可以从设备的本地 web 界面添加证书。 或者,您可以通过运行 API 命令来添加证书。 要查看哪些命令允许您添加证书,请参阅 roomos.cisco.com

服务证书和受信任的 CA

使用 TLS(传输层安全)时,可能需要进行证书验证。 在建立通信之前,服务器或客户端可能要求设备向它们提供有效证书。

证书是验证设备真实性的文本文件。 这些证书必须由受信任的证书颁发机构 (CA) 签名。 要验证证书的签名,设备上必须驻留受信任 CA 的列表。 此列表必须包括验证审计日志记录和其他连接的证书所需的所有 CA。

证书将用于以下服务:HTTPS 服务器、SIP、IEEE 802.1X 和审计日志记录。 您可以在设备上存储多个证书,但每次只为每个服务启用一个证书。

在 RoomOS 2023 年 10 月及更高版本上,当您向设备添加 CA 证书时,该证书也会应用于会议室导航器(如果已连接)。 要将之前添加的 CA 证书同步到连接的会议室导航器,您必须重新启动设备。 如果您不希望外围设备获得与其连接到的设备相同的证书,请将配置 外围设备安全证书 SyncToPeripherals 设置为 False

以前存储的证书不会自动删除。 含 CA 证书的新文件中的条目将附加到现有列表中。

对于 Wi-Fi 连接

如果您的网络使用 WPA-EAP 身份验证,我们建议您为每个 Board、Desk 或 Room 系列设备添加受信任的 CA 证书。 您必须为每个设备分别这样做,然后再连接到 Wi-Fi。

要添加 Wi-Fi 连接证书,您需要以下文件:

  • CA 证书列表(文件格式:.PEM)

  • 证书(文件格式:.PEM)

  • 私钥,可以是一个单独的文件,也可以与证书包含在同一文件中(文件格式:.PEM)

  • 密码(仅在私钥加密时需要)

证书和私钥存储在设备上的同一文件中。 如果验证失败,将不会建立连接。

私钥和口令不会应用于连接的外设。

在 Board、Desk 和 Room 系列设备上添加证书

1

从 https://admin.webex.com 中的 客户视图,转至 “设备 ”页面,然后在列表中选择您的设备。 转至“ 支持” 并启动 “本地设备控制 ”。

如果您在设备上设置了一个本地 Admin 用户,可以打开 Web 浏览器并键入 http(s)://<终端 ip 或主机名>,直接访问 Web 界面。

2

导航到安全性 > 证书 > 自定义 > 添加证书,然后上传您的 CA 根证书。

3

在 openssl 上,生成私钥和证书请求。 复制证书请求的内容。 然后粘贴其以从您的证书颁发机构 (CA) 请求服务器证书。

4

下载由您的 CA 签名的服务器证书。确保该证书位于中。PEM 格式。

5

导航到安全性 > 证书 > 服务 > 添加证书,然后上传私钥和服务器证书。

6

启用要用于刚添加的证书的服务。

简单证书注册协议(SCEP)

简单证书注册协议(SCEP)提供了一种自动机制,用于注册和刷新设备上用于 802.1X 身份验证等的证书。 SCEP 允许您维护设备对安全网络的访问,而无需手动干预。

  • 当设备为新设备或已恢复出厂设置时,需要网络访问才能访问 SCEP URL。 设备应在没有 802.1X 的情况下连接到网络以获取 IP 地址。

  • 如果使用无线注册 SSID,则需要通过载入屏幕来配置与网络的连接。

  • 连接到预配置网络后,设备在此阶段无需位于特定的载入屏幕上。

  • 为了适合所有部署,SCEP 注册 xAPI 不会存储用于签署设备证书的 CA 证书。 对于服务器身份验证,用于验证服务器证书的 CA 证书需要使用 xCommand 安全证书 CA Add 添加

必备条件

您需要以下信息:

  • SCEP 服务器的 URL。

  • 签名 CA(Certificate Authority)证书的指纹。

  • 要注册的证书的信息。 这构成了 证书的使用者名称

    • 公用名

    • 国家名称

    • 省/自治区名称

    • 地区名称

    • 组织名称

    • 组织单位

  • 使用者名称将按 /C= /ST= /L= /O= /OU= /CN= 的顺序排序

  • SCEP 服务器的质询密码(如果您已将 SCEP 服务器配置为强制执行 OTP 或共享密钥)。

您可以使用以下命令设置证书请求密钥对所需的密钥大小。 默认值为 2048。

 x 配置安全注册密钥大小:<2048、3072、4096>

我们发送有效期为一年的证书请求,直至证书过期。 服务器端策略可以在证书签名期间更改到期日期。

以太网连接

当设备连接到网络时,请确保它可以访问 SCEP 服务器。 设备应连接到没有 802.1x 的网络以获取 IP 地址。 可能需要向预配置网络提供设备的 MAC 地址才能获取 IP 地址。 MAC 地址可以在用户界面或设备背面的标签上找到。

