Aangepast apparaatcertificaat handmatig installeren

U kunt een CDC (Custom Device Certificate) handmatig op de telefoon installeren door het certificaat te uploaden via de webpagina Telefoonbeheer.

Voordat u begint

Voordat u een aangepast apparaatcertificaat voor een telefoon kunt installeren, moet u over de volgende beschikken:

  • Een certificaatbestand (.p12 of .pfx) dat op uw pc is opgeslagen. Het bestand bevat het certificaat en de privésleutel.
  • Het extrahheerswachtwoord van het certificaat. Het wachtwoord wordt gebruikt om het certificaatbestand te decoderen.
1

Open de beheerwebpagina van de telefoon.

2

Selecteer Certificaat.

3

Klik in het gedeelte Certificaat toevoegen op Bladeren....

4

Blader naar het certificaat op uw computer.

5

In het veld Wachtwoord ophalen voert u het certificaatwachtwoord in.

6

Klik op Uploaden.

Als het certificaatbestand en het wachtwoord correct zijn, wordt het bericht "Certificate added." weergegeven. Anders mislukt het uploaden en wordt er een foutbericht weergegeven dat het certificaat niet kan worden geüpload.
7

Als u details van het geïnstalleerde certificaat wilt controleren, klikt u op Weergeven in het gedeelte Bestaande certificaten .

8

Als u het geïnstalleerde certificaat van de telefoon wilt verwijderen, klikt u op Verwijderen in het gedeelte Bestaande certificaten .

Nadat u op de knop hebt geklikt, begint het verwijderen meteen, zonder dat u een bevestiging hebt ontvangen.

Als het certificaat is verwijderd, wordt het bericht 'Certificate deleted'weergegeven.

Automatisch installeren, aangepast apparaatcertificaat via SCEP

U kunt de parameters van de SCEP (Simple Certificate Enrollment Protocol) instellen om het CDC-certificaat (Custom Device Certificate) automatisch te installeren als u het certificaatbestand niet handmatig wilt uploaden of als u het certificaatbestand niet hebt.

Wanneer de SCEP-parameters correct zijn geconfigureerd, verzendt de telefoon verzoeken naar de SCEP-server en wordt het CA-certificaat gevalideerd met behulp van het apparaat met de gedefinieerde vingerafdruk.

Voordat u begint

Voordat u automatisch een aangepast apparaatcertificaat voor een telefoon kunt installeren, moet u over het volgende beschikken:

  • SCEP-serveradres
  • SHA-1 of SHA-256 vingerafdruk van het CA-basiscertificaat voor de SCEP-server
1

Open de beheerwebpagina van de telefoon.

2

Selecteer Certificaat.

3

Stel in de sectie SCEP-configuratie 1 de parameters in zoals wordt beschreven in de volgende tabel Parameters voor SCEP-configuratie.

4

Klik op Submit All Changes.

Parameters voor SCEP-configuratie

In de volgende tabel worden de functie en het gebruik van de SCEP-configuratieparameters beschreven in het gedeelte SCEP-configuratie 1 op het tabblad Certificaat in de webinterface van de telefoon. Het definieert ook de syntaxis van de string die in het telefoonconfiguratiebestand (cfg.xml) wordt toegevoegd om een parameter te configureren.

Tabel 1. Parameters voor SCEP-configuratie
ParameterBeschrijving
Server

SCEP-serveradres. Deze parameter is verplicht.

Voer een van de volgende handelingen uit:

  • Voer in het telefoonconfiguratiebestand met XML(cfg.xml) een tekenreeks in de volgende notatie in:

    <CDC_Server_1_ ua="na">http://10.79.57.91</CDC_Server_1_>

  • Geef op de webpagina telefoon het adres van de SCEP-server op.

Geldige waarden: een URL of IP adres. Het HTTPS-schema wordt niet ondersteund.

Standaard: leeg

Vingerafdruk van Root CA

SHA256- of SHA1-vingerafdruk van de hoofd-CA voor validatie tijdens het SCEP-proces. Deze parameter is verplicht.

Voer een van de volgende handelingen uit:

  • Voer in het telefoonconfiguratiebestand met XML(cfg.xml) een tekenreeks in de volgende notatie in:

    <CDC_Root_CA_Fingerprint_1_ ua="na">12040870625C5B755D73F5925285F8F5FF5D55AF</CDC_Root_CA_Fingerprint_1_>

  • Voer in de webpagina van de telefoon een geldige vingerafdruk in.

Standaard: leeg

Wachtwoord challenge (password)

Het uitdagingswachtwoord voor Certificate Authority-autorisatie (CA) voor de telefoon tijdens het aanmelden van een certificaat via SCEP. Deze parameter is optioneel.

Afhankelijk van de SCEP-omgeving varieert het gedrag van het challenge wachtwoord.

