Ви можете додати сертифікати з локального веб-інтерфейсу пристрою. Крім того, ви можете додати сертифікати, запустивши команди API. Щоб дізнатися, які команди дозволяють додавати сертифікати, перегляньте статтю roomos.cisco.com .

Сертифікати служби та довірені CA

Перевірка сертифіката може знадобитися при використанні TLS (Безпеки транспортного рівня). Сервер або клієнт може вимагати, щоб пристрій надав їм дійсний сертифікат перед налаштуванням зв'язку.

Сертифікати - це текстові файли, які перевіряють справжність пристрою. Ці сертифікати повинні бути підписані надійним центром сертифікації (CA). Щоб перевірити підпис сертифікатів, на пристрої має бути список довірених ЦС. Список повинен включати всі CAs, необхідні для перевірки сертифікатів як для реєстрації аудиту, так і для інших підключень.

Сертифікати використовуються для наступних послуг: HTTPS-сервер, SIP, IEEE 802.1X та журналювання аудиту. На пристрої можна зберігати кілька сертифікатів, але одночасно на кожну послугу включений тільки один сертифікат.

У RoomOS за жовтень 2023 р. і пізніше, коли сертифікат ЦС додається до пристрою, він також застосовується до Room Navigator, якщо він підключений. Щоб синхронізувати раніше додані сертифікати CA з підключеним Room Navigator, потрібно перезавантажити пристрій. Якщо ви не хочете, щоб периферійні пристрої отримували ті самі сертифікати, що й пристрій, до якого він підключений, установіть для конфігурації Сертифікати безпеки периферійних пристроїв SyncToPeripherals значення False.


Раніше збережені сертифікати не видаляються автоматично. Записи в новому файлі з сертифікатами ЦС додаються до наявного списку.

Для підключення до Wi-Fi

Рекомендовано додати довірений сертифікат CA для кожного пристрою серії Board, Desk або Room, якщо у вашій мережі використовується автентифікація WPA-EAP. Ви повинні зробити це індивідуально для кожного пристрою, і перед підключенням до Wi-Fi.

Щоб додати сертифікати для підключення до Wi-Fi, потрібні такі файли:

  • Список сертифікатів ЦС (формат файлу: .PEM)

  • Сертифікат (формат файлу: .PEM)

  • Закритий ключ, як окремий файл або включений у той самий файл, що й сертифікат (формат файлу: .PEM)

  • Парольна фраза (потрібна тільки в тому випадку, якщо закритий ключ зашифрований)

Сертифікат і закритий ключ зберігаються в одному файлі на пристрої. Якщо аутентифікація не вдається, з'єднання не буде встановлено.


Закритий ключ і парольна фраза не застосовуються до підключених периферійних пристроїв.

Додавайте сертифікати на пристрої серії Board, Desk і Room

1

З точки зору клієнта в https://admin.webex.com , перейдіть на сторінку Пристрої та виберіть свій пристрій у списку. Перейдіть до Підтримка й запустіть Local Device Controls (Елементи керування локальними пристроями).

Якщо на пристрої налаштовано локального користувача адміністратора , можна отримати доступ до вебінтерфейсу безпосередньо, відкривши веббраузер і ввівши команду http(s)://.

2

Перейдіть до розділу Сертифікати безпеки > > Користувацькі > Додайте сертифікат і завантажте кореневі сертифікати CA.

3

На opensl згенеруйте закритий ключ і запит сертифіката. Скопіюйте вміст запиту на сертифікат. Потім вставте його, щоб запросити сертифікат сервера у вашому центрі сертифікації (CA).

4

Завантажте сертифікат сервера, підписаний вашим ЦС. Переконайтеся, що він знаходиться в . Формат ПЕМ.

5

Перейдіть до розділу Сертифікати безпеки > > служби > Додати сертифікат і завантажити закритий ключ і сертифікат сервера.

6

Увімкніть служби, які потрібно використовувати для щойно доданого сертифіката.

Простий протокол реєстрації сертифікатів (SCEP)

Простий протокол реєстрації сертифікатів (SCEP) забезпечує автоматизований механізм реєстрації та оновлення сертифікатів, які використовуються, наприклад, для автентифікації 802.1X на пристроях. SCEP дозволяє підтримувати доступ пристрою до захищених мереж без ручного втручання.

  • Коли пристрій новий або відновлений до заводських налаштувань, йому потрібен доступ до мережі, щоб зв’язатися з URL-адресою SCEP. Для отримання IP-адреси пристрій має бути підключено до мережі без 802.1X.

  • Якщо ви використовуєте бездротову реєстрацію SSID, вам потрібно пройти через екрани приєднання для налаштування підключення до мережі.

  • Після підключення до мережі підготовки пристрій не обов’язково буде відображатися на конкретному екрані приєднання на цьому етапі.

