Installer brugerdefineret enhedscertifikat manuelt

Du kan manuelt installere et CDC (Custom Device Certificate) på telefonen ved at overføre certifikatet fra websiden til telefonadministration.

Før du begynder

Før du kan installere et brugerdefineret enhedscertifikat for en telefon, skal du have:

  • En certifikatfil (.p12 eller .pfx), der er gemt på din pc. Filen indeholder certifikatet og den private nøgle.
  • Certifikatets adgangskode til uddraget. Adgangskoden bruges til at dekryptere certifikatfilen.
1

Gå til websiden til telefonadministration

2

Vælg Certifikat.

3

I afsnittet Tilføj certifikat skal du klikke på Gennemse ....

4

Gå til certifikatet på din pc.

5

I feltet Udtræk adgangskode skal du angive certifikatudtræksadgangskode.

6

Klik på Upload.

Hvis certifikatfilen og adgangskoden er korrekte, modtager du meddelelsen "Certifikat tilføjet.". Ellers mislykkes overførslen med en fejlmeddelelse, der angiver, at certifikatet ikke kan overføres.
7

Du kan kontrollere detaljerne om det installerede certifikat ved at klikke på Vis i afsnittet Eksisterende certifikater .

8

Hvis du vil fjerne det installerede certifikat fra telefonen, skal du klikke på Slet i afsnittet Eksisterende certifikater .

Når du klikker på knappen, fjernelsen starter straks uden en bekræftelse.

Hvis certifikatet fjernes, modtager du meddelelsen "Certifikat slettet.".

Installer automatisk brugerdefineret enhedscertifikat af SCEP

Du kan konfigurere SCEP-parametrene (Simple Certificate Enrollment Protocol) til automatisk at installere CDC (Custom Device Certificate), hvis du ikke vil overføre certifikatfilen manuelt, eller hvis du ikke har certifikatfilen på plads.

Når SCEP-parametrene er konfigureret korrekt, sender telefonen anmodninger til SCEP-serveren, og CA-certifikatet valideres af enheden ved hjælp af det definerede fingeraftryk.

Før du begynder

Før du kan foretage en automatisk installation af et brugerdefineret enhedscertifikat for en telefon, skal du have:

  • SCEP-serveradresse
  • SHA-1- eller SHA-256-fingeraftryk af CA-rodcertifikatet til SCEP-serveren
1

Gå til websiden til telefonadministration

2

Vælg Certifikat.

3

I afsnittet SCEP-konfiguration 1 skal du indstille parametrene som beskrevet i følgende tabel Parametre for SCEP-konfiguration.

4

Klik på Send alle ændringer.

Parametre for SCEP-konfiguration

Følgende tabel definerer funktionen og brugen af SCEP-konfigurationsparametre i afsnittet SCEP-konfiguration 1 under fanen Certifikat i telefonens webgrænseflade. Den definerer også syntaksen for den streng, der tilføjes i telefonkonfigurationsfilen (cfg.xml) for at konfigurere en parameter.

Tabel 1. Parametre for SCEP-konfiguration
ParameterBeskrivelse
Server

SCEP-serveradresse. Denne parameter er obligatorisk.

Gør et af følgende:

  • I telefonkonfigurationsfilen med XML (cfg.xml) skal du angive en streng i dette format:

    <CDC_Server_1_ ua="na">http://10.79.57.91</CDC_Server_1_>

  • Angiv SCEP-serveradressen på telefonens webside.

Gyldige værdier: En URL- eller IP-adresse. HTTPS-ordningen understøttes ikke.

Standard: tom

Root CA-fingeraftryk

SHA256- eller SHA1-fingeraftryk af rodnøglecenteret til validering under SCEP-processen. Denne parameter er obligatorisk.

Gør et af følgende:

  • I telefonkonfigurationsfilen med XML (cfg.xml) skal du angive en streng i dette format:

    <CDC_Root_CA_Fingerprint_1_ ua="na">12040870625C5B755D73F5925285F8F5FF5D55AF</CDC_Root_CA_Fingerprint_1_>

  • Indtast et gyldigt fingeraftryk på telefonens webside.

Standard: tom

Udfordr adgangskode

Udfordringsadgangskoden til godkendelse af Certificate Authority (CA) mod telefonen under en certifikattilmelding via SCEP. Denne parameter er valgfri.

Afhængigt af det faktiske SCEP-miljø varierer funktionsmåden for udfordringsadgangskoden.

  • Hvis telefonen får et certifikat fra en Cisco RA, der kommunikerer med CA, understøttes udfordringsadgangskoden ikke på CA. I dette tilfælde bruger Cisco RA telefonens MIC/SUDI til godkendelse for at få adgang til CA. Telefonen bruger MIC/SUDI til både første tilmelding og fornyelse af certifikater.
  • Hvis telefonen får et certifikat ved at kommunikere direkte med CA, understøttes challenge-adgangskoden på CA. Hvis den er konfigureret, bruges den kun til den første tilmelding. Til certifikatfornyelsen bruges det installerede certifikat i stedet.

Gør et af følgende:

  • I telefonkonfigurationsfilen med XML (cfg.xml) skal du angive en streng i dette format:

    <CDC_Challenge_Password_1_ ua="na"></CDC_Challenge_Password_1_>

    Adgangskoden er maskeret i konfigurationsfilen.

  • Indtast adgangskoden til udfordringen på telefonens webside.

Standard: tom

Konfiguration af SCEP-parametre via DHCP indstilling 43

Ud over tilmelding af SCEP-certifikat ved hjælp af de manuelle konfigurationer på telefonens webside kan du også bruge indstillingen DHCP 43 til at udfylde parametrene fra en DHCP server. Den DHCP indstilling 43 er forudkonfigureret med SCEP-parametrene, senere kan telefonen hente parametrene fra den DHCP server for at udføre SCEP-certifikattilmeldingen.

  • Konfigurationen af SCEP-parametre via DHCP indstilling 43 er kun tilgængelig for den telefon, hvor der udføres en fabriksnulstilling.
  • Telefoner må ikke placeres i et netværk, der understøtter både løsning 43 og fjernklargøring (f.eks. valgmulighed 66,160,159,150 eller cloud-klargøring). Ellers får telefoner muligvis ikke Option 43-konfigurationerne.

Hvis du vil tilmelde et SCEP-certifikat ved at konfigurere SCEP-parametrene i indstillingen DHCP indstilling 43, skal du gøre følgende:

  1. Forbered et SCEP-miljø.

    Du kan få oplysninger om opsætning af SCEP-miljøet i dokumentationen til din SCEP-server.

