Dans cet article
Fonctionnalités de sécurité prises en charge
dropdown icon
Sécurité des appels téléphoniques
    Identification d'une conférence téléphonique sécurisée
    Identification d’un appel téléphonique sécurisé
    Fourniture de chiffrement pour l'insertion
dropdown icon
Sécurité LAN sans fil
    Configurer un profil Wi-Fi
    Installation d'un certificat utilisateur à partir de la page Web d'administration du téléphone
    Installer une autorité de certification du serveur d'authentification à partir de la page Web d'administration du téléphone
    Supprimer manuellement un certificat de sécurité de la page Web d'administration du téléphone
    Configuration de SCEP
Configuration d’un certificat localement important (LSC)
dropdown icon
Authentification 802.1x pour les réseaux câblés
    Activer l'authentification 802.1X pour les réseaux câblés sur votre téléphone
    Activer l'authentification 802.1X pour les réseaux câblés dans Cisco Unified Communications Manager Administration
    Menu des paramètres de sécurité du téléphone
Configurer les versions prises en charge de TLS
TURN désactivé le haut-parleur et le casque sur le téléphone sans fil Cisco 9821
Cisco Sécurité du téléphone sans fil 9821 (Unified CM)
list-menuDans cet article
list-menuUn commentaire ?

Cet article d'aide concerne le téléphone sans fil Cisco 9821 enregistré pour Cisco Unified Communications Manager (Unified CM).

Vous pouvez activer Cisco Unified Communications Manager (Unified CM) pour fonctionner dans un environnement de sécurité amélioré. Grâce à ces améliorations, votre réseau téléphonique fonctionne dans le cadre d'un ensemble de commandes de gestion des risques et de sécurité strictes, pour vous protéger, ainsi que vos utilisateurs.

L'environnement de sécurité renforcée inclut les fonctionnalités suivantes :

  • Authentification de la recherche de contact

  • TCP comme protocole par défaut pour la journalisation d'audit à distance

  • Une stratégie d'informations d'identification améliorée

  • Prise en charge de la famille de hachages SHA-2 pour les signatures numériques

  • Prise en charge d'une taille de clé RSA jusqu'à 4096 bits

Avec Cisco Unified CM version 14.0 ou ultérieure, les téléphones prennent en charge l'authentification OAuth SIP.

OAuth est pris en charge pour le protocole de transfert de fichiers trivial proxy (TFTP) avec Cisco Unified CM version 14.0 (1) SU1 ou ultérieure.

Pour plus d'informations sur la sécurité, consultez les guides suivants :

Le téléphone ne peut stocker qu'un nombre limité de fichiers de liste de confiance d'identité (ITL). Les fichiers ITL ne peuvent pas dépasser 64K sur le téléphone, alors limitez le nombre de fichiers que Cisco Unified CM envoie au téléphone.

Fonctionnalités de sécurité prises en charge

Les fonctionnalités de sécurité offrent une protection contre les menaces, notamment les menaces relatives à l’identité du téléphone et aux données. Ces fonctionnalités établissent et maintiennent des flux de communication authentifiés entre le téléphone et le serveur Cisco Unified Communications Manager. De plus, elles veillent à ce que le téléphone utilise uniquement des fichiers à signature numérique.

Les versions 8.5(1) et ultérieures de Cisco Unified Communications Manager incluent Security par défaut, qui permet aux fonctionnalités de sécurité pour les téléphones IP Cisco d'être utilisées sans le client CTL :

  • Signature des fichiers de configuration du téléphone

  • Chiffrement des fichiers de configuration du téléphone

  • HTTPS avec Tomcat et d'autres services Web

Il est toutefois nécessaire d'exécuter le client CTL et d'utiliser les eTokens matériels pour bénéficier du signalement sécurisé et des fonctionnalités multimédia.

Implémenter la sécurité dans le système Cisco Unified Communications Manager permet de prévenir les usurpations d'identité pour le téléphone et le serveur Cisco Unified Communications Manager, la falsification des données ainsi que la falsification du signalement des appels et des flux multimédia.

Pour se protéger contre ces menaces, le réseau de téléphonie IP Cisco Unified établit et maintient des flux de communication sécurisés (chiffrés) entre un téléphone et le serveur, signe numériquement les fichiers avant leur transfert vers un téléphone et crypte les flux multimédia ainsi que le signalement des appels entre les téléphones IP Cisco Unified.

Lorsque vous effectuez les tâches nécessaires associées au CAPF (fonction proxy de l'autorité de certification), un LSC (certificat valable localement) est installé sur les téléphones. Vous pouvez utiliser Cisco Unified Communications Manager Administration pour configurer un LSC, comme décrit dans le Guide de sécurité Cisco Unified Communications Manager. Vous pouvez également lancer l'installation d'un LSC à partir du menu Sécurité du téléphone. Vous pouvez aussi effectuer dans ce menu la mise à jour ou la suppression du certificat LSC.

Les téléphones utilisent le profil de sécurité du téléphone, qui détermine si le périphérique est sécurisé ou non. Pour plus d'informations sur l'application du profil de sécurité au téléphone, consultez la documentation relative à votre version particulière de Cisco Unified Communications Manager.

Si vous configurez des paramètres de sécurité dans Cisco Unified Communications Manager Administration, sachez que le fichier de configuration du téléphone contient des informations sensibles. Pour garantir la confidentialité d'un fichier de configuration, vous devez configurer son chiffrement. Pour plus d'informations, reportez-vous à la documentation relative à votre version particulière de Cisco Unified Communications Manager.

Le tableau suivant fournit une vue d'ensemble des fonctionnalités de sécurité prises en charge par le téléphone. Pour obtenir plus d’informations, reportez-vous à la documentation de votre version de Cisco Unified Communications Manager.

Tableau 1. Vue d’ensemble des fonctionnalités de sécurité

Fonctionnalité

Description

Authentification de l’image

Des fichiers binaires signés permettent de prévenir la falsification du fichier image du micrologiciel avant que celui-ci ne soit chargé sur un téléphone.

La modification de l’image entraînerait l’échec du processus d'authentification du téléphone et le rejet de la nouvelle image.

Installation d'un certificat sur site client

Un certificat unique doit être affecté à chaque téléphone IP Cisco pour l’authentification de périphérique. Les téléphones comportent un certificat installé par le fabricant (MIC), mais pour plus de sécurité, vous pouvez spécifier l'installation d'un certificat dans Cisco Unified Communications Manager Administration en utilisant la fonctionnalité proxy d'autorité de certificat (CAPF). Vous pouvez également installer un Locally Significant Certificate (LSC) à partir du menu Sécurité du téléphone.

