In questo articolo
dropdown icon
Configurare le opzioni DHCP
    Supporto opzione DHCP
dropdown icon
Sicurezza LAN wireless
    Imposta il profilo Wi-Fi
dropdown icon
Autenticazione 802.1X per reti cablate
    Abilitare l'autenticazione 802.1X per le reti cablate sul telefono
    Abilitare l'autenticazione 802.1X per le reti cablate nella pagina Web del telefono
    Menu delle impostazioni di sicurezza sul telefono
Modificare le password utente e amministratore
Impostare la versione TLS minima per client e server
Abilita modalità avviata dal client per le negoziazioni di sicurezza del piano multimediale
Cisco Sicurezza del telefono wireless 9821 (multipiattaforma)
list-menuIn questo articolo
list-menuFeedback?

Questo articolo della Guida è per Cisco Wireless Phone 9821 registrato su Webex Calling.

Configurare le opzioni DHCP

È possibile impostare l'ordine in cui il telefono utilizza le opzioni DHCP. Per informazioni sulle opzioni DHCP, vedere Supporto delle opzioni DHCP.

1

Accedere alla pagina Web di amministrazione del telefono.

http://<ip indirizzo>/admin/advanced

2

Selezionare Voce > Provisioning.

3

Nella sezione Profilo di configurazione, impostare il parametro DHCP Option To Use . Questo parametro è costituito da una serie di opzioni DHCP, delimitate da virgole, utilizzate per recuperare firmware e profili.

Eseguire una delle seguenti operazioni:

  • Nel file di configurazione del telefono con XML (cfg.xml), immettere una stringa in questo formato:

    <DHCP_Option_To_Use ua="na">66,160,159,150,60,43,125</DHCP_Option_To_Use>

  • Nella pagina Web del telefono, inserisci una serie di opzioni DHCP, delimitate da virgole.

Valore predefinito: 66,160,159,150,60,43,125

4

Fare clic su Submit All Changes.

Supporto opzione DHCP

Nella tabella seguente sono elencate le opzioni DHCP supportate sul telefono wireless Cisco 9821.

Standard di reteDescrizione
Opzione DHCP 1Subnet mask
Opzione DHCP 2Differenza orario
Opzione DHCP 3Router
Opzione DHCP 6Server dei nomi di dominio
Opzione DHCP 15Nome dominio
Opzione DHCP 17Percorso radice
Opzione DHCP 41Durata del lease dell'indirizzo IP
Opzione DHCP 42Server NTP
Opzione DHCP 43Informazioni specifiche del fornitore

Può essere utilizzato per fornire la configurazione SCEP.

Opzione DHCP 56Server NTP
Opzione DHCP 60Identificatore della classe del fornitore
Opzione DHCP 66Nome del server TFTP
Opzione DHCP 125Informazioni specifiche per l'identificazione del fornitore
Opzione DHCP 150Server TFTP
Opzione DHCP 159IP del server di provisioning
Opzione DHCP 160URL di provisioning

Sicurezza LAN wireless

Dal momento che tutti i dispositivi WLAN all'interno della copertura possono ricevere tutto il traffico WLAN, la protezione delle comunicazioni vocali sulle reti WLAN assume un'importanza critica. Per garantire che gli intrusi non manipolino né intercettino il traffico vocale, l'architettura Cisco SAFE Security supporta il telefono. Per ulteriori informazioni sulla sicurezza nelle reti, vedere http://www.cisco.com/en/US/netsol/ns744/networking_solutions_program_home.html.

La soluzione di telefonia Cisco Wireless IP fornisce la protezione della rete wireless che impedisce accessi non autorizzati e comunicazioni compromesse utilizzando i seguenti metodi di autenticazione supportati dal telefono.

  • Autenticazione aperta: tutti i dispositivi wireless possono richiedere l'autenticazione in un sistema aperto. L'AP che riceve la richiesta può concedere l'autenticazione a tutti i richiedenti o soltanto ai richiedenti presenti sull'elenco degli utenti. La comunicazione tra il dispositivo wireless e il punto di accesso (AP) potrebbe non essere crittografata.

  • Extensible Authentication Protocol-Flexible Authentication via Secure Tunneling (EAP-FAST) Autenticazione: questa architettura di sicurezza client-server crittografa le transazioni EAP all'interno di un tunnel Transport Level Security (TLS) tra il punto di accesso e il server RADIUS, ad esempio Identity Services Engine (ISE).

