Ви можете додавати сертифікати з локального веб-інтерфейсу пристрою. Крім того, ви можете додати сертифікати, виконавши команди API. Щоб дізнатися, які команди дозволяють додавати сертифікати, дивіться roomos.cisco.com .

Сервісні сертифікати та довірені ЦС

Перевірка сертифіката може знадобитися при використанні TLS (Transport Layer Security). Сервер або клієнт можуть вимагати, щоб пристрій представив їм дійсний сертифікат перед налаштуванням зв'язку.

Сертифікати є текстовими файлами, які перевіряють справжність пристрою. Ці сертифікати мають бути підписані довіреною особою Certificate Authority (CA). Щоб перевірити підпис сертифікатів, на пристрої має бути список довірених центрів сертифікації. Список має включати всі ЦС, необхідні для перевірки сертифікатів як для ведення журналу аудиту, так і для інших підключень.

Сертифікати використовуються для таких служб: сервер HTTPS, SIP, IEEE 802.1X та журнал аудиту. На пристрої можна зберігати кілька сертифікатів, але для кожної служби одночасно включено лише один сертифікат.

У жовтні 2023 року та пізніших версіях RoomOS, коли ви додаєте сертифікат ЦС до пристрою, він також застосовується до Навігатора кімнати, якщо такий підключено. Щоб синхронізувати раніше додані сертифікати ЦС із підключеним Навігатором кімнат, необхідно перезавантажити пристрій. Якщо ви не хочете, щоб периферійні пристрої отримували ті самі сертифікати, що й пристрій, до якого їх підключено, встановіть для параметра False . Сертифікати безпеки периферійних пристроїв False .

Раніше збережені сертифікати не видаляються автоматично. Записи в новому файлі з сертифікатами ЦС додаються до існуючого списку.

Для підключення Wi-Fi

Ми рекомендуємо додавати довірений сертифікат CA для кожного пристрою серії Board, Desk або Room, якщо у вашій мережі використовується автентифікація WPA-EAP. Ви повинні зробити це індивідуально для кожного пристрою, і перед тим, як підключитися до Wi-Fi.

Щоб додати сертифікати для вашого з'єднання Wi-Fi, вам знадобляться наступні файли:

  • список сертифікатів цс (формат файлу: . ПЕМ)

  • Сертифікат (формат файлу: . ПЕМ)

  • Закритий ключ, або у вигляді окремого файлу, або включений у той самий файл, що й сертифікат (формат файлу: . ПЕМ)

  • Парольна фраза (потрібна лише у випадку, якщо закритий ключ зашифровано)

Сертифікат і закритий ключ зберігаються в одному файлі на пристрої. Якщо автентифікація не пройде, з'єднання не буде встановлено.

Сертифікат та його закритий ключ не застосовуються до підключених периферійних пристроїв.

Додавайте сертифікати на пристрої серій Board, Desk та Room

1

У поданні клієнта в# https://admin.webex.com перейдіть на сторінку Пристрої та виберіть свій пристрій у списку. Перейдіть до розділу «Підтримка » та запустіть «Локальні елементи керування пристроями».

Якщо ви налаштували локального адміністратора на пристрої, ви можете отримати доступ до веб-інтерфейсу безпосередньо, відкривши веб-браузер і ввівши https://<endpoint ip або ім'я хоста>.

2

Перейдіть до Security > Certificates > Custom > Add Certificate і завантажте свої кореневі сертифікати CA.

3

На openssl згенеруйте приватний ключ і запит на сертифікат. Скопіюйте вміст запиту на сертифікат. Потім вставте його, щоб запросити сертифікат сервера у вашого Certificate Authority (CA).

4

Завантажте сертифікат сервера, підписаний вашим центром сертифікації. Переконайтеся, що він знаходиться в зоні . Формат PEM.

5

Перейдіть до Security > Certificates > Services > Add Certificate та завантажте приватний ключ і сертифікат сервера.

6

Увімкніть служби, які ви хочете використовувати для щойно доданого сертифіката.

Згенерувати запит на підписання сертифіката (CSR)

Адміністратори мають згенерувати запит на підписання сертифіката (CSR) із Control Hub для пристрою серії Board, Desk або Room, зареєстрованого у хмарі.

