Ručna instalacija prilagođenog certifikata uređaja

Prilagođeni certifikat uređaja (CDC) možete ručno instalirati na telefon prijenosom certifikata s web-stranice administracije telefona.

Prije nego što počnete

Da biste mogli instalirati prilagođeni certifikat uređaja za telefon, morate imati:

  • Datoteka certifikata (.p12 ili .pfx) spremljena na PC-ju. Datoteka sadrži certifikat i privatni ključ.
  • Izvadi lozinku certifikata. Lozinka se koristi za dešifriranje datoteke certifikata.
1

Pristupite web stranici administracije telefona.

2

Odaberite Certifikat.

3

U odjeljku Dodavanje certifikata kliknite Pregledaj....

4

Potražite certifikat na vašem računalu.

5

U polje Izdvoji lozinku unesite lozinku izdvojenu iz certifikata.

6

Kliknite na Prijenos.

Ako su datoteka certifikata i lozinka ispravni, primit ćete poruku "Certifikat je dodan.". U suprotnom, prijenos neće uspjeti s porukom o pogrešci koja ukazuje na to da se certifikat ne može prenijeti.
7

Da biste provjerili pojedinosti instaliranog certifikata, kliknite Prikaz u odjeljku Postojeći certifikati .

8

Da biste uklonili instalirani certifikat s telefona, kliknite Izbriši u odjeljku Postojeći certifikati .

Kada kliknete gumb, postupak uklanjanja započinje odmah bez potvrde.

Ako je certifikat uspješno uklonjen, primit ćete poruku "Certifikat je izbrisan.".

SCEP automatski instalira prilagođeni certifikat uređaja

Možete postaviti parametre Simple Certificate Enrollment Protocol (SCEP) za automatsku instalaciju certifikata prilagođenog uređaja (CDC), ako ne želite ručno prenijeti datoteku certifikata ili nemate postavljenu datoteku certifikata.

Kada su SCEP parametri ispravno konfigurirani, telefon šalje zahtjeve SCEP poslužitelju, a CA certifikat se ovjerava uređajem pomoću definiranog otiska prsta.

Prije nego što počnete

Da biste mogli izvršiti automatsku instalaciju prilagođenog certifikata uređaja za telefon, morate imati:

  • Adresa SCEP poslužitelja
  • SHA-1 ili SHA-256 otisak otiska korijenskog CA certifikata za poslužitelj SCEP
1

Pristupite web stranici administracije telefona.

2

Odaberite Certifikat.

3

U odjeljku SCEP Configuration 1 postavite parametre kako je opisano u sljedećoj tablici Parametri za konfiguraciju SCEP-a.

4

Kliknite Pošalji sve promjene.

Parametri za konfiguraciju SCEP-a

Sljedeća tablica definira funkciju i korištenje parametara konfiguracije SCEP-a u odjeljku SCEP konfiguracije 1 pod karticom Certifikat u web-sučelju telefona. Također definira sintaksu niza koji se dodaje u konfiguracijsku datoteku telefona (cfg.xml) za konfiguriranje parametra.

Stol 1. Parametri za konfiguraciju SCEP-a
ParametarOpis
Poslužitelj

Adresa SCEP poslužitelja. Ovaj parametar je obavezan.

Učinite jedno od sljedećega:

  • U konfiguracijskoj datoteci telefona s XML-om (cfg.XML) unesite niz u ovom formatu:

    <CDC_Server_1_ ua="na">http://10.79.57.91</CDC_Server_1_>

  • Na web-stranici telefona unesite adresu SCEP poslužitelja.

Valjane vrijednosti: URL ili adresa IP. HTTPS shema nije podržana.

Zadano: prazno

Korijenski CA otisak prsta

SHA256 ili SHA1 otisak prsta korijenskog ca za validaciju tijekom postupka u SCEP-u. Ovaj parametar je obavezan.

Učinite jedno od sljedećega:

  • U konfiguracijskoj datoteci telefona s XML-om (cfg.XML) unesite niz u ovom formatu:

    <CDC_Root_CA_Fingerprint_1_ ua="na">12040870625C5B755D73F5925285F8F5FF5D55AF</CDC_Root_CA_Fingerprint_1_>

  • Na web-stranici telefona unesite valjani otisak prsta.

Zadano: prazno

Lozinka izazova

Lozinka za izazov za Certificate Authority (CA) autorizaciju na telefonu tijekom upisa certifikata putem SCEP-a. Ovaj parametar nije obavezan.

Prema stvarnom SCEP okruženju, ponašanje izazovne lozinke varira.

