Instalar manualmente el certificado de dispositivo personalizado

Puede instalar manualmente un certificado de dispositivo personalizado (CDC) en el teléfono cargando el certificado desde la página web de administración del teléfono.

Antes de comenzar

Para poder instalar un certificado de dispositivo personalizado para un teléfono, debe tener:

  • Un archivo de certificado (.p12 o .pfx) guardado en su PC. El archivo contiene el certificado y la clave privada.
  • La contraseña de extracción del certificado. La contraseña se utiliza para descifrar el archivo de certificado.
1

Acceda a la página web de administración del teléfono.

2

Seleccione Certificado.

3

En la sección Agregar certificado , haga clic en Examinar....

4

Busque el certificado en la PC.

5

En el campo Extract password (Contraseña de extracción), ingrese la contraseña de extracción del certificado.

6

Haga clic en Upload (Cargar).

Si el archivo de certificado y la contraseña son correctos, recibirá el mensaje "Certificado agregado". De lo contrario, se produce un error en la carga y aparece un mensaje de error que indica que no se puede cargar el certificado.
7

Para comprobar los detalles del certificado instalado, haga clic en Ver en la sección Certificados existentes.

8

Para eliminar el certificado instalado del teléfono, haga clic en Eliminar en la sección Certificados existentes.

Una vez que haga clic en el botón, la operación de eliminación comienza inmediatamente sin una confirmación.

Si el certificado se quita correctamente, recibirá el mensaje "Certificado eliminado".

Instalar automáticamente el certificado de dispositivo personalizado por SCEP

Puede configurar los parámetros del Protocolo simple de inscripción de certificados (SCEP) para instalar automáticamente el certificado de dispositivo personalizado (CDC) si no desea cargar manualmente el archivo de certificado o si no tiene el archivo de certificado en su lugar.

Cuando los parámetros SCEP están configurados correctamente, el teléfono envía solicitudes al servidor SCEP y el certificado de CA se valida por dispositivo utilizando la huella digital definida.

Antes de comenzar

Para poder realizar una instalación automática de un certificado de dispositivo personalizado para un teléfono, debe tener:

  • Dirección del servidor SCEP
  • Huella digital SHA-1 o SHA-256 del certificado CA raíz para el servidor SCEP
1

Acceda a la página web de administración del teléfono.

2

Seleccione Certificado.

3

En la sección Configuración SCEP 1 , establezca los parámetros como se describe en la siguiente tabla Parámetros para la configuración de SCEP.

4

Haga clic en Submit All Changes.

Parámetros para la configuración de SCEP

En la tabla siguiente se definen la función y el uso de los parámetros de configuración de SCEP en la sección Configuración SCEP 1 de la ficha Certificado de la interfaz Web del teléfono. También define la sintaxis de la cadena que se agrega en el archivo de configuración del teléfono (cfg.xml) para configurar un parámetro.

Tabla 1. Parámetros para la configuración de SCEP
ParámetroDescripción
Servidor

Dirección del servidor SCEP. Este parámetro es obligatorio.

Realice una de las siguientes acciones:

  • En el archivo de configuración del teléfono con XML(cfg.XML), ingrese una cadena con el siguiente formato:

    <CDC_Server_1_ ua="na">http://10.79.57.91</CDC_Server_1_>

  • En la página web del teléfono, introduzca la dirección del servidor SCEP.

Valores válidos: una dirección URL o IP. No se admite el esquema HTTPS.

Valor predeterminado: Empty (Vacío)

Huella digital de CA raíz

Huella digital SHA256 o SHA1 de la CA raíz para validación durante el proceso SCEP. Este parámetro es obligatorio.

Realice una de las siguientes acciones:

  • En el archivo de configuración del teléfono con XML(cfg.XML), ingrese una cadena con el siguiente formato:

    <CDC_Root_CA_Fingerprint_1_ ua="na">12040870625C5B755D73F5925285F8F5FF5D55AF</CDC_Root_CA_Fingerprint_1_>

  • En la página web del teléfono, introduzca una huella digital válida.

Valor predeterminado: Empty (Vacío)

Contraseña de desafío

La contraseña de desafío para Certificate Authority autorización (CA) contra el teléfono durante una inscripción de certificado a través de SCEP. Este parámetro es opcional.

Según el entorno SCEP real, el comportamiento de la contraseña de desafío varía.

