可以从设备的本地 web 界面添加证书。 或者,您可以通过运行 API 命令来添加证书。 要查看哪些命令允许您添加证书,请参阅 roomos.cisco.com

服务证书和受信任的 CA

使用 TLS(传输层安全)时,可能需要进行证书验证。 在建立通信之前,服务器或客户端可能要求设备向它们提供有效证书。

证书是验证设备真实性的文本文件。 这些证书必须由受信任的证书颁发机构 (CA) 签名。 要验证证书的签名,设备上必须驻留受信任 CA 的列表。 此列表必须包括验证审计日志记录和其他连接的证书所需的所有 CA。

证书将用于以下服务:HTTPS 服务器、SIP、IEEE 802.1X 和审计日志记录。 您可以在设备上存储多个证书,但每次只为每个服务启用一个证书。

在 RoomOS 2023 年 10 月及更高版本上,当您向设备添加 CA 证书时,该证书也会应用于会议室导航器(如果已连接)。 要将之前添加的 CA 证书同步到连接的会议室导航器,您必须重新启动设备。 如果您不希望外围设备获得与其连接到的设备相同的证书,请将配置 外围设备安全证书 SyncToPeripherals 设置为 False

以前存储的证书不会自动删除。 含 CA 证书的新文件中的条目将附加到现有列表中。

对于 Wi-Fi 连接

如果您的网络使用 WPA-EAP 身份验证,我们建议您为每个 Board、Desk 或 Room 系列设备添加受信任的 CA 证书。 您必须为每个设备分别这样做,然后再连接到 Wi-Fi。

要添加 Wi-Fi 连接证书,您需要以下文件:

  • CA 证书列表(文件格式:.PEM)

  • 证书(文件格式:.PEM)

  • 私钥,可以是一个单独的文件,也可以与证书包含在同一文件中(文件格式:.PEM)

  • 密码(仅在私钥加密时需要)

证书和私钥存储在设备上的同一文件中。 如果验证失败,将不会建立连接。

私钥和口令不会应用于连接的外设。

在 Board、Desk 和 Room 系列设备上添加证书

1

从 https://admin.webex.com 中的 客户视图,转至 “设备 ”页面,然后在列表中选择您的设备。 转至“ 支持” 并启动 “本地设备控制 ”。

如果您在设备上设置了一个本地 Admin 用户,可以打开 Web 浏览器并键入 http(s)://<终端 ip 或主机名>,直接访问 Web 界面。

2

导航到安全性 > 证书 > 自定义 > 添加证书,然后上传您的 CA 根证书。

3

在 openssl 上,生成私钥和证书请求。 复制证书请求的内容。 然后粘贴其以从您的证书颁发机构 (CA) 请求服务器证书。

4

下载由您的 CA 签名的服务器证书。确保该证书位于中。PEM 格式。

5

导航到安全性 > 证书 > 服务 > 添加证书,然后上传私钥和服务器证书。

6

启用要用于刚添加的证书的服务。

生成证书签名请求(CSR)

管理员必须从 Control Hub 为云注册的 Board、Desk 或 Room 系列设备生成证书签名请求(CSR)。

请按照以下步骤生成 CSR 并将签名证书上传到您的设备:

  1. 从 Control Hub 中的客户视图,转至“设备”页面并从列表中选择您的设备。
  2. 导航到运行 xCommand > 安全>证书>作,> CSR > 创建。
  3. 输入所需的证书详细信息,然后选择执行。
  4. 复制 ---- 开始证书请求 ---- 和 ---- 结束证书请求之间的所有文本 ----.
  5. 使用您选择的 Certificate Authority(CA)对 CSR 进行签名。
  6. 以 PEM(Base64 编码)格式导出签名证书。
  7. 在文本编辑器(例如记事本)中打开签名的证书文件,然后复制 ----BEGIN CERTIFICATE---- 和 ----END CERTIFICATE 之间的所有文本 ----.
  8. 在 Control Hub 中,导航到设备>选择您的设备>作>运行 xCommand > 安全>证书> CSR > 链接。
  9. 将复制的证书内容粘贴到“正文”部分,然后选择“执行”。
  10. 刷新页面以验证证书是否显示在“现有证书”下。

简单证书注册协议(SCEP)

