Ručně nainstalovat vlastní certifikát zařízení

Vlastní certifikát zařízení (CDC) můžete do telefonu ručně nainstalovat nahráním certifikátu z webové stránky pro správu telefonu.

Než začnete

Před instalací vlastního certifikátu zařízení pro telefon musíte mít:

  • Soubor certifikátu (.p12 nebo .pfx) byl uložen do počítače. Soubor obsahuje certifikát a soukromý klíč.
  • Heslo výpisu certifikátu. K dešifrování souboru certifikátu se používá heslo.
1

Přejděte na webovou stránku správy telefonu.

2

Vyberte certifikát.

3

V části Přidat certifikát klikněte na možnost Procházet....

4

Přejděte k certifikátu v počítači.

5

V poli Extrahovat heslo zadejte heslo pro extrakci certifikátu.

6

Klikněte na tlačítko Nahrát.

Pokud jsou soubor certifikátu a heslo správné, obdržíte zprávu „Certifikát byl přidán.“. V opačném případě se nahrání nezdaří a zobrazí se chybová zpráva indikující, že certifikát nelze nahrát.
7

Chcete-li zkontrolovat podrobnosti o nainstalovaném certifikátu, klikněte na možnost Zobrazit v části Existující certifikáty.

8

Chcete-li odebrat nainstalovaný certifikát z telefonu, klikněte na možnost Odstranit v části Existující certifikáty.

Jakmile kliknete na tlačítko, odebrání se okamžitě spustí bez potvrzení.

Pokud byl certifikát úspěšně odebrán, zobrazí se zpráva „Certifikát byl odstraněn.“.

Automaticky nainstalovat certifikát vlastního zařízení pomocí serveru SCEP

Pokud nechcete soubor certifikátu nahrát ručně nebo nemáte soubor certifikátu na svém místě, můžete nastavit parametry SCEP (Simple Certificate Enrollment Protocol) pro automatickou instalaci vlastního certifikátu zařízení (CDC).

Když jsou parametry SCEP správně nakonfigurovány, telefon odešle požadavky na server SCEP a certifikát CA je ověřen zařízením pomocí definovaného otisku prstu.

Než začnete

Před automatickou instalací vlastního certifikátu zařízení pro telefon musíte mít:

  • Adresa serveru SCEP
  • SHA-1 nebo SHA-256 otisk kořenového certifikátu CA pro server SCEP
1

Přejděte na webovou stránku správy telefonu.

2

Vyberte certifikát.

3

V části Konfigurace SCEP 1 nastavte parametry podle popisu v následující tabulce Parametry pro konfiguraci SCEP.

4

Klikněte na možnost Odeslat všechny změny.

Parametry konfigurace SCEP

V následující tabulce je definována funkce a použití parametrů konfigurace SCEP ve webovém rozhraní telefonu v části Konfigurace SCEP 1 na kartě Certifikát. Definuje také syntaxi řetězce, který je přidán do konfiguračního souboru telefonu (cfg.xml) za účelem konfigurace parametru.

Tabulka 1. Parametry konfigurace SCEP
Příkazový řádekPopis
Server

Adresa serveru SCEP. Tento parametr je povinný.

Proveďte jeden z následujících úkonů:

  • V konfiguračním souboru telefonu s kódem XML (cfg.xml) zadejte řetězec v tomto formátu:

    <CDC_Server_1_ ua="na">http://10.79.57.91</CDC_Server_1_>

  • Na webové stránce telefonu zadejte adresu serveru SCEP.

Platné hodnoty: Adresa URL nebo IP adresa. Schéma HTTPS není podporováno.

Výchozí Prázdné

Otisk kořenové certifikační autority

SHA256 nebo SHA1 otisk kořenové certifikační autority pro ověření během procesu SCEP. Tento parametr je povinný.

Proveďte jeden z následujících úkonů:

  • V konfiguračním souboru telefonu s kódem XML (cfg.xml) zadejte řetězec v tomto formátu:

    <CDC_Root_CA_Fingerprint_1_ ua="na">12040870625C5B755D73F5925285F8F5FF5D35AF</CDC_Root_CA_Fingerprint_1_>

  • Na webové stránce telefonu zadejte platný otisk prstu.

Výchozí Prázdné

Změnit heslo

Zpochybnění hesla pro autorizaci certifikační autoritou (CA) proti telefonu během registrace certifikátu prostřednictvím SCEP. Tento parametr je volitelný.

V závislosti na skutečném prostředí SCEP se chování hesla typu challenge liší.

  • Pokud telefon získá certifikát od Cisco RA, který komunikuje s certifikační autoritou, ověřovací heslo není u certifikační autority podporováno. V takovém případě společnost Cisco RA používá pro ověření přístup k certifikační autoritě mikrofon/SUDI telefonu. Telefon používá technologii MIC/SUDI pro úvodní registraci i pro obnovení certifikátu.
  • Pokud telefon získá certifikát prostřednictvím přímé komunikace s certifikační autoritou, certifikační autoritou je ověřovací heslo podporováno. Je-li nakonfigurováno, použije se pouze pro úvodní registraci. Při obnovení certifikátu se místo toho použije nainstalovaný certifikát.

Proveďte jeden z následujících úkonů:

  • V konfiguračním souboru telefonu s kódem XML (cfg.xml) zadejte řetězec v tomto formátu:

    <CDC_Challenge_Heslo_1_ ua="na"></CDC_Challenge_Heslo_1_>

    Heslo je v konfiguračním souboru maskováno.

  • Na webové stránce telefonu zadejte heslo k výzvě.

