Certifikate možete dodati iz lokalnog Veb interfejsa uređaja. Druga mogućnost je da certifikate možete da dodate pokretanjem API komandi. Da biste videli koje komande vam omogućavaju da dodate certifikate, pogledajte roomos.cisco.com .

Sertifikati usluga i pouzdani CA

Provera valjanosti certifikata može biti potrebna prilikom korišćenja TLS-a (Bezbednost sloja prenosa). Server ili klijent mogu zahtevati da im uređaj predstavi važeći certifikat pre nego što se komunikacija podesi.

Certifikati su tekstualne datoteke koje potvrđuju autentičnost uređaja. Ove certifikate mora da potpiše pouzdani autoritet za izdavanje certifikata (CA). Da bi se proverio potpis sertifikata, lista pouzdanih CA-ova mora da se nalazi na uređaju. Lista mora da sadrži sve CA-e potrebne da bi se proverili certifikati za evidentiranje nadzora i druge veze.

Certifikati se koriste za sledeće usluge: HTTPS server, SIP, IEEE 802.1X i evidentiranje revizije. Na uređaju možete uskladištiti nekoliko certifikata, ali je za svaku uslugu omogućen samo po jedan certifikat.

Na RoomOS-u oktobra 2023. i kasnije, kada dodate CA sertifikat uređaju, primenjuje se i na Room Navigator ako je on povezan. Da biste sinhronizovali prethodno dodate CA sertifikate sa povezanim Room Navigator-om, morate ponovo da pokrenete uređaj. Ako ne želite da periferne uređaje dobiju iste sertifikate kao uređaj na koji je povezan, podesite konfiguraciju Periferne bezbednosne sertifikate SyncToPeripherals na False.


Prethodno uskladišteni certifikati se ne brišu automatski. Stavke u novoj datoteci sa CA certifikatima se dodaju na postojeću listu.

Za Wi-Fi vezu

Preporučujemo da dodate pouzdani CA sertifikat za svaki uređaj serije Board, Desk ili Room, ako mreža koristi WPA-EAP potvrdu identiteta. To morate da uradite pojedinačno za svaki uređaj i pre nego što se povežete sa Wi-Fi mrežom.

Da biste dodali certifikate za Wi-Fi vezu, potrebne su vam sledeće datoteke:

  • CA lista sertifikata (format datoteke: .PEM)

  • Sertifikat (format datoteke: .PEM)

  • Privatni ključ, bilo kao zasebna datoteka ili uključen u istu datoteku kao sertifikat (format datoteke: .PEM)

  • Fraza za prolaz (potrebna samo ako je privatni ključ šifrovan)

Certifikat i privatni ključ skladište se u istoj datoteci na uređaju. Ako potvrda identiteta ne uspe, veza neće biti uspostavljena.


Privatni ključ i lozinka se ne primenjuju na povezane periferne uređaje.

Dodajte sertifikate na uređaje serije Board, Desk i Room

1

Iz prikaza klijenta u programu https://admin.webex.com , idite na stranicu "Uređaji" i izaberite uređaj sa liste. Pristupite opciji Podrška i pokrenite kontrole lokalnog uređaja .

Ako ste podesili lokalnog administratora na uređaju, možete da pristupite veb-interfejsu direktno otvaranjem veb-pregledača i unosom u http(s)://.

2

Krećite se do > certifikata > prilagođenih > dodaj certifikat i otpremite CA vrhovne certifikate.

3

Na openssl-u, generiši privatni ključ i zahtev za certifikat. Kopirajte sadržaj zahteva za certifikat. Zatim ga nalepite da biste zatražili certifikat servera od vašeg autoriteta za izdavanje certifikata (CA).

4

Preuzmite certifikat servera koji je potpisao vaš CA. Uverite se da je unutra. PEM format.

5

Krećite se do > certifikata > usluga > dodajte certifikat i otpremite privatni ključ i certifikat servera.

6

Omogućite usluge koje želite da koristite za sertifikat koji ste upravo dodali.

SCEP (Simple Certificate Enrollment Protocol)

SCEP (Simple Certificate Enrollment Protocol) pruža automatizovani mehanizam za upis i osvežavanje certifikata koji se koriste za, na primer, 802.1X potvrdu identiteta na uređajima. SCEP vam omogućava da održite pristup uređaja bezbednosnim mrežama bez ručne intervencije.

  • Kada je uređaj novi ili je fabrički resetovan, potreban mu je pristup mreži da bi se dostigla SCEP URL adresa. Uređaj treba da bude povezan na mrežu bez 802.1X da bi dobio IP adresu.

  • Ako koristite SSID za bežičnu registraciju, potrebno je da prođete kroz ulazne ekrane da biste konfigurisali vezu sa mrežom.

  • Kada se povežete na mrežu za dodelu privilegija, uređaj ne mora da bude na određenom ekranu za priključivanje u ovoj fazi.

  • Da bi se uklopila u sve primene, SCEP enrollment xAPI-ji neće sačuvati CA sertifikat koji se koristi za potpisivanje sertifikata uređaja. Za potvrdu identiteta servera, CA sertifikat koji se koristi za potvrdu sertifikata servera treba da se doda pomoću xCommand bezbednosnih sertifikata CA Add.

