Egyéni eszköztanúsítvány manuális telepítése

Az egyéni eszköztanúsítványt (CDC) manuálisan is telepítheti a telefonra, ha feltölti a tanúsítványt a telefon felügyeleti weboldaláról.

Mielőtt nekilátna

Ahhoz, hogy egyéni készüléktanúsítványt telepíthessen egy telefonhoz, rendelkeznie kell a következőkkel:

  • A számítógépre mentett tanúsítványfájl (.p12 vagy .pfx). A fájl tartalmazza a tanúsítványt és a titkos kulcsot.
  • A tanúsítvány kibontási jelszava. A jelszó a tanúsítványfájl visszafejtésére szolgál.
1

Lépjen be a telefon adminisztrációs weboldalára.

2

Válassza a Tanúsítvány lehetőséget.

3

A Tanúsítvány hozzáadása szakaszban kattintson a Tallózás... gombra.

4

Keresse meg a tanúsítványt a számítógépen.

5

A Kibontási jelszó mezőbe írja be a tanúsítvány kibontási jelszavát.

6

Kattintson a Feltöltés gombra.

Ha a tanúsítványfájl és a jelszó helyes, a "Tanúsítvány hozzáadva" üzenet jelenik meg. Ellenkező esetben a feltöltés meghiúsul egy hibaüzenettel, amely azt jelzi, hogy a tanúsítvány nem tölthető fel.
7

A telepített tanúsítvány részleteinek ellenőrzéséhez kattintson a Megtekintés gombra a Meglévő tanúsítványok szakaszban.

8

Ha el szeretné távolítani a telepített tanúsítványt a telefonról, kattintson a Törlés gombra a Meglévő tanúsítványok részben.

Miután rákattintott a gombra, az eltávolítási művelet megerősítés nélkül azonnal elindul.

Ha a tanúsítványt sikeresen eltávolította, a "Tanúsítvány törölve" üzenet jelenik meg.

Egyéni eszköztanúsítvány automatikus telepítése SCEP alapján

Az Egyszerű tanúsítványigénylési protokoll (SCEP) paramétereit beállíthatja az egyéni eszköztanúsítvány (CDC) automatikus telepítésére, ha nem szeretné manuálisan feltölteni a tanúsítványfájlt, vagy ha nem rendelkezik a tanúsítványfájllal.

Ha az SCEP-paraméterek megfelelően vannak konfigurálva, a telefon kéréseket küld az SCEP-kiszolgálónak, és a megadott ujjlenyomat segítségével az eszköz érvényesíti a hitelesítésszolgáltatói tanúsítványt.

Mielőtt nekilátna

A telefon egyéni készüléktanúsítványának automatikus telepítése előtt a következőkkel kell rendelkeznie:

  • SCEP-kiszolgáló címe
  • Az SCEP-kiszolgáló legfelső szintű hitelesítő kiszolgálótanúsítványának SHA-1 vagy SHA-256 ujjlenyomata
1

Lépjen be a telefon adminisztrációs weboldalára.

2

Válassza a Tanúsítvány lehetőséget.

3

Az SCEP-konfiguráció 1 szakaszban állítsa be a paramétereket az alábbi táblázatban leírtak szerint: Az SCEP-konfiguráció paraméterei.

4

Kattintson az Összes változás elküldése lehetőségre.

Az SCEP-konfiguráció paraméterei

Az alábbi táblázat a telefon webes felületén a Tanúsítvány lap SCEP-konfiguráció 1 szakaszában található SCEP-konfigurációs paraméterek funkcióját és használatát ismerteti. Meghatározza továbbá a telefon konfigurációs fájljában (cfg.xml) a paraméter konfigurálásához hozzáadott karakterlánc szintaxisát is.

1. táblázat. Az SCEP-konfiguráció paraméterei
ParaméterLeírás
Szerver

SCEP-kiszolgáló címe. Ez a paraméter kötelező.

Hajtsa végre a következő műveletek egyikét:

  • A telefon XML-es (cfg, xml) konfigurációs fájljában írja be a következő formátumú karakterláncot:

    <CDC_Server_1_ ua="na">http://10.79.57.91</CDC_Server_1_>

  • A telefon weblapján adja meg az SCEP-kiszolgáló címét.

Érvényes értékek: URL-cím vagy IP cím. A HTTPS-séma nem támogatott.

Alapértelmezett: üres

Legfelső szintű hitelesítésszolgáltató ujjlenyomata

A legfelső szintű hitelesítésszolgáltató SHA256 vagy SHA1 ujjlenyomata az SCEP-folyamat során történő érvényesítéshez. Ez a paraméter kötelező.

Hajtsa végre a következő műveletek egyikét:

  • A telefon XML-es (cfg, xml) konfigurációs fájljában írja be a következő formátumú karakterláncot:

    <CDC_Root_CA_Fingerprint_1_ ua="na">12040870625C5B755D73F5925285F8F5FF5D55AF</CDC_Root_CA_Fingerprint_1_>

  • A telefon weboldalán adjon meg egy érvényes ujjlenyomatot.

Alapértelmezett: üres

Kihívás jelszó

A Certificate Authority (CA) hitelesítés kérő jelszava a telefonon az SCEP-n keresztüli tanúsítványigénylés során. Ez a paraméter nem kötelező.

A tényleges SCEP-környezetnek megfelelően a kihívási jelszó viselkedése változó.

  • Ha a telefon olyan Cisco RA-tól kap tanúsítványt, amely kommunikál a hitelesítésszolgáltatóval, akkor a hitelesítésszolgáltató nem támogatja a kihívási jelszót. Ebben az esetben a Cisco RA a telefon MIC/SUDI-ját használja a hitelesítéshez a hitelesítéshez. A telefon MIC/SUDI-t használ mind a kezdeti igényléshez, mind a tanúsítvány megújításához.
  • Ha a telefon a hitelesítésszolgáltatóval való közvetlen kommunikáció révén kap tanúsítványt, a hitelesítésszolgáltató támogatja a kérési jelszót. Ha konfigurálva van, csak a kezdeti regisztrációhoz lesz használva. A tanúsítvány megújításához a rendszer a telepített tanúsítványt fogja használni.

Hajtsa végre a következő műveletek egyikét:

  • A telefon XML-es (cfg, xml) konfigurációs fájljában írja be a következő formátumú karakterláncot:

    <CDC_Challenge_Password_1_ ua="na"></CDC_Challenge_Password_1_>

    A jelszó maszkolva van a konfigurációs fájlban.

  • A telefon weblapján adja meg a kérdés jelszavát.

Alapértelmezett: üres

SCEP-paraméterek konfigurálása DHCP 43-as opcióval

Az SCEP-tanúsítványnak a telefon weblapján található manuális konfigurációkkal történő igénylése mellett a 43-as DHCP lehetőséggel is feltöltheti a paramétereket egy DHCP kiszolgálóról. A 43-as DHCP előre konfigurálva van az SCEP-paraméterekkel, később a telefon lekérheti a paramétereket a DHCP-kiszolgálóról az SCEP-tanúsítvány igényléséhez.

  • Az SCEP paraméterek konfigurálása DHCP 43-as opcióval csak azon a telefonon érhető el, amelyen gyári alaphelyzetbe állítás történik.
  • A telefonok nem helyezhetők olyan hálózatba, amely támogatja mind a 43-as opciót, mind a távoli létesítést (például az Options 66,160,159,150 vagy a felhőalapú kiosztást). Ellenkező esetben előfordulhat, hogy a telefonok nem kapják meg a 43-as opció konfigurációkat.

SCEP-tanúsítvány igényléséhez az SCEP-paraméterek konfigurálásával a 43 DHCP beállításban tegye a következőket:

  1. SCEP-környezet előkészítése.

    Az SCEP-környezet beállításával kapcsolatos információkért tekintse meg az SCEP-kiszolgáló dokumentációját.

