Installation d'un certificat de périphérique personnalisé

Pour installer un certificat de périphérique personnalisé (CDC) sur votre téléphone, utilisez l'une des méthodes suivantes, en fonction de votre situation :

Le certificat installé le plus récemment sur le téléphone prend effet.

Installation manuelle du certificat d'appareil personnalisé par téléchargement

Il est possible d'installer manuellement un certificat de périphérique personnalisé (CDC) sur le téléphone en chargeant le certificat depuis la page Web d'administration du téléphone.

Avant de commencer

Avant de pouvoir installer un certificat de périphérique personnalisé pour un téléphone, vous devez disposer des éléments suivants :

  • Un fichier de certificat (.p12 ou .pfx) enregistré sur votre PC. Le fichier contient le certificat et la clé privée.
  • Le mot de passe d'extraction du certificat. Le mot de passe est utilisé pour déchiffrer le fichier de certificat.
1

Accéder à la page Web d'administration du téléphone.

2

Sélectionnez Certificat.

3

Dans la section Ajouter un certificat, cliquez sur Parcourir....

4

Trouvez le certificat sur votre PC.

5

Dans le champ Extraire le mot de passe, saisissez le mot de passe extrait du certificat.

6

Cliquez sur Télécharger.

Si le fichier de certificat et le mot de passe sont corrects, un message « Certificat ajouté » s'affiche. Dans le cas contraire, le chargement échoue et un message d'erreur indique que le certificat ne peut pas être chargé.
7

Pour vérifier les détails du certificat installé, cliquez sur Affichage dans la section Certificats existants.

8

Pour supprimer le certificat installé du téléphone, cliquez sur Supprimer dans la section Certificats existants.

Une fois que vous avez cliqué sur le bouton, l'opération de suppression commence immédiatement sans confirmation.

Si la suppression du certificat est réussie, un message « Certificat supprimé » s'affiche.

Installation automatique du certificat de périphérique personnalisé par SCEP

Vous pouvez configurer les paramètres associés au protocole simple d'enregistrement de certificats (SCEP) pour interagir avec le serveur SCEP afin d'installer automatiquement le certificat de périphérique personnalisé (CDC).

Une fois que l'un des paramètres SCEP est configuré, le téléphone envoie une demande d'inscription SCEP au serveur. Le téléphone valide le certificat d'autorité de certification reçu à l'aide de l'empreinte digitale configurée.

Avant de commencer

Avant de pouvoir installer automatiquement un certificat CDC (Custom Device Certificate) pour un téléphone, vous devez disposer des éléments suivants :

  • Adresse du serveur SCEP
  • Empreinte SHA-1 ou SHA-256 du certificat CA de certification racine du serveur SCEP
1

Accéder à la page Web d'administration du téléphone.

2

Sélectionnez Certificat.

3

Dans la section Configuration 1 de PECP , définissez les paramètres comme décrit dans Paramètres de configuration SCEP.

4

Cliquez sur Envoyer toutes les modifications.

Paramètres de configuration de SCEP

Le tableau suivant définit la fonction et l'utilisation des paramètres de configuration SCEP dans la section Configuration 1 SCEP sous Certificat Tab de l'interface Web du téléphone. Elle définit également la syntaxe de la chaîne intégrée au fichier de configuration du téléphone (cfg.xml) afin de configurer un paramètre spécifique.

Si les paramètres sont modifiés, le téléphone demandera un nouveau certificat.

Tableau 1. Paramètres de configuration de SCEP
ParamètreDescription
Serveur

Adresse du serveur SCEP. Ce paramètre est obligatoire.

Exécutez l'une des actions suivantes :

  • Dans le fichier de configuration du téléphone à l’aide de XML(cfg.xml), entrez une chaîne au format suivant :

    <CDC_Server_1_ ua="na">http://10.79.57.91</CDC_Server_1_&gt ;

  • Dans la page Web du téléphone, saisissez l'adresse du serveur SCEP.

Valeurs acceptées : une URL ou une adresse IP. Le schéma HTTPS n’est pas pris en charge.

Valeur par défaut : vide

Empreinte digitale de l’autorité de certification racine

Empreinte SHA256 ou SHA1 de l’autorité de certification racine pour validation au cours du processus SCEP. Ce paramètre est obligatoire.

