يمكنك تمكين Cisco Unified Communications Manager للعمل في بيئة أمان محسّنة. ومن خلال هذه التحسينات، تعمل شبكة الهاتف لديك بموجب مجموعة من الضوابط الصارمة لإدارة الأمان والمخاطر لحمايتك وحماية المستخدمين لديك.

تتضمن بيئة الأمان المحسنة الميزات التالية:

  • مصادقة البحث عن جهة اتصال.

  • استخدام TCP كبروتوكول افتراضي لإنشاء سجلات التدقيق عن بُعد.

  • وضع FIPS.

  • سياسة بيانات اعتماد محسَّنة.

  • دعم مجموعة تجزئات "خوارزمية التجزئة الآمنة 2" للتوقيعات الرقمية.

  • دعم مفتاح RSA بحجمي 512 و4096 بت.

مع الإصدار 14.0 Cisco Unified Communications Manager والإصدار 2.1 من البرنامج الثابت لهواتف فيديو Cisco والإصدارات الأحدث، تدعم الهواتف مصادقة SIP OAuth.

يتم دعم OAuth لبروتوكول نقل الملفات البسيط الوكيل (TFTP) مع الإصدار Cisco Unified Communications Manager 14.0(1)SU1 أو أحدث. لا يتم دعم TFTP الخاص بالوكيل وOAuth لـ TFTP الخاص بالوكيل في "الوصول المتنقل عن بُعد" (MRA).

للحصول على مزيد من المعلومات حول الأمان، راجع ما يلي:

يمكن لهاتفك تخزين عدد محدود فقط من ملفات قائمة الثقة لتحديد الهويات (ITL). يلزمك تحدلا يمكن أن تتجاوز ملفات ITL حد 46K على الهاتف لذا قم بتحديد عدد الملفات التي يقوم Cisco Unified Communications Manager بإرسالها إلى الهاتف.

ميزات الأمان المدعومة

تعمل ميزات الأمان على الحماية من التهديدات، بما في ذلك التهديدات التي تستهدف هوية الهاتف والبيانات. وتنشئ هذه الميزات تدفقات اتصال مصادقة وتحافظ على وجودها بين الهاتف وخادم Cisco Unified Communications Manager، كما تضمن أن الهاتف لا يستخدم سوى الملفات الموقعة توقيعًا رقميًا فقط.

يشتمل الإصدار (1)8.5 والإصدارات الأحدث لـ Cisco Unified Communications Manager على "الأمان بشكل افتراضي"، مما يوفر ميزات الأمان التالية لهواتف Cisco IP دون تشغيل عميل CTL:

  • توقيع ملفات تكوين الهاتف

  • تشفير ملف تكوين الهاتف

  • بروتوكول HTTPS المزود بخدمة Tomcat وغيرها من الخدمات

لا تزال ميزات إرسال الإشارات والوسائط الآمنة تتطلب منك تشغيل عميل CTL واستخدام رموز eTokens للأجهزة.

تطبيق الأمان في نظام Cisco Unified Communications Manager يمنع سرقة الهوية من الهاتف وخادم Cisco Unified Communications Manager ويمنع التلاعب في البيانات ومنع إشارات المكالمة والتلاعب بدفق الوسائط.

للحد من هذه التهديدات، بشبكة هاتفية IP من Cisco يقوم بتحديد والحفاظ عليه تدفقات الاتصال (مشفرة) أمن بين هاتف والخادم رقمياً توقيع ملفات قبل تحويلها إلى هاتف وتشفير المكالمة إرسال الإشارات بين "هواتف Cisco IP " وعمليات دفق الوسائط.

يتم تثبيت الشهادة المهمة محليًا (LSC) على الهواتف بعد تنفيذ المهام الضرورية المقترنة بوظيفة وكيل جهة منح الشهادات (CAPF). يمكنك استخدام إدارة Cisco Unified Communications Manager لتكوين LSC، كما هو موضح في دليل أمان Cisco Unified Communication Manager. بدلا من ذلك ، يمكنك بدء تثبيت LSC من قائمة إعدادات الأمان على الهاتف. تتيح لك هذه القائمة أيضًا تحديث LCS أو إزالتها.

لا يمكن استخدام LSC كشهادة المستخدم لـ EAP-TLS مع مصادقة الشبكة المحلية اللاسلكية.

يستخدم الهاتف ملف تعريف أمان الهاتف الذي يحدد ما إذا كان الجهاز آمنًا أم لا. ‏‫للحصول على معلومات حول تكوين ملف تعريف الأمان وتطبيق ملف التعريف على الهاتف، راجع الوثائق الخاصة بإصدار Cisco Unified Communications Manager الذي لديك.

إذا قمت بتكوين إعدادات متعلقة بالأمان في إدارة Cisco Unified Communications Manager، فيحتوي ملف تكوين الهاتف على معلومات مهمة. للتأكد من خصوصية ملف التكوين، يجب عليك تكوينه للتشفير. ‏‫للحصول على مزيد من المعلومات، راجع الوثائق الخاصة بإصدار Cisco Unified Communications Manager الذي لديك.

يتوافق الهاتف مع المعيار الفيدرالي لمعالجة المعلومات (FIPS). وليعمل وضع FIPS على نحوٍ صحيح، يتطلب وجود مفتاح RSA بحجم مقداره 2048 بت أو أكبر. إذا كان حجم شهادة خادم RSA أقل من 2048 بت، فلن يتم تسجيل الهاتف باستخدام Cisco Unified Communications Manager ويفشل تسجيل الهاتف. يتم عرض رسالة حجم مفتاح الشهادة غير متوافق مع FIPS على الهاتف.

إذا كان الهاتف يشتمل على LSC، فيلزمك تحديث حجم مفتاح LSC إلى 208 بت أو إلى حجم أكبر قبل تمكين FIPS.

ويقدم الجدول التالي نظرة عامة عن ميزات الأمان التي تدعمها الهواتف. ‏‫للحصول على مزيد من المعلومات، راجع الوثائق الخاصة بإصدار Cisco Unified Communications Manager الذي لديك.

لعرض وضع الأمان، اضغط على الإعدادات مفتاح الإعدادات الثابت وانتقل إلى إعدادات الشبكة والخدمة >الأمان.

الجدول 1. نظرة عامة على ميزات الأمان

الميزة

الوصف

مصادقة الصور

تمنع الملفات الثنائية الموقعة العبث بنسخة البرامج الثابتة قبل تحميل الصورة إلى الهاتف.

فالعبث بالنسخة يؤدي إلى إفشال الهاتف لعملية المصادقة ورفض النسخة الجديدة.

تثبيت شهادة موقع العميل

يحتاج كل هاتف Cisco IP إلى شهادة فريدة لمصادقة الجهاز. تشتمل الهواتف على شهادة التصنيع المثبتة (MIC)، ولكن لمزيد من الأمان، يمكنك التحديد في إدارة Cisco Unified Communications Manager أن يتم تثبيت الشهادة باستخدام وظيفة وكيل جهة منح الشهادات (CAPF). وبدلاً من ذلك، يمكنك تثبيت شهادة هامة محليًا (LSC) من قائمة تكوين الأمان على الهاتف.

مصادقة الجهاز

تحدث بين خادم Cisco Unified Communications Manager والهاتف عندما تقبل كل وحدة شهادة الوحدة الأخرى. تحدد ما إذا كان ينبغي أن يحدث اتصال آمن بين الهاتف وCisco Unified Communications Manager؛ وإذا لزم الأمر، تُنشئ مسار إشارات آمنًا بين الوحدات باستخدام بروتوكول TLS. لا يسجل Cisco Unified Communications Manager الهواتف إلا إذا أمكن مصادقتهم.

مصادقة الملف

تتحقق من صحة الملفات الموقعة رقميًا التي ينزلها الهاتف. يتحقق الهاتف من صحة التوقيع للتأكد من عدم حدوث عبث بالملف بعد إنشائه. لا يتم نسخ الملفات التي تفشل مصادقتها على ذاكرة Flash على الهاتف. يرفض الهاتف هذه الملفات دون إجراء معالجة إضافية.

