Sen lisäksi, että SCEP-varmenne rekisteröidään puhelimen verkkosivun manuaalisilla määrityksillä, voit käyttää myös DHCP-vaihtoehtoa 43 parametrien täyttämiseen DHCP-palvelimesta. DHCP-vaihtoehto 43 on esimääritetty SCEP-parametreilla, myöhemmin puhelin voi hakea parametrit DHCP-palvelimelta SCEP-varmenteen rekisteröinnin suorittamiseksi.

Jos haluat rekisteröidä SCEP-varmenteen määrittämällä SCEP-parametrit DHCP-vaihtoehdossa 43, toimi seuraavasti:

1. Valmistele SCEP-ympäristö.

   Lisätietoja SCEP-ympäristön asetuksista on SCEP-palvelimen ohjeissa.

2. Määritä DHCP-vaihtoehto 43 (määritetty kohdassa 8.4 Toimittajakohtaiset tiedot, RFC 2132).

   Alavaihtoehdot (10–15) on varattu menetelmälle:

   Parametri puhelimen verkkosivulla	Alavaihtoehto	Tyyppi	Pituus (tavu)	Pakollinen
   FIPS-tila	10	Boolean	1	Ei*
   Palvelin	11	merkkijono	208 - pituus (haastesalasana)	Kyllä
   Juuri CA-sormenjälki	12	binääri	20 tai 32	Kyllä
   Haasta salasana	13	merkkijono	208 - pituus (palvelin)	Ei*
   Ota 802.1X-todennus käyttöön	14	Boolean	1	Ei
   Varmenteen valinta	15	allekirjoittamaton 8-bittinen	1	Ei

   Kun käytät DHCP-vaihtoehtoa 43, ota huomioon seuraavat menetelmän ominaisuudet:

   • Aliasetukset (10–15) on varattu mukautetulle laitevarmenteelle (CDC).
   • DHCP-vaihtoehdon 43 enimmäispituus on 255 tavua.
   • Server + Challenge Password -salasanan enimmäispituuden on oltava alle 208 tavua.
   • FIPS-toimintatilan arvon on oltava yhdenmukainen alukseen siirtymisen valmistelukonfiguraation kanssa. Muussa tapauksessa puhelin ei pysty hakemaan aiemmin asennettua varmennetta käyttöönoton jälkeen. Erityisesti
     • Jos puhelin rekisteröidään ympäristöön, jossa FIPS-tila on poistettu käytöstä, FIPS-tila-parametria ei tarvitse määrittää DHCP-vaihtoehdossa 43. FIPS-tila on oletusarvoisesti poistettu käytöstä.
     • Jos puhelin rekisteröidään ympäristöön, jossa FIPS-tila on käytössä, FIPS-tila on otettava käyttöön DHCP-vaihtoehdossa 43. Lisätietoja on kohdassa FIPS-tilan ottaminen käyttöön.
   • Vaihtoehdon 43 salasana on salaamaton.

     Jos haasteen salasana on tyhjä, puhelin käyttää MIC/SUDI-koodia ensimmäiseen rekisteröintiin ja varmenteen uusimiseen. Jos haasteen salasana on määritetty, sitä käytetään vain ensimmäisessä rekisteröinnissä ja asennettua varmennetta käytetään varmenteen uusimiseen.

   • Ota 802.1X-todennus käyttöön ja varmenteen valinta ovat käytössä vain langallisessa verkossa olevissa puhelimissa.
   • DHCP-vaihtoehtoa 60 (Vendor Class Identifier) käytetään laitemallin tunnistamiseen.

   Seuraavassa taulukossa on esimerkki DHCP-vaihtoehdosta 43 (alivaihtoehdot 10–15):

   Alavaihtoehto desimaali/heksadesimaali	Arvon pituus (tavu) desimaali/heksadesimaali	Arvo	Hex-arvo
   10/0a	1/01	1 (0: Vammainen; 1: Käytössä)	01
   11/0b	18/12	http://10.79.57.91	687474703a2f2f31302e37392e35372e3931
   12/0c	20/14	12040870625C5B755D73F5925285F8F5FF5D55AF	12040870625C5B755D73F5925285F8F5FF5D55AF
   13/0d	16/10	D233CCF9B9952A15	44323333434346394239393532413135
   14/0e	1/01	1 (0: Ei; 1: Joo)	01
   15/0f	1/01	1 (0: Valmistus asennettu; 1: Mukautettu asennettu)	01

