Cisco IP 電話セキュリティ

カスタムデバイス証明書を手動でインストールする

電話管理ウェブページから証明書をアップロードすることで、電話にカスタムデバイス証明書 (CDC) を手動でインストールできます。

はじめる前に

電話のカスタムデバイス証明書をインストールするには、以下が必要です。

PC に保存されている証明書ファイル (.p12 または .pfx) このファイルには証明書と秘密鍵が含まれています。
証明書の抽出パスワードです。パスワードは証明書ファイルの解読に使用されます。

1	電話管理のウェブページにアクセスします。
2	選択する証明書。
3	[ 証明書の追加セクションで、参照...。
4	PC の証明書を参照します。
5	[抽出パスワード（Extract password）] フィールドに、証明書の抽出パスワードを入力します。
6	[アップロード（Upload）] をクリックします。証明書ファイルとパスワードが正しければ、次のメッセージが届きます。`証明書が追加されました。` "。そうでない場合、アップロードは失敗し、証明書をアップロードできないことを示すエラーメッセージが表示されます。
7	インストールされた証明書の詳細を確認するには、表示する [ 既存の証明書セクションを参照してください。
8	電話からインストールされた証明書を削除するには、削除する [ 既存の証明書セクションを参照してください。ボタンをクリックすると、削除操作が確認なしですぐに開始されます。証明書が正常に削除されると、次のメッセージが表示されます:`証明書が削除されました。` "。

SCEP でカスタムデバイス証明書を自動的にインストールする

証明書ファイルを手動でアップロードしたくない場合、または証明書ファイルがない場合は、Simple Certificate Enrollment Protocol (SCEP) パラメーターをセットアップして、カスタムデバイス証明書 (CDC) を自動的にインストールできます。

SCEP パラメータが正しく設定されている場合、電話は SCEP サーバに要求を送信し、定義された指紋を使用して、CA 証明書がデバイスによって検証されます。

はじめる前に

電話のカスタムデバイス証明書の自動インストールを実行するには、以下が必要です。

SCEP サーバアドレス
SCEP サーバのルート CA 証明書の SHA-1 または SHA-256 フィンガープリント

1	電話管理のウェブページにアクセスします。
2	選択する証明書。
3	[ SCEP 設定 1 セクションで、次の表の説明に従ってパラメータを設定します SCEP 構成のパラメータ。
4	[すべての変更の送信（Submit All Changes）] をクリックします。

SCEP 構成のパラメータ

以下の表では、 SCEP 設定 1 セクション証明書タブを選択します。また、パラメータを設定するために電話設定ファイル (cfg.xml) に追加される文字列の構文も定義します。

表 1。 SCEP 構成のパラメータ
パラメータ	説明
サーバ（Server）	SCEP サーバアドレス。このパラメータは必須です。次のいずれかを実行します。 XML（cfg.xml）を使用した電話機の設定ファイルでは、次の形式で文字列を入力します。 `<CDC_Server_1_ ua="na">http://10.79.57.91</CDC_Server_1_>` 電話のウェブページで、SCEP サーバアドレスを入力します。有効な値: URL または IP アドレス。 HTTPS スキームはサポートされていません。デフォルト：空
ルート CA フィンガープリント	SCEP プロセス中の検証のためのルート CA の SHA256 または SHA1 指紋。このパラメータは必須です。次のいずれかを実行します。 XML（cfg.xml）を使用した電話機の設定ファイルでは、次の形式で文字列を入力します。 `<CDC_Root_CA_Fingerprint_1_ ua="na">12040870625C5B755D73F5925285F8F5FF5D55AF</CDC_Root_CA_Fingerprint_1_>` 電話のウェブページで、有効な指紋を入力します。デフォルト：空
チャレンジパスワード	SCEP 経由の証明書登録中の電話に対する Certificate Authority (CA) 認証用のチャレンジパスワード。このパラメータはオプションです。実際の SCEP 環境により、チャレンジパスワードの動作は異なります。電話が CA と通信する Cisco RA から証明書を取得する場合、CA ではチャレンジパスワードはサポートされません。この場合、Cisco RA は CA にアクセスするための認証に電話の MIC/SUDI を使用します。電話は最初の登録と証明書の更新の両方で MIC/SUDI を使用します。電話が CA と直接通信することで証明書を取得する場合、チャレンジパスワードは CA でサポートされます。構成されている場合、最初の登録にのみ使用されます。証明書の更新では、インストールされている証明書が代わりに使用されます。次のいずれかを実行します。 XML（cfg.xml）を使用した電話機の設定ファイルでは、次の形式で文字列を入力します。 `<CDC_Challeng_Password_1_ ua="na"></CDC_Challeng_Password_1_>` パスワードは構成ファイル内でマスクされています。電話のウェブページで、チャレンジパスワードを入力します。デフォルト：空

DHCP オプション 43 による SCEP パラメータの設定

電話ウェブページの手動設定による SCEP 証明書の登録に加えて、DHCP オプション 43 を使用して、DHCP サーバからパラメータを入力することもできます。 DHCP オプションの 43 は SCEP パラメーターで事前構成されており、後で電話で DHCP サーバからパラメーターを取得して、SCEP 証明書の登録を実行できます。

DHCP オプション 43 による SCEP パラメーターの構成は、工場出荷時設定へのリセットが実行される電話でのみ利用できます。
電話は、オプション 43 とリモートプロビジョニング (たとえば、オプション 66,160,159,150、またはクラウドプロビジョニング) の両方をサポートするネットワーク内に配置することはできません。そうしないと、電話はオプション 43 設定を取得できない場合があります。

DHCP オプション 43 で SCEP パラメーターを構成して SCEP 証明書を登録するには、次の作業を行います。

SCEP 環境を準備します。
SCEP 環境設定の詳細については、SCEP サーバのドキュメントを参照してください。

DHCP オプション 43 (定義: 8.4 ベンダー固有情報、RFC 2132) を参照してください。

サブオプション (10-15) はメソッド用に予約されています。

電話ウェブページのパラメータ	サブオプション	タイプ	長さ (バイト)	必須
FIPS モード	10	boolean	1	いいえ*
サーバ（Server）	11	文字列	208 - 長さ (パスワードの再確認)	対応
ルート CA フィンガープリント	12	バイナリ	20 または 32	対応
チャレンジパスワード	13	文字列	208 - 長さ (サーバ)	いいえ*
[802.1X認証の有効化（Enable 802.1X Authentication）]	14	boolean	1	いいえ
証明書の選択	15	符号なし 8 ビット	1	いいえ

