Du kan lägga till certifikat från enhetens lokala webbgränssnitt. Alternativt kan du lägga till certifikat genom att köra API-kommandon. För att se vilka kommandon som låter dig lägga till certifikat, se roomos.cisco.com .

Servicecertifikat och betrodda certifikatutfärdare

Certifikatvalidering kan krävas om TLS (Transport Layer Security) används. En server eller klient kan kräva att enheten har ett giltigt certifikat till dem innan kommunikationen konfigureras.

Certifikat är textfiler som verifierar enhetens äkthet. Dessa certifikat måste vara signerade av en betrodd certifikatutfärdare (CA). För att verifiera certifikatens signatur måste en lista över betrodda certifikatutfärdare finnas på enheten. Listan måste innehålla alla certifikatutfärdare som krävs för att kunna verifiera certifikaten för både loggning och andra anslutningar.

Certifikat används för följande tjänster: HTTPS-server, SIP, IEEE 802.1X och granskningsloggning. Du kan lagra flera certifikat på enheten, men bara ett certifikat är aktiverat för varje tjänst åt gången.

På RoomOS oktober 2023 och senare, när du lägger till ett CA-certifikat till en enhet, tillämpas det även på en Room Navigator om en sådan är ansluten. För att synkronisera de tidigare tillagda CA-certifikaten till en ansluten Room Navigator måste du starta om enheten. Om du inte vill att kringutrustningen ska få samma certifikat som enheten den är ansluten till ställer du in konfigurationen Säkerhetscertifikat för kringutrustning, Synkronisera till kringutrustning till Falskt.

Certifikat som lagrats tidigare tas inte bort automatiskt. Posterna i en ny fil med CA-certifikat läggs till i den befintliga listan.

För Wi-Fi-anslutning

Vi rekommenderar att du lägger till ett betrott CA-certifikat för varje Board-, Desk- eller Room Series-enhet, om ditt nätverk använder WPA-EAP-autentisering. Du måste göra detta separat för varje enhet och innan du ansluter till Wi-Fi.

Om du ska lägga till certifikat för din Wi-Fi-anslutning behöver du följande filer:

  • CA-certifikatlista (filformat: .PEM)

  • Certifikat (filformat: .PEM)

  • Privat nyckel, antingen som en separat fil eller att den ingår i samma fil som certifikatet (filformat: .PEM)

  • Lösenord (krävs enbart om den privata nyckeln är krypterad)

Certifikatet och den privata nyckeln lagras i samma fil på enheten. Om autentiseringen misslyckas kommer anslutningen inte upprättas.

Privat nyckel och lösenfras tillämpas inte på anslutna kringutrustning.

Lägg till certifikat på Board-, Desk- och Room Series-enheter

1

Från kundvyn i https://admin.webex.com , gå till sidan Enheter och välj din enhet i listan. Gå till Support och starta Lokala enhetskontroller .

Om du har ställt in en lokal Administratör på enheten har du åtkomst till webbgränssnittet direkt genom att öppna en webbläsare och skriva in http(s)://<slutpunkts-ip eller värdnamn>.

2

Navigera till Säkerhet > Certifikat > Anpassat > Lägg till certifikat och ladda upp ditt CA-rotcertifikat.

3

I openssl skapar du en privat nyckel och en certifikatbegäran. Kopiera innehållet i certifikatbegärandet. Klistra sedan in det för att begära servercertifikatet från din certifikatutfärdare (CA).

4

Ladda ner servercertifikatet som signerats av din CA. Se till att det är i .PEM-format.

5

Navigera till Säkerhet > Certifikat > Tjänster > Lägg till certifikat och ladda upp den privata nyckeln och servercertifikatet.

6

Aktivera de tjänster som du vill använda för det certifikat du just lade till.

Generera certifikatsigneringsförfrågan (CSR)

Administratörer måste generera en certifikatsigneringsbegäran (CSR) från Control Hub för en molnregistrerad Board-, Desk- eller Room Series-enhet.

