Engedélyezheti, hogy a Cisco Unified Communications Manager fokozott biztonságú környezetben működjön. A fokozott biztonsági szolgáltatásokkal a telefonhálózata szigorú biztonsági és kockázatkezelési felügyelet alatt áll az Ön és a felhasználói védelme érdekében.

A fokozott biztonságú környezet a következő funkciókat tartalmazza:

  • Névjegykeresés hitelesítése

  • A TCP a távoli naplózásához használt alapértelmezett protokoll.

  • FIPS mód.

  • Továbbfejlesztett hitelesítésiadat-házirend.

  • Az SHA-2 digitális aláírási hashcsalád támogatása.

  • 512 és 4096 bites RSA-kulcsméretek támogatása.

A Cisco Unified Communications Manager 14.0-s verziójában, valamint a Cisco videotelefon firmware 2.1-es és újabb verzióiban a telefonok támogatják a SIP OAuth-hitelesítést.

Az OAuth a Proxy Trivial File Transfer Protocol (TFTP) és a Cisco Unified Communications Manager 14.0(1)SU1 vagy újabb verziója támogatja. A proxy TFTP és az OAuth for Proxy TFTP nem támogatott a Mobile Remote Access (MRA) rendszeren.

A biztonsággal kapcsolatban további információkért lásd:

A telefon csak korlátozott számú Identity Trust List (ITL) fájlt képes tárolni. Az ITL-fájlok nem léphetik túl a 64K méretet a telefonon, ezért korlátozza azon fájlok számát, amelyeket a Cisco Unified Communications Manager a telefonra küld.

Támogatott biztonsági funkciók

A biztonsági funkciók védelmet biztosítanak a fenyegetések ellen, ideértve a telefonazonosítással és az adatokkal kapcsolatos veszélyeket is. Ezek a funkciók hitelesített kommunikációs folyamokat hoznak létre és tartanak fenn a telefon és a Cisco Unified Communications Manager server között, és biztosítják, hogy a telefon csak digitálisan aláírt fájlokat használjon.

A Cisco Unified Communications Manager 8.5(1) és későbbi kiadásai már alapértelmezés szerint tartalmazzák a Biztonság szolgáltatást, amely a következő biztonsági funkciókat nyújtja a CTL-ügyfél nélküli Cisco IP Phone készülékek számára:

  • A telefon konfigurációs fájljainak aláírása

  • A telefon konfigurációs fájljának titkosítása

  • HTTPS és Tomcat, valamint egyéb webes szolgáltatások

A biztonságos jelzés és a médiafunkciók továbbra is igénylik a CTL-ügyfél futtatását és a hardveres eTokenek használatát.

A Cisco Unified Communications Manager biztonsági szolgáltatásainak implementálása megakadályozza a telefon és a Cisco Unified Communications Manager-kiszolgáló személyazonosságának ellopását, megakadályozza az adatok, illetve a hívásjelzések és médiafolyamok meghamisítását.

Az ilyen fenyegetések enyhítése érdekében a Cisco IP telefonos hálózat biztonságos (titkosított) kommunikációs folyamokat hoz létre és tart fenn a telefonok és a kiszolgáló között, digitálisan aláírja a fájlokat, mielőtt azokat a rendszer átirányítja a telefonra, és titkosítja a Cisco IP Phone telefonok közötti hívásjelzéseket és médiafolyamokat.

A Certificate Authority Proxy (CAPF) funkcióhoz tartozó szükséges feladatok elvégzése után a rendszer egy Locally Significant Certificate (LSC) tanúsítványt telepít a telefonokra. Az LSC-k konfigurálásához használja a Cisco Unified Communications Manager Administration rendszert a Cisco Unified Communications Manager biztonsági útmutatójában leírtak szerint. A LSC telepítését a telefon Biztonsági beállítások menüjéből is kezdeményezheti. Ez a menü az LSC-k frissítését vagy eltávolítását is lehetővé teszi.

Az LSC-k nem használhatók WLANhitelesítéssel EAP-TLS felhasználói tanúsítványként.

A telefonok a telefonos biztonsági profilt használják, amely meghatározza, hogy az eszköz biztonságos vagy nem. A biztonsági profil telefonra való alkalmazásával kapcsolatban további információt az adott Cisco Unified Communications Manager kiadás dokumentációjában talál.

Ha a Cisco Unified Communications Manager Administration rendszerben a biztonsággal kapcsolatos beállításokat állít be, akkor a telefon konfigurációs fájlja bizalmas információkat tartalmaz. Ha meg szeretne győződni a konfigurációs fájl titkosságáról, akkor ahhoz titkosítást kell beállítania. Részletes információk az adott Cisco Unified Communications Manager-verzió dokumentációjában találhatók.

A telefon megfelel a Federal Information Processing Standard (FIPS) szabványnak. A megfelelő működés érdekében a FIPS-üzemmód esetén 2048 bites vagy nagyobb kulcsméret szükséges. Ha a tanúsítvány 2048 bitnél kisebb, akkor a telefon nem regisztrálható a Cisco Unified Communications Managerben, és a Nem sikerült regisztrálni a telefont. A tanúsítványkulcs mérete nem FIPS-kompatibilis üzenet jelenik meg a telefonon.

Ha a telefon rendelkezik LSC-vel, akkor a FIPS engedélyezése előtt frissítenie kell a LSC kulcsméretét 2048 bites vagy annál nagyobb értékre.

A következő táblázat áttekintést ad a telefon által támogatott biztonsági funkciókról. További információk az adott Cisco Unified Communications Manager-verzió dokumentációjában találhatók.

A Biztonsági mód megtekintéséhez nyomja meg a Beállítások A Beállítások kemény gomb , és lépjen a Hálózati és szolgáltatási > biztonsági beállítások lapra.

1. táblázat. A biztonsági funkciók áttekintése

Szolgáltatás

Leírás

Lemezkép-hitelesítés

Az aláírt bináris fájlok megakadályozzák, hogy a firmware-lemezképet meghamisítsák, mielőtt azt a rendszer betölti a telefonon.

A lemezkép meghamisítása esetén a telefonon sikertelen a hitelesítési folyamat, és a rendszer elutasítja az új lemezképet.

Vevői webhelytanúsítvány-telepítés

Minden Cisco IP Phone egyedi tanúsítványt igényel az eszközök hitelesítéséhez. A telefonok tartalmaznak egy gyártó által telepített tanúsítványt (MIC), de a további biztonság érdekében a tanúsítványtelepítést megadhatja a Cisco Unified Communications Manager Administration rendszer Certificate Authority Proxy Function (CAPF) szolgáltatásával is. Másik lehetőségként a telefon biztonsági konfigurációs menüjéből is telepíthet Locally Significant Certificate (LSC) tanúsítványt.

Készülékhitelesítés

Akkor következik be a Cisco Unified Communications Manager-kiszolgáló és a telefon között, amikor a adott entitás elfogadja a másik entitás tanúsítványát. Azt határozza meg, hogy a telefon és a Cisco Unified Communications Manager között történjen-e biztonságos kapcsolat, és szükség esetén a TLS protokoll segítségével létrehoz egy biztonságos jelzésútvonalat az entitások között. A Cisco Unified Communications Manager nem regisztrálja a telefonokat, amíg nem tudja hitelesíteni azokat.

Fájlhitelesítés

A telefon által letöltött, digitálisan aláírt fájlokat ellenőrzi. A telefon ellenőrzi az aláírást, és meggyőződik arról, hogy a fájl létrehozása után a fájlt nem hamisították meg. A sikertelen hitelesítésű fájlokat a rendszer nem írja a telefon Flash-memóriájába. A telefon az ilyen fájlokat minden további feldolgozás nélkül elutasítja.

