En este artículo
dropdown icon
Configurar opciones DHCP
    DHCP soporte de opciones
dropdown icon
Seguridad de LAN inalámbrica
    Configurar el perfil Wi-Fi
dropdown icon
Autenticación 802.1X para redes cableadas
    Habilitar la autenticación 802.1X para redes cableadas en el teléfono
    Habilitar la autenticación 802.1X para redes cableadas en la página web del teléfono
    Menú Configuración de seguridad en el teléfono
Cambiar las contraseñas de usuario y administrador
Establecer la versión mínima TLS para cliente y servidor
Habilitar el modo iniciado por el cliente para las negociaciones de seguridad del plano de medios
Cisco Seguridad del teléfono inalámbrico 9821 (Multiplataforma)
list-menuEn este artículo
list-menu¿Comentarios?

Este artículo de ayuda es para Cisco Wireless Phone 9821 registrado en Webex Calling.

Configurar opciones DHCP

Puede establecer el orden en que su teléfono usa las opciones DHCP. Para obtener ayuda con las opciones DHCP, consulte DHCP compatibilidad con opciones.

1

Acceda a la página web de administración del teléfono.

http://<ip dirección>/admin/advanced

2

Seleccione Voice (Voz) > Provisioning (Aprovisionamiento).

3

En la sección Perfil de configuración, establezca el parámetro DHCP opción para usar . Este parámetro consta de una serie de opciones DHCP, delimitadas por comas, utilizadas para recuperar firmware y perfiles.

Realice una de las siguientes acciones:

  • En el archivo de configuración del teléfono con XML(cfg.XML), ingrese una cadena con el siguiente formato:

    <DHCP_Option_To_Use ua="na">66,160,159,150,60,43,125</DHCP_Option_To_Use>

  • En la página web del teléfono, ingrese una serie de opciones DHCP, delimitadas por comas.

Valor predeterminado: 66,160,159,150,60,43,125

4

Haga clic en Submit All Changes.

DHCP soporte de opciones

La siguiente tabla enumera las opciones DHCP compatibles con Cisco Wireless Phone 9821.

Estándar de redDescripción
DHCP opción 1Máscara de subred
DHCP opción 2Compensación de tiempo
DHCP opción 3Enrutador
DHCP opción 6Servidor de nombres de dominio
DHCP opción 15Nombre de dominio
DHCP opción 17Ruta raíz
DHCP opción 41IP Tiempo de arrendamiento de la dirección
DHCP opción 42NTP servidor
DHCP opción 43Información específica del proveedor

Se puede utilizar para proporcionar la configuración SCEP.

DHCP opción 56NTP servidor
DHCP opción 60Identificador de clase de proveedor
DHCP opción 66TFTP nombre del servidor
DHCP opción 125Información específica del proveedor que identifica al proveedor
DHCP opción 150TFTP servidor
DHCP opción 159Servidor de provisionamiento IP
DHCP opción 160URL de aprovisionamiento

Seguridad de LAN inalámbrica

Dado que todos los dispositivos WLAN que están dentro del alcance pueden recibir el resto de tráfico WLAN, la protección de las comunicaciones de voz es crítica en las WLAN. Para garantizar que los intrusos no manipulen ni intercepten el tráfico de voz, la arquitectura Cisco SAFE Security es compatible con el teléfono. Para obtener más información acerca de la seguridad en redes, consulte http://www.cisco.com/en/US/netsol/ns744/networking_solutions_program_home.html.

La solución de telefonía Cisco Wireless IP proporciona seguridad de red inalámbrica que evita inicios de sesión no autorizados y comunicaciones comprometidas mediante el uso de los siguientes métodos de autenticación compatibles con el teléfono.

  • Autenticación abierta: cualquier dispositivo inalámbrico puede solicitar autenticación en un sistema abierto. El AP que recibe la solicitud puede conceder la autenticación a cualquier solicitante o solo a los solicitantes que se encuentran en una lista de usuarios. La comunicación entre el dispositivo inalámbrico y el punto de acceso (AP) podría no estar cifrada.

  • Protocolo de autenticación extensible: autenticación flexible mediante tunelización segura (EAP-FAST): esta arquitectura de seguridad cliente-servidor cifra EAP transacciones dentro de un túnel de seguridad de nivel de transporte (TLS) entre el AP y el servidor RADIUS, como Identity Services Engine (ISE).