Authentification du périphérique

A lieu entre le serveur Cisco Unified Communications Manager et le téléphone lorsque chaque entité accepte le certificat de l'autre entité. Détermine si une connexion sécurisée peut être établie entre le téléphone et un Cisco Unified Communications Manager. Si nécessaire, elle crée un chemin de signalement sécurisé entre ces entités grâce au protocole TLS. Cisco Unified Communications Manager n'enregistre que les téléphones qu'il peut authentifier.

Authentification des fichiers

Valide les fichiers signés numériquement qui ont été téléchargés sur le téléphone. Le téléphone valide la signature pour garantir qu'aucune falsification n'a eu lieu après la création du fichier. Les fichiers qui ne peuvent pas être authentifiés ne sont pas inscrits dans la mémoire flash du téléphone. Le téléphone rejette ces fichiers, sans traitement supplémentaire.

Chiffrement des fichiers

Le chiffrement garantit la confidentialité des informations sensibles lorsque le fichier est en transit vers le téléphone. De plus, le téléphone valide la signature pour confirmer qu'aucune falsification n'a eu lieu après la création du fichier. Les fichiers qui ne peuvent pas être authentifiés ne sont pas inscrits dans la mémoire flash du téléphone. Le téléphone rejette ces fichiers, sans traitement supplémentaire.

Authentification du signalement

Utilise le protocole TLS pour vérifier qu'aucune falsification des paquets de signalement n'a eu lieu pendant la transmission.

Certificat installé en usine

Chaque téléphone IP Cisco contient un certificat unique installé en usine (MIC), qui est utilisé pour l’authentification du périphérique. Le MIC agit comme une preuve unique et permanente d'identité pour le téléphone et permet à Cisco Unified Communications Manager d'authentifier le téléphone.

Chiffrement multimédia

Utilise SRTP pour garantir la sécurité des flux multimédia entre les périphériques pris en charge et pour garantir que seul l'appareil souhaité peut recevoir et lire les données. Implique la création d’une paire de clés multimédia principales pour les périphériques, la remise de ces clés sur les périphériques, et la sécurisation de la remise des clés pendant leur transport.

CAPF (fonction proxy de l'autorité de certification)

Met en œuvre des parties de la procédure de génération de certificat qui nécessitent un traitement trop intensif pour le téléphone, et interagit avec le téléphone pour générer des clés et pour installer des certificats. La fonctionnalité CAPF peut être configurée pour demander à la place du téléphone, des certificats provenant d'autorités de certification spécifiées par le client, ou pour générer des certificats localement.

Les types de touches EC (courbe elliptique) et RSA sont pris en charge. Pour utiliser la clé EC, assurez-vous que le paramètre "Endpoint Advanced Encryption Algorithms Support" (à partir du paramètre System >Enterprise) est activé.

Pour plus d'informations sur CAPF et les configurations associées, consultez les documents suivants :

Profil de sécurité

Détermine si un téléphone n'est pas sécurisé, s'il est authentifié, chiffré ou protégé. Les autres entrées de ce tableau décrivent des fonctionnalités de sécurité.

Fichiers de configuration chiffrés

Permettent d'assurer la confidentialité des fichiers de configuration du téléphone.

Désactivation optionnelle d'un serveur web pour un téléphone

Pour des raisons de sécurité, vous pouvez empêcher l'accès aux pages web pour un téléphone (qui révèlent plusieurs statistiques opérationnelles pour le téléphone) ainsi qu'au portail d'aide en libre-service.

Renforcement de la sécurité du téléphone

Options de sécurité supplémentaires, paramétrables depuis Cisco Unified Communications Manager Administration :

  • Désactivation des requêtes ARP gratuites (GARP)
  • Désactiver l'accès au menu Paramètres ou fournir un accès restreint
  • Désactivation de l'accès aux pages Web d'administration du téléphone
  • Désactivation du port d'accessoires Bluetooth
  • Restriction des codes de chiffrement TLS

Basculement SIP sécurisé pour SRST

Lorsque vous configurez une référence de sécurité Survivable Remote Site Telephony (SRST) et que vous réinitialisez les périphériques associés dans Cisco Unified Communications Manager Administration, le serveur TFTP ajoute le certificat SRST au fichier cnf.xml du téléphone et envoie ce fichier au téléphone. Un téléphone sécurisé utilise alors une connexion TLS pour interagir avec le routeur compatible SRST.

Chiffrement du signalement

Garantit le chiffrement de tous les messages de signalement SIP transmis entre l'appareil et le serveur Cisco Unified Communications Manager.

Alerte Liste de confiance mise à jour

Lorsque la liste de confiance est mise à jour sur le téléphone, Cisco Unified Communications Manager reçoit une alerte indiquant la réussite ou l'échec de la mise à jour. Pour plus d'informations, reportez-vous au tableau suivant.

Chiffrement AES 256

S'ils sont connectés à Cisco Unified Communications Manager version 10.5(2) ou ultérieure, les téléphones peuvent utiliser le chiffrement AES 256 pour TLS et SIP lors du chiffrement du signalement et des flux multimédia. Les téléphones peuvent ainsi établir et prendre en charge des connexions TLS 1.2 à l'aide de codes AES-256 conformes aux normes SHA-2 (algorithme de hachage sécurisé) et respectant les normes fédérales de traitement d’informations (FIPS). Les codes de chiffrement sont les suivants :

  • Pour les connexions TLS :
    • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
    • TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
  • Pour sRTP :
    • AEAD_AES_256_GCM
    • AEAD_AES_128_GCM

Pour plus d'informations, reportez-vous à la documentation de Cisco Unified Communications Manager.

Certificats ECDSA (Elliptic Curve Digital Signature Algorithm )

Dans le cadre de la certification de critères communs (CC), Cisco Unified Communications Manager a ajouté des certificats ECDSA dans la version 11.0. Cela affecte tous les produits de système d'exploitation vocal (VOS) fonctionnant avec les versions CUCM 11.5 et versions ultérieures.

Certificat Tomcat multiserveur (SAN) avec Cisco UCM

Le téléphone prend en charge Cisco UCM avec les certificats Tomcat multi-serveurs (SAN) configurés. L'adresse correcte du serveur TFTP se trouve dans le fichier ITL du téléphone pour l'enregistrement du téléphone.

Pour plus d'informations sur la fonctionnalité, consultez les rubriques suivantes :

Le tableau suivant contient les différents messages d'alerte de mise à jour de la liste de confiance ainsi que leur signification. Pour plus d'informations, reportez-vous à la documentation de Cisco Unified Communications Manager.