DHCP オプション 43 を使用する場合、メソッドの次の特性に注意してください。

サブオプション (10–15) はカスタムデバイス証明書 (CDC) 用に予約されています。
DHCP オプション 43 の最大長は 255 バイトです。
最大の長さ サーバ + チャレンジパスワード 208 バイト未満でなければなりません。
の値 FIPS モード オンボーディングのプロビジョニング構成と一致している必要があります。そうしないと、電話はオンボーディング後に以前にインストールされた証明書の取得に失敗します。具体的には、
- FIPS モードが無効になっている環境に電話が登録される場合、パラメーターを構成する必要はありません。 FIPS モード DHCP オプション 43 で指定します。デフォルトでは、FIPS モードは無効になっています。
- FIPS モードが有効な環境に電話が登録される場合、DHCP オプション 43 で FIPS モードを有効にする必要があります。次を参照してください。 FIPS モードを有効にするを参照してください。
オプション 43 のパスワードはクリアテキストです。
チャレンジパスワードが空の場合、電話は最初の登録と証明書の更新に MIC/SUDI を使用します。チャレンジパスワードが構成されている場合、それは最初の登録にのみ使用され、インストールされた証明書が証明書の更新に使用されます。
802.1X 認証を有効にする と 証明書の選択 は、有線ネットワークの電話にのみ使用されます。
DHCP オプション 60 (ベンダークラス識別子) は端末モデルの識別に使用されます。

次の表では、DHCP オプション 43 (サブオプション 10–15) の例を示します。

サブオプション小数/16 進数	値の長さ (バイト) 10 進数/16 進数	値	16 進数値
10/0a	1/01	1 (0: 無効; 1: 有効)	01
11/0b	18/12	http://10.79.57.91	687474703a2f2f31302e37392e35372e3931
12/0c	20/14	12040870625C5B755D73F5925285F8F5FF5D55AF	12040870625C5B755D73F5925285F8F5FF5D55AF
13/0d	16/10	D233CCF9B9952A15	44323333434346394239393532413135
14/0e	1/01	1 (0: いいえ; 1: はい)	01
15/0f	1/01	1 (0: マニュファクチャリングインストール、1: カスタムインストール)	01

パラメータ値の概要:

FIPS モード = 有効
サーバ = http://10.79.57.91
ルート CA フィンガープリント = 12040870625C5B755D73F5925285F8F5FF5D55AF
チャレンジパスワード = D233CCF9B9952A15
802.1X 認証を有効にする = はい
証明書の選択 = カスタムインストール

最終的な 16 進値の構文は次のとおりです: {<suboption><length><value>}...

上記のパラメータ値によると、最終的な 16 進値は以下の通りです。

0a01010b12687474703a2f2f31302e37392e35372e39310c1412040870625C5B755D73F5925285F8F5FF5D550901f1pi1d

DHCP オプション 43 を DHCP サーバで設定します。

この手順は、Cisco Network Register の DHCP option 43 構成の例を提供します。
1. DHCP オプション定義セットを追加。
  ベンダーオプション文字列 は IP 電話のモデル名です。有効な値は、DP-9841、DP-9851、DP-9861、DP-9871、または CP-8875 です。
2. DHCP オプション 43 とサブオプションを DHCP オプション定義セットに追加します。
  例：
3. オプション 43 を DHCP ポリシーに追加し、値を次のようにセットアップします。
  例：
  (10 1)(11 http://10.79.57.91)(12 12040870625C5B755D73F5925285F8F5FF5D55AF)(13 D233CCF9B9952Apii15921109741)
4. 設定を確認します。 Wireshark を使用して、電話とサービスの間のネットワークトラフィックのトレースをキャプチャできます。
電話の工場出荷時設定へのリセットを実行します。
電話がリセットされた後、パラメータサーバ、ルート CA 指紋、およびチャレンジパスワードが自動的に入力されます。これらのパラメータは、セクション SCEP Configuration 1 from Certificate > カスタムに配置されています。電話管理ウェブページからアクセスすることができます。
インストールされた証明書の詳細を確認するには、[ 既存の証明書 ] セクションで [ 表示 ] をクリックします。
証明書のインストール状況を確認するには、[ 証明書 ] > [ ] [カスタム証明書の状況] の順に選択します。ダウンロード状況 1 に最新の結果が表示されます。証明書の登録中に問題が発生した場合、トラブルシューティングの目的で、ダウンロードの状況に問題の理由を表示できます。
チャレンジパスワード認証が失敗した場合、ユーザは電話スクリーン上でパスワードを入力するように指示されます。
(オプション) インストールされた証明書を電話から削除するには、[ 既存の証明書 ] セクションで [ 削除 ] をクリックします。
ボタンをクリックすると、削除操作が確認なしですぐに開始されます。

SCEP による証明書の更新

デバイス証明書は、SCEP プロセスによって自動的に更新できます。

電話は、証明書が 15 日後に期限切れになるかどうかを 4 時間ごとに確認します。その場合、電話は証明書の更新プロセスを自動的に開始します。
チャレンジパスワードが空の場合、電話は最初の登録と証明書の更新の両方で MIC/SUDI を使用します。チャレンジパスワードが設定されている場合、最初の登録にのみ使用され、既存/インストール済みの証明書が証明書の更新に使用されます。
電話は、新しい証明書を取得するまで、古いデバイス証明書を削除しません。
デバイスの証明書または CA の有効期限が切れているために証明書の更新が失敗した場合、電話は最初の登録を自動的にトリガーします。一方、チャレンジパスワード認証が失敗すると、電話スクリーンにパスワード入力画面がポップアップ表示され、ユーザは電話でチャレンジパスワードを入力するように求められます。

FIPS モードの有効化

電話機を連邦情報処理標準規格（FIPS）に準拠させることができます。

FIPS は、非軍事政府内、およびそれらの機関と連携する政府請負業者やベンダーが使用するドキュメント処理、暗号化アルゴリズム、および他の情報技術標準を説明する一連の規格です。 CiscoSSL FOM (FIPS Object Module) は慎重に定義されたソフトウェアコンポーネントであり、CiscoSSL ライブラリとの互換性を保つように設計されています。そのため、CiscoSSL ライブラリと API を使用する製品は、最小限の労力で FIPS 140-2 検証済み暗号を使用するように変換できます。