  2. Állítsa be DHCP 43-as opciót (meghatározását lásd: 8.4 Szállítóspecifikus információk, RFC 2132).

    A (10–15) albeállítások a metódus számára vannak fenntartva:

    Paraméter a telefon weboldalánAlopcióTípusHossz (bájt)Kötelező
    FIPS mód10Logikai1Nem*
    Szerver11string208 - hossz (Challenge Password)Van
    Legfelső szintű hitelesítésszolgáltató ujjlenyomata12bináris20 vagy 32Van
    Kihívás jelszó13string208 - hossz (szerver)Nem*
    802.1X hitelesítés engedélyezése14Logikai1Nem
    Tanúsítvány kiválasztása15Aláíratlan 8 bites1Nem

    Ha a 43 DHCP opciót használja, figyelje meg a módszer következő jellemzőit:

    • A (10–15) albeállítások az egyéni eszköztanúsítvány (CDC) számára vannak fenntartva.
    • A 43 DHCP as opció maximális hossza 255 bájt.
    • A Server + Challenge Password maximális hossza nem haladhatja meg a 208 bájtot.
    • A FIPS-mód értékének konzisztensnek kell lennie a bevezetési kiépítési konfigurációval. Ellenkező esetben a telefon nem tudja lekérni a korábban telepített tanúsítványt a bevezetés után. Kifejezetten
      • Ha a telefon olyan környezetben lesz regisztrálva, ahol a FIPS-mód le van tiltva, nem kell konfigurálnia a FIPS-mód paramétert DHCP 43-as beállításban. Alapértelmezés szerint a FIPS mód le van tiltva.
      • Ha a telefon olyan környezetben lesz regisztrálva, ahol engedélyezve van a FIPS mód, engedélyeznie kell a FIPS módot DHCP 43-as opcióban. A részletekért lásd: FIPS-mód engedélyezése.
    • A 43. opcióban szereplő jelszó tiszta szöveg.

      Ha a kérési jelszó üres, a telefon az MIC/SUDI protokollt használja a kezdeti igényléshez és a tanúsítvány megújításához. Ha a kérdésjelszó konfigurálva van, a rendszer csak a kezdeti igényléshez használja, és a telepített tanúsítványt fogja használni a tanúsítvány megújításához.

    • A 802.1X hitelesítés engedélyezése és a Tanúsítvány kiválasztása csak vezetékes hálózatban lévő telefonok esetén használatos.
    • DHCP 60-as opció (Vendor Class Identifier) az eszközmodell azonosítására szolgál.

    Az alábbi táblázat példát mutat be DHCP 43. lehetőségre (10–15. allehetőség):

    Alopció tizedesjegy/hexadecimálisÉrték hossza (bájt) decimális/hexadecimálisÉrtékHex érték
    10/0a1/011 (0: Letiltva; 1: Engedélyezve)01
    11/0b18/12http://10.79.57.91687474703a2f2f31302e37392e35372e3931
    12/0c20/1412040870625C5B755D73F5925285F8F5FF5D55AF12040870625C5B755D73F5925285F8F5FF5D55AF
    13/0d16/10D233CCF9B9952A1544323333434346394239393532413135
    14/0e1/011 (0: Nem; 1: Igen)01
    15/0F1/011 (0: Gyártó telepítve; 1: Egyéni telepítés) 01

    A paraméterértékek összegzése:

    • FIPS mód = Engedélyezve

    • Kiszolgáló = http://10.79.57.91

    • Legfelső szintű hitelesítésszolgáltató ujjlenyomata = 12040870625C5B755D73F5925285F8F5FF5D55AF

    • Kihívás jelszó = D233CCF9B9952A15

    • 802.1X hitelesítés engedélyezése = Igen

    • Tanúsítvány kiválasztása = Egyéni telepítve

    A végső hexadecimális érték szintaxisa: {<suboption><length><value>}...

    A fenti paraméterértékek szerint a végső hexadecimális érték a következő:

    0A01010B12687474703a2f2f31302e37392e35372e39310c1412040870625C5B755D73F5925285F8F5FF5D55AF0d10443233334343463942393935324131350e01010f0101

  3. Konfigurálja DHCP 43-as beállítást egy DHCP-kiszolgálón.

    Ez a lépés egy példát mutat be a Cisco Network Register 43-as opciójának DHCP konfigurációjára.

    1. Adja hozzá DHCP beállításdefiníciós készletet.

      A Vendor Option String a IP telefonok modellneve. Az érvényes érték: DP-9841, DP-9851, DP-9861, DP-9871 vagy CP-8875.

    2. Adja hozzá a DHCP 43. lehetőséget és alopcióit a DHCP beállításdefiníciós készletéhez.

      Példa:

      Képernyőkép DHCP 43. lehetőség definícióiról a Cisco hálózati nyilvántartásban

    3. Adja hozzá a 43. lehetőséget a DHCP házirendhez, és állítsa be az értéket az alábbiak szerint:

      Példa:

      (10 1)(11 http://10.79.57.91)(12 12040870625C5B755D73F5925285F8F5FF5D55AF)(13 D233CCF9B9952A15)(14 1)(15 1)

    4. Ellenőrizze a beállításokat. A Wireshark segítségével nyomon követheti a telefon és a szolgáltatás közötti hálózati forgalmat.
  4. Végezze el a gyári beállítások visszaállítását a telefonon.

    A telefon alaphelyzetbe állítása után a rendszer automatikusan kitölti a Kiszolgáló , a Legfelső szintű hitelesítésszolgáltató ujjlenyomata ésa Kihívás jelszava paramétereket . Ezek a paraméterek a telefonfelügyeleti weblap Certificate>Custom szakaszának SCEP-konfiguráció 1 . szakaszában találhatók.

    A telepített tanúsítvány részleteinek ellenőrzéséhez kattintson a Megtekintés gombra a Meglévő tanúsítványok szakaszban.

    A tanúsítvány telepítési állapotának ellenőrzéséhez válassza a Tanúsítvány > Egyéni tanúsítvány állapota lehetőséget. A Letöltés állapota 1 a legfrissebb eredményt mutatja. Ha bármilyen probléma merül fel a tanúsítvány igénylése során, a letöltési állapot hibaelhárítási célból megjelenítheti a probléma okát.

    Ha a kérő jelszó hitelesítése sikertelen, a rendszer felkéri a felhasználókat, hogy adják meg a jelszót a telefon képernyőjén.
  5. (Nem kötelező): Ha el szeretné távolítani a telepített tanúsítványt a telefonról, kattintson a Törlés gombra a Meglévő tanúsítványok részben.
    Miután rákattintott a gombra, az eltávolítási művelet megerősítés nélkül azonnal elindul.

Tanúsítvány megújítása SCEP segítségével

Az eszköztanúsítvány automatikusan frissíthető az SCEP-folyamattal.

  • A telefon 4 óránként ellenőrzi, hogy a tanúsítvány lejár-e 15 nap múlva. Ebben az esetben a telefon automatikusan elindítja a tanúsítványmegújítási folyamatot.
  • Ha a kérdés jelszava üres, a telefon az MIC/SUDI protokollt használja mind a kezdeti igényléshez, mind a tanúsítvány megújításához. Ha a kérési jelszó konfigurálva van, akkor csak a kezdeti igényléshez, a meglévő/telepített tanúsítvány pedig a tanúsítvány megújításához használatos.
  • A telefon nem távolítja el a régi eszköztanúsítványt, amíg le nem kéri az újat.
  • Ha a tanúsítvány megújítása azért sikertelen, mert az eszköz tanúsítványa vagy a hitelesítésszolgáltató lejár, a telefon automatikusan elindítja a kezdeti regisztrációt. Időközben, ha a kérő jelszó hitelesítése sikertelen, egy jelszóbeviteli képernyő jelenik meg a telefon képernyőjén, és a rendszer felkéri a felhasználókat, hogy adják meg a kérdés jelszavát a telefonon.

