Ud over tilmelding af SCEP-certifikat ved hjælp af de manuelle konfigurationer på telefonens webside kan du også bruge indstillingen DHCP 43 til at udfylde parametrene fra en DHCP server. Den DHCP indstilling 43 er forudkonfigureret med SCEP-parametrene, senere kan telefonen hente parametrene fra den DHCP server for at udføre SCEP-certifikattilmeldingen.

Hvis du vil tilmelde et SCEP-certifikat ved at konfigurere SCEP-parametrene i indstillingen DHCP indstilling 43, skal du gøre følgende:

1. Forbered et SCEP-miljø.

   Du kan få oplysninger om opsætning af SCEP-miljøet i dokumentationen til din SCEP-server.

2. Konfigurer DHCP indstilling 43 (defineret i 8.4 Leverandørspecifikke oplysninger, RFC 2132).

   Underindstillinger (10-15) er reserveret til metoden:

   Parameter på telefonens webside	Underindstilling	Type	Længde (byte)	Mandatory
   FIPS-tilstand	10	Boolesk	1	Nej*
   Server	11	streng	208 - længde (udfordringsadgangskode)	Ja
   Root CA-fingeraftryk	12	binær	20 eller 32	Ja
   Udfordr adgangskode	13	streng	208 - længde (Server)	Nej*
   Aktivér 802.1X-godkendelse	14	Boolesk	1	Nej
   Valg af certifikat	15	Usigneret 8-bit	1	Nej

   Når du bruger indstillingen DHCP 43, skal du bemærke følgende egenskaber ved metoden:

   • Underindstillinger (10–15) er reserveret til CDC (Custom Device Certificate).
   • Den maksimale længde på DHCP indstilling 43 er 255 byte.
   • Den maksimale længde af Server + Challenge Password skal være mindre end 208 byte.
   • Værdien af FIPS-tilstand skal være i overensstemmelse med onboarding-provisioneringskonfigurationen. Ellers kan telefonen ikke hente det tidligere installerede certifikat efter onboarding. Nemlig
     • Hvis telefonen registreres i et miljø, hvor FIPS-tilstanden er deaktiveret, behøver du ikke konfigurere parameteren FIPS-tilstand i DHCP indstilling 43. FIPS-tilstanden er som standard deaktiveret.
     • Hvis telefonen registreres i et miljø, hvor FIPS-tilstanden er aktiveret, skal du aktivere FIPS-tilstanden i DHCP indstilling 43. Se Aktivér FIPS-tilstand for at få flere oplysninger.
   • Adgangskoden i valgmulighed 43 er i klartekst.

     Hvis udfordringsadgangskoden er tom, bruger telefonen MIC/SUDI til den første tilmelding og certifikatfornyelse. Hvis udfordringsadgangskoden er konfigureret, bruges den kun til den første tilmelding, og det installerede certifikat bruges til certifikatfornyelsen.

   • Enable 802.1X Authentication (Aktivér 802.1X-godkendelse ) og Certifikatvalg bruges kun til telefoner i kablede netværk.
   • DHCP indstilling 60 (Id for leverandørklasse) bruges til at identificere enhedsmodellen.

   Følgende tabel indeholder et eksempel på DHCP indstilling 43 (underindstilling 10–15):

   Suboption decimal/hex	Værdilængde (byte) decimal/hex	Værdi	Hex-værdi
   10/0a	1/01	1 (0: Deaktiveret; 1: Aktiveret)	01
   11/0B	18/12	http://10.79.57.91	687474703a2f2f31302e37392e35372e3931
   12/0c	20/14	12040870625C5B755D73F5925285F8F5FF5D55AF	12040870625C5B755D73F5925285F8F5FF5D55AF
   13/0D	16/10	D233CCF9B9952A15	44323333434346394239393532413135
   14/0E	1/01	1 (0: Nej; 1: Ja)	01
   15/0F	1/01	1 (0: Produktion installeret; 1: Brugerdefineret installeret)	01

   Oversigt over parameterværdierne:

   • FIPS-tilstand = aktiveret

   • Server = http://10.79.57.91

   • Root CA-fingeraftryk = 12040870625C5B755D73F5925285F8F5FF5D55AF

   • Udfordringsadgangskode = D233CCF9B9952A15

   • Aktiver 802.1X-godkendelse = Ja

   • Valg af certifikat = Brugerdefineret installeret

   Syntaksen for den endelige hex-værdi er: {<suboption><length><value>}...

