Aangepast apparaatcertificaat handmatig installeren

U kunt een aangepast apparaatcertificaat (CDC) handmatig op de telefoon installeren door het certificaat te uploaden via de beheerwebpagina van de telefoon.

Voordat u begint

Voordat u een aangepast apparaatcertificaat voor een telefoon kunt installeren, moet u het volgende hebben:

  • Een certificaatbestand (.p12 of .pfx) opgeslagen op uw pc. Het bestand bevat het certificaat en de privésleutel.
  • Het wachtwoord voor het certificaat extraheren. Het wachtwoord wordt gebruikt om het certificaatbestand te decoderen.
1

Open de beheerwebpagina van de telefoon.

2

Selecteer Certificaat.

3

Klik in het gedeelte Certificaat toevoegen op Bladeren....

4

Blader naar het certificaat op uw pc.

5

Voer in het veld Wachtwoord extraheren het certificaatwachtwoord in.

6

Klik op Uploaden.

Als het certificaatbestand en het wachtwoord juist zijn, ontvangt u het bericht 'Certificaat toegevoegd'. Anders mislukt het uploaden met een foutbericht dat aangeeft dat het certificaat niet kan worden geüpload.
7

Als u de gegevens van het geïnstalleerde certificaat wilt controleren, klikt u op Weergeven in het gedeelte Bestaande certificaten.

8

Als u het geïnstalleerde certificaat van de telefoon wilt verwijderen, klikt u op Verwijderen in het gedeelte Bestaande certificaten.

Zodra u op de knop klikt, begint de verwijderbewerking onmiddellijk zonder bevestiging.

Als het certificaat is verwijderd, ontvangt u het bericht 'Certificaat verwijderd'.

Aangepast apparaatcertificaat automatisch installeren door SCEP

U kunt de SCEP-parameters (Simple Certificate Enrollment Protocol) instellen om de CDC (Custom Device Certificate) automatisch te installeren, als u het certificaatbestand niet handmatig wilt uploaden of als u het certificaatbestand niet hebt.

Als de SCEP-parameters juist zijn geconfigureerd, verzendt de telefoon aanvragen naar de SCEP-server en wordt het CA-certificaat gevalideerd door het apparaat met de gedefinieerde vingerafdruk.

Voordat u begint

Voordat u een automatische installatie van een aangepast apparaatcertificaat voor een telefoon kunt uitvoeren, moet u het volgende hebben:

  • SCEP-serveradres
  • SHA-1 of SHA-256 vingerafdruk van het CA-basiscertificaat voor de SCEP-server
1

Open de beheerwebpagina van de telefoon.

2

Selecteer Certificaat.

3

Stel in het gedeelte SCEP-configuratie 1 de parameters in zoals wordt beschreven in de volgende tabel Parameters voor SCEP-configuratie.

4

Klik op Alle wijzigingen verzenden.

Parameters voor SCEP-configuratie

De volgende tabel definieert de functie en het gebruik van SCEP-configuratieparameters in de sectie SCEP-configuratie 1 op het tabblad Certificaat in de webinterface van de telefoon. Hij definieert ook de syntaxis van de tekenreeks die aan het telefoonconfiguratiebestand (cfg.xml) is toegevoegd om een parameter te configureren.

Tabel 1. Parameters voor SCEP-configuratie
ParametersBeschrijving
Server

SCEP-serveradres. Deze parameter is verplicht.

Voer een van de volgende handelingen uit:

  • Voer in het telefoonconfiguratiebestand met XML(cfg.xml) een tekenreeks in deze notatie in:

    <CDC_Server_1_ ua="na">http://10.79.57.91</CDC_Server_1_>

  • Voer op de webpagina telefoon het SCEP-server adres in.

Geldige waarden: Een URL of IP-adres. Het HTTPS-schema wordt niet ondersteund.

Standaard Leeg

Vingerafdruk hoofd-CA

SHA256- of SHA1-vingerafdruk van de hoofd-CA voor validatie tijdens het SCEP-proces. Deze parameter is verplicht.

Voer een van de volgende handelingen uit:

  • Voer in het telefoonconfiguratiebestand met XML(cfg.xml) een tekenreeks in deze notatie in:

    <CDC_Root_CA_Fingerprint_1_ ua="na">12040870625C5B755D73F5925<UNK> F8F5FF5D55AF</CDC_Root_CA_Fingerprint_1_>

  • Voer op de webpagina telefoon een geldige vingerafdruk in.

Standaard Leeg

Wachtwoord wijzigen

Het wachtwoord voor de certificaatautoriteit (CA) tegen de telefoon tijdens het inschrijven van een certificaat via SCEP. Deze parameter is optioneel.

Afhankelijk van de werkelijke SCEP-omgeving varieert het gedrag van het uitdagend wachtwoord.

  • Als de telefoon een certificaat krijgt van een Cisco RA die communiceert met CA, wordt het wachtwoord van de uitdaging niet ondersteund op de CA. In dit geval gebruikt Cisco RA de MIC/SUDI van de telefoon voor verificatie van toegang tot CA. De telefoon gebruikt MIC/SUDI voor zowel de eerste inschrijving als de certificaatverlenging.
  • Als de telefoon een certificaat ontvangt door rechtstreeks met CA te communiceren, wordt het wachtwoord van de uitdaging ondersteund op de CA. Indien geconfigureerd, wordt deze alleen gebruikt voor de eerste inschrijving. Voor de certificaatverlenging wordt in plaats daarvan het geïnstalleerde certificaat gebruikt.

Voer een van de volgende handelingen uit:

  • Voer in het telefoonconfiguratiebestand met XML(cfg.xml) een tekenreeks in deze notatie in:

    <CDC_Challenge_Password_1_ ua="na"></CDC_Challenge_Password_1_>

    Het wachtwoord wordt gemaskeerd in het configuratiebestand.

  • Voer op de webpagina van de telefoon het wachtwoord voor de uitdaging in.