  • Si el teléfono obtiene un certificado de un RA de Cisco que se comunica con la CA, la contraseña de desafío no es compatible con CA. En este caso, Cisco RA utiliza el MIC/SUDI del teléfono para la autenticación de acceso a la CA. El teléfono utiliza MIC/SUDI tanto para la inscripción inicial como para la renovación del certificado.
  • Si el teléfono obtiene un certificado al comunicarse directamente con la CA, la contraseña de desafío es compatible con CA. Si se configura, se usará solo para la inscripción inicial. Para la renovación del certificado, se utilizará en su lugar el certificado instalado.

Realice una de las siguientes acciones:

  • En el archivo de configuración del teléfono con XML(cfg.XML), ingrese una cadena con el siguiente formato:

    <CDC_Challenge_Password_1_ ua="na"></CDC_Challenge_Password_1_>

    La contraseña está enmascarada en el archivo de configuración.

  • En la página web del teléfono, escriba la contraseña de seguridad.

Valor predeterminado: Empty (Vacío)

Configuración de parámetros SCEP mediante DHCP opción 43

Además de la inscripción del certificado SCEP mediante las configuraciones manuales de la página web del teléfono, también puede utilizar la opción de DHCP 43 para rellenar los parámetros desde un servidor DHCP. La opción DHCP 43 está preconfigurada con los parámetros SCEP, posteriormente el teléfono puede obtener los parámetros del servidor DHCP para realizar la inscripción del certificado SCEP.

  • La configuración de los parámetros SCEP a través de DHCP opción 43 solo está disponible para el teléfono donde se realiza un restablecimiento de fábrica.
  • Los teléfonos no deben colocarse en la red que admita tanto la opción 43 como el aprovisionamiento remoto (por ejemplo, las opciones 66,160,159,150 o el aprovisionamiento en la nube). De lo contrario, es posible que los teléfonos no obtengan las configuraciones de la opción 43.

Para inscribir un certificado SCEP configurando los parámetros SCEP en la opción 43 DHCP, haga lo siguiente:

  1. Prepare un entorno SCEP.

    Para obtener información acerca de la configuración del entorno SCEP, consulte la documentación del servidor SCEP.

  2. Configure DHCP opción 43 (definida en 8.4 Información específica del proveedor, RFC 2132).

    Las subopciones (10–15) están reservadas para el método:

    Parámetro en la página web del teléfonoSubopciónTipoLongitud (byte)Obligatorio
    Modo FIPS10booleano1No*
    Servidor11cadena208 - longitud (Contraseña de desafío)
    Huella digital de CA raíz12binario20 o 32
    Contraseña de desafío13cadena208 - longitud (Servidor)No*
    Habilitación de la autenticación de 802.1X14booleano1No
    Selección de certificado158 bits sin firmar1No

    Cuando utilice el DHCP opción 43, observe las siguientes características del método:

    • Las subopciones (10–15) están reservadas para el certificado de dispositivo personalizado (CDC).
    • La longitud máxima de DHCP opción 43 es de 255 bytes.
    • La longitud máxima de Server + Challenge Password debe ser inferior a 208 bytes.
    • El valor del modo FIPS debe ser coherente con la configuración de aprovisionamiento de incorporación. De lo contrario, el teléfono no podrá recuperar el certificado instalado previamente después de la incorporación. Específicamente
      • Si el teléfono se va a registrar en un entorno donde el modo FIPS está deshabilitado, no es necesario configurar el parámetro Modo FIPS en DHCP opción 43. De forma predeterminada, el modo FIPS está deshabilitado.
      • Si el teléfono se va a registrar en un entorno donde el modo FIPS está habilitado, debe habilitar el modo FIPS en DHCP opción 43. Consulte Habilitar el modo FIPS para obtener más información.
    • La contraseña de la opción 43 está en texto no cifrado.

      Si la contraseña de desafío está vacía, el teléfono utiliza MIC/SUDI para la inscripción inicial y la renovación del certificado. Si la contraseña de desafío está configurada, solo se usa para la inscripción inicial y el certificado instalado se usará para la renovación del certificado.

    • Habilitar autenticación 802.1X y Selección de certificado se utilizan únicamente para los teléfonos de red cableada.
    • DHCP opción 60 (Identificador de clase de proveedor) se utiliza para identificar el modelo de dispositivo.

