您可以从设备的本地 Web 界面添加证书。 或者，您可以通过运行 API 命令来添加证书。 要查看哪些命令允许您添加证书，请参阅 roomos.cisco.com 。

服务证书和受信任的 CA

使用 TLS（传输层安全性）时，可能需要证书验证。 服务器或客户端可能要求设备在设置通信之前向其提供有效的证书。

证书是验证设备真实性的文本文件。 这些证书必须由受信任的 Certificate Authority（CA）签名。 要验证证书的签名，设备上必须驻留受信任 CA 的列表。 该列表必须包括验证审核日志记录和其他连接的证书所需的所有 CA。

证书用于以下服务：HTTPS 服务器、SIP、IEEE 802.1X 和审核日志记录。 您可以在设备上存储多个证书，但一次只能为每个服务启用一个证书。

在 RoomOS 2023 年 10 月及更高版本上，当您向设备添加 CA 证书时，该证书也会应用于 Room Navigator（如果已连接）。 要将之前添加的 CA 证书同步到连接的 Room Navigator，您必须重新启动设备。 如果您不希望外围设备获得与其连接到的设备相同的证书，请将配置 外围设备安全证书 SyncToPeripherals 设置为 False。

对于 Wi-Fi 连接

如果您的网络使用 WPA-EAP 身份验证，我们建议您为每个 Board、Desk 或 Room 系列设备添加受信任的 CA 证书。 在连接到 Wi-Fi 之前，您必须为每个设备单独执行此作。

要为 Wi-Fi 连接添加证书，您需要以下文件：

• CA 证书列表（文件格式：.PEM）

• 证书（文件格式：.PEM）

• 私钥，可以作为单独的文件，也可以与证书包含在同一个文件中（文件格式：.PEM）

• 密码（仅在私钥加密时需要）

证书和私钥存储在设备上的同一文件中。 如果身份验证失败，将不会建立连接。

管理员必须从 Control Hub 为云注册的 Board、Desk 或 Room 系列设备生成证书签名请求（CSR）。

请按照以下步骤生成 CSR 并将签名证书上传到您的设备：

1. 从 Control Hub 中的客户视图，转至“设备”页面并从列表中选择您的设备。
2. 导航到运行 xCommand >> 安全>证书> CSR > 创建的作。
3. 输入所需的证书详细信息，然后选择执行。
4. 复制 ---- 开始证书请求 ---- 和 ---- 结束证书请求之间的所有文本 ----.
5. 使用您选择的 Certificate Authority（CA）对 CSR 进行签名。
6. 以 PEM（Base64 编码）格式导出签名证书。
7. 在文本编辑器（例如记事本）中打开签名的证书文件，然后复制 ----BEGIN CERTIFICATE---- 和 ----END CERTIFICATE 之间的所有文本 ----.
8. 在 Control Hub 中，导航到设备>选择您的设备>作>运行 xCommand > 安全>证书> CSR > 链接。
9. 将复制的证书内容粘贴到“正文”部分，然后选择“执行”。
10. 刷新页面以验证证书是否显示在“现有证书”下。

简单证书注册协议（SCEP）提供了一种自动机制，用于注册和刷新设备上用于 802.1X 身份验证等的证书。 SCEP 允许您维护设备对安全网络的访问，而无需手动干预。

• 当设备为新设备或已恢复出厂设置时，需要网络访问才能访问 SCEP URL。 设备应在没有 802.1X 的情况下连接到网络以获取 IP 地址。

• 如果使用无线注册 SSID，请通过载入屏幕以配置与网络的连接。

• 连接到预配置网络后，设备无需位于特定的载入屏幕上。

• 为了适合所有部署，SCEP 注册 xAPI 不会存储用于签署设备证书的 CA 证书。 对于服务器身份验证，用于验证服务器证书的 CA 证书需要与 xCommand 安全证书 CA Add 一起添加。

必备条件

您需要以下信息：

• SCEP 服务器的 URL。

• 签名 CA（Certificate Authority）证书的指纹。

• 要注册的证书的信息。 这构成了 证书的使用者名称 。

  • 公用名

  • 国家名称

  • 省/自治区名称

  • 地区名称

  • 组织名称

  • 组织单位

• 使用者名称将按 /C= /ST= /L= /O= /OU= /CN= 的顺序排序

• SCEP 服务器的质询密码（如果您已将 SCEP 服务器配置为强制执行 OTP 或共享密钥）。

您可以使用以下命令设置证书请求密钥对所需的密钥大小。 默认值为 2048。

 x 配置安全注册密钥大小：<2048、3072、4096>

我们发送有效期为一年的证书请求，直至证书过期。 服务器端策略可以在证书签名期间更改到期日期。

以太网连接

当设备连接到网络时，请确保它可以访问 SCEP 服务器。 设备应连接到没有 802.1x 的网络以获取 IP 地址。 可能需要向预配置网络提供设备的 MAC 地址才能获取 IP 地址。 MAC 地址可以在 UI 或设备背面的标签上找到。

设备连接到网络后，您可以以管理员 身份 通过 SSH 连接到设备以访问 TSH，然后运行以下命令发送注册 SCEP 请求：

xCommand 安全证书服务注册 SCEP 请求 

SCEP 服务器返回签名的设备证书后，激活 802.1X。

激活签名证书：

xCommand 安全证书服务激活 

激活证书后重新启动设备。

无线连接

当设备连接到无线网络时，请确保它可以访问 SCEP 服务器。

设备连接到网络后，您可以以管理员 身份 通过 SSH 连接到设备以访问 TSH，然后运行以下命令发送注册 SCEP 请求：

xCommand 安全证书服务注册 SCEP 请求 

设备从 SCEP 服务器接收签名证书。

激活签名证书：

xCommand 安全证书服务激活

激活后，您需要使用 EAP-TLS 身份验证配置 Wi-Fi 网络。

xCommand 网络 Wifi 配置 

默认情况下，Wi-Fi 配置会跳过服务器验证检查。 如果只需要单向验证，则将 AllowMissingCA 保持在 缺省值 True。

若要强制服务器验证，请确保 将 AllowMissingCA 可选参数设置为 False。 如果由于服务验证错误而无法建立连接，请检查是否已添加正确的 CA 以验证可能与设备证书不同的服务器证书。

