Sie können Zertifikate über die lokale Weboberfläche des Geräts konfigurieren. Alternativ können Sie Zertifikate hinzufügen, indem Sie den Befehl API ausführen. Um zu sehen, mit welchen Befehlen Sie Zertifikate hinzufügen können, (siehe roomos.cisco.com .

Dienstzertifikate und vertrauenswürdige Zertifizierungsstellen

Eine Überprüfung des Serverzertifikats kann erforderlich sein, wenn Sie TLS (Transport Layer Security) verwenden. Ein Server oder Client kann erfordern, dass das Gerät ein gültiges Zertifikat vorweist, bevor die Kommunikation eingerichtet wird.

Die Zertifikate sind Textdateien, die die Authentizität des Geräts verifizieren. Diese Zertifikate müssen von einer vertrauenswürdigen Zertifizierungsstelle (CA) signiert sein. Um die Signatur der Zertifikate zu überprüfen, muss auf dem Gerät eine Liste vertrauenswürdiger Zertifizierungsstellen vorhanden sein. Die Liste muss alle CAs enthalten, um die Zertifikate sowohl für die Auditprotokollierung als auch für andere Verbindungen zu verifizieren.

Zertifikate werden für die folgenden Dienste verwendet: HTTPS-Server, SIP, IEEE 802.1X und Auditprotokollierung. Sie können mehrere Zertifikate auf dem Gerät speichern, aber nur ein Zertifikat wird zu einem bestimmten Zeitpunkt für jeden Dienst aktiviert.

Wenn Sie unter RoomOS Oktober 2023 und höher einem Gerät ein CA-Zertifikat hinzufügen, wird es auch auf einen Room Navigator angewendet, sofern einer angeschlossen ist. Um die zuvor hinzugefügten CA-Zertifikate mit einem verbundenen Room Navigator zu synchronisieren, müssen Sie das Gerät neu starten. Wenn Sie nicht möchten, dass die Peripheriegeräte dieselben Zertifikate erhalten wie das Gerät, mit dem sie verbunden sind, setzen Sie die Konfiguration Peripherals Security Certificates SyncToPeripherals auf False.

Zuvor gespeicherte Zertifikate werden nicht automatisch gelöscht. Die Einträge in einer neuen Datei mit CA-Zertifikaten werden an die vorhandene Liste angehängt.

Für Wi-Fi-Verbindung

Wir empfehlen, dass Sie für jedes Gerät der Board-, Desk- oder Room-Serie ein vertrauenswürdiges CA-Zertifikat hinzufügen, wenn Ihr Netzwerk die WPA-EAP-Authentifizierung verwendet. Sie müssen dies einzeln für jedes Gerät erledigen und bevor Sie eine Verbindung mit Wi-Fi herstellen.

Um Zertifikate für die Wi-Fi-Verbindung hinzuzufügen, benötigen Sie die folgenden Dateien:

  • CA-Zertifikatliste (Dateiformat: .PEM)

  • Zertifikat (Dateiformat: .PEM)

  • Privater Schlüssel, entweder als eine separate Datei oder in der gleichen Datei wie das Zertifikat enthalten (Dateiformat: .PEM)

  • Passphrase (nur erforderlich, wenn der private Schlüssel verschlüsselt ist)

Das Zertifikat und der private Schlüssel werden in der gleichen Datei auf dem Gerät gespeichert. Wenn die Authentifizierung fehlschlägt, wird die Verbindung nicht hergestellt.

Privater Schlüssel und Passphrase werden nicht auf angeschlossene Peripheriegeräte angewendet.

Zertifikate auf Geräten der Board-, Desk- und Room-Serie hinzufügen

1

Gehen Sie in der Kundenansicht in https://admin.webex.com zur Seite Geräte und wählen Sie Ihr Gerät in der Liste aus. Gehen Sie zu Support und starten Sie Lokale Gerätesteuerung .

Nach der Einrichtung eines Benutzers als Administrator für das Gerät können Sie durch das Öffnen eines Webbrowsers und durch Eingabe von http(s)://<Endpunkt-IP oder Hostname> direkt auf die Weboberfläche zugreifen.