    En el cuadro siguiente se ofrece un ejemplo de DHCP opción 43 (subopciones 10 a 15):

    Subopción decimal/hexadecimalLongitud del valor (byte) decimal/hexadecimalValorValor hexadecimal
    10/0a1/011 (0: deshabilitado; 1: habilitado)01
    11/0b18/12http://10.79.57.91687474703a2f2f31302e37392e35372e3931
    12/0c20/1412040870625C5B755D73F5925285F8F5FF5D55AF12040870625C5B755D73F5925285F8F5FF5D55AF
    13/0d16/10D233CCF9B9952A1544323333434346394239393532413135
    14/0e1/011 (0: No; 1: Sí)01
    15/0f1/011 (0: fabricación instalada; 1: instalación personalizada) 01

    Resumen de los valores de los parámetros:

    • Modo FIPS = Habilitado

    • Servidor = http://10.79.57.91

    • Huella digital de CA raíz = 12040870625C5B755D73F5925285F8F5FF5D55AF

    • Contraseña de desafío = D233CCF9B9952A15

    • Habilitar autenticación 802.1X =

    • Selección de certificado = Personalizado instalado

    La sintaxis del valor hexadecimal final es: {<suboption><length><value>}...

    De acuerdo con los valores de parámetro anteriores, el valor hexadecimal final es el siguiente:

    0a01010b12687474703a2f2f31302e37392e35372e39310c1412040870625C5B755D73F5925285F8F5FF5D55AF0d10443233334343463942393935324131350e01010f0101

  3. Configure DHCP opción 43 en un servidor DHCP.

    Este paso proporciona un ejemplo de las configuraciones de la opción DHCP 43 en Cisco Network Register.

    1. Agregue DHCP conjunto de definición de opciones.

      La cadena de opción de proveedor es el nombre del modelo de los teléfonos IP. El valor válido es: DP-9841, DP-9851, DP-9861, DP-9871 o CP-8875.

    2. Agregue el DHCP opción 43 y las subopciones al conjunto de definiciones de opciones DHCP.

      Ejemplo:

      Captura de pantalla de DHCP definiciones de la opción 43 en Cisco Network Register

    3. Agregue las opciones 43 a la directiva DHCP y configure el valor de la siguiente manera:

      Ejemplo:

      (10 1)(11 http://10.79.57.91)(12 12040870625C5B755D73F5925285F8F5FF5D55AF)(13 D233CCF9B9952A15)(14 1)(15 1)

    4. Verifique la configuración. Puede usar Wireshark para capturar un rastro del tráfico de red entre el teléfono y el servicio.
  4. Realice un restablecimiento de fábrica para el teléfono.

    Después de restablecer el teléfono, los parámetros Servidor, Huella digital de CA raíz y Contraseña de desafío se completarán automáticamente. Estos parámetros se encuentran en la sección Configuración SCEP 1 de Certificado > Personalizado en la página web de administración del teléfono.

    Para comprobar los detalles del certificado instalado, haga clic en Ver en la sección Certificados existentes.

    Para comprobar el estado de instalación del certificado, seleccione Estado > Certificado personalizado. El Estado de descarga 1 muestra el último resultado. Si se produce algún problema durante la inscripción del certificado, el estado de descarga puede mostrar el motivo del problema para solucionar problemas.

    Si la autenticación de contraseña de desafío falla, se pedirá a los usuarios que introduzcan la contraseña en la pantalla del teléfono.
  5. (Opcional): Para eliminar el certificado instalado del teléfono, haga clic en Eliminar en la sección Certificados existentes.
    Una vez que haga clic en el botón, la operación de eliminación comienza inmediatamente sin una confirmación.

Renovación de certificado por SCEP

El certificado del dispositivo se puede actualizar automáticamente mediante el proceso SCEP.

  • El teléfono comprueba si el certificado caducará en 15 días cada 4 horas. Si es así, el teléfono inicia el proceso de renovación del certificado automáticamente.
  • Si la contraseña de desafío está vacía, el teléfono utiliza MIC/SUDI tanto para la inscripción inicial como para la renovación del certificado. Si la contraseña de desafío está configurada, se usa solo para la inscripción inicial, el certificado existente/instalado se usa para la renovación del certificado.
  • El teléfono no quita el certificado de dispositivo antiguo hasta que recupera el nuevo.
  • Si la renovación del certificado falla porque caduca el certificado del dispositivo o la CA, el teléfono activa la inscripción inicial automáticamente. Mientras tanto, si la autenticación de contraseña de desafío falla, aparece una pantalla de entrada de contraseña en la pantalla del teléfono y se solicita a los usuarios que ingresen la contraseña de desafío en el teléfono.

