Instalar manualmente el certificado de dispositivo personalizado

Puede instalar manualmente un certificado de dispositivo personalizado (CDC) en el teléfono cargando el certificado desde la página web de administración del teléfono.

Antes de comenzar

Para poder instalar un certificado de dispositivo personalizado para un teléfono, debe tener:

  • Un archivo de certificado (.p12 o .pfx) guardado en su PC. El archivo contiene el certificado y la clave privada.
  • La contraseña de extracción del certificado. La contraseña se utiliza para descifrar el archivo de certificado.
1

Acceda a la página web de administración del teléfono.

2

Seleccione Certificado.

3

En la sección Agregar certificado , haga clic en Examinar....

4

Busque el certificado en la PC.

5

En el campo Extract password (Contraseña de extracción), ingrese la contraseña de extracción del certificado.

6

Haga clic en Upload (Cargar).

Si el archivo de certificado y la contraseña son correctos, recibirá el mensaje "Certificado agregado". De lo contrario, se produce un error en la carga y aparece un mensaje de error que indica que no se puede cargar el certificado.
7

Para comprobar los detalles del certificado instalado, haga clic en Ver en la sección Certificados existentes.

8

Para eliminar el certificado instalado del teléfono, haga clic en Eliminar en la sección Certificados existentes.

Una vez que haga clic en el botón, la operación de eliminación comienza inmediatamente sin una confirmación.

Si el certificado se quita correctamente, recibirá el mensaje "Certificado eliminado".

Instalar automáticamente el certificado de dispositivo personalizado por SCEP

Puede configurar los parámetros del Protocolo simple de inscripción de certificados (SCEP) para instalar automáticamente el certificado de dispositivo personalizado (CDC) si no desea cargar manualmente el archivo de certificado o si no tiene el archivo de certificado en su lugar.

Cuando los parámetros SCEP están configurados correctamente, el teléfono envía solicitudes al servidor SCEP y el certificado de CA se valida por dispositivo utilizando la huella digital definida.

Antes de comenzar

Para poder realizar una instalación automática de un certificado de dispositivo personalizado para un teléfono, debe tener:

  • Dirección del servidor SCEP
  • Huella digital SHA-1 o SHA-256 del certificado CA raíz para el servidor SCEP
1

Acceda a la página web de administración del teléfono.

2

Seleccione Certificado.

3

En la sección Configuración SCEP 1 , establezca los parámetros como se describe en la siguiente tabla Parámetros para la configuración de SCEP.

4

Haga clic en Submit All Changes.

Parámetros para la configuración de SCEP

En la tabla siguiente se definen la función y el uso de los parámetros de configuración de SCEP en la sección Configuración SCEP 1 de la ficha Certificado de la interfaz Web del teléfono. También define la sintaxis de la cadena que se agrega en el archivo de configuración del teléfono (cfg.xml) para configurar un parámetro.

Tabla 1. Parámetros para la configuración de SCEP
ParámetroDescripción
Servidor

Dirección del servidor SCEP. Este parámetro es obligatorio.

Realice una de las siguientes acciones:

  • En el archivo de configuración del teléfono con XML(cfg.XML), ingrese una cadena con el siguiente formato:

    <CDC_Server_1_ ua="na">http://10.79.57.91</CDC_Server_1_>

  • En la página web del teléfono, introduzca la dirección del servidor SCEP.

Valores válidos: una dirección URL o IP. No se admite el esquema HTTPS.

Valor predeterminado: Empty (Vacío)

Huella digital de CA raíz

Huella digital SHA256 o SHA1 de la CA raíz para validación durante el proceso SCEP. Este parámetro es obligatorio.

Realice una de las siguientes acciones:

  • En el archivo de configuración del teléfono con XML(cfg.XML), ingrese una cadena con el siguiente formato:

    <CDC_Root_CA_Fingerprint_1_ ua="na">12040870625C5B755D73F5925285F8F5FF5D55AF</CDC_Root_CA_Fingerprint_1_>

  • En la página web del teléfono, introduzca una huella digital válida.

Valor predeterminado: Empty (Vacío)

Contraseña de desafío

La contraseña de desafío para Certificate Authority autorización (CA) contra el teléfono durante una inscripción de certificado a través de SCEP. Este parámetro es opcional.

Según el entorno SCEP real, el comportamiento de la contraseña de desafío varía.

  • Si el teléfono obtiene un certificado de un RA de Cisco que se comunica con la CA, la contraseña de desafío no es compatible con CA. En este caso, Cisco RA utiliza el MIC/SUDI del teléfono para la autenticación de acceso a la CA. El teléfono utiliza MIC/SUDI tanto para la inscripción inicial como para la renovación del certificado.
  • Si el teléfono obtiene un certificado al comunicarse directamente con la CA, la contraseña de desafío es compatible con CA. Si se configura, se usará solo para la inscripción inicial. Para la renovación del certificado, se utilizará en su lugar el certificado instalado.

Realice una de las siguientes acciones:

  • En el archivo de configuración del teléfono con XML(cfg.XML), ingrese una cadena con el siguiente formato:

    <CDC_Challenge_Password_1_ ua="na"></CDC_Challenge_Password_1_>

    La contraseña está enmascarada en el archivo de configuración.

  • En la página web del teléfono, escriba la contraseña de seguridad.

Valor predeterminado: Empty (Vacío)

Configuración de parámetros SCEP mediante DHCP opción 43

Además de la inscripción del certificado SCEP mediante las configuraciones manuales de la página web del teléfono, también puede utilizar la opción de DHCP 43 para rellenar los parámetros desde un servidor DHCP. La opción DHCP 43 está preconfigurada con los parámetros SCEP, posteriormente el teléfono puede obtener los parámetros del servidor DHCP para realizar la inscripción del certificado SCEP.

  • La configuración de los parámetros SCEP a través de DHCP opción 43 solo está disponible para el teléfono donde se realiza un restablecimiento de fábrica.
  • Los teléfonos no deben colocarse en la red que admita tanto la opción 43 como el aprovisionamiento remoto (por ejemplo, las opciones 66,160,159,150 o el aprovisionamiento en la nube). De lo contrario, es posible que los teléfonos no obtengan las configuraciones de la opción 43.

Para inscribir un certificado SCEP configurando los parámetros SCEP en la opción 43 DHCP, haga lo siguiente:

  1. Prepare un entorno SCEP.

    Para obtener información acerca de la configuración del entorno SCEP, consulte la documentación del servidor SCEP.

