Ви можете додавати сертифікати з локального веб-інтерфейсу пристрою. Крім того, ви можете додати сертифікати, виконавши команди API. Щоб дізнатися, які команди дозволяють додавати сертифікати, дивіться roomos.cisco.com .

Сервісні сертифікати та довірені ЦС

Перевірка сертифіката може знадобитися під час використання TLS (Transport Layer Security). Сервер або клієнт можуть вимагати, щоб пристрій представив їм дійсний сертифікат перед налаштуванням зв'язку.

Сертифікати є текстовими файлами, які перевіряють справжність пристрою. Ці сертифікати мають бути підписані довіреним центром сертифікації (CA). Щоб перевірити підпис сертифікатів, на пристрої має бути список довірених центрів сертифікації. Список має включати всі ЦС, необхідні для перевірки сертифікатів як для ведення журналу аудиту, так і для інших підключень.

Сертифікати використовуються для таких служб: сервер HTTPS, SIP, IEEE 802.1X і журнал аудиту. На пристрої можна зберігати кілька сертифікатів, але для кожної служби одночасно включено лише один сертифікат.

У жовтні 2023 року та пізніших версіях RoomOS, коли ви додаєте сертифікат ЦС до пристрою, він також застосовується до Навігатора кімнати, якщо такий підключено. Щоб синхронізувати раніше додані сертифікати ЦС із підключеним Навігатором кімнат, необхідно перезавантажити пристрій. Якщо ви не хочете, щоб периферійні пристрої отримували ті самі сертифікати, що й пристрій, до якого їх підключено, встановіть для параметра False . Сертифікати безпеки периферійних пристроїв False .

Раніше збережені сертифікати не видаляються автоматично. Записи в новому файлі з сертифікатами ЦС додаються до існуючого списку.

Для з'єднання Wi-Fi

Рекомендовано додати надійний сертифікат ЦС для кожного пристрою серії Board, Desk або Room, якщо у вашій мережі використовується автентифікація WPA-EAP. Робити це потрібно індивідуально для кожного пристрою, і перед тим, як підключатися до Wi-Fi.

Щоб додати сертифікати для вашого Wi-Fi з'єднання, вам знадобляться такі файли:

  • список сертифікатів цс (формат файлу: . ПЕМ)

  • Сертифікат (формат файлу: . ПЕМ)

  • Закритий ключ, або у вигляді окремого файлу, або включений у той самий файл, що й сертифікат (формат файлу: . ПЕМ)

  • Парольна фраза (потрібна лише у випадку, якщо закритий ключ зашифровано)

Сертифікат і закритий ключ зберігаються в одному файлі на пристрої. Якщо автентифікація не пройде, з'єднання не буде встановлено.

Закритий ключ і парольна фраза не застосовуються до підключених периферійних пристроїв.

Додавайте сертифікати на пристрої серії Board, Desk і Room Series

1

У поданні клієнта в# https://admin.webex.com перейдіть на сторінку Пристрої та виберіть свій пристрій у списку. Перейдіть до розділу «Підтримка » та запустіть «Локальні елементи керування пристроями».

Якщо ви налаштували локального адміністратора на пристрої, ви можете отримати доступ до веб-інтерфейсу безпосередньо, відкривши веб-браузер і ввівши https://<endpoint ip або ім'я хоста>.

2

Перейдіть до Security > Certificates > Custom > Add Certificate і завантажте свої кореневі сертифікати CA.

3

На openssl згенеруйте приватний ключ і запит на сертифікат. Скопіюйте вміст запиту на сертифікат. Потім вставте його, щоб запросити сертифікат сервера у вашому центрі сертифікації (CA).

4

Завантажте сертифікат сервера, підписаний вашим центром сертифікації. Переконайтеся, що він знаходиться в зоні . Формат PEM.

5

Перейдіть до Security > Certificates > Services > Add Certificate та завантажте приватний ключ і сертифікат сервера.

6

Увімкніть служби, які ви хочете використовувати для щойно доданого сертифіката.