Activar el modo FIPS

Puede hacer que un teléfono cumpla con los Estándares Federales de Procesamiento de Información (FIPS).

FIPS es un conjunto de estándares que describen el procesamiento de documentos, algoritmos de cifrado y otros estándares de tecnología de la información para su uso dentro del gobierno no militar y por contratistas y proveedores gubernamentales que trabajan con las agencias. CiscoSSL FOM (FIPS Object Module) es un componente de software cuidadosamente definido y diseñado para la compatibilidad con la biblioteca CiscoSSL, por lo que los productos que utilizan la biblioteca y el API CiscoSSL se pueden convertir para utilizar criptografía validada por FIPS 140-2 con un mínimo esfuerzo.

1

Acceda a la página web de administración del teléfono.

2

Seleccione Voice (Voz) > System (Sistema).

3

En la sección Configuración de seguridad, elija o No en el parámetro Modo FIPS .

4

Haga clic en Submit All Changes.

Cuando habilita FIPS, las siguientes características funcionan sin problemas en el teléfono:
  • Autenticación de imagen
  • Almacenamiento seguro
  • Cifrado de archivos de configuración
  • TLS:
    • HTTPs
    • Carga de PRT
    • Actualización de firmware
    • Resincronización de perfil
    • Servicio a bordo
    • Webex incorporación
    • SIP a través de TLS
    • 802.1x (cableado)
  • Resumen SIP (RFC 8760)
  • SRTP
  • Webex registros de llamadas y directorio Webex
  • Un botón para presionar (OBTP)

Establecer la contraseña de usuario y administrador

Después de registrar el teléfono en un sistema de control de llamadas por primera vez o realizar un restablecimiento de fábrica en el teléfono, debe establecer la contraseña de usuario y administrador para mejorar la seguridad del teléfono. Sólo cuando se establece la contraseña, puede enviar los cambios desde la página web del teléfono.

De forma predeterminada, la advertencia de no contraseña está habilitada en el teléfono. Cuando el teléfono no tiene ninguna contraseña de usuario o administrador, se muestran las siguientes advertencias:

  • La página web del teléfono muestra la opción "No se proporcionó ninguna contraseña de administrador. La Web está en modo de sólo lectura y no puede enviar cambios. Cambie la contraseña." en la esquina superior izquierda.

    Los campos Contraseña de usuario y Contraseña de administrador muestran la advertencia "No se proporcionó ninguna contraseña" respectivamente si está vacía.

  • La pantalla del teléfono Problemas y diagnósticos muestra el problema "No se proporcionó contraseña".
1

Acceder a la página web de administración del teléfono

2

Seleccione Voice (Voz) > System (Sistema).

3

(Opcional) En la sección Configuración del sistema, establezca el parámetro Mostrar advertencias de contraseña en Sí y, acontinuación, haga clic en Enviar todos los cambios.

También puede activar los parámetros en el archivo de configuración del teléfono (cfg.xml).

<Display_Password_Warnings ua="na">Sí</Display_Password_Warnings>

Valor predeterminado: Yes (Sí)

Opciones: Sí|No

Cuando el parámetro se establece en No, la advertencia de contraseña no aparece ni en la página web ni en la pantalla del teléfono. Además, el modo ready-only para la página web no se activará aunque la contraseña esté vacía.

4

Busque el parámetro Contraseña de usuario o Contraseña de administrador y haga clic en Cambiar contraseña junto al parámetro.

5

Introduzca la contraseña de usuario actual en el campo Contraseña antigua.

Si no tiene una contraseña, deje el campo vacío. El valor predeterminado es el vacío.
6

Introduzca una nueva contraseña en el campo Nueva contraseña .

7

Haga clic en Submit (Enviar).

El mensaje La contraseña se ha cambiado con éxito. se mostrará en la página web. La página web se actualizará en varios segundos. La advertencia junto al parámetro desaparecerá.

Después de establecer la contraseña de usuario, este parámetro muestra lo siguiente en el archivo de XML de configuración del teléfono (cfg.xml):

<!-- <Admin_Password ua="na">*************</Admin_Password> <User_Password ua="rw">*************</User_Password> -->

Si recibe el código de error 403 cuando intenta acceder a la página web del teléfono, debe establecer la contraseña de usuario o administrador mediante el aprovisionamiento en el archivo de configuración del teléfono (cfg.xml). Por ejemplo, introduzca una cadena en este formato:

<Admin_Password ua="na">P0ssw0rd_tes89</Admin_Password>

<User_Password ua="rw">Abc123</User_Password>

Autenticación 802.1X

La Teléfonos IP Cisco admiten la autenticación 802.1X.

