Installation eines benutzerdefinierten Gerätezertifikats

Um ein benutzerdefiniertes Gerätezertifikat (CDC) auf Ihrem Telefon zu installieren, verwenden Sie je nach Ihrer Situation eine der folgenden Methoden:

Es gilt das zuletzt auf dem Telefon installierte Zertifikat.

Manuelle Installation des benutzerdefinierten Gerätezertifikats durch Hochladen

Sie können ein benutzerdefiniertes Gerätezertifikat (Custom Device Certificate, CDC) manuell auf dem Telefon installieren, indem Sie das Zertifikat von der Webseite für die Telefonverwaltung hochladen.

Bevor Sie beginnen:

Bevor Sie ein benutzerdefiniertes Gerätezertifikat für ein Telefon installieren können, benötigen Sie Folgendes:

  • Eine auf Ihrem PC gespeicherte Zertifikatsdatei (.p12 oder .pfx). Die Datei enthält das Zertifikat und den privaten Schlüssel.
  • Das Extraktionskennwort des Zertifikats. Das Kennwort wird verwendet, um die Zertifikatsdatei zu entschlüsseln.
1

Greifen Sie auf die Webseite zur Telefonverwaltung zu.

2

Wählen Zertifikat.

3

Klicken Sie im Abschnitt Zertifikat hinzufügen auf Durchsuchen.

4

Navigieren Sie zum Zertifikat auf Ihren PC.

5

Geben Sie im Feld Kennwort extrahieren das Extraktionskennwort des Zertifikats an.

6

Klicken Sie auf Hochladen.

Wenn die Zertifikatsdatei und das Passwort korrekt sind, erhalten Sie die Meldung "Zertifikat hinzugefügt.". Andernfalls schlägt der Upload fehl und es wird eine Fehlermeldung ausgegeben, die besagt, dass das Zertifikat nicht hochgeladen werden kann.
7

Um Details des installierten Zertifikats zu überprüfen, klicken Sie im Abschnitt Vorhandene Zertifikate auf Anzeigen.

8

Um das installierte Zertifikat vom Telefon zu entfernen, klicken Sie im Abschnitt Vorhandene Zertifikate auf Löschen.

Sobald Sie auf die Schaltfläche klicken, wird der Entfernungsvorgang sofort und ohne Bestätigung gestartet.

Wenn das Zertifikat erfolgreich entfernt wurde, erhalten Sie die Meldung "Zertifikat gelöscht.".

Automatische Installation des benutzerdefinierten Gerätezertifikats durch SCEP

Sie können die mit dem Simple Certificate Enrollment Protocol (SCEP) verbundenen Parameter so konfigurieren, dass sie mit dem SCEP-Server interagieren und das Custom Device Certificate (CDC) automatisch installieren.

Sobald einer der SCEP-Parameter konfiguriert ist, sendet das Telefon eine SCEP-Registrierungsanforderung an den Server. Das Telefon validiert das empfangene CA-Zertifikat mithilfe des konfigurierten Fingerabdrucks.

Bevor Sie beginnen:

Bevor Sie eine automatische Installation eines benutzerdefinierten Gerätezertifikats (CDC) für ein Telefon durchführen können, müssen Sie über Folgendes verfügen:

  • SCEP-Server-Adresse
  • SHA-1- oder SHA-256-Fingerabdruck des CA-Stammzertifikats für den SCEP-Server
1

Greifen Sie auf die Webseite zur Telefonverwaltung zu.

2

Wählen Zertifikat.

3

Im SCEP-Konfiguration 1 Abschnitt, legen Sie die Parameter wie in Parameter für die SCEP-Konfiguration .

4

Klicken Sie auf Submit All Changes.

Parameter für die SCEP-Konfiguration

Die folgende Tabelle definiert die Funktion und Verwendung von SCEP-Konfigurationsparametern in der SCEP-Konfiguration 1 Abschnitt unter dem Zertifikat Tab in der Weboberfläche des Telefons. Darüber hinaus wird die Syntax der Zeichenfolge definiert, die zur Konfiguration eines Parameters in die Telefonkonfigurationsdatei (cfg.xml) eingegeben wird.

