- Home
- /
- Articolo
Grazie per il feedback.
Certificato dispositivo personalizzato su 9800/8875
In questo articolo
Feedback?È possibile installare un Custom Device Certificate (CDC) in modo manuale o automatico. Per alcuni ambienti, è possibile utilizzare l'opzione DHCP 43 per fornire i parametri SCEP per l'installazione del certificato. Questo articolo della Guida è per Cisco Desk Phone serie 9800 e Cisco Video Phone 8875 registrati su Cisco BroadWorks o Webex Calling.
Installazione del certificato del dispositivo personalizzato
Per installare un certificato di dispositivo personalizzato (CDC) sul tuo telefono, utilizza uno dei seguenti metodi in base alla tua situazione:
Verrà applicato il certificato installato più di recente sul telefono.
- Installazione manuale: è possibile installare un certificato caricandolo dalla pagina web di amministrazione del telefono. Per i dettagli, vedere Installazione manuale del certificato del dispositivo personalizzato tramite caricamento.
- Installazione automatica: è possibile configurare i parametri del Simple Certificate Enrollment Protocol (SCEP) per attivare l'installazione automatica di un certificato. Il telefono invia richieste SCEP a un server SCEP per installare il certificato.
I parametri SCEP possono essere configurati tramite la pagina web di amministrazione del telefono, il file di configurazione del telefono (cfg.XML) o Control Hub. Per i dettagli, vedere Installazione automatica del certificato del dispositivo personalizzato tramite SCEP E Parametri per le impostazioni del telefono su Control Hub.
- Opzione DHCP 43: in determinati ambienti, è possibile installare un certificato utilizzando l'opzione DHCP 43. L'opzione 43 può fornire i parametri SCEP per l'installazione del certificato. Per i dettagli, vedere Configurazione dei parametri SCEP tramite l'opzione DHCP 43.
-
Quando si utilizza l'opzione DHCP 43 per il provisioning dei parametri SCEP, il telefono può anche recuperare il nome di dominio trasportato dall'opzione DHCP 15. In base al nome di dominio recuperato, il telefono può costruire il nome comune SCEP CSR e l'ID utente 802.1X. Per i dettagli, vedere Fornitura del nome comune o dell'ID utente tramite l'opzione DHCP 15.
Per ulteriori informazioni su come configurare le opzioni DHCP, vedere Configura le opzioni DHCP.
-
Installazione manuale del certificato del dispositivo personalizzato tramite caricamento
È possibile installare manualmente un certificato CDC (Custom Device Certificate) sul telefono caricandolo dalla pagina Web di amministrazione del telefono.
Operazioni preliminari
Prima di poter installare un certificato dispositivo personalizzato per un telefono, è necessario disporre di:
- Un file di certificato (.p12 o .pfx) salvato sul tuo PC. Il file contiene il certificato e la chiave privata.
- Password di estrazione del certificato. La password viene utilizzata per decrittografare il file del certificato.
| 1 |
Accedere alla pagina Web di amministrazione del telefono. |
| 2 |
Selezionare Certificato. |
| 3 |
Nella sezione Aggiungi certificato, fare clic su Sfoglia.... |
| 4 |
Selezionare il certificato sul PC. |
| 5 |
Nel campo Password di estrazione, immettere la password di estrazione del certificato. |
| 6 |
Fare clic su Carica. Se il file e la password del certificato sono corretti, verrà visualizzato il messaggio "
Certificato aggiunto.". In caso contrario, il caricamento non riesce e viene visualizzato un messaggio di errore che indica che non è possibile caricare il certificato. |
| 7 |
Per controllare i dettagli del certificato installato, fare clic su Visualizza nella sezione Certificati esistenti. |
| 8 |
Per rimuovere il certificato installato dal telefono, fare clic su Elimina nella sezione Certificati esistenti. Una volta cliccato sul pulsante, l'operazione di rimozione inizia immediatamente senza conferma.
Se il certificato viene rimosso correttamente, verrà visualizzato il messaggio " |
Installazione automatica del certificato del dispositivo personalizzato tramite SCEP
È possibile configurare i parametri correlati al Simple Certificate Enrollment Protocol (SCEP) per interagire con il server SCEP e installare automaticamente il Custom Device Certificate (CDC).
Una volta configurato uno qualsiasi dei parametri SCEP, il telefono invierà una richiesta di registrazione SCEP al server. Il telefono convaliderà il certificato CA ricevuto utilizzando l'impronta digitale configurata.
