- 主页
- /
- 文章
Board、桌面和 Room 系列设备上的证书
您可以将 wifi-802.1X/802.1X 或 HTTPS 证书添加到单个设备和连接的外围设备。
可以从设备的本地 web 界面添加证书。 或者,您可以通过运行 API 命令来添加证书。 要查看哪些命令允许您添加证书,请参阅 roomos.cisco.com 。
服务证书和受信任的 CA
使用 TLS(传输层安全)时,可能需要进行证书验证。 在建立通信之前,服务器或客户端可能要求设备向它们提供有效证书。
证书是验证设备真实性的文本文件。 这些证书必须由受信任的证书颁发机构 (CA) 签名。 为了验证证书的签名,设备上必须有一个受信任的 CA 列表。 此列表必须包括验证审计日志记录和其他连接的证书所需的所有 CA。
证书将用于以下服务:HTTPS 服务器、SIP、IEEE 802.1X 和审计日志记录。 您可以在设备上存储多个证书,但每次只为每个服务启用一个证书。
在 RoomOS 2023 年 10 月及更高版本中,当您将 CA 证书添加到设备时,如果连接了 Room Navigator,该证书也会应用于该设备。 要将之前添加的 CA 证书同步到连接的 Room Navigator,您必须重新启动设备。 如果您不希望外围设备获取与其所连接设备相同的证书,请将配置 外围设备安全证书 SyncToPeripherals 设置为 False。
以前存储的证书不会自动删除。 含 CA 证书的新文件中的条目将附加到现有列表中。
对于 Wi-Fi 连接
如果您的网络使用 WPA-EAP 身份验证,我们建议您为每个 Board、Desk 或 Room 系列设备添加受信任的 CA 证书。 您必须为每个设备分别这样做,然后再连接到 Wi-Fi。
要添加 Wi-Fi 连接证书,您需要以下文件:
-
CA 证书列表(文件格式:.PEM)
-
证书(文件格式:.PEM)
-
私钥,可以是一个单独的文件,也可以与证书包含在同一文件中(文件格式:.PEM)
-
密码(仅在私钥加密时需要)
证书和私钥存储在设备上的同一文件中。 如果验证失败,将不会建立连接。
证书及其私钥不适用于连接的外围设备。
在 Board、Desk 和 Room 系列设备上添加证书
1 |
从 https://admin.webex.com 中的客户视图,转到 设备 页面,然后在列表中选择您的设备。 转至 支持 并启动 本地设备控制 。 如果您在设备上设置了一个本地 Admin 用户,可以打开 Web 浏览器并键入 http(s)://<终端 ip 或主机名>,直接访问 Web 界面。 |
2 |
导航到 ,然后上传您的 CA 根证书。 |
3 |
在 openssl 上,生成私钥和证书请求。 复制证书请求的内容。 然后粘贴其以从您的证书颁发机构 (CA) 请求服务器证书。 |
4 |
下载由您的 CA 签名的服务器证书。确保其为 .PEM 格式。 |
5 |
导航到 ,然后上传私钥和服务器证书。 |
6 |
启用您刚添加的证书想要使用的服务。 |
生成证书签名请求 (CSR)
管理员必须从控制中心为云注册的 Board、Desk 或 Room Series 设备生成证书签名请求 (CSR)。
按照以下步骤生成 CSR 并将签名的证书上传到您的设备:
- 从 Control Hub 中的客户视图,转到“设备”页面并从列表中选择您的设备。
- 导航至操作 > 运行 xCommand > 安全 > 证书 > CSR > 创建。
- 输入所需的证书详细信息并选择执行。
- 复制 ----BEGIN CERTIFICATE REQUEST---- 和 ----END CERTIFICATE REQUEST---- 之间的所有文本。
- 使用您选择的 Certificate Authority (CA) 签署 CSR。
- 以 PEM(Base64 编码)格式导出签名的证书。
- 在文本编辑器(例如记事本)中打开签名的证书文件,并复制 ----BEGIN CERTIFICATE---- 和 ----END CERTIFICATE---- 之间的所有文本。
- 在 Control Hub 中,导航至设备 > 选择您的设备 > 操作 > 运行 xCommand > 安全 > 证书 > CSR > 链接。