  • Ako telefon dobije certifikat od Cisco RA koji komunicira s CA, lozinka izazova nije podržana na CA. U tom slučaju Cisco RA koristi MIC/SUDI telefona za provjeru autentičnosti za pristup CA. Telefon koristi MIC/SUDI za početni upis i za obnovu certifikata.
  • Ako telefon dobije certifikat izravnom komunikacijom s CA, lozinka za izazov podržana je na CA. Ako je konfiguriran, koristit će se samo za početni upis. Za obnovu certifikata koristit će se instalirani certifikat.

Učinite jedno od sljedećega:

  • U konfiguracijskoj datoteci telefona s XML-om (cfg.XML) unesite niz u ovom formatu:

    <CDC_Challenge_Password_1_ ua="na"></CDC_Challenge_Password_1_>

    Lozinka je maskirana u konfiguracijskoj datoteci.

  • Na web-stranici telefona unesite lozinku za izazov.

Zadano: prazno

Konfiguracija parametara SCEP-a putem opcije DHCP 43

Osim upisa SCEP certifikata po ručnim konfiguracijama na web stranici telefona, možete koristiti i DHCP opciju 43 za popunjavanje parametara s DHCP poslužitelja. Opcija DHCP 43 unaprijed je konfigurirana s parametrima SCEP-a, a kasnije telefon može dohvatiti parametre s poslužitelja DHCP za obavljanje upisa SCEP certifikata.

  • Konfiguracija parametara SCEP-DHCP putem opcije 43 dostupna je samo za telefon na kojem se vrši vraćanje na tvorničke postavke.
  • Telefoni se ne smiju postavljati u mrežu koja podržava i opciju 43 i daljinsku dodjelu resursa (na primjer, opcije 66,160,159,150 ili dodjelu resursa u oblaku). U suprotnom, telefoni možda neće dobiti konfiguracije opcije 43.

Da biste upisali SCEP certifikat konfiguriranjem parametara SCEP-a u opciji DHCP 43, učinite sljedeće:

  1. Pripremite okruženje SCEP-a.

    Informacije o postavljanju SCEP okruženja potražite u dokumentaciji SCEP poslužitelja.

  2. Postavite DHCP opciju 43 (definirano u 8.4 Podaci specifični za dobavljača, RFC 2132).

    Podopcije (10–15) rezervirane su za metodu:

    Parametar na web-stranici telefonaPodopcijaVrstaDuljina (bajt)Obvezno
    FIPS način rada10Booleova1Ne*
    Poslužitelj11niz208 - duljina (Challenge lozinka)Da
    Korijenski CA otisak prsta12binarni20 ili 32Da
    Lozinka izazova13niz208 - duljina (poslužitelj)Ne*
    Omogući provjeru autentičnosti 802.1X14Booleova1Ne
    Odabir certifikata15Nepotpisani 8-bitni1Ne

    Kada koristite DHCP opciju 43, primijetite sljedeće karakteristike metode:

    • Podopcije (10–15) rezervirane su za prilagođeni certifikat uređaja (CDC).
    • Maksimalna duljina opcije 43 DHCP je 255 bajtova.
    • Maksimalna duljina server + challenge lozinke mora biti manja od 208 bajtova.
    • Vrijednost FIPS načina rada mora biti u skladu s konfiguracijom dodjele resursa za uključivanje. U suprotnom, telefon ne uspijeva dohvatiti prethodno instalirani certifikat nakon uključivanja. Posebno
      • Ako će telefon biti registriran u okruženju u kojem je način FIPS onemogućen, ne morate konfigurirati parametar FIPS način rada u DHCP opciji 43. Prema zadanim postavkama FIPS način rada je onemogućen.
      • Ako će telefon biti registriran u okruženju u kojem je omogućen FIPS način rada, morate omogućiti način FIPS u DHCP opciji 43. Detalje potražite u odjeljku Omogućivanje FIPS načina rada.
    • Lozinka u opciji 43 je u čistom tekstu.

      Ako je lozinka za izazov prazna, telefon koristi MIC/SUDI za početnu prijavu i obnovu certifikata. Ako je lozinka izazova konfigurirana, koristi se samo za početnu prijavu, a instalirani certifikat koristit će se za obnovu certifikata.

    • Omogući provjeru autentičnosti 802.1X i odabir certifikata koriste se samo za telefone u ožičenoj mreži.
    • DHCP opcija 60 (Identifikator klase dobavljača) koristi se za identifikaciju modela uređaja.

