Ви можете додавати сертифікати з локального веб-інтерфейсу пристрою. Крім того, ви можете додати сертифікати, виконавши команди API. Щоб дізнатися, які команди дозволяють додавати сертифікати, дивіться roomos.cisco.com .

Сервісні сертифікати та довірені ЦС

Перевірка сертифіката може знадобитися при використанні TLS (Transport Layer Security). Сервер або клієнт можуть вимагати, щоб пристрій представив їм дійсний сертифікат перед налаштуванням зв'язку.

Сертифікати є текстовими файлами, які перевіряють справжність пристрою. Ці сертифікати мають бути підписані довіреною особою Certificate Authority (CA). Щоб перевірити підпис сертифікатів, на пристрої має бути список довірених центрів сертифікації. Список має включати всі ЦС, необхідні для перевірки сертифікатів як для ведення журналу аудиту, так і для інших підключень.

Сертифікати використовуються для таких служб: сервер HTTPS, SIP, IEEE 802.1X та журнал аудиту. На пристрої можна зберігати кілька сертифікатів, але для кожної служби одночасно включено лише один сертифікат.

У жовтні 2023 року та пізніших версіях RoomOS, коли ви додаєте сертифікат ЦС до пристрою, він також застосовується до Навігатора кімнати, якщо такий підключено. Щоб синхронізувати раніше додані сертифікати ЦС із підключеним Навігатором кімнат, необхідно перезавантажити пристрій. Якщо ви не хочете, щоб периферійні пристрої отримували ті самі сертифікати, що й пристрій, до якого їх підключено, встановіть для параметра False . Сертифікати безпеки периферійних пристроїв False .

Раніше збережені сертифікати не видаляються автоматично. Записи в новому файлі з сертифікатами ЦС додаються до існуючого списку.

Для підключення Wi-Fi

Ми рекомендуємо додавати довірений сертифікат CA для кожного пристрою серії Board, Desk або Room, якщо у вашій мережі використовується автентифікація WPA-EAP. Ви повинні зробити це індивідуально для кожного пристрою, і перед тим, як підключитися до Wi-Fi.

Щоб додати сертифікати для вашого з'єднання Wi-Fi, вам знадобляться наступні файли:

  • список сертифікатів цс (формат файлу: . ПЕМ)

  • Сертифікат (формат файлу: . ПЕМ)

  • Закритий ключ, або у вигляді окремого файлу, або включений у той самий файл, що й сертифікат (формат файлу: . ПЕМ)

  • Парольна фраза (потрібна лише у випадку, якщо закритий ключ зашифровано)

Сертифікат і закритий ключ зберігаються в одному файлі на пристрої. Якщо автентифікація не пройде, з'єднання не буде встановлено.

Закритий ключ і парольна фраза не застосовуються до підключених периферійних пристроїв.

Додавайте сертифікати на пристрої серій Board, Desk та Room

1

У поданні клієнта в# https://admin.webex.com перейдіть на сторінку Пристрої та виберіть свій пристрій у списку. Перейдіть до розділу «Підтримка » та запустіть «Локальні елементи керування пристроями».

Якщо ви налаштували локального адміністратора на пристрої, ви можете отримати доступ до веб-інтерфейсу безпосередньо, відкривши веб-браузер і ввівши https://<endpoint ip або ім'я хоста>.

2

Перейдіть до Security > Certificates > Custom > Add Certificate і завантажте свої кореневі сертифікати CA.

3

На openssl згенеруйте приватний ключ і запит на сертифікат. Скопіюйте вміст запиту на сертифікат. Потім вставте його, щоб запросити сертифікат сервера у вашого Certificate Authority (CA).

4

Завантажте сертифікат сервера, підписаний вашим центром сертифікації. Переконайтеся, що він знаходиться в зоні . Формат PEM.

5

Перейдіть до Security > Certificates > Services > Add Certificate та завантажте приватний ключ і сертифікат сервера.

6

Увімкніть служби, які ви хочете використовувати для щойно доданого сертифіката.

Згенерувати запит на підписання сертифіката (CSR)

Адміністратори мають згенерувати запит на підписання сертифіката (CSR) із Control Hub для пристрою серії Board, Desk або Room, зареєстрованого у хмарі.