Tableau 2. Messages d'alerte Liste de confiance mise à jour
Code et message Description

1 - TL_SUCCESS

Nouveau CTL et/ou ITL reçu

2 - CTL_INITIAL_SUCCESS

Nouveau CTL reçu, pas de TL existant

3 - ITL_INITIAL_SUCCESS

Nouveau ITL reçu, pas de TL existant

4 - TL_INITIAL_SUCCESS

Nouveaux CTL et ITL reçus, pas de TL existant

5 - TL_FAILED_OLD_CTL

Échec de la MàJ du nouveau CTL, mais TL précédent présent

6 - TL_FAILED_NO_TL

Échec de la MàJ du nouveau TL, pas de TL précédent présent

7 - TL_FAILED

Échec générique

8 - TL_FAILED_OLD_ITL

Échec de la MàJ du nouveau ITL, mais TL précédent présent

9 - TL_FAILED_OLD_TL

Échec de la MàJ de la nouveau TL, mais TL précédent présent

Sécurité des appels téléphoniques

Lorsque la sécurité est appliquée à un téléphone, une icône s'affiche à l’écran du téléphone. Une tonalité de sécurité est également émise au début des appels lorsque le téléphone connecté est sécurisé et protégé.

Lors d’un appel sécurisé, tous les flux de signalisation d’appel et multimédia sont chiffrés. Les appels sécurisé offrent un niveau élevé de sécurité, ce qui assure leur intégrité et leur confidentialité. Lorsqu'un appel en cours est chiffré, l'icône de sécurité apparaît Icône d'appel sécurisé 9821 Sur la ligne.

  • Si l’appel est acheminé au moyen de tronçons autres que des tronçons IP, par exemple, par PSTN, l'appel risque de ne pas être sécurisé même s’il est chiffré sur le réseau IP et que l’icône représentant un verrou y est associée.

  • Les appels sécurisés ne sont pris en charge que pour les connexions entre deux téléphones. Certaines fonctionnalités, comme la conférence téléphonique et la ligne partagée, ne sont pas disponibles lorsque l'appel sécurisé est configuré.

Dans Cisco Unified Communications Manager, les téléphones configurés comme sécurisés (chiffrés et approuvés) peuvent se voir attribuer un état protégé. Une fois protégés, ces appareils peuvent être configurés pour émettre une tonalité de sécurité au début de chaque appel.

  • Dispositif protégé :

    Pour remplacer l'état d'un téléphone sécurisé par protégé :

    1. Dans Cisco Unified Communications Manager Administration, sélectionnez Périphérique > Téléphone.
    2. Localisez le téléphone à configurer.
    3. Dans la fenêtre Configuration du téléphone, activez la case à cocher Périphérique protégé.
    4. Cliquez sur Enregistrer.
  • Play Secure Indication Tone (Émettre la tonalité de sécurisation) :

    Pour que le téléphone protégé émette une tonalité indiquant que le téléphone protégé émet une tonalité de sécurisation ou de non-sécurisation :

    1. Dans Cisco Unified Communications Manager Administration, sélectionnez Paramètres système >Service.
    2. Sélectionnez le serveur, puis le service Cisco CallManager .
    3. Dans la zone Paramètres pour tout le cluster (fonctionnalité - tonalité de sécurité), définissez le paramètre Tonalité de lecture pour indiquer l'état de l'appel sécurisé/non sécurisé sur Vrai.
    4. Cliquez sur Enregistrer.

Identification d'une conférence téléphonique sécurisée

Vous pouvez lancer une conférence téléphonique sécurisée et surveiller le niveau de sécurité des participants. Le processus d’établissement d’une conférence téléphonique sécurisée est le suivant :

  1. Un utilisateur lance la conférence sur un téléphone sécurisé.

  2. Cisco Unified Communications Manager attribue un pont de conférence sécurisé à l'appel.

  3. À mesure que les participants sont ajoutés à la conférence, Cisco Unified Communications Manager vérifie le mode de sécurité de chaque téléphone et maintient le niveau de sécurité de la conférence.

  4. Le téléphone affiche le niveau de sécurité de la conférence téléphonique. Lors d'une conférence sécurisée, l'icône de sécurité s'affiche Icône d'appel sécurisé 9821.

Les appels sécurisés sont pris en charge entre deux téléphones. Pour les téléphones sécurisés, certaines fonctionnalités, comme la conférence téléphonique, la ligne partagée et Extension Mobility (Mobilité de poste), ne sont pas disponibles lorsque l'appel sécurisé est configuré.

Le tableau suivant présente des informations sur les modifications du niveau de sécurité en fonction du niveau de sécurité du téléphone de l’initiateur, le niveau de sécurité des participants, et la disponibilité des ponts de conférence sécurisés.

Tableau 3. Restrictions relatives à la sécurisation des conférences téléphoniques

Niveau de sécurité du téléphone de l’initiateur

Fonctionnalité utilisée

Niveau de sécurité des participants

Résultat de l'action

Non sécurisé

Conférence

Sécurisé

Pont de conférence non sécurisé

Conférence non sécurisée

Sécurisé

Conférence

Au moins un membre n’est pas sécurisé.

Pont de conférence sécurisé

Conférence non sécurisée

Sécurisé

Conférence

Sécurisé

Pont de conférence sécurisé

Conférence de niveau sécurisé chiffré

Non sécurisé

MultConf

Le niveau de sécurité minimum est chiffré.

L'initiateur reçoit une tonalité de réorganisation.

Sécurisé

MultConf

Le niveau de sécurité minimum est non sécurisé.

Pont de conférence sécurisé

La conférence accepte tous les appels.

Identification d’un appel téléphonique sécurisé

Un appel sécurisé est établi lorsque votre téléphone et le téléphone distant sont configurés avec la sécurisation des appels. L'autre téléphone peut résider sur le même réseau IP Cisco, ou sur un autre réseau hors du réseau IP. Il n’est possible de passer des appels sécurisés qu’entre deux téléphones. Il est nécessaire de configurer un pont de conférence sécurisé pour que les conférences téléphoniques prennent en charge les appels sécurisés.

Le processus d’établissement d’un appel sécurisé est le suivant :

  1. Un utilisateur passe l’appel sur un téléphone sécurisé (mode de sécurité sécurisé).

  2. Le téléphone affiche l'icône de sécurisation Icône d'appel sécurisé 9821 Sur l'écran du téléphone. Cette icône indique que le téléphone est configuré pour les appels sécurisés, mais cela ne signifie pas que l’autre téléphone connecté est sécurisé.

  3. L’utilisateur entend une tonalité de sécurité si l’appel est connecté à un autre téléphone sécurisé, indiquant que les deux extrémités de la conversation sont chiffrées et sécurisées. Si l’appel est connecté à un téléphone non sécurisé, l'utilisateur n’entend pas la tonalité de sécurité.

Les appels sécurisés sont pris en charge entre deux téléphones. Pour les téléphones sécurisés, certaines fonctionnalités, comme la conférence téléphonique, la ligne partagée et Extension Mobility (Mobilité de poste), ne sont pas disponibles lorsque l'appel sécurisé est configuré.