Standaard Leeg

Configuratie van SCEP-parameters via DHCP-optie 43

Naast de inschrijving van het SCEP-certificaat door de handmatige configuraties op de webpagina van de telefoon, kunt u ook de DHCP-optie 43 gebruiken om de parameters van een DHCP-server in te vullen. De DHCP-optie 43 is vooraf geconfigureerd met de SCEP-parameters. Later kan de telefoon de parameters van de DHCP-server ophalen om de inschrijving van het SCEP-certificaat uit te voeren.

  • De configuratie van de SCEP-parameters via DHCP-optie 43 is alleen beschikbaar voor de telefoon waarop de fabrieksinstellingen worden teruggezet.
  • Telefoons mogen niet worden geplaatst in het netwerk dat zowel optie 43 als externe inrichting ondersteunt (bijvoorbeeld opties 66,160,159,150 of cloudinrichting). Anders krijgen telefoons mogelijk niet de configuraties van Optie 43.

Ga als volgt te werk om een SCEP-certificaat in te schrijven door de SCEP-parameters in DHCP-optie 43 te configureren:

  1. Bereid een SCEP-omgeving voor.

    Raadpleeg de documentatie van uw SCEP-server voor informatie over het instellen van de SCEP-omgeving.

  2. Stel DHCP-optie 43 in (gedefinieerd in 8.4 Leveranciersspecifieke informatie, RFC 2132).

    Subopties (10-15) zijn gereserveerd voor de methode:

    Parameter op webpagina telefoonSuboptieTypeLengte (byte)Verplicht
    FIPS-modus10Booleaanse1Nee*
    Server11tekenreeks208 - lengte (wachtwoord voor uitdaging)Ja
    Vingerafdruk hoofd-CA12binair20 of 32Ja
    Wachtwoord wijzigen13tekenreeks208 - lengte (Server)Nee*
    802.1X-verificatie inschakelen14Booleaanse1Nee
    Certificaat selecteren158-bits niet-ondertekend1Nee

    Wanneer u de DHCP-optie 43 gebruikt, moet u de volgende kenmerken van de methode opmerken:

    • Subopties (10-15) zijn gereserveerd voor het CDC-certificaat (Custom Device Certificate).
    • De maximale lengte van DHCP-optie 43 is 255 bytes.
    • De maximale lengte van Server + Uitdagend wachtwoord moet kleiner zijn dan 208 bytes.
    • De waarde van de FIPS-modus moet overeenkomen met de inrichtingsconfiguratie voor onboarding. Anders kan de telefoon het eerder geïnstalleerde certificaat niet ophalen na het onboarden. Meer bepaald:
      • Als de telefoon wordt geregistreerd in een omgeving waar de FIPS-modus is uitgeschakeld, hoeft u de parameter FIPS-modus niet te configureren in DHCP-optie 43. De FIPS-modus is standaard uitgeschakeld.
      • Als de telefoon wordt geregistreerd in een omgeving waar de FIPS-modus is ingeschakeld, moet u de FIPS-modus inschakelen in DHCP-optie 43. Zie FIPS-modus inschakelen voor meer informatie.
    • Het wachtwoord in optie 43 staat in de cleartext.

      Als het wachtwoord voor de uitdaging leeg is, gebruikt de telefoon MIC/SUDI voor de eerste inschrijving en de verlenging van het certificaat. Als het wachtwoord voor de identiteitsvraag is geconfigureerd, wordt het alleen gebruikt voor de eerste inschrijving en wordt het geïnstalleerde certificaat gebruikt voor de certificaatverlenging.

    • 802.1X-verificatie inschakelen en Certificaat selecteren worden alleen gebruikt voor de telefoons in het bekabelde netwerk.
    • DHCP-optie 60 (Vendor Class Identifier) wordt gebruikt om het apparaatmodel te identificeren.

    In de volgende tabel ziet u een voorbeeld van DHCP-optie 43 (subopties 10-15):

    Suboptie decimaal/hexadecimale waardeWaarde lengte (byte) decimaal/hexadecimale waardeWaardeHexwaarde
    10/0a01-011 (0: Uitgeschakeld; 1: Ingeschakeld)01
    11-0b18/12http://10.79.57.91687474703a2f2f31302e37392e35372e3931
    12-0c20/1412040870625 c5b755d73f5925 f8f5ff5d55af12040870625 c5b755d73f5925 f8f5ff5d55af
    13/0 d16/10d ccf9b9952a1544323333434346394239393532413135
    14/0e01-011 (0: Nee; 1: Ja*01
    15/0f01-011 (0: Productie geïnstalleerd; 1: Aangepast geïnstalleerd) 01

    Samenvatting van de parameterwaarden:

    • FIPS-modus = ingeschakeld

    • Server = http://10.79.57.91

    • Vingerafdruk hoofd-CA = 12040870625 C5B755D73F5925<UNK> F8F5FF5D55AF

    • Wachtwoord uitdaging = D <UNK> CCF9B9952A15

    • 802.1X-verificatie inschakelen = Ja

    • Certificaatselectie = Aangepast geïnstalleerd

    De syntaxis van de uiteindelijke hexwaarde is: {<suboption><length><value>}...

    Volgens de bovenstaande parameterwaarden is de uiteindelijke hexwaarde als volgt:

    0a01010b12687474703a2f2f31302e37392e35372e39310c1412040870625 C5B755D73F5925<UNK> F8F5FF5D55AF0d10443233334343463942393935324131350e01010f0101

  3. Configureer DHCP-optie 43 op een DHCP-server.

    Deze stap bevat een voorbeeld van de DHCP-optie 43-configuraties in het Cisco-netwerkregister.

    1. Voeg een DHCP-optiedefinitieset toe.

      De Optietekenreeks leverancier is de modelnaam van de IP-telefoons. De geldige waarde is: DP-9841, DP-9851, DP-9861, DP-9871 of CP-8875.

