- Kezdőlap
- /
- Cikk
Köszönjük visszajelzését.
Egyéni eszköztanúsítvány a 9800/8875-ös vonalon
Ebben a cikkben
Visszajelzés?Egyéni eszköztanúsítványt (CDC) manuálisan vagy automatikusan telepíthet. Bizonyos környezetekben a DHCP 43-as opciójával adhatja meg a tanúsítvány telepítéséhez szükséges SCEP paramétereket. Ez a súgócikk a Cisco 9800-as sorozatú asztali telefonhoz és a Cisco 8875-ös videotelefonhoz tartozik, amelyek a Cisco BroadWorks vagy Webex Calling címen vannak regisztrálva.
Egyéni eszköztanúsítvány telepítése
Egyéni eszköztanúsítvány (CDC) telepítéséhez a telefonra, a helyzettől függően, használja az alábbi módszerek egyikét:
A telefonra legutóbb telepített tanúsítvány lép életbe.
- Manuális telepítés – a tanúsítványt a telefon adminisztrációs weboldaláról feltöltve telepítheti. Részletekért lásd Egyéni eszköztanúsítvány manuális telepítése feltöltéssel.
- Automatikus telepítés – Beállíthatja az Egyszerű tanúsítványigénylési protokoll (SCEP) paramétereit úgy, hogy a tanúsítványok automatikus telepítése elinduljon. A telefon SCEP kéréseket küld egy SCEP szervernek a tanúsítvány telepítéséhez.
Az SCEP paraméterek a telefon adminisztrációs weboldalán, a telefon konfigurációs fájljában (cfg.XML) vagy a Control Hub-on keresztül konfigurálhatók. Részletekért lásd Egyéni eszköztanúsítvány automatikus telepítése SCEP által és A telefonbeállítások paraméterei a Control Hub-on.
- DHCP 43-as opció – Bizonyos környezetekben a DHCP 43-as opciójával telepíthet tanúsítványt. A 43-as opció megadhatja a tanúsítványtelepítés SCEP paramétereit. Részletekért lásd SCEP paraméterek konfigurálása a DHCP 43-as opciójával.
-
Amikor a DHCP 43-as opciót használja az SCEP paraméterek kiépítéséhez, a telefon a DHCP 15-ös opció által hordozott domain nevet is lekérheti. A lekért domain név alapján a telefon létrehozhatja az SCEP CSR közös nevét és a 802.1X felhasználói azonosítóját. Részletekért lásd Közönséges név vagy felhasználói azonosító kiépítése a DHCP 15-ös opciójával.
A DHCP beállítások konfigurálásával kapcsolatos további információkért lásd: DHCP beállítások konfigurálása.
-
Egyéni eszköztanúsítvány manuális telepítése feltöltéssel
Manuálisan telepíthet egyéni eszköztanúsítványt (CDC) a telefonra a tanúsítvány feltöltésével a telefon adminisztrációs weboldaláról.
Mielőtt nekilátna
Mielőtt egyéni eszköztanúsítványt telepíthetne egy telefonhoz, a következőkkel kell rendelkeznie:
- A számítógépére mentett tanúsítványfájl (.p12 vagy .pfx). A fájl tartalmazza a tanúsítványt és a privát kulcsot.
- A tanúsítvány kinyerési jelszava. A jelszó a tanúsítványfájl visszafejtésére szolgál.
| 1 |
Lépjen be a telefon adminisztrációs weboldalára. |
| 2 |
Válasszon Bizonyítvány. |
| 3 |
A Tanúsítvány hozzáadása szakasz, kattintson Böngészés.... |
| 4 |
Keresse meg a tanúsítványt a számítógépen. |
| 5 |
A Kibontási jelszó mezőbe írja be a tanúsítvány kibontási jelszavát. |
| 6 |
Kattintson a Feltöltés gombra. Ha a tanúsítványfájl és a jelszó helyes, akkor a következő üzenetet fogja kapni: "
Tanúsítvány hozzáadva. ". Ellenkező esetben a feltöltés sikertelen lesz, és egy hibaüzenet jelenik meg, amely jelzi, hogy a tanúsítvány nem tölthető fel. |
| 7 |
A telepített tanúsítvány részleteinek ellenőrzéséhez kattintson a Kilátás a Meglévő tanúsítványok szakasz. |
| 8 |
A telepített tanúsítvány telefonról való eltávolításához kattintson a Töröl a Meglévő tanúsítványok szakasz. A gombra kattintás után az eltávolítási művelet azonnal, megerősítés nélkül megkezdődik.