1	電話管理のウェブページにアクセスします。
2	[音声（Voice）] > [システム（System）] を選択します。
3	セキュリティ設定セクションで、 [はい] または [いいえ] </] を選択します。 FIPS モードパラメータから。
4	[すべての変更の送信（Submit All Changes）] をクリックします。 FIPS を有効にすると、電話機で次の機能がシームレスに機能します。イメージ認証（Image authentication）安全なストレージ設定ファイルの暗号化 TLS: HTTP PRTアップロードファームウェアアップグレードプロファイルの再同期オンボードサービス Webex オンボーディング SIP オーバー TLS 802.1x (有線) SIP ダイジェスト（RFC 8760） SRTP Webex 通話ログと Webex ディレクトリ One Button to Push (OBTP)

セキュリティ証明書を手動で削除する

Simple Certificate Enrollment Protocol（SCEP）を使用できない場合、電話機からセキュリティ証明書を手動で削除することができます。

1	電話機の管理 Web ページで、[証明書（Certificates）] を選択します。
2	[Certificates] ページで証明書を見つけます。
3	[削除（Delete）] をクリックします。
4	削除プロセスが完了したら、電話機を再起動します。

ユーザおよび管理者パスワードの設定

電話機がコール制御システムに初めて登録された後、または電話機を工場出荷時設定へのリセットを実行した後は、電話機のセキュリティを強化するために、ユーザパスワードと管理者パスワードを設定する必要があります。パスワードが設定されている場合に限り、電話のウェブページから変更を送信できます。

デフォルトでは、パスワードなしの警告は電話で有効になっています。電話にユーザパスワードまたは管理者パスワードがない場合、次の警告が表示されます。

電話のウェブページに、「管理者パスワードが指定されていません。ウェブは読み取り専用モードです。変更を送信することはできません。パスワードを変更してください」というメッセージが左上隅に表示されます。
[ ユーザパスワードおよび管理パスワードフィールドが空の場合、それぞれ [パスワードが提供されていません] という警告が表示されます。
電話スクリーン問題と診断「パスワードが入力されていません」という問題が表示されます。

1	電話管理の Web ページにアクセスします。
2	[音声（Voice）] > [システム（System）] を選択します。
3	(オプション) [ システム構成セクションで、パスワード警告の表示パラメータをはいを選択し、次にクリックしますすべての変更を送信。このパラメータは、電話機の設定ファイル（cfg.xml）のパラメータでも有効にできます。 `<Display_Password_Warnings ua="na">はい</Display_Password_Warnings>` デフォルト：はい（Yes）オプション：はい\|いいえパラメータがいいえを使用する場合、パスワードの警告はウェブページにも電話スクリーンにも表示されません。また、パスワードが空であっても、ウェブページの読み取り専用モードはアクティブになりません。
4	パラメータを探しますユーザパスワードまたは管理パスワードを選択し、パスワードの変更を選択します。
5	[古いパスワード（Old Password）] フィールドに、現在のユーザーパスワードを入力します。パスワードがない場合は、このフィールドを空のままにします。デフォルト値は空です。
6	[新しいパスワード（New Password）] フィールドに、新しいパスワードを入力します。
7	[送信（Submit）] をクリックします。「`パスワードが正常に変更されました。（Password has been changed successfully.）`」というメッセージがウェブページに表示されます。ウェブページが数秒後に更新されます。パラメータの隣の警告が消えます。ユーザーパスワードを設定した後、このパラメータは、電話機の設定 XML ファイル（cfg.xml）で次のように表示されます。 `<!-- <Admin_Password ua="na">***********</Admin_Password><User_Password ua="rw">*********** </User_Password> -->` 電話のウェブページにアクセスしようとしたときに 403 エラーコードを受け取った場合、電話設定ファイル (cfg.xml) でプロビジョニングを行うことでユーザパスワードまたは管理者パスワードを設定する必要があります。たとえば、次の形式で文字列を入力します。 `<Admin_Password ua="na">P0ssw0rd_ates89</Admin_Password>` `<User_Password ua="rw">Abc123</User_Password>`

802.1X 認証

Cisco IP Phones は 802.1X 認証をサポートします。

Cisco IP 電話と Cisco Catalyst スイッチは、従来 Cisco Discovery Protocol（CDP）を使用して互いを識別し、VLAN 割り当てやインライン所要電力などのパラメータを決定します。 CDP では、ローカルに接続されたワークステーションは識別されません。 Cisco IP 電話は、EAPOL パススルーメカニズムを提供します。このメカニズムを使用すると、Cisco IP 電話に接続されたワークステーションは、LAN スイッチにある 802.1X オーセンティケータに EAPOL メッセージを渡すことができます。パススルーメカニズムにより、IP フォンはネットワークにアクセスする前にデータエンドポイントを認証する際 LAN スイッチとして動作しません。

Cisco IP 電話はまた、プロキシ EAPOL ログオフメカニズムも提供します。ローカルに接続された PC が IP フォンから切断された場合でも、LAN スイッチと IP フォン間のリンクは維持されるので、LAN スイッチは物理リンクの障害を認識しません。ネットワークの完全性が脅かされるのを避けるため、IP フォンはダウンストリーム PC の代わりに EAPOL ログオフメッセージをスイッチに送ります。これは、LAN スイッチにダウンストリーム PC の認証エントリをクリアさせます。

802.1X 認証のサポートには、次のようなコンポーネントが必要です。

Cisco IP 電話: 電話機は、ネットワークへのアクセス要求を開始します。 Cisco IP Phones には、802.1x サプリカントが含まれています。このサプリカントを使用して、ネットワーク管理者は IP 電話と LAN スイッチポートの接続を制御できます。電話機に含まれる 802.1X サプリカントの現在のリリースでは、ネットワーク認証に EAP-FAST オプションと EAP-TLS オプションが使用されています。
認証サーバ: 認証サーバとスイッチの両方に、電話を認証する共有シークレットを設定する必要があります。
スイッチ：スイッチは 802.1X をサポートする必要があるため、オーセンティケーターとして機能し、電話と認証サーバー間でメッセージを送受信します。この交換が完了した後、スイッチはネットワークへの電話機のアクセスを許可または拒否します。

802.1X を設定するには、次の手順を実行する必要があります。

電話機で 802.1X 認証をイネーブルにする前に、他のコンポーネントを設定します。
PC ポートの設定：802.1X 標準では VLAN が考慮されないため、特定のスイッチポートに対してデバイスを 1 つだけ認証することを推奨します。ただし、一部のスイッチはマルチドメイン認証をサポートしています。スイッチの設定により、PC を電話機の PC ポートに接続できるかどうかが決定されます。
- 有効：複数ドメインの認証をサポートするスイッチを使用している場合、PC ポートを有効化し、そのポートに PC を接続できます。この場合、スイッチと接続先 PC 間の認証情報の交換をモニタするために、Cisco IP Phones はプロキシ EAPOL ログオフをサポートします。
  
