Сертификаты можно добавлять из локального веб-интерфейса устройства. Кроме того, сертификаты можно добавлять, выполняя API команды. Сведения о том, какие команды позволяют добавлять сертификаты, см. в разделе roomos.cisco.com .

Сертификаты службы и доверенные CAS

При использовании протокола TLS (Transport Layer Security) может потребоваться проверка сертификата. Перед установлением подключения сервер или клиент могут потребовать от устройства предоставить действительный сертификат.

Сертификаты представляют собой текстовые файлы, подтверждающие подлинность устройства. Такие сертификаты должны быть подписаны доверенным центром сертификации (ЦС). Для проверки подписи сертификатов на устройстве должен находиться список доверенных сертификатов. Для проверки сертификатов с целью ведения журнала аудита и других подключений список должен включать все необходимые ЦС.

Сертификаты используются для следующих служб: сервер HTTPS, SIP, IEEE 802.1X и ведение журнала аудита. На устройстве можно хранить несколько сертификатов, однако для каждой службы можно активировать только один сертификат.

В RoomOS октября 2023 года и более поздних версий при добавлении сертификата СА к устройству он также применяется к навигатору комнаты, если он подключен. Чтобы синхронизировать ранее добавленные сертификаты СА с подключенным навигатором комнаты, необходимо перезагрузить устройство. Если вы не хотите, чтобы периферийные шлюзы получили те же сертификаты, что и устройство, к которому оно подключено, задайте в конфигурации Периферийные шлюзы сертификаты безопасности SyncToPeripherals значение False.


Ранее сохраненные сертификаты автоматически не удаляются. Записи в новом файле с сертификатами ЦС добавляются в существующий список.

Для Wi-Fi подключения

Рекомендуется добавить сертификат доверенных СА для каждого устройства на борту, настольного оборудования или устройства серии комнат, если в вашей сети используется аутентификация WPA-EAP. Это необходимо выполнить для каждого устройства отдельно и до подключения к Wi-Fi.

Чтобы добавить сертификаты для подключения к Wi-Fi, потребуются следующие файлы:

  • Список сертификатов ЦС (формат файла: PEM)

  • Сертификат (формат файла: PEM)

  • Закрытый ключ в виде отдельного файла или в составе файла сертификата (формат файла: PEM)

  • Парольная фраза (требуется только в том случае, если закрытый ключ зашифрован)

Сертификат и закрытый ключ хранятся в одном и том же файле на устройстве. В случае сбоя аутентификации подключение не будет установлено.


Закрытый ключ и парольная фраза не применяются к подключенным периферийным устройствам.

Добавление сертификатов на устройствах серии "Борт", "Настольные" и "Устройства для комнат"

1

На странице «Устройства» откройте страницу «Устройства » для просмотра пользователя в https://admin.webex.com и выберите в списке свое устройство. Перейдите к поддержке и запустите локальное управление устройствами .

Если на устройстве настроен локальный пользователь Администратор, доступ к веб-интерфейсу можно получить, непосредственно открыв браузер и введя в адресной строке http(s)://<ip-адрес конечной точки или имя хоста>.

2

Перейдите в раздел Безопасность > Сертификаты > Пользовательские > Добавить сертификат и загрузите сертификаты своего корневого ЦС.

3

В OpenSSL сгенерируйте закрытый ключ и запрос сертификата. Скопируйте содержимое запроса сертификата. Затем вставьте его для запроса сертификата сервера из центра сертификации (ЦС).

4

Загрузите сертификат сервера, подписанный вашим ЦС. Убедитесь, что он находится в . Формат PEM.

5

Перейдите в раздел Безопасность > Сертификаты > Службы > Добавить сертификат и загрузите частный ключ и сертификат сервера.

6

Включите сервисы, которые вы хотите использовать для добавленного сертификата.

Протокол SCEP

Протокол SCEP (Simple Certificate Enrollment Protocol) обеспечивает автоматический механизм регистрации и обновления сертификатов, которые используются, например, для аутентификации 802.1X на устройствах. SCEP позволяет поддерживать доступ устройства к защищенным сетям без вмешательства вручную.

  • Если устройство новое или было сброшено до заводских настроек, оно нуждается в доступе к сети для доступа к URL-адресу SCEP. Для получения IP адреса устройство должно быть подключено к сети без 802.1X.

  • Если используется беспроводная регистрация SSID, вам необходимо пройтись через экраны поддержки, чтобы настроить соединение с сетью.

  • После подключения к сети подготовки устройство не обязательно должно находиться на определенном экране поддержки на данном этапе.