API 描述

角色：管理员、集成商

xCommand 安全证书服务注册 SCEP 请求

将 CSR 发送到给定的 SCEP 服务器进行签名。 CSR SubjectName 参数将按以下顺序构造：C、ST、L、O、OUS、CN。

参数：

• URL（r）：<S：0，256>

  SCEP 服务器的 URL 地址。

• 指纹：<S：0，128>

  将对 SCEP 请求 CSR 进行签名的 CA 证书指纹。

• 公用名）：<S：0，64>

  将“/CN=”添加到 CSR 使用者名称。

• 质询密码：<S：0，256>

  来自 SCEP 服务器的 OTP 或共享密钥，用于访问签名。

• 国家名称：<S：0，2>

  将“/C=”添加到 CSR 使用者名称。

• StateOrProvinceName：<S：0，64>

  将“/ST=”添加到 CSR 使用者名称。

• 位置名称：<S：0，64>

  将“/L=”添加到 CSR 使用者名称。

• 组织名称：<S：0，64>

  将“/O=”添加到 CSR 使用者名称。

• 组织单位[5]：<S：0，64>

  向 CSR 使用者名称添加最多 5 个“/OU=”参数。

• SanDns[5]：<S：0，64>

  向 CSR 使用者备用名称添加最多 5 个 DNS 参数。

• SanEmail[5]：<S：0，64>

  向 CSR 使用者备用名称添加最多 5 个电子邮件参数。

• SanIp[5]：<S：0，64>

  向 CSR 使用者备用名称添加最多 5 个 Ip 参数。

• SanUri[5]：<S：0，64>

  向 CSR 使用者备用名称添加最多 5 个 URI 参数。

xCommand 安全证书服务注册配置文件删除

删除注册配置文件以不再续订证书。

参数：

• 指纹：<S：0，128>

  用于标识要删除的配置文件的 CA 证书指纹。 您可以通过运行以下命令查看要删除有空配置文件：

  xCommand 安全证书服务注册配置文件列表

xCommand 安全证书服务注册配置文件列表

列出证书续订的注册配置文件。

 xCommand 安全证书服务注册 SCEP 配置文件集指纹（r）：<S：0，128> URL（r）：<S：0，256>

为 CA 指纹颁发的证书添加注册配置文件，以使用给定的 SCEP URL 进行续订。

更新

 xCommand 安全证书服务注册 SCEP 配置文件集

为了自动续订证书，设备需要能够访问可以重新签名证书的 SCEP URL。

设备将每天检查一次将在 45 天后过期的证书。 然后，如果这些证书的颁发者与配置文件匹配，设备将尝试续订这些证书。

注意：将检查所有设备证书是否续订，即使证书最初未使用 SCEP 注册也是如此。

航海家

1. 直接配对：已注册的证书可以作为“配对”证书激活。

2. 远程配对：告知导航器使用外设 ID 注册新的 SCEP 证书：

   xCommand 外设安全证书服务注册 SCEP 请求 

   注册档案会自动同步到配对的导航器。

3. 独立导航器：与编解码器注册相同

您可以直接从 Room Navigator 的“设置”菜单中设置 802.1x 身份验证。

802.1x 身份验证标准对于以太网网络尤为重要，它确保只有经过授权的设备才能访问网络资源。

根据网络中配置的 EAP 方法，有空不同的登录选项。 例如：

• TLS：不使用用户名和密码。
• PEAP：不使用证书。
• TTLS：需要用户名/密码和证书；两者都不是可选的。

有几种方法可以在设备上获取客户端证书：

1. 上传 PEM：使用安全证书服务添加功能。
2. 创建 CSR：生成证书签名请求（CSR），对其进行签名，然后使用安全证书 CSR 创建/链接进行链接。
3. SCEP：利用安全证书服务注册 SCEP 请求。
4. DHCP 选项 43：通过此选项配置证书交付。

设置和更新 802.1x 的证书应在 将 Room Navigator 与系统配对 之前或将 Room Navigator 恢复出厂设置之后完成。

默认凭据为 admin 和空白密码。 有关如何通过访问 API 添加证书的详细信息，请参阅 API 指南 的最新版本。

1. 通过点击右上角的按钮或从右侧滑动打开导航器上的控制面板。 然后点击设备设置。
2. 转到网络连接 ，然后选择 以太网 。
3. 开启使用 IEEE 802.1X。
   • 如果使用凭据设置了身份验证，请输入用户身份和密码。 您还可以输入匿名身份：这是一个可选字段，用于将实际用户的身份与初始身份验证请求分开。
   • 您可以 关闭或开启 TLS 验证 。 打开 TLS 验证后，客户端会在 TLS 握手期间主动验证服务器证书的真实性。 当 TLS 验证关闭时，客户端不会对服务器的证书执行主动验证。
   • 如果您已通过访问 API 上传了客户端证书，请将“ 使用客户端证书 ”切换为“打开”。
   • 切换要使用的可扩展身份验证协议（EAP） 方法。 EAP 方法的选择取决于特定的安全要求、基础结构和客户端功能。 EAP 方法对于实现安全和经过身份验证的网络访问至关重要。