2

Navigieren Sie zu Sicherheit > Zertifikate > Benutzerdefiniert > Zertifikat hinzufügen und laden Sie Ihr(e) CA-Stammzertifikat(e) hoch.

3

Generieren Sie auf openssl einen privaten Schlüssel und eine Zertifikatanforderung. Kopieren Sie den Inhalt der Zertifikatanforderung. Fügen Sie ihn dann ein, um das Serverzertifikat von Ihrer Zertifizierungsstelle (CA) anzufordern.

4

Laden Sie das von Ihrer Zertifizierungsstelle signierte Serverzertifikat herunter. Stellen Sie sicher, dass es im PEM-Format vorliegt.

5

Navigieren Sie zu Sicherheit > Zertifikate > Dienste > Zertifikat hinzufügen und laden Sie den privaten Schlüssel und das Serverzertifikat hoch.

6

Aktivieren Sie die Dienste, die Sie für das gerade hinzugefügte Zertifikat verwenden möchten.

Zertifikatsignieranforderung generieren (CSR)

Administratoren müssen vom Control Hub aus eine Zertifikatsignieranforderung (CSR) für ein in der Cloud registriertes Gerät der Board-, Desk- oder Room-Serie generieren.

Befolgen Sie diese Schritte, um ein CSR zu generieren und ein signiertes Zertifikat auf Ihr Gerät hochzuladen:

  1. Gehen Sie in der Kundenansicht im Control Hub zur Seite „Geräte“ und wählen Sie Ihr Gerät aus der Liste aus.
  2. Navigieren Sie zu Aktionen > xCommand ausführen > Sicherheit > Zertifikate > CSR > Erstellen.
  3. Geben Sie die erforderlichen Zertifikatsdetails ein und wählen Sie „Ausführen“ aus.
  4. Kopieren Sie den gesamten Text zwischen ----BEGIN CERTIFICATE REQUEST---- und ----END CERTIFICATE REQUEST----.
  5. Verwenden Sie einen Certificate Authority (CA) Ihrer Wahl, um den CSR zu unterzeichnen.
  6. Exportieren Sie das signierte Zertifikat im PEM-Format (Base64-codiert).
  7. Öffnen Sie die signierte Zertifikatsdatei in einem Texteditor (z. B. Notepad) und kopieren Sie den gesamten Text zwischen ----BEGIN CERTIFICATE---- und ----END CERTIFICATE----.
  8. Navigieren Sie im Control Hub zu Geräte > wählen Sie Ihr Gerät aus > Aktionen > xCommand ausführen > Sicherheit > Zertifikate > CSR > Link.
  9. Fügen Sie den kopierten Zertifikatsinhalt in den Abschnitt „Text“ ein und wählen Sie „Ausführen“ aus.
  10. Aktualisieren Sie die Seite, um zu überprüfen, ob das Zertifikat unter „vorhandenes Zertifikat“ angezeigt wird.

Einfaches Zertifikatsregistrierungsprotokoll (SCEP)

Simple Certificate Enrollment Protocol (SCEP) bietet einen automatisierten Mechanismus für die Registrierung und Aktualisierung von Zertifikaten, die beispielsweise für die 802.1X-Authentifizierung auf Geräten verwendet werden. Mit SCEP können Sie den Zugriff des Geräts auf sichere Netzwerke ohne manuelles Eingreifen aufrechterhalten.

  • Wenn das Gerät neu ist oder auf die Werkseinstellungen zurückgesetzt wurde, benötigt es Netzwerkzugriff, um die SCEP-URL zu erreichen. Das Gerät muss mit dem Netzwerk ohne 802.1X verbunden werden, um eine IP-Adresse zu erhalten.

  • Wenn Sie eine drahtlose Registrierung SSID verwenden, gehen Sie die Onboarding-Bildschirme durch, um die Verbindung mit dem Netzwerk zu konfigurieren.

  • Sobald Sie mit dem Bereitstellungsnetzwerk verbunden sind, muss sich das Gerät nicht mehr auf einem bestimmten Onboarding-Bildschirm befinden.

