Kromě zápisu certifikátu SCEP pomocí ručních konfigurací na webové stránce telefonu můžete k naplnění parametrů ze serveru DHCP použít také možnost DHCP 43. Možnost DHCP 43 je předem nakonfigurována s parametry SCEP, později může telefon načíst parametry ze serveru DHCP a provést zápis certifikátu SCEP.

Chcete-li zapsat certifikát SCEP konfigurací parametrů protokolu SCEP v možnosti DHCP 43, postupujte takto:

1. Připravte prostředí SCEP.

   Informace o nastavení prostředí SCEP naleznete v dokumentaci k serveru SCEP.

2. Nastavte DHCP možnost 43 (definováno v 8.4 Informace specifické pro dodavatele, RFC 2132).

   Pro metodu jsou vyhrazeny dílčí možnosti (10–15):

   Parametr na webové stránce telefonu	Dílčí možnost	Typ	Délka (bajt)	Mandatory
   Režim FIPS	10	booleovský	1	Ne*
   Server	11	string	208 - délka (heslo výzvy)	Ano
   Otisk prstu kořenové certifikační autority	12	binární	20 nebo 32	Ano
   Heslo výzvy	13	string	208 - délka (server)	Ne*
   Povolit ověřování 802.1X	14	booleovský	1	Ne
   Výběr certifikátu	15	Nepodepsaný 8bitový	1	Ne

   Při použití možnosti DHCP 43 si všimněte následujících charakteristik metody:

   • Podmožnosti (10–15) jsou vyhrazeny pro vlastní certifikát zařízení (CDC).
   • Maximální délka DHCP možnosti 43 je 255 bajtů.
   • Maximální délka hesla Server + Challenge musí být menší než 208 bajtů.
   • Hodnota režimu FIPS musí být konzistentní s konfigurací zřizování onboardingu. V opačném případě se telefonu po onboardingu nepodaří načíst dříve nainstalovaný certifikát. Specificky
     • Pokud bude telefon registrován v prostředí, kde je zakázán režim FIPS, není nutné konfigurovat parametr Režim FIPS v DHCP možnosti 43. Ve výchozím nastavení je režim FIPS zakázán.
     • Pokud bude telefon zaregistrován v prostředí, kde je povolen režim FIPS, musíte povolit režim FIPS v DHCP možnosti 43. Podrobnosti najdete v tématu Povolení režimu FIPS.
   • Heslo v možnosti 43 je ve formátu prostého textu.

     Pokud je heslo výzvy prázdné, telefon použije MIC/SUDI pro počáteční zápis a obnovení certifikátu. Pokud je heslo výzvy nakonfigurováno, použije se pouze pro počáteční zápis a nainstalovaný certifikát bude použit pro obnovení certifikátu.

   • Povolit ověřování 802.1X a výběr certifikátu se používají pouze pro telefony v kabelové síti.
   • DHCP možnost 60 (identifikátor třídy dodavatele) se používá k identifikaci modelu zařízení.

   V následující tabulce je uveden příklad DHCP možnosti 43 (podmožnosti 10–15):

   Podvolba desítková/šestnáctková	Délka hodnoty (bajt) desítková/šestnáctková	Hodnota	Hexadecimální hodnota
   10/0a	1/01	1 (0: Zakázáno; 1: Povoleno)	01
   11/0b	18/12	http://10.79.57.91	687474703a2f2f31302e37392e35372e3931
   12/0c	20/14	12040870625C5B755D73F5925285F8F5FF5D55AF	12040870625C5B755D73F5925285F8F5FF5D55AF
   13/0d	16/10	D233CCF9B9952A15	44323333434346394239393532413135
   14/0e	1/01	1 (0: Ne; 1: Ano)	01
   15/0F	1/01	1 (0: Výroba nainstalována; 1: Vlastní instalace)	01

   Souhrn hodnot parametrů:

   • Režim FIPS = Povoleno

   • Server = http://10.79.57.91

   • Otisk prstu kořenové certifikační autority = 12040870625C5B755D73F5925285F8F5FF5D55AF

   • Heslo výzvy = D233CCF9B9952A15

   • Povolit ověřování 802.1X = Ano

   • Výběr certifikátu = Vlastní instalace

   Syntaxe konečné hexadecimální hodnoty je: {<suboption><length><value>}...

   Podle výše uvedených hodnot parametrů je konečná hexadecimální hodnota následující:

   0a01010b12687474703a2f2f31302e37392e35372e39310c1412040870625C5B755D73F5925285F8F5FF5D55AF0d10443233334343463942393935324131350e01010f0101

3. Nakonfigurujte DHCP možnost 43 na serveru DHCP.
   Tento krok obsahuje příklad konfigurace DHCP možnosti 43 v síťovém registru Cisco.
   1. Přidejte DHCP sadu definic možností.

