Instalacija prilagođenog certifikata uređaja

Za instalaciju Custom Device Certificate (CDC) na telefon koristite jedan od sljedećih načina ovisno o vašoj situaciji:

Najnoviji instalirani certifikat na telefonu stupa na snagu.

Ručna instalacija prilagođenog certifikata uređaja prijenosom

Prilagođeni certifikat uređaja (CDC) možete ručno instalirati na telefon prijenosom certifikata s web stranice za administraciju telefona.

Prije nego što počnete

Prije nego što možete instalirati prilagođeni certifikat uređaja za telefon, morate imati:

  • Datoteka certifikata (.p12 ili .pfx) spremljena na vašem računalu. Datoteka sadrži certifikat i privatni ključ.
  • Lozinka za izdvajanje certifikata. Lozinka se koristi za dešifriranje datoteke certifikata.
1

Pristupite web stranici administracije telefona.

2

Odaberite Potvrda.

3

U Dodaj certifikat odjeljak, kliknite Pregledaj....

4

Potražite certifikat na vašem računalu.

5

U polje Izdvoji lozinku unesite lozinku izdvojenu iz certifikata.

6

Kliknite na Prijenos.

Ako su datoteka certifikata i lozinka ispravni, primit ćete poruku " Certifikat dodan. ". U suprotnom, prijenos ne uspijeva uz poruku o pogrešci koja označava da se certifikat ne može prenijeti.
7

Za provjeru detalja instaliranog certifikata kliknite Pogled u Postojeći certifikati odjeljak.

8

Za uklanjanje instaliranog certifikata s telefona kliknite Izbrisati u Postojeći certifikati odjeljak.

Nakon što kliknete gumb, operacija uklanjanja počinje odmah bez potvrde.

Ako je certifikat uspješno uklonjen, primit ćete poruku " Certifikat izbrisan. ".

Automatska instalacija prilagođenog certifikata uređaja putem SCEP-a

Parametre povezane s protokolom za jednostavni upis certifikata (SCEP) možete konfigurirati za interakciju sa SCEP poslužiteljem radi automatske instalacije certifikata prilagođenog uređaja (CDC).

Nakon što je bilo koji od SCEP parametara konfiguriran, telefon će poslati zahtjev za SCEP registraciju poslužitelju. Telefon će provjeriti valjanost primljenog CA certifikata pomoću konfiguriranog otiska prsta.

Prije nego što počnete

Prije nego što možete izvršiti automatsku instalaciju Custom Device Certificate (CDC) za telefon, morate imati:

  • Adresa SCEP poslužitelja
  • SHA-1 ili SHA-256 otisak otiska korijenskog CA certifikata za poslužitelj SCEP
1

Pristupite web stranici administracije telefona.

2

Odaberite Potvrda.

3

U SCEP konfiguracija 1 odjeljak, postavite parametre kako je opisano u Parametri za konfiguraciju SCEP-a .

4

Kliknite Pošalji sve promjene.

Parametri za konfiguraciju SCEP-a

Sljedeća tablica definira funkciju i korištenje SCEP konfiguracijskih parametara u SCEP konfiguracija 1 odjeljak ispod Potvrda Tab u web sučelju telefona. Također definira sintaksu niza koji se dodaje u konfiguracijsku datoteku telefona (cfg.XML) za konfiguriranje parametra.

Bilo kakve promjene parametara uzrokovat će da telefon zatraži novi certifikat.

Tablica 1. Parametri za konfiguraciju SCEP-a
ParametarOpis
Poslužitelj

Adresa SCEP poslužitelja. Ovaj parametar je obavezan.

Učinite jedno od sljedećega:

  • U konfiguracijskoj datoteci telefona s XML-om (cfg.XML) unesite niz u ovom formatu:

    <CDC_Server_1_ ua="na">http://10.79.57.91</CDC_Server_1_>

  • Na web stranici telefona unesite adresu SCEP poslužitelja.

Važeće vrijednosti: URL ili IP adresa. HTTPS shema nije podržana.

Zadano: prazno

Otisak prsta korijenskog CA

SHA256 ili SHA1 otisak prsta korijenskog CA za validaciju tijekom SCEP procesa. Ovaj parametar je obavezan.

