Puteți să adăugați certificate din interfața web locală a dispozitivului. Alternativ, puteți adăuga certificate rulând comenzile API. Pentru a vedea ce comenzi vă permit să adăugați certificate, consultați roomos.cisco.com .

Certificate de serviciu și autorități de certificare de încredere

Validarea certificatului poate fi necesară atunci când utilizați TLS (Transport Layer Security). Un server sau un client poate solicita ca dispozitivul să prezinte un certificat valid înainte de a fi configurată comunicarea.

Certificatele sunt fișiere text care verifică autenticitatea dispozitivului. Aceste certificate trebuie să fie semnate de către o Certificate Authority (CA) de încredere. Pentru a verifica semnătura certificatelor, pe dispozitiv trebuie să se afle o listă de autorități de certificare de încredere. Lista trebuie să includă toate CA necesare pentru a verifica certificatele atât pentru înregistrarea în jurnalul de audit, cât și pentru alte conexiuni.

Certificatele sunt utilizate pentru următoarele servicii: server HTTPS, SIP, IEEE 802.1X și jurnalele de audit. Aveți posibilitatea să stocați mai multe certificate pe dispozitiv, dar numai un singur certificat este activat pentru fiecare serviciu la un moment dat.

Pe RoomOS octombrie 2023 și versiuni ulterioare, atunci când adăugați un certificat CA la un dispozitiv, acesta este aplicat și unui Room Navigator dacă este conectat. Pentru a sincroniza certificatele CA adăugate anterior cu un Room Navigator conectat, trebuie să reporniți dispozitivul. Dacă nu doriți ca perifericele să primească aceleași certificate ca dispozitivul la care este conectat, setați configurația Certificate de securitate periferice SyncToPeripherals la False.

Certificatele stocate anterior nu se șterg automat. Intrările dintr-un fișier nou cu certificate CA sunt adăugate la lista existentă.

Pentru conexiune Wi-Fi

Vă recomandăm să adăugați un certificat CA de încredere pentru fiecare dispozitiv Board, Desk sau Room Series, dacă rețeaua dvs. utilizează autentificarea WPA-EAP. Trebuie să efectuați acest lucru în mod individual pentru fiecare dispozitiv și înainte de a vă conecta la Wi-Fi.

Pentru a adăuga certificate pentru conexiunea Wi-Fi, aveți nevoie de următoarele fișiere:

  • Lista de certificate CA (format fișier: .PEM)

  • Certificat (format fișier: .PEM)

  • Cheie privată, fie ca fișier separat, fie inclusă în același fișier cu certificatul (format fișier: .PEM)

  • Parolă (necesară numai dacă cheia privată este criptată)

Certificatul și cheia privată sunt stocate în același fișier pe dispozitiv. Dacă autentificarea eșuează, conexiunea nu va fi stabilită.

Certificatul și cheia sa privată nu se aplică perifericelor conectate.

Adăugarea certificatelor pe dispozitivele Board, Desk și Room Series

1

Din vizualizarea clientului în https://admin.webex.com , accesați pagina Dispozitive și selectați dispozitivul din listă. Accesați Asistență și lansați Comenzi pentru dispozitive locale.

Dacă ați configurat un utilizator Admin local pe dispozitiv, puteți accesa interfața web direct prin introducerea în browserul web a adresei http(s)://<IP sau nume de gazdă terminal>.

2

Navigați la Securitate > Certificate > Personalizat > Adăugare certificat și încărcați certificatele dvs. rădăcină CA.

3

În openssl, generați o cheie privată și solicitarea de certificat. Copiați conținutul solicitării de certificat. Apoi lipiți-l pentru a solicita certificatul de server de la Certificate Authority (CA).

4

Descărcați certificatul de server semnat de CA. Asigurați-vă că este în format . Format PEM.

5

Navigați la Securitate > Certificate > Servicii > Adăugare certificat și încărcați cheia privată și certificatul de server.

6

Activați serviciile pe care doriți să le utilizați pentru certificatul pe care tocmai l-ați adăugat.

Generarea cererii de semnare a certificatului (CSR)

Administratorii trebuie să genereze o solicitare de semnare a certificatului (CSR) de la Control Hub pentru un dispozitiv înregistrat în cloud Board, Desk sau Room Series.

