您可以從裝置的本機 Web 介面新增憑證。 或者,您可以透過執行API 命令來新增憑證。 若要查看哪些指令可讓您新增證書,請造訪 roomos.cisco.com

服務憑證和受信任的 CA

使用 TLS 時,可能需要進行憑證驗證 (傳輸層安全性)。 伺服器或用戶端可能會在設定通訊前要求裝置提供有效憑證。

憑證為驗證裝置確實性的文字檔。 這些憑證必須由信任的認證授權單位 (CA) 簽署。 為了驗證憑證的簽名,設備上必須有一個受信任的 CA 清單。 清單必須包括所有需要的 CA,才能驗證稽核記錄和其他連線的憑證。

憑證會用於以下服務:HTTPS 伺服器、SIP、IEEE 802.1X 和稽核記錄。 您可以在裝置上儲存數個憑證,但每個服務一次只會啟用一個憑證。

在 RoomOS 2023 年 10 月及更高版本中,當您將 CA 憑證新增至裝置時,如果連接了 Room Navigator,該憑證也會套用至該裝置。 若要將先前新增的 CA 憑證同步到已連接的 Room Navigator,您必須重新啟動裝置。 如果您不希望週邊設備取得與其所連接設備相同的證書,請將設定 週邊設備安全性證書 SyncToPeripherals 設定為 False

先前儲存的憑證不會自動刪除。 新檔案中含 CA 憑證的項目會附加至現有的清單。

對於Wi-Fi 連接

如果您的網路使用 WPA-EAP 驗證,我們建議您為每個 Board、Desk 或 Room 系列裝置新增受信任的 CA 憑證。 您必須為每一台裝置個別執行此步驟,才能連接至 Wi-Fi。

若要為 Wi-Fi 連線新增憑證,您需要以下檔案:

  • CA 憑證清單 (檔案格式:.PEM)

  • 憑證 (檔案格式:.PEM)

  • 私密金鑰,可做為個別檔案或包含在憑證的相同檔案 (檔案格式:.PEM)

  • 複雜密碼 (僅在私密金鑰加密時才需要)

憑證和私密金鑰儲存在裝置的相同檔案中。 若驗證失敗,便無法建立連線。

憑證及其私鑰不適用於連接的周邊設備。

在 Board、Desk 和 Room 系列裝置上新增證書

1

https://admin.webex.com 中的客戶視圖,前往 裝置 頁面,然後在清單中選擇您的裝置。 轉至 支援 並啟動 本地設備控制

如果您已設定裝置上的本機管理使用者,便可開啟 Web 瀏覽器然後輸入 http(s)://<端點 IP 或主機名稱> 來直接存取 Web 介面。

2

導覽至安全性 > 憑證 > 自訂 > 新增憑證然後上傳您的 CA 根憑證。

3

在 OpenSSL 產生私密金鑰和憑證要求。 複製憑證要求的內容。 然後貼上以從憑證授權單位 (CA) 要求伺服器憑證。

4

下載由您的 CA 簽署的伺服器憑證。確保其為 .PEM 格式。

5

導覽至安全性 > 憑證 > 服務 > 新增憑證並上傳私密金鑰和伺服器憑證。

6

啟用您剛剛新增的憑證想要使用的服務。

產生憑證簽章請求 (CSR)

管理員必須從控制中心為雲端註冊的Board、Desk 或 Room 系列設備產生憑證簽署請求 (CSR)。

按照以下步驟產生CSR並將簽署的憑證上傳到您的裝置:

  1. 從 Control Hub 中的客戶視圖,前往「裝置」頁面並從清單中選擇您的裝置。
  2. 導航至操作 > 執行 xCommand > 安全性 > 憑證 > CSR > 建立。
  3. 輸入所需的證書詳細資訊並選擇執行。
  4. 複製 ----BEGIN CERTIFICATE REQUEST---- 和 ----END CERTIFICATE REQUEST---- 之間的所有文字。
  5. 使用您選擇的Certificate Authority (CA) 簽署CSR。
  6. 以 PEM(Base64 編碼)格式匯出已簽署的憑證。
  7. 在文字編輯器(例如記事本)中開啟簽署的憑證文件,並複製 ----BEGIN CERTIFICATE---- 和 ----END CERTIFICATE---- 之間的所有文字。
  8. 在 Control Hub 中,導覽至裝置 > 選擇您的裝置 > 操作 > 執行 xCommand > 安全性 > 憑證 > CSR > 連結。
  9. 將複製的證書內容貼到正文部分並選擇執行。
  10. 刷新頁面以驗證證書是否出現在現有證書下。

