您可以從裝置的本機 Web 介面新增憑證。 或者,您可以通過運行 API 命令來添加證書。 若要查看哪些命令允許您添加證書,請參閱 roomos.cisco.com

服務憑證和信任的 CA

使用 TLS 時,可能需要進行憑證驗證 (傳輸層安全性)。 伺服器或用戶端可能會在設定通訊前要求裝置提供有效憑證。

憑證為驗證裝置確實性的文字檔。 這些憑證必須由信任的認證授權單位 (CA) 簽署。 若要驗證憑證的簽章,裝置必須有信任的 CA 清單。 清單必須包括所有需要的 CA,才能驗證稽核記錄和其他連線的憑證。

憑證會用於以下服務:HTTPS 伺服器、SIP、IEEE 802.1X 和稽核記錄。 您可以在裝置上儲存數個憑證,但每個服務一次只會啟用一個憑證。

在 RoomOS 2023 年 10 月及更高版本上,當您將 CA 憑證新增至裝置時,該憑證亦會套用於 Room Navigator (如果已連接)。 若要將之前新增的 CA 憑證同步到連接的 Room Navigator,您必須重新開機裝置。 如果您不希望外圍設備獲得與其連接到的設備相同的證書,請將配置 “外圍設備安全證書 SyncToPeripherals ”設為 False

先前儲存的憑證不會自動刪除。 新檔案中含 CA 憑證的項目會附加至現有的清單。

對於 Wi-Fi 連線

若您的網路使用 WPA-EAP 驗證,我們建議您為每個 Board、Desk 或 Room 系列裝置新增信任的 CA 憑證。 您必須為每一台裝置個別執行此步驟,才能連接至 Wi-Fi。

若要為 Wi-Fi 連線新增憑證,您需要以下檔案:

  • CA 憑證清單 (檔案格式:.PEM)

  • 憑證 (檔案格式:.PEM)

  • 私密金鑰,可做為個別檔案或包含在憑證的相同檔案 (檔案格式:.PEM)

  • 複雜密碼 (僅在私密金鑰加密時才需要)

憑證和私密金鑰儲存在裝置的相同檔案中。 若驗證失敗,便無法建立連線。

私鑰和密碼不適用於連接的外圍設備。

在 Board、Desk 和 Room 系列裝置上新增憑證

1

從 https://admin.webex.com 中的 客戶檢視中,轉到“設備” 頁,然後在清單中選擇你的設備。 轉到 支援並啟動 本地設備控制件

如果您已設定裝置上的本機管理使用者,便可開啟 Web 瀏覽器然後輸入 http(s)://<端點 IP 或主機名稱> 來直接存取 Web 介面。

2

導覽至安全性 > 憑證 > 自訂 > 新增憑證然後上傳您的 CA 根憑證。

3

在 OpenSSL 產生私密金鑰和憑證要求。 複製憑證要求的內容。 然後貼上以從憑證授權單位 (CA) 要求伺服器憑證。

4

下載由您的 CA 簽署的伺服器憑證。確保它位於中。PEM 格式。

5

導覽至安全性 > 憑證 > 服務 > 新增憑證並上傳私密金鑰和伺服器憑證。

6

啟用要用於剛剛添加的證書的服務。

簡單憑證註冊協定 (SCEP)

簡單證書註冊協定 (SCEP) 提供了一種用於註冊和刷新證書的自動機制,這些證書用於設備上的 802.1X 身份驗證。 SCEP 允許您保持設備對安全網路的訪問,而無需手動干預。

  • 當設備為新設備或已恢復出廠設置時,它需要網路訪問許可權才能訪問 SCEP URL。 設備應連接到沒有 802.1X 的網路以獲取 IP 位址。

  • 如果使用無線註冊 SSID,則需要通過載入螢幕來配置與網路的連接。

  • 連接到預配網路后,設備在此階段不需要位於特定的載入螢幕上。

  • 為了適合所有部署,SCEP 註冊 xAPI 不會儲存用於簽署設備證書的 CA 證書。 對於伺服器身份驗證,用於驗證伺服器證書的 CA 證書需要添加 xCommand 安全證書 CA Add

