Cisco IP telefonsikkerhed

Installer brugerdefineret enhedscertifikat manuelt

Du kan manuelt installere et CDC (Custom Device Certificate) på telefonen ved at overføre certifikatet fra websiden til telefonadministration.

Før du begynder

Før du kan installere et brugerdefineret enhedscertifikat for en telefon, skal du have:

En certifikatfil (.p12 eller .pfx), der er gemt på din pc. Filen indeholder certifikatet og den private nøgle.
Certifikatets adgangskode til uddraget. Adgangskoden bruges til at dekryptere certifikatfilen.

1	Gå til websiden til telefonadministration
2	Vælg Certifikat.
3	I afsnittet Tilføj certifikat skal du klikke på Gennemse ....
4	Gå til certifikatet på din pc.
5	I feltet Udtræk adgangskode skal du angive certifikatudtræksadgangskode.
6	Klik på Upload. Hvis certifikatfilen og adgangskoden er korrekte, modtager du meddelelsen "`Certifikat tilføjet.`". Ellers mislykkes overførslen med en fejlmeddelelse, der angiver, at certifikatet ikke kan overføres.
7	Du kan kontrollere detaljerne om det installerede certifikat ved at klikke på Vis i afsnittet Eksisterende certifikater .
8	Hvis du vil fjerne det installerede certifikat fra telefonen, skal du klikke på Slet i afsnittet Eksisterende certifikater . Når du klikker på knappen, fjernelsen starter straks uden en bekræftelse. Hvis certifikatet fjernes, modtager du meddelelsen "`Certifikat slettet.`".

Installer automatisk brugerdefineret enhedscertifikat af SCEP

Du kan konfigurere SCEP-parametrene (Simple Certificate Enrollment Protocol) til automatisk at installere CDC (Custom Device Certificate), hvis du ikke vil overføre certifikatfilen manuelt, eller hvis du ikke har certifikatfilen på plads.

Når SCEP-parametrene er konfigureret korrekt, sender telefonen anmodninger til SCEP-serveren, og CA-certifikatet valideres af enheden ved hjælp af det definerede fingeraftryk.

Før du begynder

Før du kan foretage en automatisk installation af et brugerdefineret enhedscertifikat for en telefon, skal du have:

SCEP-serveradresse
SHA-1- eller SHA-256-fingeraftryk af CA-rodcertifikatet til SCEP-serveren

1	Gå til websiden til telefonadministration
2	Vælg Certifikat.
3	I afsnittet SCEP-konfiguration 1 skal du indstille parametrene som beskrevet i følgende tabel Parametre for SCEP-konfiguration.
4	Klik på Send alle ændringer.

Parametre for SCEP-konfiguration

Følgende tabel definerer funktionen og brugen af SCEP-konfigurationsparametre i afsnittet SCEP-konfiguration 1 under fanen Certifikat i telefonens webgrænseflade. Den definerer også syntaksen for den streng, der tilføjes i telefonkonfigurationsfilen (cfg.xml) for at konfigurere en parameter.

Tabel 1. Parametre for SCEP-konfiguration
Parameter	Beskrivelse
Server	SCEP-serveradresse. Denne parameter er obligatorisk. Gør et af følgende: I telefonkonfigurationsfilen med XML (cfg.xml) skal du angive en streng i dette format: `<CDC_Server_1_ ua="na">http://10.79.57.91</CDC_Server_1_>` Angiv SCEP-serveradressen på telefonens webside. Gyldige værdier: En URL- eller IP-adresse. HTTPS-ordningen understøttes ikke. Standard: tom
Root CA-fingeraftryk	SHA256- eller SHA1-fingeraftryk af rodnøglecenteret til validering under SCEP-processen. Denne parameter er obligatorisk. Gør et af følgende: I telefonkonfigurationsfilen med XML (cfg.xml) skal du angive en streng i dette format: `<CDC_Root_CA_Fingerprint_1_ ua="na">12040870625C5B755D73F5925285F8F5FF5D55AF</CDC_Root_CA_Fingerprint_1_>` Indtast et gyldigt fingeraftryk på telefonens webside. Standard: tom
Udfordr adgangskode	Udfordringsadgangskoden til godkendelse af Certificate Authority (CA) mod telefonen under en certifikattilmelding via SCEP. Denne parameter er valgfri. Afhængigt af det faktiske SCEP-miljø varierer funktionsmåden for udfordringsadgangskoden. Hvis telefonen får et certifikat fra en Cisco RA, der kommunikerer med CA, understøttes udfordringsadgangskoden ikke på CA. I dette tilfælde bruger Cisco RA telefonens MIC/SUDI til godkendelse for at få adgang til CA. Telefonen bruger MIC/SUDI til både første tilmelding og fornyelse af certifikater. Hvis telefonen får et certifikat ved at kommunikere direkte med CA, understøttes challenge-adgangskoden på CA. Hvis den er konfigureret, bruges den kun til den første tilmelding. Til certifikatfornyelsen bruges det installerede certifikat i stedet. Gør et af følgende: I telefonkonfigurationsfilen med XML (cfg.xml) skal du angive en streng i dette format: `<CDC_Challenge_Password_1_ ua="na"></CDC_Challenge_Password_1_>` Adgangskoden er maskeret i konfigurationsfilen. Indtast adgangskoden til udfordringen på telefonens webside. Standard: tom