Preduslov

Potrebne su vam sledeće informacije:

  • URL adresa SCEP servera.

  • Otisak prsta za potpisivanje CA (Certificate Authority) sertifikata.

  • Informacije o sertifikatu za registraciju. Ovo sačinjava ime subjekta sertifikata.

    • Zajedničko ime

    • Ime zemlje

    • Ime organizacije

  • Lozinka sa izazovima SCEP servera ako ste konfigurisali SCEP server tako da nametne OTP ili deljenu tajnu.

Pošaljemo zahtev za sertifikat koji je važeći jedne godine za istek sertifikata. Smernice na strani servera mogu da promene datum isteka tokom potpisivanja sertifikata.

Ethernet veza

Kada je uređaj povezan na mrežu, uverite se da može da pristupi SCEP serveru. Uređaj treba da bude povezan na mrežu bez 802.1x da bi dobio IP adresu. MAC adresa uređaja možda će morati da se dostavi mreži za obezbeđivanje da bi se dobila IP adresa. MAC adresa se može pronaći na korisničkom interfejsu ili na oznaci na zadnjem delu uređaja.

Kada se uređaj poveže na mrežu, možete SSH sa uređajem kao administrator da pristupi TSH-u, a zatim pokrenite sledeću komandu da biste poslali SCEP zahtev za upis: 
SCEP zahtev za upis za usluge xCommand bezbednosnih sertifikata

Kada SCEP server vrati potpisani sertifikat uređaja, aktivirajte 802.1X i zatim ponovo pokrenite uređaj.

Aktivirajte potpisani sertifikat:
Aktiviranje usluga xCommand bezbednosnih sertifikata

Ponovo pokrenite uređaj nakon aktiviranja sertifikata.

Bežična veza

Kada je uređaj povezan na bežičnu mrežu, uverite se da može da pristupi SCEP serveru.

Kada se uređaj poveže na mrežu, možete SSH sa uređajem kao administrator da pristupi TSH-u, a zatim pokrenite sledeću komandu da biste poslali SCEP zahtev za upis: 
SCEP zahtev za upis za usluge xCommand bezbednosnih sertifikata

Uređaj dobija potpisani sertifikat od SCEP servera.

Aktivirajte potpisani sertifikat: 

Aktiviranje usluga xCommand bezbednosnih sertifikata
Nakon aktivacije, potrebno je da konfigurišete Wi-Fi mrežu pomoću EAP-TLS potvrde identiteta. 
Konfigurisanje xCommand Wifi mreže

Wi-Fi konfiguracija podrazumevano preskače proveru valjanosti servera. Ako je potrebna samo jednosmerna potvrda identiteta, onda zadržite podrazumevano AllowMissingCA na True.

Da biste nametnuli proveru valjanosti servera, uverite se da je opcionalni parametar AllowMissingCA podešen na False. Ako nije moguće uspostaviti vezu zbog greške pri proveri valjanosti usluge, proverite da li je dodat ispravan CA kako biste potvrdili sertifikat servera koji se može razlikovati od sertifikata uređaja.

API opisi

Uloga: Administrator, integrator

SCEP zahtev za upis za usluge xCommand bezbednosnih sertifikata

Zahtevi i preuzima potpisani sertifikat uređaja

Parametre:

  • URL(r): <S: 0, 128>

    URL adresa SCEP servera koja se koristi za registrovanje sertifikata.

  • Otisak prsta (r): <S: 0, 128>

    Otisak prsta za izdavanje CA koji će potpisati X509 zahtev.

  • ChallengePassword: <S: 0, 128>

    Deljenu tajnu lozinku koju je podesio SCEP server.

  • ОпштеName(r): <S: 0, 128>

  • ЗемљаName: <S: 0, 128>

  • OrganizacijaName: <S: 0, 128>

  • SanDns [5]: <S: 0, 128>

  • SanE-pošta [5]: <S: 0, 128>

  • SanIp [5]: <S: 0, 128>

  • SanUri [5]: <S: 0, 128>

xCommand usluge bezbednosnih sertifikata Upis za SCEP zahtev za obnavljanje

Kreirajte ili ažurirajte profil ovlašćenja koji se primenjuje na sve sertifikate izdate od strane datog CA pre nego što sertifikati isteknu

Parametre:

  • Otisak prsta (r): <S: 0, 128>

    Otisak prsta za izdavanje CA koji je potpisao certifikate.

  • URL(r): <S: 0, 128>

    URL adresa SCEP servera koja se koristi za obnavljanje sertifikata. 

xCommand bezbednosne sertifikate Upis SCEP obnavljanje

Uklonite dodeljeni profil za dati CA. Ovo sprečava davanje sertifikata koje je potpisao ovaj CA

Parametre:

  • Otisak prsta (r): <S: 0, 128>

    Otisak prsta za uklanjanje CA.

xCommand Security Certificates Upis za SCEP listu obnavljanja

Navedite sve trenutno korišćene profile autorizacije.