- בית
- /
- מאמר
תודה על המשוב.
אישור התקן מותאם אישית בטלפון 9800/8875
במאמר זה
משוב?באפשרותך להתקין אישור התקן מותאם אישית (CDC) באופן ידני או אוטומטי. עבור סביבות מסוימות, באפשרותך להשתמש באפשרות DHCP 43 כדי לספק את פרמטרי SCEP עבור התקנת האישור. מאמר עזרה זה מיועד לטלפון שולחני Cisco מדגם 9800 ולטלפון וידאו Cisco 8875 הרשום ב- Cisco BroadWorks או Webex Calling.
התקנת אישור התקן מותאם אישית
כדי להתקין אישור התקן מותאם אישית (CDC) בטלפון, השתמש באחת מהדרכים הבאות בהתאם למצבך:
האישור האחרון שהותקן בטלפון נכנס לתוקף.
- התקנה ידנית - באפשרותך להתקין אישור על-ידי העלאתו מדף האינטרנט של ניהול הטלפון. לקבלת פרטים, ראה התקנה ידנית של אישור התקן מותאם אישית על-ידי העלאה.
- התקנה אוטומטית - באפשרותך לקבוע את תצורת הפרמטרים Simple Certificate Enrollment Protocol (SCEP) כך שיפעילו התקנה אוטומטית של אישור. הטלפון שולח בקשות SCEP לשרת SCEP כדי להתקין את האישור.
ניתן להגדיר את פרמטרי SCEP באמצעות דף האינטרנט של ניהול הטלפון, קובץ תצורת הטלפון (cfg.XML) או מרכז הבקרה. לקבלת פרטים, ראה התקנה אוטומטית של אישור התקן מותאם אישית על-ידי SCEP ופרמטרים עבור הגדרות הטלפון במרכז הבקרה.
- DHCP אפשרות 43—בסביבה מסוימת, באפשרותך להתקין אישור באמצעות האפשרות DHCP 43. האפשרות 43 יכולה לספק את פרמטרי SCEP עבור התקנת האישור. לקבלת פרטים, ראה הגדרת תצורת פרמטרי SCEP באמצעות DHCP אפשרות 43.
-
כאשר אתה משתמש באפשרות DHCP 43 להקצאת פרמטרים של SCEP, הטלפון יכול גם לאחזר את שם התחום שנישא מהאפשרות DHCP 15. בהתבסס על שם התחום שאוחזר, הטלפון יכול לבנות את השם המשותף SCEP CSR ואת מזהה המשתמש 802.1X. לקבלת פרטים, ראה הקצאת שם משותף או מזהה משתמש באמצעות DHCP אפשרות 15.
לקבלת מידע נוסף אודות אופן קביעת התצורה של אפשרויות DHCP, ראה קביעת תצורה של אפשרויות DHCP.
-
התקנה ידנית של אישור התקן מותאם אישית על-ידי העלאה
אתה יכול להתקין באופן ידני אישור מכשיר מותאם אישית (CDC) בטלפון על ידי העלאת האישור מדף האינטרנט של ניהול הטלפון.
לפני שאתה מתחיל
לפני שתוכל להתקין אישור מכשיר מותאם אישית עבור טלפון, עליך להיות בעל:
- קובץ אישור ( .p12 או .pfx) נשמר במחשב. הקובץ מכיל את האישור והמפתח הפרטי.
- סיסמת החילוץ של האישור. הסיסמה משמשת לפענוח קובץ האישור.
| 1 |
גישה אל דף האינטרנט של ניהול הטלפון. |
| 2 |
בחר אישור. |
| 3 |
במקטע הוסף אישור, לחץ לעיין.... |
| 4 |
דפדף אל האישור במחשב האישי שלך. |
| 5 |
בתוך ה חלץ סיסמה בשדה, הזן את סיסמת חילוץ האישור. |
| 6 |
נְקִישָׁה העלה. אם קובץ האישור והסיסמה נכונים, תקבל את ההודעה "
נוספה תעודה.". אחרת, ההעלאה נכשלת עם הודעת שגיאה המציינת שלא ניתן להעלות את האישור. |
| 7 |
כדי לבדוק פרטים של האישור המותקן, לחץ תצוגה במקטע תעודות קיימות. |
| 8 |
כדי להסיר את האישור המותקן מהטלפון, לחץ מחיקה במקטע תעודות קיימות. לאחר לחיצה על הכפתור, פעולת ההסרה מתחילה מיד ללא אישור.
