Potrdila lahko dodajate v lokalnem spletnem vmesniku naprave. Potrdila lahko dodate tudi tako, da zaženete ukaze API. Če si želite ogledati, kateri ukazi omogočajo dodajanje potrdil, glejte roomos.cisco.com .

Storitvena potrdila in zaupanja vredni CA

Pri uporabi protokola TLS (Transport Layer Security) bo morda potrebno potrditi potrdilo. Strežnik ali odjemalec lahko zahteva, da mu naprava pred vzpostavitvijo komunikacije predloži veljavno potrdilo.

Potrdila so besedilne datoteke, ki preverjajo pristnost naprave. Ta potrdila mora podpisati zaupanja vreden organ za potrjevanje (CA). Za preverjanje podpisa potrdil mora biti v napravi seznam zaupanja vrednih overiteljev. Seznam mora vključevati vse overitelje, ki so potrebni za preverjanje potrdil za revizijsko beleženje in druge povezave.

Potrdila se uporabljajo za naslednje storitve: strežnik HTTPS, SIP, IEEE 802.1X in revizijsko beleženje. V napravo lahko shranite več potrdil, vendar je za vsako storitev naenkrat omogočeno samo eno potrdilo.

V operacijskem sistemu RoomOS oktober 2023 in novejših se certifikat CA, ko ga dodate v napravo, uporabi tudi v napravi Room Navigator, če je ta priključena. Če želite sinhronizirati predhodno dodana potrdila CA s povezanim programom Room Navigator, morate napravo znova zagnati. Če ne želite, da periferne naprave dobijo ista potrdila kot naprava, s katero so povezane, nastavite konfiguracijo Peripherals Security Certificates SyncToPeripherals na False.


Prej shranjena potrdila se ne izbrišejo samodejno. Vnosi v novi datoteki s potrdili CA se dodajo obstoječemu seznamu.

Za povezavo Wi-Fi

Če vaše omrežje uporablja preverjanje pristnosti WPA-EAP, priporočamo, da za vsako napravo serije Board, Desk ali Room dodate zaupanja vredno potrdilo CA. To morate storiti za vsako napravo posebej in preden se povežete z omrežjem Wi-Fi.

Za dodajanje certifikatov za povezavo Wi-Fi potrebujete naslednje datoteke:

  • Seznam potrdil CA (oblika datoteke: .PEM)

  • Potrdilo (oblika datoteke: .PEM)

  • Zasebni ključ, bodisi kot ločena datoteka ali v isti datoteki kot potrdilo (oblika datoteke: .PEM).

  • Passphrase (zahteva se samo, če je zasebni ključ šifriran)

Potrdilo in zasebni ključ sta shranjena v isti datoteki v napravi. Če avtentikacija ni uspešna, se povezava ne vzpostavi.


Zasebni ključ in geslo se ne uporabljata za priključene periferne naprave.

Dodajanje potrdil v naprave serij Board, Desk in Room

1

V pogledu stranke v spletnem mestu https://admin.webex.com pojdite na stran Devices in na seznamu izberite svojo napravo. Pojdite na Support in zaženite Local Device Controls .

Če ste v napravi nastavili lokalnega uporabnika Admin , lahko do spletnega vmesnika dostopate neposredno tako, da odprete spletni brskalnik in vnesete http(s)://.

2

Pojdite na Security > Certificates > Custom > Add Certificate in naložite korensko(-a) potrdilo(-a) CA.

3

V programu openssl ustvarite zasebni ključ in zahtevo za potrdilo. Kopirajte vsebino zahteve za potrdilo. Nato ga prilepite in od organa za izdajo potrdil (CA) zahtevajte potrdilo strežnika.

4

Prenesite potrdilo strežnika, ki ga je podpisal vaš CA. Prepričajte se, da je v formatu .PEM.

5

Pojdite na Security > Certificates > Services > Add Certificate ter naložite zasebni ključ in strežniško potrdilo.

6

Omogočite storitve, ki jih želite uporabljati za pravkar dodan certifikat.

Enostavni protokol za vpisovanje potrdil (SCEP)

Protokol SCEP (Simple Certificate Enrollment Protocol) zagotavlja avtomatiziran mehanizem za vpis in osvežitev potrdil, ki se uporabljajo na primer za preverjanje pristnosti 802.1X v napravah. SCEP vam omogoča, da ohranite dostop naprave do varnih omrežij brez ročnega posredovanja.

  • Ko je naprava nova ali je bila tovarniško ponastavljena, potrebuje dostop do omrežja, da lahko doseže naslov URL SCEP. Naprava mora biti povezana z omrežjem brez protokola 802.1X, da dobi naslov IP.

  • Če uporabljate SSID za vpis v brezžično omrežje, morate za konfiguriranje povezave z omrežjem opraviti vklopne zaslone.

  • Ko ste povezani z omrežjem za zagotavljanje, v tej fazi ni treba, da je naprava na posebnem zaslonu za vklop.

  • Da bi ustrezali vsem namestitvam, vmesniki SCEP Enrollment xAPI ne bodo shranjevali potrdila CA, ki se uporablja za podpisovanje potrdila naprave. Za preverjanje pristnosti strežnika je treba potrdilo CA, ki se uporablja za potrjevanje potrdila strežnika, dodati z orodjem xCommand Security Certificates CA Add.