   Yhteenveto muuttujien arvoista:

   • FIPS-tila = käytössä

   • Palvelin = http://10.79.57.91

   • CA-juurisormenjälki = 12040870625C5B755D73F5925285F8F5FF5D55AF

   • Haasteen salasana = D233CCF9B9952A15

   • Ota 802.1X-todennus käyttöön = Kyllä

   • Certificate Select = Mukautettu asennettu

   Lopullisen heksadesimaaliarvon syntaksi on: {<suboption><length><value>}...</value></length></suboption>

   Edellä olevien parametriarvojen mukaan lopullinen heksadesimaaliarvo on seuraava:

   0a01010b12687474703a2f2f31302e37392e35372e39310c1412040870625C5B755D73F5925285F8F5FF5D55AF0d10443233334343463942393935324131350e01010f0101

3. Määritä DHCP-vaihtoehto 43 DHCP-palvelimelle.
   Tässä vaiheessa on esimerkki Cisco Network Registerin DHCP-vaihtoehdon 43 määrityksistä.
   1. Lisää DHCP-asetusmääritysjoukko.

      Toimittajan valintamerkkijono on IP-puhelimien mallinimi. Kelvollinen arvo on: DP-9841, DP-9851, DP-9861, DP-9871 tai CP-8875.

   2. Lisää DHCP-vaihtoehto 43 ja aliasetukset DHCP-asetusmääritysjoukkoon.

      Esimerkki:

      

   3. Lisää vaihtoehdot 43 DHCP-käytäntöön ja määritä arvo seuraavasti:

      Esimerkki:

      (10 1)(11 http://10.79.57.91)(12 12040870625C5B755D73F5925285F8F5FF5D55AF)(13 D233CCF9B9952A15)(14 1)(15 1)

   4. Tarkista asetukset. Voit käyttää Wiresharkia sieppaamaan jäljen puhelimen ja palvelun välisestä verkkoliikenteestä.
4. Palauta puhelimen tehdasasetukset.

   Kun puhelin on nollattu, parametrit Server, Root CA Fingerprintja Challenge Password täytetään automaattisesti. Nämä parametrit sijaitsevat puhelimen hallintasivun kohdassa SCEP Configuration 1 kohdasta Certificate > Custom .

   Voit tarkistaa asennetun varmenteen tiedot valitsemalla Olemassa olevat varmenteet - osassa Näytä .

   Voit tarkistaa varmenteen asennuksen tilan valitsemalla Certificate > Custom Cert Status. Latauksen tila 1 näyttää viimeisimmän tuloksen. Jos varmenteen rekisteröinnin aikana ilmenee ongelmia, latauksen tila voi näyttää ongelman syyn vianmääritystä varten.

   Jos haasteen salasanan todennus epäonnistuu, käyttäjiä pyydetään antamaan salasana puhelimen näytöllä.
5. (Valinnainen): Jos haluat poistaa asennetun varmenteen puhelimesta, valitse Olemassa olevat varmenteet -osassa Poista .
   Kun napsautat painiketta, poistotoiminto alkaa välittömästi ilman vahvistusta.

SCEP-prosessi voi päivittää laitevarmenteen automaattisesti.

• Puhelin tarkistaa 4 tunnin välein, vanheneeko varmenne 15 päivässä. Jos näin on, puhelin käynnistää varmenteen uusimisprosessin automaattisesti.
• Jos haasteen salasana on tyhjä, puhelin käyttää MIC/SUDI-koodia sekä ensimmäiseen rekisteröintiin että varmenteen uusimiseen. Jos haasteen salasana on määritetty, sitä käytetään vain ensimmäiseen rekisteröintiin, olemassa olevaa/asennettua varmennetta käytetään varmenteen uusimiseen.
• Puhelin ei poista vanhaa laitevarmennetta, ennen kuin se noutaa uuden.
• Jos varmenteen uusiminen epäonnistuu, koska laitevarmenne tai varmenteen myöntäjä vanhenee, puhelin käynnistää ensimmäisen rekisteröinnin automaattisesti. Sillä välin, jos haasteen salasanan todennus epäonnistuu, salasanan syöttönäyttö avautuu puhelimen näytölle ja käyttäjiä kehotetaan syöttämään haastesalasana puhelimeen.