Ha a tanúsítvány eltávolítása sikeresen megtörtént, a következő üzenetet fogja kapni: " |
Egyéni eszköztanúsítvány automatikus telepítése SCEP által
A Simple Certificate Enrollment Protocol (SCEP) kapcsolódó paramétereit úgy konfigurálhatja, hogy azok kommunikáljanak az SCEP-kiszolgálóval az egyéni eszköztanúsítvány (CDC) automatikus telepítése érdekében.
Miután bármelyik SCEP paraméter konfigurálva lett, a telefon SCEP regisztrációs kérelmet küld a szervernek. A telefon a konfigurált ujjlenyomat segítségével érvényesíti a fogadott CA-tanúsítványt.
Mielőtt nekilátna
Mielőtt automatikusan telepíthetné a telefonhoz tartozó egyéni eszköztanúsítványt (CDC), a következőkre van szükség:
- SCEP-kiszolgáló címe
- Az SCEP-kiszolgáló legfelső szintű hitelesítő kiszolgálótanúsítványának SHA-1 vagy SHA-256 ujjlenyomata
| 1 |
Lépjen be a telefon adminisztrációs weboldalára. |
| 2 |
Válasszon Bizonyítvány. |
| 3 |
A SCEP-konfiguráció 1 szakaszban állítsa be a paramétereket a leírtak szerint. SCEP-konfiguráció paraméterei . |
| 4 |
Kattintson az Összes változás elküldése lehetőségre. |
SCEP-konfiguráció paraméterei
A következő táblázat az SCEP konfigurációs paramétereinek funkcióját és használatát ismerteti a következőben: SCEP-konfiguráció 1 szakasz alatt Bizonyítvány Tab a telefon webes felületén. Meghatározza a telefonkonfigurációs fájlba (cfg.XML) hozzáadott karakterlánc szintaxisát is a paraméter konfigurálásához.
A paraméterek bármilyen megváltoztatása miatt a telefon új tanúsítványt fog kérni.
| Paraméter | Leírás |
|---|---|
| Szerver |
SCEP-kiszolgáló címe. Ez a paraméter kötelező. Hajtsa végre a következő műveletek egyikét:
Érvényes értékek: URL vagy IP cím. A HTTPS séma nem támogatott. Alapértelmezett: üres |
| Gyökér CA ujjlenyomat |
A legfelső szintű hitelesítésszolgáltató SHA256 vagy SHA1 ujjlenyomata az SCEP folyamat során történő érvényesítéshez. Ez a paraméter kötelező. Hajtsa végre a következő műveletek egyikét:
Alapértelmezett: üres |
| Jelszó kihívása |
A telefonon a SCEP-en keresztüli tanúsítványigénylés során használt Certificate Authority (CA) hitelesítési ellenőrző jelszó. Ez a paraméter opcionális. A tényleges SCEP környezettől függően a jelszó-kérdés viselkedése változó.
Hajtsa végre a következő műveletek egyikét:
Alapértelmezett: üres |
| Köznapi név |
Meghatározza a tanúsítványt kérő telefon azonosítójaként használt közös nevet (CN). A CN-t a tanúsítványaláírási kérelemhez (CSR) használják az SCEP folyamatban. Ez a paraméter a makróbővítő változókat is támogatja, lásd Makróbővítési változók a részletekért. Hajtsa végre a következő műveletek egyikét:
Érvényes értékek: Legfeljebb 64 karakter Alapértelmezett: üres |
Tanúsítvány megújítása az SCEP által
Az eszköztanúsítvány automatikusan frissíthető az SCEP-folyamattal.