  • Als de telefoon een certificaat krijgt van een Cisco RA dat communiceert met CA, wordt het wachtwoord voor het challenge-wachtwoord niet ondersteund op CA. In dit geval gebruikt Cisco RA het MIC/S voor de telefoon voor verificatie om toegang te krijgen tot CA. De telefoon gebruikt MIC/S ÉÉN VOOR zowel de eerste aanmelding als het vernieuwen van het certificaat.
  • Als de telefoon een certificaat krijgt door rechtstreeks te communiceren met CA, wordt het wachtwoord voor de uitdaging ondersteund op CA. Indien geconfigureerd, wordt deze alleen gebruikt voor de eerste aanmelding. Voor het vernieuwen van het certificaat wordt in plaats daarvan het geïnstalleerde certificaat gebruikt.

Voer een van de volgende handelingen uit:

  • Voer in het telefoonconfiguratiebestand met XML(cfg.xml) een tekenreeks in de volgende notatie in:

    <CDC_Challenge_Password_1_ ua="na"></CDC_Challenge_Password_1_>

    Het wachtwoord wordt gemaskerd in het configuratiebestand.

  • Geef op de webpagina telefoon het wachtwoord voor de uitdaging op.

Standaard: leeg

CONFIGURATIE SCEP-parameters via DHCP optie 43

Naast aanmelding van het SCEP-certificaat via de handmatige configuraties op de webpagina telefoon, kunt u ook optie DHCP 43 gebruiken om de parameters vanaf een DHCP-server in te vullen. De DHCP optie 43 is vooraf geconfigureerd met de SCEP-parameters. Later kan de telefoon de parameters ophalen van de DHCP-server om de aanmelding voor het SCEP-certificaat uit te voeren.

  • De configuratie van de SCEP-parameters via DHCP optie 43 is alleen beschikbaar voor de telefoon als een fabrieksreset wordt uitgevoerd.
  • Telefoons mogen niet in het netwerk worden geplaatst die zowel optie 43 als externe inrichting ondersteunt (bijvoorbeeld Opties 66,160,159,150 of cloud provisioning). Anders krijgen telefoons mogelijk geen configuraties van Optie 43.

Als u een SCEP-certificaat wilt aanmelden door de SCEP-parameters te configureren in DHCP optie 43, gaat u als volgt te werk:

  1. Bereid een SCEP-omgeving voor.

    Raadpleeg de documentatie bij uw SCEP-server voor informatie over de SCEP-omgeving.

  2. Stel DHCP optie 43 in (gedefinieerd in 8.4 Vendor Specific Information, RFC 2132).

    Subsecties (10-15) zijn gereserveerd voor de methode:

    Parameter op webpagina telefoonSubotionTypeLengte (byte)Verplicht
    FIPS-modus10booleaans1Nee*
    Server11tekenreeks208 - lengte (wachtwoord challenge)Ja
    Vingerafdruk van Root CA12binair20 of 32Ja
    Wachtwoord challenge (password)13tekenreeks208 - lengte (Server)Nee*
    802.1X-verificatie inschakelen14booleaans1Nee
    Certificaat selecteren15Niet ondertekend, 8-bits1Nee

    Wanneer u de DHCP optie 43 gebruikt, moet u de volgende kenmerken van de methode zien:

    • Subcategorieën (10–15) zijn gereserveerd voor CDC (Custom Device Certificate).
    • De maximumlengte van DHCP optie 43 is 255 bytes.
    • De maximumlengte van Server + Challenge-wachtwoord is minder dan 208 bytes.
    • De waarde van de FIPS-modus moet in overeenstemming zijn met de configuratie van de inrichting aan boord. Anders kan de telefoon het eerder geïnstalleerde certificaat niet ophalen na aan boord te hebben gegaan. Specifiek
      • Als de telefoon wordt geregistreerd in een omgeving waarin de FIPS-modus is uitgeschakeld, hoeft u de parameter FIPS-modus niet te configureren in DHCP optie 43. De FIPS-modus is standaard uitgeschakeld.
      • Als de telefoon wordt geregistreerd in een omgeving waarin de FIPS-modus is ingeschakeld, moet u de FIPS-modus inschakelen in DHCP optie 43. Raadpleeg FIPS-modus inschakelen voor meer informatie.
    • Het wachtwoord in optie 43 wordt in duidelijke tekst weergegeven.

      Als het wachtwoord voor de uitdaging leeg is, gebruikt de telefoon MIC/S ÉÉN VOOR de eerste aanmelding en het vernieuwen van het certificaat. Als het wachtwoord voor de uitdaging is geconfigureerd, wordt het alleen gebruikt voor de eerste aanmelding en wordt het geïnstalleerde certificaat gebruikt voor het vernieuwen van het certificaat.

    • De optie 802.1X-verificatie en Certificate Select inschakelen worden alleen gebruikt voor telefoons in een bekabeld netwerk.
    • DHCP optie 60 (Vendor Class Identifier) wordt gebruikt om het apparaatmodel te identificeren.

