Sie können Zertifikate über die lokale Weboberfläche des Geräts konfigurieren. Alternativ können Sie Zertifikate hinzufügen, indem Sie API Befehle ausführen. Informationen dazu, mit welchen Befehlen Sie Zertifikate hinzufügen können, finden Sie unter roomos.cisco.com .

Dienstzertifikate und vertrauenswürdige Zertifizierungsstellen

Eine Überprüfung des Serverzertifikats kann erforderlich sein, wenn Sie TLS (Transport Layer Security) verwenden. Ein Server oder Client kann erfordern, dass das Gerät ein gültiges Zertifikat vorweist, bevor die Kommunikation eingerichtet wird.

Die Zertifikate sind Textdateien, die die Authentizität des Geräts verifizieren. Diese Zertifikate müssen von einer vertrauenswürdigen Zertifizierungsstelle (CA) signiert sein. Um die Signatur der Zertifikate zu überprüfen, muss sich eine Liste vertrauenswürdiger Zertifizierungsstellen auf dem Gerät befinden. Die Liste muss alle CAs enthalten, um die Zertifikate sowohl für die Auditprotokollierung als auch für andere Verbindungen zu verifizieren.

Zertifikate werden für die folgenden Dienste verwendet: HTTPS-Server, SIP, IEEE 802.1X und Auditprotokollierung. Sie können mehrere Zertifikate auf dem Gerät speichern, aber nur ein Zertifikat wird zu einem bestimmten Zeitpunkt für jeden Dienst aktiviert.

Wenn Sie unter RoomOS Oktober 2023 und höher einem Gerät ein CA-Zertifikat hinzufügen, wird es auch auf einen Room Navigator angewendet, falls einer verbunden ist. Um die zuvor hinzugefügten CA-Zertifikate mit einem angeschlossenen Room Navigator zu synchronisieren, müssen Sie das Gerät neu starten. Wenn Sie nicht möchten, dass die Peripheriegeräte die gleichen Zertifikate wie das Gerät erhalten, mit dem sie verbunden sind, legen Sie die Konfiguration Peripherie-Sicherheitszertifikate SyncToPeripherals auf False fest.

Zuvor gespeicherte Zertifikate werden nicht automatisch gelöscht. Die Einträge in einer neuen Datei mit CA-Zertifikaten werden an die vorhandene Liste angehängt.

Für Wi-Fi Verbindung

Wir empfehlen Ihnen, für jedes Board-, Desk- oder Room Series-Gerät ein vertrauenswürdiges CA-Zertifikat hinzuzufügen, wenn Ihr Netzwerk die WPA-EAP-Authentifizierung verwendet. Sie müssen dies einzeln für jedes Gerät erledigen und bevor Sie eine Verbindung mit Wi-Fi herstellen.

Um Zertifikate für die Wi-Fi-Verbindung hinzuzufügen, benötigen Sie die folgenden Dateien:

  • CA-Zertifikatliste (Dateiformat: .PEM)

  • Zertifikat (Dateiformat: .PEM)

  • Privater Schlüssel, entweder als eine separate Datei oder in der gleichen Datei wie das Zertifikat enthalten (Dateiformat: .PEM)

  • Passphrase (nur erforderlich, wenn der private Schlüssel verschlüsselt ist)

Das Zertifikat und der private Schlüssel werden in der gleichen Datei auf dem Gerät gespeichert. Wenn die Authentifizierung fehlschlägt, wird die Verbindung nicht hergestellt.

Privater Schlüssel und Passphrase werden nicht auf angeschlossene Peripheriegeräte angewendet.

Hinzufügen von Zertifikaten auf Board-, Desk- und Room Series-Geräten

1

Wechseln Sie in der Kundenansicht in https://admin.webex.com zur Seite Geräte und wählen Sie Ihr Gerät in der Liste aus. Gehen Sie zu Support und starten Sie die lokale Gerätesteuerung .

