- الرئيسية
- /
- المقال
شكرًا على ملاحظاتك.
شهادة جهاز مخصصة على 9800/8875
في هذه المقالة
هل لديك ملاحظات؟يمكنك تثبيت شهادة جهاز مخصصة (CDC) بطريقة يدوية أو تلقائية. بالنسبة لبيئات معينة، يمكنك الاستفادة من الخيار DHCP 43 لتوفير معلمات SCEP لتثبيت الشهادة. هذه المقالة المساعدة مخصصة لهاتف المكتب Cisco 9800 Series وهاتف الفيديو Cisco 8875 المسجلين لدى Cisco BroadWorks أو Webex Calling.
تثبيت شهادة الجهاز المخصصة
لتثبيت شهادة جهاز مخصصة (CDC) على هاتفك، استخدم إحدى الطرق التالية بناءً على حالتك:
يتم تطبيق الشهادة الأحدث تثبيتًا على الهاتف.
- التثبيت اليدوي - يمكنك تثبيت شهادة عن طريق تحميلها من صفحة إدارة الهاتف على الويب. للتفاصيل، انظر التثبيت اليدوي لشهادة الجهاز المخصصة عن طريق التحميل.
- التثبيت التلقائي—يمكنك تكوين معلمات بروتوكول تسجيل الشهادة البسيط (SCEP) لتشغيل التثبيت التلقائي للشهادة. يقوم الهاتف بإرسال طلبات SCEP إلى خادم SCEP لتثبيت الشهادة.
يمكن تكوين معلمات SCEP عبر صفحة إدارة الهاتف على الويب، أو ملف تكوين الهاتف (cfg.XML) أو Control Hub. للتفاصيل، انظر التثبيت التلقائي لشهادة الجهاز المخصصة بواسطة SCEP و معلمات إعدادات الهاتف على Control Hub.
- DHCP الخيار 43—في بيئة معينة، يمكنك تثبيت شهادة من خلال الاستفادة من الخيار DHCP الخيار 43. يمكن للخيار 43 توفير معلمات SCEP لتثبيت الشهادة. للتفاصيل، انظر تكوين معلمات SCEP عبر الخيار DHCP 43.
-
عند استخدام خيار DHCP 43 لتوفير معلمات SCEP، يمكن للهاتف أيضًا استرداد اسم النطاق المنقول من خيار DHCP 15. استنادًا إلى اسم النطاق المسترد، يمكن للهاتف إنشاء الاسم الشائع CSR ومعرف المستخدم 802.1X لـ SCEP. للتفاصيل، انظر توفير الاسم الشائع أو معرف المستخدم عبر الخيار DHCP 15.
لمزيد من المعلومات حول كيفية تكوين خيارات DHCP، راجع تكوين خيارات DHCP.
-
التثبيت اليدوي لشهادة الجهاز المخصصة عن طريق التحميل
يمكنك تثبيت شهادة الجهاز المخصصة (CDC) يدويًا على الهاتف عن طريق تحميل الشهادة من صفحة ويب إدارة الهاتف.
قبل البدء
قبل تثبيت شهادة الجهاز المخصصة لهاتف، يجب أن يكون لديك:
- ملف شهادة (.p12 أو .pfx) محفوظ على جهاز الكمبيوتر الخاص بك. يحتوي الملف على الشهادة والمفتاح الخاص.
- كلمة مرور استخراج الشهادة. تُستخدم كلمة المرور لفك تشفير ملف الشهادة.
| 1 |
يمكنك الوصول إلى صفحة ويب إدارة الهاتف. |
| 2 |
يختار شهادة. |
| 3 |
في القسم إضافة شهادة، انقر فوق استعراض.... |
| 4 |
قم بالاستعراض للشهادة الموجودة على جهاز الكمبيوتر الخاص بك. |
| 5 |
في كلمة المرور استخراج الحقل، أدخل كلمة المرور استخراج الشهادة. |
| 6 |
انقر فوق تحميل. إذا كان ملف الشهادة وكلمة المرور صحيحَين، فستتلقى الرسالة "
تمت إضافة الشهادة.". بخلاف ذلك، سيفشل التحميل وستظهر رسالة خطأ تشير إلى عدم إمكانية تحميل الشهادة. |
| 7 |
للتحقق من تفاصيل الشهادة المثبتة، انقر فوق عرض في قسم الشهادات الحالية. |
| 8 |
لإزالة الشهادة المثبتة من الهاتف، انقر فوق حذف في قسم الشهادات الحالية. بمجرد النقر فوق الزر، تبدأ عملية الإزالة على الفور دون تأكيد.