Urmați acești pași pentru a genera un CSR și a încărca un certificat semnat pe dispozitiv:

  1. Din vizualizarea client din Control Hub, accesați pagina Dispozitive și selectați dispozitivul din listă.
  2. Navigați la Acțiuni > Rulați xCommand > Certificate de securitate > > CSR > Creați.
  3. Introduceți detaliile necesare ale certificatului și selectați Executare.
  4. Copiați tot textul dintre ----BEGIN CERTIFICATE REQUEST---- și ----END CERTIFICATE REQUEST----.
  5. Utilizați un Certificate Authority (CA) la alegere pentru a semna CSR.
  6. Exportați certificatul semnat în format PEM (codificat Base64).
  7. Deschideți fișierul certificat semnat într-un editor de text (de exemplu, Notepad) și copiați tot textul dintre ----BEGIN CERTIFICATE---- și ----END CERTIFICATE----.
  8. În Control Hub, navigați la Dispozitive > selectați dispozitivul > Acțiuni > Executați xCommand > Certificate > de securitate > Linkul CSR >.
  9. Lipiți conținutul certificatului copiat în secțiunea Corp și selectați Executare.
  10. Reîmprospătați pagina pentru a verifica dacă certificatul apare sub Certificat existent.

Protocolul simplu de înscriere a certificatului (SCEP)

Simple Certificate Enrollment Protocol (SCEP) oferă un mecanism automat pentru înscrierea și reîmprospătarea certificatelor care sunt utilizate, de exemplu, autentificarea 802.1X pe dispozitive. SCEP vă permite să mențineți accesul dispozitivului la rețele securizate fără intervenție manuală.

  • Când dispozitivul este nou sau a fost resetat din fabrică, are nevoie de acces la rețea pentru a ajunge la adresa URL SCEP. Dispozitivul trebuie conectat la rețea fără 802.1X pentru a obține o adresă IP.

  • Dacă utilizați o înregistrare wireless SSID, parcurgeți ecranele de integrare pentru a configura conexiunea cu rețeaua.

  • Odată ce sunteți conectat la rețeaua de asigurare a accesului, dispozitivul nu trebuie să fie pe un anumit ecran de integrare.

  • Pentru a se potrivi tuturor implementărilor, xAPI-urile de înscriere SCEP nu vor stoca certificatul CA utilizat pentru a semna certificatul dispozitivului. Pentru autentificarea serverului, certificatul CA utilizat pentru validarea certificatului serverului trebuie adăugat cu xCommand Security Certificates CA Add.

Condiţii prealabile

Aveți nevoie de următoarele informații:

  • URL-ul serverului SCEP.

  • Amprenta certificatului CA semnatar (Certificate Authority).

  • Informații despre certificatul de înscriere. Aceasta alcătuiește numele subiectului certificatului.

    • Denumire comună

    • Numele țării

    • Numele statului sau provinciei

    • Denumirea localității

    • Numele organizației

    • Unitatea organizatorică

  • Numele subiectului va fi ordonat ca /C= /ST= /L= /O= /OU= /CN=
  • Parola de provocare a serverului SCEP dacă ați configurat serverul SCEP pentru a impune un OTP sau un secret partajat.

Puteți seta dimensiunea necesară a cheii pentru perechea de chei de solicitare a certificatului utilizând următoarea comandă. Valoarea implicită este 2048.

 Dimensiunea cheii de înscriere de securitate xConfiguration: <2048, 3072, 4096>

Trimitem o cerere de certificat care este valabilă timp de un an pentru expirarea certificatului. Politica la nivel de server poate modifica data de expirare în timpul semnării certificatului.

Conexiune Ethernet

Când un dispozitiv este conectat la o rețea, asigurați-vă că poate accesa serverul SCEP. Dispozitivul trebuie conectat la o rețea fără 802.1x pentru a obține o adresă IP. Adresa MAC a dispozitivului poate fi furnizată rețelei de asigurare a accesului pentru a obține o adresă IP. Adresa MAC poate fi găsită pe interfața de utilizare sau pe eticheta din spatele dispozitivului.