- A telefon 4 óránként ellenőrzi, hogy a tanúsítvány lejár-e 15 nap múlva. Ebben az esetben a telefon automatikusan elindítja a tanúsítványmegújítási folyamatot.
- Ha a kérési jelszó üres, a telefon a MIC/SUDI protokollt használja mind a kezdeti igényléshez, mind a tanúsítvány megújításához. Ha a kérési jelszó konfigurálva van, akkor csak a kezdeti igényléshez, a meglévő/telepített tanúsítvány pedig a tanúsítvány megújításához használatos.
- A telefon nem távolítja el a régi eszköztanúsítványt, amíg le nem kéri az újat.
- Ha a tanúsítvány megújítása azért sikertelen, mert az eszköz tanúsítványa vagy a hitelesítésszolgáltató lejár, a telefon automatikusan elindítja a kezdeti regisztrációt. Időközben, ha a kérő jelszó hitelesítése sikertelen, egy jelszóbeviteli képernyő jelenik meg a telefon képernyőjén, és a rendszer felkéri a felhasználókat, hogy adják meg a kérdés jelszavát a telefonon.
CDC köznapi név konfigurációja
Alapértelmezés szerint a MIC/SUDI tartományban szereplő köznapi név a CDC köznapi neve.
A CDC köznapi nevét a tanúsítvány telepítésekor konfigurálhatja. CDC számítógépre történő telepítéséhez használja az alábbi módszerek egyikét:
-
Hozzon létre egy tanúsítvány-aláírási kérelmet (CSR), amely tartalmazza a kívánt köznapi nevet, majd töltse fel és telepítse az új tanúsítványt a telefon felügyeleti weblapjára.
-
Konfigurálja a köznapi nevet a telefon felügyeleti weboldalán, a telefon konfigurációs fájlján (cfg.XML) vagy a Control Hubon keresztül. Ezzel a telefon automatikusan új tanúsítványt kér.
A telefon weboldalán és a Control Hubon található paraméterekkel kapcsolatos további információkért lásd: Egyéni eszköztanúsítvány automatikus telepítése SCEP által és A Control Hub telefonbeállításainak paraméterei.
- Használja a DHCP 43-as és 15-ös opciót a CDC és a vezetékes 802.1X identitás köznapi nevének létrehozásához.
További információ: Köznapi név vagy felhasználói azonosító létesítése a DHCP 15. beállításon keresztül.
SCEP-paraméterek konfigurálása a DHCP 43-as opcióval
Bizonyos környezetekben, ahol nem telepítheti az egyéni eszköztanúsítványt (CDC) annak feltöltésével vagy az SCEP-paraméterek közvetlen konfigurálásával. Ebben az esetben a DHCP 43-as opcióval töltheti fel a paramétereket egy DHCP kiszolgálóról. A DHCP 43-as opció beállítható úgy, hogy SCEP-paramétereket adjon a telefonnak. A telefon gyári beállításainak visszaállítása után megkaphatja a paramétereket a DHCP szervertől a CDC SCEP protokollon keresztüli telepítéséhez.
- Ez a funkció (SCEP-paraméterek beállítása a DHCP 43-as opcióval) csak gyári alaphelyzetbe állított telefonon érhető el.
- A telefonok nem helyezhetők olyan hálózatba, amely támogatja a 43-as opciót és a távoli létesítést (például az Options 66,160,159,150 vagy a felhőalapú kiosztást). Ellenkező esetben előfordulhat, hogy a telefonok nem kapják meg a 43-as beállítást.
CDC-tanúsítvány telepítéséhez a DHCP 43-as beállításban megadott SCEP-paraméterekkel tegye a következőket:
- SCEP-környezet előkészítése.
Az SCEP-környezet beállításával kapcsolatos információkért tekintse meg az SCEP-kiszolgáló dokumentációját.
- Állítsa be a DHCP 43-as opciót (definíciója: 8.4 Szállítóspecifikus információk, RFC 2132).
