Du kan lägga till certifikat från enhetens lokala webbgränssnitt. Alternativt kan du lägga till certifikat genom att köra API-kommandon. Mer information om vilka kommandon som du kan lägga till certifikat finns i roomos.cisco.com .

Tjänstcertifikat och betrodda certifikatutfärdare

Certifikatvalidering kan krävas när TLS (Transport Layer Security används). En server eller klient kan kräva att enheten visar ett giltigt certifikat för dem innan kommunikationen konfigureras.

Certifikaten är textfiler som verifierar enhetens autentisering. Certifikaten måste signeras av en betrodd certifikatutfärdare (CA). För att verifiera signaturen av certifikaten måste en lista över betrodda certifikatutfärdare finnas på enheten. Listan måste inkludera alla certifikatlistor som behövs för att verifiera certifikat för både granskningsloggning och andra anslutningar.

Certifikat används för följande tjänster: HTTPS-server, SIP, IEEE 802.1X och loggning av granskning. Du kan lagra flera certifikat på enheten, men endast ett certifikat är aktiverat för varje tjänst åt gången.

I RoomOS oktober 2023 och senare tillämpas det, när du lägger till ett CA-certifikat på en enhet, även på en rumsnavigator om ett är anslutet. Om du vill synkronisera de tidigare tillagda CA-certifikaten med en ansluten rumsnavigator måste du starta om enheten. Om du inte vill att kringutrustningen ska få samma certifikat som den enhet den är ansluten till ställer du in konfigurationen Security Certificates SyncToPeripherals till False.


Tidigare sparade certifikat raderas inte automatiskt. Posterna i en ny fil med CA-certifikat läggs till i den befintliga listan.

För trådlös anslutning

Vi rekommenderar att du lägger till ett betrott CA-certifikat för varje enhet i Board-, Desk- eller Room-serien, om nätverket använder WPA-EAP-autentisering. Du måste göra detta enskilt för varje enhet och innan du ansluter till Wi-Fi.

För att lägga till certifikat för din Wi-Fi-anslutning behöver du följande filer:

  • CA-certifikatlista (filformat: .PEM)

  • Certifikat (filformat: .PEM)

  • Privat nyckel, antingen som en separat fil eller som ingår i samma fil som certifikatet (filformat: .PEM)

  • Lösenfras (krävs endast om den privata nyckeln är krypterad)

Certifikatet och den privata nyckeln sparas i samma fil på enheten. Om autentisering misslyckas upprättas inte anslutningen.


Privat nyckel och lösenordsfras tillämpas inte på ansluten kringutrustning.

Lägg till certifikat på enheter i Board-, Desk- och Room-serien

1

Från kundvyn i https://admin.webex.com går du till sidan Enheter och väljer din enhet i listan. Gå till Support och starta Lokala enhetskontroller .

Om du har konfigurerat en lokal administratörsanvändare på enheten kan du komma åt webbgränssnittet direkt genom att öppna en webbläsare och skriva http(s)://.

2

Navigera till Security > Certificates > Custom > Add Certificate (Lägg till certifikat) och överför dina CA rotcertifikat(er).

3

På openssl skapar du en privat nyckel och certifikatförfrågan. Kopiera innehållet i certifikatförfrågan. Klistra sedan in det för att begära servercertifikatet från din certifikatutfärdare (CA).

4

Hämta servercertifikatet som har signerats av din CA. Kontrollera att den är i . PEM-format.

5

Navigera till Security > Certificates > Services > Add Certificate (Lägg till certifikat) och överför den privata nyckeln och servercertifikatet.

6

Aktivera de tjänster som du vill använda för det certifikat som du just har lagt till.

SCEP (Simple Certificate Enrollment Protocol)

Simple Certificate Enrollment Protocol (SCEP) tillhandahåller en automatiserad mekanism för registrering och uppdatering av certifikat som används för 802.1X-autentisering på enheter. Med SCEP kan du upprätthålla enhetens åtkomst till säkra nätverk utan manuell inblandning.

  • När enheten är ny eller har fabriksåterställts behöver den nätverksåtkomst för att nå SCEP-URL:en. Enheten bör vara ansluten till nätverket utan 802.1X för att erhålla en IP-adress.

  • Om du använder ett trådlöst SSID för registrering måste du gå igenom registreringsskärmarna för att konfigurera anslutningen till nätverket.

  • När du är ansluten till etableringsnätverket behöver enheten inte vara på en särskild registreringsskärm i det här skedet.

  • För att passa alla distributioner kommer xAPI:erna för SCEP-inskrivningen inte att lagra CA-certifikatet som används för att signera enhetscertifikatet. För serverautentisering måste CA-certifikatet som används för att validera serverns certifikat läggas till med CA-tillägg för xCommand Security Certificates.

