- Startseite
- /
- Artikel
Dieser Hilfeartikel ist für Cisco Wireless Phone 9821, das auf Cisco Unified Communications Manager (Unified CM) registriert ist.
Sie können Cisco Unified Communications Manager (Unified CM) aktivieren, um in einer Umgebung mit erhöhter Sicherheit zu arbeiten. Mit diesen Verbesserungen wird Ihr Telefonnetzwerk unter Anwendung einer Reihe von strengen Sicherheits- und Risikomanagementkontrollen betrieben, um Sie und die Benutzer zu schützen.
Die Umgebung mit verbesserter Sicherheit bietet die folgenden Funktionen:
-
Authentifizierung für Kontaktsuche
-
TCP als Standardprotokoll für die Remote-Audit-Protokollierung
-
Eine verbesserte Richtlinie für Anmeldeinformationen
-
Unterstützung für die SHA-2-Familie von Hashes für digitale Signaturen
-
Unterstützung für eine RSA Schlüssellänge von bis zu 4096 Bit
Ab Version Cisco Unified CM Version 14.0 unterstützen die Telefone die SIP OAuth-Authentifizierung.
OAuth wird für Proxy Trivial File Transfer Protocol (TFTP) mit Cisco Unified CM Release 14.0 (1) SU1 oder höher unterstützt.
Weitere Informationen zur Sicherheit finden Sie in den folgenden Handbüchern:
-
Systemkonfigurationshandbuch für Cisco Unified Communications Manager, Release 15 und SUs
-
Sicherheitshandbuch für Cisco Unified Communications Manager, Release 15 und SUs
Ihr Telefon kann nur eine begrenzte Anzahl an Identity Trust List (ITL-)Dateien speichern. ITL-Dateien dürfen auf dem Telefon 64 KB nicht überschreiten, begrenzen Sie daher die Anzahl der Dateien, die Cisco Unified CM an das Telefon sendet.
Unterstützte Sicherheitsfunktionen
Die Sicherheitsfunktionen schützen vor Gefahren, beispielsweise der Gefährdung der Identität des Telefons und der Daten. Diese Funktionen erstellen und halten authentifizierte Kommunikationsstreams zwischen dem Telefon und dem Cisco Unified Communications Manager-Server aufrecht, und stellen sicher, dass das Telefon nur digital signierte Dateien verwendet.
In Cisco Unified Communications Manager Version 8.5(1) und höheren Versionen ist Sicherheit standardmäßig implementiert. Dadurch werden die folgenden Sicherheitsfunktionen für Cisco IP-Telefons ohne CTL-Client bereitgestellt:
-
Signierung der Konfigurationsdateien für das Telefon
-
Verschlüsselung der Telefonkonfigurationsdatei
-
HTTPS mit Tomcat und andere Webdienste
Für sichere Signalübertragungs- und Medienfunktionen muss der CTL-Client jedoch weiterhin ausgeführt werden, und es ist weiterhin die Verwendung von Hardware-eToken erforderlich.
Die Implementierung von Sicherheitsfunktionen in das Cisco Unified Communications Manager-System verhindert den Identitätsdiebstahl hinsichtlich Telefon und Cisco Unified Communications Manager-Server und schützt vor unbefugtem Zugriff auf Daten, Anrufsignale und Medien-Datenströme.
Zur Abwehr von Bedrohungen dieser Art erstellt das Cisco IP-Telefonienetzwerk zwischen Telefon und Server sichere (verschlüsselte) Kommunikationsdatenströme und erhält diese aufrecht, signiert Dateien digital, bevor diese auf ein Telefon übertragen werden, und verschlüsselt alle Mediendatenströme und Signale, die zwischen Cisco IP-Telefons übertragen werden.
Nachdem Sie die für die CAPF (Certificate Authority Proxy Function) erforderlichen Aufgaben ausgeführt haben, wird auf den Telefonen ein LSC (Locally Significant Certificate) installiert. Sie können Cisco Unified Communications Manager Administration verwenden, um eine LSC zu konfigurieren, wie im Cisco Unified Communications Manager Sicherheitshandbuch beschrieben. Sie können die Installation eines LSC auch über das Menü Sicherheit auf dem Telefon starten. In diesem Menü können Sie ein LSC auch aktualisieren und entfernen.
Im Telefonsicherheitsprofil ist definiert, ob das Gerät sicher oder nicht sicher ist. Weitere Informationen zum Anwenden des Sicherheitsprofils auf das Telefon finden Sie in der Dokumentation zu Ihrer jeweiligen Version von Cisco Unified Communications Manager.
Wenn Sie in der Cisco Unified Communications Manager-Verwaltung sicherheitsrelevante Einstellungen konfigurieren, sind in der Telefonkonfigurationsdatei auch vertrauliche Informationen enthalten. Damit die Konfigurationsdatei entsprechend ihrer Vertraulichkeit geschützt ist, müssen Sie die Datei so konfigurieren, dass eine Verschlüsselung erfolgt. Ausführliche Informationen hierzu finden Sie in der Dokumentation zu Ihrer jeweiligen Version von Cisco Unified Communications Manager.
Die folgende Tabelle enthält eine Übersicht der von den Telefonen unterstützten Sicherheitsfunktionen. Weitere Informationen finden Sie in der Dokumentation für Ihre Version von Cisco Unified Communications Manager.