Ciscon IP-puhelimet tukevat 802.1X-todennusta.

Cisco IP -puhelimet ja Cisco Catalyst -kytkimet käyttävät perinteisesti CDP (Cisco Discovery Protocol) -protokollaa toistensa tunnistamiseen ja parametrien, kuten VLAN-varauksen ja johdossa olevien virtavaatimusten, määrittämiseen. CDP ei tunnista paikallisesti liitettyjä työasemia. Ciscon IP-puhelimet tarjoavat EAPOL-läpivientimekanismin. Tämän mekanismin avulla Ciscon IP-puhelimeen liitetty työasema voi välittää EAPOL-viestejä LAN-kytkimen 802.1X-todentajaan. Läpivientimekanismi varmistaa, että IP-puhelin ei toimi LAN-kytkimenä tietojen päätepisteen todentamiseksi ennen verkkoon pääsyä.

Cisco IP -puhelimet tarjoavat myös välityspalvelimen EAPOL Logoff -mekanismin. Jos paikallisesti liitetyn tietokoneen yhteys IP-puhelimeen katkeaa, LAN-kytkin ei näe fyysisen yhteyden epäonnistumista, koska LAN-kytkimen ja IP-puhelimen välinen yhteys säilyy. Verkon eheyden vaarantumisen välttämiseksi IP-puhelin lähettää EAPOL-Logoff-viestin kytkimelle alavirran tietokoneen puolesta, mikä laukaisee LAN-kytkimen tyhjentämään alavirran tietokoneen todennusmerkinnän.

802.1X-laillisuustarkistuksen tuki edellyttää useita osia:

• Cisco IP -puhelimet Puhelin käynnistää pyynnön päästä verkkoon. Ciscon IP-puhelimet sisältävät 802.1X-supplicantin. Tämän supplicantin avulla verkonvalvojat voivat hallita IP-puhelimien liitettävyyttä LAN-kytkinportteihin. Puhelimen 802.1X-supplicantin nykyinen versio käyttää verkkotodennukseen EAP-FAST- ja EAP-TLS-vaihtoehtoja.

• Todennuspalvelin: Sekä todennuspalvelimelle että kytkimelle on määritettävä jaettu salaisuus, joka todentaa puhelimen.

• Kytkin: Kytkimen on tuettava 802.1X:ää, jotta se voi toimia todentajana ja välittää viestit puhelimen ja todennuspalvelimen välillä. Kun vaihto on valmis, kytkin myöntää tai estää puhelimen pääsyn verkkoon.

Sinun on suoritettava seuraavat toimet 802.1X:n määrittämiseksi.

• Määritä muut osat, ennen kuin otat 802.1X-todennuksen käyttöön puhelimessa.

• Määritä PC-portti: 802.1X-standardi ei ota huomioon VLAN-verkkoja ja suosittelee siksi, että vain yksi laite tulisi todentaa tiettyyn kytkinporttiin. Jotkin kytkimet tukevat kuitenkin usean verkkotunnuksen todennusta. Kytkinkokoonpano määrittää, voitko liittää tietokoneen puhelimen PC-porttiin.

  • Käytössä: Jos käytät valitsinta, joka tukee usean toimialueen todennusta, voit ottaa PC-portin käyttöön ja liittää siihen tietokoneen. Tässä tapauksessa Cisco IP -puhelimet tukevat välityspalvelinta EAPOL-Logoff kytkimen ja liitetyn tietokoneen välisen todennuksen vaihtojen valvomiseksi.

    Lisätietoja Cisco Catalyst -kytkimien IEEE 802.1X -tuesta on Cisco Catalyst -kytkimen määritysoppaissa osoitteessa:

    http://www.cisco.com/en/US/products/hw/switches/ps708/tsd_products_support_series_home.html

  • Vammainen: Jos valitsin ei tue useita 802.1X-yhteensopivia laitteita samassa portissa, poista PC-portti käytöstä, kun 802.1X-todennus on käytössä. Jos et poista tätä porttia käytöstä ja yrität sitten liittää siihen tietokoneen, kytkin estää sekä puhelimen että tietokoneen verkkokäytön.

