Certifikáty môžete pridávať z lokálneho webového rozhrania zariadenia. Prípadne môžete pridať certifikáty spustením príkazov API. Ak chcete zistiť, ktoré príkazy umožňujú pridávanie certifikátov, pozrite si časť roomos.cisco.com .

Servisné certifikáty a dôveryhodné certifikačné autority

Pri používaní TLS (Transport Layer Security) sa môže vyžadovať overenie certifikátu. Server alebo klient môže pred nastavením komunikácie vyžadovať, aby im zariadenie predložilo platný certifikát.

Certifikáty sú textové súbory, ktoré overujú pravosť zariadenia. Tieto certifikáty musia byť podpísané dôveryhodnou certifikačnou autoritou (CA). Na overenie podpisu certifikátov musí byť v zariadení uložený zoznam dôveryhodných certifikačných autorít. Zoznam musí obsahovať všetky certifikačné autority potrebné na overenie certifikátov pre protokolovanie auditu a iné pripojenia.

Certifikáty sa používajú pre nasledujúce služby: server HTTPS, SIP, IEEE 802.1X a protokolovanie auditu. V zariadení môžete uložiť niekoľko certifikátov, ale pre každú službu je naraz povolený iba jeden certifikát.

V systéme RoomOS október 2023 a neskôr, keď pridáte certifikát CA do zariadenia, použije sa aj na navigátor miestnosti, ak je pripojený. Ak chcete synchronizovať predtým pridané certifikáty CA s pripojeným navigátorom miestnosti, musíte reštartovať zariadenie. Ak nechcete, aby periférne zariadenia získavali rovnaké certifikáty ako zariadenie, ku ktorému sú pripojené, nastavte konfiguráciu Periférne zariadenia Security Certificates SyncToPeripherals na hodnotu False.


Predtým uložené certifikáty sa neodstránia automaticky. Položky v novom súbore s certifikátmi certifikačnej autority sa pripoja k existujúcemu zoznamu.

Pre Wi-Fi pripojenie

Odporúčame pridať dôveryhodný certifikát CA pre každú dosku, stôl alebo zariadenie série miestností, ak vaša sieť používa overenie WPA-EAP. Musíte to urobiť individuálne pre každé zariadenie a pred pripojením k Wi-Fi.

Ak chcete pridať certifikáty pre Wi-Fi pripojenie, potrebujete nasledujúce súbory:

  • Zoznam certifikátov CA (formát súboru: . PEM)

  • Certifikát (formát súboru: . PEM)

  • Súkromný kľúč, buď ako samostatný súbor, alebo ako súčasť rovnakého súboru ako certifikát (formát súboru: . PEM)

  • Prístupová fráza (vyžaduje sa, iba ak je súkromný kľúč šifrovaný)

Certifikát a súkromný kľúč sú uložené v rovnakom súbore v zariadení. Ak overenie zlyhá, spojenie sa nevytvorí.


Súkromný kľúč a prístupová fráza sa nepoužijú na pripojené periférne zariadenia.

Pridanie certifikátov na palubné, stolové a izbové zariadenia

1

V zobrazení zákazníka v https://admin.webex.com prejdite na stránku Zariadenia a vyberte svoje zariadenie v zozname. Prejdite na stránku podpory a spustite položku Lokálne ovládacie prvky zariadení.

Ak ste v zariadení nastavili lokálneho správcu , môžete pristupovať k webovému rozhraniu priamo otvorením webového prehliadača a zadaním https://<endpoint ip alebo názvu hostiteľa> .

2

Prejdite do časti Zabezpečenie > Certifikáty > Vlastné> Pridať certifikát a nahrajte svoje koreňové certifikáty CA.

3

Na openssl vygenerujte súkromný kľúč a žiadosť o certifikát. Skopírujte obsah žiadosti o certifikát. Potom ho prilepte a požiadajte certifikačnú autoritu (CA) o certifikát servera.

4

Stiahnite si certifikát servera podpísaný vašou certifikačnou autoritou. Uistite sa, že sa nachádza v . Formát PEM.

5

Prejdite do časti Zabezpečenie > Certifikáty > Služby > Pridať certifikát a nahrajte súkromný kľúč a certifikát servera.

6

Povoľte služby, ktoré chcete použiť pre certifikát, ktorý ste práve pridali.

Protokol SCEP (Simple Certificate Enrollment Protocol)

SCEP (Simple Certificate Enrollment Protocol) poskytuje automatizovaný mechanizmus registrácie a obnovovania certifikátov, ktoré sa používajú napríklad na autentifikáciu 802.1X na zariadeniach. SCEP umožňuje udržiavať prístup zariadenia k zabezpečeným sieťam bez manuálneho zásahu.

  • Ak je zariadenie nové alebo bolo obnovené z výroby, potrebuje prístup k sieti, aby sa dostalo na adresu URL SCEP. Zariadenie by malo byť pripojené k sieti bez 802.1X, aby získalo IP adresu.

  • Ak používate bezdrôtovú registračnú SSID, musíte prejsť obrazovkami zaradenia a nakonfigurovať pripojenie k sieti.

  • Po pripojení k obstarávacej sieti nemusí byť zariadenie v tejto fáze na konkrétnej obrazovke registrácie.

