Du kan lägga till certifikat från enhetens lokala webbgränssnitt. Du kan också lägga till certifikat genom att köra API kommandon. Information om vilka kommandon som låter dig lägga till certifikat finns i roomos.cisco.com .

Tjänstcertifikat och betrodda certifikatutfärdare

Certifikatvalidering kan krävas om TLS (Transport Layer Security) används. En server eller klient kan kräva att enheten har ett giltigt certifikat till dem innan kommunikationen konfigureras.

Certifikat är textfiler som verifierar enhetens äkthet. Dessa certifikat måste vara signerade av en betrodd certifikatutfärdare (CA). För att verifiera certifikatens signatur måste en lista över betrodda certifikatutfärdare finnas på enheten. Listan måste innehålla alla certifikatutfärdare som krävs för att kunna verifiera certifikaten för både loggning och andra anslutningar.

Certifikat används för följande tjänster: HTTPS-server, SIP, IEEE 802.1X och granskningsloggning. Du kan lagra flera certifikat på enheten, men bara ett certifikat är aktiverat för varje tjänst åt gången.

När du lägger till ett CA-certifikat till en enhet i RoomOS oktober 2023 och senare tillämpas det även på en rumsnavigator om ett sådant är anslutet. Om du vill synkronisera de tidigare tillagda CA-certifikaten till en ansluten rumsnavigator måste du starta om enheten. Om du inte vill att kringutrustningen ska få samma certifikat som enheten den är ansluten till anger du konfigurationen Säkerhetscertifikat för kringutrustning SyncToPeripherals till False.

Certifikat som lagrats tidigare tas inte bort automatiskt. Posterna i en ny fil med CA-certifikat läggs till i den befintliga listan.

För Wi-Fi anslutning

Vi rekommenderar att du lägger till ett betrott CA-certifikat för varje enhet i Board-, Desk- eller Room-serien om nätverket använder WPA-EAP-autentisering. Du måste göra detta separat för varje enhet och innan du ansluter till Wi-Fi.

Om du ska lägga till certifikat för din Wi-Fi-anslutning behöver du följande filer:

  • CA-certifikatlista (filformat: .PEM)

  • Certifikat (filformat: .PEM)

  • Privat nyckel, antingen som en separat fil eller att den ingår i samma fil som certifikatet (filformat: .PEM)

  • Lösenord (krävs enbart om den privata nyckeln är krypterad)

Certifikatet och den privata nyckeln lagras i samma fil på enheten. Om autentiseringen misslyckas kommer anslutningen inte upprättas.

Privat nyckel och lösenfras tillämpas inte på ansluten kringutrustning.

Lägga till certifikat på enheter i Board-, Desk- och Room-serien

1

Från kundvyn i https://admin.webex.com går du till sidan Enheter och väljer din enhet i listan. Gå till Support och starta lokala enhetskontroller .

Om du har ställt in en lokal Administratör på enheten har du åtkomst till webbgränssnittet direkt genom att öppna en webbläsare och skriva in http(s)://<slutpunkts-ip eller värdnamn>.

2

Navigera till Säkerhet > Certifikat > Anpassat > Lägg till certifikat och ladda upp ditt CA-rotcertifikat.

3

I openssl skapar du en privat nyckel och en certifikatbegäran. Kopiera innehållet i certifikatbegärandet. Klistra sedan in det för att begära servercertifikatet från din certifikatutfärdare (CA).

4

Hämta servercertifikatet som signerats av certifikatutfärdaren. Kontrollera att det finns i . PEM-format.

5

Navigera till Säkerhet > Certifikat > Tjänster > Lägg till certifikat och ladda upp den privata nyckeln och servercertifikatet.

6

Aktivera de tjänster som du vill använda för certifikatet du just lade till.

SCEP (Simple Certificate Enrollment Protocol)

SCEP (Simple Certificate Enrollment Protocol) tillhandahåller en automatiserad mekanism för registrering och uppdatering av certifikat som används till exempel 802.1X-autentisering på enheter. Med SCEP kan du behålla enhetens åtkomst till säkra nätverk utan manuella ingrepp.