|
Funktion |
Beschreibung |
|---|---|
|
Imageauthentifizierung |
Signierte Binärdateien verhindern das Manipulieren des Firmware-Images vor dem Laden auf das Telefon. Wenn das Image manipuliert wurde, kann das Telefon nicht authentifiziert werden und das Image wird abgelehnt. |
|
Kundenseitiges Installieren von Zertifikaten |
Jedes Cisco IP Phone erfordert ein eindeutiges Zertifikat für die Geräteauthentifizierung. Auf den Telefonen ist bereits ein vom Hersteller installiertes Zertifikat (MIC) vorhanden, zusätzliche Sicherheit bietet jedoch die Möglichkeit, die Zertifikatinstallation in Cisco Unified Communications Manager Administration mithilfe von CAPF (Certificate Authority Proxy Function) festzulegen. Sie können einen Locally Significant Certificate (LSC) auch über das Menü Sicherheit auf dem Telefon installieren. |
|
Geräteauthentifizierung |
Die Geräteauthentifizierung erfolgt zwischen dem Cisco Unified Communications Manager-Server und dem Telefon, wenn jede Entität das Zertifikat der anderen Entität akzeptiert. Bestimmt, ob eine sichere Verbindung zwischen dem Telefon und Cisco Unified Communications Manager hergestellt wird, und erstellt, falls erforderlich, mit dem TLS-Protokoll einen sicheren Signalpfad zwischen den Entitäten. Cisco Unified Communications Manager registriert Telefone nur dann, wenn sie authentifiziert werden können. |
|
Dateiauthentifizierung |
Überprüft digital signierte Dateien, die das Telefon herunterlädt. Das Telefon validiert die Signatur, um sicherzustellen, dass die Datei nach der Erstellung nicht manipuliert wurde. Dateien, die nicht authentifiziert werden können, werden nicht in den Flash-Speicher auf dem Telefon geschrieben. Das Telefon weist diese Dateien ohne weitere Verarbeitung zurück. |
|
Dateiverschlüsselung |
Durch Verschlüsselung wird verhindert, dass bei der Übertragung einer Datei auf das Telefon vertrauliche Informationen preisgegeben werden. Außerdem validiert das Telefon die Signatur, um sicherzustellen, dass die Datei nach der Erstellung nicht manipuliert wurde. Dateien, die nicht authentifiziert werden können, werden nicht in den Flash-Speicher auf dem Telefon geschrieben. Das Telefon weist diese Dateien ohne weitere Verarbeitung zurück. |
|
Signalauthentifizierung |
Bei dieser Authentifizierung wird anhand des TLS-Protokolls überprüft, dass die Signalpakete während der Übertragung nicht manipuliert wurden. |
|
MIC (Manufacturing Installed Certificate) |
Auf jedem Cisco IP-Telefon ist ein eindeutiges, vom Hersteller installiertes Zertifikat (Manufacturing Installed Certificate, MIC) vorhanden, das für die Geräteauthentifizierung verwendet wird. Das MIC dient für das Telefon dauerhaft als eindeutiger Identitätsnachweis und ermöglicht dem Cisco Unified Communications Manager das Authentifizieren des Telefons. |
|
Medienverschlüsselung |
Diese stellt mithilfe von SRTP sicher, dass Mediendatenströme zwischen unterstützten Geräten geschützt sind und nur der beabsichtigte Empfänger die Daten erhalten und lesen kann. Erstellt ein primäres Medien-Schlüsselpaar für die Geräte, verteilt die Schlüssel an die Geräte und schützt die Schlüssel, während diese übertragen werden. |
|
CAPF (Certificate Authority Proxy Function) |
Implementiert Teile des Prozesses für die Zertifikatsgenerierung, die für das Telefon zu verarbeitungsintensiv sind, und interagiert mit dem Telefon bei der Schlüsselgenerierung und Zertifikatsinstallation. CAPF kann konfiguriert werden, um Zertifikate im Auftrag des Telefons von kundenspezifischen Zertifizierungsstellen anzufordern oder Zertifikate lokal zu generieren. Es werden sowohl die Schlüsseltypen EC (Elliptische Kurve) als auch RSA unterstützt. Um den Schlüssel EC zu verwenden, stellen Sie sicher, dass der Parameter "Endpoint Advanced Encryption Algorithms Support" (aus ) aktiviert ist. Weitere Informationen zu CAPF und verwandten Konfigurationen finden Sie in den folgenden Dokumenten: |
|
Sicherheitsprofil |
Definiert, ob das Telefon nicht sicher, authentifiziert, verschlüsselt oder geschützt ist. Die weiteren Einträge in dieser Tabelle erläutern Sicherheitsfunktionen. |
|
Verschlüsselte Konfigurationsdateien |
Ermöglicht Ihnen, den Datenschutz für Telefonkonfigurationsdateien sicherzustellen. |
|
Optionale Webserver-Deaktivierung für Telefone |
Aus Sicherheitsgründen können Sie für ein Telefon den Zugriff auf die Webseiten (diese zeigen verschiedenste Betriebsstatistiken des Telefons an) und das Benutzerportal verhindern. |
|
Telefonhärtung |
Weitere Sicherheitsoptionen, die in der Cisco Unified Communications Manager-Verwaltung festgelegt werden:
|
|
Sicheres SIP-Failover für SRST |
Nachdem Sie eine SRST-Sicherheitsreferenz konfiguriert und anschließend die abhängigen Geräte in der Cisco Unified Communications Manager-Verwaltung zurückgesetzt haben, fügt der TFTP-Server das Zertifikat des SRST-fähigen Gateways zur Datei „cnf.xml“ hinzu und sendet diese an das Telefon. Ein sicheres Telefon verwendet eine TLS-Verbindung, um mit dem SRST-fähigen Router zu kommunizieren. |
|
Verschlüsselung des Signalisierungsverkehrs |
Durch diese Verschlüsselung wird gewährleistet, dass alle zwischen dem Gerät und dem Cisco Unified Communications Manager-Server ausgetauschten SIP-Signalisierungsnachrichten verschlüsselt werden. |
|
Warnung bei Aktualisierung der Vertrauensliste |
Wenn die auf dem Telefon vorhandene Vertrauensliste aktualisiert wird, erhält der Cisco Unified Communications Manager eine Warnmeldung, die angibt, ob die Aktualisierung erfolgreich war oder nicht. Weitere Informationen finden Sie in der nachstehenden Tabelle. |
|
AES 256-Verschlüsselung |
Telefone, die mit Cisco Unified Communications Manager Version 10.5(2) oder höher verbunden sind, unterstützen die AES 256-Verschlüsselung für TLS und SIP für die Signalisierung und Medienverschlüsselung. Diese Telefone können TLS 1.2-Verbindungen mit AES-256-basierten Schlüsseln, die mit SHA-2 (Secure Hash Algorithm) und FIPS (Federal Information Processing Standards) konform sind, initiieren und unterstützen. Die Schlüssel enthalten:
Weitere Informationen finden Sie in der Dokumentation zu Cisco Unified Communications Manager. |
|
Elliptic Curve Digital Signature Algorithm (ECDSA)-Zertifikate |
Als Teil der Common Criteria-(CC-)Zertifizierung hat Cisco Unified Communications Manager ECDSA-Zertifikate in Version 11.0 hinzugefügt. Dies betrifft alle Voice Operating System-(VOS-)Produkte mit Version CUCM 11.5 und höher. |
|
Tomcat-Zertifikat für mehrere Server (SAN) mit Cisco UCM | Das Telefon unterstützt Cisco UCM mit konfigurierten Tomcat-Zertifikaten (Multi-Server) SAN. Die korrekte TFTP Serveradresse ist in der Telefon-ITL-Datei für die Telefonregistrierung zu finden. Weitere Informationen zu dieser Funktion finden Sie unter: |
In der folgenden Tabelle sind die bei Aktualisierung der Vertrauensliste ausgegebenen Warnmeldungen sowie deren Bedeutung aufgeführt. Weitere Informationen finden Sie in der Dokumentation zu Cisco Unified Communications Manager.
