В допълнение към записването на SCEP сертификат чрез ръчните конфигурации на телефонната уеб страница, можете също да използвате опцията DHCP 43, за да попълните параметрите от DHCP сървър. Опцията DHCP 43 е предварително конфигурирана с параметрите SCEP, по-късно телефонът може да извлече параметрите от DHCP сървъра, за да извърши записването на SCEP сертификат.

За да регистрирате SCEP сертификат, като конфигурирате параметрите на SCEP в опцията 43 на DHCP, направете следното:

1. Подгответе SCEP среда.

   За информация относно настройката на SCEP среда вижте документацията на вашия SCEP сървър.

2. Настройте опция 43 на DHCP (дефинирана в 8.4 Специфична информация за доставчика, RFC 2132).

   Подопциите (10–15) са запазени за метода:

   Параметър на уеб страницата на телефона	Подопция	Тип	Дължина (байт)	Задължително
   Режим FIPS	10	Булева	1	Не*
   Сървър	11	низ	208 - дължина (парола за предизвикателство)	Да
   Корен CA пръстов отпечатък	12	двоичен	20 или 32	Да
   Парола за предизвикателство	13	низ	208 - дължина (сървър)	Не*
   Разрешаване на 802.1X удостоверяване	14	Булева	1	Не
   Избор на сертификат	15	Неподписан 8-битов	1	Не

   Когато използвате опция DHCP 43, обърнете внимание на следните характеристики на метода:

   • Подопциите (10–15) са запазени за сертификат за персонализирано устройство (CDC).
   • Максималната дължина на DHCP опция 43 е 255 байта.
   • Максималната дължина на паролата Server + Challenge трябва да бъде по-малка от 208 байта.
   • Стойността на режима FIPS трябва да съответства на конфигурацията за осигуряване при включване. В противен случай телефонът не успее да извлече предварително инсталирания сертификат след включване. Специално
     • Ако телефонът ще бъде регистриран в среда, в която режимът FIPS е деактивиран, не е необходимо да конфигурирате параметъра FIPS Mode в DHCP опция 43. По подразбиране режимът FIPS е деактивиран.
     • Ако телефонът ще бъде регистриран в среда, в която е активиран режимът FIPS, трябва да активирате режима FIPS в DHCP опция 43. Вижте Активиране на FIPS режим за подробности.
   • Паролата в Опция 43 е в чист текст.

     Ако паролата за предизвикателството е празна, телефонът използва MIC/SUDI за първоначално записване и подновяване на сертификата. Ако паролата за предизвикателството е конфигурирана, тя се използва само за първоначалното записване, а инсталираният сертификат ще се използва за подновяване на сертификата.

   • Активиране на 802.1X удостоверяване и избор на сертификат се използват само за телефоните в кабелна мрежа.
   • DHCP опция 60 (идентификатор на класа на доставчика) се използва за идентифициране на модела на устройството.

   Следващата таблица дава пример за вариант 43 на DHCP (подварианти 10—15):

   Подопция десетична/шестнадесетична	Дължина на стойността (байт) десетична/шестнадесетична	Стойност	Шестнадесетична стойност
   10/0а	1/01	1 (0: Деактивирано; 1: Активирано)	01
   11/0б	18/12	http://10.79.57.91	687474703a2f2f31302e37392e35372e3931
   12/0с	20/14	12040870625C5B755D73F5925285F8F5FF5D55AF	12040870625C5B755D73F5925285F8F5FF5D55AF
   13/0д	16/10	D233CCF9B9952A15	44323333434346394239393532413135
   14/0е	1/01	1 (0: Не; 1: Да)	01
   15/0е	1/01	1 (0: Инсталирано производство; 1: Инсталирано по поръчка)	01

   Обобщение на стойностите на параметрите:

   • Режим FIPS = Активиран

   • Сървър = http://10.79.57.91

   • Корен CA пръстов отпечатък = 12040870625C5B755D73F5925285F8F5FF5D55AF

   • Парола за предизвикателство = D233CCF9B9952A15

   • Активиране на 802.1X удостоверяване = Да

   • Избор на сертификат = Инсталиран по избор

   Синтаксисът на крайната шестнадесетична стойност е: {<suboption><length><value>}...

   Според стойностите на параметрите по-горе, крайната шестнадесетична стойност е следната:

   0a01010b12687474703a2f2f31302e37392e35372e39310c1412040870625C5B755D73F5925285F8F5FF5D55AF0d10443233334343463942393935324131350e01010f0101

3. Конфигурирайте DHCP опция 43 на DHCP сървър.
   Тази стъпка предоставя пример за конфигурациите на DHCP опция 43 в мрежовия регистър на Cisco.
   1. Добавете набор от дефиниции на опциите на DHCP.