  • Чтобы соответствовать всем развертываниям, SCEP-регистрация xAPIs не будет хранить сертификат CA, который используется для подписи сертификата устройства. Для аутентификации сервера сертификат CA, используемый для проверки сертификата сервера, необходимо добавить с xCommand Security Certificates CA Add.

Предварительная подготовка

Вам потребуются следующие сведения:

  • URL сервера SCEP.

  • Свидетельство о подписании СА (Certificate Authority).

  • Информация о сертификате для регистрации. Сюда выпадает имя темы сертификата.

    • Общее имя

    • Название страны

    • Название организации

  • Пароль вызова сервера SCEP, если вы настроили сервер SCEP для принудительного ввода OTP или общего секрета.

Мы отправляем запрос на сертификат, действительный в течение одного года для истечения сертификата. Политика на стороне сервера может изменить дату истечения срока действия во время подписи сертификата.

Подключение Ethernet

Если устройство подключено к сети, убедитесь, что оно имеет доступ к серверу SCEP. Для получения IP адреса устройство должно быть подключено к сети без 802.1x. Возможно, для получения IP адреса MAC устройства потребуется предоставить сети подготовки. Адрес MAC можно найти в интерфейсе пользователя или на метке на задней панели устройства.

После подключения устройства к сети вы можете использовать SSH к устройству в качестве администратора для доступа к TSH, а затем выполнить следующую команду для отправки запроса SCEP на регистрацию: 
Запрос SCEP на регистрацию служб сертификации xCommand безопасности

После того, как сервер SCEP вернет подписанный сертификат устройства, активируйте 802.1X, а затем перезагрузите устройство.

Активация подписанного сертификата:
Активация служб сертификатов xCommand безопасности

Перезагрузите устройство после активации сертификата.

Подключение к беспроводной сети

Если устройство подключено к беспроводной сети, убедитесь, что оно имеет доступ к серверу SCEP.

После подключения устройства к сети вы можете использовать SSH к устройству в качестве администратора для доступа к TSH, а затем выполнить следующую команду для отправки запроса SCEP на регистрацию: 
Запрос SCEP на регистрацию служб сертификации xCommand безопасности

Устройство получает подписанный сертификат с сервера SCEP.

Активация подписанного сертификата: 

Активация служб сертификатов xCommand безопасности
После активации необходимо настроить сеть Wi-Fi на EAP-TLS аутентификацию. 
Настройка сети Wi-Fi xCommand

По умолчанию в конфигурации Wi-Fi пропускают проверки серверов. Если требуется только односторонняя аутентификация, оставьте AllowMissingCA значение True по умолчанию.

Для принудительной проверки серверов убедитесь, что для дополнительного параметра AllowMissingCA установлено значение False. Если подключение не удается установить из-за ошибок, вызванных проверкой службы, убедитесь, что добавлен правильный CA для проверки сертификата сервера, который может отличаться от сертификата устройства.

Описание API

Роль: администратор, системный администратор

Запрос SCEP на регистрацию служб сертификации xCommand безопасности

Запрашивает и загружает подписанный сертификат устройства

Параметры:

  • URL (r): <S: 0, 128>

    URL-адрес сервера SCEP, используемый для регистрации сертификата.

  • увясния (r): <С: 0, 128>

    Выдача отпечатков пальцев, которые будут подписывать запрос X509.

  • ChallengePass4: <S: 0, 128>

    Пароль общего секрета, установленный сервером SCEP.

  • CommonName (r): <S: 0, 128>

  • Страна: <S: 0, 128>

  • Название организации: <S: 0, 128>

  • Санднс[5]: <С: 0, 128>

  • Sanemail[5]: <С: 0, 128>

  • Санип[5]: <С: 0, 128>

  • СанУри[5]: <С: 0, 128>

Запрос на продление регистрации scEP для сертификатов xCommand безопасности

Создайте или обновите профиль автоматического обновления, который применяется ко всем сертификатам, выданным данным ЦС до истечения срока действия сертификатов

Параметры:

  • Отпечатки пальцев (r): <S: 0, 128>

    Выдающий СА отпечатка пальцев, который подписал сертификаты.

  • URL (r): <S: 0, 128>

    URL сервера SCEP, используемый для обновления сертификатов. 

xCommand безопасности Сертификаты службы SCEP возобновления регистрации удалить

Удалите автоматически обработанный профиль для данного CA. В этом случае прекращается автоматическое получение сертификатов, подписанных этим ЦС

Параметры:

  • Отпечатки пальцев (r): <S: 0, 128>

    Выдача СА отпечатков пальцев для удаления.

Список возобновления регистрации SCEP для сертификатов xCommand безопасности

Список всех используемых в настоящее время профилей автоматического создания.