Ви можете додавати сертифікати з локального веб-інтерфейсу пристрою. Крім того, ви можете додати сертифікати, виконавши команди API. Щоб дізнатися, які команди дозволяють додавати сертифікати, дивіться roomos.cisco.com .

Сервісні сертифікати та довірені ЦС

Перевірка сертифіката може знадобитися під час використання TLS (Transport Layer Security). Сервер або клієнт можуть вимагати, щоб пристрій представив їм дійсний сертифікат перед налаштуванням зв'язку.

Сертифікати є текстовими файлами, які перевіряють справжність пристрою. Ці сертифікати мають бути підписані довіреним центром сертифікації (CA). Щоб перевірити підпис сертифікатів, на пристрої має бути список довірених центрів сертифікації. Список має включати всі ЦС, необхідні для перевірки сертифікатів як для ведення журналу аудиту, так і для інших підключень.

Сертифікати використовуються для таких служб: сервер HTTPS, SIP, IEEE 802.1X і журнал аудиту. На пристрої можна зберігати кілька сертифікатів, але для кожної служби одночасно включено лише один сертифікат.

У жовтні 2023 року та пізніших версіях RoomOS, коли ви додаєте сертифікат ЦС до пристрою, він також застосовується до Навігатора кімнати, якщо такий підключено. Щоб синхронізувати раніше додані сертифікати ЦС із підключеним Навігатором кімнат, необхідно перезавантажити пристрій. Якщо ви не хочете, щоб периферійні пристрої отримували ті самі сертифікати, що й пристрій, до якого їх підключено, встановіть для параметра False . Сертифікати безпеки периферійних пристроїв False .


Раніше збережені сертифікати не видаляються автоматично. Записи в новому файлі з сертифікатами ЦС додаються до існуючого списку.

Для з'єднання Wi-Fi

Рекомендовано додати надійний сертифікат ЦС для кожного пристрою серії Board, Desk або Room, якщо у вашій мережі використовується автентифікація WPA-EAP. Робити це потрібно індивідуально для кожного пристрою, і перед тим, як підключатися до Wi-Fi.

Щоб додати сертифікати для вашого Wi-Fi з'єднання, вам знадобляться такі файли:

  • список сертифікатів цс (формат файлу: . ПЕМ)

  • Сертифікат (формат файлу: . ПЕМ)

  • Закритий ключ, або у вигляді окремого файлу, або включений у той самий файл, що й сертифікат (формат файлу: . ПЕМ)

  • Парольна фраза (потрібна лише у випадку, якщо закритий ключ зашифровано)

Сертифікат і закритий ключ зберігаються в одному файлі на пристрої. Якщо автентифікація не пройде, з'єднання не буде встановлено.


Закритий ключ і парольна фраза не застосовуються до підключених периферійних пристроїв.

Додавайте сертифікати на пристрої серії Board, Desk і Room Series

1

У поданні клієнта в# https://admin.webex.com перейдіть на сторінку Пристрої та виберіть свій пристрій у списку. Перейдіть до розділу «Підтримка » та запустіть «Локальні елементи керування пристроями».

Якщо ви налаштували локального адміністратора на пристрої, ви можете отримати доступ до веб-інтерфейсу безпосередньо, відкривши веб-браузер і ввівши https://<endpoint ip або ім'я хоста>.

2

Перейдіть до Security > Certificates > Custom > Add Certificate і завантажте свої кореневі сертифікати CA.

3

На openssl згенеруйте приватний ключ і запит на сертифікат. Скопіюйте вміст запиту на сертифікат. Потім вставте його, щоб запросити сертифікат сервера у вашому центрі сертифікації (CA).

4

Завантажте сертифікат сервера, підписаний вашим центром сертифікації. Переконайтеся, що він знаходиться в зоні . Формат PEM.

5

Перейдіть до Security > Certificates > Services > Add Certificate та завантажте приватний ключ і сертифікат сервера.

6

Увімкніть служби, які ви хочете використовувати для щойно доданого сертифіката.

Простий протокол зарахування сертифіката (SCEP)

Простий протокол реєстрації сертифікатів (SCEP) забезпечує автоматизований механізм реєстрації та оновлення сертифікатів, які використовуються, наприклад, для автентифікації 802.1X на пристроях. SCEP дозволяє підтримувати доступ пристрою до захищених мереж без ручного втручання.

  • Якщо пристрій новий або був скинутий до заводських налаштувань, йому потрібен доступ до мережі, щоб дістатися до URL-адреси SCEP. Пристрій слід підключити до мережі без 802.1X для отримання IP-адреси.

  • Якщо використовується SSID бездротової реєстрації, вам потрібно пройти через екрани підключення, щоб налаштувати з'єднання з мережею.

  • Після підключення до мережі ініціалізації пристрою не обов'язково має бути на певному екрані підключення на цьому етапі.

