Du kan lägga till certifikat från enhetens lokala webbgränssnitt. Du kan också lägga till certifikat genom att köra API kommandon. Information om vilka kommandon som låter dig lägga till certifikat finns i roomos.cisco.com .

Tjänstcertifikat och betrodda certifikatutfärdare

Certifikatvalidering kan krävas om TLS (Transport Layer Security) används. En server eller klient kan kräva att enheten har ett giltigt certifikat till dem innan kommunikationen konfigureras.

Certifikat är textfiler som verifierar enhetens äkthet. Dessa certifikat måste vara signerade av en betrodd certifikatutfärdare (CA). För att verifiera certifikatens signatur måste en lista över betrodda certifikatutfärdare finnas på enheten. Listan måste innehålla alla certifikatutfärdare som krävs för att kunna verifiera certifikaten för både loggning och andra anslutningar.

Certifikat används för följande tjänster: HTTPS-server, SIP, IEEE 802.1X och granskningsloggning. Du kan lagra flera certifikat på enheten, men bara ett certifikat är aktiverat för varje tjänst åt gången.

När du lägger till ett CA-certifikat till en enhet i RoomOS oktober 2023 och senare tillämpas det även på en rumsnavigator om ett sådant är anslutet. Om du vill synkronisera de tidigare tillagda CA-certifikaten till en ansluten rumsnavigator måste du starta om enheten. Om du inte vill att kringutrustningen ska få samma certifikat som enheten den är ansluten till anger du konfigurationen Säkerhetscertifikat för kringutrustning SyncToPeripherals till False.


Certifikat som lagrats tidigare tas inte bort automatiskt. Posterna i en ny fil med CA-certifikat läggs till i den befintliga listan.

För Wi-Fi anslutning

Vi rekommenderar att du lägger till ett betrott CA-certifikat för varje enhet i Board-, Desk- eller Room-serien om nätverket använder WPA-EAP-autentisering. Du måste göra detta separat för varje enhet och innan du ansluter till Wi-Fi.

Om du ska lägga till certifikat för din Wi-Fi-anslutning behöver du följande filer:

  • CA-certifikatlista (filformat: .PEM)

  • Certifikat (filformat: .PEM)

  • Privat nyckel, antingen som en separat fil eller att den ingår i samma fil som certifikatet (filformat: .PEM)

  • Lösenord (krävs enbart om den privata nyckeln är krypterad)

Certifikatet och den privata nyckeln lagras i samma fil på enheten. Om autentiseringen misslyckas kommer anslutningen inte upprättas.


Privat nyckel och lösenfras tillämpas inte på ansluten kringutrustning.

Lägga till certifikat på enheter i Board-, Desk- och Room-serien

1

Från kundvyn i https://admin.webex.com går du till sidan Enheter och väljer din enhet i listan. Gå till Support och starta lokala enhetskontroller .

Om du har ställt in en lokal Administratör på enheten har du åtkomst till webbgränssnittet direkt genom att öppna en webbläsare och skriva in http(s)://<slutpunkts-ip eller värdnamn>.

2

Navigera till Säkerhet > Certifikat > Anpassat > Lägg till certifikat och ladda upp ditt CA-rotcertifikat.

3

I openssl skapar du en privat nyckel och en certifikatbegäran. Kopiera innehållet i certifikatbegärandet. Klistra sedan in det för att begära servercertifikatet från din certifikatutfärdare (CA).

4

Hämta servercertifikatet som signerats av certifikatutfärdaren. Kontrollera att det finns i . PEM-format.

5

Navigera till Säkerhet > Certifikat > Tjänster > Lägg till certifikat och ladda upp den privata nyckeln och servercertifikatet.

6

Aktivera de tjänster som du vill använda för certifikatet du just lade till.

SCEP (Simple Certificate Enrollment Protocol)

SCEP (Simple Certificate Enrollment Protocol) tillhandahåller en automatiserad mekanism för registrering och uppdatering av certifikat som används för till exempel 802.1X-autentisering på enheter. Med SCEP kan du behålla enhetens åtkomst till säkra nätverk utan manuella ingrepp.

  • När enheten är ny eller har återställts till standardinställningarna behöver den nätverksåtkomst för att nå SCEP-URL:en. Enheten ska vara ansluten till nätverket utan 802.1X för att få en IP adress.

  • Om du använder en trådlös registrering SSID måste du gå igenom introduktionsskärmarna för att konfigurera anslutningen till nätverket.

  • När du är ansluten till etableringsnätverket behöver enheten inte vara på en viss registreringsskärm i det här skedet.

  • För att passa alla distributioner lagrar inte SCEP-registreringens xAPI:er det CA-certifikat som används för att signera enhetscertifikatet. För serverautentisering måste CA-certifikatet som används för att validera serverns certifikat läggas till med xCommand Security Certificates CA Add.