Nach der Einrichtung eines Benutzers als Administrator für das Gerät können Sie durch das Öffnen eines Webbrowsers und durch Eingabe von http(s)://<Endpunkt-IP oder Hostname> direkt auf die Weboberfläche zugreifen.

2

Navigieren Sie zu Sicherheit > Zertifikate > Benutzerdefiniert > Zertifikat hinzufügen und laden Sie Ihr(e) CA-Stammzertifikat(e) hoch.

3

Generieren Sie auf openssl einen privaten Schlüssel und eine Zertifikatanforderung. Kopieren Sie den Inhalt der Zertifikatanforderung. Fügen Sie ihn dann ein, um das Serverzertifikat von Ihrer Zertifizierungsstelle (CA) anzufordern.

4

Laden Sie das von Ihrer Zertifizierungsstelle signierte Serverzertifikat herunter. Stellen Sie sicher, dass es sich in . PEM-Format.

5

Navigieren Sie zu Sicherheit > Zertifikate > Dienste > Zertifikat hinzufügen und laden Sie den privaten Schlüssel und das Serverzertifikat hoch.

6

Aktivieren Sie die Dienste, die Sie für das soeben hinzugefügte Zertifikat verwenden möchten.

SCEP (Simple Certificate Enrollment Protocol)

SCEP (Simple Certificate Enrollment Protocol) bietet einen automatisierten Mechanismus für die Registrierung und Aktualisierung von Zertifikaten, die beispielsweise die 802.1X-Authentifizierung auf Geräten verwenden. SCEP ermöglicht es Ihnen, den Zugriff des Geräts auf sichere Netzwerke ohne manuelle Eingriffe aufrechtzuerhalten.

  • Wenn das Gerät neu ist oder auf die Werkseinstellungen zurückgesetzt wurde, benötigt es Netzwerkzugriff, um die SCEP-URL zu erreichen. Das Gerät muss an das Netzwerk ohne 802.1X angeschlossen werden, um eine IP Adresse zu erhalten.

  • Wenn Sie ein SSID für die drahtlose Registrierung verwenden, müssen Sie die Onboarding-Bildschirme durchlaufen, um die Verbindung mit dem Netzwerk zu konfigurieren.

  • Sobald Sie mit dem Bereitstellungsnetzwerk verbunden sind, muss sich das Gerät zu diesem Zeitpunkt nicht auf einem bestimmten Onboarding-Bildschirm befinden.

  • Um für alle Bereitstellungen geeignet zu sein, speichern die SCEP-Registrierungs-xAPIs nicht das CA-Zertifikat, das zum Signieren des Gerätezertifikats verwendet wird. Für die Serverauthentifizierung muss das CA-Zertifikat, das zur Validierung des Zertifikats des Servers verwendet wird, mit xCommand Security Certificates CA Add hinzugefügt werden.

Voraussetzungen

Sie benötigen die folgenden Informationen:

  • Die URL des SCEP-Servers.

  • Fingerabdruck des Zertifikats der signierenden Zertifizierungsstelle (Certificate Authority).

  • Informationen über das zu registrierende Zertifikat. Daraus ergibt sich der Antragstellername des Zertifikats.

    • Trivialname

    • Ländername

    • Name des Bundeslandes oder der Provinz

    • Ortsname

    • Organisationsname

    • Organisationseinheit

  • Der Subjektname wird wie folgt sortiert: /C= /ST= /L= /O= /OU= /CN=

  • Das Challenge-Passwort des SCEP-Servers, wenn Sie den SCEP-Server so konfiguriert haben, dass ein OTP oder Shared Secret erzwungen wird.

Mit dem folgenden Befehl können Sie die erforderliche Schlüsselgröße für das Schlüsselpaar der Zertifikatsanforderung festlegen. Der Standardwert ist 2048.

