Сертификаты можно добавлять из локального веб-интерфейса устройства. Кроме того, вы можете добавить сертификаты, выполнив команды API. Чтобы узнать, какие команды позволяют добавлять сертификаты, см. roomos.cisco.com .

Сертификаты служб и доверенные центры сертификации

При использовании протокола TLS (Transport Layer Security) может потребоваться проверка сертификата. Перед установлением подключения сервер или клиент могут потребовать от устройства предоставить действительный сертификат.

Сертификаты представляют собой текстовые файлы, подтверждающие подлинность устройства. Такие сертификаты должны быть подписаны доверенным центром сертификации (ЦС). Для проверки подписи сертификатов на устройстве должен храниться список доверенных центров сертификации. Для проверки сертификатов с целью ведения журнала аудита и других подключений список должен включать все необходимые ЦС.

Сертификаты используются для следующих служб: сервер HTTPS, SIP, IEEE 802.1X и ведение журнала аудита. На устройстве можно хранить несколько сертификатов, однако для каждой службы можно активировать только один сертификат.

В RoomOS версии октябрь 2023 г. и более поздних версиях при добавлении сертификата CA к устройству он также применяется к Room Navigator, если он подключен. Чтобы синхронизировать ранее добавленные сертификаты CA с подключенным Room Navigator, необходимо перезагрузить устройство. Если вы не хотите, чтобы периферийные устройства получали те же сертификаты, что и устройство, к которому они подключены, установите для параметра Peripherals Security Certificates SyncToPeripherals значение False.

Ранее сохраненные сертификаты автоматически не удаляются. Записи в новом файле с сертификатами ЦС добавляются в существующий список.

Для подключения Wi-Fi

Мы рекомендуем вам добавить доверенный сертификат CA для каждого устройства Board, Desk или Room Series, если в вашей сети используется аутентификация WPA-EAP. Это необходимо выполнить для каждого устройства отдельно и до подключения к Wi-Fi.

Чтобы добавить сертификаты для подключения к Wi-Fi, потребуются следующие файлы:

  • Список сертификатов ЦС (формат файла: PEM)

  • Сертификат (формат файла: PEM)

  • Закрытый ключ в виде отдельного файла или в составе файла сертификата (формат файла: PEM)

  • Парольная фраза (требуется только в том случае, если закрытый ключ зашифрован)

Сертификат и закрытый ключ хранятся в одном и том же файле на устройстве. В случае сбоя аутентификации подключение не будет установлено.

Сертификат и его закрытый ключ не применяются к подключенным периферийным устройствам.

Добавьте сертификаты на устройства серий Board, Desk и Room.

1

В представлении клиента в https://admin.webex.com перейдите на страницу Устройства и выберите свое устройство в списке. Перейдите в раздел Поддержка и запустите Элементы управления локальными устройствами .

Если на устройстве настроен локальный пользователь Администратор, доступ к веб-интерфейсу можно получить, непосредственно открыв браузер и введя в адресной строке http(s)://<ip-адрес конечной точки или имя хоста>.

2

Перейдите в раздел Безопасность > Сертификаты > Пользовательские > Добавить сертификат и загрузите сертификаты своего корневого ЦС.

3

В OpenSSL сгенерируйте закрытый ключ и запрос сертификата. Скопируйте содержимое запроса сертификата. Затем вставьте его для запроса сертификата сервера из центра сертификации (ЦС).

4

Загрузите сертификат сервера, подписанный вашим центром сертификации. Убедитесь, что он имеет формат .PEM.

5

Перейдите в раздел Безопасность > Сертификаты > Службы > Добавить сертификат и загрузите частный ключ и сертификат сервера.

6

Включите службы, которые вы хотите использовать для только что добавленного вами сертификата.

Создать запрос на подпись сертификата (CSR)

Администраторы должны создать запрос на подпись сертификата (CSR) из Control Hub для зарегистрированного в облаке устройства Board, Desk или Room Series.