Výchozí Prázdné

Konfigurace parametrů SCEP přes možnost DHCP 43

Kromě registrace certifikátu SCEP ručními konfiguracemi na webové stránce telefonu můžete k vyplnění parametrů ze serveru DHCP použít také možnost DHCP 43. Možnost DHCP 43 je předem nakonfigurována s parametry SCEP, později může telefon načíst parametry ze serveru DHCP a provést registraci certifikátu SCEP.

  • Konfigurace parametrů SCEP prostřednictvím možnosti DHCP 43 je k dispozici pouze pro telefon, kde probíhá obnovení továrního nastavení.
  • Telefony nesmí být umístěny v síti, která podporuje možnost 43 i vzdálené zřizování (například možnost 66,160,159,150 nebo zřizování v cloudu). V opačném případě nemusí telefony získat možnost 43 konfigurací.

Chcete-li zaregistrovat certifikát SCEP konfigurací parametrů SCEP v možnosti DHCP 43, postupujte takto:

  1. Připravte prostředí SCEP.

    Informace o nastavení prostředí SCEP naleznete v dokumentaci k serveru SCEP.

  2. Nastavte možnost DHCP 43 (definováno v části 8.4 Informace o poskytovateli specifických informací, RFC 2132).

    Dílčí možnosti (10–15) jsou vyhrazeny pro metodu:

    Parametr na webové stránce telefonuDílčí nabídkaTypDélka (bajty)Povinné
    Režim FIPS10Booleovský1Ne*
    Server11Řetězec208 – délka (Challenge Password)Ano
    Otisk kořenové certifikační autority12Binární20 nebo 32Ano
    Změnit heslo13Řetězec208 - délka (server)Ne*
    Povolit ověřování 802.1X14Booleovský1Ne
    Výběr certifikátu15nepodepsaný 8 bitů1Ne

    Při používání možnosti DHCP 43 si povšimněte následujících charakteristik metody:

    • Dílčí možnosti (10–15) jsou vyhrazeny pro vlastní certifikát zařízení (CDC).
    • Maximální délka možnosti DHCP 43 je 255 bajtů.
    • Maximální délka serveru + ověřovacího hesla musí být menší než 208 bajtů.
    • Hodnota režimu normy FIPS musí odpovídat konfiguraci zřizování pro zavádění. V opačném případě telefon po zaregistrování nezíská dříve nainstalovaný certifikát. Konkrétně:
      • Pokud bude telefon zaregistrován v prostředí, ve kterém je zakázán režim normy FIPS, nemusíte konfigurovat parametr Režim normy FIPS v možnosti DHCP 43. Ve výchozím nastavení je režim FIPS zakázán.
      • Pokud bude telefon zaregistrován v prostředí s povoleným režimem normy FIPS, musíte povolit režim normy FIPS v možnosti DHCP 43. Podrobnosti najdete v části Povolení režimu normy FIPS.
    • Heslo ve volbě 43 je prázdné.

      Pokud je ověřovací heslo prázdné, telefon použije pro počáteční registraci a obnovení certifikátu klíč MIC/SUDI. Pokud je nakonfigurováno heslo pro výzvu, použije se pouze pro úvodní registraci a k obnovení certifikátu bude použit nainstalovaný certifikát.

    • Možnosti Povolit ověřování 802.1X a Vybrat certifikát se používají pouze pro telefony v kabelové síti.
    • K identifikaci modelu zařízení se používá možnost DHCP 60 (identifikátor třídy výrobce).

    V následující tabulce je uveden příklad možnosti DHCP 43 (dílčí možnosti 10–15):

    Dílčí desetinné číslo/šestnáctková hodnotaHodnota délky (bajty) desetinná hodnota / šestnáctková hodnotaHodnotaHexadecimální hodnota
    10/0a1/011 (0: Zakázáno; 1: Povoleno)01 (číslo)
    11/0b18/12http://10.79.57.91687474703a2f2f31302e37392e35372e3931
    12/0c20/1412040870625c5b755d73f5925285f8f5ff5d79af12040870625c5b755d73f5925285f8f5ff5d79af
    13/0d16/10d233ccf9b9952a1544323333434346394239393532413135
    14/0e1/011 (0: Č. 1: Ano*01 (číslo)
    15/0f1/011 (0: Instalovaná výroba; 1: Vlastní nainstalováno) 01 (číslo)

    Souhrn hodnot parametrů:

    • Režim FIPS = Povoleno

    • Server = http://10.79.57.91

    • Otisk kořenové certifikační autority = 12040870625C5B755D73F5925285F8F5FF5D5000 AF

    • Heslo pro výzvu = D233CCF9B9952A15

    • Povolit ověření 802.1X = Ano

    • Výběr certifikátu = Vlastní nainstalováno

    Syntaxe konečné šestnáctkové hodnoty je: {<suboption><length><value>}...

    Podle výše uvedených hodnot parametrů je konečná hodnota hex následující:

    0a01010b12687474703a2f2f31302e37392e35372e39310c1412040870625C5B755D73F5925285F8F5FF5D5000 AF0d10443233334343463942393935324131350e01010f0101

  3. Nakonfigurujte možnost DHCP 43 na serveru DHCP.

    V tomto kroku je uveden příklad konfigurací možnosti DHCP 43 v síťovém registru Cisco.

    1. Přidejte sadu definic možností DHCP.

      Řetězec možností dodavatele je název modelu IP telefonů. Platná hodnota je: DP-9841, DP-9851, DP-9861, DP-9871 nebo CP-8875.

