Можно добавить сертификаты из локального веб-интерфейса устройства. Также можно добавить сертификаты, настроив команды API. Чтобы узнать, какие команды позволяют добавлять сертификаты, см. roomos.cisco.com .

Сертификаты служб и доверенные ЦС

При использовании TLS (Transport Layer Security) может потребоваться проверка сертификатов. Сервер или клиент могут требовать от устройства выдачи им действительного сертификата до начала коммуникации.

Сертификаты являются текстовыми файлами, которые проверяют подлинность устройства. Эти сертификаты должны быть подписаны доверенным ЦС. Для проверки подписи сертификатов на устройстве должен находиться список доверенных ЦС. Для проверки сертификатов, как для журналов аудита, так и для других соединений, в списке должны быть включены все CAS.

Сертификаты используются для следующих служб: протоколы HTTPS, SIP, IEEE 802.1X и журнал аудита. На устройстве можно хранить несколько сертификатов, однако для каждой службы одновременно включен только один сертификат.

В RoomOS за октябрь 2023 г. и более поздние версии при добавлении сертификата ЦС к устройству он также применяется к Room Navigator, если он подключен. Чтобы синхронизировать ранее добавленные сертификаты ЦС с подключенным Room Navigator, необходимо перезагрузить устройство. Если вы не хотите, чтобы периферийные устройства получали те же сертификаты, что и устройство, к которому оно подключено, задайте в конфигурации Периферийные сертификаты безопасности периферийных устройств SyncToPeripherals значение False.


Сохраненные ранее сертификаты не удаляются автоматически. Записи в новом файле с сертификатами ЦС будут вносимы в существующий список.

Для подключения Wi-Fi

Если в сети используется аутентификация WPA-EAP, рекомендуется добавить доверенный сертификат ЦС для каждого устройства серии Board, Desk или Room. Это необходимо сделать отдельно для каждого устройства и перед подключением к Wi-Fi.

Чтобы добавить сертификаты для соединения Wi-Fi, необходимо получить следующие файлы:

  • Список сертификатов ЦС (формат файла: PEM)

  • Сертификат (формат файла: PEM)

  • Закрытый ключ в виде отдельного файла или включается в тот же файл, что и сертификат (формат файла: PEM)

  • Passphrase (требуется только в том случае, если закрытый ключ зашифрован)

Сертификат и закрытый ключ хранятся в одном файле на устройстве. В случае сбой аутентификации соединение не будет установлено.


Закрытый ключ и парольная фраза не применяются к подключенным периферийным устройствам.

Добавление сертификатов на устройствах серии Board, Desk и Room

1

В оке просмотра информации о клиенте https://admin.webex.com на веб-сайте перейдите на страницу Устройства и выберите устройство в списке. Перейдите в раздел Поддержка и запустите Локальные элементы управления устройством .

Если на устройстве настроен локальный пользователь администратора , можно получить доступ к веб-интерфейсу непосредственно, открыв веб-браузер и введя текст в поле http(s)://.

2

Перейдите к > сертификатов безопасности > настраиваемой > добавить сертификат и загрузите сертификаты корневой сертификат сертификатов.

3

На openssl сгенерировать закрытый ключ и запрос сертификата. Скопируйте содержимое запроса на сертификат. Затем в paste it to request the server certificate from your certificate authority (CA).

4

Скачайте сертификат сервера, подписанный вашим ЦС. Убедитесь в том, что оно находится в . Формат PEM.

5

Перейдите в > сертификаты > служб > добавить сертификат и загрузите закрытый ключ и сертификат сервера.

6

Включите службы, которые необходимо использовать для только что добавленного сертификата.

Простой протокол регистрации сертификатов (SCEP)

Протокол SCEP (Simple Certificate Enrollment Protocol) обеспечивает автоматизированный механизм регистрации и обновления сертификатов, которые используются, например, для аутентификации 802.1X на устройствах. SCEP позволяет поддерживать доступ устройства к защищенным сетям без ручного вмешательства.

  • При использовании нового устройства или его сбросе до заводских настроек для доступа к URL SCEP необходим сетевой доступ. Для получения IP-адреса устройство должно быть подключено к сети без 802.1X.

  • При использовании SSID беспроводной регистрации необходимо пройти экраны подключения для настройки подключения к сети.

  • После подключения к сети подготовки устройству на этом этапе не нужно отображать определенный экран подключения.

  • В соответствии со всеми развертываниями xAPI SCEP Enrollment не будут хранить сертификат ЦС, используемый для подписи сертификата устройства. Для аутентификации сервера сертификат ЦС, используемый для проверки сертификата сервера, должен быть добавлен с помощью параметра xCommand Security Certificates CA Add.