Förutsättningar

Du behöver följande information:

  • SCEP-serverns URL.

  • Fingeravtryck av det signerande CA-certifikatet (Certificate Authority).

  • Information om certifikatet som ska registreras. Detta utgör certifikatets ämnesnamn .

    • Trivialnamn

    • Landets namn

    • Organisationens namn

  • SCEP-serverns utmaningslösenord om du har konfigurerat SCEP-servern för att framtvinga ett engångslösenord eller en delad hemlighet.

Vi skickar en certifikatbegäran som är giltig i ett år för certifikatets utgång. Principen på serversidan kan ändra förfallodatumet under certifikatsigneringen.

Ethernet-anslutning

När en enhet är ansluten till ett nätverk kontrollerar du att den har åtkomst till SCEP-servern. Enheten ska vara ansluten till ett nätverk utan 802.1x för att få en IP adress. Enhetens MAC adress kan behöva anges i etableringsnätverket för att en IP adress ska kunna erhållas. Den MAC adressen finns i användargränssnittet eller på etiketten på enhetens baksida.

När enheten är ansluten till nätverket kan du SSH till enheten som administratör för att få åtkomst till TSH och sedan köra följande kommando för att skicka SCEP-registreringsbegäran: 
xCommand Security Certificates Services Enrollment SCEP-begäran

När SCEP-servern returnerar det signerade enhetscertifikatet aktiverar du 802.1X och startar sedan om enheten.

Aktivera det signerade certifikatet:
xCommand Security Certificates Services Activate

Starta om enheten när du har aktiverat certifikatet.

Trådlös anslutning

När en enhet är ansluten till ett trådlöst nätverk kontrollerar du att den har åtkomst till SCEP-servern.

När enheten är ansluten till nätverket kan du SSH till enheten som administratör för att få åtkomst till TSH och sedan köra följande kommando för att skicka SCEP-registreringsbegäran: 
xCommand Security Certificates Services Enrollment SCEP-begäran

Enheten tar emot det signerade certifikatet från SCEP-servern.

Aktivera det signerade certifikatet: 

xCommand Security Certificates Services Activate
Efter aktiveringen måste du konfigurera det Wi-Fi nätverket med EAP-TLS autentisering. 
xCommand Nätverk Wifi Konfigurera

Som standard hoppar Wi-Fi-konfigurationen över servervalideringskontroller. Om endast envägsautentisering krävs behåller du AllowMissingCA som standard värdet Sant.

Om du vill framtvinga serververifiering kontrollerar du att den valfria parametern AllowMissingCA är inställd på False. Om en anslutning inte kan upprättas på grund av fel i tjänstvalideringen kontrollerar du att rätt certifikatutfärdare har lagts till för att verifiera servercertifikatet, som kan skilja sig från enhetscertifikatet.

API beskrivningar

Roll: Admin, integratör

xCommand Security Certificates Services Enrollment SCEP-begäran

Begär och laddar ned ett signerat enhetscertifikat

Parametrar:

  • URL(r): <S: 0, 128>

    SCEP-server-URL som används för att registrera ett certifikat.

  • Fingeravtryck (r): <S: 0, 128>

    Den utfärdande certifikatutfärdarens fingeravtryck som signerar X509-begäran.

  • ChallengePassword: <S: 0, 128>

    Delat hemligt lösenord som angetts av SCEP-servern.

  • CommonName(r): <S: 0, 128>

  • Landnamn: <S: 0, 128>

  • OrganizationName: <S: 0, 128>

  • SanDns[5]: <S: 0, 128>

  • SanEmail[5]: <S: 0, 128>

  • SanIp[5]: <S: 0, 128>

  • SanUri[5]: <S: 0, 128>

xCommand Security Certificates Services Enrollment SCEP-förnyelsebegäran

Skapa eller uppdatera en profil för automatisk förnyelse som tillämpas på alla certifikat som utfärdats av den angivna certifikatutfärdaren innan certifikaten upphör att gälla

Parametrar:

  • Fingeravtryck: <S: 0, 128>

    Den utfärdande certifikatutfärdarens fingeravtryck som signerade certifikaten.

  • URL(r): <S: 0, 128>

    SCEP-server-URL som används för att förnya certifikaten. 

xCommand Security Certificates Services Enrollment SCEP Renewal Delete

Ta bort profilen för automatisk förnyelse för den angivna certifikatutfärdaren. Detta stoppar certifikat som signeras av certifikatutfärdaren från automatisk förnyelse

Parametrar:

  • Fingeravtryck: <S: 0, 128>

    Den utfärdande certifikatutfärdarens fingeravtryck som ska tas bort.

xCommand Security Certificates Services Enrollment SCEP-förnyelselista

Lista alla profiler som för närvarande används för automatisk förnyelse.