      Řetězec možností dodavatele je název modelu IP telefonů. Platná hodnota je: DP-9841, DP-9851, DP-9861, DP-9871 nebo CP-8875.

   2. Přidejte DHCP možnost 43 a dílčí možnosti do sady definic možnosti DHCP.

      Příklad:

      

   3. Přidejte možnosti 43 do zásady DHCP a nastavte hodnotu následujícím způsobem:

      Příklad:

      (10 1)(11 http://10.79.57.91)(12 12040870625C5B755D73F5925285F8F5FF5D55AF)(13 D233CCF9B9952A15)(14 1)(15 1)

   4. Ověřte nastavení. Wireshark můžete použít k zachycení stopy síťového provozu mezi telefonem a službou.
4. Proveďte obnovení továrního nastavení telefonu.

   Po resetování telefonu budou automaticky vyplněny parametry Server, Otisk kořenové certifikační autority a Heslo výzvy. Tyto parametry jsou umístěny v části Konfigurace SCEP 1 z Certificate > Custom na webové stránce správy telefonu.

   Chcete-li zkontrolovat podrobnosti o nainstalovaném certifikátu, klepněte na tlačítko Zobrazit v části Existující certifikáty .

   Chcete-li zkontrolovat stav instalace certifikátu, vyberte možnost Stav certifikátu > vlastního certifikátu. Stav stahování 1 zobrazuje nejnovější výsledek. Pokud během zápisu certifikátu dojde k nějakému problému, může stav stahování zobrazit příčinu problému pro účely řešení potíží.

   Pokud se ověření heslem výzvy nezdaří, budou uživatelé vyzváni k zadání hesla na obrazovce telefonu.
5. (Volitelné): Chcete-li odebrat nainstalovaný certifikát z telefonu, klikněte v části Existující certifikáty na tlačítko Odstranit .
   Jakmile kliknete na tlačítko, operace odebrání začne okamžitě bez potvrzení.

Certifikát zařízení lze automaticky aktualizovat procesem SCEP.

• Telefon kontroluje, zda certifikát vyprší za 15 dní každé 4 hodiny. Pokud ano, telefon automaticky spustí proces obnovení certifikátu.
• Pokud je heslo výzvy prázdné, telefon použije MIC/SUDI jak pro počáteční zápis, tak pro obnovení certifikátu. Pokud je heslo výzvy nakonfigurováno, použije se pouze pro počáteční zápis, existující/nainstalovaný certifikát se použije pro obnovení certifikátu.
• Telefon neodebere starý certifikát zařízení, dokud nenačte nový.
• Pokud se obnovení certifikátu nezdaří, protože vyprší platnost certifikátu zařízení nebo certifikační autority, telefon automaticky spustí počáteční zápis. Mezitím, pokud se ověření hesla výzvy nezdaří, objeví se na obrazovce telefonu obrazovka pro zadání hesla a uživatelé jsou vyzváni k zadání hesla výzvy v telefonu.

Cisco IP telefony podporují ověřování 802.1X.

Cisco IP telefony a přepínače Cisco Catalyst obvykle používají protokol CDP (Cisco Discovery Protocol) ke vzájemné identifikaci a určení parametrů, jako je přidělení VLAN a požadavky na napájení v síti. CDP neidentifikuje místně připojené pracovní stanice. Cisco IP telefony umožňují průchozí mechanismus EAPOL. Tento mechanismus dovoluje pracovní stanici připojené k Cisco IP telefonu předávat zprávy EAPOL ověřovateli 802.1X v přepínači LAN. Mechanismus průchodu zajišťuje, že IP telefon nefunguje jako přepínač sítě LAN, který ověřuje datový koncový bod před přístupem do sítě.

Cisco IP telefony také umožňují proxy mechanismus odhlášení EAPOL. Pokud se místně připojený počítač odpojí od IP telefonu, přepínač LAN nezaznamená výpadek fyzického spojení, protože spojení mezi přepínačem LAN a IP telefonem zůstane zachováno. Aby nedošlo k narušení integrity sítě, odešle IP telefon jménem navazujícího počítače přepínači zprávu EAPOL-Logoff, čímž přepínač LAN vymaže ověřovací záznam pro podřízený počítač.

Podpora ověřování 802.1X vyžaduje několik komponent:

• Cisco IP telefon: Telefon iniciuje požadavek na přístup k síti. Cisco IP telefony obsahují žádající port 802.1X. Tento žádající port umožňuje správcům sítě řídit připojení IP telefonů k portům přepínače LAN. Aktuální verze žádajícího portu telefonu 802.1X používá pro ověřování sítě možnosti EAP-FAST a EAP-TLS.

• Ověřovací server: Ověřovací server i přepínač musí být nakonfigurovány se sdílenou tajnou klíčkou, která ověřuje telefon.