    Sljedeća tablica sadrži primjer DHCP opcije 43 (podopcije 10–15):

    Podizbor decimalni/heksadecimalniDuljina vrijednosti (bajt) decimalni/heksadecimalniVrijednostHeksadecimalna vrijednost
    10/0a1/011 (0: onemogućeno; 1: omogućeno)01
    11/0b18/12http://10.79.57.91687474703a2f2f31302e37392e35372e3931
    12/0C20/1412040870625C5B755D73F5925285F8F5FF5D55AF12040870625C5B755D73F5925285F8F5FF5D55AF
    13/0d16/10D233CCF9B9952A1544323333434346394239393532413135
    14/0e1/011 (0: Ne; 1: Da)01
    15/0f1/011 (0: Instalirana proizvodnja; 1: Prilagođeno instalirano) 01

    Sažetak vrijednosti parametra:

    • FIPS način = Omogućeno

    • Poslužitelj = http://10.79.57.91

    • Korijenski CA otisak prsta = 12040870625C5B755D73F5925285F8F5FF5D55AF

    • Lozinka izazova = D233CCF9B9952A15

    • Omogući provjeru autentičnosti 802.1X = Da

    • Odabir certifikata = Prilagođeno instalirano

    Sintaksa konačne heksadecimalne vrijednosti je:{ <suboption><length><value>}...

    Prema gore navedenim vrijednostima parametara, konačna šesterokutna vrijednost je sljedeća:

    0a01010b12687474703a2f2f31302e37392e35372e39310c1412040870625C5B755D73F5925285F8F5FF5D55AF0d10443233334343463942393935324131350e01010f0101

  3. Konfigurirajte DHCP mogućnost 43 na DHCP poslužitelju.

    Ovaj korak pruža primjer konfiguracija DHCP opcije 43 na Cisco Mrežni registar.

    1. Dodajte DHCP skup definicija mogućnosti.

      Niz mogućnosti dobavljača naziv je modela IP telefona. Valjana vrijednost je: DP-9841, DP-9851, DP-9861, DP-9871 ili CP-8875.

    2. Dodajte DHCP opciju 43 i podopcije u skup definicija DHCP mogućnosti.

      Primjer:

      Snimka zaslona s definicijama DHCP opcije 43 u registru Cisco mreže

    3. Dodajte mogućnosti 43 u pravilnik DHCP i postavite vrijednost na sljedeći način:

      Primjer:

      (10 1)(11 http://10.79.57.91)(12 12040870625C5B755D73F5925285F8F5FF5D55AF)(13 D233CCF9B9952A15)(14 1)(15 1)

    4. Provjerite postavke. Wireshark možete koristiti za snimanje praćenja mrežnog prometa između telefona i usluge.
  4. Izvršite vraćanje telefona na tvorničke postavke.

    Nakon resetiranja telefona, parametri Server, Root CA otisak prsta i lozinka za izazov bit će automatski popunjeni. Ti se parametri nalaze u odjeljku SCEP Configuration 1 iz Certificate > Custom na web stranici administracije telefona.

    Da biste provjerili pojedinosti instaliranog certifikata, kliknite Prikaz u odjeljku Postojeći certifikati .

    Da biste provjerili status instalacije certifikata, odaberite Status certifikata >prilagođenog certifikata. Status preuzimanja 1 prikazuje najnoviji rezultat. Ako se tijekom prijave certifikata pojavi bilo kakav problem, status preuzimanja može prikazati razlog problema u svrhu otklanjanja poteškoća.

    Ako provjera autentičnosti lozinke izazova ne uspije, od korisnika će se zatražiti da unesu lozinku na zaslon telefona.
  5. (Neobavezno): Da biste uklonili instalirani certifikat s telefona, kliknite Izbriši u odjeljku Postojeći certifikati .
    Kada kliknete gumb, postupak uklanjanja započinje odmah bez potvrde.

Obnavljanje certifikata od strane SCEP-a

SCEP postupkom možete automatski osvježiti certifikat uređaja.

  • Telefon provjerava istječe li certifikat za 15 dana svaka 4 sata. U tom slučaju telefon automatski pokreće postupak obnove certifikata.
  • Ako je lozinka izazova prazna, telefon koristi MIC/SUDI i za početnu prijavu i za obnovu certifikata. Ako je lozinka izazova konfigurirana, koristi se samo za početnu prijavu, postojeći/instalirani certifikat koristi se za obnovu certifikata.
  • Telefon ne uklanja stari certifikat uređaja dok ne dohvati novi.
  • Ako obnova certifikata ne uspije jer certifikat uređaja ili CA istječe, telefon automatski pokreće početnu prijavu. U međuvremenu, ako provjera autentičnosti lozinke izazova ne uspije, na zaslonu telefona pojavit će se zaslon za unos lozinke, a od korisnika se traži da unesu lozinku izazova na telefon.

Omogućivanje načina FIPS

Možete telefon učiniti usklađenim sa standardima federalne obrade informacija (FIPS).

