Инсталиране на сертификат за персонализирано устройство

За да инсталирате сертификат за персонализирано устройство (CDC) на телефона си, използвайте един от следните начини въз основа на вашата ситуация:

Последният инсталиран сертификат на телефона влиза в сила.

Ръчно инсталиране на персонализиран сертификат за устройство чрез качване

Можете ръчно да инсталирате сертификат за персонализирано устройство (CDC) на телефона, като качите сертификата от уеб страницата за администриране на телефона.

Преди да започнете

Преди да можете да инсталирате персонализиран сертификат за устройство за телефон, трябва да имате:

  • Файл със сертификат (.p12 или .pfx), записан на компютъра. Файлът съдържа сертификата и частния ключ.
  • Паролата за извличане на сертификата. Паролата се използва за декриптиране на файла със сертификат.
1

Преминете към уеб страницата за администриране на телефона.

2

Изберете Сертификат.

3

В секцията Добавяне на сертификат щракнете върху Преглед....

4

Намерете сертификата на вашия компютър.

5

В полето Извличане на парола въведете паролата за извличане на сертификат.

6

Щракнете върху Качване на файл.

Ако файлът със сертификат и паролата са правилни, ще получите съобщението "Сертификатът е добавен". В противен случай качването е неуспешно със съобщение за грешка, което показва, че сертификатът не може да бъде качен.
7

За да проверите подробностите за инсталирания сертификат, щракнете върху Преглед в секцията Съществуващи сертификати .

8

За да премахнете инсталирания сертификат от телефона, щракнете върху Изтриване в секцията Съществуващи сертификати .

След като щракнете върху бутона, операцията по премахване започва незабавно без потвърждение.

Ако сертификатът бъде премахнат успешно, ще получите съобщението "Сертификатът е изтрит".

Автоматично инсталиране на сертификат за персонализирано устройство от SCEP

Можете да конфигурирате параметрите, свързани с Simple Certificate Enrollment Protocol (SCEP), за да взаимодействате със сървъра на SCEP, за да инсталирате автоматично сертификата за персонализирано устройство (CDC).

След като някой от параметрите на SCEP е конфигуриран, телефонът ще изпрати заявка за записване в SCEP до сървъра. Телефонът ще потвърди получения CA сертификат с помощта на конфигурирания пръстов отпечатък.

Преди да започнете

Преди да можете да извършите автоматично инсталиране на сертификат за персонализирано устройство (CDC) за телефон, трябва да имате:

  • Адрес на SCEP сървъра
  • SHA-1 или SHA-256 отпечатък на главния CA сертификат за SCEP сървъра
1

Преминете към уеб страницата за администриране на телефона.

2

Изберете Сертификат.

3

В раздела Конфигурация на SCEP 1 задайте параметрите, както е описано в Параметри за конфигурация на SCEP.

4

Кликнете върху Submit All Changes.

Параметри за конфигурация на SCEP

Следващата таблица определя функцията и използването на параметрите на конфигурацията на SCEP в раздела SCEP Configuration 1 под Certificate Tab в уеб интерфейса на телефона. Той също така определя синтаксиса на низа, който се добавя в конфигурационния файл на телефона (cfg.XML) за конфигуриране на параметър.

Всяка промяна в параметрите ще накара телефона да поиска нов сертификат.

Таблица 1. Параметри за конфигурация на SCEP
ParameterОписание
Сървър

Адрес на SCEP сървъра. Този параметър е задължителен.

Направете някое от следните:

  • В конфигурационния файл на телефона с XML (CFG. XML) въведете низ в следния формат:

    <CDC_Server_1_ ua="na">http://10.79.57.91</CDC_Server_1_>

  • В телефона web страница въведете адреса на SCEP сървъра.

Валидни стойности: URL или IP адрес. HTTPS схемата не се поддържа.

По подразбиране: празно

Корен CA пръстов отпечатък

SHA256 или SHA1 пръстов отпечатък на Root CA за валидиране по време на SCEP процеса. Този параметър е задължителен.

Направете някое от следните:

  • В конфигурационния файл на телефона с XML (CFG. XML) въведете низ в следния формат:

    <CDC_Root_CA_Fingerprint_1_ ua="na">12040870625C5B755D73F5925285F8F5FF5D55AF</CDC_Root_CA_Fingerprint_1_>

  • В уеб страницата на телефона въведете валиден пръстов отпечатък.