 Schlüsselgröße für die xConfiguration-Sicherheitsregistrierung: <2048, 3072, 4096>

Wir senden eine Zertifikatsanforderung, die ein Jahr lang gültig ist, um das Zertifikat abzulaufen. Die serverseitige Richtlinie kann das Ablaufdatum während der Zertifikatssignatur ändern.

Ethernet-Verbindung

Wenn ein Gerät mit einem Netzwerk verbunden ist, stellen Sie sicher, dass es auf den SCEP-Server zugreifen kann. Das Gerät muss an ein Netzwerk ohne 802,1x angeschlossen werden, um eine IP Adresse zu erhalten. Die MAC Adresse des Geräts muss möglicherweise dem Bereitstellungsnetzwerk mitgeteilt werden, um eine IP Adresse abzurufen. Die MAC Adresse finden Sie auf der Benutzeroberfläche oder auf dem Etikett auf der Rückseite des Geräts.

Nachdem das Gerät mit dem Netzwerk verbunden wurde, können Sie als Administrator eine SSH-Verbindung mit dem Gerät herstellen, um auf TSH zuzugreifen, und dann den folgenden Befehl ausführen, um die Registrierungs-SCEP-Anforderung zu senden: 

xCommand-Sicherheitszertifikate Services Registrierung SCEP-Anforderung

Sobald der SCEP-Server das signierte Gerätezertifikat zurückgibt, aktivieren Sie 802.1X.

Aktivieren Sie das signierte Zertifikat:

xCommand-Sicherheitszertifikate Services aktivieren

Starten Sie das Gerät nach der Aktivierung des Zertifikats neu.

Drahtlose Verbindung

Wenn ein Gerät mit einem Drahtlosnetzwerk verbunden ist, stellen Sie sicher, dass es auf den SCEP-Server zugreifen kann.

Nachdem das Gerät mit dem Netzwerk verbunden wurde, können Sie als Administrator eine SSH-Verbindung mit dem Gerät herstellen, um auf TSH zuzugreifen, und dann den folgenden Befehl ausführen, um die Registrierungs-SCEP-Anforderung zu senden: 

xCommand-Sicherheitszertifikate Services Registrierung SCEP-Anforderung

Das Gerät empfängt das signierte Zertifikat vom SCEP-Server.

Aktivieren Sie das signierte Zertifikat: 

xCommand-Sicherheitszertifikate Services aktivieren

Nach der Aktivierung müssen Sie das Wi-Fi Netzwerk mit EAP-TLS Authentifizierung konfigurieren. 

xCommand Netzwerk-WLAN-Konfiguration

Standardmäßig überspringt die Wi-Fi-Konfiguration die Servervalidierungsprüfungen. Wenn nur eine unidirektionale Authentifizierung erforderlich ist, behalten Sie die Standardeinstellung von AllowMissingCA auf True bei.

Um die Serverüberprüfung zu erzwingen, stellen Sie sicher, dass der optionale Parameter AllowMissingCA auf False festgelegt ist. Wenn aufgrund von Fehlern bei der Dienstüberprüfung keine Verbindung hergestellt werden kann, überprüfen Sie, ob die richtige Zertifizierungsstelle hinzugefügt wurde, um das Serverzertifikat zu überprüfen, das sich möglicherweise vom Gerätezertifikat unterscheidet.

API Beschreibungen

Rolle: Admin, Integrator

xCommand-Sicherheitszertifikate Services Registrierung SCEP-Anforderung

Sendet eine CSR zur Signierung an einen bestimmten SCEP-Server. Die Parameter CSR SubjectName werden in der folgenden Reihenfolge erstellt: C, ST, L, O, OUs, CN.

Parameter:

  • URL(r): <S: 0, 256>

    Die URL-Adresse des SCEP-Servers.

  • Fingerabdruck(r): <S: 0, 128>

    CA-Zertifikat-Fingerabdruck, mit dem die SCEP-Anforderung CSR signiert wird.