• Määritä ääni VLAN: Koska 802.1X-standardi ei ota huomioon VLAN-verkkoja, tämä asetus on määritettävä kytkintuen perusteella.
  • Käytössä: Jos käytät kytkintä, joka tukee usean verkkotunnuksen todennusta, voit jatkaa sitä ääni-VLAN-verkon käyttämiseen.
  • Vammainen: Jos kytkin ei tue usean verkkotunnuksen todennusta, poista ääni-VLAN käytöstä ja harkitse portin määrittämistä alkuperäiselle VLAN-verkolle.
• (Vain Cisco Desk Phone 9800 -sarja)

  Cisco Desk Phone 9800 -sarjan PID-etuliite on erilainen kuin muissa Cisco-puhelimissa. Jos haluat, että puhelimesi läpäisee 802.1X-todennuksen, aseta säde· Käyttäjänimi-parametri , joka sisältää Cisco Desk Phone 9800 -sarjan.

  Esimerkiksi puhelimen 9841 PID on DP-9841; voit asettaa säteen· käyttäjänimi , joka alkaa DP :llä tai sisältää DP:n. Voit määrittää sen molemmissa seuraavissa osioissa:

  • Käytäntö > ehdot > kirjaston ehdot

  • Käytäntö - > käytäntöjoukot > valtuutuskäytäntö > valtuutussääntö 1

Koska kaikki kantaman sisällä olevat WLAN-laitteet voivat vastaanottaa kaiken muun WLAN-liikenteen, puheviestinnän suojaaminen on ratkaisevan tärkeää WLAN-verkoissa. Jotta tunkeilijat eivät manipuloisi tai sieppaisi ääniliikennettä, Cisco SAFE Security -arkkitehtuuri tukee puhelinta. Lisätietoja verkkojen suojauksesta on kohdassa http://www.cisco.com/en/US/netsol/ns744/networking_solutions_program_home.html.

Cisco Wireless IP -puhelinratkaisu tarjoaa langattoman verkon suojauksen, joka estää luvattomat kirjautumiset ja tietoliikenteen vaarantumisen seuraavilla puhelimen tukemilla todennusmenetelmillä:

• Avoin todennus: Mikä tahansa langaton laite voi pyytää todennusta avoimessa järjestelmässä. Pyynnön vastaanottava tukiasema voi myöntää todennuksen kenelle tahansa pyytäjälle tai vain pyytäjille, jotka löytyvät käyttäjäluettelosta. Langattoman laitteen ja tukiaseman välinen tiedonsiirto voi olla salaamatonta.

• Laajennettava todennusprotokollan joustava todennus EAP-FAST (Secure Tunneling) -todennuksenkautta: Tämä asiakas-palvelin-suojausarkkitehtuuri salaa EAP-tapahtumat tukiaseman ja RADIUS-palvelimen välisessä Transport Level Security (TLS) -tunnelissa, kuten Identity Services Enginessä (ISE).

  TLS-tunneli käyttää suojattuja käyttöoikeustietoja (PAC) todennukseen asiakkaan (puhelimen) ja RADIUS-palvelimen välillä. Palvelin lähettää asiakkaalle (puhelimelle) auktoriteettitunnuksen (AID), joka puolestaan valitsee sopivan PAC: n. Asiakas (puhelin) palauttaa PAC-Opaquen RADIUS-palvelimelle. Palvelin purkaa PAC: n salauksen ensisijaisella avaimella. Molemmat päätepisteet sisältävät nyt PAC-avaimen ja TLS-tunneli luodaan. EAP-FAST tukee automaattista PAC-valmistelua, mutta se on otettava käyttöön RADIUS-palvelimessa.

  ISE: ssä PAC vanhenee oletusarvoisesti viikon kuluttua. Jos puhelimessa on vanhentunut PAC, todennus RADIUS-palvelimella kestää kauemmin, kun puhelin saa uuden PAC: n. Voit välttää PAC-valmisteluviiveet määrittämällä PAC-vanhentumisajaksi vähintään 90 päivää ISE- tai RADIUS-palvelimessa.

• EAP-TLS (Extensible Authentication Protocol-Transport Layer Security) -todennus: EAP-TLS vaatii asiakasvarmenteen todennusta ja verkkoyhteyttä varten. Langattomassa EAP-TLS:ssä asiakasvarmenne voi olla MIC, LSC tai käyttäjän asentama varmenne.