  2. Konfigurer DHCP indstilling 43 (defineret i 8.4 Leverandørspecifikke oplysninger, RFC 2132).

    Underindstillinger (10-15) er reserveret til metoden:

    Parameter på telefonens websideUnderindstillingTypeLængde (byte)Mandatory
    FIPS-tilstand10Boolesk1Nej*
    Server11streng208 - længde (udfordringsadgangskode)Ja
    Root CA-fingeraftryk12binær20 eller 32Ja
    Udfordr adgangskode13streng208 - længde (Server)Nej*
    Aktivér 802.1X-godkendelse14Boolesk1Nej
    Valg af certifikat15Usigneret 8-bit1Nej

    Når du bruger indstillingen DHCP 43, skal du bemærke følgende egenskaber ved metoden:

    • Underindstillinger (10–15) er reserveret til CDC (Custom Device Certificate).
    • Den maksimale længde på DHCP indstilling 43 er 255 byte.
    • Den maksimale længde af Server + Challenge Password skal være mindre end 208 byte.
    • Værdien af FIPS-tilstand skal være i overensstemmelse med onboarding-provisioneringskonfigurationen. Ellers kan telefonen ikke hente det tidligere installerede certifikat efter onboarding. Nemlig
      • Hvis telefonen registreres i et miljø, hvor FIPS-tilstanden er deaktiveret, behøver du ikke konfigurere parameteren FIPS-tilstand i DHCP indstilling 43. FIPS-tilstanden er som standard deaktiveret.
      • Hvis telefonen registreres i et miljø, hvor FIPS-tilstanden er aktiveret, skal du aktivere FIPS-tilstanden i DHCP indstilling 43. Se Aktivér FIPS-tilstand for at få flere oplysninger.
    • Adgangskoden i valgmulighed 43 er i klartekst.

      Hvis udfordringsadgangskoden er tom, bruger telefonen MIC/SUDI til den første tilmelding og certifikatfornyelse. Hvis udfordringsadgangskoden er konfigureret, bruges den kun til den første tilmelding, og det installerede certifikat bruges til certifikatfornyelsen.

    • Enable 802.1X Authentication (Aktivér 802.1X-godkendelse ) og Certifikatvalg bruges kun til telefoner i kablede netværk.
    • DHCP indstilling 60 (Id for leverandørklasse) bruges til at identificere enhedsmodellen.

    Følgende tabel indeholder et eksempel på DHCP indstilling 43 (underindstilling 10–15):

    Suboption decimal/hexVærdilængde (byte) decimal/hexVærdiHex-værdi
    10/0a1/011 (0: Deaktiveret; 1: Aktiveret)01
    11/0B18/12http://10.79.57.91687474703a2f2f31302e37392e35372e3931
    12/0c20/1412040870625C5B755D73F5925285F8F5FF5D55AF12040870625C5B755D73F5925285F8F5FF5D55AF
    13/0D16/10D233CCF9B9952A1544323333434346394239393532413135
    14/0E1/011 (0: Nej; 1: Ja)01
    15/0F1/011 (0: Produktion installeret; 1: Brugerdefineret installeret) 01

    Oversigt over parameterværdierne:

    • FIPS-tilstand = aktiveret

    • Server = http://10.79.57.91

    • Root CA-fingeraftryk = 12040870625C5B755D73F5925285F8F5FF5D55AF

    • Udfordringsadgangskode = D233CCF9B9952A15

    • Aktiver 802.1X-godkendelse = Ja

    • Valg af certifikat = Brugerdefineret installeret

    Syntaksen for den endelige hex-værdi er: {<suboption><length><value>}...

    I henhold til parameterværdierne ovenfor er den endelige hex-værdi som følger:

    0a01010b12687474703a2f2f31302e37392e35372e39310c1412040870625C5B755D73F5925285F8F5FF5D55AF0d10443233334343463942393935324131350e01010f0101

  3. Konfigurer DHCP indstilling 43 på en DHCP-server.

    Dette trin er et eksempel på konfigurationer af DHCP mulighed 43 i Cisco Network Register.

    1. Tilføj DHCP definitionssæt for indstilling.

      Leverandørindstillingsstrengen er modelnavnet på de IP telefoner. Den gyldige værdi er: DP-9841, DP-9851, DP-9861, DP-9871 eller CP-8875.

    2. Føj DHCP indstilling 43 og underindstillinger til det DHCP indstillingsdefinitionssæt.

      Eksempel:

      Skærmbillede af DHCP mulighed 43-definitioner på Cisco Network Register

    3. Føj indstilling 43 til politikken for DHCP, og konfigurer værdien på følgende måde:

      Eksempel:

      (10 1)(11 http://10.79.57.91)(12 12040870625C5B755D73F5925285F8F5FF5D55AF)(13 D233CCF9B9952A15)(14 1)(15 1)

    4. Kontroller indstillingerne. Du kan bruge Wireshark til at registrere et spor af netværkstrafikken mellem telefonen og tjenesten.
  4. Udfør en fabriksnulstilling af telefonen.

    Når telefonen er nulstillet, udfyldes parametrene Server, Root CA Fingerprint og Challenge Password automatisk. Disse parametre findes i afsnittet SCEP-konfiguration 1 fra Certifikat > brugerdefineret på telefonadministrationswebsiden.

    Du kan kontrollere detaljerne om det installerede certifikat ved at klikke på Vis i afsnittet Eksisterende certifikater .

    Du kan kontrollere certifikatets installationsstatus ved at vælge Certifikat > brugerdefineret certifikatstatus. Status 1 for download viser det seneste resultat. Hvis der opstår problemer under certifikattilmeldingen, kan årsagen til fejlfinding vises i downloadstatussen.

    Hvis den anfægtede adgangskodegodkendelse mislykkes, bliver brugerne bedt om at indtaste adgangskoden på telefonskærmen.
  5. (Valgfrit): Hvis du vil fjerne det installerede certifikat fra telefonen, skal du klikke på Slet i afsnittet Eksisterende certifikater .
    Når du klikker på knappen, fjernelsen starter straks uden en bekræftelse.

SCEP's fornyelse af certifikater

Enhedscertifikatet kan opdateres automatisk af SCEP-processen.

  • Telefonen kontrollerer, om certifikatet udløber om 15 dage hver 4. time. Hvis det er tilfældet, starter telefonen automatisk certifikatfornyelsesprocessen.
  • Hvis udfordringsadgangskoden er tom, bruger telefonen MIC/SUDI til både første tilmelding og fornyelse af certifikatet. Hvis udfordringsadgangskoden er konfigureret, bruges den kun til første tilmelding, det eksisterende/installerede certifikat bruges til certifikatfornyelse.
  • Telefonen fjerner ikke det gamle enhedscertifikat, før den henter det nye.
  • Hvis fornyelsen af certifikatet mislykkes, fordi enhedens certifikat eller CA udløber, udløser telefonen automatisk den første tilmelding. I mellemtiden, hvis godkendelse af udfordringsadgangskode mislykkes, vises en skærmbillede til indtastning af adgangskode på telefonskærmen, og brugerne bliver bedt om at indtaste udfordringsadgangskoden på telefonen.

