Certifikáty môžete pridávať z lokálneho webového rozhrania zariadenia. Prípadne môžete pridať certifikáty spustením príkazov API. Ak chcete zistiť, ktoré príkazy umožňujú pridávanie certifikátov, pozrite si časť roomos.cisco.com .

Servisné certifikáty a dôveryhodné certifikačné autority

Pri použití TLS (Transport Layer Security) sa môže vyžadovať overenie certifikátu. Server alebo klient môže pred nastavením komunikácie vyžadovať, aby im zariadenie predložilo platný certifikát.

Certifikáty sú textové súbory, ktoré overujú pravosť zariadenia. Tieto certifikáty musia byť podpísané dôveryhodným Certificate Authority (CA). Na overenie podpisu certifikátov musí byť v zariadení uložený zoznam dôveryhodných certifikačných autorít. Zoznam musí obsahovať všetky certifikačné autority potrebné na overenie certifikátov pre protokolovanie auditu a iné pripojenia.

Certifikáty sa používajú pre nasledujúce služby: server HTTPS, SIP, IEEE 802.1X a protokolovanie auditu. V zariadení môžete uložiť niekoľko certifikátov, ale pre každú službu je naraz povolený iba jeden certifikát.

V systéme RoomOS október 2023 a neskôr, keď pridáte certifikát CA do zariadenia, použije sa aj na navigátor miestnosti, ak je pripojený. Ak chcete synchronizovať predtým pridané certifikáty CA s pripojeným navigátorom miestnosti, musíte reštartovať zariadenie. Ak nechcete, aby periférne zariadenia získavali rovnaké certifikáty ako zariadenie, ku ktorému sú pripojené, nastavte konfiguráciu Periférne zariadenia Security Certificates SyncToPeripherals na hodnotu False.

Predtým uložené certifikáty sa neodstránia automaticky. Položky v novom súbore s certifikátmi certifikačnej autority sa pripoja k existujúcemu zoznamu.

Pre pripojenie Wi-Fi

Ak vaša sieť používa overenie WPA-EAP, odporúčame pridať dôveryhodný certifikát CA pre každé zariadenie Board, Desk alebo Room Series. Musíte to urobiť individuálne pre každé zariadenie a pred pripojením k Wi-Fi.

Ak chcete pridať certifikáty pre pripojenie Wi-Fi, potrebujete nasledujúce súbory:

  • Zoznam certifikátov CA (formát súboru: . PEM)

  • Certifikát (formát súboru: . PEM)

  • Súkromný kľúč, buď ako samostatný súbor, alebo ako súčasť rovnakého súboru ako certifikát (formát súboru: . PEM)

  • Prístupová fráza (vyžaduje sa, iba ak je súkromný kľúč šifrovaný)

Certifikát a súkromný kľúč sú uložené v rovnakom súbore v zariadení. Ak overenie zlyhá, spojenie sa nevytvorí.

Súkromný kľúč a prístupová fráza sa nepoužijú na pripojené periférne zariadenia.

Pridajte certifikáty na Board, stolové zariadenia a zariadenia série miestností

1

V zobrazení zákazníka v https://admin.webex.com prejdite na stránku Zariadenia a vyberte svoje zariadenie v zozname. Prejdite na stránku podpory a spustite položku Lokálne ovládacie prvky zariadení.

Ak ste v zariadení nastavili lokálneho správcu , môžete pristupovať k webovému rozhraniu priamo otvorením webového prehliadača a zadaním https://<endpoint ip alebo názvu hostiteľa> .

2

Prejdite do časti Zabezpečenie > Certifikáty > Vlastné> Pridať certifikát a nahrajte svoje koreňové certifikáty CA.

3

Na openssl vygenerujte súkromný kľúč a žiadosť o certifikát. Skopírujte obsah žiadosti o certifikát. Potom ho prilepte a požiadajte o certifikát servera z vášho Certificate Authority (CA).