تشفير ملف

يمنع تشفير معلومات هامة يمكن كشفها أثناء النقل إلى الهاتف. إضافة إلى ذلك، يتحقق الهاتف من صحة التوقيع للتأكد من عدم حدوث عبث بالملف بعد إنشائه. لا يتم نسخ الملفات التي تفشل مصادقتها على ذاكرة Flash على الهاتف. يرفض الهاتف هذه الملفات دون إجراء معالجة إضافية.

مصادقة إرسال الإشارات

تستخدم بروتوكول TLS للتحقق من عدم حدوث عبث بحزم إرسال الإشارات أثناء الإرسال.

شهادة التصنيع المثبتة

يشتمل كل هاتف Cisco IP على شهادة تصنيع مثبتة (MIC)، يتم استخدامها لمصادقة الجهاز. توفر شهادة MIC دليلاً فريدًا بشكل دائم لهوية الهاتف، وتسمح لـ Cisco Unified Communications Manager بمصادقة الهاتف.

تشفير الوسائط

يستخدم SRTP للتأكد من أن عمليات دفق الوسائط بين الأجهزة المعتمدة تُثبت أمانها، وأن الجهاز المقصود فقط هو الذي يتلقى البيانات ويقرأها. ويتضمن ذلك إنشاء زوج مفاتيح وسائط رئيسية للأجهزة، وتسليم المفاتيح للأجهزة، وتأمين عملية تسليم المفاتيح أثناء نقلها.

CAPF (وظيفة وكيل جهة منح الشهادات)

تنفذ أجزاء من إجراء إنشاء الشهادات التي تتسم بكثافة المعالجة إلى حد كبير للهاتف، وتتفاعل مع الهاتف لإنشاء مفتاح ولتثبيت الشهادة. يمكن تكوين CAPF لطلب الشهادات من جهات منح الشهادات الخاصة بالعميل بالنيابة عن الهاتف، أو يمكن تكوينها لإنشاء الشهادات محليًا.

يتم دعم كل من EC (المنحنى البيضاوي) وأنواع المفاتيح RSA. لاستخدام مفتاح EC، تأكد من تمكين المعلمة "دعم خوارزميات التشفير المتقدمة لنقطة النهاية" (من معلمة System > Enterprise).

لمزيد من المعلومات حول CAPF والتكوينات ذات الصلة، راجع المستندات التالية:

ملفات تعريف الأمان

تحدد ما إذا كان الهاتف غير آمن أو مصادق أو مشفر أو محمي. تصف الإدخالات الأخرى في هذا الجدول ميزات الأمان.

ملفات التكوين المشفرة

تتيح لك التأكد من خصوصية ملفات تكوين الهاتف.

خادم ويب اختياري معطل بالنسبة للهاتف

لأغراض أمنية، يمكنك منع الوصول إلى صفحات الويب الخاصة بالهاتف (والتي تعرض مجموعة متنوعة من الإحصاءات التشغيلية للهاتف) وبوابة Self Care.

زيادة حماية الهاتف

خيارات الأمان الإضافية التي يمكنك التحكم بها من خلال إدارة Cisco Unified Communications Manager:

  • تعطيل منفذ PC
  • تعطيل Gratuitous ARP (GARP)
  • تعطيل الوصول إلى VLAN للصوت بالكمبيوتر الشخصي
  • تعطيل الوصول إلى قائمة الإعداد أو توفير وصول مقيد
  • تعطيل الوصول إلى صفحات الويب للهاتف
  • تعطيل منفذ ملحق Bluetooth
  • تقييد تشفيرات TLS

مصادقة 802.1X

يمكن لهاتف Cisco IP استخدام مصادقة 802.1X لطلب الوصول إلى الشبكة والحصول عليه. راجع مصادقة 802.1X لمزيد من المعلومات.

تجاوز فشل SIP لـ SRST

بعد تكوين مرجع ‏‫هتفية الموقع البعيد المتين‬ (SRST) للأمان، ثم إعادة تعيين الأجهزة التابعة في إدارة Cisco Unified Communications Manager، فإن خادم TFTP يضيف شهادة SRST إلى ملف cnf.xml بالهاتف ويرسل الملف إلى الهاتف. ثم يستخدم الهاتف الآمن بعد ذلك اتصال TLS للتفاعل مع الموجه المزود بميزة SRST.

تشفير الإشارة

تضمن أنه يتم تشفير جميع إشارات SIP للرسائل التي يتم إرسالها بين الجهاز وخادم Cisco Unified Communications Manager.

تنبيه تحديث قائمة الثقة

عندما يقوم بتحديث "قائمة الثقة" على الهاتف، يتلقى Cisco Unified Communications Manager تنبيهاً للإشارة إلى نجاح أو فشل تحديث. ارجع إلى الجدول التالي للحصول على مزيد من المعلومات.

تشفير AES 256

عند الاتصال بإصدار Cisco Unified Communications Manager رقم 10.5(2) والإصدارات اللاحقة، فإن الهواتف تدعم تشفير AES 256 لـ TLS وSIP لإرسال الإشارات وتشفير الوسائط. وهذا يتيح للهواتف إمكانية بدء اتصالات TLS 1.2 ودعمها باستخدام التشفيرات المستندة إلى AES-256 والتي تتطابق مع معايير SHA-2 (خوارزمية التجزئة الآمنة) والمطابقة للمقاييس الفيدرالية لمعالجة المعلومات (FIPS). تشتمل التشفيرات:

  • بالنسبة لاتصالات TLS:
    • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
    • TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
  • بالنسبة لـ sRTP:
    • AEAD_AES_256_GCM
    • AEAD_AES_128_GCM

‏‫للحصول على مزيد من المعلومات، راجع وثائق Cisco Unified Communications Manager.

شهادات خوارزمية التوقيع الرقمي لمنحنى إهليلجي (ECDSA)

كجزء من شهادة "المعيار العام" (CC)، قام Cisco Unified Communications Manager بإضافة شهادات ECDSA في الإصدار 11.0. يؤثر هذا على جميع منتجات Voice Operating System (VOS) التي تقوم بتشغيل CUCM 11.5 أو الإصدارات الأحدث.

شهادة Tomcat متعددة الخوادم (SAN) مع Cisco UCM

يدعم الهاتف Cisco UCM مع تكوين شهادات Tomcat متعددة الخوادم (SAN). ويمكن العثور على عنوان خادم TFTP الصحيح في ملف ITL الخاص بالهاتف لتسجيل الهاتف.

لمزيد من المعلومات حول الميزة، راجع ما يلي:

يتضمن الجدول التالي رسائل التنبيه بتحديث "قائمة الثقة" والمعنى. ‏‫للحصول على مزيد من المعلومات، راجع وثائق Cisco Unified Communications Manager.

الجدول 2. رسائل تنبيه تحديث قائمة الثقة
التعليمات البرمجية ورسالة الوصف

1 - TL_SUCCESS

استلام CTL و/أو ITL جديد

2 - CTL_INITIAL_SUCCESS

استلام CTL جديد، لا يوجد TL

3 - ITL_INITIAL_SUCCESS

استلام ITL جديد، لا يوجد TL

4 - CTL_INITIAL_SUCCESS

استلام CTL وITL جديد، لا يوجد TL

5 - TL_FAILED_OLD_CTL

فشل تحديث لـ CTL جديد، ولكن توجد TL سابقة

6 - TL_FAILED_NO_TL

فشل تحديث لـ TL جديدة، ولكن لا توجد TL قديمة

7 - TL_FAILED

فشل عام

8 - TL_FAILED_OLD_ITL

فشل تحديث لـ ITL جديد، ولكن توجد TL سابقة

9 - TL_FAILED_OLD_TL

فشل تحديث لـ TL جديدة، ولكن توجد TL سابقة

تقدم قائمة إعداد الأمان معلومات حول إعدادات الأمان المختلفة. توفر القائمة إمكانية الوصول إلى قائمة "قائمة الثقة" وتشير إلى ما إذا كان يتم تثبيت ملف CTL أو ITL على الهاتف.