אם האישור יוסר בהצלחה, תקבל את ההודעה " |
התקנה אוטומטית של אישור התקן מותאם אישית על-ידי SCEP
באפשרותך להגדיר את הפרמטרים הקשורים לפרוטוקול רישום אישורים פשוט (SCEP) כך שיקיימו אינטראקציה עם שרת SCEP כדי להתקין את אישור ההתקן המותאם אישית (CDC) באופן אוטומטי.
לאחר קביעת תצורה של אחד מפרמטרי SCEP, הטלפון ישלח בקשת הרשמה של SCEP לשרת. הטלפון יאמת את אישור CA שהתקבל באמצעות טביעת האצבע שהוגדרה.
לפני שאתה מתחיל
לפני שתוכל לבצע התקנה אוטומטית של אישור התקן מותאם אישית (CDC) עבור טלפון, דרושים לך:
- כתובת שרת SCEP
- טביעת אצבע SHA-1 או SHA-256 של אישור CA השורש עבור שרת SCEP
| 1 |
גישה אל דף האינטרנט של ניהול הטלפון. |
| 2 |
בחר אישור. |
| 3 |
במקטע תצורת SCEP 1 , הגדר את הפרמטרים כמתואר בפרמטרים עבור תצורת SCEP. |
| 4 |
לחץ על שלח את כל השינויים. |
פרמטרים עבור תצורת SCEP
הטבלה הבאה מגדירה את הפונקציה והשימוש של פרמטרי תצורת SCEP בקטע תצורת SCEP 1 תחת אישור Tab בממשק האינטרנט של הטלפון. זה גם מגדיר את התחביר של המחרוזת שמתווספת בקובץ התצורה של הטלפון (cfg.xml) כדי להגדיר פרמטר.
כל שינוי בפרמטרים יגרום לטלפון לבקש אישור חדש.
| פרמטר | תיאור |
|---|---|
| שרת |
כתובת שרת SCEP. פרמטר זה הוא חובה. בצע אחת מהפעולות הבאות:
ערכים חוקיים: כתובת URL או כתובת IP. סכימת HTTPS אינה נתמכת. ברירת מחדל: ריק |
| טביעת אצבע של שורש CA |
טביעת אצבע SHA256 או SHA1 של ה-Root CA לאימות במהלך תהליך SCEP. פרמטר זה הוא חובה. בצע אחת מהפעולות הבאות:
ברירת מחדל: ריק |
| סיסמת אתגר |
סיסמת האתגר להרשאת רשות האישורים (CA) נגד הטלפון במהלך רישום אישורים באמצעות SCEP. פרמטר זה הוא אופציונלי. בהתאם לסביבת SCEP בפועל, ההתנהגות של סיסמת האתגר משתנה.
בצע אחת מהפעולות הבאות:
ברירת מחדל: ריק |
| שם נפוץ |
מציין את השם המשותף (CN) המשמש כמזהה עבור הטלפון המבקש את האישור. ה- CN משמש לבקשת חתימת אישור (CSR) בתהליך SCEP. פרמטר זה תומך גם במשתני הרחבת מאקרו, ראה משתני הרחבת מאקרו לקבלת פרטים. בצע אחת מהפעולות הבאות:
ערכים חוקיים: עד 64 תווים ברירת מחדל: ריק |
חידוש תעודה על ידי SCEP
ניתן לרענן את אישור ההתקן באופן אוטומטי על ידי תהליך SCEP.