Konfiguration af SCEP-parametre via DHCP indstilling 43

Ud over tilmelding af SCEP-certifikat ved hjælp af de manuelle konfigurationer på telefonens webside kan du også bruge indstillingen DHCP 43 til at udfylde parametrene fra en DHCP server. Den DHCP indstilling 43 er forudkonfigureret med SCEP-parametrene, senere kan telefonen hente parametrene fra den DHCP server for at udføre SCEP-certifikattilmeldingen.

Konfigurationen af SCEP-parametre via DHCP indstilling 43 er kun tilgængelig for den telefon, hvor der udføres en fabriksnulstilling.
Telefoner må ikke placeres i et netværk, der understøtter både løsning 43 og fjernklargøring (f.eks. valgmulighed 66,160,159,150 eller cloud-klargøring). Ellers får telefoner muligvis ikke Option 43-konfigurationerne.

Hvis du vil tilmelde et SCEP-certifikat ved at konfigurere SCEP-parametrene i indstillingen DHCP indstilling 43, skal du gøre følgende:

Forbered et SCEP-miljø.
Du kan få oplysninger om opsætning af SCEP-miljøet i dokumentationen til din SCEP-server.

Konfigurer DHCP indstilling 43 (defineret i 8.4 Leverandørspecifikke oplysninger, RFC 2132).

Underindstillinger (10-15) er reserveret til metoden:

Parameter på telefonens webside	Underindstilling	Type	Længde (byte)	Mandatory
FIPS-tilstand	10	Boolesk	1	Nej*
Server	11	streng	208 - længde (udfordringsadgangskode)	Ja
Root CA-fingeraftryk	12	binær	20 eller 32	Ja
Udfordr adgangskode	13	streng	208 - længde (Server)	Nej*
Aktivér 802.1X-godkendelse	14	Boolesk	1	Nej
Valg af certifikat	15	Usigneret 8-bit	1	Nej

Når du bruger indstillingen DHCP 43, skal du bemærke følgende egenskaber ved metoden:

Underindstillinger (10–15) er reserveret til CDC (Custom Device Certificate).
Den maksimale længde på DHCP indstilling 43 er 255 byte.
Den maksimale længde af Server + Challenge Password skal være mindre end 208 byte.
Værdien af FIPS-tilstand skal være i overensstemmelse med onboarding-provisioneringskonfigurationen. Ellers kan telefonen ikke hente det tidligere installerede certifikat efter onboarding. Nemlig
- Hvis telefonen registreres i et miljø, hvor FIPS-tilstanden er deaktiveret, behøver du ikke konfigurere parameteren FIPS-tilstand i DHCP indstilling 43. FIPS-tilstanden er som standard deaktiveret.
- Hvis telefonen registreres i et miljø, hvor FIPS-tilstanden er aktiveret, skal du aktivere FIPS-tilstanden i DHCP indstilling 43. Se Aktivér FIPS-tilstand for at få flere oplysninger.
Adgangskoden i valgmulighed 43 er i klartekst.
Hvis udfordringsadgangskoden er tom, bruger telefonen MIC/SUDI til den første tilmelding og certifikatfornyelse. Hvis udfordringsadgangskoden er konfigureret, bruges den kun til den første tilmelding, og det installerede certifikat bruges til certifikatfornyelsen.
Enable 802.1X Authentication (Aktivér 802.1X-godkendelse ) og Certifikatvalg bruges kun til telefoner i kablede netværk.
DHCP indstilling 60 (Id for leverandørklasse) bruges til at identificere enhedsmodellen.

