您可以從裝置的本機 Web 介面新增憑證。 或者,您可以通過運行 API 命令來添加證書。 若要查看哪些命令允許您添加證書,請參閱 roomos.cisco.com

服務憑證和信任的 CA

使用 TLS 時,可能需要進行憑證驗證 (傳輸層安全性)。 伺服器或用戶端可能會在設定通訊前要求裝置提供有效憑證。

憑證為驗證裝置確實性的文字檔。 這些憑證必須由信任的認證授權單位 (CA) 簽署。 若要驗證憑證的簽章,裝置必須有信任的 CA 清單。 清單必須包括所有需要的 CA,才能驗證稽核記錄和其他連線的憑證。

憑證會用於以下服務:HTTPS 伺服器、SIP、IEEE 802.1X 和稽核記錄。 您可以在裝置上儲存數個憑證,但每個服務一次只會啟用一個憑證。

在 RoomOS 2023 年 10 月及更高版本上,當您將 CA 憑證新增至裝置時,該憑證亦會套用於 Room Navigator (如果已連接)。 若要將之前新增的 CA 憑證同步到連接的 Room Navigator,您必須重新開機裝置。 如果您不希望外圍設備獲得與其連接到的設備相同的證書,請將配置 “外圍設備安全證書 SyncToPeripherals ”設為 False

先前儲存的憑證不會自動刪除。 新檔案中含 CA 憑證的項目會附加至現有的清單。

對於 Wi-Fi 連線

若您的網路使用 WPA-EAP 驗證,我們建議您為每個 Board、Desk 或 Room 系列裝置新增信任的 CA 憑證。 您必須為每一台裝置個別執行此步驟,才能連接至 Wi-Fi。

若要為 Wi-Fi 連線新增憑證,您需要以下檔案:

  • CA 憑證清單 (檔案格式:.PEM)

  • 憑證 (檔案格式:.PEM)

  • 私密金鑰,可做為個別檔案或包含在憑證的相同檔案 (檔案格式:.PEM)

  • 複雜密碼 (僅在私密金鑰加密時才需要)

憑證和私密金鑰儲存在裝置的相同檔案中。 若驗證失敗,便無法建立連線。

私鑰和密碼不適用於連接的外圍設備。

在 Board、Desk 和 Room 系列裝置上新增憑證

1

從 https://admin.webex.com 中的 客戶檢視中,轉到“設備” 頁,然後在清單中選擇你的設備。 轉到 支援並啟動 本地設備控制件

如果您已設定裝置上的本機管理使用者,便可開啟 Web 瀏覽器然後輸入 http(s)://<端點 IP 或主機名稱> 來直接存取 Web 介面。

2

導覽至安全性 > 憑證 > 自訂 > 新增憑證然後上傳您的 CA 根憑證。

3

在 OpenSSL 產生私密金鑰和憑證要求。 複製憑證要求的內容。 然後貼上以從憑證授權單位 (CA) 要求伺服器憑證。

4

下載由您的 CA 簽署的伺服器憑證。確保它位於中。PEM 格式。

5

導覽至安全性 > 憑證 > 服務 > 新增憑證並上傳私密金鑰和伺服器憑證。

6

啟用要用於剛剛添加的證書的服務。

產生憑證簽署請求 (CSR)

管理員需從 Control Hub 為雲端註冊的 Board、Desk 或 Room 系列裝置生成憑證簽署請求 (CSR)。

請按照以下步驟生成 CSR 並將簽名的憑證上傳到您的裝置:

  1. 在 Control Hub 的客戶檢視中移至裝置頁面並從清單中選擇您的裝置。
  2. 導航到“操作”>運行 xCommand > 安全>證書> CSR > 創建。
  3. 輸入所需的證書詳細資訊,然後選擇“執行”。
  4. 複製 ----BEGIN CERTIFICATE REQUEST---- 和 ----END CERTIFICATE REQUEST 之間的所有文字 ----.
  5. 使用您選擇的 Certificate Authority (CA) 簽署 CSR。
  6. 以 PEM (Base64 編碼) 格式匯出簽署的證書。
  7. 在文本編輯器 (例如記事本) 中打開簽名的證書檔,並複製 ----BEGIN CERTIFICATE---- 和 ----END CERTIFICATE 之間的所有文本 ----.
  8. 在 Control Hub 中導覽至裝置,> CSR > 連結>執行 xCommand > 安全性>>憑證的動作>選取您的裝置。
  9. 將複製的證書內容粘貼到“正文”部分,然後選擇“執行”。
  10. 刷新頁面以驗證證書是否顯示在「現有證書」下。