Простий протокол зарахування сертифіката (SCEP)

Простий протокол реєстрації сертифікатів (SCEP) забезпечує автоматизований механізм реєстрації та оновлення сертифікатів, які використовуються, наприклад, автентифікацією 802.1X на пристроях. SCEP дозволяє підтримувати доступ пристрою до захищених мереж без ручного втручання.

  • Якщо пристрій новий або був скинутий до заводських налаштувань, йому потрібен доступ до мережі, щоб дістатися до URL-адреси SCEP. Пристрій слід підключити до мережі без 802.1X для отримання IP-адреси.

  • Якщо використовується SSID бездротової реєстрації, вам потрібно пройти через екрани підключення, щоб налаштувати з'єднання з мережею.

  • Після підключення до мережі ініціалізації пристрою не обов'язково має бути на певному екрані підключення на цьому етапі.

  • Щоб підійти для всіх розгортань, xAPI SCEP Enrollment не зберігатимуть сертифікат ЦС, який використовується для підписання сертифіката пристрою. Для автентифікації сервера сертифікат ЦС, який використовується для перевірки сертифіката сервера, потрібно додати разом із сертифікатами безпеки xCommand CA Add.

Необхідні умови

Вам потрібна наступна інформація:

  • URL-адреса сервера SCEP.

  • Відбиток пальця підписаного сертифіката CA (Certificate Authority).

  • Інформація про сертифікат для зарахування. Це і є назва теми сертифіката.

    • Загальна назва

    • Назва країни

    • Назва штату або провінції

    • Назва населеного пункту

    • Назва організації

    • Організаційна одиниця

  • Ім'я предмета буде впорядковано як /C= /ST= /L= /O= /OU= /CN=

  • Пароль виклику сервера SCEP, якщо ви налаштували сервер SCEP на застосування одноразового пароля або спільної таємниці.

Ви можете встановити необхідний розмір ключа для пари ключів запиту сертифіката за допомогою наступної команди. За замовчуванням встановлено значення 2048.

 Розмір ключа реєстрації безпеки xConfiguration: <2048, 3072, 4096>

Ми надсилаємо запит на сертифікат, який діє протягом одного року для закінчення терміну дії сертифіката. Політика на стороні сервера може змінювати дату закінчення терміну дії під час підписання сертифіката.

Підключення через Ethernet

Коли пристрій підключено до мережі, переконайтеся, що він має доступ до сервера SCEP. Пристрій слід підключити до мережі без 802.1x, щоб отримати IP-адресу. MAC-адресу пристрою може потребувати надання мережі ініціалізації, щоб отримати IP-адресу. MAC-адресу можна знайти в інтерфейсі користувача або на етикетці на задній панелі пристрою.

Після того, як пристрій буде підключено до мережі, ви можете надіслати SSH на пристрій як адміністратор для доступу до TSH, а потім виконати наступну команду, щоб надіслати запит SCEP на реєстрацію: 

Сертифікати безпеки xCommand Реєстрація служб Запит SCEP

Як тільки сервер SCEP поверне підписаний сертифікат пристрою, активуйте 802.1X.

Активуйте підписаний сертифікат:

Активація служб сертифікатів безпеки xCommand

Перезавантажте пристрій після активації сертифіката.

Бездротове підключення

Якщо пристрій підключено до безпроводової мережі, переконайтеся, що він має доступ до сервера SCEP.

Після того, як пристрій буде підключено до мережі, ви можете надіслати SSH на пристрій як адміністратор для доступу до TSH, а потім виконати наступну команду, щоб надіслати запит SCEP на реєстрацію: 

Сертифікати безпеки xCommand Реєстрація служб Запит SCEP

Пристрій отримує підписаний сертифікат від сервера SCEP.

Активуйте підписаний сертифікат: 

Активація служб сертифікатів безпеки xCommand

Після активації потрібно налаштувати мережу Wi-Fi з аутентифікацією EAP-TLS. 

Налаштування мережі xCommand Wifi

За замовчуванням у конфігурації Wi-Fi перевірки сервера не проводиться. Якщо потрібна лише одностороння автентифікація, то залиште AllowMissingCA за замовчуванням True .

