您可以從裝置的本機 Web 介面新增憑證。 或者,您可以通過運行 API 命令來添加證書。 若要查看哪些命令允許您添加證書,請參閱 roomos.cisco.com

服務憑證和信任的 CA

使用 TLS 時,可能需要進行憑證驗證 (傳輸層安全性)。 伺服器或用戶端可能會在設定通訊前要求裝置提供有效憑證。

憑證為驗證裝置確實性的文字檔。 這些憑證必須由信任的認證授權單位 (CA) 簽署。 若要驗證憑證的簽章,裝置必須有信任的 CA 清單。 清單必須包括所有需要的 CA,才能驗證稽核記錄和其他連線的憑證。

憑證會用於以下服務:HTTPS 伺服器、SIP、IEEE 802.1X 和稽核記錄。 您可以在裝置上儲存數個憑證,但每個服務一次只會啟用一個憑證。

在 RoomOS 2023 年 10 月及更高版本上,當您將 CA 憑證新增至裝置時,該憑證亦會套用於 Room Navigator (如果已連接)。 若要將之前新增的 CA 憑證同步到連接的 Room Navigator,您必須重新開機裝置。 如果您不希望外圍設備獲得與其連接到的設備相同的證書,請將配置 “外圍設備安全證書 SyncToPeripherals ”設為 False

先前儲存的憑證不會自動刪除。 新檔案中含 CA 憑證的項目會附加至現有的清單。

對於 Wi-Fi 連線

若您的網路使用 WPA-EAP 驗證,我們建議您為每個 Board、Desk 或 Room 系列裝置新增信任的 CA 憑證。 您必須為每一台裝置個別執行此步驟,才能連接至 Wi-Fi。

若要為 Wi-Fi 連線新增憑證,您需要以下檔案:

  • CA 憑證清單 (檔案格式:.PEM)

  • 憑證 (檔案格式:.PEM)

  • 私密金鑰,可做為個別檔案或包含在憑證的相同檔案 (檔案格式:.PEM)

  • 複雜密碼 (僅在私密金鑰加密時才需要)

憑證和私密金鑰儲存在裝置的相同檔案中。 若驗證失敗,便無法建立連線。


私鑰和密碼不適用於連接的外圍設備。

在 Board、Desk 和 Room 系列裝置上新增憑證

1

從 https://admin.webex.com 中的 客戶檢視中,轉到“設備” 頁,然後在清單中選擇你的設備。 轉到 支援並啟動 本地設備控制件

如果您已設定裝置上的本機管理使用者,便可開啟 Web 瀏覽器然後輸入 http(s)://<端點 IP 或主機名稱> 來直接存取 Web 介面。

2

導覽至安全性 > 憑證 > 自訂 > 新增憑證然後上傳您的 CA 根憑證。

3

在 OpenSSL 產生私密金鑰和憑證要求。 複製憑證要求的內容。 然後貼上以從憑證授權單位 (CA) 要求伺服器憑證。

4

下載由您的 CA 簽署的伺服器憑證。確保它位於中。PEM 格式。

5

導覽至安全性 > 憑證 > 服務 > 新增憑證並上傳私密金鑰和伺服器憑證。

6

啟用要用於剛剛添加的證書的服務。

簡單憑證註冊協定 (SCEP)

簡單證書註冊協定 (SCEP) 提供了一種用於註冊和刷新證書的自動機制,這些證書用於例如設備上的 802.1X 身份驗證。 SCEP 允許您保持設備對安全網路的訪問,而無需手動干預。

  • 當設備為新設備或已恢復出廠設置時,它需要網路訪問許可權才能訪問 SCEP URL。 設備應連接到沒有 802.1X 的網路以獲取 IP 位址。

  • 如果使用無線註冊 SSID,則需要通過載入螢幕來配置與網路的連接。

  • 連接到預配網路后,設備在此階段不需要位於特定的載入螢幕上。

  • 為了適合所有部署,SCEP 註冊 xAPI 不會儲存用於簽署設備證書的 CA 證書。 對於伺服器身份驗證,用於驗證伺服器證書的 CA 證書需要添加 xCommand 安全證書 CA Add

