Voit ottaa Cisco Unified Communications Manager käyttöön laajennetussa suojausympäristössä. Näiden parannusten avulla puhelinverkkosi toimii tiukoin suojaus- ja riskinhallintavalvontatoimin, jotka suojaavat sinua ja käyttäjiäsi.

Laajennettu suojausympäristö sisältää seuraavat ominaisuudet:

  • Yhteyshenkilön haun todennus.

  • TCP etätarkastuksen kirjautumisen oletusprotokollana.

  • FIPS-tila.

  • Parannettu tunnistetietokäytäntö.

  • Digitaalisten allekirjoitusten SHA-2-perheen tuki.

  • Tuki RSA-avaimen koolle, joka on 512 bittiä ja 4 096 bittiä.

Cisco Unified Communications Manager Release 14.0:n ja Cisco Video Phone Firmware Release 2.1:n ja sitä uudempien versioiden avulla puhelimet tukevat SIP OAuth -todennusta.

OAuth on tuettu proxy Trivial File Transfer Protocol (TFTP) -protokollalle, jossa on Cisco Unified Communications Manager Release 14.0(1)SU1 tai uudempi. Välityspalvelin TFTP ja OAuth TFTP eivät ole tuettuja Mobile Remote Access (MRA)-käytössä.

Lisätietoja suojauksen toiminnoista on seuraavissa tiedoissa:

Puhelin voi tallentaa vain rajoitetun määrän ITL (Identity Trust List) -tiedostoja. ITL-tiedostot eivät voi ylittää 64 Kt puhelimessa, joten rajoita Cisco Unified Communications Manager puhelimille lähettämien tiedostojen määrää.

Tuetut suojausominaisuudet

Suojausominaisuudet suojaavat uhilta, kuten puhelimen identiteettiin ja tietoihin kohdistuvilta uhilta. Nämä toiminnot luovat ja ylläpitävät todennettuja viestintävirtoja puhelimen ja Cisco Unified Communications Manager server välillä ja varmistavat, että puhelin käyttää vain digitaalisesti allekirjoitettuja tiedostoja.

Cisco Unified Communications Manager-versio 8.5 (1) ja uudempi sisältää oletusarvoisesti Suojauksen. Tämä sisältää seuraavat suojausominaisuudet Cisco IP Phones ilman CTL -asiakkaan asentamista:

  • Puhelimen määritystiedostojen allekirjoitus

  • Puhelimen määritystiedoston salaus

  • HTTPS Ja Tomcat ja muut Web-palvelut

Turvallinen signalointi ja mediaominaisuudet edellyttävät edelleen, että suoritat CTL -asiakkaan ja käytät laitteisto-eTokeneja.

Suojauksen käyttöönotto Cisco Unified Communications Manager system estää puhelimen identiteettivarkauden ja Cisco Unified Communications Manager server, estää tietojen kajoamisen ja estää puheluiden signaloinnin sekä mediavirran väärentämisen.

Näiden uhkien torjumiseksi Cisco IP -puhelinverkko luo ja ylläpitää turvallisia (salattuja) viestintävirtoja puhelimen ja palvelimen välillä, allekirjoita tiedostoja digitaalisesti ennen niiden siirtoa puhelimeen ja salata mediavirtoja ja puheluita Cisco IP Phones välillä.

Locally Significant Certificate (LSC) asennetaan puhelimiin, kun olet suorittanut Certificate Authority välityspalvelinfunktioon (CAPF) liittyvät tarvittavat tehtävät. LSC voi määrittää Cisco Unified Communications Manager Administration Cisco Unified Communications Manager suojausoppaassa kuvatulla tavalla. Voit myös aloittaa LSC asennuksen puhelimen Suojausasetukset-valikosta. Valikon avulla voit myös päivittää tai poistaa LSC.

EAP-TLS, jossa WLAN todennus, ei voi käyttää LSC.

Puhelimet käyttävät puhelimen suojausprofiilia, joka määrittää, onko laite suojaamaton vai turvallinen. Lisätietoja suojausprofiilin käyttämisestä puhelimessa on kyseisen Cisco Unified Communications Manager version käyttöoppaissa.

Jos määrität suojausasetukset Cisco Unified Communications Manager Administration, puhelimen määritystiedosto sisältää arkaluonteisia tietoja. Määritystiedoston tietosuojan varmistamiseksi sinun on määritettävä se salausta varten. Lisätietoja on kyseisen Cisco Unified Communications Manager-version käyttöoppaissa.

Puhelin on Liittovaltion tietojen käsittelynormin (FIPS) mukainen. Jotta FIPS-tila toimisi oikein, avaimen koko on vähintään 2 048 bittiä. Jos varmenne on alle 2048 bittiä, puhelin ei rekisteröidy Cisco Unified Communications Manager ja puhelimen rekisteröinti epäonnistui. Varmenteavaimen koko ei ole PUHELIMEN FIPS-yhteensopivat näytöt.

Jos puhelimessa on LSC, LSC-avaimen koko on päivitettävä vähintään 2 048 bittiin, ennen kuin otat FIPS:n käyttöön.

Seuraavassa taulukossa on yleiskatsaus puhelimien tukemista suojaustoiminnoista. Lisätietoja on kyseisen Cisco Unified Communications Manager-version käyttöoppaissa.

Näytä suojaustila painamalla Asetukset Asetukset-näppäintä Ja siirry Verkko- ja palvelu -> Turvallisuus-asetuksiin.

Taulukko 1. Suojaustoimintojen yleiskatsaus

Ominaisuus

Kuvaus

Kuvan todennus

Allekirjoitetut binääritiedostot estävät laitteisto-ohjelmistokuvan kanssa kajoamisen, ennen kuin kuva ladataan puhelimeen.

Kuvan käsitteleminen aiheuttaa sen, että puhelin epäonnistuu todennusprosessissa ja hylkää uuden kuvan.

Asiakassivuston varmenteen asentaminen

Jokainen Cisco IP Phone edellyttää yksilöivän varmenteen laitteen todennusta varten. Puhelimissa on MIC( Manufacturing Installed Certificate), mutta lisäsuojauksen vuoksi voit määrittää varmenteen asennuksen Cisco Unified Communications Manager Administration Certificate Authority-välityspalvelintoiminnolla (CAPF). Voit myös asentaa Locally Significant Certificate (LSC) puhelimen Suojausmääritykset-valikosta.

Laitteen todennus

Tapahtuu Cisco Unified Communications Manager server ja puhelimen välillä, kun kukin yhteisö hyväksyy toisen yhteisön varmenteen. Määrittää, muodostuuko puhelimen ja Cisco Unified Communications Manager välinen turvallinen yhteys ja luoko se tarvittaessa turvallisen signalointipolun entiteettien välille TLS-protokollan avulla. Cisco Unified Communications Manager ei rekisteröi puhelimia, ellei se voi todentaa niitä.

Tiedoston todennus

Vahvistaa puhelimen lataamia digitaalisesti allekirjoitettuja tiedostoja. Puhelin vahvistaa allekirjoituksen ja varmistaa, ettei tiedoston väärentämistä tapahdu tiedoston luomisen jälkeen. Todennusta epäonnistuvia tiedostoja ei ole kirjoitettu puhelimen Flash-muistiin. Puhelin hylkää tällaiset tiedostot käsittelemättä niitä enempää.