  • När enheten är ny eller har återställts till standardinställningarna behöver den nätverksåtkomst för att nå SCEP-URL:en. Enheten ska vara ansluten till nätverket utan 802.1X för att få en IP adress.

  • Om du använder en trådlös registrering SSID måste du gå igenom introduktionsskärmarna för att konfigurera anslutningen till nätverket.

  • När du är ansluten till etableringsnätverket behöver enheten inte vara på en viss registreringsskärm i det här skedet.

  • För att passa alla distributioner lagrar inte SCEP-registreringens xAPI:er det CA-certifikat som används för att signera enhetscertifikatet. För serverautentisering måste CA-certifikatet som används för att validera serverns certifikat läggas till med xCommand Security Certificates CA Add.

Förutsättningar

Du behöver följande information:

  • SCEP-serverns URL.

  • Fingeravtryck av det signerande CA-certifikatet (Certificate Authority).

  • Information om certifikatet som ska registreras. Detta utgör certifikatets ämnesnamn .

    • Trivialnamn

    • Landets namn

    • Delstatens eller provinsens namn

    • Ortens namn

    • Organisationens namn

    • Organisatorisk enhet

  • Ämnesnamnet ordnas som /C= /ST= /L= /O= /OU= /CN=

  • SCEP-serverns utmaningslösenord om du har konfigurerat SCEP-servern för att framtvinga ett engångslösenord eller en delad hemlighet.

Du kan ange önskad nyckelstorlek för nyckelparet för certifikatbegäran med följande kommando. Standard är 2048.

 xConfiguration Security Enrollment KeySize: <2048, 3072, 4096>

Vi skickar en certifikatbegäran som är giltig i ett år för certifikatets utgång. Principen på serversidan kan ändra förfallodatumet under certifikatsigneringen.

Ethernet-anslutning

När en enhet är ansluten till ett nätverk kontrollerar du att den har åtkomst till SCEP-servern. Enheten ska vara ansluten till ett nätverk utan 802.1x för att få en IP adress. Enhetens MAC adress kan behöva anges i etableringsnätverket för att en IP adress ska kunna erhållas. Den MAC adressen finns i användargränssnittet eller på etiketten på enhetens baksida.

När enheten är ansluten till nätverket kan du SSH till enheten som administratör för att få åtkomst till TSH och sedan köra följande kommando för att skicka SCEP-registreringsbegäran: 

xCommand Security Certificates Services Enrollment SCEP-begäran

När SCEP-servern returnerar det signerade enhetscertifikatet aktiverar du 802.1X.

Aktivera det signerade certifikatet:

xCommand Security Certificates Services Activate

Starta om enheten när du har aktiverat certifikatet.

Trådlös anslutning

När en enhet är ansluten till ett trådlöst nätverk kontrollerar du att den har åtkomst till SCEP-servern.

När enheten är ansluten till nätverket kan du SSH till enheten som administratör för att få åtkomst till TSH och sedan köra följande kommando för att skicka SCEP-registreringsbegäran: 

xCommand Security Certificates Services Enrollment SCEP-begäran

Enheten tar emot det signerade certifikatet från SCEP-servern.

Aktivera det signerade certifikatet: 

xCommand Security Certificates Services Activate

Efter aktiveringen måste du konfigurera det Wi-Fi nätverket med EAP-TLS autentisering. 

xCommand Nätverk Wifi Konfigurera

Som standard hoppar Wi-Fi-konfigurationen över servervalideringskontroller. Om endast envägsautentisering krävs behåller du AllowMissingCA som standard värdet Sant.

Om du vill framtvinga serververifiering kontrollerar du att den valfria parametern AllowMissingCA är inställd på False. Om en anslutning inte kan upprättas på grund av fel i tjänstvalideringen kontrollerar du att rätt certifikatutfärdare har lagts till för att verifiera servercertifikatet, som kan skilja sig från enhetscertifikatet.