يصف الجدول التالي قائمة خيارات إعداد الأمان.

الجدول 3. قائمة إعداد الأمان

الخيار

الوصف

للتغيير

وضع الأمان

يعرض وضع الأمان المعين للهاتف.

من إدارة Cisco Unified Communications Manager، اختر الجهاز > الهاتف. يظهر هذا الإعداد في الجزء "المعلومات الخاصة بالبروتوكول" من نافذة "تكوين الهاتف".

الشهادات الهامة محليًا (LSC)

تشير إلى ما إذا كانت الشهادة الهامة محليا المستخدمة لميزات الأمان مثبتة على الهاتف (مثبتة) أو غير مثبتة على الهاتف (غير مثبتة).

‏‫للحصول على معلومات حول كيفية إدارة LSC لهاتفك، راجع الوثائق الخاصة بإصدار Cisco Unified Communications Manager الذي لديك.

إعداد شهادة هامة محليًا (LSC)

تنطبق هذه المهمة على إعداد LSC بأسلوب سلسلة مصادقة.

‏‫قبل البدء‬

تأكد من اكتمال تكوينات الأمان المناسبة في Cisco Unified Communications Manager ووظيفة وكيل جهة منح الشهادات (CAPF):

  • يشتمل ملف CTL أو ITL على شهادة CAPF.

  • في إدارة تشغيل Cisco Unified Communications، تحقق من تثبيت شهادة CAPF.

  • وظيفة وكيل جهة منح الشهادات (CAPF) قيد التشغيل وتم تكوينها.

‏‫للحصول على مزيد من المعلومات حول هذه الإعدادات، راجع الوثائق الخاصة بإصدار Cisco Unified Communications Manager الذي لديك.

1

احصل على رمز مصادقة CAPF الذي تم تعيينه عند تكوين CAPF.

2

على الهاتف، اضغط على الإعدادات the Settings hard key.

3

أدخل كلمة المرور للوصول إلى قائمة الإعدادات، إذا طلب منك ذلك. يمكنك الحصول على كلمة المرور من المسؤول.

4

انتقل إلى إعدادات الشبكة والخدمة > الأمان> LSC.

يمكنك التحكم في الوصول إلى قائمة "إعدادات" باستخدام حقل الوصول إلى الإعدادات في إدارة Cisco Unified Communications Manager.

5

أدخل سلسلة المصادقة وحدد إرسال.

يبدأ الهاتف في تثبيت LSC أو تحديثها أو إزالتها، وذلك بناءً على الكيفية التي تم بها تكوين CAPF. عند اكتمال الإجراء، يتم عرض "تم التثبيت" أو "لم يتم التثبيت" على شاشة الهاتف.

قد يستغرق اكتمال عملية تثبيت LSC أو تحديثها أو إزالتها وقتًا طويلاً.

عند نجاح إجراء التثبيت على الهاتف، يتم عرض رسالة تم التثبيت على شاشة الهاتف. إذا ظهرت على شاشة الهاتف رسالة لم يتم التثبيت، فقد تكون سلسلة التفويض غير صحيحة أو قد يكون الهاتف غير ممكَّن للترقية. إذا أدى تشغيل CAPF إلى حذف LSC، فتعرض شاشة الهاتف رسالة لم يتم التثبيت للإشارة إلى نجاح عملية التشغيل. يسجل خادم CAPF رسائل الأخطاء. راجع وثائق خادم CAPF لتحديد موقع السجلات ولفهم معنى رسائل الأخطاء.

تمكين وضع FIPS

1

في إدارة Cisco Unified Communications Manager Administration، حدد الجهاز > الهاتف، وحدد موقع الهاتف.

2

انتقل إلى منطقة التكوين الخاص بالمنتج.

3

قم بتعيين حقل وضع FIPS إلى ممكَّن.

4

حدد حفظ.

5

حدد تطبيق التكوين.

6

أعِد تشغيل الهاتف.

إيقاف تشغيل مكبر صوت الهاتف وسماعة الرأس وسماعة الهاتف على الهاتف

لديك خيارات لإيقاف تشغيل مكبر صوت الهاتف وسماعة الرأس وسماعة الهاتف على الهاتف بشكل دائم للمستخدم الخاص بك.

1

في إدارة Cisco Unified Communications Manager Administration، حدد الجهاز > الهاتف، وحدد موقع الهاتف.

2

انتقل إلى منطقة التكوين الخاص بالمنتج.

3

حدد واحدة أو أكثر من خانات الاختيار التالية لإيقاف تشغيل إمكانيات الهاتف:

  • تعطيل مكبر الصوت
  • تعطيل مكبر صوت الهاتف وسماعة الرأس
  • تعطيل سماعة الهاتف

بشكل افتراضي، يتم إلغاء تحديد خانات الاختيار هذه.

4

حدد حفظ.

5

حدد تطبيق التكوين.

مصادقة 802.1X

تدعم هواتف Cisco IP مصادقة 802.1X.

عادةً ما تستخدم هواتف Cisco IP ومحولات Cisco IP بروتوكول اكتشاف Cisco (يُعرف اختصارًا بـ CDP) للتعرف على هوية بعضها البعض وتحديد معلمات مثل متطلبات تخصيص VLAN وطاقة الكبلات الداخلية. يحدد بروتوكول CDP محطات العمل المتصلة محليًا. توفر هواتف Cisco IP آلية لعبور EAPOL. وتتيح هذه الآلية لمحطة العمل المتصلة بهاتف Cisco IP تمرير رسائل EAPOL إلى مصدّق 802.1X في محول LAN. تضمن آلية المرور عدم تصرف هاتف IP كمحول LAN لمصادقة نقطة نهاية بيانات قبل الوصول إلى الشبكة.

كما توفر هواتف Cisco IP آلية لتسجيل الخروج من EAPOL للوكيل. إذا تم فصل اتصال الكمبيوتر الشخصي المتصل محليًا عن هاتف IP، لا يعلم محول LAN عطل الارتباط المادي، وذلك نظرًا لخضوع الوصلة التي تربط بين محول LAN وهاتف IP للصيانة. ولتجنب المخاطرة بسلامة الشبكة، يرسل هاتف IP رسالة تسجيل خروج من EAPOL إلى المحول بالنيابة عن الكمبيوتر الشخصي المتدفقة إليه البيانات، والذي يقوم بتشغيل محول LAN لمسح إدخال المصادقة للكمبيوتر الشخصي المتدفقة إليه البيانات.

يتطلب دعم مصادقة 802.1X العديد من المكونات:

  • هاتف Cisco IP : يعمل الهاتف على تكوين الطلب للوصول إلى الشبكة. تشتمل هواتف Cisco IP Phone على عميل 802.1X. يتيح هذا العميل لمسؤولي الشبكة التحكم في اتصال هواتف IP بمنافذ محول LAN. يستخدم الإصدار الحالي من عميل 802.1X للهواتف الخيارين EAP—FAST وEAP—TLS لمصادقة الشبكة.

  • خادم المصادقة: يجب تكوين كل من خادم المصادقة والمحول باستخدام سر مشترك يقوم بمصادقة الهاتف.

  • المفتاح: يجب أن يدعم المفتاح 802.1X، لذا يمكن أن يعمل المحول كمصدق ويمرر الرسائل بين الهاتف وخادم المصادقة. بعد اكتمال عملية التبادل، يمنح المحول أو يرفض إمكانية وصول الهاتف إلى الشبكة.

ويجب أن تنفذ الإجراءات التالية لتكوين 802.1X.

  • كوِّن المكونات الأخرى قبل تمكين "مصادقة 802.1X" على الهاتف.

  • تكوين منفذ PC: لا يضع المعيار 802.1X في اعتباره وجود شبكات VLAN، ويوصي بناءً على ذلك بوجوب مصادقة جهاز واحد فقط إلى منفذ محدد في المحول. ومع ذلك، تدعم بعض المفاتيح المصادقة متعددة المجالات. يحدد تكوين المحول ما إذا كان بإمكانك توصيل كمبيوتر شخصي بمنفذ PC الخاص بالهاتف أم لا.