Jede Änderung der Parameter führt dazu, dass das Telefon ein neues Zertifikat anfordert.

Tabelle 1. Parameter für die SCEP-Konfiguration
ParameterBeschreibung
Server

SCEP-Serveradresse. Dieser Parameter ist obligatorisch.

Führen Sie eine der folgenden Aktionen aus:

  • Geben Sie in der Konfigurationsdatei des Telefons eine Zeichenfolge mit XML (cfg.xml) in folgendem Format ein:

    <CDC_Server_1_ ua="na">http://10.79.57.91</CDC_Server_1_>

  • Geben Sie auf der Telefon-Webseite die SCEP-Serveradresse ein.

Gültige Werte: Eine URL oder eine IP-Adresse. Das HTTPS-Schema wird nicht unterstützt.

Standard: leer

Stamm-CA-Fingerabdruck

SHA256- oder SHA1-Fingerabdruck der Stammzertifizierungsstelle zur Validierung während des SCEP-Prozesses. Dieser Parameter ist obligatorisch.

Führen Sie eine der folgenden Aktionen aus:

  • Geben Sie in der Konfigurationsdatei des Telefons eine Zeichenfolge mit XML (cfg.xml) in folgendem Format ein:

    <CDC_Root_CA_Fingerprint_1_ ua="na">12040870625C5B755D73F5925285F8F5FF5D55AF</CDC_Root_CA_Fingerprint_1_>

  • Geben Sie auf der Telefon-Webseite einen gültigen Fingerabdruck ein.

Standard: leer

Abfragekennwort

Das Abfragekennwort für die CA-Autorisierung (Certificate Authority) auf dem Telefon während einer Zertifikatsregistrierung über SCEP. Dieser Parameter ist optional.

Je nach der tatsächlichen SCEP-Umgebung variiert das Verhalten des Abfragekennworts.

  • Wenn das Telefon ein Zertifikat von einem Cisco RA erhält, der mit der CA kommuniziert, wird das Abfragekennwort von der CA nicht unterstützt. In diesem Fall verwendet Cisco RA das MIC/SUDI des Telefons für die Authentifizierung für den Zugriff auf die CA . Das Telefon verwendet MIC/SUDI sowohl für die Erstanmeldung als auch für die Zertifikatserneuerung.
  • Wenn das Telefon ein Zertifikat durch direkte Kommunikation mit der CA erhält, wird das Abfragekennwort von der CA unterstützt. Wenn es konfiguriert ist, wird es nur für die erstmalige Registrierung verwendet. Für die Erneuerung des Zertifikats wird stattdessen das installierte Zertifikat verwendet.

Führen Sie eine der folgenden Aktionen aus:

  • Geben Sie in der Konfigurationsdatei des Telefons eine Zeichenfolge mit XML (cfg.xml) in folgendem Format ein:

    <CDC_Challenge_Password_1_ ua="na"></CDC_Challenge_Password_1_>

    Das Kennwort ist in der Konfigurationsdatei maskiert.

  • Geben Sie auf der Telefon-Webseite das Challenge-Passwort ein.

Standard: leer

Allgemeiner Name

Gibt den Common Name (CN) an, der als Kennung für das Telefon verwendet wird, das das Zertifikat anfordert. Der CN wird für die Zertifikatsignieranforderung (CSR) im SCEP-Prozess verwendet.

Dieser Parameter unterstützt auch Makroerweiterungsvariablen, (siehe Makroerweiterungsvariablen für Details.

Führen Sie eine der folgenden Aktionen aus:

  • Geben Sie in der Konfigurationsdatei des Telefons eine Zeichenfolge mit XML (cfg.xml) in folgendem Format ein:

    <CDC_Common_Name_1_ ua="na"></CDC_Common_Name_1_>

  • Geben Sie auf der Telefon-Webseite den allgemeinen Namen ein.

