Puhelimen Web-sivun manuaalisten määritysten SCEP-varmennerekisteröinnin lisäksi voit käyttää DHCP-asetusta 43 myös täyttääksesi parametrit DHCP-palvelimesta. DHCP-asetus 43 on esimääritetty SCEP-parametreilla. Myöhemmin puhelin voi noutaa parametrit DHCP-palvelimesta SCEP-varmennerekisteröintiä varten.

Jos haluat rekisteröidä SCEP-varmenteen määrittämällä SCEP-parametrit DHCP-vaihtoehtoon 43, tee seuraavaa:

1. Valmistele SCEP-ympäristö.

   Lisätietoja SCEP-ympäristön määrittämisestä on SCEP-palvelimen käyttöoppaissa.

2. Määritä DHCP -asetus 43 (määritetty kohdassa 8.4 Toimittajan erityistiedot, RFC 2132).

   Subominans (10–15) on varattu menetelmälle:

   Puhelimen Web-sivun parametrit	Subsummani	Tyyppi	Pituus (tavu)	Pakollinen
   FIPS-tila	10	Boolean	1	Ei*
   Palvelin	11	merkkijono	208 - pituus (Challenge Password)	Kyllä
   Varmenteiden päämyöntäjän tunniste	12	binääri	20 tai 32	Kyllä
   Haasteen salasana	13	merkkijono	208 - pituus (palvelin)	Ei*
   Ota 802.1X-todennus käyttöön	14	Boolean	1	Ei
   Varmenteen valitseminen	15	8-bittinen allekirjoittamaton	1	Ei

   Kun käytät DHCP -asetusta 43, huomaa seuraavat menetelmän ominaisuudet:

   • Subominans (10–15) on varattu CDC-varmennetta varten.
   • Asetuksen 43 DHCP enimmäispituus on 255 tavua.
   • Server + Challenge Password -salasanan enimmäispituus on oltava alle 208 tavua.
   • FIPS-tilan arvon on oltava yhtenäinen laivallaolon valmistelun määritysten kanssa. Muussa tapauksessa puhelin ei pysty noutamaan aiemmin asennettua varmennetta lautaan asentamisen jälkeen. Erityisesti
     • Jos puhelin rekisteröidään ympäristöön, jossa FIPS-tila on poistettu käytöstä, sinun ei tarvitse määrittää FIPS-tila-parametria DHCP vaihtoehdossa 43. FIPS-tila on oletusarvoisesti poistettu käytöstä.
     • Jos puhelin rekisteröidään ympäristöön, jossa FIPS-tila on käytössä, sinun on otettava FIPS-tila käyttöön DHCP vaihtoehto 43. Lisätietoja on FIPS-tilan käyttöönotossa.
   • Vaihtoehdon 43 salasana on tekstinä cleartext.

     Jos haasteen salasana on tyhjä, puhelin käyttää MIC/SUDI:a ensimmäiseen ilmoittautumiseen ja varmenteen uusimiseen. Jos haasteen salasana on määritetty, sitä käytetään vain alkurekisteröintiin ja asennettua varmennetta käytetään varmenteen uusimiseen.

   • Enable 802.1X -todennus ja varmennevalinta ovat käytössä vain langallisen verkon puhelimissa.
   • DHCP laitemallin tunnistamiseen käytetään valintaa 60 (toimittajaluokan tunnus).

   Seuraavassa taulukossa on esimerkki DHCP vaihtoehdosta 43 (sublevyns 10–15):

   Subliittymän desimaali/heksa	Arvon pituus (tavu) desimaali/heksa	Arvo	Heksa-arvo
   10/0a pistettä	1/01	1 (0: Ei käytössä; 1: Käytössä)	01
   11/0b	18/12	http://10.79.57.91	687474703a2f2f31302e37392e35372e3931
   12/0c	20/14	12040870625C5B755D73F5925285F8F5FF5D55AF	12040870625C5B755D73F5925285F8F5FF5D55AF
   13/0d	16/10	D233CCF9B9952A15	44323333434346394239393532413135
   14/0e	1/01	1 (0: Ei; 1: Kyllä)	01
   15/0f	1/01	1 (0: Valmistus asennettu; 1: Mukautettu asennettu)	01

   Parametrien yhteenveto:

   • FIPS-tila = käytössä

   • Palvelin = http://10.79.57.91

   • Varmenteiden päämyöntäjän sormenjälki = 12040870625C5B755D73F5925285F8F5FF5D55AF

   • Haasteen salasana = D233CCF9B9952A15

   • Ota 802.1X-todennus käyttöön = Kyllä

   • Varmennevalinta = Mukautettu asennettu

   Lopullisen heksa-arvon syntaksi on: {<subleveyn><pituus><arvo>}...

