- Domov
- /
- Článok
Certifikáty na zariadeniach Board, Desk a Room Series
Certifikáty wifi-802.1X/802.1X alebo HTTPS môžete pridať k jednotlivým zariadeniam a pripojeným perifériám.
Certifikáty môžete pridávať z lokálneho webového rozhrania zariadenia. Prípadne môžete pridať certifikáty spustením príkazov API. Ak chcete zistiť, ktoré príkazy umožňujú pridávanie certifikátov, pozrite si tému roomos.cisco.com .
Servisné certifikáty a dôveryhodné certifikačné autority
Pri použití TLS (Transport Layer Security) sa môže vyžadovať overenie certifikátu. Server alebo klient môže pred nastavením komunikácie vyžadovať, aby im zariadenie predložilo platný certifikát.
Certifikáty sú textové súbory, ktoré overujú pravosť zariadenia. Tieto certifikáty musia byť podpísané dôveryhodným Certificate Authority (CA). Na overenie podpisu certifikátov musí byť v zariadení uložený zoznam dôveryhodných certifikačných autorít. Zoznam musí obsahovať všetky certifikačné autority potrebné na overenie certifikátov pre protokolovanie auditu a iné pripojenia.
Certifikáty sa používajú pre nasledujúce služby: server HTTPS, SIP, IEEE 802.1X a protokolovanie auditu. V zariadení môžete uložiť niekoľko certifikátov, ale pre každú službu je naraz povolený iba jeden certifikát.
V systéme RoomOS október 2023 a neskôr, keď pridáte certifikát CA do zariadenia, použije sa aj na navigátor miestnosti, ak je pripojený. Ak chcete synchronizovať predtým pridané certifikáty CA s pripojeným navigátorom miestnosti, musíte reštartovať zariadenie. Ak nechcete, aby periférne zariadenia získavali rovnaké certifikáty ako zariadenie, ku ktorému sú pripojené, nastavte konfiguráciu Periférne zariadenia Security Certificates SyncToPeripherals na hodnotu False.
Predtým uložené certifikáty sa neodstránia automaticky. Položky v novom súbore s certifikátmi certifikačnej autority sa pripoja k existujúcemu zoznamu.
Pre pripojenie Wi-Fi
Ak vaša sieť používa overenie WPA-EAP, odporúčame pridať dôveryhodný certifikát CA pre každé zariadenie Board, Desk alebo Room Series. Musíte to urobiť individuálne pre každé zariadenie a pred pripojením k Wi-Fi.
Ak chcete pridať certifikáty pre pripojenie Wi-Fi, potrebujete nasledujúce súbory:
-
Zoznam certifikátov CA (formát súboru: . PEM)
-
Certifikát (formát súboru: . PEM)
-
Súkromný kľúč, buď ako samostatný súbor, alebo ako súčasť rovnakého súboru ako certifikát (formát súboru: . PEM)
-
Prístupová fráza (vyžaduje sa, iba ak je súkromný kľúč šifrovaný)
Certifikát a súkromný kľúč sú uložené v rovnakom súbore v zariadení. Ak overenie zlyhá, spojenie sa nevytvorí.
Súkromný kľúč a prístupová fráza sa nepoužijú na pripojené periférne zariadenia.
Pridajte certifikáty na Board, stolové zariadenia a zariadenia série miestností
1 |
V zobrazení zákazníka v https://admin.webex.com prejdite na stránku Zariadenia a vyberte svoje zariadenie v zozname. Prejdite na stránku podpory a spustite položku Lokálne ovládacie prvky zariadení. Ak ste v zariadení nastavili lokálneho správcu , môžete pristupovať k webovému rozhraniu priamo otvorením webového prehliadača a zadaním https://<endpoint ip alebo názvu hostiteľa> . |
2 |
Prejdite do časti a nahrajte svoje koreňové certifikáty CA. |
3 |
Na openssl vygenerujte súkromný kľúč a žiadosť o certifikát. Skopírujte obsah žiadosti o certifikát. Potom ho prilepte a požiadajte o certifikát servera z vášho Certificate Authority (CA). |
4 |
Stiahnite si certifikát servera podpísaný vašou certifikačnou autoritou. Uistite sa, že sa nachádza v . Formát PEM. |
5 |
Prejdite do časti a nahrajte súkromný kľúč a certifikát servera. |
6 |
Povoľte služby, ktoré chcete použiť pre certifikát, ktorý ste práve pridali. |
Vygenerovať žiadosť o podpísanie certifikátu (CSR)
Správcovia musia z riadiaceho centra vygenerovať žiadosť o podpísanie certifikátu (CSR) pre zariadenie Board, Desk alebo Room Series registrované v cloude.