簡單憑證註冊協定 (SCEP)

簡單證書註冊協定 (SCEP) 提供了一種用於註冊和刷新證書的自動機制,這些證書用於設備上的 802.1X 身份驗證。 SCEP 允許您保持設備對安全網路的訪問,而無需手動干預。

  • 當裝置為新裝置或已恢復出廠設定時,它需要網路存取才能存取 SCEP URL。 設備應連接到沒有 802.1X 的網路以獲取 IP 位址。

  • 如果使用無線註冊 SSID,請瀏覽載入螢幕以配置與網路的連接。

  • 連接到預配網路后,設備無需位於特定的載入螢幕上。

  • 為了適合所有部署,SCEP 註冊 xAPI 不會儲存用於簽署設備證書的 CA 證書。 對於伺服器身份驗證,用於驗證伺服器證書的 CA 證書需要添加 xCommand 安全證書 CA Add

先決條件

您需要下列資訊:

  • SCEP 伺服器的 URL。

  • 簽署的 CA (Certificate Authority) 憑證的指紋。

  • 要註冊的證書的資訊。 這構成了 證書的主旨名稱

    • 一般名稱

    • 國家/地區名稱

    • 州或省名稱

    • 地區名稱

    • 組織名稱

    • 組織單位

  • 主體名稱的排序方式為 /C= /ST= /L= /O= /OU= /CN=

  • SCEP 伺服器的質詢密碼 (如果已將 SCEP 伺服器設定為強制執行 OTP 或共用密鑰)。

您可以使用以下指令為憑證請求金鑰對設定所需的金鑰大小。 預設值為 2048。

 x 配置安全性註冊密鑰大小:<2048、3072、4096>

我們發送的證書請求有效期為一年,證書到期。 伺服器端策略可以在證書簽名期間更改到期日期。

乙太網路連接

當設備連接到網路時,請確保它可以訪問 SCEP 伺服器。 設備應連接到沒有 802.1x 的網路以獲取 IP 位址。 可能需要將設備的 MAC 位址提供給預配網络才能獲取 IP 位址。 可以在 UI 或設備背面的標籤上找到 MAC 位址。

設備連接到網路后,可以以 管理員 身份通過 SSH 連接到設備以訪問 TSH,然後運行以下命令發送註冊 SCEP 請求: 

xCommand 安全憑證服務註冊 SCEP 請求

SCEP 伺服器返回已簽署的設備證書后,啟動 802.1X。

啟動簽署的憑證:

x 命令安全憑證服務啟動

激活證書後重新啟動設備。

無線連線

當設備連接到無線網路時,請確保它可以訪問 SCEP 伺服器。

設備連接到網路后,可以以 管理員 身份通過 SSH 連接到設備以訪問 TSH,然後運行以下命令發送註冊 SCEP 請求: 

xCommand 安全憑證服務註冊 SCEP 請求

裝置從 SCEP 伺服器接收簽署的憑證。

啟動簽署的憑證: 

x 命令安全憑證服務啟動

啟動后,您需要使用 EAP-TLS 身份驗證配置 Wi-Fi 網络。 

xCommand Network Wifi 設定

默認情況下,Wi-Fi 配置會跳過伺服器驗證檢查。 如果只需要單向身份驗證,則將 AllowMissingCA 預設保留True

若要強制伺服器驗證,請確保 AllowMissingCA 可選參數設定為 False。 如果由於服務驗證錯誤而無法建立連接,請檢查是否添加了正確的 CA 以驗證可能與設備證書不同的伺服器證書。

API 描述

角色:管理員、整合者

xCommand 安全憑證服務註冊 SCEP 請求

將 CSR 發送到給定的 SCEP 伺服器進行簽名。 CSR SubjectName 參數將按以下順序構造:C、ST、L、O、OU、CN。

參數:

  • 網址:<S:0,256>

    SCEP 伺服器的 URL 位址。

  • 指紋 (r):<S:0,128>

    將簽署 SCEP 請求 CSR 的 CA 證書指紋。

  • CommonName (r):<S:0,64>

    將“/CN=”添加到 CSR 主題名稱。

  • 挑戰密碼:<S:0,256>

    來自 SCEP 伺服器的 OTP 或共用機密,用於訪問簽名。

  • 國家名稱:<S:0,2>

    將“/c=”添加到 CSR 主題名稱。

  • StateOrProvinceName:<S:0,64>

    將“/ST=”添加到 CSR 主題名稱。

  • 地區名稱:<S:0,64>

    將“/l=”添加到 CSR 主題名稱。

  • 組織名稱:<S:0,64>

    將“/o=”添加到 CSR 主題名稱。

  • 組織單位[5]:<S:0,64>

    最多可將 5 個「/OU=」參數新增至 CSR 主題名稱。

  • 桑頓斯[5]:<:0,64>

    最多可將 5 個 DNS 參數新增到 CSR 主題備用名稱。

  • SanEmail[5]:<S:0,64>

    最多可將 5 個電子郵件參數新增至 CSR 主題備用名稱。

  • SanIp[5]:<S:0,64>

    最多可將 5 個 IP 參數新增到 CSR 主題備用名稱。

  • 桑烏里[5]:<:0,64>

    最多可將 5 個 URI 參數新增到 CSR 主題備用名稱。

x 命令安全證書服務註冊設定檔刪除

刪除註冊配置檔以不再續訂證書。

參數:

  • 指紋 (r):<S:0,128>

    CA 憑證指紋,用於標識要刪除的設定檔。 您可以透過執行以下命令來查看要刪除的可用設定檔: 

    x 命令安全證書服務註冊設定檔清單

x 命令安全證書服務註冊設定檔清單

列出證書續訂的註冊配置檔。

 xCommand 安全性憑證服務註冊 SCEP 設定檔設定指紋 (r):<S:0,128> URL (r):<S:0,256>

為 CA 指紋頒發的證書添加註冊配置檔,以使用給定的 SCEP URL 進行續訂。

續訂

 xCommand 安全性憑證服務註冊 SCEP 設定檔設定

若要自動續訂憑證,裝置需要能夠存取可重新簽署憑證的 SCEP Url。

設備將每天檢查一次將在 45 天後過期的證書。 然後,如果這些證書的頒發者與配置檔匹配,設備將嘗試續訂這些證書。

注意:將檢查所有設備證書是否續訂,即使證書最初不是使用 SCEP 註冊的。

導覽器

  1. 直接配對:已註冊的證書可以作為「配對」證書啟動。

  2. 遠端配對:告訴導航器使用周邊設備的 ID 註冊新的 SCEP 證書:

    xCommand 周邊設備安全憑證服務註冊 SCEP 請求 

    註冊配置檔將自動同步到配對的導航器。

  3. 獨立導航器:與編解碼器註冊相同

在 Room Navigator 上配置 802.1x 身份驗證

您可以直接在 Room Navigator 的設定功能表中設定 802.1x 身份驗證。

802.1x 身份驗證標準對於乙太網網路尤其重要,它確保只有授權的設備才能訪問網路資源。

根據網路中配置的 EAP 方法,可以使用不同的登錄選項。 例如:

  • TLS:不使用使用者名和密碼。
  • PEAP:不使用證書。
  • TTLS:使用者名/密碼和證書都是必需的;兩者都不是可有可無的。

有幾種方法可以在裝置上取得客戶端憑證:

  1. 上傳 PEM:使用新增安全憑證服務功能。
  2. 創建 CSR:生成證書簽名請求 (CSR),對其進行簽名,並使用安全證書 CSR 創建/鏈接進行連結。
  3. SCEP:利用安全證書服務註冊 SCEP 請求。
  4. DHCP 選項 43:通過此選項配置證書交付。

設定和更新 802.1x 的憑證應在將 Room Navigator 與系統配對 之前或在將 Room Navigator 重設成出廠預設值之後完成。

默認憑據是管理員密碼和空白密碼。 有關如何通過訪問 API 添加證書的詳細資訊,請參閱 最新版本的 API 指南

  1. 通過點擊右上角的按鈕或從右側滑動來打開導航器上的控制面板。 然後點選裝置設定
  2. 轉到「 網路連接 」,然後選擇 「乙太網 」。。
  3. 切換使用 IEEE 802.1X為開啟。
    • 若使用憑證設定了驗證,請輸入使用者身份及複雜密碼。 您還可以輸入匿名身份:這是一個可選欄位,提供將實際使用者的身份與初始身份驗證請求分開的方法。
    • 您可以關閉或打開 TLS 驗證 。 當 TLS 驗證處於打開狀態時,用戶端會在 TLS 握手期間主動驗證伺服器證書的真實性。 當 TLS 驗證關閉時,用戶端不會對伺服器的證書執行主動驗證。
    • 如果已通過訪問 API 上傳了客戶端證書,請打開 “使用客戶端證書 ”。
    • 切換 要使用的可擴展身份驗證協定 (EAP) 方法。 EAP 方法的選擇取決於特定的安全要求、基礎結構和用戶端功能。 EAP 方法對於啟用安全和經過身份驗證的網络訪問至關重要。