Fájltitkosítás

A titkosítás megakadályozza a bizalmas információk felfedését a fájl telefonra történő átvitele során. Emellett a telefon ellenőrzi az aláírást, és meggyőződik arról, hogy a fájl létrehozása után a fájlt nem hamisították meg. A sikertelen hitelesítésű fájlokat a rendszer nem írja a telefon Flash-memóriájába. A telefon az ilyen fájlokat minden további feldolgozás nélkül elutasítja.

Jelzéshitelesítés

A TLS protokollt használja annak ellenőrzésére, hogy az átvitel során nem hamisították-e meg a jelzéscsomagokat.

Gyártó által telepített tanúsítvány

Minden Cisco IP Phone tartalmaz egy egyedi, gyártó által telepített tanúsítványt (MIC), amelyet a rendszer az eszközök hitelesítésére használ. Az MIC állandó, egyedi személyazonosság-igazolást biztosít a telefon számára, és lehetővé teszi Cisco Unified Communications Manager számára a telefon hitelesítését.

Médiatitkosítás

Az SRTP segítségével biztosítja, hogy a támogatott eszközök közötti média-adatfolyamok biztonságosak legyenek, és hogy csak a kívánt eszköz fogadhassa és olvashassa be az adatokat. Ide tartozik a elsődleges médiakulcspár létrehozása az eszközökhöz, a kulcsok továbbítása az eszközökre, valamint a kulcsok biztonságának garantálása az átvitel során.

CAPF (Certificate Authority Proxy Function)

A tanúsítvány-generálási eljárás azon részeit valósítja meg, amelyek túlságosan feldolgozásigényesek a telefon számára, és elvégzi a telefonnal a kulcsgenerálásra és tanúsítványtelepítésre vonatkozó kommunikációt. A CAPF beállítható úgy, hogy a telefon nevében az ügyfél által megadott hitelesítésszolgáltatóktól tanúsítványokat igényeljen, illetve úgy is, hogy a tanúsítványokat helyben generálja.

A EC (elliptikus görbe) és RSA kulcstípus is támogatott. A EC kulcs használatához győződjön meg arról, hogy az "Endpoint Advanced Encryption Algorithms Support" paraméter (a System > Enterprise paraméterből ) engedélyezve van.

A CAPF és a kapcsolódó konfigurációkról további információt a következő dokumentumokban talál:

Biztonsági profil

Megadja, hogy a telefon nem biztonságos, hitelesített, titkosított vagy védett-e. A táblázatban szereplő egyéb bejegyzések a biztonsági funkciókat ismertetik.

Titkosított konfigurációs fájlok

Lehetővé teszi a telefon konfigurációs fájljainak adatvédelmét.

Opcionális webkiszolgáló-letiltás a telefonhoz

Biztonsági okokból megakadályozhatja a telefonon és az önkiszolgáló portálon a weboldalakhoz való hozzáférést (amelyek a telefon különböző működési statisztikáit jelenítik meg).

Fokozott telefonbiztonság

További biztonsági lehetőségek, amelyek a Cisco Unified Communications Manager Administration segítségével vezérelhetők:

  • PC-port letiltása
  • A Gratuitous ARP (GARP) letiltása
  • A hang VLAN számítógépes hozzáférhetőségének letiltása
  • A Beállítás menü elérésének letiltása vagy korlátozott elérésének biztosítása
  • Telefonos weboldal-hozzáférés letiltása
  • Bluetooth-kiegészítőport letiltása
  • TLS-titkosítások korlátozása

802.1X hitelesítés

A Cisco IP Phone 802.1x hitelesítéssel kérhet és nyerhet hozzáférést a hálózathoz. További információk: 802.1X hitelesítés.

Biztonságos SIP-feladatátvétel SRST-hez

Miután biztonsági okokból konfigurál egy Survivable Remote Site Telephony (SRST) hivatkozást, majd visszaállítja a függő eszközöket a Cisco Unified Communications Manager Administration használatával, a TFTP-kiszolgáló hozzáadja az SRST-tanúsítványt a telefon cnf.xml fájljához, majd elküldi a fájlt a telefonra. A biztonságos telefonok ezután TLS-kapcsolatot használnak az SRST-kompatibilis routerrel való együttműködésre.

Jelzéstitkosítás

Biztosítja, hogy a készülék és a Cisco Unified Communications Manager-kiszolgáló közötti összes SIP-jelzésüzenet titkosítva legyen.

A megbízhatósági lista frissítési riasztása

Amikor a megbízhatósági lista frissül a telefonon, a Cisco Unified Communications Manager riasztást kap a frissítés sikerességének vagy hibájának jelzésére. További információt a következő táblázatban talál.

AES 256 titkosítás

Amikor a Cisco Unified Communications Manager 10.5 (2) vagy annál újabb kiadásához csatlakozva jelzés- és médiatitkosításkor a telefonok támogatják az AES 256 titkosítást TLS és SIP esetén. Ez lehetővé teszi a telefonok számára TLS 1.2-kapcsolatok kezdeményezését és támogatását olyan AES-256 alapú titkosításokkal, amelyek megfelelnek az SHA-2 (Secure Hash Algorithm) és a Federal Information Processing Standards (FIPS) szabványoknak. A titkosítások a következők:

  • TLS-kapcsolatok esetén:
    • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
    • TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
  • sRTP esetén:
    • AEAD_AES_256_GCM
    • AEAD_AES_128_GCM

További információért lásd a Cisco Unified Communications Manager dokumentációját.

Elliptic Curve Digital Signature Algorithm (ECDSA) tanúsítványok

A Common Criteria (CC) tanúsítvány részeként a Cisco Unified Communications Manager ECDSA-tanúsítványokkal bővült a 11.0-ás verzióban. Ez hatással van az összes olyan Voice Operating System (VOS) termékre, amelyen a CUCM 11.5-ös vagy annál újabb verziója fut.

Többkiszolgálós (SAN) Tomcat-tanúsítvány Cisco UCM

A telefon támogatja a Cisco UCM, ha többkiszolgálós (SAN) Tomcat-tanúsítványok vannak konfigurálva. A helyes TFTP kiszolgálócím megtalálható a telefon ITL-fájljában a telefon regisztrációjához.

A szolgáltatásról további információt a következő témakörökben talál:

A következő táblázat tartalmazza a megbízhatósági lista frissítésriasztási üzeneteit és azok jelentését. További információért lásd a Cisco Unified Communications Manager dokumentációját.

2. táblázat. Megbízhatósági lista frissítésriasztási üzenetei
Kód és üzenet Leírás

1 - TL_SUCCESS

Új CTL és/vagy ITL érkezett

2 - CTL_INITIAL_SUCCESS

Új CTL érkezett, nincs meglévő TL

3 - ITL_INITIAL_SUCCESS

Új ITL érkezett, nincs meglévő TL

4 - TL_INITIAL_SUCCESS

Új CTL és ITL érkezett, nincs meglévő TL

5 - TL_FAILED_OLD_CTL

Az új CTL frissítése sikertelen volt, de van korábbi TL

6 - TL_FAILED_NO_TL

Az új TL frissítése sikertelen volt, és nincs régi TL

7 - TL_FAILED

Általános hiba

8 - TL_FAILED_OLD_ITL

Az új ITL frissítése sikertelen volt, de van korábbi TL

9 - TL_FAILED_OLD_TL

Az új TL frissítése sikertelen volt, de van korábbi TL

A Biztonsági beállítás menü a különböző biztonsági beállításokkal kapcsolatos információkat tartalmazza. A menü emellett hozzáférést biztosít a Megbízhatósági lista menühöz, és jelzi, hogy telepítve van-e a CTL- vagy ITL-fájl a telefonon.

A következő táblázat a Biztonsági beállítás menüben található lehetőségeket tartalmazza.

3. táblázat. Biztonsági beállítás menü

Beállítás

Leírás

Változás

Biztonsági mód

Megjeleníti a telefonhoz beállított biztonsági módot.