设备连接到网络后,您可以以管理员 身份 通过 SSH 连接到设备以访问 TSH,然后运行以下命令发送注册 SCEP 请求: 

xCommand 安全证书服务注册 SCEP 请求

SCEP 服务器返回签名的设备证书后,激活 802.1X。

激活签名证书:

xCommand 安全证书服务激活

激活证书后重新启动设备。

无线连接

当设备连接到无线网络时,请确保它可以访问 SCEP 服务器。

设备连接到网络后,您可以以管理员 身份 通过 SSH 连接到设备以访问 TSH,然后运行以下命令发送注册 SCEP 请求: 

xCommand 安全证书服务注册 SCEP 请求

设备从 SCEP 服务器接收签名证书。

激活签名证书: 

xCommand 安全证书服务激活

激活后,您需要使用 EAP-TLS 身份验证配置 Wi-Fi 网络。 

xCommand 网络 Wifi 配置

默认情况下,Wi-Fi 配置跳过服务器验证检查。 如果只需要单向验证,则将 AllowMissingCA 保持在 缺省值 True

若要强制服务器验证,请确保 将 AllowMissingCA 可选参数设置为 False。 如果由于服务验证错误而无法建立连接,请检查是否已添加正确的 CA 以验证可能与设备证书不同的服务器证书。

API 描述

角色:管理员、集成商

xCommand 安全证书服务注册 SCEP 请求

将 CSR 发送到给定的 SCEP 服务器进行签名。 CSR SubjectName 参数将按以下顺序构造:C、ST、L、O、OUS、CN。

参数:

  • URL(r):<S:0,256>

    SCEP 服务器的 URL 地址。

  • 指纹:<S:0,128>

    将对 SCEP 请求 CSR 进行签名的 CA 证书指纹。

  • 公用名):<S:0,64>

    将“/CN=”添加到 CSR 使用者名称。

  • 质询密码:<S:0,256>

    来自 SCEP 服务器的 OTP 或共享密钥,用于访问签名。

  • 国家名称:<S:0,2>

    将“/C=”添加到 CSR 使用者名称。

  • StateOrProvinceName:<S:0,64>

    将“/ST=”添加到 CSR 使用者名称。

  • 位置名称:<S:0,64>

    将“/L=”添加到 CSR 使用者名称。

  • 组织名称:<S:0,64>

    将“/O=”添加到 CSR 使用者名称。

  • 组织单位[5]:<S:0,64>

    向 CSR 使用者名称添加最多 5 个“/OU=”参数。

  • SanDns[5]:<S:0,64>

    向 CSR 使用者备用名称添加最多 5 个 DNS 参数。

  • SanEmail[5]:<S:0,64>

    向 CSR 主题备用名称添加最多 5 个电子邮件参数。

  • SanIp[5]:<S:0,64>

    向 CSR 使用者备用名称添加最多 5 个 Ip 参数。

  • SanUri[5]:<S:0,64>

    向 CSR 使用者备用名称添加最多 5 个 URI 参数。

xCommand 安全证书服务注册配置文件删除

删除注册配置文件以不再续订证书。

参数:

  • 指纹:<S:0,128>

    用于标识要删除的配置文件的 CA 证书指纹。 您可以通过运行以下命令查看要删除有空配置文件: 

    xCommand 安全证书服务注册配置文件列表

xCommand 安全证书服务注册配置文件列表

列出证书续订的注册配置文件。

 xCommand 安全证书服务注册 SCEP 配置文件集指纹(r):<S:0,128> URL(r):<S:0,256>

为 CA 指纹颁发的证书添加注册配置文件,以使用给定的 SCEP URL 进行续订。

更新

 xCommand 安全证书服务注册 SCEP 配置文件集

为了自动续订证书,设备需要能够访问可以重新签名证书的 SCEP URL。

设备将每天检查一次将在 45 天后过期的证书。 然后,如果这些证书的颁发者与配置文件匹配,设备将尝试续订这些证书。

注意:将检查所有设备证书是否续订,即使证书最初未使用 SCEP 注册也是如此。

航海家

  1. 直接配对:已注册的证书可以作为“配对”证书激活。

  2. 远程配对:告知导航器使用外设 ID 注册新的 SCEP 证书:

    xCommand 外设安全证书服务注册 SCEP 请求 

    注册档案会自动同步到配对的导航器。

  3. 独立导航器:与编解码器注册相同

在会议室导航器上配置 802.1x 身份验证

您可以直接从房间导航器的“设置”菜单中设置 802.1x 身份验证。

802.1x 身份验证标准对于以太网网络尤为重要,它确保只有经过授权的设备才能访问网络资源。 您可以使用用户名和密码向网络进行身份验证,也可以使用客户端证书。 也可以同时使用两者。 客户端证书必须通过 API 上传并激活,才能使用 802.1x 服务。

设置和更新 802.1x 的证书必须在 将房间导航器与系统配对 之前完成,或者在将房间导航器恢复出厂设置之后完成。

默认凭据为 admin 和空白密码。 有关如何通过访问 API 添加证书的详细信息,请参阅 最新版本的 API 指南

  1. 通过点击右上角的按钮或从右侧滑动打开导航器上的控制面板。 然后点击设备设置
  2. 转到网络连接 ,然后选择 以太网
  3. 开启使用 IEEE 802.1X
    • 如果使用凭据设置了身份验证,请输入用户身份和密码。 您还可以输入匿名身份:这是一个可选字段,用于将实际用户的身份与初始身份验证请求分开。
    • 您可以 关闭或开启 TLS 验证 。 打开 TLS 验证后,客户端会在 TLS 握手期间主动验证服务器证书的真实性。 当 TLS 验证关闭时,客户端不会对服务器的证书执行主动验证。
    • 如果已通过访问 API 上传了客户端证书,请将“ 使用客户端证书 ”切换为“打开”。
    • 切换要使用的可扩展身份验证协议(EAP) 方法。 EAP 方法的选择取决于特定的安全要求、基础结构和客户端功能。 EAP 方法对于实现安全和经过身份验证的网络访问至关重要。