   I henhold til parameterværdierne ovenfor er den endelige hex-værdi som følger:

   0a01010b12687474703a2f2f31302e37392e35372e39310c1412040870625C5B755D73F5925285F8F5FF5D55AF0d10443233334343463942393935324131350e01010f0101

3. Konfigurer DHCP indstilling 43 på en DHCP-server.
   Dette trin er et eksempel på konfigurationer af DHCP mulighed 43 i Cisco Network Register.
   1. Tilføj DHCP definitionssæt for indstilling.

      Leverandørindstillingsstrengen er modelnavnet på de IP telefoner. Den gyldige værdi er: DP-9841, DP-9851, DP-9861, DP-9871 eller CP-8875.

   2. Føj DHCP indstilling 43 og underindstillinger til det DHCP indstillingsdefinitionssæt.

      Eksempel:

      

   3. Føj indstilling 43 til politikken for DHCP, og konfigurer værdien på følgende måde:

      Eksempel:

      (10 1)(11 http://10.79.57.91)(12 12040870625C5B755D73F5925285F8F5FF5D55AF)(13 D233CCF9B9952A15)(14 1)(15 1)

   4. Kontroller indstillingerne. Du kan bruge Wireshark til at registrere et spor af netværkstrafikken mellem telefonen og tjenesten.
4. Udfør en fabriksnulstilling af telefonen.

   Når telefonen er nulstillet, udfyldes parametrene Server, Root CA Fingerprint og Challenge Password automatisk. Disse parametre findes i afsnittet SCEP-konfiguration 1 fra Certifikat > brugerdefineret på telefonadministrationswebsiden.

   Du kan kontrollere detaljerne om det installerede certifikat ved at klikke på Vis i afsnittet Eksisterende certifikater .

   Du kan kontrollere certifikatets installationsstatus ved at vælge Certifikat > brugerdefineret certifikatstatus. Status 1 for download viser det seneste resultat. Hvis der opstår problemer under certifikattilmeldingen, kan årsagen til fejlfinding vises i downloadstatussen.

   Hvis den anfægtede adgangskodegodkendelse mislykkes, bliver brugerne bedt om at indtaste adgangskoden på telefonskærmen.
5. (Valgfrit): Hvis du vil fjerne det installerede certifikat fra telefonen, skal du klikke på Slet i afsnittet Eksisterende certifikater .
   Når du klikker på knappen, fjernelsen starter straks uden en bekræftelse.

Enhedscertifikatet kan opdateres automatisk af SCEP-processen.

• Telefonen kontrollerer, om certifikatet udløber om 15 dage hver 4. time. Hvis det er tilfældet, starter telefonen automatisk certifikatfornyelsesprocessen.
• Hvis udfordringsadgangskoden er tom, bruger telefonen MIC/SUDI til både første tilmelding og fornyelse af certifikatet. Hvis udfordringsadgangskoden er konfigureret, bruges den kun til første tilmelding, det eksisterende/installerede certifikat bruges til certifikatfornyelse.
• Telefonen fjerner ikke det gamle enhedscertifikat, før den henter det nye.
• Hvis fornyelsen af certifikatet mislykkes, fordi enhedens certifikat eller CA udløber, udløser telefonen automatisk den første tilmelding. I mellemtiden, hvis godkendelse af udfordringsadgangskode mislykkes, vises en skærmbillede til indtastning af adgangskode på telefonskærmen, og brugerne bliver bedt om at indtaste udfordringsadgangskoden på telefonen.