    • ممكَّن: إذا كنت تستخدم محولاً يدعم المصادقة متعددة المجالات، فيمكنك تفعيل منفذ PC وتوصيل كمبيوتر شخصي به. وفي هذه الحالة، فإن هواتف Cisco IP تدعم تسجيل الخروج من EAPOL للوكيل لمراقبة عمليات تبادل المصادقة بين المحول والكمبيوتر الشخصي المتصل.

      لمزيد من المعلومات حول دعم IEEE 802.1X في محولات Cisco Catalyst، راجع أدلة تكوين محول Cisco Catalyst على:

      http://www.cisco.com/en/US/products/hw/switches/ps708/tsd_products_support_series_home.html

    • معطَّل: إذا كان المحول لا يدعم أجهزة متعددة متوافقة مع 802.1X على المنفذ نفسه، فيجب أن تقوم بتعطيل منفذ PC عند تمكين مصادقة 802.1X. إذا لم تقم بتعطيل هذا المنفذ وحاولت بعد ذلك توصيل كمبيوتر شخصي به، فسيرفض المحول وصول الشبكة إلى كل من الهاتف والكمبيوتر الشخصي على حدٍ سواء.

  • تكوين VLAN للصوت: لأن معيار 802.1X لا يعتد بوجود شبكات VLAN، يجب أن تعمد إلى تكوين هذا الإعداد بناءً على دعم المحول.
    • ممكَّن: إذا كنت تستخدم محولاً يدعم المصادقة متعددة المجالات، فيمكنك الاستمرار في استخدام VLAN للصوت.
    • معطَّل: إذا كان المحول لا يدعم المصادقة متعددة المجالات، فقم بتعطيل "VLAN للصوت" وضع في اعتبارك تعيين المنفذ إلى شبكة VLAN الأصلية.
  • (لسلسلة هواتف Cisco Desk Phone 9800 فقط)

    يحتوي Cisco Desk Phone 9800 Series على بادئة مختلفة في PID عن تلك الخاصة بهواتف Cisco الأخرى. لتمكين هاتفك من اجتياز مصادقة 802.1X، قم بتعيين نصف القطر· معلمة اسم المستخدم لتضمين سلسلة هاتف Cisco Desk Phone 9800 الخاصة بك.

    على سبيل المثال ، PID للهاتف 9841 هو DP-9841 ؛ يمكنك ضبط نصف القطر · اسم المستخدم للبدء ب DP أو يحتوي على DP. يمكنك تعيينه في كلا القسمين التاليين:

    • السياسة > الشروط > شروط المكتبة

    • نهج > مجموعات النهج> نهج التخويل> قاعدة التخويل 1

تمكين مصادقة 802.1X

يمكنك تمكين مصادقة 802.1X لهاتفك باتباع الخطوات التالية:

1

اضغط على إعداداتthe Settings hard key.

2

أدخل كلمة المرور للوصول إلى قائمة الإعدادات، إذا طلب منك ذلك. يمكنك الحصول على كلمة المرور من المسؤول.

3

انتقل إلى إعدادات الشبكة والخدمة > الأمان> مصادقة 802.1X.

4

قم بتشغيل مصادقة IEEE 802.1X.

5

حدد تطبيق.

عرض معلومات حول إعدادات الأمان على الهاتف

يمكنك عرض المعلومات حول إعدادات الأمان في قائمة الهاتف. يعتمد توفر المعلومات على إعدادات الشبكة في مؤسستك.

1

اضغط على إعداداتthe Settings key.

2

انتقل إلى إعدادات الشبكة والخدمة >الأمان.

3

في إعدادات الأمان، قم بعرض المعلومات التالية.

الجدول 4. معلمات إعدادات الأمان

معلمات

الوصف

وضع الأمان

يعرض وضع الأمان المعين للهاتف.

LSC

تشير إلى ما إذا كانت إحدى الشهادات الهامة محليًا (تُستخدم لميزات الأمان) مثبتة (نعم) أو غير مثبتة (لا) على الهاتف.

قائمة ثقة

قائمة الثقة توفر قوائم فرعية لملفات CTL وITL وملفات تكوين موقعة.

تعرض القائمة الفرعية لملف CTL محتويات ملف CTL. تعرض القائمة الفرعية لملف ITL محتويات ملف ITL.

قائمة "قائمة الثقة" تعرض أيضًا المعلومات التالية:

  • توقيع CTL: التجزئة SHA1 لملف CTL
  • Unified CM/خادم TFTP: اسم خادم Cisco Unified Communications Manager وخادم TFTP الذي يستخدمه الهاتف. يعرض رمز شهادة إذا تم تثبيت شهادة لهذا الخادم.
  • خادم CAPF: اسم خادم CAPF الذي يستخدمه الهاتف. يعرض رمز شهادة إذا تم تثبيت شهادة لهذا الخادم.
  • موجه SRST: عنوان IP الخاص بموجة SRST الموثوق به الذي يمكن أن يستخدمه الهاتف. يعرض رمز شهادة إذا تم تثبيت شهادة لهذا الخادم.

أمان المكالمات الهاتفية

عندما يتم تطبيق الأمان على الهاتف، يمكنك تحديد المكالمات الهاتفية الآمنة عن طريق الأيقونات التي تظهر على شاشة الهاتف. يمكنك أيضًا تحديد ما إذا كان الهاتف المتصل آمنًا ومحميًا أم لا إذا تم إصدار نغمة أمان في بداية المكالمة.

في المكالمة الآمنة، يتم تشفير جميع إشارات المكالمة وعمليات دفق الوسائط. تقدم المكالمة الآمنة مستوى عاليًا من الأمان، وتوفر السلامة والخصوصية للمكالمة. عندما تكون المكالمة الجارية مشفرة، يمكنك رؤية الرمز الآمن أيقونة القفل لمكالمة آمنة على المحك. بالنسبة للهاتف الآمن، يمكنك أيضا عرض الرمز المصادق عليه أو الرمز المشفر بجوار الخادم المتصل في قائمة الهاتف (الإعدادات > حول هذا الجهاز).

إذا تم توجيه المكالمة من خلال اتجاهات المكالمة غير IP، على سبيل المثال، PSTN، فقد تصبح المكالمة غير آمنة حتى وإن كانت مشفرة داخل شبكة IP ولها أيقونة قفل مقترنة بها.

في المكالمة الآمنة، يتم إصدار نغمة أمان في بداية المكالمة للإشارة إلى أن الهاتف الآخر المتصل يتلقى ويستقبل صوت الأمان. وعند اتصال مكالمتك بهاتف غير آمن، لا يتم تشغيل نغمة الأمان.

المكالمات الآمنة مدعومة للاتصالات بين هاتفين فقط. لا تتوفر بعض الميزات، مثل مكالمات المؤتمر والخطوط المشتركة عندما يكون الاتصال الآمن مكونًا.

عندما يتم تكوين الهاتف على أنه آمن (مشفر وموثوق) في Cisco Unified Communications Manager ، يمكن منحه محمي حالة. بعد ذلك، يمكن تكوين الهاتف المحمي لتشغيل نغمة الإيضاح في بداية المكالمة إذا كنت ترغب في ذلك:

  • الجهاز المحمي: لتغيير حالة الهاتف الآمن إلى محمي، حدد خانة الاختيار "جهاز محمي" في نافذة تكوين الهاتف في إدارة Cisco Unified Communications Manager (الجهاز > الهاتف).

  • تشغيل نغمة إيضاح الأمان: لتمكين الهاتف المحمي لتشغيل نغمة إيضاح الأمان أو عدم الأمان، قم بتعيين إعداد تشغيل نغمة إيضاح الأمان على "صواب". بشكل افتراضي، يتم تعيين إعداد تشغيل نغمة إيضاح الأمان على "خطأ". يمكنك تعيين هذا الخيار في إدارة Cisco Unified Communications Manager (النظام > معلمات الخدمة). حدد الخادم ثم خدمة Cisco Unified Communications Manager. في نافذة تكوين معلمة الخدمة، حدد الخيار الموجود في منطقة ميزة - نغمة الأمان. الوضع الافتراضي هو "خطأ".