    El túnel de TLS utiliza credenciales de acceso protegido (PAC) para la autenticación entre el cliente (teléfono) y el servidor RADIUS. El servidor envía un ID de autoridad (AID) al cliente (teléfono), que a su vez selecciona la PAC apropiada. El cliente (teléfono) devuelve la PAC-opaca al servidor RADIUS. El servidor descifra la PAC con la clave principal. Ambos puntos finales contienen ahora la tecla PAC y se crea un túnel de TLS. EAP-FAST es compatible con el aprovisionamiento de PAC automático, pero debe activarlo en el servidor RADIUS.

    En ISE, de forma predeterminada, el PAC expira en una semana. Si el teléfono tiene una PAC caducada, la autenticación con el servidor RADIUS tarda más tiempo si el teléfono obtiene un nuevo PAC. Para evitar los retrasos de aprovisionamiento de PAC, configure el período de caducidad de PAC en 90 días o más en el servidor ISE o RADIUS.

  • Autenticación de Protocolo de autenticación extensible-Seguridad de capa de transporte (EAP-TLS): EAP-TLS requiere un certificado de cliente para la autenticación y el acceso a la red. Para EAP-TLS inalámbrico, el certificado de cliente puede ser MIC o certificado instalado por el usuario.

  • protocolo de autenticación extensible protegido (PEAP): esquema de autenticación mutua de un propietario de Cisco basado en contraseña entre el cliente (teléfono) y un servidor RADIUS. El teléfono puede usar PEAP para la autenticación con la red inalámbrica. Se admiten los métodos de autenticación PEAP-MSCHAPV2 y PEAP-GTC.

    Para admitir la autenticación PEAP-GTC para el teléfono inalámbrico Cisco 9821, configure la política necesaria dentro del conjunto de políticas Cisco ISE.

  • Clave precompartida (PSK): El teléfono admite los formatos ASCII y hexadecimal (HEX). Debe utilizar estos formatos al configurar una clave precompartida WPA2/SAE.

    ASCII: Una cadena de caracteres ASCII con 8 a 63 caracteres de longitud (0-9, minúsculas a-z, mayúsculas A-Z y caracteres especiales). Por ejemplo, GREG123567@9ZX&W.

    HEX: una cadena de caracteres hexadecimales con 64 dígitos hexadecimales de longitud (0-9, a-f o A-F).

Los siguientes esquemas de autenticación utilizan el servidor RADIUS para administrar las claves de autenticación:

  • WPA2/WPA3: utiliza información del servidor RADIUS para generar claves únicas para la autenticación. Dado que estas claves se generan en el servidor RADIUS centralizado, WPA2/WPA3 proporciona más seguridad que claves WPA previamente compartidas almacenadas en el punto de acceso y el teléfono.

  • Itinerancia rápida segura: utiliza el servidor RADIUS y una información de servidor de dominio inalámbrico (WDS) para administrar y autenticar las claves. El WDS crea una caché de credenciales de seguridad para dispositivos cliente habilitados para FT para una reautenticación rápida y segura.

Con WPA2/WPA3, las claves de cifrado no se introducen en el teléfono, sino que se derivan automáticamente entre el AP y el teléfono. Pero el nombre de usuario EAP y la contraseña que se utilizan para la autenticación deben introducirse en cada teléfono.

Para ayudar a proteger el tráfico de voz a través del enlace inalámbrico, el teléfono admite el cifrado basado en AES para la autenticación WPA2/WPA3. AES es un cifrado de bloques simétrico estandarizado por NIST. AES utiliza un tamaño de bloque fijo de 128 bits y admite tamaños de clave de 128 bits, 192 bits y 256 bits. En redes Wi-Fi, AES es utilizado por conjuntos de cifrado como CCMP o GCMP, mientras que la autenticación es proporcionada por separado por PSK, SAE o 802.1X / EAP, dependiendo del modo de seguridad WLAN configurado. El conjunto de cifrado y el tamaño de clave admitidos dependen del modelo de teléfono y la configuración WLAN.

Los sistemas de autenticación y cifrado se configuran en la LAN inalámbrica. Las VLAN se configuran en la red y en el AP y especifican diferentes combinaciones de autenticación y cifrado. SSID se asocia a una VLAN y al esquema de autenticación y cifrado en particular. Para que los dispositivos cliente inalámbricos se autentiquen correctamente, debe configurar los mismos SSID con sus esquemas de autenticación y cifrado en los AP y en el teléfono.