  2. Configure DHCP opción 43 (definida en 8.4 Información específica del proveedor, RFC 2132).

    Las subopciones (10–15) están reservadas para el método:

    Parámetro en la página web del teléfonoSubopciónTipoLongitud (byte)Obligatorio
    Modo FIPS10booleano1No*
    Servidor11cadena208 - longitud (Contraseña de desafío)
    Huella digital de CA raíz12binario20 o 32
    Contraseña de desafío13cadena208 - longitud (Servidor)No*
    Habilitación de la autenticación de 802.1X14booleano1No
    Selección de certificado158 bits sin firmar1No

    Cuando utilice el DHCP opción 43, observe las siguientes características del método:

    • Las subopciones (10–15) están reservadas para el certificado de dispositivo personalizado (CDC).
    • La longitud máxima de DHCP opción 43 es de 255 bytes.
    • La longitud máxima de Server + Challenge Password debe ser inferior a 208 bytes.
    • El valor del modo FIPS debe ser coherente con la configuración de aprovisionamiento de incorporación. De lo contrario, el teléfono no podrá recuperar el certificado instalado previamente después de la incorporación. Específicamente
      • Si el teléfono se va a registrar en un entorno donde el modo FIPS está deshabilitado, no es necesario configurar el parámetro Modo FIPS en DHCP opción 43. De forma predeterminada, el modo FIPS está deshabilitado.
      • Si el teléfono se va a registrar en un entorno donde el modo FIPS está habilitado, debe habilitar el modo FIPS en DHCP opción 43. Consulte Habilitar el modo FIPS para obtener más información.
    • La contraseña de la opción 43 está en texto no cifrado.

      Si la contraseña de desafío está vacía, el teléfono utiliza MIC/SUDI para la inscripción inicial y la renovación del certificado. Si la contraseña de desafío está configurada, solo se usa para la inscripción inicial y el certificado instalado se usará para la renovación del certificado.

    • Habilitar autenticación 802.1X y Selección de certificado se utilizan únicamente para los teléfonos de red cableada.
    • DHCP opción 60 (Identificador de clase de proveedor) se utiliza para identificar el modelo de dispositivo.

    En el cuadro siguiente se ofrece un ejemplo de DHCP opción 43 (subopciones 10 a 15):

    Subopción decimal/hexadecimalLongitud del valor (byte) decimal/hexadecimalValorValor hexadecimal
    10/0a1/011 (0: deshabilitado; 1: habilitado)01
    11/0b18/12http://10.79.57.91687474703a2f2f31302e37392e35372e3931
    12/0c20/1412040870625C5B755D73F5925285F8F5FF5D55AF12040870625C5B755D73F5925285F8F5FF5D55AF
    13/0d16/10D233CCF9B9952A1544323333434346394239393532413135
    14/0e1/011 (0: No; 1: Sí)01
    15/0f1/011 (0: fabricación instalada; 1: instalación personalizada) 01

    Resumen de los valores de los parámetros:

    • Modo FIPS = Habilitado

    • Servidor = http://10.79.57.91

    • Huella digital de CA raíz = 12040870625C5B755D73F5925285F8F5FF5D55AF

    • Contraseña de desafío = D233CCF9B9952A15

    • Habilitar autenticación 802.1X =

    • Selección de certificado = Personalizado instalado

    La sintaxis del valor hexadecimal final es: {<suboption><length><value>}...

    De acuerdo con los valores de parámetro anteriores, el valor hexadecimal final es el siguiente:

    0a01010b12687474703a2f2f31302e37392e35372e39310c1412040870625C5B755D73F5925285F8F5FF5D55AF0d10443233334343463942393935324131350e01010f0101

  3. Configure DHCP opción 43 en un servidor DHCP.

    Este paso proporciona un ejemplo de las configuraciones de la opción DHCP 43 en Cisco Network Register.

    1. Agregue DHCP conjunto de definición de opciones.

      La cadena de opción de proveedor es el nombre del modelo de los teléfonos IP. El valor válido es: DP-9841, DP-9851, DP-9861, DP-9871 o CP-8875.

    2. Agregue el DHCP opción 43 y las subopciones al conjunto de definiciones de opciones DHCP.

      Ejemplo:

      Captura de pantalla de DHCP definiciones de la opción 43 en Cisco Network Register

    3. Agregue las opciones 43 a la directiva DHCP y configure el valor de la siguiente manera:

      Ejemplo:

      (10 1)(11 http://10.79.57.91)(12 12040870625C5B755D73F5925285F8F5FF5D55AF)(13 D233CCF9B9952A15)(14 1)(15 1)

    4. Verifique la configuración. Puede usar Wireshark para capturar un rastro del tráfico de red entre el teléfono y el servicio.
  4. Realice un restablecimiento de fábrica para el teléfono.

    Después de restablecer el teléfono, los parámetros Servidor, Huella digital de CA raíz y Contraseña de desafío se completarán automáticamente. Estos parámetros se encuentran en la sección Configuración SCEP 1 de Certificado > Personalizado en la página web de administración del teléfono.

    Para comprobar los detalles del certificado instalado, haga clic en Ver en la sección Certificados existentes.

    Para comprobar el estado de instalación del certificado, seleccione Estado > Certificado personalizado. El Estado de descarga 1 muestra el último resultado. Si se produce algún problema durante la inscripción del certificado, el estado de descarga puede mostrar el motivo del problema para solucionar problemas.

    Si la autenticación de contraseña de desafío falla, se pedirá a los usuarios que introduzcan la contraseña en la pantalla del teléfono.
  5. (Opcional): Para eliminar el certificado instalado del teléfono, haga clic en Eliminar en la sección Certificados existentes.
    Una vez que haga clic en el botón, la operación de eliminación comienza inmediatamente sin una confirmación.

Renovación de certificado por SCEP

El certificado del dispositivo se puede actualizar automáticamente mediante el proceso SCEP.

  • El teléfono comprueba si el certificado caducará en 15 días cada 4 horas. Si es así, el teléfono inicia el proceso de renovación del certificado automáticamente.
  • Si la contraseña de desafío está vacía, el teléfono utiliza MIC/SUDI tanto para la inscripción inicial como para la renovación del certificado. Si la contraseña de desafío está configurada, se usa solo para la inscripción inicial, el certificado existente/instalado se usa para la renovación del certificado.
  • El teléfono no quita el certificado de dispositivo antiguo hasta que recupera el nuevo.
  • Si la renovación del certificado falla porque caduca el certificado del dispositivo o la CA, el teléfono activa la inscripción inicial automáticamente. Mientras tanto, si la autenticación de contraseña de desafío falla, aparece una pantalla de entrada de contraseña en la pantalla del teléfono y se solicita a los usuarios que ingresen la contraseña de desafío en el teléfono.

Activar el modo FIPS

Puede hacer que un teléfono cumpla con los Estándares Federales de Procesamiento de Información (FIPS).