Seuls les téléphones protégés émettent ces tonalités de sécurisation ou de non-sécurisation. Les téléphones non protégés n'émettent jamais les tonalités. Si l'état global de l'appel change au cours d'un appel, la tonalité indicative change et le téléphone protégé émet la tonalité adéquate.

Lorsque l'option Tonalité de lecture indiquant l'état de l'appel sécurisé/non sécurisé est définie sur Vrai :

  • Lorsqu'une connexion sécurisée de bout en bout est établie et que l'état de l'appel est sécurisé, le téléphone émet la tonalité de sécurisation (trois bips longs avec des pauses).

  • Lorsqu'une connexion n’est pas sécurisée de bout en bout et que l'appel n’est pas sécurisé, le téléphone émet la tonalité de non-sécurisation (six bips courts avec de brèves pauses).

Si l'option Jouer la tonalité pour indiquer l'état de l'appel sécurisé/non sécurisé est définie sur Faux, vous n'entendez aucune tonalité.

Fourniture de chiffrement pour l'insertion

Cisco Unified Communications Manager vérifie le statut de sécurité du téléphone lorsque des conférences sont établies et modifie les indications de sécurité pour la conférence ou bloque la réalisation de l'appel pour maintenir l'intégrité et la sécurité du système.

Un utilisateur ne peut pas s'insérer dans un appel chiffré si le téléphone utilisé pour l'insertion n'est pas configuré pour le chiffrement. Lorsque l'insertion échoue dans ce cas, une tonalité de réorganisation (Tonalité occupé rapide) sort du téléphone sur lequel a été lancée l'insertion.

Si le téléphone de l'initiateur est configuré pour le chiffrement, l'initiateur de l'insertion peut s'insérer dans un appel non sécurisé à partir du téléphone chiffré. Après l'insertion, Cisco Unified Communications Manager classe l'appel comme étant non sécurisé.

Si le téléphone de l'initiateur est configuré pour le chiffrement, l'initiateur de l'insertion peut s'insérer dans un appel chiffré et le téléphone indique que l'appel est chiffré.

Sécurité LAN sans fil

Tout périphérique WLAN étant à portée peut recevoir n'importe quel trafic WLAN : en conséquence, la sécurisation des communications voix est un élément essentiel des réseaux WLAN. Pour s'assurer que les intrus ne manipulent ni n'interceptent le trafic vocal, l'architecture Cisco SAFE Security prend en charge le téléphone. Pour plus d'informations sur la sécurité dans les réseaux, reportez-vous à http://www.cisco.com/en/US/netsol/ns744/networking_solutions_program_home.html.

La solution de téléphonie Cisco Wireless IP assure la sécurité des réseaux sans fil, empêchant les connexions non autorisées et les communications dangereuses à l'aide des méthodes d'authentification suivantes prises en charge par le téléphone.

  • Authentification ouverte : tout périphérique sans fil peut demander une authentification dans un système ouvert. Le point d'accès qui reçoit la requête peut accorder l'authentification à n'importe quel demandeur ou seulement aux demandeurs présents sur une liste d'utilisateurs. Les communications entre le périphérique sans fil et le point d'accès (AP) peuvent être non chiffrées.

  • Authentification EAP-FAST (Extensible Authentication Protocol-Flexible Authentication via Secure Tunneling) : cette architecture de sécurité client-serveur chiffre les transactions EAP dans un tunnel de sécurité de niveau de transport (TLS) entre le point d'accès et le serveur RADIUS, tel que Identity Services Engine (ISE).

    Le tunnel TLS utilise des identifiants PAC (Protected Access Credentials) lors de l'authentification du client (téléphone) avec le serveur RADIUS. Le serveur envoie un identifiant AID (Authority ID) au client (téléphone), qui sélectionne ensuite le PAC approprié. Le client (téléphone) renvoie un champ PAC-Opaque au serveur RADIUS. Le serveur déchiffre le PAC grâce à la clé principale. Les deux terminaux détiennent alors la clé PAC et un tunnel TLS est créé. EAP-FAST prend en charge le provisionnement automatique de PAC, mais vous devez activer cette option sur le serveur RADIUS.

    Dans ISE, par défaut, le PAC expire au bout d'une semaine. Si le téléphone détient un PAC qui a expiré, l'authentification avec le serveur RADIUS prend plus de temps, car le téléphone doit obtenir un nouveau PAC. Pour éviter les délais de provisionnement de PAC, configurez la durée de vie du PAC à 90 jours ou plus sur le serveur ISE ou RADIUS.

  • L'authentification Extensible Authentication Protocol-Transport Layer Security (EAP-TLS)  : EAP-TLS requiert un certificat client pour l'authentification et l'accès au réseau. Pour le sans fil EAP-TLS, le certificat client peut être un certificat MIC, LSC, ou installé par l'utilisateur.

  • Protocole PEAP (Protected Extensible Authentication Protocol) : modèle propriétaire Cisco d'authentification mutuelle via mot de passe entre le client (téléphone) et un serveur RADIUS. Le téléphone peut utiliser PEAP pour s'authentifier auprès du réseau sans fil. Les méthodes d'authentification PEAP-MSCHAPv2 et PEAP-GTC sont prises en charge.

  • Pre-Shared Key (PSK) : le téléphone prend en charge les formats ASCII et hexadécimal (HEX). Vous devez utiliser ces formats lorsque vous configurez une clé pré-partagée WPA2/SAE.

    ASCII : chaîne de caractères ASCII de 8 à 63 caractères (0 à 9, lettres a-z minuscules, lettres A-Z majuscules et caractères spéciaux). Par exemple, GREG123567@9ZX&W.

    HEX : chaîne de caractères hexadécimaux comportant 64 chiffres hexadécimaux (0 à 9, a-f ou A à F).

Les modèles d'authentification suivants utilisent le serveur RADIUS pour gérer les clés d'authentification :

  • WPA2/WPA3 : utilise les informations du serveur RADIUS pour générer des clés d'authentification uniques. Ces clés étant générées par le serveur RADIUS centralisé, WPA2/WPA3 assure une sécurité renforcée par rapport aux clés WPA pré-partagées stockées par le point d'accès et le téléphone.

  • Itinérance sécurisée rapide : utilise le serveur RADIUS et les informations d'un serveur de domaine sans fil (WDS) pour gérer et authentifier les clés. Le serveur WDS crée un cache d'informations d'identification pour les périphériques clients compatibles FT, permettant ainsi une ré-authentification rapide et sécurisée.

Avec WPA2/WPA3, les clés de chiffrement ne sont pas saisies sur le téléphone, mais sont automatiquement dérivées entre le point d'accès et le téléphone. Toutefois, les nom d'utilisateur et mot de passe EAP utilisés pour l'authentification doivent être saisis sur chaque téléphone.