先決條件

您需要下列資訊:

  • SCEP 伺服器的 URL。

  • 簽署的 CA (Certificate Authority) 憑證的指紋。

  • 要註冊的證書的資訊。 這構成了 證書的主旨名稱

    • 一般名稱

    • 國家/地區名稱

    • 組織名稱

  • SCEP 伺服器的質詢密碼 (如果已將 SCEP 伺服器設定為強制執行 OTP 或共用密鑰)。

我們發送的證書請求有效期為一年,證書到期。 伺服器端策略可以在證書簽名期間更改到期日期。

乙太網路連接

當設備連接到網路時,請確保它可以訪問 SCEP 伺服器。 設備應連接到沒有 802.1x 的網路以獲取 IP 位址。 可能需要將設備的 MAC 位址提供給預配網路才能獲取 IP 位址。 可以在 UI 或設備背面的標籤上找到 MAC 位址。

設備連接到網路后,可以以 管理員 身份通過 SSH 連接到設備以訪問 TSH,然後運行以下命令發送註冊 SCEP 請求: 
xCommand 安全憑證服務註冊 SCEP 請求

SCEP 伺服器返回簽名的設備證書后,啟動 802.1X,然後重新啟動設備。

啟動簽署的憑證:
x 命令安全憑證服務啟動

激活證書後重新啟動設備。

無線連線

當設備連接到無線網路時,請確保它可以訪問 SCEP 伺服器。

設備連接到網路后,可以以 管理員 身份通過 SSH 連接到設備以訪問 TSH,然後運行以下命令發送註冊 SCEP 請求: 
xCommand 安全憑證服務註冊 SCEP 請求

裝置從 SCEP 伺服器接收簽署的憑證。

啟動簽署的憑證: 

x 命令安全憑證服務啟動
啟動后,您需要使用 EAP-TLS 身份驗證配置 Wi-Fi 網路。 
xCommand Network Wifi 設定

默認情況下,Wi-Fi 配置會跳過伺服器驗證檢查。 如果只需要單向身份驗證,則將 AllowMissingCA 預設保留True

若要強制伺服器驗證,請確保 AllowMissingCA 可選參數設定為 False。 如果由於服務驗證錯誤而無法建立連接,請檢查是否添加了正確的 CA 以驗證可能與設備證書不同的伺服器證書。

API 描述

角色:管理員、整合者

xCommand 安全憑證服務註冊 SCEP 請求

請求並下載已簽署的裝置憑證

參數:

  • 網址:<S:0,128>

    用於註冊證書的 SCEP 伺服器 URL。

  • 指紋 (r):<S:0,128>

    將簽署 X509 請求的頒發 CA 指紋。

  • 挑戰密碼:<S:0,128>

    SCEP 伺服器設定的共用金鑰密碼。

  • CommonName (r):<S:0,128>

  • 國家名稱:<S:0,128>

  • 組織名稱:<S:0,128>

  • 桑德斯[5]:<S:0,128>

  • SanEmail[5]:<S:0,128>

  • SanIp[5]:<S:0,128>

  • 三烏里[5]:<S:0,128>

xCommand 安全憑證服務註冊 SCEP 續訂請求

建立或更新自動續訂設定檔,該配置檔將在證書過期之前應用於給定 CA 頒發的所有憑證

參數:

  • 指紋 (r):<S:0,128>

    簽署憑證的頒發 CA 指紋。

  • 網址:<S:0,128>

    用於續訂憑證的 SCEP 伺服器 URL。 

xCommand 安全證書服務註冊 SCEP 續訂刪除

刪除給定 CA 的自動續訂配置檔。這將阻止此 CA 簽署的憑證自動續訂

參數:

  • 指紋 (r):<S:0,128>

    要刪除的頒發 CA 的指紋。

xCommand 安全憑證服務註冊 SCEP 續訂清單

列出所有目前使用的自動續訂配置檔。