| Code und Meldung | Beschreibung |
|---|---|
|
1 – TL_SUCCESS |
Neue CTL bzw. ITL erhalten |
|
2 – CTL_INITIAL_SUCCESS |
Neue CTL erhalten, keine TL vorhanden |
|
3 – ITL_INITIAL_SUCCESS |
Neue ITL erhalten, keine TL vorhanden |
|
4 – TL_INITIAL_SUCCESS |
Neue CTL und ITL erhalten, keine TL vorhanden |
|
5 – TL_FAILED_OLD_CTL |
Aktualisierung auf neue CTL fehlgeschlagen, aber vorherige TL vorhanden |
|
6 – TL_FAILED_NO_TL |
Aktualisierung auf neue TL fehlgeschlagen, und keine frühere TL vorhanden |
|
7 – TL_FAILED |
Allgemeiner Fehler |
|
8 – TL_FAILED_OLD_ITL |
Aktualisierung auf neue ITL fehlgeschlagen, aber vorherige TL vorhanden |
|
9 – TL_FAILED_OLD_TL |
Aktualisierung auf neue TL fehlgeschlagen, aber vorherige TL vorhanden |
Anrufsicherheit
Wenn die Sicherheit für ein Telefon implementiert wird, können sichere Anrufe auf dem Telefondisplay mit Symbolen gekennzeichnet werden. Sie können auch bestimmen, ob das verbundene Telefon sicher und geschützt ist, wenn zu Beginn des Anrufs ein Sicherheitssignal ausgegeben wird.
In einem sicheren Anruf sind alle Anrufsignale und Medienstreams verschlüsselt. Ein sicherer Anruf bietet eine hohe Sicherheitsstufe und stellt die Integrität und den Datenschutz des Anrufs sicher. Wenn ein aktiver Anruf verschlüsselt ist, wird das Sicherheitssymbol angezeigt
Auf der Linie.
-
Wenn der Anruf über nicht-IP-Anrufabschnitte, beispielsweise ein Festnetz, geleitet wird, ist der Anruf möglicherweise nicht sicher, auch wenn er im IP-Netzwerk verschlüsselt wurde und ein Schloss-Symbol angezeigt wird.
-
Sichere Anrufe werden nur auf Verbindungen zwischen zwei Telefonen unterstützt. Einige Funktionen, beispielsweise Konferenzanrufe und gemeinsam genutzte Leitungen, sind nicht verfügbar, wenn sichere Anrufe konfiguriert sind.
In Cisco Unified Communications Manager kann Telefonen, die als sicher (verschlüsselt und vertrauenswürdig) konfiguriert sind, der Status "geschützt" zugewiesen werden. Nach dem Schutz können diese Geräte so konfiguriert werden, dass sie zu Beginn jedes Anrufs einen Sicherheitston ausgeben.
-
Geschütztes Gerät:
So ändern Sie den Status eines sicheren Telefons in "Geschützt":
- Wählen Sie in Cisco Unified Communications Manager Administration die Option Gerät .
- Suchen Sie das Telefon, das Sie konfigurieren möchten.
- Aktivieren Sie im Fenster Telefonkonfiguration das Kontrollkästchen "Geschütztes Gerät ".
- Klicken Sie auf Speichern.
-
Sicherheitssignal wiedergeben:
Gehen Sie wie folgt vor, um auf dem geschützten Telefon ein Signal auszugeben, das auf einen sicheren oder unsicheren Anrufstatus hinweist:
- Wählen Sie in Cisco Unified Communications Manager Administration die Option System .
- Wählen Sie den Server und dann den Dienst Cisco CallManager aus.
- Legen Sie im Bereich Clusterweite Parameter (Funktion – Sicherheitston) die Einstellung Wiedergabeton für sicheren/unsicheren Anrufstatus auf True fest.
- Klicken Sie auf Speichern.
Sichere Identifizierung von Konferenzgesprächen
Sie können einen sicheren Konferenzanruf initiieren und die Sicherheitsstufe der Teilnehmer überwachen. Ein sicherer Konferenzanruf wird mit diesem Prozess initiiert:
-
Ein Benutzer startet die Konferenz auf einem sicheren Telefon.
-
Cisco Unified Communications Manager weist dem Anruf eine sichere Konferenzbrücke zu.
-
Während Teilnehmer hinzugefügt werden, überprüft Cisco Unified Communications Manager den Sicherheitsmodus aller Telefone und hält die Sicherheitsstufe für die Konferenz aufrecht.
-
Das Telefon zeigt die Sicherheitsstufe des Konferenzanrufs an. Bei einer sicheren Konferenz wird das Sicherheitssymbol angezeigt
.
Sichere Anrufe werden zwischen zwei Telefonen unterstützt. Für geschützte Telefone sind einige Funktionen, beispielsweise Konferenzanrufe, gemeinsam genutzte Leitungen und die Anschlussmobilität, nicht verfügbar, wenn sichere Anrufe konfiguriert sind.
Die folgende Tabelle enthält Informationen zu den Änderungen der Konferenzsicherheitsstufe, abhängig von der Sicherheitsstufe des Telefons des Initiators und der Verfügbarkeit von sicheren Konferenzbrücken.
|
Sicherheitsstufe des Telefons des Initiators |
Verwendete Funktion |
Sicherheitsstufe der Teilnehmer |
Ergebnisse der Aktion |
|---|---|---|---|
|
Nicht sicher |
Konferenz |
Sicher |
Nicht sichere Konferenzbrücke Nicht sichere Konferenz |
|
Sicher |
Konferenz |
Mindestens ein Mitglied ist nicht sicher. |
Sichere Konferenzbrücke Nicht sichere Konferenz |
|
Sicher |
Konferenz |
Sicher |
Sichere Konferenzbrücke Verschlüsselungsstufe der sicheren Konferenz |
|
Nicht sicher |
MeetMe |
Die minimale Sicherheitsstufe ist verschlüsselt. |
Der Initiator empfängt einen Neuanforderungston. |
|
Sicher |
MeetMe |
Die minimale Sicherheitsstufe ist nicht sicher. |
Sichere Konferenzbrücke Die Konferenz nimmt alle Anrufe an. |
Sichere Anruf-ID
Ein sicherer Anruf wird initiiert, wenn Ihr Telefon und das Telefon des anderen Teilnehmers für sichere Anrufe konfiguriert ist. Das andere Telefon kann sich im gleichen Cisco IP-Netzwerk oder in einem Netzwerk außerhalb des IP-Netzwerks befinden. Sichere Anrufe sind nur zwischen zwei Telefonen möglich. Konferenzanrufe sollten sichere Anrufe unterstützen, nachdem eine sichere Konferenzbrücke konfiguriert wurde.