Operazioni preliminari
Prima di poter eseguire l'installazione automatica di un certificato di dispositivo personalizzato (CDC) per un telefono, è necessario disporre di:
- Indirizzo server SCEP
- Firma digitale SHA-1 o SHA-256 oppure certificato CA principale per il server SCEP
| 1 |
Accedere alla pagina Web di amministrazione del telefono. |
| 2 |
Selezionare Certificato. |
| 3 |
Nel Configurazione SCEP 1 sezione, impostare i parametri come descritto in Parametri per la configurazione SCEP . |
| 4 |
Fare clic su Submit All Changes. |
Parametri per la configurazione SCEP
La tabella seguente definisce la funzione e l'utilizzo dei parametri di configurazione SCEP in Configurazione SCEP 1 sezione sotto il Certificato Tab nell'interfaccia web del telefono. Definisce inoltre la sintassi della stringa aggiunta nel file di configurazione del telefono (cfg.xml) per configurare un parametro.
Qualsiasi modifica dei parametri farà sì che il telefono richieda un nuovo certificato.
| Parametro | Descrizione |
|---|---|
| Server |
Indirizzo del server SCEP. Questo parametro è obbligatorio. Eseguire una delle seguenti operazioni:
Valori validi: un URL o un indirizzo IP. Lo schema HTTPS non è supportato. Impostazione predefinita: vuoto |
| Impronta digitale CA radice |
Impronta digitale SHA256 o SHA1 della CA radice per la convalida durante il processo SCEP. Questo parametro è obbligatorio. Eseguire una delle seguenti operazioni:
Impostazione predefinita: vuoto |
| Password di verifica |
La password di verifica per l'autorizzazione della Certificate Authority (CA) sul telefono durante la registrazione di un certificato tramite SCEP. Questo parametro è opzionale. Il comportamento della password di verifica varia a seconda dell'ambiente SCEP effettivo.
Eseguire una delle seguenti operazioni:
Impostazione predefinita: vuoto |
| Nome comune |
Specifica il nome comune (CN) utilizzato come identificatore per il telefono che richiede il certificato. Il CN viene utilizzato per la richiesta di firma del certificato (CSR) nel processo SCEP. Questo parametro supporta anche le variabili di espansione macro, vedere Variabili di espansione macro per i dettagli. Eseguire una delle seguenti operazioni:
Valori validi: massimo 64 caratteri Impostazione predefinita: vuoto |
Rinnovo del certificato da parte di SCEP
Il certificato del dispositivo può essere aggiornato automaticamente dal processo SCEP.
- Il telefono controlla se il certificato scadrà tra 15 giorni ogni 4 ore. In tal caso, il telefono avvia automaticamente il processo di rinnovo del certificato.
- Se la password di verifica è vuota, il telefono utilizza MIC/SUDI sia per l'iscrizione iniziale che per il rinnovo del certificato. Se la password di verifica è configurata, viene utilizzata solo per la registrazione iniziale, mentre il certificato esistente/installato viene utilizzato per il rinnovo del certificato.
- Il telefono non rimuove il certificato del dispositivo precedente finché non recupera quello nuovo.
- Se il rinnovo del certificato non riesce perché il certificato del dispositivo o la CA scade, il telefono attiva automaticamente l'iscrizione iniziale. Nel frattempo, se l'autenticazione della password di verifica non riesce, sullo schermo del telefono viene visualizzata una schermata di immissione della password e agli utenti viene richiesto di immettere la password di verifica sul telefono.
Configurazione del nome comune CDC
Per impostazione predefinita, il nome comune in MIC/SUDI viene utilizzato come nome comune per CDC.
È possibile configurare il nome comune per CDC quando si installa il certificato. Per installare un CDC sul telefono, utilizzare uno dei seguenti metodi:
-
Genera una richiesta di firma del certificato (CSR) che contenga il nome comune desiderato, quindi carica e installa il nuovo certificato sulla pagina web di amministrazione del telefono.
-
Configurare il nome comune tramite la pagina web di amministrazione del telefono, il file di configurazione del telefono (cfg.XML) o Control Hub. In questo modo il telefono richiederà automaticamente un nuovo certificato.
Per ulteriori informazioni sui parametri sulla pagina web del telefono e sul Control Hub, vedere Installazione automatica del certificato del dispositivo personalizzato tramite SCEP E Parametri per le impostazioni del telefono su Control Hub.
- Utilizzare le opzioni 43 e 15 di DHCP per fornire il nome comune per CDC e l'identità cablata 802.1X.