  Cisco Catalyst スイッチでの IEEE 802.1X サポートの詳細については、次の URL にある Cisco Catalyst スイッチのコンフィギュレーションガイドを参照してください。
  
  http://www.cisco.com/en/US/products/hw/switches/ps708/tsd_products_support_series_home.html
- 無効：スイッチが同一ポート上の複数の 802.1X 対応デバイスをサポートしていない場合、802.1X 認証を有効化するときに PC ポートを無効にする必要があります。このポートを無効にしないで PC を接続しようとすると、スイッチは電話機と PC の両方に対してネットワークアクセスを拒否します。
ボイス VLAN の設定：802.1X 標準では VLAN が考慮されないため、この設定をスイッチのサポートに基づいて行うようにしてください。
- 有効：複数ドメインの認証をサポートするスイッチを使用している場合は、ボイス VLAN を引き続き使用できます。
- 無効：スイッチで複数ドメインの認証がサポートされていない場合は、ボイス VLAN を無効にし、ポートをネイティブ VLAN に割り当てることを検討してください。
(Cisco Desk Phone 9800 シリーズのみ)
Cisco Desk Phone 9800 シリーズの PID には、他の Cisco 電話とは異なるプレフィックスが付いています。お使いの電話が 802.1X 認証を通過できるようにするには、 Radius·User-Name パラメータに Cisco Desk Phone 9800 シリーズを含めます。
たとえば、電話 9841 の PID は DP-9841 です。[ Radius ・ユーザ名 ] を、[ DP で開始] または DP を含む] に設定できます。 にアクセスしてください。次の両方のセクションで設定できます。
- ポリシー > 条件 > ライブラリ条件
- ポリシー > ポリシーセット > 認証ポリシー > 認証ルール 1

[802.1X認証の有効化（Enable 802.1X authentication）]

802.1X 認証が有効な場合、電話機は 802.1X 認証を使用してネットワークアクセスを要求します。 802.1X 認証が無効になっている場合、電話機は Cisco Discovery Protocol (CDP) を使用して VLAN とネットワークアクセスを取得します。トランザクションステータスを表示して、電話スクリーンのメニューで変更することもできます。

802.1X 認証が有効な場合、最初の登録と証明書の更新でデバイス証明書 (MIC/SUDI またはカスタム) を選択することもできます。通常、MIC は Cisco Video Phone 8875 用、SUDI は Cisco Desk Phone 9800 シリーズ用です。 CDC は 802.1x での認証にのみ使用できます。

802.1 X 認証を有効にするには、次のいずれかの操作を実行します。

電話のウェブインタフェースでは、[ 音声 ] > [ システム ] の順に選択し、有効にする 802.1X 認証パラメータをはいに変更します。その後、すべての変更の送信をクリックします。
設定ファイル(cfg.xml)で、次の形式で文字列を入力します。
<Enable_802.1X_Authentication ua="rw">はい</Enable_802.1X_Authentication>
有効値: [はい（Yes）] | [いいえ（No）]
デフォルト：[いいえ（No）]
電話で、設定を押します。、そしてネットワークとサービス > セキュリティ設定 > 802.1X に移動します。認証にアクセスしてください。 [ 端末認証 ] フィールドを [ オン] に切り替えてから [ [適用]にアクセスしてください。

表 2. 電話スクリーン上の 802.1X 認証のパラメータ
パラメータ	オプション（Options）	デフォルト	説明
[デバイス認証（Device authentication）]	オンオフ	オフ	電話の 802.1X 認証を有効または無効にします。
[トランザクションステータス（Transaction status）]		Disabled	802.1X 認証の状態を表示します。状態は以下のとおりです (これらに限定されません)。認証中: 認証プロセスが進行中であることを示します。認証済み（Authenticated）：電話が認証されたことを示します。無効化802.1X 認証が電話機で無効になっています。
プロトコル		None	802.1X 認証に使用される EAP 方式を表示します。このプロトコルは、EAP-FAST または EAP-TLS にすることができます。
ユーザ証明書タイプ	マニュファクチャリングがインストールされましたカスタムインストール	マニュファクチャリングがインストールされました	初回登録時および証明書の更新時に 802.1X 認証用の証明書を選択します。製造元がインストール—製造元がインストールした証明書 (MIC) およびセキュアな一意のデバイス識別子 (SUDI) が使用されます。カスタムインストール - カスタムデバイス証明書 (CDC) が使用されます。このタイプの証明書は、電話のウェブページに手動でアップロードするか、または Simple Certificate Enrollment Protocol (SCEP) サーバからインストールすることができます。このパラメータは端末認証が有効な場合にのみ表示されます。

電話ウェブページでの 802.1X 認証用の証明書 (MIC または Custom) を選択します。

有線ネットワークの場合は、[ 音声 ] >[ システム] を選択し、ドロップダウンリストから証明書タイプを選択します。セクション 802.1X 認証で証明書を選択します。
このパラメータは、設定ファイル（cfg.xml）でも設定できます。
<Certificate_Select ua="rw">カスタムインストール</Certificate_Select>
有効な値: マニュファクチャリングインストール|カスタムインストール
デフォルト: マニュファクチャリングがインストール済み
ワイヤレスネットワークの場合は、[ 音声 ] >[ システム] を選択し、ドロップダウンリストから証明書のタイプを選択しますセクション Wi-Fi Profile 1 で証明書を選択します。
このパラメータは、設定ファイル（cfg.xml）でも設定できます。
<Wi-Fi_Certificate_Select_1_ ua="rw">カスタムインストール</Wi-Fi_Certificate_Select_1_>
有効な値: マニュファクチャリングインストール|カスタムインストール
デフォルト: マニュファクチャリングがインストール済み

電話画面で証明書の種類を選択する方法については、電話を Wi-Fi ネットワークに接続するを参照してください。

プロキシサーバのセットアップ

セキュリティを強化するために、電話がプロキシサーバを使用するように設定できます。通常、HTTP プロキシサーバは以下のサービスを提供できます。

内部ネットワークと外部ネットワーク間のトラフィックのルーティング
トラフィックのフィルタリング、監視、またはログ記録
応答をキャッシュしてパフォーマンスを向上させる