Exécutez l'une des actions suivantes :

  • Dans le fichier de configuration du téléphone à l’aide de XML(cfg.xml), entrez une chaîne au format suivant :

    <CDC_Root_CA_Fingerprint_1_ ua="na">12040870625C5B755D73F5925285F8F5FF5D55AF</CDC_Root_CA_Fingerprint_1_>

  • Dans la page Web du téléphone, saisissez une empreinte digitale valide.

Valeur par défaut : vide

Mot de passe de vérification

Le mot de passe de vérification est utilisé pour l'autorisation de l'autorité de certification (AC) par rapport au téléphone lors de l'enregistrement d'un certificat via SCEP. Ce paramètre est facultatif.

Selon l'environnement SCEP, le comportement du mot de passe de vérification peut varier.

  • Si le téléphone obtient un certificat d'une autorité d'enregistrement Cisco qui communique avec l'autorité de certification, le mot de passe de vérification n'est pas pris en charge par l'autorité de certification. Dans ce cas, l'autorité d'enregistrement Cisco utilise le MIC/SUDI du téléphone pour l'authentification auprès de l'autorité de certification. Le téléphone se sert du MIC/SUDI aussi bien pour l'inscription initiale que pour le renouvellement du certificat.
  • Si le téléphone obtient un certificat en communiquant directement avec l'autorité de certification, le mot de passe de vérification est pris en charge par celle-ci. S'il est configuré, il ne sera utilisé que pour l'inscription initiale. Pour le renouvellement du certificat, le certificat installé sera utilisé à la place.

Exécutez l'une des actions suivantes :

  • Dans le fichier de configuration du téléphone à l’aide de XML(cfg.xml), entrez une chaîne au format suivant :

    <CDC_Challenge_Password_1_ ua="na"></CDC_Challenge_Password_1_>

    Le mot de passe est masqué dans le fichier de configuration.

  • Dans la page Web du téléphone, saisissez le mot de passe de test.

Valeur par défaut : vide

Nom commun

Indique le nom commun (CN) utilisé comme identificateur pour le téléphone qui demande le certificat. Le CN est utilisé pour la demande de signature de certificat (CSR) dans le processus SCEP.

Ce paramètre prend également en charge les variables d'expansion de macro ; voir Variables d'expansion de macro pour plus de détails.

Exécutez l’une des actions suivantes :

  • Dans le fichier de configuration du téléphone à l’aide de XML(cfg.xml), entrez une chaîne au format suivant :

    <CDC_Common_Name_1_ ua="na"></CDC_Common_Name_1_>

  • Dans la page Web du téléphone, saisissez le nom commun.

Valeurs acceptées : 64 caractères maximum

Valeur par défaut : vide

Renouvellement du certificat par SCEP

Le certificat du périphérique peut être actualisé automatiquement par le processus SCEP.

  • Le téléphone vérifie si le certificat expire dans 15 jours toutes les 4 heures. Si tel est le cas, le téléphone démarre automatiquement le processus de renouvellement du certificat.
  • Si le mot de passe de défi est vide, le téléphone utilise MIC/SUDI pour l'inscription initiale et le renouvellement du certificat. Si le mot de passe de défi est configuré, il est utilisé uniquement pour l'inscription initiale, le certificat existant/installé est utilisé pour le renouvellement du certificat.
  • Le téléphone ne supprime pas l'ancien certificat d'appareil tant qu'il n'a pas récupéré le nouveau.
  • Si le renouvellement du certificat échoue parce que le certificat de l'appareil ou l'autorité de certification expire, le téléphone déclenche automatiquement l'inscription initiale. En attendant, si l’authentification par mot de passe échoue, un écran de saisie de mot de passe s’affiche sur l’écran du téléphone et les utilisateurs sont invités à saisir le mot de passe sur le téléphone.

Configuration du nom commun CDC

Par défaut, le nom commun dans MIC/SUDI est utilisé comme nom commun pour CDC.

Vous pouvez configurer le nom commun de CDC lorsque vous installez le certificat. Utilisez l'une des méthodes suivantes pour installer un CDC sur le téléphone :

Configuration des paramètres SCEP via l’option DHCP 43

Dans certains environnements où vous ne pouvez pas installer le certificat de périphérique personnalisé (CDC) via son téléchargement ou en configurant directement les paramètres SCEP. Dans ce cas, vous pouvez utiliser l'option DHCP 43 pour remplir les paramètres à partir d'un serveur DHCP. L'option DHCP 43 peut être configurée pour fournir les paramètres SCEP au téléphone. Une fois le téléphone réinitialisé aux paramètres d'usine, il peut recevoir les paramètres du serveur DHCP pour installer le CDC via le protocole SCEP.