    Il tunnel TLS utilizza le credenziali di accesso protetto (PAC, Protected Access Credential) per l'autenticazione tra il client (telefono) e il server RADIUS. Il server invia un ID di autorità (AID) al client (telefono) che a sua volta seleziona le credenziali PAC appropriate. Il client (telefono) restituisce una chiave PAC-Opaque al server RADIUS. Il server decrittografa la chiave PAC con la chiave primaria. In entrambi gli endpoint è adesso presente la chiave PAC ed è stato creato un tunnel TLS. EAP-FAST supporta il provisioning PAC automatico, ma occorre abilitarlo sul server RADIUS.

    In ISE, per impostazione predefinita, la PAC scade tra una settimana. Se sul telefono è presente una chiave PAC scaduta, l'autenticazione con il server RADIUS impiega più tempo perché il telefono deve ottenere una nuova chiave PAC. Per evitare ritardi nel provisioning della PAC, impostare il periodo di scadenza della PAC su 90 giorni o più sul server ISE o RADIUS.

  • Autenticazione EAP-TLS (Extensible Authentication Protocol-Transport Layer Security): per EAP-TLS è necessario disporre di un certificato client per l'autenticazione e l'accesso alla rete. Per EAP-TLS wireless, il certificato client può essere MIC o certificato installato dall'utente.

  • Protected Extensible Authentication Protocol (PEAP): schema proprietario di Cisco di autenticazione reciproca basata su password tra il client (telefono) e il server RADIUS. Il telefono può utilizzare PEAP per l'autenticazione con la rete wireless. Sono supportati entrambi i metodi di autenticazione PEAP-MSCHAPV2 e PEAP-GTC.

    Per supportare l'autenticazione PEAP-GTC per il telefono wireless Cisco 9821, configurare i criteri necessari all'interno del set di criteri Cisco ISE.

  • Chiave precondivisa (PSK): il telefono supporta i formati ASCII ed esadecimale (HEX). È necessario utilizzare questi formati quando si imposta una chiave precondivisa WPA2/SAE.

    ASCII: una stringa di caratteri ASCII con lunghezza da 8 a 63 caratteri (0-9, a-z minuscola, maiuscola A-Z e caratteri speciali). Ad esempio, GREG123567@9ZX&W.

    HEX: una stringa di caratteri esadecimali con 64 cifre esadecimali di lunghezza (0-9, a-f o A-F).

Gli schemi di autenticazione riportati di seguito utilizzano il server RADIUS per la gestione delle chiavi di autenticazione:

  • WPA2/WPA3: utilizza le informazioni sul server RADIUS per generare delle chiavi univoche per l'autenticazione. Dal momento che tali chiavi vengono generate sul server RADIUS centralizzato, il metodo WPA2/WPA3 fornisce più protezione rispetto alle chiavi WPA già condivise memorizzate sull'AP e sul telefono.

  • Roaming veloce protetto: utilizza le informazioni sul server RADIUS e sul server di dominio wireless (WDS) per la gestione e l'autenticazione delle chiavi. WDS crea una cache di credenziali di sicurezza per i dispositivi client abilitati FT per una riautenticazione rapida e sicura.

Con WPA2/WPA3, le chiavi di crittografia non vengono inserite sul telefono, ma vengono derivate automaticamente tra l'AP e il telefono. Tuttavia, è necessario immettere su ciascun telefono il nome utente e la password EAP utilizzati per l'autenticazione.

Per proteggere il traffico vocale sul collegamento wireless, il telefono supporta la crittografia basata su AES per l'autenticazione WPA2/WPA3. AES è un cifrario a blocchi simmetrico standardizzato dal NIST. AES utilizza una dimensione fissa del blocco di 128 bit e supporta chiavi di 128 bit, 192 bit e 256 bit. Nelle reti Wi-Fi, AES viene utilizzato da suite di crittografia come CCMP o GCMP, mentre l'autenticazione viene fornita separatamente da PSK, SAE o 802.1X/EAP, a seconda della modalità di sicurezza WLAN configurata. La suite di crittografia supportata e la dimensione della chiave dipendono dal modello del telefono e dalla configurazione WLAN.

Gli schemi di autenticazione e crittografia vengono impostati all'interno della LAN wireless. Le VLAN vengono configurate nella rete e sull'AP e specificano diverse combinazioni di autenticazione e crittografia. Un SSID effettua l'associazione con una VLAN e lo schema di autenticazione e crittografia specifico. Affinché i dispositivi client wireless vengano autenticati correttamente, è necessario configurare gli stessi SSID con i relativi schemi di autenticazione e crittografia sugli AP e sul telefono.

