- 홈
- /
- 문서
피드백을 보내 주셔서 감사합니다.
9800/8875에 대한 사용자 정의 장치 인증서
이 문서에서
피드백이 있습니까?사용자 정의 장치 인증서(CDC)는 수동 또는 자동으로 설치할 수 있습니다. 특정 환경에서는 DHCP 옵션 43을 활용하여 인증서 설치를 위한 SCEP 매개변수를 제공할 수 있습니다. 이 도움말 문서는 Cisco 데스크폰 9800 시리즈와 Cisco BroadWorks 또는 Webex Calling에 등록된 Cisco 비디오폰 8875에 대한 것입니다.
사용자 지정 장치 인증서 설치
전화기에 CDC(사용자 지정 장치 인증서)를 설치하려면 상황에 따라 다음 방법 중 하나를 사용합니다.
전화기에 가장 최근에 설치한 인증서가 적용됩니다.
- 수동 설치 - 전화기 관리 웹 페이지에서 인증서를 업로드하여 설치할 수 있습니다. 자세한 내용은 업로드 를 통한 사용자 지정 장치 인증서 수동 설치를 참조하십시오.
- 자동 설치 - SCEP(Simple Certificate Enrollment Protocol) 매개 변수를 구성하여 인증서 자동 설치를 트리거할 수 있습니다. 전화기는 SCEP 요청을 SCEP 서버로 전송하여 인증서를 설치합니다.
SCEP 매개 변수는 전화 관리 웹 페이지, 전화 구성 파일(cfg.XML) 또는 Control Hub를 통해 구성할 수 있습니다. 자세한 내용은 Control Hub에서 SCEP 에 의한 사용자 정의 장치 인증서 자동 설치 및 전화 설정에 대한 매개 변수를 참조하십시오 .
- DHCP 옵션 43 - 특정 환경에서는 DHCP 옵션 43을 사용하여 인증서를 설치할 수 있습니다. 옵션 43은 인증서 설치를 위한 SCEP 매개 변수를 제공할 수 있습니다. 자세한 내용은 DHCP 옵션 43 을 통한 SCEP 매개 변수 구성을 참조하세요.
-
SCEP 매개 변수 프로비저닝에 DHCP 옵션 43을 사용하면 전화기는 DHCP 옵션 15에서 가져온 도메인 이름도 검색할 수 있습니다. 전화기는 검색된 도메인 이름을 기반으로 SCEP CSR 일반 이름 및 802.1X 사용자 ID를 구성할 수 있습니다. 자세한 내용은 DHCP 옵션 15 를 통한 일반 이름 또는 사용자 ID 프로비저닝을 참조하십시오.
DHCP 옵션을 구성하는 방법에 대한 자세한 내용은 DHCP 옵션 구성을 참조하세요.
-
업로드를 통한 사용자 지정 장치 인증서 수동 설치
전화기 관리 웹 페이지에서 인증서를 업로드하여 전화기에 CDC(Custom Device Certificate)를 수동으로 설치할 수 있습니다.
시작하기 전에
전화기에 대한 사용자 지정 장치 인증서를 설치하기 전에 다음을 확인해야 합니다.
- PC에 저장된 인증서 파일(.p12 또는 .pfx)입니다. 이 파일에는 인증서와 개인 키가 포함되어 있습니다.
- 인증서의 추출 암호입니다. 암호는 인증서 파일을 복호화하는 데 사용됩니다.
| 1 |
전화기 관리 웹페이지 액세스. |
| 2 |
인증서를 선택합니다. |
| 3 |
Add Certificate(인증서 추가) 섹션에서 Browse(찾아보기)를 클릭합니다 . |
| 4 |
PC에서 인증서를 찾습니다. |
| 5 |
추출 암호 필드에 인증서 추출 암호를 입력합니다. |
| 6 |
업로드를 클릭합니다. 인증서 파일과 암호가 올바른 경우 "
인증서가 추가되었습니다."라는 메시지가 표시됩니다. 그렇지 않으면 인증서를 업로드할 수 없다는 오류 메시지와 함께 업로드가 실패합니다. |
| 7 |
설치된 인증서의 세부 정보를 확인하려면 [기존 인증서 ] 섹션에서 [보기 ]를 클릭합니다 . |
| 8 |
전화기에서 설치된 인증서를 제거하려면 기존 인증서 섹션에서 삭제를 클릭합니다. 버튼을 클릭하면 확인 없이 제거 작업이 즉시 시작됩니다.
인증서가 성공적으로 제거되면 " |
SCEP에 의한 사용자 지정 장치 인증서 자동 설치
SCEP(Simple Certificate Enrollment Protocol) 관련 매개 변수를 구성하여 SCEP 서버와 상호 작용하여 CDC(사용자 지정 장치 인증서)를 자동으로 설치할 수 있습니다.
