Certifikáty môžete pridávať z lokálneho webového rozhrania zariadenia. Prípadne môžete pridať certifikáty spustením príkazov API. Ak chcete zistiť, ktoré príkazy umožňujú pridávanie certifikátov, pozrite si časť roomos.cisco.com .

Servisné certifikáty a dôveryhodné certifikačné autority

Pri používaní TLS (Transport Layer Security) sa môže vyžadovať overenie certifikátu. Server alebo klient môže pred nastavením komunikácie vyžadovať, aby im zariadenie predložilo platný certifikát.

Certifikáty sú textové súbory, ktoré overujú pravosť zariadenia. Tieto certifikáty musia byť podpísané dôveryhodnou certifikačnou autoritou (CA). Na overenie podpisu certifikátov musí byť v zariadení uložený zoznam dôveryhodných certifikačných autorít. Zoznam musí obsahovať všetky certifikačné autority potrebné na overenie certifikátov pre protokolovanie auditu a iné pripojenia.

Certifikáty sa používajú pre nasledujúce služby: server HTTPS, SIP, IEEE 802.1X a protokolovanie auditu. V zariadení môžete uložiť niekoľko certifikátov, ale pre každú službu je naraz povolený iba jeden certifikát.

V systéme RoomOS október 2023 a neskôr, keď pridáte certifikát CA do zariadenia, použije sa aj na navigátor miestnosti, ak je pripojený. Ak chcete synchronizovať predtým pridané certifikáty CA s pripojeným navigátorom miestnosti, musíte reštartovať zariadenie. Ak nechcete, aby periférne zariadenia získavali rovnaké certifikáty ako zariadenie, ku ktorému sú pripojené, nastavte konfiguráciu Periférne zariadenia Security Certificates SyncToPeripherals na hodnotu False.

Predtým uložené certifikáty sa neodstránia automaticky. Položky v novom súbore s certifikátmi certifikačnej autority sa pripoja k existujúcemu zoznamu.

Pre Wi-Fi pripojenie

Odporúčame pridať dôveryhodný certifikát CA pre každú dosku, stôl alebo zariadenie série miestností, ak vaša sieť používa overenie WPA-EAP. Musíte to urobiť individuálne pre každé zariadenie a pred pripojením k Wi-Fi.

Ak chcete pridať certifikáty pre Wi-Fi pripojenie, potrebujete nasledujúce súbory:

  • Zoznam certifikátov CA (formát súboru: . PEM)

  • Certifikát (formát súboru: . PEM)

  • Súkromný kľúč, buď ako samostatný súbor, alebo ako súčasť rovnakého súboru ako certifikát (formát súboru: . PEM)

  • Prístupová fráza (vyžaduje sa, iba ak je súkromný kľúč šifrovaný)

Certifikát a súkromný kľúč sú uložené v rovnakom súbore v zariadení. Ak overenie zlyhá, spojenie sa nevytvorí.

Súkromný kľúč a prístupová fráza sa nepoužijú na pripojené periférne zariadenia.

Pridanie certifikátov na palubné, stolové a izbové zariadenia

1

V zobrazení zákazníka v https://admin.webex.com prejdite na stránku Zariadenia a vyberte svoje zariadenie v zozname. Prejdite na stránku podpory a spustite položku Lokálne ovládacie prvky zariadení.

Ak ste v zariadení nastavili lokálneho správcu , môžete pristupovať k webovému rozhraniu priamo otvorením webového prehliadača a zadaním https://<endpoint ip alebo názvu hostiteľa> .

2

Prejdite do časti Zabezpečenie > Certifikáty > Vlastné> Pridať certifikát a nahrajte svoje koreňové certifikáty CA.

3

Na openssl vygenerujte súkromný kľúč a žiadosť o certifikát. Skopírujte obsah žiadosti o certifikát. Potom ho prilepte a požiadajte certifikačnú autoritu (CA) o certifikát servera.

4

Stiahnite si certifikát servera podpísaný vašou certifikačnou autoritou. Uistite sa, že sa nachádza v . Formát PEM.

5

Prejdite do časti Zabezpečenie > Certifikáty > Služby > Pridať certifikát a nahrajte súkromný kľúč a certifikát servera.

6

Povoľte služby, ktoré chcete použiť pre certifikát, ktorý ste práve pridali.