    De volgende tabel bevat een voorbeeld van DHCP optie 43 (subcategorieën 10–15):

    Suboption decimaal/hexWaarde lengte (byte) decimaal/hexWaardeHex-waarde
    10/0a1/011 (0: Uitgeschakeld; 1: Ingeschakeld)01
    11/0b18/12http://10.79.57.91687474703a2f2f31302e37392e35372e3931
    12/0c20/1412040870625C5B755D73F5925285F8F5FF5D55AF12040870625C5B755D73F5925285F8F5FF5D55AF
    13/0d16/10D233CCF9B9952A1544323333434346394239393532413135
    14/0e1/011 (0: Nee; 1: Ja)01
    15/0f.1/011 (0: Productie geïnstalleerd; 1: Aangepast geïnstalleerd) 01

    Samenvatting van de parameterwaarden:

    • FIPS-modus = Ingeschakeld

    • Server = http://10.79.57.91

    • Vingerafdruk root CA = 12040870625C5B755D73F5925285F8F5FF5D55AF

    • Wachtwoord uitdaging = D233CCF9B9952A15

    • 802.1X-verificatie inschakelen = Ja

    • Certificaat selecteren = Aangepast geïnstalleerd

    De syntaxis van de uiteindelijke hexwaarde is: {<suboption><length><value>}...

    Volgens de bovenstaande parameterwaarden is de uiteindelijke hexwaarde als volgt:

    0a01010b12687474703a2f2f31302e37392e35372e39310c1412040870625C5B755D73F5925285F8F5FF5D55AF0d10443233334343463942393935324131350e01010f0101

  3. Configureer DHCP optie 43 op een DHCP-server.

    Deze stap bevat een voorbeeld van configuraties in de DHCP optie 43 in het Cisco Network Register.

    1. Voeg DHCP definitieset met opties toe.

      De reeks opties van leveranciers is de modelnaam van de IP telefoons. De geldige waarde is: DP-9841, DP-9851, DP-9861, DP-9871 of CP-8875.

    2. Voeg de DHCP optie 43 en subsecties toe aan de DHCP definitieset met opties.

      Voorbeeld:

      Screenshot van DHCP optie 43 definities in het Cisco Network Register

    3. Voeg opties 43 toe aan het DHCP beleid en stel de waarde als volgt in:

      Voorbeeld:

      (10 1)(11 http://10.79.57.91)(12 12040870625C5B755D73F5925285F8F5FF5D55AF)(13 D233CCF9B9952A15)(14 1)(15 1)

    4. Controleer de instellingen. Met Wireshark kunt u een spoor van het netwerkverkeer tussen de telefoon en de service vastleggen.
  4. Voer de fabriek opnieuw uit voor de telefoon.

    Nadat de telefoon opnieuw is ingesteld, worden de parameters Server, Vingerafdruk van root CA en Challenge Password automatisch ingevuld. Deze parameters bevinden zich in de sectie SCEP-configuratie 1 van Certificate > Custom op de webpagina telefoonbeheer.

    Als u details van het geïnstalleerde certificaat wilt controleren, klikt u op Weergeven in het gedeelte Bestaande certificaten .

    Als u de installatiestatus van het certificaat wilt controleren, selecteert u Certificate > Custom Cert Status. Bij Downloadstatus 1 wordt het laatste resultaat weergegeven. Als zich een probleem voordoet tijdens het aanmelden van het certificaat, kan de downloadstatus de reden van het probleem aangeven.

    Als de wachtwoordverificatie voor de uitdaging mislukt, worden gebruikers gevraagd het wachtwoord in te voeren op het telefoonscherm.
  5. (Optioneel): als u het geïnstalleerde certificaat van de telefoon wilt verwijderen, klikt u op Verwijderen in het gedeelte Bestaande certificaten .
    Nadat u op de knop hebt geklikt, begint het verwijderen meteen, zonder dat u een bevestiging hebt ontvangen.

Certificaatverlenging door SCEP

Het apparaatcertificaat kan automatisch worden vernieuwd tijdens het SCEP-proces.

  • De telefoon controleert of het certificaat over 15 dagen om de 4 uur verloopt. In dat gebeurt, dan wordt het vernieuwingsproces van het certificaat automatisch gestart door de telefoon.
  • Als het wachtwoord voor de uitdaging leeg is, gebruikt de telefoon MIC/S ÉÉN VOOR de eerste aanmelding en het vernieuwen van het certificaat. Als het wachtwoord voor de uitdaging is geconfigureerd, wordt het alleen gebruikt voor de eerste aanmelding, en wordt het bestaande/geïnstalleerde certificaat gebruikt voor het vernieuwen van het certificaat.
  • Het oude apparaatcertificaat wordt pas verwijderd als het nieuwe certificaat is opgehaald.
  • Als het vernieuwen van het certificaat mislukt omdat het apparaatcertificaat of CA verloopt, wordt de eerste aanmelding automatisch geactiveerd door de telefoon. Als de uitdaging voor wachtwoordverificatie ondertussen mislukt, wordt er een wachtwoordinvoerscherm op het telefoonscherm weergegeven en worden gebruikers gevraagd om het wachtwoord voor de uitdaging op de telefoon in te voeren.

FIPS-modus inschakelen

U kunt een telefoon compatibel maken met FIPS (Federal Information Processing Standards).