  • Cette fonctionnalité (configuration des paramètres SCEP via l'option DHCP 43) n'est disponible que pour le téléphone qui est réinitialisé aux paramètres d'usine.
  • Les téléphones ne doivent pas être placés dans un réseau qui a pris en charge l'option 43 et la mise à disposition à distance (par exemple, les options 66,160,159,150, ou la mise à disposition cloud). Sinon, les téléphones risquent de ne pas obtenir les configurations optionnelles 43.

Pour installer un certificat CDC par les paramètres SCEP fournis à partir de l'option DHCP 43, procédez comme suit :

  1. Préparer un environnement SCEP.

    Pour plus d'informations sur la configuration de l'environnement SCEP, consultez la documentation de votre serveur SCEP.

  2. Configurez l'option DHCP 43 (définie dans 8.4 Vendor Specific Information, RFC 2132).

    Les sous-options (10 à 15) sont réservées à la méthode :

    Paramètre sur la page Web du téléphoneSous-optionTypeLongueur (octet)Mandatory
    Mode FIPS10booléen1Non*
    Serveur11chaîne208 - longueur (mot de passe du défi)Oui
    Empreinte digitale de l'autorité de certification racine12sortilège20, 32, 48 ou 64Oui
    Mot de passe de vérification13chaîne208 - longueur (serveur)Non*
    Enable 802.1X Authentication14booléen1Non
    Sélection de certificat15Non signé 8 bits1Non

    * signifie que le paramètre est configuré en fonction de la situation réelle.

    Lorsque vous utilisez l'option DHCP 43, notez les caractéristiques suivantes de la méthode :

    • Les sous-options (10-15) sont réservées au certificat de périphérique personnalisé (Custom Device Certificate, CDC).
    • La longueur maximale de l'option DHCP 43 est de 255 octets.
    • La longueur maximale du serveur + du mot de passe de vérification doit être inférieure à 208 octets.
    • La valeur du mode FIPS doit être cohérente avec la configuration de mise à disposition de l'intégration. Sinon, le téléphone ne parvient pas à récupérer le certificat précédemment installé après l'intégration. Plus précisément,
      • Si le téléphone doit être enregistré dans un environnement où le mode FIPS est désactivé, vous n'avez pas besoin de configurer le mode FIPS dans l'option DHCP 43. Par défaut, le mode FIPS est désactivé.
      • Si le téléphone doit être enregistré dans un environnement où le mode FIPS est activé, vous devez activer le mode FIPS dans l'option DHCP 43. Voir Activer le mode FIPS pour plus de détails.
    • Le mot de passe de défi dans l'option 43 est en texte clair.
      • Si vous souhaitez que le téléphone utilise MIC/SUDI pour l'inscription initiale et le renouvellement du certificat, laissez le mot de passe de défi vide.
      • Si le mot de passe de défi est utilisé uniquement pour l'inscription initiale, configurez le mot de passe de stimulation. Dans ce cas, le certificat installé sera utilisé pour le renouvellement du certificat.
    • Activer l'authentification 802.1X et Certificate Select (Activer l'authentification 802.1X) et Certificate Select (Sélect.) ne sont utilisés que pour les téléphones des réseaux câblés.
    • L'option DHCP 60 (Vendor Class Identifier) est utilisée pour identifier le modèle de périphérique.

    Exemple de l'option DHCP 43 (sous-options 10 à 15) :

    Sous-option décimale/hexadécimaleLongueur de la valeur (octet) décimale/hexadécimaleValeurValeur hexadécimale
    10/0a1/011 (0 : Désactivé ; 1 : Activé)01
    11/0b18/12http://10.79.57.91687474703a2f2f31302e37392e35372e3931
    12/0c20/1412040870625C5B755D73F5925285F8F5FF5D55AF12040870625C5B755D73F5925285F8F5FF5D55AF
    13/0d16/10D233CCF9B9952A1544323333434346394239393532413135
    14/0e1/011 (0 : Non ; 1 : Oui)01
    15/0f1/011 (0 : Installé en usine ; 1 : Installé par l'utilisateur) 01

    Sommaire des valeurs des paramètres :

    • Mode FIPS = Activé

    • Serveur = http://10.79.57.91

    • Empreinte digitale de l'autorité de certification racine = 12040870625C5B755D73F5925285F8F5FF5D55AF

    • Mot de passe de vérification = D233CCF9B9952A15

    • Activer l'authentification 802.1X = Oui

    • Sélection du certificat = Personnalisé installé

    La syntaxe de la valeur hexadécimale finale est : {<suboption><length><value>}...