    2. Přidejte možnost DHCP 43 a dílčí možnosti do sady definic možností DHCP.

      Příklad:

      Snímek obrazovky s definicemi možnosti DHCP 43 v síťovém registru Cisco

    3. Přidejte možnost 43 do zásady DHCP a nastavte hodnotu takto:

      Příklad:

      (10 1)(11 http://10.79.57.91)(12 12040870625C5B755D73F5925285F8F5FF5D5000 AF)(13 D233CCF9B9952A15)(14 1)(15 1)

    4. Ověřte nastavení. Pomocí aplikace Wireshark můžete zachytit sledování síťového provozu mezi telefonem a službou.
  4. Proveďte obnovení továrního nastavení telefonu.

    Po resetování telefonu budou parametry Server, Otisk kořenové certifikační autority a Heslo výzvy vyplněny automaticky. Tyto parametry se nacházejí v části Konfigurace SCEP 1 z nabídky Certifikát > Vlastní na webové stránce správy telefonu.

    Chcete-li zkontrolovat podrobnosti o nainstalovaném certifikátu, klikněte na možnost Zobrazit v části Existující certifikáty.

    Pokud chcete zkontrolovat stav instalace certifikátu, vyberte možnosti Certifikát > Vlastní stav certifikátu. Stav stahování 1 zobrazuje nejnovější výsledek. Pokud dojde během registrace certifikátu k jakémukoli problému, stav stahování může pro účely řešení potíží zobrazovat důvod problému.

    Pokud se výzva k ověření hesla nezdaří, uživatelé budou vyzváni k zadání hesla na obrazovce telefonu.
  5. (Volitelné): Chcete-li odebrat nainstalovaný certifikát z telefonu, klikněte na možnost Odstranit v části Existující certifikáty.
    Jakmile kliknete na tlačítko, odebrání se okamžitě spustí bez potvrzení.

Obnovení certifikátu pomocí SCEP

Certifikát zařízení lze automaticky aktualizovat procesem SCEP.

  • Telefon každé 4 hodiny kontroluje, zda platnost certifikátu vyprší za 15 dnů. Pokud ano, telefon automaticky spustí proces obnovení certifikátu.
  • Pokud je ověřovací heslo prázdné, telefon použije pro úvodní registraci i obnovení certifikátu parametry MIC/SUDI. Pokud je nakonfigurováno heslo pro výzvu, použije se pouze pro úvodní registraci, k obnovení certifikátu se použije stávající/nainstalovaný certifikát.
  • Telefon neodstraní starý certifikát zařízení, dokud nenačte nový.
  • Pokud se obnovení certifikátu nezdaří, protože platnost certifikátu zařízení nebo certifikační autority vyprší, telefon automaticky spustí úvodní registraci. Pokud se mezitím ověření ověřovacího hesla nezdaří, na obrazovce telefonu se zobrazí vstupní obrazovka hesla a uživatelé jsou vyzváni k zadání ověřovacího hesla do telefonu.

Povolit režim normy FIPS

Můžete nastavit, aby telefon splňoval federální normy pro zpracování informací (FIPS).

Normy FIPS jsou soubor standardů, které popisují zpracování dokumentů, šifrovací algoritmy a další standardy informačních technologií pro použití v rámci nevojenské vlády a u vládních dodavatelů a dodavatelů, kteří pracují s agenturami. CiscoSSL FOM (FIPS Object Module) je pečlivě definovaná softwarová komponenta navržená pro kompatibilitu s knihovnou CiscoSSL, takže produkty využívající knihovnu CiscoSSL a rozhraní API lze s minimálním úsilím převést na kryptografii ověřenou dle normy FIPS 140-2.

1

Přejděte na webovou stránku správy telefonu.

2

Vyberte Hlas > Systém.

3

V části Nastavení zabezpečení vyberte v parametru Režim normy FIPS Ano nebo Ne.

4

Klikněte na možnost Odeslat všechny změny.

Když povolíte normy FIPS, v telefonu budou hladce fungovat následující funkce:
  • Ověření obrázku
  • Bezpečné úložiště
  • Šifrování konfiguračního souboru
  • TLS:
    • Protokol HTTP
    • Nahrání PRT
    • Upgrade firmwaru
    • Resynchronizace profilu
    • Registrovat službu
    • Registrace pomocí služby Webex
    • SRTP přes TLS
    • 802.1x (kabelová)
  • Protokol SIP (RFC 8760)
  • srtp
  • Protokoly hovorů Webex a adresář Webex
  • Funkce Jedno tlačítko ke stisknutí (OBTP)

Ručně odebrat certifikát zabezpečení

Pokud není k dispozici protokol SCEP (Simple Certificate Enrollment Protocol), můžete z telefonu odebrat certifikát zabezpečení ručně.

1

Na webové stránce pro správu telefonu vyberte možnost Certifikáty.

2

Vyhledejte certifikát na stránce Certifikáty.

3

Klikněte na tlačítko Odstranit.

4

Po dokončení procesu odstranění telefon restartujte.

Nastavení hesla uživatele a správce

Po první registraci telefonu do systému řízení hovorů nebo po obnovení továrního nastavení telefonu je nutné nastavit heslo pro uživatele a správce, abyste zvýšili zabezpečení telefonu. Změny lze odeslat pouze při nastavení hesla z webové stránky telefonu.

Ve výchozím nastavení je v telefonu povoleno upozornění na žádné heslo. Pokud telefon nemá žádného uživatele ani heslo správce, zobrazí se následující varování:

  • Na webové stránce telefonu se zobrazuje zpráva „Nebylo zadáno heslo správce. Web je v režimu pouze ke čtení a změny nelze odeslat. Změňte heslo.“ v levém horním rohu.

    V polích Uživatelské heslo a Heslo správce se zobrazí upozornění „Nebylo zadáno heslo“, pokud je pole prázdné.