FIPS zijn een reeks standaarden die de documentverwerking, coderingsalgoritmen en andere normen voor informatietechnologie beschrijven voor gebruik binnen niet-militaire overheidsinstanties en door overheidsaannemers en -leveranciers die met deze instanties samenwerken. CiscoSSL FOM (FIPS Object Module) is een zorgvuldig gedefinieerd softwarecomponent en ontworpen voor compatibiliteit met de CiscoSSL-bibliotheek. Producten die de CiscoSSL-bibliotheek en API gebruiken, kunnen met minimale inspanning worden geconverteerd naar gebruik van FIPS 140-2 gevalideerde cryptografie.

1

Open de beheerwebpagina van de telefoon.

2

Selecteer Spraak > Systeem.

3

Kies in het gedeelte Beveiligingsinstellingen Ja of Nee in de parameter FIPS-modus .

4

Klik op Submit All Changes.

Wanneer u FIPS inschakelt, werken de volgende functies probleemloos op de telefoon:
  • Verificatie afbeelding
  • Veilige opslag
  • Codering van configuratiebestand
  • TLS:
    • HTTPs
    • PRT uploaden
    • Firmware-upgrade
    • Profiel opnieuw synchroniseren
    • Onboardingservice
    • Webex aan boord
    • SIP over TLS
    • 802.1x (bedraad)
  • SIP-digest (RFC 8760)
  • SRTP
  • Webex logboeken met gesprekken en de Webex-telefoonlijst
  • Eén knop om te pushen (OBTP)

Een beveiligingscertificaat handmatig verwijderen

U kunt een beveiligingscertificaat handmatig verwijderen van de telefoon als Simple Certificate Enrollment Protocol (SCEP) niet beschikbaar is.

1

Selecteer Certificaten op de webpagina voor telefoonbeheer.

2

Zoek het certificaat op de pagina Certificaten.

3

Klik op Verwijderen.

4

Start de telefoon opnieuw nadat de verwijdering is voltooid.

Het wachtwoord voor gebruiker en beheerder instellen

Nadat de telefoon voor het eerst is geregistreerd bij een gespreksbeheersysteem of nadat u de telefoon fabrieksreset uitvoert op de telefoon, moet u het gebruikers- en beheerderswachtwoord instellen om de beveiliging van de telefoon te verbeteren. Alleen wanneer het wachtwoord is ingesteld, kunt u de wijzigingen via de webpagina telefoon indienen.

Standaard is geen wachtwoordwaarschuwing op de telefoon ingeschakeld. Als de telefoon geen gebruikers- of beheerderswachtwoord heeft, wordt de volgende waarschuwing weergegeven:

  • Op de webpagina telefoon wordt het wachtwoord 'Geen beheerderswachtwoord verstrekt. Het web bevindt zich in de modus Alleen lezen en u kunt geen wijzigingen indienen. Wijzig het wachtwoord.".

    In de velden Gebruikerswachtwoord en Beheerderwachtwoord wordt respectievelijk de waarschuwing 'Geen wachtwoord verstrekt' weergegeven als het leeg is.

  • Op het telefoonscherm Problemen en diagnose wordt het probleem zonder wachtwoord weergegeven.
1

Webpagina telefoonbeheer openen

2

Selecteer Spraak > Systeem.

3

(Optioneel) Stel in het gedeelte Systeemconfiguratie de parameter Wachtwoordwaarschuwingen weergeven in op Ja en klik vervolgens op Alle wijzigingen indienen.

U kunt de parameters ook in het configuratiebestand van de telefoon (cfg.xml) inschakelen.

<Display_Password_Warnings ua="na">Jj</Display_Password_Warnings>

Standaard: Ja

Opties: Ja|Nee

Wanneer de parameter is ingesteld op Nee, wordt de wachtwoordwaarschuwing niet weergegeven op de webpagina of op het telefoonscherm. Bovendien wordt de alleen-gereedmodus voor het web van de pagina niet geactiveerd, ook niet wanneer het wachtwoord leeg is.

4

Zoek de parameter gebruikerswachtwoord of beheerderswachtwoord en klik op Wachtwoord wijzigen naast de parameter.

5

Voer uw huidige gebruikerswachtwoord in het veld Oud wachtwoord in.

Vul dit veld niet in als u geen wachtwoord hebt. De standaardwaarde is leeg.
6

Voer een nieuw wachtwoord in het veld Nieuw wachtwoord in.

7

Klik op Verzenden.

Het bericht Uw wachtwoord is gewijzigd. wordt op de webpagina weergegeven. De webpagina wordt binnen enkele seconden vernieuwd. De waarschuwing naast de parameter verdwijnt.

Nadat u het gebruikerswachtwoord hebt ingesteld, wordt met de parameter het volgende weergegeven in het XML-bestand met de telefoonconfiguratie (cfg.xml):

<!-- <Admin_Password ua="na">*************</Admin_Password> <User_Password ua="op de >*************</User_Password> -->

Als de 403-foutcode wordt weergegeven als u de webpagina van de telefoon probeert te openen, moet u het gebruikers- of beheerderswachtwoord instellen door dit in te voeren in het telefoonconfiguratiebestand (cfg.xml). Geef bijvoorbeeld een tekenreeks op met deze notatie:

<Admin_Password ua="na">P0ssw0rd_tes89</Admin_Password>

<User_Password ua="des">Abc123</User_Password>

802.1X-verificatie

Cisco IP-telefoon ondersteunt 802.1X-verificatie.