Ein sicherer Anruf wird mit diesem Prozess initiiert:
-
Der Benutzer initiiert einen Anruf auf einem geschützten Telefon (Sicherheitsmodus).
-
Das Telefon zeigt das Sicherheitssymbol an.
Auf dem Telefondisplay. Dieses Symbol zeigt an, dass das Telefon für sichere Anrufe konfiguriert ist. Dies bedeutet jedoch nicht, dass das andere verbundene Telefon ebenfalls geschützt ist. -
Der Benutzer hört einen Signalton, wenn der Anruf mit einem anderen sicheren Telefon verbunden wird, der angibt, dass beide Enden der Konversation verschlüsselt und geschützt sind. Wenn der Anruf mit einem nicht sicheren Telefon verbunden wird, hört der Benutzer keinen Signalton.
Sichere Anrufe werden zwischen zwei Telefonen unterstützt. Für geschützte Telefone sind einige Funktionen, beispielsweise Konferenzanrufe, gemeinsam genutzte Leitungen und die Anschlussmobilität, nicht verfügbar, wenn sichere Anrufe konfiguriert sind.
Ein Sicherheitssignal wird nur auf einem geschützten Telefon ausgegeben. Auf einem nicht geschützten Telefon wird kein Signalton ausgegeben. Wenn sich der Gesamtstatus des Anrufs während des Anrufs ändert, gibt das geschützte Telefon den geänderten Signalton wieder.
Wenn die Option "Ton wiedergeben, um einen sicheren/nicht sicheren Anrufstatus anzuzeigen" auf "True" gesetzt ist:
-
Wenn auf beiden Seiten sichere Medien eingerichtet sind und der Anrufstatus „Sicher“ lautet, gibt das Telefon das Signal für eine sichere Verbindung wieder (drei lange Signaltöne mit Pausen).
-
Wenn auf beiden Seiten nicht sichere Medien eingerichtet sind und der Anrufstatus „Nicht sicher“ lautet, wird das Signal für eine nicht sichere Verbindung abgespielt (sechs kurze Signaltöne mit kurzen Pausen).
Wenn die Option "Signalton wiedergeben, um einen sicheren/nicht sicheren Anrufstatus anzugeben" auf "Falsch" gesetzt ist, erklingt kein Signalton.
Verschlüsselung für Aufschaltung bereitstellen
Cisco Unified Communications Manager überprüft den Sicherheitsstatus des Telefons, wenn Konferenzen erstellt werden, und ändert die Sicherheitsanzeige für die Konferenz oder blockiert die Durchführung des Anrufs, um Integrität und Sicherheit im System aufrechtzuerhalten.
Ein Benutzer kann sich nicht auf einen verschlüsselten Anruf aufschalten, wenn das für die Aufschaltung verwendete Telefon nicht für die Verschlüsselung konfiguriert ist. Wenn in einem solchen Fall die Aufschaltung fehlschlägt, wird auf dem Telefon, auf dem die Aufschaltung initiiert wurde, ein „Verbindung nicht möglich“-Ton (schneller Besetztton) ausgegeben.
Wenn das Telefon des Initiators für die Verschlüsselung konfiguriert ist, kann sich der Initiator der Aufschaltung über das verschlüsselte Telefon auf einen nicht sicheren Anruf aufschalten. Nach der Aufschaltung klassifiziert Cisco Unified Communications Manager den Anruf als nicht sicher.
Wenn das Telefon des Initiators für die Verschlüsselung konfiguriert ist, kann der Initiator der Aufschaltung sich auf einen verschlüsselten Anruf aufschalten. Auf dem Telefon wird dann angezeigt, dass der Anruf verschlüsselt ist.
Wireless LAN-Sicherheit
Da alle WLAN-Geräte, die sich innerhalb der Reichweite befinden, den gesamten anderen WLAN-Datenverkehr empfangen können, ist die Sicherung der Sprachkommunikation in einem WLAN besonders wichtig. Um sicherzustellen, dass Eindringlinge den Sprachverkehr weder manipulieren noch abfangen können, wird das Telefon von der Cisco SAFE Security-Architektur unterstützt. Weitere Informationen zur Sicherheit in Netzwerken finden Sie unter http://www.cisco.com/en/US/netsol/ns744/networking_solutions_program_home.html.
Die Cisco Wireless IP Telefonielösung bietet Sicherheit für Wireless-Netzwerke, die nicht autorisierte Anmeldungen und kompromittierte Kommunikation mithilfe der folgenden, vom Telefon unterstützten Authentifizierungsmethoden verhindert.
-
Offene Authentifizierung: In einem offenen System kann jedes kabellose Gerät die Authentifizierung anfordern. Der Access Point, der die Anforderung empfängt, kann die Authentifizierung entweder jedem Anforderer oder nur denjenigen Anforderern gewähren, die in einer Benutzerliste aufgeführt sind. Die Kommunikation zwischen dem drahtlosen Gerät und dem Access Point (AP) kann unverschlüsselt sein.
-
Extensible Authentication Protocol-flexible Authentication via Secure Tunneling (EAP-FAST)-Authentifizierung: Diese Client-Server-Sicherheitsarchitektur verschlüsselt EAP-Transaktionen innerhalb eines Transport Level Security (TLS)-Tunnels zwischen dem Access Point und dem RADIUS-Server, z. B. Identity Services Engine (ISE).
Der TLS-Tunnel verwendet PACs (Protected Access Credentials) für die Authentifizierung zwischen dem Client (Telefon) und dem RADIUS-Server. Der Server sendet eine Autoritäts-ID (Authority ID, AID) an den Client (Telefon), der wiederum die richtige PAC auswählt. Der Client (Telefon) gibt einen PAC-Opaque-Wert an den RADIUS-Server zurück. Der Server entschlüsselt die PAC mit dem primären Schlüssel. Beide Endpunkte verfügen nun über den PAC-Schlüssel, und ein TLS-Tunnel wird erstellt. EAP-FAST unterstützt die automatische PAC-Bereitstellung, muss jedoch auf dem RADIUS-Server aktiviert werden.
In der ISE läuft die PAC standardmäßig nach einer Woche ab. Wenn auf dem Telefon eine abgelaufene PAC vorhanden ist, dauert die Authentifizierung beim RADIUS-Server länger, da das Telefon eine neue PAC abrufen muss. Um Verzögerungen bei der PAC-Bereitstellung zu vermeiden, sollten Sie den Ablaufzeitraum für die PAC auf dem ISE oder RADIUS-Server auf mindestens 90 Tage festlegen.
-
Extensible Authentication Protocol-Transport Layer Security-(EAP-TLS-)-Authentifizierung: EAP-TLS erfordert ein Client-Zertifikat für Authentifizierung und Netzwerkzugriff. Bei Wireless EAP-TLS kann das Clientzertifikat MIC, LSC, oder ein vom Benutzer installiertes Zertifikat sein.