Aktivér FIPS-tilstand

Du kan gøre en telefon FIPS (Federal Information Processing Standards) kompatibel.

FIPS er et sæt standarder, der beskriver dokumentbehandling, krypteringsalgoritmer og andre informationsteknologiske standarder til brug inden for ikke-militære myndigheder og af offentlige entreprenører og leverandører, der arbejder med agenturerne. CiscoSSL FOM (FIPS Object Module) er en omhyggeligt defineret softwarekomponent, der er designet til kompatibilitet med CiscoSSL-biblioteket, så produkter, der bruger CiscoSSL-biblioteket og API, kan konverteres til at bruge FIPS 140-2-valideret kryptografi med minimal indsats.

1

Gå til websiden til telefonadministration

2

Vælg Tale > System.

3

I afsnittet Sikkerhedsindstillinger skal du vælge Ja eller Nej i FIPS-tilstandsparameteren .

4

Klik på Send alle ændringer.

Når du aktiverer FIPS, fungerer følgende funktioner problemfrit på telefonen:
  • Godkendelse af afbildning
  • Sikker opbevaring
  • Kryptering af konfigurationsfiler
  • TLS:
    • HTTP'er
    • PRT-overførsel
    • Firmwareopgradering
    • Gensynkronisering af profil
    • Service ombord
    • Webex onboarding
    • SIP via TLS
    • 802.1x (kablet)
  • SIP-fordøjelse (RFC 8760)
  • SRTP
  • Webex opkaldslogger og Webex telefonbog
  • En knap at trykke på (OBTP)

Fjern et sikkerhedscertifikat manuelt

Du kan manuelt fjerne et sikkerhedscertifikat fra en telefon, hvis SCEP (Enrollment Protocol SCEP) ikke er tilgængeligt.

1

Vælg Certifikater på websiden for telefonsadministration.

2

Find certifikatet på siden Certifikater.

3

Klik på Slet.

4

Genstart telefonen, når sletningen er fuldført.

Indstil bruger- og adminadgangskode

Når telefonen er registreret til et opkaldskontrolsystem første gang, eller du udfører en fabriksnulstilling på telefonen, skal du indstille bruger- og admin-adgangskoden for at forbedre telefonens sikkerhed. Først når adgangskoden er angivet, kan du sende ændringerne fra telefonens webside.

Advarslen om ingen adgangskode er som standard aktiveret på telefonen. Når telefonen ikke har nogen bruger- eller administratoradgangskode, vises følgende advarsler:

  • På telefonens webside vises meddelelsen "Ingen administratoradgangskode. Internettet er skrivebeskyttet, og du kan ikke sende ændringer. Skift adgangskoden." i øverste venstre hjørne.

    Felterne Brugeradgangskode og Administratoradgangskode viser advarslen "Ingen adgangskode angivet", hvis den er tom.

  • Telefonskærmen Problemer og diagnosticering viser problemet "Ingen adgangskode angivet".
1

Gå til websiden til telefonadministration

2

Vælg Tale > System.

3

(Valgfrit) Indstil parameteren Vis advarsler om adgangskode til Ja i afsnittet Systemkonfiguration , og klik derefter påSend alle ændringer .

Du kan også aktivere parametrene i telefonkonfigurationsfilen (cfg.xml).

<Display_Password_Warnings ua="na">Ja</Display_Password_Warnings>

Standard: ja

Indstillinger: Ja|Nej

Når parameteren er indstillet til Nej, vises adgangskodeadvarslen hverken på websiden eller på telefonskærmen. Desuden aktiveres klar-tilstanden for sidenettet ikke, selvom adgangskoden er tom.

4

Find parameteren User Password eller Admin Password, og klik på Skift adgangskode ud for parameteren.

5

Indtast den aktuelle brugeradgangskode i feltet Gammel adgangskode .

Hvis du ikke har en adgangskode, skal du lade feltet være tomt. Standardværdien er tom.
6

Indtast en ny adgangskode i feltet Ny adgangskode .

7

Klik på Send.

Meddelelsen Adgangskode er blevet ændret. vises på websiden. Websiden opdateres om flere sekunder. Advarslen ud for parameteren forsvinder.

Når du har angivet brugeradgangskoden, vises denne parameter følgende i XML filen til telefonkonfiguration (cfg.xml):

<!-- <Admin_Password ua="na">*************</Admin_Password> <User_Password ua="rw">*************</User_Password> -->

Hvis du får vist 403-fejlkoden, når du forsøger at få adgang til telefonens webside, skal du angive bruger- eller administrationsadgangskoden ved at klargøre i telefonkonfigurationsfilen (cfg.xml). Angiv f.eks. en streng i dette format:

<Admin_Password ua="na">P0ssw0rd_tes89</Admin_Password>

<User_Password ua="rw">Abc123</User_Password>

802.1X autentificering

Cisco IP-telefon understøtter 802.1X-godkendelse.

Cisco IP-telefon og Cisco Catalyst-switches bruger traditionelt set Cisco Discovery Protocol (CDP) til at identificere hinanden og bestemme parametre som f.eks. VLAN-tildeling og integreret strømkrav. CDP identificerer ikke lokalt tilknyttede arbejdsstationer. Cisco IP-telefon har en EAPOL-gennemføringsmekanisme. Denne mekanisme giver mulighed for, at en arbejdsstation, der er knyttet til Cisco IP-telefon, kan overføre EAPOL-meddelelser til 802.1X-godkendelsesfunktionen på LAN-switchen. Gennemføringsmekanismen sikrer, at IP-telefonen ikke fungerer som den LAN-switch, der skal godkende et dataslutpunkt før adgang til netværket.

Cisco IP-telefon har også en proxymekanisme til EAPOL-aflogning. Hvis den lokalt tilknyttede pc kobles fra IP-telefonen, ser LAN-kontakten ikke afbrydelsen af det fysiske link, fordi linket mellem LAN-switchen og IP-telefonen bevares. For at undgå at kompromittere netværkets integritet sender IP-telefonen en meddelelse om EAPOL-aflogning til switchen på vegne af nedstrøms-pc'en, der får LAN-switchen til at rydde godkendelsesposten for nedstrøms-pc'en.

Understøttelse af 802.1X-godkendelse kræver flere komponenter:

  • Cisco IP-telefon: Telefonen starter anmodningen for at få adgang til netværket. Cisco IP-telefon indeholder en 802.1X-supplikant. Denne supplikant giver netværksadministratorer kontrol over forbindelsen mellem IP-telefoner og porte på LAN-switch. Den aktuelle version af telefonens 802.1X-supplikant bruger EAP-FAST- og EAP-TLS-indstillingerne til netværksgodkendelse.