Algunos esquemas de autenticación requieren tipos específicos de cifrado.

Cuando utiliza la clave precompartida WPA2 o SAE, la clave previamente compartida debe configurarse estáticamente en el teléfono. Estas teclas deben coincidir con las teclas que están en el PA.

Los esquemas de autenticación y cifrado en la siguiente tabla muestran las opciones de configuración de red para Cisco Wireless Phone 9821 que corresponde a la configuración de AP.

Tabla 1. Autenticación y esquemas de cifrado
FSR TipoAutenticaciónAdministración de teclasEncriptaciónMarco de administración protegido (PMF)
802.11r (FT)PSK

WPA-PSK

WPA-PSK-SHA256

FT-PSK

AESNo
802.11r (FT)WPA3

SAE

FT-SAE

AES
802.11r (FT)EAP-TLS

WPA-EAP

FT-EAP

AESNo
802.11r (FT)EAP-TLS (WPA3)

WPA-EAP-SHA256

FT-EAP

AES
802.11r (FT)EAP-FAST

WPA-EAP

FT-EAP

AESNo
802.11r (FT)EAP-FAST (WPA3)

WPA-EAP-SHA256

FT-EAP

AES
802.11r (FT)EAP-PEAP

WPA-EAP

FT-EAP

AESNo
802.11r (FT)EAP-PEAP (WPA3)

WPA-EAP-SHA256

FT-EAP

AES
No FTSuite-BWPA-EAP-SUITE-BGCMP
No FTSuite-B-192WPA-EAP-SUITE-B-192GCMP

Configurar el perfil Wi-Fi

Puede configurar perfiles Wi-Fi desde la página web de administración del teléfono o mediante una resincronización de perfil de dispositivo remoto. Una vez configurados, puede asociar estos perfiles con las redes inalámbricas disponibles para establecer la conectividad. Cisco Wireless Phone 9821 admite un máximo de cuatro perfiles Wi-Fi configurados.

El perfil contiene los parámetros necesarios para que los teléfonos se conecten al servidor telefónico con Wi-Fi. Cuando crea y utiliza un perfil Wi-Fi, usted o sus usuarios no necesitan configurar la red inalámbrica para teléfonos individuales.

Un perfil de Wi-Fi le permite evitar o limitar los cambios que el usuario puede realizar en la configuración de Wi-Fi del teléfono.

Le recomendamos que utilice un perfil seguro con protocolos habilitados para cifrado para proteger claves y contraseñas cuando utilice un perfil Wi-Fi.

Cuando configura los teléfonos para usar el método de autenticación EAP-FAST en modo de seguridad, los usuarios necesitan credenciales individuales para conectarse a un punto de acceso.

1

Acceda a la página web del teléfono.

2

Seleccione Voice (Voz) > System (Sistema).

3

En la sección Wi-Fi Perfil (n), establezca los parámetros como se describe en la siguiente tabla Parámetros para el perfil Wi-Fi.

La configuración del perfil Wi-Fi también está disponible para el inicio de sesión del usuario.
4

Haga clic en Submit All Changes.

Parámetros para el perfil Wi-Fi

En la tabla siguiente se define la función y el uso de cada parámetro en la sección Perfil(n) Wi-Fi en la página Web Sistema Tab del teléfono. También define la sintaxis de la cadena que se agrega en el archivo de configuración del teléfono (cfg.XML) para configurar un parámetro.

ParámetroDescripción
Nombre de redPermite ingresar un nombre para el SSID que se mostrará en el teléfono. Varios perfiles pueden tener el mismo nombre de red con diferentes modos de seguridad.

Realice una de las siguientes acciones:

  • En el archivo de configuración del teléfono con XML(cfg.XML), ingrese una cadena con el siguiente formato:

    <Network_Name_1_ ua="rw">Cisco</Network_Name_1_>

  • En la página web del teléfono, ingrese un nombre para el SSID.

Valor predeterminado: Empty (Vacío)

Modo de seguridadPermite seleccionar el método de autenticación que se utiliza para proteger el acceso a la red Wi-Fi. Dependiendo del método que elija, aparece un campo de contraseña para que pueda proporcionar las credenciales necesarias para unirse a esta red Wi-Fi.