По подразбиране: празно

Парола за предизвикателство

Паролата за предизвикателство за Certificate Authority (CA) оторизация срещу телефона по време на записване на сертификат чрез SCEP. Този параметър не е задължителен.

Според действителната среда на SCEP, поведението на паролата за предизвикателство варира.

  • Ако телефонът получи сертификат от Cisco RA, който комуникира с CA, паролата за предизвикателството не се поддържа в CA. В този случай Cisco RA използва MIC/SUDI на телефона за удостоверяване за достъп до CA. Телефонът използва MIC/SUDI както за първоначално записване, така и за подновяване на сертификат.
  • Ако телефонът получи сертификат чрез директна комуникация с CA, паролата за предизвикателството се поддържа в CA. Ако е конфигуриран, той ще се използва само за първоначалното записване. За подновяване на сертификата вместо това ще се използва инсталираният сертификат.

Направете някое от следните:

  • В конфигурационния файл на телефона с XML (CFG. XML) въведете низ в следния формат:

    <CDC_Challenge_Password_1_ ua="na"></CDC_Challenge_Password_1_>

    Паролата е маскирана в конфигурационния файл.

  • В уеб страницата на телефона въведете паролата за предизвикателството.

По подразбиране: празно

Общоприето име

Указва общото име (CN), използвано като идентификатор за телефона, който иска сертификата. CN се използва за заявка за подписване на сертификат (CSR) в процеса на SCEP.

Този параметър също поддържа променливи за разширяване на макроси, вижте Променливи за разширяване на макроси за подробности.

Направете някое от следните:

  • В конфигурационния файл на телефона с XML (CFG. XML) въведете низ в следния формат:

    <CDC_Common_Name_1_ ua="na"></CDC_Common_Name_1_>

  • В уеб страницата на телефона въведете общото име.

Валидни стойности: Максимум 64 знака

По подразбиране: празно

Подновяване на сертификат от SCEP

Сертификатът на устройството може да се обновява автоматично от SCEP процеса.

  • Телефонът проверява дали сертификатът ще изтече след 15 дни на всеки 4 часа. Ако е така, телефонът автоматично стартира процеса на подновяване на сертификата.
  • Ако паролата за проверка е празна, телефонът използва MIC/SUDI както за първоначално записване, така и за подновяване на сертификата. Ако е конфигурирана паролата за проверка, тя се използва само за първоначално записване, а съществуващият/инсталиран сертификат се използва за подновяване на сертификата.
  • Телефонът не премахва стария сертификат на устройството, докато не извлече новия.
  • Ако подновяването на сертификата е неуспешно, защото сертификатът на устройството или CA изтече, телефонът автоматично задейства първоначалното записване. Междувременно, ако удостоверяването с парола за проверка е неуспешно, на екрана на телефона се появява екран за въвеждане на парола и потребителите биват подканени да въведат паролата за проверка на телефона.

Конфигурация на общото име на CDC

По подразбиране, общото име в MIC/SUDI се използва като общо име за CDC.

Можете да конфигурирате общото име за CDC, когато инсталирате сертификата. Използвайте един от следните методи, за да инсталирате CDC на телефона:

  • Генерирайте заявка за подписване на сертификат (CSR), която съдържа желаното от вас общо име, след което качете и инсталирайте новия сертификат на уеб страницата за администриране на телефона.

  • Конфигурирайте общото име чрез уеб страницата за администриране на телефона, конфигурационния файл на телефона (cfg.XML) или Control Hub. Това ще задейства телефона автоматично да поиска нов сертификат.

    За повече информация относно параметрите на уеб страницата на телефона и Control Hub, вижте „Автоматично инсталиране на персонализиран сертификат за устройство от SCEP“ и „Параметри за настройки на телефона в Control Hub“ .

  • Използвайте опции 43 и 15 на DHCP, за да предоставите общо име за CDC и кабелна 802.1X идентичност.

    За повече информация вижте Предоставяне на общо име или потребителски идентификатор чрез опция 15 на DHCP.