Выполните следующие действия, чтобы создать CSR и загрузить подписанный сертификат на свое устройство:

  1. В представлении клиента в Control Hub перейдите на страницу «Устройства» и выберите свое устройство из списка.
  2. Перейдите в Действия > Выполнить xCommand > Безопасность > Сертификаты > CSR > Создать.
  3. Введите необходимые данные сертификата и нажмите «Выполнить».
  4. Скопируйте весь текст между ----BEGIN CERTIFICATE REQUEST---- и ----END CERTIFICATE REQUEST----.
  5. Используйте Certificate Authority (CA) по вашему выбору, чтобы подписать CSR.
  6. Экспортируйте подписанный сертификат в формате PEM (в кодировке Base64).
  7. Откройте подписанный файл сертификата в текстовом редакторе (например, «Блокноте») и скопируйте весь текст между ----BEGIN CERTIFICATE---- и ----END CERTIFICATE----.
  8. В Control Hub перейдите в раздел Устройства > выберите свое устройство > Действия > Выполнить xCommand > Безопасность > Сертификаты > CSR > Ссылка.
  9. Вставьте скопированное содержимое сертификата в раздел «Текст» и нажмите «Выполнить».
  10. Обновите страницу, чтобы убедиться, что сертификат появился в разделе «Существующий сертификат».

Простой протокол регистрации сертификатов (SCEP)

Простой протокол регистрации сертификатов (SCEP) обеспечивает автоматизированный механизм регистрации и обновления сертификатов, которые используются, например, для аутентификации 802.1X на устройствах. SCEP позволяет сохранять доступ устройства к защищенным сетям без ручного вмешательства.

  • Если устройство новое или после сброса настроек до заводских, ему необходим доступ к сети для доступа к URL-адресу SCEP. Для получения адреса IP устройство должно быть подключено к сети без 802.1X.

  • При использовании беспроводной регистрации SSID пройдите экраны настройки, чтобы настроить соединение с сетью.

  • После подключения к сети подготовки устройство не обязательно должно находиться на определенном экране настройки.

  • Чтобы соответствовать всем развертываниям, xAPI регистрации SCEP не будут хранить сертификат CA, используемый для подписи сертификата устройства. Для аутентификации сервера необходимо добавить сертификат CA, используемый для проверки сертификата сервера, с помощью xCommand Security Certificates CA Add.

Предварительная подготовка

Вам потребуются следующие сведения:

  • URL-адрес сервера SCEP.

  • Отпечаток сертификата подписывающего CA (Certificate Authority).

  • Информация о сертификате для зачисления. Это составляет Имя субъекта сертификата.

    • Общее название

    • Название страны

    • Название штата или провинции

    • Название местности

    • Название организации

    • Организационная единица

  • Имя субъекта будет упорядочено следующим образом: /C= /ST= /L= /O= /OU= /CN=

  • Пароль вызова сервера SCEP, если вы настроили сервер SCEP на принудительное использование одноразового пароля или общего секрета.

Вы можете задать требуемый размер ключа для пары ключей запроса сертификата с помощью следующей команды. Значение по умолчанию — 2048.

 Размер ключа регистрации безопасности xConfiguration: <2048, 3072, 4096>

Мы отправляем запрос на сертификат, действительный в течение одного года до истечения срока действия сертификата. Политика на стороне сервера может изменить дату истечения срока действия во время подписания сертификата.

Ethernet-соединение

Когда устройство подключено к сети, убедитесь, что оно может получить доступ к серверу SCEP. Для получения адреса IP устройство должно быть подключено к сети без 802.1x. Для получения адреса IP может потребоваться предоставить адрес MAC устройства сети обеспечения. Адрес MAC можно найти в пользовательском интерфейсе или на этикетке на задней панели устройства.

После того, как устройство подключено к сети, вы можете подключиться к устройству по SSH как админ для доступа к TSH выполните следующую команду для отправки запроса SCEP на регистрацию: 

Запрос SCEP на регистрацию сертификатов безопасности xCommand

Как только сервер SCEP вернет подписанный сертификат устройства, активируйте 802.1X.