FIPS-mód engedélyezése

A telefont a Federal Information Processing Standards (FIPS) szabványnak megfelelővé teheti.

A FIPS olyan szabványok halmaza, amelyek leírják a dokumentumfeldolgozást, a titkosítási algoritmusokat és más informatikai szabványokat a nem katonai kormányzatban, valamint az ügynökségekkel együttműködő kormányzati vállalkozók és szállítók számára. A CiscoSSL FOM (FIPS Object Module) egy gondosan definiált szoftverkomponens, amelyet a CiscoSSL könyvtárral való kompatibilitásra terveztek, így a CiscoSSL könyvtárat és API használó termékek minimális erőfeszítéssel konvertálhatók FIPS 140-2 hitelesített kriptográfia használatára.

1

Lépjen be a telefon adminisztrációs weboldalára.

2

Válassza ki a Hang > Rendszer lehetőséget.

3

A Biztonsági beállítások szakaszban válassza az Igen vagy a Nem lehetőséget a FIPS mód paraméterből.

4

Kattintson az Összes változás elküldése lehetőségre.

Ha engedélyezi a FIPS szolgáltatást, a következő funkciók működnek zökkenőmentesen a telefonon:
  • Lemezkép-hitelesítés
  • Biztonságos tárolás
  • Konfigurációs fájl titkosítása
  • TLS:
    • HTTP-k
    • PRT-feltöltés
    • Firmware frissítés
    • Profil újraszinkronizálása
    • Fedélzeti szolgáltatás
    • Webex bevezetés
    • SIP over TLS
    • 802.1x (vezetékes)
  • SIP-kivonat (RFC 8760)
  • SRTP
  • Webex hívásnaplók és Webex könyvtár
  • Egy gomb megnyomásával (OBTP)

Biztonsági tanúsítvány manuális eltávolítása

Manuálisan is eltávolíthat egy biztonsági tanúsítványt a telefonról, ha az egyszerű tanúsítvány-beiktatási protokoll (SCEP) nem érhető el.

1

A telefonadminisztrációs weboldalon válassza a Tanúsítványok lehetőséget.

2

Keresse meg a tanúsítványt a Tanúsítványok oldalon.

3

Kattintson a Törlés gombra.

4

A törlési folyamat befejezése után indítsa újra a telefont.

A felhasználói és rendszergazdai jelszó beállítása

Miután a telefont első alkalommal regisztrálta a hívásvezérlő rendszerben, vagy visszaállította a gyári beállításokat, a telefon biztonságának növelése érdekében be kell állítania a felhasználói és rendszergazdai jelszót. Csak a jelszó beállítása után küldheti el a módosításokat a telefon weboldaláról.

Alapértelmezés szerint a jelszó hiánya figyelmeztetés engedélyezve van a telefonon. Ha a telefon nem rendelkezik felhasználói vagy rendszergazdai jelszóval, a következő figyelmeztetések jelennek meg:

  • A telefon weboldalán megjelenik a "Nincs megadva rendszergazdai jelszó. A web írásvédett módban van, és nem küldhet módosításokat. Kérjük, módosítsa a jelszót." ikonra a bal felső sarokban.

    A Felhasználói jelszó és a Rendszergazdai jelszó mezőben a "Nincs megadva jelszó" figyelmeztetés jelenik meg, ha az üres.

  • A telefon képernyőjén megjelenő Problémák és diagnosztika megjeleníti a "Nincs megadva jelszó" problémát.
1

Lépjen be a telefon adminisztrációs weboldalára

2

Válassza ki a Hang > Rendszer lehetőséget.

3

(Nem kötelező) A Rendszerkonfiguráció szakaszban állítsa a Jelszavak figyelmeztetése paramétert Igen értékre , majd kattintson azÖsszes módosítás elküldése gombra.

A paramétereket a telefon konfigurációs fájljában (cfg.xml) is engedélyezheti.

<Display_Password_Warnings ua="na">Igen</Display_Password_Warnings>

Alapértelmezett: igen

Opciók: Igen|Nem

Ha a paraméter értéke Nem, a jelszóval kapcsolatos figyelmeztetés nem jelenik meg sem a weboldalon, sem a telefon képernyőjén. Ezenkívül az oldalweb készenléti módja nem aktiválódik, még akkor sem, ha a jelszó üres.

4

Keresse meg a Felhasználói jelszó vagy a Rendszergazdai jelszó paramétert , majd kattintson a paraméter melletti Jelszó módosítása gombra.

5

Írja be az aktuális felhasználói jelszót a Régi jelszó mezőbe.

Ha nincs jelszava, akkor a mezőt hagyja üresen. Az alapértelmezett érték üres.
6

Adjon meg egy új jelszót az Új jelszó mezőben.

7

Kattintson a Submit (Küldés) lehetőségre.

A Jelszó módosítása sikerült. üzenet jelenik meg a weboldalon. A weboldal néhány másodpercen belül frissül. A paraméter melletti figyelmeztetés eltűnik.

A felhasználói jelszó beállítása után ez a paraméter a következőket jeleníti meg a telefon konfigurációs XML fájljában (cfg.xml):

<!-- <Admin_Password ua="na">*************</Admin_Password> <User_Password ua="rw">*************</User_Password> -->

Ha a 403-as hibakódot kapja, amikor megpróbálja elérni a telefon weboldalát, be kell állítania a felhasználói vagy rendszergazdai jelszót a telefon konfigurációs fájljában (cfg.xml). Írjon be például egy karakterláncot a következő formátumban:

<Admin_Password ua="na">P0ssw0rd_tes89</Admin_Password>

<User_Password ua="rw">Abc123</User_Password>

802.1X hitelesítés

A Cisco IP Phone támogatja a 802.1X hitelesítést.

A Cisco IP Phone telefonok és a Cisco Catalyst kapcsolók hagyományosan Cisco Discovery Protocol (CDP) segítségével azonosítják egymást és határozzák meg a paramétereket (például a VLAN-kiosztást és a vonali tápellátási követelményeket). A CDP nem azonosítja a helyileg csatlakoztatott munkaállomásokat. A Cisco IP Phone telefonok EAPOL-átadási mechanizmust használnak. Ez a mechanizmus lehetővé teszi, hogy a Cisco IP Phone-hoz csatlakozó munkaállomás a LAN-kapcsolónál a 802.1X hitelesítő részére EAPOL-üzeneteket küldjön. Az átadó mechanizmus biztosítja, hogy a IP-telefon ne működjön LAN-kapcsolóként, amikor adatvégpont-hitelesítés történik a hálózat elérése előtt.

A Cisco IP Phone telefonok proxy EAPOL kijelentkezési mechanizmust is használnak. Ha a helyileg csatlakoztatott számítógép kapcsolata megszakad a IP telefonnal, a LAN-kapcsoló nem észleli a fizikai kapcsolat megszűnését, mert a LAN-kapcsoló és az IP-telefon közötti kapcsolat megmarad. A hálózati integritás veszélyeztetésének elkerülése érdekében az IP-telefon egy EAPOL-kijelentkezési üzenetet küld a kapcsolónak az alsóbb szintű számítógép nevében, amely a LAN-kapcsolót az alsóbb szintű számítógép hitelesítési bejegyzésének törlésére utasítja.

A 802.1X hitelesítés támogatása több összetevőt is igényel:

  • Cisco IP Phone: a telefon kezdeményezi a hálózatelérési kérést. A Cisco IP Phone telefonok 802.1X kérelmezőt tartalmaznak. Ez a kérelmező lehetővé teszi a hálózati rendszergazdák számára az IP telefonok és a LAN-kapcsolóportok közötti kapcsolat vezérlését. A telefon 802.1X kérelmezőjének aktuális kiadása EAP-FAST és EAP-TLS lehetőségeket kínál a hálózati hitelesítéshez.