După ce dispozitivul este conectat la rețea, puteți trimite SSH la dispozitiv ca administrator pentru a accesa TSH, apoi rulați următoarea comandă pentru a trimite solicitarea SCEP de înscriere:

Solicitare SCEP de înscriere a serviciilor de certificate de securitate xCommand 

Odată ce serverul SCEP returnează certificatul de dispozitiv semnat, activați 802.1X.

Activați certificatul semnat:

Servicii de certificate de securitate xCommand Activate 

Reporniți dispozitivul după activarea certificatului.

Conexiune wireless

Când un dispozitiv este conectat la o rețea wireless, asigurați-vă că poate accesa serverul SCEP.

După ce dispozitivul este conectat la rețea, puteți trimite SSH la dispozitiv ca administrator pentru a accesa TSH, apoi rulați următoarea comandă pentru a trimite solicitarea SCEP de înscriere:

Solicitare SCEP de înscriere a serviciilor de certificate de securitate xCommand 

Dispozitivul primește certificatul semnat de la serverul SCEP.

Activați certificatul semnat:

Servicii de certificate de securitate xCommand Activate

După activare, trebuie să configurați rețeaua Wi-Fi cu autentificare EAP-TLS.

Configurare rețea xCommand Wifi 

În mod implicit, configurația Wi-Fi omite verificările de validare a serverului. Dacă este necesară doar autentificarea unidirecțională, păstrați AllowMissingCA implicit la True.

Pentru a forța validarea serverului, asigurați-vă că parametrul opțional AllowMissingCA este setat la False. Dacă nu se poate stabili o conexiune din cauza erorilor de validare a serviciului, verificați dacă a fost adăugată CA corectă pentru a verifica certificatul serverului, care poate fi diferit de certificatul dispozitivului.

API descrieri

Rol: Admin, Integrator

Solicitare SCEP de înscriere a serviciilor de certificate de securitate xCommand

Trimite un CSR la un anumit server SCEP pentru semnare. Parametrii CSR SubjectName vor fi construiți în următoarea ordine: C, ST, L, O, OUs, CN.

Parametrii:

  • URL(r): <S: 0, 256>

    Adresa URL a serverului SCEP.

  • Amprentă(r): <S: 0, 128>

    Amprenta certificatului CA care va semna cererea SCEP CSR.

  • Nume comun(r): <S: 0, 64>

    Adaugă "/CN=" la numele subiectului CSR.

  • Parolă: <S: 0, 256>

    OTP sau Shared Secret de la serverul SCEP pentru acces la semnătură.

  • Nume țară: <S: 0, 2>

    Adaugă "/C=" la numele subiectului CSR.

  • StateOrProvinceName: <S: 0, 64>

    Adaugă "/ST=" la CSR Nume subiect.

  • LocalitateNume: <S: 0, 64>

    Adaugă "/L=" la numele subiectului CSR.

  • Nume organizație: <S: 0, 64>

    Adaugă "/o=" la CSR numele subiectului.

  • Unitatea organizațională[5]: <S: 0, 64>

    Adaugă până la 5 parametri "/OU=" la CSR Nume subiect.

  • SanDns[5]: <S: 0, 64>

    Adaugă până la 5 parametri DNS la CSR Nume alternativ subiect.

  • SanEmail[5]: <S: 0, 64>

    Adaugă până la 5 parametri de e-mail la CSR Nume alternativ subiect.

  • SanIp[5]: <S: 0, 64>

    Adaugă până la 5 parametri Ip la CSR Nume alternativ subiect.

  • SanUri[5]: <S: 0, 64>

    Adaugă până la 5 parametri URI la CSR Nume alternativ subiect.

xCommand Securitate Certificate Servicii Înscriere Profiluri Ștergere

Șterge un profil de înscriere pentru a nu mai reînnoi certificatele.

Parametrii:

  • Amprentă (r): <S: 0, 128>

    Amprenta certificatului CA care identifică profilul pe care doriți să îl eliminați. Puteți vedea profilurile disponibile pentru eliminare rulând:

    Lista de profiluri de înscriere a serviciilor de certificate de securitate xCommand

Lista de profiluri de înscriere a serviciilor de certificate de securitate xCommand

Listează profilurile de înscriere pentru reînnoirea certificatului.