Realice una de las siguientes acciones:

  • En el archivo de configuración del teléfono con XML(cfg.XML), ingrese una cadena con el siguiente formato:

    <Security_Mode_1_ ua="rw">EAP-TLS</Security_Mode_1_> <!-- opciones disponibles: |EAP-FAST|||PSK||Ninguno|EAP-PEAP|EAP-TLS -->

  • En la página web del teléfono, seleccione uno de los métodos:
    • EAP-FAST
    • PSK
    • Ninguno
    • EAP-PEAP
    • EAP-TLS

Valor predeterminado: ninguno

Identificador de usuario de Wi-FiPermite ingresar un Identificador de usuario para el perfil de red.

Este campo está disponible cuando configura el modo de seguridad en Auto, EAP-FAST o EAP-PEAP. Este es un campo obligatorio con una longitud máxima de 32 caracteres alfanuméricos.

Realice una de las siguientes acciones:

  • En el archivo de configuración del teléfono con XML(cfg.XML), ingrese una cadena con el siguiente formato:

    <Wi-Fi_User_ID_1_ua="rw"></Wi-Fi_User_ID_1_>

  • En la página web del teléfono, escriba un ID de usuario para el perfil de red.

Valor predeterminado: Empty (Vacío)

Contraseña de Wi-FiPermite ingresar la contraseña para el Identificador de usuario de Wi-Fi especificado.

Realice una de las siguientes acciones:

  • En el archivo de configuración del teléfono con XML(cfg.XML), ingrese una cadena con el siguiente formato:

    <Wi-Fi_Password_1_ ua="rw"></Wi-Fi_Password_1_>

  • En la página web del teléfono, ingrese una contraseña para el usuario ID que agregó.

Valor predeterminado: Empty (Vacío)

Banda de frecuenciasPermite seleccionar la banda de frecuencia de señal inalámbrica que utiliza la WLAN.

Realice una de las siguientes acciones:

  • En el archivo de configuración del teléfono con XML(cfg.XML), ingrese una cadena con el siguiente formato:

    <Frequency_Band_1_ ua="rw">Auto</Frequency_Band_1_>

  • En la página web del teléfono, seleccione una de las opciones:
    • Automático
    • 2,4 GHz
    • 5 GHz o 6 GHz

Valor predeterminado: automático

Selección de certificadoPermite seleccionar un tipo de certificado para la inscripción inicial y renovación de certificados en la red inalámbrica. Este proceso solo está disponible para la autenticación 802.1X.

Realice una de las siguientes acciones:

  • En el archivo de configuración del teléfono con XML(cfg.XML), ingrese una cadena con el siguiente formato:

    <Certificate_Select_1_ ua="rw">Fabricación instalada</Certificate_Select_1_>

  • En la página web del teléfono, seleccione una de las opciones:
    • Fabricación instalada
    • Instalación personalizada

Valor predeterminado: Fabricación instalada

Modo de controlControla si el usuario puede configurar los perfiles Wi-Fi.

Realice una de las siguientes acciones:

  • En el archivo de configuración del teléfono con XML(cfg.XML), ingrese una cadena con el siguiente formato:

    <Control_Mode_1_ ua="rw">Permitir</Control_Mode_1_>

  • En la página web del teléfono, seleccione una de las opciones:
    • Conceder
    • No permitido
    • Restringido

Valor predeterminado: Permitir

HabilitarControla si el perfil Wi-Fi está habilitado.

Realice una de las siguientes acciones:

  • En el archivo de configuración del teléfono con XML(cfg.XML), ingrese una cadena con el siguiente formato:

    <Enable_1_ ua="rw">Sí</Enable_1_>

  • En la página web del teléfono, seleccione una de las opciones:
    • No

Valor predeterminado: Yes (Sí)

Nombre del perfilPermite introducir un nombre para el perfil que se mostrará en el teléfono.

Realice una de las siguientes acciones:

  • En el archivo de configuración del teléfono con XML(cfg.XML), ingrese una cadena con el siguiente formato:

    <Profile_Name_1_ ua="rw">Perfil 1</Profile_Name_1_>

  • En la página web del teléfono, escriba un nombre para el perfil.

Valor predeterminado: Perfil 1

Frase de contraseña PSKPermite introducir la frase de contraseña PSK cuando el modo de seguridad está configurado en PSK.