Tiedostojen salaus

Salaus estää arkaluonteisten tietojen paljastamisen tiedoston ollessa puhelimen käytössä. Lisäksi puhelin vahvistaa allekirjoituksen varmistaakseen, että tiedoston väärentäminen ei tapahtunut tiedoston luomisen jälkeen. Todennusta epäonnistuvia tiedostoja ei ole kirjoitettu puhelimen Flash-muistiin. Puhelin hylkää tällaiset tiedostot käsittelemättä niitä enempää.

Viestittävä todennus

Käyttää TLS-protokollaa vahvistaakseen, ettei viestityspakettien kanssa ole tapahtunut kajoamista lähetyksen aikana.

Valmistajan asentama varmenne

Jokainen Cisco IP Phone sisältää yksilöivän MIC -varmenteen, jota käytetään laitteen todennukseen. MIC tarjoaa puhelimen pysyvän ainutlaatuisen identiteetin todisteen ja mahdollistaa puhelimen todennuksen Cisco Unified Communications Manager.

Median salaus

Käyttää SRTP sen varmistamiseksi, että tuettujen laitteiden väliset mediavirrat osoittautuvat turvallisiksi ja että vain suunniteltu laite vastaanottaa ja lukee tiedot. Sisältää median ensisijaisen avainparin luomisen laitteille, avainten toimittamisen laitteisiin ja avainten toimittamisen kuljetuksen aikana.

CAPF (Certificate Authority Proxy Function)

Toteuttaa varmenteen luomismenettelyn osia, jotka ovat liian käsittelyvaltaisia puhelimelle ja ovat vuorovaikutuksessa puhelimen kanssa avaimen luomisen ja varmenteen asennuksen osalta. CAPF voidaan määrittää pyytämään varmenteita asiakkaan määrittämisvarmenneilta puhelimen puolesta, tai se voidaan määrittää luomaan varmenteita paikallisesti.

Sekä EC (Elliptinen käyrä) että RSA -avaintyyppejä tuetaan. Käytä EC-näppäintä varmista, että parametri "Endpoint Advanced Encryption Algorithms Support" (järjestelmästä > Enterprise-parametri) on käytössä.

Lisätietoja CAPF ja niihin liittyvistä kokoonpanoista on seuraavissa dokumenteissa:

Suojausprofiili

Määrittää, onko puhelin suojaamaton, todennettu, salattu vai suojattu. Muut tämän taulukon merkinnät kuvailevat suojausominaisuudet.

Salatut määritystiedostot

Varmistaa puhelimen määritystiedostojen tietosuojan.

Valinnainen Web-palvelin poistettu käytöstä puhelimessa

Suojaussyistä voit estää puhelimen (jotka näyttävät puhelimen eri toimintatilastoja) ja itsepalveluportaalin Web-sivujen käytön.

Puhelimen kovetutuminen

Muita suojausasetuksia, joita hallitaan Cisco Unified Communications Manager Administration:

  • Pc-portin poistaminen käytöstä
  • Garp (Gratuitous ARP) poistetaan käytöstä
  • Pc Voice VLAN -käytön poistaminen käytöstä
  • Asetusvalikon käytön poistaminen käytöstä tai rajoitettu käyttö
  • Puhelimen Web-sivujen käytön poistaminen käytöstä
  • Laiteportin Bluetooth poistaminen käytöstä
  • Salakirjoitusten TLS rajoittaminen

802.1X Todennus

Cisco IP Phone voi käyttää 802.1X-todennusta verkkoyhteyden pyytämiseen ja käyttämiseen. Lisätietoja on kohdassa 802.1X Todennus .

Suojaa SIP-vikasieto SRST

Kun olet määrittänyt survivable Remote Site Telephony (SRST) -viittauksen tietoturvaan ja palauttanut riippuvaiset laitteet Cisco Unified Communications Manager Administration, TFTP-palvelin lisää SRST-varmenteen puhelimeen cnf.xml tiedostoon ja lähettää tiedoston puhelimeen. Suojattu puhelin käyttää sitten TLS-yhteyttä vuorovaikutuksessa SRST-yhteensopivan reitittimen kanssa.

Viestitys salauksesta

Varmistaa, että kaikki laitteen ja Cisco Unified Communications Manager server välillä lähetetyt SIP-signalointiviestit salataan.

Luottosuhdeluettelon päivityshälytys

Kun luottosuhdeluettelo päivittyy puhelimessa, Cisco Unified Communications Manager vastaanottaa hälytyksen päivityksen onnistumisen tai vian merkiksi. Lisätietoja on seuraavassa taulukossa.

AES 256 -salaus

Kun puhelimet on yhdistetty Cisco Unified Communications Manager Release 10.5 (2)- ja uudempiin versioihin, ne tukevat AES 256-salaustukea TLS ja SIP:lle signalointia ja median salausta varten. Tällöin puhelimet voivat aloittaa ja tukea TLS 1.2-yhteyttä AES-256-pohjaisten salakirjoitusten avulla, jotka ovat SHA-2 (Secure Hash Algorithm) -normien mukaisia ja FIPS-yhteensopivia. Salakirjoitusta ovat:

  • TLS-yhteyksille:
    • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
    • TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
  • SRTP:lle:
    • AEAD_AES_256_GCM
    • AEAD_AES_128_GCM

Lisätietoja on Cisco Unified Communications Managerin ohjeissa.

Ecdsa(Elliptic Curve Digital Signature Algorithm) -varmenteet

Osana yhteisten kriteerien (CC) sertifiointia Cisco Unified Communications Manager; lisäsi ECDSA-varmenteita versioon 11.0. Tämä vaikuttaa kaikkiin 11.5- ja uudempien versioiden CUCM käyttäviin Voice Operating System (LDAS) -tuotteisiin.

Usean palvelimen (SAN) Tomcat-varmenne, jossa on Cisco UCM

Puhelin tukee Cisco UCM, kun SAN-Tomcat-varmenne on määritetty. Oikea TFTP-palvelimen osoite löytyy puhelimen ITL-tiedostosta puhelimen rekisteröintiä varten.

Lisätietoja ominaisuudesta on seuraavissa tiedoissa:

Seuraavassa taulukossa on luottosuhdeluettelon päivityshälytysviestit ja -merkitys. Lisätietoja on Cisco Unified Communications Managerin ohjeissa.

Taulukko 2. Luottosuhdeluettelon päivityshälytysviestit
Koodi ja viesti Kuvaus

1 - TL_SUCCESS

Vastaanotettu uusi CTL ja/tai ITL

2 - CTL_INITIAL_SUCCESS

Vastaanotettu uusi CTL, ei olemassa olevaa TL-numeroa

3 - ITL_INITIAL_SUCCESS

Vastaanotettu uusi ITL, ei olemassa olevaa TL-numeroa

4 - TL_INITIAL_SUCCESS

Vastaanotettu uusi CTL ja ITL, ei olemassa olevaa TL-numeroa

5 - TL_FAILED_OLD_CTL

Päivitys uuteen CTL epäonnistui, mutta aiempi TL

6 - TL_FAILED_NO_TL

Päivitys uuteen TL:hen epäonnistui, eikä vanhaa TL-numeroa ole

7 - TL_FAILED

Yleinen virhe

8 - TL_FAILED_OLD_ITL

Päivitys uuteen ITL:hen epäonnistui, mutta aiempi TL

9 - TL_FAILED_OLD_TL

Päivitys uuteen TL:hen epäonnistui, mutta aiempi TL

Suojausmääritykset-valikossa on tietoja eri suojausasetuksista. Valikossa voit myös käyttää luottosuhdeluettelo-valikkoa ja määrittää, onko CTL- tai ITL-tiedosto asennettu puhelimeen.