  • Um für alle Bereitstellungen geeignet zu sein, speichern die SCEP-Registrierungs-xAPIs nicht das CA-Zertifikat, das zum Signieren des Gerätezertifikats verwendet wird. Zur Serverauthentifizierung muss das CA-Zertifikat, das zur Validierung des Serverzertifikats verwendet wird, mit xCommand Security Certificates CA Add hinzugefügt werden.

Voraussetzungen

Sie benötigen die folgenden Informationen:

  • URL des SCEP-Servers.

  • Fingerabdruck des signierenden CA-Zertifikats (Certificate Authority).

  • Informationen zum Zertifikat zur Einschreibung. Dies ist der Betreffname des Zertifikats.

    • Allgemeiner Name

    • Ländername

    • Name des Staates oder der Provinz

    • Ortsname

    • Name der Organisation

    • Organisationseinheit

  • Der Betreffname wird wie folgt sortiert: /C= /ST= /L= /O= /OU= /CN=

  • Challenge-Passwort des SCEP-Servers, wenn Sie den SCEP-Server so konfiguriert haben, dass ein OTP oder Shared Secret erzwungen wird.

Mit dem folgenden Befehl können Sie die erforderliche Schlüsselgröße für das Schlüsselpaar der Zertifikatsanforderung festlegen. Der Standardwert ist 2048.

 xKonfigurationssicherheitsregistrierungsschlüsselgröße: <2048, 3072, 4096>

Zum Ablauf des Zertifikats senden wir eine Zertifikatsanforderung mit einer Gültigkeit von einem Jahr. Die serverseitige Richtlinie kann das Ablaufdatum während der Zertifikatssignierung ändern.

Ethernet-Verbindung

Wenn ein Gerät mit einem Netzwerk verbunden ist, stellen Sie sicher, dass es auf den SCEP-Server zugreifen kann. Das Gerät muss mit einem Netzwerk ohne 802,1x verbunden sein, um eine IP-Adresse zu erhalten. Die MAC-Adresse des Geräts muss möglicherweise dem Bereitstellungsnetzwerk bereitgestellt werden, um eine IP-Adresse zu erhalten. Die Adresse MAC finden Sie auf der Benutzeroberfläche oder auf dem Etikett auf der Rückseite des Geräts.

Nachdem das Gerät mit dem Netzwerk verbunden ist, können Sie per SSH auf das Gerät zugreifen. Administrator um auf TSH zuzugreifen, führen Sie dann den folgenden Befehl aus, um die SCEP-Registrierungsanforderung zu senden: 

xCommand Security Certificates Services Enrollment SCEP-Anforderung

Sobald der SCEP-Server das signierte Gerätezertifikat zurückgibt, aktivieren Sie 802.1X.

Aktivieren Sie das signierte Zertifikat:

xCommand Sicherheitszertifikate Dienste aktivieren

Starten Sie das Gerät nach der Aktivierung des Zertifikats neu.

Drahtlose Verbindung

Wenn ein Gerät mit einem drahtlosen Netzwerk verbunden ist, stellen Sie sicher, dass es auf den SCEP-Server zugreifen kann.

Nachdem das Gerät mit dem Netzwerk verbunden ist, können Sie per SSH auf das Gerät zugreifen. Administrator um auf TSH zuzugreifen, führen Sie dann den folgenden Befehl aus, um die SCEP-Registrierungsanforderung zu senden: 

xCommand Security Certificates Services Enrollment SCEP-Anforderung

Das Gerät empfängt das signierte Zertifikat vom SCEP-Server.

Aktivieren Sie das signierte Zertifikat: 

xCommand Sicherheitszertifikate Dienste aktivieren

Nach der Aktivierung müssen Sie das Netzwerk Wi-Fi mit der Authentifizierung EAP-TLS konfigurieren. 

xCommand Network Wifi konfigurieren

Standardmäßig überspringt die Konfiguration Wi-Fi die Servervalidierungsprüfungen. Wenn nur eine Einweg-Authentifizierung erforderlich ist, behalten Sie AllowMissingCA standardmäßig WAHR.