また、HTTP プロキシサーバは、電話とインターネット間のファイアウォールとして機能することができます。設定が成功すると、電話はサイバー攻撃から電話を保護するプロキシサーバを通してインターネットに接続します。

設定すると、HTTP プロキシ機能は HTTP プロトコルを使用するすべてのアプリケーションに適用されます。次に例を示します。

GDS（アクティベーションコードによるオンボーディング）
EDOS デバイスの有効化
Webex クラウドへのオンボーディング (EDS または GDS 経由)
カスタム CA
プロビジョニング
ファームウェアアップグレード
電話ステータスレポート
PRTアップロード
XSI サービス
Webex サービス

現在、この機能でサポートされているのは IPv4 のみです。

電話管理のウェブページにアクセスします。

[音声（Voice）] > [システム（System）] を選択します。

セクション HTTP プロキシ設定で、ドロップダウンリストからプロキシモードを選択します。プロキシモード関連パラメータを設定します。

各プロキシモードに対して、必須のパラメータは異なります。次の表で詳細を確認してください。

プロキシモード	必須パラメータ	説明
オフ	該当なし	HTTP プロキシが電話で無効になっています。
手動	プロキシホストプロキシポートプロキシ認証: はいユーザ名 [パスワード（Password）]	プロキシサーバ (ホスト名または IP アドレス) とプロキシポートを手動で指定します。プロキシサーバが認証を要求する場合、さらにユーザ名とパスワードを入力する必要があります。
手動	プロキシホストプロキシポートプロキシ認証: いいえ	プロキシサーバを手動で指定してください。プロキシサーバは認証資格情報を必要としません。
自動	ウェブプロキシ自動検出: いいえ PAC URL	PAC ファイルを取得するための有効な PAC URL を入力してください。
自動	ウェブプロキシ自動検出: はい	WPAD プロトコルを使用して PAC ファイルを自動的に取得します。

パラメータの詳細については、次を参照してください。 HTTP プロキシ設定のパラメータ。

[すべての変更の送信（Submit All Changes）] をクリックします。

HTTP プロキシ設定のパラメータ

以下の表では、 HTTP プロキシ設定セクション音声 > システムタブを選択します。また、パラメータを設定するために、XML コードを含む電話設定ファイルに追加される文字列のシンタックスも定義します。

パラメータ	説明
プロキシモード	電話機が使用する HTTP プロキシモードを指定するか、HTTP プロキシ機能を無効にします。自動電話機は自動的にプロキシ自動設定（PAC）ファイルを取得し、プロキシサーバーを選択します。このモードでは、ウェブプロキシ自動検出 (WPAD) プロトコルを使用して PAC ファイルを取得するか、PAC ファイルの有効な URL を手動で入力するかを決定できます。パラメータの詳細については、この表のパラメータ「ウェブプロキシ自動検出」および「PAC URL」を参照してください。手動サーバー（ホスト名または IP アドレス）とプロキシサーバーのポートを手動で指定する必要があります。パラメータの詳細については、「プロキシホスト」と「プロキシポート」を参照してください。オフ電話機の HTTP プロキシ機能を無効にします。次のいずれかを実行します。 XML（cfg.xml）を使用した電話機の設定ファイルでは、次の形式で文字列を入力します。 `<Proxy_Mode ua="rw">オフ</Proxy_Mode>` 電話機の Web インターフェイスで、プロキシモードを選択するか、この機能を無効にします。有効値：Auto、Manual、および Off デフォルト：Off
ウェブプロキシ自動検出	電話がウェブプロキシ自動検出 (WPAD) プロトコルを使用して PAC ファイルを取得するかどうかを決定します。 WPAD プロトコルは、DHCP または DNS、あるいは両方のネットワークプロトコルを使用して、プロキシ自動構成 (PAC) ファイルを自動的に検索します。 PAC ファイルは、特定の URL のプロキシサーバーを選択するために使用されます。このファイルは、ローカルまたはネットワーク上でホストできます。パラメータの設定は、[プロキシモード（Proxy Mode）] が [自動（Auto）] に設定されている場合に有効になります。パラメータを [いいえ（No）] に設定した場合は、PAC URL を指定する必要があります。パラメータの詳細については、この表中のパラメータ「PAC URL」を参照してください。次のいずれかを実行します。 XML（cfg.xml）を使用した電話機の設定ファイルでは、次の形式で文字列を入力します。 `<Web_Proxy_Auto_Discovery ua="rw">はい</Web_Proxy_Auto_Discovery>` 電話ウェブインタフェースでは、必要に応じて [ はい ] または [ いいえ ] を選択します。有効値: はい（Yes）といいえ（No）デフォルト：はい（Yes）
PAC URL	PAC ファイルの URL。たとえば、`http://proxy.department.branch.example.com` などです。 TFTP、HTTP、および HTTPS がサポートされています。プロキシモードを自動およびに設定している場合をいいえにするには、このパラメータを設定する必要があります。次のいずれかを実行します。 XML（cfg.xml）を使用した電話機の設定ファイルでは、次の形式で文字列を入力します。 `<PAC_URL ua="rw">http://proxy.department.branch.example.com/pac</PAC_URL>` 電話機の Web インターフェイスで、PAC ファイルを特定する有効な URL を入力します。デフォルト：空
プロキシホスト	アクセスする電話機のプロキシホストサーバーの IP アドレスまたはホスト名です。次に例を示します。 `proxy.example.com` スキーム（`http://` または `https://`）は不要です。 [プロキシモード（Proxy Mode）] を [手動（Manual）] に設定した場合は、このパラメータを設定する必要があります。次のいずれかを実行します。 XML（cfg.xml）を使用した電話機の設定ファイルでは、次の形式で文字列を入力します。 `<Proxy_Host ua="rw">proxy.example.com</Proxy_Host>` 電話のウェブインターフェイスで、プロキシサーバーの IP アドレスまたはホスト名を入力します。デフォルト：空
プロキシポート	プロキシホストサーバーのポート番号。 [プロキシモード（Proxy Mode）] を [手動（Manual）] に設定した場合は、このパラメータを設定する必要があります。次のいずれかを実行します。 XML（cfg.xml）を使用した電話機の設定ファイルでは、次の形式で文字列を入力します。 `<Proxy_Port ua="rw">3128</Proxy_Port>` 電話機の Web インターフェイスで、サーバーポートを入力します。デフォルト：3128
プロキシ認証	ユーザーが、プロキシサーバーに必要な認証資格情報（ユーザー名とパスワード）を入力する必要かどうかを決定します。このパラメータは、プロキシサーバの実際の動作に応じて設定されます。このパラメータを [はい（Yes）] に設定した場合は、[ユーザー名（Username）] と [パスワード（Password）] を設定する必要があります。パラメータの詳細については、この表中のパラメータ「ユーザ名」と「パスワード」を参照してください。パラメータの設定は、[プロキシモード（Proxy Mode）] が [手動（Manual）] に設定されている場合に有効になります。次のいずれかを実行します。 XML（cfg.xml）を使用した電話機の設定ファイルでは、次の形式で文字列を入力します。 `<Proxy_Authentication ua="rw">いいえ</Proxy_Authentication>` 電話ウェブインターフェースでは、このフィールドを必要に応じて [ はい ] または [ いいえ ] に設定します。有効値: はい（Yes）といいえ（No）デフォルト：[いいえ（No）]
ユーザ名	プロキシサーバーの資格情報を持つユーザーのユーザー名。プロキシモードが手動およびプロキシ認証に設定されている場合。a34>がはいに設定されている場合は、パラメータを構成する必要があります。次のいずれかを実行します。 XML（cfg.xml）を使用した電話機の設定ファイルでは、次の形式で文字列を入力します。 `<Proxy_Username ua="rw">例</Proxy_Username>` 電話機のウェブインターフェイスで、ユーザー名を入力します。デフォルト：空
[パスワード（Password）]	プロキシ認証用に指定されたユーザー名のパスワード。プロキシモードが手動かつプロキシ認証に設定されている場合 a44>がはいに設定されている場合は、パラメータを構成する必要があります。次のいずれかを実行します。 XML（cfg.xml）を使用した電話機の設定ファイルでは、次の形式で文字列を入力します。 `<Proxy_Password ua="rw">例</Proxy_Password>` 電話機の Web インターフェイスで、ユーザーのプロキシ認証に有効なパスワードを入力します。デフォルト：空