A (10–15) albeállítások a metódus számára vannak fenntartva:
Paraméter a telefon weboldalán Alopció Típus Hossz (bájt) Kötelező FIPS mód 10 Logikai 1 Nem* Szerver 11 string 208 - hossz (Challenge Password) Van Legfelső szintű hitelesítésszolgáltató ujjlenyomata 12 rontás 20, 32, 48 vagy 64 Van Kihívás jelszó 13 string 208 - hossz (szerver) Nem* 802.1X hitelesítés engedélyezése 14 Logikai 1 Nem Tanúsítvány kiválasztása 15 Aláíratlan 8 bites 1 Nem * azt jelenti, hogy a paraméter a tényleges helyzetnek megfelelően van konfigurálva.
A DHCP 43-as beállítás használatakor figyelje meg a metódus alábbi jellemzőit:
- A (10–15) albeállítások az egyéni eszköztanúsítvány (CDC) számára vannak fenntartva.
- A DHCP 43-as beállítás maximális hossza 255 bájt.
- A Server + Challenge Password maximális hossza nem haladhatja meg a 208 bájtot.
- A FIPS-mód értékének konzisztensnek kell lennie a bevezetési kiépítési konfigurációval. Ellenkező esetben a telefon nem tudja lekérni a korábban telepített tanúsítványt a bevezetés után. Kifejezetten
- Ha a telefon olyan környezetben lesz regisztrálva, ahol a FIPS mód le van tiltva, nem kell konfigurálnia a FIPS módot a DHCP 43-as beállításban. Alapértelmezés szerint a FIPS mód le van tiltva.
- Ha a telefon olyan környezetben lesz regisztrálva, ahol engedélyezve van a FIPS mód, engedélyeznie kell a FIPS módot a DHCP 43-as opcióban. A részletekért lásd: FIPS-mód engedélyezése.
- A 43. lehetőségben található kihívási jelszó tiszta szöveg.
- Ha azt szeretné, hogy a telefon a MIC/SUDI protokollt használja a kezdeti igényléshez és a tanúsítvány megújításához, hagyja üresen a kérdés jelszavát.
- Ha a kérdés jelszavát csak a kezdeti regisztrációhoz használja, konfigurálja a kérdés jelszavát. Ebben az esetben a rendszer a telepített tanúsítványt használja a tanúsítvány megújításához.
- A 802.1X hitelesítés engedélyezése és a Tanúsítvány kiválasztása csak vezetékes hálózatokban lévő telefonok esetében használatos.
- DHCP A 60-as opció (Vendor Class Identifier) az eszközmodell azonosítására szolgál.
Példa a DHCP 43. lehetőségre (10–15. alopció):
Alopció tizedesjegy/hexadecimális Érték hossza (bájt) decimális/hexadecimális Érték Hex érték 10/0a 1/01 1 (0: Letiltva; 1: Engedélyezve) 01 11/0b 18/12 http://10.79.57.91 687474703a2f2f31302e37392e35372e3931 12/0c 20/14 12040870625C5B755D73F5925285F8F5FF5D55AF 12040870625C5B755D73F5925285F8F5FF5D55AF 13/0d 16/10 D233CCF9B9952A15 44323333434346394239393532413135 14/0e 1/01 1 (0: Nem; 1: Igen) 01 15/0F 1/01 1 (0: Gyártó telepítve; 1: Egyéni telepítés) 01 A paraméterértékek összegzése:
-
FIPS mód =
Engedélyezve -
Kiszolgáló =
http://10.79.57.91 -
Legfelső szintű hitelesítésszolgáltató ujjlenyomata =
12040870625C5B755D73F5925285F8F5FF5D55AF -
Kihívás jelszó =
D233CCF9B9952A15 -
802.1X hitelesítés engedélyezése =
Igen -
Tanúsítvány kiválasztása =
Egyéni telepítve
A végső hexadecimális érték szintaxisa:
{<suboption><length><value>}...A fenti paraméterértékek szerint a végső hexadecimális érték a következő:
0A01010B12687474703a2f2f31302e37392e35372e39310c1412040870625C5B755D73F5925285F8F5FF5D55AF0d10443233334343463942393935324131350e01010f0101 - Konfigurálja a DHCP 43-as beállítást egy DHCP kiszolgálón.