  • Na obrazovce telefonu Problémy a diagnostika se zobrazí problém „Nebylo zadáno heslo“.
1

Otevření webové stránky pro správu telefonu

2

Vyberte Hlas > Systém.

3

(Volitelné) V části Konfigurace systému nastavte parametr Zobrazit upozornění na heslo na Ano a klikněte na tlačítko Odeslat všechny změny.

Parametry můžete také povolit v konfiguračním souboru telefonu (cfg.xml).

<Display_Password_Warnings ua="na">Ano</Display_Password_Warnings>

Výchozí Ano

Možnosti Ano | Ne

Pokud je parametr nastaven na hodnotu Ne, upozornění na heslo se nezobrazí na webové stránce ani na obrazovce telefonu. Režim připravený pouze pro webovou stránku nebude aktivován, i když je heslo prázdné.

4

Vyhledejte parametr Heslo uživatele nebo Heslo správce a klikněte na tlačítko Změnit heslo vedle parametru.

5

Do pole Staré heslo zadejte aktuální heslo uživatele.

Pokud nemáte heslo, ponechte pole prázdné. Výchozí hodnota je prázdná.
6

Zadejte nové heslo do pole Nové heslo.

7

Klikněte na tlačítko Odeslat.

Zpráva Heslo bylo úspěšně změněno. zobrazí se na webové stránce. Webová stránka se za několik sekund aktualizuje. Varování vedle tohoto parametru zmizí.

Po nastavení hesla uživatele se tento parametr zobrazí v konfiguračním souboru XML telefonu (cfg.xml) následující údaje:

<!-- <Admin_heslo ua="na">;*************</Admin_heslo> <Uživatelské_heslo ua="rw">;*************</Uživatelské_heslo> -->

Pokud při pokusu o přístup na webovou stránku telefonu obdržíte kód chyby 403, musíte nastavit heslo uživatele nebo správce prostřednictvím zřizování v konfiguračním souboru telefonu (cfg.xml). Zadejte například řetězec v tomto formátu:

<admin_heslo ua="na">P0ssw0rd_tes89</admin_heslo>

<Uživatelské_heslo ua="rw">Abc123</Uživatelské_heslo>

Ověřování 802.1X

Cisco IP telefony podporují ověřování 802.1X.

Přepínače Cisco IP telefonů a Cisco Catalyst se tradičně používají protokol CDP (Cisco Discovery Protocol) k vzájemné identifikaci a určování parametrů, jako je přidělení sítě VLAN a požadavky na napájení na kabelu. Protokol CDP neidentifikuje místně připojené pracovní stanice. Cisco IP telefony poskytují mechanismus průchodu EAPOL. Tento mechanismus umožňuje pracovní stanici připojené k Cisco IP telefonu přenášet zprávy EAPOL na ověřovací stanici 802.1X na přepínači LAN. Mechanismus průchodu zajišťuje, že IP telefon nebude fungovat jako přepínač LAN pro ověření datového koncového bodu před přístupem k síti.

Cisco IP telefony poskytují také mechanismus odhlášení proxy serveru EAPOL. Pokud se místně připojený počítač odpojí od IP telefonu, přepínač LAN neuvidí fyzické spojení selhání, protože spojení mezi přepínačem LAN a IP telefonem je zachováno. Aby nedošlo k ohrožení integrity sítě, odešle IP telefon přepínači jménem počítače downstream zprávu EAPOL-Logoff, která aktivuje přepínač sítě LAN a vymaže položku ověření pro počítače downstream.

Podpora ověřování 802.1X vyžaduje několik komponent:

  • Cisco IP telefony Telefon zahájí žádost o přístup k síti. Cisco IP telefony obsahují supplicant 802.1X. Tento požadavek umožňuje správcům sítě ovládat připojení IP telefonů k portům přepínače LAN. Aktuální verze volajícího telefonu 802.1X používá pro síťové ověřování možnosti EAP-FAST a EAP-TLS.

  • ověřovací služba Ověřovací server i přepínač musí být nakonfigurovány se sdíleným tajemstvím, které ověřuje telefon.

  • Přepínač: Přepínač musí podporovat protokol 802.1X, aby fungoval jako ověřovací nástroj a předával zprávy mezi telefonem a ověřovacím serverem. Po dokončení výměny přepínač udělí nebo odepře telefonu přístup k síti.

Ke konfiguraci standardu 802.1X je třeba provést následující akce.

  • Před povolením ověřování 802.1X v telefonu nakonfigurujte další součásti.

  • Nakonfigurujte port počítače: Standard 802.1X nezohledňuje sítě VLAN, a proto doporučuje ověřit pouze jedno zařízení pro konkrétní port přepínače. Některé přepínače však podporují vícedoménové ověřování. Konfigurace přepínače určuje, zda můžete připojit počítač k portu PC telefonu.

    • Povoleno: Pokud používáte přepínač, který podporuje vícedoménové ověřování, můžete povolit port PC a připojit k němu počítač. V takovém případě Cisco IP telefony podporují protokol EAPOL a Logoff proxy k monitorování výměny ověřování mezi přepínačem a připojeným počítačem.

      Další informace o podpoře standardu IEEE 802.1X přepínače Cisco Catalyst naleznete v průvodcích konfigurací přepínače Cisco Catalyst na adrese:

      http://www.cisco.com/en/US/products/hw/switches/ps708/tsd_products_support_series_home.html

    • Zakázáno: Pokud přepínač nepodporuje více zařízení kompatibilních s protokolem 802.1X na stejném portu, měli byste port PC deaktivovat, když je povoleno ověřování 802.1X. Pokud tento port nezakážete a poté se pokusíte k němu připojit počítač, přepínač odepře síťový přístup k telefonu i počítači.

