可以从设备的本地 web 界面添加证书。 或者,您可以通过运行 API 命令来添加证书。 要查看哪些命令允许您添加证书,请参阅 roomos.cisco.com

服务证书和受信任的 CA

使用 TLS(传输层安全)时,可能需要进行证书验证。 在建立通信之前,服务器或客户端可能要求设备向它们提供有效证书。

证书是验证设备真实性的文本文件。 这些证书必须由受信任的证书颁发机构 (CA) 签名。 要验证证书的签名,设备上必须驻留受信任 CA 的列表。 此列表必须包括验证审计日志记录和其他连接的证书所需的所有 CA。

证书将用于以下服务:HTTPS 服务器、SIP、IEEE 802.1X 和审计日志记录。 您可以在设备上存储多个证书,但每次只为每个服务启用一个证书。

在 RoomOS 2023 年 10 月及更高版本上,当您向设备添加 CA 证书时,该证书也会应用于会议室导航器(如果已连接)。 要将之前添加的 CA 证书同步到连接的会议室导航器,您必须重新启动设备。 如果您不希望外围设备获得与其连接到的设备相同的证书,请将配置 外围设备安全证书 SyncToPeripherals 设置为 False

以前存储的证书不会自动删除。 含 CA 证书的新文件中的条目将附加到现有列表中。

用于 Wi-Fi 连接

如果您的网络使用 WPA-EAP 身份验证,我们建议您为每个 Board、Desk 或 Room 系列设备添加受信任的 CA 证书。 您必须为每个设备分别这样做,然后再连接到 Wi-Fi。

要添加 Wi-Fi 连接证书,您需要以下文件:

  • CA 证书列表(文件格式:.PEM)

  • 证书(文件格式:.PEM)

  • 私钥,可以是一个单独的文件,也可以与证书包含在同一文件中(文件格式:.PEM)

  • 密码(仅在私钥加密时需要)

证书和私钥存储在设备上的同一文件中。 如果验证失败,将不会建立连接。

私钥和口令不会应用于连接的外设。

在 Board、Desk 和 Room 系列设备上添加证书

1

从 https://admin.webex.com 中的 客户视图,转至 “设备 ”页面,然后在列表中选择您的设备。 转至“ 支持” 并启动 “本地设备控制 ”。

如果您在设备上设置了一个本地 Admin 用户,可以打开 Web 浏览器并键入 http(s)://<终端 ip 或主机名>,直接访问 Web 界面。

2

导航到安全性 > 证书 > 自定义 > 添加证书,然后上传您的 CA 根证书。

3

在 openssl 上,生成私钥和证书请求。 复制证书请求的内容。 然后粘贴其以从您的证书颁发机构 (CA) 请求服务器证书。

4

下载由您的 CA 签名的服务器证书。确保该证书位于中。PEM 格式。

5

导航到安全性 > 证书 > 服务 > 添加证书,然后上传私钥和服务器证书。

6

启用要用于刚添加的证书的服务。

简单证书注册协议(SCEP)

简单证书注册协议(SCEP)提供了一种自动机制,用于注册和刷新设备上用于 802.1X 身份验证等的证书。 SCEP 允许您维护设备对安全网络的访问,而无需手动干预。

  • 当设备为新设备或已恢复出厂设置时,需要网络访问才能访问 SCEP URL。 设备应在没有 802.1X 的情况下连接到网络以获取 IP 地址。

  • 如果使用无线注册 SSID,则需要通过载入屏幕来配置与网络的连接。

  • 连接到预配置网络后,设备在此阶段无需位于特定的载入屏幕上。

  • 为了适合所有部署,SCEP 注册 xAPI 不会存储用于签署设备证书的 CA 证书。 对于服务器身份验证,用于验证服务器证书的 CA 证书需要使用 xCommand 安全证书 CA Add 添加

必备条件

您需要以下信息:

  • SCEP 服务器的 URL。

  • 签名 CA(Certificate Authority)证书的指纹。

  • 要注册的证书的信息。 这构成了 证书的使用者名称

    • 公用名

    • 国家名称

    • 省/自治区名称

    • 地区名称

    • 组织名称

    • 组织单位

  • 使用者名称将按 /C= /ST= /L= /O= /OU= /CN= 的顺序排序

  • SCEP 服务器的质询密码(如果您已将 SCEP 服务器配置为强制执行 OTP 或共享密钥)。

您可以使用以下命令设置证书请求密钥对所需的密钥大小。 默认值为 2048。

 x 配置安全注册密钥大小:<2048、3072、4096>

我们发送有效期为一年的证书请求,直至证书过期。 服务器端策略可以在证书签名期间更改到期日期。

以太网连接

当设备连接到网络时,请确保它可以访问 SCEP 服务器。 设备应连接到没有 802.1x 的网络以获取 IP 地址。 可能需要向预配置网络提供设备的 MAC 地址才能获取 IP 地址。 MAC 地址可以在 UI 或设备背面的标签上找到。