    2. Voeg de DHCP-optie 43 en subopties toe aan de DHCP-optiedefinitieset.

      Voorbeeld:

      Schermafbeelding van definities van DHCP-optie 43 in Cisco-netwerkregister

    3. Voeg opties 43 toe aan het DHCP-beleid en stel de waarde als volgt in:

      Voorbeeld:

      (10 1)(11 http://10.79.57.91)(12 12040870625 C5B755D73F5925<UNK> F8F5FF5D55AF)(13 D <UNK> CCF9B9952A15)(14 1)(15 1)

    4. Verifieer uw instellingen U kunt Wireshark gebruiken om een tracering vast te leggen van het netwerkverkeer tussen de telefoon en de service.
  4. Herstel de fabrieksinstellingen van de telefoon.

    Nadat de telefoon is gereset, worden de parameters Server, Root CA Fingerprint en Challenge Password automatisch ingevuld. Deze parameters bevinden zich in de sectie SCEP-configuratie 1 van Certificaat > Aangepast op de beheerwebpagina van de telefoon.

    Als u de gegevens van het geïnstalleerde certificaat wilt controleren, klikt u op Weergeven in het gedeelte Bestaande certificaten.

    Selecteer Certificaat > Aangepaste certificaatstatus om de installatiestatus van het certificaat te controleren. In Downloadstatus 1 wordt het nieuwste resultaat weergegeven. Als er problemen optreden tijdens het inschrijven van het certificaat, kan de downloadstatus de reden voor het oplossen van problemen weergeven.

    Als de uitdaging voor wachtwoordverificatie mislukt, worden gebruikers gevraagd het wachtwoord op het telefoonscherm in te voeren.
  5. (Optioneel): Als u het geïnstalleerde certificaat van de telefoon wilt verwijderen, klikt u op Verwijderen in het gedeelte Bestaande certificaten.
    Zodra u op de knop klikt, begint de verwijderbewerking onmiddellijk zonder bevestiging.

Certificaatvernieuwing door SCEP

Het apparaatcertificaat kan automatisch worden vernieuwd door het SCEP-proces.

  • De telefoon controleert of het certificaat elke 4 uur over 15 dagen verloopt. Als dat het geval is, start de telefoon het certificaatverlengingsproces automatisch.
  • Als het wachtwoord voor de uitdaging leeg is, gebruikt de telefoon MIC/SUDI voor zowel de eerste inschrijving als de verlenging van het certificaat. Als het wachtwoord voor de identiteitsvraag is geconfigureerd, wordt het alleen gebruikt voor de eerste inschrijving, wordt het bestaande/geïnstalleerde certificaat gebruikt voor de verlenging van het certificaat.
  • De telefoon verwijdert het oude apparaatcertificaat pas totdat het nieuwe is opgehaald.
  • Als certificaatverlenging mislukt omdat het apparaatcertificaat of de CA is verlopen, wordt de eerste inschrijving automatisch door de telefoon geactiveerd. Als in de tussentijd de wachtwoordverificatie mislukt, verschijnt een scherm voor het invoeren van een wachtwoord op het telefoonscherm en worden gebruikers gevraagd het wachtwoord voor de identiteitsvraag op de telefoon in te voeren.

FIPS-modus inschakelen

U kunt ervoor zorgen dat een telefoon voldoet aan de Federal Information Processing Standards (FIPS).

FIPS zijn een reeks normen die documentverwerking, encryptie-algoritmen en andere IT-normen beschrijven voor gebruik binnen niet-militaire overheid en door overheidsaannemers en -leveranciers die met de instanties werken. CiscoSSL FOM (FIPS Object Module) is een zorgvuldig gedefinieerde softwarecomponent en is ontworpen voor compatibiliteit met de CiscoSSL-bibliotheek. Producten die gebruikmaken van de CiscoSSL-bibliotheek en de API kunnen dus met minimale inspanning worden geconverteerd voor gebruik van door FIPS 140-2 gevalideerde cryptografie.

1

Open de beheerwebpagina van de telefoon.

2

Selecteer Spraak > Systeem.

3

Kies in het gedeelte BeveiligingsinstellingenJa of Nee in de parameter FIPS-modus.

4

Klik op Alle wijzigingen verzenden.

Wanneer u FIPS inschakelt, werken de volgende functies naadloos op de telefoon:
  • Verificatie afbeelding
  • Veilige opslag
  • Codering van configuratiebestand
  • tls:
    • HTTP's
    • PRT uploaden
    • Firmware-upgrade
    • Profiel hersynchroniseren
    • Service integreren
    • Webex-integratie
    • SRTP via TLS
    • 802.1x (bekabeld)
  • SIP-digest (RFC 8760)
  • srtp
  • Webex-gesprekslogboeken en Webex-telefoonlijst
  • Eén druk op de knop (OBTP, One Button to Push)

Een beveiligingscertificaat handmatig verwijderen

U kunt een beveiligingscertificaat handmatig verwijderen van de telefoon als Simple Certificate Enrollment Protocol (SCEP) niet beschikbaar is.

1

Selecteer Certificaten op de beheerwebpagina van de telefoon.

2

Zoek het certificaat op de pagina Certificaten.

3

Klik op Verwijderen.

4

Start de telefoon opnieuw nadat het verwijderingsproces is voltooid.

Het wachtwoord voor de gebruiker en de beheerder instellen

Nadat de telefoon voor de eerste keer is geregistreerd bij een gespreksbeheersysteem of u een fabrieksreset op de telefoon uitvoert, moet u het gebruikers- en beheerderswachtwoord instellen om de beveiliging van de telefoon te verbeteren. Alleen wanneer het wachtwoord is ingesteld, kunt u de wijzigingen verzenden via de webpagina van de telefoon.

Standaard is de waarschuwing geen wachtwoord ingeschakeld op de telefoon. Wanneer de telefoon geen gebruikers- of beheerderswachtwoord heeft, worden de volgende waarschuwingen weergegeven:

  • Op de webpagina van de telefoon wordt 'Geen beheerderswachtwoord opgegeven. Het web is in alleen-lezenmodus en u kunt geen wijzigingen verzenden. Wijzig het wachtwoord.' in de linkerbovenhoek.

    In de velden Gebruikerswachtwoord en Beheerderswachtwoord wordt de waarschuwing 'Geen wachtwoord opgegeven' weergegeven als deze leeg zijn.