    Selon les valeurs des paramètres ci-dessus, la valeur hexadécimale finale est la suivante :

    0a01010b12687474703a2f2f31302e37392e35372e39310c1412040870625C5B755D73F5925285F8F5FF5D55AF0d10443233334343463942393935324131350e01010f0101

  3. Configurez l'option DHCP 43 sur un serveur DHCP.

    Cette étape fournit un exemple de configuration de l'option DHCP 43 sur Cisco Network Register.

    1. Ajoutez un jeu de définition d'option DHCP.

      La chaîne d'options du fournisseur est le nom du modèle des téléphones IP. La valeur valide est : DP-9841, DP-9851, DP-9861, DP-9871 ou CP-8875.

    2. Ajoutez l'option DHCP 43 et les sous-options à l'ensemble de définition des options DHCP.

      Par exemple :

      Capture d'écran de DHCP option 43 définitions sur Cisco Network Register

    3. Ajoutez l'option 43 à la stratégie DHCP et définissez la valeur comme suit :

      Par exemple :

      (10 1)(11 http://10.79.57.91)(12 12040870625C5B755D73F5925285F8F5FF5D55AF)(13 D233CCF9B9952A15)(14 1)(15 1)

    4. Vérifiez les paramètres. Vous pouvez utiliser Wireshark pour capturer une trace du trafic réseau entre le téléphone et le service.
  4. Réinitialisez le téléphone aux valeurs d'usine.

    Une fois le téléphone réinitialisé, les paramètres Serveur, Empreinte CA racine et Mot de passe de vérification seront renseignés automatiquement. Ces paramètres figurent dans la section Configuration 1 SCEP de Certificat > Personnalisé sur la page Web d'administration du téléphone.

    Pour vérifier les détails du certificat installé, cliquez sur Affichage dans la section Certificats existants.

    Pour vérifier l'état de l'installation du certificat, sélectionnez Certificat > État du certificat personnalisé. Le statut de téléchargement 1 indique le dernier résultat. Si un problème survient lors de l'enregistrement du certificat, l'état de téléchargement peut indiquer la raison du problème à des fins de dépannage.

    Si l'authentification par mot de passe échoue, les utilisateurs seront invités à saisir le mot de passe sur l'écran du téléphone.

  5. (Facultatif) : pour supprimer le certificat installé du téléphone, cliquez sur Supprimer dans la section Certificats existants.

    Une fois que vous avez cliqué sur le bouton, l'opération de suppression démarre immédiatement sans confirmation.

Mise à disposition du nom commun ou de l'ID utilisateur via l'option DHCP 15

Lors de l'inscription du certificat SCEP via l'option DHCP 43, le téléphone peut également obtenir le nom de domaine fourni dans l'option DHCP 15 (si configurée). Une fois que le téléphone a reçu le nom de domaine, il peut construire le nom utilisateur commun ou l'ID avec le nom de domaine, qui est représenté comme suit :

  • Nom commun = <Nom commun dans MIC/SUDI >.<Nom de domaine dans l'Option 15>

    Le nom commun sera utilisé pour CSR dans le processus SCEP, et plus tard ce sera le nom commun dans CDC.

  • ID utilisateur= <Nom commun dans MIC/SUDI >@<Nom de domaine dans l'Option 15>

    L'ID utilisateur servira d'identité pour l'authentification 802.1X filaire.

Par exemple, l'adresse MAC du téléphone est 00:1A :2B :3C :4D :5E, le modèle de téléphone est 9871 :

Nom de domaine dans l'option DHCP 15Nom communID Utilisateur
example.nlCP-9871-SEP001A2B3C4D5E.example.nlCP-9871-SEP001A2B3C4D5E@example.nl
VideCP-9871-SEP001A2B3C4D5E

CP-9871-SEP001A2B3C4D5E

Si le nom de domaine n'est pas configuré dans l'option 15, le nom commun et l'ID utilisateur seront les mêmes que le nom commun dans MIC/SUDI.