Виконайте ці дії, щоб згенерувати CSR та завантажити підписаний сертифікат на свій пристрій:

  1. У поданні клієнта в Control Hub перейдіть на сторінку «Пристрої» та виберіть свій пристрій зі списку.
  2. Перейдіть до дій > запустіть xCommand > сертифікати безпеки > > CSR > Create.
  3. Введіть необхідні дані сертифіката та натисніть Виконати.
  4. Скопіюйте весь текст між ----BEGIN CERTIFICATE REQUEST---- та ----END CERTIFICATE REQUEST----.
  5. Використовуйте символ Certificate Authority (CA) на ваш вибір, щоб підписати CSR.
  6. Експортуйте підписаний сертифікат у форматі PEM (Base64-encoded).
  7. Відкрийте підписаний файл сертифіката в текстовому редакторі (наприклад, Блокноті) і скопіюйте весь текст між ----BEGIN CERTIFICATE---- і ----END CERTIFICATE----.
  8. У Control Hub перейдіть до розділу «Пристрої» > виберіть свій пристрій > «Дії» > «Запустити xCommand» > «Сертифікати безпеки» > > CSR > Link.
  9. Вставте скопійований вміст сертифіката в розділ «Тіло» та виберіть «Виконати».
  10. Оновіть сторінку, щоб переконатися, що сертифікат відображається в розділі «Існуючий сертифікат».

Простий протокол зарахування сертифіката (SCEP)

Простий протокол реєстрації сертифікатів (SCEP) забезпечує автоматизований механізм реєстрації та оновлення сертифікатів, які використовуються, наприклад, автентифікацією 802.1X на пристроях. SCEP дозволяє підтримувати доступ пристрою до захищених мереж без ручного втручання.

  • Якщо пристрій новий або був скинутий до заводських налаштувань, йому потрібен доступ до мережі, щоб дістатися до URL-адреси SCEP. Пристрій слід підключити до мережі без 802.1X для отримання IP-адреси.

  • Якщо використовується бездротова реєстрація SSID, пройдіться по екранах підключення, щоб налаштувати з'єднання з мережею.

  • Після підключення до мережі ініціалізації пристрою не обов'язково має бути на певному екрані підключення.

  • Щоб підійти для всіх розгортань, xAPI реєстрації SCEP не зберігатимуть сертифікат ЦС, який використовується для підписання сертифіката пристрою. Для автентифікації сервера сертифікат ЦС, який використовується для перевірки сертифіката сервера, потрібно додати за допомогою xCommand Security Certificates CA Add.

Необхідні умови

Вам потрібна наступна інформація:

  • URL-адреса сервера SCEP.

  • Відбиток відбитка підписаного сертифіката ЦС (Certificate Authority).

  • Інформація про сертифікат для зарахування. Це і є назва теми сертифіката.

    • Загальна назва

    • Назва країни

    • Назва штату або провінції

    • Назва населеного пункту

    • Назва організації

    • Організаційна одиниця

  • Ім'я предмета буде впорядковано як /C= /ST= /L= /O= /OU= /CN=

  • Пароль виклику сервера SCEP, якщо ви налаштували сервер SCEP на застосування одноразового пароля або спільної таємниці.

Ви можете встановити необхідний розмір ключа для пари ключів запиту сертифіката за допомогою наступної команди. За замовчуванням встановлено значення 2048.

 Розмір ключа реєстрації безпеки xConfiguration: <2048, 3072, 4096>

Ми надсилаємо запит на сертифікат, який діє протягом одного року для закінчення терміну дії сертифіката. Політика на стороні сервера може змінювати дату закінчення терміну дії під час підписання сертифіката.

Підключення через Ethernet

Коли пристрій підключено до мережі, переконайтеся, що він має доступ до сервера SCEP. Пристрій слід підключити до мережі без 802.1x, щоб отримати IP-адресу. Можливо, потрібно буде надати адресу MAC пристрою в мережу ініціалізації, щоб отримати IP-адресу. Адресу MAC можна знайти в інтерфейсі користувача або на етикетці на задній панелі пристрою.

