可以从设备的本地 web 界面添加证书。 或者,您可以通过运行 API 命令来添加证书。 要查看哪些命令允许您添加证书,请参阅 roomos.cisco.com

服务证书和受信任的 CA

使用 TLS(传输层安全)时,可能需要进行证书验证。 在建立通信之前,服务器或客户端可能要求设备向它们提供有效证书。

证书是验证设备真实性的文本文件。 这些证书必须由受信任的证书颁发机构 (CA) 签名。 要验证证书的签名,设备上必须驻留受信任 CA 的列表。 此列表必须包括验证审计日志记录和其他连接的证书所需的所有 CA。

证书将用于以下服务:HTTPS 服务器、SIP、IEEE 802.1X 和审计日志记录。 您可以在设备上存储多个证书,但每次只为每个服务启用一个证书。

在 RoomOS 2023 年 10 月及更高版本上,当您向设备添加 CA 证书时,该证书也会应用于会议室导航器(如果已连接)。 要将之前添加的 CA 证书同步到连接的会议室导航器,您必须重新启动设备。 如果您不希望外围设备获得与其连接到的设备相同的证书,请将配置 外围设备安全证书 SyncToPeripherals 设置为 False


以前存储的证书不会自动删除。 含 CA 证书的新文件中的条目将附加到现有列表中。

用于 Wi-Fi 连接

如果您的网络使用 WPA-EAP 身份验证,我们建议您为每个 Board、Desk 或 Room 系列设备添加受信任的 CA 证书。 您必须为每个设备分别这样做,然后再连接到 Wi-Fi。

要添加 Wi-Fi 连接证书,您需要以下文件:

  • CA 证书列表(文件格式:.PEM)

  • 证书(文件格式:.PEM)

  • 私钥,可以是一个单独的文件,也可以与证书包含在同一文件中(文件格式:.PEM)

  • 密码(仅在私钥加密时需要)

证书和私钥存储在设备上的同一文件中。 如果验证失败,将不会建立连接。


私钥和口令不会应用于连接的外设。

在 Board、Desk 和 Room 系列设备上添加证书

1

从 https://admin.webex.com 中的 客户视图,转至 “设备 ”页面,然后在列表中选择您的设备。 转至“ 支持” 并启动 “本地设备控制 ”。

如果您在设备上设置了一个本地 Admin 用户,可以打开 Web 浏览器并键入 http(s)://<终端 ip 或主机名>,直接访问 Web 界面。

2

导航到安全性 > 证书 > 自定义 > 添加证书,然后上传您的 CA 根证书。

3

在 openssl 上,生成私钥和证书请求。 复制证书请求的内容。 然后粘贴其以从您的证书颁发机构 (CA) 请求服务器证书。

4

下载由您的 CA 签名的服务器证书。确保该证书位于中。PEM 格式。

5

导航到安全性 > 证书 > 服务 > 添加证书,然后上传私钥和服务器证书。

6

启用要用于刚添加的证书的服务。

简单证书注册协议(SCEP)

简单证书注册协议(SCEP)提供了一种自动机制,用于注册和刷新证书,例如用于设备上的 802.1X 身份验证。 SCEP 允许您维护设备对安全网络的访问,而无需手动干预。

  • 当设备为新设备或已恢复出厂设置时,需要网络访问才能访问 SCEP URL。 设备应在没有 802.1X 的情况下连接到网络以获取 IP 地址。

  • 如果使用无线注册 SSID,则需要通过载入屏幕来配置与网络的连接。

  • 连接到预配置网络后,设备在此阶段无需位于特定的载入屏幕上。

  • 为了适合所有部署,SCEP 注册 xAPI 不会存储用于签署设备证书的 CA 证书。 对于服务器身份验证,用于验证服务器证书的 CA 证书需要使用 xCommand 安全证书 CA Add 添加

必备条件

您需要以下信息:

  • SCEP 服务器的 URL。

  • 签名 CA(Certificate Authority)证书的指纹。

  • 要注册的证书的信息。 这构成了 证书的使用者名称

    • 公用名

    • 国家名称

    • 组织名称

  • SCEP 服务器的质询密码(如果您已将 SCEP 服务器配置为强制执行 OTP 或共享密钥)。

我们发送有效期为一年的证书请求,直至证书过期。 服务器端策略可以在证书签名期间更改到期日期。

以太网连接

当设备连接到网络时,请确保它可以访问 SCEP 服务器。 设备应连接到没有 802.1x 的网络以获取 IP 地址。 可能需要向预配置网络提供设备的 MAC 地址才能获取 IP 地址。 MAC 地址可以在 UI 或设备背面的标签上找到。

设备连接到网络后,您可以以管理员 身份 通过 SSH 连接到设备以访问 TSH,然后运行以下命令发送注册 SCEP 请求:
xCommand 安全证书服务注册 SCEP 请求 

SCEP 服务器返回签名的设备证书后,激活 802.1X,然后重新启动设备。

激活签名证书:
xCommand 安全证书服务激活 

激活证书后重新启动设备。

无线连接

当设备连接到无线网络时,请确保它可以访问 SCEP 服务器。

设备连接到网络后,您可以以管理员 身份 通过 SSH 连接到设备以访问 TSH,然后运行以下命令发送注册 SCEP 请求:
xCommand 安全证书服务注册 SCEP 请求 

设备从 SCEP 服务器接收签名证书。

激活签名证书:

xCommand 安全证书服务激活
激活后,您需要为 Wi-Fi 网络配置 EAP-TLS 身份验证。
xCommand 网络 Wifi 配置 

默认情况下,Wi-Fi 配置跳过服务器验证检查。 如果只需要单向验证,则将 AllowMissingCA 保持在 缺省值 True

若要强制服务器验证,请确保 将 AllowMissingCA 可选参数设置为 False。 如果由于服务验证错误而无法建立连接,请检查是否已添加正确的 CA 以验证可能与设备证书不同的服务器证书。

API 描述

角色:管理员、集成商

xCommand 安全证书服务注册 SCEP 请求

请求并下载签名的设备证书

参数:

  • URL(r):<S:0,128>

    用于注册证书的 SCEP 服务器 URL。

  • 指纹(r):<S:0,128>

    将签署 X509 请求的颁发 CA 指纹。

  • 质询密码:<S:0,128>

    由 SCEP 服务器设置的共享密钥密码。

  • 公用名):<S:0,128>

  • 国家名称:<S:0,128>

  • 组织名称:<S:0,128>

  • SanDns[5]:<S:0,128>

  • SanEmail[5]:<S:0,128>

  • SanIp[5]:<S:0,128>

  • SanUri[5]:<S:0,128>

xCommand 安全证书服务注册 SCEP 续订请求

创建或更新在证书过期之前应用于给定 CA 颁发的所有证书的自动续订配置文件

参数:

  • 指纹:<S:0,128>

    签署证书的颁发 CA 指纹。

  • URL(r):<S:0,128>

    用于续订证书的 SCEP 服务器 URL。

xCommand 安全证书服务注册 SCEP 续订删除

删除给定 CA 的自动续订配置文件。这将阻止此 CA 签名的证书自动续订

参数:

  • 指纹:<S:0,128>

    要删除的颁发 CA 指纹。

xCommand 安全证书服务注册 SCEP 续订列表

列出所有当前使用的自动续订配置文件。