SCEP 매개 변수가 구성되면 전화기는 SCEP 등록 요청을 서버에 보냅니다. 전화기가 구성된 지문을 사용하여 수신된 CA 인증서를 확인합니다.
시작하기 전에
전화기에 대한 CDC(사용자 지정 장치 인증서) 자동 설치를 수행하려면 먼저 다음이 있어야 합니다.
- SCEP 서버 주소
- SCEP 서버에 대한 루트 CA 인증서의 SHA-1 또는 SHA-256 지문
| 1 |
전화기 관리 웹페이지 액세스. |
| 2 |
인증서를 선택합니다. |
| 3 |
SCEP 구성 1 섹션에서 SCEP 구성을 위한 매개 변수에 설명된 대로 매개 변수를 설정합니다. |
| 4 |
모든 변경 사항 제출을 클릭합니다. |
SCEP 구성을 위한 매개 변수
다음 표는 전화기 웹 인터페이스의 인증서 Tab 아래에 있는 SCEP 구성 1 섹션에 있는 SCEP 구성 매개 변수의 기능 및 사용법을 정의합니다. 또한 매개 변수를 구성하기 위해 전화기 구성 파일(cfg.xml)에 추가되는 문자열의 구문을 정의합니다.
매개 변수가 변경되면 전화기에서 새 인증서를 요청합니다.
| 매개변수 | 설명 |
|---|---|
| 서버 |
SCEP 서버 주소입니다. 이 파라미터는 필수입니다. 다음 중 하나를 수행합니다.
유효한 값: URL 또는 IP 주소. HTTPS 체계가 지원되지 않습니다. 기본값: 비어 있음 |
| 루트 CA 지문 |
SCEP 프로세스 중 유효성 검사를 위한 루트 CA의 SHA256 또는 SHA1 지문입니다. 이 파라미터는 필수입니다. 다음 중 하나를 수행합니다.
기본값: 비어 있음 |
| 챌린지 암호 |
SCEP를 통한 인증서 등록 도중 전화기에 대한 CA(인증 기관) 인증을 위한 챌린지 암호. 이 매개변수는 선택사항입니다. 실제 SCEP 환경에 따라 챌린지 암호의 동작은 다양합니다.
다음 중 하나를 수행합니다.
기본값: 비어 있음 |
| 공통 이름 |
인증서를 요청하는 전화기의 식별자로 사용되는 CN(공통 이름)을 지정합니다. CN은 SCEP 프로세스에서 인증서 서명 요청(CSR)에 사용됩니다. 이 매개변수는 매크로 확장 변수도 지원합니다. 자세한 내용은 매크로 확장 변수를 참조하십시오 . 다음 중 하나를 수행합니다.
유효한 값: 최대 64자 기본값: 비어 있음 |
SCEP에 의한 인증서 갱신
장치 인증서는 SCEP 프로세스에 의해 자동으로 갱신될 수 있습니다.
- 전화기는 4시간마다 인증서가 15일 이내에 만료될지 확인합니다. 확인이 되면, 전화기가 인증서 갱신 프로세스를 자동으로 시작합니다.
- 인증 확인 암호가 비어 있으면 전화기는 초기 등록 및 인증서 갱신에 모두 MIC/SUDI를 사용합니다. 챌린지 암호가 구성된 경우 초기 등록에만 사용되며 기존/설치된 인증서는 인증서 갱신에 사용됩니다.
- 전화기는 새 인증서를 검색할 때까지 이전 장치 인증서를 제거하지 않습니다.
- 장치 인증서 또는 CA가 만료되어 인증서 갱신에 실패할 경우 전화기가 자동으로 초기 등록을 시작합니다. 그 동안 챌린지 암호 인증에 실패하면 전화기 화면에 비밀번호 입력 화면이 나타나고 사용자에게 전화기에 챌린지 비밀번호를 입력하라는 메시지가 표시됩니다.
CDC 일반 이름 구성
기본적으로 MIC/SUDI의 일반 이름은 CDC의 일반 이름으로 사용됩니다.
인증서를 설치할 때 CDC의 일반 이름을 구성할 수 있습니다. 다음 방법 중 하나를 사용하여 전화기에 CDC를 설치합니다.
-
원하는 공통 이름이 포함된 인증서 서명 요청(CSR)을 생성한 다음 전화기 관리 웹 페이지에 새 인증서를 업로드하고 설치합니다.
-
전화기 관리 웹 페이지, 전화기 구성 파일(cfg.XML) 또는 Control Hub를 통해 일반 이름을 구성합니다. 이렇게 하면 전화기에서 자동으로 새 인증서를 요청합니다.
전화 웹 페이지 및 Control Hub의 매개 변수에 대한 자세한 정보는 SCEP 에 의한 사용자 정의 장치 인증서 자동 설치 및 Control Hub 의 전화 설정에 대한 매개 변수를 참조하십시오.