FIPS es un conjunto de estándares que describen el procesamiento de documentos, algoritmos de cifrado y otros estándares de tecnología de la información para su uso dentro del gobierno no militar y por contratistas y proveedores gubernamentales que trabajan con las agencias. CiscoSSL FOM (FIPS Object Module) es un componente de software cuidadosamente definido y diseñado para la compatibilidad con la biblioteca CiscoSSL, por lo que los productos que utilizan la biblioteca y el API CiscoSSL se pueden convertir para utilizar criptografía validada por FIPS 140-2 con un mínimo esfuerzo.

1

Acceda a la página web de administración del teléfono.

2

Seleccione Voice (Voz) > System (Sistema).

3

En la sección Configuración de seguridad, elija o No en el parámetro Modo FIPS .

4

Haga clic en Submit All Changes.

Cuando habilita FIPS, las siguientes características funcionan sin problemas en el teléfono:
  • Autenticación de imagen
  • Almacenamiento seguro
  • Cifrado de archivos de configuración
  • TLS:
    • HTTPs
    • Carga de PRT
    • Actualización de firmware
    • Resincronización de perfil
    • Servicio a bordo
    • Webex incorporación
    • SIP a través de TLS
    • 802.1x (cableado)
  • Resumen SIP (RFC 8760)
  • SRTP
  • Webex registros de llamadas y directorio Webex
  • Un botón para presionar (OBTP)

Quitar manualmente un certificado de seguridad

Puede quitar manualmente un certificado de seguridad de un teléfono si el Protocolo simple de inscripción de certificados (SCEP) no está disponible.

1

En la página web de administración del teléfono, seleccione Certificates (Certificados).

2

Busque el certificado en la página Certificados.

3

Haga clic en Delete (Eliminar).

4

Reinicie el teléfono después de que finalice el proceso de eliminación.

Establecer la contraseña de usuario y administrador

Después de registrar el teléfono en un sistema de control de llamadas por primera vez o realizar un restablecimiento de fábrica en el teléfono, debe establecer la contraseña de usuario y administrador para mejorar la seguridad del teléfono. Sólo cuando se establece la contraseña, puede enviar los cambios desde la página web del teléfono.

De forma predeterminada, la advertencia de no contraseña está habilitada en el teléfono. Cuando el teléfono no tiene ninguna contraseña de usuario o administrador, se muestran las siguientes advertencias:

  • La página web del teléfono muestra la opción "No se proporcionó ninguna contraseña de administrador. La Web está en modo de sólo lectura y no puede enviar cambios. Cambie la contraseña." en la esquina superior izquierda.

    Los campos Contraseña de usuario y Contraseña de administrador muestran la advertencia "No se proporcionó ninguna contraseña" respectivamente si está vacía.

  • La pantalla del teléfono Problemas y diagnósticos muestra el problema "No se proporcionó contraseña".
1

Acceder a la página web de administración del teléfono

2

Seleccione Voice (Voz) > System (Sistema).

3

(Opcional) En la sección Configuración del sistema, establezca el parámetro Mostrar advertencias de contraseña en Sí y, acontinuación, haga clic en Enviar todos los cambios.

También puede activar los parámetros en el archivo de configuración del teléfono (cfg.xml).

<Display_Password_Warnings ua="na">Sí</Display_Password_Warnings>

Valor predeterminado: Yes (Sí)

Opciones: Sí|No

Cuando el parámetro se establece en No, la advertencia de contraseña no aparece ni en la página web ni en la pantalla del teléfono. Además, el modo ready-only para la página web no se activará aunque la contraseña esté vacía.

4

Busque el parámetro Contraseña de usuario o Contraseña de administrador y haga clic en Cambiar contraseña junto al parámetro.

5

Introduzca la contraseña de usuario actual en el campo Contraseña antigua.

Si no tiene una contraseña, deje el campo vacío. El valor predeterminado es el vacío.
6

Introduzca una nueva contraseña en el campo Nueva contraseña .

7

Haga clic en Submit (Enviar).

El mensaje La contraseña se ha cambiado con éxito. se mostrará en la página web. La página web se actualizará en varios segundos. La advertencia junto al parámetro desaparecerá.

Después de establecer la contraseña de usuario, este parámetro muestra lo siguiente en el archivo de XML de configuración del teléfono (cfg.xml):

<!-- <Admin_Password ua="na">*************</Admin_Password> <User_Password ua="rw">*************</User_Password> -->

Si recibe el código de error 403 cuando intenta acceder a la página web del teléfono, debe establecer la contraseña de usuario o administrador mediante el aprovisionamiento en el archivo de configuración del teléfono (cfg.xml). Por ejemplo, introduzca una cadena en este formato:

<Admin_Password ua="na">P0ssw0rd_tes89</Admin_Password>

<User_Password ua="rw">Abc123</User_Password>

Autenticación 802.1X

La Teléfonos IP Cisco admiten la autenticación 802.1X.

Tradicionalmente, los Teléfonos IP Cisco y los switches Cisco Catalyst utilizan el Cisco Discovery Protocol (Protocolo de detección de Cisco o CDP) para identificarse entre ellos y determinar parámetros como la asignación de VLAN y los requisitos de la alimentación en línea. El CDP no identifica las estaciones de trabajo conectadas localmente. Los Teléfonos IP de Cisco proporcionan un mecanismo de transferencia de EAPOL. Este mecanismo permite que una estación de trabajo conectada al Teléfono IP de Cisco pase mensajes EAPOL al autenticador 802.1X en el switch de LAN. El mecanismo de transferencia garantiza que el teléfono IP no actúe como el switch de LAN para autenticar un extremo de datos antes de acceder a la red.

Los Teléfonos IP de Cisco también proporcionan un mecanismo de cierre de sesión EAPOL con proxy. Si la computadora conectada localmente se desconecta del teléfono IP, el switch de LAN no percibe la falla en el enlace físico, ya que se mantiene el enlace entre el switch de LAN y el teléfono IP. Para evitar poner en peligro la integridad de la red, el teléfono IP envía un mensaje de cierre de sesión de EAPOL al switch en nombre de la computadora de transmisión de datos a usuarios, que activa el switch de LAN para borrar la entrada de autenticación para esta computadora.

La compatibilidad con la autenticación 802.1X requiere varios componentes:

  • Teléfono IP de Cisco: el teléfono inicia la solicitud de acceso a la red. Los Teléfonos IP de Cisco contienen un solicitante de 802.1X. Este solicitante permite a los administradores de red controlar la conectividad de los teléfonos IP a los puertos de switch de LAN. La versión actual del teléfono solicitante de 802.1X utiliza las opciones EAP-FAST y EAP-TLS para la autenticación de red.

  • Servidor de autenticación: Tanto el servidor de autenticación como el conmutador deben estar configurados con un secreto compartido que autentique el teléfono.