メディアプレーンセキュリティネゴシエーションでクライアント初期化モードを有効にする

メディアセッションを保護するには、サーバーとのメディアプレーンセキュリティネゴシエーションを開始するように電話機を設定できます。セキュリティメカニズムは、RFC 3329 およびその拡張ドラフトのメディアセキュリティメカニズム名 ( https://tools.ietf.org/html/draft-dawes-sipcore-mediasec-parameter-08#ref-2 を参照) で規定されている標準に従います。電話機とサーバ間でのネゴシエーションの転送では、UDP、TCP、および TLS を介した SIP プロトコルを使用できます。シグナリングトランスポートプロトコルが TLS の場合にのみメディアプレーンセキュリティネゴシエーションが適用されるように制限することができます。

電話管理のウェブページにアクセスします。

[音声（Voice）] > [内線（n）（Ext(n)）] を選択します。

SIP 設定セクションで、 MediaSec リクエストと MediaSec オーバー TLS を設定します。次の表で定義されたフィールドのみ :

表 3. メディアプレーンのセキュリティネゴシエーションのパラメータ
パラメータ	説明
MediaSec リクエスト	電話機がサーバとのメディア平面セキュリティネゴシエーションを開始するかどうかを指定します。次のいずれかを実行します。 XML（cfg.xml）を使用した電話機の設定ファイルでは、次の形式で文字列を入力します。 `<MediaSec_Request_1_ ua="na">はい</MediaSec_Request_1_>` 電話機のウェブインターフェイスで、必要に応じてこのフィールドを [はい（Yes）] または [いいえ（No）] に設定します。有効値: はい（Yes）\| いいえ（No） [はい (Yes)]: クライアントが開始するモード。電話機は、メディア平面セキュリティネゴシエーションを開始します。いいえ（No）— サーバ起動モード。サーバがメディア平面セキュリティネゴシエーションを開始します。電話機はネゴシエーションを開始しませんが、サーバからのネゴシエーション要求を処理して、安全な通話を確立できます。デフォルト：[いいえ（No）]
MediaSec Over TLS のみ	メディア平面セキュリティネゴシエーションが適用されるシグナリングトランスポートプロトコルを指定します。このフィールドで [はい（Yes）] に設定する前に、シグナリングプロトコルが TLS であることを確認してください。次のいずれかを実行します。 XML（cfg.xml）を使用した電話機の設定ファイルでは、次の形式で文字列を入力します。 `<MediaSec_Over_TLS_Only_1_ ua="na">いいえ</MediaSec_Over_TLS_Only_1_>` 電話機のウェブインターフェイスで、必要に応じてこのフィールドを [はい（Yes）] または [いいえ（No）] に設定します。有効値: はい（Yes）\| いいえ（No） [はい（Yes）]：電話機は、シグナリングトランスポートプロトコルが TLS の場合にのみ、メディア平面セキュリティネゴシエーションを開始または処理します。 [いいえ（No）]: 電話機は、シグナリングトランスポートプロトコルに関係なく、メディア平面セキュリティネゴシエーションを開始し、処理します。デフォルト：[いいえ（No）]

[すべての変更の送信（Submit All Changes）] をクリックします。

WLAN セキュリティ

通信圏内にあるすべての WLAN デバイスは他の WLAN トラフィックをすべて受信できるため、WLAN 内の音声通信の保護は重要です。侵入者が音声トラフィックを操作したり傍受したりしないようにするために、Cisco SAFE Security アーキテクチャは電話をサポートしています。ネットワーク内のセキュリティの詳細については、http://www.cisco.com/en/US/netsol/ns744/networking_solutions_program_home.html を参照してください。

Cisco ワイヤレス IP テレフォニーソリューションは、電話がサポートする以下の認証方法を使用して、不正なサインインや通信の侵害を防ぐワイヤレスネットワークセキュリティを提供します。

オープン認証：オープンシステムでは、任意のワイヤレスデバイスが認証を要求できます。要求を受けた AP は、任意のリクエスタまたはユーザのリスト上にあるリクエスタだけに認証を与える場合があります。ワイヤレスデバイスとアクセスポイント (AP) 間の通信が暗号化されていない可能性があります。
Extenible Authentication Protocol-Flexible Authentication via Secure Tunneling (EAP) 認証: このクライアント/サーバセキュリティアーキテクチャは、AP と RAID サーバ間のトランスポートレベルセキュリティ (TLS) トンネル内で EAP-FAST トランザクションを暗号化します。Identity Services エンジン (ICE) などがあります。