Pour protéger le trafic vocal sur la liaison sans fil, le téléphone prend en charge le chiffrement AES pour l'authentification WPA2/WPA3. AES est un chiffrement par bloc symétrique standardisé par le NIST. AES utilise une taille de bloc fixe de 128 bits et prend en charge les tailles de clé de 128 bits, 192 bits et 256 bits. Dans les réseaux Wi-Fi, AES est utilisé par des suites de chiffrement telles que CCMP ou GCMP, tandis que l'authentification est fournie séparément par PSK, SAE ou 802.1X/EAP, selon le mode de sécurité WLAN configuré. La suite de chiffrement prise en charge et la taille de la clé dépendent du modèle du téléphone et de la configuration WLAN.

Lorsque le téléphone utilise le chiffrement AES, les paquets de signalisation SIP et les paquets vocaux du protocole de transport en temps réel (RTP) sont chiffrés entre le point d'accès et le téléphone.

Les modèles d'authentification et de chiffrement sont configurés dans le LAN sans fil. Les VLAN sont configurés dans le réseau et sur les points d'accès. Ils spécifient différentes combinaisons d'authentification et de chiffrement. Un SSID s'associe avec un VLAN et avec un modèle spécifique d'authentification et de chiffrement. Pour que les périphériques clients sans fil réussissent à s'authentifier, vous devez configurer les mêmes SSID avec leurs modèles d'authentification et de chiffrement sur les points d'accès et le téléphone.

Certains modèles d'authentification nécessitent des types de chiffrement spécifiques.

Lorsque vous utilisez une clé pré-partagée WPA2 ou SAE, cette clé doit être configurée de manière statique sur le téléphone. Ces clés doivent correspondre à celles présentes sur le point d'accès.

Les modèles d'authentification et de chiffrement dans le tableau suivant montrent les options de configuration réseau pour le téléphone sans fil Cisco 9821 qui correspond à la configuration du point d'accès.

Tableau 4. Modèles d'authentification et de chiffrement
FSR TypeAuthentificationGestion des clésCryptageCadre de gestion protégé (CMR)
802.11r (FT)Clé pré-partagée

WPA-PSK

WPA-PSK-SHA256

FT-PSK

AESNon
802.11r (FT)WPA3

SAE

FT-SAE

AESOui
802.11r (FT)EAP-TLS

WPA-EAP

FT-EAP

AESNon
802.11r (FT)EAP-TLS (WPA3)

WPA-EAP-SHA256

FT-EAP

AESOui
802.11r (FT)EAP-FAST

WPA-EAP

FT-EAP

AESNon
802.11r (FT)EAP-FAST (WPA3)

WPA-EAP-SHA256

FT-EAP

AESOui
802.11r (FT)EAP-PEAP

WPA-EAP

FT-EAP

AESNon
802.11r (FT)PAE-PEAP (WPA3)

WPA-EAP-SHA256

FT-EAP

AESOui
non-FTSuite-BWPA-EAP-SUITE-BLeOui
non-FTSuite B-192WPA-EAP-SUITE-B-192LeOui

Configurer un profil Wi-Fi

Vous pouvez configurer un profil Wi-Fi et l'affecter au téléphone sans fil Cisco 9821. Ce profil contient les paramètres nécessaires pour que le téléphone établisse une connexion Wi-Fi et s'enregistre ensuite avec Cisco Unified CM. Lorsque vous créez et utilisez un profil Wi-Fi, vous ou vos utilisateurs n'avez pas besoin de configurer le réseau sans fil pour des téléphones individuels.

Nous vous recommandons d'utiliser un profil de sécurité avec le cryptage TFTP activé pour protéger les clés et les mots de passe lorsque vous utilisez un profil de réseau Wifi.

Les téléphones prennent en charge un certificat de serveur par méthode d'installation (manuelle, SCEP ou TFTP).

Gardez à l'esprit les remarques suivantes avant de configurer le profil WLAN :

  • Nom d'utilisateur et mot de passe

    • Lorsque votre réseau utilise EAP-FAST et PEAP pour l'authentification de l'utilisateur, vous devez configurer le nom d'utilisateur et le mot de passe si nécessaire sur le service d'authentification de l'utilisateur à distance (RADIUS) et le téléphone.

    • Les informations d'authentification que vous entrez dans le profil de réseau local sans fil doivent être les mêmes que celles que vous avez configurées sur le serveur RADIUS.
    • Si vous utilisez des domaines à l'intérieur du réseau, vous devez saisir le nom d'utilisateur avec le nom de domaine au format : domaine\nomutilisateur.

  • Les actions suivantes pourraient entraîner la suppression du mot de passe Wifi existant :

    • Entrez un id utilisateur ou un mot de passe non valide
    • L'installation d'une autorité de certification racine expirée ou non valide lorsque le type EAP est défini sur PEAP-MSCHAPV2 ou PEAP-GTC
    • Désactiver le type EAP en cours d'utilisation sur le serveur RADIUS avant de basculer le téléphone vers le nouveau type EAP
  • Pour modifier le type de EAP, assurez-vous d'activer d'abord le nouveau type de EAP sur le serveur RADIUS, puis basculez le téléphone vers le type de EAP. Lorsque tous les téléphones sont passés au nouveau type EAP, vous pouvez désactiver le type EAP précédent si vous le souhaitez.
1

Dans Cisco Unified Communications Manager Administration, sélectionnez Périphérique > Paramètres du périphérique > Profil du réseau local sans fil.

2

Cliquez sur Ajouter nouveau.

3

Dans la section informations de profil de réseau local sans fil, définissez les paramètres :

  • Nom : entrez un nom unique pour le profil réseau Wifi. Ce nom s'affiche sur le téléphone.

  • Description : entrez une description pour le profil réseau Wifi pour vous aider à différencier ce profil d'autres profils Wifi.

  • Modifiable par l'utilisateur : sélectionnez une option :

    • Autorisé : indique que l'utilisateur peut modifier les paramètres Wifi à partir de son téléphone. Cette option n'est pas sélectionnée par défaut.

    • Non autorisé : indique que l'utilisateur ne peut pas modifier les paramètres Wifi à partir de son téléphone.

    • Restreint : indique que l'utilisateur peut modifier le nom d'utilisateur Wifi et le mot de passe sur son téléphone. Mais les utilisateurs ne sont pas autorisés à modifier les autres paramètres Wifi sur le téléphone. Lorsque votre réseau utilise EAP-TLS pour l'authentification de l'utilisateur, l'utilisateur peut choisir le type de certificat (MIC, LSC ou installé par l'utilisateur).

4

Dans la section Paramètres sans fil, définissez les paramètres :

  • Identifiant SSID (nom de réseau) : saisissez le nom de réseau disponible dans l'environnement de l'utilisateur auquel le téléphone peut être connecté. Ce nom s'affiche sous la liste des réseaux disponibles sur le téléphone et le téléphone peut se connecter à ce réseau sans fil.