- הטלפון בודק אם תוקף האישור יפוג בעוד 15 יום כל 4 שעות. אם כן, הטלפון מתחיל את תהליך חידוש האישור באופן אוטומטי.
- אם סיסמת האתגר ריקה, הטלפון משתמש ב-MIC/SUDI הן לרישום ראשוני והן לחידוש האישור. אם סיסמת האתגר מוגדרת, היא משמשת לרישום ראשוני בלבד, האישור הקיים/מותקן משמש לחידוש האישור.
- הטלפון לא מסיר את אישור המכשיר הישן עד שהוא מאחזר את החדש.
- אם חידוש האישור נכשל בגלל שתוקף אישור התקן או CA פג, הטלפון מפעיל את ההרשמה הראשונית באופן אוטומטי. בינתיים, אם אימות סיסמת האתגר נכשל, יופיע מסך הזנת סיסמה במסך הטלפון, והמשתמשים מתבקשים להזין את סיסמת האתגר בטלפון.
תצורת שמות נפוצים של CDC
כברירת מחדל, השם המשותף ב- MIC/SUDI משמש כשם המשותף עבור CDC.
באפשרותך להגדיר את השם המשותף עבור CDC בעת התקנת האישור. השתמש באחת מהשיטות הבאות כדי להתקין CDC בטלפון:
-
צור בקשה לחתימת אישור (CSR) המכילה את השם המשותף הרצוי ולאחר מכן העלה והתקן את האישור החדש בדף האינטרנט של ניהול הטלפון.
-
הגדר את השם המשותף באמצעות דף האינטרנט של ניהול הטלפון, קובץ תצורת הטלפון (cfg.XML) או מרכז הבקרה. פעולה זו תפעיל את הטלפון לבקש אישור חדש באופן אוטומטי.
לקבלת מידע נוסף אודות הפרמטרים בדף האינטרנט של הטלפון ובמרכז הבקרה, ראה התקנה אוטומטית של אישור התקן מותאם אישית על-ידי SCEP ופרמטרים עבור הגדרות הטלפון במרכז הבקרה.
- השתמש באפשרות DHCP 43 ו- 15 כדי להקצות שם משותף עבור CDC וזהות 802.1X קווית.
לקבלת מידע נוסף, ראה הקצאת שם משותף או מזהה משתמש באמצעות DHCP אפשרות 15.
תצורת פרמטרי SCEP באמצעות אפשרות DHCP 43
בסביבה מסוימת שבה לא ניתן להתקין את אישור ההתקן המותאם אישית (CDC) באמצעות העלאתו או קביעת התצורה הישירה של פרמטרי SCEP. במצב זה, באפשרותך להשתמש באפשרות DHCP 43 כדי לאכלס את הפרמטרים משרת DHCP. ניתן להגדיר את האפשרות DHCP 43 כך שתספק את פרמטרי SCEP לטלפון. לאחר איפוס הטלפון להגדרות היצרן, הוא יכול לקבל את הפרמטרים משרת DHCP כדי להתקין את ה-CDC באמצעות פרוטוקול SCEP.
- תכונה זו (תצורת פרמטרי SCEP באמצעות DHCP אפשרות 43) זמינה רק עבור הטלפון שבוצע איפוס להגדרות היצרן.
- טלפונים לא ימוקמו ברשת שתמכה באפשרות 43 ובהקצאה מרחוק (לדוגמה, אפשרויות 66,160,159,150 או הקצאת ענן). אחרת, ייתכן שהטלפונים לא יקבלו את האפשרות 43 תצורות.
כדי להתקין אישור CDC לפי פרמטרי SCEP שסופקו מהאפשרות DHCP 43, בצע את הפעולות הבאות:
- הכן סביבת SCEP.
למידע על הגדרת סביבת SCEP, עיין בתיעוד שרת SCEP שלך.