Cisco IP-telefoons en Cisco Catalyst-switches gebruiken traditioneel Cisco Discovery Protocol (CDP) om elkaar te herkennen en om parameters te bepalen zoals VLAN-toewijzing en inline voedingsvereisten. CDP herkent geen lokaal aangesloten werkstations. Cisco IP-telefoons beschikken over een EAPOL-doorgeefmechanisme. Hiermee kan een werkstation dat is verbonden met de Cisco IP-telefoon EAPOL-berichten doorgeven voor 802.1X-verificatie op de LAN-switch. Het doorgeefmechanisme zorgt dat de IP-telefoon niet fungeert als LAN-switch voor het verifiëren van een gegevenseindpunt voor toegang tot het netwerk.

Cisco IP-telefoons beschikken ook over een proxy EAPOL-uitlogmechanisme. Als de lokaal verbonden pc de verbinding met een IP-telefoon verbreekt, ziet de LAN-switch niet dat de fysieke koppeling niet meer werkt, omdat de koppeling tussen de LAN-switch en de IP-telefoon in stand blijft. Om te voorkomen dat de netwerkintegriteit in gevaar komt, stuurt de IP-telefoon een EAPOL-afmeldbericht naar de switch uit naam van de downstream-pc, waardoor de LAN-switch wordt getriggerd om de verificatievermelding voor de downstream-pc te wissen.

Voor ondersteuning van de 802.1X-verificatie zijn diverse onderdelen vereist:

  • Cisco IP-telefoon: de telefoon initieert het verzoek voor toegang tot het netwerk. Cisco IP-telefoon bevat een 802.1X-supplicant. Met deze supplicant kunnen netwerkbeheerders de verbinding regelen van IP-telefoons met de LAN-switchpoorten. De huidige versie van de 802.1X-supplicant voor de telefoon gebruikt de opties EAP-FAST en EAP-TLS voor netwerkverificatie.

  • Verificatieserver: de verificatieserver en de switch moeten beide zijn geconfigureerd met een gedeeld geheim dat de telefoon verifieert.

  • Switch: de switch moet 802.1X ondersteunen, zodat deze als de verificator kan werken en de berichten tussen de telefoon en de verificatieserver kan doorgeven. Nadat de uitwisseling is afgerond, kan de switch toegang tot het netwerk toestaan of weigeren.

U moet de volgende acties uitvoeren om 802.1X te configureren.

  • Configureer de overige componenten voordat u 802.1X-verificatie op de telefoon inschakelt.

  • Configureer pc-poort: de 802.1X-standaard houdt geen rekening met VLAN's en beveelt daarom aan om slechts één apparaat te verifiëren voor een specifieke switchpoort. Sommige switches ondersteunen echter verificatie voor meerdere domeinen. De switchconfiguratie bepaalt of u een pc kunt aansluiten op de pc-poort van de telefoon.

    • Ingeschakeld: als u een switch gebruikt die multidomeinverificatie ondersteunt, kunt u de pc-poort inschakelen en er een pc op aansluiten. In dat geval ondersteunt de Cisco IP-telefoon de proxy-EAPOL-uitlogfunctie om de verificatie-uitwisseling tussen de switch en de aangesloten pc te controleren.

      Meer informatie over IEEE 802.1X-ondersteuning op Cisco Catalyst-switches vindt u in de handleidingen voor Cisco Catalyst-switchconfiguratie op:

      http://www.cisco.com/en/US/products/hw/switches/ps708/tsd_products_support_series_home.html

    • Uitgeschakeld: als de switch niet meerdere met 802.1X compatibele apparaten ondersteunt op dezelfde poort, moet u de pc-poort uitschakelen als 802.1X-verificatie wordt ingeschakeld. Als u deze poort niet uitschakelt en er vervolgens een pc op probeert aan te sluiten, weigert de switch netwerktoegang voor de telefoon en de pc.

  • Spraak-VLAN configureren: omdat de 802.1X-standaard geen rekening houdt met VLAN's, moet u deze instelling configureren op basis van de switchondersteuning.
    • Ingeschakeld: als u een switch gebruikt die multidomeinverificatie ondersteunt, kunt u het spraak-VLAN blijven gebruiken.
    • Uitgeschakeld: als de switch geen ondersteuning biedt voor multidomeinverificatie, schakelt u het spraak-VLAN uit en probeert u de poort toe te wijzen aan het native VLAN.
  • (alleen voor Cisco-bureautelefoon 9800-serie)

    De Cisco Bureautelefoon 9800-serie heeft een ander prefix in het PID dan de andere Cisco-telefoons. Om ervoor te zorgen dat uw telefoon 802.1X-verificatie doorgeeft, stelt u de Radius· De gebruikersnaamparameter die de Cisco Bureautelefoon 9800 Series moet bevatten.