Følgende tabel indeholder et eksempel på DHCP indstilling 43 (underindstilling 10–15):

Suboption decimal/hex	Værdilængde (byte) decimal/hex	Værdi	Hex-værdi
10/0a	1/01	1 (0: Deaktiveret; 1: Aktiveret)	01
11/0B	18/12	http://10.79.57.91	687474703a2f2f31302e37392e35372e3931
12/0c	20/14	12040870625C5B755D73F5925285F8F5FF5D55AF	12040870625C5B755D73F5925285F8F5FF5D55AF
13/0D	16/10	D233CCF9B9952A15	44323333434346394239393532413135
14/0E	1/01	1 (0: Nej; 1: Ja)	01
15/0F	1/01	1 (0: Produktion installeret; 1: Brugerdefineret installeret)	01

Oversigt over parameterværdierne:

FIPS-tilstand = aktiveret
Server = http://10.79.57.91
Root CA-fingeraftryk = 12040870625C5B755D73F5925285F8F5FF5D55AF
Udfordringsadgangskode = D233CCF9B9952A15
Aktiver 802.1X-godkendelse = Ja
Valg af certifikat = Brugerdefineret installeret

Syntaksen for den endelige hex-værdi er: {<suboption><length><value>}...

I henhold til parameterværdierne ovenfor er den endelige hex-værdi som følger:

0a01010b12687474703a2f2f31302e37392e35372e39310c1412040870625C5B755D73F5925285F8F5FF5D55AF0d10443233334343463942393935324131350e01010f0101

Konfigurer DHCP indstilling 43 på en DHCP-server.

Dette trin er et eksempel på konfigurationer af DHCP mulighed 43 i Cisco Network Register.
1. Tilføj DHCP definitionssæt for indstilling.
  Leverandørindstillingsstrengen er modelnavnet på de IP telefoner. Den gyldige værdi er: DP-9841, DP-9851, DP-9861, DP-9871 eller CP-8875.
2. Føj DHCP indstilling 43 og underindstillinger til det DHCP indstillingsdefinitionssæt.
  Eksempel:
3. Føj indstilling 43 til politikken for DHCP, og konfigurer værdien på følgende måde:
  Eksempel:
  (10 1)(11 http://10.79.57.91)(12 12040870625C5B755D73F5925285F8F5FF5D55AF)(13 D233CCF9B9952A15)(14 1)(15 1)
4. Kontroller indstillingerne. Du kan bruge Wireshark til at registrere et spor af netværkstrafikken mellem telefonen og tjenesten.
Udfør en fabriksnulstilling af telefonen.
Når telefonen er nulstillet, udfyldes parametrene Server, Root CA Fingerprint og Challenge Password automatisk. Disse parametre findes i afsnittet SCEP-konfiguration 1 fra Certifikat > brugerdefineret på telefonadministrationswebsiden.
Du kan kontrollere detaljerne om det installerede certifikat ved at klikke på Vis i afsnittet Eksisterende certifikater .
Du kan kontrollere certifikatets installationsstatus ved at vælge Certifikat > brugerdefineret certifikatstatus. Status 1 for download viser det seneste resultat. Hvis der opstår problemer under certifikattilmeldingen, kan årsagen til fejlfinding vises i downloadstatussen.
Hvis den anfægtede adgangskodegodkendelse mislykkes, bliver brugerne bedt om at indtaste adgangskoden på telefonskærmen.
(Valgfrit): Hvis du vil fjerne det installerede certifikat fra telefonen, skal du klikke på Slet i afsnittet Eksisterende certifikater .
Når du klikker på knappen, fjernelsen starter straks uden en bekræftelse.

SCEP's fornyelse af certifikater

Enhedscertifikatet kan opdateres automatisk af SCEP-processen.

Telefonen kontrollerer, om certifikatet udløber om 15 dage hver 4. time. Hvis det er tilfældet, starter telefonen automatisk certifikatfornyelsesprocessen.
Hvis udfordringsadgangskoden er tom, bruger telefonen MIC/SUDI til både første tilmelding og fornyelse af certifikatet. Hvis udfordringsadgangskoden er konfigureret, bruges den kun til første tilmelding, det eksisterende/installerede certifikat bruges til certifikatfornyelse.
Telefonen fjerner ikke det gamle enhedscertifikat, før den henter det nye.
Hvis fornyelsen af certifikatet mislykkes, fordi enhedens certifikat eller CA udløber, udløser telefonen automatisk den første tilmelding. I mellemtiden, hvis godkendelse af udfordringsadgangskode mislykkes, vises en skærmbillede til indtastning af adgangskode på telefonskærmen, og brugerne bliver bedt om at indtaste udfordringsadgangskoden på telefonen.

