Certyfikaty można dodawać z poziomu lokalnego interfejsu sieciowego urządzenia. Alternatywnie możesz dodać certyfikaty, uruchamiając polecenia API. Aby sprawdzić, które polecenia umożliwiają dodawanie certyfikatów, zobacz roomos.cisco.com .

Certyfikaty usług i zaufane urzędy certyfikacji

Walidacja certyfikatów może być wymagana w przypadku korzystania z TLS (Transport Layer Security). Serwer lub klient może wymagać, aby urządzenie przedstawiło mu ważny certyfikat przed nawiązaniem komunikacji.

Certyfikaty są plikami tekstowymi, które weryfikują autentyczność urządzenia. Certyfikaty te muszą być podpisane przez zaufany urząd certyfikacji (CA). Aby zweryfikować podpis certyfikatów, na urządzeniu musi znajdować się lista zaufanych urzędów certyfikacji. Lista musi zawierać wszystkie CA potrzebne do weryfikacji certyfikatów zarówno dla logowania audytowego jak i innych połączeń.

Certyfikaty są używane dla następujących usług: Serwer HTTPS, SIP, IEEE 802.1X oraz logowanie audytu. W urządzeniu można przechowywać kilka certyfikatów, ale w danym momencie dla każdej usługi jest włączony tylko jeden.

W RoomOS z października 2023 r. i nowszych, gdy dodasz certyfikat CA do urządzenia, zostanie on również zastosowany do Nawigatora pomieszczeń, jeśli jest podłączony. Aby zsynchronizować wcześniej dodane certyfikaty CA z podłączonym Room Navigatorem, należy ponownie uruchomić urządzenie. Jeśli nie chcesz, aby urządzenia peryferyjne otrzymywały te same certyfikaty co urządzenie, z którym są połączone, ustaw konfigurację Certyfikaty zabezpieczeń urządzeń peryferyjnych SyncToPeripherals na wartość False.

Wcześniej zapisane certyfikaty nie są automatycznie usuwane. Wpisy w nowym pliku z certyfikatami CA są dołączane do istniejącej listy.

Do połączenia Wi-Fi

Zalecamy dodanie certyfikatu zaufanego urzędu certyfikacji dla każdego urządzenia z serii Board, Desk lub Room, jeśli sieć korzysta z uwierzytelniania WPA-EAP. Musisz to zrobić indywidualnie dla każdego urządzenia i przed połączeniem z siecią Wi-Fi.

Aby dodać certyfikaty dla połączenia Wi-Fi, potrzebne są następujące pliki:

  • Lista certyfikatów CA (format pliku: .PEM)

  • Certyfikat (format pliku: .PEM)

  • Klucz prywatny, albo jako osobny plik, albo zawarty w tym samym pliku co certyfikat (format pliku: .PEM)

  • Hasło (wymagane tylko wtedy, gdy klucz prywatny jest zaszyfrowany)

Certyfikat i klucz prywatny są przechowywane w tym samym pliku na urządzeniu. Jeśli uwierzytelnienie nie powiedzie się, połączenie nie zostanie nawiązane.

Klucz prywatny i hasło nie są stosowane do podłączonych urządzeń peryferyjnych.

Dodawanie certyfikatów do urządzeń z serii Board, Desk i Room

1

W widoku klienta w https://admin.webex.com przejdź do strony Urządzenia i wybierz swoje urządzenie z listy. Przejdź do strony Obsługa i uruchom Lokalne kontrolki urządzeń.

Jeśli w urządzeniu skonfigurowano użytkownika lokalnego administratora, można uzyskać bezpośredni dostęp do interfejsu sieciowego, otwierając przeglądarkę internetową i wpisując http(s)://<punkt końcowy lub nazwa hosta>.

2

Przejdź do Zabezpieczenia > Certyfikaty > Własne > Dodaj certyfikat i załaduj certyfikat główny CA.

3

W openssl wygeneruj klucz prywatny i żądanie certyfikatu. Skopiuj treść żądania certyfikatu. Następnie wklej ją, aby zażądać certyfikatu serwera od swojego urzędu certyfikacji (CA).

4

Pobierz certyfikat serwera podpisany przez urząd certyfikacji. Upewnij się, że znajduje się on w folderze . Format PEM.

5

Przejdź do Zabezpieczenia > Certyfikaty > Usługi > Dodaj certyfikat i załaduj klucz prywatny oraz certyfikat serwera.

6

Włącz usługi, których chcesz używać dla właśnie dodanego certyfikatu.

Protokół SCEP (Simple Certificate Enrollment Protocol)

Protokół SCEP (Simple Certificate Enrollment Protocol) zapewnia zautomatyzowany mechanizm rejestrowania i odświeżania certyfikatów, które są używane na przykład uwierzytelnianie 802.1X na urządzeniach. SCEP umożliwia utrzymanie dostępu urządzenia do bezpiecznych sieci bez konieczności ręcznej interwencji.