Seuraavassa taulukossa kuvataan Suojausmääritykset-valikon asetukset.

Taulukko 3. Suojausmääritykset-valikko

Asetus

Kuvaus

Muuttaminen

Suojaustila

Näyttää puhelimelle asetetun suojaustilan.

Valitse Cisco Unified Communications Manager Administration Laite > Puhelin. Asetus näkyy Puhelinmääritykset-ikkunan Protokollan erityistiedot -osassa.

LSC

Osoittaa, onko puhelimeen asennettu paikallinen suojausominaisuuksissa käytettävä varmenne (Asennettu) vai eikö sitä ole asennettu puhelimeen (Ei asennettu).

Lisätietoja puhelimen LSC hallinnasta on kyseisen Cisco Unified Communications Manager versiossa.

Locally Significant Certificate (LSC) määrittäminen

Tämä tehtävä koskee LSC määrittämista todennusmerkkijonomenetelmällä.

Ennen aloittamista

Varmista, että asianmukaiset Cisco Unified Communications Manager- ja Certificate Authority Proxy Function (CAPF) -suojausmääritykset ovat täydelliset:

  • CTL- tai ITL-tiedostossa on CAPF-varmenne.

  • Varmista Cisco Unified Communications Operating System Hallinta-kohdassa, että CAPF-varmenne on asennettu.

  • CAPF on käynnissä ja määritetty.

Lisätietoja näistä asetuksista on kyseisen Cisco Unified Communications Manager-version käyttöoppaissa.

1

Hae CAPF todennuskoodi, joka asetettiin, kun CAPF määritettiin.

2

Paina puhelimessa Asetukset the Settings hard key.

3

Avaa Asetukset-valikko antamalla salasana , jos sitä pyydetään. Saat salasanan järjestelmänvalvojalta.

4

Siirry Verkko- ja Palvelu > Suojattomuus-asetuksiin > LSC.

Voit hallita Asetukset-valikon käyttöä Cisco Unified Communications Manager Administration Asetusten käyttö -kentässä.

5

Anna todennusmerkkijono ja valitse Lähetä.

Puhelin alkaa asentaa, päivittää tai poistaa LSC sen mukaan, miten CAPF on määritetty. Kun toimintosarja on valmis, puhelimen näytöt ovat Asennettu tai Ei asennettu.

LSC asennus-, päivitys- tai poistoprosessin valmistuminen voi kestää kauan.

Kun puhelimen asennus onnistui, Näyttöön tulee Asennettu-sanoma . Jos puhelimessa näkyy Ei asennettuna, tarkistusmerkkijono voi olla virheellinen tai puhelimen päivitys ei ehkä ole käytössä. Jos CAPF-toiminto poistaa LSC, puhelimessa näkyy Ei asennettuna sen merkiksi, että toiminto onnistui. CAPF-palvelin kirjaa virhesanomat. Lokit etsitään ja ymmärretään virhesanomien merkitys CAPF-palvelimen käyttöoppaassa.

Ota FIPS-tila käyttöön

1

Valitse Cisco Unified Communications Manager Administration Laite > Puhelin ja etsi puhelin.

2

Siirry tuotekohtaisten määritysten alueeseen.

3

Määritä FIPS-tila-kentän arvoksi Käytössä.

4

Valitse Tallenna.

5

Valitse vaihtoehto Apply Config (Ota määritykset käyttöön).

6

Käynnistä puhelin uudelleen.

Puhelimen kaiutinpuhelimen, korvakuulokkeiden ja kuulokkeen sammutaminen

Voit poistaa käyttäjän puhelimen kaiutinpuhelimen, korvakuulokkeen ja kuulokkeen käytöstä pysyvästi.

1

Valitse Cisco Unified Communications Manager Administration Laite > Puhelin ja etsi puhelin.

2

Siirry tuotekohtaisten määritysten alueeseen.

3

Poista puhelimen ominaisuudet käytöstä valitsemalla yksi tai useita seuraavista valintaruuduista:

  • Kaiutinpuhelimen poistaminen
  • Kaiutinpuhelimen ja kuulokkeen poisto käytöstä
  • Poista kuuloke käytöstä

Oletusarvoisesti näitä valintaruutuja ei ole valittuna.

4

Valitse Tallenna.

5

Valitse vaihtoehto Apply Config (Ota määritykset käyttöön).

802.1X Todennus

Cisco IP Phones tukee 802.1X-todennusta.

Cisco IP Phones- ja Cisco Catalyst -kytkimet käyttävät perinteisessä käytössään Cisco Discovery Protocol (CDP) tunnistaakseen toisensa ja määrittääkseen parametreja, kuten VLAN-varausta ja inline-virrankäyttöä koskevia vaatimuksia. CDP ei tunnista paikallisesti liitettyjä työasemia. Cisco IP Phones tarjota EAPOL-läpikulkumekanismin. Tämän mekanismin avulla Cisco IP Phone liitetty työasema voi välittää EAPOL-viestejä LAN-kytkimen 802.1X-todentimelle. Läpivientimekanismi varmistaa sen, että IP-puhelin ei toimi LÄHI-kytkimenä todentaakseen datapäätepisteen ennen verkkoon siirtymistä.

Cisco IP Phones myös välityspalvelimen EAPOL-uloskirjautumismekanismin. Jos paikallisesti liitetty tietokone katkeaa IP puhelimesta, LAN-kytkin ei näe fyysistä yhteyttä virheellisen, koska LAN-kytkimen ja IP-puhelimen välinen yhteys säilyy. Verkon eheyden välttämiseksi IP-puhelin lähettää EAPOL-Logoff-viestin kytkimelle vikasietoisen tietokoneen puolesta, mikä käynnistää LAN-kytkimen tyhjentämään vikasietoisen tietokoneen todennustietueen.

802.1X-todennuksen tuki edellyttää useita osia:

  • Cisco IP Phone: Puhelin aloittaa verkkoyhteyspyynnön. Cisco IP Phones sisältää 802.1X-ant. Tämän anomuksen avulla verkonvalvojat voivat hallita IP puhelimien yhteyttä LÄHI-verkon kytkinportteihin. Puhelimen nykyinen versio 802.1X supplicant käyttää EAP-FAST- ja EAP-TLS -asetuksia verkon todennuksessa.

  • Todennuspalvelin: Todennuspalvelin ja kytkin on määritettävä jaetulle salaisuudelta, joka todentaa puhelimen.

  • Kytkin: Kytkimen on tuettava 802.1X-protokollaa, jotta se voi toimia todentajana ja välittää viestejä puhelimen ja todennuspalvelimen välillä. Kun vaihto on valmis, kytkin myöntää tai hylkää puhelinyhteyden verkkoon.

Sinun on määritettävä 802.1X seuraavilla toiminnoilla.

  • Määritä muut osat, ennen kuin otat 802.1X-todennuksen käyttöön puhelimessa.

  • Määritä PC-portti: 802.1X-standardi ei ota huomioon VLAN-laitteita, ja suosittelee siksi, että vain yksi laite todennetaan tiettyyn kytkinporttiin. Jotkin kytkimet tukevat kuitenkin monitoimitodennusta. Kytkinmääritykset määräävät, voiko tietokoneen liittää puhelimen PC-porttiin.