  • Op het telefoonscherm Problemen en diagnostiek wordt het probleem 'Er is geen wachtwoord verstrekt' weergegeven.
1

De beheerwebpagina van de telefoon openen

2

Selecteer Spraak > Systeem.

3

(Optioneel) Stel in het gedeelte Systeemconfiguratie de parameter Wachtwoordwaarschuwingen weergeven in op Ja en klik vervolgens op Alle wijzigingen verzenden.

U kunt de parameters ook inschakelen in het configuratiebestand van de telefoon (cfg.xml).

<Display_Password_Warnings ua="na">Ja</Display_Password_Warnings>

Standaard Ja

Opties: Ja|Nee

Wanneer de parameter is ingesteld op Nee, wordt de wachtwoordwaarschuwing niet weergegeven op de webpagina of op het telefoonscherm. Ook zal de alleen-lezenmodus voor de pagina-web niet worden geactiveerd, zelfs als het wachtwoord leeg is.

4

Zoek de parameter Gebruikerswachtwoord of Beheerderswachtwoord en klik op Wachtwoord wijzigen naast de parameter.

5

Voer het huidige wachtwoord van de gebruiker in het veld Oud wachtwoord in.

Houd het veld leeg als u geen wachtwoord hebt. De standaardwaarde is 1 GB.
6

Voer een nieuw wachtwoord in het veld Wachtwoord in.

7

Klik op Verzenden.

Het bericht Wachtwoord is gewijzigd wordt weergegeven op de webpagina. De webpagina wordt over enkele seconden vernieuwd. De waarschuwing naast de parameter verdwijnt.

Nadat u het gebruikerswachtwoord hebt ingesteld, geeft deze parameter het volgende weer in het XML-bestand met de telefoonconfiguratie (cfg.xml):

<!-- <Admin_Password ua="na">lt;/Admin_Password> <User_Password ua="rw">;*************</User_Password> -->

Als u de foutcode 403 ontvangt wanneer u probeert toegang te krijgen tot de webpagina van de telefoon, moet u het gebruikers- of beheerderswachtwoord instellen door inrichting in het telefoonconfiguratiebestand (cfg. XML). Voer bijvoorbeeld een tekenreeks in de volgende notatie in:

<Admin_Password ua="na">p0ssw0rd_tes89</Admin_Password>

<user_Password ua="rw">Abc123</User_Password>

802.1X-verificatie

Cisco IP-telefoons ondersteunen 802.1X-verificatie.

Cisco IP-telefoons en Cisco Catalyst-switches gebruiken traditioneel Cisco Discovery Protocol (CDP) om elkaar te identificeren en parameters te bepalen zoals VLAN-toewijzing en inline voedingsvereisten. CDP identificeert geen lokaal aangesloten werkstations. Cisco IP-telefoons bieden een EAPOL-doorgeefmechanisme. Met dit mechanisme kan een werkstation dat is gekoppeld aan de Cisco IP-telefoon EAPOL-berichten doorgeven aan de 802.1X-authenticator op de LAN-switch. Het doorgeefmechanisme zorgt ervoor dat de IP-telefoon niet fungeert als de LAN-switch voor het verifiëren van een gegevenseindpunt voor toegang tot het netwerk.

Cisco IP-telefoons bieden ook een proxy EAPOL-uitlogmechanisme. Als de lokaal aangesloten pc de verbinding met de IP-telefoon verbreekt, ziet de LAN-switch niet dat de fysieke koppeling mislukt, omdat de koppeling tussen de LAN-switch en de IP-telefoon in stand blijft. Om te voorkomen dat de netwerkintegriteit in gevaar komt, verzendt de IP-telefoon een EAPOL-afmeldbericht naar de switch uit naam van de downstream-pc, waardoor de LAN-switch wordt geactiveerd om de verificatievermelding voor de downstream-pc te wissen.

Voor ondersteuning voor 802.1X-verificatie zijn verschillende componenten vereist:

  • Cisco IP-telefoon De telefoon initieert het verzoek voor toegang tot het netwerk. Cisco IP-telefoons bevatten een 802.1X-supplicant. Met deze supplicant kunnen netwerkbeheerders de verbinding regelen van IP-telefoons met de LAN-switchpoorten. De huidige versie van de 802.1X-supplicant voor de telefoon gebruikt de opties EAP-FAST en EAP-TLS voor netwerkverificatie.

  • verificatieservice De verificatieserver en de switch moeten beide worden geconfigureerd met een gedeeld geheim waarmee de telefoon wordt geverifieerd.

  • Schakelen: De switch moet 802.1X ondersteunen, zodat deze kan optreden als authenticator en de berichten tussen de telefoon en de verificatieserver kan doorgeven. Nadat de uitwisseling is voltooid, verleent of weigert de switch toegang tot het netwerk van de telefoon.

U moet de volgende acties uitvoeren om 802.1X te configureren.

  • Configureer de andere componenten voordat u 802.1X-verificatie op de telefoon inschakelt.

  • Pc-poort configureren: De 802.1X-standaard houdt geen rekening met VLAN's en beveelt aan om slechts één apparaat te verifiëren voor een specifieke switchpoort. Sommige switches ondersteunen echter verificatie voor meerdere domeinen. De switchconfiguratie bepaalt of u een pc kunt aansluiten op de pc-poort van de telefoon.

    • Ingeschakeld: Als u een switch gebruikt die multidomeinverificatie ondersteunt, kunt u de pc-poort inschakelen en een pc aansluiten. In dat geval ondersteunen Cisco IP-telefoons de proxy-EAPOL-uitlogfunctie om de verificatie-uitwisseling tussen de switch en de aangesloten pc te controleren.