  • Switch: el switch debe ser compatible con 802.1X, para que pueda actuar como autenticador y transmitir los mensajes entre el teléfono y el servidor de autenticación. Cuando se completa el intercambio de mensajes, el switch le otorga o deniega el acceso a la red al teléfono.

Para configurar 802.1X, debe realizar las siguientes acciones.

  • Configure el resto de los componentes antes de activar la autenticación 802.1X en el teléfono.

  • Configure el puerto PC: el estándar 802.1X no tiene en consideración las VLAN y, por lo tanto, recomienda que solo se autentique un único dispositivo en un puerto de conmutación específico. Sin embargo, algunos switches admiten la autenticación de múltiples dominios. La configuración del switch determina si puede conectar una computadora al puerto de PC del teléfono.

    • Activado: si está usando un switch que admite la autenticación de múltiples dominios, puede activar el puerto PC y conectar una PC a él. En este caso, los Teléfonos IP de Cisco admiten el cierre de sesión EAPOL con proxy para supervisar los intercambios de autenticación entre el switch y la PC conectada.

      Para obtener más información sobre la compatibilidad con IEEE 802.1X en los switches Cisco Catalyst, consulte las guías de configuración de switches Cisco Catalyst en:

      http://www.cisco.com/en/US/products/hw/switches/ps708/tsd_products_support_series_home.html

    • Desactivado: si el switch no admite varios dispositivos compatibles con 802.1X en el mismo puerto, debe desactivar el puerto PC cuando la autenticación 802.1X está activada. Si no desactiva este puerto y luego intenta conectar una PC a él, el switch le denegará el acceso a la red tanto al teléfono como a la PC.

  • Configure la VLAN de voz: como el estándar 802.1X no tiene en consideración las VLAN, debe configurar este parámetro según la compatibilidad del switch.
    • Activada: si utiliza un switch que admite la autenticación de múltiples dominios, puede utilizar la VLAN de voz.
    • Desactivada: si el switch no admite la autenticación de múltiples dominios, desactive la VLAN de voz y considere la asignación del puerto a la VLAN nativa.
  • (Sólo para Cisco Desk Phone serie 9800)

    Cisco Desk Phone 9800 Series tiene un prefijo diferente en el PID que para los otros teléfonos Cisco. Para permitir que su teléfono pase la autenticación 802.1X, configure el botón Radius· Parámetro User-Name para incluir el Cisco Desk Phone serie 9800.

    Por ejemplo, el PID del teléfono 9841 es DP-9841; puedes establecer Radius· Nombre de usuario para empezar por DP o Contiene DP. Puede configurarlo en las dos secciones siguientes:

    • Política > Condiciones > Condiciones de la biblioteca

    • Conjuntos > directivas > Política de autorización> Regla de autorización 1

Activar la autenticación 802.1X

Cuando la autenticación 802.1X está habilitada, el teléfono utiliza la autenticación 802.1X para solicitar acceso a la red. Cuando la autenticación 802.1X está deshabilitada, el teléfono utiliza Cisco Discovery Protocol (CDP) para adquirir VLAN y acceso a la red. También puede ver el estado de la transacción y el cambio en el menú de la pantalla del teléfono.

Cuando la autenticación 802.1X está habilitada, también puede seleccionar el certificado de dispositivo (MIC/SUDI o personalizado) para la inscripción inicial y la renovación del certificado. Normalmente, MIC es para Cisco Video Phone 8875, SUDI es para Cisco Desk Phone 9800 Series. CDC solo se puede usar para la autenticación en 802.1x.

1

Realice una de las siguientes acciones para habilitar la autenticación de 802.1X:

  • En la interfaz web del teléfono, seleccione Voz > Sistema y establezca el parámetro Activar autenticación 802.1X en . Luego, haga clic en Submit all Changes (Enviar todos los cambios).
  • En el archivo de configuración (cfg.xml), introduzca una cadena en este formato:

    <Enable_802.1X_Authentication ua="rw">Yes</Enable_802.1X_Authentication>

    Valores válidos: Yes (Sí) | No

    Valor predeterminado: no

  • En el teléfono, presione Configuración the Settings hard keyy vaya a Configuración de red y servicio > Seguridad>Autenticación 802.1X. Cambie el campo Autenticación de dispositivo a Activado y, a continuación, seleccioneAplicar .
Tabla 2. Parámetros para la autenticación 802.1X en la pantalla del teléfono

Parámetros

Opciones

Predeterminado

Descripción

Device authentication (Autenticación de dispositivos)

Activado

Desactivada

Desactivada

Habilite o deshabilite la autenticación 802.1X en el teléfono.

Transaction status (Estado de transacción)

Inhabilitado

Muestra el estado de la autenticación 802.1X. El estado puede ser (no limitado a):

  • Authenticating (Autenticando): indica que el proceso de autenticación está en curso.
  • Authenticated (Autenticado): indica que el teléfono está autenticado.
  • Disabled (Inhabilitado): indica que la autenticación de 802.1X está inhabilitada en el teléfono.

Protocolo

Ninguno

Muestra el método EAP que se utiliza para la autenticación 802.1X. El protocolo puede ser EAP-FAST o EAP-TLS.

Tipo de certificado de usuario

Fabricación instalada

Instalación personalizada

Fabricación instalada

Elija el certificado para la autenticación 802.1X durante la inscripción inicial y la renovación del certificado.

  • Fabricación instalada: se utilizan el certificado instalado en fabricación (MIC) y el identificador único de dispositivo seguro (SUDI).
  • Instalación personalizada: se utiliza el certificado de dispositivo personalizado (CDC). Este tipo de certificado se puede instalar mediante carga manual en la página web del teléfono o mediante la instalación desde un servidor de Protocolo simple de inscripción de certificados (SCEP).

Este parámetro aparece en el teléfono solo cuando la autenticación del dispositivo está habilitada.

2

Seleccione un certificado (MIC o personalizado) para la autenticación 802.1X en la página web del teléfono.

  • Para redes cableadas, seleccione Voz > Sistema, elija un tipo de certificado de la lista desplegable Certificado Seleccione en la sección Autenticación 802.1X.

    También puede configurar este parámetro en el archivo de configuración (cfg.xml):

    <Certificate_Select ua="rw">Personalizado instalado</Certificate_Select>

    Valores válidos: Fabricación instalada|Instalación personalizada

    Valor predeterminado: Fabricación instalada

  • Para la red inalámbrica, seleccione Voz > Sistema, elija un tipo de certificado de la lista desplegable Certificado Seleccione en la sección Wi-Fi Perfil 1.

    También puede configurar este parámetro en el archivo de configuración (cfg.xml):

    <Wi-Fi_Certificate_Select_1_ ua="rw">Instalación personalizada</Wi-Fi_Certificate_Select_1_>

    Valores válidos: Fabricación instalada|Instalación personalizada

    Valor predeterminado: Fabricación instalada

Para obtener información acerca de cómo seleccionar un tipo de certificado en la pantalla del teléfono, consulte Conectar el teléfono a una red Wi-Fi.