    • Käytössä: Jos käytät monitoimista todennusta tukevaa kytkintä, voit ottaa PC-portin käyttöön ja liittää siihen tietokoneen. Tässä tapauksessa Cisco IP Phones tukemaan välityspalvelinta EAPOL-Logoffia, jotta voit seurata kytkimen ja siihen liitetyn tietokoneen välistä todennus vaihtamista.

      Lisätietoja Cisco Catalyst -kytkimien IEEE 802.1X -tuesta on Cisco Catalyst -kytkinmäärityksissä seuraavassa osoitteessa:

      http://www.cisco.com/en/US/products/hw/switches/ps708/tsd_products_support_series_home.html

    • Poissa käytöstä: Jos kytkin ei tue useita 802.1X-yhteensopivia laitteita samassa portissa, sinun tulee poistaa PC-portti käytöstä, kun 802.1X-todennus on käytössä. Jos et poista tätä porttia käytöstä ja yrität liittää siihen tietokoneen, kytkin estää verkkoyhteyden sekä puhelimeen että tietokoneeseen.

  • Määritä puhe-VLAN: Koska 802.1X-standardi ei vastaa VLAN-standardista, määritä tämä asetus kytkintuen perusteella.
    • Käytössä: Jos käytät monitoimista todennusta tukevaa kytkintä, voit käyttää puhe-VLAN-protokollaa edelleen.
    • Ei käytössä: Jos kytkin ei tue monitoimipaikan todennusta, poista puhe-VLAN käytöstä ja harkitse portin määrittämistä alkuperäiselle VLAN-protokollalle.
  • (Vain Cisco Desk Phone 9800 -sarjalle)

    Cisco Desk Phone 9800 -sarjassa on eri etuliite kuin muissa Cisco-puhelimissa. Määritä säde, jotta puhelin läpäisee 802.1X-todennuksen . Käyttäjänimiparametri , joka sisältää Cisco Desk Phone 9800 -sarjan.

    Esimerkiksi puhelimen 9841 PID on DP-9841; voit asettaa säteellä olevan aset. Käyttäjänimi , joka aloitetaan DP: stä tai sisältää DP:n. Voit määrittää sen molempiin seuraaviin kohtiin:

    • Käytäntö > Ehdot > Eibrary-ehdot

    • Käytäntö > Politiikkasarjat > Valtuutuskäytäntö > Valtuutussääntö 1

Ota 802.1X-todennus käyttöön

Voit ottaa 802.1X-todennuksen käyttöön puhelimessasi seuraavasti:

1

Valitse Asetukset.the Settings hard key.

2

Avaa Asetukset-valikko antamalla salasana , jos sitä pyydetään. Saat salasanan järjestelmänvalvojalta.

3

Siirry Verkko- ja palvelu > Suojaus-asetuksiin > 802.1X-todennus.

4

Ota IEEE 802.1X -todennus käyttöön.

5

Valitse Käytä.

Näytä puhelimen suojausasetusten tiedot

Voit tarkastella suojausasetusten tietoja puhelinvalikossa. Tietojen saatavuus määräytyy organisaation verkkoasetusten mukaan.

1

Valitse Asetukset.the Settings key.

2

Siirry verkko- ja palveluasetuksiin > Suojauksen asetuksiin.

3

Näytä seuraavat tiedot suojausasetuksissa.

Taulukko 4. Suojausasetusten parametrit

Parametrit

Kuvaus

Suojaustila

Näyttää puhelimelle asetetun suojaustilan.

LSC

Osoittaa, onko puhelimeen asennettu suojaustoiminnoissa käytettävä paikallisesti merkittävä varmenne (Kyllä) vai eikö sitä ole asennettu puhelimeen (Ei).

Luottosuhdeluettelo

Luottosuhdeluettelossa on alivalikko CTL-, ITL- ja Allekirjoitettu-määritystiedostoille.

CTL-tiedoston alivalikko näyttää CTL-tiedoston sisällön. ITL-tiedoston alivalikko näyttää ITL-tiedoston sisällön.

Luottosuhdeluettelo-valikossa on myös seuraavat tiedot:

  • CTL allekirjoitus: CTL-tiedoston SHA1-hash
  • Unified CM/TFTP -palvelin: puhelimen käyttämän Cisco Unified Communications Manager- ja TFTP-palvelimen nimi. Näyttää varmennekuvakkeen, jos tälle palvelimelle on asennettu varmenne.
  • CAPF-palvelin: sen CAPF palvelimen nimi, jota puhelin käyttää. Näyttää varmennekuvakkeen, jos tälle palvelimelle on asennettu varmenne.
  • SRST-reititin: sen luotetun SRST reitittimen IP osoite, jota puhelin voi käyttää. Näyttää varmennekuvakkeen, jos tälle palvelimelle on asennettu varmenne.

Puhelusuojaus

Kun puhelimen suojaus on otettu käyttöön, voit tunnistaa suojatut puhelut puhelimen näytön kuvakkeilla. Voit myös määrittää, onko yhdistetty puhelin turvallinen ja suojattu, jos puhelun alussa kuuluu suojausääni.

Suojatussa puhelussa kaikki puheluiden signalointi ja mediavirrat salataan. Suojattu puhelu tarjoaa korkean suojaustason, joka tarjoaa puhelun eheyden ja yksityisyyden. Kun meneillään oleva puhelu on salattu, näet suojatun kuvakkeen Suojatun puhelun lukituskuvake linjalla. Suojatun puhelimen todennettu kuvake on myös saatavilla. Tai salattu kuvake Puhelinvalikossa olevan yhdistetyn palvelimen vieressä (Asetukset > Tietoja tästä laitteesta).

Jos puhelu reititetään ei-IP-puheluetappien, kuten PSTN:n, kautta, puhelu voi olla suojaamaton, vaikka se olisi salattu IP verkossa ja siihen on liitetty lukituskuvake.

Suojatussa puhelussa puhelun alussa toistetaan suojausääni, joka osoittaa, että toinen yhdistetty puhelin vastaanottaa ja lähettää turvallista ääntä. Jos puhelu yhdistetään suojaamattomaan puhelimeen, suojausääni ei toista.

Suojattua puhelua tuetaan vain kahden puhelimen välisille yhteyksille. Jotkin toiminnot, kuten neuvottelupuhelut ja jaetut linjat, eivät ole käytettävissä, kun turvallinen puhelu on määritetty.

Kun puhelin on määritetty turvalliseksi (salatuksi ja luotetuksi) Cisco Unified Communications Manager, sille voidaan antaa suojeltu tila. Tämän jälkeen suojattu puhelin voidaan tarvittaessa määrittää toistamaan merkkiääni puhelun alussa:

  • Suojattu laite: Jos haluat muuttaa suojatun puhelimen tilan suojatuksi, valitse Cisco Unified Communications Manager Administration (Laite > Puhelin) Puhelinmääritykset -ikkunan Suojattu laite -valintaruutu.

  • Toista turvallinen merkkiääni: Jos haluat suojatun puhelimen toistavan turvallisen tai suojaamattoman merkkiäänen, aseta Suojattu merkkiääni -asetuksen arvoksi Tosi. Palauta suojattu merkkiääni oletusarvoisesti arvoon Epätosi. Määrität tämän asetuksen Cisco Unified Communications Manager Administration (Järjestelmä > Service-parametrit). Valitse palvelin ja sitten Unified Communications Manager -palvelu. Valitse Service Parameter Configuration window asetus Ominaisuus – Suojattu ääni -alueelta. Oletusarvo on Epätosi.