  • Godkendelsesserver: Godkendelsesserveren og switchen skal begge være konfigureret med en delt hemmelighed, der godkender telefonen.

  • Switch: Switchen skal understøtter 802.1X, så den kan fungere som godkendelsesfunktion og sender meddelelserne mellem telefonen og godkendelsesserveren. Når udvekslingen er fuldført, giver eller afviser switchen at give telefonen adgang til netværket.

Du skal udføre følgende handlinger for at konfigurere 802.1X.

  • Konfigurer de andre komponenter, før du aktiverer 802.1X-godkendelse på telefonen.

  • Konfigurer pc-port: 802.1X-standarden tager ikke højde for VLAN'er og anbefaler derfor, at der kun godkendes én enkelt enhed til en bestemt switchport. Visse switches understøtter imidlertid godkendelse på flere domæner. Konfigurationen af switchen bestemmer, om du kan forbinde en pc til telefonens pc-port.

    • Aktiveret: Hvis du bruger en switch, der understøtter godkendelse på flere domæner, kan du aktivere pc-porten og tilslutte en pc til den. I dette tilfælde understøtter Cisco IP-telefon proxy-EAPOL-aflogning for at overvåge godkendelsesudvekslingen mellem switchen og den tilsluttede pc.

      Få flere oplysninger om IEEE 802.1X-understøttelse på Cisco Catalyst-switches ved at se vejledninger i konfiguration af Cisco Catalyst-switchen på:

      http://www.cisco.com/en/US/products/hw/switches/ps708/tsd_products_support_series_home.html

    • Deaktiveret: Hvis switchen ikke understøtter flere 802.1X-kompatible enheder på den samme port, skal du deaktivere pc-porten, når 802.1X-godkendelse er aktiveret. Hvis du ikke deaktiverer denne port og derefter forsøger at tilslutte en pc til den, afviser switchen netværksadgang til både telefonen og pc'en.

  • Konfigurer tale-VLAN: Da 802.1X-standarden ikke tager højde for VLAN'er, skal du konfigurere denne indstilling ud fra switchunderstøttelsen.
    • Aktiveret: Hvis du bruger en switch, der understøtter godkendelse på flere domæner, kan du fortsat bruge tale-VLAN'et.
    • Deaktiveret: Hvis switchen ikke understøtter godkendelse på flere domæner, skal du deaktivere tale-VLAN'et og overveje at tildele porten til det indbyggede VLAN.
  • (Kun for Cisco Desk Phone 9800-serien)

    Cisco Desk Phone 9800-serien har et andet præfiks i PID end for andre Cisco-telefoner. Indstil Radius· for at aktivere din telefon til at passere 802.1X-godkendelse Parameteren Brugernavn , der inkluderer din Cisco Desk Phone 9800-serie.

    For eksempel er PID på telefon 9841 DP-9841; du kan indstille Radius· Brugernavn : Starter med DP eller indeholder DP. Du kan angive det i begge følgende afsnit:

    • Politik > Betingelser > Biblioteksbetingelser

    • Politik > Politiksæt> Autorisationspolitik > Autorisationsregel 1

Aktivér 802.1X-godkendelse

Når 802.1X-godkendelse er aktiveret, bruger telefonen 802.1X-godkendelse til at anmode om netværksadgang. Når 802.1X-godkendelse er deaktiveret, bruger telefonen Cisco Discovery Protocol (CDP) til at hente VLAN- og netværksadgang. Du kan også se transaktionsstatus og ændringer i telefonens skærmmenu.

Når 802.1X-godkendelse er aktiveret, kan du også vælge enhedscertifikatet (MIC/SUDI eller brugerdefineret) for den første tilmelding og certifikatfornyelse. MIC er typisk til Cisco Video Phone 8875, SUDI er til Cisco Desk Phone 9800-serien. CDC kan kun bruges til godkendelse i 802.1x.

1

Udfør en af følgende handlinger for at aktivere 802.1X-godkendelse:

  • Vælg Voice>System i telefonens webgrænseflade, og indstil parameteren Enable 802.1X Authentication (Aktivér 802.1X-godkendelse ) til Ja . Klik derefter på Send alle ændringer.
  • I konfigurationsfilen (cfg.xml) skal du angive en streng i dette format:

    <Enable_802.1X_Authentication ua="rw">Yes</Enable_802.1X_Authentication>

    Gyldige værdier: Ja|Nej

    Standard: nej

  • Tryk på Indstillinger på telefonen the Settings hard key, og naviger til Netværks- og tjeneste > sikkerhedsindstillinger > 802.1X-godkendelse. Angiv feltet Enhedsgodkendelse til Til , og vælg derefter Anvend .
Tabel 2. Parametre for 802.1X-godkendelse på telefonskærmen

Parametre

Indstillinger

Standard

Beskrivelse

Enhedsgodkendelse

Til

Fra

Fra

Aktivér eller deaktiver 802.1X-godkendelse på telefonen.

Transaktionsstatus

Deaktiveret

Viser status for 802.1X-godkendelse. Staten kan være (ikke begrænset til):

  • Godkender: Angiver, at godkendelsesprocessen er i gang.
  • Godkendt: : Angiver, at telefonen er godkendt.
  • Afbrudt: : Angiver, at 802.1x-godkendelse er deaktiveret på telefonen.

Protokol

Ingen

Viser den EAP metode, der bruges til 802.1X-godkendelse. Protokollen kan være EAP-FAST eller EAP-TLS.

Brugercertifikattype

Produktion installeret

Specialinstalleret

Produktion installeret

Vælg certifikatet til 802.1X-godkendelse under den første tilmelding og certifikatfornyelse.

  • Produktion installeret – Manufacturing Installed Certificate (MIC) og SUDI (Secure Unique Device Identifier) bruges.
  • Brugerdefineret installeret – CDC'et (Custom Device Certificate) bruges. Denne type certifikat kan installeres enten ved manuel overførsel på telefonens webside eller ved installation fra en SCEP-server (Simple Certificate Enrollment Protocol).

Denne parameter vises kun på telefonen, når enhedsgodkendelse er aktiveret.

2

Vælg et certifikat (MIC eller brugerdefineret) til 802.1X-godkendelse på telefonens webside.

  • For kablede netværk skal du vælge Stemme>System og vælge en certifikattype på rullelisten Certifikat Vælg i afsnittet 802.1X-godkendelse.

    Du kan også konfigurere denne parameter i konfigurationsfilen (cfg.xml):

    <Certificate_Select ua="rw">Brugerdefineret installeret</Certificate_Select>

    Gyldige værdier: Produktion installeret|Specialinstalleret

    Standard: Produktion installeret

  • For trådløse netværk skal du vælge Stemme > System, vælge en certifikattype på rullelisten Certifikat Vælg i afsnittet Wi-Fi Profil 1.