-
PEAP (Protected Extensible Authentication Protocol): Ein von Cisco entwickeltes, kennwortbasiertes Schema zur gegenseitigen Authentifizierung zwischen Client (Telefon) und RADIUS-Server. Das Telefon kann PEAP für die Authentifizierung beim Drahtlosnetzwerk verwenden. Als Authentifizierungsmethoden werden sowohl PEAP-MSCHAPV2 als auch PEAP-GTC unterstützt.
-
Pre-shared Key (PSK): Das Telefon unterstützt das Format ASCII und Hexadezimal (HEX). Sie müssen diese Formate verwenden, wenn Sie einen WPA2/SAE Pre-shared Key einrichten.
ASCII: Eine ASCII-Zeichenfolge mit einer Länge von 8 bis 63 Zeichen (0-9, Kleinbuchstaben a-z, Großbuchstaben A-Z und Sonderzeichen). Beispiel:
GREG123567@9ZX&W.HEX: Eine HEX-Zeichenfolge mit einer Länge von 64 Hexadezimalzeichen (0-9, a-f oder A-F).
Folgende Authentifizierungsschemata verwenden den RADIUS-Server, um Authentifizierungsschlüssel zu verwalten:
-
WPA2/WPA3: Verwendet RADIUS-Serverinformationen, um eindeutige Authentifizierungsschlüssel zu generieren. Da diese Schlüssel auf dem zentralen RADIUS-Server generiert werden, bietet WPA2/WPA3 eine höhere Sicherheit als die vorinstallierten WPA-Schlüssel, die am Access Point und auf dem Telefon gespeichert sind.
-
Fast Secure Roaming: Verwendet RADIUS-Serverinformationen und WDS-Informationen (Wireless Domain Server), um Schlüssel zu verwalten und zu authentifizieren. Der WDS erstellt einen Cache mit Sicherheitsanmeldedaten für FT-fähige Client-Geräte, um eine schnelle und sichere erneute Authentifizierung zu gewährleisten.
Bei WPA2/WPA3 werden die Verschlüsselungsschlüssel nicht auf dem Telefon eingegeben, sondern automatisch zwischen dem Access Point und dem Telefon abgeleitet. Der EAP-Benutzername und das Kennwort, die zur Authentifizierung verwendet werden, müssen jedoch auf jedem Telefon eingegeben werden.
Um den Sprachverkehr über die drahtlose Verbindung zu schützen, unterstützt das Telefon die AES-basierte Verschlüsselung für die WPA2/WPA3-Authentifizierung. AES ist eine symmetrische Blockchiffre, die vom NIST standardisiert wurde. AES verwendet eine feste 128-Bit-Blockgröße und unterstützt Schlüssellängen von 128 Bit, 192 Bit und 256 Bit. In Wi-Fi-Netzwerken wird AES von Verschlüsselungssammlungen wie CCMP oder GCMP verwendet, während die Authentifizierung je nach konfiguriertem WLAN Sicherheitsmodus separat von PSK, SAE oder 802.1X/EAP bereitgestellt wird. Die unterstützte Verschlüsselungssammlung und Schlüsselgröße hängen vom Telefonmodell und der WLAN-Konfiguration ab.
Wenn das Telefon die AES Verschlüsselung verwendet, werden sowohl die SIP-Signalpakete als auch die Sprachpakete (Real-Time Transport Protocol) RTP zwischen dem Access Point und dem Telefon verschlüsselt.
Authentifizierungs- und Verschlüsselungsschemata werden innerhalb des Wireless LAN eingerichtet. VLANs werden im Netzwerk und an den Access Points konfiguriert und geben verschiedene Kombinationen von Authentifizierung und Verschlüsselung an. Eine SSID wird einem VLAN und dem spezifischen Authentifizierungs- und Verschlüsselungsschema zugeordnet. Damit kabellose Client-Geräte erfolgreich authentifiziert werden können, müssen Sie an den Access Points und auf dem Telefon die gleichen SSIDs mit ihren Authentifizierungs- und Verschlüsselungsschemata konfigurieren.
Einige Authentifizierungsschemata erfordern bestimmte Arten von Verschlüsselung.
Wenn Sie WPA2 Pre-shared Key oder SAE verwenden, muss der vorinstallierte Schlüssel auf dem Telefon statisch festgelegt werden. Diese Schlüssel müssen mit den Schlüsseln am Access Point übereinstimmen.
Die Authentifizierungs- und Verschlüsselungsschemata in der folgenden Tabelle zeigen die Netzwerkkonfigurationsoptionen für Cisco Wireless Phone 9821, das der AP-Konfiguration entspricht.
| FSR-Typ | Authentifizierung | Schlüsselverwaltung | Verschlüsselung | Geschützter Verwaltungsrahmen (PMF) |
|---|---|---|---|---|
| 802.11r (FT) | PSK |
WPA-PSK WPA-PSK-SHA256 FT-PSK | AES | Nein |
| 802.11r (FT) | WPA3 |
SAE FT-SAE | AES | Ja |
| 802.11r (FT) | EAP-TLS |
WPA-EAP FT-EAP | AES | Nein |
| 802.11r (FT) | EAP-TLS (WPA3) |
WPA-EAP-SHA256 FT-EAP | AES | Ja |
| 802.11r (FT) | EAP-FAST |
WPA-EAP FT-EAP | AES | Nein |
| 802.11r (FT) | EAP-FAST (WPA3) |
WPA-EAP-SHA256 FT-EAP | AES | Ja |
| 802.11r (FT) | EAP-PEAP |
WPA-EAP FT-EAP | AES | Nein |
| 802.11r (FT) | EAP-PEAP (WPA3) |
WPA-EAP-SHA256 FT-EAP | AES | Ja |
| Nicht-FT | Suite-B | WPA-EAP-SUITE-B | GCMP | Ja |
| Nicht-FT | Suite-B-192 | WPA-EAP-SUITE-B-192 | GCMP | Ja |
Richten Sie ein Wi-Fi Profil ein
Sie können ein Wi-Fi Profil konfigurieren und es Cisco Wireless Phone 9821 zuweisen. Dieses Profil enthält die notwendigen Parameter, damit das Telefon eine Wi-Fi Verbindung herstellen und sich anschließend bei Cisco Unified CM registrieren kann. Wenn Sie ein Wi-Fi Profil erstellen und verwenden, müssen Sie oder Ihre Benutzer das Drahtlosnetzwerk nicht für einzelne Telefone konfigurieren.
Wir empfehlen, bei Nutzung eines Wi-Fi-Profils ein sicheres Profil mit aktivierter TFTP-Verschlüsselung zu verwenden, um Schlüssel und Kennwörter zu schützen.
