أمان هاتف Cisco IP

تثبيت شهادة الجهاز المخصص يدويا

يمكنك تثبيت شهادة جهاز مخصص (CDC) يدويا على الهاتف عن طريق تحميل الشهادة من صفحة ويب إدارة الهاتف.

‏‫قبل البدء‬

قبل أن تتمكن من تثبيت شهادة جهاز مخصصة للهاتف، يجب أن يكون لديك:

ملف شهادة (.p12 أو .pfx) محفوظ على الكمبيوتر. يحتوي الملف على الشهادة والمفتاح الخاص.
كلمة مرور استخراج الشهادة. يتم استخدام كلمة المرور لفك تشفير ملف الشهادة.

1	يمكنك الوصول إلى صفحة ويب إدارة الهاتف.
2	حدد شهادة.
3	في القسم إضافة شهادة ، انقر فوق استعراض....
4	قم بالاستعراض للشهادة الموجودة على جهاز الكمبيوتر الخاص بك.
5	في كلمة المرور استخراج الحقل، أدخل كلمة المرور استخراج الشهادة.
6	انقر فوق تحميل. إذا كان ملف الشهادة وكلمة المرور صحيحين ، فستتلقى الرسالة "`تمت إضافة الشهادة".` وإلا، يفشل التحميل مع ظهور رسالة خطأ تشير إلى تعذر تحميل الشهادة.
7	للتحقق من تفاصيل الشهادة المثبتة، انقر فوق عرض في قسم الشهادات الموجودة.
8	لإزالة الشهادة المثبتة من الهاتف، انقر فوق حذف في قسم الشهادات الموجودة. بمجرد النقر فوق الزر ، تبدأ عملية الإزالة على الفور دون تأكيد. إذا تمت إزالة الشهادة بنجاح ، فستتلقى الرسالة "`تم حذف الشهادة".`

تثبيت شهادة جهاز مخصص تلقائيا بواسطة SCEP

يمكنك إعداد معلمات بروتوكول تسجيل الشهادة البسيطة (SCEP) لتثبيت شهادة الجهاز المخصص (CDC) تلقائيا، إذا كنت لا تريد تحميل ملف الشهادة يدويا أو إذا لم يكن لديك ملف الشهادة في مكانه.

عند تهيئة معلمات SCEP بشكل صحيح، يرسل الهاتف الطلبات إلى خادم SCEP، ويتم التحقق من صحة شهادة المرجع المصدق (CA) بواسطة الجهاز باستخدام بصمة الإصبع المحددة.

‏‫قبل البدء‬

قبل أن تتمكن من إجراء التثبيت التلقائي لشهادة جهاز مخصصة للهاتف، يجب أن يكون لديك:

عنوان خادم SCEP
بصمة الإصبع SHA-1 أو SHA-256 لشهادة CA الجذر الخاصة بخادم SCEP

1	يمكنك الوصول إلى صفحة ويب إدارة الهاتف.
2	حدد شهادة.
3	في قسم تهيئة SCEP 1 ، عين المعلمات كما هو موضح في الجدول التالي معلمات تهيئة SCEP.
4	انقر فوق إرسال جميع التغييرات.

معلمات تهيئة SCEP

يحدد الجدول التالي وظيفة معلمات تهيئة SCEP واستخدامها في قسم تهيئة SCEP 1 ضمن علامة التبويب الشهادة في واجهة ويب الهاتف. كما يحدد بناء جملة السلسلة التي تتم إضافتها في ملف تكوين الهاتف (cfg.xml) لتكوين معلمة.

الجدول 1. معلمات تهيئة SCEP
المعلمة	الوصف
الخادم	عنوان خادم SCEP. هذه المعلمة إلزامية. قم بتنفيذ أحد الإجراءين التاليين: في ملف تكوين الهاتف باستخدام XML(cfg.xml)، أدخل سلسلة بهذا التنسيق: `<CDC_Server_1_ ua="na">http://10.79.57.91</CDC_Server_1_>` في صفحة الهاتف على الويب، أدخل عنوان خادم SCEP. القيم الصالحة: عنوان URL أو عنوان IP. نظام HTTPS غير مدعوم. القيمة الافتراضية: فارغ
الجذر CA بصمة	SHA256 أو SHA1 بصمة المرجع المصدق الجذر للتحقق من صحتها أثناء عملية SCEP. هذه المعلمة إلزامية. قم بتنفيذ أحد الإجراءين التاليين: في ملف تكوين الهاتف باستخدام XML(cfg.xml)، أدخل سلسلة بهذا التنسيق: `<CDC_Root_CA_Fingerprint_1_ ua="na">12040870625C5B755D73F5925285F8F5FF5D55AF</CDC_Root_CA_Fingerprint_1_>` في صفحة الهاتف على الويب، أدخل بصمة إصبع صالحة. القيمة الافتراضية: فارغ
كلمة مرور التحدي	كلمة مرور التحدي لتخويل Certificate Authority (CA) على الهاتف أثناء تسجيل الشهادة عبر SCEP. هذه المعلمة اختيارية. وفقا لبيئة SCEP الفعلية، يختلف سلوك كلمة مرور التحدي. إذا حصل الهاتف على شهادة من Cisco RA تتصل بالمرجع المصدق، فإن كلمة مرور التحدي غير مدعومة على المرجع المصدق. في هذه الحالة، يستخدم Cisco RA MIC/SUDI الخاص بالهاتف للمصادقة للوصول إلى المرجع المصدق. يستخدم الهاتف MIC/SUDI لكل من التسجيل الأولي وتجديد الشهادة. إذا حصل الهاتف على شهادة من خلال الاتصال بالمرجع المصدق مباشرة، يتم دعم كلمة مرور التحدي على المرجع المصدق. إذا تم تكوينه ، استخدامه للتسجيل الأولي فقط. لتجديد الشهادة، سيتم استخدام الشهادة المثبتة بدلا من ذلك. قم بتنفيذ أحد الإجراءين التاليين: في ملف تكوين الهاتف باستخدام XML(cfg.xml)، أدخل سلسلة بهذا التنسيق: `<CDC_Challenge_Password_1_ ua="na"></CDC_Challenge_Password_1_>` يتم إخفاء كلمة المرور في ملف التكوين. في صفحة الهاتف على الويب، أدخل كلمة مرور التحدي. القيمة الافتراضية: فارغ

