Certifikate možete dodati s lokalnog web sučelja uređaja. Alternativno, možete dodati certifikate pokretanjem naredbi API. Da biste vidjeli koje vam naredbe omogućuju dodavanje certifikata, pogledajte roomos.cisco.com .

Certifikati usluga i pouzdani CA-ovi

Provjera valjanosti certifikata može biti potrebna kada koristite TLS (Transport Layer Security). Poslužitelj ili klijent mogu zahtijevati da im uređaj predstavi važeći certifikat prije postavljanja komunikacije.

Certifikati su tekstualne datoteke koje potvrđuju autentičnost uređaja. Ove certifikate mora potpisati ovlašteno tijelo za izdavanje certifikata (CA). Za provjeru potpisa certifikata, na uređaju se mora nalaziti popis pouzdanih CA-ova. Popis mora sadržavati sve CA-ove potrebne za provjeru certifikata za revizijsko bilježenje i druge veze.

Certifikati se koriste za sljedeće usluge: HTTPS poslužitelj, SIP, IEEE 802.1X i revizijsko bilježenje. Možete pohraniti nekoliko certifikata na uređaj, ali samo jedan certifikat je istovremeno omogućen za svaku uslugu.

U sustavu RoomOS iz listopada 2023. i novijim, kada dodate CA certifikat na uređaj, on se također primjenjuje na Room Navigator ako je povezan. Za sinkronizaciju prethodno dodanih CA certifikata s povezanim Room Navigatorom, morate ponovno pokrenuti uređaj. Ako ne želite da periferne jedinice dobivaju iste certifikate kao uređaj na koji je povezana, postavite konfiguraciju Peripherals Security Certificates SyncToPeripherals na False.

Prethodno pohranjeni certifikati ne brišu se automatski. Unosi u novu datoteku s CA certifikatima pridodaju se postojećem popisu.

Za Wi-Fi vezu

Preporučujemo da dodate pouzdani CA certifikat za svaki uređaj Board, Desk ili Room Series, ako vaša mreža koristi WPA-EAP autentifikaciju. To morate učiniti pojedinačno za svaki uređaj i prije povezivanja na Wi-Fi.

Za dodavanje certifikata za vašu Wi-Fi vezu potrebne su vam sljedeće datoteke:

  • Popis CA certifikata (format datoteke: .PEM)

  • Certifikat (format datoteke: .PEM)

  • Privatni ključ, bilo kao zasebna datoteka ili uključen u istu datoteku kao i certifikat (format datoteke: .PEM)

  • Zaporka (potrebna samo ako je privatni ključ šifriran)

Certifikat i privatni ključ pohranjeni su u istoj datoteci na uređaju. Ako provjera autentičnosti ne uspije, veza se neće uspostaviti.

Privatni ključ i zaporka ne primjenjuju se na povezane periferne uređaje.

Dodajte certifikate na uređaje Board, Desk i Room Series

1

Iz prikaza korisnika u https://admin.webex.com idite na stranicu Uređaji i odaberite svoj uređaj na popisu. Idite na Podršku i pokrenite Lokalne kontrole uređaja .

Ako ste postavili lokalnog Admin korisnika na uređaju, web sučelju možete pristupiti izravno otvaranjem web preglednika i upisivanjem https://<endpoint ip ili hostname>.

2

Idite na Sigurnost > Certifikati > Prilagođeno > Dodaj certifikat i prenesite svoj CA korijenski certifikati.

3

Na openssl-u generirajte privatni ključ i zahtjev za certifikatom. Kopirajte sadržaj zahtjeva za certifikat. Zatim ga zalijepite kako biste zatražili certifikat poslužitelja od svog tijela za izdavanje certifikata (CA).

4

Preuzmite certifikat poslužitelja koji je potpisao vaš CA. Provjerite je li u .PEM formatu.

5

Idite na Sigurnost > Certifikati > Usluge > Dodajte certifikat i prenesite privatni ključ i certifikat poslužitelja.

6

Omogućite usluge koje želite koristiti za certifikat koji ste upravo dodali.

Jednostavni protokol upisa certifikata (SCEP)

Simple Certificate Enrollment Protocol (SCEP) pruža automatizirani mehanizam za upis i osvježavanje certifikata koji se koriste za provjeru autentičnosti 802.1X na uređajima. SCEP vam omogućuje održavanje pristupa uređaja sigurnim mrežama bez ručne intervencije.