  • Hitelesítési kiszolgáló: A hitelesítési kiszolgálót és a kapcsolót egyaránt konfigurálni kell egy közös titokkal, amely hitelesíti a telefont.

  • Kapcsoló: a kapcsolónak támogatnia kell a 802.1X protokollt, hogy hitelesítőként működhessen, és átadhassa az üzeneteket a telefon és a hitelesítő kiszolgáló között. Miután az adatcsere befejeződött, a kapcsoló engedélyezi vagy megtagadja a telefon számára a hálózat elérését.

A 802.1X konfigurálásához a következő műveleteket kell végrehajtania.

  • A 802.1 X hitelesítés telefonon történő engedélyezése előtt konfigurálja a többi összetevőt.

  • A PC port konfigurálása: a 802.1X szabvány nem veszi figyelembe a VLAN-okat, ezért azt ajánlja, hogy csak egyetlen eszköz legyen hitelesítve egy adott kapcsolóporthoz. Egyes kapcsolók azonban támogatják a többtartományos hitelesítést. A kapcsolókonfiguráció határozza meg, hogy csatlakoztathat-e számítógépet a telefon PC-portjához.

    • Engedélyezve: ha olyan kapcsolót használ, amely támogatja a többtartományos hitelesítést, akkor engedélyezheti a PC-portot, és csatlakoztathat ahhoz számítógépet. Ebben az esetben Cisco IP Phone támogatja a proxy EAPOL-kijelentkezést a kapcsoló és a csatlakoztatott számítógép közötti hitelesítési adatcserék figyelésére.

      Ha többet szeretne tudni az IEEE 802.1X Cisco Catalyst kapcsolók általi támogatásáról, tanulmányozza át a Cisco Catalyst kapcsolókonfigurációs útmutatókat a következő címen:

      http://www.cisco.com/en/US/products/hw/switches/ps708/tsd_products_support_series_home.html

    • Letiltva: ha a kapcsoló nem támogatja a több 802.1X-kompatibilis eszköz használatát ugyanazon a porton, akkor tiltsa le a PC-portot, amikor a 802.1X hitelesítés engedélyezve van. Ha nem tiltja le ezt a portot, majd megkísérli csatlakoztatni a számítógépet, akkor a kapcsoló megtagadja a hálózatelérést a telefon és a számítógép számára is.

  • Hang VLAN konfigurálása: mivel a 802.1X szabvány nem veszi figyelembe a VLAN-okat, ezt a beállítást a kapcsolótámogatás alapján kell beállítania.
    • Engedélyezve: ha olyan kapcsolót használ, amely támogatja a többtartományos hitelesítést, akkor folytathatja azon a hang VLAN használatát.
    • Letiltva: ha a kapcsoló nem támogatja a többtartományos hitelesítést, tiltsa le a hang VLAN-t, és fontolja meg a port natív VLAN-hoz való hozzárendelését.
  • (Csak 9800-as sorozatú Cisco asztali telefon esetén)

    A 9800-as sorozatú Cisco asztali telefonok PID előtagja eltér a többi Cisco telefonétól. Ha engedélyezni szeretné, hogy telefonja átmenjen a 802.1X hitelesítésen, állítsa be a Sugár· User-Name paraméter a Cisco 9800-as sorozatú asztali telefon felvételéhez.

    Például a 9841-es telefon PID-je DP-9841; beállíthatja a sugarat· A felhasználónév DP-vel kezdődik vagy DP-t tartalmaz. A következő szakaszokban állíthatja be:

    • Házirend > Feltételek > Könyvtári feltételek

    • Házirend > Házirendkészletek > Engedélyezési házirend > Engedélyezési szabály 1

802.1X hitelesítés engedélyezése

Ha a 802.1X hitelesítés engedélyezve van, a telefon 802.1X hitelesítést használ a hálózati hozzáférés kéréséhez. Ha a 802.1X hitelesítés le van tiltva, a telefon a Cisco Discovery Protocol (CDP) segítségével szerzi meg a VLAN-t és a hálózati hozzáférést. A tranzakció állapotát és módosítását a telefon képernyőjének menüjében is megtekintheti.

Ha a 802.1X hitelesítés engedélyezve van, kiválaszthatja az eszköz tanúsítványát (MIC/SUDI vagy egyéni) a kezdeti igényléshez és a tanúsítvány megújításához. A MIC általában a Cisco 8875-ös videotelefonhoz, a SUDI pedig a 9800-as sorozatú Cisco asztali telefonhoz való. A CDC csak a 802.1x szabványban használható hitelesítésre.

1

A 802.1X hitelesítés engedélyezéséhez hajtsa végre az alábbi műveletek egyikét:

  • A telefon webes felületén válassza a Hang>rendszer lehetőséget , majd állítsa a 802.1X hitelesítés engedélyezése paramétert Igen értékre . Ezután kattintson az Összes módosítás elküldése gombra.
  • A konfigurációs fájlban (cfg.xml) adjon meg egy karakterláncot a következő formátumban:

    <Enable_802.1X_Authentication ua="rw">Igen</Enable_802.1X_hitelesítés>

    Érvényes értékek: Igen|Nem

    Alapértelmezett: Nem

  • A telefonon nyomja meg a Beállítások gombot the Settings hard key, és lépjen a Hálózati és szolgáltatás > Biztonsági beállítások > 802.1X hitelesítés elemre. Állítsa az Eszközhitelesítés mezőt Be állásba , majd válassza azAlkalmaz lehetőséget.
2. táblázat. A telefon képernyőjén megjelenő 802.1X hitelesítés paraméterei

Paraméterek

Beállítások

Alapértelmezett

Leírás

Készülékhitelesítés

Be

Off

Off

Engedélyezze vagy tiltsa le a 802.1X hitelesítést a telefonon.

Tranzakció állapota

Letiltva

Megjeleníti a 802.1X hitelesítés állapotát. Az állapot lehet (nem kizárólagosan):

  • Hitelesítés: Azt jelzi, hogy a hitelesítési folyamat folyamatban van.
  • Hitelesített: Azt jelzi, hogy a telefon hitelesítve van.
  • Letiltva: Azt jelzi, hogy a 802.1x hitelesítés le van tiltva a telefonon.

Protokoll

Nincs

Megjeleníti a 802.1X hitelesítéshez használt EAP módszert. A protokoll lehet EAP-FAST vagy EAP-TLS.

Felhasználói tanúsítvány típusa

Gyártó telepített

Egyéni telepítés

Gyártó telepített

Válassza ki a 802.1X hitelesítés tanúsítványát a kezdeti igénylés és megújítás során.

  • Gyártó telepítve – A rendszer a Manufacturing Installed Certificate (MIC) és a Secure Unique Device Identifier (SUDI) tanúsítványt használja.
  • Egyéni telepítés – A rendszer az egyéni eszköztanúsítványt (CDC) használja. Ez a tanúsítványtípus telepíthető manuálisan a telefon weboldalára vagy egy SCEP-kiszolgálóról történő telepítéssel.

Ez a paraméter csak akkor jelenik meg a telefonon, ha az eszközhitelesítés engedélyezve van.

2

Válasszon ki egy tanúsítványt (MIC vagy egyéni) a 802.1X hitelesítéshez a telefon weboldalán.

  • Vezetékes hálózat esetén válassza a Hang>rendszer lehetőséget, majd válasszon egy tanúsítványtípust a 802.1X hitelesítés szakasz Tanúsítvány kiválasztása legördülő listájából.

    Ezt a paramétert a konfigurációs fájlban (cfg.xml) is konfigurálhatja:

    <Certificate_Select ua="rw">Egyéni telepítve</Certificate_Select>

    Érvényes értékek: Gyártó telepítve|Egyéni telepítés

    Alapértelmezés: A gyártó telepítve van

  • Vezeték nélküli hálózat esetén válassza a Hang > rendszer lehetőséget, válasszon egy tanúsítványtípust a legördülő listából Tanúsítvány kiválasztása a Wi-Fi 1 . profil szakaszban.