تهيئة معلمات SCEP عبر الخيار 43 DHCP

بالإضافة إلى تسجيل شهادة SCEP من خلال التكوينات اليدوية على صفحة ويب الهاتف، يمكنك أيضا استخدام خيار DHCP 43 لملء المعلمات من خادم DHCP. تتم تهيئة خيار DHCP 43 مسبقا باستخدام معلمات SCEP، ويمكن للهاتف لاحقا جلب المعلمات من خادم DHCP لإجراء تسجيل شهادة SCEP.

لا يتوفر تكوين معلمات SCEP عبر الخيار 43 إلا للهاتف الذي يتم فيه إجراء إعادة تعيين إعدادات المصنع DHCP.
يجب عدم وضع الهواتف في الشبكة التي تدعم كلا من الخيار 43 والتزويد عن بعد (على سبيل المثال، الخيارات 66,160,159,150 أو التوفير السحابي). وإلا، فقد لا تحصل الهواتف على تكوينات الخيار 43.

لتسجيل شهادة SCEP من خلال تهيئة معلمات SCEP في الخيار 43 DHCP، قم بما يلي:

إعداد بيئة SCEP.
للحصول على معلومات حول إعداد بيئة SCEP، راجع وثائق خادم SCEP.

قم بإعداد الخيار 43 DHCP (المحدد في 8.4 المعلومات الخاصة بالمورد، RFC 2132).

يتم حجز الخيارات الفرعية (10-15) للطريقة:

المعلمة على صفحة ويب الهاتف	خيار فرعي	النوع	الطول (بايت)	إلزامي
وضع FIPS	10	منطقيه	1	لا*
الخادم	11	السلسلة	208 - الطول (كلمة مرور التحدي)	نعم
الجذر CA بصمة	12	ثنائي	20 أو 32	نعم
كلمة مرور التحدي	13	السلسلة	208 - الطول (الخادم)	لا*
تمكين مصادقة 802.1X	14	منطقيه	1	لا
تحديد الشهادة	15	8 بت غير موقعة	1	لا

عند استخدام الخيار DHCP 43 لاحظ الخصائص التالية للأسلوب:

يتم حجز الخيارات الفرعية (10-15) لشهادة الجهاز المخصص (CDC).
الحد الأقصى لطول خيار DHCP 43 هو 255 بايت.
يجب أن يكون الحد الأقصى لطول الخادم + كلمة مرور التحدي أقل من 208 بايت.
يجب أن تكون قيمة وضع FIPS متوافقة مع تكوين توفير الإعداد. وإلا يفشل الهاتف في استرداد الشهادة المثبتة مسبقا بعد الإعداد. تحديدا
- إذا كان سيتم تسجيل الهاتف في بيئة يتم فيها تعطيل وضع FIPS، فلن تحتاج إلى تكوين وضع FIPS للمعلمة في DHCP الخيار 43. بشكل افتراضي، يتم تعطيل وضع FIPS.
- إذا كان الهاتف سيتم تسجيله في بيئة يتم فيها تمكين وضع FIPS، فيجب تمكين وضع FIPS في DHCP الخيار 43. راجع تمكين وضع FIPS للحصول على التفاصيل.
كلمة المرور في الخيار 43 مكتوبة بنص واضح.
إذا كانت كلمة مرور التحدي فارغة، يستخدم الهاتف MIC/SUDI للتسجيل الأولي وتجديد الشهادة. إذا تم تكوين كلمة مرور الاختبار، استخدامها فقط للتسجيل الأولي، وسيتم استخدام الشهادة المثبتة لتجديد الشهادة.
تمكين مصادقة 802.1X وتحديد الشهادة يستخدمان فقط للهواتف في الشبكة السلكية.
يستخدم DHCP الخيار 60 (معرف فئة البائع) لتحديد طراز الجهاز.