   Edellä olevien parametrien mukaan lopullinen heksa-arvo on seuraava:

   0a01010b12687474703a2f2f31302e37392e35372e39310c1412040870625C5B755D73F5925285F8F5FF5D55AF0d10443233334343463942393935324131350e01010f0101

3. Määritä DHCP asetus 43 DHCP palvelimesta.
   Tässä vaiheessa on esimerkki Cisco Network Registerin DHCP asetuksen 43 kokoonpanosta.
   1. Lisää DHCP asetusmäärityssarja.

      Toimittajan asetusmerkkijono on IP puhelimen mallinimi. Kelvollinen arvo on: DP-9841, DP-9851, DP-9861, DP-9871 tai CP-8875.

   2. Lisää DHCP -asetus 43 ja alimallit DHCP-asetusjoukkoon.

      Esimerkki:

      

   3. Lisää DHCP-käytäntöön asetuksia 43 ja määritä arvo seuraavasti:

      Esimerkki:

      (10 1)(11 http://10.79.57.91)(12 12040870625C5B755D73F5925285F8F5FF5D55AF)(13 D233CCF9B9952A15)(14 1)(15 1)

   4. Tarkista asetukset. Wiresharkilla voit tallentaa jäljet puhelimen ja palvelun välisestä verkkoliikenteestä.
4. Tee puhelimen tehdasasetusten palautus.

   Kun puhelin on palautettu, parametrit Palvelin , Varmenteiden päämyöntäjän sormenjälkitunnus ja Haastesalasana tulevat automaattisesti täytetyksi. Nämä parametrit sijaitsevat Puhelimen hallinnan Web-sivun SCEP-kokoonpanon 1 osassa Certificate > Custom .

   Tarkista asennetun varmenteen tiedot valitsemalla Olemassa olevat varmenteet -osasta Näytä .

   Tarkista varmenteen asennustila valitsemalla Varmenne > Todennuksen varmenteen tila. Latauksen tila 1 näyttää viimeisimmän tuloksen. Jos varmenteen ilmoittautumisen aikana ilmenee ongelmia, latauksen tila voi näyttää vianmäärityksen ongelman syyn.

   Jos haasteen salasanan todennus epäonnistuu, käyttäjiä pyydetään antamaan salasana puhelimen näyttöön.
5. (Valinnainen): Poista asennettu varmenne puhelimesta valitsemalla Olemassa olevat varmenteet -osasta Poista .
   Kun napsautat painiketta, poistotoiminto käynnistyy heti ilman vahvistusta.

SCEP-prosessi voi päivittää laitevarmenteen automaattisesti.

• Puhelin tarkistaa, vanheneeko varmenne 15 päivän kuluttua 4 tunnin välein. Jos näin on, puhelin aloittaa varmenteen uusimisprosessin automaattisesti.
• Jos haasteen salasana on tyhjä, puhelin käyttää MIC/SUDI-sertifikaattia sekä alkurekisteröinnissä että varmenteen uusimisessa. Jos haasteen salasana on määritetty ja sitä käytetään vain alkurekisteröintiin, olemassa olevaa/asennettua varmennetta käytetään varmenteen uusimiseen.
• Puhelin ei poista vanhaa laitevarmennetta ennen kuin se noutaa uuden.
• Jos varmenteen uusiminen epäonnistuu laitevarmenteen tai myöntäjän vanhentumisen vuoksi, puhelin käynnistää ensimmäisen ilmoittautumisen automaattisesti. Jos haasteen salasanan todennus epäonnistuu, puhelimen näyttöön avautuu salasanan syötenäyttö ja käyttäjiä kehotetaan antamaan puhelimen haastesalasana.