TLS トンネルでは、クライアント（電話機）と RADIUS サーバの間の認証に Protected Access Credential（PAC）が使用されます。サーバは Authority ID（AID）をクライアント（電話機）に送信します。それを受けてクライアントは適切な PAC を選択します。クライアント（電話機）は PAC-Opaque を RADIUS サーバに返します。サーバは、プライマリキーで PAC を復号します。これで両方のエンドポイントに同じ PAC キーが含まれ、TLS トンネルが構築されます。 EAP-FAST では、自動 PAC プロビジョニングがサポートされていますが、RADIUS サーバ上で有効にする必要があります。

ISE では、デフォルトで、PAC は 1 週間で期限切れになります。電話機に期限切れの PAC が存在する場合、電話機が新しい PAC を取得するまでの間は、RADIUS サーバでの認証に比較的長い時間がかかります。 PAC プロビジョニングの遅延を回避するには、PAC の有効期間を 90 日以上に 90 日以上に設定します。
拡張認証プロトコル - トランスポート層セキュリティ（EAP-TLS）認証：EAP-TLS では、認証とネットワークアクセスにクライアント証明書が必要です。ワイヤレス EAP-TLS の場合、クライアント証明書は MIC, LSC, またはユーザがインストールした証明書です。
Protected Extensible Authentication Protocol（PEAP）：クライアント（電話機）と RADIUS サーバ間の、シスコ独自のパスワードベースの相互認証方式です。電話はワイヤレスネットワークでの認証に PEAP を使用できます。 PEAP-MSCHAPV2 と PEAP-GTC の両方の認証メカニズムがサポートされます。
事前共有キー (PSK): この電話は ASCII 形式をサポートしています。 WPA/WPA2/SAE 事前共有キーをセットアップする際には、次の形式を使用する必要があります。

ASCII：長さが 8～63 文字の ASCII 文字文字列（0～9、小文字および大文字の A～Z、および特殊文字）

例: GREG123567@9ZX&W

次の認証方式では、RADIUS サーバを使用して認証キーを管理します。

WPA/WPA2/WPA3: 認証用の固有のキーを生成するために、認証用の認証用の固有のキーを生成するために、認証用の認証用の認証用の認証用のキーを生成します。これらのキーは集中型の RADIUS サーバで生成されるため、WPA2/WPA3 は AP と電話機に保存されている WPA 事前共有キーよりも高いセキュリティを提供します。
高速安全ローミング： RADIUS サーバとワイヤレスドメインサーバ（WDS）上の情報を使用してキーを管理および認証します。 WDS は、迅速で安全な再認証のために、FT 対応クライアントデバイスのセキュリティ証明書のキャッシュを作成します。 Cisco Desk Phone 9861 および 9871 および Cisco Video Phone 8875 は 802.11r (FT) をサポートします。 Over the Air と Over the DS の両方がサポートされており、高速セキュアローミングを可能にします。しかしシスコでは 802.11r（FT）無線方式を利用することを強く推奨します。

WPA/WPA2/WPA3 では、暗号化キーは電話で入力されませんが、AP と電話の間で自動的に取得されます。ただし認証で使用する EAP ユーザ名とパスワードは、各電話機に入力する必要があります。

音声トラフィックが安全であることを確認するために、電話は暗号化のために TKIP および AES をサポートします。これらのメカニズムが暗号化に使用される場合、シグナリング SIP パケットと音声リアルタイム転送プロトコル (RTP) パケットの両方が AP と電話機の間で暗号化されます。

TKIP: WPA は、WEP にいくつかの改良を加えた TKIP 暗号化を使用します。 TKIP は、パケットごとのキーの暗号化、および暗号化が強化されたより長い初期ベクトル（IV）を提供します。さらに、メッセージ完全性チェック（MIC）は、暗号化されたパケットが変更されていないことを確認します。 TKIP は、侵入者が WEP を使用して WEP キーを解読する可能性を排除します。
AES: WPA2/WPA3 認証で使用される暗号化方式です。この暗号化の国内規格は、暗号化と復号化に同じキーを持つ対称型アルゴリズムを使用します。 AES は、128 ビットサイズの暗号ブロック連鎖（CBC）暗号化を使用し、最小のキーサイズとして 128 ビット、192 ビット、および 256 ビットのキーをサポートします。電話は 256 ビットのキーサイズをサポートします。

Cisco Desk Phone 9861 および 9871 および Cisco Video Phone 8875 は、CMIC での Cisco Key Integrity Protocol (CKIP) をサポートしていません。

認証方式と暗号化方式は、ワイヤレス LAN 内で設定されます。 VLAN は、ネットワーク内および AP 上で設定され、認証と暗号化の異なる組み合わせを指定します。 SSID は、VLAN と VLAN の特定の認証および暗号化方式に関連付けられます。ワイヤレスクライアントデバイスを正常に認証するには、AP と電話で同じ SSID を認証および暗号化スキームで設定する必要があります。

一部の認証方式では、特定のタイプの暗号化が必要です。

WPA 事前共有キー、WPA2 事前共有キー、または SAE を使用する場合、事前共有キーは電話機で静的に設定されている必要があります。これらのキーは、AP に存在するキーと一致している必要があります。
電話は FAST または PEAP の自動 EAP-TLS ネゴシエーションをサポートしますが、TLS ではサポートしません。 EAP モードの場合、指定する必要があります。

次の表の認証および暗号化スキームは、AP 設定に対応する電話のネットワーク設定オプションを示します。

表 4。認証方式と暗号化方式
FSR の種類	認証（Authentication）	Key Management	暗号化（Encryption）	保護された管理フレーム (PMF)
802.11r (FT)	PSK	WPA-PSK WPA-PSK-SHA256 FT-PSK	AES	いいえ
802.11r (FT)	WPA3	重大な問題 FT-SAE	AES	対応
802.11r (FT)	EAP-TLS	WPA-EAP FT-EAP	AES	いいえ
802.11r (FT)	EAP-TLS (WPA3)	WPA-EAP-SHA256 FT-EAP	AES	対応
802.11r (FT)	EAP-FAST	WPA-EAP FT-EAP	AES	いいえ
802.11r (FT)	EAP-FAST (WPA3)	WPA-EAP-SHA256 FT-EAP	AES	対応
802.11r (FT)	EAP-PEAP	WPA-EAP FT-EAP	AES	いいえ
802.11r (FT)	EAP-PEAP (WPA3)	WPA-EAP-SHA256 FT-EAP	AES	対応

