Ви можете додати сертифікати з локального веб-інтерфейсу пристрою. Крім того, ви можете додати сертифікати, виконавши команди API. Щоб дізнатися, які команди дозволяють додавати сертифікати, див. roomos.cisco.com .

Сертифікати послуг і довірені ЦС

Під час використання TLS (Transport Layer Security) може знадобитися перевірка сертифіката. Сервер або клієнт можуть вимагати, щоб пристрій надав їм дійсний сертифікат перед встановленням зв’язку.

Сертифікати — це текстові файли, які підтверджують автентичність пристрою. Ці сертифікати мають бути підписані довіреним центром сертифікації (CA). Щоб перевірити підпис сертифікатів, на пристрої має міститися список довірених ЦС. Список повинен містити всі центри сертифікації, необхідні для перевірки сертифікатів як для журналювання аудиту, так і для інших з’єднань.

Сертифікати використовуються для таких служб: HTTPS-сервер, SIP, IEEE 802.1X і журнал аудиту. Ви можете зберігати кілька сертифікатів на пристрої, але для кожної служби одночасно активується лише один сертифікат.

У RoomOS жовтня 2023 року та пізніших версіях, коли ви додаєте сертифікат ЦС до пристрою, він також застосовується до Room Navigator, якщо його підключено. Щоб синхронізувати раніше додані сертифікати CA з підключеним Room Navigator, необхідно перезавантажити пристрій. Якщо ви не хочете, щоб периферійні пристрої отримували ті самі сертифікати, що й пристрій, до якого вони підключені, установіть конфігурацію Peripherals Security Certificates SyncToPeripherals на False.

Раніше збережені сертифікати не видаляються автоматично. Записи в новому файлі з сертифікатами ЦС додаються до існуючого списку.

Для підключення Wi-Fi

Ми рекомендуємо вам додати довірений сертифікат ЦС для кожного пристрою Board, Desk або Room Series, якщо ваша мережа використовує автентифікацію WPA-EAP. Ви повинні зробити це окремо для кожного пристрою та перед підключенням до Wi-Fi.

Щоб додати сертифікати для підключення IP, вам потрібні такі файли:

  • Список сертифікатів ЦС (формат файлу: .PEM)

  • Сертифікат (формат файлу: .PEM)

  • Приватний ключ, як окремий файл або включений у той самий файл, що й сертифікат (формат файлу: .PEM)

  • Парольна фраза (потрібна, лише якщо закритий ключ зашифровано)

Сертифікат і закритий ключ зберігаються в одному файлі на пристрої. Якщо автентифікація не вдається, з’єднання не буде встановлено.

Закритий ключ і парольна фраза не застосовуються до підключених периферійних пристроїв.

Додайте сертифікати на пристрої Board, Desk і Room Series

1

У вікні клієнта в https://admin.webex.com перейдіть на сторінку Пристрої і виберіть свій пристрій у списку. Перейдіть до Підтримка та запустіть Керування локальними пристроями .

Якщо ви налаштували локального адміністратора користувача на пристрої, ви можете отримати доступ до веб-інтерфейсу безпосередньо, відкривши веб-переглядач і ввівши https://<endpoint ip або ім’я хосту>.

2

Перейдіть до Security > Certificates > Custom > Add Certificate та завантажте свій Кореневі сертифікати CA.

3

На openssl згенеруйте закритий ключ і запит на сертифікат. Скопіюйте вміст запиту на сертифікат. Потім вставте його, щоб отримати сертифікат сервера від центру сертифікації (CA).

4

Завантажте сертифікат сервера, підписаний вашим ЦС. Переконайтеся, що він у форматі .PEM.

5

Перейдіть до Безпека > Сертифікати > Служби > Додати сертифікат і завантажити закритий ключ і сертифікат сервера.

6

Увімкніть служби, які ви хочете використовувати для сертифіката, який ви щойно додали.

Простий протокол реєстрації сертифікатів (SCEP)

Простий протокол реєстрації сертифікатів (SCEP) забезпечує автоматичний механізм для реєстрації та оновлення сертифікатів, які використовуються, наприклад, для автентифікації 802.1X на пристроях. SCEP дозволяє підтримувати доступ пристрою до захищених мереж без ручного втручання.