    Du kan også konfigurere denne parameter i konfigurationsfilen (cfg.xml):

    <Wi-Fi_Certificate_Select_1_ ua="rw">Brugerdefineret installeret</Wi-Fi_Certificate_Select_1_>

    Gyldige værdier: Produktion installeret|Specialinstalleret

    Standard: Produktion installeret

Du kan finde oplysninger om, hvordan du vælger en certifikattype på telefonskærmen, under Tilslutte telefonen til et Wi-Fi netværk.

Konfigurer en proxyserver

Du kan konfigurere telefonen til at bruge en proxyserver for at forbedre sikkerheden. En HTTP-proxyserver kan typisk levere følgende tjenester:

  • Dirigering af trafik mellem interne og eksterne netværk
  • Filtrering, overvågning eller logning af trafik
  • Cachelagringssvar for at forbedre ydeevnen

HTTP-proxyserveren kan også fungere som en firewall mellem telefonen og internettet. Efter en vellykket konfiguration opretter telefonen forbindelse til internettet via proxyserveren, som beskytter telefonen mod cyberangreb.

Når den er konfigureret, gælder HTTP-proxyfunktionen for alle programmer, der bruger HTTP-protokollen. For eksempel:

  • GDS (Activation Code Onboarding)
  • Aktivering af EDOS-enhed
  • Onboarding til Webex Cloud (via EDOS eller GDS)
  • Brugerdefineret CA
  • Klargøring
  • Opgradering af firmware
  • Telefonstatusrapport
  • PRT-overførsel
  • XSI-tjenester
  • Webex Services

I øjeblikket understøtter funktionen kun IPv4.

1

Gå til websiden til telefonadministration

2

Vælg Tale > System.

3

I afsnittet HTTP-proxyindstillinger skal du vælge en proxytilstand fra rullelisten Proxytilstand og konfigurere de relaterede parametre.

For hver proxytilstand er de krævede parametre forskellige. Se detaljer i følgende tabel:
ProxytilstandPåkrævede parametreBeskrivelse
FraI/THTTP-proxy er deaktiveret på telefonen.
ManuelProxy-vært

Proxy Port

Proxygodkendelse: Ja

Brugernavn

Adgangskode

Angiv manuelt en proxyserver (et værtsnavn eller en IP-adresse) og en proxyport. Hvis proxyserveren kræver godkendelse, skal du angive brugernavn og adgangskode yderligere.
Proxy-vært

Proxy Port

Proxygodkendelse: Nej

Angiv en proxyserver manuelt. Proxyserveren kræver ikke legitimationsoplysninger til godkendelse.
AutoWeb Proxy Auto Discovery: Nej

PAC-URL-adresse

Angiv en gyldig PAC-URL-adresse for at hente PAC-filen.
Web Proxy Auto Discovery: Ja

Bruger WPAD-protokollen til automatisk at hente en PAC-fil.

Du kan finde flere oplysninger om parametrene under Parametre for HTTP-proxyindstillinger.

4

Klik på Send alle ændringer.

Parametre for HTTP-proxyindstillinger

Følgende tabel definerer funktionen og brugen af HTTP>proxyparametrene i afsnittet HTTP-proxyindstillinger under fanen Stemmesystem i telefonens webgrænseflade. Den definerer også syntaksen for den streng, der tilføjes i telefonkonfigurationsfilen (cfg.xml) med XML-kode, for at konfigurere en parameter.

ParameterBeskrivelse
ProxytilstandAngiver den HTTP-proxytilstand, som telefonen bruger, eller deaktiverer HTTP-proxyfunktionen.
  • Auto

    Telefonen henter automatisk en PAC-fil (Proxy Auto-Configuration) for at vælge en proxyserver. I denne tilstand kan du bestemme, om du vil bruge WPAD-protokollen (Web Proxy Auto Discovery) til at hente en PAC-fil eller manuelt angive en gyldig URL-adresse til PAC-filen.

    Du kan finde flere oplysninger om parametrene i parametrene "Web Proxy Auto Discovery" og "PAC URL" i denne tabel.

  • Manuel

    Du skal manuelt angive en server (værtsnavn eller IP-adresse) og en port til en proxyserver.

    Du kan finde flere oplysninger om parametrene under Proxyvært og Proxyport.

  • Fra

    Du deaktiverer HTTP-proxyfunktionen på telefonen.

Gør et af følgende:

  • I telefonkonfigurationsfilen med XML (cfg.xml) skal du angive en streng i dette format:

    <Proxy_Mode ua="rw">Fra</Proxy_Mode>

  • Vælg en proxytilstand på telefonens webgrænseflade, eller deaktiver funktionen.

Tilladte værdier: Auto, Manuel og Fra

Standard: fra

Web Proxy Auto DiscoveryBestemmer, om telefonen bruger WPAD-protokollen (Web Proxy Auto Discovery) til at hente en PAC-fil.

WPAD-protokollen bruger DHCP eller DNS eller begge netværksprotokoller til automatisk at finde en PAC-fil (Proxy Auto Configuration). PAC-fil bruges til at vælge en proxyserver til en given URL. Denne fil kan hostes lokalt eller på et netværk.

  • Parameterkonfigurationen træder i kraft, når proxytilstand er indstillet til Auto.
  • Hvis du indstiller parameteren til Nej, skal du angive en PAC-URL-adresse.

    Du kan få flere oplysninger om parameteren i parameteren "PAC URL" i denne tabel.

Gør et af følgende:

  • I telefonkonfigurationsfilen med XML (cfg.xml) skal du angive en streng i dette format:

    <Web_Proxy_Auto_Discovery ua="rw">Ja</Web_Proxy_Auto_Discovery>

  • På telefonens webgrænseflade skal du vælge Ja eller Nej efter behov.

Tilladte værdier: Ja og Nej

Standard: ja

PAC-URL-adresseURL-adressen til en PAC-fil.

For eksempel, http://proxy.department.branch.example.com

TFTP, HTTP og HTTPS understøttes.

Hvis du indstiller proxytilstand til automatisk registrering og automatisk registrering af webproxy til Nej, skal du konfigurere denne parameter.

Gør et af følgende:

  • I telefonkonfigurationsfilen med XML (cfg.xml) skal du angive en streng i dette format:

    <PAC_URL ua="rw">http://proxy.department.branch.example.com/pac</PAC_URL>

  • På telefonens webgrænseflade skal du angive en gyldig URL-adresse, der findes til en PAC-fil.

Standard: tom

Proxy-værtIP adresse eller værtsnavn på den proxyværtsserver, som telefonen skal have adgang til. For eksempel:

proxy.example.com

Ordningen (http:// eller https://) er ikke påkrævet.

Hvis du indstiller proxytilstand til Manuel, skal du konfigurere denne parameter.

