您可以從裝置的本機 Web 介面新增憑證。 或者,您可以通過運行 API 命令來添加證書。 若要查看哪些命令允許您添加證書,請參閱 roomos.cisco.com

服務憑證和信任的 CA

使用 TLS 時,可能需要進行憑證驗證 (傳輸層安全性)。 伺服器或用戶端可能會在設定通訊前要求裝置提供有效憑證。

憑證為驗證裝置確實性的文字檔。 這些憑證必須由信任的認證授權單位 (CA) 簽署。 若要驗證憑證的簽章,裝置必須有信任的 CA 清單。 清單必須包括所有需要的 CA,才能驗證稽核記錄和其他連線的憑證。

憑證會用於以下服務:HTTPS 伺服器、SIP、IEEE 802.1X 和稽核記錄。 您可以在裝置上儲存數個憑證,但每個服務一次只會啟用一個憑證。

在 RoomOS 2023 年 10 月及更高版本上,當您將 CA 憑證新增至裝置時,該憑證亦會套用於 Room Navigator (如果已連接)。 若要將之前新增的 CA 憑證同步到連接的 Room Navigator,您必須重新開機裝置。 如果您不希望外圍設備獲得與其連接到的設備相同的證書,請將配置 “外圍設備安全證書 SyncToPeripherals ”設為 False

先前儲存的憑證不會自動刪除。 新檔案中含 CA 憑證的項目會附加至現有的清單。

對於 Wi-Fi 連線

若您的網路使用 WPA-EAP 驗證,我們建議您為每個 Board、Desk 或 Room 系列裝置新增信任的 CA 憑證。 您必須為每一台裝置個別執行此步驟,才能連接至 Wi-Fi。

若要為 Wi-Fi 連線新增憑證,您需要以下檔案:

  • CA 憑證清單 (檔案格式:.PEM)

  • 憑證 (檔案格式:.PEM)

  • 私密金鑰,可做為個別檔案或包含在憑證的相同檔案 (檔案格式:.PEM)

  • 複雜密碼 (僅在私密金鑰加密時才需要)

憑證和私密金鑰儲存在裝置的相同檔案中。 若驗證失敗,便無法建立連線。

私鑰和密碼不適用於連接的外圍設備。

在 Board、Desk 和 Room 系列裝置上新增憑證

1

從 https://admin.webex.com 中的 客戶檢視中,轉到“設備” 頁,然後在清單中選擇你的設備。 轉到 支援並啟動 本地設備控制件

如果您已設定裝置上的本機管理使用者,便可開啟 Web 瀏覽器然後輸入 http(s)://<端點 IP 或主機名稱> 來直接存取 Web 介面。

2

導覽至安全性 > 憑證 > 自訂 > 新增憑證然後上傳您的 CA 根憑證。

3

在 OpenSSL 產生私密金鑰和憑證要求。 複製憑證要求的內容。 然後貼上以從憑證授權單位 (CA) 要求伺服器憑證。

4

下載由您的 CA 簽署的伺服器憑證。確保它位於中。PEM 格式。

5

導覽至安全性 > 憑證 > 服務 > 新增憑證並上傳私密金鑰和伺服器憑證。

6

啟用要用於剛剛添加的證書的服務。

簡單憑證註冊協定 (SCEP)

簡單證書註冊協定 (SCEP) 提供了一種用於註冊和刷新證書的自動機制,這些證書用於設備上的 802.1X 身份驗證。 SCEP 允許您保持設備對安全網路的訪問,而無需手動干預。

  • 當設備為新設備或已恢復出廠設置時,它需要網路訪問許可權才能訪問 SCEP URL。 設備應連接到沒有 802.1X 的網路以獲取 IP 位址。

  • 如果使用無線註冊 SSID,則需要通過載入螢幕來配置與網路的連接。

  • 連接到預配網路后,設備在此階段不需要位於特定的載入螢幕上。

  • 為了適合所有部署,SCEP 註冊 xAPI 不會儲存用於簽署設備證書的 CA 證書。 對於伺服器身份驗證,用於驗證伺服器證書的 CA 證書需要添加 xCommand 安全證書 CA Add

先決條件

您需要下列資訊:

  • SCEP 伺服器的 URL。

  • 簽署的 CA (Certificate Authority) 憑證的指紋。

  • 要註冊的證書的資訊。 這構成了 證書的主旨名稱

    • 一般名稱

    • 國家/地區名稱

    • 州或省名稱

    • 地區名稱

    • 組織名稱

    • 組織單位

  • 主體名稱的排序方式為 /C= /ST= /L= /O= /OU= /CN=

  • SCEP 伺服器的質詢密碼 (如果已將 SCEP 伺服器設定為強制執行 OTP 或共用密鑰)。

您可以使用以下指令為憑證請求金鑰對設定所需的金鑰大小。 預設值為 2048。

 x 配置安全性註冊密鑰大小:<2048、3072、4096>

我們發送的證書請求有效期為一年,證書到期。 伺服器端策略可以在證書簽名期間更改到期日期。

乙太網路連接

當設備連接到網路時,請確保它可以訪問 SCEP 伺服器。 設備應連接到沒有 802.1x 的網路以獲取 IP 位址。 可能需要將設備的 MAC 位址提供給預配網路才能獲取 IP 位址。 可以在 UI 或設備背面的標籤上找到 MAC 位址。