Alcuni schemi di autenticazione richiedono tipi specifici di crittografia.

Quando si utilizza la chiave precondivisa WPA2 o SAE, la chiave già condivisa deve essere impostata staticamente sul telefono. Queste chiavi devono corrispondere a quelle presenti sull'AP.

Gli schemi di autenticazione e crittografia nella tabella seguente mostrano le opzioni di configurazione di rete per Cisco Wireless Phone 9821 corrispondente alla configurazione AP.

Tabella 1. Schemi di autenticazione e crittografia
Tipo FSRAutenticazioneGestione delle chiaviCrittografiaFrame di gestione protetto (PMF)
802.11r (FT)PSK

WPA-PSK

WPA-PSK-SHA256

FT-PSK

AESNo
802.11r (FT)WPA3

SAE

FT-SAE

AES
802.11r (FT)EAP-TLS

WPA-EAP

FT-EAP

AESNo
802.11r (FT)EAP-TLS (WPA3)

WPA-EAP-SHA256

FT-EAP

AES
802.11r (FT)EAP-FAST

WPA-EAP

FT-EAP

AESNo
802.11r (FT)EAP-FAST (WPA3)

WPA-EAP-SHA256

FT-EAP

AES
802.11r (FT)EAP-PEAP

WPA-EAP

FT-EAP

AESNo
802.11r (FT)EAP-PEAP (WPA3)

WPA-EAP-SHA256

FT-EAP

AES
non-FTSuite-BWPA-EAP-SUITE-BGCMP
non-FTSuite-B-192WPA-EAP-SUITE-B-192GCMP

Imposta il profilo Wi-Fi

È possibile configurare i profili Wi-Fi dalla pagina Web di amministrazione telefono o tramite una risincronizzazione dei profili del dispositivo remoto. Una volta configurati, è possibile associare questi profili alle reti wireless disponibili per stabilire la connettività. Cisco Wireless Phone 9821 supporta un massimo di quattro profili Wi-Fi configurati.

Il profilo contiene i parametri necessari per connettere i telefoni al server tramite Wi-Fi. Quando si crea e si utilizza un profilo Wi-Fi, l'utente o gli utenti non devono configurare la rete wireless per i singoli telefoni.

Un profilo Wi-Fi consente di impedire o limitare le modifiche alla configurazione Wi-Fi del telefono da parte dell'utente.

Si consiglia di utilizzare un profilo sicuro con protocolli abilitati alla crittografia per proteggere chiavi e password quando si utilizza un profilo Wi-Fi.

Quando si configurano i telefoni per utilizzare il metodo di autenticazione EAP-FAST in modalità di sicurezza, gli utenti necessitano di credenziali individuali per connettersi a un punto di accesso.

1

Accedere alla pagina Web del telefono.

2

Selezionare Voce > Sistema.

3

Nella sezione Wi-Fi Profilo (n), impostare i parametri come descritto nella tabella seguente Parametri per il profilo Wi-Fi.

La configurazione del profilo Wi-Fi è disponibile anche per l'accesso utente.
4

Fare clic su Submit All Changes.

Parametri per il profilo Wi-Fi

La seguente tabella definisce la funzione e l'utilizzo di ciascun parametro nella sezione Wi-Fi Profile(n) in System Tab nella pagina Web del telefono. Definisce inoltre la sintassi della stringa aggiunta nel file di configurazione del telefono (cfg.xml) per configurare un parametro.

ParametroDescrizione
Nome di reteConsente di immettere un nome per il SSID che verrà visualizzato sul telefono. Più profili possono avere lo stesso nome di rete con diverse modalità di sicurezza (SMS).

Eseguire una delle seguenti operazioni:

  • Nel file di configurazione del telefono con XML (cfg.xml), immettere una stringa in questo formato:

    <Network_Name_1_ ua="rw">Cisco</Network_Name_1_>

  • Nella pagina Web del telefono, inserisci un nome per SSID.

Impostazione predefinita: vuoto

Modalità ProtezioneConsente di selezionare il metodo di autenticazione utilizzato per proteggere l'accesso alla rete Wi-Fi. A seconda del metodo scelto, viene visualizzato un campo password che consente di fornire le credenziali necessarie per accedere a questa rete Wi-Fi.