  • Gdy urządzenie jest nowe lub zostało zresetowane do ustawień fabrycznych, potrzebuje dostępu do sieci, aby uzyskać dostęp do adresu URL protokołu SCEP. Aby uzyskać adres IP, urządzenie powinno być podłączone do sieci bez standardu 802.1X.

  • W przypadku korzystania z identyfikatora SSID rejestracji sieci bezprzewodowej należy przejść przez ekrany wprowadzania, aby skonfigurować połączenie z siecią.

  • Po nawiązaniu połączenia z siecią aprowizacji urządzenie nie musi znajdować się na określonym ekranie dołączania na tym etapie.

  • Aby dopasować się do wszystkich wdrożeń, interfejsy xAPI rejestracji SCEP nie będą przechowywać certyfikatu urzędu certyfikacji, który jest używany do podpisywania certyfikatu urządzenia. W celu uwierzytelnienia serwera należy dodać certyfikat CA używany do sprawdzania poprawności certyfikatu serwera za pomocą polecenia xCommand Security Certificates CA Add.

Wymagania wstępne

Potrzebne są następujące informacje:

  • Adres URL serwera SCEP.

  • Odcisk palca certyfikatu urzędu certyfikacji (Certificate Authority) podpisującego.

  • Informacje o certyfikacie, który należy zapisać. Składa się to na nazwę podmiotu certyfikatu.

    • Nazwa zwyczajowa

    • Nazwa kraju

    • Nazwa stanu lub prowincji

    • Nazwa miejscowości

    • Nazwa organizacji

    • Jednostka organizacyjna

  • Nazwa tematu będzie uporządkowana jako /C= /ST= /L= /O= /OU= /CN=

  • Hasło wyzwania serwera SCEP, jeśli serwer SCEP został skonfigurowany do wymuszania hasła jednorazowego lub wspólnego hasła.

Możesz ustawić wymagany rozmiar klucza dla pary kluczy żądania certyfikatu za pomocą następującego polecenia. Wartość domyślna to 2048.

 xConfiguration Security Enrollment KeySize: <2048, 3072, 4096>

Wysyłamy prośbę o certyfikat, który jest ważny przez rok przed wygaśnięciem certyfikatu. Zasady po stronie serwera mogą zmieniać datę wygaśnięcia podczas podpisywania certyfikatu.

Połączenie Ethernet

Gdy urządzenie jest połączone z siecią, upewnij się, że może uzyskać dostęp do serwera SCEP. Aby uzyskać adres IP, urządzenie powinno być podłączone do sieci bez standardu 802.1x. Może być konieczne podanie adresu MAC urządzenia do sieci informacyjnej w celu uzyskania adresu IP. Adres MAC można znaleźć w interfejsie użytkownika lub na etykiecie z tyłu urządzenia.

Po nawiązaniu połączenia urządzenia z siecią możesz połączyć się z urządzeniem za pomocą protokołu SSH jako administrator , aby uzyskać dostęp do usługi TSH, a następnie uruchomić następujące polecenie, aby wysłać żądanie rejestracji SCEP: 

xCommand Security Certificates Services Enrollment Request SCEP

Gdy serwer SCEP zwróci podpisany certyfikat urządzenia, aktywuj protokół 802.1X.

Aktywuj podpisany certyfikat:

Aktywacja usług certyfikatów bezpieczeństwa xCommand

Uruchom ponownie urządzenie po aktywowaniu certyfikatu.

Połączenie bezprzewodowe

Gdy urządzenie jest połączone z siecią bezprzewodową, upewnij się, że może uzyskać dostęp do serwera SCEP.

Po nawiązaniu połączenia urządzenia z siecią możesz połączyć się z urządzeniem za pomocą protokołu SSH jako administrator , aby uzyskać dostęp do usługi TSH, a następnie uruchomić następujące polecenie, aby wysłać żądanie rejestracji SCEP: 

xCommand Security Certificates Services Enrollment Request SCEP

Urządzenie odbiera podpisany certyfikat z serwera SCEP.

Aktywuj podpisany certyfikat: 

Aktywacja usług certyfikatów bezpieczeństwa xCommand

Po aktywacji należy skonfigurować sieć Wi-Fi z uwierzytelnianiem EAP-TLS. 

Konfiguracja sieci Wi-Fi xCommand

Domyślnie konfiguracja sieci Wi-Fi pomija sprawdzanie poprawności serwera. Jeśli wymagane jest tylko uwierzytelnianie jednokierunkowe, zachowaj wartość domyślną AllowMissingCA na wartość True.