Realice una de las siguientes acciones:

  • En el archivo de configuración del teléfono con XML(cfg.XML), ingrese una cadena con el siguiente formato:

    <PSK_Passphrase_1_ ua="rw">*************</PSK_Passphrase_1_>

  • En la página web del teléfono, introduzca la frase de contraseña PSK.

Valor predeterminado: Permitir

Autenticación 802.1X para redes cableadas

Cisco Wireless Phone 9821 admite la autenticación 802.1X para redes cableadas. Por lo general, se utiliza durante el aprovisionamiento automático cuando el teléfono está conectado al cargador de escritorio a través de un adaptador USB a Ethernet compatible.

La compatibilidad con la autenticación 802.1X en redes cableadas requiere varios componentes de la siguiente manera:

  • Teléfono IP de Cisco: el teléfono inicia la solicitud de acceso a la red. Los Teléfonos IP de Cisco contienen un solicitante de 802.1X. Este solicitante permite a los administradores de red controlar la conectividad de los teléfonos IP a los puertos de switch de LAN. La versión actual del teléfono solicitante de 802.1X utiliza las opciones EAP-FAST y EAP-TLS para la autenticación de red.

  • Servidor de autenticación: tanto el servidor de autenticación como el conmutador deben estar configurados con un secreto compartido RADIUS.

  • Switch: El switch debe ser compatible con 802.1X, para que pueda actuar como autenticador y transmitir los mensajes EAP entre el teléfono y el servidor de autenticación. Cuando se completa el intercambio de mensajes, el switch le otorga o deniega el acceso a la red al teléfono.

Tradicionalmente, los Teléfonos IP Cisco y los switches Cisco Catalyst utilizan el Cisco Discovery Protocol (Protocolo de detección de Cisco o CDP) para identificarse entre ellos y determinar parámetros como la asignación de VLAN y los requisitos de la alimentación en línea.

Para configurar 802.1X, debe realizar las siguientes acciones.

  • Configure la omisión CDP/LLDP VLAN voz.

  • Configure el servidor de autenticación y el conmutador antes de habilitar la autenticación 802.1X para redes cableadas en el teléfono.

  • Configure la VLAN de voz: como el estándar 802.1X no tiene en consideración las VLAN, debe configurar este parámetro según la compatibilidad del switch.

    • Habilitado: Si está utilizando un switch que admite autenticación multidominio, puede configurarlo para usar el VLAN de voz.
    • Desactivada: si el switch no admite la autenticación de múltiples dominios, desactive la VLAN de voz y considere la asignación del puerto a la VLAN nativa.
  • Cisco Wireless Phone 9821 tiene un prefijo diferente en el PID del de los otros teléfonos Cisco. Para permitir que su teléfono pase la autenticación 802.1X, configure el botón Radius· Parámetro User-Name para incluir su Cisco Wireless Phone 9821.

    Por ejemplo, el PID del Cisco Wireless Phone 9821 es WP-9821. Puede establecer Radius· Nombre de usuario para comenzar con WP o Contiene WP en las dos secciones siguientes:

    • Política > Condiciones > Condiciones de la biblioteca

    • Conjuntos > directivas > Política de autorización> Regla de autorización 1

Habilitar la autenticación 802.1X para redes cableadas en el teléfono

Siga estos pasos para habilitar la autenticación 802.1X para redes cableadas en su teléfono. Tenga en cuenta que la autenticación 802.1X para Wi-Fi está habilitada de forma predeterminada y no requiere configuración manual.

1

Acceda a la configuración 9821 Settings app icon aplicación.

2

Si se le solicita, introduzca la contraseña para acceder al menú Configuración . Puede obtener la contraseña del administrador.

3

Seleccione Configuración de administrador> Configuración de seguridad> Autenticación 802.1X.

4

Resalte Autenticación de dispositivo y pulse Activado.

Habilitar la autenticación 802.1X para redes cableadas en la página web del teléfono

Cuando la autenticación 802.1X para redes cableadas está habilitada, el teléfono utiliza la autenticación 802.1X para solicitar acceso a la red desde el puerto LAN Ethernet. Cuando la autenticación 802.1X para redes cableadas está desactivada, el teléfono utiliza Cisco Discovery Protocol (CDP) para adquirir VLAN y acceso a la red. Tenga en cuenta que la autenticación 802.1X para Wi-Fi está habilitada de forma predeterminada y no requiere configuración manual.