    De PID van telefoon 9841 is DP-9841; kunt u Radius· Gebruikersnaam om te beginnen met DP of Bevat DP. U kunt deze in beide volgende gedeelten instellen:

    • Beleid > Voorwaarden > Libraire Voorwaarden

    • Beleids > Beleidssets > Authorization Policy > Authorization Rule 1

802.1X-verificatie inschakelen

Wanneer 802.1X-verificatie is ingeschakeld, gebruikt de telefoon 802.1X-verificatie om netwerktoegang aan te vragen. Wanneer 802.1X-verificatie is uitgeschakeld, gebruikt de telefoon Cisco Discovery Protocol (CDP) om VLAN- en netwerktoegang te verkrijgen. U kunt ook de transactiestatus bekijken en de status wijzigen in het menu op het telefoonscherm.

Wanneer 802.1X-verificatie is ingeschakeld, kunt u ook het apparaatcertificaat selecteren (MIC/S of of aangepast) voor de eerste aanmelding en het vernieuwen van het certificaat. Gewoonlijk is MIC voor Cisco videotelefoon 8875, S EEN voor Cisco Bureautelefoon 9800 Series. CDC kan alleen voor verificatie worden gebruikt in 802.1x.

1

Voer een van de volgende handelingen uit om 802.1x-verificatie in te schakelen:

  • Selecteer in de telefoonwebinterface spraak > systeem en stel de parameter 802.1X-verificatie in op Ja. Klik vervolgens op Alle wijzigingen indienen.
  • Voer in het configuratiebestand (cfg.xml) een tekenreeks met deze notatie in:

    <Enable_802.1X_Authentication ua="op een >Jj</Enable_802.1X_Authentication>

    Geldige waarden: Ja|Nee

    Standaard: Nee

  • Druk op de telefoon op Instellingen the Settings hard keyen ga naar Netwerk- en service > Beveiligingsinstellingen > 802.1X-verificatie. Schakel het veld Apparaatverificatie in en selecteer Toepassen.
Tabel 2. Parameters voor 802.1X-verificatie op het telefoonscherm

Parameters

Opties

Standaard

Beschrijving

Apparaatverificatie

Aan

Uit

Uit

802.1X-verificatie op de telefoon in- of uitschakelen.

Transactiestatus

Uitgeschakeld

Geeft de status van 802.1X-verificatie weer. De status kan (niet beperkt tot):

  • Authenticating (Verifiëren): hiermee wordt aangegeven dat het verificatieproces wordt uitgevoerd.
  • Authenticated (Geverifieerd): hiermee wordt aangegeven dat de telefoon is geverifieerd.
  • Uitgeschakeld: hiermee wordt aangegeven dat 802.1X-verificatie niet is geconfigureerd op de telefoon.

Protocol

Geen

Geeft de EAP methode weer die voor 802.1X-verificatie wordt gebruikt. Het protocol kan EAP-FAST of EAP-TLS zijn.

Type certificaat van gebruiker

Productie geïnstalleerd

Aangepast geïnstalleerd

Productie geïnstalleerd

Kies het certificaat voor de 802.1X-verificatie tijdens de eerste aanmelding en het vernieuwen van het certificaat.

  • Productie geïnstalleerd—Het Manufacturing Installed Certificate (MIC) en S ÉÉN (Secure Unique Device Identifier) wordt gebruikt.
  • Aangepast geïnstalleerd—Het AANGEPASTe apparaatcertificaat (CDC) wordt gebruikt. Dit type certificaat kan worden geïnstalleerd door handmatig te uploaden op de webpagina van de telefoon of door de installatie vanaf een SCEP-server (Simple Certificate Enrollment Protocol).

Deze parameter wordt alleen op de telefoon weergegeven als Apparaatverificatie is ingeschakeld.

2

Selecteer een certificaat (MIC of aangepast) voor de 802.1X-verificatie op de webpagina van de telefoon.

  • Voor een bekabeld netwerk selecteert u Spraak>Systeem en kiest u een certificaattype in de vervolgkeuzelijst Certificate Select in the section 802.1X Authentication.

    U kunt deze parameter ook configureren in het configuratiebestand (cfg.xml).

    <Certificate_Select ua="de >Custom geïnstalleerd</Certificate_Select>

    Geldige waarden: Productie geïnstalleerd|Aangepast geïnstalleerd

    Standaardwaarde: Productie geïnstalleerd

  • Voor een draadloos netwerk selecteert u Spraak>Systeem en kiest u een certificaattype in de vervolgkeuzelijst Certificate Select in het gedeelte Wi-Fi Profiel 1.

    U kunt deze parameter ook configureren in het configuratiebestand (cfg.xml).

    <Wi-Fi_Certificate_Select_1_ ua="op een >Custom geïnstalleerd</Wi-Fi_Certificate_Select_1_>

    Geldige waarden: Productie geïnstalleerd|Aangepast geïnstalleerd

    Standaardwaarde: Productie geïnstalleerd

Een proxyserver instellen

U kunt de telefoon zo configureren dat u een proxyserver gebruikt om de beveiliging te verbeteren. Een HTTP-proxyserver kan over het algemeen de volgende services bieden:

  • Routering van verkeer tussen interne en externe netwerken
  • Verkeer filteren, volgen of vastleggen in de logboeken
  • Reacties in cache om de prestaties te verbeteren

De HTTP-proxyserver kan ook dienst doen als een firewall tussen de telefoon en internet. Na een succesvolle configuratie maakt de telefoon via de proxyserver verbinding met internet, die de telefoon beschermt tegen een cyberaanval.

