Certifikáty môžete pridať z lokálneho webového rozhrania zariadenia. Prípadne môžete pridať certifikáty spustením príkazov API. Ak chcete zistiť, ktoré príkazy vám umožňujú pridávať certifikáty, prejdite na stránku roomos.cisco.com .

Servisné certifikáty a dôveryhodné CA

Pri používaní TLS (Transport Layer Security) môže byť potrebné overenie certifikátu. Server alebo klient môže vyžadovať, aby im zariadenie pred nastavením komunikácie predložilo platný certifikát.

Certifikáty sú textové súbory, ktoré overujú pravosť zariadenia. Tieto certifikáty musia byť podpísané dôveryhodnou certifikačnou autoritou (CA). Na overenie podpisu certifikátov sa musí na zariadení nachádzať zoznam dôveryhodných CA. Zoznam musí obsahovať všetky CA potrebné na overenie certifikátov pre protokolovanie auditu a iné pripojenia.

Certifikáty sa používajú pre nasledujúce služby: HTTPS server, SIP, IEEE 802.1X a protokolovanie auditu. V zariadení môžete uložiť niekoľko certifikátov, ale pre každú službu je súčasne povolený iba jeden certifikát.

Keď v systéme RoomOS v októbri 2023 a neskôr pridáte certifikát CA do zariadenia, použije sa aj na navigátor miestnosti, ak je pripojený. Ak chcete synchronizovať predtým pridané certifikáty CA s pripojeným Room Navigatorom, musíte reštartovať zariadenie. Ak nechcete, aby periférne zariadenia získali rovnaké certifikáty ako zariadenie, ku ktorému sú pripojené, nastavte konfiguráciu Certifikáty zabezpečenia periférií SyncToPeripherals na False.


Predtým uložené certifikáty sa nevymažú automaticky. Položky v novom súbore s certifikátmi CA sa pridajú k existujúcemu zoznamu.

Pre Wi-Fi pripojenie

Odporúčame vám pridať dôveryhodný certifikát CA pre každé zariadenie rady Board, Desk alebo Room Series, ak vaša sieť používa autentifikáciu WPA-EAP. Musíte to urobiť individuálne pre každé zariadenie a pred pripojením k sieti Wi-Fi.

Ak chcete pridať certifikáty pre pripojenie Wi-Fi, potrebujete nasledujúce súbory:

  • Zoznam certifikátov CA (formát súboru: .PEM)

  • Certifikát (formát súboru: .PEM)

  • Súkromný kľúč, buď ako samostatný súbor, alebo zahrnutý v rovnakom súbore ako certifikát (formát súboru: .PEM)

  • Prístupová fráza (vyžaduje sa, len ak je súkromný kľúč zašifrovaný)

Certifikát a súkromný kľúč sú uložené v rovnakom súbore v zariadení. Ak overenie zlyhá, spojenie sa nevytvorí.


Súkromný kľúč a prístupová fráza sa nepoužívajú na pripojené periférne zariadenia.

Pridajte certifikáty do zariadení rady Board, Desk a Room Series

1

V zobrazení zákazníka v https://admin.webex.com prejdite na stránku Zariadenia a vyberte svoje zariadenie zo zoznamu. Prejdite do časti Podpora a spustite Ovládacie prvky miestneho zariadenia.

Ak ste na zariadení nastavili miestneho používateľa správcu , môžete pristupovať k webovému rozhraniu priamo otvorením webového prehliadača a zadaním adresy http(s):// .

2

Prejdite na Zabezpečenie > Certifikáty > Vlastné > Pridať certifikát a odovzdajte svoje koreňové certifikáty CA.

3

Na openssl vygenerujte súkromný kľúč a žiadosť o certifikát. Skopírujte obsah žiadosti o certifikát. Potom ho prilepte a vyžiadajte si certifikát servera od vašej certifikačnej autority (CA).

4

Stiahnite si certifikát servera podpísaný vašou CA. Uistite sa, že je vo formáte .PEM.

5

Prejdite na Zabezpečenie > Certifikáty > Služby > Pridať certifikát a odovzdajte súkromný kľúč a certifikát servera.

6

Povoľte služby, ktoré chcete použiť pre certifikát, ktorý ste práve pridali.

Simple Certificate Enrollment Protocol (SCEP)

Simple Certificate Enrollment Protocol (SCEP) poskytuje automatizovaný mechanizmus na registráciu a obnovu certifikátov, ktoré sa používajú napríklad na autentifikáciu 802.1X na zariadeniach. SCEP vám umožňuje udržiavať prístup zariadenia k zabezpečeným sieťam bez manuálneho zásahu.

  • Keď je zariadenie nové alebo bolo obnovené továrenské nastavenie, potrebuje prístup k sieti SCEP URL. Zariadenie by malo byť pripojené k sieti bez 802.1X, aby získalo IP adresu.

  • Ak používate SSID na registráciu bezdrôtového pripojenia, musíte prejsť cez úvodné obrazovky a nakonfigurovať pripojenie k sieti.

  • Keď sa pripojíte k sieti poskytovania, zariadenie v tejto fáze nemusí byť na konkrétnej úvodnej obrazovke.