Tradicionalmente, los Teléfonos IP Cisco y los switches Cisco Catalyst utilizan el Cisco Discovery Protocol (Protocolo de detección de Cisco o CDP) para identificarse entre ellos y determinar parámetros como la asignación de VLAN y los requisitos de la alimentación en línea. El CDP no identifica las estaciones de trabajo conectadas localmente. Los Teléfonos IP de Cisco proporcionan un mecanismo de transferencia de EAPOL. Este mecanismo permite que una estación de trabajo conectada al Teléfono IP de Cisco pase mensajes EAPOL al autenticador 802.1X en el switch de LAN. El mecanismo de transferencia garantiza que el teléfono IP no actúe como el switch de LAN para autenticar un extremo de datos antes de acceder a la red.

Los Teléfonos IP de Cisco también proporcionan un mecanismo de cierre de sesión EAPOL con proxy. Si la computadora conectada localmente se desconecta del teléfono IP, el switch de LAN no percibe la falla en el enlace físico, ya que se mantiene el enlace entre el switch de LAN y el teléfono IP. Para evitar poner en peligro la integridad de la red, el teléfono IP envía un mensaje de cierre de sesión de EAPOL al switch en nombre de la computadora de transmisión de datos a usuarios, que activa el switch de LAN para borrar la entrada de autenticación para esta computadora.

La compatibilidad con la autenticación 802.1X requiere varios componentes:

  • Teléfono IP de Cisco: el teléfono inicia la solicitud de acceso a la red. Los Teléfonos IP de Cisco contienen un solicitante de 802.1X. Este solicitante permite a los administradores de red controlar la conectividad de los teléfonos IP a los puertos de switch de LAN. La versión actual del teléfono solicitante de 802.1X utiliza las opciones EAP-FAST y EAP-TLS para la autenticación de red.

  • Servidor de autenticación: Tanto el servidor de autenticación como el conmutador deben estar configurados con un secreto compartido que autentique el teléfono.

  • Switch: el switch debe ser compatible con 802.1X, para que pueda actuar como autenticador y transmitir los mensajes entre el teléfono y el servidor de autenticación. Cuando se completa el intercambio de mensajes, el switch le otorga o deniega el acceso a la red al teléfono.

Para configurar 802.1X, debe realizar las siguientes acciones.

  • Configure el resto de los componentes antes de activar la autenticación 802.1X en el teléfono.

  • Configure el puerto PC: el estándar 802.1X no tiene en consideración las VLAN y, por lo tanto, recomienda que solo se autentique un único dispositivo en un puerto de conmutación específico. Sin embargo, algunos switches admiten la autenticación de múltiples dominios. La configuración del switch determina si puede conectar una computadora al puerto de PC del teléfono.

    • Activado: si está usando un switch que admite la autenticación de múltiples dominios, puede activar el puerto PC y conectar una PC a él. En este caso, los Teléfonos IP de Cisco admiten el cierre de sesión EAPOL con proxy para supervisar los intercambios de autenticación entre el switch y la PC conectada.

      Para obtener más información sobre la compatibilidad con IEEE 802.1X en los switches Cisco Catalyst, consulte las guías de configuración de switches Cisco Catalyst en:

      http://www.cisco.com/en/US/products/hw/switches/ps708/tsd_products_support_series_home.html

    • Desactivado: si el switch no admite varios dispositivos compatibles con 802.1X en el mismo puerto, debe desactivar el puerto PC cuando la autenticación 802.1X está activada. Si no desactiva este puerto y luego intenta conectar una PC a él, el switch le denegará el acceso a la red tanto al teléfono como a la PC.

  • Configure la VLAN de voz: como el estándar 802.1X no tiene en consideración las VLAN, debe configurar este parámetro según la compatibilidad del switch.
    • Activada: si utiliza un switch que admite la autenticación de múltiples dominios, puede utilizar la VLAN de voz.
    • Desactivada: si el switch no admite la autenticación de múltiples dominios, desactive la VLAN de voz y considere la asignación del puerto a la VLAN nativa.
  • (Sólo para Cisco Desk Phone serie 9800)

    Cisco Desk Phone 9800 Series tiene un prefijo diferente en el PID que para los otros teléfonos Cisco. Para permitir que su teléfono pase la autenticación 802.1X, configure el botón Radius· Parámetro User-Name para incluir el Cisco Desk Phone serie 9800.