  • Nakonfigurujte hlasovou síť VLAN: Protože standard 802.1X nezahrnuje sítě VLAN, měli byste toto nastavení nakonfigurovat na základě podpory přepínače.
    • Povoleno: Pokud používáte přepínač, který podporuje vícedoménové ověřování, můžete v něm i nadále používat hlasovou síť VLAN.
    • Zakázáno: Pokud přepínač nepodporuje vícedoménové ověřování, deaktivujte hlasovou síť VLAN a zvažte přiřazení portu k nativní síti VLAN.
  • (Pouze pro stolní telefon Cisco řady 9800)

    Stolní telefon Cisco řady 9800 má v PID jinou předponu než u ostatních telefonů Cisco. Chcete-li v telefonu povolit ověřování 802.1X, nastavte parametr Radius·User-Name tak, aby zahrnoval stolní telefon Cisco řady 9800.

    Například PID telefonu 9841 je DP-9841; můžete nastavit uživatelské jméno Poloměr·uživatelské jméno na Začínáme s DP nebo Obsahuje DP. Můžete jej nastavit v obou následujících částech:

    • Zásady > Podmínky > Podmínky knihovny

    • Zásady > Sady zásad > Zásady autorizace > Pravidlo autorizace 1

Povolit ověřování 802.1X

Když je povoleno ověřování 802.1X, telefon používá k vyžádání přístupu k síti ověřování 802.1X. Když je ověřování 802.1X zakázáno, telefon k získání přístupu k síti VLAN a k síti používá protokol CDP (Cisco Discovery Protocol). Stav transakce a změnu můžete také zobrazit v nabídce na obrazovce telefonu.

Pokud je povoleno ověřování 802.1X, můžete pro počáteční registraci a obnovení certifikátu vybrat také certifikát zařízení (MIC/SUDI nebo vlastní). Rozhraní MIC je obvykle určeno pro videotelefon Cisco 8875 a rozhraní SUDI je určeno pro stolní telefon Cisco řady 9800. Protokol CDC lze použít pouze k ověřování v sadě 802.1x.

1

Chcete-li povolit ověřování 802.1X, proveďte jednu z následujících akcí:

  • Ve webovém rozhraní telefonu vyberte Hlas > Systém a nastavte parametr Povolit ověřování 802.1X na Ano. Poté klikněte na možnost Odeslat všechny změny.
  • V konfiguračním souboru (cfg.xml) zadejte řetězec v tomto formátu:

    <Enable_802.1X_Authentication ua="rw">Ano</Enable_802.1X_Authentication>

    Platné hodnoty: Ano | Ne

    Výchozí Ne

  • V telefonu stiskněte možnost Nastaveníthe Settings hard key a přejděte do části Síť a služby > Nastavení zabezpečení > Ověřování 802.1X. Přepněte pole Ověření zařízení naZapnuto a vyberte Použít.
Tabulka 2. Parametry ověřování 802.1X na obrazovce telefonu

Parametry

Možnosti

Výchozí

Popis

Ověření zařízení

Zapnuto

Vypnuto

Vypnuto

Povolte nebo zakažte v telefonu ověřování 802.1X.

Stav transakce

Zakázáno

Udává stav ověřování 802.1X. Stát může (není omezen na):

  • Ověřování Označuje, že probíhá proces ověřování.
  • Ověřování Značí, že telefon byl ověřen.
  • Zakázáno: Udává, že v telefonu je zakázáno ověřování 802.1x.

Protokol

Žádné

Zobrazuje metodu EAP používanou pro ověřování 802.1X. Protokol může být EAP-FAST nebo EAP-TLS.

Typ certifikátu uživatele

Instalováno ve výrobě

Vlastní nainstalováno

Instalováno ve výrobě

Zvolte certifikát pro ověřování 802.1X během počáteční registrace a obnovy certifikátu.

  • Instalováno ve výrobě – Používá se certifikát Manufacturing Installed Certificate (MIC) a Secure Unique Identifier (SUDI).
  • Vlastní nainstalováno – používá se certifikát vlastního zařízení (CDC). Tento typ certifikátu lze nainstalovat buď ručním nahráním na webové stránce telefonu, nebo instalací ze serveru SCEP (Simple Certificate Enrollment Protocol).

Tento parametr se zobrazí v telefonu pouze v případě, že je povoleno Ověření zařízení.

2

Na webové stránce telefonu vyberte certifikát (MIC nebo vlastní) pro ověřování 802.1X.

  • V případě kabelové sítě vyberte Hlas > Systém a z rozevíracího seznamu Výběr certifikátu v části 802.1X Ověřování zvolte typ certifikátu.

    Tento parametr můžete také nakonfigurovat v konfiguračním souboru (cfg.xml):

    <Certificate_Select ua="rw">Vlastní nainstalováno</Certificate_Select>

    Platné hodnoty: Instalováno ve výrobě|Instalováno na zakázku

    Výchozí Instalováno ve výrobě

  • V případě bezdrátové sítě vyberte Hlas > Systém a z rozevíracího seznamu Výběr certifikátu v části Profil Wi-Fi 1 zvolte typ certifikátu.

    Tento parametr můžete také nakonfigurovat v konfiguračním souboru (cfg.xml):

    <Wi-Fi_Certificate_Select_1_ ua="rw">Vlastní nainstalováno</Wi-Fi_Certificate_Select_1_>

    Platné hodnoty: Instalováno ve výrobě|Instalováno na zakázku

    Výchozí Instalováno ve výrobě

Informace o tom, jak vybrat typ certifikátu na obrazovce telefonu, naleznete v části Připojení telefonu k síti Wi-Fi.