Um die Servervalidierung zu erzwingen, stellen Sie sicher, dass die AllowMissingCA Der optionale Parameter ist auf FALSCH. Wenn aufgrund von Dienstvalidierungsfehlern keine Verbindung hergestellt werden kann, überprüfen Sie, ob die richtige Zertifizierungsstelle hinzugefügt wurde, um das Serverzertifikat zu überprüfen, das sich möglicherweise vom Gerätezertifikat unterscheidet.

API Beschreibungen

Rolle: Administrator, Integrator

xCommand Security Certificates Services Enrollment SCEP-Anforderung

Sendet ein CSR zur Signierung an einen bestimmten SCEP-Server. Die CSR SubjectName-Parameter werden in der folgenden Reihenfolge erstellt: C, ST, L, O, OUs, CN.

Parameter:

  • URL(r): <S: 0, 256>

    Die URL-Adresse des SCEP-Servers.

  • Fingerabdruck(r): <S: 0, 128>

    CA-Zertifikat-Fingerabdruck, der die SCEP-Anfrage CSR signiert.

  • CommonName(r): <S: 0, 64>

    Fügt "/CN=" zum Betreffnamen CSR hinzu.

  • ChallengePassword: <S: 0, 256>

    OTP oder Shared Secret vom SCEP-Server für den Zugriff zur Signatur.

  • Ländername: <S: 0, 2>

    Fügt „/C=" zum CSR-Betreffnamen hinzu.

  • Name des Bundesstaats oder der Provinz: <S: 0, 64>

    Fügt "/ST=" zum Betreffnamen CSR hinzu.

  • Ortsname: <S: 0, 64>

    Fügt dem Betreffnamen CSR "/L=" hinzu.

  • Organisationsname: <S: 0, 64>

    Fügt dem Betreffnamen CSR "/O=" hinzu.

  • Organisationseinheit[5]: <S: 0, 64>

    Fügt dem Betreffnamen CSR bis zu 5 "/OU="-Parameter hinzu.

  • SanDns[5]: <S: 0, 64>

    Fügt dem alternativen Betreffnamen DNS bis zu 5 CSR hinzu.

  • SanEmail[5]: <S: 0, 64>

    Fügt dem alternativen Betreffnamen CSR bis zu 5 E-Mail-Parameter hinzu.

  • SanIp[5]: <S: 0, 64>

    Fügt dem alternativen Betreffnamen CSR bis zu 5 IP-Parameter hinzu.

  • SanUri[5]: <S: 0, 64>

    Fügt dem alternativen Betreffnamen URI bis zu 5 CSR hinzu.

xCommand Sicherheitszertifikate Dienste Registrierungsprofile Löschen

Löscht ein Registrierungsprofil, um Zertifikate nicht mehr zu erneuern.

Parameter:

  • Fingerabdruck(r): <S: 0, 128>

    Der Fingerabdruck des CA-Zertifikats, der das zu entfernende Profil identifiziert. Sie können die verfügbaren Profile zum Entfernen anzeigen, indem Sie Folgendes ausführen: 

    Liste der xCommand-Sicherheitszertifikate und -registrierungsprofile

Liste der xCommand-Sicherheitszertifikate und -registrierungsprofile

Listet Registrierungsprofile für die Zertifikatserneuerung auf.

 xCommand-Sicherheitszertifikate Services Registrierung SCEP-Profile Fingerabdruck(r): <S: 0, 128> URL(r): <S: 0, 256>

Fügen Sie ein Registrierungsprofil für Zertifikate hinzu, die vom CA-Fingerabdruck ausgestellt wurden, um die angegebene SCEP-URL für die Erneuerung zu verwenden.

Erneuerung

 xCommand-Sicherheitszertifikate Services Registrierung SCEP-Profilsatz

Damit das Zertifikat automatisch erneuert werden kann, muss das Gerät auf die SCEP-URL zugreifen können, mit der das Zertifikat signiert werden kann.

Einmal täglich sucht das Gerät nach Zertifikaten, die nach 45 Tagen ablaufen. Das Gerät versucht dann, diese Zertifikate zu erneuern, wenn ihr Aussteller mit einem Profil übereinstimmt.

HINWEIS: Alle Gerätezertifikate werden auf Erneuerung überprüft, auch wenn das Zertifikat ursprünglich nicht mit SCEP registriert wurde.