4

Stiahnite si certifikát servera podpísaný vašou certifikačnou autoritou. Uistite sa, že sa nachádza v . Formát PEM.

5

Prejdite do časti Zabezpečenie > Certifikáty > Služby > Pridať certifikát a nahrajte súkromný kľúč a certifikát servera.

6

Povoľte služby, ktoré chcete použiť pre certifikát, ktorý ste práve pridali.

Protokol SCEP (Simple Certificate Enrollment Protocol)

Simple Certificate Enrollment Protocol (SCEP) poskytuje automatizovaný mechanizmus registrácie a obnovy certifikátov, ktoré sa používajú napríklad na autentifikáciu 802.1X na zariadeniach. SCEP umožňuje udržiavať prístup zariadenia k zabezpečeným sieťam bez manuálneho zásahu.

  • Ak je zariadenie nové alebo bolo obnovené z výroby, potrebuje prístup k sieti, aby sa dostalo na adresu URL SCEP. Zariadenie by malo byť pripojené k sieti bez 802.1X, aby získalo IP adresu.

  • Ak používate bezdrôtovú registráciu SSID, musíte prejsť cez obrazovky zaradenia, aby ste nakonfigurovali pripojenie k sieti.

  • Po pripojení k obstarávacej sieti nemusí byť zariadenie v tejto fáze na konkrétnej obrazovke registrácie.

  • Aby vyhovovali všetkým nasadeniam, rozhrania xAPI registrácie SCEP nebudú ukladať certifikát CA, ktorý sa používa na podpísanie certifikátu zariadenia. Pre overenie servera je potrebné pridať certifikát CA, ktorý sa používa na overenie certifikátu servera, spolu s xCommand Security Certificates CA Add.

Predpoklady

Potrebujete nasledujúce informácie:

  • Adresa URL servera SCEP.

  • Odtlačok podpisujúceho certifikátu CA (Certificate Authority).

  • Informácie o osvedčení na zápis. Toto tvorí názov predmetu certifikátu.

    • Bežný názov

    • Názov krajiny

    • Názov štátu alebo provincie

    • Názov lokality

    • Názov organizácie

    • Organizačná jednotka

  • Názov predmetu bude zoradený ako /C= /ST= /L= /O= /OU= /CN=

  • Vyzývacie heslo servera SCEP, ak ste nakonfigurovali server SCEP na vynútenie OTP alebo zdieľaného kľúča.

Požadovanú veľkosť kľúča pre pár klávesov žiadosti o certifikát môžete nastaviť pomocou nasledujúceho príkazu. Predvolená hodnota je 2048.

 xKonfiguračný bezpečnostný registračný kľúčVeľkosť: <2048, 3072, 4096>

Pošleme žiadosť o certifikát, ktorý je platný jeden rok pre vypršanie platnosti certifikátu. Politika na strane servera môže zmeniť dátum vypršania platnosti počas podpisovania certifikátu.

Ethernetové pripojenie

Keď je zariadenie pripojené k sieti, uistite sa, že má prístup k serveru SCEP. Zariadenie by malo byť pripojené k sieti bez 802.1x, aby získalo IP adresu. Na získanie IP adresy MAC môže byť potrebné poskytnúť zásobovacej sieti adresu #. Adresu MAC nájdete v používateľskom rozhraní alebo na štítku na zadnej strane zariadenia.

Po pripojení zariadenia k sieti môžete SSH k zariadeniu ako správca získať prístup k TSH a potom spustiť nasledujúci príkaz na odoslanie žiadosti o registráciu SCEP: 

xCommand Security Certificates Services Registrácia SCEP Požiadavka SCEP

Keď server SCEP vráti podpísaný certifikát zariadenia, aktivujte 802.1X.

Aktivujte podpísaný certifikát:

xCommand Security Certificates Services sa aktivujú

Po aktivácii certifikátu reštartujte zariadenie.

Bezdrôtové pripojenie

Keď je zariadenie pripojené k bezdrôtovej sieti, uistite sa, že má prístup k serveru SCEP.