      Voor meer informatie over IEEE 802.1X-ondersteuning op de Cisco Catalyst-switches raadpleegt u de handleidingen voor Cisco Catalyst-switchconfiguratie op:

      http://www.cisco.com/nl/US/products/hw/switches/ps708/tsd_products_support_series_home.html

    • uitgeschakeld Als de switch niet meerdere 802.1X-compatibele apparaten ondersteunt op dezelfde poort, moet u de pc-poort uitschakelen wanneer 802.1X-verificatie wordt ingeschakeld. Als u deze poort niet uitschakelt en er vervolgens een pc op aansluit, weigert de switch netwerktoegang voor zowel de telefoon als de pc.

  • Spraak-VLAN configureren: Omdat de 802.1X-standaard geen rekening houdt met VLAN's, moet u deze instelling configureren op basis van de switchondersteuning.
    • Ingeschakeld: Als u een switch gebruikt die multidomeinverificatie ondersteunt, kunt u deze blijven gebruiken om het spraak-VLAN te gebruiken.
    • uitgeschakeld Als de switch geen multidomeinverificatie ondersteunt, schakelt u het spraak-VLAN uit en probeert u de poort toe te wijzen aan het systeemeigen VLAN.
  • (Alleen voor Cisco Desk Phone 9800-serie)

    De Cisco bureautelefoon 9800-serie heeft een ander voorvoegsel in de PID dan dat voor de andere Cisco-telefoons. Als u wilt inschakelen dat uw telefoon 802.1X-verificatie doorgeeft, stelt u de parameter Radius·User-Name in om uw Cisco Desk Phone 9800-serie op te nemen.

    De PID van telefoon 9841 is bijvoorbeeld DP-9841. U kunt Radius·Gebruikersnaam instellen op Starten met DP of op Bevat DP. U kunt deze in beide volgende gedeelten instellen:

    • Beleid > Voorwaarden > Voorwaarden bibliotheek

    • Beleid > Beleidssets > Autorisatiebeleid > Autorisatieregel 1

802.1X-verificatie inschakelen

Wanneer 802.1X-verificatie is ingeschakeld, gebruikt de telefoon 802.1X-verificatie om toegang tot het netwerk aan te vragen. Wanneer 802.1X-verificatie is uitgeschakeld, gebruikt de telefoon Cisco Discovery Protocol (CDP) om VLAN- en netwerktoegang te verkrijgen. U kunt ook de transactiestatus weergeven en wijzigen in het menu op het telefoonscherm.

Wanneer 802.1X-verificatie is ingeschakeld, kunt u ook het apparaatcertificaat (MIC/SUDI of aangepast) selecteren voor de eerste inschrijving en het certificaat vernieuwen. Normaal gesproken is MIC voor Cisco Video Phone 8875 en SUDI voor Cisco Desk Phone 9800-serie. CDC kan alleen worden gebruikt voor verificatie in 802.1x.

1

Voer een van de volgende handelingen uit om 802.1X-verificatie in te schakelen:

  • Selecteer in de telefoonwebinterface Spraak > Systeem en stel de parameter 802.1X-verificatie inschakelen in op Ja. Klik vervolgens op Alle wijzigingen verzenden.
  • Voer in het configuratiebestand (cfg.xml) een tekenreeks in deze notatie in:

    <Enable_802.1X_Authentication ua="rw">Ja</Enable_802.1X_Authentication>

    Geldige waarden: Ja|Nee

    Standaard Nee

  • Druk op de telefoon op Instellingen the Settings hard key en ga naar Netwerk en service > Beveiligingsinstellingen > 802.1X-verificatie. Schakel het veld Apparaatverificatie in op Aan en selecteer vervolgens Toepassen.
Tabel 2. Parameters voor 802.1X-verificatie op het telefoonscherm

Parameters

Opties

Standaard

Beschrijving

Apparaatverificatie

Aan

Uit

Uit

Schakel 802.1X-verificatie op de telefoon in of uit.

Transactiestatus

uitgeschakeld

Geeft de status van 802.1X-verificatie weer. De staat kan zijn (niet beperkt tot):

  • Verificatie Geeft aan dat het verificatieproces wordt uitgevoerd.
  • Geverifieerd Geeft aan dat de telefoon is geverifieerd.
  • uitgeschakeld Geeft aan dat 802.1X-verificatie is uitgeschakeld op de telefoon.

Protocol

Geen

Geeft de EAP-methode weer die wordt gebruikt voor 802.1X-verificatie. Het protocol kan EAP-FAST of EAP-TLS zijn.

Type gebruikerscertificaat

Productie geïnstalleerd

Aangepast geïnstalleerd

Productie geïnstalleerd

Kies het certificaat voor de 802.1X-verificatie tijdens de eerste inschrijving en het certificaat vernieuwen.

  • Productie geïnstalleerd: het Manufacturing Installed Certificate (MIC) en Secure Unique Device Identifier (SUDI) worden gebruikt.
  • Aangepast geïnstalleerd: het aangepaste apparaatcertificaat (CDC) wordt gebruikt. Dit type certificaat kan worden geïnstalleerd door handmatig te uploaden op de webpagina van de telefoon of door installatie via een SCEP-server (Simple Certificate Enrollment Protocol).

Deze parameter wordt alleen weergegeven op de telefoon wanneer Apparaatverificatie is ingeschakeld.

2

Selecteer een certificaat (MIC of aangepast) voor de 802.1X-verificatie op de webpagina van de telefoon.

  • Voor bekabeld netwerk selecteert u Spraak > Systeem en kiest u een certificaattype in de vervolgkeuzelijst Certificaat selecteren in het gedeelte 802.1X-verificatie.

    U kunt deze parameter ook configureren in het configuratiebestand (cfg.xml):

    <certificate_Select ua="rw">Aangepast geïnstalleerd</Certificate_Select>

    Geldige waarden: Productie geïnstalleerd|Op maat geïnstalleerd

    Standaard Productie geïnstalleerd

  • Voor draadloos netwerk selecteert u Spraak > Systeem en kiest u een certificaattype in de vervolgkeuzelijst Certificaat selecteren in het gedeelte Wi-Fi-profiel 1.