    Ezt a paramétert a konfigurációs fájlban (cfg.xml) is konfigurálhatja:

    <Wi-Fi_Certificate_Select_1_ ua="rw">Egyéni telepítve</Wi-Fi_Certificate_Select_1_>

    Érvényes értékek: Gyártó telepítve|Egyéni telepítés

    Alapértelmezés: A gyártó telepítve van

A tanúsítványtípusok telefon képernyőjén történő kiválasztásáról további információt A telefon csatlakoztatása Wi-Fi hálózathoz című témakörben talál.

Proxykiszolgáló beállítása

A biztonság növelése érdekében beállíthatja a telefont proxykiszolgáló használatára. A HTTP-proxykiszolgálók általában a következő szolgáltatásokat nyújtják:

  • A forgalom útválasztása a belső és külső hálózatok között
  • Forgalom szűrése, figyelése vagy naplózása
  • Gyorsítótárazási válaszok a teljesítmény javítása érdekében

A HTTP proxykiszolgáló tűzfalként is működhet a telefon és az internet között. A sikeres konfigurálás után a telefon csatlakozik az internethez a proxy szerveren keresztül, amely megvédi a telefont a számítógépes támadásoktól.

Ha konfigurálva van, a HTTP-proxy szolgáltatás a HTTP protokollt használó összes alkalmazásra vonatkozik. Például:

  • GDS (aktiválási kód bevezetése)
  • EDOS eszköz aktiválása
  • Bevezetés a Webex Cloudba (EDOS vagy GDS segítségével)
  • Egyéni hitelesítésszolgáltató
  • Beszerzés
  • Firmware frissítése
  • Telefonállapot-jelentés
  • PRT-feltöltés
  • XSI szolgáltatások
  • Webex szolgáltatások

A funkció jelenleg csak IPv4 támogat.

1

Lépjen be a telefon adminisztrációs weboldalára.

2

Válassza ki a Hang > Rendszer lehetőséget.

3

A HTTP-proxybeállítások szakaszbanválasszon ki egy proxy módot a legördülő listából Proxy mód , és konfigurálja a kapcsolódó paramétereket.

Minden proxy módban a szükséges paraméterek eltérőek. A részleteket lásd az alábbi táblázatban:
Proxy módSzükséges paraméterekLeírás
Offn. a.A HTTP proxy le van tiltva a telefonon.
KéziProxyállomás

Proxyport

Proxy hitelesítés: Igen

Felhasználónév

Jelszó

Manuálisan adjon meg egy proxykiszolgálót (állomásnevet vagy IP címet) és egy proxyportot. Ha a proxykiszolgáló hitelesítést igényel, meg kell adnia a felhasználónevet és a jelszót.
Proxyállomás

Proxyport

Proxyhitelesítés: Nem

Manuálisan adjon meg egy proxykiszolgálót. A proxykiszolgáló nem igényel hitelesítő adatokat.
AutoWebproxy automatikus észlelése: Nem

PAC URL

Adjon meg egy érvényes PAC URL-címet a PAC-fájl lekéréséhez.
Webproxy automatikus észlelése:Igen

A WPAD protokollt használja a PAC-fájlok automatikus beolvasásához.

További információ a paraméterekről: HTTP-proxybeállítások paraméterei.

4

Kattintson az Összes változás elküldése lehetőségre.

A HTTP-proxybeállítások paraméterei

Az alábbi táblázat a telefon webes felületén a Hang>rendszer lap HTTPproxybeállítások szakaszában található HTTP-proxyparaméterek működését és használatát határozza meg. Meghatározza továbbá a telefon konfigurációs fájljába (cfg.xml) a paraméter konfigurálásához XML-kóddal hozzáadott karakterlánc szintaxisát.

ParaméterLeírás
Proxy módMegadja a telefon által használt HTTP proxy módot, vagy letiltja a HTTP proxy funkciót.
  • Auto

    A telefon automatikusan lekér egy automatikus proxykonfigurációs (PAC) fájlt a proxykiszolgáló kiválasztásához. Ebben a módban eldöntheti, hogy a WPAD (Web Proxy Auto Discovery) protokollt használja-e a PAC-fájl beolvasásához, vagy manuálisan adja meg a PAC-fájl érvényes URL-címét.

    A paraméterekkel kapcsolatos részletekért tekintse meg a táblázat "Webproxy automatikus észlelése" és "PAC URL" paramétereit.

  • Kézi

    Manuálisan kell megadnia a kiszolgálót (állomásnév vagy IP cím) és a proxykiszolgáló portját.

    A paraméterekkel kapcsolatos részletekért lásd: Proxyállomás és proxyport.

  • Off

    Letiltja a HTTP proxy funkciót a telefonon.

Hajtsa végre a következő műveletek egyikét:

  • A telefon XML-es (cfg, xml) konfigurációs fájljában írja be a következő formátumú karakterláncot:

    <Proxy_Mode ua="rw">Ki</Proxy_Mode>

  • A telefon webes felületén válasszon proxy módot, vagy tiltsa le a funkciót.

Megengedett értékek: Automatikus, Kézi és Ki

Alapértelmezett: ki

Webproxy automatikus észleléseEz a beállítás határozza meg, hogy a telefon a WPAD (Web Proxy Auto Discovery) protokollt használja-e a PAC-fájlok beolvasásához.

A WPAD protokoll DHCP vagy DNS, vagy mindkét hálózati protokollt használja az automatikus proxykonfigurációs (PAC) fájlok automatikus megkereséséhez. A PAC fájl egy adott URL proxykiszolgálójának kiválasztására szolgál. Ez a fájl tárolható helyben vagy hálózaton.

  • A paraméterkonfiguráció akkor lép érvénybe, ha a Proxy mód beállítása Auto .
  • Ha a paramétert Nem értékreállítja, meg kell adnia egy PAC URL-címet.

    A paraméterrel kapcsolatos részletekért tekintse meg a táblázat "PAC URL" paraméterét.

Hajtsa végre a következő műveletek egyikét:

  • A telefon XML-es (cfg, xml) konfigurációs fájljában írja be a következő formátumú karakterláncot:

    <Web_Proxy_Auto_Discovery ua="rw">Igen</Web_Proxy_Auto_Discovery>

  • A telefon webes felületén szükség szerint válassza az Igen vagy a Nem lehetőséget .

Megengedett értékek: Igen és Nem

Alapértelmezett: igen

PAC URLPAC-fájl URL-címe.

Például, http://proxy.department.branch.example.com

A TFTP, HTTP és HTTPS támogatott.

Ha a Proxy Mode (Proxy mód ) beállítása Auto , a Web Proxy Auto Discovery (Webproxy automatikus észlelése ) beállítása pedig Nem , konfigurálnia kell ezt aparamétert.

Hajtsa végre a következő műveletek egyikét:

  • A telefon XML-es (cfg, xml) konfigurációs fájljában írja be a következő formátumú karakterláncot:

    <PAC_URL ua="rw">http://proxy.department.branch.example.com/pac</PAC_URL>

  • A telefon webes felületén adjon meg egy érvényes URL-címet, amely egy PAC-fájlhoz tartozik.

Alapértelmezett: üres

ProxyállomásIP telefon által elérendő proxygazda-kiszolgáló címe vagy állomásneve. Például:

proxy.example.com

A rendszer (http:// vagy https://) nem szükséges.

Ha a Proxy módot Manuálisra állítja, konfigurálnia kell ezt aparamétert.

Hajtsa végre a következő műveletek egyikét:

  • A telefon XML-es (cfg, xml) konfigurációs fájljában írja be a következő formátumú karakterláncot:

    <Proxy_Host ua="rw">proxy.example.com</Proxy_Host>

  • A telefon webes felületén adja meg a proxykiszolgáló IP címét vagy állomásnevét.