Per maggiori informazioni, vedere Fornitura del nome comune o dell'ID utente tramite l'opzione DHCP 15.
Configurazione dei parametri SCEP tramite l'opzione DHCP 43
In determinati ambienti in cui non è possibile installare il certificato del dispositivo personalizzato (CDC) caricandolo o configurando direttamente i parametri SCEP. In questa situazione, è possibile utilizzare l'opzione DHCP 43 per popolare i parametri da un server DHCP. L'opzione DHCP 43 può essere configurata per fornire i parametri SCEP al telefono. Una volta ripristinato il telefono alle impostazioni di fabbrica, può ricevere i parametri dal server DHCP per installare il CDC tramite il protocollo SCEP.
- Questa funzionalità (configurazione dei parametri SCEP tramite l'opzione 43 DHCP) è disponibile solo per il telefono su cui sono state ripristinate le impostazioni di fabbrica.
- I telefoni non devono essere inseriti nella rete che ha supportato l'opzione 43 e il provisioning remoto (ad esempio, le opzioni 66,160,159,150 o il provisioning cloud). In caso contrario, i telefoni potrebbero non avere le configurazioni opzionali 43.
Per installare un certificato CDC tramite i parametri SCEP forniti dall'opzione DHCP 43, procedere come segue:
- Preparare un ambiente SCEP.
Per informazioni sulla configurazione dell'ambiente SCEP, consultare la documentazione del server SCEP.
- Impostare l'opzione DHCP 43 (definita in 8.4 Informazioni specifiche del fornitore, RFC 2132).
Le sottoopzioni (10-15) sono riservate al metodo:
Parametro nella pagina web del telefono Opzione secondaria Tipo Lunghezza (byte) Obbligatorio Modalità FIPS 10 booleano 1 NO* Server 11 stringa 208 - lunghezza (Password di sfida) Sì Impronta digitale CA radice 12 esadecimale 20, 32, 48 o 64 Sì Password di verifica 13 stringa 208 - lunghezza (Server) NO* Abilitazione dell'autenticazione 802.1X 14 booleano 1 No Selezione certificato 15 Senza segno a 8 bit 1 No * significa che il parametro è configurato in base alla situazione effettiva.
Quando si utilizza l'opzione DHCP 43, notare le seguenti caratteristiche del metodo:
- Le opzioni secondarie (10-15) sono riservate al certificato CDC (Custom Device Certificate).
- La lunghezza massima dell'opzione DHCP 43 è 255 byte.
- La lunghezza massima di Server + Challenge Password deve essere inferiore a 208 byte.
- Il valore della modalità FIPS deve essere coerente con la configurazione di provisioning dell'onboarding. In caso contrario, il telefono non riesce a recuperare il certificato installato in precedenza dopo l'onboarding. Nello specifico,
- Se il telefono verrà registrato in un ambiente in cui la modalità FIPS è disabilitata, non è necessario configurarlo Modalità FIPS nell'opzione DHCP 43. Per impostazione predefinita, la modalità FIPS è disabilitata.
- Se il telefono verrà registrato in un ambiente in cui è abilitata la modalità FIPS, è necessario abilitare la modalità FIPS nell'opzione 43 DHCP. Vedere Abilita la modalità FIPS per i dettagli.
- La password di sicurezza nell'opzione 43 è in chiaro.
- Se si desidera che il telefono utilizzi MIC/SUDI per la registrazione iniziale e il rinnovo del certificato, lasciare vuota la password di verifica.
- Se la password di verifica viene utilizzata solo per l'iscrizione iniziale, configurare la password di verifica. In questo caso, il certificato installato verrà utilizzato per il rinnovo del certificato.
- Abilita autenticazione 802.1X e Selezione certificato vengono utilizzati solo per i telefoni in reti cablate.
- L'opzione DHCP 60 (Vendor Class Identifier) viene utilizzata per identificare il modello del dispositivo.