Aktivér FIPS-tilstand

Du kan gøre en telefon FIPS (Federal Information Processing Standards) kompatibel.

FIPS er et sæt standarder, der beskriver dokumentbehandling, krypteringsalgoritmer og andre informationsteknologiske standarder til brug inden for ikke-militære myndigheder og af offentlige entreprenører og leverandører, der arbejder med agenturerne. CiscoSSL FOM (FIPS Object Module) er en omhyggeligt defineret softwarekomponent, der er designet til kompatibilitet med CiscoSSL-biblioteket, så produkter, der bruger CiscoSSL-biblioteket og API, kan konverteres til at bruge FIPS 140-2-valideret kryptografi med minimal indsats.

1	Gå til websiden til telefonadministration
2	Vælg Tale > System.
3	I afsnittet Sikkerhedsindstillinger skal du vælge Ja eller Nej i FIPS-tilstandsparameteren .
4	Klik på Send alle ændringer. Når du aktiverer FIPS, fungerer følgende funktioner problemfrit på telefonen: Godkendelse af afbildning Sikker opbevaring Kryptering af konfigurationsfiler TLS: HTTP'er PRT-overførsel Firmwareopgradering Gensynkronisering af profil Service ombord Webex onboarding SIP via TLS 802.1x (kablet) SIP-fordøjelse (RFC 8760) SRTP Webex opkaldslogger og Webex telefonbog En knap at trykke på (OBTP)

Indstil bruger- og adminadgangskode

Når telefonen er registreret til et opkaldskontrolsystem første gang, eller du udfører en fabriksnulstilling på telefonen, skal du indstille bruger- og admin-adgangskoden for at forbedre telefonens sikkerhed. Først når adgangskoden er angivet, kan du sende ændringerne fra telefonens webside.

Advarslen om ingen adgangskode er som standard aktiveret på telefonen. Når telefonen ikke har nogen bruger- eller administratoradgangskode, vises følgende advarsler:

På telefonens webside vises meddelelsen "Ingen administratoradgangskode. Internettet er skrivebeskyttet, og du kan ikke sende ændringer. Skift adgangskoden." i øverste venstre hjørne.
Felterne Brugeradgangskode og Administratoradgangskode viser advarslen "Ingen adgangskode angivet", hvis den er tom.
Telefonskærmen Problemer og diagnosticering viser problemet "Ingen adgangskode angivet".

1	Gå til websiden til telefonadministration
2	Vælg Tale > System.
3	(Valgfrit) Indstil parameteren Vis advarsler om adgangskode til Ja i afsnittet Systemkonfiguration , og klik derefter påSend alle ændringer . Du kan også aktivere parametrene i telefonkonfigurationsfilen (cfg.xml). `<Display_Password_Warnings ua="na">Ja</Display_Password_Warnings>` Standard: ja Indstillinger: Ja\|Nej Når parameteren er indstillet til Nej, vises adgangskodeadvarslen hverken på websiden eller på telefonskærmen. Desuden aktiveres klar-tilstanden for sidenettet ikke, selvom adgangskoden er tom.
4	Find parameteren User Password eller Admin Password, og klik på Skift adgangskode ud for parameteren.
5	Indtast den aktuelle brugeradgangskode i feltet Gammel adgangskode . Hvis du ikke har en adgangskode, skal du lade feltet være tomt. Standardværdien er tom.
6	Indtast en ny adgangskode i feltet Ny adgangskode .
7	Klik på Send. Meddelelsen `Adgangskode er blevet ændret.` vises på websiden. Websiden opdateres om flere sekunder. Advarslen ud for parameteren forsvinder. Når du har angivet brugeradgangskoden, vises denne parameter følgende i XML filen til telefonkonfiguration (cfg.xml): `<!-- <Admin_Password ua="na">***********</Admin_Password> <User_Password ua="rw">***********</User_Password> -->` Hvis du får vist 403-fejlkoden, når du forsøger at få adgang til telefonens webside, skal du angive bruger- eller administrationsadgangskoden ved at klargøre i telefonkonfigurationsfilen (cfg.xml). Angiv f.eks. en streng i dette format: `<Admin_Password ua="na">P0ssw0rd_tes89</Admin_Password>` `<User_Password ua="rw">Abc123</User_Password>`

802.1X autentificering

Cisco IP-telefon understøtter 802.1X-godkendelse.