Щоб примусово перевірити сервер, переконайтеся, що для необов'язкового параметра AllowMissingCA встановлено значення False. Якщо з'єднання не вдається встановити через помилки перевірки служби, перевірте, чи було додано правильний ЦС для перевірки сертифіката сервера, який може відрізнятися від сертифіката пристрою.

Описи API

Роль: Адміністратор, Інтегратор

Сертифікати безпеки xCommand Реєстрація служб Запит SCEP

Надсилає CSR на заданий сервер SCEP для підписання. Параметри SubjectName CSR будуть побудовані в наступному порядку: C, ST, L, O, OUs, CN.

Параметри:

  • URL(r): <S: 0, 256>

    URL-адреса сервера SCEP.

  • Відбиток пальця (r): <S: 0, 128>

    Відбиток сертифіката ЦС, який підпише запит SCEP CSR.

  • CommonName(r): <S: 0, 64>

    Додає "/CN=" до назви теми CSR.

  • ChallengePassword: <S: 0, 256>

    OTP або Shared Secret від сервера SCEP для доступу до підпису.

  • Назва країни: <S: 0, 2>

    Додає "/C=" до назви теми CSR.

  • Назва: <S: 0, 64>

    Додає "/ST=" до назви теми CSR.

  • Населений пункт: <S: 0, 64>

    Додає "/L=" до назви теми CSR.

  • Назва організації: <S: 0, 64>

    Додає "/O=" до назви теми CSR.

  • Організаційна одиниця[5]: <S: 0, 64>

    Додає до 5 параметрів "/OU=" до імені теми CSR.

  • SanDns[5]: <S: 0, 64>

    Додає до 5 параметрів DNS до альтернативної назви суб'єкта CSR.

  • SanEmail[5]: <S: 0, 64>

    Додає до 5 параметрів електронної пошти до альтернативної назви теми CSR.

  • SanIp[5]: <S: 0, 64>

    Додає до 5 параметрів IP до альтернативного імені суб'єкта CSR.

  • SanUri[5]: <S: 0, 64>

    Додає до 5 параметрів Uri до альтернативного імені суб'єкта CSR.

Сертифікати безпеки xCommand Служби реєстрації Профілі реєстрації видаляються

Видаляє профіль реєстрації, щоб більше не поновлювати сертифікати.

Параметри:

  • Відбиток пальця (r): <S: 0, 128>

    Унікальний ідентифікатор сертифіката, який видаляється. Ви можете отримати ідентифікатор відбитка пальця, виконавши команду:

     Відображення служб сертифікатів безпеки xCommand

Список профілів реєстрації служб безпеки xCommand

Відображає профілі зарахування для поновлення сертифіката.

 Сертифікати безпеки xCommand Реєстрація профілів SCEP Set Відбиток(r): <S: 0, 128> URL(r): <S: 0, 256>

Додати новий сертифікат

Оновлення

 Набір профілів SCEP сертифікатів безпеки служб реєстрації

Щоб автоматично поновити сертифікат, пристрій повинен мати доступ до URL-адреси SCEP, яка може підписати сертифікат.

Раз на день пристрій перевірятиме наявність сертифікатів, термін дії яких закінчується через 45 днів. Після цього пристрій спробує поновити ці сертифікати, якщо їх видавець збігається з профілем.

ПРИМІТКА: Усі сертифікати пристрою будуть перевірені на поновлення, навіть якщо сертифікат не був спочатку зареєстрований за допомогою SCEP.

Навігатор

  1. Пряме сполучення: зареєстровані сертифікати можна активувати як сертифікат "Сполучення".

  2. Віддалене сполучення: Скажіть навігатору зареєструвати новий сертифікат SCEP за допомогою ідентифікатора периферійного пристрою:

    Сертифікати безпеки периферійних пристроїв xCommand Реєстрація служб Запит SCEP 

    Профілі реєстрації автоматично синхронізуються зі сполученим навігатором.

  3. Автономний навігатор: те саме, що й реєстрація кодека