可以从设备的本地 web 界面添加证书。 或者,您可以通过运行 API 命令来添加证书。 要查看哪些命令允许您添加证书,请参阅 roomos.cisco.com

服务证书和受信任的 CA

使用 TLS(传输层安全)时,可能需要进行证书验证。 在建立通信之前,服务器或客户端可能要求设备向它们提供有效证书。

证书是验证设备真实性的文本文件。 这些证书必须由受信任的证书颁发机构 (CA) 签名。 为了验证证书的签名,设备上必须有一个受信任的 CA 列表。 此列表必须包括验证审计日志记录和其他连接的证书所需的所有 CA。

证书将用于以下服务:HTTPS 服务器、SIP、IEEE 802.1X 和审计日志记录。 您可以在设备上存储多个证书,但每次只为每个服务启用一个证书。

在 RoomOS 2023 年 10 月及更高版本中,当您将 CA 证书添加到设备时,如果连接了 Room Navigator,该证书也会应用于该设备。 要将之前添加的 CA 证书同步到连接的 Room Navigator,您必须重新启动设备。 如果您不希望外围设备获取与其所连接设备相同的证书,请将配置 外围设备安全证书 SyncToPeripherals 设置为 False

以前存储的证书不会自动删除。 含 CA 证书的新文件中的条目将附加到现有列表中。

对于 Wi-Fi 连接

如果您的网络使用 WPA-EAP 身份验证,我们建议您为每个 Board、Desk 或 Room 系列设备添加受信任的 CA 证书。 您必须为每个设备分别这样做,然后再连接到 Wi-Fi。

要添加 Wi-Fi 连接证书,您需要以下文件:

  • CA 证书列表(文件格式:.PEM)

  • 证书(文件格式:.PEM)

  • 私钥,可以是一个单独的文件,也可以与证书包含在同一文件中(文件格式:.PEM)

  • 密码(仅在私钥加密时需要)

证书和私钥存储在设备上的同一文件中。 如果验证失败,将不会建立连接。

证书及其私钥不适用于连接的外围设备。

在 Board、Desk 和 Room 系列设备上添加证书

1

https://admin.webex.com 中的客户视图,转到 设备 页面,然后在列表中选择您的设备。 转至 支持 并启动 本地设备控制

如果您在设备上设置了一个本地 Admin 用户,可以打开 Web 浏览器并键入 http(s)://<终端 ip 或主机名>,直接访问 Web 界面。

2

导航到安全性 > 证书 > 自定义 > 添加证书,然后上传您的 CA 根证书。

3

在 openssl 上,生成私钥和证书请求。 复制证书请求的内容。 然后粘贴其以从您的证书颁发机构 (CA) 请求服务器证书。

4

下载由您的 CA 签名的服务器证书。确保其为 .PEM 格式。

5

导航到安全性 > 证书 > 服务 > 添加证书,然后上传私钥和服务器证书。

6

启用您刚添加的证书想要使用的服务。

生成证书签名请求 (CSR)

管理员必须从控制中心为云注册的 Board、Desk 或 Room Series 设备生成证书签名请求 (CSR)。

按照以下步骤生成 CSR 并将签名的证书上传到您的设备:

  1. 从 Control Hub 中的客户视图,转到“设备”页面并从列表中选择您的设备。
  2. 导航至操作 > 运行 xCommand > 安全 > 证书 > CSR > 创建。
  3. 输入所需的证书详细信息并选择执行。
  4. 复制 ----BEGIN CERTIFICATE REQUEST---- 和 ----END CERTIFICATE REQUEST---- 之间的所有文本。
  5. 使用您选择的 Certificate Authority (CA) 签署 CSR。
  6. 以 PEM(Base64 编码)格式导出签名的证书。
  7. 在文本编辑器(例如记事本)中打开签名的证书文件,并复制 ----BEGIN CERTIFICATE---- 和 ----END CERTIFICATE---- 之间的所有文本。
  8. 在 Control Hub 中,导航至设备 > 选择您的设备 > 操作 > 运行 xCommand > 安全 > 证书 > CSR > 链接。
  9. 将复制的证书内容粘贴到正文部分并选择执行。
  10. 刷新页面以验证证书是否出现在现有证书下。

简单证书注册协议 (SCEP)