إذا تمت إزالة الشهادة بنجاح، فستتلقى الرسالة " |
التثبيت التلقائي لشهادة الجهاز المخصصة بواسطة SCEP
يمكنك تكوين المعلمات المرتبطة ببروتوكول تسجيل الشهادة البسيطة (SCEP) للتفاعل مع خادم SCEP لتثبيت شهادة الجهاز المخصصة (CDC) تلقائيًا.
بمجرد تكوين أي من معلمات SCEP، سيرسل الهاتف طلب تسجيل SCEP إلى الخادم. سيقوم الهاتف بالتحقق من صحة شهادة CA المستلمة باستخدام بصمة الإصبع التي تم تكوينها.
قبل البدء
قبل أن تتمكن من إجراء التثبيت التلقائي لشهادة الجهاز المخصصة (CDC) لهاتف، يجب أن يكون لديك:
- عنوان خادم SCEP
- بصمة الإصبع SHA-1 أو SHA-256 لشهادة CA الجذر الخاصة بخادم SCEP
| 1 |
يمكنك الوصول إلى صفحة ويب إدارة الهاتف. |
| 2 |
يختار شهادة. |
| 3 |
في تكوين SCEP 1 القسم، قم بتعيين المعلمات كما هو موضح في معلمات تكوين SCEP . |
| 4 |
انقر فوق إرسال جميع التغييرات. |
معلمات تكوين SCEP
يوضح الجدول التالي وظيفة واستخدام معلمات تكوين SCEP في تكوين SCEP 1 القسم تحت شهادة Tab في واجهة الويب الخاصة بالهاتف. كما أنه يحدد بنية السلسلة التي تمت إضافتها في ملف تكوين الهاتف (cfg.xml) لتكوين معلمة.
سيؤدي أي تغيير في المعلمات إلى مطالبة الهاتف بشهادة جديدة.
| المعلمة | الوصف |
|---|---|
| الخادم |
عنوان خادم SCEP. هذه المعلمة إلزامية. قم بتنفيذ أحد الإجراءين التاليين:
القيم الصالحة: عنوان URL أو عنوان IP. نظام HTTPS غير مدعوم. القيمة الافتراضية: فارغ |
| بصمة إصبع سلطة الشهادة (CA) الجذرية |
بصمة إصبع SHA256 أو SHA1 لسلطة CA الجذر للتحقق أثناء عملية SCEP. هذه المعلمة إلزامية. قم بتنفيذ أحد الإجراءين التاليين:
القيمة الافتراضية: فارغ |
| كلمة مرور التحقق |
كلمة مرور التحقق لتفويض Certificate Authority (CA) مقابل الهاتف أثناء تسجيل الشهادة عبر SCEP. هذه المعلمة اختيارية. وفقًا لبيئة SCEP الفعلية، يختلف أداء كلمة مرور التحقق.
قم بتنفيذ أحد الإجراءين التاليين:
القيمة الافتراضية: فارغ |
| الاسم الشائع |
يقوم بتحديد الاسم الشائع (CN) المستخدم كمعرف للهاتف الذي يطلب الشهادة. يتم استخدام CN لطلب توقيع الشهادة (CSR) في عملية SCEP. تدعم هذه المعلمة أيضًا متغيرات توسيع الماكرو، راجع متغيرات التوسع الكلي لمزيد من التفاصيل. قم بتنفيذ أحد الإجراءين التاليين:
القيم الصالحة: الحد الأقصى 64 حرفًا القيمة الافتراضية: فارغ |
تجديد الشهادة بواسطة SCEP
يمكن تحديث شهادة الجهاز تلقائيًا بواسطة عملية SCEP.