      Низът за опция на доставчика е името на модела на IP телефоните. Валидната стойност е: DP-9841, DP-9851, DP-9861, DP-9871 или CP-8875.

   2. Добавете опцията 43 на DHCP и подопциите към набора от дефиниции на опциите на DHCP.

      Пример:

      

   3. Добавете опции 43 към DHCP политиката и задайте стойността, както следва:

      Пример:

      (10 1)(11 http://10.79.57.91)(12 12040870625C5B755D73F5925285F8F5FF5D55AF)(13 D233CCF9B9952A15)(14 1)(15 1)

   4. Проверете настройките. Можете да използвате Wireshark, за да заснемете следа от мрежовия трафик между телефона и услугата.
4. Извършете фабрично нулиране на телефона.

   След нулиране на телефона, параметрите Сървър, Root CA Fingerprint и Challenge Password ще бъдат попълнени автоматично. Тези параметри се намират в раздела SCEP Configuration 1 от Certificate > Custom на уеб страницата за администриране на телефона.

   За да проверите подробностите за инсталирания сертификат, щракнете върху Преглед в секцията Съществуващи сертификати .

   За да проверите състоянието на инсталиране на сертификата, изберете Състояние на сертификат > Персонализиран сертификат. Състоянието на изтегляне 1 показва най-новия резултат. Ако възникне някакъв проблем по време на записването на сертификата, състоянието на изтегляне може да покаже причината за проблема за целите на отстраняването на неизправности.

   Ако удостоверяването с парола за предизвикателство е неуспешно, потребителите ще бъдат подканени да въведат паролата на екрана на телефона.
5. (По избор): За да премахнете инсталирания сертификат от телефона, щракнете върху Изтриване в секцията Съществуващи сертификати .
   След като щракнете върху бутона, операцията по премахване започва незабавно без потвърждение.

Сертификатът на устройството може да се обновява автоматично от процеса SCEP.

• Телефонът проверява дали сертификатът ще изтече след 15 дни на всеки 4 часа. Ако е така, телефонът стартира процеса на подновяване на сертификата автоматично.
• Ако паролата за предизвикателството е празна, телефонът използва MIC/SUDI както за първоначално записване, така и за подновяване на сертификата. Ако паролата за предизвикателството е конфигурирана, тя се използва само за първоначално записване, съществуващият/инсталираният сертификат се използва за подновяване на сертификата.
• Телефонът не премахва стария сертификат на устройството, докато не извлече новия.
• Ако подновяването на сертификата е неуспешно, тъй като сертификатът на устройството или CA изтича, телефонът автоматично задейства първоначалното записване. Междувременно, ако удостоверяването на паролата за предизвикателството е неуспешно, на екрана на телефона се появява екран за въвеждане на парола и потребителите са подканени да въведат паролата за предизвикателството на телефона.

Cisco IP телефоните поддържат удостоверяване съгласно 802.1X.

Cisco IP телефоните и превключвателите на Cisco Catalyst традиционно използват Cisco Discovery Protocol (CDP), за да се идентифицират взаимно и да определят параметри като разпределение на VLAN и изисквания за вградена мощност. CDP не идентифицира локално прикрепени работни станции. Cisco IP телефоните осигуряват механизъм за преминаване през EAPOL. Този механизъм позволява на работна станция, прикрепена към Cisco IP телефон, да предава съобщения на EAPOL към 802.1X удостоверителя при LAN превключвателя. Механизмът за преминаване гарантира, че IP телефонът не действа като LAN превключвател, за да удостовери крайно устройство за данните преди достъп до мрежата.

Cisco IP телефоните също така предоставят прокси механизъм EAPOL Logoff. Ако локално свързаният компютър се изключи от IP телефона, LAN превключвателят не вижда, че физическата връзка се е провалила, защото връзката между LAN превключвателя и IP телефона се поддържа. За да се избегне компрометиране на целостта на мрежата, IP телефонът изпраща съобщение EAPOL-Logoff до превключвателя от името на компютъра надолу по веригата, което кара LAN превключвателя да изчисти записа за удостоверяване за компютъра надолу по веригата.

Поддръжката за удостоверяване съгласно 802.1X изисква няколко компонента:

• Cisco IP телефон: телефонът инициира искането за достъп до мрежата. Cisco IP телефоните съдържат 802.1X заявител. Този заявител позволява на мрежовите администратори да контролират свързаността на IP телефоните към портовете за превключватели на LAN. Текущата версия на 802.1X заявителя на телефона използва опциите за EAP-FAST и EAP-TLS за удостоверяване на мрежата.