تعريف مكالمة المؤتمر الآمنة

يمكنك بدء مكالمة مؤتمر آمنة ومراقبة مستوى أمان المشاركين. يتم تأسيس مكالمة مؤتمر آمنة باستخدم هذه العملية:

  1. يبدأ المستخدم في إجراء مكالمة مؤتمر من هاتف آمن.

  2. يُعيِّن Cisco Unified Communications Manager جسر مؤتمر آمنًا للمكالمة.

  3. بعد إضافة المشاركين، يتحقق Cisco Unified Communications Manager من وضع الأمان لكل هاتف ويحافظ على مستوى أمان المؤتمر.

  4. يعرض الهاتف مستوى أمان مكالمة المؤتمر. يعرض المؤتمر الآمن أيقونة الأمان أيقونة القفل لمكالمة آمنة.

المكالمات الآمنة مدعومة بين هاتفين. في الهواتف المحمية، لا تتوفر بعض الميزات، مثل مكالمات المؤتمر والخطوط المشتركة وExtension Mobility، عندما يكون الاتصال الآمن مكونًا.

يقدم الجدول التالي معلومات حول التغييرات التي تطرأ على مستويات أمان المؤتمر تبعًا لمستوى أمان الهاتف المُنشئ، ومستويات أمان المشاركين، وتوفر جسور مؤتمر آمنة.

الجدول 5. قيود الأمان مع المكالمات الجماعية

مستوى أمان هاتف المنشئ

الميزة المستخدمة

مستوى أمان المشاركين

نتائج الإجراء

غير آمن

اتصال جماعي

اتصال

جسر مؤتمر غير آمن

مؤتمر غير آمن

اتصال

اتصال جماعي

عضو واحد على الأقل غير آمن.

جسر مؤتمر آمن

مؤتمر غير آمن

اتصال

اتصال جماعي

اتصال

جسر مؤتمر آمن

مؤتمر بمستوى تشفير آمن

غير آمن

مباشر

مستوى الأمان الأدنى مشفّر.

يتلقى المنشئ رسالة لا تفي بمستوى الأمان، تم رفض المكالمة.

اتصال

مباشر

مستوى الأمان الأدنى غير آمن.

جسر مؤتمر آمن

مؤتمر يقبل جميع المكالمات.

تعريف المكالمة الهاتفية الآمنة

يتم تأسيس مكالمة آمنة عند تكوين هاتفك وهاتف الطرف الآخر لإجراء مكالمة آمنة. قد يكون هاتف الطرف الآخر على شبكة Cisco IP نفسها أو على شبكة خارج شبكة IP. يمكن إجراء المكالمات المؤمنة بين هاتفين فقط. من المفترض أن تدعم مكالمات المؤتمر ميزة المكالمة الآمنة بعد إعداد جسر المؤتمر الآمن.

يتم تأسيس المكالمة المؤمنة باستخدام هذه العملية:

  1. يشرع المستخدم في إجراء مكالمة من هاتف مؤمن (وضع الأمان الآمن).

  2. يعرض الهاتف أيقونة الأمان أيقونة القفل لمكالمة آمنة على شاشة الهاتف. تشير هذه الأيقونة إلى أنه قد تم تكوين الهاتف لإجراء مكالمات آمنة، ولكن هذا لا يعني أن الهاتف الآخر المتصل مؤمن أيضًا.

  3. يسمع المستخدم نغمة أمان عند اتصال المكالمة بهاتف آخر مؤمن، مشيرًا إلى أن هاتفي كلا طرفي المحادثة مشفّران ومؤمّنان. وعند اتصال المكالمة بهاتف غير آمن، فإن المستخدم لا يسمع نغمة الأمان.

المكالمات الآمنة مدعومة بين هاتفين. في الهواتف المحمية، لا تتوفر بعض الميزات، مثل مكالمات المؤتمر والخطوط المشتركة وExtension Mobility، عندما يكون الاتصال الآمن مكونًا.

الهواتف المحمية فقط هي التي تُصدر نغمات إيضاح الأمان أو عدم الأمان. ولا تُصدر الهواتف غير المحمية هذه النغمات مطلقًا. إذا تغيرت حالة المكالمة العامة أثناء المكالمة، تتغير نغمة الإيضاح ويُصدر الهاتف النغمة الملائمة.

يُصدر الهاتف المحمي نغمة أم لا في هذه الحالات:

  • عند تمكين خيار نغمة إيضاح التشغيل الآمن:

    • عندما يتم تأسيس وسائط أمان طرف إلى طرف وكانت حالة المكالمة آمنة، يُصدر الهاتف نغمة إيضاح الأمان (ثلاث صافرات طويلة يتخللها إيقاف مؤقت).

    • عندما يتم تأسيس وسائط غير آمنة من طرف إلى طرف وكانت حالة المكالمة غير آمنة، يُصدر الهاتف نغمة إيضاح عدم الأمان (ست صافرات قصيرة يتخللها إيقاف مؤقت قصير).

عند تعطيل خيار نغمة إيضاح التشغيل الآمن، لا يتم إصدار أي نغمة.

توفير التشفير للمداخلة

يتحقق Cisco Unified Communications Manager من حالة أمان الهاتف عندما يتم إنشاء المؤتمرات وتغيير إيضاح الأمان للمؤتمر أو يحظر إتمام المكالمة للحفاظ على تكامل والأمان في النظام.

لا يمكن لمستخدم إجراء مداخلة في مكالمة مشفرة إذا لم يتم تكوين الهاتف الذي يتم استخدامه للمداخلة أثناء التشفير. عند فشل المداخلة في هذه الحالة، يتم طلب (انشغال سريعة) تشغيل نغمة على الهاتف الذي بدأ فيه دخول المداخلة.

إذا تم تكوين الهاتف المنشئ للتشفير، فيمكن إدخال منشئ المداخلة في مكالمة غير آمنة من الهاتف المشفر. بعد حدوث المداخلة، يصنف Cisco Unified Communications Manager الاتصال بأنه غير آمن.

إذا تم تكوين الهاتف المنشئ للتشفير، فيمكنك إدخال منشئ المداهلة في مكالمة مشفرة، ويشير الهاتف إلى أن المكالمة مشفرة.

الأمان WLAN

ينطبق هذا القسم فقط على طرز الهواتف المزودة بإمكانية Wi-Fi.

الأمان WLAN

نظرًا لإمكانية تلقي جميع أجهزة الشبكة المحلية اللاسلكية الواقعة ضمن النطاق كل حركة مرور الشبكة المحلية اللاسلكية الأخرى، فإن تأمين الاتصالات الصوتية أصبح يمثل عنصرًا مهمًا في الشبكات المحلية اللاسلكية. لضمان عدم تلاعب المتطفلين بحركة مرور الصوت أو اعتراضها، تدعم بنية أمان Cisco SAFE الهاتف. للحصول على مزيد من المعلومات حول الأمان في الشبكات، راجع http://www.cisco.com/en/US/netsol/ns744/networking_solutions_program_home.html.

يوفر حل الاتصال الهاتفي اللاسلكي IP من Cisco أمان الشبكة اللاسلكية الذي يمنع عمليات تسجيل الدخول غير المصرح بها والاتصالات المخترقة باستخدام طرق المصادقة التالية التي يدعمها الهاتف:

  • المصادقة المفتوحة: يمكن لأي جهاز لاسلكي طلب المصادقة في نظام مفتوح. يمنح AP الذي يتلقى الطلب المصادقة لأي طالب أو للطالبين الموجودين في قائمة المستخدمين. قد يكون الاتصال بين الجهاز اللاسلكي ونقطة الوصول (AP) غير مشفر.

