Možete dodati sertifikate sa lokalnog veb interfejsa uređaja. Alternativno, možete dodati sertifikate pokretanjem API komandi. Da biste videli koje komande vam dozvoljavaju da dodate sertifikate, pogledajte roomos.cisco.com .

Servisni sertifikati i pouzdani ЦA

Validacija sertifikata može biti potrebna kada se koristi TLS (Transport Laier Securiti). Server ili klijent može zahtevati da im uređaj predstavi važeći sertifikat pre nego što se uspostavi komunikacija.

Sertifikati su tekstualne datoteke koje potvrđuju autentičnost uređaja. Ovi sertifikati moraju biti potpisani od strane pouzdanog autoriteta sertifikata (CA). Da biste potvrdili potpis sertifikata, lista pouzdanih CA-ova mora se nalaziti na uređaju. Lista mora da sadrži sve CA potrebne za verifikaciju sertifikata i za evidentiranje revizije i za druge veze.

Sertifikati se koriste za sledeće usluge: HTTPS server, SIP, IEEE KSNUMKSKS i evidentiranje revizije. Možete da sačuvate nekoliko sertifikata na uređaju, ali samo jedan sertifikat je omogućen za svaku uslugu u isto vreme.

Na RoomOS-u u oktobru 2023. i kasnije, kada dodate CA sertifikat na uređaj, on se takođe primenjuje na Room Navigator ako je povezan. Da biste sinhronizovali prethodno dodane CA sertifikate sa povezanim Room Navigator-om, morate ponovo pokrenuti uređaj. Ako ne želite da periferne uređaje dobiju iste sertifikate kao i uređaj na koji je povezan, podesite konfiguraciju Periferni sigurnosni sertifikati SincToPeripherals na False.

Prethodno sačuvani sertifikati se ne brišu automatski. Unosi u novoj datoteci sa CA sertifikatima se dodaju postojećoj listi.

Za Wi-Fi vezu

Preporučujemo da dodate pouzdani CA sertifikat za svaki uređaj Board, Desk ili Room Series, ako vaša mreža koristi VPA-EAP autentifikaciju. To morate uraditi pojedinačno za svaki uređaj, a pre nego što se povežete na Wi-Fi.

Da biste dodali sertifikate za vašu Wi-Fi vezu, potrebne su vam sledeće datoteke:

  • Lista sertifikata CA (format datoteke: . PEM)

  • Sertifikat (format datoteke: . PEM)

  • Privatni ključ, bilo kao zasebna datoteka ili uključena u istu datoteku kao i sertifikat (format datoteke: . PEM)

  • Passphrase (potrebno samo ako je privatni ključ šifrovan)

Sertifikat i privatni ključ se čuvaju u istoj datoteci na uređaju. Ako autentifikacija ne uspe, veza neće biti uspostavljena.

Privatni ključ i lozinka se ne primenjuju na povezane periferije.

Dodajte sertifikate na uređajima Board, Desk i Room Series

1

Iz prikaza kupca u https://admin.webex.com , idite na stranicu Uređaji i izaberite svoj uređaj na listi. Idite na Podrška i pokrenite lokalne kontrole uređaja.

Ako ste postavili lokalnog administratora na uređaju, možete pristupiti veb interfejsu direktno otvaranjem veb pretraživača i upisivanjem https://<endpoint ip ili ime hosta>.

2

Idite na Securiti > Certificates > Custom > Add Certificate i otpremite svoje CA root sertifikate.

3

Na openssl-u, generišite privatni ključ i zahtev za sertifikat. Kopirajte sadržaj zahteva za sertifikat. Zatim ga nalepite da biste zatražili sertifikat servera od vašeg autoriteta sertifikata (CA).

4

Preuzmite sertifikat servera koji je potpisao vaš CA. Uverite se da je u . PEM format.

5

Idite na Bezbednost > Sertifikati > Usluge > Dodajte sertifikat i otpremite privatni ključ i sertifikat servera.

6

Omogućite usluge koje želite da koristite za sertifikat koji ste upravo dodali.