• Сървър за удостоверяване: Сървърът за удостоверяване и комутаторът трябва да бъдат конфигурирани със споделена тайна, която удостоверява телефона.

• Превключвател: превключвателят трябва да поддържа 802.1X, така че да може да действа като удостоверител и да предава съобщенията между телефона и сървъра за удостоверяване. След като обменът приключи, превключвателят предоставя или отказва достъп на телефона до мрежата.

Трябва да изпълните следните действия, за да конфигурирате 802.1X.

• Конфигурирайте другите компоненти, преди да активирате удостоверяване съгласно 802.1X на телефона.

• Конфигуриране на компютърен порт: стандартът 802.1X не взема предвид VLAN и затова препоръчва само едно устройство да бъде удостоверено към конкретен порт за превключвател. Някои превключватели обаче поддържат удостоверяване на много домейни. Конфигурацията на превключвателя определя дали можете да свържете компютър към компютърния порт на телефона.

  • Активирано: ако използвате превключвател, който поддържа удостоверяване за много домейни, можете да активирате компютърния порт и да свържете компютър към него. В този случай Cisco IP телефоните поддържат прокси EAPOL-Logoff, за да следят обмена на удостоверяване между превключвателя и свързания компютър.

    За повече информация относно поддръжката на IEEE 802.1X на превключвателите на Cisco Catalyst вижте наръчниците за конфигурация на превключвателя на Cisco Catalyst на адрес:

    http://www.cisco.com/en/US/products/hw/switches/ps708/tsd_products_support_series_home.html

  • Деактивирано: ако превключвателят не поддържа няколко устройства, съвместими с 802.1X, на един и същ порт, трябва да деактивирате компютърния порт, когато е активирано удостоверяване съгласно 802.1X. Ако не деактивирате този порт и след това се опитате да прикачите компютър към него, превключвателят отказва мрежов достъп както до телефона, така и до компютъра.

• Конфигуриране на гласов VLAN: тъй като стандартът 802.1X не отчита VLAN, трябва да конфигурирате тази настройка въз основа на поддръжката на превключвателя.
  • Активирано: ако използвате превключвател, който поддържа удостоверяване на няколко домейна, можете да продължите да използвате гласовия VLAN.
  • Деактивирано: ако превключвателят не поддържа удостоверяване на множество домейни, деактивирайте гласовия VLAN и помислете за задаване на порта към присъщия VLAN.
• (Само за настолни телефони Cisco 9800 Series)

  Cisco Desk Phone 9800 Series има различен префикс в PID от този за другите телефони Cisco. За да позволите на телефона си да премине 802.1X удостоверяване, задайте Радиус· Параметър потребителско име , за да включите вашия настолен телефон Cisco 9800 Series.

  Например, PID на телефон 9841 е DP-9841; можете да зададете Радиус· Потребителско име за започване с DP или съдържа DP. Можете да го зададете и в двата от следните раздели:

  • Политика > Условия > Библиотечни условия

  • Правила > Правила за набори от правила> Правила за упълномощаване> Правило 1 за упълномощаване

Тъй като всички WLAN устройства, които са в обхват, могат да получават всякакъв друг WLAN трафик, защитата на гласови комуникации е от решаващо значение в WLAN. За да се гарантира, че натрапниците не манипулират или прихващат гласовия трафик, архитектурата Cisco SAFE Security поддържа телефона. За повече информация относно защитата в мрежите вижте http://www.cisco.com/en/US/netsol/ns744/networking_solutions_program_home.html.

Решението за безжична IP телефония на Cisco осигурява сигурност на безжичната мрежа, която предотвратява неоторизирани влизания и компрометирани комуникации, като използва следните методи за удостоверяване, които телефонът поддържа:

• Отворено удостоверяване: всяко безжично устройство може да поиска удостоверяване в отворена система. Точката за достъп, който получи искането, може да предостави удостоверяване на всеки заявител или само на заявители, които се намират в списък с потребители. Комуникацията между безжичното устройство и точката за достъп (AP) може да не е криптирана.

• Разширяем протокол за удостоверяване – гъвкаво удостоверяване чрез защитено тунелиране (EAP-FAST) Удостоверяване: Тази архитектура за сигурност клиент-сървър криптира EAP транзакциите в рамките на тунел за сигурност на транспортно ниво (TLS) между AP и RADIUS сървъра, като например Identity Services Engine (ISE).

  Тунелът TLS използва идентификационни данни за защитен достъп (PAC) за удостоверяване между клиента (телефона) и сървъра RADIUS. Сървърът изпраща ИД на органа (AID) на клиента (телефон), който от своя страна избира подходящия PAC. Клиентът (телефонът) връща PAC-Opaque на сървъра RADIUS. Сървърът декриптира PAC с основния ключ. И двете крайни устройства сега съдържат ключа PAC и се създава тунел TLS. EAP-FAST поддържа автоматично осигуряване на PAC, но трябва да го активирате на сървъра RADIUS.