Alapértelmezett: üres

ProxyportA proxy állomáskiszolgáló portszáma.

Ha a Proxy módot Manuálisra állítja, konfigurálnia kell ezt aparamétert.

Hajtsa végre a következő műveletek egyikét:

  • A telefon XML-es (cfg, xml) konfigurációs fájljában írja be a következő formátumú karakterláncot:

    <Proxy_Port ua="rw">3128</Proxy_Port>

  • A telefon webes felületén adjon meg egy kiszolgálóportot.

Alapértelmezett: 3128

ProxyhitelesítésEz a beállítás határozza meg, hogy a felhasználónak meg kell-e adnia a proxykiszolgáló által megkövetelt hitelesítő adatokat (felhasználónevet és jelszót). Ez a paraméter a proxykiszolgáló tényleges viselkedésének megfelelően van konfigurálva.

Ha a paramétert Igen értékre állítja, konfigurálniakell a felhasználónevet és a jelszót .

A paraméterekkel kapcsolatos részletekért tekintse meg a táblázat "Felhasználónév" és "Jelszó" paraméterét.

A paraméterkonfiguráció akkor lép érvénybe, ha a Proxy mód beállítása Manuális .

Hajtsa végre a következő műveletek egyikét:

  • A telefon XML-es (cfg, xml) konfigurációs fájljában írja be a következő formátumú karakterláncot:

    <Proxy_Authentication ua="rw">Nem</Proxy_Authentication>

  • A telefon webes felületén szükség szerint állítsa be ezt a mezőt Igen vagy Nem értékre .

Megengedett értékek: Igen és Nem

Alapértelmezett: Nem

FelhasználónévA proxykiszolgálón lévő hitelesítőadat-felhasználó felhasználóneve.

Ha a Proxy Mode (Proxy mód ) beállítása Manual (Kézi), a Proxy Authentication ( Proxyhitelesítés ) beállítása pedig Yes, konfigurálnia kell a paramétert.

Hajtsa végre a következő műveletek egyikét:

  • A telefon XML-es (cfg, xml) konfigurációs fájljában írja be a következő formátumú karakterláncot:

    <Proxy_Username ua="rw">példa</Proxy_Username>

  • A telefon webes felületén adja meg a felhasználónevet.

Alapértelmezett: üres

JelszóA megadott felhasználónév jelszava proxyhitelesítési célra.

Ha a Proxy Mode (Proxy mód ) beállítása Manual (Kézi), a Proxy Authentication ( Proxyhitelesítés ) beállítása pedig Yes, konfigurálnia kell a paramétert.

Hajtsa végre a következő műveletek egyikét:

  • A telefon XML-es (cfg, xml) konfigurációs fájljában írja be a következő formátumú karakterláncot:

    <Proxy_Password ua="rw">példa</Proxy_Password>

  • A telefon webes felületén adjon meg egy érvényes jelszót a felhasználó proxyhitelesítéséhez.

Alapértelmezett: üres

Ügyfél által kezdeményezett mód engedélyezése a médiasík biztonsági egyeztetéseihez

A média-munkamenetek védelme érdekében beállíthatja a telefont úgy, hogy médiasík-biztonsági egyeztetéseket kezdeményezzen a kiszolgálóval. A biztonsági mechanizmus az RFC 3329-ben és annak kiterjesztési tervezetében, a Biztonsági mechanizmusok nevei adathordozókhoz (lásd# https://tools.ietf.org/html/draft-dawes-sipcore-mediasec-parameter-08#ref-2) meghatározott szabványokat követi. A telefon és a szerver közötti egyeztetések átvitele SIP protokollt használhat UDP, TCP és TLS. Korlátozhatja, hogy a médiasík biztonsági egyeztetése csak akkor legyen alkalmazva, ha a jelzésátviteli protokoll TLS.

1

Lépjen be a telefon adminisztrációs weboldalára.

2

Válassza ki a Hang > Mellék(n) lehetőséget.

3

A SIP-beállítások szakaszban állítsa be a MediaSec-kérelem és a Csak TLS MediaSec mezőket az alábbi táblázatban meghatározottak szerint:

3. táblázat. A médiasík biztonsági egyeztetésének paraméterei
ParaméterLeírás

MediaSec-kérés

Megadja, hogy a telefon kezdeményezzen-e médiasík-biztonsági egyeztetést a kiszolgálóval.

Hajtsa végre a következő műveletek egyikét:

  • A telefon XML-es (cfg, xml) konfigurációs fájljában írja be a következő formátumú karakterláncot:

    <MediaSec_Request_1_ ua="na">Igen</MediaSec_Request_1_>
  • A telefon webes felületén szükség szerint állítsa ezt a mezőt Igen vagy Nem értékre .

Engedélyezett értékek: igen|nem

  • Igen – ügyfél által kezdeményezett mód. A telefon médiarepülőgép-biztonsági egyeztetéseket kezdeményez.
  • Nem – A kiszolgáló által kezdeményezett mód. A kiszolgáló kezdeményezi a médiasík biztonsági egyeztetését. A telefon nem kezdeményez egyeztetéseket, de a kiszolgálótól érkező egyeztetési kérelmeket a biztonságos hívások létrehozásához tudja kezelni.

Alapértelmezett: Nem

Csak TLS MediaSec

Megadja azt a jelzésátviteli protokollt, amelyen keresztül a médiasík biztonsági egyeztetése alkalmazva van.

Mielőtt ezt a mezőt Igen értékreállítja, győződjön meg arról, hogy a jelzésátviteli protokoll TLS.

Hajtsa végre a következő műveletek egyikét:

  • A telefon XML-es (cfg, xml) konfigurációs fájljában írja be a következő formátumú karakterláncot:

    <MediaSec_Over_TLS_Only_1_ ua="na">Nem<MediaSec_Over_TLS_Only_1_>

  • A telefon webes felületén szükség szerint állítsa ezt a mezőt Igen vagy Nem értékre .

Engedélyezett értékek: igen|nem

  • Igen – A telefon csak akkor kezdeményez vagy kezel médiarepülőgép-biztonsági egyeztetéseket, ha a jelzésátviteli protokoll TLS.
  • Nem – A telefon kezdeményezi és kezeli a médiarepülőgép biztonsági egyeztetéseit, függetlenül a jelzésátviteli protokolltól.

Alapértelmezett: Nem

4

Kattintson az Összes változás elküldése lehetőségre.

WLAN biztonság

Mivel az összes hatókörön belüli WLAN-eszköz képes fogadni minden egyéb WLAN-forgalmat, a hangkommunikáció biztonságossá tétele alapvető fontosságú a WLAN-hálózatok esetén. Annak érdekében, hogy a behatolók ne manipulálhassák és ne foghassák el a hangforgalmat, a Cisco SAFE Security architektúra támogatja a telefont. A hálózati biztonsággal kapcsolatos további információkért lásd: http://www.cisco.com/en/US/netsol/ns744/networking_solutions_program_home.html.

A Cisco vezeték nélküli IP telefonos megoldás vezeték nélküli hálózati biztonságot nyújt, amely megakadályozza az illetéktelen bejelentkezéseket és a kommunikáció sérülését a telefon által támogatott alábbi hitelesítési módszerek használatával:

  • Nyílt hitelesítés: egy nyitott rendszerben bármely vezeték nélküli eszköz kérhet hitelesítést. A kérést fogadó hozzáférési pont jóváhagyhatja a hitelesítést bármely kérelmező számára, vagy csak a felhasználók listáján található kérelmezőknek. Előfordulhat, hogy a vezeték nélküli eszköz és az Access Point (AP) közötti kommunikáció titkosítatlan.