Die Telefone unterstützen ein Serverzertifikat pro Installationsmethode (manuell, SCEP oder TFTP).
Beachten sie die folgenden Hinweise, bevor Sie das WLAN-Profil konfigurieren:
-
Benutzername und Kennwort
-
Wenn in Ihrem Netzwerk EAP-FAST und PEAP für die Benutzerauthentifizierung verwendet werden, müssen Sie ggf. sowohl den Benutzernamen als auch das Kennwort auf dem Remote Authentification Dial-In User Service (RADIUS) und auf dem Telefon konfigurieren.
- Die Anmeldeinformationen, die Sie im Wireless LAN-Profil eingeben, müssen mit den Anmeldeinformationen übereinstimmen, die Sie auf dem RADIUS-Server konfiguriert haben.
-
Wenn im Netzwerk Domänen genutzt werden, müssen Sie den Benutzernamen mit dem Domänennamen im Format
Domäne\Benutzernameeingeben.
-
-
Die folgenden Aktionen können dazu führen, dass das vorhandene Wi-Fi-Kennwort gelöscht wird:
- Eingeben einer ungültigen Benutzer-ID oder einem ungültigen Kennwort
- Installieren einer ungültigen oder abgelaufenen Stammzertifizierungsstelle, wenn der EAP-Typ auf PEAP-MSCHAPV2 oder PEAP-GTC festgelegt ist
- Deaktivieren des EAP-Typs auf dem RADIUS-Server, bevor das Telefon auf den neuen EAP-Typ umgestellt wird
- Um den EAP-Typ zu ändern, stellen sie sicher, dass sie zuerst den neuen EAP-Typ auf dem RADIUS-Server aktivieren und dann das Telefon auf den EAP-Typen umstellen. Sobald alle Telefone in den neuen EAP-Typ geändert wurden, können Sie den vorherigen EAP-Typ ggf. deaktivieren.
| 1 |
Wählen Sie in Cisco Unified Communications Manager Administration aus. |
| 2 |
Klicken Sie auf Neu hinzufügen. |
| 3 |
Legen Sie im Abschnitt Wireless LAN-Profilinformationen die folgenden Parameter fest:
|
| 4 |
Legen Sie im Abschnitt Wireless-Einstellungen die folgenden Parameter fest:
|
| 5 |
Legen Sie im Abschnitt Authentifizierungseinstellungen eine der folgenden Authentifizierungsmethoden für die Authentifizierungsmethode fest: EAP-FAST, EAP-TLS, PEAP-MSCHAPv2, PEAP-GTC, PSK und Keine. Cisco Das Wireless Phone 9821 unterstützt WEP nicht. Nachdem Sie dieses Feld festgelegt haben, werden möglicherweise zusätzliche Felder angezeigt, die Sie konfigurieren müssen.
Cisco Wireless Phone 9821 unterstützt das Feld Netzwerkzugriffsprofil nicht. |
| 6 |
Klicken Sie auf Speichern. |
Nächste Schritte
Binden Sie das WLAN-Profil an eine Profilgruppe WLAN und wenden Sie die Profilgruppe WLAN anschließend auf einen Gerätepool () an.
Installieren Sie ein Benutzerzertifikat über die Webseite zur Telefonverwaltung
Wenn SCEP (Simple Certificate Enrollment Protocol) nicht verfügbar ist, können Sie ein Benutzerzertifikat manuell auf dem Telefon installieren.
Das vom Hersteller installierte Zertifikat (MIC) kann als das Benutzerzertifikat für EAP-TLS verwendet werden.
Nachdem das Benutzerzertifikat installiert wurde, müssen Sie die CA-Kette, die das Benutzerzertifikat ausgestellt hat, zur Vertrauensliste des RADIUS-Servers hinzufügen.
Bevor Sie beginnen:
Bevor Sie ein Benutzerzertifikat für ein Telefon installieren können, benötigen Sie Folgendes:
-
Ein Benutzerzertifikat muss auf Ihrem PC gespeichert sein. Das Zertifikat muss im PKCS #12-Format vorliegen.
-
Das genaue Kennwort des Zertifikats. Das Kennwort darf nicht mehr als 32 Zeichen lang sein.
| 1 |
Wählen Sie auf der Webseite für die Telefonverwaltung Zertifikate aus. |
| 2 |
Navigieren Sie zum Feld Vom Benutzer installiert und klicken Sie auf Installieren. |
| 3 |
Navigieren Sie zum Zertifikat auf Ihren PC. |
| 4 |
Geben Sie im Feld Kennwort extrahieren das Extraktionskennwort des Zertifikats an. |
| 5 |
Klicken Sie auf Hochladen. |
| 6 |
Starten Sie das Telefon neu, nachdem der Upload abgeschlossen ist. |
Installieren Sie eine Authentifizierungsserver-CA über die Webseite zur Telefonverwaltung
Wenn SCEP (Simple Certificate Enrollment Protocol) nicht verfügbar ist, können Sie manuell eine Authentifizierungsserver-CA auf dem Telefon installieren.
Das Zertifikat der Stammzertifizierungsstelle, das das RADIUS-Serverzertifikat ausgestellt hat, muss installiert sein.
Bevor Sie beginnen:
Bevor Sie ein Zertifikat auf einem Telefon installieren können, muss auf Ihrem PC eine CA für den Authentifizierungsserver gespeichert sein. Das Zertifikat muss in PEM (Base-64) oder DER codiert sein.
| 1 |
Wählen Sie auf der Webseite für die Telefonverwaltung Zertifikate aus. |
| 2 |
Navigieren Sie zum Feld Authentifizierungsserver-Zertifikat und klicken Sie auf Installieren. |
| 3 |
Navigieren Sie zum Zertifikat auf Ihren PC. |
| 4 |
Klicken Sie auf Hochladen. |
| 5 |
Starten Sie das Telefon neu, nachdem der Upload abgeschlossen ist. |
Sicherheitszertifikat manuell von der Webseite für die Telefonverwaltung entfernen
Sie können ein Sicherheitszertifikat manuell von einem Telefon entfernen, wenn das SCEP (Simple Certificate Enrollment Protocol) nicht verfügbar ist.
| 1 |
Wählen Sie auf der Webseite für die Telefonverwaltung Zertifikate aus. |
| 2 |
Navigieren Sie auf der Seite Zertifikate zum Zertifikat. |
| 3 |
Klicken Sie auf Löschen. |
| 4 |
Starten Sie das Telefon nach Abschluss des Löschvorgangs neu. |
SCEP einrichten
SCEP (Simple Certificate Enrollment Protocol) ist der Standard für die automatische Bereitstellung und Erneuerung von Zertifikaten. Mit SCEP müssen Zertifikate nicht manuell auf Ihrem Telefon installiert werden.