 Certificate de securitate xCommand Încadrare servicii Profiluri SCEP Set amprentă(r): <S: 0, 128> URL(r): <S: 0, 256>

Adăugați un profil de înscriere pentru certificatele emise de amprenta CA pentru a utiliza URL-ul SCEP dat pentru reînnoire.

Reînnoire

 Set de profiluri SCEP pentru înscrierea certificatelor de securitate xCommand

Pentru a reînnoi automat certificatul, dispozitivul trebuie să poată accesa URL-ul SCEP care poate renunța la certificat.

O dată pe zi, dispozitivul va verifica dacă există certificate care vor expira în 45 de zile. Dispozitivul va încerca apoi să reînnoiască aceste certificate dacă emitentul lor corespunde unui profil.

NOTĂ: Toate certificatele dispozitivelor vor fi verificate pentru reînnoire, chiar dacă certificatul nu a fost înscris inițial utilizând SCEP.

Navigator

  1. Asociere directă: certificatele înscrise pot fi activate ca certificate de "asociere".

  2. Remote Paired: Spuneți navigatorului să înscrie un nou certificat SCEP utilizând ID-ul perifericului:

    Periferice xCommand Certificate de securitate Servicii Înscriere Solicitare SCEP 

    Profilurile de înscriere sunt sincronizate automat cu navigatorul asociat.

  3. Navigator independent: la fel ca înscrierea codecului

Configurarea autentificării 802.1x în Room Navigator

Puteți configura autentificarea 802.1x direct din meniul Setări din Room Navigator.

Standardul de autentificare 802.1x este deosebit de important pentru rețelele Ethernet și asigură faptul că numai dispozitivele autorizate primesc acces la resursele rețelei.

Sunt disponibile diferite opțiuni de conectare pe baza metodei EAP configurate în rețeaua dvs. De exemplu:

  • TLS: Numele de utilizator și parola nu sunt utilizate.
  • PEAP: Certificatele nu sunt utilizate.
  • TTLS: Sunt necesare atât numele de utilizator / parola, cât și certificatele; Niciuna dintre acestea nu este opțională.

Există mai multe modalități de a obține certificatul client pe un dispozitiv:

  1. Încărcați PEM: Utilizați caracteristica Adăugare servicii certificate de securitate.
  2. Creați CSR: Generați o solicitare de semnare a certificatului (CSR), semnați-o și conectați-o utilizând certificatele de securitate CSR Creare/Conectare.
  3. SCEP: Utilizați solicitarea SCEP de înscriere a serviciilor de certificate de securitate.
  4. DHCP Opțiunea 43: Configurați livrarea certificatului prin această opțiune.

Configurarea și actualizarea certificatelor pentru 802.1x trebuie efectuate înainte de asocierea Room Navigator la un sistem sau după resetarea Room Navigator la setările din fabrică.

Acreditările implicite sunt admin și parolă necompletată. Pentru mai multe informații despre cum să adăugați certificate accesând API, consultați cea mai recentă versiune a ghidului API.

  1. Deschideți panoul de control de pe Navigator atingând butonul din colțul din dreapta sus sau glisând din partea dreaptă. Apoi atingeți Setări dispozitiv.
  2. Accesați Conexiune la rețea și selectați Ethernet .
  3. Activați Utilizare IEEE 802.1X.
    • Dacă autentificarea este configurată cu acreditări, introduceți identitatea utilizatorului și fraza de acces. De asemenea, puteți introduce o identitate anonimă: acesta este un câmp opțional care oferă o modalitate de a separa identitatea utilizatorului real de solicitarea inițială de autentificare.
    • Puteți comuta TLS Verificați dezactivat sau activat. Când TLS verify este activat, clientul verifică în mod activ autenticitatea certificatului serverului în timpul strângerii de mână TLS. Când TLS verify este dezactivat, clientul nu efectuează verificarea activă a certificatului serverului.
    • Dacă ați încărcat un certificat de client accesând API, activați Utilizați certificatul de client.
    • Comutați metodele Extensible Authentication Protocol (EAP) pe care doriți să le utilizați. Alegerea metodei EAP depinde de cerințele specifice de securitate, infrastructură și capacitățile clientului. Metodele EAP sunt cruciale pentru a permite accesul securizat și autentificat la rețea.