Certifikate lahko dodate iz lokalnega spletnega vmesnika naprave. Potrdila lahko dodate tudi tako, da zaženete API ukaze. Če si želite ogledati, kateri ukazi omogočajo dodajanje potrdil, glejte roomos.cisco.com .

Potrdila o storitvah in zaupanja vredni pristojni organi

Pri uporabi TLS (Transport Layer Security) bo morda potrebno preverjanje veljavnosti potrdila. Strežnik ali odjemalec lahko zahteva, da mu naprava pred nastavitvijo komunikacije predloži veljaven certifikat.

Potrdila so besedilne datoteke, ki preverjajo pristnost naprave. Ta potrdila mora podpisati zaupanja vreden overitelj digitalnih potrdil (CA). Če želite preveriti podpis potrdil, mora biti v napravi seznam zaupanja vrednih pristojnih organov. Seznam mora vključevati vse pristojne organe, potrebne za preverjanje potrdil za dnevnik revizije in druge povezave.

Certifikati se uporabljajo za te storitve: strežnik HTTPS, SIP, IEEE 802.1X in beleženje nadzora. V napravo lahko shranite več potrdil, vendar je za vsako storitev hkrati omogočeno le eno potrdilo.

V sistemu RoomOS oktobra 2023 in pozneje, ko v napravo dodate potrdilo CA, se uporabi tudi za sobno navigacijo, če je ta povezana. Če želite predhodno dodana potrdila overiteljev potrdil sinhronizirati s povezanim orodjem Room Navigator, morate znova zagnati napravo. Če ne želite, da zunanje naprave prejemajo enaka potrdila kot naprava, s katero je povezana, nastavite konfiguracijo Zunanja varnostna potrdila SyncToPeripherals na False.

Predhodno shranjena potrdila se ne izbrišejo samodejno. Vnosi v novi datoteki s potrdili overiteljev potrdil so dodani obstoječemu seznamu.

Za Wi-Fi povezavo

Priporočamo, da dodate zaupanja vredno potrdilo overiteljev potrdil za vsako napravo Board, Desk ali Room Series, če vaše omrežje uporablja preverjanje pristnosti WPA-EAP. To morate storiti posamezno za vsako napravo in preden vzpostavite povezavo z Wi-Fi.

Če želite dodati potrdila za povezavo Wi-Fi, potrebujete te datoteke:

  • Seznam certifikatov CA (oblika datoteke: . PEM)

  • Potrdilo (oblika datoteke: . PEM)

  • Zasebni ključ, kot ločena datoteka ali vključen v isto datoteko kot potrdilo (oblika zapisa datoteke: . PEM)

  • Geslo (potrebno samo, če je zasebni ključ šifriran)

Potrdilo in zasebni ključ sta shranjena v isti datoteki v napravi. Če preverjanje pristnosti ne uspe, povezava ne bo vzpostavljena.

Zasebni ključ in geslo nista uporabljena za povezane zunanje naprave.

Dodajanje certifikatov v naprave v napravi, na mizi in v seriji sob

1

V pogledu stranke v https://admin.webex.com pojdite na stran Naprave in na seznamu izberite svojo napravo. Pojdite na Podpora in zaženite lokalne kontrolnike naprav.

Če ste v napravi nastavili lokalnega skrbnika , lahko do spletnega vmesnika dostopate neposredno tako, da odprete spletni brskalnik in vnesete https://<endpoint ip ali ime gostitelja>.

2

Pomaknite se do možnosti Security > Certificates >Custom > Add Certificate in naložite korenska potrdila overiteljev potrdil.

3

Na openssl ustvarite zasebni ključ in zahtevo za potrdilo. Kopirajte vsebino zahteve za potrdilo. Nato ga prilepite, da zahtevate strežniško potrdilo od overitelja digitalnih potrdil (CA).

4

Prenesite strežniško potrdilo, ki ga je podpisal vaš CA. Prepričajte se, da je v . PEM format.

5

Pomaknite se do razdelka Security > Certificates >Services > Add Certificate ter prenesite zasebni ključ in strežniško potrdilo.

6

Omogočite storitve, ki jih želite uporabljati za pravkar dodano potrdilo.