Виконайте ці дії, щоб згенерувати CSR та завантажити підписаний сертифікат на свій пристрій:

  1. У поданні клієнта в Control Hub перейдіть на сторінку «Пристрої» та виберіть свій пристрій зі списку.
  2. Перейдіть до дій > запустіть xCommand > сертифікати безпеки > > CSR > Create.
  3. Введіть необхідні дані сертифіката та натисніть Виконати.
  4. Скопіюйте весь текст між ----BEGIN CERTIFICATE REQUEST---- та ----END CERTIFICATE REQUEST----.
  5. Використовуйте символ Certificate Authority (CA) на ваш вибір, щоб підписати CSR.
  6. Експортуйте підписаний сертифікат у форматі PEM (Base64-encoded).
  7. Відкрийте підписаний файл сертифіката в текстовому редакторі (наприклад, Блокноті) і скопіюйте весь текст між ----BEGIN CERTIFICATE---- і ----END CERTIFICATE----.
  8. У Control Hub перейдіть до розділу «Пристрої» > виберіть свій пристрій > «Дії» > «Запустити xCommand» > «Сертифікати безпеки» > > CSR > Link.
  9. Вставте скопійований вміст сертифіката в розділ «Тіло» та виберіть «Виконати».
  10. Оновіть сторінку, щоб переконатися, що сертифікат відображається в розділі «Існуючий сертифікат».

Простий протокол зарахування сертифіката (SCEP)

Простий протокол реєстрації сертифікатів (SCEP) забезпечує автоматизований механізм реєстрації та оновлення сертифікатів, які використовуються, наприклад, автентифікацією 802.1X на пристроях. SCEP дозволяє підтримувати доступ пристрою до захищених мереж без ручного втручання.

  • Якщо пристрій новий або був скинутий до заводських налаштувань, йому потрібен доступ до мережі, щоб дістатися до URL-адреси SCEP. Пристрій слід підключити до мережі без 802.1X для отримання IP-адреси.

  • Якщо використовується бездротова реєстрація SSID, пройдіться по екранах підключення, щоб налаштувати з'єднання з мережею.

  • Після підключення до мережі ініціалізації пристрою не обов'язково має бути на певному екрані підключення.

  • Щоб підійти для всіх розгортань, xAPI реєстрації SCEP не зберігатимуть сертифікат ЦС, який використовується для підписання сертифіката пристрою. Для автентифікації сервера сертифікат ЦС, який використовується для перевірки сертифіката сервера, потрібно додати за допомогою xCommand Security Certificates CA Add.

Необхідні умови

Вам потрібна наступна інформація:

  • URL-адреса сервера SCEP.

  • Відбиток відбитка підписаного сертифіката ЦС (Certificate Authority).

  • Інформація про сертифікат для зарахування. Це і є назва теми сертифіката.

    • Загальна назва

    • Назва країни

    • Назва штату або провінції

    • Назва населеного пункту

    • Назва організації

    • Організаційна одиниця

  • Ім'я предмета буде впорядковано як /C= /ST= /L= /O= /OU= /CN=

  • Пароль виклику сервера SCEP, якщо ви налаштували сервер SCEP на застосування одноразового пароля або спільної таємниці.

Ви можете встановити необхідний розмір ключа для пари ключів запиту сертифіката за допомогою наступної команди. За замовчуванням встановлено значення 2048.

 Розмір ключа реєстрації безпеки xConfiguration: <2048, 3072, 4096>

Ми надсилаємо запит на сертифікат, який діє протягом одного року для закінчення терміну дії сертифіката. Політика на стороні сервера може змінювати дату закінчення терміну дії під час підписання сертифіката.

Підключення через Ethernet

Коли пристрій підключено до мережі, переконайтеся, що він має доступ до сервера SCEP. Пристрій слід підключити до мережі без 802.1x, щоб отримати IP-адресу. Можливо, потрібно буде надати адресу MAC пристрою в мережу ініціалізації, щоб отримати IP-адресу. Адресу MAC можна знайти в інтерфейсі користувача або на етикетці на задній панелі пристрою.

Після того, як пристрій буде підключено до мережі, ви можете надіслати SSH на пристрій як адміністратор для доступу до TSH, а потім виконати наступну команду, щоб надіслати запит SCEP на реєстрацію: 

Сертифікати безпеки xCommand Реєстрація служб Запит SCEP

Як тільки сервер SCEP поверне підписаний сертифікат пристрою, активуйте 802.1X.

