Ručno instalirajte certifikat prilagođenog uređaja

Možete ručno instalirati certifikat prilagođenog uređaja (CDC) na telefon tako da prenesete certifikat s web-stranice administracije telefona.

Prije početka

Prije nego što instalirate certifikat prilagođenog uređaja za telefon, morate imati:

  • Datoteka certifikata (.p12 ili .pfx) spremljena na vašem računalu. Datoteka sadrži certifikat i privatni ključ.
  • Ekstrakt lozinke certifikata. Lozinka se upotrebljava za dešifriranje datoteke certifikata.
1

Pristupite web stranici administracije telefona.

2

Odaberite Certifikat.

3

U odjeljku Dodaj certifikat kliknite na Pregledaj....

4

Prijeđite na certifikat na svom računalu.

5

U polje Ekstrahiranje lozinke unesite lozinku za ekstrakciju certifikata.

6

Kliknite na Prijenos.

Ako su datoteka certifikata i lozinka točni, primit ćete poruku „Certifikat dodan.”. U suprotnom, prijenos ne uspije uz poruku o pogrešci koja naznačuje da se certifikat ne može prenijeti.
7

Da biste provjerili pojedinosti instaliranog certifikata, kliknite na Prikaži u odjeljku Postojeći certifikati.

8

Kako biste uklonili instalirani certifikat s telefona, kliknite na Izbriši u odjeljku Postojeći certifikati.

Nakon što kliknete na gumb, operacija uklanjanja odmah započinje bez potvrde.

Ako je certifikat uspješno uklonjen, primit ćete poruku „Certifikat izbrisan.“.

Automatski instaliraj certifikat prilagođenog uređaja putem SCEP-a

Možete postaviti parametre Simple Certificate Enrollment Protocol (SCEP) za automatsku instalaciju certifikata prilagođenog uređaja (CDC) ako ne želite ručno prenijeti datoteku certifikata ili nemate datoteku certifikata.

Kada su SCEP parametri ispravno konfigurirani, telefon šalje zahtjeve SCEP poslužitelju, a CA certifikat provjerava uređaj pomoću definiranog otiska prsta.

Prije početka

Prije automatske instalacije certifikata prilagođenog uređaja za telefon, morate imati:

  • Adresa SCEP poslužitelja
  • SHA-1 ili SHA-256 otisak prsta korijenskog CA certifikata za SCEP poslužitelj
1

Pristupite web stranici administracije telefona.

2

Odaberite Certifikat.

3

U odjeljku SCEP konfiguracija 1 postavite parametre kako je opisano u sljedećoj tablici Parametri za SCEP konfiguraciju.

4

Kliknite na Pošalji sve promjene.

Parametri za SCEP konfiguraciju

Sljedeća tablica definira funkciju i upotrebu SCEP konfiguracijskih parametara u odjeljku SCEP konfiguracija 1 pod karticom Certifikat u web-sučelju telefona. Također definira sintaksu niza koji se dodaje u konfiguracijsku datoteku telefona (cfg. xml) za konfiguriranje parametra.

Tablica 1. Parametri za SCEP konfiguraciju
ParametarOpis
Poslužitelj

Adresa SCEP poslužitelja. Taj je parametar obavezan.

Učinite nešto od sljedećeg:

  • U konfiguracijskoj datoteci telefona s XML-om (cfg. xml) unesite niz u ovom formatu:

    <CDC_Server_1_ ua="na">http://10.79.57.91</CDC_Server_1_>

  • Na web-stranici telefona unesite adresu SCEP poslužitelja.

Valjane vrijednosti: URL ili IP adresa. HTTPS shema nije podržana.

Zadano Prazno

Korijen CA otisak prsta

SHA256 ili SHA1 otisak prsta Root CA za provjeru valjanosti tijekom SCEP procesa. Taj je parametar obavezan.

Učinite nešto od sljedećeg:

  • U konfiguracijskoj datoteci telefona s XML-om (cfg. xml) unesite niz u ovom formatu:

    <CDC_Root_CA_Otisak_1_ ua="na">12040870625C5B755D73F5925285F8F5FF5D55AF</CDC_Root_CA_Otisak_1_>

  • Na web-stranici telefona unesite valjani otisak prsta.

Zadano Prazno

Lozinka za izazov

Lozinka za izazov za autorizaciju izdavača certifikata (CA) s telefonom tijekom upisa certifikata putem SCEP-a. Taj parametar nije obavezan.

Ovisno o stvarnom SCEP okruženju, ponašanje lozinke za izazov varira.

  • Ako telefon dobije certifikat Cisco RA-e koji komunicira s CA-om, lozinka za izazov nije podržana na CA-u. U tom slučaju, Cisco RA upotrebljava MIC/SUDI telefona za provjeru autentičnosti za pristup CA-u. Telefon koristi MIC/SUDI i za početni upis i za obnovu certifikata.
  • Ako telefon dobije certifikat izravnom komunikacijom s CA-om, lozinka za izazov podržana je na CA-u. Ako je konfigurirano, upotrebljavat će se samo za početni upis. Za obnovu certifikata umjesto toga upotrijebit će se instalirani certifikat.

Učinite nešto od sljedećeg:

  • U konfiguracijskoj datoteci telefona s XML-om (cfg. xml) unesite niz u ovom formatu:

    <CDC_Challenge_Password_1_ ua="na"></CDC_Challenge_Password_1_>

    Lozinka je maskirana u konfiguracijskoj datoteci.

  • Na web-stranici telefona unesite lozinku za izazov.

Zadano Prazno

Konfiguracija SCEP parametara putem DHCP opcije 43

Uz upis SCEP certifikata ručnim konfiguracijama na web-stranici telefona, također možete koristiti DHCP opciju 43 za popunjavanje parametara s DHCP poslužitelja. DHCP opcija 43 je prethodno konfigurirana s SCEP parametrima, kasnije telefon može dohvatiti parametre s DHCP poslužitelja za obavljanje upisa SCEP certifikata.