Po pripojení zariadenia k sieti môžete SSH k zariadeniu ako správca získať prístup k TSH a potom spustiť nasledujúci príkaz na odoslanie žiadosti o registráciu SCEP: 

xCommand Security Certificates Services Registrácia SCEP Požiadavka SCEP

Zariadenie prijme podpísaný certifikát zo servera SCEP.

Aktivujte podpísaný certifikát: 

xCommand Security Certificates Services sa aktivujú

Po aktivácii musíte nakonfigurovať sieť Wi-Fi s autentifikáciou EAP-TLS. 

Konfigurácia siete xCommand Wifi

V predvolenom nastavení konfigurácia Wi-Fi preskočí kontroly overenia servera. Ak sa vyžaduje iba jednosmerné overenie, ponechajte položku AllowMissingCA nastavenú na hodnotu Pravda.

Ak chcete vynútiť overenie servera, uistite sa, že voliteľný parameter AllowMissingCA je nastavený na hodnotu False. Ak sa pripojenie nedá nadviazať z dôvodu chýb overenia služby, skontrolujte, či bola pridaná správna certifikačná autorita na overenie certifikátu servera, ktorý sa môže líšiť od certifikátu zariadenia.

API popisy

Rola: správca, integrátor

xCommand Security Certificates Services Registrácia SCEP Požiadavka SCEP

Odošle CSR na daný server SCEP na podpis. Parametre CSR SubjectName budú vytvorené v nasledujúcom poradí: C, ST, L, O, OUs, CN.

Parametre:

  • URL(r): <S: 0, 256>

    URL adresa servera SCEP.

  • Odtlačok prsta(r): <S: 0, 128>

    Odtlačok certifikátu CA, ktorý podpíše požiadavku SCEP CSR.

  • CommonName(r): <S: 0, 64>

    Pridá znak "/CN=" k názvu predmetu CSR.

  • Heslo výzvy: <S: 0, 256>

    OTP alebo zdieľaný kľúč zo servera SCEP pre prístup k podpisu.

  • NázovKrajiny: <S: 0, 2>

    Pridá "/c=" k názvu predmetu CSR.

  • StateOrProvinceName: <S: 0, 64>

    Pridá znak "/ST=" k názvu predmetu CSR.

  • Názov lokality: <S: 0, 64>

    Pridá znak "/l=" k názvu predmetu CSR.

  • NázovOrganizácie: <S: 0, 64>

    Pridá "/o=" k názvu predmetu CSR.

  • Organizačná jednotka[5]: <S: 0, 64>

    Pridá až 5 parametrov "/OU=" do názvu predmetu CSR.

  • SanDns[5]: <S: 0, 64>

    Pridá až 5 parametrov DNS do alternatívneho názvu predmetu CSR.

  • SanEmail[5]: <S: 0, 64>

    Pridá až 5 parametrov e-mailu do alternatívneho názvu predmetu CSR.

  • SanIp[5]: <S: 0, 64>

    Pridá až 5 parametrov IP k alternatívnemu názvu predmetu CSR.

  • SanUri[5]: <S: 0, 64>

    Pridá až 5 parametrov URI do alternatívneho názvu predmetu CSR.

xCommand Security Certificates Services Odstrániť profily registrácie

Odstráni registračný profil, aby sa už neobnovovali certifikáty.

Parametre:

  • Odtlačok prsta(r): <S: 0, 128>

    Odtlačok certifikátu CA, ktorý identifikuje profil, ktorý chcete odstrániť. Dostupné profily na odstránenie si môžete pozrieť spustením: 

    xCommand Security Certificates Services Zoznam profilov registrácie

xCommand Security Certificates Services Zoznam profilov registrácie

Zoznam profilov registrácie pre obnovenie certifikátu.

 xCommand Security Certificates Services Registrácia Profily SCEP Nastaviť odtlačok prsta(r): <S: 0, 128> URL(r): <S: 0, 256>

Pridajte registračný profil pre certifikáty vydané odtlačkom prsta certifikačnej autority, aby ste mohli na obnovenie použiť danú adresu URL SCEP.