• Přepínač: Přepínač musí podporovat protokol 802.1X, aby mohl fungovat jako ověřovatel a předávat zprávy mezi telefonem a ověřovacím serverem. Po dokončení výměny přepínač povolí nebo zamítne přístup telefonu k síti.

Pro konfiguraci protokolu 802.1X je třeba provést následující akce.

• Před povolením ověřování 802.1X v telefonu nakonfigurujte ostatní komponenty.

• Konfigurace portu PC: Standard 802.1X nezohledňuje sítě VLAN, a proto doporučuje, aby se na určitém portu přepínače ověřovalo pouze jedno zařízení. Některé přepínače však podporují vícedoménové ověřování. Konfigurace přepínače určuje, zda lze k portu PC telefonu připojit počítač.

  • Povoleno: Pokud používáte přepínač, který podporuje vícedoménové ověřování, můžete povolit port PC a připojit k němu počítač. V tomto případě Cisco IP telefony podporují proxy server EAPOL-Logoff, který monitoruje výměnu ověření mezi přepínačem a připojeným počítačem.

    Další informace o podpoře standardu IEEE 802.1X v přepínačích Cisco Catalyst naleznete v konfiguračních příručkách přepínačů Cisco Catalyst na adrese:

    http://www.cisco.com/en/US/products/hw/switches/ps708/tsd_products_support_series_home.html

  • Zakázáno: Pokud přepínač nepodporuje více zařízení kompatibilních se standardem 802.1X na stejném portu, měli byste při zapnutém ověřování 802.1X zakázat port PC. Pokud tento port nezakážete a poté se k němu pokusíte připojit počítač, přepínač odepře přístup k síti telefonu i počítači.

• Konfigurace hlasové sítě VLAN: Protože standard 802.1X nepočítá se sítí VLAN, měli byste toto nastavení nakonfigurovat na základě podpory přepínače.
  • Povoleno: Pokud používáte přepínač, který podporuje vícedoménové ověřování, můžete pokračovat v používání hlasové sítě VLAN.
  • Zakázáno: Pokud přepínač nepodporuje vícedoménové ověřování, zakažte hlasovou síť VLAN a zvažte přiřazení portu k nativní síti VLAN.
• (Pouze pro stolní telefon Cisco řady 9800)

  Stolní telefon Cisco řady 9800 má v PID jinou předponu než ostatní telefony Cisco. Chcete-li, aby telefon prošel ověřováním 802.1X, nastavte Radius· User-Name pro zahrnutí vašeho stolního telefonu Cisco řady 9800.

  Například PID telefonu 9841 je DP-9841; můžete nastavit Radius· User-Name pro začátek na DP nebo obsahuje DP. Můžete ji nastavit v obou následujících částech:

  • Zásady > Podmínky > Podmínky knihovny

  • Zásady > Sady zásad> Zásady autorizace> Autorizační pravidlo 1

Protože všechna zařízení WLAN, která jsou v dosahu, mohou přijímat veškerý ostatní provoz WLAN, je zabezpečení hlasové komunikace v sítích WLAN velmi důležité. Aby bylo zajištěno, že vetřelci nebudou manipulovat ani zachycovat hlasový provoz, podporuje architektura Cisco SAFE Security telefon. Další informace o zabezpečení v sítích naleznete na adrese http://www.cisco.com/en/US/netsol/ns744/networking_solutions_program_home.html.

Řešení Cisco Wireless IP Telephony poskytuje zabezpečení bezdrátové sítě, které zabraňuje neoprávněným přihlášením a narušené komunikaci pomocí následujících metod ověřování, které telefon podporuje:

• Otevřené ověření: V otevřeném systému může o ověření požádat jakékoli bezdrátové zařízení. Přístupový bod, který obdrží požadavek, může povolit ověření libovolnému žadateli nebo pouze žadatelům, kteří se nacházejí v seznamu uživatelů. Komunikace mezi bezdrátovým zařízením a přístupovým bodem (AP) může být nešifrovaná.

• Flexibilní ověřování pomocí zabezpečeného tunelového propojení (EAP-FAST): Tato architektura zabezpečení klient-server šifruje EAP transakce v rámci tunelového propojení TLS (Transport Level Security) mezi přístupovým bodem a serverem RADIUS, jako je například Identity Services Engine (ISE).

  Tunel TLS používá k ověřování mezi klientem (telefonem)   serverem RADIUS chráněná pověření (PAC). Server odešle ID autority (AID) klientovi (telefonu), který následně vybere příslušné pověření PAC. Klient (telefon) vrátí serveru RADIUS zprávu PAC-Opaque. Server dešifruje pověření PAC pomocí primárního klíče. Oba koncové body nyní obsahují klíč PAC a dojde k vytvoření tunelu TLS. Ověření EAP-FAST podporuje automatické poskytování pověření PAC, ale je nutné jej povolit na serveru RADIUS.