  • Konfiguracija SCEP parametara putem DHCP opcije 43 dostupna je samo za telefon gdje se vrši vraćanje na tvorničke postavke.
  • Telefoni se ne smiju stavljati u mrežu koja podržava i opciju 43 i daljinsku dodjelu resursa (na primjer, opcije 66,160,159,150 ili dodjelu resursa u oblaku). U suprotnom, telefoni možda neće dobivati konfiguracije opcije 43.

Za upis SCEP certifikata konfiguriranjem SCEP parametara u DHCP opciju 43, učinite sljedeće:

  1. Pripremite SCEP okruženje.

    Informacije o postavljanju SCEP okruženja potražite u dokumentaciji za SCEP poslužitelj.

  2. Postavite DHCP opciju 43 (definirano u 8.4 Informacije o specifičnim dobavljačima, RFC 2132).

    Subopcije (10-15) su rezervirane za metodu:

    Parametar na web-stranici telefonaSuboptionUpišiteDuljina (bajta)Obavezno
    Način rada FIPS10Booleova1Ne*
    Poslužitelj11Gudački208 – duljina (lozinka izazova)Da
    Korijen CA otisak prsta12binarno20 ili 32Da
    Lozinka za izazov13Gudački208 – duljina (poslužitelj)Ne*
    Omogući 802.1X provjeru autentičnosti14Booleova1Ne
    Odabir certifikata15nepotpisani 8-bitni1Ne

    Kada koristite DHCP opciju 43, primijetite sljedeće karakteristike metode:

    • Suboopcije (10 – 15) rezervirane su za Certifikat prilagođenog uređaja (CDC).
    • Maksimalna duljina opcije DHCP 43 je 255 bajtova.
    • Maksimalna duljina lozinke za Poslužitelj + Izazov bit će manja od 208 bajtova.
    • Vrijednost načina rada FIPS u skladu je s konfiguracijom omogućavanja omogućavanja. U suprotnom telefon ne može dohvatiti prethodno instalirani certifikat nakon omogućavanja. Konkretno,
      • Ako će telefon biti registriran u okruženju u kojem je onemogućen FIPS način rada, ne morate konfigurirati parametar FIPS način u DHCP opciji 43. Prema zadanim postavkama onemogućen je FIPS način rada.
      • Ako će telefon biti registriran u okruženju u kojem je omogućen FIPS način rada, morate omogućiti FIPS način rada u DHCP opciji 43. Za više pojedinosti pogledajte Omogućavanje načina rada FIPS.
    • Lozinka u opciji 43 je u jasnom tekstu.

      Ako je lozinka za izazov prazna, telefon upotrebljava MIC/SUDI za početno uključivanje i obnovu certifikata. Ako je konfigurirana lozinka za izazov, ona će se koristiti samo za početno uključivanje, a instalirani certifikat upotrebljavat će se za obnovu certifikata.

    • Omogući provjeru autentičnosti 802.1X i Odabir certifikata upotrebljavaju se samo za telefone u žičnoj mreži.
    • Za identifikaciju modela uređaja upotrebljava se DHCP opcija 60 (identifikator klase dobavljača).

    Sljedeća tablica prikazuje primjer DHCP opcije 43 (pododjeljke 10-15):

    Suboption decimalni/heksadecimalniDuljina vrijednosti (bajt) decimalni/heksadecimalniVrijednostHex vrijednost
    10/0a1/011 (0: Onemogućeno, 1: Omogućeno)01
    11/0b18/12http://10.79.57.91687474703a2f2f31302e37392e35372e3931
    12/0c20/1412040870625c5b755d73f5925285f8f5ff5d55af12040870625c5b755d73f5925285f8f5ff5d55af
    13/0d16/10d233ccf9b9952a1544323333434346394239393532413135
    14/0e1/011 (0: Ne; 1: Da*01
    15/0f1/011 (0: Instalirana proizvodnja; 1: Prilagođeno instalirano) 01

    Sažetak vrijednosti parametra:

    • Način rada FIPS = omogućeno

    • Poslužitelj = http://10.79.57.91

    • Korijenski CA otisak prsta = 12040870625C5B755D73F5925285F8F5FF5D55AF

    • Lozinka za izazov = D233CCF9B9952A15

    • Omogući 802.1X provjeru autentičnosti = Da

    • Odabir certifikata = prilagođeno instalirano

    Sintaksa konačne heksadecimalne vrijednosti je: {<suboption><length><value>}...

    Prema gore navedenim vrijednostima parametara, konačna heksadecimalna vrijednost je sljedeća:

    0a01010b12687474703a2f2f31302e37392e35372e39310c1412040870625C5B755D73F5925285F8F5FF5D55AF0d10443233334343463942393935324131350e01010f0101

  3. Konfigurirajte DHCP opciju 43 na DHCP poslužitelju.

    Ovaj korak pruža primjer konfiguracija DHCP opcije 43 na Cisco mrežnom registru.

    1. Dodajte postavljenu definiciju DHCP opcije.

      Niz mogućnosti dobavljača naziv je modela IP telefona. Valjana vrijednost je: DP-9841, DP-9851, DP-9861, DP-9871 ili CP-8875.

    2. Dodajte DHCP opciju 43 i podopcije postavljenoj definiciji DHCP opcije.

      Primjer:

      Snimka zaslona DHCP opcije 43 definicije u Cisco mrežnom registru

    3. Dodajte opcije 43 DHCP politici i postavite vrijednost na sljedeći način:

      Primjer:

      (10 1)(11 http://10.79.57.91)(12 12040870625C5B755D73F5925285F8F5FF5D55AF)(13 D233CCF9B9952A15)(14 1)(15 1)

    4. Provjerite postavke. Pomoću značajke Wireshark možete snimiti trag mrežnog prometa između telefona i usluge.
  4. Izvršite vraćanje telefona na tvorničke postavke.