Učinite jedno od sljedećega:

  • U konfiguracijskoj datoteci telefona s XML-om (cfg.XML) unesite niz u ovom formatu:

    <CDC_Root_CA_Fingerprint_1_ ua="na">12040870625C5B755D73F5925285F8F5FF5D55AF</CDC_Root_CA_Fingerprint_1_>

  • Na web stranici telefona unesite valjani otisak prsta.

Zadano: prazno

Lozinka izazova

Lozinka za provjeru za autorizaciju Certificate Authority (CA) na telefonu tijekom upisa certifikata putem SCEP-a. Ovaj parametar je opcionalan.

Ovisno o stvarnom SCEP okruženju, ponašanje provjerene lozinke varira.

  • Ako telefon dobije certifikat od Cisco RA koji komunicira s CA, lozinka za provjeru nije podržana na CA. U ovom slučaju, Cisco RA koristi MIC/SUDI telefona za autentifikaciju za pristup CA. Telefon koristi MIC/SUDI i za početni upis i za obnovu certifikata.
  • Ako telefon dobije certifikat izravnom komunikacijom s CA, lozinka za provjeru podržana je na CA. Ako je konfigurirana, koristit će se samo za početnu registraciju. Za obnovu certifikata koristit će se instalirani certifikat.

Učinite jedno od sljedećega:

  • U konfiguracijskoj datoteci telefona s XML-om (cfg.XML) unesite niz u ovom formatu:

    <CDC_Challenge_Password_1_ ua="na"></CDC_Challenge_Password_1_>

    Lozinka je maskirana u konfiguracijskoj datoteci.

  • Na web stranici telefona unesite lozinku za provjeru.

Zadano: prazno

Uobičajeni naziv

Određuje Uobičajeni naziv (CN) koji se koristi kao identifikator za telefon koji zahtijeva certifikat. CN se koristi za zahtjev za potpisivanje certifikata (CSR) u SCEP procesu.

Ovaj parametar također podržava makro varijable za proširenje, vidi Varijable za proširenje makroa za detalje.

Učinite jedno od sljedećega:

  • U konfiguracijskoj datoteci telefona s XML-om (cfg.XML) unesite niz u ovom formatu:

    <CDC_Common_Name_1_ ua="na"></CDC_Common_Name_1_>

  • Na web stranici telefona unesite uobičajeno ime.

Važeće vrijednosti: Najviše 64 znaka

Zadano: prazno

Obnova certifikata od strane SCEP-a

Certifikat uređaja može se automatski osvježiti SCEP procesom.

  • Telefon provjerava hoće li certifikat isteći za 15 dana svaka 4 sata. Ako je tako, telefon automatski pokreće postupak obnove certifikata.
  • Ako je lozinka za izazov prazna, telefon koristi MIC/SUDI za početnu prijavu i obnovu certifikata. Ako je lozinka izazova konfigurirana, koristi se samo za početnu prijavu, postojeći/instalirani certifikat koristi se za obnovu certifikata.
  • Telefon ne uklanja stari certifikat uređaja dok ne dohvati novi.
  • Ako obnova certifikata ne uspije jer istekne certifikat uređaja ili CA, telefon automatski pokreće početnu prijavu. U međuvremenu, ako provjera autentičnosti lozinke izazova ne uspije, na zaslonu telefona pojavljuje se zaslon za unos lozinke i od korisnika se traži da unesu lozinku izazova na telefonu.

Konfiguracija CDC uobičajenog naziva

Prema zadanim postavkama, uobičajeni naziv u MIC/SUDI koristi se kao uobičajeni naziv za CDC.

Uobičajeni naziv za CDC možete konfigurirati prilikom instalacije certifikata. Koristite jednu od sljedećih metoda za instaliranje CDC-a na telefon:

Konfiguracija SCEP parametara putem opcije DHCP 43

U određenom okruženju u kojem ne možete instalirati certifikat prilagođenog uređaja (CDC) putem prijenosa ili izravnog konfiguriranja parametara SCEP-a. U ovoj situaciji možete koristiti opciju DHCP 43 za popunjavanje parametara s poslužitelja DHCP. Opcija DHCP 43 može se konfigurirati za pružanje SCEP parametara telefonu. Nakon što se telefon vrati na tvorničke postavke, može primiti parametre s poslužitelja DHCP za instalaciju CDC-a putem SCEP protokola.