Jednostavan protokol za upis sertifikata (SCEP)

Simple Certificate Enrollment Protocol (SCEP) obezbeđuje automatizovani mehanizam za upis i osvežavanje sertifikata koji se koriste na primer 802.1Ks autentifikaciju na uređajima. SCEP vam omogućava da održite pristup uređaja sigurnim mrežama bez ručne intervencije.

  • Kada je uređaj nov ili je fabrički resetovan, potreban mu je pristup mreži da bi se došlo do SCEP URL-a. Uređaj treba da bude povezan na mrežu bez 802.1Ks da dobije IP adresu.

  • Ako koristite bežični SSID za upis, potrebno je da prođete kroz ekrane za uključivanje da biste konfigurisali vezu sa mrežom.

  • Kada ste povezani sa mrežom za obezbeđivanje, uređaj ne mora da bude na određenom ekranu za uključivanje u ovoj fazi.

  • Da bi se uklopili u sve primene, SCEP Enrollment kAPIs neće čuvati CA sertifikat koji se koristi za potpisivanje sertifikata uređaja. Za autentifikaciju servera, CA sertifikat koji se koristi za proveru sertifikata servera treba dodati pomoću kCommand Securiti Certificates CA Add.

Preduslovi

Potrebne su vam sledeće informacije:

  • URL adresa SCEP servera.

  • Otisak prsta potpisivanja CA (Certificate Authority) sertifikata.

  • Informacije o sertifikatu za upis. Ovo čini naziv predmeta sertifikata.

    • Zajedničko ime

    • Ime države

    • Ime države ili pokrajine

    • Ime lokaliteta

    • Ime organizacije

    • Organizaciona jedinica

  • Ime subjekta će biti naručeno kao /C= /ST= /L= /O= /OU= /CN=

  • Lozinka izazova SCEP servera ako ste konfigurisali SCEP server da sprovede OTP ili zajedničku tajnu.

Možete podesiti potrebnu veličinu ključa za zahtev sertifikata pomoću sledeće komande. Podrazumevano je 2048.

 xConfiguration Securiti Enrollment KeiSize: <2048, 3072, 4096>

Šaljemo zahtev za sertifikat koji važi godinu dana za istek sertifikata. Politika na serveru može da promeni datum isteka tokom potpisivanja sertifikata.

Ethernet veza

Kada je uređaj povezan na mrežu, uverite se da može da pristupi SCEP serveru. Uređaj treba da bude povezan na mrežu bez 802.1k da dobije IP adresu. MAC adresa uređaja možda će morati da bude obezbeđena mreži za snabdevanje kako bi se dobila IP adresa. MAC adresa se može naći na korisničkom interfejsu ili na etiketi na poleđini uređaja.

Nakon što je uređaj povezan na mrežu, možete SSH na uređaj kao admin za pristup TSH, a zatim pokrenite sledeću komandu da pošaljete upis SCEP zahtev: 

kCommand Bezbednosni sertifikati Usluge Upis SCEP Zahtev

Kada SCEP server vrati potpisani sertifikat uređaja, aktivirajte 802.1Ks.

Aktivirajte potpisani sertifikat:

Usluge kCommand bezbednosnih sertifikata Aktivirajte

Ponovo pokrenite uređaj nakon aktiviranja sertifikata.

Bežična veza

Kada je uređaj povezan na bežičnu mrežu, uverite se da može da pristupi SCEP serveru.

Nakon što je uređaj povezan na mrežu, možete SSH na uređaj kao admin za pristup TSH, a zatim pokrenite sledeću komandu da pošaljete upis SCEP zahtev: 

kCommand Bezbednosni sertifikati Usluge Upis SCEP Zahtev

Uređaj prima potpisani sertifikat sa SCEP servera.

Aktivirajte potpisani sertifikat: 

Usluge kCommand bezbednosnih sertifikata Aktivirajte

Nakon aktiviranja, potrebno je da konfigurišete Wi-Fi mrežu sa EAP-TLS autentifikacijom. 

kCommand Netvork ViFi Konfigurisanje

Podrazumevano, Wi-Fi konfiguracija preskače provere validacije servera. Ako je potrebna samo jednosmerna autentifikacija, onda zadržati AllowMissingCA podrazumevano na True.