  • Якщо пристрій новий або на якому було скинуто заводські налаштування, йому потрібен доступ до мережі, щоб отримати URL-адресу SCEP. Щоб отримати адресу IP, пристрій має бути підключено до мережі без 802.1X.

  • Якщо ви використовуєте бездротову реєстрацію SSID, вам потрібно пройти через екрани реєстрації, щоб налаштувати підключення до мережі.

  • Після того, як ви під’єдналися до мережі ініціалізації, на цьому етапі пристрою не обов’язково бути на певному екрані реєстрації.

  • Щоб відповідати всім розгортанням, SCEP Enrollment xAPI не зберігатиме сертифікат ЦС, який використовується для підпису сертифіката пристрою. Для автентифікації сервера сертифікат ЦС, який використовується для перевірки сертифіката сервера, потрібно додати за допомогою xCommand Security Certificates CA Add.

Необхідні умови

Вам потрібна така інформація:

  • URL-адреса сервера SCEP.

  • Відбиток сертифіката ЦС підпису (Wi-Fi).

  • Інформація про сертифікат для зарахування. Це складає Назва предмета сертифіката.

    • Загальна назва

    • Назва країни

    • Назва штату або провінції

    • Назва населеного пункту

    • Назва організації

    • Організаційний підрозділ

  • Назва суб’єкта буде впорядкована так: /C= /ST= /L= /O= /OU= /CN=

  • Пробний пароль сервера SCEP, якщо ви налаштували сервер SCEP на застосування OTP або загального секрету.

Ви можете встановити необхідний розмір ключа для пари ключів запиту сертифіката за допомогою такої команди. За замовчуванням 2048.

 xConfiguration Security Enrollment KeySize: <2048, 3072, 4096>

Ми надсилаємо запит на сертифікат, дійсний протягом одного року для закінчення терміну дії сертифіката. Політика на стороні сервера може змінити дату закінчення терміну дії під час підписання сертифіката.

Ethernet підключення

Коли пристрій підключено до мережі, переконайтеся, що він має доступ до сервера SCEP. Щоб отримати адресу IP, пристрій має бути підключено до мережі без 802.1x. Можливо, для отримання адреси MAC у мережу підготовки потрібно буде надати адресу пристрою MAC. Адресу MAC можна знайти в інтерфейсі користувача або на етикетці на задній панелі пристрою.

Після того, як пристрій підключено до мережі, ви можете SSH до пристрою як адмін щоб отримати доступ до TSH, виконайте таку команду, щоб надіслати запит SCEP на реєстрацію: 

Запит SCEP на реєстрацію сертифікатів безпеки xCommand

Коли сервер SCEP поверне підписаний сертифікат пристрою, активуйте 802.1X.

Активуйте підписаний сертифікат:

Активація служб сертифікатів безпеки xCommand

Перезавантажте пристрій після активації сертифіката.

Бездротове підключення

Коли пристрій підключено до бездротової мережі, переконайтеся, що він має доступ до сервера SCEP.

Після того, як пристрій підключено до мережі, ви можете SSH до пристрою як адмін щоб отримати доступ до TSH, виконайте таку команду, щоб надіслати запит SCEP на реєстрацію: 

Запит SCEP на реєстрацію сертифікатів безпеки xCommand

Пристрій отримує підписаний сертифікат від сервера SCEP.

Активуйте підписаний сертифікат: 

Активація служб сертифікатів безпеки xCommand

Після активації вам потрібно налаштувати Wi-Fi мережу з EAP-TLS автентифікацією. 

Налаштування мережі Wi-Fi xCommand

За замовчуванням конфігурація Wi-Fi пропускає перевірки сервера. Якщо потрібна лише одностороння автентифікація, збережіть AllowMissingCA за замовчуванням правда.