A Cisco Unified Communications Manager Administration felületen válassza ki az Eszköz > Telefon lehetőséget. A beállítás a telefonkonfigurálási ablak protokollspecifikus adatainak részén jelenik meg.

LSC

Azt jelzi, hogy a biztonsági funkciókhoz használt, helyileg jelentős tanúsítvány telepítve van-e a telefonon (Telepítve) vagy nincs telepítve a telefonon (Nincs telepítve).

Ha többet szeretne tudni a LSC telefonos kezeléséről, tanulmányozza át az adott Cisco Unified Communications Manager-kiadáshoz tartozó dokumentációt.

Helyi jelentőségű tanúsítvány (LSC) beállítása

Ez a művelet egy LSC hitelesítési karakterlánc módszerrel történő beállítására vonatkozik.

Mielőtt nekilátna

Győződjön meg arról, hogy a megfelelő Cisco Unified Communications Manager és a Certificate Authority Proxy Function (CAPF) biztonsági konfigurációi teljesek:

  • A CTL- vagy ITL-fájl rendelkezik CAPF-tanúsítvánnyal.

  • A Cisco Unified Communications Operating System Administration felületen ellenőrizze, hogy a CAPF-tanúsítvány telepítve van-e.

  • A CAPF fut és konfigurálva van.

A beállítások használatával kapcsolatos további tudnivalókért lásd az adott Cisco Unified Communications Manager-verzió dokumentációját.

1

Szerezze be a CAPF konfigurálásakor beállított CAPF-hitelesítési kódot.

2

A telefonon nyomja meg a Beállítások gombot the Settings hard key.

3

Ha a rendszer kéri, adja meg a jelszót a Beállítások menü eléréséhez. A jelszót a rendszergazdától szerezheti be.

4

Lépjen a Hálózati és szolgáltatás > Biztonsági beállítások > LSC elemre.

A beállítási menühöz való hozzáférést a Cisco Unified Communications Manager Administration Beállítások hozzáférése mezőjével szabályozhatja.

5

Adja meg a hitelesítési sztringet, és válassza a Küldés lehetőséget.

A telefon megkezdi a LSC telepítését, frissítését vagy eltávolítását attól függően, hogy a CAPF hogyan van konfigurálva. Ha az eljárás befejeződött, a Telepítve vagy Nincs telepítve felirat jelenik meg a telefonon.

Az LSC telepítésének, frissítésének és eltávolításának folyamata hosszú időt vehet igénybe.

Amikor a telefon telepítési eljárása sikeres, a Telepítve üzenet jelenik meg. Ha a telefon a Nincs telepítve üzenetet jeleníti meg, akkor lehet, hogy a hitelesítési karakterlánc hibás, vagy a telefon frissítése nincs engedélyezve. Ha a CAPF-művelet törli a LSC-t, a telefon a Nincs telepítve felirat megjelenítésével jelzi, hogy a művelet sikeres volt. A CAPF-kiszolgáló naplózza a hibaüzeneteket. A naplók megkereséséhez és a hibaüzenetek értelmezéséhez tekintse át a CAPF-kiszolgáló dokumentációját.

FIPS-mód engedélyezése

1

A Cisco Unified Communications Manager Administration felületén válassza az Eszköz > Telefon elemet , és keresse meg a telefont.

2

Lépjen a Termékspecifikus konfiguráció területre.

3

Állítsa a FIPS mód mezőt Engedélyezve értékre.

4

Válassza a Mentés lehetőséget.

5

Válassza ki az Apply Config (Konfig. alkalmazása) elemet.

6

Indítsa újra a telefont.

A kihangosító, a fejhallgató és a kézibeszélő kikapcsolása a telefonon

Lehetősége van arra, hogy véglegesen kikapcsolja a kihangosítót, a fejhallgatót és a kézibeszélőt a felhasználó számára.

1

A Cisco Unified Communications Manager Administration felületén válassza az Eszköz > Telefon elemet , és keresse meg a telefont.

2

Lépjen a Termékspecifikus konfiguráció területre.

3

A telefon funkcióinak kikapcsolásához jelöljön be egyet vagy többet az alábbi jelölőnégyzetek közül:

  • Kihangosító letiltása
  • Kihangosító és fejhallgató kikapcsolása
  • Kézibeszélő kikapcsolása

Alapértelmezés szerint ezek a jelölőnégyzetek nincsenek bejelölve.

4

Válassza a Mentés lehetőséget.

5

Válassza ki az Apply Config (Konfig. alkalmazása) elemet.

802.1X hitelesítés

A Cisco IP Phone támogatja a 802.1X hitelesítést.

A Cisco IP Phone telefonok és a Cisco Catalyst kapcsolók hagyományosan Cisco Discovery Protocol (CDP) segítségével azonosítják egymást és határozzák meg a paramétereket (például a VLAN-kiosztást és a vonali tápellátási követelményeket). A CDP nem azonosítja a helyileg csatlakoztatott munkaállomásokat. A Cisco IP Phone telefonok EAPOL-átadási mechanizmust használnak. Ez a mechanizmus lehetővé teszi, hogy a Cisco IP Phone-hoz csatlakozó munkaállomás a LAN-kapcsolónál a 802.1X hitelesítő részére EAPOL-üzeneteket küldjön. Az átadó mechanizmus biztosítja, hogy a IP-telefon ne működjön LAN-kapcsolóként, amikor adatvégpont-hitelesítés történik a hálózat elérése előtt.

A Cisco IP Phone telefonok proxy EAPOL kijelentkezési mechanizmust is használnak. Ha a helyileg csatlakoztatott számítógép kapcsolata megszakad a IP telefonnal, a LAN-kapcsoló nem észleli a fizikai kapcsolat megszűnését, mert a LAN-kapcsoló és az IP-telefon közötti kapcsolat megmarad. A hálózati integritás veszélyeztetésének elkerülése érdekében az IP-telefon egy EAPOL-kijelentkezési üzenetet küld a kapcsolónak az alsóbb szintű számítógép nevében, amely a LAN-kapcsolót az alsóbb szintű számítógép hitelesítési bejegyzésének törlésére utasítja.

A 802.1X hitelesítés támogatása több összetevőt is igényel:

  • Cisco IP Phone: a telefon kezdeményezi a hálózatelérési kérést. A Cisco IP Phone telefonok 802.1X kérelmezőt tartalmaznak. Ez a kérelmező lehetővé teszi a hálózati rendszergazdák számára az IP telefonok és a LAN-kapcsolóportok közötti kapcsolat vezérlését. A telefon 802.1X kérelmezőjének aktuális kiadása EAP-FAST és EAP-TLS lehetőségeket kínál a hálózati hitelesítéshez.

  • Hitelesítési kiszolgáló: A hitelesítési kiszolgálót és a kapcsolót egyaránt konfigurálni kell egy közös titokkal, amely hitelesíti a telefont.

  • Kapcsoló: a kapcsolónak támogatnia kell a 802.1X protokollt, hogy hitelesítőként működhessen, és átadhassa az üzeneteket a telefon és a hitelesítő kiszolgáló között. Miután az adatcsere befejeződött, a kapcsoló engedélyezi vagy megtagadja a telefon számára a hálózat elérését.

A 802.1X konfigurálásához a következő műveleteket kell végrehajtania.

  • A 802.1 X hitelesítés telefonon történő engedélyezése előtt konfigurálja a többi összetevőt.

  • A PC port konfigurálása: a 802.1X szabvány nem veszi figyelembe a VLAN-okat, ezért azt ajánlja, hogy csak egyetlen eszköz legyen hitelesítve egy adott kapcsolóporthoz. Egyes kapcsolók azonban támogatják a többtartományos hitelesítést. A kapcsolókonfiguráció határozza meg, hogy csatlakoztathat-e számítógépet a telefon PC-portjához.