  • بروتوكول المصادقة القابل للتوسعة - المصادقة المرنة عبر مصادقة الأنفاق الآمنة (EAP-FAST): تقوم بنية أمان خادم العميل هذه بتشفير المعاملات EAP داخل نفق أمان مستوى النقل (TLS) بين AP وخادم RADIUS، مثل محرك خدمات الهوية (ISE).

    يستخدم نفق TLS بيانات اعتماد الوصول المحمية (PACs) للمصادقة بين العميل (هاتف) وخادم RADIUS. يرسل الخادم معرف المرجع (AID) إلى العميل (هاتف)، الذي بدوره يحدد PAC الملائم. يعيد العميل (هاتف) PAC-Opaque إلى خادم RADIUS. يلغي الخادم تشفير PAC باستخدام المفتاح الرئيسي. تحتوي نقطتا النهاية الآن على مفتاح PAC ويتم إنشاء نفق TLS. يدعم EAP-FAST توفير PAC تلقائي، ولكن يجب عليك تمكينه على خادم RADIUS.

    في ISE ، بشكل افتراضي ، تنتهي صلاحية PAC في أسبوع واحد. إذا كان الهاتف يشتمل على PAC منتهية الصلاحية، فتستغرق عملية المصادقة على خادم RADIUS وقتاً أطول مقارنة بوجود PAC جديدة في الهاتف. لتجنب التأخير في توفير PAC، قم بتعيين مدة انتهاء الصلاحية لـ PAC حتى 90 يومًا أو أكثر على ISE أو خادم RADIUS.

  • "بروتوكول المصادقة" القابل للتوسعة عبر "أمان طبقة النقل" (EAP-TLS): يتطلب EAP TLS شهادة عميل للمصادقة والوصول إلى الشبكة. بالنسبة EAP-TLS اللاسلكية، يمكن أن تكون شهادة العميل MIC أو LSC أو شهادة مثبتة من قبل المستخدم.

  • بروتوكول المصادقة القابل للتوسعة المحمي (PEAP): نظام مصادقة متبادل يستند إلى كلمة مرور ملك Cisco بين العميل (هاتف) وخادم RADIUS. يمكن للهاتف استخدام PEAP للمصادقة مع الشبكة اللاسلكية. يتم دعم طريقتي المصادقة PEAP-MSCHAPV2 وPEAP-GTC.

  • المفتاح المشترك مسبقا (PSK): يدعم الهاتف التنسيق ASCII. يجب عليك استخدام هذا التنسيق عند إعداد مفتاح WPA/WPA2/SAE مشترك مسبقا:

    ASCII: سلسلة أحرف ASCII يتراوح طولها من 8 إلى 63 حرفًا (0-9، وأحرف صغيرة وأحرف كبيرة A-Z، وأحرف خاصة)

    مثال: GREG123567@9ZX&W

تستخدم أنظمة المصادقة التالية خادم RADIUS لإدارة مفاتيح المصادقة:

  • WPA/WPA2/WPA3: يستخدم معلومات خادم RADIUS لإنشاء مفاتيح فريدة للمصادقة. ونظرًا لإنشاء تلك المفاتيح على الخادم RADIUS المركزي، يوفر WPA2/WPA3 أماناً أكبر من مفاتيح WPA المشتركة مسبقًا والمخزنة في AP والهاتف.

  • تجوال الأمان السريع: يستخدم خادم RADIUS ومعلومات خادم المجال اللاسلكي (WDS) لإدارة ومصادقة المفاتيح. يقوم WDS بإنشاء ذاكرة تخزين مؤقت لبيانات اعتماد الأمان للأجهزة العميلة التي تدعم FT لإعادة المصادقة بسرعة وأمان. يدعم هاتفا Cisco Desk Phone 9861 و9871 وهاتف Cisco Video Phone 8875 802.11r (FT). يتم دعم كل من عبر الأثير وعبر DS للسماح بالتجوال الآمن السريع. لكننا نوصي بشدة باستخدام طريقة 802.11r (FT) عبر الهواء.

باستخدام WPA/WPA2/WPA3، لا يتم إدخال مفاتيح التشفير على الهاتف، ولكن يتم اشتقاقها تلقائيا بين نقطة الوصول والهاتف. ولكن يجب إدخال اسم المستخدم وكلمة المرور لـ EAP التي يتم استخدامها للمصادقة على كل هاتف.

لضمان أمان حركة مرور الصوت، يدعم الهاتف TKIP و AES للتشفير. عند استخدام هذه الآليات للتشفير، يتم تشفير كل من حزم SIP للإشارة وحزم بروتوكول النقل في الوقت الحقيقي (RTP) الصوتي بين نقطة الوصول والهاتف.

TKIP

يستخدم WPA تشفير TKIP الذي يحتوي على العديد من التحسينات على مدار WEP. يوفر TKIP التشفير باستخدام المفاتيح لكل حزمة وموجهات تهيئة أطول (IVs) تعزز من التشفير. بالإضافة إلى ذلك، يضمن التحقق من تكامل الرسائل (MIC) عدم تغيير الحزم المشفرة. يزيل TKIP التنبؤ بـ WEP الذي يساعد المقتحمين على فك تشفير مفتاح WEP.

AES

طريقة تشفير تستخدم لمصادقة WPA2/WPA3. يستخدم هذا المعيار الوطني للتشفير خوارزمية متناظرة تحتوي على نفس المفتاح للتشفير وفك التشفير. يستخدم AES التشفير سلسلة حظر التشفير (CBC) بحجم 128 بت، وهي التي تدعم حجم 128 و192 و256 بت، كحد أدنى. يدعم الهاتف مفتاح بحجم 256 بت.

لا يدعم هاتفا Cisco Desk Phone 9861 و9871 وهاتف Cisco Video Phone 8875 بروتوكول تكامل مفاتيح Cisco (CKIP) مع CMIC.

يتم إعداد أنظمة المصادقة والتشفير داخل الشبكة المحلية اللاسلكية. يتم تهيئة شبكات VLAN في الشبكة ونقاط الاتصال الموجودة وتحدد مجموعات مختلفة من المصادقة والتشفير. يرتبط SSID بشبكة VLAN ونظام المصادقة والتشفير المعين. لكي تتم مصادقة الأجهزة العميلة اللاسلكية بنجاح، يجب عليك تكوين نفس معرفات SSID مع أنظمة المصادقة والتشفير الخاصة بها على نقاط الوصول وعلى الهاتف.

تتطلب بعض مخططات المصادقة أنواعًا معينة من التشفير.

  • عند استخدام مفتاح WPA مشترك مسبقا أو مفتاح WPA2 مشترك مسبقا أو SAE، يجب تعيين المفتاح المشترك مسبقا بشكل ثابت على الهاتف. يجب أن تطابق هذه المفاتيح المفاتيح الموجودة على AP.

  • يدعم الهاتف التفاوض التلقائي على EAP ل FAST أو PEAP ، ولكن ليس ل TLS. بالنسبة للوضع EAP-TLS ، يجب تحديده.

تعرض أنظمة المصادقة والتشفير في الجدول التالي خيارات تهيئة الشبكة للهاتف الذي يتوافق مع تكوين AP.

الجدول 6. مخططات المصادقة والتشفير
نوع FSRالمصادقهإدارة المفاتيحالتشفيرإطار الإدارة المحمي (PMF)
802.11r (قدم)PSK

WPA-PSK

وبا-PSK-SHA256

FT-PSK

AESلا
802.11r (قدم)WPA3

سا

FT-SAE

AESنعم
802.11r (قدم)EAP-TLS

WPA-EAP

FT-EAP

AESلا
802.11r (قدم)EAP-TLS (WPA3)

وبا-EAP-SHA256

FT-EAP

AESنعم
802.11r (قدم)EAP-FAST

WPA-EAP

FT-EAP

AESلا
802.11r (قدم)EAP-FAST (WPA3)

وبا-EAP-SHA256

FT-EAP

AESنعم
802.11r (قدم)EAP-PEAP

WPA-EAP

FT-EAP

AESلا
802.11r (قدم)EAP-PEAP (WPA3)

وبا-EAP-SHA256

FT-EAP

AESنعم

تكوين ملف تعريف LAN لاسلكية

يمكنك إدارة ملف تعريف الشبكة اللاسلكية عن طريق تكوين بيانات الاعتماد ونطاق التردد وطريقة المصادقة وما إلى ذلك.