Конфигуриране на SCEP параметри чрез опция 43 на DHCP

В определени среди, където не можете да инсталирате сертификата за персонализирано устройство (CDC) чрез качването му или директно конфигуриране на SCEP параметрите. В тази ситуация можете да използвате опцията 43 DHCP, за да попълните параметрите от сървър DHCP. Опцията 43 на DHCP може да бъде конфигурирана да предоставя SCEP параметрите на телефона. След като телефонът бъде нулиран до фабричните настройки, той може да получи параметрите от сървъра DHCP, за да инсталира CDC чрез протокола SCEP.

  • Тази функция (конфигуриране на SCEP параметри чрез опция 43 на DHCP) е достъпна само за телефон с фабрично нулирани настройки.
  • Телефоните не трябва да се поставят в мрежа, която поддържа Опция 43 и дистанционно осигуряване (например Опции 66,160,159,150 или осигуряване в облак). В противен случай телефоните може да не получат конфигурациите с опция 43.

За да инсталирате CDC сертификат чрез SCEP параметрите, предоставени от опцията 43 на DHCP, направете следното:

  1. Подгответе SCEP среда.

    За информация относно настройката на SCEP средата вижте документацията на вашия SCEP сървър.

  2. Настройте опция 43 на DHCP (дефинирана в 8.4 Информация, специфична за доставчика, RFC 2132).

    Подопциите (10–15) са запазени за метода:

    Параметър на уеб страницата на телефонаПодопцияТипДължина (байт)Задължително
    FIPS режим10булево1Не*
    Сървър11низ208 - дължина (Парола за предизвикателство)Да
    Отпечатък на коренния CA12шестнадесетичен20, 32, 48 или 64Да
    Парола за предизвикателство13низ208 - дължина (Сървър)Не*
    Активиране на 802.1X удостоверяване14булево1Не
    Избор на сертификат15неподписан 8-битов1Не

    * означава, че параметърът е конфигуриран според реалната ситуация.

    Когато използвате опцията 43 DHCP, обърнете внимание на следните характеристики на метода:

    • Подопциите (10–15) са запазени за сертификат за персонализирано устройство (CDC).
    • Максималната дължина на опция 43 на DHCP е 255 байта.
    • Максималната дължина на Сървър + Парола за предизвикателство трябва да бъде по-малка от 208 байта.
    • Стойността на FIPS Mode трябва да е съвместима с конфигурацията за осигуряване при въвеждане. В противен случай телефонът не успява да извлече предварително инсталирания сертификат след регистрацията. По-конкретно,
      • Ако телефонът ще бъде регистриран в среда, където режимът FIPS е деактивиран, не е необходимо да конфигурирате FIPS режим в опция 43 на DHCP. По подразбиране режимът FIPS е деактивиран.
      • Ако телефонът ще бъде регистриран в среда, където е активиран FIPS режим, трябва да активирате FIPS режима в DHCP опция 43. Вижте Активиране на FIPS режим за подробности.
    • Паролата за предизвикателство в Опция 43 е в ясен текст.
      • Ако искате телефонът да използва MIC/SUDI за първоначалното записване и подновяване на сертификата, оставете полето за парола за проверка празно.
      • Ако паролата за проверка се използва само за първоначалното записване, конфигурирайте паролата за проверка. В този случай инсталираният сертификат ще бъде използван за подновяването му.
    • Активиране на 802.1X удостоверяване и Избор на сертификат се използват само за телефони в кабелни мрежи.
    • Опция 60 (Vendor Class Identifier - идентификатор на клас доставчик) в DHCP се използва за идентифициране на модела на устройството.

    Пример за DHCP опция 43 (подопции 10–15):

    Подопция десетична/шестнадесетичнаДължина на стойността (байт) десетична/шестнадесетичнаСтойностШестнадесетична стойност
    10/0a1/011 (0: Деактивирано; 1: Активирано)01
    11/0б18/12http://10.79.57.91687474703a2f2f31302e37392e35372e3931
    12/0c20/1412040870625C5B755D73F5925285F8F5FF5D55AF12040870625C5B755D73F5925285F8F5FF5D55AF
    13/0d16/10D233CCF9B9952A1544323333434346394239393532413135
    14/0e1/011 (0: Не; 1: Да)01
    15/0 фута1/011 (0: Инсталирано от производителя; 1: Инсталирано по поръчка) 01

    Обобщение на стойностите на параметрите:

    • FIPS режим = Активирано

    • Сървър = http://10.79.57.91

    • Пръстов отпечатък на коренния CA = 12040870625C5B755D73F5925285F8F5FF5D55AF

    • Парола за предизвикателство = D233CCF9B9952A15

    • Активиране на 802.1X удостоверяване = Да

    • Избор на сертификат = Инсталирано по поръчка

    Синтаксисът на крайната шестнадесетична стойност е: {<подопция><дължина><стойност> }...