Navigator

  1. Direct Paired: Registrierte Zertifikate können als "Pairing"-Zertifikat aktiviert werden.

  2. Remote gekoppelt: Weisen Sie den Navigator an, ein neues SCEP-Zertifikat mit der ID des Peripheriegeräts zu registrieren:

    xCommand-Peripheriegeräte Sicherheitszertifikate Services Registrierung SCEP-Anforderung 

    Registrierungsprofile werden automatisch mit dem gekoppelten Navigator synchronisiert.

  3. Eigenständiger Navigator: Entspricht der Codec-Registrierung

802,1x-Authentifizierung in Room Navigator konfigurieren

Sie können die 802,1x-Authentifizierung direkt über das Menü "Einstellungen" im Raumnavigator einrichten.

Der Authentifizierungsstandard 802,1x ist besonders wichtig für Ethernet-Netzwerke, da er sicherstellt, dass nur autorisierte Geräte Zugriff auf die Netzwerkressourcen erhalten.

Je nach der in Ihrem Netzwerk konfigurierten Methode EAP stehen verschiedene Anmeldeoptionen zur Verfügung. Zum Beispiel:

  • TLS: Benutzername und Kennwort werden nicht verwendet.
  • PEAP: Zertifikate werden nicht verwendet.
  • TTLS: Benutzername/Kennwort und Zertifikate sind erforderlich. Beides ist nicht optional.

Es gibt mehrere Möglichkeiten, das Clientzertifikat auf einem Gerät abzurufen:

  1. Laden Sie das PEM hoch: Verwenden Sie die Funktion zum Hinzufügen von Sicherheitszertifikaten.
  2. Erstellen Sie die CSR: Generieren Sie eine Zertifikatsignierungsanforderung (CSR), signieren Sie sie, und verknüpfen Sie sie mit Sicherheitszertifikaten CSR Erstellen/Verknüpfen.
  3. SCEP: Verwenden Sie die SCEP-Anforderung für die Registrierung von Sicherheitszertifikaten.
  4. DHCP Option 43: Konfigurieren Sie die Zertifikatszustellung über diese Option.

Die Einrichtung und Aktualisierung der Zertifikate für 802,1x sollte vor dem Koppeln des Raum-Navigators mit einem System oder nach dem Zurücksetzen des Raum-Navigators auf die Werkseinstellungen erfolgen .

Die Standardanmeldeinformationen sind "admin" und "leeres Kennwort". Weitere Informationen zum Hinzufügen von Zertifikaten durch Zugriff auf API finden Sie in der neuesten Version des API Handbuchs .

  1. Öffnen Sie das Bedienfeld im Navigator, indem Sie auf die Schaltfläche oben rechts tippen oder von rechts wischen. Tippen Sie dann auf Geräteeinstellungen.
  2. Gehen Sie zu Netzwerkverbindung und wählen Sie Ethernet .
  3. Aktivieren Sie Use IEEE 802.1X (IEEE 802.1X verwenden).
    • Wenn die Authentifizierung mit Anmeldeinformationen eingerichtet ist, geben Sie die Benutzeridentität und Passphrase ein. Sie können auch eine anonyme Identität eingeben: Dieses optionale Feld bietet eine Möglichkeit, die Identität des tatsächlichen Benutzers von der ursprünglichen Authentifizierungsanforderung zu trennen.
    • Sie können # TLS Verifizieren ein- oder ausschalten. Wenn TLS verify aktiviert ist, überprüft der Client aktiv die Authentizität des Zertifikats des Servers während des TLS Handshakes. Wenn TLS verify deaktiviert ist, führt der Client keine aktive Überprüfung des Zertifikats des Servers durch.
    • Wenn Sie ein Clientzertifikat hochgeladen haben, indem Sie auf API zugreifen, aktivieren Sie Clientzertifikat verwenden.
    • Wählen Sie die Methoden des Extensible Authentication Protocol (EAP) um, die Sie verwenden möchten. Die Wahl der Methode EAP hängt von den spezifischen Sicherheitsanforderungen, der Infrastruktur und den Clientfunktionen ab. EAP-Methoden sind entscheidend, um einen sicheren und authentifizierten Netzwerkzugriff zu ermöglichen.