  • CommonName(r): <S: 0, 64>

    Fügt "/CN=" zum CSR Subjektnamen hinzu.

  • ChallengePassword: <S: 0, 256>

    OTP oder Shared Secret vom SCEP-Server für den Zugriff auf die Signierung.

  • Name des Landes: <S: 0, 2>

    Fügt "/c=" zum CSR Subjektnamen hinzu.

  • StateOrProvinceName: <S: 0, 64>

    Fügt "/ST=" zum CSR Subjektnamen hinzu.

  • LocalityName: <S: 0, 64>

    Fügt "/L=" zum CSR Subjektnamen hinzu.

  • OrganizationName: <S: 0, 64>

    Fügt "/O=" zum CSR Subjektnamen hinzu.

  • OrganizationalUnit[5]: <S: 0, 64>

    Fügt bis zu 5 "/OU="-Parameter zum CSR Subjektnamen hinzu.

  • SanDns[5]: <S: 0, 64>

    Fügt bis zu 5 DNS-Parameter zum alternativen Namen des CSR Subjekts hinzu.

  • SanEmail[5]: <S: 0, 64>

    Fügt bis zu 5 E-Mail-Parameter zum alternativen Namen CSR Betreffs hinzu.

  • SanIp[5]: <S: 0, 64>

    Fügt bis zu 5 IP-Parameter zum alternativen Namen CSR Subjekts hinzu.

  • SanUri[5]: <S: 0, 64>

    Fügt dem alternativen Namen des CSR Subjekts bis zu 5 URI-Parameter hinzu.

xCommand-Sicherheitszertifikate Services Registrierungsprofile Löschen

Löscht ein Registrierungsprofil, um keine Zertifikate mehr zu erneuern.

Parameter:

  • Fingerabdruck(r): <S: 0, 128>

    Der Fingerabdruck des CA-Zertifikats, der das zu entfernende Profil identifiziert. Sie können die verfügbaren Profile zum Entfernen anzeigen, indem Sie Folgendes ausführen: 

    Liste der xCommand-Sicherheitszertifikate und -registrierungsprofile

Liste der xCommand-Sicherheitszertifikate und -registrierungsprofile

Listet Registrierungsprofile für die Zertifikatserneuerung auf.

 xCommand-Sicherheitszertifikate Services Registrierung SCEP-Profile Fingerabdruck(r): <S: 0, 128> URL(r): <S: 0, 256>

Fügen Sie ein Registrierungsprofil für Zertifikate hinzu, die vom CA-Fingerabdruck ausgestellt wurden, um die angegebene SCEP-URL für die Erneuerung zu verwenden.

Erneuerung

 xCommand-Sicherheitszertifikate Services Registrierung SCEP-Profilsatz

Damit das Zertifikat automatisch erneuert werden kann, muss das Gerät auf die SCEP-URL zugreifen können, mit der das Zertifikat signiert werden kann.

Einmal täglich sucht das Gerät nach Zertifikaten, die nach 45 Tagen ablaufen. Das Gerät versucht dann, diese Zertifikate zu erneuern, wenn ihr Aussteller mit einem Profil übereinstimmt.

HINWEIS: Alle Gerätezertifikate werden auf Erneuerung überprüft, auch wenn das Zertifikat ursprünglich nicht mit SCEP registriert wurde.

Navigator

  1. Direct Paired: Registrierte Zertifikate können als "Pairing"-Zertifikat aktiviert werden.

  2. Remote gekoppelt: Weisen Sie den Navigator an, ein neues SCEP-Zertifikat mit der ID des Peripheriegeräts zu registrieren:

    xCommand-Peripheriegeräte Sicherheitszertifikate Services Registrierung SCEP-Anforderung 

    Registrierungsprofile werden automatisch mit dem gekoppelten Navigator synchronisiert.

  3. Eigenständiger Navigator: Entspricht der Codec-Registrierung