  • Для всіх розгортання xAPI реєстрації SCEP не зберігатиме сертифікат CA, який використовується для підписання сертифіката пристрою. Для автентифікації сервера сертифікат CA, який використовується для перевірки сертифіката сервера, необхідно додати разом із сертифікатами безпеки xCommand CA Add.

Обов’язкові умови

Вам потрібна наведена далі інформація.

  • URL-адреса сервера SCEP.

  • Відбиток пальця сертифіката ЦС (Certificate Authority) для підпису.

  • Інформація про сертифікат для реєстрації. Це ім’я суб’єкта сертифіката.

    • Загальне ім’я

    • Назва країни

    • Назва організації

  • Пароль виклику сервера SCEP, якщо ви налаштували сервер SCEP для виконання одноразового пароля або спільного секрету.

Ми надсилаємо запит на сертифікат, дійсний протягом одного року до закінчення терміну дії сертифіката. Політика на стороні сервера може змінити дату закінчення терміну дії під час підписання сертифіката.

Підключення Ethernet

Коли пристрій підключено до мережі, переконайтеся, що він має доступ до сервера SCEP. Щоб отримати IP-адресу, пристрій має бути підключено до мережі без 802.1x Можливо, MAC-адресу пристрою потрібно надати мережі підготовки, щоб отримати IP-адресу. MAC-адресу можна знайти в інтерфейсі користувача або на етикетці на задній частині пристрою.

Після підключення пристрою до мережі ви можете надати SSH до пристрою як адміністратор , щоб отримати доступ до TSH, а потім запустіть таку команду, щоб надіслати запит SCEP реєстрації: 
Запит на реєстрацію служб сертифікатів безпеки xCommand

Коли сервер SCEP поверне підписаний сертифікат пристрою, активуйте 802.1X і потім перезавантажте пристрій.

Активувати підписаний сертифікат:
Активувати служби сертифікатів безпеки xCommand

Перезавантажте пристрій після активації сертифіката.

Бездротове підключення

Коли пристрій підключено до бездротової мережі, переконайтеся, що він може отримати доступ до сервера SCEP.

Після підключення пристрою до мережі ви можете надати SSH до пристрою як адміністратор , щоб отримати доступ до TSH, а потім запустіть таку команду, щоб надіслати запит SCEP реєстрації: 
Запит на реєстрацію служб сертифікатів безпеки xCommand

Пристрій отримує підписаний сертифікат із сервера SCEP.

Активувати підписаний сертифікат: 

Активувати служби сертифікатів безпеки xCommand
Після активації потрібно налаштувати мережу Wi-Fi з автентифікацією EAP-TLS. 
Налаштування мережі Wifi xCommand

За замовчуванням конфігурація Wi-Fi пропускає перевірку перевірки сервера. Якщо потрібна лише одностороння автентифікація, залиште значення AllowMissingCA значення за замовчуванням True.

Щоб примусово перевірити сервер, переконайтеся, що для необов’язкового параметра AllowMissingCA задано значення False. Якщо з’єднання неможливо встановити через помилки перевірки служби, переконайтеся, що для перевірки сертифіката сервера, який може відрізнятися від сертифіката пристрою, додано правильний CA.

Описи API

Роль: Адміністратор, інтегратор

Запит на реєстрацію служб сертифікатів безпеки xCommand

Запити й завантаження підписаного сертифіката пристрою

Параметри:

  • URL(r): <S: 0, 128>

    URL-адреса сервера SCEP, яка використовується для реєстрації сертифіката.

  • Відбиток пальця (r): <S: 0, 128>

    Відбиток пальця, що видає CA, який підпише запит X509.

  • ПарольВиклику: <S: 0, 128>

    Спільний секретний пароль, установлений сервером SCEP.

  • ЗагальнеІм’я(r): <S: 0, 128>

  • НазваКраїни: <S: 0, 128>

  • НазваОрганізації: <S: 0, 128>

  • SanDns[5]: <S: 0, 128>

  • SanEmail[5]: <S: 0, 128>

  • SanIp[5]: <S: 0, 128>

  • SanUri[5]: <S: 0, 128>

Запит на продовження реєстрації служб сертифікатів безпеки xCommand

Створіть або оновіть профіль авторизації, який застосовується до всіх сертифікатів, виданих вказаним ЦС, перш ніж термін дії сертифікатів завершиться

Параметри:

  • Відбиток пальця (r): <S: 0, 128>

    Відбиток сертифіката, що видає сертифікати.

  • URL(r): <S: 0, 128>

    URL-адреса сервера SCEP, яка використовується для поновлення сертифікатів. 

Служби сертифікатів безпеки xCommand Реєстрація SCEP подовження дії Видалити

Видалити авторизований профіль для даного ЦС. Це зупиняє авторизацію сертифікатів, підписаних цим ЦС

Параметри:

  • Відбиток пальця (r): <S: 0, 128>

    Відбиток пальця ЦС, що видає, потрібно видалити.

Реєстрація служб сертифікатів безпеки xCommand Список подовження SCEP

Список усіх профілів авторизації, які зараз використовуються.