FIPS je skup standarda koji opisuju obradu dokumenata, algoritme šifriranja i druge standarde informacijske tehnologije za upotrebu unutar nevojne vlade i od strane vladinih izvođača i dobavljača koji rade s agencijama. CiscoSSL FOM (FIPS Object Module) pažljivo je definirana softverska komponenta i dizajnirana je za kompatibilnost s CiscoSSL bibliotekom, tako da se proizvodi koji koriste CiscoSSL biblioteku i API mogu pretvoriti u fips 140-2 provjerenu kriptografiju uz minimalan napor.

1

Pristupite web stranici administracije telefona.

2

Odaberite Glas > Sustav.

3

U odjeljku Sigurnosne postavke odaberite Da ili Ne iz parametra FIPS način .

4

Kliknite Pošalji sve promjene.

Kada omogućite FIPS, na telefonu besprijekorno funkcioniraju sljedeće značajke:
  • Provjera autentičnosti slike
  • Sigurna pohrana
  • Konfiguriranje šifriranja datoteka
  • TLS:
    • HTTP-ovi
    • PRT prijenos
    • Nadogradnja firmvera
    • Ponovna sinkronizacija profila
    • Ugrađeni servis
    • Webex ukrcavanje
    • SIP over TLS
    • 802.1x (ožičeno)
  • SIP sažetak (RFC 8760)
  • SRTP
  • Webex zapisnika poziva i imenika Webex
  • Jedan gumb za pritiskanje (OBTP)

Postavljanje korisničke i administratorske lozinke

Nakon što se telefon prvi put registrira na sustav upravljanja pozivom ili izvršite tvorničko resetiranje telefona, morate postaviti lozinku korisnika i administratora kako biste poboljšali sigurnost telefona. Samo kada je lozinka postavljena, promjene možete poslati s web-stranice telefona.

Prema zadanim postavkama na telefonu nije omogućeno upozorenje o zabrani lozinke. Kada telefon nema korisničku ili administratorsku lozinku, prikazuju se sljedeća upozorenja:

  • Na internetskoj stranici telefona prikazuje se poruka "Nije navedena administratorska lozinka. Web je u načinu samo za čitanje i ne možete slati promjene. Promijenite lozinku." u gornjem lijevom kutu.

    Polja Korisnička lozinka i Administratorska lozinka prikazuju upozorenje "Nije navedena lozinka" odnosno ako je prazna.

  • Zaslon telefona Problemi i dijagnostika prikazuju problem "Nije navedena lozinka".
1

Pristup web-stranici za administraciju telefona

2

Odaberite Glas > Sustav.

3

(Neobavezno) U odjeljku Konfiguracija sustava postavite parametar Display Password Warnings na Da , a zatim kliknitePošalji sve promjene .

Parametre možete omogućiti i u konfiguracijskoj datoteci telefona (cfg.xml).

<Display_Password_Warnings ua="na">Da</Display_Password_Warnings>

Zadana: da

Mogućnosti: Da|Ne

Kada je parametar postavljen na Ne, upozorenje o lozinki ne pojavljuje se ni na web-stranici ni na zaslonu telefona. Također, način rada samo spreman za web stranice neće se aktivirati iako je lozinka prazna.

4

Pronađite parametar Korisnička lozinka ili administratorska lozinka, a zatim kliknite Promijeni lozinku pokraj parametra.

5

Unesite trenutnu korisničku lozinku u polje Stara lozinka .

Ako nemate lozinku, polje ostavite prazno. Zadana vrijednost je prazna.
6

Unesite novu lozinku u polje Nova lozinka .

7

Kliknite Pošalji.

Na web-stranici prikazat će se poruka Lozinka je uspješno promijenjena. Web-stranica će se osvježiti za nekoliko sekundi. Upozorenje pored parametra će nestati.

Nakon što postavite korisničku lozinku, ovaj parametar prikazuje sljedeće u konfiguraciji telefona XML datoteci (cfg.xml):

<!-- <Admin_Password ua="na">*************</Admin_Password> <User_Password ua="rw">*************</User_Password> -->

Ako primite kod pogreške 403 kada pokušate pristupiti web-stranici telefona, morate postaviti korisničku ili administratorsku lozinku dodjeljivanjem resursa u konfiguracijskoj datoteci telefona (cfg.xml). Na primjer, unesite niz u ovom formatu:

<Admin_Password ua="na">P0ssw0rd_tes89</Admin_Password>

<User_Password ua="rw">Abc123</User_Password>

802.1X autentifikacija

Cisco IP telefoni podržavaju protokol 802.1X za provjeru autentičnosti.