  • Ova značajka (konfiguracija SCEP parametara putem opcije DHCP 43) dostupna je samo za telefon koji je vraćen na tvorničke postavke.
  • Telefoni se ne smiju postavljati u mrežu koja podržava opciju 43 i daljinsko dodjeljivanje resursa (na primjer, opcije 66,160,159,150 ili dodjelu resursa u oblaku). U suprotnom, telefoni možda neće dobiti konfiguracije s opcijom 43.

Da biste instalirali CDC certifikat pomoću SCEP parametara iz opcije DHCP 43, učinite sljedeće:

  1. Pripremite SCEP okruženje.

    Informacije o postavljanju SCEP okruženja potražite u dokumentaciji SCEP poslužitelja.

  2. Postavite DHCP opciju 43 (definiranu u 8.4 Informacije specifične za dobavljača, RFC 2132).

    Podopcije (10–15) rezervirane su za metodu:

    Parametar na web stranici telefonaPodopcijaVrstaDuljina (bajt)Obvezno
    FIPS način rada10Booleova1Ne*
    Poslužitelj11niz208 - duljina (lozinka izazova)Da
    Otisak prsta korijenskog CA12Hex20, 32, 48 ili 64Da
    Izazov lozinke13niz208 - duljina (Server)Ne*
    Omogućite 802.1X provjeru autentičnosti14Booleova1Ne
    Odabir certifikata15Nepotpisani 8-bitni1Ne

    * znači da je parametar konfiguriran prema stvarnoj situaciji.

    Kada koristite opciju DHCP 43, primijetite sljedeće karakteristike metode:

    • Podopcije (10 – 15) rezervirane su za certifikat prilagođenog uređaja (CDC).
    • Maksimalna duljina opcije DHCP 43 je 255 bajtova.
    • Maksimalna duljina lozinke poslužitelja + izazova mora biti manja od 208 bajtova.
    • Vrijednost FIPS načina rada mora biti u skladu s konfiguracijom uključivanja. U suprotnom, telefon ne uspijeva dohvatiti prethodno instalirani certifikat nakon uključivanja. Posebno
      • Ako će telefon biti registriran u okruženju u kojem je FIPS način rada onemogućen, ne morate konfigurirati FIPS način rada u DHCP opciji 43. Prema zadanim postavkama, FIPS način rada je onemogućen.
      • Ako će telefon biti registriran u okruženju u kojem je omogućen FIPS način rada, morate omogućiti FIPS način rada u DHCP opciji 43. Pojedinosti potražite u odjeljku Omogućivanje načina rada FIPS.
    • Lozinka izazova u opciji 43 je u čistom tekstu.
      • Ako želite da telefon koristi MIC/SUDI za početni upis i obnovu certifikata, ostavite lozinku za izazov praznu.
      • Ako se lozinka izazova koristi samo za početnu prijavu, konfigurirajte lozinku izazova. U tom će se slučaju instalirani certifikat koristiti za obnovu certifikata.
    • Omogući provjeru autentičnosti 802.1X i odabir certifikata koriste se samo za telefone u žičanim mrežama.
    • DHCP Opcija 60 (Identifikator klase dobavljača) koristi se za identifikaciju modela uređaja.

    Primjer DHCP opcije 43 (potopcije 10–15):

    Podopcija decimalna/heksadecimalnaDuljina vrijednosti (bajt) decimalna/heksadecimalnaVrijednostHeksadecimalna vrijednost
    10/0a1/011 (0: Onemogućeno; 1: Omogućeno)01
    11/0b18/12http://10.79.57.91687474703a2f2f31302e37392e35372e3931
    12/0c20/1412040870625C5B755D73F5925285F8F5FF5D55AF12040870625C5B755D73F5925285F8F5FF5D55AF
    13/0d16/10D233CCF9B9952A1544323333434346394239393532413135
    14/0e1/011 (0: Ne; 1: Da)01
    15/0f1/011 (0: Instalirana proizvodnja; 1: Instalirana po narudžbi) 01

    Sažetak vrijednosti parametara:

    • FIPS način rada = Omogućeno

    • Poslužitelj = http://10.79.57.91

    • Otisak prsta korijenskog CA = 12040870625C5B755D73F5925285F8F5FF5D55AF

    • Lozinka izazova = D233CCF9B9952A15

    • Omogući 802.1X provjeru autentičnosti = Da

    • Odabir certifikata = Prilagođeno instalirano

    Sintaksa konačne heksadecimalne vrijednosti je: {<podopcija><duljina><vrijednost>}...