设备连接到网络后,您可以以管理员 身份 通过 SSH 连接到设备以访问 TSH,然后运行以下命令发送注册 SCEP 请求: 

xCommand 安全证书服务注册 SCEP 请求

SCEP 服务器返回签名的设备证书后,激活 802.1X。

激活签名证书:

xCommand 安全证书服务激活

激活证书后重新启动设备。

无线连接

当设备连接到无线网络时,请确保它可以访问 SCEP 服务器。

设备连接到网络后,您可以以管理员 身份 通过 SSH 连接到设备以访问 TSH,然后运行以下命令发送注册 SCEP 请求: 

xCommand 安全证书服务注册 SCEP 请求

设备从 SCEP 服务器接收签名证书。

激活签名证书: 

xCommand 安全证书服务激活

激活后,您需要为 Wi-Fi 网络配置 EAP-TLS 身份验证。 

xCommand 网络 Wifi 配置

默认情况下,Wi-Fi 配置跳过服务器验证检查。 如果只需要单向验证,则将 AllowMissingCA 保持在 缺省值 True

若要强制服务器验证,请确保 将 AllowMissingCA 可选参数设置为 False。 如果由于服务验证错误而无法建立连接,请检查是否已添加正确的 CA 以验证可能与设备证书不同的服务器证书。

API 描述

角色:管理员、集成商

xCommand 安全证书服务注册 SCEP 请求

将 CSR 发送到给定的 SCEP 服务器进行签名。 CSR SubjectName 参数将按以下顺序构造:C、ST、L、O、OUS、CN。

参数:

  • URL(r):<S:0,256>

    SCEP 服务器的 URL 地址。

  • 指纹:<S:0,128>

    将签署 SCEP 请求 CSR 的 CA 证书指纹。

  • 公用名):<S:0,64>

    将“/CN=”添加到 CSR 使用者名称。

  • 质询密码:<S:0,256>

    来自 SCEP 服务器的 OTP 或共享密钥,用于访问签名。

  • 国家名称:<S:0,2>

    将“/C=”添加到 CSR 使用者名称。

  • StateOrProvinceName:<S:0,64>

    将“/ST=”添加到 CSR 使用者名称。

  • 位置名称:<S:0,64>

    将“/L=”添加到 CSR 使用者名称。

  • 组织名称:<S:0,64>

    将“/O=”添加到 CSR 使用者名称。

  • 组织单位[5]:<S:0,64>

    向 CSR 使用者名称添加最多 5 个“/OU=”参数。

  • SanDns[5]:<S:0,64>

    向 CSR 使用者备用名称添加最多 5 个 Dns 参数。

  • SanEmail[5]:<S:0,64>

    向 CSR 使用者备用名称添加最多 5 个电子邮件参数。

  • SanIp[5]:<S:0,64>

    向 CSR 使用者备用名称添加最多 5 个 Ip 参数。

  • SanUri[5]:<S:0,64>

    向 CSR 使用者备用名称添加最多 5 个 Uri 参数。

xCommand 安全证书服务注册配置文件删除

删除注册配置文件以不再续订证书。

参数:

  • 指纹:<S:0,128>

    要删除的证书的唯一标识符。 您可以通过运行以下命令获取指纹标识:

     xCommand 安全证书服务显示

xCommand 安全证书服务注册配置文件列表

列出证书续订的注册配置文件。

 xCommand 安全证书服务注册 SCEP 配置文件集指纹(r):<S:0,128> URL(r):<S:0,256>

添加新证书

更新

 xCommand 安全证书服务注册 SCEP 配置文件集

为了自动续订证书,设备需要能够访问可以重新签名证书的 SCEP URL。

设备将每天检查一次将在 45 天后过期的证书。 然后,如果这些证书的颁发者与配置文件匹配,设备将尝试续订这些证书。

注意:将检查所有设备证书是否续订,即使证书最初未使用 SCEP 注册也是如此。

航海家

  1. 直接配对:已注册的证书可以作为“配对”证书激活。

  2. 远程配对:告知导航器使用外设 ID 注册新的 SCEP 证书:

    xCommand 外设安全证书服务注册 SCEP 请求 

    注册档案会自动同步到配对的导航器。

  3. 独立导航器:与编解码器注册相同