API beskrivningar

Roll: Admin, integratör

xCommand Security Certificates Services Enrollment SCEP-begäran

Skickar ett CSR till en viss SCEP-server för signering. Parametrarna CSR SubjectName konstrueras i följande ordning: C, ST, L, O, OUs, CN.

Parametrar:

  • URL(r): <S: 0, 256>

    URL-adressen till SCEP-servern.

  • Fingeravtryck: <S: 0, 128>

    CA-certifikat Fingeravtryck som signerar SCEP-begäran CSR.

  • Vanligt namn: <S: 0, 64>

    Lägger till "/CN=" i det CSR ämnesnamnet.

  • ChallengePassword: <S: 0, 256>

    Engångslösenord eller delad hemlighet från SCEP-servern för åtkomst till signering.

  • Landnamn: <S: 0, 2>

    Lägger till "/C=" i det CSR ämnesnamnet.

  • StateOrProvinceName: <S: 0, 64>

    Lägger till "/ST=" i det CSR ämnesnamnet.

  • Ortnamn: <S: 0, 64>

    Lägger till "/L=" i det CSR ämnesnamnet.

  • Organisationsnamn: <S: 0, 64>

    Lägger till "/O=" i det CSR ämnesnamnet.

  • Organisatorisk enhet[5]: <S: 0, 64>

    Lägger till upp till 5 "/OU="-parametrar i CSR ämnesnamn.

  • SanDns[5]: <S: 0, 64>

    Lägger till upp till 5 DNS-parametrar i det alternativa namnet CSR ämnestyp.

  • SanEmail[5]: <S: 0, 64>

    Lägger till upp till 5 e-postparametrar till det alternativa namnet CSR ämnesalternativ.

  • SanIp[5]: <S: 0, 64>

    Lägger till upp till 5 IP-parametrar till det alternativa namnet CSR ämnestyp.

  • SanUri[5]: <S: 0, 64>

    Lägger till upp till 5 URI-parametrar till det alternativa namnet CSR Subject Recognition.

xCommand Security Certificates Services Enrollment Profiles Ta bort

Tar bort en registreringsprofil för att inte längre förnya certifikat.

Parametrar:

  • Fingeravtryck: <S: 0, 128>

    Det CA-certifikatfingeravtryck som identifierar profilen som du vill ta bort. Du kan se vilka profiler som finns att ta bort genom att köra: 

    xCommand lista över registreringsprofiler för säkerhetscertifikat för tjänster

xCommand lista över registreringsprofiler för säkerhetscertifikat för tjänster

Visar en lista över registreringsprofiler för certifikatförnyelse.

 xCommand Security Certificates Services Enrollment SCEP-profiler Ställ in fingeravtryck(r): <S: 0, 128> URL(r): <S: 0, 256>

Lägg till en registreringsprofil för certifikat som utfärdats av certifikatutfärdarens fingeravtryck om du vill använda den angivna SCEP-URL:en för förnyelse.

Förnyelse

 xCommand Security Certificates Services Enrollment SCEP-profiler inställda

För att certifikatet ska kunna förnyas automatiskt måste enheten ha åtkomst till SCEP-URL:en som kan signera om certifikatet.

En gång dagligen söker enheten efter certifikat som upphör att gälla inom 45 dagar. Enheten försöker sedan förnya certifikatet om utfärdaren matchar en profil.

Alla enhetscertifikat kontrolleras för förnyelse, även om certifikatet inte ursprungligen registrerades med SCEP.

Navigatör

  1. Direktparkopplat: Registrerade certifikat kan aktiveras som "parkopplingscertifikat".

  2. Fjärrparkopplad: Be navigatören att registrera ett nytt SCEP-certifikat med hjälp av kringutrustningens ID:

    xCommand kringutrustning Säkerhetscertifikat Tjänster Registrering SCEP-begäran 

    Registreringsprofiler synkroniseras automatiskt till den parkopplade navigatorn.

  3. Fristående navigator: Samma som codec-registrering