Aktivieren Sie die produktspezifischen SCEP-Konfigurationsparameter
Sie müssen die folgenden SCEP-Parameter auf Cisco Unified Communications Manager (Unified CM) konfigurieren.
-
RA IP Adresse oder Hostname
-
SHA-1- oder SHA-256-Fingerabdruck des CA-Stammzertifikats für den SCEP-Server
Die Cisco IOS-Registrierungsstelle (RA) dient als Proxy für den SCEP-Server. Der SCEP-Client auf dem Telefon verwendet die Parameter, die von Cisco Unified CM heruntergeladen werden. Nachdem Sie die Parameter konfiguriert haben, sendet das Telefon eine SCEP-Gatcs-Anforderung an den RA, und das Zertifikat der Stammzertifizierungsstelle wird anhand des definierten Fingerabdrucks validiert.
| 1 |
Wählen Sie in Cisco Unified Communications Manager Administration Gerät> . |
| 2 |
Suchen Sie das Telefon. |
| 3 |
Navigieren Sie zum Bereich Produktspezifische Konfiguration – Layout. |
| 4 |
Aktivieren Sie das Kontrollkästchen WLAN SCEP-Server, um den SCEP-Parameter zu aktivieren. |
| 5 |
Aktivieren Sie das Kontrollkästchen WLAN Root CA Fingerprint (SHA256 oder SHA1), um den SCEP QED-Parameter zu aktivieren. |
SCEP-Server-Unterstützung
Wenn Sie einen SCEP-Server (Simple Certificate Enrollment Protocol) verwenden, kann der Server die Benutzer- und Server-Zertifikate automatisch beibehalten. Konfigurieren Sie auf dem SCEP-Server den SCEP-Registrierungs-Agent (RA) so, dass:
-
er als vertrauenswürdiger PKI-Punkt fungiert.
-
er als PKI-RA fungiert.
-
die Geräteauthentifizierung mit einem RADIUS-Server durchgeführt wird.
Weitere Informationen finden Sie in der Dokumentation zum SCEP-Server.
Einrichten eines LSC (Locally Significant Certificate)
Es gibt einige Methoden, um eine LSC zu installieren. Diese Beispielaufgabe bezieht sich auf das Einrichten eines LSC mit der Authentifizierungszeichenfolgenmethode auf dem Cisco Wireless-Telefon 9821.
Bevor Sie beginnen:
Stellen Sie sicher, dass die entsprechenden Sicherheitskonfigurationen Cisco Unified CM und certificate authority proxy function (CAPF) vollständig sind.
-
Die CTL- oder ITL-Datei hat ein CAPF-Zertifikat.
-
Überprüfen Sie in der Cisco Unified Communications Operating System-Verwaltung, ob das CAPF-Zertifikat installiert ist.
-
CAPF wird ausgeführt und ist konfiguriert.
Weitere Informationen zu diesen Einstellungen finden Sie in der Dokumentation zu Ihrer jeweiligen Cisco Unified CM Version.
| 1 |
Rufen Sie die Authentifizierungszeichenfolge CAPF ab, die beim Konfigurieren von CAPF festgelegt wurde. |
| 2 |
Rufen Sie auf dem Telefon die Einstellungen auf |
| 3 |
Wählen Sie Administratoreinstellungen>Systemkonfiguration |
| 4 |
Geben Sie die Authentifizierungszeichenfolge ein. |
| 5 |
Mehr drücken Das Telefon installiert, aktualisiert oder entfernt das LSC, abhängig davon, wie CAPF konfiguriert ist. Wenn das Verfahren abgeschlossen ist, wird Installiert oder Nicht installiert auf dem Telefon angezeigt. Der Prozess zum Installieren, Aktualisieren oder Entfernen des LSC kann längere Zeit dauern. Wenn das Telefon erfolgreich installiert wurde, wird die Meldung |
802.1X-Authentifizierung für kabelgebundene Netzwerke
Cisco Wireless Phone 9821 unterstützt die 802.1X-Authentifizierung für kabelgebundene Netzwerke. Diese wird normalerweise während der automatischen Bereitstellung verwendet, wenn das Telefon über einen unterstützten USB-zu-Ethernet-Adapter mit dem Desktopladegerät verbunden ist.
Für die Unterstützung der 802.1X-Authentifizierung in kabelgebundenen Netzwerken werden folgende Komponenten benötigt:
-
Cisco IP-Telefon: Das Telefon initiiert die Anforderung, um auf das Netzwerk zuzugreifen. Das Cisco IP-Telefon enthält ein 802.1X Supplicant. Dieses Supplicant ermöglicht Netzwerkadministratoren die Verbindung von IP-Telefonen mit den LAN-Switch-Ports zu steuern. Die aktuelle Version des 802.1X Supplicant verwendet EAP-FAST und EAP-TLS für die Netzwerkauthentifizierung.
-
Authentifizierungsserver: Der Authentifizierungsserver und der Switch müssen beide mit einem Shared Secret für RADIUS konfiguriert werden.
-
Switch: Der Switch muss 802.1X unterstützen, damit er als Authentifikator fungieren und die EAP Nachrichten zwischen dem Telefon und dem Authentifizierungsserver weiterleiten kann. Nach dem Meldungsaustausch gewährt oder verweigert der Switch dem Telefon den Zugriff auf das Netzwerk.
Cisco IP-Telefons und Cisco Catalyst-Switches verwenden normalerweise CDP (Cisco Discovery Protocol), um sich gegenseitig zu identifizieren und Paramater zu bestimmen, beispielsweise die VLAN-Zuweisung und Inline-Energieanforderungen.
Um 802.1X zu konfigurieren, müssen Sie die folgenden Schritte ausführen.
-
Konfigurieren Sie CDP/LLDP Sprachumgehung VLAN.
-
Konfigurieren Sie den Authentifizierungsserver und den Switch, bevor Sie die 802.1X-Authentifizierung für verkabelte Netzwerke auf dem Telefon aktivieren.
-
Sprach-VLAN konfigurieren: Da VLANs von 802.1X-Standard nicht berücksichtigt werden, sollten Sie diese Einstellung basierend auf der Switch-Unterstützung konfigurieren.
- Aktiviert: Wenn Sie einen Switch verwenden, der die Authentifizierung in mehreren Domänen unterstützt, können Sie ihn für die Verwendung der Sprachauthentifizierung VLAN konfigurieren.
- Deaktiviert: Wenn der Switch die Authentifizierung in mehreren Domänen nicht unterstützt, deaktivieren Sie das Sprach-VLAN und weisen Sie den Port dem systemeigenen VLAN zu.