Cisco IP telefoni i prespojnici Cisco Catalyst uobičajeno upotrebljavaju Cisco protokol za otkrivanje (engl. Cisco Discovery Protocol, CDP) kako bi identificirali jedni druge i utvrditi parametre kao što su alokacija VLAN-a i zahtjevi za linijsko napajanje. CDP ne prepoznaje lokalno priložene radne stanice. Cisco IP telefoni osiguravaju prolaz EAPOL kroz mehanizam. Ovaj mehanizam omogućuje radnoj stanici priloženoj Cisco IP telefonu da propusti poruke EAPOL-a protokolu 802.1X za provjeru autentičnosti na prespojniku LAN-a. Mehanizam prolaza osigurava da IP telefon ne djeluje kao prespojnik LAN-a za provjeru autentičnosti krajnje točke podataka prije pristupanja mreži.

Cisco IP telefoni također pružaju proxy mehanizam za odjavu s EAPOL-a. Ako lokalno priključeno računalo prekine vezu s IP telefona, prespojnik LAN-a ne vidi da fizički link ne uspijeva, jer se održava veza između prespojnika LAN-a i IP telefona. Kako biste izbjegli ugrožavanje integriteta mreže, IP telefon šalje poruku EAPOL odjave prespojniku u ime računala koje prima podatke, što aktivira prespojnik LAN-a kako bi se očistio unos za provjeru autentičnosti za računalo koje prima podatke.

Podrška protokola 802.1X za provjeru autentičnosti zahtijeva nekoliko komponenti:

  • Cisco IP telefoni: telefon inicira zahtjev za pristup mreži. Cisco IP telefoni sadrže alt za slanje zamolbe u protokolu 802.1X Ovaj alat za slanje zamolbe omogućuje administratorima mreže kontrolu povezanosti IP telefona s LAN ulazima za prespajanje. Trenutačno izdanje alata za slanje zamolbe u protokolu 802.1X telefona upotrebljava mogućnosti EAP-FAST i EAP-TLS za provjeru autentičnosti mreže.

  • Poslužitelj za provjeru autentičnosti: poslužitelj za provjeru autentičnosti i skretnica moraju biti konfigurirani sa zajedničkom tajnom koja provjerava autentičnost telefona.

  • Prespojnik: prespojnik mora podržavati protokol 802.1X, tako da može djelovati kao alat za provjeru autentičnosti i propuštati poruke između telefona i poslužitelja za provjeru autentičnosti. Nakon dovršetka razmjene, prespojnik odobrava ili odbija odobriti pristup telefona mreži.

Kako biste konfigurirali protokol 802.1X, morate izvršiti radnje navedene u nastavku.

  • Konfigurirajte ostale komponente prije nego što omogućite protokol 802.1X za provjeru autentičnosti na telefonu.

  • Konfiguracija PC ulaza: standard 802.1X ne uzima u obzir VLANs i stoga preporučuje provjeru autentičnosti za samo jedan uređaj za određeni ulaz za prespajanje. Međutim, neki prespojnici podržavaju provjeru autentičnosti višestrukih domena. Konfiguracija prespojnika određuje možete li računalo povezati na PC ulaz na telefonu.

    • Omogućeno: ako upotrebljavate prespojnik koji podržava provjeru autentičnosti višestrukih domena, možete omogućiti PC ulaz i na njega povezati računalo. U ovom slučaju, Cisco IP telefoni podržavaju proxy EAPOL-odjavu za nadzor provjere autentičnosti razmjena između prespojnika i priključenog računala.

      Za više informacija o podršci protokola IEEE 802.1X na prespojnicima Cisco Catalyst, pogledajte upute za konfiguriranje prespojnika Cisco Catalyst na web-mjestu:

      http://www.cisco.com/en/US/products/hw/switches/ps708/tsd_products_support_series_home.html

    • Onemogućeno: ako prespojnik ne podržava više uređaja kompatibilnih s protokolom 802.1X na istom priključku, trebali biste onemogućiti PC ulaz kada se omogući protokol 802.1X za provjeru autentičnosti. Ako ne onemogućite ovaj ulaz, a zatim pokušate priključiti računalo na njega, prespojnik odbija pristup mreži i telefonu i računalu.

  • Konfiguriranje Glasovnog VLAN-a: Budući da standard 802.1X ne računa na VLAN-ove, trebali biste konfigurirati ovu postavku na temelju podrške prespojnika.
    • Omogućeno: ako upotrebljavate prespojnik koji podržava provjeru autentičnosti višestrukih domena, možete ga nastaviti upotrebljavati za glasovni VLAN.
    • Onemogućeno: ako prespojnik ne podržava provjeru autentičnosti višestukih domena, onemogućite glasovni VLAN i razmislite o dodjeljivanju ulaza izvornom VLAN-u.
  • (Samo za Cisco stolni telefon serije 9800)

    Cisco stolni telefon serije 9800 ima drugačiji prefiks u PID-u od onog za ostale Cisco telefone. Da biste telefonu omogućili prolazak provjere autentičnosti 802.1X, postavite radij· Parametar korisničko ime koji uključuje vaš Cisco Desk Phone 9800 Series.