Gør et af følgende:

  • I telefonkonfigurationsfilen med XML (cfg.xml) skal du angive en streng i dette format:

    <Proxy_Host ua="rw">proxy.example.com</Proxy_Host>

  • Angiv en IP-adresse eller et værtsnavn på proxyserveren på telefonens webgrænseflade.

Standard: tom

Proxy PortPortnummer for proxyværtsserveren.

Hvis du indstiller proxytilstand til Manuel, skal du konfigurere denne parameter.

Gør et af følgende:

  • I telefonkonfigurationsfilen med XML (cfg.xml) skal du angive en streng i dette format:

    <Proxy_Port ua="rw">3128</Proxy_Port>

  • Indtast en serverport på telefonens webgrænseflade.

Standard: 3128

ProxygodkendelseBestemmer, om brugeren skal angive de legitimationsoplysninger til godkendelse (brugernavn og adgangskode), som proxyserveren kræver. Denne parameter konfigureres i henhold til proxyserverens faktiske adfærd.

Hvis du indstiller parameteren til Ja, skal du konfigurere brugernavn og adgangskode.

For detaljer om parametrene, se parameteren "Brugernavn" og "Adgangskode" i denne tabel.

Parameterkonfigurationen træder i kraft, når proxytilstand er indstillet til Manuel .

Gør et af følgende:

  • I telefonkonfigurationsfilen med XML (cfg.xml) skal du angive en streng i dette format:

    <Proxy_Authentication ua="rw">Nej</Proxy_Authentication>

  • Indstil dette felt Ja eller Nej efter behov på telefonens webgrænseflade.

Tilladte værdier: Ja og Nej

Standard: nej

BrugernavnBrugernavn for en bruger med legitimationsoplysninger på proxyserveren.

Hvis Proxytilstand er indstillet til Manuel , og Proxygodkendelse er indstillet til Ja, skal du konfigurere parameteren.

Gør et af følgende:

  • I telefonkonfigurationsfilen med XML (cfg.xml) skal du angive en streng i dette format:

    <Proxy_Username ua="rw">Eksempel</Proxy_Username>

  • Angiv brugernavnet på telefonens webgrænseflade.

Standard: tom

AdgangskodeAdgangskode for det angivne brugernavn til proxygodkendelsesformålet.

Hvis Proxytilstand er indstillet til Manuel , og Proxygodkendelse er indstillet til Ja, skal du konfigurere parameteren.

Gør et af følgende:

  • I telefonkonfigurationsfilen med XML (cfg.xml) skal du angive en streng i dette format:

    <Proxy_Password ua="rw">Eksempel</Proxy_Password>

  • Angiv en gyldig adgangskode til proxygodkendelse for brugeren på telefonens webgrænseflade.

Standard: tom

Aktivér klientinitieret tilstand for sikkerhedsforhandlinger på medieplan

For at beskytte mediesessioner kan du konfigurere telefonen til at starte sikkerhedsforhandling i medieplan med serveren. Sikkerhedsmekanismen følger standarderne i RFC 3329 og dens udvidelsesudkast Sikkerhedsmekanismenavne til medier (Se https://tools.ietf.org/html/draft-dawes-sipcore-mediasec-parameter-08#ref-2). Transport af forhandlinger mellem telefonen og serveren kan bruge SIP-protokol over UDP, TCP og TLS. Du kan begrænse, at sikkerhedsforhandling i medieplan kun anvendes, når signaltransportprotokollen er TLS.

1

Gå til websiden til telefonadministration

2

Vælg Tale > Lokalnr. (n).

3

I sektionen SIP Settings (SIP-indstillinger ) skal du indstille felterne MediaSec-anmodning og MediaSec over TLS Only som defineret i følgende tabel:

Tabel 3. Parametre for sikkerhedsforhandling på medieplan
ParameterBeskrivelse

MediaSec-anmodning

Angiver, om telefonen starter sikkerhedsforhandling i medieplan med serveren.

Gør et af følgende:

  • I telefonkonfigurationsfilen med XML (cfg.xml) skal du angive en streng i dette format:

    <MediaSec_Request_1_ ua="na">Ja</MediaSec_Request_1_>
  • I telefonens webgrænseflade skal du indstille dette felt til Ja eller Nej efter behov.

Tilladte værdier: Ja | Nej

  • Ja – klientinitieret tilstand. Telefonen starter sikkerhedsforhandling i medieplan.
  • Nej – serverinitieret tilstand. Serveren starter sikkerhedsforhandling i medieplan. Telefonen starter ikke forhandlinger, men kan håndtere forhandlingsanmodninger fra serveren for at oprette sikre opkald.

Standard: nej

Kun MediaSec over TLS

Angiver den signaleringstransportprotokol, som sikkerhedsforhandling i medieplanen gælder for.

Før du indstiller dette felt til Ja, skal du kontrollere, at signaleringstransportprotokollen er TLS.

Gør et af følgende:

  • I telefonkonfigurationsfilen med XML (cfg.xml) skal du angive en streng i dette format:

    <MediaSec_Over_TLS_Only_1_ ua="na">Nej</MediaSec_Over_TLS_Only_1_>

  • I telefonens webgrænseflade skal du indstille dette felt til Ja eller Nej efter behov.

Tilladte værdier: Ja | Nej

  • Ja – telefonen starter eller håndterer kun sikkerhedsforhandlinger i medieplanet, når signaleringstransportprotokollen er TLS.
  • Nej– telefonen starter og håndterer sikkerhedsforhandlinger i medieplan uanset signaleringstransportprotokollen.

Standard: nej

4

Klik på Send alle ændringer.

WLAN-sikkerhed

Da alle WLAN-enheder, der er inden for rækkevidde, kan modtage alle andres WLAN-trafik, er beskyttelse af talekommunikation vigtigt i WLAN. For at sikre, at ubudne gæster ikke manipulerer eller opfanger taletrafik, understøtter Cisco SAFE Security-arkitekturen telefonen. Få flere oplysninger om sikkerhed i netværk under http://www.cisco.com/en/US/netsol/ns744/networking_solutions_program_home.html.

Cisco trådløs IP telefoniløsning giver trådløs netværkssikkerhed, der forhindrer uautoriseret login og kompromitteret kommunikation ved hjælp af følgende godkendelsesmetoder, som telefonen understøtter:

  • Åben godkendelse: Trådløse enheder kan anmode om godkendelse i et åbent system. Det AP, der modtager anmodningen, kan give godkendelse til en person eller kun de anmodere, der findes på en liste over brugere. Kommunikationen mellem den trådløse enhed og adgangspunktet (AP) kan være ikke-krypteret.

  • Extensible Authentication Protocol-Flexible Authentication via Secure Tunneling (EAP-FAST) Authentication: Denne klient-server-sikkerhedsarkitektur krypterer EAP transaktioner inden for en TLS (Transport Level Security)-tunnel mellem adgangspunktet og RADIUS-serveren, f.eks. Identity Services Engine (ISE).