    Nakon ponovnog postavljanja telefona parametri Poslužitelj, Korijenski CA otisak prsta i Lozinka izazova automatski će se ispuniti. Ti se parametri nalaze u odjeljku SCEP konfiguracija 1 iz certifikata > na web-stranici administracije telefona.

    Da biste provjerili pojedinosti instaliranog certifikata, kliknite na Prikaži u odjeljku Postojeći certifikati.

    Kako biste provjerili status instalacije certifikata, odaberite Certifikat > Status prilagođenog certifikata. Status Preuzimanja 1 prikazuje najnoviji rezultat. Ako dođe do problema tijekom registracije certifikata, status preuzimanja može prikazati razlog problema u svrhu rješavanja problema.

    Ako provjera autentičnosti lozinke za izazov ne uspije, od korisnika će se zatražiti da unesu lozinku na zaslonu telefona.
  5. (Neobavezno): Kako biste uklonili instalirani certifikat s telefona, kliknite na Izbriši u odjeljku Postojeći certifikati.
    Nakon što kliknete na gumb, operacija uklanjanja odmah započinje bez potvrde.

Obnova certifikata od strane SCEP-a

Certifikat uređaja može se automatski osvježiti SCEP postupkom.

  • Telefon provjerava hoće li certifikat isteći za 15 dana svaka 4 sata. U tom slučaju telefon automatski pokreće postupak obnove certifikata.
  • Ako je lozinka za izazov prazna, telefon upotrebljava MIC/SUDI i za početno uključivanje i za obnovu certifikata. Ako je konfigurirana lozinka za izazov, koristi se samo za početno uključivanje, postojeći/instalirani certifikat upotrebljava se za obnovu certifikata.
  • Telefon ne uklanja stari certifikat uređaja dok ne dohvaća novi.
  • Ako obnova certifikata ne uspije jer certifikat uređaja ili CA istječe, telefon će automatski pokrenuti početno uključivanje. U međuvremenu, ako provjera autentičnosti lozinke za izazov ne uspije, na zaslonu telefona pojavljuje se zaslon za unos lozinke, a od korisnika se traži da unesu lozinku za izazov.

Omogući način rada FIPS

Možete učiniti telefon sukladnim saveznim standardima za obradu informacija (FIPS).

FIPS su skup standarda koji opisuju obradu dokumenata, algoritme za šifriranje i ostale standarde informacijske tehnologije za upotrebu u nevojnoj vladi i od strane državnih izvršitelja i dobavljača koji rade s agencijama. CiscoSSL FOM (FIPS Object Module) pažljivo je definirana softverska komponenta dizajnirana za kompatibilnost s CiscoSSL bibliotekom, tako da se proizvodi koji koriste CiscoSSL biblioteku i API mogu konvertirati u korištenje FIPS 140-2 ovjerene kriptografije uz minimalni napor.

1

Pristupite web stranici administracije telefona.

2

Odaberite Glas > Sustav.

3

U Postavke sigurnostiodjeljak, odaberite Daili Neiz Način rada FIPSparametar.

4

Kliknite na Pošalji sve promjene.

Kada omogućite FIPS, sljedeće značajke besprijekorno rade na telefonu:
  • Provjera autentičnosti slike
  • Sigurna pohrana
  • Šifriranje konfiguracijske datoteke
  • tls:
    • HTTP-ovi
    • PRT prijenos
    • Nadogradnja firmvera
    • Ponovna sinkronizacija profila
    • Omogućavanje usluge
    • Omogućavanje za Webex
    • SRTP preko TLS-a
    • 802.1x (ožičeno)
  • SIP sažetak (RFC 8760)
  • srtp
  • Zapisnici Webex poziva i Webex direktorij
  • Jedan gumb za pritisak (OBTP)

Ručno uklonite sigurnosni certifikat

Sigurnosni certifikat možete ručno ukloniti ako nije dostupan protokol Simple Certificate Enrollment Protocol (SCEP).

1

Na web-stranici administracije telefona odaberite Certifikati.

2

Pronađite certifikat na stranici Certifikati.

3

Kliknite Izbriši.

4

Ponovno pokrenite telefon po dovršetku postupka brisanja.

Postavljanje lozinke korisnika i administratora

Nakon što je telefon prvi put registriran u sustavu upravljanja pozivima ili nakon vraćanja na tvorničke postavke telefona, morate postaviti korisničku i administratorsku lozinku kako biste poboljšali sigurnost telefona. Promjene s web-stranice telefona možete poslati tek nakon postavljanja lozinke.

Prema zadanim postavkama na telefonu nije omogućeno upozorenje o lozinci. Kada telefon nema korisničku ili administratorsku lozinku, prikazuju se sljedeća upozorenja:

  • Web-stranica telefona prikazuje „Nije navedena administratorska lozinka. Web je u načinu rada samo za čitanje i ne možete slati promjene. Promijenite lozinku.“ u gornjem lijevom kutu.

    Polja Korisnička lozinka i Administratorska lozinka prikazuju upozorenje „Nije navedena lozinka” ako je prazna.

  • Na Problemi i dijagnostika zaslona telefona prikazuje problem „Nije navedena lozinka”.
1

Pristupite web stranici administracije telefona

2

Odaberite Glas > Sustav.

3

(Neobavezno) U odjeljku Konfiguracija sustava postavite parametar Prikaži upozorenja lozinke na Da, a zatim kliknite na Pošalji sve promjene.

Parametre možete omogućiti i u konfiguracijskoj datoteci telefona (cfg. xml).