Eseguire una delle seguenti operazioni:

  • Nel file di configurazione del telefono con XML (cfg.xml), immettere una stringa in questo formato:

    <Security_Mode_1_ ua="rw">EAP-TLS</Security_Mode_1_> <!-- opzioni disponibili: |EAP-FAST|||PSK||Nessuno|EAP-PEAP|EAP-TLS -->

  • Nella pagina Web del telefono, selezionare uno dei seguenti metodi:
    • EAP-FAST
    • PSK
    • Nessuno
    • EAP-PEAP
    • EAP-TLS

Impostazione predefinita: None

ID utente Wi-FiConsente di immettere un ID utente per il profilo di rete.

Questo campo è disponibile quando si imposta la modalità di protezione su Auto, EAP-FAST o EAP-PEAP. È un campo obbligatorio e può contenere al massimo 32 caratteri alfanumerici.

Eseguire una delle seguenti operazioni:

  • Nel file di configurazione del telefono con XML (cfg.xml), immettere una stringa in questo formato:

    <Wi-Fi_User_ID_1_ua="rw"></Wi-Fi_User_ID_1_>

  • Nella pagina Web del telefono, immettere un utente ID per il profilo di rete.

Impostazione predefinita: vuoto

Password Wi-FiConsente di immettere la password per l'ID utente Wi-Fi specificato.

Eseguire una delle seguenti operazioni:

  • Nel file di configurazione del telefono con XML (cfg.xml), immettere una stringa in questo formato:

    <Wi-Fi_Password_1_ ua="rw"></Wi-Fi_Password_1_>

  • Nella pagina Web del telefono, immettere una password per l'utente ID aggiunto.

Impostazione predefinita: vuoto

Banda di frequenzaConsente di selezionare la banda di frequenza del segnale wireless utilizzato nella WLAN.

Eseguire una delle seguenti operazioni:

  • Nel file di configurazione del telefono con XML (cfg.xml), immettere una stringa in questo formato:

    <Frequency_Band_1_ ua="rw">Auto</Frequency_Band_1_>

  • Nella pagina Web del telefono, selezionare una delle seguenti opzioni:
    • Auto
    • 2,4 GHz
    • 5 GHz o 6 GHz

Impostazione predefinita: Auto

Selezione certificatoConsente di selezionare un tipo di certificato per la registrazione iniziale del certificato e il rinnovo del certificato nella rete wireless. Questo processo è disponibile solo per l'autenticazione 802.1X.

Eseguire una delle seguenti operazioni:

  • Nel file di configurazione del telefono con XML (cfg.xml), immettere una stringa in questo formato:

    <Certificate_Select_1_ ua="rw">Produzione installata</Certificate_Select_1_>

  • Nella pagina Web del telefono, selezionare una delle opzioni:
    • Installato dal produttore
    • Installazione personalizzata

Impostazione predefinita: produzione installata

Modalità di controlloControlla se l'utente è autorizzato a configurare i profili Wi-Fi.

Eseguire una delle seguenti operazioni:

  • Nel file di configurazione del telefono con XML (cfg.xml), immettere una stringa in questo formato:

    <Control_Mode_1_ ua="rw">Consenti</Control_Mode_1_>

  • Nella pagina Web del telefono, selezionare una delle opzioni:
    • Consentire
    • Consentita
    • Limitato

Valore predefinito: Consenti

AttivareControlla se il profilo Wi-Fi è abilitato.

Eseguire una delle seguenti operazioni:

  • Nel file di configurazione del telefono con XML (cfg.xml), immettere una stringa in questo formato:

    <Enable_1_ ua="rw">Sì</Enable_1_>

  • Nella pagina Web del telefono, selezionare una delle opzioni:
    • No

Impostazione predefinita: Yes

Nome profiloConsente di inserire un nome per il profilo che verrà visualizzato sul telefono.

Eseguire una delle seguenti operazioni:

  • Nel file di configurazione del telefono con XML (cfg.xml), immettere una stringa in questo formato:

    <Profile_Name_1_ ua="rw">Profilo 1</Profile_Name_1_>

  • Nella pagina Web del telefono, immettere un nome per il profilo.

Valore predefinito: Profilo 1

Passphrase PSKConsente di immettere la passphrase PSK quando la modalità di protezione è impostata su PSK.