- 将复制的证书内容粘贴到正文部分并选择执行。
- 刷新页面以验证证书是否出现在现有证书下。
简单证书注册协议 (SCEP)
简单证书注册协议 (SCEP) 提供了一种自动化机制,用于注册和刷新用于设备上的 802.1X 身份验证等的证书。 SCEP 允许您无需人工干预即可维持设备对安全网络的访问。
-
当设备是新的或已恢复出厂设置时,它需要网络访问才能到达 SCEP URL。 该设备应连接到不带 802.1X 的网络以获取 IP 地址。
-
如果使用无线注册 SSID,请通过入职屏幕配置与网络连接。
-
一旦连接到配置网络,设备就不需要位于特定的入职屏幕上。
-
为了适合所有部署,SCEP 注册 xAPI 将不会存储用于签署设备证书的 CA 证书。 对于服务器身份验证,需要使用 xCommand Security Certificates CA Add添加用于验证服务器证书的 CA 证书。
必备条件
您需要以下信息:
-
SCEP 服务器的 URL。
-
签名 CA(Certificate Authority)证书的指纹。
-
需要注册的证书信息。 这构成了证书的 主题名称 。
-
通用名称
-
国家名称
-
州或省名称
-
地点名称
-
组织名称
-
组织单位
-
- 主题名称将按 /C= /ST= /L= /O= /OU= /CN= 的顺序排列
-
如果您已将 SCEP 服务器配置为强制使用 OTP 或共享密钥,则需要输入 SCEP 服务器的质询密码。
您可以使用以下命令设置证书请求密钥对所需的密钥大小。 默认值为 2048。
xConfiguration 安全注册密钥大小:<2048, 3072, 4096>
我们发送有效期为一年的证书请求,以确认证书到期。 服务器端策略可以在证书签名期间更改到期日期。
以太网连接
当设备连接到网络时,请确保它可以访问 SCEP 服务器。 该设备应连接到没有 802.1x 的网络以获取 IP 地址。 为了获得 IP 地址,可能需要向配置网络提供设备的 MAC 地址。 MAC 地址可以在 UI 上或设备背面的标签上找到。
设备连接到网络后,您可以通过 SSH 连接到设备 行政 访问 TSH,然后运行以下命令发送注册 SCEP 请求:
xCommand 安全证书服务注册 SCEP 请求
一旦 SCEP 服务器返回签名的设备证书,就激活 802.1X。
激活签名的证书:
xCommand 安全证书服务激活
激活证书后重新启动设备。
无线连接
当设备连接到无线网络时,请确保它可以访问 SCEP 服务器。
设备连接到网络后,您可以通过 SSH 连接到设备 行政 访问 TSH,然后运行以下命令发送注册 SCEP 请求:
xCommand 安全证书服务注册 SCEP 请求
设备从 SCEP 服务器接收签名的证书。
激活签名的证书:
xCommand 安全证书服务激活
激活后,您需要使用 EAP-TLS 身份验证配置 Wi-Fi 网络。
xCommand 网络 Wifi 配置
默认情况下,Wi-Fi 配置会跳过服务器验证检查。 如果只需要单向身份验证,则保留 允许缺失 CA 默认为 真的。
要强制服务器验证,请确保 允许缺失 CA 可选参数设置为 错误的。 如果由于服务验证错误而无法建立连接,请检查是否已添加正确的 CA 来验证服务器证书(该证书可能与设备证书不同)。
API 描述
角色:管理员、集成员
xCommand 安全证书服务注册 SCEP 请求
将 CSR 发送到给定的 SCEP 服务器进行签名。 CSR SubjectName 参数将按照以下顺序构造:C、ST、L、O、OUs、CN。
参数:
-
URL(r): <S: 0, 256>
SCEP 服务器的 URL 地址。
-
指纹(r):<S:0,128>
将签署 SCEP 请求 CSR 的 CA 证书指纹。
-
通用名称(r):<S: 0, 64>
将“/CN=”添加到 CSR 主题名称。
-
质询密码:<S: 0, 256>
来自 SCEP 服务器的 OTP 或共享密钥,用于访问签名。
-
国家/地区名称:<S: 0, 2>
将“/C=”添加到 CSR 主题名称。
-
州或省名称:<S: 0, 64>
将“/ST=”添加到 CSR 主题名称。