Povolit režim iniciovaný klientem pro vyjednávání o zabezpečení mediálního letounu

Z důvodu ochrany mediálních relací můžete telefon nakonfigurovat tak, aby inicioval jednání o zabezpečení mediálního letadla se serverem. Bezpečnostní mechanismus se řídí normami uvedenými v RFC 3329 a jeho návrhu rozšíření Názvy bezpečnostních mechanismů pro média (viz https://tools.ietf.org/html/draft-dawes-sipcore-mediasec-parameter-08#ref-2). Přenos vyjednávání mezi telefonem a serverem může používat protokol SIP přes UDP, TCP a TLS. Můžete omezit, že vyjednávání o zabezpečení letounu médií bude použito pouze v případě, že je signálním přenosovým protokolem nastaven TLS.

1

Přejděte na webovou stránku správy telefonu.

2

Vyberte Hlas > Linka (č).

3

V části Nastavení SIP nastavte pole MediaSec Request a MediaSec Over TLS Only (Pouze protokol TLS), jak je definováno v následující tabulce:

Tabulka 2. Parametry pro vyjednávání o zabezpečení mediálního letadla
Příkazový řádekPopis

Požadavek MediaSec

Určuje, zda telefon iniciuje jednání o zabezpečení mediálního letounu se serverem.

Proveďte jeden z následujících úkonů:

  • V konfiguračním souboru telefonu s kódem XML (cfg.xml) zadejte řetězec v tomto formátu:

    <MediaSec_Request_1_ ua="na">Ano</MediaSec_Request_1_>
  • Ve webovém rozhraní telefonu nastavte toto pole podle potřeby na hodnotu Ano nebo Ne.

Povolené hodnoty: Ano | Ne

  • Ano – Režim iniciovaný klientem. Telefon iniciuje jednání o zabezpečení mediálního letadla.
  • Ne – Režim iniciovaný serverem. Server zahájí jednání o zabezpečení mediálního letadla. Telefon neiniciuje vyjednávání, ale může zpracovávat požadavky na vyjednávání ze serveru pro navázání zabezpečených hovorů.

Výchozí Ne

Pouze protokol MediaSec přes TLS

Určuje přenosový protokol signalizace, přes který se používá vyjednávání o zabezpečení mediálního letounu.

Před nastavením tohoto pole na hodnotu Ano se ujistěte, že je signalizačním přenosovým protokolem TLS.

Proveďte jeden z následujících úkonů:

  • V konfiguračním souboru telefonu s kódem XML (cfg.xml) zadejte řetězec v tomto formátu:

    <MediaSec_Over_TLS_Only_1_ ua="na">Ne</MediaSec_Over_TLS_Only_1_>

  • Ve webovém rozhraní telefonu nastavte toto pole podle potřeby na hodnotu Ano nebo Ne.

Povolené hodnoty: Ano | Ne

  • Ano – telefon zahájí nebo zpracovává jednání o zabezpečení mediálních letounů pouze v případě, že je signálním přenosovým protokolem nastaven protokol TLS.
  • Ne – telefon zahájí a vyřizuje jednání o zabezpečení mediálních letadel bez ohledu na protokol přenosu signalizace.

Výchozí Ne

4

Klikněte na možnost Odeslat všechny změny.

Zabezpečení sítě WLAN

Jelikož všechna zařízení WLAN, která jsou v dosahu, mohou přijímat veškerý ostatní provoz WLAN, je zabezpečení hlasové komunikace v sítích WLAN zásadní. Aby bylo zajištěno, že vetřelci nemanipulují hlasový provoz ani jej nezachycují, podporuje architektura Cisco SAFE Security Architecture. Další informace o zabezpečení v sítích naleznete na adrese http://www.cisco.com/en/US/netsol/ns744/networking_solutions_program_home.html.

Řešení Bezdrátové IP telefonie Cisco poskytuje zabezpečení bezdrátové sítě, které brání neoprávněnému přihlášení a narušení komunikace, pomocí následujících metod ověřování podporovaných telefonem:

  • Otevřít ověřování: Jakékoli bezdrátové zařízení může požádat o ověření v otevřeném systému. Přístupový bod, který žádost přijme, může udělit ověření jakémukoli žadateli nebo pouze žadatelům, kteří jsou v seznamu uživatelů. Komunikace mezi bezdrátovým zařízením a přístupovým bodem (AP) může být nešifrována.

  • Ověřování pomocí protokolu EAP-FAST (Extensible Authentication Protocol-Flexible Authentication via Secure Tunneling): Tato architektura zabezpečení klient-server šifruje transakce EAP v tunelu Transport Level Security (TLS) mezi AP a serverem RADIUS, jako je například Identity Services Engine (ISE).

    Tunel TLS používá k ověřování mezi klientem (telefonem) a serverem RADIUS chráněné přístupové přihlašovací údaje (PAC). Server odešle klientovi (telefon) ID autority (AID), který pak vybere příslušnou PAC. Klient (telefon) vrátí PAC-Opaque na server RADIUS. Server dešifruje PAC primárním klíčem. Oba koncové body nyní obsahují klíč PAC a je vytvořen tunel TLS. EAP-FAST podporuje automatické zřizování PAC, musíte jej však povolit na serveru RADIUS.

    Ve výchozím nastavení ISE vyprší PAC za jeden týden. Pokud má telefon PAC vypršenou platnost, ověřování na serveru RADIUS trvá déle, dokud telefon získá novou PAC. Chcete-li předejít zpožděním při zřizování PAC, nastavte na serveru ISE nebo RADIUS dobu konce platnosti PAC na 90 dnů nebo déle.