  • Aby sa vyhovelo všetkým nasadeniam, SCEP Enrollment xAPI nebude uchovávať certifikát CA, ktorý sa používa na podpísanie certifikátu zariadenia. Na overenie servera je potrebné pridať certifikát CA, ktorý sa používa na overenie certifikátu servera, pomocou príkazu xCommand Security Certificates CA Add.

Predpoklady

Potrebujete nasledujúce informácie:

  • Adresa URL servera SCEP.

  • Odtlačok podpisu certifikátu CA (Certifikačná autorita).

  • Informácie o certifikáte na registráciu. Toto tvorí názov predmetu certifikátu.

    • Bežné meno

    • Názov krajiny

    • Názov organizácie

  • Heslo výzvy servera SCEP, ak ste server SCEP nakonfigurovali na vynútenie OTP alebo zdieľaného tajomstva.

Pošleme žiadosť o certifikát s platnosťou jeden rok na ukončenie platnosti certifikátu. Politika na strane servera môže zmeniť dátum vypršania platnosti počas podpisovania certifikátu.

Ethernetové pripojenie

Keď je zariadenie pripojené k sieti, uistite sa, že má prístup k serveru SCEP. Ak chcete získať adresu IP, zariadenie by malo byť pripojené k sieti bez 802.1x . Aby bolo možné získať IP adresu, môže byť potrebné poskytnúť MAC adresu zariadenia. MAC adresu nájdete na používateľskom rozhraní alebo na štítku na zadnej strane zariadenia.

Po pripojení zariadenia k sieti môžete k zariadeniu pomocou protokolu SSH ako správca pristupovať k TSH a potom spustite nasledujúci príkaz na odoslanie žiadosti SCEP o registráciu: 
xCommand Security Certificates Services Enrollment Žiadosť SCEP

Keď server SCEP vráti podpísaný certifikát zariadenia, aktivujte 802.1X a potom reštartujte zariadenie.

Aktivujte podpísaný certifikát:
xCommand Security Certificates Services Aktivovať

Po aktivácii certifikátu reštartujte zariadenie.

Bezdrôtové pripojenie

Keď je zariadenie pripojené k bezdrôtovej sieti, uistite sa, že má prístup k serveru SCEP.

Po pripojení zariadenia k sieti môžete k zariadeniu pomocou protokolu SSH ako správca pristupovať k TSH a potom spustite nasledujúci príkaz na odoslanie žiadosti SCEP o registráciu: 
xCommand Security Certificates Services Enrollment Žiadosť SCEP

Zariadenie prijme podpísaný certifikát zo servera SCEP.

Aktivujte podpísaný certifikát: 

xCommand Security Certificates Services Aktivovať
Po aktivácii je potrebné nakonfigurovať sieť Wi-Fi s overením EAP-TLS. 
Konfigurácia siete xCommand Wifi

V predvolenom nastavení konfigurácia Wi-Fi vynecháva kontroly overenia servera. Ak sa vyžaduje iba jednosmerné overenie, ponechajte možnosť AllowMissingCA predvolenú na hodnotu True.

Ak chcete vynútiť overenie servera, uistite sa, že voliteľný parameter AllowMissingCA je nastavený na hodnotu False. Ak sa spojenie nedá vytvoriť z dôvodu chýb overenia služby, skontrolujte, či bola pridaná správna CA, aby ste overili certifikát servera, ktorý sa môže líšiť od certifikátu zariadenia.

Popisy API

Rola: Správca, integrátor

xCommand Security Certificates Services Enrollment Žiadosť SCEP

Vyžiada a stiahne podpísaný certifikát zariadenia

Parametre:

  • URL(r): <S: 0, 128>

    Adresa URL servera SCEP použitá na registráciu certifikátu.

  • Odtlačok prsta (r): <S: 0, 128>

    Odtlačok prsta vydávajúcej CA, ktorý podpíše požiadavku X509.

  • Heslo výzvy: <S: 0, 128>

    Zdieľané tajné heslo nastavené serverom SCEP.

  • CommonName(r): <S: 0, 128>

  • Názov krajiny: <S: 0, 128>

  • Názov organizácie: <S: 0, 128>

  • SanDns[5]: <S: 0, 128>

  • SanEmail[5]: <S: 0, 128>

  • SanIp[5]: <S: 0, 128>

  • SanUri[5]: <S: 0, 128>

xCommand Security Certificate Services Enrollment Žiadosť o obnovenie SCEP

Vytvorte alebo aktualizujte profil automatického obnovenia, ktorý sa použije na všetky certifikáty vydané danou CA pred uplynutím platnosti certifikátov

Parametre:

  • Odtlačok prsta (r): <S: 0, 128>

    Odtlačok CA, ktorý certifikáty podpísal.

  • URL(r): <S: 0, 128>

    Adresa URL servera SCEP použitá na obnovenie certifikátov. 

xCommand Security Certificate Services Registrácia Obnovenie SCEP Odstrániť

Odstráňte automaticky obnovený profil pre danú CA. Toto zastaví automatické obnovenie certifikátov, ktoré sú podpísané touto CA

Parametre:

  • Odtlačok prsta (r): <S: 0, 128>

    Odtlačok prsta vydávajúcej certifikačnej autority je potrebné odstrániť.

xCommand Security Certificate Services Registration List SCEP Renewal List

Uveďte všetky aktuálne používané profily automatického obnovenia.