    • Engedélyezve: ha olyan kapcsolót használ, amely támogatja a többtartományos hitelesítést, akkor engedélyezheti a PC-portot, és csatlakoztathat ahhoz számítógépet. Ebben az esetben Cisco IP Phone támogatja a proxy EAPOL-kijelentkezést a kapcsoló és a csatlakoztatott számítógép közötti hitelesítési adatcserék figyelésére.

      Ha többet szeretne tudni az IEEE 802.1X Cisco Catalyst kapcsolók általi támogatásáról, tanulmányozza át a Cisco Catalyst kapcsolókonfigurációs útmutatókat a következő címen:

      http://www.cisco.com/en/US/products/hw/switches/ps708/tsd_products_support_series_home.html

    • Letiltva: ha a kapcsoló nem támogatja a több 802.1X-kompatibilis eszköz használatát ugyanazon a porton, akkor tiltsa le a PC-portot, amikor a 802.1X hitelesítés engedélyezve van. Ha nem tiltja le ezt a portot, majd megkísérli csatlakoztatni a számítógépet, akkor a kapcsoló megtagadja a hálózatelérést a telefon és a számítógép számára is.

  • Hang VLAN konfigurálása: mivel a 802.1X szabvány nem veszi figyelembe a VLAN-okat, ezt a beállítást a kapcsolótámogatás alapján kell beállítania.
    • Engedélyezve: ha olyan kapcsolót használ, amely támogatja a többtartományos hitelesítést, akkor folytathatja azon a hang VLAN használatát.
    • Letiltva: ha a kapcsoló nem támogatja a többtartományos hitelesítést, tiltsa le a hang VLAN-t, és fontolja meg a port natív VLAN-hoz való hozzárendelését.
  • (Csak 9800-as sorozatú Cisco asztali telefon esetén)

    A 9800-as sorozatú Cisco asztali telefonok PID előtagja eltér a többi Cisco telefonétól. Ha engedélyezni szeretné, hogy telefonja átmenjen a 802.1X hitelesítésen, állítsa be a Sugár· User-Name paraméter a Cisco 9800-as sorozatú asztali telefon felvételéhez.

    Például a 9841-es telefon PID-je DP-9841; beállíthatja a sugarat· A felhasználónév DP-vel kezdődik vagy DP-t tartalmaz. A következő szakaszokban állíthatja be:

    • Házirend > Feltételek > Könyvtári feltételek

    • Házirend > Házirendkészletek > Engedélyezési házirend > Engedélyezési szabály 1

802.1X hitelesítés engedélyezése

A következő lépések végrehajtásával engedélyezheti a telefonhoz a 802.1X hitelesítést:

1

Nyomja meg a Beállítások gombotthe Settings hard key.

2

Ha a rendszer kéri, adja meg a jelszót a Beállítások menü eléréséhez. A jelszót a rendszergazdától szerezheti be.

3

Lépjen a Hálózati és szolgáltatás > Biztonsági beállítások > 802.1X hitelesítés elemre.

4

Kapcsolja be az IEEE 802.1X hitelesítést.

5

Válassza az Alkalmaz elemet.

A telefon biztonsági beállításaival kapcsolatos információk megtekintése

A biztonsági beállításokkal kapcsolatos információkat a telefon menüjében tekintheti meg. Az információk elérhetősége a szervezet hálózati beállításaitól függ.

1

Nyomja meg a Beállítások gombotthe Settings key.

2

Lépjen a Hálózati és szolgáltatási > biztonsági beállítások lapra .

3

A Biztonsági beállításokban tekintse meg a következő információkat.

4. táblázat. A biztonsági beállítások paraméterei

Paraméterek

Leírás

Biztonsági mód

Megjeleníti a telefonhoz beállított biztonsági módot.

LSC

Azt jelzi, hogy a biztonsági szolgáltatásokhoz használt, helyileg jelentős tanúsítvány telepítve van-e a telefonon (Igen) vagy nincs telepítve a telefonon (Nem).

Megbízhatósági lista

A megbízhatósági lista almenüket biztosít a CTL, ITL és aláírt konfigurációs fájlokhoz.

A CTL fájl almenü megjeleníti a CTL fájl tartalmát. A ITL fájl almenü megjeleníti a ITL fájl tartalmát.

A Megbízhatósági lista menü a következő információkat is megjeleníti:

  • CTL aláírás: a CTL fájl SHA1-kivonata
  • Unified CM/TFTP Server: a telefon által használt Cisco Unified Communications Manager és TFTP Server neve. Tanúsítvány ikont jelenít meg, ha a kiszolgálóhoz telepítve van tanúsítvány.
  • CAPF Server: a telefon által használt CAPF szerver neve. Tanúsítvány ikont jelenít meg, ha a kiszolgálóhoz telepítve van tanúsítvány.
  • SRST Router: a megbízható SRST útválasztó IP címe, amelyet a telefon használhat. Tanúsítvány ikont jelenít meg, ha a kiszolgálóhoz telepítve van tanúsítvány.

Telefonhívás-biztonság

Amikor a telefonon biztonsági szolgáltatás van implementálva, a telefon kijelzőjén látható ikonok segítségével azonosíthatók a biztonságos hívások. Az alapján is meghatározhatja, hogy a csatlakoztatott telefon biztonságos és védett-e, ha a hívás elején a telefon biztonsági hangjelzést ad.

Biztonságos hívás esetén az összes hívásjelzés és médiafolyam titkosítva van. A biztonságos hívás magas szintű biztonságot nyújt, garantálva a hívás integritását és titkosítását. Ha egy folyamatban lévő hívás titkosítva van, a biztonságos ikon látható A lakat ikon biztonságos híváshoz A vonalon. Biztonságos telefon esetén a hitelesített ikont is megtekintheti Vagy a titkosított ikonra A csatlakoztatott szerver mellett a telefon menüben (Beállítások > Az eszközről).

Ha a hívást a rendszer nem IP hívási szakaszokon (például a PSTN-en) irányítja át, akkor előfordulhat, hogy a hívás annak ellenére sem biztonságos, hogy titkosítva van az IP-hálózaton belül, és hogy rendelkezik lakat ikonnal.

Biztonságos hívás esetén a hívás elején egy biztonsági hangjelzés hallható, amely jelzi, hogy a másik csatlakoztatott telefon is biztonságos hangot fogad és küld. Ha a hívás egy nem biztonságos telefonhoz csatlakozik, a biztonsági hangjelzés nem szólal meg.

A biztonságos hívás csak két telefon közötti kapcsolat esetén támogatott. Bizonyos funkciók, mint például a konferenciahívás és a megosztott vonalak, nem érhetők el, ha a biztonságos hívás be van állítva.

Ha egy telefon biztonságosként (titkosítottként és megbízhatóként) van konfigurálva Cisco Unified Communications Manager, akkor védett állapot. Ezt követően szükség esetén a védett telefon beállítható úgy, hogy a hívás elején egy jelzőhangot játsszon le:

  • Védett eszköz: a biztonságos telefon védett állapotának módosításához jelölje be a Védett eszköz jelölőnégyzetet a Cisco Unified Communications Manager Administration telefonkonfigurálási ablakában (Eszköz > Telefon).

  • Biztonságos hangjelzés lejátszása: ha szeretné, hogy a védett telefon biztonságos vagy nem biztonságos állapotot jelző hangot játsszon le, állítsa a Biztonságos hangjelzés lejátszása beállítást Igaz értékre. Alapértelmezés szerint a Biztonságos hangjelzés lejátszása értéke Hamis. Ezt a beállítást a Cisco Unified Communications Manager Administration (Rendszer > Szolgáltatási paraméterek) állítja be. Válassza ki a kiszolgálót, majd a Unified Communications Manager szolgáltatást. A szervizparaméter-beállítási ablakban válassza ki a kívánt funkciót a Funkció - Biztonságos hangjelzés területen. Az alapértelmezett érték Hamis.