Obnovenie

 xCommand Security Certificates Services Registrácia SCEP Sada profilov SCEP

Aby bolo možné certifikát automaticky obnoviť, zariadenie musí mať prístup k adrese URL SCEP, ktorá môže certifikát podpísať.

Raz denne zariadenie skontroluje certifikáty, ktorých platnosť vyprší o 45 dní. Zariadenie sa potom pokúsi obnoviť tieto certifikáty, ak sa ich vydavateľ zhoduje s profilom.

POZNÁMKA: Obnovenie všetkých certifikátov zariadení bude skontrolované, aj keď certifikát nebol pôvodne zaregistrovaný pomocou SCEP.

Navigátor

  1. Priame párovanie: Zapísané certifikáty je možné aktivovať ako certifikát "Párovanie".

  2. Vzdialené párovanie: Povedzte navigátorovi, aby zaregistroval nový certifikát SCEP pomocou ID periférneho zariadenia:

    XCommand Periférie Bezpečnostné certifikáty Registrácia služieb Žiadosť SCEP 

    Profily registrácie sa automaticky synchronizujú so spárovaným navigátorom.

  3. Samostatná navigácia: Rovnaké ako registrácia kodeku

Konfigurácia overenia 802.1x v aplikácii Room Navigator

Autentifikáciu 802.1x môžete nastaviť priamo v ponuke Nastavenia navigátora miestností.

Autentifikačný štandard 802.1x je obzvlášť dôležitý pre siete Ethernet a zaisťuje, že prístup k sieťovým zdrojom majú iba oprávnené zariadenia. Na overenie v sieti môžete použiť používateľské meno a heslo alebo môžete použiť certifikáty klientov. Je tiež možné použiť obe súčasne. Certifikáty klientov musia byť nahrané prostredníctvom API a aktivované, aby ste mohli používať službu 802.1x.

Nastavenie a aktualizácia certifikátov pre 802.1x sa musí vykonať pred spárovaním navigátora miestnosti so systémom alebo po obnovení výrobných nastavení navigátora miestnosti.

Predvolené poverenia sú správca a prázdne heslo. Ďalšie informácie o pridávaní certifikátov prostredníctvom prístupu k API nájdete v najnovšej verzii príručky API.

  1. Otvorte ovládací panel na navigácii Navigator ťuknutím na tlačidlo v pravom hornom rohu alebo potiahnutím prstom z pravej strany. Potom klepnite na položku Nastavenia zariadenia.
  2. Prejdite do ponuky Network connection ( Sieťové pripojenie ) a vyberte položku Ethernet (Ethernet ).
  3. Prepnúť možnosť Použiť protokol IEEE 802.1X zapnutý.
    • Ak je overenie nastavené pomocou poverení, zadajte identitu používateľa a prístupovú frázu. Môžete tiež zadať anonymnú identitu: toto je voliteľné pole, ktoré poskytuje spôsob, ako oddeliť skutočnú identitu používateľa od počiatočnej žiadosti o overenie.
    • Môžete prepnúť TLS Overiť vypnuté alebo zapnuté. Keď je TLS verify zapnuté, klient aktívne overuje pravosť certifikátu servera počas TLS handshake. Keď je TLS verify vypnuté, klient nevykonáva aktívne overenie certifikátu servera.
    • Ak ste nahrali certifikát klienta prístupom k API, zapnite možnosť Použiť certifikát klienta .
    • Prepnite metódy rozšíriteľného autentifikačného protokolu (EAP), ktoré chcete použiť. Výber metódy EAP závisí od konkrétnych bezpečnostných požiadaviek, infraštruktúry a možností klienta. Metódy EAP sú rozhodujúce pre umožnenie bezpečného a overeného prístupu k sieti.