Protokol SCEP (Simple Certificate Enrollment Protocol)

Simple Certificate Enrollment Protocol (SCEP) poskytuje automatizovaný mechanizmus registrácie a obnovy certifikátov, ktoré sa používajú napríklad na autentifikáciu 802.1X na zariadeniach. SCEP umožňuje udržiavať prístup zariadenia k zabezpečeným sieťam bez manuálneho zásahu.

  • Ak je zariadenie nové alebo bolo obnovené z výroby, potrebuje prístup k sieti, aby sa dostalo na adresu URL SCEP. Zariadenie by malo byť pripojené k sieti bez 802.1X, aby získalo IP adresu.

  • Ak používate bezdrôtovú registračnú SSID, musíte prejsť obrazovkami zaradenia a nakonfigurovať pripojenie k sieti.

  • Po pripojení k obstarávacej sieti nemusí byť zariadenie v tejto fáze na konkrétnej obrazovke registrácie.

  • Aby vyhovovali všetkým nasadeniam, rozhrania xAPI registrácie SCEP nebudú ukladať certifikát CA, ktorý sa používa na podpísanie certifikátu zariadenia. Pre overenie servera je potrebné pridať certifikát CA, ktorý sa používa na overenie certifikátu servera, spolu s xCommand Security Certificates CA Add.

Predpoklady

Potrebujete nasledujúce informácie:

  • Adresa URL servera SCEP.

  • Odtlačok podpisujúceho certifikátu CA (Certificate Authority).

  • Informácie o osvedčení na zápis. Toto tvorí názov predmetu certifikátu.

    • Bežný názov

    • Názov krajiny

    • Názov štátu alebo provincie

    • Názov lokality

    • Názov organizácie

    • Organizačná jednotka

  • Názov predmetu bude zoradený ako /C= /ST= /L= /O= /OU= /CN=

  • Vyzývacie heslo servera SCEP, ak ste nakonfigurovali server SCEP na vynútenie OTP alebo zdieľaného kľúča.

Požadovanú veľkosť kľúča pre pár klávesov žiadosti o certifikát môžete nastaviť pomocou nasledujúceho príkazu. Predvolená hodnota je 2048.

 xKonfiguračný bezpečnostný registračný kľúčVeľkosť: <2048, 3072, 4096>

Pošleme žiadosť o certifikát, ktorý je platný jeden rok pre vypršanie platnosti certifikátu. Politika na strane servera môže zmeniť dátum vypršania platnosti počas podpisovania certifikátu.

Ethernetové pripojenie

Keď je zariadenie pripojené k sieti, uistite sa, že má prístup k serveru SCEP. Zariadenie by malo byť pripojené k sieti bez 802.1x, aby získalo IP adresu. Na získanie IP adresy môže byť potrebné poskytnúť MAC adresu zariadenia poskytujúcej sieti. Adresu MAC nájdete v používateľskom rozhraní alebo na štítku na zadnej strane zariadenia.

Po pripojení zariadenia k sieti môžete SSH k zariadeniu ako správca získať prístup k TSH a potom spustiť nasledujúci príkaz na odoslanie žiadosti o registráciu SCEP: 

xCommand Security Certificates Services Registrácia SCEP Požiadavka SCEP

Keď server SCEP vráti podpísaný certifikát zariadenia, aktivujte 802.1X.

Aktivujte podpísaný certifikát:

xCommand Security Certificates Services sa aktivujú

Po aktivácii certifikátu reštartujte zariadenie.

Bezdrôtové pripojenie

Keď je zariadenie pripojené k bezdrôtovej sieti, uistite sa, že má prístup k serveru SCEP.

Po pripojení zariadenia k sieti môžete SSH k zariadeniu ako správca získať prístup k TSH a potom spustiť nasledujúci príkaz na odoslanie žiadosti o registráciu SCEP: 

xCommand Security Certificates Services Registrácia SCEP Požiadavka SCEP

Zariadenie prijme podpísaný certifikát zo servera SCEP.

Aktivujte podpísaný certifikát: 

xCommand Security Certificates Services sa aktivujú

Po aktivácii musíte nakonfigurovať sieť Wi-Fi s EAP-TLS autentifikáciou. 

Konfigurácia siete xCommand Wifi

V predvolenom nastavení konfigurácia Wi-Fi preskočí kontroly overenia servera. Ak sa vyžaduje iba jednosmerné overenie, ponechajte položku AllowMissingCA nastavenú na hodnotu Pravda.