Biztonságos konferenciahívás azonosítása

Lehetősége van biztonságos konferenciahívás kezdeményezésére és a résztvevők biztonsági szintjének figyelésére . A következő folyamattal biztonságos konferenciahívás jön létre:

  1. A felhasználó egy biztonságos telefonról kezdeményezi a konferenciát.

  2. A Cisco Unified Communications Manager biztonságos konferenciahidat rendel a híváshoz.

  3. A résztvevők hozzáadásakor a Cisco Unified Communications Manager ellenőrzi az egyes telefonok biztonsági módját, és fenntartja a konferencia biztonsági szintjét.

  4. A telefon megjeleníti a konferenciahívás biztonsági szintjét. A biztonságos konferenciákon a biztonságos ikon látható A lakat ikon biztonságos híváshoz.

A biztonságos hívás két telefon között támogatott. A védett telefonok esetében bizonyos funkciók (például a konferenciahívás, a megosztott vonalak és a Extension Mobility) nem érhetők el, ha a biztonságos hívás be van állítva.

A következő táblázat a konferencia biztonsági szintjeinek változásairól nyújt tájékoztatást a kezdeményező telefon biztonsági szintjének, a résztvevők biztonsági szintjének és a biztonságos konferenciahidak elérhetőségének függvényében.

5. táblázat. Biztonsági korlátozások konferenciahívásokhoz

Kezdeményező telefon biztonsági szintje

Használt funkció

A résztvevők biztonsági szintje

A művelet eredménye

Nem biztonságos

Konferenciabeszélgetés

Biztonságos

Nem biztonságos konferenciahíd

Nem biztonságos konferencia

Biztonságos

Konferenciabeszélgetés

Legalább egy tag nem biztonságos.

Biztonságos konferenciahíd

Nem biztonságos konferencia

Biztonságos

Konferenciabeszélgetés

Biztonságos

Biztonságos konferenciahíd

Biztonságos titkosítási szintű konferencia

Nem biztonságos

KonfHíd

A minimális biztonsági szint van titkosítva.

A kezdeményező a Nem felel meg a biztonsági szintnek, hívás elutasítva.

Biztonságos

KonfHíd

A minimális biztonsági szint nem biztonságos.

Biztonságos konferenciahíd

A konferencia minden hívást elfogad.

Biztonságos telefonoshívás azonosítása

Biztonságos hívás jön létre, amikor a telefonja és a másik telefon biztonságos hívásra van konfigurálva. A másik telefon ugyanazon a Cisco IP-hálózaton és egy, az IP-hálózaton kívüli hálózaton is lehet. Biztonságos hívások csak két telefon között lehetséges. A konferenciahívásoknak a biztonságos konferenciahíd beállítása után támogatniuk kell a biztonságos hívást.

Biztonságos hívás a következő folyamattal jön létre:

  1. A felhasználó a hívást biztonságos telefonról kezdeményezi („biztonságos” biztonsági mód).

  2. A telefonon megjelenik a biztonságos ikon A lakat ikon biztonságos híváshoz A telefon képernyőjén. Ez az ikon azt jelzi, hogy a telefon konfigurálva van biztonságos hívásokra, azonban ez nem jelenti azt, hogy a másik csatlakoztatott telefon is biztonságos.

  3. A felhasználó egy biztonsági hangjelzést hall, ha egy másik biztonságos telefonnal jön létre kapcsolat; ez jelzi, hogy a beszélgetés mindkét végpontja titkosított és biztonságos. Ha a kapcsolat egy nem biztonságos telefonnal jön létre, a felhasználó nem hallja a biztonsági hangjelzést.

A biztonságos hívás két telefon között támogatott. A védett telefonok esetében bizonyos funkciók (például a konferenciahívás, a megosztott vonalak és a Extension Mobility) nem érhetők el, ha a biztonságos hívás be van állítva.

Csak a védett telefonok adnak biztonságos és nem biztonságos hangjelzést. A nem védett telefonok sosem adnak hangjelzést. Ha az általános hívásállapot a hívás során megváltozik, akkor a jelzőhang megváltozik, és a védett telefon lejátssza a megfelelő hangjelzést.

A védett telefon esetén a következőktől függ, hogy megszólal-e hangjelzés:

  • Ha engedélyezve van a Biztonságos hangjelzés lejátszása beállítás:

    • Ha a végpontok között biztonságos médiakapcsolat jön létre, és a hívás állapota biztonságos, a telefon a biztonságos hangjelzést játssza le (három hosszú sípszó, szünetekkel).

    • Ha a végpontok között nem biztonságos médiakapcsolat jön létre, és a hívás állapota nem biztonságos, a telefon a nem biztonságos hangjelzést játssza le (hat rövid sípszó, rövid szünetekkel).

Ha a Biztonságos hangjelzés lejátszása beállítás le van tiltva, nem szólal meg hangjelzés.

Titkosítás biztosítása az uszályhoz

Cisco Unified Communications Manager ellenőrzi a telefon biztonsági állapotát a konferenciák létrehozásakor, és megváltoztatja a konferencia biztonsági jelzését, vagy blokkolja a hívás befejezését a rendszer integritásának és biztonságának fenntartása érdekében.

A felhasználó nem tud titkosított hívásba belépni, ha az uszályhoz használt telefon nincs beállítva titkosításra. Ha ebben az esetben az uszály meghibásodik, az átrendezés (gyors foglaltság) hangjelzés hallható azon a telefonon, amelyen az uszályt elindították.

Ha a kezdeményező telefon titkosításra van beállítva, akkor a belépés kezdeményezője a titkosított telefonról nem biztonságos hívásba léphet be. Az uszály bekövetkezése után a Cisco Unified Communications Manager nem biztonságosnak minősíti a hívást.

Ha a kezdeményező telefon titkosításra van konfigurálva, akkor a belépés kezdeményezője beleléphet egy titkosított hívásba, és a telefon jelzi, hogy a hívás titkosítva van.

WLAN biztonság

Ez a szakasz csak Wi-Fi funkcióval rendelkező telefonmodellekre vonatkozik.

WLAN biztonság

Mivel az összes hatókörön belüli WLAN-eszköz képes fogadni minden egyéb WLAN-forgalmat, a hangkommunikáció biztonságossá tétele alapvető fontosságú a WLAN-hálózatok esetén. Annak érdekében, hogy a behatolók ne manipulálhassák és ne foghassák el a hangforgalmat, a Cisco SAFE Security architektúra támogatja a telefont. A hálózati biztonsággal kapcsolatos további információkért lásd: http://www.cisco.com/en/US/netsol/ns744/networking_solutions_program_home.html.

A Cisco vezeték nélküli IP telefonos megoldás vezeték nélküli hálózati biztonságot nyújt, amely megakadályozza az illetéktelen bejelentkezéseket és a kommunikáció sérülését a telefon által támogatott alábbi hitelesítési módszerek használatával:

  • Nyílt hitelesítés: egy nyitott rendszerben bármely vezeték nélküli eszköz kérhet hitelesítést. A kérést fogadó hozzáférési pont jóváhagyhatja a hitelesítést bármely kérelmező számára, vagy csak a felhasználók listáján található kérelmezőknek. Előfordulhat, hogy a vezeték nélküli eszköz és az Access Point (AP) közötti kommunikáció titkosítatlan.

  • Bővíthető hitelesítési protokoll – Rugalmas hitelesítés biztonságos bújtatási (EAP-FAST) hitelesítéssel: Ez az ügyfél-kiszolgáló biztonsági architektúra titkosítja a EAP tranzakciókat az AP és a RADIUS-kiszolgáló közötti Transport Level Security (TLS) alagútban, például az Identity Services Engine (ISE) motorban.