    Na primjer, PID telefona 9841 je DP-9841; možete postaviti radijus· Korisničko ime za početak s DP ili sadrži DP. Možete ga postaviti u oba sljedeća odjeljka:

    • Uvjeti > Uvjeti > Uvjeti biblioteke

    • Pravila > Skupovi pravila> Pravila autorizacije> Pravilo autorizacije 1

Omogućivanje protokola 802.1X za provjeru autentičnosti

Kada je omogućena provjera autentičnosti 802.1X, telefon koristi provjeru autentičnosti 802.1X kako bi zatražio pristup mreži. Kada je onemogućena provjera autentičnosti 802.1X, telefon koristi Cisco Discovery Protocol (CDP) za pristup VLA-u i mreži. Također možete pregledati status transakcije i promijeniti se na izborniku zaslona telefona.

Kada je omogućena provjera autentičnosti 802.1X, možete odabrati i certifikat uređaja (MIC/SUDI ili prilagođeni) za početnu prijavu i obnovu certifikata. Obično je MIC za Cisco Video Phone 8875, SUDI je za Cisco stolni telefon serije 9800. CDC se može koristiti za provjeru autentičnosti samo u 802.1x.

1

Da biste omogućili provjeru autentičnosti 802.1X, izvršite jednu od sljedećih radnji:

  • U telefonskom web-sučelju odaberite Voice>System i postavite parametar Omogući provjeru autentičnosti 802.1X na Da . Zatim kliknite Pošalji sve promjene.
  • U konfiguracijsku datoteku (cfg.xml) unesite niz u ovom formatu:

    <Enable_802.1X_Authentication ua="rw">Da</Enable_802.1X_Authentication>

    Dopuštene vrijednosti: Da|Ne

    Zadano: Ne

  • Na telefonu pritisnite Postavke the Settings hard keyi idite na mrežne i servisne > sigurnosne postavke > 802.1X provjera autentičnosti. Polje za provjeru autentičnosti uređaja prebacite na Uključeno, a zatim odaberite Primijeni.
Stol 2. Parametri za provjeru autentičnosti 802.1X na zaslonu telefona

Parametri

Mogućnosti

Zadano

Opis

Autentifikacija uređaja

Uključi

Off

Off

Omogućite ili onemogućite provjeru autentičnosti 802.1X na telefonu.

Status transakcije

Onemogućeni

Prikazuje stanje provjere autentičnosti 802.1X. Država može biti (ne ograničavajući se na):

  • Provjera autentičnosti: Označava da je postupak provjere autentičnosti u tijeku.
  • Provjera autentičnosti: označava da je telefon autentificiran.
  • Onemogućeno: označava da je na telefonu onemogućena provjera autentičnosti 802.1x.

Protokol

Ništa

Prikazuje metodu EAP koja se koristi za provjeru autentičnosti 802.1X. Protokol se može EAP-FAST ili EAP-TLS.

Vrsta korisničkog certifikata

Instalirana proizvodnja

Prilagođeno instalirano

Instalirana proizvodnja

Odaberite certifikat za provjeru autentičnosti 802.1X tijekom početnog upisa i obnovu certifikata.

  • Instalirana proizvodnja – koristi se certifikat instalirane proizvodnje (MIC) i sigurni jedinstveni identifikator uređaja (SUDI).
  • Prilagođeno instalirano – koristi se certifikat prilagođenog uređaja (CDC). Ova vrsta certifikata može se instalirati bilo ručnim prijenosom na web-stranicu telefona ili instalacijom s poslužitelja protokola Simple Certificate Enrollment Protocol (SCEP).

Ovaj parametar pojavljuje se na telefonu samo kada je omogućena provjera autentičnosti uređaja.

2

Odaberite certifikat (MIC ili prilagođen) za provjeru autentičnosti 802.1X na web-stranici telefona.

  • Za ožičenu mrežu odaberite Voice>System, odaberite vrstu certifikata s padajućeg popisa Certifikat Odaberite u odjeljku 802.1X Provjera autentičnosti.

    Ovaj parametar možete konfigurirati i u konfiguracijskoj datoteci (cfg.xml):

    <Certificate_Select ua="rw">Custom instaliran</Certificate_Select>

    Valjane vrijednosti: Instalirana proizvodnja|Prilagođeno instalirano

    Zadana: instalirana proizvodnja

  • Za bežičnu mrežu odaberite Glasovni > sustav, odaberite vrstu certifikata s padajućeg popisa Certifikat Odaberite u odjeljku Wi-Fi Profil 1.