- הגדר את אפשרות DHCP 43 (מוגדר ב-8.4 מידע ספציפי על הספק, RFC 2132).
אפשרויות משנה (10–15) שמורות לשיטה:
פרמטר בדף האינטרנט של הטלפון אפשרות משנה סוג אורך (בייט) חובה מצב FIPS 10 בוליאני 1 לא* שרת 11 חוּט 208 - אורך (סיסמת אתגר) כן טביעת אצבע של שורש CA 12 הקס 20, 32, 48 או 64 כן סיסמת אתגר 13 חוּט 208 - אורך (שרת) לא* הפעל אימות 802.1X 14 בוליאני 1 לא בחר תעודה 15 8 סיביות לא חתומות 1 לא * פירושו שהפרמטר מוגדר בהתאם למצב בפועל.
כאשר אתה משתמש באפשרות DHCP 43, שימו לב למאפיינים הבאים של השיטה:
- אפשרויות משנה (10–15) שמורות לאישור מכשיר מותאם אישית (CDC).
- האורך המרבי של אפשרות DHCP 43 הוא 255 בתים.
- האורך המרבי של שרת סיסמת אתגר יהיה פחות מ-208 בתים.
- הערך של מצב FIPS יהיה עקבי עם תצורת ההקצאה לכניסה. אחרת, הטלפון לא מצליח לאחזר את האישור שהותקן קודם לכן לאחר הכניסה. ספציפית,
- אם הטלפון יירשם לסביבה שבה מצב FIPS מושבת, אין צורך להגדיר את מצב FIPS באפשרות DHCP 43. כברירת מחדל, מצב FIPS מושבת.
- אם הטלפון יירשם בסביבה שבה מצב FIPS מופעל, עליך להפעיל את מצב FIPS באפשרות DHCP 43. ראה הפעלת מצב FIPS לקבלת פרטים.
- סיסמת האתגר באפשרות 43 היא בטקסט ברור.
- אם ברצונך שהטלפון ישתמש ב- MIC/SUDI עבור ההרשמה הראשונית וחידוש האישור, השאר את סיסמת האתגר ריקה.
- אם סיסמת האתגר משמשת רק להרשמה הראשונית, הגדר את סיסמת האתגר. במקרה זה, האישור המותקן ישמש לחידוש האישור.
- הפעלת אימות 802.1X ובחירת אישור משמשים רק עבור טלפונים ברשתות קוויות.
- אפשרות DHCP 60 (מזהה מחלקת ספקים) משמשת לזיהוי דגם ההתקן.
דוגמה לDHCP אפשרות 43 (אפשרויות משנה 10-15):
אפשרות משנה עשרונית/הקסדה אורך ערך (בייט) עשרוני/הקסדה ערך ערך משושה 10/0a 1/01 1 (0: מושבת; 1: מופעל) 01 11/0b 18/12 http://10.79.57.91 687474703a2f2f31302e37392e35372e3931 12/0c 20/14 12040870625C5B755D73F5925285F8F5FF5D55AF 12040870625C5B755D73F5925285F8F5FF5D55AF 13/0d 16/10 D233CCF9B9952A15 44323333434346394239393532413135 14/0e 1/01 1 (0: לא; 1: כן) 01 15/0f 1/01 1 (0: ייצור מותקן; 1: מותקן בהתאמה אישית) 01 סיכום ערכי הפרמטרים:
-
מצב FIPS =
מופעל -
שרת =
http://10.79.57.91 -
טביעת אצבע של שורש CA =
12040870625C5B755D73F5925285F8F5FF5D55AF -
סיסמת האתגר =
D233CCF9B9952A15 -
אפשר אימות 802.1X =
כן -
בחר תעודה =
מותקן בהתאמה אישית
התחביר של הערך ההקסדצימלי הסופי הוא:
{<suboption><length><value>}...על פי ערכי הפרמטרים לעיל, ערך ה-hex הסופי הוא כדלקמן:
0a01010b12687474703a2f2f31302e37392e35372e39310c1412040870625C5B755D73F5925285F8F5FF5D55AF0d10443233334343463942393935324131350e01010f0101 - הגדר את אפשרות DHCP 43 בשרת DHCP.