Eseguire una delle seguenti operazioni:

  • Nel file di configurazione del telefono con XML (cfg.xml), immettere una stringa in questo formato:

    <PSK_Passphrase_1_ ua="rw">*************</PSK_Passphrase_1_>

  • Nella pagina Web del telefono, immettere la passphrase PSK.

Valore predefinito: Consenti

Autenticazione 802.1X per reti cablate

Cisco Wireless Phone 9821 supporta l'autenticazione 802.1X per le reti cablate. Viene in genere utilizzato durante il provisioning automatico quando il telefono è collegato al caricabatterie da tavolo tramite un adattatore USB-Ethernet supportato.

Il supporto per l'autenticazione 802.1X su reti cablate richiede diversi componenti, come indicato di seguito:

  • Telefono IP Cisco: il telefono avvia la richiesta di accesso alla rete. I telefoni IP Cisco sono dotati di un richiedente 802.1X. Tale richiedente consente agli amministratori di rete di controllare la connettività dei telefoni IP alle porte dello switch LAN. Per l'autenticazione della rete, nella versione corrente del richiedente 802.1X del telefono vengono utilizzate le opzioni EAP-FAST e EAP-TLS.

  • Server di autenticazione: il server di autenticazione e lo switch devono essere entrambi configurati con un segreto condiviso RADIUS.

  • Switch: lo switch deve supportare 802.1X, in modo che possa fungere da autenticatore e inoltrare i messaggi EAP tra il telefono e il server di autenticazione. Al termine dello scambio, lo switch concede o nega al telefono l'accesso alla rete.

I telefoni IP Cisco e gli switch Cisco Catalyst generalmente utilizzano il protocollo CDP (Cisco Discovery Protocol) per l'identificazione reciproca e per l'individuazione di parametri come l'allocazione VLAN e i requisiti di alimentazione in linea.

Per configurare l'autenticazione 802.1X, è necessario effettuare i passaggi seguenti.

  • Configurare CDP/LLDP voce VLAN bypass.

  • Configurare il server di autenticazione e lo switch prima di abilitare l'autenticazione 802.1X per le reti cablate sul telefono.

  • Configura rete VLAN vocale: dal momento che lo standard 802.1X non prende in considerazione le reti VLAN, è consigliabile configurare questa impostazione in base al tipo di supporto dello switch in uso.

    • Abilitato: se si utilizza un interruttore che supporta l'autenticazione multidominio, è possibile configurarlo per l'utilizzo della voce VLAN.
    • Disabilitato: se lo switch non supporta l'autenticazione multidominio, disabilitare la VLAN vocale e valutare di assegnare la porta alla rete VLAN nativa.
  • Cisco Wireless Phone 9821 ha un prefisso diverso nel PID da quello per gli altri telefoni Cisco. Per consentire al telefono di superare l'autenticazione 802.1X, impostare il raggio· Nome utente per includere il telefono wireless Cisco 9821.

    Ad esempio, il PID del telefono wireless Cisco 9821 è WP-9821. È possibile impostare Radius· Nome utente per iniziare con WP o Contiene WP in entrambe le seguenti sezioni:

    • Politica > Condizioni > Condizioni della biblioteca

    • Criteri > Set di criteri> Criteri di autorizzazione> Regola di autorizzazione 1

Abilitare l'autenticazione 802.1X per le reti cablate sul telefono

Attenersi alla seguente procedura per abilitare l'autenticazione 802.1X per le reti cablate sul telefono. Si noti che l'autenticazione 802.1X per Wi-Fi è abilitata per impostazione predefinita e non richiede alcuna configurazione manuale.

1

Accedi alle Impostazioni 9821 Settings app icon App.

2

Se richiesto, immettere la password per accedere al menu Impostazioni . È possibile ottenere la password dall'amministratore.

3

Selezionare Impostazioni amministratore > Configurazione sicurezza> Autenticazione 802.1X.

4

Evidenziare Autenticazione dispositivo e premere On.

Abilitare l'autenticazione 802.1X per le reti cablate nella pagina Web del telefono

Quando l'autenticazione 802.1X per le reti cablate è abilitata, il telefono utilizza l'autenticazione 802.1X per richiedere l'accesso alla rete dalla porta LAN Ethernet. Quando l'autenticazione 802.1X per le reti cablate è disabilitata, il telefono utilizza Cisco Discovery Protocol (CDP) per acquisire VLAN e l'accesso alla rete. Si noti che l'autenticazione 802.1X per Wi-Fi è abilitata per impostazione predefinita e non richiede alcuna configurazione manuale.