Configurar un servidor proxy

Puede configurar el teléfono para que utilice un servidor proxy para mejorar la seguridad. Normalmente, un servidor proxy HTTP puede proporcionar los siguientes servicios:

  • Enrutamiento del tráfico entre redes internas y externas
  • Filtrar, supervisar o registrar el tráfico
  • Almacenamiento en caché de respuestas para mejorar el rendimiento

Además, el servidor proxy HTTP puede actuar como un firewall entre el teléfono e Internet. Después de una configuración exitosa, el teléfono se conecta a Internet a través del servidor proxy que protege el teléfono de ataques cibernéticos.

Cuando se configura, la característica de proxy HTTP se aplica a todas las aplicaciones que utilizan el protocolo HTTP. Por ejemplo:

  • GDS (Activation Code Onboarding)
  • Activación de dispositivo EDOS
  • Incorporación a Webex Cloud (a través de EDOS o GDS)
  • CA personalizada
  • Aprovisionamiento
  • Actualización de firmware
  • Informe de estado del teléfono
  • Carga de PRT
  • Servicios de XSI
  • Servicios Webex

Actualmente, la función solo admite IPv4.

1

Acceda a la página web de administración del teléfono.

2

Seleccione Voice (Voz) > System (Sistema).

3

En la sección Configuración de proxy HTTP, seleccione un modo de proxy de la lista desplegable Modo de proxy y configure los parámetros relacionados.

Para cada modo proxy, los parámetros requeridos son diferentes. Consulte los detalles en la siguiente tabla:
Modo de proxyParámetros requeridosDescripción
DesactivadaNo disponibleEl proxy HTTP está deshabilitado en el teléfono.
ManualHost del proxy

Puerto de proxy

Autenticación de proxy: Sí

Nombre de usuario

Contraseña

Especifique manualmente un servidor proxy (un nombre de host o una dirección IP) y un puerto proxy. Si el servidor proxy requiere autenticación, debe introducir el nombre de usuario y la contraseña.
Host del proxy

Puerto de proxy

Autenticación de proxy: No

Especifique manualmente un servidor proxy. El servidor proxy no requiere credenciales de autenticación.
AutomáticoDetección automática de proxy web: No

URL de archivo PAC

Introduzca una URL de PAC válida para recuperar el archivo PAC.
Detección automática de proxy web: Sí

Utiliza el protocolo WPAD para recuperar automáticamente un archivo PAC.

Para obtener más información sobre los parámetros, consulte Parámetros para la configuración del proxy HTTP.

4

Haga clic en Submit All Changes.

Parámetros para la configuración del proxy HTTP

En la tabla siguiente se define la función y el uso de los parámetros de proxy HTTP en la sección Configuración de proxy HTTP en la pestaña Sistema > voz de la interfaz web del teléfono. También se define la sintaxis de la cadena que se agrega en el archivo de configuración del teléfono (cfg.xml) con código XML para la configuración de un parámetro.

ParámetroDescripción
Modo de proxyEspecifica el modo de proxy HTTP que utiliza el teléfono o deshabilita la función de proxy HTTP.
  • Automático

    El teléfono recupera automáticamente un archivo de configuración automática de proxy (PAC) para seleccionar un servidor proxy. En este modo, puede determinar si desea utilizar el protocolo de detección automática de proxy web (WPAD) para recuperar un archivo PAC o introducir manualmente una dirección URL válida del archivo PAC.

    Para obtener más información sobre los parámetros, consulte los parámetros "Web Proxy Auto Discovery" y "PAC URL" en esta tabla.

  • Manual

    Debe especificar manualmente un servidor (nombre de host o dirección IP) y un puerto de un servidor proxy.

    Para obtener más información sobre los parámetros, consulte Host proxy y puerto proxy.

  • Desactivada

    Deshabilita la función de proxy HTTP en el teléfono.

Realice una de las siguientes acciones:

  • En el archivo de configuración del teléfono con XML(cfg.XML), ingrese una cadena con el siguiente formato:

    <Proxy_Mode ua="rw">Off</Proxy_Mode>

  • En la interfaz web del teléfono, seleccione un modo de proxy o deshabilite la función.

Valores permitidos: Automático, Manual y Desactivado

Valor predeterminado: desactivado

Detección automática de proxy webDetermina si el teléfono utiliza el protocolo Web Proxy Auto Discovery (WPAD) para recuperar un archivo PAC.

El protocolo WPAD utiliza DHCP o DNS, o ambos protocolos de red, para localizar automáticamente un archivo de configuración automática de proxy (PAC). El archivo PAC se utiliza para seleccionar un servidor proxy para una URL determinada. Este archivo se puede alojar localmente o en una red.

  • La configuración de los parámetros surte efecto cuando el modo de proxy se establece en Auto.
  • Si establece el parámetro en No, debe especificar una dirección URL de PAC.

    Para obtener más información sobre el parámetro, consulte el parámetro "PAC URL" en esta tabla.

Realice una de las siguientes acciones:

  • En el archivo de configuración del teléfono con XML(cfg.XML), ingrese una cadena con el siguiente formato:

    <Web_Proxy_Auto_Discovery ua="rw">Sí</Web_Proxy_Auto_Discovery>

  • En la interfaz web del teléfono, seleccione o No según sea necesario.

Valores permitidos: Sí y No

Valor predeterminado: Yes (Sí)

URL de archivo PACURL de un archivo PAC.

Por ejemplo, http://proxy.department.branch.example.com

Se admiten TFTP, HTTP y HTTPS.

Si establece el Modo de proxy en Auto y la detección automática de proxy web en No , debe configurar este parámetro.

Realice una de las siguientes acciones:

  • En el archivo de configuración del teléfono con XML(cfg.XML), ingrese una cadena con el siguiente formato:

    <PAC_URL ua="rw">http://proxy.department.branch.example.com/pac</PAC_URL>

  • En la interfaz web del teléfono, introduzca una URL válida que se ubique en un archivo PAC.

Valor predeterminado: Empty (Vacío)

Host del proxyDirección IP o nombre de host del servidor host proxy al que accede el teléfono. Por ejemplo:

proxy.example.com

El esquema (http:// o https://) no es obligatorio.

Si establece el Modo de proxy en Manual, debe configurar este parámetro.

Realice una de las siguientes acciones:

  • En el archivo de configuración del teléfono con XML(cfg.XML), ingrese una cadena con el siguiente formato:

    <Proxy_Host ua="rw">proxy.example.com</Proxy_Host>

  • En la interfaz web del teléfono, introduzca una dirección IP o un nombre de host del servidor proxy.