  • Bande de fréquences : les options disponibles sont Auto, 2,4 GHz et 5 GHz. Ce champ détermine la bande de fréquence qu'utilise la connexion sans fil. Si vous sélectionnez Auto, le téléphone tente d'utiliser d'abord la bande 5 GHz ou 6 GHz et n'utilise la bande 2,4 GHz que lorsque 5 GHz ou 6 GHz n'est pas disponible.

5

Dans la section Paramètres d'authentification , définissez la méthode d'authentification sur l'une de ces méthodes d'authentification : EAP-FAST, EAP-TLS, PEAP-MSCHAPv2, PEAP-GTC, PSK et Aucune.

Cisco Le téléphone sans fil 9821 ne prend pas en charge WEP.

Après avoir défini ce champ, vous pouvez voir affichés de nouveaux champs que vous devez configurer.

  • Certificat utilisateur : requis pour l'authentification EAP-TLS. Sélectionnez MIC, LSC ou Installé par l'utilisateur. Le téléphone a besoin qu'un certificat soit installé, automatiquement à partir du SCEP ou manuellement à partir de la page d'administration du téléphone.

  • Phrase secrète PSK : nécessaire pour l'authentification PSK. Saisissez 8 à 63 caractères ASCII ou une phrase secrète de 64 caractères hexadécimaux.

  • Fournir des informations de connexion partagée : nécessaire pour l'authentification EAP-FAST, PEAP-MSCHAPv2 et PEAP-GTC.

    • Si l'utilisateur gère le nom d'utilisateur et le mot de passe, laissez les champs nom d'utilisateur et mot de passe vides.

    • Si tous les utilisateurs partagent le même nom d'utilisateur et même mot de passe, vous pouvez saisir ces informations dans les champs nom d'utilisateur et mot de passe.

    • Entrez une description dans le champ Description du mot de passe.

    Si vous devez attribuer un nom d'utilisateur et un mot de passe uniques à chaque utilisateur, vous devez créer un profil pour chaque utilisateur.

Cisco Le téléphone sans fil 9821 ne prend pas en charge le champ Profil d'accès réseau.

6

Cliquez sur Enregistrer.

Les étapes suivantes

Liez le profil LAN sans fil à un groupe de profils WLAN, puis appliquez le groupe de profils WLAN à un pool de périphériques (Pool de périphériques système> ) ou directement au téléphone ( périphérique> téléphone).

Installation d'un certificat utilisateur à partir de la page Web d'administration du téléphone

Vous pouvez installer manuellement un certificat utilisateur sur le téléphone si le protocole d'enregistrement simple des certificats (SCEP) n'est pas disponible.

Le certificat installé en usine préinstallé (MIC, Manufacturing Installed Certificate) est utilisable en tant que certificat utilisateur pour EAP-TLS.

Une fois le certificat utilisateur installé, vous devez ajouter la chaîne d'autorité de certification qui a émis le certificat utilisateur à la liste de confiance du serveur RADIUS.

Avant de commencer

Avant d'installer un certificat utilisateur pour un téléphone, vous devez avoir :

  • Un certificat utilisateur enregistré sur votre PC. Le certificat doit être au format PKCS #12.

  • Le mot de passe extrait du certificat. La longueur du mot de passe ne doit pas dépasser 32 caractères.

1

À partir de la page web d'administration du téléphone, choisissez Certificats.

2

Localisez le champ Installation par l'utilisateur et cliquez sur Installer.

3

Trouvez le certificat sur votre PC.

4

Dans le champ Extraire le mot de passe, saisissez le mot de passe extrait du certificat.

5

Cliquez sur Télécharger.

6

Redémarrez le téléphone une fois que le téléchargement est terminé.

Installer une autorité de certification du serveur d'authentification à partir de la page Web d'administration du téléphone

Vous pouvez installer manuellement une autorité de certification du serveur d'authentification sur le téléphone si le protocole d'enregistrement simple des certificats (SCEP) n'est pas disponible.

Le certificat d'autorité de certification racine qui a émis le certificat de serveur RADIUS doit être installé.

Avant de commencer

Avant de pouvoir installer un certificat sur un téléphone, vous devez disposer d'une autorité de certification du serveur d'authentification enregistrée sur votre PC. Le certificat doit être codé en PEM (Base-64) ou DER.

1

À partir de la page web d'administration du téléphone, choisissez Certificats.

2

Localisez le champ serveur d'authentification de l'autorité de certification et cliquez sur Installer.

3

Trouvez le certificat sur votre PC.

4

Cliquez sur Télécharger.

5

Redémarrez le téléphone une fois que le téléchargement est terminé.

Supprimer manuellement un certificat de sécurité de la page Web d'administration du téléphone

Vous pouvez supprimer manuellement un certificat de sécurité à partir d'un téléphone si le Protocole d'inscription des certificats simples (SCEP) n'est pas disponible.

1

À partir de la page web d'administration du téléphone, choisissez Certificats.

2

Localisez le certificat sur la page Certificats.

3

Cliquez sur Supprimer.

4

Redémarrez le téléphone une fois terminé le processus de suppression.

Configuration de SCEP

Le protocole simple d'enregistrement de certificats (SCEP) représente la norme pour la mise à disposition et le renouvellement automatiques de certificats. Il permet d’éviter l’installation manuelle des certificats sur vos téléphones.

Activer les paramètres de configuration spécifiques au produit SCEP

Vous devez configurer les paramètres SCEP suivants sur Cisco Unified Communications Manager (Unified CM).

  • Adresse ou nom d'hôte RAIP

  • Empreinte SHA-1 ou SHA-256 du certificat CA de certification racine du serveur SCEP

L'autorité d'inscription (Registration Authority, RA) Cisco IOS fait office de proxy pour le serveur SCEP. Le client SCEP du téléphone utilise les paramètres téléchargés depuis Cisco Unified CM. Une fois les paramètres configurés, le téléphone envoie une requête SCEP getcs à la RA et le certificat d'autorité de certification racine est validé à l'aide de l'empreinte digitale définie.

1

Dans Cisco Unified Communications Manager Administration, sélectionnez Périphérique > Téléphone.

2

Localisez le téléphone.

3

Faites défiler la page jusqu'à la zone Configuration spécifique au produit.

4

Cochez la case WLAN Serveur SCEP pour activer le paramètre SCEP.

5

Cochez la case WLAN Root CA Fingerprint (SHA256 ou SHA1) pour activer le paramètre SCEP QED.