  • Kada je uređaj nov ili je vraćen na tvorničke postavke, potreban mu je mrežni pristup za pristup SCEP URL-u. Uređaj bi trebao biti spojen na mrežu bez 802.1X da bi dobio IP adresu.

  • Ako koristite bežični upis SSID, morate proći kroz zaslone za ukrcavanje da biste konfigurirali vezu s mrežom.

  • Nakon što se povežete s mrežom za pružanje usluga, uređaj u ovoj fazi ne mora biti na određenom integracijskom zaslonu.

  • Kako bi odgovarao svim implementacijama, SCEP Enrollment xAPI neće pohraniti CA certifikat koji se koristi za potpisivanje certifikata uređaja. Za provjeru autentičnosti poslužitelja, CA certifikat koji se koristi za provjeru valjanosti certifikata poslužitelja treba dodati s xCommand Security Certificates CA Add.

Preduvjeti

Potrebni su vam sljedeći podaci:

  • URL SCEP poslužitelja.

  • Otisak prsta potpisnog CA (Certificate Authority) certifikata.

  • Informacije o potvrdi za upis. Ovo čini Naziv subjekta certifikata.

    • Uobičajeno ime

    • Naziv zemlje

    • Naziv države ili pokrajine

    • Naziv lokaliteta

    • Naziv organizacije

    • Organizacijska jedinica

  • Naziv subjekta bit će poredan kao /C= /ST= /L= /O= /OU= /CN=

  • Zaporka za izazov SCEP poslužitelja ako ste konfigurirali SCEP poslužitelj za primjenu OTP-a ili zajedničke tajne.

Možete postaviti potrebnu veličinu ključa za par ključeva zahtjeva za certifikat pomoću sljedeće naredbe. Zadano je 2048.

 xConfiguration Security Enrollment KeySize: <2048, 3072, 4096>

Šaljemo zahtjev za certifikat koji vrijedi godinu dana za istek certifikata. Politika na strani poslužitelja može promijeniti datum isteka tijekom potpisivanja certifikata.

Ethernet veza

Kada je uređaj spojen na mrežu, provjerite može li pristupiti SCEP poslužitelju. Uređaj bi trebao biti spojen na mrežu bez 802.1x da bi dobio IP adresu. Možda će se MAC adresa uređaja morati dostaviti mreži za dodjelu kako bi se dobila IP adresa. Adresa MAC može se pronaći na korisničkom sučelju ili na naljepnici na stražnjoj strani uređaja.

Nakon što je uređaj spojen na mrežu, možete SSH na uređaj kao admin za pristup TSH-u, zatim pokrenite sljedeću naredbu za slanje SCEP zahtjeva za upis: 

xCommand Sigurnosni certifikati Upis SCEP zahtjeva za usluge

Nakon što SCEP poslužitelj vrati potpisani certifikat uređaja, aktivirajte 802.1X.

Aktivirajte potpisani certifikat:

xCommand Sigurnosni certifikati Usluge Aktiviraj

Ponovno pokrenite uređaj nakon aktivacije certifikata.

Bežična veza

Kada je uređaj spojen na bežičnu mrežu, provjerite može li pristupiti SCEP poslužitelju.

Nakon što je uređaj spojen na mrežu, možete SSH na uređaj kao admin za pristup TSH-u, zatim pokrenite sljedeću naredbu za slanje SCEP zahtjeva za upis: 

xCommand Sigurnosni certifikati Upis SCEP zahtjeva za usluge

Uređaj prima potpisani certifikat od SCEP poslužitelja.

Aktivirajte potpisani certifikat: 

xCommand Sigurnosni certifikati Usluge Aktiviraj

Nakon aktivacije trebate konfigurirati Wi-Fi mrežu s EAP-TLS autentifikacijom. 

xCommand Wifi konfiguracija mreže

Prema zadanim postavkama, Wi-Fi konfiguracija preskače provjere valjanosti poslužitelja. Ako je potrebna samo jednosmjerna provjera autentičnosti, zadržite AllowMissingCA zadano Pravi.

