- Inicio
- /
- Artículo
Gracias por sus comentarios.
Certificado de dispositivo personalizado en 9800/8875
En este artículo
¿Comentarios?Puede instalar un certificado de dispositivo personalizado (CDC) de forma manual o automática. Para ciertos entornos, puede utilizar DHCP opción 43 para proporcionar los parámetros SCEP para la instalación del certificado. Este artículo de Ayuda es para Cisco Teléfono de escritorio serie 9800 y Cisco Teléfono de video 8875 registrado en Cisco BroadWorks o Webex Calling.
Instalación de un certificado de dispositivo personalizado
Para instalar un Certificado de dispositivo personalizado (CDC) en su teléfono, utilice una de las siguientes formas según su situación:
Se aplicará el certificado instalado más recientemente en el teléfono.
- Instalación manual: puede instalar un certificado cargándolo desde la página web de administración del teléfono. Para más detalles, véase Instalación manual del Certificado de Dispositivo Personalizado mediante carga.
- Instalación automática: puede configurar los parámetros del Protocolo simple de inscripción de certificados (SCEP) para activar la instalación automática de un certificado. El teléfono envía solicitudes SCEP a un servidor SCEP para instalar el certificado.
Los parámetros SCEP se pueden configurar a través de la página web de administración del teléfono, el archivo de configuración del teléfono (cfg.XML) o Control Hub. Para más detalles, véase Instalación automática del certificado de dispositivo personalizado por SCEP y Parámetros para la configuración del teléfono en el Control Hub.
- Opción 43 de DHCP: en ciertos entornos, puede instalar un certificado utilizando la opción 43 de DHCP. La opción 43 puede proporcionar los parámetros SCEP para la instalación del certificado. Para más detalles, véase Configuración de parámetros SCEP mediante la opción 43 de DHCP.
-
Cuando utiliza la opción 43 DHCP para el aprovisionamiento de parámetros SCEP, el teléfono también puede recuperar el nombre de dominio transportado desde la opción 15 DHCP. Con base en el nombre de dominio recuperado, el teléfono puede construir el nombre común SCEP CSR y el ID de usuario 802.1X. Para más detalles, véase Aprovisionamiento de nombre común o ID de usuario mediante la opción 15 de DHCP.
Para obtener más información sobre cómo configurar las opciones de DHCP, consulte Configurar las opciones de DHCP.
-
Instalación manual del Certificado de Dispositivo Personalizado mediante carga
Puede instalar manualmente un Certificado de dispositivo personalizado (CDC) en el teléfono cargando el certificado desde la página web de administración del teléfono.
Antes de comenzar
Antes de poder instalar un certificado de dispositivo personalizado para un teléfono, debe tener:
- Un archivo de certificado (.p12 o .pfx) guardado en su PC. El archivo contiene el certificado y la clave privada.
- La contraseña extraída del certificado. La contraseña se utiliza para descifrar el archivo del certificado.
| 1 |
Acceda a la página web de administración del teléfono. |
| 2 |
Seleccionar Certificado. |
| 3 |
En el Agregar certificado sección, haga clic Navegar.... |
| 4 |
Busque el certificado en la PC. |
| 5 |
En el campo Extract password (Contraseña de extracción), ingrese la contraseña de extracción del certificado. |
| 6 |
Haga clic en Upload (Cargar). Si el archivo del certificado y la contraseña son correctos, recibirá el mensaje "
Certificado añadido. ". De lo contrario, la carga fallará con un mensaje de error que indica que no se puede cargar el certificado. |
| 7 |
Para verificar los detalles del certificado instalado, haga clic en Vista en el Certificados existentes sección. |
| 8 |
Para eliminar el certificado instalado del teléfono, haga clic en Borrar en el Certificados existentes sección. Una vez que haga clic en el botón, la operación de eliminación comenzará inmediatamente sin confirmación.
Si el certificado se elimina correctamente, recibirá el mensaje " |
Instalación automática del certificado de dispositivo personalizado por SCEP
Puede configurar los parámetros relacionados con el Protocolo simple de inscripción de certificados (SCEP) para interactuar con el servidor SCEP para instalar el Certificado de dispositivo personalizado (CDC) automáticamente.
Una vez configurado cualquiera de los parámetros SCEP, el teléfono enviará una solicitud de inscripción SCEP al servidor. El teléfono validará el certificado CA recibido utilizando la huella digital configurada.