  • Bővíthető hitelesítési protokoll – Rugalmas hitelesítés biztonságos bújtatási (EAP-FAST) hitelesítéssel: Ez az ügyfél-kiszolgáló biztonsági architektúra titkosítja a EAP tranzakciókat az AP és a RADIUS-kiszolgáló közötti Transport Level Security (TLS) alagútban, például az Identity Services Engine (ISE) motorban.

    A TLS-alagút védett hozzáférési hitelesítő adatokat (PAC) használ az ügyfél (telefon) és a RADIUS-kiszolgáló közötti hitelesítéshez. A kiszolgáló egy Authority ID (AID) azonosítót küld az ügyfélnek (telefon), amely kiválasztja a megfelelő PAC-ot. Az ügyfél (telefon) egy PAC-Opaque választ ad vissza a RADIUS-kiszolgálónak. A kiszolgáló az elsődleges kulccsal visszafejti a PAC-ot. Ekkor már mindkét végpont tartalmazza a PAC-kulcsot, és létrejön egy TLS-alagút. Az EAP-FAST támogatja az automatikus PAC-létesítést, de Önnek engedélyeznie kell azt a RADIUS-kiszolgálón.

    Az ISE-ben alapértelmezés szerint a PAC egy hét múlva lejár. Ha a telefon lejárt PAC-kal rendelkezik, akkor a RADIUS-kiszolgálóval való hitelesítés hosszabb időt vesz igénybe, mert a telefon új PAC-ot kap. A PAC-létesítési késleltetések elkerülése érdekében a PAC lejárati időszakát 90 napra vagy hosszabb időszakra kell beállítani az ISE- vagy RADIUS-kiszolgálón.

  • Extensible Authentication Protocol-Transport Layer Security (EAP-TLS) Authentication: az EAP-TLS esetén egy ügyféltanúsítvány szükséges a hitelesítéshez és a hálózati eléréshez. Vezeték nélküli EAP-TLS esetén az ügyféltanúsítvány lehet MIC, LSC vagy felhasználó által telepített tanúsítvány.

  • Protected Extensible Authentication Protocol (PEAP): a Cisco saját jelszóalapú kölcsönös hitelesítési sémája az ügyfél (telefon) és egy RADIUS-kiszolgáló között. A telefon PEAP használhatja a vezeték nélküli hálózattal való hitelesítéshez. A PEAP-MSCHAPV2 és a PEAP-GTC hitelesítési módszerek is támogatottak.

  • Előmegosztott kulcs (PSK): A telefon ASCII formátumot támogat. Ezt a formátumot kell használnia az WPA/WPA2/SAE előmegosztott kulcs beállításakor:

    ASCII: egy ASCII-karakterből álló karakterlánc, amely 8–63 karakter hosszú (0–9, kis és nagy A-Z, ill. speciális karakterek)

    Példa: GREG123567@9ZX&W

A következő hitelesítési sémák a RADIUS-kiszolgáló használatával kezelik a hitelesítési kulcsokat:

  • WPA/WPA2/WPA3: A RADIUS-kiszolgáló adatai alapján egyedi kulcsokat hoz létre a hitelesítéshez. Mivel ezek a kulcsok a központosított RADIUS-kiszolgálón jönnek létre, a WPA2/WPA3 nagyobb biztonságot nyújt, mint a hozzáférési ponton és a telefonon tárolt előmegosztott WPA-kulcsok.

  • Gyors biztonságos barangolás: a RADIUS-kiszolgáló és egy vezeték nélküli tartományi kiszolgáló (WDS) adatait használja a kulcsok kezeléséhez és hitelesítéséhez. A WDS létrehozza az FT-kompatibilis ügyféleszközök biztonsági hitelesítő adatainak gyorsítótárát a gyors és biztonságos újrahitelesítés érdekében. A Cisco 9861-es és 9871-es asztali telefon és a Cisco 8875-ös videotelefon támogatja a 802.11r (FT) szabványt. Mind a vezeték nélküli, mind a DS támogatott a gyors, biztonságos barangolás érdekében. Azonban nyomatékosan javasoljuk, hogy használja a 802.11r (FT) Over Air módszert.

A WPA/WPA2/WPA3 esetében a titkosítási kulcsok nem kerülnek be a telefonra, hanem automatikusan származnak a hozzáférési pont és a telefon között. A hitelesítéshez használt EAP-felhasználónevet és -jelszót azonban minden telefonon meg kell adni.

A hangforgalom biztonsága érdekében a telefon támogatja a TKIP és a AES titkosítást. Amikor ezeket a mechanizmusokat titkosításra használják, mind a jelző SIP-csomagok, mind a hangalapú Real-Time Transport Protocol (RTP) csomagok titkosítva vannak a hozzáférési pont és a telefon között.

TKIP

A WPA TKIP titkosítást használ, amely számos fejlesztést tartalmaz a WEP képest. A TKIP a titkosítást megerősítő, csomagonkénti kulcsos titkosítást és hosszabb inicializálási vektorokat (IV) tartalmaz. Emellett az üzenet épségének ellenőrzése (MIC) biztosítja, hogy a titkosított csomagok ne módosuljanak. A TKIP megszünteti a WEP kiszámíthatóságát, amely segíthet a behatolóknak a WEP-kulcs megfejtésében.

AES

A WPA2/WPA3 hitelesítéshez használt titkosítási módszer. Ez a titkosításhoz használt nemzeti szabvány szimmetrikus algoritmust alkalmaz, amely azonos kulcsot használ a titkosításhoz és a visszafejtéshez. Az AES 128 bites cipher block-chain (CBC) titkosítást használ, amely minimális kulcsméretként támogatja a 128, 192 és 256 bites méretet is. A telefon 256 bites kulcsméretet támogat.

A Cisco 9861-es és 9871-es asztali telefon, valamint a Cisco 8875-ös videotelefon nem támogatja a CMIC-kel rendelkező Cisco Key Integrity Protocol (CKIP) protokollt.

A hitelesítési és titkosítási sémák a vezeték nélküli LAN-on belül vannak beállítva. A VLAN-beállítások a hálózaton és a hozzáférési ponton vannak konfigurálva, és a hitelesítés és titkosítás különböző kombinációit határozzák meg. A rendszer egy SSID-t társít egy VLAN-hoz és az adott hitelesítési és titkosítási rendszerhez. A vezeték nélküli ügyféleszközök sikeres hitelesítéséhez ugyanazokat az SSID-ket kell konfigurálnia hitelesítési és titkosítási sémáikkal a hozzáférési pontokon és a telefonon.

Egyes hitelesítési sémák adott típusú titkosítást igényelnek.

  • Ha előmegosztott kulcsot, WPA2 előmegosztott kulcsot vagy WPA SAE kulcsot használ, az előmegosztott kulcsot statikusan kell beállítani a telefonon. Ezeknek a kulcsoknak meg kell egyezniük a hozzáférési ponton megadott kulcsokkal.
  • A telefon támogatja az automatikus EAP egyeztetést FAST vagy PEAP esetén, de TLS esetén nem. EAP-TLS módhoz meg kell adnia azt.

Az alábbi táblázatban látható hitelesítési és titkosítási sémák a hozzáférési pont beállításának megfelelő telefon hálózati konfigurációs beállításait mutatják be.