設備連接到網路后,可以以 管理員 身份通過 SSH 連接到設備以訪問 TSH,然後運行以下命令發送註冊 SCEP 請求: 

xCommand 安全憑證服務註冊 SCEP 請求

SCEP 伺服器返回已簽署的設備證書后,啟動 802.1X。

啟動簽署的憑證:

x 命令安全憑證服務啟動

激活證書後重新啟動設備。

無線連線

當設備連接到無線網路時,請確保它可以訪問 SCEP 伺服器。

設備連接到網路后,可以以 管理員 身份通過 SSH 連接到設備以訪問 TSH,然後運行以下命令發送註冊 SCEP 請求: 

xCommand 安全憑證服務註冊 SCEP 請求

裝置從 SCEP 伺服器接收簽署的憑證。

啟動簽署的憑證: 

x 命令安全憑證服務啟動

啟動后,您需要使用 EAP-TLS 身份驗證配置 Wi-Fi 網路。 

xCommand Network Wifi 設定

默認情況下,Wi-Fi 配置會跳過伺服器驗證檢查。 如果只需要單向身份驗證,則將 AllowMissingCA 預設保留True

若要強制伺服器驗證,請確保 AllowMissingCA 可選參數設定為 False。 如果由於服務驗證錯誤而無法建立連接,請檢查是否添加了正確的 CA 以驗證可能與設備證書不同的伺服器證書。

API 描述

角色:管理員、整合者

xCommand 安全憑證服務註冊 SCEP 請求

將 CSR 發送到給定的 SCEP 伺服器進行簽名。 CSR SubjectName 參數將按以下順序構造:C、ST、L、O、OU、CN。

參數:

  • 網址:<S:0,256>

    SCEP 伺服器的 URL 位址。

  • 指紋 (r):<S:0,128>

    將簽署 SCEP 請求的 CA 證書指紋 CSR。

  • CommonName (r):<S:0,64>

    將「/CN=」新增至 CSR 主旨名稱。

  • 挑戰密碼:<S:0,256>

    來自 SCEP 伺服器的 OTP 或共用機密,用於訪問簽名。

  • 國家名稱:<S:0,2>

    將“/c=”添加到 CSR 主旨名稱。

  • StateOrProvinceName:<S:0,64>

    將「/ST=」新增至 CSR 主旨名稱。

  • 地區名稱:<S:0,64>

    將“/l=”添加到 CSR 主旨名稱。

  • 組織名稱:<S:0,64>

    將「/O=」新增至 CSR 主旨名稱。

  • 組織單位[5]:<S:0,64>

    最多可將 5 個「/OU=」參數新增至 CSR 主旨名稱。

  • 桑頓斯[5]:<:0,64>

    最多可將 5 個 Dns 參數新增至 CSR 主題備用名稱。

  • SanEmail[5]:<S:0,64>

    最多可將 5 個電子郵件參數新增至 CSR 主題備用名稱。

  • SanIp[5]:<S:0,64>

    最多可將 5 個 IP 參數新增到 CSR 主旨備用名稱。

  • 桑烏里[5]:<:0,64>

    最多可將 5 個 Uri 參數新增到 CSR 主旨替代名稱。

x 命令安全證書服務註冊設定檔刪除

刪除註冊配置檔以不再續訂證書。

參數:

  • 指紋 (r):<S:0,128>

    已刪除證書的唯一標識碼。 您可以通過執行以下命令來獲取指紋 ID:

     xCommand 安全憑證服務顯示

x 命令安全證書服務註冊設定檔清單

列出證書續訂的註冊配置檔。

 xCommand 安全性憑證服務註冊 SCEP 設定檔設定指紋 (r):<S:0,128> URL (r):<S:0,256>

新增憑證

續訂

 xCommand 安全性憑證服務註冊 SCEP 設定檔設定

若要自動續訂憑證,裝置需要能夠存取可重新簽署憑證的 SCEP Url。

設備將每天檢查一次將在 45 天後過期的證書。 然後,如果這些證書的頒發者與配置檔匹配,設備將嘗試續訂這些證書。

注意:將檢查所有設備證書是否續訂,即使證書最初不是使用 SCEP 註冊的。

導覽器

  1. 直接配對:已註冊的證書可以作為「配對」證書啟動。

  2. 遠端配對:告訴導航器使用周邊設備的 ID 註冊新的 SCEP 證書:

    xCommand 周邊設備安全憑證服務註冊 SCEP 請求 

    註冊配置檔將自動同步到配對的導航器。

  3. 獨立導航器:與編解碼器註冊相同