Ez a lépés egy példát mutat be a DHCP 43-as opció konfigurációira a Cisco hálózati nyilvántartásban.
- Adja hozzá a DHCP beállításdefiníciós készletet.
A Vendor Option String a IP telefonok modellneve. Az érvényes érték: DP-9841, DP-9851, DP-9861, DP-9871 vagy CP-8875.
- Adja hozzá a DHCP 43-as opciót és alopcióit a DHCP beállításdefiníciós készlethez.
Példa:
- Adja hozzá a 43. lehetőséget a DHCP szabályzathoz, és állítsa be az értéket a következőképpen:
Példa:
(10 1)(11 http://10.79.57.91)(12 12040870625C5B755D73F5925285F8F5FF5D55AF)(13 D233CCF9B9952A15)(14 1)(15 1) - Ellenőrizze a beállításokat. A Wireshark segítségével nyomon követheti a telefon és a szolgáltatás közötti hálózati forgalmat.
- Adja hozzá a DHCP beállításdefiníciós készletet.
- Végezze el a gyári beállítások visszaállítását a telefonon.
A telefon alaphelyzetbe állítása után a rendszer automatikusan kitölti a Kiszolgáló , a Legfelső szintű hitelesítésszolgáltató ujjlenyomata ésa Kihívás jelszava paramétereket . Ezek a paraméterek a telefonfelügyeleti weblap Certificate>Custom szakaszának SCEP-konfiguráció 1 . szakaszában
A telepített tanúsítvány részleteinek ellenőrzéséhez kattintson a Megtekintés gombra a Meglévő tanúsítványok szakaszban.
A tanúsítvány telepítési állapotának ellenőrzéséhez válassza a Tanúsítvány . A Letöltés állapota 1 a legfrissebb eredményt mutatja. Ha bármilyen probléma merül fel a tanúsítvány igénylése során, a letöltési állapot hibaelhárítási célból megjelenítheti a probléma okát.
Ha a kérő jelszó hitelesítése sikertelen, a rendszer felkéri a felhasználókat, hogy adják meg a jelszót a telefon képernyőjén.
- (Nem kötelező): Ha el szeretné távolítani a telepített tanúsítványt a telefonról, kattintson a Törlés gombra a Meglévő tanúsítványok részben.
Miután rákattintott a gombra, az eltávolítási művelet megerősítés nélkül azonnal elindul.
Köznapi név vagy felhasználói azonosító létesítése a DHCP 15. opción keresztül
Az SCEP-tanúsítványnak a DHCP 43-as beállítással történő igénylése során a telefon a DHCP 15-ös beállításban megadott tartománynevet is megkaphatja (ha konfigurálva van). Miután a telefon megkapta a tartománynevet, létrehozhatja a tartománynévvel együtt a köznapi nevet vagy felhasználói azonosítót, amely a következőképpen jelenik meg:
- Köznapi név = <Köznapi név a MIC/SUDI >-ben.<Domain név a 15. opcióban>
Az SCEP-folyamatban a köznapi név lesz a CSR helyére, később pedig a CDC-ben a köznapi név.
- User ID = <Köznapi név a MIC/SUDI >@<tartománynév a 15. opcióban>
A rendszer a felhasználói azonosítót fogja használni a vezetékes 802.1X hitelesítés azonosítójaként.
Például a telefon MAC címe 00:1A:2B:3C:4D:5E, a telefon típusa 9871:
| Domain név a DHCP opcióban 15 | Köznapi név | Felhasználóazonosító |
|---|---|---|
| example.nl | CP-9871-SEP001A2B3C4D5E.example.nl | CP-9871-SEP001A2B3C4D5E@example.nl |
| Üres | CP-9871-SEP001A2B3C4D5E |
CP-9871-SEP001A2B3C4D5E |
Ha a tartománynév nincs konfigurálva a 15. beállításban, a köznapi név és a felhasználói azonosító ugyanaz lesz, mint a MIC/SUDI tartományban található köznapi név.