ويقدم الجدول التالي مثالا DHCP الخيار 43 (الخيارات الفرعية 10-15):

الخيار الفرعي عشري/سداسي عشري	طول القيمة (بايت) عشري / سداسي عشري	القيمة	قيمة سداسية عشرية
10/0 أ	1/01	1 (0: معطل؛ 1: ممكن)	01
11/0 ب	18/12	http://10.79.57.91	687474703a2f2f31302e37392e35372e3931
12/0 ج	20/14	12040870625C5B755D73F5925285F8F5FF5D55AF	12040870625C5B755D73F5925285F8F5FF5D55AF
13/0 د	16/10	D233CCF9B9952A15	44323333434346394239393532413135
14/0e	1/01	1 (0: لا؛ 1: نعم)	01
15/0 فهرنهايت	1/01	1 (0: التصنيع مثبت؛ 1: مثبت حسب الطلب)	01

ملخص قيم المعلمات:

وضع FIPS = ممكن
الخادم = http://10.79.57.91
الجذر CA بصمة = 12040870625C5B755D73F 5925285F8F5FF5D55AF
كلمة مرور التحدي = D233CCF9B9952A15
تمكين مصادقة 802.1X = نعم
تحديد الشهادة = تثبيت مخصص

بناء جملة القيمة السداسية النهائية هو: {<الخيار الفرعي><الطول><القيمة>} ...

وفقا لقيم المعلمات أعلاه ، تكون القيمة السداسية النهائية كما يلي:

0a01010b12687474703a2f2f31302e37392e35372e39310c1412040870625C5B755D73F5925285F8F5FF5D55AF0d10443233334343463942393935324131350e01010f0101

قم بتكوين الخيار 43 DHCP على خادم DHCP.

تقدم هذه الخطوة مثالا على تكوينات خيار DHCP 43 في سجل شبكة Cisco.
1. أضف مجموعة تعريف الخيار DHCP.
  سلسلة خيارات المورد هي اسم طراز هواتف IP. القيمة الصالحة هي: DP-9841 أو DP-9851 أو DP-9861 أو DP-9871 أو CP-8875.
2. أضف خيار DHCP 43 والخيارات الفرعية إلى مجموعة تعريف الخيار DHCP.
  مثال:
3. أضف الخيارات 43 إلى نهج DHCP وقم بإعداد القيمة كما يلي:
  مثال:
  (10 1)(11 http://10.79.57.91)(12 12040870625C5B755D73F5925285F8F5FF5D55AF)(13 D233CCF9B9952A15)(14 1)(15 1)
4. تحقق من الإعدادات. يمكنك استخدام Wireshark لالتقاط أثر لحركة مرور الشبكة بين الهاتف والخدمة.
قم بإجراء إعادة ضبط المصنع للهاتف.
بعد إعادة تعيين الهاتف ، سيتم ملء المعلمات الخادم وبصمة جذر CA وكلمة مرور التحدي تلقائيا. توجد هذه المعلمات في القسم تكوين SCEP 1 من شهادة > مخصص في صفحة ويب إدارة الهاتف.
للتحقق من تفاصيل الشهادة المثبتة، انقر فوق عرض في قسم الشهادات الموجودة.
للتحقق من حالة تثبيت الشهادة، حدد شهادة > حالة شهادة مخصصة. تعرض حالة التنزيل 1 أحدث نتيجة. في حالة حدوث أي مشكلة أثناء تسجيل الشهادة، يمكن أن تعرض حالة التنزيل سبب المشكلة لأغراض استكشاف الأخطاء وإصلاحها.
إذا فشلت مصادقة كلمة مرور التحدي، فسيطلب من المستخدمين إدخال كلمة المرور على شاشة الهاتف.
(اختياري): لإزالة الشهادة المثبتة من الهاتف، انقر فوق حذف في قسم الشهادات الموجودة.
بمجرد النقر فوق الزر ، تبدأ عملية الإزالة على الفور دون تأكيد.

تجديد الشهادة من قبل SCEP

يمكن تحديث شهادة الجهاز تلقائيا من خلال عملية SCEP.

يتحقق الهاتف مما إذا كانت الشهادة ستنتهي صلاحيتها خلال 15 يوما كل 4 ساعات. إذا كان الأمر كذلك، يبدأ الهاتف عملية تجديد الشهادة تلقائيا.
إذا كانت كلمة مرور التحدي فارغة، يستخدم الهاتف MIC/SUDI لكل من التسجيل الأولي وتجديد الشهادة. إذا تم تكوين كلمة مرور التحدي ، استخدامها للتسجيل الأولي فقط ، ويتم استخدام الشهادة الحالية / المثبتة لتجديد الشهادة.
لا يزيل الهاتف شهادة الجهاز القديمة حتى يسترد الشهادة الجديدة.
إذا فشل تجديد الشهادة بسبب انتهاء صلاحية شهادة الجهاز أو المرجع المصدق، فسيقوم الهاتف بتشغيل التسجيل الأولي تلقائيا. في هذه الأثناء، إذا فشلت مصادقة كلمة مرور التحدي، تنبثق شاشة إدخال كلمة المرور على شاشة الهاتف، وتتم مطالبة المستخدمين بإدخال كلمة مرور التحدي على الهاتف.

تمكين وضع FIPS

يمكنك جعل الهاتف متوافقًا مع معايير معالجة المعلومات الفيدرالية (FIPS).