  В ISE по подразбиране PAC изтича след една седмица. Ако телефонът има изтекъл PAC, удостоверяването със сървъра RADIUS отнема повече време, докато телефонът получава нов PAC. За да избегнете закъснения при осигуряването на PAC, задайте периода на изтичане на PAC на 90 дни или повече на сървъра ISE или RADIUS.

• Extensible Authentication Protocol-Transport Layer Security (EAP-TLS) Authentication: EAP-TLS изисква клиентски сертификат за удостоверяване и достъп до мрежата. За безжичен EAP-TLS клиентският сертификат може да бъде MIC, LSC или инсталиран от потребителя сертификат.

• Protected Extensible Authentication Protocol (PEAP): собствена схема на Cisco за взаимно удостоверяване, базирано на парола, между клиента (телефон) и RADIUS сървър. Телефонът може да използва PEAP за удостоверяване с безжичната мрежа. Поддържат се както методите за удостоверяване PEAP-MSCHAPV2, така и PEAP-GTC.

• Предварително споделен ключ (PSK): Телефонът поддържа формат ASCII. Трябва да използвате този формат, когато настройвате предварително споделен ключ WPA/WPA2/SAE:

  ASCII: низ с ASCII знаци с дължина от 8 до 63 знака (0 – 9, малки и главни букви A – Z и специални знаци)

  Пример: GREG123567@9ZX&W

Следните схеми за удостоверяване използват сървъра RADIUS за управление на ключовете за удостоверяване:

• WPA/WPA2/WPA3: Използва информация за RADIUS сървъра за генериране на уникални ключове за удостоверяване. Тъй като тези ключове се генерират на централизирания RADIUS сървър, WPA2/WPA3 осигурява по-голяма сигурност от предварително споделените ключове на WPA, които се съхраняват на AP и телефона.

• Бърз защитен роуминг: използва RADIUS сървър и информация за безжичен домейн сървър (WDS) за управление и удостоверяване на ключове. WDS създава кеш с идентификационни данни за сигурност за клиентски устройства с активиран FT за бързо и сигурно повторно удостоверяване. Cisco Desk Phone 9861 и 9871 и Cisco Video Phone 8875 поддържат 802.11r (FT). Поддържат се както по въздуха, така и над DS, за да се позволи бърз сигурен роуминг. Но ние силно препоръчваме да използвате метода 802.11r (FT) по въздуха.

С WPA/WPA2/WPA3 ключовете за криптиране не се въвеждат на телефона, а автоматично се извличат между AP и телефона. Но потребителското име и паролата на EAP, които се използват за удостоверяване, трябва да бъдат въведени на всеки телефон.

За да се гарантира, че гласовият трафик е защитен, телефонът поддържа TKIP и AES за криптиране. Когато тези механизми се използват за криптиране, както сигналните SIP пакети, така и гласовите пакети на Real-Time Transport Protocol (RTP) се криптират между AP и телефона.

TKIP

WPA използва TKIP криптиране, което има няколко подобрения в сравнение с WEP. TKIP осигурява шифриране на ключове на пакет и по-дълги вектори за инициализация (IV), които засилват шифроването. Освен това проверката за цялост на съобщението (MIC) гарантира, че шифрованите пакети не се променят. TKIP премахва предвидимостта на WEP, която помага на нарушителите да дешифрират WEP ключа.

AES

Метод за криптиране, използван за удостоверяване на WPA2/WPA3. Този национален стандарт за шифроване използва симетричен алгоритъм, който има същия ключ за шифроване и дешифроване. AES използва шифроване на верига за блокиране на шифър (CBC) с размер 128 бита, което поддържа ключови размери от 128 бита, 192 бита и 256 бита, като минимум. Телефонът поддържа размер на клавиша от 256 бита.

Схеми за удостоверяване и шифроване са настроени в безжичния LAN. VLAN мрежите се конфигурират в мрежата и на AP и определят различни комбинации от удостоверяване и шифроване. SSID се свързва с VLAN и конкретната схема за удостоверяване и шифроване. За да могат безжичните клиентски устройства да се удостоверяват успешно, трябва да конфигурирате същите SSID с техните схеми за удостоверяване и шифроване на точки за достъп и на телефона.

Някои схеми за удостоверяване изискват специфични типове шифроване.

Схемите за удостоверяване и шифроване в таблицата по-долу показват опциите за мрежова конфигурация за телефона, който съответства на конфигурацията на AP.