Predpogoji

Potrebujete naslednje podatke:

  • URL strežnika SCEP.

  • Prstni odtis podpisnega potrdila CA (Certificate Authority).

  • Podatki o potrdilu za vpis. To je Ime subjekta potrdila.

    • Splošno ime

    • Ime države

    • Ime organizacije

  • Izzivno geslo strežnika SCEP, če ste konfigurirali strežnik SCEP za uveljavljanje OTP ali skupne skrivnosti.

Pošljemo zahtevek za potrdilo, ki velja eno leto, da se potrdilo izteče. Politika na strani strežnika lahko med podpisovanjem potrdila spremeni datum poteka veljavnosti.

Ethernetna povezava

Ko je naprava povezana v omrežje, preverite, ali lahko dostopa do strežnika SCEP. Naprava mora biti priključena na omrežje brez protokola 802.1x za pridobitev naslova IP. Za pridobitev naslova IP bo morda treba omrežju za zagotavljanje posredovati naslov MAC naprave. Naslov MAC je naveden v uporabniškem vmesniku ali na nalepki na zadnji strani naprave.

Ko je naprava povezana z omrežjem, lahko v napravo vnesete SSH kot admin za dostop do TSH, nato pa zaženete naslednji ukaz za pošiljanje zahteve za vpis SCEP: 
xCommand Zahteva za vpis storitev varnostnih potrdil SCEP

Ko strežnik SCEP vrne podpisano potrdilo naprave, aktivirajte 802.1X in ponovno zaženite napravo.

Aktivirajte podpisano potrdilo:
Storitve varnostnih potrdil xCommand Aktivacija

Po aktiviranju potrdila ponovno zaženite napravo.

Brezžična povezava

Ko je naprava povezana z brezžičnim omrežjem, se prepričajte, da lahko dostopa do strežnika SCEP.

Ko je naprava povezana z omrežjem, lahko v napravo vnesete SSH kot admin za dostop do TSH, nato pa zaženete naslednji ukaz za pošiljanje zahteve za vpis SCEP: 
xCommand Zahteva za vpis storitev varnostnih potrdil SCEP

Naprava prejme podpisano potrdilo iz strežnika SCEP.

Aktivirajte podpisano potrdilo: 

Storitve varnostnih potrdil xCommand Aktivacija
Po aktivaciji morate omrežje Wi-Fi konfigurirati z avtentikacijo EAP-TLS. 
xCommand Omrežje Wifi Configure

Konfiguracija Wi-Fi privzeto preskoči preverjanje strežnika. Če se zahteva samo enosmerno preverjanje pristnosti, naj bo privzeta vrednost AllowMissingCA True.

Če želite izsiliti preverjanje strežnika, zagotovite, da je izbirni parameter AllowMissingCA nastavljen na False. Če povezave ni mogoče vzpostaviti zaradi napak pri potrjevanju storitev, preverite, ali je bil dodan pravi CA za preverjanje strežnikovega potrdila, ki se lahko razlikuje od potrdila naprave.

Opisi API

Vloga: Administrator, integrator

xCommand Zahteva za vpis storitev varnostnih potrdil SCEP

zahteva in prenese podpisano potrdilo naprave

Parametri:

  • URL(r): <S: 0, 128>

    URL strežnika SCEP, ki se uporablja za vpis potrdila.

  • Prstni odtis (r): <S: 0, 128>

    Prstni odtis CA izdajatelja, ki bo podpisal zahtevo X509.

  • Izzivno geslo: <S: 0, 128>

    Geslo Shared Secret, ki ga je določil strežnik SCEP.

  • Skupno ime(r): <S: 0, 128>

  • Ime države: <S: 0, 128>

  • Ime organizacije: <S: 0, 128>

  • SanDns[5]: <S: 0, 128>

  • SanEmail[5]: <S: 0, 128>

  • SanIp[5]: <S: 0, 128>

  • SanUri[5]: <S: 0, 128>

xCommand Varnostna potrdila Storitve vpisa SCEP Zahtevek za podaljšanje

Ustvarjanje ali posodabljanje profila autorenewal, ki se uporabi za vsa potrdila, ki jih je izdal dani CA, preden potrdilom poteče veljavnost.

Parametri:

  • Prstni odtis (r): <S: 0, 128>

    Prstni odtis CA izdajatelja, ki je podpisal potrdila.

  • URL(r): <S: 0, 128>

    URL strežnika SCEP, ki se uporablja za obnovitev potrdil. 

xCommand Security Certificates Services Enrollment SCEP Renewal Delete

Odstranitev avtorenoviranega profila za danega CA. S tem zaustavite samodejno obnavljanje potrdil, ki jih je podpisal ta CA.

Parametri:

  • Prstni odtis (r): <S: 0, 128>

    Prstni odtis CA izdajatelja, ki ga želite odstraniti.

xCommand Seznam za obnovitev storitev vpisa varnostnih potrdil SCEP

Seznam vseh trenutno uporabljenih profilov avtorenew.