Ak chcete vygenerovať CSR a nahrať podpísaný certifikát do zariadenia, postupujte takto:
- V zobrazení pre zákazníkov v ovládacom centre prejdite na stránku Zariadenia a vyberte svoje zariadenie zo zoznamu.
- Prejdite na položku Akcie > Spustiť xCommand > Certifikáty zabezpečenia > > CSR > Vytvoriť.
- Zadajte požadované podrobnosti certifikátu a vyberte možnosť Vykonať.
- Skopírujte celý text medzi ----START CERTIFICATE REQUEST---- a ----END CERTIFICATE REQUEST----.
- Na podpísanie CSR použite Certificate Authority (CA) podľa vášho výberu.
- Exportujte podpísaný certifikát vo formáte PEM (kódovanie Base64).
- Otvorte podpísaný súbor certifikátu v textovom editore (napr. Poznámkový blok) a skopírujte celý text medzi ----BEGIN CERTIFICATE---- a ----END CERTIFICATE----.
- V ovládacom centre prejdite na položku Zariadenia > vyberte svoje zariadenie > Akcie > Spustiť xCommand > Certifikáty zabezpečenia > > CSR > Link.
- Vložte skopírovaný obsah certifikátu do sekcie Telo a vyberte možnosť Spustiť.
- Obnovte stránku, aby ste overili, či sa certifikát zobrazuje v časti Existujúci certifikát.
Protokol SCEP (Simple Certificate Enrollment Protocol)
Simple Certificate Enrollment Protocol (SCEP) poskytuje automatizovaný mechanizmus registrácie a obnovy certifikátov, ktoré sa používajú napríklad na autentifikáciu 802.1X na zariadeniach. SCEP umožňuje udržiavať prístup zariadenia k zabezpečeným sieťam bez manuálneho zásahu.
-
Ak je zariadenie nové alebo bolo obnovené z výroby, potrebuje prístup k sieti, aby sa dostalo na adresu URL SCEP. Zariadenie by malo byť pripojené k sieti bez 802.1X, aby získalo IP adresu.
-
Ak používate bezdrôtovú registráciu SSID, prejdite cez obrazovky zaradenia a nakonfigurujte pripojenie k sieti.
-
Po pripojení k obstarávacej sieti sa zariadenie nemusí nachádzať na konkrétnej obrazovke registrácie.
-
Aby vyhovovali všetkým nasadeniam, rozhrania xAPI registrácie SCEP nebudú ukladať certifikát CA použitý na podpísanie certifikátu zariadenia. Pre overenie servera je potrebné pridať certifikát CA použitý na overenie certifikátu servera spolu s xCommand Security Certificates CA Add.
Predpoklady
Potrebujete nasledujúce informácie:
-
Adresa URL servera SCEP.
-
Odtlačok podpisového certifikátu CA (Certificate Authority).
-
Informácie o osvedčení na zápis. Toto tvorí názov predmetu certifikátu.
-
Bežný názov
-
Názov krajiny
-
Názov štátu alebo provincie
-
Názov lokality
-
Názov organizácie
-
Organizačná jednotka
-
- Názov predmetu bude zoradený ako /C= /ST= /L= /O= /OU= /CN=
-
Vyzývacie heslo servera SCEP, ak ste nakonfigurovali server SCEP na vynútenie OTP alebo zdieľaného kľúča.
Požadovanú veľkosť kľúča pre pár klávesov žiadosti o certifikát môžete nastaviť pomocou nasledujúceho príkazu. Predvolená hodnota je 2048.
xKonfiguračný bezpečnostný registračný kľúčVeľkosť: <2048, 3072, 4096>
Pošleme žiadosť o certifikát, ktorý je platný jeden rok pre vypršanie platnosti certifikátu. Politika na strane servera môže zmeniť dátum vypršania platnosti počas podpisovania certifikátu.
Ethernetové pripojenie
Keď je zariadenie pripojené k sieti, uistite sa, že má prístup k serveru SCEP. Zariadenie by malo byť pripojené k sieti bez 802.1x, aby získalo IP adresu. Na získanie IP adresy MAC môže byť potrebné poskytnúť zásobovacej sieti adresu #. Adresu MAC nájdete v používateľskom rozhraní alebo na štítku na zadnej strane zariadenia.