È possibile selezionare un certificato (MIC/SUDI o CDC) utilizzato per l'autenticazione 802.1X. Per ulteriori informazioni su CDC, vedere Custom Device Certificate on Cisco Wireless Phone 9821.

È possibile visualizzare lo stato della transazione e le impostazioni di sicurezza nel menu dello schermo del telefono. Per ulteriori informazioni, vedere Menu Impostazioni di sicurezza sul telefono.

1

Abilitare l'autenticazione 802.1X.

Selezionare Voce > Sistema. Nella sezione Autenticazione 802.1X impostare il parametro Abilita autenticazione 802.1X su .

È inoltre possibile configurare questo parametro nel file di configurazione (cfg.xml):

<Enable_802.1X_Authentication ua="rw">Sì</Enable_802.1X_Authentication>

Valori validi: Yes|No

Impostazione predefinita: No

2

Nella sezione Autenticazione 802.1X, selezionare uno dei seguenti certificati installati utilizzati per l'autenticazione 802.1X dall'elenco a discesa Selezione certificato.

Opzioni di valore:

  • Produzione installata: MIC/SUDI.
  • Personalizzato installato: Custom Device Certificate (CDC).

È inoltre possibile configurare questo parametro nel file di configurazione (cfg.xml):

<Certificate_Select ua="rw">Custom installed</Certificate_Select>

Valori validi: Produzione installata|Installazione personalizzata

Impostazione predefinita: produzione installata

3

Configurare il parametro User ID che verrà utilizzato come identità per l'autenticazione 802.1X nella rete cablata.

Questa configurazione si applica solo quando si utilizza un certificato dispositivo personalizzato (CDC) per l'autenticazione 802.1X cablata, con la selezione del certificato impostata su Personalizzato installata.

È inoltre possibile configurare questo parametro nel file di configurazione (cfg.xml):

<Wired_User_ID ua="na"></Wired_User_ID>

Valori validi: massimo 127 caratteri

Impostazione predefinita: vuoto

Questo parametro supporta anche variabili di espansione macro, vedere Variabili di espansione macro per informazioni dettagliate.

Se si desidera eseguire il provisioning dell'utente ID utilizzando una combinazione con le opzioni DHCP, vedere Provisioning dell'utente ID tramite l'opzione DHCP 15.

4

Fare clic su Submit All Changes.

Menu delle impostazioni di sicurezza sul telefono

Per visualizzare le informazioni sulle impostazioni di sicurezza dal menu del telefono, accedere a Impostazioni 9821 Settings app icon e selezionare Impostazioni amministratore > Configurazione sicurezza> Autenticazione 802.1X. La disponibilità delle informazioni dipende dalle impostazioni di rete dell'organizzazione.

Parametri

Opzioni

Impostazione predefinita

Descrizione

Autenticazione dispositivo

Attivato

Spento

Spento

Abilita o disabilita l'autenticazione 802.1X sul telefono.

L'impostazione dei parametri può essere mantenuta dopo la registrazione Out-Of-Box (OOB) del telefono.

Stato transazione

Disabilitato

Visualizza lo stato dell'autenticazione 802.1X. Lo stato può essere (non limitato a):

  • Autenticazione: indica che il processo di autenticazione è in corso.
  • Autenticato: indica che il telefono è autenticato.
  • Disabilitato: indica che l'autenticazione 802.1x è disabilitata sul telefono.
  • Connessione: indica che il telefono invia messaggi EAP start allo switch ogni 30 secondi.
  • Acquisito: indica che il commutatore ha rifiutato la richiesta EAP del telefono e che il telefono non riceve alcuna richiesta EAP-TLS o EAP-FAST dal commutatore. Il telefono sta ritentando di inviare richieste EAP.
  • Scollegato: indica che il cavo Ethernet è scollegato.
  • Attesa: indica che lo switch ha elaborato la richiesta EAP del telefono ma ha rifiutato l'autenticazione EAP-FAST o EAP-TLS. Il telefono sta ritentando di inviare richieste EAP.

Protocollo

Nessuno

Visualizza il metodo EAP utilizzato per l'autenticazione 802.1X. Il protocollo può essere EAP-FAST o EAP-TLS.

Tipo di certificato utente

Installato dal produttore

Installazione personalizzata

Installato dal produttore

Seleziona il certificato per l'autenticazione 802.1X durante la registrazione iniziale e il rinnovo del certificato.