Aby wymusić weryfikację serwera, upewnij się, że opcjonalny parametr AllowMissingCA jest ustawiony na wartość False. Jeśli nie można nawiązać połączenia z powodu błędów sprawdzania poprawności usługi, sprawdź, czy dodano prawidłowy urząd certyfikacji w celu zweryfikowania certyfikatu serwera, który może być inny niż certyfikat urządzenia.

Opisy API

Rola: Administrator, Integrator

xCommand Security Certificates Services Enrollment Request SCEP

Wysyła CSR do danego serwera SCEP w celu podpisania. Parametry CSR SubjectName zostaną skonstruowane w następującej kolejności: C, ST, L, O, Os, CN.

Parametry:

  • Adres URL: <S: 0, 256>

    Adres URL serwera SCEP.

  • Odcisk palca (r): <S: 0, 128>

    Odcisk palca certyfikatu urzędu certyfikacji, który podpisze żądanie CSR protokołu SCEP.

  • Nazwa pospolita(r): <S: 0, 64>

    Dodaje ciąg "/CN=" do nazwy podmiotu CSR.

  • Hasło wyzwania: <S: 0, 256>

    OTP lub Shared Secret z serwera SCEP w celu uzyskania dostępu do podpisania.

  • Nazwa kraju: <S: 0, 2>

    Dodaje ciąg "/C=" do nazwy podmiotu CSR.

  • StateOrProvinceName: <S: 0, 64>

    Dodaje ciąg "/ST=" do nazwy podmiotu CSR.

  • MiejscowośćNazwa: <S: 0, 64>

    Dodaje znak "/l=" do nazwy podmiotu CSR.

  • Nazwa organizacji: <S: 0, 64>

    Dodaje znak "/o=" do nazwy podmiotu CSR.

  • Jednostka organizacyjna[5]: <S: 0, 64>

    Dodaje do 5 parametrów "/OU=" do nazwy podmiotu CSR.

  • SanDns[5]: <S: 0, 64>

    Dodaje maksymalnie 5 parametrów DNS do alternatywnej nazwy podmiotu CSR.

  • SanEmail[5]: <S: 0, 64>

    Dodaje maksymalnie 5 parametrów poczty e-mail do alternatywnej nazwy podmiotu CSR.

  • SanIp[5]: <S: 0, 64>

    Dodaje maksymalnie 5 parametrów IP do alternatywnej nazwy podmiotu CSR.

  • SanUri[5]: <S: 0, 64>

    Dodaje maksymalnie 5 parametrów identyfikatora URI do alternatywnej nazwy podmiotu CSR.

xCommand Certyfikaty zabezpieczeń Usługi Rejestrowanie Profile Usuń

Usuwa profil rejestracji, aby nie odnawiać już certyfikatów.

Parametry:

  • Odcisk palca (r): <S: 0, 128>

    Odcisk palca certyfikatu CA identyfikujący profil, który chcesz usunąć. Możesz zobaczyć dostępne profile do usunięcia, uruchamiając polecenie: 

    xCommand Security Certificates Services Enrollment Profiles Lista profilów rejestracji

xCommand Security Certificates Services Enrollment Profiles Lista profilów rejestracji

Wyświetla listę profilów rejestracji do odnawiania certyfikatów.

 xCommand Security Certificates Services Enrollment SCEP Profiles Set Fingerprint(r): <S: 0, 128> URL(r): <S: 0, 256>

Dodaj profil rejestracji dla certyfikatów wystawionych przez odcisk palca urzędu certyfikacji, aby używać podanego adresu URL protokołu SCEP do odnawiania.

Odnowienie

 xCommand Security Certificates Services Enrollment SCEP Profiles Set

Aby automatycznie odnowić certyfikat, urządzenie musi mieć dostęp do adresu URL protokołu SCEP, który może zrezygnować z certyfikatu.

Raz dziennie urządzenie będzie sprawdzać, czy nie ma certyfikatów, które wygasną po 45 dniach. Urządzenie podejmie następnie próbę odnowienia tych certyfikatów, jeśli ich wystawca jest zgodny z profilem.

UWAGA: Wszystkie certyfikaty urządzeń zostaną sprawdzone pod kątem odnowienia, nawet jeśli certyfikat nie został pierwotnie zarejestrowany przy użyciu protokołu SCEP.

Nawigator

  1. Bezpośrednie sparowanie: zarejestrowane certyfikaty można aktywować jako certyfikaty "Parowanie".

  2. Zdalne sparowanie: Poleć nawigatorowi, aby zarejestrował nowy certyfikat SCEP przy użyciu identyfikatora urządzenia peryferyjnego:

    Urządzenia peryferyjne xCommand Certyfikaty zabezpieczeń Żądanie rejestracji usług SCEP 

    Profile rejestracji są automatycznie synchronizowane ze sparowanym nawigatorem.

  3. Autonomiczny program Navigator: taki sam jak rejestrowanie kodeków