Po pripojení zariadenia k sieti môžete SSH k zariadeniu ako správca získať prístup k TSH a potom spustiť nasledujúci príkaz na odoslanie žiadosti o registráciu SCEP:
xCommand Security Certificates Services Registrácia SCEP Požiadavka SCEP
Keď server SCEP vráti podpísaný certifikát zariadenia, aktivujte 802.1X.
Aktivujte podpísaný certifikát:
xCommand Security Certificates Services sa aktivujú
Po aktivácii certifikátu reštartujte zariadenie.
Bezdrôtové pripojenie
Keď je zariadenie pripojené k bezdrôtovej sieti, uistite sa, že má prístup k serveru SCEP.
Po pripojení zariadenia k sieti môžete SSH k zariadeniu ako správca získať prístup k TSH a potom spustiť nasledujúci príkaz na odoslanie žiadosti o registráciu SCEP:
xCommand Security Certificates Services Registrácia SCEP Požiadavka SCEP
Zariadenie prijme podpísaný certifikát zo servera SCEP.
Aktivujte podpísaný certifikát:
xCommand Security Certificates Services sa aktivujú
Po aktivácii musíte nakonfigurovať sieť Wi-Fi s autentifikáciou EAP-TLS.
Konfigurácia siete xCommand Wifi
V predvolenom nastavení konfigurácia Wi-Fi preskočí kontroly overenia servera. Ak sa vyžaduje iba jednosmerné overenie, ponechajte položku AllowMissingCA nastavenú na hodnotu Pravda.
Ak chcete vynútiť overenie servera, uistite sa, že voliteľný parameter AllowMissingCA je nastavený na hodnotu False. Ak sa pripojenie nedá nadviazať z dôvodu chýb overenia služby, skontrolujte, či bola pridaná správna certifikačná autorita na overenie certifikátu servera, ktorý sa môže líšiť od certifikátu zariadenia.
API popisy
Rola: správca, integrátor
xCommand Security Certificates Services Registrácia SCEP Požiadavka SCEP
Odošle CSR na daný server SCEP na podpis. Parametre CSR SubjectName budú vytvorené v nasledujúcom poradí: C, ST, L, O, OUs, CN.
Parametre:
-
URL(r): <S: 0, 256>
URL adresa servera SCEP.
-
Odtlačok prsta(r): <S: 0, 128>
Odtlačok certifikátu CA, ktorý podpíše požiadavku SCEP CSR.
-
CommonName(r): <S: 0, 64>
Pridá znak "/CN=" k názvu predmetu CSR.
-
Heslo výzvy: <S: 0, 256>
OTP alebo zdieľaný kľúč zo servera SCEP pre prístup k podpisu.
-
NázovKrajiny: <S: 0, 2>
Pridá "/c=" k názvu predmetu CSR.
-
StateOrProvinceName: <S: 0, 64>
Pridá znak "/ST=" k názvu predmetu CSR.
-
Názov lokality: <S: 0, 64>
Pridá znak "/l=" k názvu predmetu CSR.
-
NázovOrganizácie: <S: 0, 64>
Pridá "/o=" k názvu predmetu CSR.
-
Organizačná jednotka[5]: <S: 0, 64>
Pridá až 5 parametrov "/OU=" do názvu predmetu CSR.
-
SanDns[5]: <S: 0, 64>
Pridá až 5 parametrov DNS do alternatívneho názvu predmetu CSR.
-
SanEmail[5]: <S: 0, 64>
Pridá až 5 parametrov e-mailu do alternatívneho názvu predmetu CSR.
-
SanIp[5]: <S: 0, 64>
Pridá až 5 parametrov IP k alternatívnemu názvu predmetu CSR.
-
SanUri[5]: <S: 0, 64>
Pridá až 5 parametrov URI do alternatívneho názvu predmetu CSR.
xCommand Security Certificates Services Odstrániť profily registrácie
Odstráni registračný profil, aby sa už neobnovovali certifikáty.
Parametre:
-
Odtlačok prsta(r): <S: 0, 128>
Odtlačok certifikátu CA, ktorý identifikuje profil, ktorý chcete odstrániť. Dostupné profily na odstránenie si môžete pozrieť spustením:
xCommand Security Certificates Services Zoznam profilov registrácie
xCommand Security Certificates Services Zoznam profilov registrácie
Zoznam profilov registrácie pre obnovenie certifikátu.
xCommand Security Certificates Services Registrácia Profily SCEP Nastaviť odtlačok prsta(r): <S: 0, 128> URL(r): <S: 0, 256>
Pridajte registračný profil pre certifikáty vydané odtlačkom prsta certifikačnej autority, aby ste mohli na obnovenie použiť danú adresu URL SCEP.