- يتحقق الهاتف كل 4 ساعات مما إذا كانت الشهادة ستنتهي صلاحيتها خلال 15 يومًا. وإذا كانت ستنتهي، فسيبدأ الهاتف عملية تجديد الشهادة تلقائيًا.
- إذا كانت كلمة مرور التحقق فارغة، فسيستخدم الهاتف MIC/SUDI لكلٍ من التسجيل الأولي وعملية تجديد الشهادة. إذا تم تكوين كلمة مرور التحقق، يتم استخدامها للتسجيل الأولي فقط، ويتم استخدام الشهادة الحالية/المثبتة لتجديد الشهادة.
- لا يقوم الهاتف بإزالة شهادة الجهاز القديمة حتى يسترد الشهادة الجديدة.
- إذا فشل تجديد الشهادة بسبب انتهاء صلاحية شهادة الجهاز أو إصدار CA، يقوم الهاتف بتشغيل عملية التسجيل الأولية تلقائيًا. في هذه الأثناء، إذا فشلت مصادقة كلمة مرور التحقق، فستظهر شاشة إدخال كلمة المرور على شاشة الهاتف، وسيتم مطالبة المستخدمين بإدخال كلمة مرور التحقق على الهاتف.
تكوين الاسم الشائع لـ CDC
بشكل افتراضي، يتم استخدام الاسم الشائع في MIC/SUDI كاسم شائع لـ CDC.
بإمكانك تكوين الاسم الشائع لـ CDC عند تثبيت الشهادة. استخدم إحدى الطرق التالية لتثبيت CDC على الهاتف:
-
قم بإنشاء طلب توقيع شهادة (CSR) يحتوي على الاسم الشائع المطلوب، ثم قم بتحميل الشهادة الجديدة وتثبيتها على صفحة ويب إدارة الهاتف.
-
قم بتكوين الاسم الشائع عبر صفحة إدارة الهاتف على الويب، أو ملف تكوين الهاتف (cfg.XML)، أو مركز التحكم. سيؤدي هذا إلى تشغيل الهاتف لطلب شهادة جديدة تلقائيًا.
لمزيد من المعلومات حول المعلمات الموجودة على صفحة الويب الخاصة بالهاتف ومركز التحكم، راجع التثبيت التلقائي لشهادة الجهاز المخصصة بواسطة SCEP و معلمات إعدادات الهاتف على Control Hub.
- استخدم الخيارين 43 و15 في DHCP لتوفير الاسم الشائع لـ CDC وهوية 802.1X السلكية.
لمزيد من المعلومات، انظر توفير الاسم الشائع أو معرف المستخدم عبر الخيار DHCP 15.
تكوين معلمات SCEP عبر خيار DHCP 43
في بيئة معينة لا يمكنك فيها تثبيت شهادة الجهاز المخصصة (CDC) عن طريق تحميلها أو تكوين معلمات SCEP مباشرة. في هذه الحالة، يمكنك الاستفادة من خيار DHCP 43 لملء المعلمات من خادم DHCP. يمكن تكوين الخيار DHCP 43 لتوفير معلمات SCEP للهاتف. بمجرد إعادة ضبط الهاتف إلى إعدادات المصنع، يمكنه تلقي المعلمات من خادم DHCP لتثبيت CDC عبر بروتوكول SCEP.
- تتوفر هذه الميزة (تكوين معلمات SCEP عبر خيار DHCP 43) فقط للهاتف الذي تم إعادة ضبطه إلى إعدادات المصنع.
- لا يجوز وضع الهواتف في الشبكة التي تدعم الخيار 43 والتزويد عن بعد (على سبيل المثال، الخيارات 66,160,159,150، أو التزويد السحابي). وإلا، فقد لا تحصل الهواتف على تكوينات الخيار 43.
لتثبيت شهادة CDC بواسطة معلمات SCEP المقدمة من خيار DHCP 43، قم بما يلي:
- قم بتجهيز بيئة SCEP.
للحصول على معلومات حول إعداد بيئة SCEP، راجع وثائق خادم SCEP.
- قم بإعداد خيار DHCP 43 (الموضح في 8.4 المعلومات الخاصة بالبائع، RFC 2132).
