您可以將 wifi-802.1X/802.1X 或 HTTPS 憑證新增至個別裝置和連線的周邊設備。
可以從裝置的本地 Web 介面新增憑證。或者,您可以執行 API 指令來新增憑證。若要瞭解允許您新增憑證的指令,請參閱 roomos.cisco.com 。
服務憑證和信任的 CA
使用 TLS 時可能需要憑證驗證(傳輸層安全性)。伺服器或用戶端可能會要求裝置在設定通訊之前先出示有效的憑證。
憑證是驗證裝置真實性的文字檔。這些憑證必須由信任的憑證授權單位 (CA) 簽署。若要驗證憑證的簽章,裝置上必須有受信任的 CA 清單。清單必須包含驗證稽核記錄及其他連接的憑證所需的所有 CA。
憑證用於下列服務:HTTPS 伺服器、SIP、IEEE 802.1X 及稽核記錄。您可以在裝置上儲存數個憑證,但一次只會為每項服務啟用一個憑證。
在 RoomOS 2023 年 10 月及更高版本上,當您將CA 憑證新增至裝置時,該憑證也會套用至 Room Navigator(若已連線)。若要將先前新增的 CA 憑證同步至已連線的 Room Navigator,您必須重新啟動裝置。若不希望周邊設備取得與其連線的裝置相同的憑證,請設定組態周邊設備安全性憑證 SyncToPeripherals 至錯誤。
先前儲存的憑證不會自動刪除。包含 CA 憑證的新檔案中的專案會附加至現有清單。 |
適用於Wi-Fi連線
如果您的網路使用WPA- EAP驗證,我們建議您為每個 Board、Desk 或 Room 系列裝置新增信任的CA 憑證。您必須針對每個裝置單獨執行此操作,然後才連接至 Wi-Fi。
若要為 Wi-Fi 連接新增憑證,您需要下列檔案:
-
CA 憑證清單(檔案格式:.PEM)
-
憑證(檔案格式:.PEM)
-
私密金鑰,作為單獨的檔案或包含在與憑證相同的檔案中(檔案格式:.PEM)
-
密碼(僅在私密金鑰加密時需要)
憑證和私密金鑰儲存在裝置上的相同檔案中。如果驗證失敗,將不會建立連接。
私密金鑰和復雜密碼不會套用至已連線的周邊設備。 |
在 Board、Desk 和 Room 系列裝置上新增憑證
1 |
從 的客戶視圖中 https://admin.webex.com ,轉至 裝置頁面,然後選取清單中的裝置。轉至 支援 並啟動 本機裝置控制項。 如果您已"安裝;設定"本地管理員 裝置上的使用者,您可以透過開啟 Web 瀏覽Web 介面並鍵入http:// 。 |
2 |
導覽 然後上傳您的 CA 根憑證憑證。 |
3 |
在 openssl 上,產生私密金鑰和憑證請求。複製憑證請求的內容。然後貼上它以從憑證授權單位機構 (CA) 請求伺服器憑證。 |
4 |
下載由您的 CA 簽署的伺服器憑證。確保它位於 中。PEM 格式。 |
5 |
導覽 ,並上傳私密金鑰和伺服器憑證。 |
6 |
啟用要用於剛剛新增的憑證的服務。 |
簡單憑證註冊通訊協定 (SCEP)
簡單憑證註冊通訊協定 (SCEP) 提供了用於註冊和重新整理憑證的自動化機制,這些憑證用於裝置上的802.1X 驗證。SCEP 可讓您維護裝置對安全網路的存取權限,而無需手動干預。
-
當裝置是新裝置或已恢復重設成出廠預設值時,它需要網路存取權才能到達 SCEP URL。裝置應該連接到沒有 802.1X 的網路以獲取IP 位址。
-
如果使用無線註冊SSID,您需要瀏覽上線螢幕來設定網路連線。
-
連線至佈建網路後,在此階段裝置不需要位於特定的新手上路螢幕上。
-
為了適合所有部署,SCEP 註冊 xAPI 將不儲存用於簽署裝置憑證的CA 憑證憑證。對於伺服器驗證,需要新增用於驗證伺服器憑證的CA 憑證, xCommand 安全性憑證 CA 新增。
先決條件
您需要以下資訊:
-
SCEP 伺服器的URL。
-
簽署 CA(憑證授權單位)憑證的指紋。
-
要註冊的憑證的資訊。這構成了主體名稱 憑證的。
-
通用名稱
-
國名
-
組織名稱
-
-
SCEP 伺服器的質詢密碼(如果您已將 SCEP 伺服器設定為強制使用 OTP 或共用密碼)。
我們會傳送在憑證到期後一年內有效的憑證請求。伺服器端策略可以在憑證簽署期間變更到期日期。
乙太網路連線
當裝置已連線至網路時,請確保它可以存取 SCEP 伺服器。裝置應該已連線至不含 802 的網路。1x 獲取IP 位址。可能需要將裝置的MAC 位址提供給佈建網路,才能獲得IP 位址。MAC 位址可在 UI 或裝置背面的標籤上找到。
xCommand 安全性憑證服務註冊 SCEP 請求
當 SCEP 伺服器傳回簽署的裝置憑證後,啟動 802.1X,然後重新啟動裝置。
xCommand 安全性憑證服務啟動
啟用憑證後,請重新啟動裝置。
無線連線
當裝置連線至無線網路時,請確保它可以存取 SCEP 伺服器。
xCommand 安全性憑證服務註冊 SCEP 請求
裝置會從 SCEP 伺服器接收簽署的憑證。
啟動簽署的憑證:
xCommand 安全性憑證服務啟動
xCommand 網路 Wifi 設定
依預設, Wi-Fi設定會跳過伺服器驗證檢查。如果只需要單向驗證,請保留允許遺失CA 預設為是。
若要強制伺服器驗證,請確保允許遺失CA 選用參數已設定為錯誤。如果由於服務驗證錯誤而無法建立連線,請檢查是否已新增正確的 CA 以驗證伺服器憑證(可能與裝置憑證不同)。
API說明
角色:管理員, 整合者
xCommand 安全性憑證服務註冊 SCEP 請求
請求並下載簽署的裝置憑證
參數:
-
URL(r):0, 128>
用於註冊憑證的 SCEP 伺服器URL 。
-
指紋 (r):0, 128>
將對 X509 請求籤署的發行 CA 的指紋。
-
挑戰密碼:0, 128>
由 SCEP 伺服器設定的共用密碼密碼。
-
一般名稱(r):0, 128>
-
國家/地區名稱:0, 128>
-
組織名稱:0, 128>
-
SanDns[5]:0, 128>
-
San電子郵件[5]:0, 128>
-
SanIp[5]:0, 128>
-
SanUri[5]:0, 128>
xCommand 安全性憑證服務註冊 SCEP 續訂請求
建立或更新在憑證過期之前套用至給定 CA 核發的所有憑證的自動更新設定檔
參數:
-
指紋 (r):0, 128>
簽署憑證的發行 CA 的指紋。
-
URL(r):0, 128>
用於續訂憑證的 SCEP 伺服器URL 。
xCommand 安全性憑證服務註冊 SCEP 續訂 刪除
移除給定 CA 的自動更新設定檔。這會停止此 CA 簽署的憑證自動續訂
參數:
-
指紋 (r):0, 128>
要移除的發行 CA 指紋。
xCommand 安全性憑證服務註冊 SCEP 續訂清單
列出所有目前使用的自動更新設定檔。