Cisco IP-telefon understøtter 802.1X-godkendelse.

Cisco IP-telefon og Cisco Catalyst-switches bruger traditionelt set Cisco Discovery Protocol (CDP) til at identificere hinanden og bestemme parametre som f.eks. VLAN-tildeling og integreret strømkrav. CDP identificerer ikke lokalt tilknyttede arbejdsstationer. Cisco IP-telefon har en EAPOL-gennemføringsmekanisme. Denne mekanisme giver mulighed for, at en arbejdsstation, der er knyttet til Cisco IP-telefon, kan overføre EAPOL-meddelelser til 802.1X-godkendelsesfunktionen på LAN-switchen. Gennemføringsmekanismen sikrer, at IP-telefonen ikke fungerer som den LAN-switch, der skal godkende et dataslutpunkt før adgang til netværket.

Cisco IP-telefon har også en proxymekanisme til EAPOL-aflogning. Hvis den lokalt tilknyttede pc kobles fra IP-telefonen, ser LAN-kontakten ikke afbrydelsen af det fysiske link, fordi linket mellem LAN-switchen og IP-telefonen bevares. For at undgå at kompromittere netværkets integritet sender IP-telefonen en meddelelse om EAPOL-aflogning til switchen på vegne af nedstrøms-pc'en, der får LAN-switchen til at rydde godkendelsesposten for nedstrøms-pc'en.

Understøttelse af 802.1X-godkendelse kræver flere komponenter:

• Cisco IP-telefon: Telefonen starter anmodningen for at få adgang til netværket. Cisco IP-telefon indeholder en 802.1X-supplikant. Denne supplikant giver netværksadministratorer kontrol over forbindelsen mellem IP-telefoner og porte på LAN-switch. Den aktuelle version af telefonens 802.1X-supplikant bruger EAP-FAST- og EAP-TLS-indstillingerne til netværksgodkendelse.

• Godkendelsesserver: Godkendelsesserveren og switchen skal begge være konfigureret med en delt hemmelighed, der godkender telefonen.

• Switch: Switchen skal understøtter 802.1X, så den kan fungere som godkendelsesfunktion og sender meddelelserne mellem telefonen og godkendelsesserveren. Når udvekslingen er fuldført, giver eller afviser switchen at give telefonen adgang til netværket.

Du skal udføre følgende handlinger for at konfigurere 802.1X.

• Konfigurer de andre komponenter, før du aktiverer 802.1X-godkendelse på telefonen.

• Konfigurer pc-port: 802.1X-standarden tager ikke højde for VLAN'er og anbefaler derfor, at der kun godkendes én enkelt enhed til en bestemt switchport. Visse switches understøtter imidlertid godkendelse på flere domæner. Konfigurationen af switchen bestemmer, om du kan forbinde en pc til telefonens pc-port.

  • Aktiveret: Hvis du bruger en switch, der understøtter godkendelse på flere domæner, kan du aktivere pc-porten og tilslutte en pc til den. I dette tilfælde understøtter Cisco IP-telefon proxy-EAPOL-aflogning for at overvåge godkendelsesudvekslingen mellem switchen og den tilsluttede pc.

    Få flere oplysninger om IEEE 802.1X-understøttelse på Cisco Catalyst-switches ved at se vejledninger i konfiguration af Cisco Catalyst-switchen på:

    http://www.cisco.com/en/US/products/hw/switches/ps708/tsd_products_support_series_home.html

  • Deaktiveret: Hvis switchen ikke understøtter flere 802.1X-kompatible enheder på den samme port, skal du deaktivere pc-porten, når 802.1X-godkendelse er aktiveret. Hvis du ikke deaktiverer denne port og derefter forsøger at tilslutte en pc til den, afviser switchen netværksadgang til både telefonen og pc'en.

