可以從裝置的本地 Web 介面新增憑證。或者,您可以執行 API 指令來新增憑證。若要瞭解允許您新增憑證的指令,請參閱 roomos.cisco.com

服務憑證和信任的 CA

使用 TLS 時可能需要憑證驗證(傳輸層安全性)。伺服器或用戶端可能會要求裝置在設定通訊之前先出示有效的憑證。

憑證是驗證裝置真實性的文字檔。這些憑證必須由信任的憑證授權單位 (CA) 簽署。若要驗證憑證的簽章,裝置上必須有受信任的 CA 清單。清單必須包含驗證稽核記錄及其他連接的憑證所需的所有 CA。

憑證用於下列服務:HTTPS 伺服器、SIP、IEEE 802.1X 及稽核記錄。您可以在裝置上儲存數個憑證,但一次只會為每項服務啟用一個憑證。

在 RoomOS 2023 年 10 月及更高版本上,當您將CA 憑證新增至裝置時,該憑證也會套用至 Room Navigator(若已連線)。若要將先前新增的 CA 憑證同步至已連線的 Room Navigator,您必須重新啟動裝置。若不希望周邊設備取得與其連線的裝置相同的憑證,請設定組態周邊設備安全性憑證 SyncToPeripherals錯誤

先前儲存的憑證不會自動刪除。包含 CA 憑證的新檔案中的專案會附加至現有清單。

適用於Wi-Fi連線

如果您的網路使用WPA- EAP驗證,我們建議您為每個 Board、Desk 或 Room 系列裝置新增信任的CA 憑證。您必須針對每個裝置單獨執行此操作,然後才連接至 Wi-Fi。

若要為 Wi-Fi 連接新增憑證,您需要下列檔案:

  • CA 憑證清單(檔案格式:.PEM)

  • 憑證(檔案格式:.PEM)

  • 私密金鑰,作為單獨的檔案或包含在與憑證相同的檔案中(檔案格式:.PEM)

  • 密碼(僅在私密金鑰加密時需要)

憑證和私密金鑰儲存在裝置上的相同檔案中。如果驗證失敗,將不會建立連接。


私密金鑰和復雜密碼不會套用至已連線的周邊設備。

在 Board、Desk 和 Room 系列裝置上新增憑證

1

從 的客戶視圖中 https://admin.webex.com ,轉至 裝置頁面,然後選取清單中的裝置。轉至 支援 並啟動 本機裝置控制項

如果您已"安裝;設定"本地管理員 裝置上的使用者,您可以透過開啟 Web 瀏覽Web 介面並鍵入http://
2

導覽 至安全性 > 憑證 >自訂 >新增憑證, 然後上傳您的 CA 根憑證憑證。

3

在 openssl 上,產生私密金鑰和憑證請求。複製憑證請求的內容。然後貼上它以從憑證授權單位機構 (CA) 請求伺服器憑證。

4

下載由您的 CA 簽署的伺服器憑證。確保它位於 中。PEM 格式。

5

導覽 至安全性 > 憑證 >服務 >新增憑證 ,並上傳私密金鑰和伺服器憑證。

6

啟用要用於剛剛新增的憑證的服務。

簡單憑證註冊通訊協定 (SCEP)

簡單憑證註冊通訊協定 (SCEP) 提供了用於註冊和重新整理憑證的自動化機制,這些憑證用於裝置上的802.1X 驗證。SCEP 可讓您維護裝置對安全網路的存取權限,而無需手動干預。

  • 當裝置是新裝置或已恢復重設成出廠預設值時,它需要網路存取權才能到達 SCEP URL。裝置應該連接到沒有 802.1X 的網路以獲取IP 位址。

  • 如果使用無線註冊SSID,您需要瀏覽上線螢幕來設定網路連線。

  • 連線至佈建網路後,在此階段裝置不需要位於特定的新手上路螢幕上。

  • 為了適合所有部署,SCEP 註冊 xAPI 將不儲存用於簽署裝置憑證的CA 憑證憑證。對於伺服器驗證,需要新增用於驗證伺服器憑證的CA 憑證, xCommand 安全性憑證 CA 新增