Preprost protokol za vpis certifikatov (SCEP)

Simple Certificate Enrollment Protocol (SCEP) zagotavlja samodejni mehanizem za vpis in osvežitev potrdil, ki se na primer uporabljajo za preverjanje pristnosti 802.1X v napravah. SCEP vam omogoča, da ohranite dostop naprave do varnih omrežij brez ročnega posredovanja.

  • Ko je naprava nova ali je bila ponastavljena na tovarniške nastavitve, potrebuje omrežni dostop, da doseže URL SCEP. Če želite pridobiti IP naslov, mora biti naprava povezana z omrežjem brez 802.1X.

  • Če uporabljate SSID brezžične včlanitve, morate iti skozi zaslone za uvajanje, da konfigurirate povezavo z omrežjem.

  • Ko imate vzpostavljeno povezavo z omrežjem za omogočanje uporabe, na tej stopnji ni treba, da je naprava na določenem zaslonu za uvajanje.

  • Za vse uvedbe xAPI-ji SCEP Enrollment ne bodo shranili potrdila overitelja, ki se uporablja za podpis potrdila naprave. Za preverjanje pristnosti strežnika je treba certifikat overitelja, ki se uporablja za preverjanje veljavnosti certifikata strežnika, dodati s potrdilom xCommand Security Certificate CA Add.

Predpogoji

Potrebujete naslednje informacije:

  • URL strežnika SCEP.

  • Prstni odtis podpisanega certifikata CA (Certificate Authority).

  • Podatki o potrdilu za vpis. To sestavlja ime predmeta potrdila.

    • Splošno ime

    • Ime države

    • Ime države ali province

    • Ime kraja

    • Ime organizacije

    • Organizacijska enota

  • Ime subjekta bo razvrščeno kot /C= /ST= /L= /O = /OU= /CN=

  • Geslo za izziv strežnika SCEP, če ste strežnik SCEP konfigurirali tako, da uveljavlja OTP ali skupno skrivnost.

Želeno velikost ključa za ključ zahteve za potrdilo lahko nastavite z naslednjim ukazom. Privzeta vrednost je 2048.

 xConfiguration Security Enrollment KeySize: <2048, 3072, 4096>

Pošljemo zahtevo za potrdilo, ki velja eno leto, da certifikat poteče. Strežniški pravilnik lahko spremeni datum poteka veljavnosti med podpisovanjem potrdila.

Ethernetna povezava

Ko je naprava povezana z omrežjem, se prepričajte, da lahko dostopa do strežnika SCEP. Če želite pridobiti IP naslov, mora biti naprava povezana z omrežjem brez 802.1x. Za pridobitev IP naslova bo morda treba omrežju za zagotavljanje uporabe posredovati MAC naslov naprave. Naslov MAC najdete na uporabniškem vmesniku ali na nalepki na zadnji strani naprave.

Ko je naprava povezana z omrežjem, lahko SSH na napravo SSH kot skrbnik za dostop do TSH, nato pa zaženite naslednji ukaz, da pošljete zahtevo za vpis SCEP: 

xCommand Security Certificates Services Enroll Zahteva SCEP

Ko strežnik SCEP vrne podpisano potrdilo o napravi, aktivirajte 802.1X.

Aktivirajte podpisano potrdilo:

Storitve xCommand varnostnih potrdil Aktiviranje

Po aktiviranju certifikata znova zaženite napravo.

Brezžična povezava

Ko je naprava povezana z brezžičnim omrežjem, se prepričajte, da lahko dostopa do strežnika SCEP.

Ko je naprava povezana z omrežjem, lahko SSH na napravo SSH kot skrbnik za dostop do TSH, nato pa zaženite naslednji ukaz, da pošljete zahtevo za vpis SCEP: 

xCommand Security Certificates Services Enroll Zahteva SCEP

Naprava prejme podpisano potrdilo s strežnika SCEP.

Aktivirajte podpisano potrdilo: 

Storitve xCommand varnostnih potrdil Aktiviranje

Po aktiviranju morate Wi-Fi omrežje konfigurirati s preverjanjem pristnosti EAP-TLS. 

Konfiguracija omrežja xCommand Wifi

Konfiguracija Wi-Fi privzeto preskoči preverjanje veljavnosti strežnika. Če je zahtevano samo enosmerno preverjanje pristnosti, naj bo AllowMissingCA privzeto nastavljena na True.