يتم حجز الخيارات الفرعية (10-15) للطريقة:
المعلمة على صفحة ويب الهاتف خيار فرعي النوع الطول (بايت) إلزامي وضع FIPS 10 منطقي 1 لا* الخادم 11 السلسلة 208 - الطول (كلمة مرور التحدي) نعم بصمة إصبع سلطة الشهادة (CA) الجذرية 12 عرافة 20، 32، 48 أو 64 نعم كلمة مرور التحقق 13 السلسلة 208 - الطول (الخادم) لا* تمكين مصادقة 802.1X 14 منطقي 1 لا تحديد الشهادة 15 8 بت غير موقّع 1 لا * يعني أن المعلمة تم تكوينها وفقًا للموقف الفعلي.
عند استخدام الخيار DHCP 43، لاحظ الخصائص التالية للطريقة:
- الخيارات الفرعية (10-15) محجوزة لشهادة الجهاز المخصصة (CDC).
- أقصى طول لخيار DHCP رقم 43 هو 255 بايت.
- يجب أن يكون أقصى طول لسلسة الخادم + كلمة مرور التحقق أقل من 208 بايت.
- يجب أن تكون قيمة وضع FIPS متوافقة مع تكوين تزويد الإعداد الأولي. وإلا، سيفشل الهاتف في استرداد الشهادة المثبتة مسبقًا بعد الإعداد الأولي. على وجه التحديد،
- إذا تم تسجيل الهاتف في بيئة حيث تم تعطيل وضع FIPS، فلن تحتاج إلى تكوينه وضع FIPS في الخيار DHCP 43. بشكل افتراضي، يتم تعطيل وضع FIPS.
- إذا تم تسجيل الهاتف في بيئة يتم فيها تمكين وضع FIPS، فيجب عليك تمكين وضع FIPS في الخيار DHCP 43. راجع تمكين وضع FIPS لمزيد من التفاصيل.
- كلمة المرور التحدي في الخيار 43 موجودة في نص عادي.
- إذا كنت تريد أن يستخدم الهاتف MIC/SUDI للتسجيل الأولي وتجديد الشهادة، اترك كلمة مرور التحدي فارغة.
- إذا تم استخدام كلمة مرور التحدي فقط للتسجيل الأولي، فقم بتكوين كلمة مرور التحدي. في هذه الحالة، سيتم استخدام الشهادة المثبتة لتجديد الشهادة.
- يتم استخدام تمكين مصادقة 802.1X و تحديد الشهادة فقط للهواتف الموجودة في الشبكات السلكية.
- يتم استخدام خيار DHCP رقم 60 (معرّف فئة المورِّد) لتحديد طراز الجهاز.
مثال على الخيار DHCP 43 (الخيارات الفرعية 10–15):
الخيار الفرعي بالتنسيق العشري أو السداسي العشري طول القيمة (بايت) عشري/سداسي عشري القيمة القيمة السداسية العشرية 10/0a 1/01 1 (0: معطل؛ 1: ممكّن) 01 11/0b 18/12 http://10.79.57.91 687474703a2f2f31302e37392e35372e3931 12/0c 20/14 12040870625C5B755D73F5925285F8F5FF5D55AF 12040870625C5B755D73F5925285F8F5FF5D55AF 13/0d 16/10 D233CCF9B9952A15 44323333434346394239393532413135 14/0e 1/01 1 (0: لا؛ 1: نعم) 01 15/0f 1/01 1 (0: تثبيت من جانب جهة التصنيع؛ 1: تثبيت مخصص) 01 ملخص قيم المعلمات:
-
الوضع FIPS =
ممكّن -
الخادم =
http://10.79.57.91 -
بصمة إصبع سلطة الشهادة (CA) الجذرية =
12040870625C5B755D73F5925285F8F5FF5D55AF -
كلمة مرور التحقق =
D233CCF9B9952A15 -
تمكين مصادقة 802.1X =
نعم -
تحديد الشهادة =
تثبيت مخصص
بناء الجملة للقيمة السداسية النهائية هو:
{<suboption><length><value>}...وفقًا لقيم المعلمات أعلاه، تكون القيمة السداسية العشرية النهائية على النحو التالي:
0a01010b12687474703a2f2f31302e37392e35372e39310c1412040870625C5B755D73F5925285F8F5FF5D55AF0d10443233334343463942393935324131350e01010f0101 - قم بتكوين الخيار DHCP رقم 43 على خادم DHCP.
