor de certificate de securitate xCommand

Lista de profiluri de înscriere a serviciilor de certificate de securitate xCommand

Listează profilurile de înscriere pentru reînnoirea certificatului.

 Certificate de securitate xCommand Încadrare servicii Profiluri SCEP Set amprentă(r): <S: 0, 128> URL(r): <S: 0, 256>

Adăugare certificat nou

Reînnoire

 Set de profiluri SCEP pentru înscrierea certificatelor de securitate xCommand

Pentru a reînnoi automat certificatul, dispozitivul trebuie să poată accesa URL-ul SCEP care poate renunța la certificat.

O dată pe zi, dispozitivul va verifica dacă există certificate care vor expira în 45 de zile. Dispozitivul va încerca apoi să reînnoiască aceste certificate dacă emitentul lor corespunde unui profil.

NOTĂ: Toate certificatele dispozitivelor vor fi verificate pentru reînnoire, chiar dacă certificatul nu a fost înscris inițial utilizând SCEP.

Navigator

1. Asociere directă: certificatele înscrise pot fi activate ca certificate de "asociere".

2. Remote Paired: Spuneți navigatorului să înscrie un nou certificat SCEP utilizând ID-ul perifericului:

   Periferice xCommand Certificate de securitate Servicii Înscriere Solicitare SCEP 

   Profilurile de înscriere sunt sincronizate automat cu navigatorul asociat.

3. Navigator independent: la fel ca înscrierea codecului