Če želite vsiliti preverjanje veljavnosti strežnika, se prepričajte, da je izbirni parameter AllowMissingCA nastavljen na False. Če povezave ni mogoče vzpostaviti zaradi napak pri preverjanju storitve, preverite, ali je bil dodan pravilen CA, da preverite potrdilo strežnika, ki se morda razlikuje od potrdila naprave.

API opisi

Vloga: skrbnik, integrator

Zahteva SCEP za vpis varnostnih potrdil xCommand

Pošlje CSR danemu strežniku SCEP v podpis. Parametri CSR SubjectName bodo sestavljeni v naslednjem vrstnem redu: C, ST, L, O, OUs, CN.

Parametri:

  • URL(r): <S: 0, 256>

    Naslov URL strežnika SCEP.

  • Prstni odtis(r): <S: 0, 128>

    Prstni odtis potrdila CA, ki bo podpisal zahtevo SCEP CSR.

  • Splošno ime(r): <S: 0, 64>

    Imenu subjekta CSR doda "/CN=".

  • Geslo za izziv: <S: 0, 256>

    OTP ali Shared Secret iz strežnika SCEP za dostop do podpisa.

  • Ime države: <S: 0, 2>

    Imenu subjekta CSR doda "/C=".

  • Ime države ali province: <S: 0, 64>

    Imenu subjekta CSR doda "/ST=".

  • Ime kraja: <S: 0, 64>

    Imenu subjekta CSR doda "/L=".

  • Ime organizacije: <S: 0, 64>

    Imenu subjekta CSR doda "/O=".

  • Organizacijska enota[5]: <S: 0, 64>

    Ime subjekta CSR doda do 5 parametrov "/OU=".

  • SanDns[5]: <S: 0, 64>

    Doda do 5 parametrov Dns nadomestnemu imenu subjekta CSR.

  • SanEmail[5]: <S: 0, 64>

    Doda do 5 e-poštnih parametrov nadomestnemu imenu predmeta CSR.

  • SanIp[5]: <S: 0, 64>

    Doda do 5 parametrov Ip nadomestnemu imenu subjekta CSR.

  • SanUri[5]: <S: 0, 64>

    Doda do 5 parametrov Uri nadomestnemu imenu subjekta CSR.

Varnostna potrdila xCommand Profili včlanitve storitev Izbriši

Izbriše vpisni profil, da ne bo več obnavljal potrdil.

Parametri:

  • Prstni odtis(r): <S: 0, 128>

    Prstni odtis potrdila CA, ki identificira profil, ki ga želite odstraniti. Razpoložljive profile za odstranitev si lahko ogledate tako, da zaženete: 

    Seznam včlanitvenih profilov storitev varnostnih potrdil xCommand

Seznam včlanitvenih profilov storitev varnostnih potrdil xCommand

Navede vpisne profile za obnovo certifikata.

 xCommand Varnostna potrdila Storitve Vpis Profili SCEP Nastavite prstni odtis(r): <S: 0, 128> URL(r): <S: 0, 256>

Dodajte vpisni profil za potrdila, ki jih je izdal prstni odtis CA, če želite za podaljšanje uporabiti dani URL SCEP.

Obnova

 xCommand Security Certificates Services Enrollment SCEP Profiles Set

Če želite samodejno obnoviti potrdilo, mora naprava imeti možnost dostopa do URL-ja SCEP, ki lahko odstopi potrdilo.

Enkrat dnevno bo naprava preverila potrdila, ki bodo potekla po 45 dneh. Naprava bo nato poskusila obnoviti ta potrdila, če se njihov izdajatelj ujema s profilom.

OPOMBA: vsa potrdila naprave bodo preverjena za obnovitev, tudi če potrdilo prvotno ni bilo vpisano s SCEP.

Navigator

  1. Neposredno seznanjeno: vpisana potrdila je mogoče aktivirati kot potrdilo »seznanjanje«.

  2. Seznanjeno na daljavo: Povejte navigatorju, naj vpiše novo potrdilo SCEP z uporabo ID-ja zunanje naprave:

    xCommand Periferne naprave Varnostna potrdila Storitve Vpis SCEP Zahteva 

    Profili za vpis se samodejno sinhronizirajo s seznanjenim navigatorjem.

  3. Samostojni navigator: Enako kot vpis kodeka