Після того, як пристрій буде підключено до мережі, ви можете надіслати SSH на пристрій як адміністратор для доступу до TSH, а потім виконати наступну команду, щоб надіслати запит SCEP на реєстрацію: 

Сертифікати безпеки xCommand Реєстрація служб Запит SCEP

Як тільки сервер SCEP поверне підписаний сертифікат пристрою, активуйте 802.1X.

Активуйте підписаний сертифікат:

Активація служб сертифікатів безпеки xCommand

Перезавантажте пристрій після активації сертифіката.

Бездротове підключення

Якщо пристрій підключено до безпроводової мережі, переконайтеся, що він має доступ до сервера SCEP.

Після того, як пристрій буде підключено до мережі, ви можете надіслати SSH на пристрій як адміністратор для доступу до TSH, а потім виконати наступну команду, щоб надіслати запит SCEP на реєстрацію: 

Сертифікати безпеки xCommand Реєстрація служб Запит SCEP

Пристрій отримує підписаний сертифікат від сервера SCEP.

Активуйте підписаний сертифікат: 

Активація служб сертифікатів безпеки xCommand

Після активації потрібно налаштувати мережу Wi-Fi з аутентифікацією EAP-TLS. 

Налаштування мережі xCommand Wifi

За замовчуванням конфігурація Wi-Fi пропускає перевірки сервера. Якщо потрібна лише одностороння автентифікація, то залиште AllowMissingCA за замовчуванням True .

Щоб примусово перевірити сервер, переконайтеся, що для необов'язкового параметра AllowMissingCA встановлено значення False. Якщо з'єднання не вдається встановити через помилки перевірки служби, перевірте, чи було додано правильний ЦС для перевірки сертифіката сервера, який може відрізнятися від сертифіката пристрою.

API Описи

Роль: Адміністратор, Інтегратор

Сертифікати безпеки xCommand Реєстрація служб Запит SCEP

Надсилає символ CSR на вказаний сервер SCEP для підписання. Параметри CSR SubjectName будуть побудовані в наступному порядку: C, ST, L, O, OUs, CN.

Параметри:

  • URL(r): <S: 0, 256>

    URL-адреса сервера SCEP.

  • Відбиток пальця (r): <S: 0, 128>

    Відбиток сертифіката ЦС, який підпише запит SCEP CSR.

  • CommonName(r): <S: 0, 64>

    Додає "/CN=" до назви теми CSR.

  • ChallengePassword: <S: 0, 256>

    OTP або Shared Secret від сервера SCEP для доступу до підпису.

  • Назва країни: <S: 0, 2>

    Додає "/c=" до назви теми CSR.

  • Назва: <S: 0, 64>

    Додає "/ST=" до назви теми CSR.

  • Населений пункт: <S: 0, 64>

    Додає "/L=" до назви теми CSR.

  • Назва організації: <S: 0, 64>

    Додає "/O=" до назви теми CSR.

  • Організаційна одиниця[5]: <S: 0, 64>

    Додає до 5 параметрів "/OU=" до назви теми CSR.

  • SanDns[5]: <S: 0, 64>

    Додає до 5 параметрів DNS до альтернативної назви CSR теми.

  • SanEmail[5]: <S: 0, 64>

    Додає до 5 параметрів електронної пошти до альтернативної назви теми CSR.

  • SanIp[5]: <S: 0, 64>

    Додає до 5 параметрів IP до альтернативного імені CSR теми.

  • SanUri[5]: <S: 0, 64>

    Додає до 5 параметрів URI до альтернативної назви CSR теми.

Сертифікати безпеки xCommand Служби реєстрації Профілі реєстрації видаляються

Видаляє профіль реєстрації, щоб більше не поновлювати сертифікати.

Параметри:

  • Відбиток пальця (r): <S: 0, 128>

    Відбиток сертифіката ЦС, який ідентифікує профіль, який ви хочете видалити. Ви можете переглянути доступні профілі для видалення, виконавши команду: 

    Список профілів реєстрації служб безпеки xCommand

Список профілів реєстрації служб безпеки xCommand

Відображає профілі зарахування для поновлення сертифіката.

 Сертифікати безпеки xCommand Реєстрація профілів SCEP Set Відбиток(r): <S: 0, 128> URL(r): <S: 0, 256>

Додайте профіль реєстрації для сертифікатів, виданих відбитком ЦС, щоб використовувати вказану URL-адресу SCEP для поновлення.