Indien geconfigureerd, is de http-proxyfunctie van toepassing op alle toepassingen die het HTTP-protocol gebruiken. Bijvoorbeeld:

  • GDS (verbinding tot stand brengen met de activeringscode)
  • EDOS-apparaatactivering
  • Aan boord naar Webex Cloud (via EDOS of GDS)
  • Aangepaste CA
  • Inrichting
  • Firmware-upgrade
  • Telefoonstatusrapport
  • PRT uploaden
  • XSI-services
  • Webex-services

Momenteel ondersteunt de functie slechts IPv4.

1

Open de beheerwebpagina van de telefoon.

2

Selecteer Spraak > Systeem.

3

Selecteer in de sectie HTTP-proxy-instellingen een proxymodus in de vervolgkeuzelijst Proxymodus en configureer de bijbehorende parameters.

Voor elke proxymodus zijn de vereiste parameters verschillend. Zie de details in de volgende tabel:
ProxymodusVereiste parametersBeschrijving
UitN.v.t.HTTP-proxy is uitgeschakeld op de telefoon.
HandmatigProxyhost

Proxypoort

Proxy-verificatie: Ja

Gebruikersnaam

Wachtwoord

Een proxyserver (hostnaam of IP adres) en een proxypoort handmatig opgeven. Als de proxyserver verificatie vereist, moet u verder de gebruikersnaam en het wachtwoord opgeven.
Proxyhost

Proxypoort

Proxy-verificatie: Nee

Een proxyserver handmatig opgeven. Voor de proxyserver zijn geen verificatiereferenties vereist.
AutoWeb Proxy automatische ontdekking: Nee

PAC-URL

Voer een geldige PAC-URL in om het PAC-bestand op te halen.
Web Proxy automatische ontdekking: Ja

Gebruikt het WPAD-protocol om automatisch een PAC-bestand op te halen.

Zie Parameters voor HTTP-proxy-instellingen voor meer informatie over de parameters.

4

Klik op Submit All Changes.

Parameters voor HTTP-proxyinstellingen

De volgende tabel definieert de functie en het gebruik van de HTTP-proxyparameters in het gedeelte HTTP-proxy-instellingen onder het tabblad Spraak > Systeem in de webinterface van de telefoon. Hij definieert ook de syntaxis van de tekenreeks die aan het telefoonconfiguratiebestand (cfg.xml) is toegevoegd met XML-code om een parameter te configureren.

ParameterBeschrijving
ProxymodusHiermee geeft u de HTTP-proxymodus op die op de telefoon wordt gebruikt, of schakelt u de functie HTTP-proxy uit.
  • Auto

    Op de telefoon wordt automatisch een bestand voor de automatische configuratie van een proxy (PAC) opgehaald om een proxyserver te selecteren. In deze modus kunt u bepalen of u het WPAD-protocol (Web Proxy Auto Discovery) gebruikt om een PAC-bestand op te halen of handmatig een geldige URL van het PAC-bestand moet invoeren.

    Zie "Web Proxy Auto Discovery" en "PAC URL" in deze tabel voor meer informatie over de parameters.

  • Handmatig

    U moet handmatig een server (hostnaam of IP-adres) en een poort van een proxyserver opgeven.

    Zie Proxyhost en Proxypoort voor meer informatie over de parameters.

  • Uit

    U kunt de functie HTTP-proxy op de telefoon uitschakelen.

Voer een van de volgende handelingen uit:

  • Voer in het telefoonconfiguratiebestand met XML(cfg.xml) een tekenreeks in de volgende notatie in:

    <Proxy_Mode ua="op >Off</Proxy_Mode>

  • Selecteer in de webinterface van de telefoon een proxymodus of schakel de functie uit.

Toegestane waarden: Automatisch, Handmatig en Uit

Standaard: Uit

WebProxy automatisch ontdekkenBepaalt of de telefoon het WPAD-protocol (Web Proxy Auto Discovery) gebruikt om een PAC-bestand op te halen.

Het WPAD-protocol maakt gebruik van DHCP of DNS, of beide netwerkprotocollen om een PAC-bestand (Proxy Auto Configuration) automatisch te zoeken. Met het PAC-bestand wordt een proxyserver voor een bepaalde URL geselecteerd. Dit bestand kan lokaal of op een netwerk worden gehost.

  • De parameterconfiguratie wordt pas toegepast wanneer Proxymodus is ingesteld op Automatisch.
  • Als u de parameter instelt op Nee, moet u een PAC-URL opgeven.

    Zie "PAC URL" in deze tabel voor meer informatie over de parameter.

Voer een van de volgende handelingen uit:

  • Voer in het telefoonconfiguratiebestand met XML(cfg.xml) een tekenreeks in de volgende notatie in:

    <Web_Proxy_Auto_Discovery ua="opa">Jj</Web_Proxy_Auto_Discovery>

  • Selecteer indien nodig Ja of Nee in de telefoonwebinterface.