إن FIPS عبارة عن مجموعة من المعايير التي تصف معالجة المستندات وخوارزميات التشفير ومعايير تكنولوجيا المعلومات الأخرى للاستخدام داخل الحكومة غير العسكرية ومن قِبل المقاولين الحكوميين والموردين الحكوميين الذين يعملون مع الوكالات. CiscoSSL FOM (وحدة كائن FIPS) عبارة عن مكون برمجي محدد بعناية ومصمم للتوافق مع مكتبة CiscoSSL، لذلك يمكن تحويل المنتجات التي تستخدم مكتبة CiscoSSL API لاستخدام التشفير المتحقق من صحته وفقا لمعيار FIPS 140-2 بأقل جهد.

1	يمكنك الوصول إلى صفحة ويب إدارة الهاتف.
2	حدد صوت > النظام.
3	في قسم إعدادات الأمان، اختر نعم أو لا من معلمة وضع FIPS.
4	انقر فوق إرسال جميع التغييرات. عند تمكين FIPS، تعمل الميزات التالية بسلاسة على الهاتف: مصادقة الصور التخزين الآمن ‏‫تشفير ملف التكوين TLS: المتقاطعات تحميل PRT ترقية البرامج الثابتة إعادة مزامنة ملف التعريف خدمة الإعداد Webex الإعداد SIP عبر TLS 802.1x (سلكي) ملخص SIP‏ (RFC 8760) SRTP Webex سجلات المكالمات ودليل Webex زر واحد للضغط (OBTP)

تعيين كلمة مرور المستخدم والمسؤول

بعد تسجيل الهاتف في نظام التحكم في المكالمات في المرة الأولى أو إجراء إعادة ضبط المصنع على الهاتف، يجب تعيين كلمة مرور المستخدم والمسؤول لتعزيز أمان الهاتف. فقط عند تعيين كلمة المرور، يمكنك إرسال التغييرات من صفحة الهاتف على الويب.

بشكل افتراضي، يتم تمكين تحذير عدم وجود كلمة مرور على الهاتف. عندما لا يحتوي الهاتف على أي كلمة مرور لمستخدم أو مسؤول، يتم عرض التحذيرات التالية:

تعرض صفحة ويب الهاتف "لم يتم توفير كلمة مرور المسؤول. الويب في وضع القراءة فقط، ولا يمكنك إرسال التغييرات. الرجاء تغيير كلمة المرور." في الزاوية اليسرى العليا.
يعرض حقلا كلمة مرور المستخدم وكلمة مرور المسؤول التحذير "لم يتم توفير كلمة مرور" على التوالي إذا كان فارغا.
تعرض مشكلات شاشة الهاتف والتشخيصات المشكلة "لم يتم توفير كلمة مرور".

1	الوصول إلى صفحة ويب إدارة الهاتف
2	حدد صوت > النظام.
3	(اختياري) في المقطع تكوين النظام، قم بتعيين معلمة "عرض تحذيرات كلمة المرور" إلى نعم، ثم انقر فوق إرسال كافة التغييرات. يمكنك أيضًا تمكين المعلمات في ملف تكوين الهاتف (cfg.xml). `<Display_Password_Warnings ua="na">نعم</Display_Password_Warnings>` القيمة الافتراضية: نعم الخيارات: نعم\|لا عند تعيين المعلمة على "لا"، لا يظهر تحذير كلمة المرور على صفحة الويب ولا على شاشة الهاتف. أيضا ، لن يتم تنشيط وضع الاستعداد فقط لصفحة الويب على الرغم من أن كلمة المرور فارغة.
4	حدد موقع المعلمة User Password أو Admin Password، وانقر فوق Change Password بجوار المعلمة.
5	أدخل كلمة مرور المستخدم الحالية في حقل كلمة المرور القديمة. إذا لم يكن لديك كلمة مرور، فاترك الحقل فارغًا. القيمة الافتراضية هي فارغ.
6	أدخل كلمة مرور جديدة في حقل كلمه المرور الجديدة.
7	انقر فوق إرسال. سيتم عرض رسالة `Password has been changed successfully.` في صفحة الويب. سيتم تحديث صفحة الويب في عدة ثوانٍ. سيختفي التحذير الموجود بجوار المعلمة. بعد تعيين كلمة مرور المستخدم، تعرض هذه المعلمة ما يلي في ملف XML لتكوين الهاتف (cfg.xml): `<!-- <Admin_Password ua="na">***********</Admin_Password> <User_Password ua="rw">***********</User_Password> -->` إذا تلقيت رمز الخطأ 403 عند محاولة الوصول إلى صفحة الهاتف على الويب، فيجب عليك تعيين كلمة مرور المستخدم أو المسؤول عن طريق التوفير في ملف تكوين الهاتف (cfg.xml). على سبيل المثال، أدخل سلسلة بهذا التنسيق: `<Admin_Password ua="na">P0ssw0rd_tes89</Admin_Password>` `<User_Password ua="rw">Abc123</User_Password>`

مصادقة 802.1X

تدعم هواتف Cisco IP مصادقة 802.1X.