Prise en charge du serveur SCEP

Si vous utilisez un serveur de protocole d'inscription du certificat simple (SCEP), le serveur peut gérer automatiquement vos certificats d'utilisateur et le serveur. Sur le serveur SCEP, configurez le SCEP Agent d'inscription à :

  • Se comporter comme un point de confiance d'infrastructure de clé publique

  • Agir en tant qu'infrastructure de clé publique RA

  • Réaliser l'authentification du périphérique à l'aide d'un serveur RADIUS

Pour plus d'informations, consultez votre documentation de serveur SCEP.

Configuration d’un certificat localement important (LSC)

Il existe plusieurs méthodes pour installer un LSC. Cet exemple de tâche s'applique à la configuration d'un LSC avec la méthode de chaîne d'authentification sur le téléphone sans fil Cisco 9821.

Avant de commencer

Assurez-vous que les configurations de sécurité Cisco Unified CM et certificate authority proxy function (CAPF) appropriées sont terminées.

  • Le fichier CTL ou ITL doit être doté d'un certificat CAPF.

  • Les certificats CAPF doivent être installés dans Cisco Unified Communications Operating System Administration.

  • CAPF doit être configuré et en cours d’exécution.

Pour plus d'informations sur ces paramètres, consultez la documentation de votre version Cisco Unified CM particulière.

1

Obtenez la chaîne d'authentification CAPF qui a été définie lors de la configuration du CAPF.

2

Sur le téléphone, accédez à la page Paramètres 9821 Settings app icon Application.

3

Sélectionnez Paramètres admin > Configuration du système > Sécurité > LSC.

4

Saisissez la chaîne d'authentification.

5

Appuyez sur d'autres 9821 More button et sélectionnez Soumettre .

Le téléphone commence à installer, mettre à jour ou supprimer le certificat valable localement, selon le mode de configuration du CAPF. Lorsque la procédure est terminée, le texte Installé ou Non installé s'affiche à l’écran du téléphone.

Le processus d’installation, de mise à jour ou de suppression du certificat valable localement peut prendre un certain temps.

Lorsque l’installation sur le téléphone réussit, le message Installé s’affiche. Si le téléphone affiche Non installé, la chaîne d’autorisation est peut-être incorrecte, ou il est peut-être impossible d’effectuer une mise à niveau sur le téléphone. Si l’opération de CAPF supprime le certificat valable localement, le téléphone affiche Non installé pour indiquer la réussite de l’opération. Le serveur CAPF enregistre les messages d’erreur. Reportez-vous à la documentation relative au serveur CAPF pour savoir où trouver les journaux et pour connaître la signification des messages d’erreur.

Authentification 802.1x pour les réseaux câblés

Cisco Le téléphone sans fil 9821 prend en charge l'authentification 802.1X pour les réseaux filaires. Ce paramètre est généralement utilisé lors de la mise à disposition automatique lorsque le téléphone est connecté au chargeur de bureau via un adaptateur USB-Ethernet pris en charge.

La prise en charge de l'authentification 802.1X sur les réseaux câblés requiert plusieurs composants :

  • Téléphone IP Cisco : le téléphone envoie la requête d'accès au réseau. Les téléphones IP Cisco contiennent un demandeur 802.1X. Ce demandeur permet aux autoriser de contrôler la connectivité des téléphones IP aux ports de commutation LAN. La version actuelle du demandeur 802.1X du téléphone utilise les options EAP-FAST et EAP-TLS pour l’authentification réseau.

  • Serveur d'authentification : le serveur d'authentification et le commutateur doivent tous deux être configurés avec un secret partagé RADIUS.

  • Commutateur : le commutateur doit prendre en charge 802.1X, de sorte qu'il peut agir en tant qu'authentifiant et relayer les messages EAP entre le téléphone et le serveur d'authentification. Une fois l’échange terminé, le commutateur accorde ou refuse au téléphone l’autorisation d’accéder au réseau.

Les téléphones IP Cisco et les commutateurs Catalyst Cisco utilisent généralement le protocole de découverte Cisco (CDP) pour s’identifier entre eux et pour déterminer des paramètres tels que l’allocation d’un réseau VLAN et les exigences relatives à l'alimentation en ligne.

Vous devez effectuer les actions suivantes pour configurer 802.1X.

  • Configurez le contournement CDP/LLDP voice VLAN.

  • Configurez le serveur d'authentification et le commutateur avant d'activer l'authentification 802.1X pour les réseaux câblés sur le téléphone.

  • Configure Voice VLAN (Configurer le VLAN voix) : la norme 802.1X ne tenant pas compte des VLAN, vous devez configurer ce paramètre en fonction de la prise en charge du commutateur.

    • Activé : Si vous utilisez un commutateur qui prend en charge l'authentification sur plusieurs domaines, vous pouvez le configurer pour utiliser la voix VLAN.
    • Désactivé : si le commutateur ne prend pas en charge l’authentification sur plusieurs domaines, désactivez le VLAN voix et envisagez d’affecter le port à un VLAN natif.
  • Cisco Le téléphone sans fil 9821 a un préfixe différent dans le PID de celui des autres téléphones Cisco. Pour activer votre téléphone avec succès l'authentification 802.1x, définissez le Rayon· Paramètre Nom d'utilisateur pour inclure votre téléphone sans fil Cisco 9821.

    Par exemple, le PID du téléphone sans fil Cisco 9821 est WP-9821. Vous pouvez définir Radius· Nom d'utilisateur pour commencer par WP ou contient WP dans les deux sections suivantes :

    • Stratégie > Conditions > Conditions de la bibliothèque

    • Stratégie > Ensembles de stratégies > Autorisation Stratégie > Règle d'autorisation 1

Activer l'authentification 802.1X pour les réseaux câblés sur votre téléphone

Procédez comme suit pour activer l'authentification 802.1X pour les réseaux câblés sur votre téléphone. Notez que l'authentification 802.1X pour Wi-Fi est activée par défaut et ne nécessite aucune configuration manuelle.

1

Accès aux paramètres 9821 Settings app icon Application.

2

Si vous y êtes invité, entrez le mot de passe pour accéder au menu Paramètres . Vous pouvez obtenir le mot de passe auprès de votre administrateur.

3

Sélectionnez Paramètres admin> Paramétrage de sécurité> Authentification 802.1X.

4

Mettez en surbrillance Device authentication (Authentification du périphérique) et appuyez sur Activé.

Activer l'authentification 802.1X pour les réseaux câblés dans Cisco Unified Communications Manager Administration

Suivez ces étapes pour activer l'authentification 802.1X pour les réseaux câblés sur Cisco Unified CM. Notez que l'authentification 802.1X pour Wi-Fi est activée par défaut et ne nécessite aucune configuration manuelle.

Vous pouvez afficher l'état de la transaction et les paramètres de sécurité dans le menu de l'écran du téléphone. Pour plus d'informations, voir Menu Paramètres de sécurité sur le téléphone.