Gültige Werte: Maximal 64 Zeichen

Standard: leer

Zertifikatserneuerung durch SCEP

Das Gerätezertifikat kann durch den SCEP-Prozess automatisch erneuert werden.

  • Das Telefon überprüft alle 4 Stunden, ob das Zertifikat in 15 Tagen abläuft. Wenn dies der Fall ist, startet das Telefon automatisch die Zertifikatserneuerung.
  • Wenn das Abfragekennwort leer ist, verwendet das Telefon MIC/SUDI sowohl für die erstmalige Registrierung als auch für die Zertifikatserneuerung. Wenn das Abfragekennwort konfiguriert ist, wird es nur für die erstmalige Registrierung verwendet, und das vorhandene/installierte Zertifikat wird für die Zertifikatserneuerung verwendet.
  • Das Telefon entfernt das alte Gerätezertifikat erst, wenn das neue abgerufen wird.
  • Wenn die Zertifikatserneuerung fehlschlägt, weil das Gerätezertifikat oder die Zertifizierungsstelle abgelaufen ist, löst das Telefon automatisch die Erstregistrierung aus. Wenn in der Zwischenzeit die Authentifizierung des Abfragekennworts fehlschlägt, erscheint auf dem Telefonbildschirm eine Aufforderung zur Eingabe des Abfragekennworts, in der die Benutzer aufgefordert werden, das Abfragekennwort auf dem Telefon einzugeben.

CDC Common Name-Konfiguration

Standardmäßig wird der allgemeine Name in MIC/SUDI als allgemeiner Name für CDC verwendet.

Sie können den allgemeinen Namen für CDC konfigurieren, wenn Sie das Zertifikat installieren. Verwenden Sie eine der folgenden Methoden, um ein CDC auf dem Telefon zu installieren:

SCEP-Parameterkonfiguration über DHCP-Option 43

In bestimmten Umgebungen können Sie das benutzerdefinierte Gerätezertifikat (CDC) nicht durch Hochladen oder direktes Konfigurieren der SCEP-Parameter installieren. In dieser Situation können Sie die Option 43 von DHCP verwenden, um die Parameter von einem DHCP-Server zu füllen. Die Option 43 von DHCP kann so konfiguriert werden, dass dem Telefon die SCEP-Parameter bereitgestellt werden. Sobald das Telefon auf die Werkseinstellungen zurückgesetzt wurde, kann es die Parameter vom DHCP-Server empfangen, um das CDC über das SCEP-Protokoll zu installieren.

  • Diese Funktion (Konfiguration der SCEP-Parameter über DHCP Option 43) ist nur für das auf die Werkseinstellungen zurückgesetzte Telefon verfügbar.
  • Telefone dürfen nicht in das Netzwerk eingefügt werden, das Option 43 und Remote-Bereitstellung unterstützt (z. B. Optionen 66,160,159,150 oder Cloud-Bereitstellung). Andernfalls erhalten die Telefone möglicherweise nicht die Konfigurationsoption 43.

Um ein CDC-Zertifikat mit den SCEP-Parametern zu installieren, die von der Option 43 von DHCP bereitgestellt werden, gehen Sie wie folgt vor:

  1. Bereiten Sie eine SCEP-Umgebung vor.

    Weitere Informationen zum Einrichten der SCEP-Umgebung finden Sie in der Dokumentation zu Ihrem SCEP-Server.

  2. Richten Sie die DHCP-Option 43 ein (definiert in 8.4 Anbieterspezifische Informationen, RFC 2132).

    Die Unteroptionen (10–15) sind für die Methode reserviert:

    Parameter auf der Webseite des TelefonsUnteroptionTypLänge (Byte)Pflichtfeld
    FIPS-Modus10boolesch1NEIN*
    Server11Zeichenfolge208 – Länge (Challenge-Passwort)Ja
    Stamm-CA-Fingerabdruck12verhexen20, 32, 48 oder 64Ja
    Abfragekennwort13Zeichenfolge208 – Länge (Server)NEIN*
    802.1X-Authentifizierung aktivieren14boolesch1Nein
    Zertifikat auswählen158-Bit ohne Vorzeichen1Nein

    * bedeutet, dass der Parameter entsprechend der tatsächlichen Situation konfiguriert wird.