    TLS-tunnelen bruger PAC'er (Protected Access Credentials) til godkendelse mellem klienten (telefon) og RADIUS-serveren. Serveren sender et AID (Authority ID) til klienten (telefonen), som gengæld vælger det relevante PAC. Klienten (telefonen) returnerer en PAC-Opaque til RADIUS-serveren. Serveren dekrypterer PAC med masternøglen. Begge slutpunkter indeholder nu PAC-nøglen, og der oprettes en TLS-tunnel. EAP-FAST understøtter automatisk PAC-klargøring, men du skal aktivere det på RADIUS-serveren.

    I ISE udløber PAC som standard om en uge. Hvis telefonen har en udløbet PAC, tager en godkendelse med RADIUS-serveren længere tid, mens telefonen får en ny PAC. For at undgå forsinkelser pga. PAC-klargøring skal du indstille PAC-udløbsperioden til 90 dage eller længere på ISE'en eller RADIUS-serveren.

  • EAP-TLS-godkendelse (Extensible Authentication Protocol-Transport Layer Security): EAP-TLS kræver et klientcertifikat til godkendelse og netværksadgang. For trådløse EAP-TLS kan klientcertifikatet være MIC, LSC eller brugerinstalleret certifikat.

  • PEAP (Protected Extensible Authentication Protocol): Ciscos beskyttede adgangskodebaserede gensidige godkendelsesmetode mellem klienten (telefonen) og en RADIUS-server. Telefonen kan bruge PEAP til godkendelse med det trådløse netværk. Både PEAP MSCHAPV2- og PEAP GTC-godkendelsesmetoden understøttes.

  • Pre-Shared Key (PSK): Telefonen understøtter ASCII format. Du skal bruge dette format, når du konfigurerer en forhåndsdelt nøgle til WPA/WPA2/SAE:

    ASCII: en ASCII-tegnstreng med 8 til 63 tegn (0-9, små bogstaver og store bogstaver A-Z og specialtegn)

    Eksempel: GREG123567@9ZX&W

Følgende godkendelsesmetode bruger RADIUS-serveren til at administrere godkendelsesnøgler:

  • WPA/WPA2/WPA3: Bruger RADIUS-serveroplysninger til at generere entydige nøgler til godkendelse. Da disse nøgler genereres på den centrale RADIUS-server, giver WPA2/WPA3 mere sikkerhed end forhåndsdelte WPA-nøgler, der er gemt på AP'en og telefonen.

  • Hurtig sikker roaming: Bruger oplysninger om RADIUS-server og en trådløs domæneserver (WDS) for at administrere og godkende nøgler. WDS opretter en cache med sikkerhedslegitimationsoplysninger for FT-aktiverede klientenheder til hurtig og sikker gengodkendelse. Cisco Desk Phone 9861 og 9871 og Cisco Video Phone 8875 understøtter 802.11r (FT). Både trådløst og over DS understøttes for at muliggøre hurtig sikker roaming. Men vi anbefaler på det kraftigste, at trådløse 802.11r-metode (FT) bruges.

Med WPA/WPA2/WPA3 angives krypteringsnøgler ikke på telefonen, men hentes automatisk mellem adgangspunktet og telefonen. Men det EAP-brugernavn og den adgangskode, der bruges til godkendelse, skal angives på hver enkelt telefon.

For at sikre, at taletrafikken er sikker, understøtter telefonen TKIP og AES til kryptering. Når disse mekanismer bruges til kryptering, krypteres både signal-SIP-pakkerne og tale-RTP-pakkerne (Real-Time Transport Protocol) mellem adgangspunktet og telefonen.

TKIP

WPA bruger TKIP-kryptering, der har flere forbedringer over WEP. TKIP giver nøglekryptering med pr. pakke og længere initialiseringsvektorer, der styrker kryptering. Desuden sikrer et MIC (message integrity check), at krypterede pakker ikke ændres. TKIP fjerner forudsigeligheden ved WEP, der hjælper personer med uautoriseret adgang med at tyde WEP-nøglen.

AES

En krypteringsmetode, der bruges til WPA2/WPA3-godkendelse. Denne nationale standard for kryptering bruger en symmetrisk algoritme, der har den samme nøgle til kryptering og dekryptering. AES CBC-kryptering (Cipher Blocking Chain) i 128-bit størrelse, der som minimum understøtter nøglestørrelser på 128 bit, 192 bit og 256 bit. Telefonen understøtter en nøglestørrelse på 256 bit.

Cisco Desk Phone 9861 og 9871 og Cisco Video Phone 8875 understøtter ikke Cisco Key Integrity Protocol (CKIP) med CMIC.

Godkendelses- og krypteringsmetoder konfigureres inden for det trådløse LAN. VLAN'er konfigureres i netværket og på AP'er og angiver forskellige kombinationer af godkendelse og kryptering. Et SSID er knyttet til et VLAN og det specifikke godkendelses- og krypteringsmetode. Hvis trådløse klientenheder skal kunne godkendes, skal du konfigurere de samme SSID'er med deres godkendelses- og krypteringsskemaer på AP'erne og på telefonen.

Visse godkendelsesmetoder kræver bestemte typer kryptering.

  • Når du bruger WPA forhåndsdelt nøgle, WPA2 forhåndsdelt nøgle eller SAE, skal den forhåndsdelte nøgle indstilles statisk på telefonen. Disse nøgler skal matche de nøgler, der er i AP'en.
  • Telefonen understøtter automatisk EAP forhandling for FAST eller PEAP, men ikke for TLS. For EAP-TLS tilstand skal du angive det.

Godkendelses- og krypteringsskemaerne i følgende tabel viser netværkskonfigurationsindstillingerne for telefonen, der svarer til AP-konfigurationen.

Tabel 4. Godkendelses- og krypteringsmetoder
FSR-TypeGodkendelseTaststyringKrypteringBeskyttet styringsramme (PMF)
802.11r (FT)PSK

WPA-PSK

WPA-PSK-SHA256

FT-PSK

AESNej
802.11r (FT)WPA3

SAE

FT-SAE

AESJa
802.11r (FT)EAP-TLS

WPA-EAP

FT-EAP

AESNej
802.11r (FT)EAP-TLS (WPA3)

WPA-EAP-SHA256

FT-EAP

AESJa
802.11r (FT)EAP-FAST

WPA-EAP

FT-EAP

AESNej
802.11r (FT)EAP-FAST (WPA3)

WPA-EAP-SHA256

FT-EAP

AESJa
802.11r (FT)EAP-PEAP

WPA-EAP

FT-EAP

AESNej
802.11r (FT)EAP-PEAP (WPA3)

WPA-EAP-SHA256

FT-EAP

AESJa

Opret Wi-Fi profil

Du kan konfigurere en Wi-Fi-profil fra telefonens webside eller via gensynkronisering af ekstern enhedsprofil og derefter knytte en brugerprofil til de tilgængelige Wi-Fi-netværk. Du kan bruge denne Wi-Fi-profil til at oprette forbindelse til et Wi-Fi. I øjeblikket kan kun én Wi-Fi profil konfigureres.