  V ISE ve výchozím nastavení vyprší platnost PAC za jeden týden. Pokud má telefon neplatné pověření PAC, ověření pomocí serveru RADIUS potrvá déle, než telefon získá nové pověření PAC. Pokud chcete předejít zpoždění při poskytování pověření PAC, nastavte na serveru ISE nebo RADIUS dobu platnosti pověření PAC na 90 dní nebo delší.

• Ověření EAP-TLS (Extensible Authentication Protocol-Transport Layer Security): Zabezpečení EAP-TLS vyžaduje pro ověření a přístup k síti klientský certifikát. U bezdrátového EAP-TLS může být klientským certifikátem certifikát MIC, LSC nebo certifikát nainstalovaný uživatelem.

• PEAP (Protected Extensible Authentication Protocol): Proprietární schéma vzájemného ověřování založené na hesle mezi klientem (telefonem) a serverem RADIUS. Telefon může PEAP použít k ověření v bezdrátové síti. Podporovány jsou metody ověření PEAP-MSCHAPV2 i PEAP-GTC.

• Předsdílený klíč (PSK): Telefon podporuje ASCII formát. Při nastavování předsdíleného klíče WPA/WPA2/SAE musíte použít tento formát:

  ASCII: řetězec ASCII o délce 8 až 63 znaků (0–9, malá a velká písmena A–Z a speciální znaky)

  Příklad: GREG123567@9ZX&W

Následující schémata ověření používají ke správě ověřovacích klíčů server RADIUS:

• WPA/WPA2/WPA3: Používá informace serveru RADIUS ke generování jedinečných klíčů pro ověřování. Protože jsou tyto klíče generovány na centralizovaném serveru RADIUS, poskytuje WPA2/WPA3 vyšší zabezpečení než předsdílený klíč WPA, který je uložen na přístupovém bodu a v telefonu.

• Rychlý zabezpečený roaming: Ke správě a ověřování klíčů používá server RADIUS a informace serveru bezdrátové domény (WDS). Služba WDS vytvoří mezipaměť s pověřeními zabezpečení pro klientská zařízení s povoleným protokolem FT pro rychlé a bezpečné opětovné ověření. Stolní telefon Cisco 9861 a 9871 a Cisco Video Phone 8875 podporují standard 802.11r (FT). Jak vzduchem, tak přes DS jsou podporovány, aby umožnily rychlý a bezpečný roaming. Důrazně však doporučujeme používat metodu 802.11r (FT) vzduchem.

Při WPA/WPA2/WPA3 se šifrovací klíče nezadávají do telefonu, ale jsou automaticky odvozeny mezi přístupovým bodem a telefonem. Uživatelské jméno a heslo EAP, které se používají pro ověření, však musí být zadány v každém telefonu.

Aby byl zajištěn zabezpečený hlasový provoz, telefon podporuje šifrování TKIP a AES. Pokud jsou tyto mechanismy použity pro šifrování, jsou mezi přístupovým bodem a telefonem šifrovány jak signalizační pakety SIP, tak hlasové pakety protokolu RTP (Real-Time Transport Protocol).

TKIP

WPA používá šifrování TKIP, které má oproti WEP několik vylepšení. Standard TKIP umožňuje šifrování jednotlivých klíčů a delší inicializační vektory (IV), které zlepšují šifrování. Kontrola integrity zprávy (MIC) navíc zajišťuje, že nedochází ke změně zašifrovaných paketů. Standard TKIP odstraňuje předvídatelnost standardu WEP, která pomáhá narušitelům dešifrovat klíč WEP.

AES

Metoda šifrování používaná pro ověřování WPA2/WPA3. Tento národní standard pro šifrování používá symetrický algoritmus, který má stejný klíč pro šifrování i dešifrování. AES používá šifrování CBC (Cipher Blocking Chain) o velikosti 128 bitů, které podporuje velikosti klíčů minimálně 128 bitů, 192 bitů a 256 bitů. Telefon podporuje velikost klíče 256 bitů.

V rámci bezdrátové sítě LAN jsou nastavena schémata ověření a šifrování. Sítě VLAN jsou konfigurovány v síti a na přístupových bodech a určují různé kombinace ověřování a šifrování. Identifikátor SSID je spojen se sítí VLAN a konkrétním schématem ověření a šifrování. Aby bylo možné úspěšně ověřit klientská zařízení bezdrátové sítě, je nutné nakonfigurovat stejné identifikátory SSID s jejich schématy ověřování a šifrování v přístupových bodech a v telefonu.

Některá schémata ověření vyžadují specifické typy šifrování.

Schémata ověřování a šifrování v následující tabulce zobrazují možnosti konfigurace sítě pro telefon, které odpovídají konfiguraci přístupového bodu.