Antes de comenzar
Antes de poder realizar una instalación automática de un Certificado de dispositivo personalizado (CDC) para un teléfono, debe tener:
- Dirección del servidor SCEP
- Huella digital SHA-1 o SHA-256 del certificado CA raíz para el servidor SCEP
| 1 |
Acceda a la página web de administración del teléfono. |
| 2 |
Seleccionar Certificado. |
| 3 |
En el Configuración 1 de SCEP sección, configure los parámetros como se describe en Parámetros para la configuración de SCEP . |
| 4 |
Haga clic en Submit All Changes. |
Parámetros para la configuración de SCEP
La siguiente tabla define la función y el uso de los parámetros de configuración de SCEP en el Configuración 1 de SCEP sección bajo el Certificado Tab en la interfaz web del teléfono. También define la sintaxis de la cadena que se agrega en el archivo de configuración del teléfono (cfg.XML) para configurar un parámetro.
Cualquier cambio de parámetros hará que el teléfono solicite un nuevo certificado.
| Parámetro | Descripción |
|---|---|
| Servidor |
Dirección del servidor SCEP. Este parámetro es obligatorio. Realice una de las siguientes acciones:
Valores válidos: una URL o una dirección IP. El esquema HTTPS no es compatible. Valor predeterminado: Empty (Vacío) |
| Huella digital de la CA raíz |
Huella digital SHA256 o SHA1 de la CA raíz para validación durante el proceso SCEP. Este parámetro es obligatorio. Realice una de las siguientes acciones:
Valor predeterminado: Empty (Vacío) |
| Contraseña de desafío |
La contraseña de desafío para la autorización Certificate Authority (CA) contra el teléfono durante una inscripción de certificado a través de SCEP. Este parámetro es opcional. Según el entorno SCEP real, el comportamiento de la contraseña de desafío varía.
Realice una de las siguientes acciones:
Valor predeterminado: Empty (Vacío) |
| Nombre común |
Especifica el nombre común (CN) utilizado como identificador del teléfono que solicita el certificado. El CN se utiliza para la solicitud de firma de certificado (CSR) en el proceso SCEP. Este parámetro también admite variables de expansión de macros, consulte Variables de expansión macro Para más detalles. Realice una de las siguientes acciones:
Valores válidos: máximo de 64 caracteres Valor predeterminado: Empty (Vacío) |
Renovación de certificado por SCEP
El certificado del dispositivo se puede actualizar automáticamente mediante el proceso SCEP.
- El teléfono comprueba si el certificado caducará en 15 días cada 4 horas. Si es así, el teléfono inicia el proceso de renovación del certificado automáticamente.
- Si la contraseña de desafío está vacía, el teléfono utiliza MIC/SUDI tanto para la inscripción inicial como para la renovación del certificado. Si la contraseña de desafío está configurada, se usa solo para la inscripción inicial, el certificado existente/instalado se usa para la renovación del certificado.
- El teléfono no quita el certificado de dispositivo antiguo hasta que recupera el nuevo.
- Si la renovación del certificado falla porque caduca el certificado del dispositivo o la CA, el teléfono activa la inscripción inicial automáticamente. Mientras tanto, si la autenticación de contraseña de desafío falla, aparece una pantalla de entrada de contraseña en la pantalla del teléfono y se solicita a los usuarios que ingresen la contraseña de desafío en el teléfono.
Configuración de nombre común CDC
De forma predeterminada, el nombre común en MIC/SUDI se usa como nombre común para CDC.
Puede configurar el nombre común para CDC al instalar el certificado. Use uno de los siguientes métodos para instalar un CDC en el teléfono:
-
Genere una solicitud de firma de certificado (CSR) que contenga el nombre común deseado y, a continuación, cargue e instale el nuevo certificado en la página web de administración del teléfono.
-
Configure el nombre común mediante la página web de administración del teléfono, el archivo de configuración del teléfono (cfg.XML) o el Centro de control. Esto hará que el teléfono solicite un nuevo certificado automáticamente.
Para obtener más información acerca de los parámetros en la página web del teléfono y el Centro de control, consulte Instalación automática del certificado de dispositivo personalizado por SCEP y Parámetros para la configuración del teléfono en el Centro de control.
- Utilice las opciones DHCP 43 y 15 para aprovisionar nombre común para CDC e identidad 802.1X cableada.