Cisco IP Phones tukee 802.1X-todennusta.

Cisco IP Phones- ja Cisco Catalyst -kytkimet käyttävät perinteisessä käytössään Cisco Discovery Protocol (CDP) tunnistaakseen toisensa ja määrittääkseen parametreja, kuten VLAN-varausta ja inline-virrankäyttöä koskevia vaatimuksia. CDP ei tunnista paikallisesti liitettyjä työasemia. Cisco IP Phones tarjota EAPOL-läpikulkumekanismin. Tämän mekanismin avulla Cisco IP Phone liitetty työasema voi välittää EAPOL-viestejä LAN-kytkimen 802.1X-todentimelle. Läpivientimekanismi varmistaa sen, että IP-puhelin ei toimi LÄHI-kytkimenä todentaakseen datapäätepisteen ennen verkkoon siirtymistä.

Cisco IP Phones myös välityspalvelimen EAPOL-uloskirjautumismekanismin. Jos paikallisesti liitetty tietokone katkeaa IP puhelimesta, LAN-kytkin ei näe fyysistä yhteyttä virheellisen, koska LAN-kytkimen ja IP-puhelimen välinen yhteys säilyy. Verkon eheyden välttämiseksi IP-puhelin lähettää EAPOL-Logoff-viestin kytkimelle vikasietoisen tietokoneen puolesta, mikä käynnistää LAN-kytkimen tyhjentämään vikasietoisen tietokoneen todennustietueen.

802.1X-todennuksen tuki edellyttää useita osia:

• Cisco IP Phone: Puhelin aloittaa verkkoyhteyspyynnön. Cisco IP Phones sisältää 802.1X-ant. Tämän anomuksen avulla verkonvalvojat voivat hallita IP puhelimien yhteyttä LÄHI-verkon kytkinportteihin. Puhelimen nykyinen versio 802.1X supplicant käyttää EAP-FAST- ja EAP-TLS -asetuksia verkon todennuksessa.

• Todennuspalvelin: Todennuspalvelin ja kytkin on määritettävä jaetulle salaisuudelta, joka todentaa puhelimen.

• Kytkin: Kytkimen on tuettava 802.1X-protokollaa, jotta se voi toimia todentajana ja välittää viestejä puhelimen ja todennuspalvelimen välillä. Kun vaihto on valmis, kytkin myöntää tai hylkää puhelinyhteyden verkkoon.

Sinun on määritettävä 802.1X seuraavilla toiminnoilla.

• Määritä muut osat, ennen kuin otat 802.1X-todennuksen käyttöön puhelimessa.

• Määritä PC-portti: 802.1X-standardi ei ota huomioon VLAN-laitteita, ja suosittelee siksi, että vain yksi laite todennetaan tiettyyn kytkinporttiin. Jotkin kytkimet tukevat kuitenkin monitoimitodennusta. Kytkinmääritykset määräävät, voiko tietokoneen liittää puhelimen PC-porttiin.

  • Käytössä: Jos käytät monitoimista todennusta tukevaa kytkintä, voit ottaa PC-portin käyttöön ja liittää siihen tietokoneen. Tässä tapauksessa Cisco IP Phones tukemaan välityspalvelinta EAPOL-Logoffia, jotta voit seurata kytkimen ja siihen liitetyn tietokoneen välistä todennus vaihtamista.

    Lisätietoja Cisco Catalyst -kytkimien IEEE 802.1X -tuesta on Cisco Catalyst -kytkinmäärityksissä seuraavassa osoitteessa:

    http://www.cisco.com/en/US/products/hw/switches/ps708/tsd_products_support_series_home.html

  • Poissa käytöstä: Jos kytkin ei tue useita 802.1X-yhteensopivia laitteita samassa portissa, sinun tulee poistaa PC-portti käytöstä, kun 802.1X-todennus on käytössä. Jos et poista tätä porttia käytöstä ja yrität liittää siihen tietokoneen, kytkin estää verkkoyhteyden sekä puhelimeen että tietokoneeseen.