1

Dans Cisco Unified Communications Manager Administration, sélectionnez Périphérique > Téléphone.

2

Localisez le téléphone à configurer.

3

Accédez à la zone Présentation de la configuration spécifique au produit.

4

Sélectionnez Activé dans le menu déroulant Authentification 802.1x.

Lorsqu'elle est configurée sur Activé ou Désactivé, l'option d'authentification du périphérique sur le téléphone sans fil Cisco 9821 devient en lecture seule, empêchant les utilisateurs de modifier les paramètres d'authentification 802.1X.

5

Sélectionnez Enregistrer.

6

Sélectionnez Appliquer la configuration.

Menu des paramètres de sécurité du téléphone

Pour afficher les informations sur les paramètres de sécurité dans le menu du téléphone, accédez à la page Paramètres 9821 Settings app icon et sélectionnez Paramètres admin > Paramétrage de sécurité> Authentification 802.1X. La disponibilité des informations dépend des paramètres réseau de votre organisation.

Paramètres

Options

Par défaut

Description

Authentification du périphérique

Activé

Désactivé

Désactivé

Active ou désactive l'authentification 802.1X sur le téléphone.

Le paramètre peut être conservé après l'enregistrement OOB (Out-Of-Box) du téléphone.

État de la transaction

Désactivé

Affiche l'état de l'Authentification 802.1x. L'état peut être (sans s'y limiter) :

  • Authentification : indique que le processus d'authentification est en cours.
  • Authentifié : indique que le téléphone est authentifié.
  • Désactivé : indique que l'authentification 802.1x est désactivée sur le téléphone.
  • Connexion : indique que le téléphone envoie des messages de début EAP au commutateur toutes les 30 secondes.
  • Acquis : indique que le commutateur a rejeté la requête EAP du téléphone et qu'il ne reçoit aucune provocation EAP-TLS ou EAP-FAST de sa part. Le téléphone tente de nouveau d'envoyer des requêtes EAP.
  • Déconnecté : indique que le câble Ethernet est déconnecté.
  • En attente : indique que le commutateur a traité la requête EAP du téléphone mais a rejeté l'authentification EAP-FAST ou EAP-TLS. Le téléphone tente de nouveau d'envoyer des requêtes EAP.

Protocole

Aucun

Affiche la méthode EAP utilisée pour l'authentification 802.1x. Il peut s’agir du protocole EAP-FAST ou EAP-TLS.

Configurer les versions prises en charge de TLS

Vous pouvez configurer la version minimale de TLS requise respectivement pour le client et le serveur.

Par défaut, la version minimale TLS du serveur et du client est toutes deux 1.2. Ce paramètre a des répercussions sur les fonctions suivantes :

  • Connexion d'accès Web HTTPS
  • Intégration des téléphones locaux
  • Les services HTTPS, tels que les services d'annuaire
  • Sécurité de la couche de transport de datagramme (DTLS)
  • Entité d'accès au port (PAE)
  • Protocole d'authentification extensible - Sécurité de la couche de transport (EAP-TLS)

Pour plus d'informations sur la compatibilité TLS 1.3 pour Cisco IP Phones, voir Matrice de compatibilité TLS 1.3 pour les produits de collaboration Cisco.

1

Dans Cisco Unified Communications Manager Administration, effectuez l'une des actions suivantes selon vos besoins :

  • Pour configurer tous les téléphones déployés, accédez à Configuration des téléphones d'entreprise >système.
  • Pour configurer des téléphones partageant le même profil téléphonique, accédez à Périphérique > Paramètres du périphérique> Profil de téléphone commun.
  • Pour configurer un téléphone individuel, accédez à Périphérique > Téléphone. Ensuite, recherchez votre téléphone et ouvrez la page Configuration du téléphone.

La configuration suit une structure hiérarchique :

  • Les paramètres des périphériques individuels sont prioritaires sur les paramètres du profil de téléphone commun et du niveau entreprise
  • Les paramètres de profil de téléphone communs remplacent les paramètres au niveau de l'entreprise

2

Configurez le champ Version minimale du client TLS :

L'option TLS 1.3 est disponible sur Cisco Unified CM 15SU2, ou version ultérieure.

  • TLS 1.1 : Le client TLS prend en charge les versions de TLS de 1.1 à 1.3.

    Si la version TLS sur le serveur est inférieure à 1.1, par exemple, 1.0, la connexion ne peut pas être établie.

  • TLS 1.2 (par défaut) : le client TLS prend en charge TLS 1.2 et 1.3.

    Si la version TLS du serveur est inférieure à 1.2, comme 1.1 ou 1.0, l’établissement de la connexion est impossible.

  • TLS 1.3 : Le client TLS prend en charge TLS 1.3 uniquement.

    Si la version TLS sur le serveur est inférieure à 1.3, par exemple, 1.2, 1.1 ou 1.0, la connexion ne peut pas être établie.

3

Configurez le champ Version minimale du serveur TLS :

  • TLS 1.1 : Le serveur TLS prend en charge les versions de TLS de 1.1 à 1.3.

    Si la version TLS dans le client est inférieure à 1.1, par exemple, 1.0, la connexion ne peut pas être établie.

  • TLS 1.2 (par défaut) : le serveur TLS prend en charge TLS 1.2 et 1.3.

    Si la version TLS dans le client est inférieure à 1.2, par exemple, 1.1 ou 1.0, la connexion ne peut pas être établie.

  • TLS 1.3 : Le serveur TLS prend en charge TLS 1.3 uniquement.

    Si la version TLS dans le client est inférieure à 1.3, par exemple, 1.2, 1.1 ou 1.0, la connexion ne peut pas être établie.

4

Cliquez sur Enregistrer.

5

Cliquez sur Appliquer la configuration.

6

Redémarrez les téléphones.

TURN désactivé le haut-parleur et le casque sur le téléphone sans fil Cisco 9821

Vous avez la possibilité d'éteindre définitivement TURN le haut-parleur et le casque sur un téléphone sans fil Cisco 9821 pour votre utilisateur. La désactivation de ces sorties audio garantit que les conversations ne sont pas entendues par d'autres personnes à proximité, ce qui est important dans les environnements de bureau partagés ou ouverts.

1

Dans Cisco Unified Communications Manager Administration, sélectionnez Périphérique > Téléphone.

2

Localisez le téléphone à configurer.

3

Accédez à la zone Présentation de la configuration spécifique au produit.

4

Cochez une ou plusieurs des cases suivantes pour TURN désactiver les fonctionnalités du téléphone :

  • Désactivation du haut-parleur
  • Désactiver le haut-parleur et le casque

Par défaut, ces cases sont désactivées.

5

Sélectionnez Enregistrer.

6

Sélectionnez Appliquer la configuration.

Cet article était-il utile ?
Cet article était-il utile ?