    A TLS-alagút védett hozzáférési hitelesítő adatokat (PAC) használ az ügyfél (telefon) és a RADIUS-kiszolgáló közötti hitelesítéshez. A kiszolgáló egy Authority ID (AID) azonosítót küld az ügyfélnek (telefon), amely kiválasztja a megfelelő PAC-ot. Az ügyfél (telefon) egy PAC-Opaque választ ad vissza a RADIUS-kiszolgálónak. A kiszolgáló az elsődleges kulccsal visszafejti a PAC-ot. Ekkor már mindkét végpont tartalmazza a PAC-kulcsot, és létrejön egy TLS-alagút. Az EAP-FAST támogatja az automatikus PAC-létesítést, de Önnek engedélyeznie kell azt a RADIUS-kiszolgálón.

    Az ISE-ben alapértelmezés szerint a PAC egy hét múlva lejár. Ha a telefon lejárt PAC-kal rendelkezik, akkor a RADIUS-kiszolgálóval való hitelesítés hosszabb időt vesz igénybe, mert a telefon új PAC-ot kap. A PAC-létesítési késleltetések elkerülése érdekében a PAC lejárati időszakát 90 napra vagy hosszabb időszakra kell beállítani az ISE- vagy RADIUS-kiszolgálón.

  • Extensible Authentication Protocol-Transport Layer Security (EAP-TLS) Authentication: az EAP-TLS esetén egy ügyféltanúsítvány szükséges a hitelesítéshez és a hálózati eléréshez. Vezeték nélküli EAP-TLS esetén az ügyféltanúsítvány lehet MIC, LSC vagy felhasználó által telepített tanúsítvány.

  • Protected Extensible Authentication Protocol (PEAP): a Cisco saját jelszóalapú kölcsönös hitelesítési sémája az ügyfél (telefon) és egy RADIUS-kiszolgáló között. A telefon PEAP használhatja a vezeték nélküli hálózattal való hitelesítéshez. A PEAP-MSCHAPV2 és a PEAP-GTC hitelesítési módszerek is támogatottak.

  • Előmegosztott kulcs (PSK): A telefon ASCII formátumot támogat. Ezt a formátumot kell használnia az WPA/WPA2/SAE előmegosztott kulcs beállításakor:

    ASCII: egy ASCII-karakterből álló karakterlánc, amely 8–63 karakter hosszú (0–9, kis és nagy A-Z, ill. speciális karakterek)

    Példa: GREG123567@9ZX&W

A következő hitelesítési sémák a RADIUS-kiszolgáló használatával kezelik a hitelesítési kulcsokat:

  • WPA/WPA2/WPA3: A RADIUS-kiszolgáló adatai alapján egyedi kulcsokat hoz létre a hitelesítéshez. Mivel ezek a kulcsok a központosított RADIUS-kiszolgálón jönnek létre, a WPA2/WPA3 nagyobb biztonságot nyújt, mint a hozzáférési ponton és a telefonon tárolt előmegosztott WPA-kulcsok.

  • Gyors biztonságos barangolás: a RADIUS-kiszolgáló és egy vezeték nélküli tartományi kiszolgáló (WDS) adatait használja a kulcsok kezeléséhez és hitelesítéséhez. A WDS létrehozza az FT-kompatibilis ügyféleszközök biztonsági hitelesítő adatainak gyorsítótárát a gyors és biztonságos újrahitelesítés érdekében. A Cisco 9861-es és 9871-es asztali telefon és a Cisco 8875-ös videotelefon támogatja a 802.11r (FT) szabványt. Mind a vezeték nélküli, mind a DS támogatott a gyors, biztonságos barangolás érdekében. Azonban nyomatékosan javasoljuk, hogy használja a 802.11r (FT) Over Air módszert.

A WPA/WPA2/WPA3 esetében a titkosítási kulcsok nem kerülnek be a telefonra, hanem automatikusan származnak a hozzáférési pont és a telefon között. A hitelesítéshez használt EAP-felhasználónevet és -jelszót azonban minden telefonon meg kell adni.

A hangforgalom biztonsága érdekében a telefon támogatja a TKIP és a AES titkosítást. Amikor ezeket a mechanizmusokat titkosításra használják, mind a jelző SIP-csomagok, mind a hangalapú Real-Time Transport Protocol (RTP) csomagok titkosítva vannak a hozzáférési pont és a telefon között.

TKIP

A WPA TKIP titkosítást használ, amely számos fejlesztést tartalmaz a WEP képest. A TKIP a titkosítást megerősítő, csomagonkénti kulcsos titkosítást és hosszabb inicializálási vektorokat (IV) tartalmaz. Emellett az üzenet épségének ellenőrzése (MIC) biztosítja, hogy a titkosított csomagok ne módosuljanak. A TKIP megszünteti a WEP kiszámíthatóságát, amely segíthet a behatolóknak a WEP-kulcs megfejtésében.

AES

A WPA2/WPA3 hitelesítéshez használt titkosítási módszer. Ez a titkosításhoz használt nemzeti szabvány szimmetrikus algoritmust alkalmaz, amely azonos kulcsot használ a titkosításhoz és a visszafejtéshez. Az AES 128 bites cipher block-chain (CBC) titkosítást használ, amely minimális kulcsméretként támogatja a 128, 192 és 256 bites méretet is. A telefon 256 bites kulcsméretet támogat.

A Cisco 9861-es és 9871-es asztali telefon, valamint a Cisco 8875-ös videotelefon nem támogatja a CMIC-kel rendelkező Cisco Key Integrity Protocol (CKIP) protokollt.

A hitelesítési és titkosítási sémák a vezeték nélküli LAN-on belül vannak beállítva. A VLAN-beállítások a hálózaton és a hozzáférési ponton vannak konfigurálva, és a hitelesítés és titkosítás különböző kombinációit határozzák meg. A rendszer egy SSID-t társít egy VLAN-hoz és az adott hitelesítési és titkosítási rendszerhez. A vezeték nélküli ügyféleszközök sikeres hitelesítéséhez ugyanazokat az SSID-ket kell konfigurálnia hitelesítési és titkosítási sémáikkal a hozzáférési pontokon és a telefonon.

Egyes hitelesítési sémák adott típusú titkosítást igényelnek.

  • Ha előmegosztott kulcsot, WPA2 előmegosztott kulcsot vagy WPA SAE kulcsot használ, az előmegosztott kulcsot statikusan kell beállítani a telefonon. Ezeknek a kulcsoknak meg kell egyezniük a hozzáférési ponton megadott kulcsokkal.

  • A telefon támogatja az automatikus EAP egyeztetést FAST vagy PEAP esetén, de TLS esetén nem. EAP-TLS módhoz meg kell adnia azt.

Az alábbi táblázatban látható hitelesítési és titkosítási sémák a hozzáférési pont beállításának megfelelő telefon hálózati konfigurációs beállításait mutatják be.

6. táblázat. Hitelesítési és titkosítási sémák
FSR típusaHitelesítésKulcskezelésTitkosításVédett felügyeleti keret (PMF)
802.11r (FT)PSK

WPA-PSK

WPA-PSK-SHA256

FT-PSK

AESNem
802.11r (FT)WPA3

SAE

FT-SAE

AESVan
802.11r (FT)EAP-TLS

WPA-EAP

FT-EAP

AESNem
802.11r (FT)EAP-TLS (WPA3)

WPA-EAP-SHA256

FT-EAP

AESVan
802.11r (FT)EAP-FAST

WPA-EAP

FT-EAP

AESNem
802.11r (FT)EAP-FAST (WPA3)

WPA-EAP-SHA256

FT-EAP

AESVan
802.11r (FT)EAP-PEAP

WPA-EAP

FT-EAP

AESNem
802.11r (FT)EAP-PEAP (WPA3)

WPA-EAP-SHA256

FT-EAP

AESVan

Vezeték nélküli LAN-profil konfigurálása

Vezeték nélküli hálózati profilját a hitelesítő adatok, a frekvenciasáv, a hitelesítési mód stb. konfigurálásával kezelheti.