Suojaa neuvottelupuhelun tunniste

Voit aloittaa suojatun neuvottelupuhelun ja seurata osallistujien suojaustasoa. Suojattu neuvottelupuhelu muodostetaan seuraavalla prosessilla:

  1. Käyttäjä aloittaa neuvottelun suojatulla puhelimella.

  2. Cisco Unified Communications Manager määrittää puhelulle suojatun puhelinneuvottelusillan.

  3. Kun osallistujia lisätään, Cisco Unified Communications Manager tarkistaa kunkin puhelimen suojaustilan ja ylläpitää puhelinneuvottelun turvallista tasoa.

  4. Puhelin näyttää puhelinneuvottelun suojaustason. Turvallinen neuvottelu näyttää suojatun kuvakkeen Suojatun puhelun lukituskuvake.

Suojattua puhelua tuetaan kahden puhelimen välillä. Jotkin toiminnot, kuten neuvottelupuhelu, jaetut linjat ja Extension Mobility, eivät ole käytettävissä suojatuissa puhelimissa, kun turvallinen puhelu on määritetty.

Seuraavassa taulukossa on tietoja neuvottelusuojauksen tasoihin muutoksista puhelimen suojaustason, osallistujien suojaustason ja suojattujen neuvottelusiltojen saatavuuden mukaan.

Taulukko 5. Suojausrajoitukset ja neuvottelupuhelut

Käynnistäjän puhelimen suojaustaso

Käyt. toiminto

Osallistujien suojaustaso

Toiminnon tulokset

Suojaamaton

Neuvottelu

Turvata

Suojaamaton neuvottelusilta

Suojaamaton neuvottelu

Turvata

Neuvottelu

Vähintään yksi jäsen on suojaamaton.

Turvallinen neuvottelusilta

Suojaamaton neuvottelu

Turvata

Neuvottelu

Turvata

Turvallinen neuvottelusilta

Suojattu salatun tason neuvottelu

Suojaamaton

Meet Me

Vähimmäissuojaustaso salataan.

Vastaanottaja vastaanottaa viestin Ei vastaa suojaustasoa, puhelu hylätty.

Turvata

Meet Me

Vähimmäissuojaustaso ei ole suojaamaton.

Turvallinen neuvottelusilta

Neuvottelu hyväksyy kaikki puhelut.

Suojattu puhelutunnus

Suojattu puhelu on luotu, kun puhelimesi ja sitä vastapuolinen puhelin on määritetty suojaamaan puheluja. Toinen puhelin voi olla samassa Cisco IP -verkossa tai verkossa IP verkon ulkopuolella. Suojattuja puheluita voi soittaa vain kahden puhelimen välillä. Neuvottelupuhelujen tulee tukea suojattua puhelua, kun suojattu Conference Bridge on määritetty.

Suojattu puhelu muodostetaan käyttäen tätä prosessia:

  1. Käyttäjä aloittaa puhelun suojatusta puhelimesta (suojattu suojaustila).

  2. Puhelin näyttää suojatun kuvakkeen Suojatun puhelun lukituskuvake Puhelimen näytössä. Tämä kuvake ilmaisee, että puhelin on määritetty suojattuihin puheluihin, mutta tämä ei tarkoita, että toinen yhdistetty puhelin olisi myös suojattu.

  3. Käyttäjä kuulee suojausäänen, jos puhelu yhdistetään toiseen suojattuun puhelimeen, mikä osoittaa, että keskustelun molemmat päät on salattu ja suojattu. Jos puhelu yhdistetään suojaamattomaan puhelimeen, käyttäjä ei kuule suojausääntä.

Suojattua puhelua tuetaan kahden puhelimen välillä. Jotkin toiminnot, kuten neuvottelupuhelu, jaetut linjat ja Extension Mobility, eivät ole käytettävissä suojatuissa puhelimissa, kun turvallinen puhelu on määritetty.

Vain suojatut puhelimet toistavat nämä turvalliset tai suojaamattomat merkkiäänet. Suojaamattomat puhelimet eivät koskaan toista ääniääniä. Jos puhelun kokonaistila muuttuu puhelun aikana, merkkiääni muuttuu ja suojattu puhelin toistaa haluamasi äänen.

Suojattu puhelin toistaa äänen tai ei näissä tilanteissa:

  • Kun Suojattu merkkiäänen toisto -asetus on käytössä:

    • Kun päästä päähän -suojattu media on luotu ja puhelun tila on turvallinen, puhelin toistaa turvallisen merkkiäänen (kolme pitkää merkkiääntä ja keskeytykset).

    • Kun päästä päähän -suojaamaton media on luotu ja puhelun tila on suojaamaton, puhelin toistaa suojaamattoman merkkiäänen (kuusi lyhyttä merkkiääntä, joissa on lyhyet tauot).

Jos Suojattu merkkiääni -asetus on poistettu käytöstä, merkkiääntä ei toteta.

Tarjoa salaus väliintuloa varten

Cisco Unified Communications Manager tarkistaa puhelimen suojaustilan, kun puhelinneuvotteluja muodostetaan, ja muuttaa neuvottelun suojausilmausmerkintää tai estää puhelun päättämisen järjestelmän eheyden ja suojauksen ylläpitämiseksi.

Käyttäjä ei voi liittyä salattuun puheluun, jos väliintuloun käytettävää puhelinta ei ole määritetty salaukseen. Kun väliintulo tässä tapauksessa epäonnistuu, puhelimessa soi uudelleenjärjestäminen (nopea varattu).

Jos aloittajapuhelin on määritetty salausta varten, väliintulon käynnistäjä voi liittyä suojaamattomaan puheluun salatusta puhelimesta. Kun väliintulo on tapahtunut, Cisco Unified Communications Manager luokittelee puhelun suojaamattomaksi.

Jos aloittajapuhelin on määritetty salaukseen, väliintulon käynnistäjä voi liittyä salattuun puheluun ja puhelin ilmaisee, että puhelu on salattu.

WLAN-suojaus

Tämä osa koskee vain puhelinmalleja, joissa on Wi-Fi-ominaisuus.

WLAN-suojaus

Koska kaikki kantaman WLAN laitteet voivat vastaanottaa kaiken muun WLAN-liikennettä, ääniviestintä on WLAN-laitteissa kriittinen. Cisco SAFE Security -arkkitehtuuri tukee puhelinta sen varmistamiseksi, etteivät tunkeilijat manipuloi ääniliikennettä eivätkä kaappaa sitä. Lisätietoja verkkojen suojauksen toiminnoista on kohdassa http://www.cisco.com/en/US/netsol/ns744/networking_solutions_program_home.html.

Cisco Langaton IP -puhelinratkaisu tarjoaa langattoman verkon suojauksen, joka estää luvattomia sisään- ja vaarannusta käyttämällä seuraavia puhelimen tukemia todennusmenetelmiä:

  • Avaa todennus: Kaikki langattomat laitteet voivat pyytää todennusta avoimessa järjestelmässä. Pyynnön vastaanottava käyttöasema voi myöntää todennuksen kenelle tahansa pyynnön esittäjälle tai vain pyynnön esittäjille, jotka ovat käyttäjäluettelossa. Langattoman laitteen ja TUKIASEMAn välistä viestintää ei ehkä salata.