Ak chcete vynútiť overenie servera, uistite sa, že voliteľný parameter AllowMissingCA je nastavený na hodnotu False. Ak sa pripojenie nedá nadviazať z dôvodu chýb overenia služby, skontrolujte, či bola pridaná správna certifikačná autorita na overenie certifikátu servera, ktorý sa môže líšiť od certifikátu zariadenia.

API popisy

Rola: správca, integrátor

xCommand Security Certificates Services Registrácia SCEP Požiadavka SCEP

Odošle CSR na daný server SCEP na podpis. Parametre CSR SubjectName budú vytvorené v nasledujúcom poradí: C, ST, L, O, OUs, CN.

Parametre:

  • URL(r): <S: 0, 256>

    URL adresa servera SCEP.

  • Odtlačok prsta(r): <S: 0, 128>

    Odtlačok certifikátu CA, ktorý podpíše žiadosť SCEP CSR.

  • CommonName(r): <S: 0, 64>

    Pridá "/CN=" do CSR názvu predmetu.

  • Heslo výzvy: <S: 0, 256>

    OTP alebo zdieľaný kľúč zo servera SCEP pre prístup k podpisu.

  • NázovKrajiny: <S: 0, 2>

    Pridá "/c=" do CSR názvu predmetu.

  • StateOrProvinceName: <S: 0, 64>

    Pridá "/ST=" do CSR názvu predmetu.

  • Názov lokality: <S: 0, 64>

    Pridá "/l=" do CSR názvu predmetu.

  • NázovOrganizácie: <S: 0, 64>

    Pridá "/o=" k CSR názvu predmetu.

  • Organizačná jednotka[5]: <S: 0, 64>

    Pridá až 5 parametrov "/OU=" do CSR Názov predmetu.

  • SanDns[5]: <S: 0, 64>

    Pridá až 5 parametrov DNS do CSR alternatívneho názvu predmetu.

  • SanEmail[5]: <S: 0, 64>

    Pridá až 5 parametrov e-mailu do CSR Alternatívny názov predmetu.

  • SanIp[5]: <S: 0, 64>

    Pridá až 5 parametrov IP do CSR alternatívneho názvu predmetu.

  • SanUri[5]: <S: 0, 64>

    Pridá až 5 parametrov Uri do CSR alternatívneho názvu predmetu.

xCommand Security Certificates Services Odstrániť profily registrácie

Odstráni registračný profil, aby sa už neobnovovali certifikáty.

Parametre:

  • Odtlačok prsta(r): <S: 0, 128>

    Odtlačok certifikátu CA, ktorý identifikuje profil, ktorý chcete odstrániť. Dostupné profily na odstránenie si môžete pozrieť spustením: 

    xCommand Security Certificates Services Zoznam profilov registrácie

xCommand Security Certificates Services Zoznam profilov registrácie

Zoznam profilov registrácie pre obnovenie certifikátu.

 xCommand Security Certificates Services Registrácia Profily SCEP Nastaviť odtlačok prsta(r): <S: 0, 128> URL(r): <S: 0, 256>

Pridajte registračný profil pre certifikáty vydané odtlačkom prsta certifikačnej autority, aby ste mohli na obnovenie použiť danú adresu URL SCEP.

Obnovenie

 xCommand Security Certificates Services Registrácia SCEP Sada profilov SCEP

Aby bolo možné certifikát automaticky obnoviť, zariadenie musí mať prístup k adrese URL SCEP, ktorá môže certifikát podpísať.

Raz denne zariadenie skontroluje certifikáty, ktorých platnosť vyprší o 45 dní. Zariadenie sa potom pokúsi obnoviť tieto certifikáty, ak sa ich vydavateľ zhoduje s profilom.

POZNÁMKA: Obnovenie všetkých certifikátov zariadení bude skontrolované, aj keď certifikát nebol pôvodne zaregistrovaný pomocou SCEP.

Navigátor

  1. Priame párovanie: Zapísané certifikáty je možné aktivovať ako certifikát "Párovanie".

  2. Vzdialené párovanie: Povedzte navigátorovi, aby zaregistroval nový certifikát SCEP pomocou ID periférneho zariadenia:

    XCommand Periférie Bezpečnostné certifikáty Registrácia služieb Žiadosť SCEP 

    Profily registrácie sa automaticky synchronizujú so spárovaným navigátorom.

  3. Samostatná navigácia: Rovnaké ako registrácia kodeku