Cisco IP-telefon og Cisco Catalyst-switches bruger traditionelt set Cisco Discovery Protocol (CDP) til at identificere hinanden og bestemme parametre som f.eks. VLAN-tildeling og integreret strømkrav. CDP identificerer ikke lokalt tilknyttede arbejdsstationer. Cisco IP-telefon har en EAPOL-gennemføringsmekanisme. Denne mekanisme giver mulighed for, at en arbejdsstation, der er knyttet til Cisco IP-telefon, kan overføre EAPOL-meddelelser til 802.1X-godkendelsesfunktionen på LAN-switchen. Gennemføringsmekanismen sikrer, at IP-telefonen ikke fungerer som den LAN-switch, der skal godkende et dataslutpunkt før adgang til netværket.

Cisco IP-telefon har også en proxymekanisme til EAPOL-aflogning. Hvis den lokalt tilknyttede pc kobles fra IP-telefonen, ser LAN-kontakten ikke afbrydelsen af det fysiske link, fordi linket mellem LAN-switchen og IP-telefonen bevares. For at undgå at kompromittere netværkets integritet sender IP-telefonen en meddelelse om EAPOL-aflogning til switchen på vegne af nedstrøms-pc'en, der får LAN-switchen til at rydde godkendelsesposten for nedstrøms-pc'en.

Understøttelse af 802.1X-godkendelse kræver flere komponenter:

Cisco IP-telefon: Telefonen starter anmodningen for at få adgang til netværket. Cisco IP-telefon indeholder en 802.1X-supplikant. Denne supplikant giver netværksadministratorer kontrol over forbindelsen mellem IP-telefoner og porte på LAN-switch. Den aktuelle version af telefonens 802.1X-supplikant bruger EAP-FAST- og EAP-TLS-indstillingerne til netværksgodkendelse.
Godkendelsesserver: Godkendelsesserveren og switchen skal begge være konfigureret med en delt hemmelighed, der godkender telefonen.
Switch: Switchen skal understøtter 802.1X, så den kan fungere som godkendelsesfunktion og sender meddelelserne mellem telefonen og godkendelsesserveren. Når udvekslingen er fuldført, giver eller afviser switchen at give telefonen adgang til netværket.

Du skal udføre følgende handlinger for at konfigurere 802.1X.

Konfigurer de andre komponenter, før du aktiverer 802.1X-godkendelse på telefonen.
Konfigurer pc-port: 802.1X-standarden tager ikke højde for VLAN'er og anbefaler derfor, at der kun godkendes én enkelt enhed til en bestemt switchport. Visse switches understøtter imidlertid godkendelse på flere domæner. Konfigurationen af switchen bestemmer, om du kan forbinde en pc til telefonens pc-port.
- Aktiveret: Hvis du bruger en switch, der understøtter godkendelse på flere domæner, kan du aktivere pc-porten og tilslutte en pc til den. I dette tilfælde understøtter Cisco IP-telefon proxy-EAPOL-aflogning for at overvåge godkendelsesudvekslingen mellem switchen og den tilsluttede pc.
  
  Få flere oplysninger om IEEE 802.1X-understøttelse på Cisco Catalyst-switches ved at se vejledninger i konfiguration af Cisco Catalyst-switchen på:
  