先決條件

您需要下列資訊:

  • SCEP 伺服器的 URL。

  • 簽署的 CA (Certificate Authority) 憑證的指紋。

  • 要註冊的證書的資訊。 這構成了 證書的主旨名稱

    • 一般名稱

    • 國家/地區名稱

    • 州或省名稱

    • 地區名稱

    • 組織名稱

    • 組織單位

  • 主體名稱的排序方式為 /C= /ST= /L= /O= /OU= /CN=

  • SCEP 伺服器的質詢密碼 (如果已將 SCEP 伺服器設定為強制執行 OTP 或共用密鑰)。

您可以使用以下指令為憑證請求金鑰對設定所需的金鑰大小。 預設值為 2048。

 x 配置安全性註冊密鑰大小:<2048、3072、4096>

我們發送的證書請求有效期為一年,證書到期。 伺服器端策略可以在證書簽名期間更改到期日期。

乙太網路連接

當設備連接到網路時,請確保它可以訪問 SCEP 伺服器。 設備應連接到沒有 802.1x 的網路以獲取 IP 位址。 可能需要將設備的 MAC 位址提供給預配網络才能獲取 IP 位址。 可以在 UI 或設備背面的標籤上找到 MAC 位址。

設備連接到網路后,可以以 管理員 身份通過 SSH 連接到設備以訪問 TSH,然後運行以下命令發送註冊 SCEP 請求: 

xCommand 安全憑證服務註冊 SCEP 請求

SCEP 伺服器返回已簽署的設備證書后,啟動 802.1X。

啟動簽署的憑證:

x 命令安全憑證服務啟動

激活證書後重新啟動設備。

無線連線

當設備連接到無線網路時,請確保它可以訪問 SCEP 伺服器。

設備連接到網路后,可以以 管理員 身份通過 SSH 連接到設備以訪問 TSH,然後運行以下命令發送註冊 SCEP 請求: 

xCommand 安全憑證服務註冊 SCEP 請求

裝置從 SCEP 伺服器接收簽署的憑證。

啟動簽署的憑證: 

x 命令安全憑證服務啟動

啟動后,您需要使用 EAP-TLS 身份驗證配置 Wi-Fi 網络。 

xCommand Network Wifi 設定

默認情況下,Wi-Fi 配置會跳過伺服器驗證檢查。 如果只需要單向身份驗證,則將 AllowMissingCA 預設保留True

若要強制伺服器驗證,請確保 AllowMissingCA 可選參數設定為 False。 如果由於服務驗證錯誤而無法建立連接,請檢查是否添加了正確的 CA 以驗證可能與設備證書不同的伺服器證書。

API 描述

角色:管理員、整合者

xCommand 安全憑證服務註冊 SCEP 請求

將 CSR 發送到給定的 SCEP 伺服器進行簽名。 CSR SubjectName 參數將按以下順序構造:C、ST、L、O、OU、CN。

參數:

  • 網址:<S:0,256>

    SCEP 伺服器的 URL 位址。

  • 指紋 (r):<S:0,128>

    將簽署 SCEP 請求 CSR 的 CA 證書指紋。

  • CommonName (r):<S:0,64>

    將“/CN=”添加到 CSR 主題名稱。

  • 挑戰密碼:<S:0,256>

    來自 SCEP 伺服器的 OTP 或共用機密,用於訪問簽名。

  • 國家名稱:<S:0,2>

    將“/c=”添加到 CSR 主題名稱。

  • StateOrProvinceName:<S:0,64>

    將“/ST=”添加到 CSR 主題名稱。

  • 地區名稱:<S:0,64>

    將“/l=”添加到 CSR 主題名稱。

  • 組織名稱:<S:0,64>

    將“/o=”添加到 CSR 主題名稱。

  • 組織單位[5]:<S:0,64>

    最多可將 5 個「/OU=」參數新增至 CSR 主題名稱。

  • 桑頓斯[5]:<:0,64>

    最多可將 5 個 DNS 參數新增到 CSR 主題備用名稱。

  • SanEmail[5]:<S:0,64>

    最多可將 5 個電子郵件參數新增至 CSR 主題備用名稱。

  • SanIp[5]:<S:0,64>

    最多可將 5 個 IP 參數新增到 CSR 主題備用名稱。

  • 桑烏里[5]:<:0,64>

    最多可將 5 個 URI 參數新增到 CSR 主題備用名稱。

x 命令安全證書服務註冊設定檔刪除

刪除註冊配置檔以不再續訂證書。

參數:

  • 指紋 (r):<S:0,128>

    CA 憑證指紋,用於標識要刪除的設定檔。 您可以透過執行以下命令來查看要刪除的可用設定檔: 

    x 命令安全證書服務註冊設定檔清單

x 命令安全證書服務註冊設定檔清單

列出證書續訂的註冊配置檔。

 xCommand 安全性憑證服務註冊 SCEP 設定檔設定指紋 (r):<S:0,128> URL (r):<S:0,256>

為 CA 指紋頒發的證書添加註冊配置檔,以使用給定的 SCEP URL 進行續訂。

續訂

 xCommand 安全性憑證服務註冊 SCEP 設定檔設定

若要自動續訂憑證,裝置需要能夠存取可重新簽署憑證的 SCEP Url。

設備將每天檢查一次將在 45 天後過期的證書。 然後,如果這些證書的頒發者與配置檔匹配,設備將嘗試續訂這些證書。

注意:將檢查所有設備證書是否續訂,即使證書最初不是使用 SCEP 註冊的。

導覽器

  1. 直接配對:已註冊的證書可以作為「配對」證書啟動。

  2. 遠端配對:告訴導航器使用周邊設備的 ID 註冊新的 SCEP 證書:

    xCommand 周邊設備安全憑證服務註冊 SCEP 請求 

    註冊配置檔將自動同步到配對的導航器。

  3. 獨立導航器:與編解碼器註冊相同

在 Room Navigator 上配置 802.1x 身份驗證

您可以直接在 Room Navigator 的設定功能表中設定 802.1x 身份驗證。

802.1x 身份驗證標準對於乙太網網路尤其重要,它確保只有授權的設備才能訪問網路資源。 您可以使用使用者名和密碼向網路進行身份驗證,也可以使用客戶端證書。 也可以同時使用兩者。 用戶端證書必須通過 API 上傳並啟動,才能使用 802.1x 服務。

設定和更新 802.1x 的憑證必須在將 Room Navigator 與系統配對 之前或在將 Room Navigator 重設成出廠預設值之後完成。

默認憑據是管理員密碼和空白密碼。 有關如何通過訪問 API 添加證書的詳細資訊,請參閱 最新版本的 API 指南

  1. 通過點擊右上角的按鈕或從右側滑動來打開導航器上的控制面板。 然後點選裝置設定
  2. 轉到「 網路連接 」,然後選擇 「乙太網 」。。
  3. 切換使用 IEEE 802.1X為開啟。
    • 若使用憑證設定了驗證,請輸入使用者身份及複雜密碼。 您還可以輸入匿名身份:這是一個可選欄位,提供將實際使用者的身份與初始身份驗證請求分開的方法。
    • 您可以關閉或打開 TLS 驗證 。 當 TLS 驗證處於打開狀態時,用戶端會在 TLS 握手期間主動驗證伺服器證書的真實性。 當 TLS 驗證關閉時,用戶端不會對伺服器的證書執行主動驗證。
    • 如果已通過訪問 API 上傳了用戶端證書,請打開 “使用客戶端證書 ”。
    • 切換 要使用的可擴展身份驗證協定(EAP) 方法。 EAP 方法的選擇取決於特定的安全要求、基礎結構和用戶端功能。 EAP 方法對於啟用安全和經過身份驗證的網络訪問至關重要。