عادةً ما تستخدم هواتف Cisco IP ومحولات Cisco IP بروتوكول اكتشاف Cisco (يُعرف اختصارًا بـ CDP) للتعرف على هوية بعضها البعض وتحديد معلمات مثل متطلبات تخصيص VLAN وطاقة الكبلات الداخلية. يحدد بروتوكول CDP محطات العمل المتصلة محليًا. توفر هواتف Cisco IP آلية لعبور EAPOL. وتتيح هذه الآلية لمحطة العمل المتصلة بهاتف Cisco IP تمرير رسائل EAPOL إلى مصدّق 802.1X في محول LAN. تضمن آلية المرور عدم تصرف هاتف IP كمحول LAN لمصادقة نقطة نهاية بيانات قبل الوصول إلى الشبكة.

كما توفر هواتف Cisco IP آلية لتسجيل الخروج من EAPOL للوكيل. إذا تم فصل اتصال الكمبيوتر الشخصي المتصل محليًا عن هاتف IP، لا يعلم محول LAN عطل الارتباط المادي، وذلك نظرًا لخضوع الوصلة التي تربط بين محول LAN وهاتف IP للصيانة. ولتجنب المخاطرة بسلامة الشبكة، يرسل هاتف IP رسالة تسجيل خروج من EAPOL إلى المحول بالنيابة عن الكمبيوتر الشخصي المتدفقة إليه البيانات، والذي يقوم بتشغيل محول LAN لمسح إدخال المصادقة للكمبيوتر الشخصي المتدفقة إليه البيانات.

يتطلب دعم مصادقة 802.1X العديد من المكونات:

هاتف Cisco IP : يعمل الهاتف على تكوين الطلب للوصول إلى الشبكة. تشتمل هواتف Cisco IP Phone على عميل 802.1X. يتيح هذا العميل لمسؤولي الشبكة التحكم في اتصال هواتف IP بمنافذ محول LAN. يستخدم الإصدار الحالي من عميل 802.1X للهواتف الخيارين EAP—FAST وEAP—TLS لمصادقة الشبكة.
خادم المصادقة: يجب تكوين كل من خادم المصادقة والمحول باستخدام سر مشترك يقوم بمصادقة الهاتف.
المفتاح: يجب أن يدعم المفتاح 802.1X، لذا يمكن أن يعمل المحول كمصدق ويمرر الرسائل بين الهاتف وخادم المصادقة. بعد اكتمال عملية التبادل، يمنح المحول أو يرفض إمكانية وصول الهاتف إلى الشبكة.

ويجب أن تنفذ الإجراءات التالية لتكوين 802.1X.

كوِّن المكونات الأخرى قبل تمكين "مصادقة 802.1X" على الهاتف.
تكوين منفذ PC: لا يضع المعيار 802.1X في اعتباره وجود شبكات VLAN، ويوصي بناءً على ذلك بوجوب مصادقة جهاز واحد فقط إلى منفذ محدد في المحول. ومع ذلك، تدعم بعض المفاتيح المصادقة متعددة المجالات. يحدد تكوين المحول ما إذا كان بإمكانك توصيل كمبيوتر شخصي بمنفذ PC الخاص بالهاتف أم لا.
- ممكَّن: إذا كنت تستخدم محولاً يدعم المصادقة متعددة المجالات، فيمكنك تفعيل منفذ PC وتوصيل كمبيوتر شخصي به. وفي هذه الحالة، فإن هواتف Cisco IP تدعم تسجيل الخروج من EAPOL للوكيل لمراقبة عمليات تبادل المصادقة بين المحول والكمبيوتر الشخصي المتصل.
  
  لمزيد من المعلومات حول دعم IEEE 802.1X في محولات Cisco Catalyst، راجع أدلة تكوين محول Cisco Catalyst على:
  
  http://www.cisco.com/en/US/products/hw/switches/ps708/tsd_products_support_series_home.html
- معطَّل: إذا كان المحول لا يدعم أجهزة متعددة متوافقة مع 802.1X على المنفذ نفسه، فيجب أن تقوم بتعطيل منفذ PC عند تمكين مصادقة 802.1X. إذا لم تقم بتعطيل هذا المنفذ وحاولت بعد ذلك توصيل كمبيوتر شخصي به، فسيرفض المحول وصول الشبكة إلى كل من الهاتف والكمبيوتر الشخصي على حدٍ سواء.
تكوين VLAN للصوت: لأن معيار 802.1X لا يعتد بوجود شبكات VLAN، يجب أن تعمد إلى تكوين هذا الإعداد بناءً على دعم المحول.
- ممكَّن: إذا كنت تستخدم محولاً يدعم المصادقة متعددة المجالات، فيمكنك الاستمرار في استخدام VLAN للصوت.
- معطَّل: إذا كان المحول لا يدعم المصادقة متعددة المجالات، فقم بتعطيل "VLAN للصوت" وضع في اعتبارك تعيين المنفذ إلى شبكة VLAN الأصلية.
(لسلسلة هواتف Cisco Desk Phone 9800 فقط)
يحتوي Cisco Desk Phone 9800 Series على بادئة مختلفة في PID عن تلك الخاصة بهواتف Cisco الأخرى. لتمكين هاتفك من اجتياز مصادقة 802.1X، قم بتعيين نصف القطر· معلمة اسم المستخدم لتضمين سلسلة هاتف Cisco Desk Phone 9800 الخاصة بك.
على سبيل المثال ، PID للهاتف 9841 هو DP-9841 ؛ يمكنك ضبط نصف القطر · اسم المستخدم للبدء ب DP أو يحتوي على DP. يمكنك تعيينه في كلا القسمين التاليين:
- السياسة > الشروط > شروط المكتبة
- نهج > مجموعات النهج> نهج التخويل> قاعدة التخويل 1