Obnovenie
xCommand Security Certificates Services Registrácia SCEP Sada profilov SCEP
Aby bolo možné certifikát automaticky obnoviť, zariadenie musí mať prístup k adrese URL SCEP, ktorá môže certifikát podpísať.
Raz denne zariadenie skontroluje certifikáty, ktorých platnosť vyprší o 45 dní. Zariadenie sa potom pokúsi obnoviť tieto certifikáty, ak sa ich vydavateľ zhoduje s profilom.
POZNÁMKA: Obnovenie všetkých certifikátov zariadení bude skontrolované, aj keď certifikát nebol pôvodne zaregistrovaný pomocou SCEP.
Navigátor
-
Priame párovanie: Zapísané certifikáty je možné aktivovať ako certifikát "Párovanie".
-
Vzdialené párovanie: Povedzte navigátorovi, aby zaregistroval nový certifikát SCEP pomocou ID periférneho zariadenia:
XCommand Periférie Bezpečnostné certifikáty Registrácia služieb Žiadosť SCEP
Profily registrácie sa automaticky synchronizujú so spárovaným navigátorom.
-
Samostatná navigácia: Rovnaké ako registrácia kodeku
Konfigurácia overenia 802.1x v aplikácii Room Navigator
Autentifikáciu 802.1x môžete nastaviť priamo v ponuke Nastavenia navigátora miestností.
Autentifikačný štandard 802.1x je obzvlášť dôležitý pre siete Ethernet a zaisťuje, že prístup k sieťovým zdrojom majú iba oprávnené zariadenia.
K dispozícii sú rôzne možnosti prihlásenia na základe metódy EAP nakonfigurovanej vo vašej sieti. Príklad:
- TLS: Používateľské meno a heslo sa nepoužívajú.
- PEAP: Certifikáty sa nepoužívajú.
- TTLS: Vyžaduje sa meno používateľa/heslo aj certifikáty. Ani jedno nie je voliteľné.
Existuje niekoľko spôsobov, ako získať certifikát klienta v zariadení:
- Nahrajte PEM: Použite funkciu pridania služieb bezpečnostných certifikátov.
- Vytvorte CSR: Vygenerujte žiadosť o podpísanie certifikátu (CSR), podpíšte ju a prepojte ju pomocou bezpečnostných certifikátov CSR Vytvoriť/prepojiť.
- SCEP: Využite žiadosť SCEP o registráciu služieb bezpečnostných certifikátov.
- DHCP Možnosť 43: Nakonfigurujte doručovanie certifikátov prostredníctvom tejto možnosti.
Nastavenie a aktualizácia certifikátov pre štandard 802.1x by sa mala vykonať pred spárovaním navigátora v miestnosti so systémom alebo po obnovení výrobných nastavení navigátora v miestnosti.
Predvolené poverenia sú správca a prázdne heslo. Ďalšie informácie o pridávaní certifikátov nájdete v téme API v najnovšej verzii príručky API.
- Otvorte ovládací panel na navigácii Navigator ťuknutím na tlačidlo v pravom hornom rohu alebo potiahnutím prstom z pravej strany. Potom klepnite na položku Nastavenia zariadenia.
- Prejdite do ponuky Network connection ( Sieťové pripojenie ) a vyberte položku Ethernet (Ethernet ).
- Prepnúť možnosť Použiť protokol IEEE 802.1X zapnutý.
- Ak je overenie nastavené pomocou poverení, zadajte identitu používateľa a prístupovú frázu. Môžete tiež zadať anonymnú identitu: toto je voliteľné pole, ktoré poskytuje spôsob, ako oddeliť skutočnú identitu používateľa od počiatočnej žiadosti o overenie.
- Môžete prepnúť # TLS Overiť vypnuté alebo zapnuté. Keď je TLS verify zapnuté, klient aktívne overuje pravosť certifikátu servera počas TLS handshake. Keď je TLS verify vypnuté, klient nevykonáva aktívne overovanie certifikátu servera.
- Ak ste nahrali certifikát klienta prístupom k API, zapnite možnosť Použiť certifikát klienta .
- Prepnite metódy rozšíriteľného autentifikačného protokolu (EAP), ktoré chcete použiť. Výber metódy EAP závisí od konkrétnych bezpečnostných požiadaviek, infraštruktúry a možností klienta. Metódy EAP sú rozhodujúce pre umožnenie bezpečného a overeného prístupu k sieti.