Da biste prisilili provjeru valjanosti poslužitelja, osigurajte da je AllowMissingCA izborni parametar je postavljen na lažno. Ako se veza ne može uspostaviti zbog pogrešaka provjere valjanosti usluge, provjerite je li dodan ispravan CA za provjeru certifikata poslužitelja koji se može razlikovati od certifikata uređaja.

API opisi

Uloga: Administrator, Integrator

xCommand usluge sigurnosnih certifikata Zahtjev za upis u SCEP

Šalje CSR određenom SCEP poslužitelju na potpisivanje. Parametri CSR SubjectName konstruirat će se sljedećim redoslijedom: C, ST, L, O, OU, CN.

Parametara:

  • URL(r): <S: 0, 256>

    URL adresa SCEP poslužitelja.

  • Otisak prsta(r): <S: 0, 128>

    CA certifikat Otisak prsta koji će CSR potpisati zahtjev SCEP-a.

  • CommonName(r): <S: 0, 64>

    Dodaje "/CN=" CSR nazivu predmeta.

  • ChallengePassword: <S: 0, 256>

    OTP ili Shared Secret sa SCEP poslužitelja za pristup potpisivanju.

  • Naziv države: <S: 0, 2>

    Dodaje "/c=" CSR nazivu predmeta.

  • StateOrProvinceName: <S: 0, 64>

    Dodaje "/ST=" CSR nazivu predmeta.

  • LocalityName: <S: 0, 64>

    Dodaje "/l=" CSR nazivu predmeta.

  • OrganizationName: <S: 0, 64>

    Dodaje "/o=" CSR nazivu predmeta.

  • Organizacijska jedinica[5]: <S: 0, 64>

    Dodaje do 5 parametara "/OU=" CSR nazivu predmeta.

  • SanDns[5]: <S: 0, 64>

    Dodaje do 5 Dns parametara alternativnom nazivu predmeta CSR.

  • SanEmail[5]: <S: 0, 64>

    Dodaje do 5 parametara e-pošte u CSR Alternativni naziv predmeta.

  • SanIp[5]: <S: 0, 64>

    Dodaje do 5 Ip parametara alternativnom nazivu predmeta CSR.

  • SanUri[5]: <S: 0, 64>

    Dodaje do 5 parametara Uria alternativnom nazivu predmeta CSR.

xCommand usluge sigurnosnih certifikata Profili za prijavu Izbriši

Briše profil za prijavu kako više ne bi obnavljao certifikate.

Parametara:

  • Otisak prsta(r): <S: 0, 128>

    Otisak prsta certifikata koji identificira profil koji želite ukloniti. Dostupne profile za uklanjanje možete vidjeti pokretanjem: 

    Popis profila za prijavu servisa xCommand Security Certificates

Popis profila za prijavu servisa xCommand Security Certificates

Navodi profile upisa za obnovu certifikata.

 xCommand usluge sigurnosnih certifikata Upisni SCEP profili Postavi otisak prsta(r): <S: 0, 128> URL(r): <S: 0, 256>

Dodajte profil za upis za certifikate koje je izdao ca, otisci prstiju da biste za obnovu upotrijebili navedeni URL- SCEP-a.

Obnova

 Skup SCEP profila za xCommand usluge sigurnosnih certifikata

Kako bi automatski obnovio certifikat, uređaj mora imati pristup SCEP URL-u koji može dati otkaz.

Jednom dnevno, uređaj će provjeriti ima li certifikata koji će isteći za 45 dana. Uređaj će zatim pokušati obnoviti te certifikate ako se njihov izdavatelj podudara s profilom.

NAPOMENA: Svi certifikati uređaja provjeravat će se radi obnove, čak i ako certifikat nije izvorno upisan pomoću SCEP-a.

Moreplovac

  1. Izravno upareno: Upisani certifikati mogu se aktivirati kao certifikat "Uparivanje".

  2. Daljinski uparen: recite navigatoru da upiše novi SCEP certifikat pomoću perifernog ID-a:

    xCommand periferni uređaji Usluge sigurnosnih certifikata Zahtjev za upis u SCEP 

    Profili za upis automatski se sinkroniziraju s uparenim navigatorom.

  3. Samostalni navigator: Isto kao i upis kodeka