  • Щоб підійти для всіх розгортань, xAPI SCEP Enrollment не зберігатимуть сертифікат ЦС, який використовується для підписання сертифіката пристрою. Для автентифікації сервера сертифікат ЦС, який використовується для перевірки сертифіката сервера, потрібно додати разом із сертифікатами безпеки xCommand CA Add.

Необхідні умови

Вам потрібна наступна інформація:

  • URL-адреса сервера SCEP.

  • Відбиток пальця підписаного сертифіката CA (Certificate Authority).

  • Інформація про сертифікат для зарахування. Це і є назва теми сертифіката.

    • Загальна назва

    • Назва країни

    • Назва організації

  • Пароль виклику сервера SCEP, якщо ви налаштували сервер SCEP на застосування одноразового пароля або спільної таємниці.

Ми надсилаємо запит на сертифікат, який діє протягом одного року для закінчення терміну дії сертифіката. Політика на стороні сервера може змінювати дату закінчення терміну дії під час підписання сертифіката.

Підключення через Ethernet

Коли пристрій підключено до мережі, переконайтеся, що він має доступ до сервера SCEP. Пристрій слід підключити до мережі без 802.1x, щоб отримати IP-адресу. MAC-адресу пристрою може потребувати надання мережі ініціалізації, щоб отримати IP-адресу. MAC-адресу можна знайти в інтерфейсі користувача або на етикетці на задній панелі пристрою.

Після того, як пристрій буде підключено до мережі, ви можете надіслати SSH на пристрій як адміністратор для доступу до TSH, а потім виконати наступну команду, щоб надіслати запит SCEP на реєстрацію: 
Сертифікати безпеки xCommand Реєстрація служб Запит SCEP

Коли сервер SCEP поверне підписаний сертифікат пристрою, активуйте 802.1X, а потім перезавантажте пристрій.

Активуйте підписаний сертифікат:
Активація служб сертифікатів безпеки xCommand

Перезавантажте пристрій після активації сертифіката.

Бездротове підключення

Якщо пристрій підключено до безпроводової мережі, переконайтеся, що він має доступ до сервера SCEP.

Після того, як пристрій буде підключено до мережі, ви можете надіслати SSH на пристрій як адміністратор для доступу до TSH, а потім виконати наступну команду, щоб надіслати запит SCEP на реєстрацію: 
Сертифікати безпеки xCommand Реєстрація служб Запит SCEP

Пристрій отримує підписаний сертифікат від сервера SCEP.

Активуйте підписаний сертифікат: 

Активація служб сертифікатів безпеки xCommand
Після активації потрібно налаштувати мережу Wi-Fi з аутентифікацією EAP-TLS. 
Налаштування мережі xCommand Wifi

За замовчуванням у конфігурації Wi-Fi перевірки сервера не проводиться. Якщо потрібна лише одностороння автентифікація, то залиште AllowMissingCA за замовчуванням True .

Щоб примусово перевірити сервер, переконайтеся, що для необов'язкового параметра AllowMissingCA встановлено значення False. Якщо з'єднання не вдається встановити через помилки перевірки служби, перевірте, чи було додано правильний ЦС для перевірки сертифіката сервера, який може відрізнятися від сертифіката пристрою.

Описи API

Роль: Адміністратор, Інтегратор

Сертифікати безпеки xCommand Реєстрація служб Запит SCEP

Запитує та завантажує підписаний сертифікат пристрою

Параметри:

  • URL(r): <S: 0, 128>

    URL-адреса сервера SCEP, яка використовується для реєстрації сертифіката.

  • Відбиток пальця (r): <S: 0, 128>

    Відбиток пальця CS, що видає ЦС, який підпише запит X509.

  • ChallengePassword: <S: 0, 128>

    Спільний секретний пароль, встановлений сервером SCEP.

  • CommonName(r): <S: 0, 128>

  • Назва країни: <S: 0, 128>

  • Назва організації: <S: 0, 128>

  • SanDns[5]: <S: 0, 128>

  • SanEmail[5]: <S: 0, 128>

  • SanIp[5]: <S: 0, 128>

  • SanUri[5]: <S: 0, 128>

Запит на поновлення служб безпеки xCommand Security Certificates SCEP Permission

Створіть або оновіть профіль автоподовження, який застосовується до всіх сертифікатів, виданих даним ЦС до закінчення терміну дії сертифікатів

Параметри:

  • Відбиток пальця (r): <S: 0, 128>

    Відбиток пальця ЦС, який підписав сертифікати.

  • URL(r): <S: 0, 128>

    URL-адреса сервера SCEP, яка використовується для поновлення сертифікатів. 

Сертифікати безпеки xCommand Реєстрація реєстрації SCEP Поновлення Видалити

Видаліть профіль автопоновлення для вказаного ЦС. Це зупиняє автоматичне поновлення сертифікатів, підписаних цим ЦС

Параметри:

  • Відбиток пальця (r): <S: 0, 128>

    При видачі ЦС відбиток пальця для видалення.

Список поновлення сертифікатів безпеки xCommand Служби реєстрації SCEP

Вивести список усіх використовуваних профілів автоматичного поновлення.