Puede seleccionar un certificado (MIC/SUDI o CDC) utilizado para la autenticación 802.1X. Para obtener más información acerca de los CDC, consulte Certificado de dispositivo personalizado en Cisco Wireless Phone 9821.

Puede ver el estado de la transacción y la configuración de seguridad en el menú de la pantalla del teléfono. Para obtener más información, consulte Menú Configuración de seguridad en el teléfono.

1

Habilite la autenticación 802.1X.

Seleccione Voice (Voz) > System (Sistema). En la sección Autenticación 802.1X, establezca el parámetro Habilitar autenticación 802.1X en .

También puede configurar este parámetro en el archivo de configuración (cfg.XML):

<Enable_802.1X_Authentication ua="rw">Yes</Enable_802.1X_Authentication>

Valores válidos: Yes (Sí) | No

Valor predeterminado: no

2

En la sección Autenticación 802.1X, seleccione uno de los siguientes certificados instalados usados para la autenticación 802.1X en la lista desplegable Selección de certificado.

Opciones de valor:

  • Fabricación instalada: MIC/SUDI.
  • Instalación personalizada: Certificado de dispositivo personalizado (CDC).

También puede configurar este parámetro en el archivo de configuración (cfg.XML):

<Certificate_Select ua="rw">Personalizado instalado</Certificate_Select>

Valores válidos: Fabricación instalada|Instalación personalizada

Valor predeterminado: Fabricación instalada

3

Configure el parámetro Usuario ID que se utilizará como identidad para la autenticación 802.1X en la red cableada.

Esta configuración solo se aplica cuando se usa un certificado de dispositivo personalizado (CDC) para la autenticación 802.1X cableada, con Selección de certificado establecida en Personalizada instalada.

También puede configurar este parámetro en el archivo de configuración (cfg.XML):

<Wired_User_ID ua="na"></Wired_User_ID>

Valores válidos: máximo de 127 caracteres

Valor predeterminado: Empty (Vacío)

Este parámetro también admite variables de expansión de macros, consulte Variables de expansión de macros para obtener más información.

Si desea aprovisionar al usuario ID utilizando una combinación con las opciones DHCP, consulte Aprovisionamiento del usuario ID mediante la opción DHCP 15.

4

Haga clic en Submit All Changes.

Menú Configuración de seguridad en el teléfono

Para ver la información sobre la configuración de seguridad desde el menú telefónico, acceda a Configuración 9821 Settings app icon y seleccione Configuración de administrador> Configuración de seguridad> Autenticación 802.1X. La disponibilidad de la información depende de la configuración de red de la organización.

Parámetros

Opciones

Predeterminado

Descripción

Device authentication (Autenticación de dispositivos)

Activado

Desactivada

Desactivada

Activa o deshabilita la autenticación 802.1X en el teléfono.

La configuración de parámetros se puede mantener después del registro listo para usar (OOB) del teléfono.

Estado de la transacción

Deshabilitado

Muestra el estado de la autenticación 802.1X. El estado puede ser (no limitado a):

  • Autenticación: indica que el proceso de autenticación está en curso.
  • Autenticado: indica que el teléfono está autenticado.
  • Deshabilitado: indica que la autenticación 802.1x está desactivada en el teléfono.
  • Conectando: indica que el teléfono está enviando mensajes de inicio EAP al switch cada 30 segundos.
  • Adquirido: indica que el switch ha rechazado la solicitud EAP del teléfono y que el teléfono no recibe ningún desafío EAP-TLS o EAP-FAST del switch. El teléfono está reintentando enviar solicitudes EAP.
  • Desconectado: indica que el cable Ethernet está desconectado.
  • En espera: indica que el switch ha procesado la solicitud EAP del teléfono, pero ha rechazado la autenticación EAP-FAST o EAP-TLS. El teléfono está reintentando enviar solicitudes EAP.

Protocolo

Ninguno

Muestra el método EAP que se utiliza para la autenticación 802.1X. El protocolo puede ser EAP-FAST o EAP-TLS.

Tipo de certificado de usuario

Fabricación instalada

Instalación personalizada

Fabricación instalada

Selecciona el certificado para la autenticación 802.1X durante la inscripción inicial y la renovación del certificado.