توفر هذه الخطوة مثالاً على تكوينات الخيار DHCP رقم 43 على تسجيل شبكة Cisco.
- أضف مجموعة تعريف خيار DHCP.
سلسلة خيارات المورد هي اسم طراز هواتف IP. القيمة الصالحة هي: DP-9841، أو DP-9851، أو DP-9861، أو DP-9871، أو CP-8875.
- أضف الخيار DHCP رقم 43 والخيارات الفرعية إلى مجموعة تعريف الخيار DHCP.
مثال:
- أضف الخيارات 43 إلى نهج DHCP وقم بإعداد القيمة كما يلي:
مثال:
(10 1)(11 http://10.79.57.91)(12 12040870625C5B755D73F5925285F8F5FF5D55AF)(13 D233CCF9B9952A15)(14 1)(15 1) - تحقق من الإعدادات. يمكنك استخدام Wireshark لالتقاط تتبع حركة مرور الشبكة بين الهاتف والخدمة.
- أضف مجموعة تعريف خيار DHCP.
- قم بإجراء إعادة ضبط المصنع للهاتف.
بعد إعادة تعيين الهاتف، سيتم ملء معلمات الخادم، وبصمة إصبع CA الجذرية، وكلمة مرور التحقق تلقائيًا. توجد هذه المعلمات في القسم تكوين SCEP 1 من على صفحة إدارة الهاتف.
للتحقق من تفاصيل الشهادة المثبتة، انقر فوق عرض في قسم الشهادات الحالية.
للتحقق من حالة تثبيت الشهادة، حدد . تعرض حالة التنزيل 1 أحدث نتيجة. في حالة حدوث أي مشكلة أثناء تسجيل الشهادة، يمكن أن تعرض حالة التنزيل سبب المشكلة لأغراض استكشاف الأخطاء وإصلاحها.
إذا فشلت مصادقة كلمة مرور التحقق، فسيُطلب من المستخدمين إدخال كلمة المرور على شاشة الهاتف.
- (اختياري): لإزالة الشهادة المثبتة من الهاتف، انقر فوق حذف في قسم الشهادات الموجودة .
بمجرد النقر فوق الزر، تبدأ عملية الإزالة على الفور دون تأكيد.
توفير الاسم الشائع أو معرف المستخدم عبر الخيار DHCP 15
أثناء تسجيل شهادة SCEP عبر خيار DHCP 43، يمكن للهاتف أيضًا الحصول على اسم المجال المقدم في خيار DHCP 15 (إذا تم تكوينه). بعد أن يتلقى الهاتف اسم النطاق، فإنه يمكنه إنشاء الاسم الشائع أو معرف المستخدم باستخدام اسم النطاق، والذي يتم تمثيله على النحو التالي:
- الاسم الشائع = <الاسم الشائع في MIC/SUDI>.<اسم النطاق في الخيار 15>
سيتم استخدام الاسم الشائع لـ CSR في عملية SCEP، وفي وقت لاحق سيكون الاسم الشائع في CDC.
- معرف المستخدم = <الاسم الشائع في MIC/SUDI >@<اسم النطاق في الخيار 15>
سيتم استخدام معرف المستخدم كهوية للمصادقة السلكية 802.1X.
على سبيل المثال، عنوان الهاتف MAC هو 00:1A:2B:3C:4D:5E، وطراز الهاتف هو 9871:
| اسم النطاق في DHCP الخيار 15 | الاسم الشائع | معرّف المستخدم |
|---|---|---|
| example.nl | CP-9871-SEP001A2B3C4D5E.example.nl | CP-9871-SEP001A2B3C4D5E@example.nl |
| فارغ | CP-9871-SEP001A2B3C4D5E |
CP-9871-SEP001A2B3C4D5E |
إذا لم يتم تكوين اسم المجال في الخيار 15، فسيكون الاسم الشائع ومعرف المستخدم هو نفسه الاسم الشائع في MIC/SUDI.