Оновлення

 Набір профілів SCEP сертифікатів безпеки служб реєстрації

Щоб автоматично поновити сертифікат, пристрій повинен мати доступ до URL-адреси SCEP, яка може підписати сертифікат.

Раз на день пристрій перевірятиме наявність сертифікатів, термін дії яких закінчується через 45 днів. Після цього пристрій спробує поновити ці сертифікати, якщо їх видавець збігається з профілем.

ПРИМІТКА: Усі сертифікати пристрою будуть перевірені на поновлення, навіть якщо сертифікат не був спочатку зареєстрований за допомогою SCEP.

Навігатор

  1. Пряме сполучення: зареєстровані сертифікати можна активувати як сертифікат "Сполучення".

  2. Віддалене сполучення: Скажіть навігатору зареєструвати новий сертифікат SCEP за допомогою ідентифікатора периферійного пристрою:

    Сертифікати безпеки периферійних пристроїв xCommand Реєстрація служб Запит SCEP 

    Профілі реєстрації автоматично синхронізуються зі сполученим навігатором.

  3. Автономний навігатор: те саме, що й реєстрація кодека

Налаштуйте автентифікацію 802.1x у Навігаторі кімнати

Ви можете налаштувати автентифікацію 802.1x безпосередньо в меню налаштувань Навігатора кімнати.

Стандарт автентифікації 802.1x особливо важливий для мереж Ethernet, і він гарантує, що доступ до мережевих ресурсів надається лише авторизованим пристроям.

Доступні різні варіанти входу в систему залежно від методу EAP, налаштованого у вашій мережі. Наприклад:

  • TLS: Ім'я користувача та пароль не використовуються.
  • PEAP: Сертифікати не використовуються.
  • TTLS: потрібні як ім'я користувача/пароль, так і сертифікати; Ні те, ні інше не є необов'язковим.

Отримати сертифікат клієнта на пристрій можна кількома способами:

  1. Завантажте PEM: скористайтеся функцією додавання служб сертифікатів безпеки.
  2. Створіть CSR: Згенеруйте запит на підпис сертифіката (CSR), підпишіть його та зв'яжіть за допомогою Сертифікатів безпеки CSR Створити/Зв'язати.
  3. SCEP: Використовуйте запит SCEP на реєстрацію служб безпеки.
  4. DHCP Варіант 43: Налаштуйте доставку сертифіката за допомогою цієї опції.

Налаштування та оновлення сертифікатів для 802.1x слід виконувати перед підключенням Навігатора кімнати до системи, або після скидання Навігатора кімнати до заводських налаштувань.

Обліковими даними за замовчуванням є admin і порожній пароль. Для отримання додаткової інформації про те, як додавати сертифікати за допомогою API, перегляньте останню версію посібника API.

  1. Відкрийте панель керування в Навігаторі, натиснувши на кнопку у верхньому правому куті або провівши пальцем з правого боку. Потім натисніть Налаштування пристрою.
  2. Перейдіть до розділу Підключення до мережі та виберіть Ethernet .
  3. Активуйте перемикач Use IEEE 802.1X (Використовувати IEEE 802.1X).
    • Якщо автентифікацію налаштовано за допомогою облікових даних, введіть ідентифікатор користувача та парольну фразу. Ви також можете ввести анонімний ідентифікатор: це необов'язкове поле, яке надає змогу відокремити справжню особистість користувача від початкового запиту на автентифікацію.
    • Ви можете перемкнути TLS Підтвердити вимкнено або увімкнено. Коли TLS verify увімкнено, клієнт активно перевіряє автентичність сертифіката сервера під час рукостискання TLS. Коли TLS verify вимкнено, клієнт не виконує активну перевірку сертифіката сервера.
    • Якщо ви завантажили сертифікат клієнта, перейшовши за допомогою API, увімкніть опцію Використовувати сертифікат клієнта.
    • Перемкніть методи розширюваного протоколу автентифікації (EAP), які ви хочете використовувати. Вибір методу EAP залежить від конкретних вимог до безпеки, інфраструктури та можливостей клієнта. Методи EAP мають вирішальне значення для забезпечення безпечного та автентифікованого доступу до мережі.