• Määritä puhe-VLAN: Koska 802.1X-standardi ei vastaa VLAN-standardista, määritä tämä asetus kytkintuen perusteella.
  • Käytössä: Jos käytät monitoimista todennusta tukevaa kytkintä, voit käyttää puhe-VLAN-protokollaa edelleen.
  • Ei käytössä: Jos kytkin ei tue monitoimipaikan todennusta, poista puhe-VLAN käytöstä ja harkitse portin määrittämistä alkuperäiselle VLAN-protokollalle.
• (Vain Cisco Desk Phone 9800 -sarjalle)

  Cisco Desk Phone 9800 -sarjassa on eri etuliite kuin muissa Cisco-puhelimissa. Määritä säde, jotta puhelin läpäisee 802.1X-todennuksen . Käyttäjänimiparametri , joka sisältää Cisco Desk Phone 9800 -sarjan.

  Esimerkiksi puhelimen 9841 PID on DP-9841; voit asettaa säteellä olevan aset. Käyttäjänimi , joka aloitetaan DP: stä tai sisältää DP:n. Voit määrittää sen molempiin seuraaviin kohtiin:

  • Käytäntö > Ehdot > Eibrary-ehdot

  • Käytäntö > Politiikkasarjat > Valtuutuskäytäntö > Valtuutussääntö 1

Koska kaikki kantaman WLAN laitteet voivat vastaanottaa kaiken muun WLAN-liikennettä, ääniviestintä on WLAN-laitteissa kriittinen. Cisco SAFE Security -arkkitehtuuri tukee puhelinta sen varmistamiseksi, etteivät tunkeilijat manipuloi ääniliikennettä eivätkä kaappaa sitä. Lisätietoja verkkojen suojauksen toiminnoista on kohdassa http://www.cisco.com/en/US/netsol/ns744/networking_solutions_program_home.html.

Cisco Langaton IP -puhelinratkaisu tarjoaa langattoman verkon suojauksen, joka estää luvattomia sisään- ja vaarannusta käyttämällä seuraavia puhelimen tukemia todennusmenetelmiä:

• Avaa todennus: Kaikki langattomat laitteet voivat pyytää todennusta avoimessa järjestelmässä. Pyynnön vastaanottava käyttöasema voi myöntää todennuksen kenelle tahansa pyynnön esittäjälle tai vain pyynnön esittäjille, jotka ovat käyttäjäluettelossa. Langattoman laitteen ja TUKIASEMAn välistä viestintää ei ehkä salata.

• Laaja todennusprotokollan joustava todennus suojatun tunnelointitoiminnon (EAP-FAST) todennuksen avulla: Tämä asiakas-palvelinsuojausarkkitehtuuli salata EAP siirtotason suojaustunnelin (TLS) tapahtumia AP:n ja RADIUS-palvelimen välillä, kuten Identity Services Engine (ISE).

  TLS-tunneli käyttää suojatun käytön tunnistetietoja (PAC) todennukseen asiakkaan (puhelimen) ja RADIUS-palvelimen välillä. Palvelin lähettää asiakkaalle (puhelimella) viranomaisen tunnuksen (AID), joka puolestaan valitsee asianmukaisen PAC-yhteyden. Asiakas (puhelin) palauttaa PAC-kvaque-palvelimen RADIUS-palvelimeen. Palvelin poistaa PAC:n salauksen ensisijaisella näppäimellä. Molemmissa päätepisteissä on nyt PAC-avain ja TLS tunneli luodaan. EAP-FAST tukee automaattista PAC-valmistelua, mutta sinun on otettava se käyttöön RADIUS-palvelimessa.

  ISE:ssa PAC vanhenee oletusarvoisesti viikon kuluttua. Jos puhelimen pac on vanhentunut, todennus RADIUS-palvelimella kestää kauemmin, kun puhelin saa uuden PAC:n. Voit välttää PAC-valmistelun viiveet asettamalla PAC-vanhenemisajaksi 90 päivää tai pidempään ISE- tai RADIUS-palvelimessa.

• Laaja todennusprotokollan ja siirtokerrossuojauksen (EAP-TLS) todennus: EAP-TLS edellyttää todennusta ja verkkoyhteyttä varten asiakasvarmennetta. Langattomien EAP-TLS asiakasvarmenne voi olla MIC, LSC tai käyttäjän asentama varmenne.