Da biste prisilili validaciju servera, uverite se da je opcioni parametar AllowMissingCA postavljen na False. Ako se veza ne može uspostaviti zbog grešaka u validaciji usluge, proverite da li je dodan ispravan CA da biste potvrdili sertifikat servera koji se može razlikovati od sertifikata uređaja.

API opisi

Uloga: Administrator, Integrator

kCommand Bezbednosni sertifikati Usluge Upis SCEP Zahtev

Šalje CSR datom SCEP serveru za potpisivanje. Parametri CSR SubjectName će biti konstruisani u sledećem redosledu: C, ST, L, O, OUs, CN.

Parametre:

  • Adresa (r): <S: 0, 256>

    URL adresa SCEP servera.

  • Otisak prsta (r): <S: 0, 128>

    CA sertifikat Otisak prsta koji će potpisati SCEP zahtev CSR.

  • CommonName(r): <S: 0, 64>

    Dodaje "/ CN =" na CSR naziv predmeta.

  • ChallengePassword: <S: 0, 256>

    OTP ili zajednička tajna sa SCEP servera za pristup potpisivanju.

  • ZemljaIme: <S: 0, 2>

    Dodaje "/ c =" na CSR naziv subjekta.

  • DržavaIliPokrajinaIme: <S: 0, 64>

    Dodaje "/ ST =" na CSR naziv predmeta.

  • LokalitetIme: <S: 0, 64>

    Dodaje "/ l =" na CSR naziv subjekta.

  • ImeOrganizacije: <S: 0, 64>

    Dodaje "/ O =" na CSR naziv subjekta.

  • Organizaciona jedinica[5]: <S: 0, 64>

    Dodaje do 5 "/ OU =" parametara na CSR Subject Name.

  • SanDns[5]: <S: 0, 64>

    Dodaje do 5 DNS parametara alternativnom imenu CSR subjekta.

  • SanEmail[5]: <S: 0, 64>

    Dodaje do KSNUMKS parametara e-pošte alternativnom imenu CSR subjekta.

  • SanIp[5]: <S: 0, 64>

    Dodaje do 5 Ip parametara na alternativno ime CSR subjekta.

  • SanUri[5]: <S: 0, 64>

    Dodaje do 5 Uri parametara alternativnom imenu CSR subjekta.

kCommand Bezbednosni sertifikati Usluge Profili za upis Izbriši

Briše profil za upis da više ne obnavlja sertifikate.

Parametre:

  • Otisak prsta (r): <S: 0, 128>

    Jedinstveni identifikator za sertifikat koji se briše. ID otiska prsta možete dobiti pokretanjem:

     xCommand Securiti Sertifikati Usluge Prikaži

xCommand Lista profila profila za ukis bezbednosnih sertifikata

Liste profila upisa za obnovu sertifikata.

 xCommand Bezbednosni sertifikati Usluge Upis SCEP Profili Set Otisak prsta(r): <S: 0, 128> URL(r): <S: 0, 256>

Dodajte novi sertifikat

Obnove

 kCommand Bezbednosni sertifikati Usluge Upis - SCEP Profili Set

Da bi se automatski obnovio sertifikat, uređaj mora biti u mogućnosti da pristupi SCEP URL-u koji može da podnese ostavku na sertifikat.

Jednom dnevno, uređaj će proveriti sertifikate koji će isteći sa 45 dana. Uređaj će zatim pokušati da obnovi ove sertifikate ako se njihov izdavač podudara sa profilom.

NAPOMENA: Svi sertifikati uređaja će biti provereni za obnovu, čak i ako sertifikat nije prvobitno upisan pomoću SCEP-a.

Navigator

  1. Direktno upareno: Upisani sertifikati mogu se aktivirati kao sertifikat "Uparivanje".

  2. Daljinski upareni: Recite navigatoru da upiše novi SCEP sertifikat koristeći ID periferije:

    kCommand periferije Bezbednosni sertifikati Usluge Upis SCEP Zahtev 

    Profili za upis se automatski sinhronizuju sa uparenim navigatorom.

  3. Samostalni navigator: Isto kao i upis kodeka