Para obtener más información, consulte Aprovisionamiento de nombre común o ID de usuario a través de la opción DHCP 15.
Configuración de parámetros SCEP a través de DHCP opción 43
En determinados entornos en los que no puede instalar el certificado de dispositivo personalizado (CDC) cargándolo o configurando directamente los parámetros SCEP. En esta situación, puede utilizar la opción DHCP 43 para rellenar los parámetros desde un servidor DHCP. La opción DHCP 43 se puede configurar para proporcionar los parámetros SCEP al teléfono. Una vez que el teléfono se restablece de fábrica, puede recibir los parámetros del servidor DHCP para instalar el CDC a través del protocolo SCEP.
- Esta función (configuración de parámetros SCEP a través de DHCP opción 43) está disponible solo para el teléfono que se restablece de fábrica.
- Los teléfonos no se colocarán en la red que haya admitido la opción 43 y el aprovisionamiento remoto (por ejemplo, las opciones 66,160,159,150 o el aprovisionamiento en la nube). De lo contrario, es posible que los teléfonos no obtengan las configuraciones de opción 43.
Para instalar un certificado CDC mediante los parámetros SCEP proporcionados desde la opción DHCP 43, haga lo siguiente:
- Prepare un entorno SCEP.
Para obtener información acerca de la configuración del entorno SCEP, consulte la documentación del servidor SCEP.
- Configure la opción DHCP 43 (definida en 8.4 Información específica del proveedor, RFC 2132).
Las subopciones (10–15) están reservadas para el método:
Parámetro en la página web del teléfono Subopción Tipo Longitud (byte) Obligatorio Modo FIPS 10 booleano 1 No* Servidor 11 cadena 208 - longitud (Contraseña de desafío) Sí Huella digital de CA raíz 12 maleficio 20, 32, 48 ó 64 Sí Contraseña de desafío 13 cadena 208 - longitud (Servidor) No* Habilitación de la autenticación de 802.1X 14 booleano 1 No Selección de certificado 15 8 bits sin firmar 1 No * significa que el parámetro está configurado de acuerdo con la situación real.
Cuando utilice la opción DHCP 43, observe las siguientes características del método:
- Las subopciones (10–15) están reservadas para el certificado de dispositivo personalizado (CDC).
- La longitud máxima de la opción DHCP 43 es de 255 bytes.
- La longitud máxima de Server + Challenge Password debe ser inferior a 208 bytes.
- El valor del modo FIPS debe ser coherente con la configuración de aprovisionamiento de incorporación. De lo contrario, el teléfono no podrá recuperar el certificado instalado previamente después de la incorporación. Específicamente
- Si el teléfono se va a registrar en un entorno donde el modo FIPS está deshabilitado, no es necesario configurar el modo FIPS en la opción DHCP 43. De forma predeterminada, el modo FIPS está deshabilitado.
- Si el teléfono se registrará en un entorno donde el modo FIPS está habilitado, debe habilitar el modo FIPS en DHCP opción 43. Consulte Habilitar el modo FIPS para obtener más información.
- La contraseña de desafío de la opción 43 está en texto no cifrado.
- Si desea que el teléfono use MIC/SUDI para la inscripción inicial y la renovación del certificado, deje vacía la contraseña de desafío.
- Si la contraseña de desafío se usa solo para la inscripción inicial, configure la contraseña de desafío. En este caso, el certificado instalado se utilizará para la renovación del certificado.
- Habilitar autenticación 802.1X y Selección de certificado se utilizan únicamente para los teléfonos en redes cableadas.
- DHCP opción 60 (Identificador de clase de proveedor) se utiliza para identificar el modelo de dispositivo.