Предварительные условия

Вам понадобится следующая информация:

  • URL сервера SCEP.

  • Отпечаток подписи сертификата центра сертификации (CA).

  • Информация о сертификате для регистрации. Таким образом создается имя субъекта сертификата.

    • Общее имя

    • Название страны

    • Название организации

  • Пароль для вызова сервера SCEP, если на сервере SCEP настроено принудительное использование OTP или общего секретного кода.

Мы отправляем запрос на сертификат, действительный в течение одного года с истечением срока действия сертификата. Политика на стороне сервера может изменить дату истечения срока действия во время подписи сертификата.

Соединение Ethernet

Если устройство подключено к сети, убедитесь, что оно может получить доступ к серверу SCEP. Устройство должно быть подключено к сети без 802.1x для получения IP-адреса. MAC-адрес устройства может потребоваться предоставить в сеть подготовки для получения IP-адреса. MAC-адрес можно найти в пользовательском интерфейсе или на метке на задней панели устройства.

После подключения устройства к сети можно установить SSH на устройство в качестве администратора для доступа к TSH, а затем выполнить следующую команду для отправки запроса на регистрацию SCEP: 
Сертификаты безопасности xCommand Services Enrollment SCEP Request

После того как сервер SCEP возвращает подписанный сертификат устройства, активируйте 802.1X, а затем перезагрузите устройство.

Активируйте подписанный сертификат:
Активация служб сертификатов безопасности xCommand

Перезагрузите устройство после активации сертификата.

Беспроводное подключение

При подключении устройства к беспроводной сети убедитесь, что оно может получить доступ к серверу SCEP.

После подключения устройства к сети можно установить SSH на устройство в качестве администратора для доступа к TSH, а затем выполнить следующую команду для отправки запроса на регистрацию SCEP: 
Сертификаты безопасности xCommand Services Enrollment SCEP Request

Устройство получает подписанный сертификат от сервера SCEP.

Активируйте подписанный сертификат: 

Активация служб сертификатов безопасности xCommand
После активации необходимо настроить сеть Wi-Fi с аутентификацией EAP-TLS. 
Настройка Wi-Fi сети xCommand

По умолчанию конфигурация Wi-Fi пропускает проверки сервера. Если требуется только односторонняя аутентификация, установите для параметра AllowMissingCA значение по умолчанию True.

Для принудительной проверки сервера в качестве дополнительного параметра AllowMissingCA задано значение False. Если соединение невозможно установить из-за ошибок проверки службы, убедитесь, что для проверки сертификата сервера, который может отличаться от сертификата устройства, добавлен правильный ЦС.

Описания API

Роль: Администратор, интегратор

Сертификаты безопасности xCommand Services Enrollment SCEP Request

Запрос и скачивание подписанного сертификата устройства

Параметры:

  • URL(r): <S: 0, 128>

    URL-адрес сервера SCEP, используемый для регистрации сертификата.

  • Отпечаток пальцев (r): <S: 0, 128>

    Отпечаток пальца выдающего ЦС, который будет подписывать запрос X509.

  • ChallengePassword: <S: 0, 128>

    Общий секретный пароль, заданный сервером SCEP.

  • ОбщееName(r): <S: 0, 128>

  • Название страны: <S: 0, 128>

  • Название организации: <S: 0, 128>

  • SanDns[5]: <S: 0, 128>

  • SanEmail[5]: <S: 0, 128>

  • SanIp[5]: <S: 0, 128>

  • SanUri[5]: <S: 0, 128>

Сертификаты безопасности xCommand Services Enrollment SCEP Request Renewal

Создайте или обновите профиль автоматического продления, который применяется ко всем сертификатам, выпущенным данным ЦС, до истечения срока действия сертификатов

Параметры:

  • Отпечаток пальцев (r): <S: 0, 128>

    Отпечаток пальца выдающего ЦС, который подписал сертификаты.

  • URL(r): <S: 0, 128>

    URL-адрес сервера SCEP, используемый для обновления сертификатов. 

Сертификаты безопасности xCommand Services Enrollment SCEP Renewal Delete

Удалите автоматически созданный профиль для данного ЦС. Это приведет к остановке автоматического создания сертификатов, подписанных этим ЦС

Параметры:

  • Отпечаток пальцев (r): <S: 0, 128>

    Отпечаток пальца выдающего ЦС для удаления.

Сертификаты безопасности xCommand Services Enrollment SCEP List Renewal

Список всех используемых в настоящий момент профилей автоматического продления.