Profilen indeholder de parametre, der er krævet for, at telefoner kan oprette forbindelse til telefonserveren med Wi-Fi. Når du opretter og bruger en Wi-Fi profil, behøver du eller dine brugere ikke at konfigurere det trådløse netværk for individuelle telefoner.

En Wi-Fi-profil giver dig mulighed at forhindre eller begrænse ændringer af Wi-Fi-konfigurationen på telefonen efter brugeren.

Vi anbefaler, at du bruger en sikker profil med krypteringsaktiverede protokoller for at beskytte nøgler og adgangskoder, når du bruger en Wi-Fi profil.

Når du indstiller telefonerne til at bruge godkendelsesmetoden EAP-FAST i sikkerhedstilstand, skal brugerne bruge individuelle legitimationsoplysninger for at oprette forbindelse til et adgangspunkt.

1

Gå til telefonens webside.

2

Vælg Tale > System.

3

I afsnittet Wi-Fi Profil (n)) skal du angive parametrene som beskrevet i følgende tabel Parametre for Wi-Fi profil.

Konfigurationen af Wi-Fi profilen er også tilgængelig for brugerlogonet.
4

Klik på Send alle ændringer.

Parametre for Wi-Fi profil

Følgende tabel definerer funktionen og brugen af hver parameter i sektionen Wi-Fi-profile(n) under fanen System på telefonens webside. Den definerer også syntaksen for den streng, der tilføjes i telefonkonfigurationsfilen (cfg.xml) for at konfigurere en parameter.

ParameterBeskrivelse
NetværksnavnGør det muligt at indtaste et navn på det SSID, der skal vises på telefonen. Flere profiler kan have det samme netværksnavn med forskellig sikkerhedstilstand.

Gør et af følgende:

  • I telefonkonfigurationsfilen med XML (cfg.xml) skal du angive en streng i dette format:

    <Network_Name_1_ua="rw">cisco</Network_Name_1_>

  • Angiv et navn til SSID på telefonens webside.

Standard: tom

SikkerhedstilstandGør det muligt at vælge den godkendelsesmetode, der bruges til at sikre adgang til Wi-Fi-netværket. Afhængigt af den metode, du vælger, vises der et adgangskodefelt, hvor du kan angive de legitimationsoplysninger, der kræves for at oprette forbindelse til dette Wi-Fi netværk.

Gør et af følgende:

  • I telefonkonfigurationsfilen med XML (cfg.xml) skal du angive en streng i dette format:

    <Security_Mode_1_ ua="rw">EAP-TLS</Security_Mode_1_> <!-- tilgængelige indstillinger: Auto|EAP-FAST|||PSK||Intet|EAP-PEAP|EAP-TLS -->

  • Vælg en af metoderne på telefonens webside:
    • Auto
    • EAP-FAST
    • PSK
    • Ingen
    • EAP-PEAP
    • EAP-TLS

Standard: automatisk

Wi-Fi-bruger-idGør det muligt at angive et bruger-id for netværksprofilen.

Dette felt er tilgængeligt, når du indstiller sikkerhedstilstanden til Auto, EAP-FAST eller EAP-PEAP. Dette er et obligatorisk felt, og der kan højst være 32 alfanumeriske tegn.

Gør et af følgende:

  • I telefonkonfigurationsfilen med XML (cfg.xml) skal du angive en streng i dette format:

    <Wi-Fi_User_ID_1_ua="rw"></Wi-Fi_User_ID_1_>

  • Angiv et bruger-id for netværksprofilen på telefonens webside.

Standard: tom

Wi-Fi-adgangskodeGør det muligt at angive adgangskoden for det angivne Wi-Fi-bruger-id.

Gør et af følgende:

  • I telefonkonfigurationsfilen med XML (cfg.xml) skal du angive en streng i dette format:

    <Wi-Fi_Password_1_ ua="rw"></Wi-Fi_Password_1_>

  • Indtast en adgangskode til det bruger-id, du har tilføjet, på telefonens webside.

Standard: tom

FrekvensbåndGør det muligt at vælge frekvensbåndet for det trådløse signal, som WLAN'et bruger.

Gør et af følgende:

  • I telefonkonfigurationsfilen med XML (cfg.xml) skal du angive en streng i dette format:

    <Frequency_Band_1_ ua="rw">Auto</Frequency_Band_1_>

  • Vælg en af indstillingerne på telefonens webside:
    • Auto
    • 2,4 GHz
    • 5 GHz

Standard: automatisk

Valg af certifikatGør det muligt at vælge en certifikattype til certifikatførste tilmelding og certifikatfornyelse i det trådløse netværk. Denne proces er kun tilgængelig for 802.1X-godkendelse.

Gør et af følgende:

  • I telefonkonfigurationsfilen med XML (cfg.xml) skal du angive en streng i dette format:

    <Certificate_Select_1_ ua="rw">Produktion installeret</Certificate_Select_1_>

  • Vælg en af indstillingerne på telefonens webside:
    • Produktion installeret
    • Specialinstalleret

Standard: Produktion installeret

Tjek enhedens sikkerhedsstatus på telefonen

Din telefon kontrollerer automatisk enhedens sikkerhedsstatus. Hvis den registrerer potentielle sikkerhedstrusler på telefonen, kan menuen Problemer og diagnosticering vise oplysninger om problemerne. Baseret på de rapporterede problemer kan din administrator foretage handlinger for at sikre og hærde din telefon.

Enhedens sikkerhedsstatus kan stadig være tilgængelig, når telefonen ikke er registreret til opkaldskontrolsystem (Webex Calling eller BroadWorks).

Hvis du vil have vist oplysninger om sikkerhedsproblemer på telefonen, skal du benytte følgende fremgangsmåde:

1

Tryk på Indstillinger.Settings button

2

Vælg Problemer og diagnosticering> Problemer.

I øjeblikket indeholder sikkerhedsrapporten for enheder følgende problemer:

KategoriProblem
Tillid til enhedEnhedsgodkendelse mislykkedes
Hardware manipuleret
Sårbar konfigurationIngen adgangskode angivet
SSH aktiveret
Telnet aktiveret
Der blev registreret en netværksuregelmæssighedOverdrevne forsøg på login
Udstedelse af certifikatCDC-certifikat udløber snart
3

Kontakt administratoren for at få hjælp til at løse sikkerhedsproblemerne.