簡單證書註冊協議 (SCEP)

簡單憑證註冊協定 (SCEP) 提供了一種自動化機制,用於註冊和刷新用於裝置上的 802.1X 驗證等的憑證。 SCEP 讓您無需人工幹預即可維持設備對安全網路的存取。

  • 當設備是新的或已恢復原廠設定時,它需要網路存取才能到達 SCEP URL。 該設備應連接到不帶 802.1X 的網路以取得 IP 位址。

  • 如果使用無線註冊SSID,請透過入職螢幕設定與網路連線。

  • 一旦連接到配置網絡,設備就不需要位於特定的入職螢幕上。

  • 為了適合所有部署,SCEP 註冊 xAPI 將不會儲存用於簽署裝置憑證的 CA 憑證。 對於伺服器驗證,需要使用 xCommand Security Certificates CA Add新增用於驗證伺服器憑證的 CA 憑證。

先決條件

您需要下列資訊:

  • SCEP 伺服器的 URL。

  • 簽署 CA(Certificate Authority)憑證的指紋。

  • 需要註冊的證書資訊。 這構成了證書的 主題名稱

    • 通用名稱

    • 國家名稱

    • 州或省名稱

    • 地點名稱

    • 組織名稱

    • 組織單位

  • 主題名稱將以 /C= /ST= /L= /O= /OU= /CN= 的順序排列

  • 如果您已將 SCEP 伺服器設定為強制使用 OTP 或共用金鑰,則需要輸入 SCEP 伺服器的質詢密碼。

您可以使用以下命令設定憑證請求密鑰對所需的密鑰大小。 預設值為 2048。

 xConfiguration 安全註冊金鑰大小:<2048, 3072, 4096>

我們發送有效期為一年的證書請求,以確認證書到期。 伺服器端原則可以在憑證簽署期間變更到期日期。

乙太網路連接

當裝置連接到網路時,請確保它可以存取 SCEP 伺服器。 該設備應連接到沒有 802.1x 的網路以取得 IP 位址。 為了獲得IP 位址,可能需要向配置網路提供設備的MAC 位址。 MAC 位址可以在 UI 上或裝置背面的標籤上找到。

設備連接到網路後,您可以透過 SSH 連接到設備 行政 存取 TSH,然後執行以下命令發送註冊 SCEP 請求: 

xCommand 安全憑證服務註冊 SCEP 請求

一旦 SCEP 伺服器返回簽署的設備證書,就啟動 802.1X。

啟動簽署的憑證:

xCommand 安全憑證服務激活

啟動證書後重新啟動設備。

無線連線

當裝置連接到無線網路時,請確保它可以存取 SCEP 伺服器。

設備連接到網路後,您可以透過 SSH 連接到設備 行政 存取 TSH,然後執行以下命令發送註冊 SCEP 請求: 

xCommand 安全憑證服務註冊 SCEP 請求

設備從 SCEP 伺服器接收簽署的憑證。

啟動簽署的憑證: 

xCommand 安全憑證服務激活

啟動後,您需要使用EAP-TLS 身份驗證配置Wi-Fi 網路。 

xCommand 網路 Wifi 配置

預設情況下,Wi-Fi 配置會跳過伺服器驗證檢查。 如果只需要單向身份驗證,則保留 允許缺失CA 預設為 真的

要強制伺服器驗證,請確保 允許缺失CA 可選參數設定為 錯誤的。 如果由於服務驗證錯誤而無法建立連接,請檢查是否已新增正確的 CA 來驗證伺服器憑證(該憑證可能與裝置憑證不同)。

API 描述

角色:管理員、集成員

xCommand 安全憑證服務註冊 SCEP 請求

將 CSR 傳送到給定的 SCEP 伺服器進行簽署。 CSR SubjectName 參數將依照下列順序建構:C、ST、L、O、OUs、CN。

參數:

  • URL(r): <S: 0, 256>

    SCEP 伺服器的 URL 位址。

  • 指紋(r):<S:0,128>

    將簽署 SCEP 請求 CSR 的 CA 憑證指紋。

  • 通用名稱(r):<S: 0, 64>

    將“/CN=”新增至CSR 主題名稱。

  • 質詢密碼:<S: 0, 256>

    來自 SCEP 伺服器的 OTP 或共用金鑰,用於存取簽章。

  • 國家名稱:<S: 0, 2>

    將“/C=”新增至 CSR 主題名稱。

  • 州或省名稱:<S: 0, 64>

    將“/ST=”新增至CSR 主題名稱。

  • 地點名稱:<S: 0, 64>

    將“/L=”新增至CSR 主題名稱。

  • 組織名稱:<S: 0, 64>

    將“/O=”新增至CSR 主題名稱。

  • 組織單位[5]: <S: 0, 64>

    在CSR 主題名稱中新增最多 5 個「/OU=」參數。

  • SanDns[5]: <S: 0, 64>

    為 CSR 主題備用名稱新增最多 5 個 DNS 參數。

  • SanEmail[5]: <S: 0, 64>

    在 CSR 主題備用名稱中新增最多 5 個電子郵件參數。

  • SanIp[5]: <S: 0, 64>

    在CSR 主題備用名稱中新增最多 5 個 Ip 參數。

  • SanUri[5]: <S: 0, 64>

    為 CSR 主題備用名稱新增最多 5 個 URI 參數。

xCommand 安全憑證服務註冊設定檔刪除

刪除註冊設定檔以不再更新憑證。

參數:

  • 指紋 (r):<S:0,128>

    CA 憑證指紋,用於標識要刪除的設定檔。 您可以透過執行以下命令來查看要刪除的可用設定檔: 

    x 命令安全證書服務註冊設定檔清單

x 命令安全證書服務註冊設定檔清單

列出證書續訂的註冊配置檔。

 xCommand 安全性憑證服務註冊 SCEP 設定檔設定指紋 (r):<S:0,128> URL (r):<S:0,256>

為 CA 指紋頒發的證書添加註冊配置檔,以使用給定的 SCEP URL 進行續訂。

續訂

 xCommand 安全性憑證服務註冊 SCEP 設定檔設定

若要自動續訂憑證,裝置需要能夠存取可重新簽署憑證的 SCEP Url。

設備將每天檢查一次將在 45 天後過期的證書。 然後,如果這些證書的頒發者與配置檔匹配,設備將嘗試續訂這些證書。

注意:將檢查所有設備證書是否續訂,即使證書最初不是使用 SCEP 註冊的。

導覽器

  1. 直接配對:已註冊的證書可以作為「配對」證書啟動。

  2. 遠端配對:告訴導航器使用周邊設備的 ID 註冊新的 SCEP 證書:

    xCommand 周邊設備安全憑證服務註冊 SCEP 請求 

    註冊配置檔將自動同步到配對的導航器。

  3. 獨立導航器:與編解碼器註冊相同

在 Room Navigator 上配置 802.1x 身份驗證

您可以直接在 Room Navigator 的設定功能表中設定 802.1x 身份驗證。

802.1x 身份驗證標準對於乙太網網路尤其重要,它確保只有授權的設備才能訪問網路資源。

根據網路中配置的 EAP 方法,可以使用不同的登錄選項。 例如:

  • TLS:不使用使用者名和密碼。
  • PEAP:不使用證書。
  • TTLS:使用者名/密碼和證書都是必需的;兩者都不是可有可無的。

有幾種方法可以在裝置上取得客戶端憑證:

  1. 上傳 PEM:使用新增安全憑證服務功能。
  2. 創建 CSR:生成證書簽名請求 (CSR),對其進行簽名,並使用安全證書 CSR 創建/鏈接進行連結。
  3. SCEP:利用安全證書服務註冊 SCEP 請求。
  4. DHCP 選項 43:通過此選項配置證書交付。

設定和更新 802.1x 的憑證應在將 Room Navigator 與系統配對 之前或在將 Room Navigator 重設成出廠預設值之後完成。

默認憑據是管理員密碼和空白密碼。 有關如何通過訪問 API 添加證書的詳細資訊,請參閱 最新版本的 API 指南

  1. 通過點擊右上角的按鈕或從右側滑動來打開導航器上的控制面板。 然後點選裝置設定
  2. 轉到「 網路連接 」,然後選擇 「乙太網 」。。
  3. 切換使用 IEEE 802.1X為開啟。
    • 若使用憑證設定了驗證,請輸入使用者身份及複雜密碼。 您還可以輸入匿名身份:這是一個可選欄位,提供將實際使用者的身份與初始身份驗證請求分開的方法。
    • 您可以關閉或打開 TLS 驗證 。 當 TLS 驗證處於打開狀態時,用戶端會在 TLS 握手期間主動驗證伺服器證書的真實性。 當 TLS 驗證關閉時,用戶端不會對伺服器的證書執行主動驗證。
    • 如果已通過訪問 API 上傳了客戶端證書,請打開 “使用客戶端證書 ”。
    • 切換 要使用的可擴展身份驗證協定 (EAP) 方法。 EAP 方法的選擇取決於特定的安全要求、基礎結構和用戶端功能。 EAP 方法對於啟用安全和經過身份驗證的網络訪問至關重要。