    Por ejemplo, el PID del teléfono 9841 es DP-9841; puedes establecer Radius· Nombre de usuario para empezar por DP o Contiene DP. Puede configurarlo en las dos secciones siguientes:

    • Política > Condiciones > Condiciones de la biblioteca

    • Conjuntos > directivas > Política de autorización> Regla de autorización 1

Activar la autenticación 802.1X

Cuando la autenticación 802.1X está habilitada, el teléfono utiliza la autenticación 802.1X para solicitar acceso a la red. Cuando la autenticación 802.1X está deshabilitada, el teléfono utiliza Cisco Discovery Protocol (CDP) para adquirir VLAN y acceso a la red. También puede ver el estado de la transacción y el cambio en el menú de la pantalla del teléfono.

Cuando la autenticación 802.1X está habilitada, también puede seleccionar el certificado de dispositivo (MIC/SUDI o personalizado) para la inscripción inicial y la renovación del certificado. Normalmente, MIC es para Cisco Video Phone 8875, SUDI es para Cisco Desk Phone 9800 Series. CDC solo se puede usar para la autenticación en 802.1x.

1

Realice una de las siguientes acciones para habilitar la autenticación de 802.1X:

  • En la interfaz web del teléfono, seleccione Voz > Sistema y establezca el parámetro Activar autenticación 802.1X en . Luego, haga clic en Submit all Changes (Enviar todos los cambios).
  • En el archivo de configuración (cfg.xml), introduzca una cadena en este formato:

    <Enable_802.1X_Authentication ua="rw">Yes</Enable_802.1X_Authentication>

    Valores válidos: Yes (Sí) | No

    Valor predeterminado: no

  • En el teléfono, presione Configuración the Settings hard keyy vaya a Configuración de red y servicio > Seguridad>Autenticación 802.1X. Cambie el campo Autenticación de dispositivo a Activado y, a continuación, seleccioneAplicar .
Tabla 2. Parámetros para la autenticación 802.1X en la pantalla del teléfono

Parámetros

Opciones

Predeterminado

Descripción

Device authentication (Autenticación de dispositivos)

Activado

Desactivada

Desactivada

Habilite o deshabilite la autenticación 802.1X en el teléfono.

Transaction status (Estado de transacción)

Inhabilitado

Muestra el estado de la autenticación 802.1X. El estado puede ser (no limitado a):

  • Authenticating (Autenticando): indica que el proceso de autenticación está en curso.
  • Authenticated (Autenticado): indica que el teléfono está autenticado.
  • Disabled (Inhabilitado): indica que la autenticación de 802.1X está inhabilitada en el teléfono.

Protocolo

Ninguno

Muestra el método EAP que se utiliza para la autenticación 802.1X. El protocolo puede ser EAP-FAST o EAP-TLS.

Tipo de certificado de usuario

Fabricación instalada

Instalación personalizada

Fabricación instalada

Elija el certificado para la autenticación 802.1X durante la inscripción inicial y la renovación del certificado.

  • Fabricación instalada: se utilizan el certificado instalado en fabricación (MIC) y el identificador único de dispositivo seguro (SUDI).
  • Instalación personalizada: se utiliza el certificado de dispositivo personalizado (CDC). Este tipo de certificado se puede instalar mediante carga manual en la página web del teléfono o mediante la instalación desde un servidor de Protocolo simple de inscripción de certificados (SCEP).

Este parámetro aparece en el teléfono solo cuando la autenticación del dispositivo está habilitada.

2

Seleccione un certificado (MIC o personalizado) para la autenticación 802.1X en la página web del teléfono.

  • Para redes cableadas, seleccione Voz > Sistema, elija un tipo de certificado de la lista desplegable Certificado Seleccione en la sección Autenticación 802.1X.

    También puede configurar este parámetro en el archivo de configuración (cfg.xml):

    <Certificate_Select ua="rw">Personalizado instalado</Certificate_Select>

    Valores válidos: Fabricación instalada|Instalación personalizada

    Valor predeterminado: Fabricación instalada

  • Para la red inalámbrica, seleccione Voz > Sistema, elija un tipo de certificado de la lista desplegable Certificado Seleccione en la sección Wi-Fi Perfil 1.