  • Ověřování protokolu EAP-TLS (Extensible Authentication Protocol-Transport Layer Security): Protokol EAP-TLS vyžaduje pro ověření a přístup k síti klientský certifikát. V případě bezdrátového protokolu EAP-TLS může být klientský certifikát MIC, LSC nebo uživatelem instalovaný certifikát.

  • Protokol PEAP (Protected Extensible Authentication Protocol): Schéma vzájemného ověřování na základě hesla společnosti Cisco mezi klientem (telefonem) a serverem RADIUS. Telefon může k ověření v bezdrátové síti používat protokol PEAP. Jsou podporovány metody ověřování PEAP-MSCHAPV2 a PEAP-GTC.

  • Předsdílený klíč (PSK): Telefon podporuje formát ASCII. Při nastavování předem sdíleného klíče WPA/WPA2/SAE musíte použít tento formát:

    ASCII: řetězec ASCII obsahující 8 až 63 znaků (0–9, malá a velká písmena A–Z a speciální znaky)

    Příklad: GREG123567@9ZX&W

Následující schémata ověřování používají ke správě ověřovacích klíčů server RADIUS:

  • wpa/wpa2/wpa3: K vygenerování jedinečných klíčů pro ověřování využívá informace o serveru RADIUS. Protože tyto klíče jsou generovány na centralizovaném serveru RADIUS, poskytuje WPA2/WPA3 větší zabezpečení než WPA tlakové klíče, které jsou uloženy na přístupovém bodu a telefonu.

  • Rychlý zabezpečený roaming: Ke správě a ověřování klíčů využívá server RADIUS a informace o serveru bezdrátových domén (WDS). WDS vytváří mezipaměť bezpečnostních přihlašovacích údajů pro klientská zařízení s podporou FT pro rychlé a bezpečné opětovné ověření. Stolní telefon Cisco 9861 a 9871 a Cisco Video Phone 8875 podporují protokol 802.11r (FT). Jak nad vzduchem, tak nad DS jsou podporovány, aby umožňovaly rychlý bezpečný roaming. Důrazně však doporučujeme používat metodu 802.11r (FT) přes vzduch.

Při použití metody WPA/WPA2/WPA3 se šifrovací klíče v telefonu nezadávají, ale jsou automaticky odvozeny mezi přístupovým bodem (AP) a telefonem. Uživatelské jméno a heslo EAP používané k ověřování však musí být zadány do každého telefonu.

Aby byl hlasový provoz zabezpečený, podporuje telefon šifrování TKIP a AES. Když se tyto mechanismy používají k šifrování, mezi přístupovým bodem a telefonem se šifrují signalizační pakety SIP i pakety hlasového protokolu RTP.

Čip

WPA používá šifrování TKIP, které má několik vylepšení oproti WEP. TKIP poskytuje šifrování klíčů pro pakety a delší inicializační vektory (IV), které posilují šifrování. Kontrola integrity zprávy (MIC) navíc zajišťuje, že šifrované pakety nebudou měněny. TKIP odstraňuje předvídatelnost WEP, která pomáhá vetřelcům dešifrovat klíč WEP.

Aes

Metoda šifrování použitá pro ověřování WPA2/WPA3. Tento národní standard pro šifrování používá symetrický algoritmus, který má stejný klíč pro šifrování a dešifrování. AES používá šifrování CBC (Encryption Blocking Chain) o velikosti 128 bitů, které podporují minimálně 128 bitů, 192 bitů a 256 bitů. Telefon podporuje 256 bitů.

Stolní telefony Cisco 9861 a 9871 a Cisco Video Phone 8875 nepodporují protokol CKIP (Cisco Key Integrity Protocol) s CMIC.

V rámci bezdrátové sítě LAN jsou nastavena schémata ověřování a šifrování. Sítě VLAN jsou nakonfigurovány v síti a v přístupových bodech a určují různé kombinace ověřování a šifrování. Identifikátor SSID je přidružen k síti VLAN a konkrétnímu schématu ověřování a šifrování. Aby bezdrátová klientská zařízení mohla úspěšně ověřit, musíte na přístupových místech i v telefonu nakonfigurovat stejné SSID s jejich schématy ověřování a šifrování.

Některá schémata ověřování vyžadují specifické typy šifrování.

  • Pokud používáte předsdílený klíč WPA, předsdílený klíč WPA2 nebo SAE, je nutné předsdílený klíč v telefonu nastavit staticky. Tyto klíče se musí shodovat s klíči na přístupovém bodu.

  • Telefon podporuje automatické vyjednávání EAP pro FAST nebo PEAP, ale ne pro TLS. Pro režim EAP-TLS jej musíte zadat.

Schémata ověřování a šifrování v následující tabulce zobrazují možnosti konfigurace sítě telefonu, které odpovídají konfiguraci přístupového bodu.

Tabulka 2. Schémata ověřování a šifrování
Typ FSROvěřováníSpráva klíčůŠifrováníChráněný rámec správy (PMF)
802.11r (FT)psk

wpa-psk

wpa-psk-sha256

Kategorie: Pískoviště

AesNe
802.11r (FT)wpa3.

Spojené státy americké

Kategorie: Severní Amerika

AesAno
802.11r (FT)eap-tls

wpa-eap

ft-eap

AesNe
802.11r (FT)eap-tls (wpa3)

wpa-eap-sha256

ft-eap

AesAno
802.11r (FT)rychlé

wpa-eap

ft-eap

AesNe
802.11r (FT)eap-fast (wpa3)

wpa-eap-sha256

ft-eap

AesAno
802.11r (FT)eap-peap

wpa-eap

ft-eap

AesNe
802.11r (FT)eap-peap (wpa3)

wpa-eap-sha256

ft-eap

AesAno

Nastavení profilu Wi-Fi

Profil Wi-Fi můžete nakonfigurovat pomocí webové stránky telefonu nebo resynchronizace profilu vzdáleného zařízení a tento profil pak můžete přiřadit k dostupným sítím Wi-Fi. Tento profil můžete použít k připojení k síti Wi-Fi. V současné době lze nakonfigurovat pouze jeden profil Wi-Fi.