Активируйте подписанный сертификат:

Активация служб сертификатов безопасности xCommand

Перезагрузите устройство после активации сертификата.

Беспроводное соединение

Когда устройство подключено к беспроводной сети, убедитесь, что оно может получить доступ к серверу SCEP.

После того, как устройство подключено к сети, вы можете подключиться к устройству по SSH как админ для доступа к TSH выполните следующую команду для отправки запроса SCEP на регистрацию: 

Запрос SCEP на регистрацию сертификатов безопасности xCommand

Устройство получает подписанный сертификат от сервера SCEP.

Активируйте подписанный сертификат: 

Активация служб сертификатов безопасности xCommand

После активации необходимо настроить сеть Wi-Fi с аутентификацией EAP-TLS. 

Настройка Wi-Fi сети xCommand

По умолчанию конфигурация Wi-Fi пропускает проверки сервера. Если требуется только односторонняя аутентификация, то сохраните AllowMissingCA по умолчанию Истинный.

Чтобы принудительно выполнить проверку сервера, убедитесь, что AllowMissingCA необязательный параметр установлен на ЛОЖЬ. Если соединение не может быть установлено из-за ошибок проверки службы, проверьте, что добавлен правильный центр сертификации для проверки сертификата сервера, который может отличаться от сертификата устройства.

API описания

Роль: Администратор, Интегратор

Запрос SCEP на регистрацию сертификатов безопасности xCommand

Отправляет CSR на указанный сервер SCEP для подписания. Параметры CSR SubjectName будут построены в следующем порядке: C, ST, L, O, OUs, CN.

Параметры:

  • URL(r): <S: 0, 256>

    URL-адрес сервера SCEP.

  • Отпечаток пальца(r): <S: 0, 128>

    Отпечаток сертификата CA, который будет подписывать запрос SCEP CSR.

  • CommonName(r): <S: 0, 64>

    Добавляет «/CN=" к имени субъекта CSR.

  • Пароль вызова: <S: 0, 256>

    OTP или общий секрет от сервера SCEP для доступа к подписи.

  • Название страны: <S: 0, 2>

    Добавляет "/C=" к имени субъекта CSR.

  • StateOrProvinceName: <S: 0, 64>

    Добавляет «/ST=" к имени субъекта CSR.

  • LocalityName: <S: 0, 64>

    Добавляет «/L=" к имени субъекта CSR.

  • Название организации: <S: 0, 64>

    Добавляет «/O=" к имени субъекта CSR.

  • Организационная единица[5]: <S: 0, 64>

    Добавляет до 5 параметров «/OU=" к имени субъекта CSR.

  • SanDns[5]: <S: 0, 64>

    Добавляет до 5 параметров DNS к альтернативному имени субъекта CSR.

  • SanEmail[5]: <S: 0, 64>

    Добавляет до 5 параметров электронной почты к альтернативному имени темы CSR.

  • СанИп[5]: <S: 0, 64>

    Добавляет до 5 параметров IP к альтернативному имени субъекта CSR.

  • СанУри[5]: <S: 0, 64>

    Добавляет до 5 параметров URI к альтернативному имени субъекта CSR.

Профили регистрации служб сертификатов безопасности xCommand Удалить

Удаляет профиль регистрации, чтобы больше не продлевать сертификаты.

Параметры:

  • Отпечатки пальцев (r): <S: 0, 128>

    Сертификат СА опечаткания, который определяет профиль, который вы хотите удалить. Можно просмотреть профили, доступные для удаления при выполнении следующих действий: 

    Список профилей регистрации служб сертификатов безопасности xCommand

Список профилей регистрации служб сертификатов безопасности xCommand

Отображает профили регистрации для обновления сертификатов.

 xCommand сертификатов безопасности службы регистрации SCEP профили установка отпечатков пальцев (r): <S: 0, 128> URL(r): <S: 0, 256>

Добавьте профиль регистрации для сертификатов, выданных отпечатками пальцев CA, чтобы использовать данный URL SCEP для продления.