• Konfigurer tale-VLAN: Da 802.1X-standarden ikke tager højde for VLAN'er, skal du konfigurere denne indstilling ud fra switchunderstøttelsen.
  • Aktiveret: Hvis du bruger en switch, der understøtter godkendelse på flere domæner, kan du fortsat bruge tale-VLAN'et.
  • Deaktiveret: Hvis switchen ikke understøtter godkendelse på flere domæner, skal du deaktivere tale-VLAN'et og overveje at tildele porten til det indbyggede VLAN.
• (Kun for Cisco Desk Phone 9800-serien)

  Cisco Desk Phone 9800-serien har et andet præfiks i PID end for andre Cisco-telefoner. Indstil Radius· for at aktivere din telefon til at passere 802.1X-godkendelse Parameteren Brugernavn , der inkluderer din Cisco Desk Phone 9800-serie.

  For eksempel er PID på telefon 9841 DP-9841; du kan indstille Radius· Brugernavn : Starter med DP eller indeholder DP. Du kan angive det i begge følgende afsnit:

  • Politik > Betingelser > Biblioteksbetingelser

  • Politik > Politiksæt> Autorisationspolitik > Autorisationsregel 1

Da alle WLAN-enheder, der er inden for rækkevidde, kan modtage alle andres WLAN-trafik, er beskyttelse af talekommunikation vigtigt i WLAN. For at sikre, at ubudne gæster ikke manipulerer eller opfanger taletrafik, understøtter Cisco SAFE Security-arkitekturen telefonen. Få flere oplysninger om sikkerhed i netværk under http://www.cisco.com/en/US/netsol/ns744/networking_solutions_program_home.html.

Cisco trådløs IP telefoniløsning giver trådløs netværkssikkerhed, der forhindrer uautoriseret login og kompromitteret kommunikation ved hjælp af følgende godkendelsesmetoder, som telefonen understøtter:

• Åben godkendelse: Trådløse enheder kan anmode om godkendelse i et åbent system. Det AP, der modtager anmodningen, kan give godkendelse til en person eller kun de anmodere, der findes på en liste over brugere. Kommunikationen mellem den trådløse enhed og adgangspunktet (AP) kan være ikke-krypteret.

• Extensible Authentication Protocol-Flexible Authentication via Secure Tunneling (EAP-FAST) Authentication: Denne klient-server-sikkerhedsarkitektur krypterer EAP transaktioner inden for en TLS (Transport Level Security)-tunnel mellem adgangspunktet og RADIUS-serveren, f.eks. Identity Services Engine (ISE).

  TLS-tunnelen bruger PAC'er (Protected Access Credentials) til godkendelse mellem klienten (telefon) og RADIUS-serveren. Serveren sender et AID (Authority ID) til klienten (telefonen), som gengæld vælger det relevante PAC. Klienten (telefonen) returnerer en PAC-Opaque til RADIUS-serveren. Serveren dekrypterer PAC med masternøglen. Begge slutpunkter indeholder nu PAC-nøglen, og der oprettes en TLS-tunnel. EAP-FAST understøtter automatisk PAC-klargøring, men du skal aktivere det på RADIUS-serveren.

  I ISE udløber PAC som standard om en uge. Hvis telefonen har en udløbet PAC, tager en godkendelse med RADIUS-serveren længere tid, mens telefonen får en ny PAC. For at undgå forsinkelser pga. PAC-klargøring skal du indstille PAC-udløbsperioden til 90 dage eller længere på ISE'en eller RADIUS-serveren.

• EAP-TLS-godkendelse (Extensible Authentication Protocol-Transport Layer Security): EAP-TLS kræver et klientcertifikat til godkendelse og netværksadgang. For trådløse EAP-TLS kan klientcertifikatet være MIC, LSC eller brugerinstalleret certifikat.