    También puede configurar este parámetro en el archivo de configuración (cfg.xml):

    <Wi-Fi_Certificate_Select_1_ ua="rw">Instalación personalizada</Wi-Fi_Certificate_Select_1_>

    Valores válidos: Fabricación instalada|Instalación personalizada

    Valor predeterminado: Fabricación instalada

Para obtener información acerca de cómo seleccionar un tipo de certificado en la pantalla del teléfono, consulte Conectar el teléfono a una red Wi-Fi.

Habilitar el modo iniciado por el cliente para las negociaciones de seguridad del plano de medios

Si desea proteger las sesiones de medios, puede configurar el teléfono para que inicie negociaciones de seguridad del plano de medios con el servidor. El mecanismo de seguridad sigue los estándares establecidos en RFC 3329 y su borrador de extensión Nombres de mecanismos de seguridad para medios (Ver https://tools.ietf.org/html/draft-dawes-sipcore-mediasec-parameter-08#ref-2). El transporte de negociaciones entre el teléfono y el servidor puede utilizar el protocolo SIP con UDP, TCP y TLS. Puede establecer que la negociación de seguridad del plano de medios se aplique solo cuando el protocolo de transporte de señal sea TLS.

1

Acceda a la página web de administración del teléfono.

2

Seleccione Voice (Voz) > Ext(n) (Número de extensión).

3

En la sección Configuración SIP , establezca los campos MediaSec Request y MediaSec Over TLS Only como se define en la tabla siguiente:

Tabla 3. Parámetros para la negociación de seguridad en el plano de medios
ParámetroDescripción

MediaSec Request (Solicitud seguridad de medios)

Especifica si el teléfono inicia negociaciones de seguridad del plano de medios con el servidor.

Realice una de las siguientes acciones:

  • En el archivo de configuración del teléfono con XML(cfg.XML), ingrese una cadena con el siguiente formato:

    <MediaSec_Request_1_ ua="na">Sí</MediaSec_Request_1_>
  • En la interfaz web del teléfono, configure este campo como Yes (Sí) o No, según lo necesite.

Valores permitidos: Yes (Sí) | No

  • Yes (Sí): modo iniciado por el cliente. El teléfono inicia negociaciones de seguridad del plano de medios.
  • No: modo iniciado por el servidor. El servidor inicia negociaciones de seguridad del plano de medios. El teléfono no inicia negociaciones, pero puede gestionar solicitudes de negociación desde el servidor para establecer llamadas seguras.

Valor predeterminado: no

MediaSec Over TLS Only (Seguridad de medios solo sobre TLS)

Especifica el protocolo de transporte de señal sobre el que se aplica la negociación de seguridad del plano de medios.

Antes de configurar este campo como Yes (Sí), asegúrese de que el protocolo de transferencia de señal sea TLS.

Realice una de las siguientes acciones:

  • En el archivo de configuración del teléfono con XML(cfg.XML), ingrese una cadena con el siguiente formato:

    <MediaSec_Over_TLS_Only_1_ ua="na">No</MediaSec_Over_TLS_Only_1_>

  • En la interfaz web del teléfono, configure este campo como Yes (Sí) o No, según lo necesite.

Valores permitidos: Yes (Sí) | No

  • Yes (Sí): el teléfono inicia o maneja negociaciones de seguridad del plano de medios solo cuando el protocolo de transferencia de señal es TLS.
  • No: el teléfono inicia y maneja negociaciones de seguridad de planos de medios independientemente del protocolo de transferencia de señal.

Valor predeterminado: no

4

Haga clic en Submit All Changes.

Configurar Wi-Fi perfil

Puede configurar un perfil de Wi-Fi en la página web del teléfono o con la resincronización de perfil de dispositivo remoto y, a continuación, asociar el perfil a las redes Wi-Fi disponibles. Puede usar este perfil de Wi-Fi para conectarse a una red Wi-Fi. Actualmente, solo se puede configurar un perfil de Wi-Fi.

El perfil contiene los parámetros necesarios para que los teléfonos se conecten al servidor telefónico con Wi-Fi. Cuando crea y utiliza un perfil de Wi-Fi, usted ni sus usuarios necesitan configurar la red inalámbrica para teléfonos individuales.

Un perfil de Wi-Fi le permite evitar o limitar los cambios que el usuario puede realizar en la configuración de Wi-Fi del teléfono.

Se recomienda utilizar un perfil seguro con protocolos habilitados para cifrado para proteger claves y contraseñas cuando utilice un perfil de Wi-Fi.

Cuando configura los teléfonos para que usen el método de autenticación de EAP-FAST en modo de seguridad, los usuarios necesitan credenciales individuales para conectarse a un punto de acceso.