Ejemplo de la opción DHCP 43 (subopciones 10–15):
Subopción decimal/hexadecimal Longitud del valor (byte) decimal/hexadecimal Valor Valor hexadecimal 10/0a 1/01 1 (0: deshabilitado; 1: habilitado) 01 11/0b 18/12 http://10.79.57.91 687474703a2f2f31302e37392e35372e3931 12/0c 20/14 12040870625C5B755D73F5925285F8F5FF5D55AF 12040870625C5B755D73F5925285F8F5FF5D55AF 13/0d 16/10 D233CCF9B9952A15 44323333434346394239393532413135 14/0e 1/01 1 (0: No; 1: Sí) 01 15/0f 1/01 1 (0: fabricación instalada; 1: instalación personalizada) 01 Resumen de los valores de los parámetros:
-
Modo FIPS =
Habilitado -
Servidor =
http://10.79.57.91 -
Huella digital de CA raíz =
12040870625C5B755D73F5925285F8F5FF5D55AF -
Contraseña de desafío =
D233CCF9B9952A15 -
Habilitar autenticación 802.1X =
Sí -
Selección de certificado =
Personalizado instalado
La sintaxis del valor hexadecimal final es:
{<suboption><length><value>}...De acuerdo con los valores de parámetro anteriores, el valor hexadecimal final es el siguiente:
0a01010b12687474703a2f2f31302e37392e35372e39310c1412040870625C5B755D73F5925285F8F5FF5D55AF0d10443233334343463942393935324131350e01010f0101 - Configure la opción DHCP 43 en un servidor DHCP.
Este paso proporciona un ejemplo de las configuraciones de la opción DHCP 43 en el registro de red Cisco.
- Agregue el conjunto de definición de la opción DHCP.
La cadena de opción de proveedor es el nombre del modelo de los teléfonos IP. El valor válido es: DP-9841, DP-9851, DP-9861, DP-9871 o CP-8875.
- Agregue la opción DHCP 43 y subopciones al conjunto de definición de opciones DHCP.
Ejemplo:
- Agregue las opciones 43 a la directiva DHCP y configure el valor de la siguiente manera:
Ejemplo:
(10 1)(11 http://10.79.57.91)(12 12040870625C5B755D73F5925285F8F5FF5D55AF)(13 D233CCF9B9952A15)(14 1)(15 1) - Verifique la configuración. Puede usar Wireshark para capturar un rastro del tráfico de red entre el teléfono y el servicio.
- Agregue el conjunto de definición de la opción DHCP.
- Realice un restablecimiento de fábrica para el teléfono.
Después de restablecer el teléfono, los parámetros Servidor, Huella digital de CA raíz y Contraseña de desafío se completarán automáticamente. Estos parámetros se encuentran en la sección Configuración SCEP 1 de en la página web de administración del teléfono.
Para comprobar los detalles del certificado instalado, haga clic en Ver en la sección Certificados existentes.
Para comprobar el estado de instalación del certificado, seleccione . El Estado de descarga 1 muestra el último resultado. Si ocurre algún problema durante la inscripción del certificado, el estado de la descarga puede mostrar el motivo del problema para fines de solución de problemas.
Si la autenticación de la contraseña de desafío falla, se les solicitará a los usuarios que ingresen la contraseña en la pantalla del teléfono.
- (Opcional): Para eliminar el certificado instalado del teléfono, haga clic en Eliminar en la sección Certificados existentes .
Una vez que haga clic en el botón, la operación de eliminación comenzará inmediatamente sin confirmación.
Aprovisionamiento de nombre común o ID de usuario mediante la opción 15 de DHCP
Durante la inscripción del certificado SCEP a través de la opción DHCP 43, el teléfono también puede obtener el nombre de dominio proporcionado en la opción DHCP 15 (si está configurado). Una vez que el teléfono recibe el nombre de dominio, puede construir el nombre común o ID de usuario con el nombre de dominio, que se representa de la siguiente manera:
- Nombre común = <Nombre común en MIC/SUDI >.<Nombre de dominio en la opción 15>
El Nombre común se utilizará para CSR en el proceso SCEP y, más adelante, será el nombre común en CDC.
- ID de usuario = <Nombre común en MIC/SUDI >@<Nombre de dominio en la opción 15>
El ID de usuario se utilizará como identidad para la autenticación 802.1X cableada.
Por ejemplo, la dirección del teléfono MAC es 00:1A:2B:3C:4D:5E, el modelo del teléfono es 9871:
| Nombre de dominio en la opción DHCP 15 | Nombre común | Identificador de usuario |
|---|---|---|
| example.nl | CP-9871-SEP001A2B3C4D5E.example.nl | CP-9871-SEP001A2B3C4D5E@example.nl |
| Vacío | CP-9871-SEP001A2B3C4D5E |
CP-9871-SEP001A2B3C4D5E |
Si el nombre de dominio no está configurado en la opción 15, el nombre común y el ID de usuario serán los mismos que el nombre común en MIC/SUDI.