简单证书注册协议(SCEP)提供了一种自动机制,用于注册和刷新设备上用于 802.1X 身份验证等的证书。 SCEP 允许您维护设备对安全网络的访问,而无需手动干预。

  • 当设备为新设备或已恢复出厂设置时,需要网络访问才能访问 SCEP URL。 设备应在没有 802.1X 的情况下连接到网络以获取 IP 地址。

  • 如果使用无线注册 SSID,请通过载入屏幕以配置与网络的连接。

  • 连接到预配置网络后,设备无需位于特定的载入屏幕上。

  • 为了适合所有部署,SCEP 注册 xAPI 不会存储用于签署设备证书的 CA 证书。 对于服务器身份验证,用于验证服务器证书的 CA 证书需要与 xCommand 安全证书 CA Add 一起添加。

必备条件

您需要以下信息:

  • SCEP 服务器的 URL。

  • 签名 CA(Certificate Authority)证书的指纹。

  • 要注册的证书的信息。 这构成了 证书的使用者名称

    • 公用名

    • 国家名称

    • 省/自治区名称

    • 地区名称

    • 组织名称

    • 组织单位

  • 使用者名称将按 /C= /ST= /L= /O= /OU= /CN= 的顺序排序

  • SCEP 服务器的质询密码(如果您已将 SCEP 服务器配置为强制执行 OTP 或共享密钥)。

您可以使用以下命令设置证书请求密钥对所需的密钥大小。 默认值为 2048。

 x 配置安全注册密钥大小:<2048、3072、4096>

我们发送有效期为一年的证书请求,直至证书过期。 服务器端策略可以在证书签名期间更改到期日期。

以太网连接

当设备连接到网络时,请确保它可以访问 SCEP 服务器。 设备应连接到没有 802.1x 的网络以获取 IP 地址。 可能需要向预配置网络提供设备的 MAC 地址才能获取 IP 地址。 MAC 地址可以在用户界面或设备背面的标签上找到。

设备连接到网络后,您可以以管理员 身份 通过 SSH 连接到设备以访问 TSH,然后运行以下命令发送注册 SCEP 请求: 

xCommand 安全证书服务注册 SCEP 请求

SCEP 服务器返回签名的设备证书后,激活 802.1X。

激活签名证书:

xCommand 安全证书服务激活

激活证书后重新启动设备。

无线连接

当设备连接到无线网络时,请确保它可以访问 SCEP 服务器。

设备连接到网络后,您可以以管理员 身份 通过 SSH 连接到设备以访问 TSH,然后运行以下命令发送注册 SCEP 请求: 

xCommand 安全证书服务注册 SCEP 请求

设备从 SCEP 服务器接收签名证书。

激活签名证书: 

xCommand 安全证书服务激活

激活后,您需要使用 EAP-TLS 身份验证配置 Wi-Fi 网络。 

xCommand 网络 Wifi 配置

默认情况下,Wi-Fi 配置跳过服务器验证检查。 如果只需要单向验证,则将 AllowMissingCA 保持在 缺省值 True

若要强制服务器验证,请确保 将 AllowMissingCA 可选参数设置为 False。 如果由于服务验证错误而无法建立连接,请检查是否已添加正确的 CA 以验证可能与设备证书不同的服务器证书。

API 描述

角色:管理员、集成商

xCommand 安全证书服务注册 SCEP 请求

将 CSR 发送到给定的 SCEP 服务器进行签名。 CSR SubjectName 参数将按以下顺序构造:C、ST、L、O、OUS、CN。

参数:

  • URL(r):<S:0,256>

    SCEP 服务器的 URL 地址。

  • 指纹:<S:0,128>

    将对 SCEP 请求 CSR 进行签名的 CA 证书指纹。

  • 公用名):<S:0,64>

    将“/CN=”添加到 CSR 使用者名称。

  • 质询密码:<S:0,256>

    来自 SCEP 服务器的 OTP 或共享密钥,用于访问签名。

  • 国家名称:<S:0,2>

    将“/C=”添加到 CSR 使用者名称。

  • StateOrProvinceName:<S:0,64>

    将“/ST=”添加到 CSR 使用者名称。

  • 位置名称:<S:0,64>

    将“/L=”添加到 CSR 使用者名称。

  • 组织名称:<S:0,64>

    将“/O=”添加到 CSR 使用者名称。

  • 组织单位[5]:<S:0,64>

    向 CSR 使用者名称添加最多 5 个“/OU=”参数。

  • SanDns[5]:<S:0,64>

    向 CSR 使用者备用名称添加最多 5 个 DNS 参数。

  • SanEmail[5]:<S:0,64>

    向 CSR 主题备用名称添加最多 5 个电子邮件参数。

  • SanIp[5]:<S:0,64>

    向 CSR 使用者备用名称添加最多 5 个 Ip 参数。

  • SanUri[5]:<S:0,64>

    向 CSR 使用者备用名称添加最多 5 个 URI 参数。

xCommand 安全证书服务注册配置文件删除

删除注册配置文件以不再续订证书。

参数:

  • 指纹:<S:0,128>

    用于标识要删除的配置文件的 CA 证书指纹。 您可以通过运行以下命令查看要删除有空配置文件: 

    xCommand 安全证书服务注册配置文件列表

xCommand 安全证书服务注册配置文件列表

列出证书续订的注册配置文件。

 xCommand 安全证书服务注册 SCEP 配置文件集指纹(r):<S:0,128> URL(r):<S:0,256>

为 CA 指纹颁发的证书添加注册配置文件,以使用给定的 SCEP URL 进行续订。

更新

 xCommand 安全证书服务注册 SCEP 配置文件集

为了自动续订证书,设备需要能够访问可以重新签名证书的 SCEP URL。

设备将每天检查一次将在 45 天后过期的证书。 然后,如果这些证书的颁发者与配置文件匹配,设备将尝试续订这些证书。

注意:将检查所有设备证书是否续订,即使证书最初未使用 SCEP 注册也是如此。

航海家

  1. 直接配对:已注册的证书可以作为“配对”证书激活。

  2. 远程配对:告知导航器使用外设 ID 注册新的 SCEP 证书:

    xCommand 外设安全证书服务注册 SCEP 请求 

    注册档案会自动同步到配对的导航器。

  3. 独立导航器:与编解码器注册相同

在会议室导航器上配置 802.1x 身份验证

您可以直接从房间导航器的“设置”菜单中设置 802.1x 身份验证。

802.1x 身份验证标准对于以太网网络尤为重要,它确保只有经过授权的设备才能访问网络资源。

根据网络中配置的 EAP 方法,有空不同的登录选项。 例如:

  • TLS:不使用用户名和密码。
  • PEAP:不使用证书。
  • TTLS:需要用户名/密码和证书;两者都不是可选的。

有几种方法可以在设备上获取客户端证书:

  1. 上传 PEM:使用安全证书服务添加功能。
  2. 创建 CSR:生成证书签名请求(CSR),对其进行签名,然后使用安全证书 CSR 创建/链接进行链接。
  3. SCEP:利用安全证书服务注册 SCEP 请求。
  4. DHCP 选项 43:通过此选项配置证书交付。

设置和更新 802.1x 的证书应在 将房间导航器与系统配对 之前完成,或在将房间导航器恢复出厂设置之后完成。

默认凭据为 admin 和空白密码。 有关如何通过访问 API 添加证书的详细信息,请参阅 最新版本的 API 指南

  1. 通过点击右上角的按钮或从右侧滑动打开导航器上的控制面板。 然后点击设备设置
  2. 转到网络连接 ,然后选择 以太网
  3. 开启使用 IEEE 802.1X
    • 如果使用凭据设置了身份验证,请输入用户身份和密码。 您还可以输入匿名身份:这是一个可选字段,用于将实际用户的身份与初始身份验证请求分开。
    • 您可以关闭 或开启 TLS 验证 。 打开 TLS 验证后,客户端会在 TLS 握手期间主动验证服务器证书的真实性。 当 TLS 验证关闭时,客户端不会对服务器的证书执行主动验证。
    • 如果您已通过访问 API 上传了客户端证书,请将“ 使用客户端证书 ”切换为“打开”。
    • 切换要使用的可扩展身份验证协议(EAP) 方法。 EAP 方法的选择取决于特定的安全要求、基础结构和客户端功能。 EAP 方法对于实现安全和经过身份验证的网络访问至关重要。