    Според стойностите на параметрите по-горе, крайната шестнадесетична стойност е следната:

    0a01010b12687474703a2f2f31302e37392e35372e39310c1412040870625 C5B755D73F5925285F8F5FF5D55AF0d10443233334343463942393935324131350e01010f0101

  3. Конфигурирайте опция 43 на DHCP на сървър DHCP.

    Тази стъпка предоставя пример за конфигурациите на опция 43 DHCP в мрежовия регистър Cisco.

    1. Добавете набор от дефиниции на опции DHCP.

      The Низ за опции на доставчика е името на модела на телефоните IP. Валидната стойност е: DP-9841, DP-9851, DP-9861, DP-9871 или CP-8875.

    2. Добавете опцията DHCP 43 и подопциите към набора от дефиниции на опциите DHCP.

      Пример:

      Екранна снимка на дефинициите на опция 43 на DHCP в мрежовия регистър Cisco

    3. Добавете опция 43 към политиката DHCP и задайте стойността, както следва:

      Пример:

      (10 1)(11 http://10.79.57.91)(12 12040870625C5B755D73F5925285F8F5FF5D55AF)(13 D233CCF9B9952A15)(14 1)(15 1)

    4. Проверете настройките. Можете да използвате Wireshark, за да проследите мрежовия трафик между телефона и услугата.
  4. Извършете фабрично нулиране на телефона.

    След като телефонът бъде рестартиран, параметрите Сървър, Отпечатък на коренния CA и Парола за предизвикателство ще се попълни автоматично. Тези параметри се намират в раздела SCEP конфигурация 1 от Сертификат > Персонализирано на уеб страницата за администриране на телефона.

    За да проверите подробностите за инсталирания сертификат, щракнете Преглед в Съществуващи сертификати раздел.

    За да проверите състоянието на инсталиране на сертификата, изберете Състояние на сертификат > Персонализиран сертификат. Състоянието на изтегляне 1 показва най-новия резултат. Ако възникне някакъв проблем по време на записването на сертификата, състоянието на изтегляне може да покаже причината за проблема за целите на отстраняването на неизправности.

    Ако удостоверяването с парола за предизвикателство е неуспешно, потребителите ще бъдат подканени да въведат паролата на екрана на телефона.

  5. (По избор): За да премахнете инсталирания сертификат от телефона, щракнете върху Изтриване в секцията Съществуващи сертификати .

    След като щракнете върху бутона, операцията по премахване започва незабавно без потвърждение.

Осигуряване на общо име или потребителско име чрез DHCP опция 15

По време на записването на SCEP сертификат чрез DHCP опция 43, телефонът може да получи и името на домейна, предоставено в DHCP опция 15 (ако е конфигурирано). След като телефонът получи името на домейна, той може да конструира общото име или потребителския идентификатор с името на домейна, което е представено по следния начин:

  • Общо име = <Често срещано име в MIC/SUDI >.<Име на домейн във Вариант 15>

    Common Name ще се използва за CSR в SCEP процеса, а по-късно ще бъде Common Name в CDC.

  • User ID = <Често срещано име в MIC/SUDI >@<име на домейн в опция 15>

    Потребителският идентификатор ще се използва като самоличност за кабелно 802.1X удостоверяване.

Например MAC адресът на телефона е 00:1A:2B:3C:4D:5E, моделът на телефона е 9871:

Име на домейн в DHCP опция 15Общоприето имеПотребителски ИД
example.nlCP-9871-SEP001A2B3C4D5E.example.nlCP-9871-SEP001A2B3C4D5E@example.nl
ПразенКП-9871-SEP001A2B3C4D5E

КП-9871-SEP001A2B3C4D5E

Ако името на домейна не е конфигурирано в опция 15, общото име и потребителският идентификатор ще бъдат същите с общото име в MIC/SUDI.