שלב זה מספק דוגמה לתצורות DHCP אפשרות 43 ב- Cisco Network Register.
- הוסף ערכת הגדרות DHCP.
מחרוזת אפשרויות ספק הוא שם הדגם של טלפונים IP. הערך החוקי הוא: DP-9841, DP-9851, DP-9861, DP-9871 או CP-8875.
- הוסף את אפשרות DHCP 43 ואפשרויות המשנה לקבוצת הגדרות DHCP.
דוגמה:
- הוסף אפשרויות 43 למדיניות DHCP והגדר את הערך באופן הבא:
דוגמה:
(10 1)(11 http://10.79.57.91)(12 12040870625C5B755D73F5925285F8F5FF5D55AF)(13 D233CCF9B9952A15)(14 1)(15 1) - אמת את ההגדרות. אתה יכול להשתמש ב-Wireshark כדי ללכוד עקבות של תעבורת הרשת בין הטלפון לשירות.
- הוסף ערכת הגדרות DHCP.
- בצע איפוס להגדרות היצרן עבור הטלפון.
לאחר איפוס הטלפון, הפרמטרים שרת, טביעת אצבע של שורש CA, וסיסמת אתגר ימולא אוטומטית. פרמטרים אלה ממוקמים בסעיף תצורת SCEP 1 מתוך בדף האינטרנט של ניהול הטלפון.
כדי לבדוק פרטים של האישור המותקן, לחץ תצוגה במקטע תעודות קיימות.
כדי לבדוק את מצב התקנת האישור, בחר מותאם אישית. הורד סטטוס 1 מציג את התוצאה האחרונה. אם מתרחשת בעיה כלשהי במהלך רישום האישור, סטטוס ההורדה יכול להראות את סיבת הבעיה למטרות פתרון בעיות.
אם אימות סיסמת האתגר נכשל, המשתמשים יתבקשו להזין את הסיסמה על מסך הטלפון.
- (אופציונלי): כדי להסיר את האישור המותקן מהטלפון, לחץ על מחק במקטע אישורים קיימים.
לאחר לחיצה על הכפתור, פעולת ההסרה מתחילה מיד ללא אישור.
הקצאת שם משותף או מזהה משתמש באמצעות DHCP אפשרות 15
במהלך רישום אישור SCEP דרך האפשרות DHCP 43, הטלפון יכול גם לקבל את שם התחום שסופק באפשרות DHCP 15 (אם מוגדר). לאחר שהטלפון מקבל את שם התחום, הוא יכול לבנות את השם המשותף או מזהה המשתמש עם שם התחום, המיוצג באופן הבא:
- Common name = <Common Name in MIC/SUDI >.<שם תחום באפשרות 15>
השם המשותף ישמש עבור CSR בתהליך SCEP, ומאוחר יותר הוא יהיה השם המשותף ב- CDC.
- User ID = <Common Name ב- MIC/SUDI >@<שם תחום באפשרות 15>
מזהה המשתמש ישמש כזהות עבור אימות קווי 802.1X.
לדוגמה, כתובת MAC של הטלפון היא 00:1A:2B:3C:4D:5E, דגם הטלפון הוא 9871:
| שם תחום בDHCP אפשרות 15 | שם נפוץ | מזהה משתמש |
|---|---|---|
| example.nl | CP-9871-SEP001A2B3C4D5E.example.nl | CP-9871-SEP001A2B3C4D5E@example.nl |
| ריק | CP-9871-SEP001A2B3C4D5E |
CP-9871-SEP001A2B3C4D5E |
אם שם התחום אינו מוגדר באפשרות 15, השם המשותף ומזהה המשתמש יהיו זהים לשם המשותף ב- MIC/SUDI.