Profil obsahuje parametry, které telefony použijí k připojení k telefonnímu serveru pomocí sítě Wi-Fi. Když vytvoříte a použijete profil Wi-Fi, vy ani uživatelé nemusíte konfigurovat bezdrátovou síť pro jednotlivé telefony.

Profil Wi-Fi umožňuje uživatelům zabránit změnám nebo omezit změny v konfiguraci Wi-Fi v telefonu.

Doporučujeme používat zabezpečený profil s protokoly zapnutými šifrováním k ochraně klíčů a hesel při použití profilu Wi-Fi.

Když v režimu zabezpečení nastavíte telefony tak, aby používaly metodu ověřování EAP-FAST, uživatelé potřebují k připojení k přístupovému bodu individuální pověření.

1

Otevřete webovou stránku telefonu.

2

Vyberte Hlas > Systém.

3

V části Profil Wi-Fi (n) nastavte parametry podle popisu v následující tabulce Parametry pro profil Wi-Fi.

Konfigurace profilu Wi-Fi je dostupná také pro přihlášení uživatele.
4

Klikněte na možnost Odeslat všechny změny.

Parametry pro profil Wi-Fi

V následující tabulce je definována funkce a použití jednotlivých parametrů v části Profil Wi-Fi na webové stránce telefonu na kartě Systém. Definuje také syntaxi řetězce, který je přidán do konfiguračního souboru telefonu (cfg.xml) za účelem konfigurace parametru.

Příkazový řádekPopis
Název sítěUmožňuje zadat název SSID, který se zobrazí na telefonu. Může existovat více profilů se stejným názvem sítě, avšak s odlišnými režimy zabezpečení.

Proveďte jeden z následujících úkonů:

  • V konfiguračním souboru telefonu s kódem XML (cfg.xml) zadejte řetězec v tomto formátu:

    <Network_Name_1_ ua="rw">cisco</Network_Name_1_>

  • Na webové stránce telefonu zadejte název SSID.

Výchozí Prázdné

Režim zabezpečeníUmožňuje vybrat metodu ověřování, která se použije k zabezpečení přístupu k síti Wi-Fi. V závislosti na zvoleném způsobu se zobrazí pole hesla, které vám umožní zadat přihlašovací údaje potřebné pro připojení k síti Wi-Fi.

Proveďte jeden z následujících úkonů:

  • V konfiguračním souboru telefonu s kódem XML (cfg.xml) zadejte řetězec v tomto formátu:

    <Security_Mode_1_ ua="rw">EAP-TLS</Security_Mode_1_> <!-- dostupné možnosti: Automaticky|EAP-FAST|PSK|Žádné|EAP-PEAP|EAP-TLS -->

  • Na webové stránce telefonu vyberte jednu z metod:
    • Automatické
    • rychlé
    • psk
    • Žádné
    • eap-peap
    • eap-tls

Výchozí Automatické

ID uživatele sítě Wi-FiUmožňuje zadat ID uživatele pro profil sítě.

Toto pole je k dispozici, když nastavíte režim zabezpečení Auto, EAP-FAST nebo EAP-PEAP. Toto je povinné pole a umožňuje zadat alfanumerický řetězec o maximální délce 32 znaků.

Proveďte jeden z následujících úkonů:

  • V konfiguračním souboru telefonu s kódem XML (cfg.xml) zadejte řetězec v tomto formátu:

    <Wi-Fi_User_ID_1_ua="rw"></Wi-Fi_User_ID_1_>

  • Na webové stránce telefonu zadejte ID uživatele pro profil sítě.

Výchozí Prázdné

Heslo k síti Wi-FiUmožňuje zadat heslo pro zadané ID uživatele sítě Wi-Fi.

Proveďte jeden z následujících úkonů:

  • V konfiguračním souboru telefonu s kódem XML (cfg.xml) zadejte řetězec v tomto formátu:

    <Wi-Fi_Password_1_ ua="rw"></Wi-Fi_Password_1_>

  • Na webové stránce telefonu zadejte heslo pro ID uživatele, které jste přidali.

Výchozí Prázdné

Frekvenční pásmoUmožňuje vybrat frekvenční pásmo signálu bezdrátové sítě WLAN.

Proveďte jeden z následujících úkonů:

  • V konfiguračním souboru telefonu s kódem XML (cfg.xml) zadejte řetězec v tomto formátu:

    <Frequency_Band_1_ ua="rw">Automaticky</Frequency_Band_1_>

  • Na webové stránce telefonu vyberte jednu z možností:
    • Automatické
    • 2,4 GHz
    • 5 GHz

Výchozí Automatické

Výběr certifikátuUmožňuje vybrat typ certifikátu pro počáteční registraci a obnovení certifikátu v bezdrátové síti. Tento proces je k dispozici pouze pro ověřování 802.1X.

Proveďte jeden z následujících úkonů:

  • V konfiguračním souboru telefonu s kódem XML (cfg.xml) zadejte řetězec v tomto formátu:

    <Certificate_Select_1_ ua="rw">Instalováno ve výrobě</Certificate_Select_1_>

  • Na webové stránce telefonu vyberte jednu z možností:
    • Instalováno ve výrobě
    • Vlastní nainstalováno

Výchozí Instalováno ve výrobě