  • Laaja todennusprotokollan joustava todennus suojatun tunnelointitoiminnon (EAP-FAST) todennuksen avulla: Tämä asiakas-palvelinsuojausarkkitehtuuli salata EAP siirtotason suojaustunnelin (TLS) tapahtumia AP:n ja RADIUS-palvelimen välillä, kuten Identity Services Engine (ISE).

    TLS-tunneli käyttää suojatun käytön tunnistetietoja (PAC) todennukseen asiakkaan (puhelimen) ja RADIUS-palvelimen välillä. Palvelin lähettää asiakkaalle (puhelimella) viranomaisen tunnuksen (AID), joka puolestaan valitsee asianmukaisen PAC-yhteyden. Asiakas (puhelin) palauttaa PAC-kvaque-palvelimen RADIUS-palvelimeen. Palvelin poistaa PAC:n salauksen ensisijaisella näppäimellä. Molemmissa päätepisteissä on nyt PAC-avain ja TLS tunneli luodaan. EAP-FAST tukee automaattista PAC-valmistelua, mutta sinun on otettava se käyttöön RADIUS-palvelimessa.

    ISE:ssa PAC vanhenee oletusarvoisesti viikon kuluttua. Jos puhelimen pac on vanhentunut, todennus RADIUS-palvelimella kestää kauemmin, kun puhelin saa uuden PAC:n. Voit välttää PAC-valmistelun viiveet asettamalla PAC-vanhenemisajaksi 90 päivää tai pidempään ISE- tai RADIUS-palvelimessa.

  • Laaja todennusprotokollan ja siirtokerrossuojauksen (EAP-TLS) todennus: EAP-TLS edellyttää todennusta ja verkkoyhteyttä varten asiakasvarmennetta. Langattomien EAP-TLS asiakasvarmenne voi olla MIC, LSC tai käyttäjän asentama varmenne.

  • Suojattu laaj.todennusprotokolla (PEAP): Ciscon oma salasanapohjainen molemminpuolinen todennusmalli asiakkaan (puhelimen) ja RADIUS-palvelimen välillä. Puhelin voi käyttää PEAP langattoman verkon todennukseen. Sekä PEAP-MSCHAPV2- että PEAP-GTC-todennusmenetelmiä tuetaan.

  • Esijaettu avain (PSK): Puhelin tukee ASCII muotoa. Tätä muotoa on käytettävä määritettäessä WPA/WPA2/SAE Esijaettua avainta:

    ASCII: ASCII-merkkinen merkkijono, jossa on 8-63 merkkiä pitkä (0-9 merkkiä, pieni ja iso kirjaiminen A-Z sekä erikoismerkit)

    Esimerkki: GREG123567@9ZX&W

Seuraavat todennusmallit käyttävät RADIUS-palvelinta todennusavainten hallintaan:

  • WPA/WPA2/WPA3: Luo yksilöllisiä avaimia todennusta varten RADIUS-palvelimen tietojen avulla. Koska nämä avaimet luodaan keskitetylle RADIUS-palvelimelle, WPA2/WPA3 tarjoaa enemmän suojausta kuin WPA esivalmistetut avaimet, jotka on tallennettu käyttöp. ja puhelimeen.

  • Fast Secure Roaming: Käyttää RADIUS-palvelinta ja WDS -tietoja avainten hallintaan ja todennukseen. WDS luo suojaustunnisteiden välimuistin FT-yhteensopiville asiakaslaitteille, jotta ne voidaan toistaa nopeasti ja turvallisesti. Cisco Desk -puhelin 9861 ja 9871 sekä Cisco Video Phone 8875 tukevat 802.11r (FT). Sekä ilmassa että DS:n yllä tuetaan, jotta verkkovierailu on nopea suojattu. Suosittelemme kuitenkin vahvasti, että käytät 802.11r (FT) ilmamenetelmää.

Kun käytössä on WPA/WPA2/WPA3, salausavaimia ei syötetä puhelimeen, vaan ne johdetaan automaattisesti apin ja puhelimen välillä. Todennukseen käytettävä EAP käyttäjänimi ja salasana on kuitenkin annettava kullekin puhelimelle.

Jotta ääniliikenne on turvallista, puhelin tukee TKIPiä ja AES salausta. Kun näitä salausohjeita käytetään, sekä viestittävät SIP-paketit että reaaliaikainen äänisiirtoprotokolla (RTP) -paketit salataan ap:n ja puhelimen välillä.

TKIP

WPA käyttää TKIP-salausta, jossa on useita parannusta WEP. TKIP tarjoaa per-paketti-avainsalakirjoitusta ja pidempiä alustusvektoreita (IVs), jotka vahvistavat salausta. Lisäksi viestin eheystarkistus (MIC) varmistaa, ettei salattuja pakkauksia muuteta. TKIP poistaa WEP ennustettavuuden, joka auttaa tunkeilimia tulkitsemaan WEP-avaimen.

AES

WPA2/WPA3-todennuksessa käytettävä salausmenetelmä. Tämä kansallinen salausnormi käyttää symmetristä algoritmia, jolla on sama avain salaukseen ja salauksen purkamiseen. AES käyttää kooltaan 128 bitin salausta (Cipher Blocking Chain) -salausta, joka tukee vähintään 128 bitin, 192 bitin ja 256 bitin avainkokoja. Puhelin tukee 256 bitin näppäinkokoa.

Cisco Desk -puhelin 9861 ja 9871 sekä Cisco Video Phone 8875 eivät tue Cisco Key Integrity Protocol (CKIP) -protokollaa CMIC:n kanssa.

Todennus- ja salausjärjestelmät on määritetty langattomaan lähiverkkoon. VLAN-numerot on määritetty verkossa ja APS:ssä, ja ne määrittävät eri todennus- ja salausyhdistelmiä. SSID liittyy VLAN-järjestelmään ja tiettyyn todennus- ja salausmalliin. Jotta langattomat asiakaslaitteet todennetaan oikein, samat SSID-protokollat on määritettävä todennus- ja salausmalleille APS-laitteissa ja puhelimessa.

Jotkin todennusjärjestelmät edellyttävät tietyntyyppistä salausta.

  • Kun käytät WPA esijaettua avainta, WPA2-esijaettua avainta tai SAE-näppäintä, esijaetun avaimen on oltava staattisesti määritetty puhelimessa. Näiden avainten on vastattava apissa olevia avaimia.

  • Puhelin tukee automaattista EAP fast- tai PEAP-neuvotteluja, mutta ei TLS. Määritä EAP-TLS-tilassa.

Seuraavassa taulukossa on lueteltu tukiasemamäärityksiä vastaavat puhelimen verkkomääritykset.