  http://www.cisco.com/en/US/products/hw/switches/ps708/tsd_products_support_series_home.html
- Deaktiveret: Hvis switchen ikke understøtter flere 802.1X-kompatible enheder på den samme port, skal du deaktivere pc-porten, når 802.1X-godkendelse er aktiveret. Hvis du ikke deaktiverer denne port og derefter forsøger at tilslutte en pc til den, afviser switchen netværksadgang til både telefonen og pc'en.
Konfigurer tale-VLAN: Da 802.1X-standarden ikke tager højde for VLAN'er, skal du konfigurere denne indstilling ud fra switchunderstøttelsen.
- Aktiveret: Hvis du bruger en switch, der understøtter godkendelse på flere domæner, kan du fortsat bruge tale-VLAN'et.
- Deaktiveret: Hvis switchen ikke understøtter godkendelse på flere domæner, skal du deaktivere tale-VLAN'et og overveje at tildele porten til det indbyggede VLAN.
(Kun for Cisco Desk Phone 9800-serien)
Cisco Desk Phone 9800-serien har et andet præfiks i PID end for andre Cisco-telefoner. Indstil Radius· for at aktivere din telefon til at passere 802.1X-godkendelse Parameteren Brugernavn , der inkluderer din Cisco Desk Phone 9800-serie.
For eksempel er PID på telefon 9841 DP-9841; du kan indstille Radius· Brugernavn : Starter med DP eller indeholder DP. Du kan angive det i begge følgende afsnit:
- Politik > Betingelser > Biblioteksbetingelser
- Politik > Politiksæt> Autorisationspolitik > Autorisationsregel 1

Aktivér 802.1X-godkendelse

Når 802.1X-godkendelse er aktiveret, bruger telefonen 802.1X-godkendelse til at anmode om netværksadgang. Når 802.1X-godkendelse er deaktiveret, bruger telefonen Cisco Discovery Protocol (CDP) til at hente VLAN- og netværksadgang. Du kan også se transaktionsstatus og ændringer i telefonens skærmmenu.

Når 802.1X-godkendelse er aktiveret, kan du også vælge enhedscertifikatet (MIC/SUDI eller brugerdefineret) for den første tilmelding og certifikatfornyelse. MIC er typisk til Cisco Video Phone 8875, SUDI er til Cisco Desk Phone 9800-serien. CDC kan kun bruges til godkendelse i 802.1x.

Udfør en af følgende handlinger for at aktivere 802.1X-godkendelse:

Vælg Voice>System i telefonens webgrænseflade, og indstil parameteren Enable 802.1X Authentication (Aktivér 802.1X-godkendelse ) til Ja . Klik derefter på Send alle ændringer.
I konfigurationsfilen (cfg.xml) skal du angive en streng i dette format:
<Enable_802.1X_Authentication ua="rw">Yes</Enable_802.1X_Authentication>
Gyldige værdier: Ja|Nej
Standard: nej
Tryk på Indstillinger på telefonen , og naviger til Netværks- og tjeneste > sikkerhedsindstillinger > 802.1X-godkendelse. Angiv feltet Enhedsgodkendelse til Til , og vælg derefter Anvend .

Tabel 2. Parametre for 802.1X-godkendelse på telefonskærmen
Parametre	Indstillinger	Standard	Beskrivelse
Enhedsgodkendelse	Til Fra	Fra	Aktivér eller deaktiver 802.1X-godkendelse på telefonen.
Transaktionsstatus		Deaktiveret	Viser status for 802.1X-godkendelse. Staten kan være (ikke begrænset til): Godkender: Angiver, at godkendelsesprocessen er i gang. Godkendt: : Angiver, at telefonen er godkendt. Afbrudt: : Angiver, at 802.1x-godkendelse er deaktiveret på telefonen.
Protokol		Ingen	Viser den EAP metode, der bruges til 802.1X-godkendelse. Protokollen kan være EAP-FAST eller EAP-TLS.
Brugercertifikattype	Produktion installeret Specialinstalleret	Produktion installeret	Vælg certifikatet til 802.1X-godkendelse under den første tilmelding og certifikatfornyelse. Produktion installeret – Manufacturing Installed Certificate (MIC) og SUDI (Secure Unique Device Identifier) bruges. Brugerdefineret installeret – CDC'et (Custom Device Certificate) bruges. Denne type certifikat kan installeres enten ved manuel overførsel på telefonens webside eller ved installation fra en SCEP-server (Simple Certificate Enrollment Protocol). Denne parameter vises kun på telefonen, når enhedsgodkendelse er aktiveret.

Vælg et certifikat (MIC eller brugerdefineret) til 802.1X-godkendelse på telefonens webside.