• PEAP (Protected Extensible Authentication Protocol) -protokolla: Ciscon oma salasanapohjainen keskinäinen todennusjärjestelmä asiakkaan (puhelimen) ja RADIUS-palvelimen välillä. Puhelin voi käyttää PEAP:tä todennukseen langattoman verkon kanssa. Sekä PEAP-MSCHAPV2- että PEAP-GTC-todennusmenetelmiä tuetaan.

• Esijaettu avain (PSK): Puhelin tukee ASCII-muotoa. Sinun on käytettävä tätä muotoa, kun määrität esijaettua WPA/WPA2/SAE-avainta:

  ASCII: ASCII-merkkinen merkkijono, jossa on 8–63 merkkiä pitkä (0–9, pienet ja isot kirjaimet A–Z sekä erikoismerkit)

  Esimerkki: GREG123567@9ZX&W

Seuraavat todennusmallit käyttävät RADIUS-palvelinta todennusavainten hallintaan:

• WPA/WPA2/WPA3: Käyttää RADIUS-palvelintietoja yksilöllisten avainten luomiseen todennusta varten. Koska nämä avaimet luodaan keskitetyssä RADIUS-palvelimessa, WPA2/WPA3 tarjoaa enemmän suojausta kuin tukiasemaan ja puhelimeen tallennetut esijaetut WPA-avaimet.

• Nopea turvallinen verkkovierailu: Käyttää RADIUS-palvelinta ja langattoman toimialueen palvelimen (WDS) tietoja avainten hallintaan ja todentamiseen. WDS luo välimuistin FT-yhteensopivien asiakaslaitteiden suojaustunnistetiedoista nopeaa ja turvallista uudelleentodennusta varten. Cisco Desk Phone 9861 ja 9871 sekä Cisco Video Phone 8875 tukevat 802.11r (FT). Sekä langattomasti että DS:n kautta tuetaan nopeaa ja turvallista verkkovierailua. Suosittelemme kuitenkin vahvasti 802.11r (FT) over air -menetelmän käyttöä.

WPA/WPA2/WPA3:ssa salausavaimia ei syötetä puhelimeen, vaan ne johdetaan automaattisesti tukiaseman ja puhelimen välillä. Mutta todennukseen käytettävä EAP-käyttäjänimi ja salasana on syötettävä jokaiseen puhelimeen.

Ääniliikenteen turvallisuuden varmistamiseksi puhelin tukee TKIP- ja AES-salausta. Kun näitä mekanismeja käytetään salaukseen, sekä signaloivat SIP-paketit että RTP (Real-Time Transport Protocol) -äänipaketit salataan tukiaseman ja puhelimen välillä.

TKIP

WPA käyttää TKIP-salausta, jossa on useita parannuksia WEP-salaukseen verrattuna. TKIP tarjoaa pakettikohtaisen avainsalauksen ja pidemmät alustusvektorit (IV), jotka vahvistavat salausta. Lisäksi viestin eheyden tarkistus (MIC) varmistaa, että salattuja paketteja ei muuteta. TKIP poistaa WEP:n ennustettavuuden, joka auttaa tunkeilijoita tulkitsemaan WEP-avaimen.

AES

WPA2/WPA3-todennuksessa käytettävä salausmenetelmä. Tässä kansallisessa salausstandardissa käytetään symmetristä algoritmia, jolla on sama avain salaukseen ja salauksen purkamiseen. AES käyttää 128-bittistä Cipher Blocking Chain (CBC) -salausta, joka tukee vähintään 128 bitin, 192 bitin ja 256 bitin avainkokoja. Puhelin tukee 256 bitin avaimen kokoa.

Todennus- ja salausjärjestelmät määritetään langattomassa lähiverkossa. VLAN-verkot määritetään verkossa ja tukiasemissa, ja ne määrittävät erilaisia todennuksen ja salauksen yhdistelmiä. SSID liittyy VLAN-verkkoon ja tiettyyn todennus- ja salausjärjestelmään. Jotta langattomien asiakaslaitteiden todennus onnistuu, sinun on määritettävä samat SSID:t ja niiden todennus- ja salausmallit tukiasemissa ja puhelimessa.

Jotkin todennusmallit edellyttävät tietyntyyppistä salausta.

Seuraavassa taulukossa esitetyt todennus- ja salausmallit näyttävät tukiaseman määrityksiä vastaavan puhelimen verkon määritysvaihtoehdot.