Активуйте підписаний сертифікат:

Активація служб сертифікатів безпеки xCommand

Перезавантажте пристрій після активації сертифіката.

Бездротове підключення

Якщо пристрій підключено до безпроводової мережі, переконайтеся, що він має доступ до сервера SCEP.

Після підключення пристрою до мережі ви можете підключитися до нього через SSH як адміністратор для доступу до TSH, а потім виконати таку команду, щоб надіслати запит SCEP на реєстрацію: 

Запит на реєстрацію в службах сертифікатів безпеки xCommand SCEP

Пристрій отримує підписаний сертифікат від сервера SCEP.

Активуйте підписаний сертифікат: 

Активація послуг сертифікатів безпеки xCommand

Після активації вам потрібно налаштувати мережу Wi-Fi з автентифікацією EAP-TLS. 

Налаштування мережі Wi-Fi xCommand

За замовчуванням конфігурація Wi-Fi пропускає перевірки валідації сервера. Якщо потрібна лише одностороння автентифікація, залиште для параметра AllowMissingCA за замовчуванням значення True.

Щоб примусово виконати перевірку сервера, переконайтеся, що для додаткового параметра AllowMissingCA встановлено значення False. Якщо з’єднання не вдається встановити через помилки перевірки служби, перевірте, чи додано правильний центр сертифікації, щоб перевірити сертифікат сервера, який може відрізнятися від сертифіката пристрою.

API описи

Роль: Адміністратор, Інтегратор

Запит на реєстрацію в службах сертифікатів безпеки xCommand SCEP

Надсилає CSR на вказаний сервер SCEP для підписання. Параметри CSR SubjectName будуть побудовані в такому порядку: C, ST, L, O, OUs, CN.

Параметри:

  • URL(r): <S: 0, 256>

    URL-адреса сервера SCEP.

  • Відбиток пальця(r): <S: 0, 128>

    Відбиток сертифіката CA, який підписуватиме запит SCEP CSR.

  • Загальна назва(r): <S: 0, 64>

    Додає "/CN=" до імені суб'єкта CSR.

  • Пароль виклику: <S: 0, 256>

    OTP або спільний секретний пароль із сервера SCEP для доступу до підпису.

  • Назва країни: <S: 0, 2>

    Додає "/C=" до імені суб'єкта CSR.

  • Назва штату або області: <S: 0, 64>

    Додає "/ST=" до імені суб'єкта CSR.

  • Назва населеного пункту: <S: 0, 64>

    Додає "/L=" до імені суб'єкта CSR.

  • Назва організації: <S: 0, 64>

    Додає "/O=" до імені суб'єкта CSR.

  • Організаційна одиниця[5]: <S: 0, 64>

    Додає до 5 параметрів "/OU=" до імені суб'єкта CSR.

  • SanDns[5]: <S: 0, 64>

    Додає до 5 параметрів DNS до альтернативної назви суб'єкта CSR.

  • SanEmail[5]: <S: 0, 64>

    Додає до 5 параметрів електронної пошти до альтернативного імені теми CSR.

  • SanIp[5]: <S: 0, 64>

    Додає до 5 параметрів IP до альтернативної назви суб'єкта CSR.

  • СанУрі[5]: <S: 0, 64>

    Додає до 5 параметрів URI до альтернативної назви теми CSR.

Сервіси реєстрації сертифікатів безпеки xCommand Профілі видалення

Видаляє профіль реєстрації, щоб більше не поновлювати сертифікати.

Параметри:

  • Відбиток пальця(r): <S: 0, 128>

    Відбиток сертифіката CA, який ідентифікує профіль, який потрібно видалити. Ви можете переглянути доступні профілі для видалення, виконавши команду: 

    Список профілів реєстрації служб сертифікатів безпеки xCommand

Список профілів реєстрації служб сертифікатів безпеки xCommand

Перелічує профілі реєстрації для поновлення сертифіката.

 Реєстрація служб сертифікатів безпеки xCommand. Набір профілів SCEP. Відбиток пальця(r): <S: 0, 128>. URL(r): <S: 0, 256>.