Följ dessa steg för att generera en CSR och ladda upp ett signerat certifikat till din enhet:

  1. Från kundvyn i Control Hub går du till sidan Enheter och väljer din enhet från listan.
  2. Navigera till Åtgärder > Kör xCommand > Säkerhet > Certifikat > CSR > Skapa.
  3. Ange de obligatoriska certifikatuppgifterna och välj Kör.
  4. Kopiera all text mellan ----BEGIN CERTIFICATE REQUEST---- och ----END CERTIFICATE REQUEST----.
  5. Använd en Certificate Authority (CA) som du väljer för att signera CSR.
  6. Exportera det signerade certifikatet i PEM-format (Base64-kodat).
  7. Öppna den signerade certifikatfilen i en textredigerare (t.ex. Anteckningar) och kopiera all text mellan ----BEGIN CERTIFICATE---- och ----END CERTIFICATE----.
  8. I Kontrollhubben, navigera till Enheter > välj din enhet > Åtgärder > Kör xCommand > Säkerhet > Certifikat > CSR > Länk.
  9. Klistra in det kopierade certifikatinnehållet i avsnittet Brödtext och välj Kör.
  10. Uppdatera sidan för att kontrollera att certifikatet visas under Befintligt certifikat.

Simple Certificate Enrollment Protocol (SCEP)

Simple Certificate Enrollment Protocol (SCEP) tillhandahåller en automatiserad mekanism för registrering och uppdatering av certifikat som används till exempel 802.1X-autentisering på enheter. Med SCEP kan du bibehålla enhetens åtkomst till säkra nätverk utan manuella åtgärder.

  • När enheten är ny eller har återställts till fabriksinställningarna behöver den nätverksåtkomst för att nå SCEP-URL:en. Enheten bör vara ansluten till nätverket utan 802.1X för att få en IP-adress.

  • Om du använder en trådlös registrering SSID, gå igenom introduktionsskärmarna för att konfigurera anslutningen till nätverket.

  • När du är ansluten till etableringsnätverket behöver enheten inte vara på en viss onboarding-skärm.

  • För att passa alla distributioner kommer SCEP Enrollment xAPI:erna inte att lagra CA-certifikatet som används för att signera enhetscertifikatet. För serverautentisering måste CA-certifikatet som används för att validera serverns certifikat läggas till med xCommand Security Certificates CA Add.

Förutsättningar

Du behöver följande information:

  • SCEP-serverns URL.

  • Fingeravtryck för den signerande CA-certifikatet (Certificate Authority).

  • Information om certifikatet för registrering. Detta utgör Ämnesnamn för certifikatet.

    • Vanligt namn

    • Landets namn

    • Namn på delstat eller provins

    • Ortsnamn

    • Organisationsnamn

    • Organisationsenhet

  • Ämnesnamnet kommer att ordnas som /C= /ST= /L= /O= /OU= /CN=

  • SCEP-serverns utmaningslösenord om du har konfigurerat SCEP-servern för att tillämpa en engångslösenordslösenordskod eller delad hemlighet.

Du kan ange önskad nyckelstorlek för nyckelparet för certifikatbegäran med följande kommando. Standard är 2048.

 xConfiguration Security Enrollment KeySize: <2048, 3072, 4096>

Vi skickar en certifikatförfrågan som är giltig i ett år innan certifikatets utgångsdatum. Serversidans policy kan ändra utgångsdatumet under certifikatsignering.

Ethernet-anslutning

När en enhet är ansluten till ett nätverk, se till att den har åtkomst till SCEP-servern. Enheten bör vara ansluten till ett nätverk utan 802.1x för att få en IP-adress. Enhetens MAC-adress kan behöva anges till provisioneringsnätverket för att få en IP-adress. Adressen MAC finns på användargränssnittet eller på etiketten på baksidan av enheten.

När enheten är ansluten till nätverket kan du använda SSH till enheten som administration för att komma åt TSH, kör sedan följande kommando för att skicka SCEP-registreringsbegäran: 

Registrering av SCEP-begäran för säkerhetscertifikattjänster för xCommand

När SCEP-servern returnerar det signerade enhetscertifikatet aktiverar du 802.1X.