  • Produzione installata: viene utilizzato il Secure Unique Device Identifier (SUDI).
  • Con installazione personalizzata: viene utilizzato il certificato CDC (Custom Device Certificate). Questo tipo di certificato può essere installato mediante caricamento manuale sulla pagina Web del telefono o installazione da un server SCEP (Simple Certificate Enrollment Protocol).

Questo parametro viene visualizzato sul telefono solo quando l'opzione Autenticazione dispositivo è abilitata.

Modificare le password utente e amministratore

Al momento della registrazione iniziale con un sistema di controllo delle chiamate o in seguito a un ripristino delle impostazioni di fabbrica, è necessario configurare le password utente e amministratore quando si accede per la prima volta alla pagina Web di amministrazione del telefono. È possibile aggiornare queste credenziali in qualsiasi momento per mantenere la sicurezza del dispositivo.

Le regole per le password valide includono quanto segue:

  • La password deve contenere da 8 a 127 caratteri.
  • Una combinazione (tre dei quattro tipi) di lettera maiuscola, lettera minuscola, numero e carattere speciale.
  • Lo spazio non è consentito.
1

Accedere alla pagina Web di amministrazione del telefono.

2

Selezionare Voce > Sistema.

3

(Opzionale) Nella sezione Configurazione di sistema impostare il parametro Visualizza avvisi password su , quindi fare clic su Invia tutte le modifiche.

È inoltre possibile abilitare i parametri nel file di configurazione del telefono (cfg.xml).

<Display_Password_Warnings ua="na">Sì</Display_Password_Warnings>

Impostazione predefinita: Yes

Opzioni: Sì|No

Se il parametro è impostato su No, l'avviso relativo alla password non viene visualizzato sullo schermo del telefono.

4

Individuare il parametro User Password o Admin Password e fare clic su Change Password accanto al parametro.

5

Immettere la password utente corrente nel campo Vecchia password.

6

Immettere una nuova password nel campo Nuova password.

Se la nuova password non soddisfa le regole per le password valide, l'impostazione verrà negata.

7

Fare clic su Submit.

Nella pagina Web viene visualizzato il messaggio La password è stata cambiata. La pagina Web si aggiornerà dopo alcuni secondi.

Dopo avere impostato la password utente in questo campo, nel file XML di configurazione del telefono (cfg.xml) viene visualizzato il seguente parametro:

<!-- <Admin_Password ua="na">*************</Admin_Password> <User_Password ua="rw">*************</User_Password> -->

Impostare la versione TLS minima per client e server

Per impostazione predefinita, la versione TLS minima per client e server è 1.2. Ciò significa che il client e il server accettano di stabilire connessioni con TLS 1.2 o superiore. La versione massima supportata di TLS per client e server è 1.3. Una volta configurata, verrà utilizzata la versione TLS minima per la negoziazione tra il client TLS e il server TLS.

È possibile impostare la versione minima di TLS rispettivamente per client e server, ad esempio 1.1, 1.2 o 1.3.

Operazioni preliminari

Assicurarsi che il server TLS supporti la versione TLS minima configurata. È possibile consultare l'amministratore del sistema di controllo delle chiamate.

1

Accedere alla pagina Web di amministrazione del telefono.

2

Selezionare Voce > Sistema.

3

Nella sezione Impostazioni di protezione, configurare il parametro TLS Client Min Version.

  • TLS 1.1: il client TLS supporta le versioni di TLS dalla 1.1 alla 1.3.

    Se la versione TLS nel server è inferiore alla 1.1, non è possibile stabilire la connessione.

  • TLS 1.2 (predefinito): il client TLS supporta TLS 1.2 e 1.3.

    Se la versione TLS nel server è inferiore alla 1.2, ad esempio 1.1, non è possibile stabilire la connessione.

  • TLS 1.3: il client TLS supporta solo TLS 1.3.

    Se la versione TLS nel server è inferiore a 1.3, ad esempio 1.2 o 1.1, non è possibile stabilire la connessione.

    Se si desidera impostare il parametro "TLS Client Min Version" su "TLS 1.3", assicurarsi che il lato server supporti TLS 1.3. Se il lato server non supporta TLS 1.3, ciò potrebbe causare problemi critici. Ad esempio, le operazioni di provisioning non possono essere eseguite sui telefoni.