  • Aby vyhovovali všetkým nasadeniam, rozhrania xAPI registrácie SCEP nebudú ukladať certifikát CA, ktorý sa používa na podpísanie certifikátu zariadenia. Pre overenie servera je potrebné pridať certifikát CA, ktorý sa používa na overenie certifikátu servera, spolu s xCommand Security Certificates CA Add.

Predpoklady

Potrebujete nasledujúce informácie:

  • Adresa URL servera SCEP.

  • Odtlačok podpisujúceho certifikátu CA (Certificate Authority).

  • Informácie o osvedčení na zápis. Toto tvorí názov predmetu certifikátu.

    • Bežný názov

    • Názov krajiny

    • Názov organizácie

  • Vyzývacie heslo servera SCEP, ak ste nakonfigurovali server SCEP na vynútenie OTP alebo zdieľaného kľúča.

Pošleme žiadosť o certifikát, ktorý je platný jeden rok pre vypršanie platnosti certifikátu. Politika na strane servera môže zmeniť dátum vypršania platnosti počas podpisovania certifikátu.

Ethernetové pripojenie

Keď je zariadenie pripojené k sieti, uistite sa, že má prístup k serveru SCEP. Zariadenie by malo byť pripojené k sieti bez 802.1x, aby získalo IP adresu. Na získanie IP adresy môže byť potrebné poskytnúť MAC adresu zariadenia poskytujúcej sieti. Adresu MAC nájdete v používateľskom rozhraní alebo na štítku na zadnej strane zariadenia.

Po pripojení zariadenia k sieti môžete SSH k zariadeniu ako správca získať prístup k TSH a potom spustiť nasledujúci príkaz na odoslanie žiadosti o registráciu SCEP: 
xCommand Security Certificates Services Registrácia SCEP Požiadavka SCEP

Keď SCEP Server vráti podpísaný certifikát zariadenia, aktivujte 802.1X a potom reštartujte zariadenie.

Aktivujte podpísaný certifikát:
xCommand Security Certificates Services sa aktivujú

Po aktivácii certifikátu reštartujte zariadenie.

Bezdrôtové pripojenie

Keď je zariadenie pripojené k bezdrôtovej sieti, uistite sa, že má prístup k serveru SCEP.

Po pripojení zariadenia k sieti môžete SSH k zariadeniu ako správca získať prístup k TSH a potom spustiť nasledujúci príkaz na odoslanie žiadosti o registráciu SCEP: 
xCommand Security Certificates Services Registrácia SCEP Požiadavka SCEP

Zariadenie prijme podpísaný certifikát zo servera SCEP.

Aktivujte podpísaný certifikát: 

xCommand Security Certificates Services sa aktivujú
Po aktivácii musíte nakonfigurovať sieť Wi-Fi s EAP-TLS autentifikáciou. 
Konfigurácia siete xCommand Wifi

V predvolenom nastavení konfigurácia Wi-Fi preskočí kontroly overenia servera. Ak sa vyžaduje iba jednosmerné overenie, ponechajte položku AllowMissingCA nastavenú na hodnotu Pravda.

Ak chcete vynútiť overenie servera, uistite sa, že voliteľný parameter AllowMissingCA je nastavený na hodnotu False. Ak sa pripojenie nedá nadviazať z dôvodu chýb overenia služby, skontrolujte, či bola pridaná správna certifikačná autorita na overenie certifikátu servera, ktorý sa môže líšiť od certifikátu zariadenia.

API popisy

Rola: správca, integrátor

xCommand Security Certificates Services Registrácia SCEP Požiadavka SCEP

Vyžiada a stiahne podpísaný certifikát zariadenia

Parametre:

  • URL(r): <S: 0, 128>

    Adresa URL servera SCEP použitá na registráciu certifikátu.

  • Odtlačok prsta (r): <S: 0, 128>

    Odtlačok prsta vydávajúceho certifikačného orgánu, ktorý podpíše žiadosť X509.

  • Heslo výzvy: <S: 0, 128>

    Heslo zdieľaného kľúča nastavené serverom SCEP.

  • CommonName(r): <S: 0, 128>

  • NázovKrajiny: <S: 0, 128>

  • Názov organizácie: <S: 0, 128>

  • SanDns[5]: <S: 0, 128>

  • SanEmail[5]: <S: 0, 128>

  • SanIp[5]: <S: 0, 128>

  • SanUri[5]: <S: 0, 128>

xCommand Security Certificates Services Registrácia Žiadosť o obnovenie SCEP

Vytvorte alebo aktualizujte profil autorenewal, ktorý sa použije na všetky certifikáty vydané danou certifikačnou autoritou pred uplynutím platnosti certifikátov

Parametre:

  • Odtlačok prsta(r): <S: 0, 128>

    Odtlačok prsta vydávajúceho certifikačného orgánu, ktorý certifikáty podpísal.

  • URL(r): <S: 0, 128>

    Adresa URL servera SCEP použitá na obnovenie certifikátov. 

xCommand Security Certificates Services Registrácia SCEP Obnovenie Odstrániť

Odstráňte automaticky obnovený profil pre danú certifikačnú autoritu. Tým sa zastaví automatické obnovenie certifikátov podpísaných touto certifikačnou autoritou

Parametre:

  • Odtlačok prsta(r): <S: 0, 128>

    Odtlačok prsta vydávajúceho certifikačného orgánu na odstránenie.

xCommand Security Certificates Services Registrácia Zoznam obnovení SCEP

Uveďte zoznam všetkých aktuálne používaných autorenew profilov.