-
Cisco Das Wireless-Telefon 9821 hat ein anderes Präfix in der PID als die anderen Cisco-Telefone. Damit Ihr Telefon die 802.1X-Authentifizierung bestehen kann, legen Sie das Feld Radius· User-Name-Parameter , um Ihr Cisco Wireless Phone 9821 einzuschließen.
Beispielsweise lautet die PID von Cisco Wireless Phone 9821 WP-9821. Sie können Radius · Benutzername , der
mit WPbeginnen soll oderEnthält WPin den beiden folgenden Abschnitten: -
802.1X-Authentifizierung für kabelgebundene Netzwerke auf Ihrem Telefon aktivieren
Um die 802.1X-Authentifizierung für kabelgebundene Netzwerke auf Ihrem Telefon zu aktivieren, führen Sie die folgenden Schritte aus: Beachten Sie, dass die 802.1X-Authentifizierung für Wi-Fi standardmäßig aktiviert ist und keine manuelle Konfiguration erfordert.
| 1 |
Greifen Sie auf die Einstellungen zu |
| 2 |
Geben Sie das Kennwort ein, um auf das Menü "Einstellungen" zuzugreifen, wenn Sie dazu aufgefordert werden. Sie erhalten das Kennwort vom Administrator. |
| 3 |
Wählen Sie Administratoreinstellungen . |
| 4 |
Markieren Sie Geräteauthentifizierung und drücken Sie Ein. |
Aktivieren Sie die 802.1X-Authentifizierung für kabelgebundene Netzwerke in Cisco Unified Communications Manager Administration
Führen Sie die folgenden Schritte aus, um die 802.1X-Authentifizierung für kabelgebundene Netzwerke auf Cisco Unified CM zu aktivieren. Beachten Sie, dass die 802.1X-Authentifizierung für Wi-Fi standardmäßig aktiviert ist und keine manuelle Konfiguration erfordert.
Sie können den Transaktionsstatus und die Sicherheitseinstellungen im Telefonmenü anzeigen. Weitere Informationen finden Sie unter Menü Sicherheitseinstellungen auf dem Telefon.
| 1 |
Wählen Sie in Cisco Unified Communications Manager Administration die Option Gerät > Telefon aus. |
| 2 |
Suchen Sie das Telefon, das Sie konfigurieren möchten. |
| 3 |
Navigieren Sie in den Bereich " Produktspezifische Konfiguration – Layout ". |
| 4 |
Wählen Sie im Dropdown-Menü "802,1x-Authentifizierung " die Option "Aktiviert " aus . Wenn die Geräteauthentifizierungsoption auf dem Cisco Wireless Phone 9821 auf "Aktiviert " oder "Deaktiviert "festgelegt ist, ist sie schreibgeschützt, sodass Benutzer die 802.1X-Authentifizierungseinstellungen nicht ändern können. |
| 5 |
Wählen Sie Speichern aus. |
| 6 |
Wählen Sie Konfiguration übernehmen. |
Menü "Sicherheitseinstellungen" auf dem Telefon
Um die Informationen zu den Sicherheitseinstellungen im Telefonmenü anzuzeigen, öffnen Sie das Fenster Einstellungen
und wählen Sie Administratoreinstellungen . Die Verfügbarkeit der Informationen hängt von den Netzwerkeinstellungen in Ihrem Unternehmen ab.
|
Parameter |
Optionen |
Standard |
Beschreibung |
|---|---|---|---|
|
Geräteauthentifizierung |
Ein Aus |
Aus |
Aktiviert oder deaktiviert die 802.1X-Authentifizierung auf dem Telefon. Die Parametereinstellung kann nach der Out-Of-Box-Registrierung (OOB) des Telefons beibehalten werden. |
|
Transaktionsstatus | Deaktiviert |
Zeigt den Status der 802.1X-Authentifizierung an. Der Status kann (nicht beschränkt auf):
| |
|
Protokoll | Keine |
Zeigt die Methode EAP an, die für die 802.1X-Authentifizierung verwendet wird. Das Protokoll kann EAP-FAST oder EAP-TLS sein. |
Richten Sie die unterstützten Versionen von TLS ein.
Sie können die Mindestversion von TLS einrichten, die für Client bzw. Server erforderlich ist.
Standardmäßig ist die TLS-Mindestversion von Server und Client 1.2. Die Einstellung hat Auswirkungen auf folgende Funktionen:
- HTTPS-Webzugriffsverbindung
- Onboarding für On-Premises-Telefon
- HTTPS-Dienste, z. B. Verzeichnisdienste
- Datagramm-DTLS (Transport Layer Security)
- Portzugriffsinstanz (Port Access Entity, PAE)
- Extensible Authentication Protocol-Transport Layer Security (EAP-TLS)
Weitere Informationen zur TLS 1.3-Kompatibilität für Cisco IP Phones finden Sie unter TLS 1.3 Kompatibilitätsmatrix für Cisco Collaboration-Produkte.
| 1 |
Führen Sie in Cisco Unified Communications Manager Administration nach Bedarf eine der folgenden Aktionen aus:
Die Konfiguration folgt einer hierarchischen Struktur:
|
| 2 |
Richten Sie das Feld TLS Client Min Version ein: Die Option TLS 1.3 ist auf Cisco Unified CM 15SU2 oder höher verfügbar.
|
| 3 |
Richten Sie das Feld Min. Version des Servers TLS ein:
|
| 4 |
Klicken Sie auf Speichern. |
| 5 |
Klicken Sie auf Konfiguration übernehmen. |
| 6 |
Starten Sie die Telefone neu. |
TURN Lautsprecher und Headset ausschalten Cisco Wireless Phone 9821
Sie haben die Möglichkeit, die Freisprecheinrichtung und das Headset eines Cisco Wireless Phone 9821 für Ihren Benutzer dauerhaft TURN auszuschalten. Durch das Ausschalten dieser Audioausgänge wird sichergestellt, dass Gespräche von anderen Personen in der Nähe nicht gehört werden können, was in gemeinsam genutzten oder offenen Büroumgebungen wichtig ist.
| 1 |
Wählen Sie in Cisco Unified Communications Manager Administration die Option Gerät . |
| 2 |
Suchen Sie das Telefon, das Sie konfigurieren möchten. |
| 3 |
Navigieren Sie in den Bereich " Produktspezifische Konfiguration – Layout ". |
| 4 |
Aktivieren Sie eines oder mehrere der folgenden Kontrollkästchen, um die Funktionen des Telefons mit TURN zu deaktivieren:
Diese Kontrollkästchen sind standardmäßig deaktiviert. |
| 5 |
Wählen Sie Speichern aus. |
| 6 |
Wählen Sie Konfiguration übernehmen. |