ضع الملاحظات التالية في الاعتبار قبل تكوين ملف تعريف WLAN:

  • اسم المستخدم وكلمة المرور

    • عندما تستخدم شبكتك EAP-FAST وPEAP لمصادقة المستخدم، يجب عليك تكوين كل من اسم المستخدم وكلمة السر إذا تطلب الأمر ذلك على Remote Authentication Dial-In User Service (RADIUS) والهاتف.

    • يجب أن تكون بيانات الاعتماد التي تدخلها في ملف تعريف شبكة LAN اللاسلكية متطابقة مع بيانات الاعتماد التي قمت بتكوينها على خادم RADIUS.

    • إذا كنت تستخدم المجالات داخل الشبكة، فيجب إدخال اسم المستخدم مع اسم المجال، بالتنسيق: المجال\اسم المستخدم.

  • قد تؤدي الإجراءات التالية إلى مسح كلمة مرور شبكة Wi-Fi الموجودة:

    • إدخال معرف مستخدم أو كلمة مرور غير صحيحين
    • تثبيت CA الجذر غير صالحة أو منتهية الصلاحية عند تعيين نوع EAP على PEAP-MSCHAPV2 أو PEAP-GTC
    • تعطيل نوع EAP قيد الاستخدام على خادم RADIUS قبل تحويل الهاتف إلى نوع EAP الجديد
  • لتغيير نوع EAP، تأكد من تمكين نوع EAP الجديد على خادم RADIUS أولاً، ثم قم بتبديل الهاتف إلى نوع EAP. عندما تم تغيير جميع الهواتف إلى نوع EAP الجديد، يمكنك تعطيل نوع EAP السابق إذا كنت تريد.
1

في "إدارة Cisco Unified Communications Manager"، حدد الجهاز > إعدادات الجهاز > ملف تعريف LAN اللاسلكي.

2

اختر ملف تعريف الشبكة الذي تريد تكوينه.

3

قم بإعداد هذه المعلمات.

4

انقر فوق حفظ.

تثبيت شهادة خادم المصادقة يدويًا

يمكن تثبيت شهادة "خادم المصادقة" يدوياً على الهاتف إذا لم يتوفر بروتوكول تسجيل الشهادات البسيطة (SCEP).

يجب تثبيت شهادة CA الجذر التي تصدر شهادة خادم RADIUS لـ EAP-TLS.

‏‫قبل البدء‬

قبل تثبيت شهادة على هاتف، يجب أن يكون لديك "شهادة خادم المصادقة" محفوظة على جهاز الكمبيوتر الخاص بك. يجب ترميز الشهادة في PEM (أساس 64) أو DER.

1

من صفحة ويب إدارة الهاتف، حدد الشهادات.

2

حدد حقل خادم المصادقة CA، وانقر فوق تثبيت.

3

قم بالاستعراض للشهادة الموجودة على جهاز الكمبيوتر الخاص بك.

4

انقر فوق تحميل.

5

قم بإعادة تشغيل الهاتف بعد انتهاء التحميل.

في حالة إعادة تثبيت أكثر من شهادة واحدة، سيتم استخدام آخر شهادة مثبتة فقط.

تثبيت شهادة المستخدم يدويًا

يمكن تثبيت شهادة المستخدم يدوياً على الهاتف إذا لم يتوفر بروتوكول تسجيل الشهادات البسيطة (SCEP).

يمكن استخدام المثبت مسبقاً التصنيع تثبيت الشهادة (MIC) "شهادة المستخدم" ل EAP-TLS.

بعد تثبيت "شهادة المستخدم"، قم بإضافتها إلى قائمة الثقة "الخادم" RADIUS.

‏‫قبل البدء‬

قبل تثبيت "شهادة المستخدم" لهاتف، يجب أن لديك:

  • شهادة المستخدم وفر من جهاز الكمبيوتر الخاص بك. يجب أن يكون الشهادة بتنسيق PKCS #12.

  • كلمة السر لاستخراج الشهادة.

    يمكن أن يصل طول كلمة المرور هذه إلى 16 حرفا.

1

من صفحة ويب إدارة الهاتف، حدد الشهادات.

2

حدد موقع حقل تثبيت المستخدم وانقر فوق تثبيت.

3

قم بالاستعراض للشهادة الموجودة على جهاز الكمبيوتر الخاص بك.

4

في كلمة المرور استخراج الحقل، أدخل كلمة المرور استخراج الشهادة.

5

انقر فوق تحميل.

6

قم بإعادة تشغيل الهاتف بعد انتهاء التحميل.

إزالة شهادة الأمان يدويًا

يمكنك إزالة شهادات أمان يدوياً من خلال هاتف في حالة عدم توفر بروتوكول تسجيل الشهادات البسيطة (SCEP).

1

من صفحة ويب إدارة الهاتف، حدد الشهادات.

2

حدد موقع الشهادة على صفحة شهادات.

3

انقر فوق حذف.

4

قم بإعادة تشغيل الهاتف بعد إكمال عملية الحذف.

تكوين معلمات SCEP

بروتوكول تسجيل الشهادات البسيطة (SCEP) هو المعيار الخاص بتوفير وتجديد الشهادات تلقائيًا. يمكن لخادم SCEP الاحتفاظ تلقائيًا بشهادات المستخدم والخادم.

يجب عليك تهيئة معلمات SCEP التالية على صفحة ويب الهاتف لديك

  • عنوان IP لـ RA

  • بصمة الإصبع SHA-1 أو SHA-256 لشهادة CA الجذر الخاصة بخادم SCEP

تعمل هيئة التسجيل Cisco IOS (RA) كوكيل لخادم SCEP. يستخدم العميل SCEP على الهاتف المعلمات التي يتم تنزيلها من Cisco Unified Communication Manager. بعد تهيئة المعلمات، يرسل الهاتف طلب SCEP getcs إلى RA ويتم التحقق من صحة شهادة CA الجذر باستخدام بصمة الإصبع المحددة.

‏‫قبل البدء‬

في خادم SCEP، قم بتهيئة عامل تسجيل SCEP (RA) لكي:

  • يعمل كنقطة ثقة لـ PKI
  • ليعمل كـ PKI RA
  • قم بتنفيذ مصادقة الجهاز باستخدام خادم RADIUS

لمزيد من المعلومات، راجع وثائق خادم SCEP.

1

من إدارة Cisco Unified Communications Manager، حدد الجهاز > الهاتف.

2

حدد موقع الهاتف.

3

قم بالتمرير إلى منطقة مخطط التكوين الخاص بالمنتج.

4

حدد خانة الاختيار خادم SCEP للشبكة المحلية اللاسلكية لتنشيط المعلمة SCEP.

5

حدد خانة الاختيار بصمة إصبع CA الجذر للشبكة المحلية اللاسلكية (SHA256 أو SHA1) لتنشيط المعلمة SCEP QED.

إعداد الإصدارات المدعومة من TLS

يمكنك إعداد الحد الأدنى لإصدار TLS المطلوب للعميل والملقم على التوالي.

بشكل افتراضي، يكون الحد الأدنى لإصدار TLS للخادم والعميل هو 1.2. يؤثر الإعداد على الوظائف التالية:

  • اتصال الوصول إلى الويب HTTPS
  • الإعداد للهاتف المحلي
  • إعداد الهاتف المحمول Remote Access (MRA)
  • خدمات HTTPS، مثل خدمات الدليل
  • أمان طبقة نقل مخطط البيانات (DTLS)
  • كيان الوصول إلى المنفذ (PAE)
  • بروتوكول المصادقة القابل للتوسيع-أمان طبقة النقل (EAP-TLS)

لمزيد من المعلومات حول توافق TLS 1.3 ل Cisco IP Phones، راجع TLS مصفوفة التوافق 1.3 لمنتجات التعاون من Cisco.