Taulukko 6. Todennus- ja salausjärjestelmät
FSR-tyyppiTodennusAvaintenhallintaSalausSuojattu hallintakehys (PMF)
802.11r (FT)PSK

WPA-PSK

WPA-PSK-SHA256

FT-PSK

AESEi
802.11r (FT)WPA3

SAE

FT-SAE

AESKyllä
802.11r (FT)EAP-TLS

WPA-EAP

FT-EAP

AESEi
802.11r (FT)EAP-TLS (WPA3)

WPA-EAP-SHA256

FT-EAP

AESKyllä
802.11r (FT)EAP-FAST

WPA-EAP

FT-EAP

AESEi
802.11r (FT)EAP-FAST (WPA3)

WPA-EAP-SHA256

FT-EAP

AESKyllä
802.11r (FT)EAP-PEAP

WPA-EAP

FT-EAP

AESEi
802.11r (FT)EAP-PEAP (WPA3)

WPA-EAP-SHA256

FT-EAP

AESKyllä

Määritä WLAN-profiili

Voit hallita langatonta verkkoprofiilia määrittämällä tunnistetietoja, taajuusaluetta, todennusmenetelmää ja niin edelleen.

Pidä seuraavat huomautukset mielessä, ennen kuin määrität WLAN-profiilin:

  • Käyttäjänimi ja salasana

    • Kun verkkosi käyttää EAP-FAST ja PEAP käyttäjän todennukseen, sinun on määritettävä sekä käyttäjänimi että salasana, jos sitä vaaditaan etätodennuksen soittokäyttäjäpalvelussa (RADIUS) ja puhelimessa.

    • Langattomaan LAN-profiiliin annettujen tunnistetietojen on oltava samat kuin RADIUS-palvelimella määritetyt tunnistetiedot.

    • Jos käytät verkon toimialueita, sinun on annettava käyttäjänimi toimialueen nimellä muodossa: toimialue\käyttäjänimi.

  • Seuraavien toimintojen seurauksena nykyinen Wi-Fi salasana voidaan tyhjentää:

    • Virheellisen käyttäjätunnuksen tai salasanan kirjoittaminen
    • Virheellisen tai vanhentuneen varmenteiden päämyöntäjän asentaminen, kun EAP-tyypiksi on määritetty PEAP-MSCHAPV2 tai PEAP-GTC
    • Käytöstä poistettu EAP tyyppi radius-palvelimesta ennen puhelimen vaihtamista uuteen EAP tyyppiin
  • Jos haluat muuttaa EAP tyyppiä, varmista, että otat uuden EAP-tyypin ensin RADIUS-palvelimeen ja vaihdat sitten puhelimen EAP-tyyppiin. Kun kaikki puhelimet on vaihdettu uuteen EAP tyyppiin, voit halutessasi poistaa edellisen EAP tyypin käytöstä.
1

Valitse Cisco Unified Communications Manager Administration Laite > Device-asetukset > Wireless LAN -profiili.

2

Valitse määritettävä verkkoprofiili.

3

Määritä parametrit.

4

Valitse Tallenna.

Todennuspalvelimen varmenteen manuaalinen asennus

Voit asentaa puhelimen todennuspalvelinvarmenteen manuaalisesti, jos SCEP (Simple Certificate Enrollment Protocol) ei ole käytettävissä.

RADIUS-palvelinvarmenteen myöntäneen varmenteen päämyöntäjän on oltava asennettuna EAP-TLS.

Ennen aloittamista

Ennen kuin voit asentaa varmenteen puhelimeen, tietokoneeseen on tallennettava todennuspalvelinvarmenne. Varmenne on koodattava PEM-koodalla (Base-64) tai DER:ään.

1

Valitse Varmenteet puhelimen hallinnan Web-sivulta.

2

Etsi todennuspalvelimen myöntäjän kenttä ja valitse Asenna.

3

Siirry tietokoneen varmenteeseen.

4

Napsauta Lataa.

5

Käynnistä puhelin uudelleen, kun lataus on valmis.

Jos asennat uudelleen useita varmenteita, vain viimeisin asennettu asennetaan.

Käyttäjävarmenteen manuaalinen asentaminen

Voit asentaa käyttäjävarmenteen puhelimeen manuaalisesti, jos SCEP (Simple Certificate Enrollment Protocol) ei ole käytettävissä.

Esiasennettua MIC-varmennetta voidaan käyttää EAP-TLS käyttäjävarmenteena.

Kun käyttäjävarmenne on asennettu, lisää se RADIUS-palvelimen luottosuhdeluetteloon.

Ennen aloittamista

Ennen kuin voit asentaa puhelimen käyttäjävarmenteen, sinulla on oltava:

  • Tietokoneeseen tallennettu käyttäjävarmenne. Varmenteen on oltava PKCS #12 -muodossa.

  • Varmenteen purun salasana.

    Salasanassa voi olla enintään 16 merkkiä.

1

Valitse Varmenteet puhelimen hallinnan Web-sivulta .

2

Etsi Käyttäjän asentama kenttä ja valitse Asenna.

3

Siirry tietokoneen varmenteeseen.

4

Anna varmenneuutteen salasana Pura salasana -kenttään.

5

Napsauta Lataa.

6

Käynnistä puhelin uudelleen, kun lataus on valmis.

Poista suojausvarmenne manuaalisesti

Voit poistaa suojausvarmenteen puhelimesta manuaalisesti, jos SCEP (Simple Certificate Enrollment Protocol) ei ole käytettävissä.

1

Valitse Varmenteet puhelimen hallinnan Web-sivulta.

2

Etsi varmenne Varmenteet-sivulla .

3

Valitse Poista.

4

Käynnistä puhelin uudelleen, kun poistoprosessi on valmis.

SCEP-parametrien määrittäminen

SCEP-protokolla on varmenteiden rekisteröimisen ja automaattisen uusimisen standardi. SCEP-palvelin voi automaattisesti ylläpitää käyttäjä- ja palvelinvarmenteita.

Sinun on määritettävä seuraavat SCEP-parametrit puhelimen Web-sivulla.

  • RA IP -osoite

  • SCEP-palvelimen varmenteen päävarmenteen SHA-1 tai SHA-256-tunniste

Cisco IOS Registration Authority (RA) toimii SCEP-palvelimen välityspalvelimena. Puhelimen SCEP-asiakas käyttää Cisco Unified Communication Managerista ladattuja parametreja. Kun parametrit on määritetty, puhelin lähettää SCEP getcs -pyynnön RA:lle ja varmenteen päävarmenne tarkistetaan määritetyllä sormenjäljellä.

Ennen aloittamista

Määritä SCEP-rekisteröintiedustajalle SCEP-rekisteröintiedustajaksi seuraavat:

  • Toimi PKI-luottamuspisteenä
  • Toimi PKI RA:na
  • Suorita laitteen todennus RADIUS-palvelimella

Lisätietoja on SCEP-palvelimen käyttöoppaissa.

1

Valitse Cisco Unified Communications Manager Administration Laite > Puhelin.

2

Etsi puhelin.

3

Siirry tuotekohtaisten määritysten asettelualueeseen .

4

Aktivoi SCEP-parametri valitsemalla WLAN SCEP-palvelin -valintaruutu.

5

Aktivoi SCEP QED - parametri valitsemalla WLAN varmenteiden päämyöntäjän sormenjälki (SHA256 tai SHA1) -valintaruutu.

TLS tuetut versiot

Voit määrittää asiakkaalle ja palvelimelle tarvittavan TLS vähimmäisversion.

Palvelimen ja asiakkaan TLS pienin versio on oletusarvoisesti 1,2. Asetus vaikuttaa seuraaviin toimintoihin:

  • HTTPS-verkkoyhteys
  • On-Premise-puhelimen kyydissäolo
  • Matkakäyttö ja Remote Access (MRA)
  • HTTPS-palvelut, kuten luettelopalvelut
  • Datagrammin siirtokerrossuojaus (DTLS)
  • Portin käyttöyksikkö (PAE)
  • Laaja todennusprotokollan ja siirtokerrossuojauksen (EAP-TLS)

Lisätietoja Cisco IP Phones TLS 1.3 -yhteensopivuudesta on kohdassa TLS 1.3 Cisco Collaboration Products -tuotteiden yhteensopivuusmatriisi.