Wi-Fi プロファイルのセットアップ

電話の Web ページまたはリモートデバイスプロファイルの再同期から Wi-Fi プロファイルを設定して、そのプロファイルを使用可能な Wi-Fi ネットワークに関連付けることができます。この Wi-Fi プロファイルを使用して Wi-Fi に接続できます。現在、設定できる Wi-Fi プロファイルは 1 つのみです。

プロファイルには、電話機が Wi-Fi で電話サーバーに接続するために必要なパラメータが含まれています。 Wi-Fi プロファイルを作成して使用する場合、管理者またはユーザが個々の電話にワイヤレスネットワークを設定する必要はありません。

Wi-Fi プロファイルによって、ユーザが電話機の Wi-Fi 設定を変更できないようにしたり、制限したりすることができます。

Wi-Fi プロファイルを使用する場合、キーとパスワードを保護するために、プロトコルの暗号化が有効になっている安全なプロファイルを使用することをお勧めします。

セキュリティモードで EAP-FAST 認証方法を使用するように電話をセットアップすると、ユーザはアクセスポイントに接続するために個別の資格情報が必要になります。

1	電話機のウェブページにアクセス
2	[音声（Voice）] > [システム（System）] を選択します。
3	セクション Wi-Fi プロファイル (n)で、次の表の説明に従ってパラメータを設定します Wi-Fi プロファイルのパラメータ。 Wi-Fi プロファイル設定はユーザログインも利用できます。
4	[すべての変更の送信（Submit All Changes）] をクリックします。

Wi-Fi プロファイルのパラメータ

次の表で、電話機のウェブページの [システム（System）] タブの下にある [Wi-Fi プロファイル（n）（Wi-Fi Profile(n)）] セクションの各パラメータの機能と使用方法を定義します。また、パラメータを設定するために電話設定ファイル (cfg.xml) に追加される文字列の構文も定義します。

パラメータ	説明
ネットワーク名	電話機に表示される SSID の名前を入力できます。複数のプロファイルが、異なるセキュリティモードで同じネットワーク名を持つことができます。次のいずれかを実行します。 XML（cfg.xml）を使用した電話機の設定ファイルでは、次の形式で文字列を入力します。 `<Network_Name_1_ua="rw">cisco</Network_Name_1_>` 電話のウェブページで、SSID の名前を入力します。デフォルト：空
セキュリティモード	Wi-Fi ネットワークへのアクセスをセキュリティ保護するために使用する認証方法を選択できますす。選択した方法に応じて [パスワード] フィールドが表示され、この Wi-Fi ネットワークに参加するために必要な資格情報を入力できます。次のいずれかを実行します。 XML（cfg.xml）を使用した電話機の設定ファイルでは、次の形式で文字列を入力します。 `<Security_Mode_1_ ua="rw">EAP-TLS</Security_Mode_1_><!-- 利用可能なオプション: Auto\|EAP-FAST\|\|\|PSK\|\|None\|EAP-PEAP\|EAP-TLS -->` 電話のウェブページで、次のいずれかの方法を選択します。自動 [EAP-FAST] PSK None EAP-PEAP EAP-TLS デフォルト：[自動（Auto）]
Wi-Fi ユーザー ID	ネットワークプロファイルのユーザー ID を入力できます。このフィールドは、セキュリティモードを自動、EAP-FAST、または EAP-PEAP に設定している場合に利用できます。これは必須フィールドであり、最大 32 文字の英数字を使用できます。次のいずれかを実行します。 XML（cfg.xml）を使用した電話機の設定ファイルでは、次の形式で文字列を入力します。 `<Wi-Fi_User_ID_1_ua="rw"></Wi-Fi_User_ID_1_>` 電話のウェブページで、ネットワークプロファイルのユーザ ID を入力します。デフォルト：空
Wi-Fi パスワード	指定された Wi-Fi ユーザー ID のパスワードを入力できます。次のいずれかを実行します。 XML（cfg.xml）を使用した電話機の設定ファイルでは、次の形式で文字列を入力します。 `<Wi-Fi_Password_1_ ua="rw"></Wi-Fi_Password_1_>` 電話のウェブページで、追加したユーザ ID のパスワードを入力します。デフォルト：空
周波数帯域	WLAN で使用されているワイヤレス信号周波帯を選択できます。次のいずれかを実行します。 XML（cfg.xml）を使用した電話機の設定ファイルでは、次の形式で文字列を入力します。 `<Frequeency_Band_1_ ua="rw">自動</Frequeency_Band_1_>` 電話のウェブページで、次のいずれかのオプションを選択します。自動 2.4 GHz 5 GHz デフォルト：[自動（Auto）]
証明書の選択	ワイヤレスネットワークでの証明書の初期登録および更新で使用する証明書タイプを選択します。このプロセスは 802.1X 認証でのみ利用できます。次のいずれかを実行します。 XML（cfg.xml）を使用した電話機の設定ファイルでは、次の形式で文字列を入力します。 `<Certificate_Select_1_ ua="rw">マニュファクチャリングがインストールされました</Certificate_Select_1_>` 電話のウェブページで、次のいずれかのオプションを選択します。マニュファクチャリングがインストールされましたカスタムインストールデフォルト: マニュファクチャリングがインストール済み

電話でデバイスのセキュリティステータスを確認する

電話がデバイスのセキュリティステータスを自動的に確認します。電話に潜在的なセキュリティ脅威が検出されると、問題と診断メニューに問題の詳細が表示されます。管理者は報告された問題に基づいて、お使いの電話をセキュリティ保護および強化することができます。

電話が通話制御システム (Webex Calling または BroadWorks) に登録されていない場合でも、デバイスのセキュリティステータスは利用できます。

電話のセキュリティ問題の詳細を表示するには、次の操作を行います。

[設定（Settings）]を押します。 Settings button

[ 問題と診断 ] > [ 問題] を選択します。

現在、デバイスセキュリティレポートには次の問題が含まれています。

カテゴリ	問題
デバイスの信頼	デバイスの認証に失敗しました
デバイスの信頼	ハードウェアが改ざんされた
脆弱性の設定	パスワードが入力されていません
	[SSH を使う（GARP enabled）]
	Telnet が有効になっています
ネットワーク異常イベントが検出されました	過度のログイン試行
証明書の発行	CDC 証明書の有効期限がまもなく切れます

セキュリティの問題を解決するには、管理者に連絡してください。

コメントありがとうございます。

Cisco IP 電話セキュリティ

カスタムデバイス証明書を手動でインストールする