Valor predeterminado: Empty (Vacío)

Puerto de proxyNúmero de puerto del servidor host proxy.

Si establece el Modo de proxy en Manual, debe configurar este parámetro.

Realice una de las siguientes acciones:

  • En el archivo de configuración del teléfono con XML(cfg.XML), ingrese una cadena con el siguiente formato:

    <Proxy_Port ua="rw">3128</Proxy_Port>

  • En la interfaz web del teléfono, introduzca un puerto de servidor.

Valor predeterminado: 3128

Autenticación de proxyDetermina si el usuario debe proporcionar las credenciales de autenticación (nombre de usuario y contraseña) que requiere el servidor proxy. Este parámetro se configura de acuerdo con el comportamiento real del servidor proxy.

Si establece el parámetro en , debe configurar Nombre de usuario y Contraseña.

Para obtener más información sobre los parámetros, consulte el parámetro "Nombre de usuario" y "Contraseña" en esta tabla.

La configuración de parámetros surte efecto cuando el modo de proxy se establece en manual .

Realice una de las siguientes acciones:

  • En el archivo de configuración del teléfono con XML(cfg.XML), ingrese una cadena con el siguiente formato:

    <Proxy_Authentication ua="rw">No</Proxy_Authentication>

  • En la interfaz web del teléfono, establezca este campo o No según sea necesario.

Valores permitidos: Sí y No

Valor predeterminado: no

Nombre de usuarioNombre de usuario de un usuario de credenciales en el servidor proxy.

Si Modo de proxy se establece en Manual y Autenticación de proxy se establece en, debe configurar el parámetro.

Realice una de las siguientes acciones:

  • En el archivo de configuración del teléfono con XML(cfg.XML), ingrese una cadena con el siguiente formato:

    <Proxy_Username ua="rw">Ejemplo</Proxy_Username>

  • En la interfaz web del teléfono, ingrese el nombre de usuario.

Valor predeterminado: Empty (Vacío)

ContraseñaContraseña del nombre de usuario especificado para el propósito de autenticación del proxy.

Si Modo de proxy se establece en Manual y Autenticación de proxy se establece en, debe configurar el parámetro.

Realice una de las siguientes acciones:

  • En el archivo de configuración del teléfono con XML(cfg.XML), ingrese una cadena con el siguiente formato:

    <Proxy_Password ua="rw">Ejemplo</Proxy_Password>

  • En la interfaz web del teléfono, introduzca una contraseña válida para la autenticación de proxy del usuario.

Valor predeterminado: Empty (Vacío)

Habilitación del modo iniciado por el cliente para las negociaciones de seguridad del plano de medios

Si desea proteger las sesiones de medios, puede configurar el teléfono para que inicie negociaciones de seguridad del plano de medios con el servidor. El mecanismo de seguridad sigue los estándares establecidos en RFC 3329 y su borrador de extensión Nombres de mecanismos de seguridad para medios (Ver https://tools.ietf.org/html/draft-dawes-sipcore-mediasec-parameter-08#ref-2). El transporte de negociaciones entre el teléfono y el servidor puede utilizar el protocolo SIP con UDP, TCP y TLS. Puede establecer que la negociación de seguridad del plano de medios se aplique solo cuando el protocolo de transporte de señal sea TLS.

1

Acceda a la página web de administración del teléfono.

2

Seleccione Voice (Voz) > Ext(n) (Número de extensión).

3

En la sección Configuración de SIP, establezca los campos MediaSec Request y MediaSec Over TLS Only como se define en la tabla siguiente:

Tabla 3. Parámetros para la negociación de seguridad del plano de medios
ParámetroDescripción

MediaSec Request (Solicitud seguridad de medios)

Especifica si el teléfono inicia negociaciones de seguridad del plano de medios con el servidor.

Realice una de las siguientes acciones:

  • En el archivo de configuración del teléfono con XML(cfg.XML), ingrese una cadena con el siguiente formato:

    <MediaSec_Request_1_ ua="na">Sí</MediaSec_Request_1_>
  • En la interfaz web del teléfono, configure este campo como Yes (Sí) o No, según lo necesite.

Valores permitidos: Yes (Sí) | No

  • Yes (Sí): modo iniciado por el cliente. El teléfono inicia negociaciones de seguridad del plano de medios.
  • No: modo iniciado por el servidor. El servidor inicia negociaciones de seguridad del plano de medios. El teléfono no inicia negociaciones, pero puede gestionar solicitudes de negociación desde el servidor para establecer llamadas seguras.

Valor predeterminado: no

MediaSec Over TLS Only (Seguridad de medios solo sobre TLS)

Especifica el protocolo de transporte de señal sobre el que se aplica la negociación de seguridad del plano de medios.

Antes de configurar este campo como Yes (Sí), asegúrese de que el protocolo de transferencia de señal sea TLS.

Realice una de las siguientes acciones:

  • En el archivo de configuración del teléfono con XML(cfg.XML), ingrese una cadena con el siguiente formato:

    <MediaSec_Over_TLS_Only_1_ ua="na">No</MediaSec_Over_TLS_Only_1_>

  • En la interfaz web del teléfono, configure este campo como Yes (Sí) o No, según lo necesite.

Valores permitidos: Yes (Sí) | No

  • Yes (Sí): el teléfono inicia o maneja negociaciones de seguridad del plano de medios solo cuando el protocolo de transferencia de señal es TLS.
  • No: el teléfono inicia y maneja negociaciones de seguridad de planos de medios independientemente del protocolo de transferencia de señal.

Valor predeterminado: no

4

Haga clic en Submit All Changes.

Seguridad WLAN

Dado que todos los dispositivos WLAN que están dentro del alcance pueden recibir el resto de tráfico WLAN, la protección de las comunicaciones de voz es crítica en las WLAN. Para garantizar que los intrusos no manipulen ni intercepten el tráfico de voz, la arquitectura de seguridad Cisco SAFE es compatible con el teléfono. Para obtener más información sobre la seguridad en las redes, consulte http://www.cisco.com/en/US/netsol/ns744/networking_solutions_program_home.html.

La solución de telefonía IP inalámbrica de Cisco proporciona seguridad de red inalámbrica que evita inicios de sesión no autorizados y comunicaciones comprometidas mediante los siguientes métodos de autenticación que admite el teléfono:

  • Autenticación abierta: cualquier dispositivo inalámbrico puede solicitar autenticación en un sistema abierto. El AP que recibe la solicitud puede conceder la autenticación a cualquier solicitante o solo a los solicitantes que se encuentran en una lista de usuarios. La comunicación entre el dispositivo inalámbrico y el punto de acceso (AP) podría no estar cifrada.