<Display_Password_Warnings ua="na">Da</Display_Password_Warnings>

Zadano Da

Neobavezno Da|Ne

Kada je parametar postavljen na Ne, upozorenje o lozinci ne pojavljuje se ni na web-stranici ni na zaslonu telefona. Također, način rada samo spreman za web-stranicu neće se aktivirati iako je lozinka prazna.

4

Pronađite parametar Korisnička lozinka ili Administratorska lozinka, a zatim kliknite Promijeni lozinku pokraj parametra.

5

Unesite trenutačnu korisničku lozinku u polje Stara lozinka.

Ako nemate lozinku, polje ostavite praznim. Zadana vrijednost je prazna.
6

Unesite novu lozinku u polje Nova lozinka.

7

Kliknite na Pošalji.

Poruka Lozinka uspješno je promijenjena. prikazat će se na web-stranici. Web-stranica će se osvježiti za nekoliko sekundi. Upozorenje pored parametra će nestati.

Nakon što postavite korisničku lozinku, ovaj parametar prikazuje sljedeće u XML datoteci konfiguracije telefona (cfg. xml):

<!-- <Admin_Password ua="na">;*************</Admin_Password> <User_Password ua="rw">;*************</User_Password> -->

Ako primite kôd pogreške 403 kada pokušate pristupiti web-stranici telefona, morate postaviti korisnički ili administratorsku lozinku omogućavanjem u konfiguracijskoj datoteci telefona (cfg. xml). Na primjer, unesite niz u ovom formatu:

<admin_Password ua="na">P0ssw0rd_tes89</Admin_Password>

<User_Password ua="rw">Abc123</User_Password>

802.1X provjera autentičnosti

Cisco IP telefoni podržavaju provjeru autentičnosti 802.1X.

Cisco IP telefoni i sklopke Cisco Catalyst tradicionalno koriste Cisco Discovery Protocol (CDP) za međusobnu identifikaciju i određivanje parametara kao što su VLAN dodjela i zahtjevi unutar linije za napajanje. CDP ne identificira lokalno priključene radne stanice. Cisco IP telefoni pružaju EAPOL mehanizam prolaska. Ovaj mehanizam omogućuje radnoj stanici priključenoj na Cisco IP telefon da prosljeđuje EAPOL poruke na 802.1X autentifikator na LAN sklopki. Mehanizam prolaska osigurava da IP telefon ne djeluje kao LAN prekidač za provjeru autentičnosti krajnje točke podataka prije pristupa mreži.

Cisco IP telefoni također pružaju proxy EAPOL Logoff mehanizam. Ako se lokalno priključeno računalo prekine vezu s IP telefonom, LAN prekidač ne vidi fizičku vezu ne uspije, jer se održava veza između LAN sklopke i IP telefona. Kako bi se izbjeglo ugrožavanje integriteta mreže, IP telefon šalje EAPOL-Logoff poruku sklopci u ime silaznog računala, koja pokreće LAN prekidač za brisanje unosa provjere autentičnosti za silazno računalo.

Podrška za provjeru autentičnosti 802.1X zahtijeva nekoliko komponenti:

  • Cisco IP telefoni Telefon pokreće zahtjev za pristup mreži. Cisco IP telefoni sadrže dobavljača 802.1X. Ovaj dobavljač administratorima mreže omogućuje upravljanje povezivanjem IP telefona s priključcima za LAN prebacivanje. Trenutno izdanje dobavljača telefona 802.1X koristi EAP-FAST i EAP-TLS opcije za provjeru autentičnosti mreže.

  • usluga provjere autentičnosti Poslužitelj za provjeru autentičnosti i sklopka moraju biti konfigurirani s dijeljenom tajnom koja provjerava autentičnost telefona.

  • Promijeni: Prekidač mora podržavati 802.1X kako bi mogao djelovati kao alat za provjeru autentičnosti i prosljeđivati poruke između telefona i poslužitelja za provjeru autentičnosti. Po dovršetku razmjene, prekidač dodjeljuje ili uskraćuje pristup telefonu mreži.

Morate izvršiti sljedeće radnje za konfiguriranje 802.1X.

  • Konfigurirajte ostale komponente prije nego što omogućite 802.1X provjeru autentičnosti na telefonu.

  • Konfiguriraj priključak za osobno računalo: 802.1X standard ne uzima u obzir VLAN-ove i stoga preporučuje da samo jedan uređaj treba biti provjeren autentičnost za određeni priključak prekidača. Međutim, neki prekidači podržavaju provjeru autentičnosti u više domena. Konfiguracija preklopnika određuje možete li PC povezati na PC priključak telefona.

    • Omogućeno: Ako upotrebljavate prekidač koji podržava provjeru autentičnosti u više domena, možete omogućiti ulaz računala i povezati računalo s njim. U tom slučaju, Cisco IP telefoni podržavaju proxy EAPOL-Logoff za praćenje razmjene provjere autentičnosti između sklopke i priloženog računala.

      Za više informacija o IEEE 802.1X podršci na prekidačima Cisco Catalyst pogledajte vodiče za konfiguraciju prebacivanja Cisco Catalyst na:

      http://www.cisco.com/en/US/products/hw/switches/ps708/tsd_products_support_series_home.html

    • Onemogućeno: Ako prekidač ne podržava više uređaja sukladnih s 802.1X na istom ulazu, onemogućite priključak računala kada je omogućena provjera autentičnosti 802.1X. Ako ne onemogućite taj priključak, a zatim pokušate priložiti osobno računalo, preklopnik uskraćuje mrežni pristup telefonu i osobnom računalu.