تمكين مصادقة 802.1X

عند تمكين مصادقة 802.1X، يستخدم الهاتف مصادقة 802.1X لطلب الوصول إلى الشبكة. عند تعطيل مصادقة 802.1X، يستخدم الهاتف Cisco Discovery Protocol (CDP) للحصول على VLAN والوصول إلى الشبكة. يمكنك أيضا عرض حالة المعاملة وتغييرها من قائمة شاشة الهاتف.

عند تمكين مصادقة 802.1X، يمكنك أيضا تحديد شهادة الجهاز (MIC/SUDI أو مخصصة) للتسجيل الأولي وتجديد الشهادة. عادة ما يكون MIC لهاتف Cisco Video Phone 8875 ، و SUDI لسلسلة Cisco Desk Phone 9800. يمكن استخدام CDC للمصادقة فقط في 802.1x.

قم بتنفيذ أحد الإجراءات التالية لتمكين مصادقة 802.1X:

في واجهة ويب الهاتف، حدد الصوت>النظام وقم بتعيين معلمة تمكين مصادقة 802.1X إلى نعم . ثم انقر فوق إرسال جميع التغييرات.
في ملف التكوين (cfg.xml)، أدخل سلسلة بهذا التنسيق:
<Enable_802.1X_Authentication ua="rw">Yes</Enable_802.1X_Authentication>
القيم الصالحة: نعم|لا
القيمة الافتراضية: لا
على الهاتف، اضغط على الإعدادات ، ثم انتقل إلى إعدادات الشبكة والخدمة > الأمان> مصادقة 802.1X. قم بتبديل حقل مصادقة الجهاز إلى تشغيل، ثم حدد تطبيق.

الجدول 2. معلمات مصادقة 802.1X على شاشة الهاتف
معلمات	الخيارات	افتراضي	الوصف
مصادقة الجهاز	تشغيل إيقاف	إيقاف	قم بتمكين مصادقة 802.1X أو تعطيلها على الهاتف.
حالة المعاملة		معطل	يعرض حالة مصادقة 802.1X. يمكن أن تكون الدولة (على سبيل المثال لا الحصر): جارٍ المصادقة: الإشارة إلى أن عملية المصادقة قيد التقدم. تمت المصادقة: يشير إلى أن الهاتف قد تمت مصادقته. معطل: يشير إلى أن مصادقة 802.1x معطلة على الهاتف.
البروتوكول		بلا	يعرض أسلوب EAP المستخدم لمصادقة 802.1X. يمكن أن يكون البروتوكول EAP-FAST أو EAP-TLS.
نوع شهادة المستخدم	التصنيع مثبت تثبيت مخصص	التصنيع مثبت	اختر الشهادة الخاصة بمصادقة 802.1X أثناء التسجيل الأولي وتجديد الشهادة. التصنيع المثبت—يتم استخدام شهادة التصنيع المثبتة (MIC) ومعرف الجهاز الفريد الآمن (SUDI). تثبيت مخصص—يتم استخدام شهادة الجهاز المخصص (CDC). يمكن تثبيت هذا النوع من الشهادات إما عن طريق التحميل اليدوي على صفحة ويب الهاتف أو عن طريق التثبيت من خادم بروتوكول تسجيل الشهادات البسيطة (SCEP). تظهر هذه المعلمة على الهاتف فقط عند تمكين مصادقة الجهاز.

حدد شهادة (MIC أو مخصصة) لمصادقة 802.1X على صفحة ويب الهاتف.

بالنسبة للشبكة السلكية، حدد الصوت>النظام، واختر نوع الشهادة من القائمة المنسدلة تحديد الشهادة في القسم مصادقة 802.1X.
يمكنك أيضًا تكوين هذه المعلمة في ملف التكوين (cfg.xml):
<Certificate_Select ua="rw">تثبيت مخصص</Certificate_Select>
قيم صالحة: التصنيع مثبت |تثبيت مخصص
الإعداد الافتراضي: التصنيع مثبت
بالنسبة للشبكة اللاسلكية، حدد الصوت>النظام، واختر نوع الشهادة من القائمة المنسدلة تحديد الشهادة في القسم Wi-Fi ملف التعريف 1.
يمكنك أيضًا تكوين هذه المعلمة في ملف التكوين (cfg.xml):
<Wi-Fi_Certificate_Select_1_ ua="rw">تثبيت مخصص</Wi-Fi_Certificate_Select_1_>
قيم صالحة: التصنيع مثبت |تثبيت مخصص
الإعداد الافتراضي: التصنيع مثبت

للحصول على معلومات حول كيفية تحديد نوع الشهادة على شاشة الهاتف، راجع توصيل الهاتف بشبكة Wi-Fi.