  • Fabricación instalada: se utiliza el identificador único de dispositivo seguro (SUDI).
  • Instalación personalizada: se utiliza el certificado de dispositivo personalizado (CDC). Este tipo de certificado se puede instalar mediante carga manual en la página web del teléfono o mediante la instalación desde un servidor de Protocolo simple de inscripción de certificados (SCEP).

Este parámetro aparece en el teléfono solo cuando la autenticación del dispositivo está habilitada.

Cambiar las contraseñas de usuario y administrador

Tras el registro inicial en un sistema de control de llamadas o después de un restablecimiento de fábrica, debe configurar las contraseñas de usuario y de administrador cuando acceda por primera vez a la página web de administración del teléfono. Puede actualizar estas credenciales en cualquier momento para mantener la seguridad del dispositivo.

Entre las reglas de contraseña válidas se incluyen las siguientes:

  • La contraseña debe contener entre 8 y 127 caracteres.
  • Una combinación (tres de los cuatro tipos) de letra mayúscula, letra minúscula, número y carácter especial.
  • No se permite espacio.
1

Acceda a la página web de administración del teléfono.

2

Seleccione Voice (Voz) > System (Sistema).

3

(Opcional) En la sección Configuración del sistema, establezca el parámetro Mostrar advertencias de contraseña en Sí y, acontinuación, haga clic en Enviar todos los cambios.

También puede activar los parámetros en el archivo de configuración del teléfono (cfg.XML).

<Display_Password_Warnings ua="na">Sí</Display_Password_Warnings>

Valor predeterminado: Yes (Sí)

Opciones: Sí|No

Si el parámetro está establecido en No, la advertencia de contraseña no aparece en la pantalla del teléfono.

4

Busque el parámetro Contraseña de usuario o Contraseña de administrador y haga clic en Cambiar contraseña junto al parámetro.

5

Introduzca la contraseña de usuario actual en el campo Contraseña antigua.

6

Introduzca una nueva contraseña en el campo Nueva contraseña .

Si la nueva contraseña no cumple con las reglas de contraseña válidas, se denegará la configuración.

7

Haga clic en Submit (Enviar).

El mensaje La contraseña se ha cambiado con éxito. se mostrará en la página web. La página web se actualizará en varios segundos.

Después de establecer la contraseña de usuario, este parámetro muestra lo siguiente en el archivo XML de configuración del teléfono (cfg.XML):

<!-- <Admin_Password ua="na">*************</Admin_Password> <User_Password ua="rw">*************</User_Password> -->

Establecer la versión mínima TLS para cliente y servidor

De forma predeterminada, la versión mínima TLS para cliente y servidor es 1.2. Esto significa que el cliente y el servidor aceptan establecer conexiones con TLS 1.2 o superior. La versión máxima admitida de TLS para cliente y servidor es 1.3. Cuando esté configurada, se utilizará la versión mínima TLS para la negociación entre el cliente TLS y el servidor TLS.

Puede establecer la versión mínima de TLS para cliente y servidor respectivamente, como 1.1, 1.2 o 1.3.

Antes de comenzar

Asegúrese de que el servidor TLS admite la versión mínima de TLS configurada. Puede consultar con el administrador del sistema de control de llamadas.

1

Acceda a la página web de administración del teléfono.

2

Seleccione Voice (Voz) > System (Sistema).

3

En la sección Configuración de seguridad, configure el parámetro TLS Versión mínima del cliente.

  • TLS 1.1: El cliente TLS admite las versiones de TLS de 1.1 a 1.3.

    Si la versión TLS en el servidor es inferior a 1.1, entonces no se puede establecer la conexión.

  • TLS 1.2 (predeterminado): El cliente TLS admite TLS 1.2 y 1.3.

    Si la versión TLS en el servidor es inferior a 1.2, por ejemplo, 1.1, entonces no se puede establecer la conexión.

  • TLS 1.3: El cliente TLS solo admite TLS 1.3.

    Si la versión TLS en el servidor es inferior a 1.3, por ejemplo, 1.2 o 1.1, entonces no se puede establecer la conexión.

    Si desea establecer el parámetro "TLS Client Min Version" en "TLS 1.3", asegúrese de que el lado del servidor admita TLS 1.3. Si el lado del servidor no admite TLS 1.3, esto podría causar problemas críticos. Por ejemplo, las operaciones de aprovisionamiento no se pueden realizar en los teléfonos.

