Možete dodati vifi-802.1Ks / 802.1Ks ili HTTPS sertifikate na pojedinačne uređaje i povezane periferije.
Možete dodati sertifikate sa lokalnog veb interfejsa uređaja. Alternativno, možete dodati sertifikate pokretanjem API komandi. Da biste videli koje komande vam dozvoljavaju da dodate sertifikate, pogledajte roomos.cisco.com .
Servisni sertifikati i pouzdani ЦA
Validacija sertifikata može biti potrebna kada se koristi TLS (Transport Laier Securiti). Server ili klijent može zahtevati da im uređaj predstavi važeći sertifikat pre nego što se uspostavi komunikacija.
Sertifikati su tekstualne datoteke koje potvrđuju autentičnost uređaja. Ovi sertifikati moraju biti potpisani od strane pouzdanog autoriteta sertifikata (CA). Da biste potvrdili potpis sertifikata, lista pouzdanih CA-ova mora se nalaziti na uređaju. Lista mora da sadrži sve CA potrebne za verifikaciju sertifikata i za evidentiranje revizije i za druge veze.
Sertifikati se koriste za sledeće usluge: HTTPS server, SIP, IEEE KSNUMKSKS i evidentiranje revizije. Možete da sačuvate nekoliko sertifikata na uređaju, ali samo jedan sertifikat je omogućen za svaku uslugu u isto vreme.
Na RoomOS-u u oktobru 2023. i kasnije, kada dodate CA sertifikat na uređaj, on se takođe primenjuje na Room Navigator ako je povezan. Da biste sinhronizovali prethodno dodane CA sertifikate sa povezanim Room Navigator-om, morate ponovo pokrenuti uređaj. Ako ne želite da periferne uređaje dobiju iste sertifikate kao i uređaj na koji je povezan, podesite konfiguraciju Periferni sigurnosni sertifikati SincToPeripherals na False.
 |
Prethodno sačuvani sertifikati se ne brišu automatski. Unosi u novoj datoteci sa CA sertifikatima se dodaju postojećoj listi. |
Za Wi-Fi vezu
Preporučujemo da dodate pouzdani CA sertifikat za svaki uređaj Board, Desk ili Room Series, ako vaša mreža koristi VPA-EAP autentifikaciju. To morate uraditi pojedinačno za svaki uređaj, a pre nego što se povežete na Wi-Fi.
Da biste dodali sertifikate za vašu Wi-Fi vezu, potrebne su vam sledeće datoteke:
-
Lista sertifikata CA (format datoteke: . PEM)
-
Sertifikat (format datoteke: . PEM)
-
Privatni ključ, bilo kao zasebna datoteka ili uključena u istu datoteku kao i sertifikat (format datoteke: . PEM)
-
Passphrase (potrebno samo ako je privatni ključ šifrovan)
Sertifikat i privatni ključ se čuvaju u istoj datoteci na uređaju. Ako autentifikacija ne uspe, veza neće biti uspostavljena.
|
Privatni ključ i lozinka se ne primenjuju na povezane periferije. |
Dodajte sertifikate na uređajima Board, Desk i Room Series
| 1 |
Iz prikaza kupca u https://admin.webex.com , idite na stranicu Uređaji i izaberite svoj uređaj na listi. Idite na Podrška i pokrenite lokalne kontrole uređaja. Ako ste postavili lokalnog administratora na uređaju, možete pristupiti veb interfejsu direktno otvaranjem veb pretraživača i upisivanjem https://<endpoint ip ili ime hosta>. |
| 2 |
Idite na i otpremite svoje CA root sertifikate. |
| 3 |
Na openssl-u, generišite privatni ključ i zahtev za sertifikat. Kopirajte sadržaj zahteva za sertifikat. Zatim ga nalepite da biste zatražili sertifikat servera od vašeg autoriteta sertifikata (CA). |
| 4 |
Preuzmite sertifikat servera koji je potpisao vaš CA. Uverite se da je u . PEM format. |
| 5 |
Idite na i otpremite privatni ključ i sertifikat servera. |
| 6 |
Omogućite usluge koje želite da koristite za sertifikat koji ste upravo dodali. |
Jednostavan protokol za upis sertifikata (SCEP)
Simple Certificate Enrollment Protocol (SCEP) obezbeđuje automatizovani mehanizam za upis i osvežavanje sertifikata koji se koriste za, na primer, 802.1Ks autentifikaciju na uređajima. SCEP vam omogućava da održite pristup uređaja sigurnim mrežama bez ručne intervencije.
-
Kada je uređaj nov ili je fabrički resetovan, potreban mu je pristup mreži da bi se došlo do SCEP URL-a. Uređaj treba da bude povezan na mrežu bez 802.1Ks da dobije IP adresu.
-
Ako koristite bežični SSID za upis, potrebno je da prođete kroz ekrane za uključivanje da biste konfigurisali vezu sa mrežom.