تمكين الوضع الذي بدأه العميل لمفاوضات أمان مستوى الوسائط

لحماية جلسات الوسائط، يمكنك تكوين الهاتف لبدء مفاوضات أمان مستوى الوسائط مع الخادم. تتبع آلية الأمان المعايير المنصوص عليها في RFC 3329 ومسودة امتدادها أسماء آلية الأمان للوسائط (انظر https://tools.ietf.org/html/draft-dawes-sipcore-mediasec-parameter-08#ref-2). يمكن أن يستخدم نقل المفاوضات بين الهاتف والخادم بروتوكول SIP عبر UDP وTCP وTLS. يمكنك تقييد تفاوض أمان مستوى الوسائط هذا فقط عندما يكون بروتوكول نقل الإشارة هو TLS.

يمكنك الوصول إلى صفحة ويب إدارة الهاتف.

حدد صوت > Ext(n).

في قسم إعدادات SIP، قم بتعيين حقلي طلب MediaSec وMediaSec عبر TLS فقط كما هو محدد في الجدول التالي:

الجدول 3. معلمات للتفاوض الأمني على مستوى الوسائط
المعلمة	الوصف
طلب MediaSec	تحديد ما إذا كان الهاتف يبدأ مفاوضات أمان مستوى الوسائط مع الخادم. قم بتنفيذ أحد الإجراءين التاليين: في ملف تكوين الهاتف باستخدام XML(cfg.xml)، أدخل سلسلة بهذا التنسيق: `<MediaSec_Request_1_ ua="na">نعم</MediaSec_Request_1_>` في واجهة ويب الهاتف، قم بتعيين هذا الحقل إلى نعم أو لا عند الحاجة. القيم المسموح بها: نعم\|لا نعم—وضع بدء العميل. يقوم الهاتف ببدء مفاوضات أمان مستوى الوسائط. لا—الوضع الذي يبدأه الخادم. يبدأ الخادم مفاوضات أمان مستوى الوسائط. لا يبدأ الهاتف المفاوضات، ولكن يمكنه التعامل مع طلبات التفاوض من الخادم لإجراء مكالمات آمنة. القيمة الافتراضية: لا
MediaSec عبر TLS فقط	تحديد بروتوكول نقل الإشارات الذي يتم من خلاله تطبيق مفاوضات أمان مستوى الوسائط. قبل تعيين هذا الحقل إلى نعم، تأكد من أن بروتوكول نقل الإشارات هو TLS. قم بتنفيذ أحد الإجراءين التاليين: في ملف تكوين الهاتف باستخدام XML(cfg.xml)، أدخل سلسلة بهذا التنسيق: `<MediaSec_Over_TLS_Only_1_ ua="na">No</MediaSec_Over_TLS_Only_1_>` في واجهة ويب الهاتف، قم بتعيين هذا الحقل إلى نعم أو لا عند الحاجة. القيم المسموح بها: نعم\|لا نعم—يبدأ الهاتف أو يتعامل مع مفاوضات أمان مستوى الوسائط فقط عندما يكون بروتوكول نقل الإشارات هو TLS. لا—يبدأ الهاتف ويتعامل مع مفاوضات أمان مستوى الوسائط بغض النظر عن بروتوكول نقل الإشارات. القيمة الافتراضية: لا

انقر فوق إرسال جميع التغييرات.

إعداد ملف تعريف Wi-Fi

يمكنك تكوين ملف تعريف Wi-Fi من صفحة ويب الهاتف أو من إعادة مزامنة ملف تعريف الجهاز البعيد ثم ربط ملف التعريف بشبكات Wi-Fi المتاحة. يمكنك استخدام ملف تعريف Wi-Fi هذا للاتصال بشبكة Wi-Fi. حاليا، يمكن تكوين ملف تعريف Wi-Fi واحد فقط.

يحتوي على ملف تعريف المعلمات المطلوبة للهواتف لتوصيل خادم الهاتف بشبكة Wi-Fi. عند إنشاء ملف تعريف Wi-Fi واستخدامه، لا تحتاج أنت أو المستخدمون لديك إلى تهيئة الشبكة اللاسلكية للهواتف الفردية.

ملف تعريف شبكة Wi-fi يتيح لك إمكانية منع أو تحديد التغييرات في تهيئة شبكة Wi-fi على الهاتف بالمستخدم.

نوصي باستخدام ملف تعريف آمن مع بروتوكولات ممكنة للتشفير لحماية المفاتيح وكلمات المرور عند استخدام ملف تعريف Wi-Fi.

عند إعداد الهواتف لاستخدام طريقة مصادقة EAP-FAST في وضع الأمان، يحتاج المستخدمون إلى بيانات اعتماد فردية للاتصال بنقطة وصول.

1	يمكنك الوصول إلى صفحة ويب الهاتف.
2	حدد صوت > النظام.
3	في القسم Wi-Fi ملف التعريف (n)، قم بتعيين المعلمات كما هو موضح في الجدول التالي معلمات ملف تعريف Wi-Fi. تكوين ملف تعريف Wi-Fi متاح أيضا لتسجيل دخول المستخدم.
4	انقر فوق إرسال جميع التغييرات.

معلمات ملف تعريف Wi-Fi

يحدد الجدول التالي وظيفة كل معلمة واستخدامها في قسم ملف تعريف Wi-Fi (n) ضمن علامة التبويب النظام في صفحة ويب الهاتف. كما يحدد بناء جملة السلسلة التي تتم إضافتها في ملف تكوين الهاتف (cfg.xml) لتكوين معلمة.