  • Konfiguriranje glasovnog VLAN-a: Budući da standard 802.1X ne računa za VLAN-ove, trebali biste konfigurirati ovu postavku na temelju podrške za prebacivanje.
    • Omogućeno: Ako upotrebljavate prekidač koji podržava provjeru autentičnosti u više domena, možete ga nastaviti upotrebljavati glasovni VLAN.
    • Onemogućeno: Ako prekidač ne podržava provjeru autentičnosti u više domena, onemogućite glasovni VLAN i razmislite o dodjeljivanju ulaza nativnom VLAN-u.
  • (Samo za Cisco stolni telefon serije 9800)

    Cisco stolni telefon serije 9800 ima drugačiji predbroj u PID-u od predbroja za druge Cisco telefone. Da biste omogućili telefonu da prođe provjeru autentičnosti 802.1X, postavite parametar Radius·User-Name tako da uključuje svoj Cisco stolni telefon serije 9800.

    Na primjer, PID telefona 9841 je DP-9841; možete postaviti Radius·Korisničko ime za Početak s DP ili Sadrži DP. Možete ga postaviti u oba sljedeća odjeljka:

    • Pravila > Uvjeti > Uvjeti biblioteke

    • Pravila > Postavljanje pravila > Pravila autorizacije > Pravilo autorizacije 1

Omogući 802.1X provjeru autentičnosti

Kada je omogućena provjera autentičnosti 802.1X, telefon koristi provjeru autentičnosti 802.1X za traženje pristupa mreži. Kada je onemogućena provjera autentičnosti 802.1X, telefon koristi Cisco Discovery Protocol (CDP) za dobivanje VLAN-a i pristupa mreži. Također možete vidjeti status transakcije i promijeniti na izborniku zaslona telefona.

Kada je omogućena provjera autentičnosti 802.1X, možete odabrati i certifikat uređaja (MIC/SUDI ili prilagođeni) za početnu registraciju i obnovu certifikata. Obično je MIC za Cisco Video Phone 8875, SUDI za Cisco Desk Phone serije 9800. CDC se može koristiti za provjeru autentičnosti samo u 802.1x.

1

Izvršite jednu od sljedećih radnji kako biste omogućili provjeru autentičnosti 802.1X:

  • U web-sučelju telefona odaberite Glas > Sustav i postavite parametar Omogući provjeru autentičnosti 802.1X na Da. Zatim kliknite na Pošalji sve promjene.
  • U konfiguracijskoj datoteci (cfg. xml) unesite niz u ovom formatu:

    <Enable_802.1X_Authentication ua="rw">Da</Enable_802.1X_Authentication>

    Valjane vrijednosti: Da|Ne

    Zadano Ne

  • Na telefonu pritisnite Postavkethe Settings hard key, a zatim idite na Mreža i usluga > Sigurnosne postavke > 802.1X provjera autentičnosti. Uključite polje Provjera autentičnosti uređaja , a zatim odaberite Primijeni.
Tablica 2 Parametri za provjeru autentičnosti 802.1X na zaslonu telefona

Parametri

Opcije

Zadano

Opis

Provjera autentičnosti uređaja

Uključeno

Isključeno

Isključeno

Omogućite ili onemogućite 802.1X provjeru autentičnosti na telefonu.

Status transakcije

Onemogućeno

Prikazuje stanje provjere autentičnosti 802.1X. Država može biti (nije ograničena na):

  • Provjera autentičnosti Naznačuje da je postupak provjere autentičnosti u tijeku.
  • Provjera autentičnosti Naznačuje da je telefonu potvrđena autentičnost.
  • Onemogućeno: Naznačuje da je na telefonu onemogućena provjera autentičnosti 802.1x.

Protokol

Ništa

Prikazuje EAP metodu koja se koristi za provjeru autentičnosti 802.1X. Protokol može biti EAP-FAST ili EAP-TLS.

Vrsta certifikata korisnika

Proizvodnja instalirana

Prilagođeno instalirano

Proizvodnja instalirana

Odaberite certifikat za provjeru autentičnosti 802.1X tijekom početnog uključivanja i obnove certifikata.

  • Instalirana proizvodnja – upotrebljavaju se certifikat instalirane proizvodnje (MIC) i sigurni jedinstveni identifikator uređaja (SUDI).
  • Prilagođeno instalirano – koristi se certifikat prilagođenog uređaja (CDC). Ova vrsta certifikata može se instalirati ručnim prijenosom na web-stranici telefona ili instaliranjem s poslužitelja Simple Certificate Enrollment Protocol (SCEP).

Taj se parametar pojavljuje na telefonu samo ako je omogućena Provjera autentičnosti uređaja.

2

Odaberite certifikat (MIC ili prilagođeni) za provjeru autentičnosti 802.1X na web-stranici telefona.

  • Za žičanu mrežu odaberite Glas > Sustav, odaberite vrstu certifikata s padajućeg popisa Odabir certifikata u odjeljku 802.1X Provjera autentičnosti.

    Ovaj parametar možete konfigurirati i u konfiguracijskoj datoteci (cfg. xml):

    <Certificate_Select ua="rw">Prilagođeno instalirano</Certificate_Select>

    Valjane vrijednosti: Instalirana proizvodnja|Prilagođeno instalirano

    Zadano Proizvodnja instalirana

  • Za bežičnu mrežu odaberite Glas > Sustav, odaberite vrstu certifikata s padajućeg popisa Odabir certifikata u odjeljku Wi-Fi profil 1.

    Ovaj parametar možete konfigurirati i u konfiguracijskoj datoteci (cfg. xml):

    <Wi-Fi_Certificate_Select_1_ ua="rw">Prilagođeno instalirano</Wi-Fi_Certificate_Select_1_>

    Valjane vrijednosti: Instalirana proizvodnja|Prilagođeno instalirano

    Zadano Proizvodnja instalirana

Informacije o tome kako odabrati vrstu certifikata na zaslonu telefona potražite u odjeljku Povezivanje telefona s Wi-Fi mrežom.