    U kunt deze parameter ook configureren in het configuratiebestand (cfg.xml):

    <Wi-Fi_Certificate_Select_1_ ua="rw">Aangepast geïnstalleerd</Wi-Fi_Certificate_Select_1_>

    Geldige waarden: Productie geïnstalleerd|Op maat geïnstalleerd

    Standaard Productie geïnstalleerd

Zie Uw telefoon verbinden met een Wi-Fi-netwerk voor informatie over het selecteren van een certificaattype op het telefoonscherm.

Door de client Geïnitieerde modus inschakelen voor beveiligingsonderhandelingen over mediaplane

Als u mediasessies wilt beveiligen, kunt u de telefoon zo configureren dat de beveiligingsonderhandelingen voor het mediaplane worden geïnitieerd met de server. Het beveiligingsmechanisme voldoet aan de normen die zijn vermeld in RFC 3329 en het bijbehorende uitbreidingsconcept Namen van beveiligingsmechanismen voor media (zie https://tools.ietf.org/html/draft-dawes-sipcore-mediasec-parameter-08#ref-2). Voor het transport van onderhandelingen tussen de telefoon en de server kan het SIP-protocol via UDP, TCP en TLS worden gebruikt. U kunt beperken dat de beveiligingsonderhandeling van het mediaplane alleen wordt toegepast wanneer het signalerings transport protocol TLS is.

1

Open de beheerwebpagina van de telefoon.

2

Selecteer Spraak > Ext (n).

3

Stel in het gedeelte SIP-instellingen de velden MediaSec-verzoek en Alleen MediaSec via TLS in zoals is gedefinieerd in de volgende tabel:

Tabel 2. Parameters voor beveiligingsonderhandeling in mediaplane
ParametersBeschrijving

MediaSec-verzoek

Geeft aan of de telefoon beveiligingsonderhandelingen voor mediaplane initieert met de server.

Voer een van de volgende handelingen uit:

  • Voer in het telefoonconfiguratiebestand met XML(cfg.xml) een tekenreeks in deze notatie in:

    <MediaSec_Request_1_ ua="na">Ja</MediaSec_Request_1_>
  • Stel dit veld in de telefoonwebinterface in op Ja of Nee.

Toegestane waarden: Ja|Nee

  • Ja: door de client geïnitieerde modus. De telefoon initieert beveiligings onderhandelingen voor media vlieg tuigen.
  • Nee: door de server geïnitieerde modus. De server initieert beveiligings onderhandelingen voor media vlieg tuigen. De telefoon start geen onderhandelingen, maar kan onderhandelingsverzoeken van de server afhandelen om veilige gesprekken tot stand te brengen.

Standaard Nee

Alleen MediaSec via TLS

Geeft het signaleringstransportprotocol aan waarop de beveiligingsonderhandeling voor mediaplane wordt toegepast.

Voordat u dit veld instelt op Ja, moet u controleren of het signalerings transport protocol TLS is.

Voer een van de volgende handelingen uit:

  • Voer in het telefoonconfiguratiebestand met XML(cfg.xml) een tekenreeks in deze notatie in:

    <MediaSec_Over_TLS_Only_1_ ua="na">Nee</MediaSec_Over_TLS_Only_1_>

  • Stel dit veld in de telefoonwebinterface in op Ja of Nee.

Toegestane waarden: Ja|Nee

  • Ja: de telefoon initieert of afhandelt alleen beveiligings onderhandelingen als het signalerings transport protocol TLS is.
  • Nee: de telefoon initieert en verwerkt beveiligings onderhandelingen voor media vlieg tuigen, ongeacht het signalerings transport protocol.

Standaard Nee

4

Klik op Alle wijzigingen verzenden.

WLAN-beveiliging

Omdat alle WLAN-apparaten die binnen het bereik zijn al het andere WLAN-verkeer kunnen ontvangen, is beveiligde spraakcommunicatie van cruciaal belang in WLAN's. Om ervoor te zorgen dat indringers het spraakverkeer niet manipuleren of onderscheppen, ondersteunt de Cisco SAFE Security-architectuur de telefoon. Zie http://www.cisco.com/en/US/netsol/ns744/networking_solutions_program_home.html voor meer informatie over beveiliging in netwerken.

De Cisco draadloze IP-telefonieoplossing biedt draadloze netwerkbeveiliging die ongeautoriseerde aanmeldingen en verstoorde communicatie voorkomt door de volgende verificatiemethoden te gebruiken die door de telefoon worden ondersteund:

  • Open verificatie: Elk draadloos apparaat kan verificatie aanvragen in een open systeem. Het toegangspunt dat het verzoek ontvangt, verleent verificatie aan een aanvrager of alleen aan aanvragers in een lijst met gebruikers. De communicatie tussen het draadloze apparaat en het toegangspunt (AP) kan niet-gecodeerd zijn.

  • Extensible Authentication Protocol-Flexible Authentication via Secure Tunneling (EAP-FAST): Deze client-server beveiligingsarchitectuur codeert EAP-transacties binnen een TLS-tunnel (Transport Level Security) tussen het AP en de RADIUS-server, zoals Identity Services Engine (ISE).

    De TLS-tunnel gebruikt PAC (Protected Access Credentials) voor verificatie tussen de client (telefoon) en de RADIUS-server. De server verzendt een Authority ID (AID) naar de client (telefoon), die op zijn beurt de juiste PAC selecteert. De client (telefoon) retourneert een PAC-Opaque naar de RADIUS-server. De server decodeert de PAC met de primaire sleutel. Beide eindpunten bevatten nu de PAC-sleutel en er wordt een TLS-tunnel gemaakt. EAP-FAST ondersteunt automatische PAC-inrichting, maar u moet dit inschakelen op de RADIUS-server.

    In ISE verloopt de PAC standaard over één week. Als de telefoon een verlopen PAC heeft, duurt verificatie met de RADIUS-server langer terwijl de telefoon een nieuwe PAC krijgt. Als u vertragingen in de PAC-levering wilt voorkomen, stelt u de PAC-vervalperiode in op 90 dagen of langer op de ISE- of RADIUS-server.