المعلمة	الوصف
اسم الشبكة	يتيح لك إدخال اسم لـ SSID التي سيتم عرضها على الهاتف. يمكن أن يكون لملفات التعريف المتعددة نفس اسم الشبكة بوضع أمان مختلف. قم بتنفيذ أحد الإجراءين التاليين: في ملف تكوين الهاتف باستخدام XML(cfg.xml)، أدخل سلسلة بهذا التنسيق: `<Network_Name_1_ua="rw">cisco</Network_Name_1_>` في صفحة الهاتف على الويب، أدخل اسما ل SSID. القيمة الافتراضية: فارغ
وضع الأمان	السماح لك بتحديد طريقة المصادقة المستخدمة لتأمين الوصول إلى شبكة Wi-Fi. وفقا للطريقة التي تختارها، يظهر حقل كلمة مرور بحيث يمكنك توفير بيانات الاعتماد المطلوبة للانضمام إلى شبكة Wi-Fi هذه. قم بتنفيذ أحد الإجراءين التاليين: في ملف تكوين الهاتف باستخدام XML(cfg.xml)، أدخل سلسلة بهذا التنسيق: `<Security_Mode_1_ ua="rw">EAP-TLS</Security_Mode_1_> <!-- الخيارات المتاحة: تلقائي\|EAP-FAST\|\|\|بي إس كيه\|\|لا شيء\|EAP-PEAP \|EAP-TLS -->` في صفحة ويب الهاتف، حدد إحدى الطرق التالية: تلقائي EAP-FAST PSK بلا EAP-PEAP EAP-TLS القيمة التلقائية: تلقائي
معرف مستخدم Wi-Fi	السماح لك بإدخال معرف مستخدم لملف تعريف الشبكة. يتوفر هذا الحقل عند تعيين وضع الأمان على تلقائي أو EAP-FAST أو EAP-PEAP. هذا حقل إلزامي ويسمح بحد أقصى 32 حرفًا أبجديًا رقميًا. قم بتنفيذ أحد الإجراءين التاليين: في ملف تكوين الهاتف باستخدام XML(cfg.xml)، أدخل سلسلة بهذا التنسيق: `<Wi-Fi_User_ID_1_ua="rw"></Wi-Fi_User_ID_1_>` في صفحة الهاتف على الويب، أدخل معرف مستخدم لملف تعريف الشبكة. القيمة الافتراضية: فارغ
كلمة المرور الخاصة بشبكة Wi-Fi	يتيح لك إدخال كلمة المرور لمعرّف مستخدم Wi-Fi المحدد. قم بتنفيذ أحد الإجراءين التاليين: في ملف تكوين الهاتف باستخدام XML(cfg.xml)، أدخل سلسلة بهذا التنسيق: `<Wi-Fi_Password_1_ ua="rw"></Wi-Fi_Password_1_>` في صفحة ويب الهاتف، أدخل كلمة مرور لمعرف المستخدم الذي أضفته. القيمة الافتراضية: فارغ
نطاق التردد	يتيح لك تحديد نطاق تردد الإشارة اللاسلكية الذي تستخدمه شبكة WLAN. قم بتنفيذ أحد الإجراءين التاليين: في ملف تكوين الهاتف باستخدام XML(cfg.xml)، أدخل سلسلة بهذا التنسيق: `<Frequency_Band_1_ ua="rw">تلقائي</Frequency_Band_1_>` في صفحة ويب الهاتف، حدد أحد الخيارات: تلقائي 2.4 جيجاهيرتز 5 جيجاهيرتز القيمة التلقائية: تلقائي
تحديد الشهادة	يتيح لك تحديد نوع الشهادة للتسجيل الأولي للشهادة وتجديد الشهادة في الشبكة اللاسلكية. لا تتوفر هذه العملية إلا لمصادقة 802.1X. قم بتنفيذ أحد الإجراءين التاليين: في ملف تكوين الهاتف باستخدام XML(cfg.xml)، أدخل سلسلة بهذا التنسيق: `<Certificate_Select_1_ ua="rw">التصنيع المثبت</Certificate_Select_1_>` في صفحة ويب الهاتف، حدد أحد الخيارات: التصنيع مثبت تثبيت مخصص الإعداد الافتراضي: التصنيع مثبت

أمان هاتف Cisco IP

تثبيت شهادة الجهاز المخصص يدويا

تثبيت شهادة جهاز مخصص تلقائيا بواسطة SCEP

معلمات تهيئة SCEP

تهيئة معلمات SCEP عبر الخيار 43 DHCP

تجديد الشهادة من قبل SCEP

تمكين وضع FIPS

تعيين كلمة مرور المستخدم والمسؤول

مصادقة 802.1X

تمكين مصادقة 802.1X

تمكين الوضع الذي بدأه العميل لمفاوضات أمان مستوى الوسائط

إعداد ملف تعريف Wi-Fi

معلمات ملف تعريف Wi-Fi

الشركات صغيرة الحجم

المؤسسة

الأجهزة

حلول لـ

الموارد

الشركة