A WLAN-profil konfigurálása előtt tartsa szem előtt a következőket:

  • Felhasználónév és jelszó

    • Amikor a hálózat EAP-FAST és PEAP protokollt használ a felhasználói hitelesítéshez, szükség esetén a felhasználónevet és a jelszót is konfigurálnia kell a Remote Authentication Dial-In User Service (RADIUS) szolgáltatásban és a telefonon.

    • A vezeték nélküli LAN-profilban megadott hitelesítő adatoknak meg kell egyezniük a RADIUS-kiszolgálón beállított hitelesítő adatokkal.

    • Ha a hálózaton belüli tartományokat használ, akkor a felhasználónevet a tartománynévvel együtt, a következő formátumban kell megadnia: tartomány tartomány\felhasználónév.

  • A következő műveletek a meglévő Wi-Fi-jelszó törléséhez vezethetnek:

    • Érvénytelen felhasználói azonosító vagy jelszó megadása
    • Érvénytelen vagy lejárt legfelső szintű hitelesítésszolgáltató telepítése, ha az EAP típusaként PEAP-MSCHAPV2 vagy PEAP-GTC van megadva
    • A használatban lévő EAP-típus letiltása a RADIUS-kiszolgálón, mielőtt a telefont átkapcsolná az új EAP-típusra
  • Az EAP-típus módosításához először engedélyezze az új EAP-típust a RADIUS-kiszolgálón, majd a telefont kapcsolja át az új EAP-típusra. Amikor az összes telefont átkapcsolta az új EAP-típusra, szükség esetén letilthatja az előző EAP-típust.
1

A Cisco Unified Communications Manager Administration felületen válassza az Eszköz > Eszközbeállítások > Vezeték nélküli LAN-profil lehetőséget.

2

Válassza ki a konfigurálni kívánt hálózati profilt.

3

Állítsa be a paramétereket.

4

Kattintson a Mentés gombra.

Hitelesítő kiszolgálótanúsítvány kézi telepítése

A hitelesítő kiszolgálótanúsítványt manuálisan is telepítheti a telefonra, ha az egyszerű tanúsítvány-beiktatási protokoll (SCEP) nem érhető el.

A RADIUS-kiszolgáló tanúsítványát kiállító legfelső szintű hitelesítésszolgáltatói tanúsítványt telepíteni kell a EAP-TLS.

Mielőtt nekilátna

Mielőtt tanúsítványt telepíthetne egy telefonra, rendelkeznie kell a számítógépen tárolt hitelesítő kiszolgálótanúsítvánnyal. A tanúsítvány csak PEM (Base-64) vagy DER kódolású lehet.

1

A telefonadminisztrációs weboldalon válassza a Tanúsítványok lehetőséget.

2

Keresse meg a Hitelesítő kiszolgáló CA mezőt, és kattintson a Telepítés lehetőségre.

3

Keresse meg a tanúsítványt a számítógépen.

4

Kattintson a Feltöltés gombra.

5

A feltöltés befejezése után indítsa újra a telefont.

Ha egynél több tanúsítványt telepít újra, a rendszer csak az utoljára telepített tanúsítványt használja.

Felhasználói tanúsítvány kézi telepítése

A felhasználói tanúsítványt manuálisan is telepítheti a telefonra, ha az Egyszerű tanúsítvány-beiktatási protokoll (Simple Certificate Enrollment Protocol, SCEP) nem érhető el.

Az előre telepített Manufacturing Installed Certificate (MIC) használható a EAP-TLS felhasználói tanúsítványaként.

A felhasználói tanúsítvány telepítése után adja hozzá azt a RADIUS-kiszolgáló megbízhatósági listájához.

Mielőtt nekilátna

Ahhoz, hogy egy telefonhoz felhasználói tanúsítványt telepítsen, rendelkeznie kell az alábbiakkal:

  • Egy, a számítógépen mentett felhasználói tanúsítvány. A tanúsítvány csak PKCS #12 formátumú lehet.

  • A tanúsítvány kibontásához tartozó jelszó.

    Ez a jelszó legfeljebb 16 karakter hosszú lehet.

1

A telefonadminisztrációs weboldalon válassza a Tanúsítványok lehetőséget.

2

Keresse meg a Felhasználó által telepített mezőt, majd kattintson a Telepítés gombra.

3

Keresse meg a tanúsítványt a számítógépen.

4

A Kibontási jelszó mezőbe írja be a tanúsítvány kibontási jelszavát.

5

Kattintson a Feltöltés gombra.

6

A feltöltés befejezése után indítsa újra a telefont.

Biztonsági tanúsítvány manuális eltávolítása

Manuálisan is eltávolíthat egy biztonsági tanúsítványt a telefonról, ha az egyszerű tanúsítvány-beiktatási protokoll (SCEP) nem érhető el.

1

A telefonadminisztrációs weboldalon válassza a Tanúsítványok lehetőséget.

2

Keresse meg a tanúsítványt a Tanúsítványok oldalon.

3

Kattintson a Törlés gombra.

4

A törlési folyamat befejezése után indítsa újra a telefont.

Az SCEP paramétereinek konfigurálása

Az SCEP (Simple Certificate Enrollment Protocol – Egyszerű tanúsítvány-beiktatási protokoll) a tanúsítványok automatikus biztosításának és megújításának szabványa. A SCEP-kiszolgáló képes a felhasználó és a kiszolgáló tanúsítványainak automatikus karbantartására.

A telefon weboldalán a következő SCEP-paramétereket kell beállítania

  • RA IP cím

  • Az SCEP-kiszolgáló legfelső szintű hitelesítő kiszolgálótanúsítványának SHA-1 vagy SHA-256 ujjlenyomata

A Cisco IOS regisztrációs szervezet (RA) proxyként szolgál az SCEP-kiszolgáló számára. A telefonon található SCEP-ügyfél a Cisco Unified Communication Manager rendszerből letöltött paramétereket használja. A paraméterek konfigurálása után a telefon SCEP getcs kérést küld az RA-nak, és a legfelső szintű hitelesítésszolgáltatói tanúsítványt a megadott ujjlenyomattal érvényesíti.

Mielőtt nekilátna

Az SCEP kiszolgálón állítsa be a SCEP regisztrációs ügynököt (RA) a következőre:

  • PKI megbízhatósági pontként működik
  • PKI regisztrációs ügynökként működik
  • Eszközhitelesítés RADIUS-kiszolgálóval

További információkért lásd az SCEP dokumentációját.

1

A Cisco Unified Communications Manager Administration felületen válassza ki az Eszköz > Telefon lehetőséget.

2

Keresse meg a telefont.

3

Görgessen a Termékspecifikus konfigurációs elrendezés területre.

4

Jelölje be a WLAN SCEP-kiszolgáló jelölőnégyzetet az SCEP paraméter aktiválásához.

5

Ha aktiválni szeretné az SCEP QED paramétert, jelölje be a WLAN legfelső szintű hitelesítésszolgáltató ujjlenyomata (SHA256 vagy SHA1) jelölőnégyzetet.

A TLS támogatott verzióinak beállítása

Beállíthatja az ügyfélhez és a kiszolgálóhoz szükséges TLS minimális verzióját.

Alapértelmezés szerint a kiszolgáló és az ügyfél minimális TLS verziója egyaránt 1.2. A beállítás a következő funkciókra van hatással:

  • HTTPS webelérési kapcsolat
  • Bevezetés helyszíni telefonhoz
  • Bevezetés mobileszközökhöz és Remote Access (MRA)
  • HTTPS-szolgáltatások, például a címtárszolgáltatások
  • Datagram Transport Layer Security (DTLS)
  • Porthozzáférési entitás (PAE)
  • Bővíthető hitelesítési protokoll-Transport Layer Security (EAP-TLS)

További információ a TLS 1.3 Cisco IP Phones kompatibilitásáról TLS 1.3 Kompatibilitási mátrix a Cisco együttműködési termékekhez.