Aktivera det signerade certifikatet:

xCommand Säkerhetscertifikat Tjänster Aktivera

Starta om enheten efter att certifikatet har aktiverats.

Trådlös anslutning

När en enhet är ansluten till ett trådlöst nätverk, se till att den har åtkomst till SCEP-servern.

När enheten är ansluten till nätverket kan du använda SSH till enheten som administration för att komma åt TSH, kör sedan följande kommando för att skicka SCEP-registreringsbegäran: 

Registrering av SCEP-begäran för säkerhetscertifikattjänster för xCommand

Enheten tar emot det signerade certifikatet från SCEP-servern.

Aktivera det signerade certifikatet: 

xCommand Säkerhetscertifikat Tjänster Aktivera

Efter aktivering måste du konfigurera Wi-Fi-nätverket med EAP-TLS-autentisering. 

xCommand Nätverk Wifi Konfigurera

Som standard hoppar konfigurationen Wi-Fi över servervalideringskontroller. Om endast envägsautentisering krävs, behåll då TillåtSaknadCA standardiserad till Sann.

För att tvinga fram servervalidering, se till att TillåtSaknadCA den valfria parametern är inställd på Falsk. Om en anslutning inte kan upprättas på grund av tjänstvalideringsfel, kontrollera att rätt certifikatutfärdare har lagts till för att verifiera servercertifikatet, vilket kan skilja sig från enhetscertifikatet.

API beskrivningar

Roll: Administratör, Integratör

Registrering av SCEP-begäran för säkerhetscertifikattjänster för xCommand

Skickar en CSR till en given SCEP-server för signering. Parametrarna CSR SubjectName kommer att konstrueras i följande ordning: C, ST, L, O, OUs, CN.

Parametrar:

  • URL(r): <S: 0, 256>

    URL-adressen för SCEP-servern.

  • Fingeravtryck(r): <S: 0, 128>

    CA-certifikatets fingeravtryck som signerar SCEP-begäran CSR.

  • Vanligt namn(r): <S: 0, 64>

    Lägger till "/CN=" till ämnesnamnet CSR.

  • Utmaningslösenord: <S: 0, 256>

    OTP eller delad hemlighet från SCEP-servern för åtkomst till signering.

  • Landsnamn: <S: 0, 2>

    Lägger till "/C=" till CSR ämnesnamn.

  • DelstatEllerProvinsnamn: <S: 0, 64>

    Lägger till "/ST=" till ämnesnamnet CSR.

  • Ortsnamn: <S: 0, 64>

    Lägger till "/L=" till ämnesnamnet CSR.

  • Organisationsnamn: <S: 0, 64>

    Lägger till "/O=" till ämnesnamnet CSR.

  • Organisationsenhet[5]: <S: 0, 64>

    Lägger till upp till 5 "/OU="-parametrar till ämnesnamnet CSR.

  • SanDns[5]: <S: 0, 64>

    Lägger till upp till 5 DNS-parametrar till det alternativa ämnesnamnet CSR.

  • SanEmail[5]: <S: 0, 64>

    Lägger till upp till 5 e-postparametrar till det alternativa ämnesnamnet CSR.

  • SanIp[5]: <S: 0, 64>

    Lägger till upp till 5 IP-parametrar till det alternativa ämnesnamnet CSR.

  • SanUri[5]: <S: 0, 64>

    Lägger till upp till 5 URI-parametrar till det alternativa ämnesnamnet CSR.

Ta bort registreringsprofiler för säkerhetscertifikattjänster i xCommand

Tar bort en registreringsprofil för att inte längre förnya certifikat.

Parametrar:

  • Fingeravtryck(r): <S: 0, 128>

    CA-certifikatets fingeravtryck som identifierar den profil du vill ta bort. Du kan se de tillgängliga profilerna att ta bort genom att köra: 

    Lista över registreringsprofiler för säkerhetscertifikattjänster i xCommand

Lista över registreringsprofiler för säkerhetscertifikattjänster i xCommand

Listar registreringsprofiler för certifikatförnyelse.

 xCommand Säkerhetscertifikat Tjänster Registrering SCEP-profiler Ange fingeravtryck(r): <S: 0, 128> URL(r): <S: 0, 256>

Lägg till en registreringsprofil för certifikat utfärdade av CA-fingeravtrycket för att använda den angivna SCEP-URL:en för förnyelse.