• Suojattu laaj.todennusprotokolla (PEAP): Ciscon oma salasanapohjainen molemminpuolinen todennusmalli asiakkaan (puhelimen) ja RADIUS-palvelimen välillä. Puhelin voi käyttää PEAP langattoman verkon todennukseen. Sekä PEAP-MSCHAPV2- että PEAP-GTC-todennusmenetelmiä tuetaan.

• Esijaettu avain (PSK): Puhelin tukee ASCII muotoa. Tätä muotoa on käytettävä määritettäessä WPA/WPA2/SAE Esijaettua avainta:

  ASCII: ASCII-merkkinen merkkijono, jossa on 8-63 merkkiä pitkä (0-9 merkkiä, pieni ja iso kirjaiminen A-Z sekä erikoismerkit)

  Esimerkki: GREG123567@9ZX&W

Seuraavat todennusmallit käyttävät RADIUS-palvelinta todennusavainten hallintaan:

• WPA/WPA2/WPA3: Luo yksilöllisiä avaimia todennusta varten RADIUS-palvelimen tietojen avulla. Koska nämä avaimet luodaan keskitetylle RADIUS-palvelimelle, WPA2/WPA3 tarjoaa enemmän suojausta kuin WPA esivalmistetut avaimet, jotka on tallennettu käyttöp. ja puhelimeen.

• Fast Secure Roaming: Käyttää RADIUS-palvelinta ja WDS -tietoja avainten hallintaan ja todennukseen. WDS luo suojaustunnisteiden välimuistin FT-yhteensopiville asiakaslaitteille, jotta ne voidaan toistaa nopeasti ja turvallisesti. Cisco Desk -puhelin 9861 ja 9871 sekä Cisco Video Phone 8875 tukevat 802.11r (FT). Sekä ilmassa että DS:n yllä tuetaan, jotta verkkovierailu on nopea suojattu. Suosittelemme kuitenkin vahvasti, että käytät 802.11r (FT) ilmamenetelmää.

Kun käytössä on WPA/WPA2/WPA3, salausavaimia ei syötetä puhelimeen, vaan ne johdetaan automaattisesti apin ja puhelimen välillä. Todennukseen käytettävä EAP käyttäjänimi ja salasana on kuitenkin annettava kullekin puhelimelle.

Jotta ääniliikenne on turvallista, puhelin tukee TKIPiä ja AES salausta. Kun näitä salausohjeita käytetään, sekä viestittävät SIP-paketit että reaaliaikainen äänisiirtoprotokolla (RTP) -paketit salataan ap:n ja puhelimen välillä.

TKIP

WPA käyttää TKIP-salausta, jossa on useita parannusta WEP. TKIP tarjoaa per-paketti-avainsalakirjoitusta ja pidempiä alustusvektoreita (IVs), jotka vahvistavat salausta. Lisäksi viestin eheystarkistus (MIC) varmistaa, ettei salattuja pakkauksia muuteta. TKIP poistaa WEP ennustettavuuden, joka auttaa tunkeilimia tulkitsemaan WEP-avaimen.

AES

WPA2/WPA3-todennuksessa käytettävä salausmenetelmä. Tämä kansallinen salausnormi käyttää symmetristä algoritmia, jolla on sama avain salaukseen ja salauksen purkamiseen. AES käyttää kooltaan 128 bitin salausta (Cipher Blocking Chain) -salausta, joka tukee vähintään 128 bitin, 192 bitin ja 256 bitin avainkokoja. Puhelin tukee 256 bitin näppäinkokoa.

Todennus- ja salausjärjestelmät on määritetty langattomaan lähiverkkoon. VLAN-numerot on määritetty verkossa ja APS:ssä, ja ne määrittävät eri todennus- ja salausyhdistelmiä. SSID liittyy VLAN-järjestelmään ja tiettyyn todennus- ja salausmalliin. Jotta langattomat asiakaslaitteet todennetaan oikein, samat SSID-protokollat on määritettävä todennus- ja salausmalleille APS-laitteissa ja puhelimessa.

Jotkin todennusjärjestelmät edellyttävät tietyntyyppistä salausta.

Seuraavassa taulukossa on lueteltu tukiasemamäärityksiä vastaavat puhelimen verkkomääritykset.