简单证书注册协议 (SCEP) 提供了一种自动化机制,用于注册和刷新用于设备上的 802.1X 身份验证等的证书。 SCEP 允许您无需人工干预即可维持设备对安全网络的访问。

  • 当设备是新的或已恢复出厂设置时,它需要网络访问才能到达 SCEP URL。 该设备应连接到不带 802.1X 的网络以获取 IP 地址。

  • 如果使用无线注册 SSID,请通过入职屏幕配置与网络连接。

  • 一旦连接到配置网络,设备就不需要位于特定的入职屏幕上。

  • 为了适合所有部署,SCEP 注册 xAPI 将不会存储用于签署设备证书的 CA 证书。 对于服务器身份验证,需要使用 xCommand Security Certificates CA Add添加用于验证服务器证书的 CA 证书。

必备条件

您需要以下信息:

  • SCEP 服务器的 URL。

  • 签名 CA(Certificate Authority)证书的指纹。

  • 需要注册的证书信息。 这构成了证书的 主题名称

    • 通用名称

    • 国家名称

    • 州或省名称

    • 地点名称

    • 组织名称

    • 组织单位

  • 主题名称将按 /C= /ST= /L= /O= /OU= /CN= 的顺序排列
  • 如果您已将 SCEP 服务器配置为强制使用 OTP 或共享密钥,则需要输入 SCEP 服务器的质询密码。

您可以使用以下命令设置证书请求密钥对所需的密钥大小。 默认值为 2048。

 xConfiguration 安全注册密钥大小:<2048, 3072, 4096>

我们发送有效期为一年的证书请求,以确认证书到期。 服务器端策略可以在证书签名期间更改到期日期。

以太网连接

当设备连接到网络时,请确保它可以访问 SCEP 服务器。 该设备应连接到没有 802.1x 的网络以获取 IP 地址。 为了获得 IP 地址,可能需要向配置网络提供设备的 MAC 地址。 MAC 地址可以在 UI 上或设备背面的标签上找到。

设备连接到网络后,您可以通过 SSH 连接到设备 行政 访问 TSH,然后运行以下命令发送注册 SCEP 请求:

xCommand 安全证书服务注册 SCEP 请求 

一旦 SCEP 服务器返回签名的设备证书,就激活 802.1X。

激活签名的证书:

xCommand 安全证书服务激活 

激活证书后重新启动设备。

无线连接

当设备连接到无线网络时,请确保它可以访问 SCEP 服务器。

设备连接到网络后,您可以通过 SSH 连接到设备 行政 访问 TSH,然后运行以下命令发送注册 SCEP 请求:

xCommand 安全证书服务注册 SCEP 请求 

设备从 SCEP 服务器接收签名的证书。

激活签名的证书:

xCommand 安全证书服务激活

激活后,您需要使用 EAP-TLS 身份验证配置 Wi-Fi 网络。

xCommand 网络 Wifi 配置 

默认情况下,Wi-Fi 配置会跳过服务器验证检查。 如果只需要单向身份验证,则保留 允许缺失 CA 默认为 真的

要强制服务器验证,请确保 允许缺失 CA 可选参数设置为 错误的。 如果由于服务验证错误而无法建立连接,请检查是否已添加正确的 CA 来验证服务器证书(该证书可能与设备证书不同)。

API 描述

角色:管理员、集成员

xCommand 安全证书服务注册 SCEP 请求

将 CSR 发送到给定的 SCEP 服务器进行签名。 CSR SubjectName 参数将按照以下顺序构造:C、ST、L、O、OUs、CN。

参数:

  • URL(r): <S: 0, 256>

    SCEP 服务器的 URL 地址。

  • 指纹(r):<S:0,128>

    将签署 SCEP 请求 CSR 的 CA 证书指纹。

  • 通用名称(r):<S: 0, 64>

    将“/CN=”添加到 CSR 主题名称。

  • 质询密码:<S: 0, 256>

    来自 SCEP 服务器的 OTP 或共享密钥,用于访问签名。

  • 国家/地区名称:<S: 0, 2>

    将“/C=”添加到 CSR 主题名称。

  • 州或省名称:<S: 0, 64>

    将“/ST=”添加到 CSR 主题名称。

  • 地点名称:<S: 0, 64>

    将“/L=”添加到 CSR 主题名称。

  • 组织名称:<S: 0, 64>

    将“/O=”添加到 CSR 主题名称。

  • 组织单位[5]: <S: 0, 64>

    向 CSR 主题名称添加最多 5 个“/OU=”参数。

  • SanDns[5]: <S: 0, 64>

    向 CSR 主题备用名称添加最多 5 个 DNS 参数。

  • SanEmail[5]: <S: 0, 64>

    向 CSR 主题备用名称添加最多 5 个电子邮件参数。

  • SanIp[5]: <S: 0, 64>

    向 CSR 主题备用名称添加最多 5 个 Ip 参数。

  • SanUri[5]: <S: 0, 64>

    向 CSR 主题备用名称添加最多 5 个 URI 参数。

xCommand 安全证书服务注册配置文件删除

删除注册配置文件以不再更新证书。

参数:

  • 指纹(r):<S:0,128>

    标识您要删除的配置文件的 CA 证书指纹。 您可以通过运行以下命令来查看要删除的有空配置文件:

    xCommand 安全证书服务注册配置文件列表

xCommand 安全证书服务注册配置文件列表

列出证书续订的注册配置文件。

 xCommand 安全证书服务注册 SCEP 配置文件设置指纹 (r): <S: 0, 128> URL (r): <S: 0, 256>

为 CA 指纹颁发的证书添加注册配置文件,以使用给定的 SCEP URL 进行续订。

续约

 xCommand 安全证书服务注册 SCEP 配置文件集

为了自动更新证书,设备需要能够访问可以重新签署证书的 SCEP Url。

设备将每天检查一次将在 45 天内过期的证书。 如果证书颁发者与配置文件匹配,设备将尝试更新这些证书。

注意:所有设备证书都将接受续订检查,即使证书最初不是使用 SCEP 注册的。

航海家

  1. 直接配对:已注册的证书可以激活为“配对”证书。

  2. 远程配对:告诉导航器使用外围设备的 ID 注册新的 SCEP 证书:

    xCommand Peripherals 安全证书服务注册 SCEP 请求 

    注册资料会自动同步到配对的导航器。

  3. 独立导航器:与编解码器注册相同

在 Room Navigator 上配置 802.1x 身份验证

您可以直接从 Room Navigator 的“设置”菜单设置 802.1x 身份验证。

802.1x 身份验证标准对于以太网尤其重要,它确保只有授权设备才能访问网络资源。

根据您在网络中配置的 EAP 方法,有不同的登录选项有空。 例如:

  • TLS:未使用用户名和密码。
  • PEAP:未使用证书。
  • TTLS:用户名/密码和证书都是必需的;两者都不是可选的。

有几种方法可以在设备上获取客户端证书:

  1. 上传 PEM:使用安全证书服务添加功能。
  2. 创建 CSR:生成证书签名请求(CSR),对其进行签名,并使用安全证书 CSR 创建/链接对其进行链接。
  3. SCEP:利用安全证书服务注册 SCEP 请求。
  4. DHCP 选项 43:通过此选项配置证书传送。

应该设置并更新 802.1x 的证书 配对前 将 Room Navigator 恢复到系统后,或者将 Room Navigator 恢复出厂设置后。

默认凭据是管理员和空白密码。 有关如何通过访问 API 添加证书的更多信息,请参阅 API 指南的最新版本

  1. 点击右上角的按钮或从右侧滑动,打开导航器上的控制面板。 然后点击设备设置
  2. 前往 网络连接 并选择 以太网
  3. 开启使用 IEEE 802.1X
    • 如果使用凭证设置了身份验证,请输入用户身份和密码。 您还可以输入匿名身份:这是一个可选字段,它提供了一种将实际用户的身份与初始身份验证请求分开的方法。
    • 您可以切换 TLS 验证 关闭或打开。 当 TLS verify 开启时,客户端会在 TLS 握手过程中主动验证服务器证书的真实性。 当 TLS verify 关闭时,客户端不会对服务器的证书执行主动验证。
    • 如果您已通过访问 API 上传了客户端证书,请切换 使用客户端证书 在。
    • 切换 可扩展身份验证协议 (EAP) 您想要使用的方法。 EAP 方法的选择取决于具体的安全要求、基础设施和客户端功能。 EAP 方法对于实现安全和经过身份验证的网络访问至关重要。