- DHCP 옵션 43 및 15를 활용하여 CDC 및 유선 802.1X ID에 대한 일반 이름을 프로비저닝합니다.
자세한 내용은 DHCP 옵션 15 를 통해 일반 이름 또는 사용자 ID 설정을 참조하십시오.
DHCP 옵션 43을 통한 SCEP 매개변수 구성
CDC(사용자 지정 디바이스 인증서)를 업로드하거나 SCEP 매개 변수를 직접 구성하여 설치할 수 없는 특정 환경에서. 이 경우 DHCP 옵션 43을 사용하여 DHCP 서버에서 매개 변수를 채울 수 있습니다. DHCP 옵션 43은 전화기에 SCEP 매개 변수를 제공하도록 구성할 수 있습니다. 전화기가 초기 설정되면 DHCP 서버에서 매개 변수를 수신하여 SCEP 프로토콜을 통해 CDC를 설치할 수 있습니다.
- 이 기능(DHCP 옵션 43을 통한 SCEP 매개 변수 구성)은 초기 재설정되는 전화기에만 사용할 수 있습니다.
- 전화기는 옵션 43 및 원격 프로비저닝(예: 옵션 66,160,159,150 또는 클라우드 프로비저닝)을 지원하는 네트워크에 배치하면 안 됩니다. 그렇지 않으면 전화기에 옵션 43 구성이 제공되지 않을 수 있습니다.
DHCP 옵션 43에서 제공된 SCEP 매개 변수를 사용하여 CDC 인증서를 설치하려면 다음을 수행합니다.
- SCEP 환경을 준비합니다.
SCEP 환경 설정에 대한 자세한 내용은 SCEP 서버 설명서를 참조하십시오.
- DHCP 옵션 43(8.4 공급업체별 정보, RFC 2132에 정의됨)을 설정합니다.
하위 옵션(10–15)은 메서드용으로 예약되어 있습니다.
전화기 웹 페이지의 매개 변수 하위 옵션 유형 길이(바이트) 필수 FIPS 모드 10 부울 1 아니요* 서버 11 문자열 208 - 길이(챌린지 비밀번호) 예 루트 CA 지문 12 16 진수 20, 32, 48 또는 64 예 챌린지 암호 13 문자열 208 - 길이(서버) 아니요* 802.1X 인증 활성화 14 부울 1 아니요 인증서 선택 15 부호 없는 8비트 1 아니요 *는 매개변수가 실제 상황에 따라 구성됨을 의미합니다.
DHCP 옵션 43을 사용할 때 메서드의 다음 특성을 확인할 수 있습니다.
- 하위 옵션(10–15)은 CDC(사용자 지정 장치 인증서)용으로 예약되어 있습니다.
- DHCP 옵션 43의 최대 길이는 255 바이트입니다.
- 서버 + 챌린지 암호의 최대 길이는 208바이트 미만이어야 합니다.
- FIPS 모드의 값은 온보딩 프로비저닝 구성과 일치해야 합니다. 그렇지 않으면 전화기가 온보딩 후 이전에 설치된 인증서를 검색할 수 없습니다. 특히
- FIPS 모드가 비활성화된 환경에 전화기를 등록하는 경우 DHCP 옵션 43에서 FIPS 모드를 구성할 필요가 없습니다. 기본적으로 FIPS 모드는 비활성화되어 있습니다.
- FIPS 모드가 활성화된 환경에 전화기를 등록할 경우 DHCP 옵션 43에서 FIPS 모드를 활성화해야 합니다. 자세한 내용은 FIPS 모드 사용을 참조하십시오 .
- 옵션 43의 챌린지 암호는 일반 텍스트로 되어 있습니다.
- 전화기에서 초기 등록 및 인증서 갱신에 MIC/SUDI를 사용하도록 하려면 챌린지 암호를 비워 둡니다.
- 챌린지 암호가 초기 등록에만 사용되는 경우 챌린지 암호를 구성합니다. 이 경우 설치된 인증서가 인증서 갱신에 사용됩니다.
- 802.1X 인증 활성화 및 인증서 선택은 유선 네트워크의 전화기에만 사용됩니다.
- DHCP 옵션 60(공급업체 클래스 식별자)은 장치 모델을 식별하는 데 사용됩니다.