  • Protocolo de autenticación extensible: autenticación flexible mediante autenticación de túnel seguro (EAP-FAST): esta arquitectura de seguridad cliente-servidor cifra EAP transacciones dentro de un túnel de seguridad de nivel de transporte (TLS) entre el AP y el servidor RADIUS, como Identity Services Engine (ISE).

    El túnel de TLS utiliza credenciales de acceso protegido (PAC) para la autenticación entre el cliente (teléfono) y el servidor RADIUS. El servidor envía un ID de autoridad (AID) al cliente (teléfono), que a su vez selecciona la PAC apropiada. El cliente (teléfono) devuelve la PAC-opaca al servidor RADIUS. El servidor descifra la PAC con la clave principal. Ambos puntos finales contienen ahora la tecla PAC y se crea un túnel de TLS. EAP-FAST es compatible con el aprovisionamiento de PAC automático, pero debe activarlo en el servidor RADIUS.

    En ISE, de forma predeterminada, el PAC expira en una semana. Si el teléfono tiene una PAC caducada, la autenticación con el servidor RADIUS tarda más tiempo si el teléfono obtiene un nuevo PAC. Para evitar los retrasos de aprovisionamiento de PAC, configure el período de caducidad de PAC en 90 días o más en el servidor ISE o RADIUS.

  • Autenticación de Protocolo de autenticación extensible-Seguridad de capa de transporte (EAP-TLS): EAP-TLS requiere un certificado de cliente para la autenticación y el acceso a la red. Para EAP-TLS inalámbricas, el certificado de cliente puede ser MIC, LSC o certificado instalado por el usuario.

  • protocolo de autenticación extensible protegido (PEAP): esquema de autenticación mutua de un propietario de Cisco basado en contraseña entre el cliente (teléfono) y un servidor RADIUS. El teléfono puede utilizar PEAP para la autenticación con la red inalámbrica. Se admiten los métodos de autenticación PEAP-MSCHAPV2 y PEAP-GTC.

  • Clave precompartida (PSK): El teléfono admite ASCII formato. Debe utilizar este formato al configurar una clave precompartida WPA/WPA2/SAE:

    ASCII: cadena de caracteres ASCII de 8 a 63 caracteres de longitud (0-9, minúsculas y mayúsculas de a-Z, y caracteres especiales)

    Ejemplo: GREG123567@9ZX&W

Los siguientes esquemas de autenticación utilizan el servidor RADIUS para administrar las claves de autenticación:

  • WPA/WPA2/WPA3: Utiliza la información del servidor RADIUS para generar claves únicas para la autenticación. Dado que estas claves se generan en el servidor RADIUS centralizado, WPA2/WPA3 proporciona más seguridad que claves WPA previamente compartidas almacenadas en el punto de acceso y el teléfono.

  • Itinerancia rápida segura: utiliza el servidor RADIUS y una información de servidor de dominio inalámbrico (WDS) para administrar y autenticar las claves. El WDS crea una caché de credenciales de seguridad para dispositivos cliente habilitados para FT para una reautenticación rápida y segura. Cisco Desk Phone 9861 y 9871 y Cisco Video Phone 8875 son compatibles con 802.11r (FT). Tanto por aire como por DS son compatibles para permitir una itinerancia rápida y segura. Pero se recomienda utilizar el método por vía aérea 802.11 r (FT).

Con WPA/WPA2/WPA3, las claves de cifrado no se introducen en el teléfono, sino que se derivan automáticamente entre el AP y el teléfono. Pero el nombre de usuario EAP y la contraseña que se utilizan para la autenticación deben introducirse en cada teléfono.

Para garantizar que el tráfico de voz sea seguro, el teléfono admite TKIP y AES cifrado. Cuando estos mecanismos se utilizan para el cifrado, tanto los paquetes SIP de señalización como los paquetes de protocolo de transporte en tiempo real (RTP) de voz se cifran entre el AP y el teléfono.

TKIP

WPA utiliza el cifrado TKIP que tiene varias mejoras con respecto a WEP. TKIP proporciona el cifrado de claves por paquete y los vectores de inicialización más largos (IV) que fortalecen el cifrado. Además, un código de integridad de mensaje (MIC) garantiza que los paquetes cifrados no se alteran. TKIP elimina la previsibilidad de WEP que ayuda a los intrusos a descifrar la clave WEP.

AES

Método de cifrado utilizado para la autenticación WPA2/WPA3. Este estándar nacional para el cifrado utiliza un algoritmo simétrico que tiene la misma clave para el cifrado y el descifrado. AES utiliza el cifrado CBC (cadena de bloqueo de cifrado) de 128 bits de tamaño, que admite tamaños de clave de 128 bits, 192 bits y 256 bits, como mínimo. El teléfono admite un tamaño de clave de 256 bits.

Cisco Desk Phone 9861 y 9871 y Cisco Video Phone 8875 no son compatibles con Cisco Key Integrity Protocol (CKIP) con CMIC.

Los sistemas de autenticación y cifrado se configuran en la LAN inalámbrica. Las VLAN se configuran en la red y en el AP y especifican diferentes combinaciones de autenticación y cifrado. SSID se asocia a una VLAN y al esquema de autenticación y cifrado en particular. Para que los dispositivos cliente inalámbricos se autentiquen correctamente, debe configurar los mismos SSID con sus esquemas de autenticación y cifrado en los AP y en el teléfono.

Algunos esquemas de autenticación requieren tipos específicos de cifrado.

  • Cuando utiliza WPA clave precompartida, clave precompartida WPA2 o SAE, la clave precompartida debe configurarse estáticamente en el teléfono. Estas teclas deben coincidir con las teclas que están en el PA.
  • El teléfono admite la negociación automática de EAP para FAST o PEAP, pero no para TLS. Para EAP-TLS modo, debe especificarlo.

Los esquemas de autenticación y cifrado de la siguiente tabla muestran las opciones de configuración de red para el teléfono que corresponde a la configuración de AP.

Tabla 4. Autenticación y esquemas de cifrado
Tipo de FSRAutenticaciónAdministración de teclasCifradoMarco de administración protegido (PMF)
802.11r (FT)PSK

WPA-PSK

WPA-PSK-SHA256

FT-PSK

AESNo
802.11r (FT)WPA3

SAE

FT-SAE

AES
802.11r (FT)EAP-TLS

WPA-EAP

FT-EAP

AESNo
802.11r (FT)EAP-TLS (WPA3)

WPA-EAP-SHA256

FT-EAP

AES
802.11r (FT)EAP-FAST

WPA-EAP

FT-EAP

AESNo
802.11r (FT)EAP-FAST (WPA3)

WPA-EAP-SHA256

FT-EAP

AES
802.11r (FT)EAP-PEAP

WPA-EAP

FT-EAP

AESNo
802.11r (FT)EAP-PEAP (WPA3)

WPA-EAP-SHA256

FT-EAP

AES

Configurar Wi-Fi perfil

Puede configurar un perfil de Wi-Fi en la página web del teléfono o con la resincronización de perfil de dispositivo remoto y, a continuación, asociar el perfil a las redes Wi-Fi disponibles. Puede usar este perfil de Wi-Fi para conectarse a una red Wi-Fi. Actualmente, solo se puede configurar un perfil de Wi-Fi.