Omogući način rada koji je pokrenuo klijent za pregovore o sigurnosti zračnog prostora medija

Da biste zaštitili medijske sesije, možete konfigurirati telefon za pokretanje pregovora o sigurnosti zračnog prostora medija s poslužiteljem. Sigurnosni mehanizam prati standarde navedene u RFC 3329 i njegovom nacrtu proširenja naziva sigurnosnog mehanizma za medije (vidi https://tools.ietf.org/html/draft-dawes-sipcore-mediasec-parameter-08#ref-2). Prijenos pregovora između telefona i poslužitelja može koristiti SIP protokol preko UDP, TCP i TLS. Možete ograničiti da se pregovaranje o sigurnosti zračnog prostora medija primjenjuje samo kada je protokol za prijenos signalizacije TLS.

1

Pristupite web stranici administracije telefona.

2

Odaberite Glas > kućni broj (n).

3

U SIP postavkeodjeljak, postavite MediaSec zahtjevi MediaSec samo preko TLS-apolja kako je definirano u sljedećoj tablici:

Tablica 2 Parametri za pregovaranje o sigurnosti zračnog prostora medija
ParametarOpis

MediaSec zahtjev

Određuje hoće li telefon pokrenuti pregovore o sigurnosti zračnog prostora s poslužiteljem.

Učinite nešto od sljedećeg:

  • U konfiguracijskoj datoteci telefona s XML-om (cfg. xml) unesite niz u ovom formatu:

    <MediaSec_Request_1_ ua="na">Da</MediaSec_Request_1_>
  • U web-sučelju telefona postavite ovo polje na Da ili Ne prema potrebi.

Dopuštene vrijednosti: Da|Ne

  • Da – način rada koji pokreće klijent. Telefon započinje pregovore o sigurnosti medijskog aviona.
  • Ne– način rada koji pokreće poslužitelj. Poslužitelj pokreće pregovore o sigurnosti zračnog prostora medija. Telefon ne pokreće pregovore, ali može obraditi zahtjeve za pregovaranje s poslužitelja kako bi uspostavio sigurne pozive.

Zadano Ne

MediaSec samo preko TLS-a

Određuje protokol signalizacijskog prijenosa preko kojeg se primjenjuje pregovaranje o sigurnosti zračnog prostora medija.

Prije nego što ovo polje postavite na Da, provjerite je li protokol za prijenos signalizacije TLS.

Učinite nešto od sljedećeg:

  • U konfiguracijskoj datoteci telefona s XML-om (cfg. xml) unesite niz u ovom formatu:

    <MediaSec_Over_TLS_Only_1_ ua="na">Ne</MediaSec_Over_TLS_Only_1_>

  • U web-sučelju telefona postavite ovo polje na Da ili Ne prema potrebi.

Dopuštene vrijednosti: Da|Ne

  • Da – telefon pokreće ili upravlja pregovorima o sigurnosti zračnog prostora medija samo kada je protokol za prijenos signala TLS.
  • Ne – telefon pokreće i upravlja pregovorima o sigurnosti zračnog prostora medija bez obzira na protokol prijenosa signala.

Zadano Ne

4

Kliknite na Pošalji sve promjene.

Sigurnost WLAN-a

Budući da svi WLAN uređaji koji su u dometu mogu primati sav drugi WLAN promet, osiguravanje glasovne komunikacije ključno je u WLAN-ovima. Kako biste osigurali da uljezi ne manipuliraju ili presreću glasovni promet, Cisco SAFE Security arhitektura podržava telefon. Za više informacija o sigurnosti u mrežama pogledajte http://www.cisco.com/en/US/netsol/ns744/networking_solutions_program_home.html.

Rješenje Cisco bežične IP telefonije pruža sigurnost bežične mreže koja sprečava neovlaštene prijave i kompromitiranu komunikaciju pomoću sljedećih metoda provjere autentičnosti koje telefon podržava:

  • Otvori provjeru autentičnosti: Bilo koji bežični uređaj može zatražiti provjeru autentičnosti u otvorenom sustavu. AP koji prima zahtjev može dodijeliti provjeru autentičnosti bilo kojem podnositelju zahtjeva ili samo podnositeljima zahtjeva koji se nalaze na popisu korisnika. Komunikacija između bežičnog uređaja i pristupne točke (AP) može biti nešifrirana.

  • Prošireni protokol provjere autentičnosti – fleksibilna provjera autentičnosti putem sigurnog tuneliranja (EAP-FAST): Ova sigurnosna arhitektura klijenta-poslužitelja šifrira EAP transakcije unutar tunela Transport Level Security (TLS) između AP i RADIUS poslužitelja, kao što je Identity Services Engine (ISE).

    TLS tunel koristi vjerodajnice za zaštićeni pristup (PAC-ove) za provjeru autentičnosti između klijenta (telefona) i RADIUS poslužitelja. Poslužitelj klijentu (telefonu) šalje ID autoriteta (AID), koji zauzvrat odabire odgovarajući PAC. Klijent (telefon) vraća PAC-Opaque na RADIUS poslužitelj. Poslužitelj dešifrira PAC s primarnim ključem. Obje krajnje točke sada sadrže PAC tipku i izrađen je TLS tunel. EAP-FAST podržava automatsko dodjeljivanje PAC-a, ali morate je omogućiti na RADIUS poslužitelju.

    U ISE-u, prema zadanim postavkama, PAC istječe za tjedan dana. Ako telefon ima PAC koji je istekao, provjera autentičnosti na RADIUS poslužitelju traje dulje dok telefon dobije novi PAC. Kako biste izbjegli kašnjenja u PAC omogućavanju, postavite razdoblje isteka PAC-a na 90 dana ili više na ISE ili RADIUS poslužitelju.

  • Provjera autentičnosti proširenim protokolom – sigurnost prijenosa sloja (EAP-TLS): EAP-TLS zahtijeva certifikat klijenta za provjeru autentičnosti i pristup mreži. Za bežični EAP-TLS certifikat klijenta može biti MIC, LSC ili certifikat instaliran od strane korisnika.