    Ovaj parametar možete konfigurirati i u konfiguracijskoj datoteci (cfg.xml):

    <Wi-Fi_Certificate_Select_1_ ua="rw">Custom instaliran</Wi-Fi_Certificate_Select_1_>

    Valjane vrijednosti: Instalirana proizvodnja|Prilagođeno instalirano

    Zadana: instalirana proizvodnja

Informacije o odabiru vrste certifikata na zaslonu telefona potražite u članku Povezivanje telefona s Wi-Fi mrežom.

Omogući način rada koji pokreće klijent za pregovore o sigurnosti medijskog aviona

Da biste zaštitili medijske sesije, možete konfigurirati telefon za pokretanje pregovora o sigurnosti medijske ravnine s poslužiteljem. Sigurnosni mehanizam slijedi standarde navedene u RFC 3329 i njegov nacrt proširenja Nazivi sigurnosnih mehanizama za medije (See https://tools.ietf.org/html/draft-dawes-sipcore-mediasec-parameter-08#ref-2). Prijenos pregovora između telefona i poslužitelja može koristiti SIP protokol putem UDP, TCP i TLS. Možete ograničiti da se pregovori o sigurnosti medijske ravnine primjenjuju samo kada je protokol signalnog prijenosa TLS.

1

Pristupite web stranici administracije telefona.

2

Odaberite Glas > Kućni(n).

3

U odjeljku SIP postavke postavite polja MediaSec Request i MediaSec Over TLS kako je definirano u sljedećoj tablici:

Stol 3. Parametri za pregovore o sigurnosti medijske ravnine
ParametarOpis

MediaSec zahtjev

Određuje pokreće li telefon pregovore o sigurnosti medijske ravnine s poslužiteljem.

Učinite jedno od sljedećega:

  • U konfiguracijskoj datoteci telefona s XML-om (cfg.XML) unesite niz u ovom formatu:

    <MediaSec_Request_1_ ua="na">Da</MediaSec_Request_1_>
  • U telefonskom web-sučelju postavite ovo polje na Da ili Ne po potrebi.

Dopuštene vrijednosti: da | ne

  • Da – način rada koji pokreće klijent. Telefon pokreće pregovore o sigurnosti medijskog zrakoplova.
  • Ne – način rada koji pokreće poslužitelj. Poslužitelj pokreće pregovore o sigurnosti medijske ravnine. Telefon ne pokreće pregovore, ali može obraditi zahtjeve za pregovaranje s poslužitelja kako bi uspostavio sigurne pozive.

Zadano: Ne

MediaSec samo preko TLS

Određuje protokol signalizacijskog prijenosa na koji se primjenjuju pregovori o sigurnosti medijskih zrakoplova.

Prije postavljanja ovog polja na Da, provjerite je li protokol signalizacije prijenosa TLS.

Učinite jedno od sljedećega:

  • U konfiguracijskoj datoteci telefona s XML-om (cfg.XML) unesite niz u ovom formatu:

    <MediaSec_Over_TLS_Only_1_ ua="na">Ne</MediaSec_Over_TLS_Only_1_>

  • U telefonskom web-sučelju postavite ovo polje na Da ili Ne po potrebi.

Dopuštene vrijednosti: da | ne

  • Da – telefon pokreće ili vodi pregovore o sigurnosti medijske ravnine samo kada je protokol signalnog prijenosa TLS.
  • Ne – telefon pokreće i vodi pregovore o sigurnosti medijske ravnine bez obzira na protokol signalizacijskog prijenosa.

Zadano: Ne

4

Kliknite Pošalji sve promjene.

Postavljanje profila Wi-Fi

Možete konfigurirati Wi-Fi profil s Phone Web Page ili profila udaljenog uređaja, dinkronizirati i pridružiti profil već dostupnim Wi-Fi mrežama. Ovaj Wi-Fi profil možete koristiti za povezivanje na Wi-Fi. Trenutno se može konfigurirati samo jedan Wi-Fi profil.

Profil sadrži parametre potrebne telefonima za povezivanje s poslužiteljem telefona s Wi-Fi-jem. Kada stvarate i koristite profil Wi-Fi, vi ili vaši korisnici ne morate konfigurirati bežičnu mrežu za pojedinačne telefone.

Wi-Fi profil omogućuje vam da sprječavanje ili ograničavanje promjena u Wi-Fi konfiguraciji na telefonu od strane korisnika.

Preporučujemo da koristite sigurni profil s protokolima omogućenim za šifriranje za zaštitu ključeva i lozinki kada koristite Wi-Fi profil.