先決條件

您需要以下資訊:

  • SCEP 伺服器的URL。

  • 簽署 CA(憑證授權單位)憑證的指紋。

  • 要註冊的憑證的資訊。這構成了主體名稱 憑證的。

    • 通用名稱

    • 國名

    • 組織名稱

  • SCEP 伺服器的質詢密碼(如果您已將 SCEP 伺服器設定為強制使用 OTP 或共用密碼)。

我們會傳送在憑證到期後一年內有效的憑證請求。伺服器端策略可以在憑證簽署期間變更到期日期。

乙太網路連線

當裝置已連線至網路時,請確保它可以存取 SCEP 伺服器。裝置應該已連線至不含 802 的網路。1x 獲取IP 位址。可能需要將裝置的MAC 位址提供給佈建網路,才能獲得IP 位址。MAC 位址可在 UI 或裝置背面的標籤上找到。

裝置連線至網路後,您可以使用 SSH 連接到裝置,管理員 存取 TSH,然後執行下列指令以傳送註冊 SCEP 請求:
xCommand 安全性憑證服務註冊 SCEP 請求

當 SCEP 伺服器傳回簽署的裝置憑證後,啟動 802.1X,然後重新啟動裝置。

啟動簽署的憑證:
xCommand 安全性憑證服務啟動

啟用憑證後,請重新啟動裝置。

無線連線

當裝置連線至無線網路時,請確保它可以存取 SCEP 伺服器。

裝置連線至網路後,您可以使用 SSH 連接到裝置,管理員 存取 TSH,然後執行下列指令以傳送註冊 SCEP 請求:
xCommand 安全性憑證服務註冊 SCEP 請求

裝置會從 SCEP 伺服器接收簽署的憑證。

啟動簽署的憑證: 

xCommand 安全性憑證服務啟動
啟動後,您需要使用EAP-TLS驗證設定Wi-Fi 網路。
xCommand 網路 Wifi 設定

依預設, Wi-Fi設定會跳過伺服器驗證檢查。如果只需要單向驗證,請保留允許遺失CA 預設為

若要強制伺服器驗證,請確保允許遺失CA 選用參數已設定為錯誤。如果由於服務驗證錯誤而無法建立連線,請檢查是否已新增正確的 CA 以驗證伺服器憑證(可能與裝置憑證不同)。

API說明

角色:管理員, 整合者

xCommand 安全性憑證服務註冊 SCEP 請求

請求並下載簽署的裝置憑證

參數:

  • URL(r):0, 128>

    用於註冊憑證的 SCEP 伺服器URL 。

  • 指紋 (r):0, 128>

    將對 X509 請求籤署的發行 CA 的指紋。

  • 挑戰密碼:0, 128>

    由 SCEP 伺服器設定的共用密碼密碼。

  • 一般名稱(r):0, 128>

  • 國家/地區名稱:0, 128>

  • 組織名稱:0, 128>

  • SanDns[5]:0, 128>

  • San電子郵件[5]:0, 128>

  • SanIp[5]:0, 128>

  • SanUri[5]:0, 128>

xCommand 安全性憑證服務註冊 SCEP 續訂請求

建立或更新在憑證過期之前套用至給定 CA 核發的所有憑證的自動更新設定檔

參數:

  • 指紋 (r):0, 128>

    簽署憑證的發行 CA 的指紋。

  • URL(r):0, 128>

    用於續訂憑證的 SCEP 伺服器URL 。 

xCommand 安全性憑證服務註冊 SCEP 續訂 刪除

移除給定 CA 的自動更新設定檔。這會停止此 CA 簽署的憑證自動續訂

參數:

  • 指紋 (r):0, 128>

    要移除的發行 CA 指紋。

xCommand 安全性憑證服務註冊 SCEP 續訂清單

列出所有目前使用的自動更新設定檔。