Щоб примусово перевірити сервер, переконайтеся, що AllowMissingCA необов'язковий параметр має значення Неправда. Якщо підключення не вдається встановити через помилки перевірки служби, перевірте, чи додано правильний ЦС, щоб перевірити сертифікат сервера, який може відрізнятися від сертифіката пристрою.

API описи

Посада: адміністратор, інтегратор

Запит SCEP на реєстрацію сертифікатів безпеки xCommand

Надсилає CSR на певний сервер SCEP для підписання. Параметри CSR SubjectName буде створено в такому порядку: C, ST, L, O, OUs, CN.

Параметри:

  • URL(r): <S: 0, 256>

    URL-адреса сервера SCEP.

  • Відбиток пальця (r): <S: 0, 128>

    Відбиток сертифіката ЦС, який підпише запит SCEP CSR.

  • Загальна назва(r): <S: 0, 64>

    Додає "/CN=" до назви суб'єкта CSR.

  • ChallengePassword: <S: 0, 256>

    OTP або спільний секрет із сервера SCEP для доступу до підпису.

  • Назва країни: <S: 0, 2>

    Додає "/C=" до імені суб'єкта CSR.

  • StateOrProvinceName: <S: 0, 64>

    Додає "/ST=" до назви суб'єкта CSR.

  • Назва населеного пункту: <S: 0, 64>

    Додає "/L=" до назви суб'єкта CSR.

  • Назва організації: <S: 0, 64>

    Додає "/O=" до назви суб'єкта CSR.

  • Організаційний підрозділ[5]: <S: 0, 64>

    Додає до 5 параметрів "/OU=" до імені суб'єкта CSR.

  • SanDns[5]: <S: 0, 64>

    Додає до 5 параметрів DNS до альтернативної назви суб’єкта CSR.

  • SanEmail[5]: <S: 0, 64>

    Додає до 5 параметрів електронної пошти до альтернативної назви теми CSR.

  • SanIp[5]: <S: 0, 64>

    Додає до 5 параметрів Ip до альтернативної назви суб’єкта CSR.

  • SanUri[5]: <S: 0, 64>

    Додає до 5 параметрів URI до CSR альтернативної назви суб’єкта.

Сертифікати безпеки xCommand Профілі реєстрації служб Видалити

Видаляє профіль реєстрації, щоб більше не поновлювати сертифікати.

Параметри:

  • Відбиток пальця (r): <S: 0, 128>

    Відбиток сертифіката ЦС, який ідентифікує профіль, який ви хочете видалити. Ви можете переглянути доступні профілі для видалення, виконавши: 

    Список профілів реєстрації сертифікатів безпеки xCommand

Список профілів реєстрації сертифікатів безпеки xCommand

Перераховує профілі реєстрації для поновлення сертифіката.

 xCommand Security Certificates Services Enrollment SCEP Profiles Set Fingerprint(r): <S: 0, 128> URL(r): <S: 0, 256>

Додайте профіль реєстрації для сертифікатів, виданих ЦС, щоб використовувати вказану URL-адресу SCEP для поновлення.

Оновлення

 Сертифікати безпеки xCommand Реєстрація набір профілів SCEP

Щоб автоматично поновити сертифікат, пристрій повинен мати доступ до URL-адреси SCEP, яка може скинути сертифікат.

Раз на день пристрій перевірятиме наявність сертифікатів, термін дії яких закінчиться через 45 днів. Потім пристрій спробує оновити ці сертифікати, якщо їхній видавець збігається з профілем.

ПРИМІТКА. Усі сертифікати пристрою перевірятимуться на оновлення, навіть якщо сертифікат спочатку не було зареєстровано за допомогою SCEP.

Навігатор

  1. Пряме з’єднання: зареєстровані сертифікати можна активувати як сертифікат «З’єднання».

  2. Remote Paired: Скажіть навігатору зареєструвати новий сертифікат SCEP за допомогою ідентифікатора периферійного пристрою:

    xCommand Периферійні пристрої Сертифікати безпеки Запит на реєстрацію SCEP 

    Профілі реєстрації автоматично синхронізуються з парним навігатором.

  3. Автономний навігатор: те саме, що й реєстрація кодеків