1

Acceda a la página web del teléfono.

2

Seleccione Voice (Voz) > System (Sistema).

3

En la sección Wi-Fi Perfil (n), defina los parámetros como se describe en la siguiente tabla Parámetros para Wi-Fi perfil.

La configuración del perfil de Wi-Fi también está disponible para el inicio de sesión del usuario.
4

Haga clic en Submit All Changes.

Parámetros para Wi-Fi perfil

En la siguiente tabla, se define la función y el uso de cada parámetro de la sección Wi-Fi Profile(n) (Perfil de Wi-Fi (n.º)) en la pestaña System (Sistema) de la página web del teléfono. También define la sintaxis de la cadena que se agrega en el archivo de configuración del teléfono (cfg.xml) para configurar un parámetro.

ParámetroDescripción
Nombre de redPermite ingresar un nombre para el SSID que se mostrará en el teléfono. Varios perfiles pueden tener el mismo nombre de red con diferentes modos de seguridad.

Realice una de las siguientes acciones:

  • En el archivo de configuración del teléfono con XML(cfg.XML), ingrese una cadena con el siguiente formato:

    <Network_Name_1_ua="rw">cisco</Network_Name_1_>

  • En la página web del teléfono, escriba un nombre para el SSID.

Valor predeterminado: Empty (Vacío)

Modo de seguridadPermite seleccionar el método de autenticación que se utiliza para proteger el acceso a la red Wi-Fi. Según el método que elija, aparece un campo de contraseña para que pueda proporcionar las credenciales necesarias para unirse a esta red Wi-Fi.

Realice una de las siguientes acciones:

  • En el archivo de configuración del teléfono con XML(cfg.XML), ingrese una cadena con el siguiente formato:

    <Security_Mode_1_ ua="rw">EAP-TLS</Security_Mode_1_> <!-- opciones disponibles: Auto|EAP-FAST|||PSK||Ninguno|EAP-PEAP|EAP-TLS -->

  • En la página web del teléfono, seleccione uno de los métodos:
    • Automático
    • EAP-FAST
    • PSK
    • Ninguno
    • EAP-PEAP
    • EAP-TLS

Valor predeterminado: automático

Identificador de usuario de Wi-FiPermite ingresar un Identificador de usuario para el perfil de red.

Este campo está disponible cuando establece el modo de seguridad en Auto, EAP-FAST o EAP-PEAP. Este es un campo obligatorio con una longitud máxima de 32 caracteres alfanuméricos.

Realice una de las siguientes acciones:

  • En el archivo de configuración del teléfono con XML(cfg.XML), ingrese una cadena con el siguiente formato:

    <Wi-Fi_User_ID_1_ua="rw"></Wi-Fi_User_ID_1_>

  • En la página web del teléfono, escriba un ID de usuario para el perfil de red.

Valor predeterminado: Empty (Vacío)

Contraseña de Wi-FiPermite ingresar la contraseña para el Identificador de usuario de Wi-Fi especificado.

Realice una de las siguientes acciones:

  • En el archivo de configuración del teléfono con XML(cfg.XML), ingrese una cadena con el siguiente formato:

    <Wi-Fi_Password_1_ ua="rw"></Wi-Fi_Password_1_>

  • En la página web del teléfono, escriba una contraseña para el ID de usuario que ha agregado.

Valor predeterminado: Empty (Vacío)

Banda de frecuenciasPermite seleccionar la banda de frecuencia de señal inalámbrica que utiliza la WLAN.

Realice una de las siguientes acciones:

  • En el archivo de configuración del teléfono con XML(cfg.XML), ingrese una cadena con el siguiente formato:

    <Frequency_Band_1_ ua="rw">Auto</Frequency_Band_1_>

  • En la página web del teléfono, seleccione una de las opciones:
    • Automático
    • 2,4 GHz
    • 5 GHz

Valor predeterminado: automático

Selección de certificadoPermite seleccionar un tipo de certificado para la inscripción inicial y renovación de certificados en la red inalámbrica. Este proceso solo está disponible para la autenticación 802.1X.

Realice una de las siguientes acciones:

  • En el archivo de configuración del teléfono con XML(cfg.XML), ingrese una cadena con el siguiente formato:

    <Certificate_Select_1_ ua="rw">Fabricación instalada</Certificate_Select_1_>

  • En la página web del teléfono, seleccione una de las opciones:
    • Fabricación instalada
    • Instalación personalizada

Valor predeterminado: Fabricación instalada