Prilikom postavljanja telefona za korištenje metode provjere autentičnosti EAP-FAST u sigurnosnom načinu rada, korisnicima su potrebne pojedinačne vjerodajnice za povezivanje s pristupnom točkom.

1

Pristupite web-stranici telefona.

2

Odaberite Glas > Sustav.

3

U odjeljku Wi-Fi Profil (n), postavite parametre kako je opisano u sljedećoj tablici Parametri za Wi-Fi profil.

Konfiguracija Wi-Fi profila dostupna je i za prijavu korisnika.
4

Kliknite Pošalji sve promjene.

Parametri za Wi-Fi profil

Sljedeća tablica definira funkciju i upotrebu svakog parametra u odjeljku Wi-Fi Profile(n) pod karticom System u Phone Web Page. Također definira sintaksu niza koji se dodaje u konfiguracijsku datoteku telefona (cfg.xml) za konfiguriranje parametra.

ParametarOpis
Naziv mrežeOmogućuje vam da unesete naziv za SSID koji će se prikazati na telefonu. Više profila može imati isti naziv mrežne s različitim načinom sigurnosti.

Učinite jedno od sljedećega:

  • U konfiguracijskoj datoteci telefona s XML-om (cfg.XML) unesite niz u ovom formatu:

    <Network_Name_1_ua="rw">cisco</Network_Name_1_>

  • Na web-stranici telefona unesite naziv SSID.

Zadano: prazno

Sigurnosni način radaOmogućuje vam da odaberite metodu ovjere koja se koristi za siguran pristup Wi-Fi mreži. Ovisno o metodi koju odaberete, pojavit će se polje lozinke tako da možete unijeti vjerodajnice koje su potrebne za pridruživanje Wi-Fi mreži.

Učinite jedno od sljedećega:

  • U konfiguracijskoj datoteci telefona s XML-om (cfg.XML) unesite niz u ovom formatu:

    <Security_Mode_1_ ua="rw">EAP-TLS</Security_Mode_1_> <!-- dostupne mogućnosti: Automatski|EAP-FAST|||PSK||Ništa|EAP-PEAP|EAP-TLS >

  • Na web-stranici telefona odaberite jednu od metoda:
    • Auto
    • EAP-FAST
    • PSK
    • Ništa
    • EAP-PEAP
    • EAP-TLS

Zadano: automatski

Wi-Fi Korisnički IDOmogućuje vam da upišete ID korisnika za mrežni profil.

Ovo je polje dostupno kada način sigurnosti postavite na Automatski, EAP-FAST ili EAP-PEAP. To je obavezno polje i omogućuje maksimalnu duljinu od 32 alfanumerička znaka.

Učinite jedno od sljedećega:

  • U konfiguracijskoj datoteci telefona s XML-om (cfg.XML) unesite niz u ovom formatu:

    <Wi-Fi_User_ID_1_ua="rw"></Wi-Fi_User_ID_1_>

  • Na web-stranici telefona unesite ID korisnika za mrežni profil.

Zadano: prazno

Wi-Fi lozinkaOmogućuje vam unos lozinke za navedeni korisnički ID za Wi-Fi.

Učinite jedno od sljedećega:

  • U konfiguracijskoj datoteci telefona s XML-om (cfg.XML) unesite niz u ovom formatu:

    < Wi-Fi_Password_1_ ua = "RW" > </Wi-Fi_Password_1_ >

  • Na web-stranici telefona unesite lozinku za korisnički ID koji ste dodali.

Zadano: prazno

Frekvencijski opsegOmogućuje vam da odaberete frekvenciju bežičnog signala kojom se koristi WLAN.

Učinite jedno od sljedećega:

  • U konfiguracijskoj datoteci telefona s XML-om (cfg.XML) unesite niz u ovom formatu:

    <Frequency_Band_1_ ua="rw">Auto</Frequency_Band_1_>

  • Na web-stranici telefona odaberite jednu od mogućnosti:
    • Auto
    • 2,4 GHz
    • 5 GHz

Zadano: automatski

Odabir certifikataOmogućuje vam odabir vrste certifikata za početnu prijavu certifikata i obnovu certifikata u bežičnoj mreži. Taj je postupak dostupan samo za provjeru autentičnosti 802.1X.

Učinite jedno od sljedećega:

  • U konfiguracijskoj datoteci telefona s XML-om (cfg.XML) unesite niz u ovom formatu:

    <Certificate_Select_1_ ua="rw">Instalirana proizvodnja</Certificate_Select_1_>

  • Na web-stranici telefona odaberite jednu od mogućnosti:
    • Instalirana proizvodnja
    • Prilagođeno instalirano

Zadana: instalirana proizvodnja