Додайте профіль реєстрації для сертифікатів, виданих відбитком CA, щоб використовувати вказану URL-адресу SCEP для поновлення.

Поновлення

 Набір профілів SCEP для реєстрації служб сертифікатів безпеки xCommand

Для автоматичного поновлення сертифіката пристрій повинен мати доступ до URL-адреси SCEP, яка може підтвердити сертифікат.

Раз на день пристрій перевірятиме наявність сертифікатів, термін дії яких закінчується через 45 днів. Потім пристрій спробує поновити ці сертифікати, якщо їхній видавець відповідає профілю.

ПРИМІТКА. Усі сертифікати пристроїв будуть перевірені на поновлення, навіть якщо сертифікат спочатку не був зареєстрований за допомогою SCEP.

Навігатор

  1. Пряме сполучення: Зареєстровані сертифікати можна активувати як сертифікат «Сполучення».

  2. Віддалене сполучення: Накажіть навігатору зареєструвати новий сертифікат SCEP, використовуючи ідентифікатор периферійного пристрою:

    Запит SCEP на реєстрацію служб сертифікатів безпеки периферійних пристроїв xCommand 

    Профілі реєстрації автоматично синхронізуються з підключеним навігатором.

  3. Автономний навігатор: те саме, що й реєстрація кодеків

Налаштування автентифікації 802.1x у Room Navigator

Ви можете налаштувати автентифікацію 802.1x безпосередньо з меню налаштувань Room Navigator.

Стандарт автентифікації 802.1x особливо важливий для мереж Ethernet, і він гарантує, що доступ до мережевих ресурсів отримуватимуть лише авторизовані пристрої.

Доступні різні варіанти входу залежно від методу EAP, налаштованого у вашій мережі. Наприклад:

  • TLS: Ім'я користувача та пароль не використовуються.
  • PEAP: Сертифікати не використовуються.
  • TTLS: Ім'я користувача/пароль та сертифікати є обов'язковими; жоден з них не є необов'язковим.

Існує кілька способів отримати сертифікат клієнта на пристрої:

  1. Завантажте PEM: скористайтеся функцією додавання служб сертифікатів безпеки.
  2. Створення CSR: Згенеруйте запит на підпис сертифіката (CSR), підпишіть його та зв’яжіть за допомогою сертифікатів безпеки CSR Створити/Зв’язати.
  3. SCEP: Запит SCEP на реєстрацію служб сертифікатів безпеки.
  4. DHCP Варіант 43: Налаштуйте доставку сертифіката за допомогою цього параметра.

Слід налаштувати та оновити сертифікати для 802.1x перед сполученням Room Navigator до системи або після скидання Room Navigator до заводських налаштувань.

Облікові дані за замовчуванням – admin та порожній пароль. Щоб отримати додаткові відомості про те, як додати сертифікати, отримавши доступ до API, див. остання версія посібника API .

  1. Відкрийте панель керування в Навігаторі, натиснувши кнопку у верхньому правому куті або провівши пальцем праворуч. Потім натисніть Налаштування пристрою.
  2. Перейти до Мережеве підключення і виберіть Ethernet .
  3. Активуйте перемикач Use IEEE 802.1X (Використовувати IEEE 802.1X).
    • Якщо автентифікацію налаштовано за допомогою облікових даних, введіть ідентифікатор користувача та парольну фразу. Ви також можете ввести анонімну особу: це необов’язкове поле, яке дозволяє відокремити фактичну особу користувача від початкового запиту на автентифікацію.
    • Ви можете перемикатися TLS Перевірити вимкнено або увімкнено. Коли перевірка TLS увімкнена, клієнт активно перевіряє справжність сертифіката сервера під час рукостискання TLS. Коли перевірка TLS вимкнена, клієнт не виконує активну перевірку сертифіката сервера.
    • Якщо ви завантажили сертифікат клієнта, отримавши доступ до API, перемкніть Використовувати сертифікат клієнта увімкнено.
    • Перемикання Розширюваний протокол автентифікації (EAP) методи, які ви хочете використовувати. Вибір методу EAP залежить від конкретних вимог безпеки, інфраструктури та можливостей клієнта. Методи EAP є критично важливими для забезпечення безпечного та автентифікованого доступу до мережі.