  • EAP-TLS-verificatie (Extensible Authentication Protocol-Transport Layer Security): EAP-TLS vereist een clientcertificaat voor verificatie en netwerktoegang. Voor draadloze EAP-TLS kan het clientcertificaat een MIC-, LSC- of door de gebruiker geïnstalleerd certificaat zijn.

  • Protected Extensible Authentication Protocol (PEAP): Cisco's eigen op wachtwoorden gebaseerde wederzijdse verificatieschema tussen de client (telefoon) en een RADIUS-server. De telefoon kan PEAP gebruiken voor verificatie met het draadloze netwerk. Zowel de PEAP-MSCHAPV2- als PEAP-GTC-verificatiemethoden worden ondersteund.

  • Vooraf gedeelde sleutel (PSK): De telefoon ondersteunt de ASCII-indeling. U moet deze indeling gebruiken wanneer u een vooraf gedeelde WPA/WPA2/SAE-sleutel instelt:

    ASCII: een reeks ASCII-tekens met een lengte van 8 tot 63 tekens (0-9, kleine letters en hoofdletters A-Z en speciale tekens)

    Voorbeeld: GREG123567@9ZX&W

De volgende verificatieschema's gebruiken de RADIUS-server om verificatiesleutels te beheren:

  • wpa/wpa2/wpa3: Gebruikt RADIUS-serverinformatie om unieke sleutels voor verificatie te genereren. Omdat deze sleutels op de centrale RADIUS-server zijn gegenereerd, biedt WPA2/WPA3 meer beveiliging dan vooraf gedeelde WPA-sleutels die zijn opgeslagen op het toegangspunt en de telefoon.

  • Snelle beveiligde roaming: Gebruikt de RADIUS-server en de gegevens van een draadloze domeinserver (WDS) voor het beheren en verifiëren van sleutels. De WDS maakt een cache met beveiligingsgegevens voor clientapparaten met FT-ondersteuning voor snelle en veilige verificatie. Cisco bureautelefoon 9861 en 9871 en Cisco videotelefoon 8875 ondersteunen 802.11r (FT). Zowel over the air als over de DS worden ondersteund voor snelle beveiligde roaming. Maar we raden u sterk aan de 802.11r (FT)-methode te gebruiken.

Met WPA/WPA2/WPA3 worden coderingssleutels niet ingevoerd op de telefoon, maar automatisch afgeleid tussen het toegangspunt en de telefoon. Maar de EAP-gebruikersnaam en het wachtwoord die worden gebruikt voor de verificatie, moeten op elke telefoon worden ingevoerd.

Om ervoor te zorgen dat spraakverkeer veilig is, ondersteunt de telefoon TKIP en AES voor codering. Als deze mechanismen voor codering worden gebruikt, worden zowel de SIP-signaleringspakketten als Real-Time Transport Protocol (RTP) spraakpakketten gecodeerd tussen het toegangspunt en de telefoon.

tkip

WPA maakt gebruik van TKIP-codering die verschillende verbeteringen heeft ten opzichte van WEP. TKIP biedt sleutelcodering per pakket en langere initialisatievectoren (IV's) die de codering versterken. Bovendien zorgt een MIC (Message Integrity Check) ervoor dat gecodeerde pakketten niet worden gewijzigd. TKIP verwijdert de voorspelbaarheid van WEP die indringers helpt de WEP-sleutel te ontcijferen.

aes

Een coderingsmethode die wordt gebruikt voor WPA2/WPA3-verificatie. Deze nationale standaard voor codering gebruikt een symmetrisch algoritme dat dezelfde sleutel voor codering en decodering heeft. AES gebruikt CBC-codering (Cipher Blocking Chain) van 128 bits groot, die minimaal de sleutelgrootten 128 bits, 192 bits en 256 bits ondersteunt. De telefoon ondersteunt een sleutelgrootte van 256 bits.

Cisco bureautelefoon 9861 en 9871 en Cisco Video Phone 8875 ondersteunen Cisco Key Integrity Protocol (CKIP) met CMIC niet.

Verificatie- en coderingschema's worden ingesteld binnen het draadloze LAN. VLAN's zijn geconfigureerd in het netwerk en op de toegangspunten en geven verschillende verificatie- en coderingscombinaties op. Een SSID wordt gekoppeld aan een VLAN en het specifieke verificatie- en coderingsschema. Voor een geslaagde verificatie van draadloze clientapparaten moet u dezelfde SSID's configureren met de verificatie- en coderingschema's op de toegangspunten en op de telefoon.

Sommige verificatieschema's vereisen specifieke coderingstypen.

  • Wanneer u vooraf gedeelde WPA-sleutel, vooraf gedeelde WPA2-sleutel of SAE gebruikt, moet de vooraf gedeelde sleutel statisch zijn ingesteld op de telefoon. Deze sleutels moeten overeenkomen met de sleutels op het toegangspunt.

  • De telefoon ondersteunt automatische EAP-onderhandeling voor FAST of PEAP, maar niet voor TLS. Voor de EAP-TLS-modus moet u deze opgeven.

De verificatie- en coderingschema's in de volgende tabel geven de netwerkconfiguratieopties weer voor de telefoon die overeenkomt met de toegangspuntconfiguratie.

Tabel 2. Verificatie- en coderingschema's
FSR-typeVerificatieSleutelbeheerCoderingBeschermd beheerframe (PMF)
802.11r (FT)PSK

wpa-psk

wpa-psk-sha256

ft-psk

aesNee
802.11r (FT)WPAD

ernstige

ft-sae

aesJa
802.11r (FT)eap-tls

wpa-eap

ft-eap

aesNee
802.11r (FT)eap-tls (wpa3)

wpa-eap-sha256

ft-eap

aesJa
802.11r (FT)EAP-FAST

wpa-eap

ft-eap

aesNee
802.11r (FT)eap-fast (wpa3)

wpa-eap-sha256

ft-eap

aesJa
802.11r (FT)eap-peap

wpa-eap

ft-eap

aesNee
802.11r (FT)eap-peap (wpa3)

wpa-eap-sha256

ft-eap

aesJa

Wi-Fi-profiel instellen

U kunt een Wi-Fi-profiel configureren op de webpagina van de telefoon of via hersynchronisatie van het externe apparaatprofiel en het profiel vervolgens koppelen aan de beschikbare Wi-Fi-netwerken. U kunt dit Wi-Fi-profiel gebruiken om verbinding te maken met een Wi-Fi-netwerk. Momenteel kan slechts één Wi-Fi-profiel worden geconfigureerd.