Förutsättningar

Du behöver följande information:

  • SCEP-serverns URL.

  • Fingeravtryck på det signerade CA-certifikatet (Certificate Authority).

  • Information om certifikatet som ska registreras. Detta utgör certifikatets ämnesnamn .

    • Vanligt namn

    • Landsnamn

    • Organisationsnamn

  • SCEP-serverns utmaningslösenord om du har konfigurerat SCEP-servern för att genomdriva en OTP- eller delad hemlighet.

Vi skickar en certifikatbegäran som är giltig i ett år tills certifikatet upphör att gälla. Policyn på serversidan kan ändra utgångsdatumet vid certifikatsignering.

Ethernet-anslutning

När en enhet är ansluten till ett nätverk måste du se till att den kan komma åt SCEP-servern. Enheten bör vara ansluten till ett nätverk utan 802.1x för att erhålla en IP-adress. Enhetens MAC-adress kan behöva anges till etableringsnätverket för att erhålla en IP-adress. MAC-adressen finns på användargränssnittet eller på etiketten på enhetens baksida.

När enheten är ansluten till nätverket kan du SSH till enheten som administratör för att få åtkomst till TSH och sedan köra följande kommando för att skicka SCEP-begäran för inskrivning:
SCEP-begäran om registrering av xCommand säkerhetscertifikatstjänster 

När SCEP-servern returnerar det signerade enhetscertifikatet aktiverar du 802.1X och startar sedan om enheten.

Aktivera det signerade certifikatet:
xCommand säkerhetscertifikatstjänster Aktivera 

Starta om enheten när certifikatet har aktiverats.

Trådlös anslutning

När en enhet är ansluten till ett trådlöst nätverk ska du se till att den kan komma åt SCEP-servern.

När enheten är ansluten till nätverket kan du SSH till enheten som administratör för att få åtkomst till TSH och sedan köra följande kommando för att skicka SCEP-begäran för inskrivning:
SCEP-begäran om registrering av xCommand säkerhetscertifikatstjänster 

Enheten får det signerade certifikatet från SCEP-servern.

Aktivera det signerade certifikatet:

xCommand säkerhetscertifikatstjänster Aktivera
När du har aktiverat måste du konfigurera det trådlösa nätverket med EAP-TLS-autentisering.
Konfigurera Wi-Fi-nätverk 

Som standard hoppar Wi-Fi-konfigurationen över servervalideringen. Om endast envägsautentisering krävs behåller du AllowMissingCA som standard True.

För att tvinga fram servervalidering ska du se till att den valfria parametern AllowMissingCA är inställd på Falskt. Om en anslutning inte kan upprättas på grund av tjänstvalideringsfel ska du kontrollera att rätt CA har lagts till för att verifiera servercertifikatet som kan skilja sig från enhetscertifikatet.

API-beskrivningar

Roll: Administratör, integratör

SCEP-begäran om registrering av xCommand säkerhetscertifikatstjänster

Begär och hämtar ett signerat enhetscertifikat

Parametrar:

  • URL( er): <S: 0, 128>

    URL till SCEP-server som används för att registrera ett certifikat.

  • Fingeravtryck (r): <S: 0, 128>

    Den utfärdande certifikatutfärdarens fingeravtryck som kommer att signera X509-begäran.

  • ChallengePassword: <S: 0, 128>

    Delat hemligt lösenord inställt av SCEP-servern.

  • Vanligt namn: <S: 0, 128>

  • Landsnamn: <S: 0, 128>

  • Organisationsnamn: <S: 0, 128>

  • SanDns[1]: <S: 0, 128>

  • SanEmail[5]: <S: 0, 128>

  • SanIp[5]: <S: 0, 128>

  • SanUri [1]: <S: 0, 128>

xCommand-säkerhetscertifikatstjänster registrering SCEP-förnyelsebegäran

Skapa eller uppdatera en autentiseringsprofil som tillämpas på alla certifikat som utfärdats av angiven certifikatutfärdare innan certifikaten löper ut

Parametrar:

  • Fingeravtryck (r): <S: 0, 128>

    Den utfärdande certifikatutfärdarens fingeravtryck som signerade certifikaten.

  • URL( er): <S: 0, 128>

    URL till SCEP-server som används för att förnya certifikaten.

xCommand-säkerhetscertifikatstjänster – registrering SCEP-förnyelse – ta bort

Ta bort den automatiska profilen för angiven certifikatutfärdare. Detta hindrar certifikaten som är signerade av denna CA från att autorenewing

Parametrar:

  • Fingeravtryck (r): <S: 0, 128>

    Den utfärdande certifikatutfärdarens fingeravtryck som ska tas bort.

SCEP-förnyelselista för xCommand-säkerhetscertifikatstjänster

Lista alla autentiseringsprofiler som för närvarande används.