-
Kada ste povezani sa mrežom za obezbeđivanje, uređaj ne mora da bude na određenom ekranu za uključivanje u ovoj fazi.
-
Da bi se uklopili u sve primene, SCEP Enrollment kAPIs neće čuvati CA sertifikat koji se koristi za potpisivanje sertifikata uređaja. Za autentifikaciju servera, CA sertifikat koji se koristi za proveru sertifikata servera treba dodati pomoću kCommand Securiti Certificates CA Add.
Preduslovi
Potrebne su vam sledeće informacije:
-
URL adresa SCEP servera.
-
Otisak prsta potpisivanja CA (Certificate Authority) sertifikata.
-
Informacije o sertifikatu za upis. Ovo čini naziv predmeta sertifikata.
-
Zajedničko ime
-
Ime države
-
Ime organizacije
-
-
Lozinka izazova SCEP servera ako ste konfigurisali SCEP server da sprovede OTP ili zajedničku tajnu.
Šaljemo zahtev za sertifikat koji važi godinu dana za istek sertifikata. Politika na serveru može da promeni datum isteka tokom potpisivanja sertifikata.
Ethernet veza
Kada je uređaj povezan na mrežu, uverite se da može da pristupi SCEP serveru. Uređaj treba da bude povezan na mrežu bez 802.1k da dobije IP adresu. MAC adresa uređaja možda će morati da bude obezbeđena mreži za snabdevanje kako bi se dobila IP adresa. MAC adresa se može naći na korisničkom interfejsu ili na etiketi na poleđini uređaja.
kCommand Bezbednosni sertifikati Usluge Upis SCEP Zahtev Kada SCEP Server vrati potpisani sertifikat uređaja, aktivirajte 802.1Ks i zatim ponovo pokrenite uređaj.
Usluge kCommand bezbednosnih sertifikata Aktivirajte Ponovo pokrenite uređaj nakon aktiviranja sertifikata.
Bežična veza
Kada je uređaj povezan na bežičnu mrežu, uverite se da može da pristupi SCEP serveru.
kCommand Bezbednosni sertifikati Usluge Upis SCEP Zahtev Uređaj prima potpisani sertifikat sa SCEP servera.
Aktivirajte potpisani sertifikat:
Usluge kCommand bezbednosnih sertifikata AktivirajtekCommand Netvork ViFi Konfigurisanje Podrazumevano, Wi-Fi konfiguracija preskače provere validacije servera. Ako je potrebna samo jednosmerna autentifikacija, onda zadržati AllowMissingCA podrazumevano na True.
Da biste prisilili validaciju servera, uverite se da je opcioni parametar AllowMissingCA postavljen na False. Ako se veza ne može uspostaviti zbog grešaka u validaciji usluge, proverite da li je dodan ispravan CA da biste potvrdili sertifikat servera koji se može razlikovati od sertifikata uređaja.
API opisi
Uloga: Administrator, Integrator
kCommand Bezbednosni sertifikati Usluge Upis SCEP ZahtevZahteva i preuzima potpisani sertifikat uređaja
Parametre:
-
Adresa (r): <S: 0, 128>
URL SCEP servera koji se koristi za upis sertifikata.
-
Otisak prsta (r): <S: 0, 128>
Otisak prsta izdavanja CA koji će potpisati zahtev Ks509.
-
ChallengePassvord: <S: 0, 128>
Zajednička tajna lozinka postavljena od strane SCEP servera.
-
CommonName(r): <S: 0, 128>
-
CountryName: <S: 0, 128>
-
ImeOrganizacije: <S: 0, 128>
-
SanDns[5]: <S: 0, 128>
-
SanEmail[5]: <S: 0, 128>
-
SanIp[5]: <S: 0, 128>
-
SanUri[5]: <S: 0, 128>
kCommand Bezbednosni sertifikati Usluge Upis SCEP Zahtev za obnovuKreirajte ili ažurirajte profil automatske obnove koji se primenjuje na sve sertifikate koje je izdao dati CA pre isteka sertifikata
Parametre:
-
Otisak prsta (r): <S: 0, 128>
Otisak prsta koji je izdao CA koji je potpisao sertifikate.
-
Adresa (r): <S: 0, 128>
URL SCEP servera koji se koristi za obnavljanje sertifikata.
xCommand Bezbednosni sertifikati Usluge Upis SCEP Obnova IzbrišiUklonite automatski obnovljeni profil za datu CA. Ovo zaustavlja sertifikate koje je potpisao ovaj CA od automatskog otkrivanja
Parametre:
-
Otisak prsta (r): <S: 0, 128>
Otisak prsta izdavanja CA za uklanjanje.
xCommand Bezbednosni sertifikati Usluge Upis Lista za obnovu SCEP-aSpisak svih trenutno korišćenih autorenew profila.