For kablede netværk skal du vælge Stemme>System og vælge en certifikattype på rullelisten Certifikat Vælg i afsnittet 802.1X-godkendelse.
Du kan også konfigurere denne parameter i konfigurationsfilen (cfg.xml):
<Certificate_Select ua="rw">Brugerdefineret installeret</Certificate_Select>
Gyldige værdier: Produktion installeret|Specialinstalleret
Standard: Produktion installeret
For trådløse netværk skal du vælge Stemme > System, vælge en certifikattype på rullelisten Certifikat Vælg i afsnittet Wi-Fi Profil 1.
Du kan også konfigurere denne parameter i konfigurationsfilen (cfg.xml):
<Wi-Fi_Certificate_Select_1_ ua="rw">Brugerdefineret installeret</Wi-Fi_Certificate_Select_1_>
Gyldige værdier: Produktion installeret|Specialinstalleret
Standard: Produktion installeret

Du kan finde oplysninger om, hvordan du vælger en certifikattype på telefonskærmen, under Tilslutte telefonen til et Wi-Fi netværk.

Aktivér klientinitieret tilstand for sikkerhedsforhandlinger på medieplan

For at beskytte mediesessioner kan du konfigurere telefonen til at starte sikkerhedsforhandling i medieplan med serveren. Sikkerhedsmekanismen følger standarderne i RFC 3329 og dens udvidelsesudkast Sikkerhedsmekanismenavne til medier (Se https://tools.ietf.org/html/draft-dawes-sipcore-mediasec-parameter-08#ref-2). Transport af forhandlinger mellem telefonen og serveren kan bruge SIP-protokol over UDP, TCP og TLS. Du kan begrænse, at sikkerhedsforhandling i medieplan kun anvendes, når signaltransportprotokollen er TLS.

Gå til websiden til telefonadministration

Vælg Tale > Lokalnr. (n).

I sektionen SIP Settings (SIP-indstillinger ) skal du indstille felterne MediaSec-anmodning og MediaSec over TLS Only som defineret i følgende tabel:

Tabel 3. Parametre for sikkerhedsforhandling på medieplan
Parameter	Beskrivelse
MediaSec-anmodning	Angiver, om telefonen starter sikkerhedsforhandling i medieplan med serveren. Gør et af følgende: I telefonkonfigurationsfilen med XML (cfg.xml) skal du angive en streng i dette format: `<MediaSec_Request_1_ ua="na">Ja</MediaSec_Request_1_>` I telefonens webgrænseflade skal du indstille dette felt til Ja eller Nej efter behov. Tilladte værdier: Ja \| Nej Ja – klientinitieret tilstand. Telefonen starter sikkerhedsforhandling i medieplan. Nej – serverinitieret tilstand. Serveren starter sikkerhedsforhandling i medieplan. Telefonen starter ikke forhandlinger, men kan håndtere forhandlingsanmodninger fra serveren for at oprette sikre opkald. Standard: nej
Kun MediaSec over TLS	Angiver den signaleringstransportprotokol, som sikkerhedsforhandling i medieplanen gælder for. Før du indstiller dette felt til Ja, skal du kontrollere, at signaleringstransportprotokollen er TLS. Gør et af følgende: I telefonkonfigurationsfilen med XML (cfg.xml) skal du angive en streng i dette format: `<MediaSec_Over_TLS_Only_1_ ua="na">Nej</MediaSec_Over_TLS_Only_1_>` I telefonens webgrænseflade skal du indstille dette felt til Ja eller Nej efter behov. Tilladte værdier: Ja \| Nej Ja – telefonen starter eller håndterer kun sikkerhedsforhandlinger i medieplanet, når signaleringstransportprotokollen er TLS. Nej– telefonen starter og håndterer sikkerhedsforhandlinger i medieplan uanset signaleringstransportprotokollen. Standard: nej

Klik på Send alle ændringer.

Opret Wi-Fi profil

Du kan konfigurere en Wi-Fi-profil fra telefonens webside eller via gensynkronisering af ekstern enhedsprofil og derefter knytte en brugerprofil til de tilgængelige Wi-Fi-netværk. Du kan bruge denne Wi-Fi-profil til at oprette forbindelse til et Wi-Fi. I øjeblikket kan kun én Wi-Fi profil konfigureres.

Profilen indeholder de parametre, der er krævet for, at telefoner kan oprette forbindelse til telefonserveren med Wi-Fi. Når du opretter og bruger en Wi-Fi profil, behøver du eller dine brugere ikke at konfigurere det trådløse netværk for individuelle telefoner.

En Wi-Fi-profil giver dig mulighed at forhindre eller begrænse ændringer af Wi-Fi-konfigurationen på telefonen efter brugeren.