El perfil contiene los parámetros necesarios para que los teléfonos se conecten al servidor telefónico con Wi-Fi. Cuando crea y utiliza un perfil de Wi-Fi, usted ni sus usuarios necesitan configurar la red inalámbrica para teléfonos individuales.

Un perfil de Wi-Fi le permite evitar o limitar los cambios que el usuario puede realizar en la configuración de Wi-Fi del teléfono.

Se recomienda utilizar un perfil seguro con protocolos habilitados para cifrado para proteger claves y contraseñas cuando utilice un perfil de Wi-Fi.

Cuando configura los teléfonos para que usen el método de autenticación de EAP-FAST en modo de seguridad, los usuarios necesitan credenciales individuales para conectarse a un punto de acceso.

1

Acceda a la página web del teléfono.

2

Seleccione Voice (Voz) > System (Sistema).

3

En la sección Wi-Fi Perfil (n), defina los parámetros como se describe en la siguiente tabla Parámetros para Wi-Fi perfil.

La configuración del perfil de Wi-Fi también está disponible para el inicio de sesión del usuario.
4

Haga clic en Submit All Changes.

Parámetros para Wi-Fi perfil

En la siguiente tabla, se define la función y el uso de cada parámetro de la sección Wi-Fi Profile(n) (Perfil de Wi-Fi (n.º)) en la pestaña System (Sistema) de la página web del teléfono. También define la sintaxis de la cadena que se agrega en el archivo de configuración del teléfono (cfg.xml) para configurar un parámetro.

ParámetroDescripción
Nombre de redPermite ingresar un nombre para el SSID que se mostrará en el teléfono. Varios perfiles pueden tener el mismo nombre de red con diferentes modos de seguridad.

Realice una de las siguientes acciones:

  • En el archivo de configuración del teléfono con XML(cfg.XML), ingrese una cadena con el siguiente formato:

    <Network_Name_1_ua="rw">cisco</Network_Name_1_>

  • En la página web del teléfono, escriba un nombre para el SSID.

Valor predeterminado: Empty (Vacío)

Modo de seguridadPermite seleccionar el método de autenticación que se utiliza para proteger el acceso a la red Wi-Fi. Según el método que elija, aparece un campo de contraseña para que pueda proporcionar las credenciales necesarias para unirse a esta red Wi-Fi.

Realice una de las siguientes acciones:

  • En el archivo de configuración del teléfono con XML(cfg.XML), ingrese una cadena con el siguiente formato:

    <Security_Mode_1_ ua="rw">EAP-TLS</Security_Mode_1_> <!-- opciones disponibles: Auto|EAP-FAST|||PSK||Ninguno|EAP-PEAP|EAP-TLS -->

  • En la página web del teléfono, seleccione uno de los métodos:
    • Automático
    • EAP-FAST
    • PSK
    • Ninguno
    • EAP-PEAP
    • EAP-TLS

Valor predeterminado: automático

Identificador de usuario de Wi-FiPermite ingresar un Identificador de usuario para el perfil de red.

Este campo está disponible cuando establece el modo de seguridad en Auto, EAP-FAST o EAP-PEAP. Este es un campo obligatorio con una longitud máxima de 32 caracteres alfanuméricos.

Realice una de las siguientes acciones:

  • En el archivo de configuración del teléfono con XML(cfg.XML), ingrese una cadena con el siguiente formato:

    <Wi-Fi_User_ID_1_ua="rw"></Wi-Fi_User_ID_1_>

  • En la página web del teléfono, escriba un ID de usuario para el perfil de red.

Valor predeterminado: Empty (Vacío)

Contraseña de Wi-FiPermite ingresar la contraseña para el Identificador de usuario de Wi-Fi especificado.

Realice una de las siguientes acciones:

  • En el archivo de configuración del teléfono con XML(cfg.XML), ingrese una cadena con el siguiente formato:

    <Wi-Fi_Password_1_ ua="rw"></Wi-Fi_Password_1_>

  • En la página web del teléfono, escriba una contraseña para el ID de usuario que ha agregado.

Valor predeterminado: Empty (Vacío)

Banda de frecuenciasPermite seleccionar la banda de frecuencia de señal inalámbrica que utiliza la WLAN.

Realice una de las siguientes acciones:

  • En el archivo de configuración del teléfono con XML(cfg.XML), ingrese una cadena con el siguiente formato:

    <Frequency_Band_1_ ua="rw">Auto</Frequency_Band_1_>

  • En la página web del teléfono, seleccione una de las opciones:
    • Automático
    • 2,4 GHz
    • 5 GHz

Valor predeterminado: automático

Selección de certificadoPermite seleccionar un tipo de certificado para la inscripción inicial y renovación de certificados en la red inalámbrica. Este proceso solo está disponible para la autenticación 802.1X.

Realice una de las siguientes acciones:

  • En el archivo de configuración del teléfono con XML(cfg.XML), ingrese una cadena con el siguiente formato:

    <Certificate_Select_1_ ua="rw">Fabricación instalada</Certificate_Select_1_>

  • En la página web del teléfono, seleccione una de las opciones:
    • Fabricación instalada
    • Instalación personalizada

Valor predeterminado: Fabricación instalada

Comprobar el estado de seguridad del dispositivo en el teléfono

El teléfono comprueba automáticamente el estado de seguridad del dispositivo. Si detecta posibles amenazas de seguridad en el teléfono, el menú Problemas y diagnóstico puede mostrar los detalles de los problemas. En función de los problemas notificados, el administrador puede realizar operaciones para proteger y reforzar el teléfono.

El estado de seguridad del dispositivo aún puede estar disponible cuando el teléfono no está registrado en el sistema de control de llamadas (Webex Calling o BroadWorks).

Para ver detalles de los problemas de seguridad en el teléfono, haga lo siguiente:

1

Presione Settings (Ajustes).Settings button

2

Seleccione Problemas y diagnósticos > Problemas.

Actualmente, el informe de seguridad del dispositivo contiene los siguientes problemas:

CategoríaProblema
Confianza del dispositivoError de autenticación del dispositivo
Hardware alterado
Configuración vulnerableNo se proporcionó ninguna contraseña
SSH habilitado
Telnet habilitado
Se detectó un evento de anomalía de redIntentos excesivos de inicio de sesión
Emisión de certificadoEl certificado CDC caducará pronto
3

Póngase en contacto con el administrador para obtener soporte técnico para resolver los problemas de seguridad.