    Wenn Sie die DHCP-Option 43 verwenden, beachten Sie die folgenden Merkmale der Methode:

    • Die Unteroptionen (10 bis 15) sind für das benutzerdefinierte Gerätezertifikat (Custom Device Certificate, CDC) reserviert.
    • Die maximale Länge der DHCP-Option 43 beträgt 255 Byte.
    • Die maximale Länge von Server + Abfragekennwort muss weniger als 208 Byte betragen.
    • Der Wert des FIPS-Modus muss mit der Konfiguration für die Onboarding-Bereitstellung übereinstimmen. Andernfalls kann das zuvor installierte Zertifikat nach dem Onboarding nicht abgerufen werden. Insbesondere:
      • Wenn das Telefon in einer Umgebung registriert wird, in der der FIPS-Modus deaktiviert ist, müssen Sie nicht konfigurieren FIPS-Modus in DHCP Option 43. Standardmäßig ist der FIPS-Modus deaktiviert.
      • Wenn das Telefon in einer Umgebung registriert wird, in der der FIPS-Modus aktiviert ist, müssen Sie den FIPS-Modus in DHCP Option 43 aktivieren. Siehe FIPS-Modus aktivieren für Details.
    • Das Challenge-Passwort in Option 43 ist im Klartext.
      • Wenn das Telefon für die Erstregistrierung und Zertifikatserneuerung MIC/SUDI verwenden soll, lassen Sie das Challenge-Passwort leer.
      • Wenn das Challenge-Passwort nur für die Erstregistrierung verwendet wird, konfigurieren Sie das Challenge-Passwort. In diesem Fall wird das installierte Zertifikat für die Zertifikatserneuerung verwendet.
    • „802.1X-Authentifizierung aktivieren“ und Zertifikat auswählen werden nur für Telefone in kabelgebundenen Netzwerken verwendet.
    • Die DHCP-Option 60 (Vendor Class Identifier) wird verwendet, um das Gerätemodell zu identifizieren.

    Beispiel für DHCP Option 43 (Unteroptionen 10–15):

    Suboption dezimal/hexWertlänge (Byte) dezimal/hexWertHexadezimalwert
    10/0a1/011 (0: Deaktiviert; 1: Aktiviert)01
    11/0b18/12http://10.79.57.91687474703a2f2f31302e37392e35372e3931
    12/0c20/1412040870625C5B755D73F5925285F8F5FF5D55AF12040870625C5B755D73F5925285F8F5FF5D55AF
    13/0d16/10D233CCF9B9952A1544323333434346394239393532413135
    14/0e1/011 (0: Nein; 1: Ja)01
    15/0f1/011 (0: Vom Hersteller installiert; 1: Individuell installiert) 01

    Zusammenfassung der Parameterwerte:

    • FIPS-Modus = Aktiviert

    • Server = http://10.79.57.91

    • Stammzertifizierungsstellen-Fingerabdruck = 12040870625C5B755D73F5925285F8F5FF5D55AF

    • Abfragekennwort = D233CCF9B9952A15

    • 802.1X-Authentifizierung aktivieren = Ja

    • Zertifikatsauswahl = Individuell installiert

    Die Syntax des endgültigen Hex-Werts lautet: {<Unteroption><Länge><Wert>}...

    Gemäß den obigen Parameterwerten lautet der endgültige Hexadezimalwert:

    0a01010b12687474703a2f2f31302e37392e35372e39310c1412040870625C5B755D73F5925285F8F5FF5D55AF0d10443233334343463942393935324131350e01010f0101

  3. Konfigurieren Sie die DHCP-Option 43 auf einem DHCP-Server.

    Dieser Schritt enthält ein Beispiel für die Konfigurationen der DHCP-Option 43 im Cisco-Netzwerkregister.