• PEAP (Protected Extensible Authentication Protocol): Ciscos beskyttede adgangskodebaserede gensidige godkendelsesmetode mellem klienten (telefonen) og en RADIUS-server. Telefonen kan bruge PEAP til godkendelse med det trådløse netværk. Både PEAP MSCHAPV2- og PEAP GTC-godkendelsesmetoden understøttes.

• Pre-Shared Key (PSK): Telefonen understøtter ASCII format. Du skal bruge dette format, når du konfigurerer en forhåndsdelt nøgle til WPA/WPA2/SAE:

  ASCII: en ASCII-tegnstreng med 8 til 63 tegn (0-9, små bogstaver og store bogstaver A-Z og specialtegn)

  Eksempel: GREG123567@9ZX&W

Følgende godkendelsesmetode bruger RADIUS-serveren til at administrere godkendelsesnøgler:

• WPA/WPA2/WPA3: Bruger RADIUS-serveroplysninger til at generere entydige nøgler til godkendelse. Da disse nøgler genereres på den centrale RADIUS-server, giver WPA2/WPA3 mere sikkerhed end forhåndsdelte WPA-nøgler, der er gemt på AP'en og telefonen.

• Hurtig sikker roaming: Bruger oplysninger om RADIUS-server og en trådløs domæneserver (WDS) for at administrere og godkende nøgler. WDS opretter en cache med sikkerhedslegitimationsoplysninger for FT-aktiverede klientenheder til hurtig og sikker gengodkendelse. Cisco Desk Phone 9861 og 9871 og Cisco Video Phone 8875 understøtter 802.11r (FT). Både trådløst og over DS understøttes for at muliggøre hurtig sikker roaming. Men vi anbefaler på det kraftigste, at trådløse 802.11r-metode (FT) bruges.

Med WPA/WPA2/WPA3 angives krypteringsnøgler ikke på telefonen, men hentes automatisk mellem adgangspunktet og telefonen. Men det EAP-brugernavn og den adgangskode, der bruges til godkendelse, skal angives på hver enkelt telefon.

For at sikre, at taletrafikken er sikker, understøtter telefonen TKIP og AES til kryptering. Når disse mekanismer bruges til kryptering, krypteres både signal-SIP-pakkerne og tale-RTP-pakkerne (Real-Time Transport Protocol) mellem adgangspunktet og telefonen.

TKIP

WPA bruger TKIP-kryptering, der har flere forbedringer over WEP. TKIP giver nøglekryptering med pr. pakke og længere initialiseringsvektorer, der styrker kryptering. Desuden sikrer et MIC (message integrity check), at krypterede pakker ikke ændres. TKIP fjerner forudsigeligheden ved WEP, der hjælper personer med uautoriseret adgang med at tyde WEP-nøglen.

AES

En krypteringsmetode, der bruges til WPA2/WPA3-godkendelse. Denne nationale standard for kryptering bruger en symmetrisk algoritme, der har den samme nøgle til kryptering og dekryptering. AES CBC-kryptering (Cipher Blocking Chain) i 128-bit størrelse, der som minimum understøtter nøglestørrelser på 128 bit, 192 bit og 256 bit. Telefonen understøtter en nøglestørrelse på 256 bit.

Godkendelses- og krypteringsmetoder konfigureres inden for det trådløse LAN. VLAN'er konfigureres i netværket og på AP'er og angiver forskellige kombinationer af godkendelse og kryptering. Et SSID er knyttet til et VLAN og det specifikke godkendelses- og krypteringsmetode. Hvis trådløse klientenheder skal kunne godkendes, skal du konfigurere de samme SSID'er med deres godkendelses- og krypteringsskemaer på AP'erne og på telefonen.

Visse godkendelsesmetoder kræver bestemte typer kryptering.

Godkendelses- og krypteringsskemaerne i følgende tabel viser netværkskonfigurationsindstillingerne for telefonen, der svarer til AP-konfigurationen.