Esempio di DHCP opzione 43 (sottoopzioni 10–15):
Sottoopzione decimale/esadecimale Lunghezza valore (byte) decimale/esadecimale Valore Valore esadecimale 10/0a 1/01 1 (0: disabilitato; 1: abilitato) 01 11/0b 18/12 http://10.79.57.91 687474703a2f2f31302e37392e35372e3931 12/0c 20/14 12040870625C5B755D73F5925285F8F5FF5D55AF 12040870625C5B755D73F5925285F8F5FF5D55AF 13/0d 16/10 D233CCF9B9952A15 44323333434346394239393532413135 14/0e 1/01 1 (0: No; 1: Sì) 01 15/0f 1/01 1 (0: Installato dal produttore; 1: Con installazione personalizzata) 01 Riepilogo dei valori dei parametri:
-
Modalità FIPS =
Abilitata -
Server =
http://10.79.57.91 -
Impronta digitale CA radice =
12040870625C5B755D73F5925285F8F5FF5D55AF -
Password di verifica =
D233CCF9B9952A15 -
Abilitazione dell'autenticazione 802.1X =
Sì -
Selezione certificato =
Con installazione personalizzata
La sintassi del valore esadecimale finale è:
{<suboption><length><value>}...In base ai valori dei parametri precedenti, il valore esadecimale finale è il seguente:
0a01010b12687474703a2f2f31302e37392e35372e39310c1412040870625C5B755D73F5925285F8F5FF5D55AF0d10443233334343463942393935324131350e01010f0101 - Configurare l'opzione DHCP 43 su un server DHCP.
Questo passaggio fornisce un esempio delle configurazioni dell'opzione DHCP 43 su Cisco Network Registrar.
- Aggiungere il set di definizioni delle opzioni DHCP.
La stringa dell'opzione del fornitore è il nome del modello dei telefoni IP. Il valore valido è: DP-9841, DP-9851, DP-9861, DP-9871 o CP-8875.
- Aggiungere l'opzione DHCP 43 e le opzioni secondarie al set di definizioni delle opzioni DHCP.
Esempio:
- Aggiungere le opzioni 43 al criterio DHCP e impostare il valore come segue:
Esempio:
(10 1)(11 http://10.79.57.91)(12 12040870625C5B755D73F5925285F8F5FF5D55AF)(13 D233CCF9B9952A15)(14 1)(15 1) - Verificare le impostazioni. È possibile utilizzare Wireshark per acquisire una traccia del traffico di rete tra il telefono e il servizio.
- Aggiungere il set di definizioni delle opzioni DHCP.
- Eseguire un ripristino delle impostazioni di fabbrica per il telefono.
Dopo il ripristino del telefono, i parametri Server, Impronta digitale CA radice e Password di verifica verranno compilati automaticamente. Questi parametri si trovano nella sezione SCEP Configuration 1 da nella pagina Web di amministrazione del telefono.
Per controllare i dettagli del certificato installato, fare clic su Visualizza nella sezione Certificati esistenti.
Per verificare lo stato di installazione del certificato, selezionare . Lo stato di download 1 mostra il risultato più recente. Se si verifica un problema durante la registrazione del certificato, lo stato del download può mostrare il motivo del problema ai fini della risoluzione dei problemi.
Se l'autenticazione della password di verifica non riesce, agli utenti verrà richiesto di immettere la password sullo schermo del telefono.
- (Opzionale): per rimuovere il certificato installato dal telefono, fare clic su Elimina nella sezione Certificati esistenti.
Dopo aver fatto clic sul pulsante, l'operazione di rimozione viene avviata immediatamente senza richiedere conferma.
Provisioning del nome comune o dell'ID utente tramite l'opzione DHCP 15
Durante la registrazione del certificato SCEP tramite l'opzione DHCP 43, il telefono può anche ottenere il nome di dominio fornito nell'opzione DHCP 15 (se configurata). Dopo che il telefono riceve il nome di dominio, può costruire il nome comune o l'ID utente con il nome di dominio, che è rappresentato come segue:
- Nome comune= <Nome comune in MIC/SUDI >.<Nome di dominio nell'opzione 15>
Il nome comune verrà utilizzato per CSR nel processo SCEP, e in seguito sarà il nome comune in CDC.
- ID utente= <Nome comune in MIC/SUDI >@<Nome dominio nell'opzione 15>
L'ID utente verrà utilizzato come identità per l'autenticazione 802.1X cablata.
Ad esempio, l'indirizzo MAC del telefono è 00:1A:2B:3C:4D:5E, il modello del telefono è 9871:
| Nome di dominio in DHCP opzione 15 | Nome comune | ID utente |
|---|---|---|
| example.nl | CP-9871-SEP001A2B3C4D5E.example.nl | CP-9871-SEP001A2B3C4D5E@example.nl |
| Vuoto | CP-9871-SEP001A2B3C4D5E |
CP-9871-SEP001A2B3C4D5E |
Se il nome di dominio non è configurato nell'opzione 15, il nome comune e l'ID utente saranno gli stessi del nome comune in MIC/SUDI.