Het profiel bevat de vereiste parameters voor telefoons om verbinding te maken met de telefoonserver via Wi-Fi. Wanneer u een Wi-Fi-profiel maakt en gebruikt, hoeven u of uw gebruikers het draadloze netwerk niet voor afzonderlijke telefoons te configureren.

Met een Wi-Fi-profiel kunt u wijzigingen door de gebruiker voorkomen of beperken in de Wi-Fi-configuratie op de telefoon.

We raden u aan een beveiligd profiel te gebruiken met protocollen die geschikt zijn voor versleuteling om sleutels en wachtwoorden te beveiligen wanneer u een Wi-Fi-profiel gebruikt.

Wanneer u de telefoons wilt instellen op het gebruik van de EAP-FAST-verificatiemethode in de beveiligingsmodus, hebben uw gebruikers afzonderlijke referenties nodig om verbinding te maken met een toegangspunt.

1

Open de webpagina van de telefoon.

2

Selecteer Spraak > Systeem.

3

Stel in het gedeelte Wi-Fi-profiel (n) de parameters in zoals wordt beschreven in de volgende tabel Parameters voor Wi-Fi-profiel.

De configuratie van het Wi-Fi-profiel is ook beschikbaar voor aanmelding van de gebruiker.
4

Klik op Alle wijzigingen verzenden.

Parameters voor Wi-Fi-profiel

De volgende tabel definieert de functie en het gebruik van elke parameter in het gedeelte Wi-Fi-profiel(n) op het tabblad Systeem op de webpagina van de telefoon. Hij definieert ook de syntaxis van de tekenreeks die aan het telefoonconfiguratiebestand (cfg.xml) is toegevoegd om een parameter te configureren.

ParametersBeschrijving
NetwerknaamHiermee kunt u een naam invoeren voor de SSID die op de telefoon wordt weergegeven. Meerdere profielen kunnen dezelfde netwerknaam hebben met een verschillende beveiligingsmodus.

Voer een van de volgende handelingen uit:

  • Voer in het telefoonconfiguratiebestand met XML(cfg.xml) een tekenreeks in deze notatie in:

    <network_Name_1_ ua="rw">cisco</Network_Name_1_>

  • Voer op de webpagina telefoon een naam voor de SSID in.

Standaard Leeg

BeveiligingsmodusHiermee kunt u de verificatiemethode selecteren die wordt gebruikt voor beveiligde toegang tot het Wi-Fi-netwerk. Afhankelijk van de methode die u kiest, wordt er een wachtwoordveld weergegeven zodat u de referenties kunt opgeven die nodig zijn om deel te nemen aan dit Wi-Fi-netwerk.

Voer een van de volgende handelingen uit:

  • Voer in het telefoonconfiguratiebestand met XML(cfg.xml) een tekenreeks in deze notatie in:

    <Security_Mode_1_ ua="rw">EAP-TLS</Security_Mode_1_> <!-- beschikbare opties: Automatisch|EAP-FAST|||PSK||Geen|EAP-PEAP|EAP-TLS -->

  • Selecteer op de webpagina van de telefoon een van de methoden:
    • Auto
    • EAP-FAST
    • PSK
    • Geen
    • eap-peap
    • eap-tls

Standaard Auto

Wi-Fi-gebruikers-idHiermee kunt u een gebruikers-id invoeren voor het netwerkprofiel.

Dit veld is beschikbaar wanneer u de beveiligingsmodus instelt op automatisch, EAP-FAST of EAP-PEAP. Dit is een verplicht veld en kan maximaal 32 alfanumerieke tekens bevatten.

Voer een van de volgende handelingen uit:

  • Voer in het telefoonconfiguratiebestand met XML(cfg.xml) een tekenreeks in deze notatie in:

    <Wi-Fi_User_ID_1_ua="rw"></Wi-Fi_User_ID_1_>

  • Voer op de webpagina telefoon een gebruikers-id voor het netwerk profiel in.

Standaard Leeg

Wi-Fi-wachtwoordHiermee kunt u het wachtwoord voor de opgegeven Wi-Fi-gebruikers-id invoeren.

Voer een van de volgende handelingen uit:

  • Voer in het telefoonconfiguratiebestand met XML(cfg.xml) een tekenreeks in deze notatie in:

    <Wi-Fi_Password_1_ ua="rw"></Wi-Fi_Password_1_>

  • Voer op de webpagina telefoon een wachtwoord in voor de gebruikers-id die u hebt toegevoegd.

Standaard Leeg

FrequentiebandHiermee kunt u de frequentieband van het draadloze signaal selecteren dat door de WLAN wordt gebruikt.

Voer een van de volgende handelingen uit:

  • Voer in het telefoonconfiguratiebestand met XML(cfg.xml) een tekenreeks in deze notatie in:

    <Frequency_Band_1_ ua="rw">automatisch</Frequency_Band_1_>

  • Selecteer op de webpagina van de telefoon een van de opties:
    • Auto
    • 2,4 GHz
    • 5 GHz

Standaard Auto

Certificaat selecterenHiermee kunt u een certificaattype selecteren voor de eerste inschrijving van het certificaat en de verlenging van het certificaat in het draadloze netwerk. Dit proces is alleen beschikbaar voor 802.1X-verificatie.

Voer een van de volgende handelingen uit:

  • Voer in het telefoonconfiguratiebestand met XML(cfg.xml) een tekenreeks in deze notatie in:

    <Certificate_Select_1_ ua="rw">Productie geïnstalleerd</Certificate_Select_1_>

  • Selecteer op de webpagina van de telefoon een van de opties:
    • Productie geïnstalleerd
    • Aangepast geïnstalleerd

Standaard Productie geïnstalleerd