4. táblázat. Hitelesítési és titkosítási sémák
FSR típusaHitelesítésKulcskezelésTitkosításVédett felügyeleti keret (PMF)
802.11r (FT)PSK

WPA-PSK

WPA-PSK-SHA256

FT-PSK

AESNem
802.11r (FT)WPA3

SAE

FT-SAE

AESVan
802.11r (FT)EAP-TLS

WPA-EAP

FT-EAP

AESNem
802.11r (FT)EAP-TLS (WPA3)

WPA-EAP-SHA256

FT-EAP

AESVan
802.11r (FT)EAP-FAST

WPA-EAP

FT-EAP

AESNem
802.11r (FT)EAP-FAST (WPA3)

WPA-EAP-SHA256

FT-EAP

AESVan
802.11r (FT)EAP-PEAP

WPA-EAP

FT-EAP

AESNem
802.11r (FT)EAP-PEAP (WPA3)

WPA-EAP-SHA256

FT-EAP

AESVan

Állítsa be Wi-Fi profilt

A Wi-Fi profilt a telefon weboldaláról vagy egy távoli eszközprofil újraszinkronizálásával konfigurálhatja, majd a profilt hozzárendelheti a rendelkezésre álló Wi-Fi hálózatokhoz. Ezzel a Wi-Fi profillal csatlakozhat egy Wi-Fi hálózathoz. Jelenleg csak egy Wi-Fi profil konfigurálható.

A profil tartalmazza azokat a paramétereket, amelyekre a telefonnak szüksége a telefonszerverre való csatlakozáshoz Wi-Fi hálózaton keresztül. Amikor létrehoz és használ egy Wi-Fi profilt, sem Önnek, sem a felhasználóknak nem kell konfigurálniuk a vezeték nélküli hálózatot az egyes telefonokhoz.

Egy Wi-Fi profillal megakadályozhatja vagy korlátozhatja, hogy a felhasználók módosításokat végezzenek a Wi-Fi konfiguráción.

Javasoljuk, hogy Wi-Fi profil használata esetén titkosítást engedélyező protokollokkal rendelkező biztonságos profilt használjon a kulcsok és jelszavak védelme érdekében.

Amikor biztonsági módban a EAP-FAST hitelesítési módszer használatára állítja be a telefonokat, a felhasználóknak egyéni hitelesítő adatokra van szükségük a hozzáférési ponthoz való csatlakozáshoz.

1

Nyissa meg a telefon weboldalát.

2

Válassza ki a Hang > Rendszer lehetőséget.

3

A Wi-Fi Profil (n)) szakaszban állítsa be a paramétereket az alábbi táblázatbanleírtak szerint Paraméterek Wi-Fi profilhoz .

A Wi-Fi profil konfigurációja a felhasználói bejelentkezés számára is elérhető.
4

Kattintson az Összes változás elküldése lehetőségre.

A Wi-Fi profil paraméterei

Az alábbi táblázat határozza meg az egyes paraméterek funkcióját és használatát a Wi-Fi profil (n) szakaszban a Rendszer fülön a telefon weblapján. Meghatározza továbbá a telefon konfigurációs fájljában (cfg.xml) a paraméter konfigurálásához hozzáadott karakterlánc szintaxisát is.

ParaméterLeírás
Hálózat neveLehetővé teszi a telefonon megjelenő SSID nevének megadását. Több profilnak is lehet ugyanaz a hálózati neve más biztonsági móddal.

Hajtsa végre a következő műveletek egyikét:

  • A telefon XML-es (cfg, xml) konfigurációs fájljában írja be a következő formátumú karakterláncot:

    <Network_Name_1_ua="rw">cisco</Network_Name_1_>

  • A telefon weblapján adja meg a SSID nevét.

Alapértelmezett: üres

Biztonsági módKiválaszthatja a Wi-Fi hálózat biztonságos hozzáféréséhez használt hitelesítési módot. A választott módszertől függően megjelenik egy jelszómező, ahol megadhatja a Wi-Fi hálózathoz való csatlakozáshoz szükséges hitelesítő adatokat.

Hajtsa végre a következő műveletek egyikét:

  • A telefon XML-es (cfg, xml) konfigurációs fájljában írja be a következő formátumú karakterláncot:

    <Security_Mode_1_ ua="rw">EAP-TLS</Security_Mode_1_> <!-- elérhető opciók: Auto|EAP-FAST|||PSK||Nincs|EAP-PEAP|EAP-TLS -->

  • A telefon weblapján válasszon az alábbi módszerek közül:
    • Auto
    • EAP-FAST
    • PSK
    • Nincs
    • EAP-PEAP
    • EAP-TLS

Alapértelmezett: automatikus

Wi-Fi a FelhasználóazonosítóMegadhatja a hálózati profil felhasználói azonosítóját.

Ez a mező akkor érhető el, ha a biztonsági módot Auto, EAP-FAST vagy EAP-PEAP értékre állítja. Ez egy kötelező mező, amelybe legfeljebb 32 alfanumerikus karaktert lehet beírni.

Hajtsa végre a következő műveletek egyikét:

  • A telefon XML-es (cfg, xml) konfigurációs fájljában írja be a következő formátumú karakterláncot:

    <Wi-Fi_User_ID_1_ua="rw"></Wi-Fi_User_ID_1_>

  • A telefon weblapján adja meg a hálózati profil felhasználói azonosítóját.

Alapértelmezett: üres

Wi-Fi jelszóLehetővé teszi a megadott Wi-Fi felhasználói azonosító jelszavának megadását.

Hajtsa végre a következő műveletek egyikét:

  • A telefon XML-es (cfg, xml) konfigurációs fájljában írja be a következő formátumú karakterláncot:

    < Wi-Fi_Password_1_ ua = "RW" > </Wi-Fi_Password_1_ >

  • A telefon weblapján adja meg a hozzáadott felhasználói azonosító jelszavát.

Alapértelmezett: üres

FrekvenciasávItt választhatja ki a WLAN hálózaton használt vezeték nélküli jel frekvenciasávját.

Hajtsa végre a következő műveletek egyikét:

  • A telefon XML-es (cfg, xml) konfigurációs fájljában írja be a következő formátumú karakterláncot:

    <Frequency_Band_1_ ua="rw">Auto</Frequency_Band_1_>

  • A telefon weblapján válasszon az alábbi lehetőségek közül:
    • Auto
    • 2,4 GHz
    • 5 GHz

Alapértelmezett: automatikus

Tanúsítvány kiválasztásaLehetővé teszi a tanúsítvány típusának kiválasztását a tanúsítvány kezdeti igényléséhez és megújításához a vezeték nélküli hálózaton. Ez a folyamat csak 802.1X hitelesítés esetén érhető el.

Hajtsa végre a következő műveletek egyikét:

  • A telefon XML-es (cfg, xml) konfigurációs fájljában írja be a következő formátumú karakterláncot:

    <Certificate_Select_1_ ua="rw">Gyártó telepítve</Certificate_Select_1_>

  • A telefon weblapján válasszon az alábbi lehetőségek közül:
    • Gyártó telepített
    • Egyéni telepítés

Alapértelmezés: A gyártó telepítve van

Ellenőrizze az eszköz biztonsági állapotát a telefonon

A telefon automatikusan ellenőrzi az eszköz biztonsági állapotát. Ha potenciális biztonsági fenyegetést észlel a telefonon, a Problémák és diagnosztika menü megjelenítheti a problémák részleteit. A jelentett problémák alapján a rendszergazda műveleteket végezhet a telefon biztonságossá tétele és megerősítése érdekében.

Az eszköz biztonsági állapota akkor is elérhető lehet, ha a telefon nincs regisztrálva a hívásvezérlő rendszerben (Webex Calling vagy a BroadWorksben).

A telefon biztonsági problémáinak részleteinek megtekintéséhez tegye a következőket:

1

Nyomja meg a Beállítások gombotSettings button

2

Válassza a Problémák és diagnosztika > problémák lehetőséget.

Az eszközbiztonsági jelentés jelenleg a következő problémákat tartalmazza:

KategóriaProbléma
Eszköz megbízhatóságaAz eszköz hitelesítése sikertelen
A hardvert meghamisították
Sebezhető konfigurációNincs megadva jelszó
SSH engedélyezve
Telnet engedélyezve
Hálózati anomáliaesemény észlelhetőTúlzott bejelentkezési kísérletek
Tanúsítvány kiállításaA CDC-tanúsítvány hamarosan lejár
3

A biztonsági problémák megoldásához forduljon a rendszergazdához.