  • Zaštićeni prošireni protokol za provjeru autentičnosti (PEAP): Cisco vlasnička shema međusobne provjere autentičnosti temeljem lozinke između klijenta (telefona) i RADIUS poslužitelja. Telefon može koristiti PEAP za provjeru autentičnosti s bežičnom mrežom. Podržane su i PEAP MSCHAPV2 i PEAP GTC metode provjere autentičnosti.

  • Prethodno podijeljeni ključ (PSK): Telefon podržava ASCII format. Taj format morate koristiti prilikom postavljanja prethodno podijeljenog ključa WPA/WPA2/SAE:

    ASCII: ASCII-znakovni niz od 8 do 63 znaka (0 – 9, mala i velika slova A – Z i posebni znakovi)

    Primjer: GREG123567@9ZX&W

Sljedeće sheme provjere autentičnosti upotrebljavaju RADIUS poslužitelj za upravljanje ključevima za provjeru autentičnosti:

  • wpa/wpa2/wpa3: Upotrebljava informacije o RADIUS poslužitelju za generiranje jedinstvenih ključeva za provjeru autentičnosti. Budući da se ti ključevi generiraju na centraliziranom RADIUS poslužitelju, WPA2/WPA3 pruža više sigurnosti od WPA unaprijed dijeljenih ključeva koji su pohranjeni na AP-ju i telefonu.

  • Brzo sigurno roaming: Koristi RADIUS poslužitelj i informacije o bežičnom poslužitelju domene (WDS) za upravljanje i provjeru autentičnosti ključeva. WDS stvara predmemoriju sigurnosnih vjerodajnica za klijentske uređaje s podrškom za FT za brzu i sigurnu ponovnu provjeru autentičnosti. Cisco stolni telefoni 9861 i 9871 i Cisco videotelefon 8875 podržavaju 802.11r (FT). I preko zraka i preko DS-a podržani su kako bi se omogućilo brzo sigurno roaming. Ali toplo preporučujemo upotrebu metode 802.11r (FT) preko zraka.

S WPA/WPA2/WPA3 ključevi za šifriranje ne unose se na telefon, već se automatski izvode između AP i telefona. No, EAP korisničko ime i lozinka koji se koriste za provjeru autentičnosti moraju se unijeti na svakom telefonu.

Kako bi se osigurao siguran glasovni promet, telefon podržava TKIP i AES za šifriranje. Kada se ti mehanizmi koriste za šifriranje, signalizacijski SIP paketi i glasovni paketi protokola prijenosa u stvarnom vremenu (RTP) šifriraju se između AP-a i telefona.

tkip

WPA koristi TKIP šifriranje koje ima nekoliko poboljšanja u odnosu na WEP. TKIP pruža šifru po paketu ključeva i duže vektore inicijalizacije (IV-ove) koji jačaju šifriranje. Osim toga, provjera integriteta poruke (MIC) osigurava da se šifrirani paketi ne mijenjaju. TKIP uklanja predvidljivost WEP-a koja pomaže uljezima dešifrirati WEP ključ.

aes

Metoda šifriranja koja se koristi za WPA2/WPA3 provjeru autentičnosti. Ovaj nacionalni standard za šifriranje koristi simetrični algoritam koji ima isti ključ za šifriranje i dešifriranje. AES koristi šifriranje lanca blokiranja šifri (CBC) veličine 128 bita, što podržava najmanje veličine ključeva od 128 bita, 192 bita i 256 bita. Telefon podržava veličinu ključa od 256 bita.

Cisco stolni telefoni 9861 i 9871 i Cisco videotelefon 8875 ne podržavaju protokol integriteta ključa Cisco (CKIP) s CMIC-om.

Sheme provjere autentičnosti i šifriranja postavljene su unutar bežičnog LAN-a. VLAN-ovi su konfigurirani u mreži i na pristupnim točkama te navode različite kombinacije provjere autentičnosti i šifriranja. SSID se povezuje s VLAN-om i određenom shemom provjere autentičnosti i šifriranja. Kako bi se uspješno provjerila autentičnost uređaja bežičnih klijenata, morate konfigurirati iste SSID-ove s njihovim shemama provjere autentičnosti i šifriranja na AP-ovima i na telefonu.

Neke sheme provjere autentičnosti zahtijevaju određene vrste šifriranja.

  • Kada koristite prethodno dijeljeni ključ WPA, prethodno dijeljeni ključ WPA2 ili SAE, prethodno dijeljeni ključ mora biti statički postavljen na telefonu. Ti ključevi moraju odgovarati ključevima koji se nalaze na pristupnoj točki.

  • Telefon podržava automatsko EAP pregovaranje za FAST ili PEAP, ali ne i za TLS. Za način rada EAP-TLS morate ga navesti.

Sheme provjere autentičnosti i šifriranja u sljedećoj tablici prikazuju mogućnosti mrežne konfiguracije za telefon koje odgovaraju AP konfiguraciji.

Tablica 2 Sheme provjere autentičnosti i šifriranja
Vrsta FSR-aProvjera autentičnostiUpravljanje ključevimaŠifriranjeZaštićeni okvir upravljanja (PMF)
802.11r (FT)psk

wpa- psk

wpa-psk-sha256

ft-psk

aesNe
802.11r (FT)WPA3

sae

ft-sae

aesDa
802.11r (FT)eap-tls

wpa-eap

ft-eap

aesNe
802.11r (FT)eap-tls (wpa3)

wpa-eap-sha256

ft-eap

aesDa
802.11r (FT)brzo

wpa-eap

ft-eap

aesNe
802.11r (FT)brza eap (wpa3)

wpa-eap-sha256

ft-eap

aesDa
802.11r (FT)eap- peap

wpa-eap

ft-eap

aesNe
802.11r (FT)eap- peap (wpa3)

wpa-eap-sha256

ft-eap

aesDa

Postavljanje Wi-Fi profila

Možete konfigurirati Wi-Fi profil s Phone Web Page ili profila udaljenog uređaja ponovno sinkronizirati i povezati profil s dostupnim Wi-Fi mrežama. Ovaj Wi-Fi profil možete koristiti za povezivanje na Wi-Fi. Trenutačno se može konfigurirati samo jedan Wi-Fi profil.