    Prema gore navedenim vrijednostima parametara, konačna heksadecimalna vrijednost je sljedeća:

    0a01010b12687474703a2f2f31302e37392e35372e39310c1412040870625C5B755D73F5925285F8F5FF5D55AF0d10443233334343463942393935324131350e01010f0101

  3. Konfigurirajte opciju DHCP 43 na poslužitelju DHCP.

    Ovaj korak pruža primjer konfiguracija opcije DHCP 43 u mrežnom registru Cisco.

    1. Dodajte DHCP skup definicija mogućnosti.

      Niz opcija dobavljača naziv je modela IP telefona. Valjana vrijednost je: DP-9841, DP-9851, DP-9861, DP-9871 ili CP-8875.

    2. Dodajte opciju DHCP 43 i podopcije u skup definicija mogućnosti DHCP.

      Primjer:

      Snimka zaslona definicija DHCP opcije 43 na Cisco mrežnom registru

    3. Dodajte mogućnosti 43 u pravilo DHCP i postavite vrijednost na sljedeći način:

      Primjer:

      (10 1)(11 http://10.79.57.91)(12 12040870625C5B755D73F5925285F8F5FF5D55AF)(13 D233CCF9B9952A15)(14 1)(15 1)

    4. Provjerite postavke. Wireshark možete koristiti za snimanje traga mrežnog prometa između telefona i usluge.
  4. Vratite telefon na tvorničke postavke.

    Nakon resetiranja telefona, parametri Poslužitelj, Korijenski CA otisak prsta i Izazov lozinke automatski će se ispuniti. Ovi se parametri nalaze u odjeljku SCEP konfiguracija 1 iz Certificate > Custom na web stranici administracije telefona.

    Da biste provjerili pojedinosti o instaliranom certifikatu, kliknite Prikaz u odjeljku Postojeći certifikati .

    Da biste provjerili status instalacije certifikata, odaberite Status certifikata > prilagođenog certifikata. Status preuzimanja 1 prikazuje najnoviji rezultat. Ako se tijekom prijave certifikata pojavi bilo kakav problem, status preuzimanja može prikazati razlog problema u svrhu otklanjanja poteškoća.

    Ako provjera autentičnosti lozinke izazova ne uspije, od korisnika će se zatražiti da unesu lozinku na zaslon telefona.

  5. (Neobavezno): Da biste uklonili instalirani certifikat s telefona, kliknite Izbriši u odjeljku Postojeći certifikati .

    Kada kliknete gumb, postupak uklanjanja započinje odmah bez potvrde.

Dodjela uobičajenog imena ili korisničkog ID-a putem opcije DHCP 15

Tijekom upisa SCEP certifikata putem opcije DHCP 43, telefon također može dobiti naziv domene naveden u opciji DHCP 15 (ako je konfigurirana). Nakon što telefon dobije naziv domene, može konstruirati Zajednički naziv ili ID korisnika s nazivom domene, koji je predstavljen na sljedeći način:

  • Zajednički naziv = <Uobičajeni naziv u MIC/SUDI >.<Naziv domene u opciji 15>

    Zajednički naziv koristit će se za CSR u SCEP procesu, a kasnije će biti Zajednički naziv u CDC-u.

  • Korisnički ID = <Uobičajeni naziv u MIC/SUDI >@<Naziv domene u opciji 15>

    ID korisnika koristit će se kao identitet za ožičenu provjeru autentičnosti 802.1X.

Na primjer, adresa telefona MAC je 00:1A:2B:3C:4D:5E, model telefona je 9871:

Naziv domene u mogućnosti DHCP 15Zajednički nazivKorisnički ID
example.nlCP-9871-SEP001A2B3C4D5E.example.nlCP-9871-SEP001A2B3C4D5E@example.nl
PrazanCP-9871-SEP001A2B3C4D5E

CP-9871-SEP001A2B3C4D5E

Ako naziv domene nije konfiguriran u opciji 15, Uobičajeno ime i ID korisnika bit će isti s uobičajenim nazivom u MIC/SUDI.