    1. Fügen Sie einen DHCP-Optionsdefinitionssatz hinzu.

      Die Herstelleroptionszeichenfolge ist der Modellname der IP-Telefone. Der gültige Wert ist: DP-9841, DP-9851, DP-9861, DP-9871 oder CP-8875.

    2. Fügen Sie die DHCP-Option 43 und Unteroptionen zum DHCP-Optionsdefinitionssatz hinzu.

      Beispiel:

      Screenshot der Definitionen von Option 43 von DHCP im Netzwerkregister von Cisco

    3. Fügen Sie der DHCP-Richtlinie die Option 43 hinzu und richten Sie den Wert wie folgt ein:

      Beispiel:

      (10 1)(11 http://10.79.57.91)(12 12040870625C5B755D73F5925285F8F5FF5D55AF)(13 D233CCF9B9952A15)(14 1)(15 1)

    4. Überprüfen Sie die Einstellungen. Sie können Wireshark verwenden, um eine Spur des Netzwerkverkehrs zwischen dem Telefon und dem Dienst zu erfassen.
  4. Setzen Sie das Telefon auf die Werkseinstellungen zurück.

    Nach dem Zurücksetzen des Telefons werden die Parameter Server, Stammzertifizierungsstellen-Fingerabdruck und Abfragekennwort automatisch ausgefüllt. Diese Parameter befinden sich im Abschnitt SCEP-Konfiguration 1 von Zertifikat > Benutzerdefiniert auf der Webseite zur Telefonverwaltung.

    Um Details des installierten Zertifikats zu überprüfen, klicken Sie im Abschnitt Vorhandene Zertifikate auf Anzeigen.

    Um den Installationsstatus des Zertifikats zu überprüfen, wählen Sie Zertifikat > Benutzerdefinierter Zertifikatsstatus. Der Download-Status 1 zeigt das neueste Ergebnis. Wenn während der Zertifikatsregistrierung ein Problem auftritt, kann der Download-Status die Ursache für die Problembehandlung anzeigen.

    Wenn die Challenge-Kennwortauthentifizierung fehlschlägt, werden die Benutzer auf dem Telefonbildschirm zur Eingabe des Kennworts aufgefordert.

  5. (Optional): Um das installierte Zertifikat vom Telefon zu entfernen, klicken Sie im Abschnitt vorhandene Zertifikate auf Löschen .

    Sobald Sie auf die Schaltfläche klicken, wird der Entfernungsvorgang sofort und ohne Bestätigung gestartet.

Bereitstellung des allgemeinen Namens oder der Benutzer-ID über DHCP Option 15

Während der SCEP-Zertifikatregistrierung über die DHCP-Option 43 kann das Telefon auch den in der DHCP-Option 15 angegebenen Domänennamen abrufen (sofern konfiguriert). Nachdem das Telefon den Domänennamen erhalten hat, kann es den allgemeinen Namen oder die Benutzer-ID mit dem Domänennamen erstellen, der wie folgt dargestellt wird:

  • Allgemeiner Name = <allgemeiner Name in MIC/SUDI >.<Domänenname in Option 15>

    Der Allgemeine Name wird im SCEP-Prozess für CSR verwendet und ist später der allgemeine Name in CDC.

  • Benutzer-ID = <allgemeiner Name in MIC/SUDI >@<Domänenname in Option 15>

    Die Benutzer-ID wird als Identität für die kabelgebundene 802.1X-Authentifizierung verwendet.

Beispielsweise lautet die MAC-Adresse des Telefons 00:1A:2B:3C:4D:5E, das Telefonmodell ist 9871:

Domänenname in DHCP Option 15Allgemeiner NameUser ID (Benutzer-ID)
example.nlCP-9871-SEP001A2B3C4D5E.example.nlCP-9871-SEP001A2B3C4D5E@example.nl
LeerCP-9871-SEP001A2B3C4D5E

CP-9871-SEP001A2B3C4D5E

Wenn in Option 15 kein Domänenname konfiguriert ist, sind der allgemeine Name und die Benutzer-ID identisch mit dem allgemeinen Namen in MIC/SUDI.