1

Jelentkezzen be a Cisco Unified Communications Manager Administration alkalmazásba adminisztrátorként.

2

Lépjen a következő ablakok egyikére:

  • Rendszer > Vállalati telefon konfigurálása
  • Eszköz > Eszközbeállítások > Általános telefonprofil
  • Eszköz > telefon > telefon konfigurációja
3

Állítsa be a TLS Ügyfél minimális verziója mezőt:

A "TLS 1.3" opció a Cisco Unified CM 15SU2 vagy újabb verzión érhető el.
  • TLS 1.1: A TLS ügyfél támogatja a TLS 1.1 és 1.3 közötti verzióit.

    Ha a kiszolgáló TLS verziója 1.1-esnél régebbi, például 1.0, akkor a kapcsolat nem hozható létre.

  • TLS 1.2 (alapértelmezett): A TLS ügyfél támogatja az TLS 1.2-es és 1.3-as verzióját.

    Ha a kiszolgálón a TLS verziója 1.2-esnél régebbi, például 1.1-es vagy 1.0-s, akkor a kapcsolat nem hozható létre.

  • TLS 1.3: A TLS ügyfél csak az TLS 1.3-at támogatja.

    Ha a kiszolgálón a TLS verziója 1.3-nál alacsonyabb, például 1.2, 1.1 vagy 1.0, akkor a kapcsolat nem hozható létre.

4

Állítsa be a TLS Server Min. Version mezőt:

  • TLS 1.1: A TLS szerver támogatja a TLS 1.1-től 1.3-ig terjedő verzióit.

    Ha az ügyfél TLS verziója 1.1-esnél alacsonyabb, például 1.0, akkor a kapcsolat nem hozható létre.

  • TLS 1.2 (alapértelmezett): A TLS kiszolgáló az TLS 1.2-es és 1.3-as verzióját támogatja.

    Ha az ügyfél TLS verziója 1.2-esnél alacsonyabb, például 1.1 vagy 1.0, akkor a kapcsolat nem hozható létre.

  • TLS 1.3: A TLS kiszolgáló csak az TLS 1.3-at támogatja.

    Ha az ügyfél TLS verziója 1.3-asnál alacsonyabb, például 1.2, 1.1 vagy 1.0, akkor a kapcsolat nem hozható létre.

A PhoneOS 3.2 kiadásától kezdve a "Letiltás TLS 1.0 és TLS 1.1 a webes hozzáféréshez" mező beállítása nincs hatással a telefonokra.
5

Kattintson a Mentés gombra.

6

Kattintson az Apply Config (konfig alkalmazása) gombra.

7

Indítsa újra a telefonokat.

Garantált szolgáltatások SIP

A garantált szolgáltatások SIP (AS-SIP) olyan funkciók és protokollok gyűjteménye, amelyek rendkívül biztonságos hívásáramlást kínálnak Cisco IP Phones és harmadik féltől származó telefonok számára. A következő funkciók együttesen AS-SIP néven ismertek:

  • Többszintű elsőbbség és megelőzés (MLPP)
  • Differenciált szolgáltatások kódpontja (DSCP)
  • Transport Layer Security (TLS) és Secure Real-time Transport Protocol (SRTP)
  • IPv6 protokoll

Az AS-SIP-et gyakran használják többszintű elsőbbséggel és preemptálással (MLPP) a hívások prioritásának meghatározására vészhelyzet esetén. A MLPP segítségével prioritási szintet rendelhet a kimenő hívásokhoz az 1. szinttől (alacsony) az 5. szintig (magas). Amikor hívás érkezik, a telefonon megjelenik egy elsőbbségi szint ikon, amely a hívás prioritását mutatja.

Az AS-SIP konfigurálásához hajtsa végre a következő feladatokat a Cisco Unified Communications Manager:

  • Kivonatoló felhasználó konfigurálása – A végfelhasználó konfigurálása kivonatoló hitelesítés használatára a SIP-kérelmekhez.
  • SIP-telefon biztonságos portjának konfigurálása – Cisco Unified Communications Manager ezt a portot használja a SIP-telefonok SIP-vonalregisztrációinak TLS történő meghallgatására.
  • Szolgáltatások újraindítása – A biztonságos port konfigurálása után indítsa újra a Cisco Unified Communications Manager és a Cisco CTL Provider szolgáltatást. SIP-profil konfigurálása AS-SIP-hez SIP-profil konfigurálása SIP-beállításokkal az AS-SIP-végpontokhoz és a SIP-trönkökhöz. A telefonspecifikus paraméterek nem töltődnek le külső gyártótól származó AS-SIP telefonra. Ezeket csak a Cisco Unified Manager használja. A külső gyártók telefonjainak helyileg kell konfigurálniuk ugyanezeket a beállításokat.
  • Telefonos biztonsági profil konfigurálása AS-SIP-hez – A telefon biztonsági profiljával olyan biztonsági beállításokat rendelhet hozzá, mint a TLS, SRTP és kivonatoló hitelesítés.
  • AS-SIP-végpont konfigurálása – Cisco IP Phone vagy harmadik féltől származó végpont konfigurálása AS-SIP-támogatással.
  • Eszköz társítása végfelhasználóval – A végpont társítása egy felhasználóhoz.
  • SIP-trönk biztonsági profil konfigurálása AS-SIP-hez – A SIP-trönk biztonsági profillal biztonsági jellemzőket, például TLS- vagy kivonatoló hitelesítést rendelhet egy SIP-trönkhöz.
  • SIP-trönk konfigurálása AS-SIP-hez – SIP-trönk konfigurálása AS-SIP támogatással.
  • AS-SIP szolgáltatások konfigurálása – További AS-SIP szolgáltatások konfigurálása, például MLPP, TLS, V.150 és IPv6.

Az AS-SIP konfigurálásával kapcsolatos részletes információkért tekintse meg az Cisco Unified Communications Manager szolgáltatáskonfigurációs útmutatójának "AS-SIP-végpontok konfigurálása" című fejezetét .

Többszintű elsőbbség és előjegyzés

A többszintű elsőbbség és előjegyzés (Multilevel Precedence and Preemption, MLPP) lehetővé teszi a hívások rangsorolását vészhelyzetekben vagy más válsághelyzetekben. A kimenő hívásokhoz 1 és 5 közötti prioritást rendelhet. A bejövő hívásoknál megjelenik egy ikon és a hívás prioritása. A hitelesített felhasználók megelőzhetik a célzott állomásokra irányuló hívásokat vagy a teljesen előfizetett TDM-trönkökön keresztül.

Ez a képesség biztosítja a magas rangú személyzet számára a kritikus szervezetekkel és személyzettel való kommunikációt.

MLPP gyakran használják a garantált szolgáltatások SIP (AS-SIP) szolgáltatásával. A MLPP konfigurálásával kapcsolatos részletes információkért tekintse meg a Többszintű elsőbbség és előjegyzés konfigurálása című fejezetet a Cisco Unified Communications Manager szolgáltatáskonfigurációs útmutatójában .

A FAC és CMC beállítása

Ha a telefonon be vannak állítva a kényszerített hitelesítési kódok (FAC) vagy az ügyfélválasztó kódok (CMC), a felhasználóknak meg kell adniuk a számok tárcsázásához szükséges jelszavakat.

A FAC és CMC Cisco Unified Communications Manager beállításával kapcsolatos további információkért tekintse meg a Szolgáltatáskonfigurációs útmutató a Cisco Unified Communications Manager szolgáltatáskonfigurációs útmutatójának "Ügyfélválasztó kódok és kötelező engedélyezési kódok" című fejezetét , 12.5 (1) vagy újabb kiadás.