Profil sadrži parametre potrebne telefonima za povezivanje s poslužiteljem telefona s Wi-Fi-jem. Prilikom stvaranja i korištenja Wi-Fi profila, vi ili vaši korisnici ne morate konfigurirati bežičnu mrežu za pojedinačne telefone.

Wi-Fi profil omogućuje vam da spriječite ili ograničite promjene u Wi-Fi konfiguraciji na telefonu od strane korisnika.

Preporučujemo da koristite siguran profil s protokolima s omogućenim šifriranjem za zaštitu ključeva i lozinki kada koristite Wi-Fi profil.

Prilikom postavljanja telefona za korištenje EAP-FAST metode provjere autentičnosti u sigurnosnom načinu rada, korisnici trebaju pojedinačne vjerodajnice da se povežu s pristupnom točkom.

1

Pristupite web-stranici telefona.

2

Odaberite Glas > Sustav.

3

U odjeljku Wi-Fi profil (n) postavite parametre kako je opisano u sljedećoj tablici Parametri za Wi-Fi profil.

Konfiguracija Wi-Fi profila dostupna je i za prijavu korisnika.
4

Kliknite na Pošalji sve promjene.

Parametri za Wi-Fi profil

Sljedeća tablica definira funkciju i upotrebu svakog parametra u odjeljku Wi-Fi profil(n) pod karticom Sustav na web-stranici telefona. Također definira sintaksu niza koji se dodaje u konfiguracijsku datoteku telefona (cfg. xml) za konfiguriranje parametra.

ParametarOpis
Naziv mrežeOmogućuje vam da unesete naziv za SSID koji će se prikazati na telefonu. Više profila može imati isti naziv mrežne s različitim načinom sigurnosti.

Učinite nešto od sljedećeg:

  • U konfiguracijskoj datoteci telefona s XML-om (cfg. xml) unesite niz u ovom formatu:

    <Network_Name_1_ ua="rw">cisco</Network_Name_1_>

  • Na web-stranici telefona unesite naziv za SSID.

Zadano Prazno

Sigurnosni način radaOmogućuje vam da odaberete metodu provjere autentičnosti koja se koristi za siguran pristup Wi-Fi mreži. Ovisno o metodi koju odaberete, pojavit će se polje za lozinku kako biste mogli navesti vjerodajnice potrebne za pridruživanje Wi-Fi mreži.

Učinite nešto od sljedećeg:

  • U konfiguracijskoj datoteci telefona s XML-om (cfg. xml) unesite niz u ovom formatu:

    <Security_Mode_1_ ua="rw">EAP-TLS</Security_Mode_1_> <!-- dostupne opcije: Automatski|EAP-BRZO|||PSK||Ništa|EAP-PEAP|EAP-TLS -->

  • Na web-stranici telefona odaberite jednu od metoda:
    • Automatski
    • brzo
    • psk
    • Ništa
    • eap- peap
    • eap-tls

Zadano Automatski

Wi-Fi korisnički IDOmogućuje vam da unesete ID korisnika za mrežni profil.

Ovo polje je dostupno kada postavite način sigurnosti na automatski, EAP brzo ili EAP PEAP. To je obavezno polje i omogućuje maksimalnu duljinu od 32 alfanumerička znaka.

Učinite nešto od sljedećeg:

  • U konfiguracijskoj datoteci telefona s XML-om (cfg. xml) unesite niz u ovom formatu:

    <Wi-Fi_User_ID_1_ua="rw"></Wi-Fi_User_ID_1_>

  • Na web-stranici telefona unesite korisnički ID za mrežni profil.

Zadano Prazno

Wi-Fi lozinkaOmogućuje vam unos lozinke za navedeni korisnički ID za Wi-Fi.

Učinite nešto od sljedećeg:

  • U konfiguracijskoj datoteci telefona s XML-om (cfg. xml) unesite niz u ovom formatu:

    <Wi-Fi_Password_1_ ua="rw"></Wi-Fi_Password_1_>

  • Na web-stranici telefona unesite lozinku za korisnički ID koji ste dodali.

Zadano Prazno

Frekvencijski pojasOmogućuje vam da odaberete opseg učestalosti bežičnog signala koji koristi WLAN.

Učinite nešto od sljedećeg:

  • U konfiguracijskoj datoteci telefona s XML-om (cfg. xml) unesite niz u ovom formatu:

    <Frequency_Band_1_ ua="rw">Automatski</Frequency_Band_1_>

  • Na web-stranici telefona odaberite jednu od opcija:
    • Automatski
    • 2,4 GHz
    • 5 GHz

Zadano Automatski

Odabir certifikataOmogućuje vam odabir vrste certifikata za početno uključivanje certifikata i obnovu certifikata u bežičnu mrežu. Taj je postupak dostupan samo za provjeru autentičnosti 802.1X.

Učinite nešto od sljedećeg:

  • U konfiguracijskoj datoteci telefona s XML-om (cfg. xml) unesite niz u ovom formatu:

    <Certificate_Select_1_ ua="rw">Instalirana je proizvodnja</Certificate_Select_1_>

  • Na web-stranici telefona odaberite jednu od opcija:
    • Proizvodnja instalirana
    • Prilagođeno instalirano

Zadano Proizvodnja instalirana