Vi anbefaler, at du bruger en sikker profil med krypteringsaktiverede protokoller for at beskytte nøgler og adgangskoder, når du bruger en Wi-Fi profil.

Når du indstiller telefonerne til at bruge godkendelsesmetoden EAP-FAST i sikkerhedstilstand, skal brugerne bruge individuelle legitimationsoplysninger for at oprette forbindelse til et adgangspunkt.

1	Gå til telefonens webside.
2	Vælg Tale > System.
3	I afsnittet Wi-Fi Profil (n) skal du angive parametrene som beskrevet i følgende tabel Parametre for Wi-Fi profil. Konfigurationen af Wi-Fi profilen er også tilgængelig for brugerlogonet.
4	Klik på Send alle ændringer.

Parametre for Wi-Fi profil

Følgende tabel definerer funktionen og brugen af hver parameter i sektionen Wi-Fi-profile(n) under fanen System på telefonens webside. Den definerer også syntaksen for den streng, der tilføjes i telefonkonfigurationsfilen (cfg.xml) for at konfigurere en parameter.

Parameter	Beskrivelse
Netværksnavn	Gør det muligt at indtaste et navn på det SSID, der skal vises på telefonen. Flere profiler kan have det samme netværksnavn med forskellig sikkerhedstilstand. Gør et af følgende: I telefonkonfigurationsfilen med XML (cfg.xml) skal du angive en streng i dette format: `<Network_Name_1_ua="rw">cisco</Network_Name_1_>` Angiv et navn til SSID på telefonens webside. Standard: tom
Sikkerhedstilstand	Gør det muligt at vælge den godkendelsesmetode, der bruges til at sikre adgang til Wi-Fi-netværket. Afhængigt af den metode, du vælger, vises der et adgangskodefelt, hvor du kan angive de legitimationsoplysninger, der kræves for at oprette forbindelse til dette Wi-Fi netværk. Gør et af følgende: I telefonkonfigurationsfilen med XML (cfg.xml) skal du angive en streng i dette format: `<Security_Mode_1_ ua="rw">EAP-TLS</Security_Mode_1_> <!-- tilgængelige indstillinger: Auto\|EAP-FAST\|\|\|PSK\|\|Intet\|EAP-PEAP\|EAP-TLS -->` Vælg en af metoderne på telefonens webside: Auto EAP-FAST PSK Ingen EAP-PEAP EAP-TLS Standard: automatisk
Wi-Fi-bruger-id	Gør det muligt at angive et bruger-id for netværksprofilen. Dette felt er tilgængeligt, når du indstiller sikkerhedstilstanden til Auto, EAP-FAST eller EAP-PEAP. Dette er et obligatorisk felt, og der kan højst være 32 alfanumeriske tegn. Gør et af følgende: I telefonkonfigurationsfilen med XML (cfg.xml) skal du angive en streng i dette format: `<Wi-Fi_User_ID_1_ua="rw"></Wi-Fi_User_ID_1_>` Angiv et bruger-id for netværksprofilen på telefonens webside. Standard: tom
Wi-Fi-adgangskode	Gør det muligt at angive adgangskoden for det angivne Wi-Fi-bruger-id. Gør et af følgende: I telefonkonfigurationsfilen med XML (cfg.xml) skal du angive en streng i dette format: `<Wi-Fi_Password_1_ ua="rw"></Wi-Fi_Password_1_>` Indtast en adgangskode til det bruger-id, du har tilføjet, på telefonens webside. Standard: tom
Frekvensbånd	Gør det muligt at vælge frekvensbåndet for det trådløse signal, som WLAN'et bruger. Gør et af følgende: I telefonkonfigurationsfilen med XML (cfg.xml) skal du angive en streng i dette format: `<Frequency_Band_1_ ua="rw">Auto</Frequency_Band_1_>` Vælg en af indstillingerne på telefonens webside: Auto 2,4 GHz 5 GHz Standard: automatisk
Valg af certifikat	Gør det muligt at vælge en certifikattype til certifikatførste tilmelding og certifikatfornyelse i det trådløse netværk. Denne proces er kun tilgængelig for 802.1X-godkendelse. Gør et af følgende: I telefonkonfigurationsfilen med XML (cfg.xml) skal du angive en streng i dette format: `<Certificate_Select_1_ ua="rw">Produktion installeret</Certificate_Select_1_>` Vælg en af indstillingerne på telefonens webside: Produktion installeret Specialinstalleret Standard: Produktion installeret