1

سجِّل الدخول إلى إدارة Cisco Unified Communications Manager كمسؤول.

2

انتقل إلى إحدى النوافذ التالية:

  • النظام > تكوين هاتف المؤسسة
  • إعدادات الجهاز > الجهاز> ملف تعريف الهاتف العام
  • تكوين الجهاز > الهاتف > الهاتف
3

قم بإعداد حقل TLS الحد الأدنى لإصدار العميل:

يتوفر خيار "TLS 1.3" في Cisco Unified CM 15SU2 أو أحدث.
  • TLS 1.1: يدعم عميل TLS إصدارات TLS من 1.1 إلى 1.3.

    إذا كان إصدار TLS في الخادم أقل من 1.1 ، على سبيل المثال ، 1.0 ، فلا يمكن إنشاء الاتصال.

  • TLS 1.2 (افتراضي): يدعم عميل TLS TLS 1.2 و1.3.

    إذا كان إصدار TLS في الخادم أقل من 1.2 ، على سبيل المثال ، 1.1 أو 1.0 ، فلا يمكن إنشاء الاتصال.

  • TLS 1.3: يدعم عميل TLS TLS 1.3 فقط.

    إذا كان إصدار TLS في الخادم أقل من 1.3 ، على سبيل المثال ، 1.2 أو 1.1 أو 1.0 ، فلا يمكن إنشاء الاتصال.

4

قم بإعداد حقل TLS الحد الأدنى لإصدار الخادم:

  • TLS 1.1: يدعم خادم TLS إصدارات TLS من 1.1 إلى 1.3.

    إذا كان الإصدار TLS في العميل أقل من 1.1 ، على سبيل المثال ، 1.0 ، فلا يمكن إنشاء الاتصال.

  • TLS 1.2 (افتراضي): يدعم خادم TLS TLS 1.2 و1.3.

    إذا كان الإصدار TLS في العميل أقل من 1.2 ، على سبيل المثال ، 1.1 أو 1.0 ، فلا يمكن إنشاء الاتصال.

  • TLS 1.3: يدعم خادم TLS TLS 1.3 فقط.

    إذا كان إصدار TLS في العميل أقل من 1.3 ، على سبيل المثال ، 1.2 أو 1.1 أو 1.0 ، فلا يمكن إنشاء الاتصال.

من إصدار PhoneOS 3.2 ، لا يؤثر إعداد الحقل "تعطيل TLS 1.0 و TLS 1.1 للوصول إلى الويب" على الهواتف.
5

انقر فوق حفظ.

6

انقر فوق تطبيق التكوين.

7

أعِد تشغيل الهواتف.

SIP للخدمات المضمونة

SIP للخدمات المؤكدة (AS-SIP) هي مجموعة من الميزات والبروتوكولات التي تعرض تدفق مكالمات عالي الأمان لهواتف Cisco IP Phones والهواتف التابعة لجهات خارجية. تُعرف الميزات التالية إجمالاً بـ AS-SIP:

  • الأولوية والاستباق متعددا المستويات (MLPP)
  • نقطة كود الخدمات المميزة (DSCP)
  • أمان طبقة النقل (TLS) وبروتوكول النقل الآمن في الوقت الحقيقي (SRTP)
  • الإصدار 6 من بروتوكول الإنترنت (IPv6)

كما تُستخدم AS-SIP غالبًا مع الأسبقية متعددة المستويات وPreemption (MLPP) لتحديد أولوية المكالمات خلال الطوارئ. باستخدام MLPP، يمكنك تعيين مستوى أولوية للمكالمات الصادرة، من المستوى رقم 1 (الأقل) إلى المستوى رقم 5 (الأعلى). عندما تتلقى إحدى المكالمات، تعرض أيقونة مستوى الأسبقية على الهاتف التي تُظهر أولوية المكالمات.

لتكوين كما SIP، قم بإتمام المهام التالية على Cisco Unified Communications Manager:

  • تكوين مستخدم Digest — تكوين المستخدم النهائي لاستخدام مصادقة digest لطلبات SIP.
  • تهيئة المنفذ الآمن لهاتف SIP — يستخدم Cisco Unified Communications Manager هذا المنفذ للاستماع إلى هواتف SIP لعمليات تسجيل خط SIP عبر TLS.
  • إعادة تشغيل الخدمات — بعد تكوين المنفذ الآمن، قم بإعادة تشغيل Cisco Unified Communications Manager وخدمات Cisco CTL Provider. تكوين ملف تعريف SIP لـ AS-SIP-Configure ملف تعريف SIP باستخدام إعدادات SIP لنقاط نهاية AS-SIP ولخطوط اتصال SIP. لا يتم تنزيل المعلمات الخاصة بالهاتف لهاتف AS-SIP التابع لجهة خارجية. يتم استخدامها بواسطة "الإدارة الموحدة من Cisco" فقط. يجب أن تقوم الهواتف التابعة لجهات خارجية بتكوين نفس الإعدادات محليًا.
  • قم بتكوين ملف تعريف أمان الهاتف لـ AS—SIP — يمكنك استخدام ملف تعريف أمان الهاتف لتخصيص إعدادات الأمان مثل TLS وSRTP ومصادقة digest.
  • تكوين نقطة نهاية AS—SIP — تكوين هاتف Cisco IP أو نقطة النهاية التابعة لجهة خارجية باستخدام دعم AS—SIP.
  • إقران الجهاز بالمستخدم النهائي: يمكنك إقران نقطة النهاية بمستخدم.
  • تهيئة ملف تعريف الأمان قنوات اتصال SIP لـ AS-SIP — يمكنك استخدام ملف تعريف أمان قنوات اتصال sip لتعيين ميزات الأمان مثل TLS أو مصادقة digest إلى قناة اتصال SIP.
  • تهيئة قنوات اتصال SIP لـ AS-SIP — تكوين قناة اتصال SIP بدعم AS-SIP.
  • تهيئة ميزات AS-SIP — تهيئة ميزات AS-SIP الإضافية مثل MLPP وTLS وV.150 وIPv6.

للحصول على معلومات تفصيلية حول تكوين AS-SIP، راجع فصل "تكوين نقاط نهاية AS-SIP" في دليل تكوين الميزات لعام Cisco Unified Communications Manager.

الأولوية والاستباق متعددا المستويات

تسمح لكميزة الأسبقية والأفضلية متعددة المستويات (MLPP) بتحديد أولوية المكالمات أثناء حالات الطوارئ أو مواقف الأزمات الأخرى. يمكنك تعيين أولوية للمكالمات الصادرة التي تتراوح من 1 إلى 5. تعرض المكالمات الواردة رمزا وأولوية المكالمة. يمكن أن يتجاوز المستخدمون الذين تتم مصادقتهم تحديد أفضلية للمكالمات إما إلى المحطات المستهدفة أو من خلال قنوات اتصال TDM المشتركة بالكامل.

تضمن هذه الإمكانية وجود طاقم عمل عالي الرتبة لعملية الاتصال بالمؤسسات الحرجة والأفراد المهمين.

يتم استخدام MLPP من خلال SIP للخدمات المؤكدة (AS-SIP). للحصول على معلومات تفصيلية حول تكوين MLPP، راجع الفصل تكوين الأسبقية والاستباق متعددي المستويات في دليل تكوين الميزات ل Cisco Unified Communications Manager.

إعداد FAC و CMC

عند تكوين رموز التخويل المفروض (FAC) أو رموز مسألة العميل (CMC) أو كليهما على الهاتف، يجب على المستخدمين إدخال كلمات المرور المطلوبة لطلب رقم.

لمزيد من المعلومات حول كيفية إعداد FAC CMC في Cisco Unified Communications Manager، راجع فصل "رموز مسألة العميل ورموز التخويل المفروض" في دليل تكوين الميزات ل Cisco Unified Communications Managerأو الإصدار 12.5 (1) أو أحدث.