También puede configurar este parámetro en el archivo de configuración (cfg.XML):

<TLS_Client_Min_Version ua="na">TLS 1.2</TLS_Client_Min_Version>

Valores permitidos: TLS 1.1, TLS1.2 y TLS 1.3.

Valor predeterminado: TLS 1.2

4

En la sección Configuración de seguridad, configure el parámetro TLS Versión mínima del servidor.

Webex Calling no es compatible con TLS 1.1.

  • TLS 1.1: El servidor TLS soporta las versiones de TLS de 1.1 a 1.3.

    Si la versión TLS en el cliente es inferior a 1.1, entonces no se puede establecer la conexión.

  • TLS 1.2 (predeterminado): El servidor TLS admite TLS 1.2 y 1.3.

    Si la versión TLS en el cliente es inferior a 1.2, por ejemplo, 1.1, entonces no se puede establecer la conexión.

  • TLS 1.3: El servidor TLS solo admite TLS 1.3.

    Si la versión TLS en el cliente es inferior a 1.3, por ejemplo, 1.2 o 1.1, no se puede establecer la conexión.

También puede configurar este parámetro en el archivo de configuración (cfg.XML):

<TLS_Server_Min_Version ua="na">TLS 1.2</TLS_Server_Min_Version>

Valores permitidos: TLS 1.1, TLS1.2 y TLS 1.3.

Valor predeterminado: TLS 1.2

5

Haga clic en Submit All Changes.

Habilitar el modo iniciado por el cliente para las negociaciones de seguridad del plano de medios

Para proteger las sesiones de medios, puede configurar el teléfono para iniciar negociaciones de seguridad del plano de medios con el servidor. El mecanismo de seguridad sigue los estándares establecidos en RFC 3329 y su borrador de extensión Nombres de mecanismos de seguridad para medios (Ver https://tools.ietf.org/html/draft-dawes-sipcore-mediasec-parameter-08#ref-2). El transporte de negociaciones entre el teléfono y el servidor puede utilizar el protocolo SIP sobre UDP, TCP, y TLS. Puede limitar que la negociación de seguridad del plano de medios se aplique solo cuando el protocolo de transporte de señalización sea TLS.

Tabla 2. Parámetros para la negociación de seguridad en el plano de medios
ParámetroDescripción

Solicitud MediaSec

Especifica si el teléfono inicia negociaciones de seguridad del plano de medios con el servidor.

Realice una de las siguientes acciones:

  • En el archivo de configuración del teléfono con XML(cfg.XML), ingrese una cadena con el siguiente formato:

    <MediaSec_Request_1_ ua="na">Sí</MediaSec_Request_1_>
  • En la interfaz web del teléfono, configure este campo en o No según sea necesario.

Valores permitidos: Yes (Sí) | No

  • : modo iniciado por el cliente. El teléfono inicia las negociaciones de seguridad del plano de los medios.
  • No: modo iniciado por el servidor. El servidor inicia las negociaciones de seguridad del plano de medios. El teléfono no inicia negociaciones, pero puede manejar solicitudes de negociación desde el servidor para establecer llamadas seguras.

Valor predeterminado: no

MediaSec solo sobre TLS

Especifica el protocolo de transporte de señalización sobre el que se aplica la negociación de seguridad del plano de medios.

Antes de establecer este campo en , asegúrese de que el protocolo de transporte de señalización es TLS.

Realice una de las siguientes acciones:

  • En el archivo de configuración del teléfono con XML(cfg.XML), ingrese una cadena con el siguiente formato:

    <MediaSec_Over_TLS_Only_1_ ua="na">No</MediaSec_Over_TLS_Only_1_>

  • En la interfaz web del teléfono, configure este campo en o No según sea necesario.

Valores permitidos: Yes (Sí) | No

  • : el teléfono inicia o maneja las negociaciones de seguridad del plano de medios solo cuando el protocolo de transporte de señalización es TLS.
  • No: el teléfono inicia y gestiona las negociaciones de seguridad del plano de medios, independientemente del protocolo de transporte de señalización.

Valor predeterminado: no

1

Acceda a la página web de administración del teléfono.

2

Seleccione Voice (Voz) > Ext(n) (Número de extensión).

3

En la sección Configuración de SIP, establezca los campos MediaSec Request y MediaSec Over TLS Only como se define en la tabla anterior.

4

Haga clic en Submit All Changes.

¿Ha encontrado este artículo útil?
¿Ha encontrado este artículo útil?