DHCP 옵션 43(하위 옵션 10–15)의 예:
서브옵션 10진수/16진수 값 길이(바이트) 십진수/16진수 값 16진수 값 10/0a 1/01 1(0: 사용 안 함, 1: 사용) 01 11/0b 18/12 http://10.79.57.91 687474703a2f2f31302e37392e35372e3931 12/0c 20/14 12040870625C5B755D73F5925285F8F5FF5D55AF 12040870625C5B755D73F5925285F8F5FF5D55AF 13/0d 16/10 D233CCF9B9952A15 44323333434346394239393532413135 14/0e 1/01 1(0: 아니요, 1: 예) 01 15/0f 1/01 1(0: 제조 설치됨, 1: 사용자 지정 설치됨) 01 매개 변수 값 요약:
-
FIPS 모드 =
활성화됨 -
서버 =
http://10.79.57.91 -
루트 CA 지문 =
12040870625C5B755D73F5925285F8F5FF5D55AF -
챌린지 암호 =
D233CCF9B9952A15 -
802.1X 인증 활성화 =
예 -
인증서 선택 =
사용자 지정 설치됨
최종 16진수 값의 구문은 다음과 같습니다.
{<suboption><length><value>}...위의 매개변수 값에 따라 최종 16진수 값은 다음과 같습니다.
0a01010b12687474703a2f2f31302e37392e35372e39310c1412040870625C5B755D73F5925285F8F5FF5D55AF0d10443233334343463942393935324131350e01010f0101 - DHCP 서버에서 DHCP 옵션 43을 구성합니다.
이 단계에서는 Cisco 네트워크 레지스터의 DHCP 옵션 43 구성 예를 제공합니다.
- DHCP 옵션 정의 세트를 추가합니다.
공급업체 옵션 문자열은 IP 전화기의 모델 이름입니다. 유효한 값은 DP-9841, DP-9851, DP-9861, DP-9871 또는 CP-8875입니다.
- DHCP 옵션 43 및 하위 옵션을 DHCP 옵션 정의 세트에 추가합니다.
예:
- DHCP 정책에 옵션 43을 추가하고 값을 다음과 같이 설정합니다.
예:
(10 1)(11 http://10.79.57.91)(12 12040870625C5B755D73F5925285F8F5FF5D55AF)(13 D233CCF9B9952A15)(14 1)(15 1) - 설정을 확인합니다. Wireshark를 사용하여 전화기와 서비스 간의 네트워크 트래픽 추적을 캡처할 수 있습니다.
- DHCP 옵션 정의 세트를 추가합니다.
- 전화기를 초기 재설정합니다.
전화기가 재설정되면 매개변수 서버, 루트 CA 지문 및 챌린지 암호가 자동으로 채워집니다. 이러한 매개 변수는 전화기 관리 웹 페이지의 Certificate>Custom 에서 SCEP 구성 1
설치된 인증서의 세부 정보를 확인하려면 [기존 인증서 ] 섹션에서 [보기 ]를 클릭합니다 .
인증서 설치 상태를 확인하려면 인증서 . Download Status 1(다운로드 상태 1 )은 최신 결과를 나타냅니다. 인증서를 등록하는 동안 문제가 발생하는 경우 다운로드 상태에 문제 해결을 위한 원인이 표시될 수 있습니다.
챌린지 암호 인증에 실패하면 전화기 화면에 암호를 입력하라는 메시지가 표시됩니다.
- (선택 사항): 전화기에서 설치된 인증서를 제거하려면 기존 인증서 섹션에서 삭제 를 클릭합니다 .
버튼을 클릭하면 확인 없이 제거 작업이 즉시 시작됩니다.
DHCP 옵션 15를 통한 일반 이름 또는 사용자 ID 제공
DHCP 옵션 43을 통해 SCEP 인증서를 등록하는 동안 전화기는 DHCP 옵션 15(구성된 경우)에 제공된 도메인 이름도 가져올 수 있습니다. 전화기는 도메인 이름을 수신한 후 다음과 같이 표현되는 도메인 이름으로 공통 이름 또는 사용자 ID를 구성할 수 있습니다.
- 일반 이름 = <MIC/SUDI >의 일반 이름입니다.<옵션 15의 도메인 이름>
일반 이름은 SCEP 프로세스에서 CSR에 사용되며 나중에 CDC에서 일반 이름이 됩니다.
- 사용자 ID = <MIC/SUDI의 일반 이름 >@<옵션 15의 도메인 이름>
사용자 ID 는 유선 802.1X 인증을 위한 ID로 사용됩니다.
예를 들어, 전화기의 MAC 주소는 00:1A:2B:3C:4D:5E이고 전화기 모델은 9871입니다.
| DHCP 옵션 15의 도메인 이름 | 공통 이름 | 사용자 ID |
|---|---|---|
| example.nl | CP-9871-SEP001A2B3C4D5E.example.nl | CP-9871-SEP001A2B3C4D5E@example.nl |
| 비어 있음 | CP-9871-SEP001A2B3C4D5E |
CP-9871-SEP001A2B3C4D5E |
도메인 이름이 옵션 15에 구성되지 않은 경우 일반 이름 및 사용자 ID는 MIC/SUDI의 일반 이름과 동일합니다.