Förnyelse

 xCommand Säkerhetscertifikat Tjänster Registrering SCEP-profiluppsättning

För att certifikatet ska kunna förnyas automatiskt måste enheten kunna komma åt SCEP-URL:en som kan avregistrera certifikatet.

En gång dagligen kontrollerar enheten om det finns certifikat som löper ut om 45 dagar. Enheten kommer sedan att försöka förnya dessa certifikat om deras utfärdare matchar en profil.

OBS! Alla enhetscertifikat kommer att kontrolleras för förnyelse, även om certifikatet inte ursprungligen registrerades med SCEP.

Navigatör

  1. Direktparat: Registrerade certifikat kan aktiveras som "Parnings"-certifikat.

  2. Fjärrkopplad: Be navigatorn att registrera ett nytt SCEP-certifikat med hjälp av kringutrustningens ID:

    xCommand Kringutrustning Säkerhetscertifikat Tjänster Registrering SCEP-begäran 

    Registreringsprofiler synkroniseras automatiskt med den parade navigatorn.

  3. Fristående navigator: Samma som codec-registrering

Konfigurera 802.1x-autentisering på Room Navigator

Du kan konfigurera 802.1x-autentisering direkt från inställningsmenyn i Room Navigator.

Autentiseringsstandarden 802.1x är särskilt viktig för Ethernet-nätverk och säkerställer att endast auktoriserade enheter får åtkomst till nätverksresurserna.

Olika inloggningsalternativ är tillgängliga baserat på metoden EAP som är konfigurerad i ditt nätverk. Till exempel:

  • TLS: Användarnamn och lösenord används inte.
  • PEAP: Certifikat används inte.
  • TTLS: Både användarnamn/lösenord och certifikat krävs; ingetdera är valfritt.

Det finns flera sätt att hämta klientcertifikatet på en enhet:

  1. Ladda upp PEM: Använd funktionen Lägg till säkerhetscertifikattjänster.
  2. Skapa CSR: Generera en certifikatsigneringsbegäran (CSR), signera den och länka den med hjälp av säkerhetscertifikat CSR Skapa/Länka.
  3. SCEP: Använd säkerhetscertifikattjänster Enrollment SCEP Request.
  4. DHCP Alternativ 43: Konfigurera certifikatleveransen via det här alternativet.

Konfigurering och uppdatering av certifikaten för 802.1x bör göras före parkoppling Room Navigator till ett system, eller efter att Room Navigator har återställts till fabriksinställningarna.

Standardinloggningsuppgifterna är admin och ett tomt lösenord. För mer information om hur du lägger till certifikat genom att öppna API, se den senaste versionen av API-guiden .

  1. Öppna kontrollpanelen på Navigatorn genom att trycka på knappen i det övre högra hörnet eller svepa från höger sida. Tryck sedan på Enhetsinställningar .
  2. Gå till Nätverksanslutning och välj Ethernet .
  3. Aktivera Använd IEEE 802.1X.
    • Om autentisering är konfigurerad med inloggningsuppgifter anger du användaridentitet och lösenfras. Du kan också ange en anonym identitet: detta är ett valfritt fält som ger ett sätt att separera den faktiska användarens identitet från den ursprungliga autentiseringsbegäran.
    • Du kan växla TLS Verifiera av eller på. När TLS verifiering är PÅ, verifierar klienten aktivt äktheten hos serverns certifikat under TLS handskakningen. När TLS verify är AVSTÄNGT utför klienten inte aktiv verifiering av serverns certifikat.
    • Om du har laddat upp ett klientcertifikat genom att öppna API, växla Använd klientcertifikat på.
    • Växla Utökningsbart autentiseringsprotokoll (EAP) metoder du vill använda. Valet av EAP-metod beror på de specifika säkerhetskraven, infrastrukturen och klientens kapacitet. EAP-metoder är avgörande för att möjliggöra säker och autentiserad nätverksåtkomst.