您可从设备的本地 Web 界面添加证书。或者,您可以通过运行 API 命令添加证书。要查看哪些命令允许您添加证书,请参阅 roomos.cisco.com

服务证书和受信任的CA

使用 TLS(传输层安全性)时可能需要证书验证。服务器或客户端可能要求设备在设置通信前提供有效的证书。

证书是验证设备真实性的文本文件。这些证书必须由受信任的证书颁发机构 (CA) 签名。要验证证书的签名,设备上必须包含受信任的CA列表。列表必须包含验证审核日志记录和其他连接的证书所需的所有 CA。

证书用于以下服务:HTTPS 服务器、SIP、IEEE 802.1X 和审核日志记录。您可以在设备上存储多个证书,但一次仅为每项服务启用一个证书。

在RoomOS October 2023及更高版本中,当您将CA证书添加到设备时,如果已连接到Room Navigator,也会将其应用于该设备。要将先前添加的CA证书同步到已连接的Room Navigator,必须重新启动设备。如果您不希望外围设备获得与其连接的设备相同的证书,请将配置外围安全证书同步至外围设备 设置为FALSE

以前存储的证书不会自动删除。具有 CA 证书的新文件中条目已经附加到现有列表中。

用于Wi-Fi连接

如果您的网络使用WPA-EAP身份验证,我们建议您为每个板、桌面或会议室系列设备添加可信的CA证书。您必须针对每个设备单独执行此操作,然后连接到 Wi-Fi。

要添加 Wi-Fi 连接的证书,您需要以下文件:

  • CA证书列表(文件格式:。PEM)

  • 证书(文件格式:。PEM)

  • 私钥,可作为单独文件或包含在证书的同一文件中(文件格式:。PEM)

  • 密码(仅在对私钥进行加密时需要)

证书和私钥存储在设备的同一文件中。如果验证失败,将不会建立连接。


私钥和密码短语不适用于已连接的外设。

在板、办公桌和会议室系列设备上添加证书

1

从 中的客户视图 https://admin.webex.com ,转至设备页面,然后从列表中选择设备。转至 支持 并启动 本地设备控制

如果您在设备上设置了本地管理员 用户,可以通过打开Web浏览器并输入 http(s)://直接访问Web界面。

2

导航至安全>证书> 自定义>添加证书并上传 CA 根证书证书。

3

在 上,生成私钥和证书请求。复制证书请求的内容。然后粘贴它以从证书颁发机构 (CA) 申请服务器证书。

4

下载由 CA 签署的服务器证书。确保其位于 中。PEM 格式。

5

导航至安全>服务 >证书>添加证书并上传私钥和服务器证书。

6

启用要用于刚刚添加的证书的服务。

简单证书注册协议(SCEP)

简单证书注册协议(SCEP)提供了用于注册和刷新证书的自动机制,例如在设备上使用802.1X身份验证。SCEP允许您保持设备对安全网络的访问权限,无需人工干预。

  • 当设备是新设备或已出厂重置时,需要网络访问才能到达SCEP URL。设备应连接至网络,而无需802。1X即可获得IP地址。

  • 如果使用无线注册SSID,则需要通过入职屏幕配置与网络的连接。

  • 连接至配置网络后,设备在此阶段无需处于特定入门屏幕上。

  • 要满足所有部署,SCEP Enrollment xAPI不会存储用于签署设备证书的CA证书。对于服务器验证,用于验证服务器证书的CA证书需要使用 xCommand安全证书CA Add 添加。

先决条件

您需要以下信息:

  • SCEP服务器的URL。

  • 签名CA(证书颁发机构)证书的指纹。

  • 要注册的证书信息。这构成证书的主体名称

    • 常用名称

    • 国家名称

    • 组织名称

  • 如果您已配置SCEP服务器以执行OTP或共享秘密,则SCEP服务器的挑战密码。

我们发送证书申请,证书有效期为一年,直至证书过期。服务器端策略可以在证书签名期间更改到期日期。

以太网连接

当设备连接到网络时,请确保其能够访问SCEP服务器。设备应连接到没有802.1x 的网络,以获取IP地址。设备的MAC地址可能需要提供给配置网络,才能获得IP地址。MAC地址可以在UI或设备背面的标签上找到。

设备连接到网络后,您可以以管理员 身份将SSH连接到设备,以访问TSH,然后运行以下命令发送注册SCEP请求:
xCommand安全证书服务注册SCEP请求

SCEP服务器返回已签署的设备证书后,启动802.1X,然后重新启动设备。

激活已签署的证书:
xCommand安全证书服务激活

激活证书后重新启动设备。

无线连接

当设备连接到无线网络时,请确保其能够访问SCEP服务器。

设备连接到网络后,您可以以管理员 身份将SSH连接到设备,以访问TSH,然后运行以下命令发送注册SCEP请求:
xCommand安全证书服务注册SCEP请求

设备从SCEP服务器接收已签署的证书。

激活已签署的证书: 

xCommand安全证书服务激活
激活后,您需要使用EAP-TLS身份验证配置Wi-Fi网络。
xCommand网络Wifi配置

默认情况下,Wi-Fi配置跳过服务器验证检查。如果仅需要单向验证,请将AllowMissingCA 默认设置为True

要强制服务器验证,请确保AllowMissingCA 可选参数设置为False。如果由于服务验证错误而无法建立连接,请检查是否已添加正确的CA以验证可能与设备证书不同的服务器证书。

API描述

角色:管理员、集成商

xCommand安全证书服务注册SCEP请求

请求并下载已签署的设备证书

参数:

  • URL(r): <S:0, 128>

    用于注册证书的SCEP服务器URL。

  • 指纹(r): <S:0, 128>

    将签署X509请求的发出CA的指纹。

  • ChallengePassword: <s:0, 128>

    由SCEP服务器设置的共享密码。

  • CommonName(r): <S:0, 128>

  • 国家/地区名称: <S:0, 128>

  • 组织名称: <S:0, 128>

  • SanDns[5]: <S:0, 128>

  • SanEmail[5]: <S:0, 128>

  • SanIp[5]: <S:0, 128>

  • SanUri[5]: <S:0, 128>

xCommand安全证书服务注册SCEP续订请求

创建或更新适用于给定CA颁发的所有证书的自动帐户配置文件

参数:

  • 指纹(r): <S:0, 128>

    签署证书的签发人CA指纹。

  • URL(r): <S:0, 128>

    用于更新证书的SCEP服务器URL。 

xCommand安全证书服务注册SCEP续订删除

删除给定CA的自设配置文件。这会停止由此CA签名的证书

参数:

  • 指纹(r): <S:0, 128>

    要删除发出CA的指纹。

xCommand安全证书服务注册SCEP续订列表

列出当前使用的所有自带配置文件。