Возобновление

 Набор профилей профилей scEP для сертификатов xCommand безопасности служб

Чтобы автоматически обновлять сертификат, устройство должно иметь доступ к URL SCEP, который может отказаться от сертификата.

Один раз в день устройство будет проверять наличие сертификатов, срок действия которого истекает через 45 дней. Затем устройство предпринимает попытку обновить эти сертификаты, если их выпуск соответствует профилю.

ПРИМЕЧАНИЕ: Все сертификаты устройств будут проверены на продление, даже если сертификат не был первоначально зарегистрирован с помощью SCEP.

Штурман

  1. Прямая привязка: зарегистрированные сертификаты могут быть активированы как сертификат сопряжения.

  2. Удаленное сопряжение: говорите навигатору зарегистрировать новый сертификат SCEP с использованием идентификатора периферийного устройства:

    Запрос SCEP на регистрацию сертификатов и периферийных устройств xCommand периферийных шлюзов 

    Профили регистрации автоматически синхронизируются с сопряженным навигатором.

  3. Автономный навигатор: то же самое, что и регистрация кодека

Настройка аутентификации 802.1x в навигаторе комнаты

Вы можете настроить аутентификацию 802.1x непосредственно из меню настроек Навигатора комнаты.

Для сетей Ethernet особенно важен стандарт аутентификации 802.1x, который гарантирует, что только разрешенные устройства будут получать доступ к сетевым ресурсам.

На основе метода EAP, настроенного в вашей сети, доступны различные варианты входа. Пример:

  • TLS: имя пользователя и пароль не используются.
  • PEAP: сертификаты не используются.
  • TTLS: требуются и имя пользователя, и пароль, и сертификаты; это не является обязательным.

Существует несколько способов получения сертификата клиента на устройстве

  1. Выгрузка PEM: используйте функцию добавления служб сертификации безопасности.
  2. Создайте CSR: создайте запрос на подпись сертификатов (CSR), подпишите его и свяйте с помощью сертификатов безопасности CSR создания/ссылки.
  3. SCEP: используйте запрос SCEP на регистрацию сертификатов безопасности.
  4. DHCP опция 43: настройте доставку сертификатов с помощью этого параметра.

Настройка и обновление сертификатов для 802.1x следует сделать до сопряжения Навигатора комнаты с системой или после сброса на заводе Навигатора комнаты.

Учетные данные по умолчанию: администратор и пустой пароль. Дополнительные сведения о добавлении сертификатов путем доступа к разделу API см . в последней версии руководства по API.

  1. Откройте панель управления в навигаторе, нажав на кнопку в правом верхнем углу или выполнив пальцем справа. Затем коснитесь настроек устройства.
  2. Перейдите на «Сетевое подключение » и выберите Ethernet .
  3. Включите использование IEEE 802.1X, задав Вкл.
    • Если настройка аутентификации осуществляется с использованием учетных данных, введите идентификацию пользователя и парольную фразу. Кроме того, можно ввести анонимную идентификацию: это поле не является обязательным, в этом поле предоставляется способ отделить удостоверение фактического пользователя от первоначального запроса на аутентификацию.
    • Вы можете выключить TLS Проверить выкл. Если параметр TLS verify включен, клиент активно проверяет подлинность сертификата сервера во время рукопожатия TLS. Если параметр TLS verify выключен, клиент не выполняет активную проверку сертификата сервера.
    • Если вы выгрузили сертификат клиента, нажав на API, выберите «Использовать сертификат клиента» в.
    • Переключение между используемыми методами по протоколу аутентификации (EAP) . Выбор метода EAP зависит от конкретных требований безопасности, инфраструктуры и возможностей клиента. Методы EAP имеют принципиальное значение для обеспечения защищенного и аутентифицированного доступа к сети.