1

Kirjaudu Cisco Unified Communications Manager Administration -järjestelmänhallintaan järjestelmänvalvojana.

2

Siirtyminen toiseen seuraavista ikkunoista:

  • Järjestelmä > Puhelinmääritykset
  • Laite > Device-asetukset > Puhelinprofiili
  • Laite >Puhelin >Puhelimen määritys
3

Määritä TLS Asiakkaan versio - kenttä:

TLS 1.3 -asetus on saatavilla Cisco Unified CM 15SU2 tai uudempi.
  • TLS 1.1: TLS-asiakas tukee TLS versioita 1.1-1.3.

    Jos palvelimen TLS-versio on pienempi kuin 1.1, esimerkiksi 1.0, yhteyttä ei voi muodostaa.

  • TLS 1.2 (oletusarvo): TLS-asiakas tukee TLS 1.2 ja 1.3.

    Jos palvelimen TLS-versio on pienempi kuin 1.2, esimerkiksi 1.1 tai 1.0, yhteyttä ei voida muodostaa.

  • TLS 1.3: TLS-asiakas tukee vain TLS 1.3.

    Jos palvelimen TLS-versio on pienempi kuin 1.3, esimerkiksi 1.2, 1.1 tai 1.0, yhteyttä ei voida muodostaa.

4

Määritä TLS Palvelimen minimiversio - kenttä:

  • TLS 1.1: TLS-palvelin tukee TLS versioita 1.1–1.3.

    Jos asiakkaan TLS-versio on pienempi kuin 1.1, esimerkiksi 1.0, yhteyttä ei voi muodostaa.

  • TLS 1.2 (oletusarvo): TLS-palvelin tukee TLS 1.2 ja 1.3.

    Jos asiakkaan TLS-versio on pienempi kuin 1.2, esimerkiksi 1.1 tai 1.0, yhteyttä ei voida muodostaa.

  • TLS 1.3: TLS-palvelin tukee vain TLS 1.3.

    Jos asiakkaan TLS-versio on pienempi kuin 1.3, esimerkiksi 1.2, 1.1 tai 1.0, yhteyttä ei voida muodostaa.

PhoneOS 3.2 -versiosta kentän "Poista TLS 1.0 ja Web Accessin TLS 1.1" asetus ei vaikuta puhelimiin.
5

Valitse Tallenna.

6

Valitse Apply Config (Ota määritykset käyttöön).

7

Käynnistä puhelimet uudelleen.

Varmat palvelut SIP

Assured Services SIP (AS-SIP) on kokoelma ominaisuuksia ja protokollia, jotka tarjoavat erittäin suojatun puhelunkulun Cisco IP Phones- ja kolmannen osapuolen puhelimille. Seuraavat ominaisuudet tunnetaan yleisesti nimellä AS-SIP:

  • Monitasoinen etusija ja korvaus (MLPP)
  • Eriytettyjen palvelujen koodipiste (DSCP)
  • Siirtokerrossuojaus (TLS) ja suojattu reaaliaikainen siirtoprotokolla (SRTP)
  • Internet-protokollan versio 6 (IPv6)

AS-SIP:a käytetään usein monitasoisen etusijan ja korvaustilan (MLPP) kanssa priorisoidakseen puheluita hätätapauksessa. Kun MLPP, määrität lähteville puheluille prioriteettitason tasolta 1 (matala) tasolle 5 (korkea). Kun vastaanotat puhelun, puhelimessa näkyy etusijatason kuvake, jossa näkyy puhelun tärkeys.

Määritä AS-SIP seuraavasti: Cisco Unified Communications Manager:

  • Koontikäyttäjän määrittäminen siten, että loppukäyttäjä käyttää SIP-pyyntöjen koontitodennusta.
  • Määritä SIP-puhelimen turvallinen portti – Cisco Unified Communications Manager käyttää tätä porttia SIP-puhelinten sip-puhelinten kuuntelemiseen TLS.
  • Käynnistä palvelut uudelleen – kun olet määrittänut suojatun portin, käynnistä Cisco Unified Communications Manager- ja Cisco CTL Provider -palvelut uudelleen. Sip-profiilin määrittäminen AS-SIP-määritä SIP-profiili SIP-asetuksilla AS-SIP-päätepisteille ja SIP-ulkolinjalle. Puhelinkohtaisia parametreja ei ladata kolmannen osapuolen AS-SIP-puhelimeen. Niitä käyttää vain Cisco Unified Manager. Kolmansien osapuolten puhelinten on määritettävä samat asetukset paikallisesti.
  • Määritä puhelimen suojausprofiili AS-SIP:lle – Puhelimen suojausprofiilin avulla voit määrittää suojausasetuksia, kuten TLS, SRTP ja koontitodennusta.
  • Määritä AS-SIP-päätepiste – määritä Cisco IP Phone tai kolmannen osapuolen päätepiste AS-SIP-tuella.
  • Liitä laite loppukäyttäjään – liitä päätepiste käyttäjään.
  • Määritä SIP-ulkolinjan suojausprofiili AS-SIP:lle . Sip-rungon suojausprofiilin avulla voit määrittää suojaustoimintoja, kuten TLS tai koontitodennuksen SIP-runkoon.
  • Määritä SIP-runko AS-SIP:ä varten – Määritä SIP-runko AS-SIP-tuella.
  • AS-SIP-toimintojen määrittäminen – määritä lisää AS-SIP-toimintoja, kuten MLPP, TLS, V.150 ja IPv6.

Lisätietoja AS-SIP:n määrittämisestä on ominaisuusmääritysoppaan AS-SIP-päätepisteiden määritysluvussa Cisco Unified Communications Manager.

Monitasoinen etusija ja korvaus

Monitasoisen etusijan ja korvausten (MLPP) avulla voit asettaa puhelut etusijalle kriisitilanteissa tai muissa kriisitilanteissa. Määrität lähteville puheluille prioriteetin, joka on 1–5. Saapuvissa puheluissa näkyy kuvake ja puhelun prioriteetti. Todennetut käyttäjät voivat vastata puheluihin joko kohdennetuille asemille tai täysin tilattujen TDM-ulkolinjaiden kautta.

Tämä ominaisuus määrittää korkea-arvoisen henkilöstön, joka käyttää viestintää kriittisen organisaation ja henkilöstön kanssa.

MLPP käytetään usein Assured Services SIP (AS-SIP) -laitekäytön kanssa. Lisätietoja MLPP määrittämisestä on Cisco Unified Communications Manager kohdassa Monitasoisen etusijan määrittäminen ja korvaus.

FAC ja CMC

Kun pakolliset tarkistuskoodit (FAC) tai asiakasasiakoodit (CMC) tai molemmat määritetään puhelimeen, käyttäjien on annettava tarvittavat salasanat, jotta he voivat valita numeron.

Lisätietoja FAC ja CMC määrittämisestä Cisco Unified Communications Manager kohdassa Asiakasasiakoodit ja pakolliset tarkistuskoodit Cisco Unified Communications Manager, Vapauta 12.5 (1) tai uudempi.