-
地点名称:<S: 0, 64>
将“/L=”添加到 CSR 主题名称。
-
组织名称:<S: 0, 64>
将“/O=”添加到 CSR 主题名称。
-
组织单位[5]: <S: 0, 64>
向 CSR 主题名称添加最多 5 个“/OU=”参数。
-
SanDns[5]: <S: 0, 64>
向 CSR 主题备用名称添加最多 5 个 DNS 参数。
-
SanEmail[5]: <S: 0, 64>
向 CSR 主题备用名称添加最多 5 个电子邮件参数。
-
SanIp[5]: <S: 0, 64>
向 CSR 主题备用名称添加最多 5 个 Ip 参数。
-
SanUri[5]: <S: 0, 64>
向 CSR 主题备用名称添加最多 5 个 URI 参数。
xCommand 安全证书服务注册配置文件删除
删除注册配置文件以不再更新证书。
参数:
-
指纹(r):<S:0,128>
标识您要删除的配置文件的 CA 证书指纹。 您可以通过运行以下命令来查看要删除的有空配置文件:
xCommand 安全证书服务注册配置文件列表
xCommand 安全证书服务注册配置文件列表
列出证书续订的注册配置文件。
xCommand 安全证书服务注册 SCEP 配置文件设置指纹 (r): <S: 0, 128> URL (r): <S: 0, 256>
为 CA 指纹颁发的证书添加注册配置文件,以使用给定的 SCEP URL 进行续订。
续约
xCommand 安全证书服务注册 SCEP 配置文件集
为了自动更新证书,设备需要能够访问可以重新签署证书的 SCEP Url。
设备将每天检查一次将在 45 天内过期的证书。 如果证书颁发者与配置文件匹配,设备将尝试更新这些证书。
注意:所有设备证书都将接受续订检查,即使证书最初不是使用 SCEP 注册的。
航海家
-
直接配对:已注册的证书可以激活为“配对”证书。
-
远程配对:告诉导航器使用外围设备的 ID 注册新的 SCEP 证书:
xCommand Peripherals 安全证书服务注册 SCEP 请求
注册资料会自动同步到配对的导航器。
-
独立导航器:与编解码器注册相同
在 Room Navigator 上配置 802.1x 身份验证
您可以直接从 Room Navigator 的“设置”菜单设置 802.1x 身份验证。
802.1x 身份验证标准对于以太网尤其重要,它确保只有授权设备才能访问网络资源。
根据您在网络中配置的 EAP 方法,有不同的登录选项有空。 例如:
- TLS:未使用用户名和密码。
- PEAP:未使用证书。
- TTLS:用户名/密码和证书都是必需的;两者都不是可选的。
有几种方法可以在设备上获取客户端证书:
- 上传 PEM:使用安全证书服务添加功能。
- 创建 CSR:生成证书签名请求(CSR),对其进行签名,并使用安全证书 CSR 创建/链接对其进行链接。
- SCEP:利用安全证书服务注册 SCEP 请求。
- DHCP 选项 43:通过此选项配置证书传送。
应该设置并更新 802.1x 的证书 配对前 将 Room Navigator 恢复到系统后,或者将 Room Navigator 恢复出厂设置后。
默认凭据是管理员和空白密码。 有关如何通过访问 API 添加证书的更多信息,请参阅 API 指南的最新版本 。
- 点击右上角的按钮或从右侧滑动,打开导航器上的控制面板。 然后点击设备设置。
- 前往 网络连接 并选择 以太网 。
- 开启使用 IEEE 802.1X。
- 如果使用凭证设置了身份验证,请输入用户身份和密码。 您还可以输入匿名身份:这是一个可选字段,它提供了一种将实际用户的身份与初始身份验证请求分开的方法。
- 您可以切换 TLS 验证 关闭或打开。 当 TLS verify 开启时,客户端会在 TLS 握手过程中主动验证服务器证书的真实性。 当 TLS verify 关闭时,客户端不会对服务器的证书执行主动验证。
- 如果您已通过访问 API 上传了客户端证书,请切换 使用客户端证书 在。
- 切换 可扩展身份验证协议 (EAP) 您想要使用的方法。 EAP 方法的选择取决于具体的安全要求、基础设施和客户端功能。 EAP 方法对于实现安全和经过身份验证的网络访问至关重要。