È inoltre possibile configurare questo parametro nel file di configurazione (cfg.xml):

<TLS_Client_Min_Version ua="na">TLS 1.2</TLS_Client_Min_Version>

Valori consentiti: TLS 1.1, TLS1.2 e TLS 1.3.

Impostazione predefinita: TLS 1.2

4

Nella sezione Impostazioni di protezione, configurare il parametro TLS Server Min Version.

Webex Calling non supporta TLS 1.1.

  • TLS 1.1: il server TLS supporta le versioni di TLS dalla 1.1 alla 1.3.

    Se la versione TLS nel client è inferiore alla 1.1, non è possibile stabilire la connessione.

  • TLS 1.2 (predefinito): il server TLS supporta TLS 1.2 e 1.3.

    Se la versione TLS nel client è inferiore alla 1.2, ad esempio 1.1, non è possibile stabilire la connessione.

  • TLS 1.3: il server TLS supporta solo TLS 1.3.

    Se la versione TLS nel client è inferiore alla 1.3, ad esempio 1.2 o 1.1, non è possibile stabilire la connessione.

È inoltre possibile configurare questo parametro nel file di configurazione (cfg.xml):

<TLS_Server_Min_Version ua="na">TLS 1.2</TLS_Server_Min_Version>

Valori consentiti: TLS 1.1, TLS1.2 e TLS 1.3.

Impostazione predefinita: TLS 1.2

5

Fare clic su Submit All Changes.

Abilita modalità avviata dal client per le negoziazioni di sicurezza del piano multimediale

Per proteggere le sessioni multimediali, è possibile configurare il telefono per avviare le negoziazioni della sicurezza del piano multimediale con il server. Il meccanismo di sicurezza segue gli standard indicati nella RFC 3329 e nella relativa bozza di estensione Security Mechanism Names for Media (vedere https://tools.ietf.org/html/draft-dawes-sipcore-mediasec-parameter-08#ref-2). Il trasporto delle negoziazioni tra il telefono e il server può utilizzare il protocollo SIP su UDP, TCP e TLS. È possibile limitare la negoziazione della sicurezza del piano multimediale solo quando il protocollo di trasporto di segnalazione è TLS.

Tabella 2. Parametri per la negoziazione della sicurezza del piano multimediale
ParametroDescrizione

MediaSec Request

Specifica se il telefono avvia le negoziazioni della sicurezza del piano multimediale con il server.

Eseguire una delle seguenti operazioni:

  • Nel file di configurazione del telefono con XML (cfg.xml), immettere una stringa in questo formato:

    <MediaSec_Request_1_ ua="na">Sì</MediaSec_Request_1_>
  • Nell'interfaccia Web del telefono, impostare questo campo su Yes o No in base alle esigenze.

Valori consentiti: Yes|No

  • Yes: modalità avviata dal client. Il telefono avvia le negoziazioni della sicurezza del piano multimediale.
  • No: modalità avviata dal server. Il server avvia le negoziazioni della sicurezza del piano multimediale. Il telefono non avvia le negoziazioni, ma può gestire le richieste di negoziazione dal server per stabilire chiamate protette.

Impostazione predefinita: No

MediaSec Over TLS Only

Specifica il protocollo di trasporto di segnalazione su cui viene applicata la negoziazione della sicurezza del piano multimediale.

Prima di impostare questo campo su Yes, verificare che il protocollo di trasporto di segnalazione sia TLS.

Eseguire una delle seguenti operazioni:

  • Nel file di configurazione del telefono con XML (cfg.xml), immettere una stringa in questo formato:

    <MediaSec_Over_TLS_Only_1_ ua="na">No</MediaSec_Over_TLS_Only_1_>

  • Nell'interfaccia Web del telefono, impostare questo campo su Yes o No in base alle esigenze.

Valori consentiti: Yes|No

  • Yes: il telefono avvia o gestisce le negoziazioni della sicurezza del piano multimediale solo quando il protocollo di trasporto per la segnalazione è TLS.
  • No: il telefono avvia e gestisce le negoziazioni della sicurezza del piano multimediale indipendentemente dal protocollo di trasporto per la segnalazione.

Impostazione predefinita: No

1

Accedere alla pagina Web di amministrazione del telefono.

2

Selezionare Voce > Ext(n) (Int. n.).

3

Nella sezione SIP Impostazioni , impostare i campi MediaSec Request e MediaSec Over TLS Only come definito nella tabella precedente.

4

Fare clic su Submit All Changes.

Questo articolo è stato utile?
Questo articolo è stato utile?