Toegestane waarden: Ja en Nee

Standaard: Ja

PAC-URLURL van een PAC-bestand.

Bijvoorbeeld http://proxy.department.branch.example.com

TFTP, HTTP en HTTPS worden ondersteund.

Als u de proxymodus instelt op Automatisch en Automatisch zoeken in webproxy op Nee, moet u deze parameter configureren.

Voer een van de volgende handelingen uit:

  • Voer in het telefoonconfiguratiebestand met XML(cfg.xml) een tekenreeks in de volgende notatie in:

    <PAC_URL ua="op >http://proxy.department.branch.example.com/pac</PAC_URL>

  • Voer in de webinterface van de telefoon een geldige URL in waarmee een PAC-bestand kan worden opgezocht.

Standaard: leeg

ProxyhostIP-adres of hostnaam van de proxyserver voor de telefoon waartoe de telefoon toegang moet krijgen. Bijvoorbeeld:

proxy.example.com

Het schema (http:// of https://) is niet vereist.

Als u de Proxymodus instelt op Handmatig, moet u deze parameter configureren.

Voer een van de volgende handelingen uit:

  • Voer in het telefoonconfiguratiebestand met XML(cfg.xml) een tekenreeks in de volgende notatie in:

    <Proxy_Host ua="des">proxy.example.com</Proxy_Host>

  • Voer in de webinterface van de telefoon het IP-adres of de hostnaam van de proxyserver in.

Standaard: leeg

ProxypoortPoortnummer van de proxyhostserver.

Als u de Proxymodus instelt op Handmatig, moet u deze parameter configureren.

Voer een van de volgende handelingen uit:

  • Voer in het telefoonconfiguratiebestand met XML(cfg.xml) een tekenreeks in de volgende notatie in:

    <Proxy_Port ua="op >3128</Proxy_Port>

  • Voer in de webinterface van de telefoon een serverpoort in.

Standaard: 3128

Proxy-verificatieHiermee wordt bepaald of de gebruiker de aanmeldgegevens voor de verificatie (gebruikersnaam en wachtwoord) moet opgeven die nodig zijn voor de proxyserver. Deze parameter wordt geconfigureerd op basis van de werkelijke werking van de proxyserver.

Als u de parameter instelt op Ja, moet u Gebruikersnaam en Wachtwoord configureren.

Zie "Gebruikersnaam" en "Wachtwoord" in deze tabel voor meer informatie over de parameters.

De parameterconfiguratie wordt pas toegepast wanneer Proxymodus wordt ingesteld op Handmatig.

Voer een van de volgende handelingen uit:

  • Voer in het telefoonconfiguratiebestand met XML(cfg.xml) een tekenreeks in de volgende notatie in:

    <Proxy_Authentication ua="des">No</Proxy_Authentication>

  • Stel in de telefoonwebinterface indien nodig Ja of Nee in .

Toegestane waarden: Ja en Nee

Standaard: Nee

GebruikersnaamGebruikersnaam voor een bekende gebruiker op de proxyserver.

Als de proxymodus is ingesteld op Handmatige verificatie en Proxyverificatie is ingesteld op Ja, moet u de parameter configureren.

Voer een van de volgende handelingen uit:

  • Voer in het telefoonconfiguratiebestand met XML(cfg.xml) een tekenreeks in de volgende notatie in:

    <Proxy_Username ua="in >Voorbeeld</Proxy_Username>

  • Voer in de webinterface van de telefoon de gebruikersnaam in.

Standaard: leeg

WachtwoordWachtwoord voor de opgegeven gebruikersnaam voor het verifiëren van de proxy.

Als de proxymodus is ingesteld op Handmatige verificatie en Proxyverificatie is ingesteld op Ja, moet u de parameter configureren.

Voer een van de volgende handelingen uit:

  • Voer in het telefoonconfiguratiebestand met XML(cfg.xml) een tekenreeks in de volgende notatie in:

    <Proxy_Password ua="in >Voorbeeld</Proxy_Password>

  • Voer in de webinterface van de telefoon een geldig wachtwoord in voor de proxyverificatie van de gebruiker.

Standaard: leeg

De door de klant geïnitieerde modus inschakelen voor beveiligingsonderhandelingen voor het mediavliegtuig

Als u mediasessies wilt beveiligen, kunt u de telefoon zo configureren dat de beveiligingsonderhandelingen voor het mediaplane op de server worden geïnitieerd. Het beveiligingsmechanisme volgt de standaards vermeld in RFC 3329 en het uitbreidingsconcept beveiligingsmechanismenamen voor media (zie https://tools.ietf.org/html/draft-dawes-sipcore-mediasec-parameter-08#ref-2). Voor het transport van onderhandelingen tussen de telefoon en de server kan het SIP-protocol via UDP, TCP en TLS worden gebruikt. U kunt instellen dat de beveiligingsonderhandeling van het mediaplane alleen wordt toegepast wanneer het signaleringstransportprotocol TLS is.

1

Open de beheerwebpagina van de telefoon.

2

Selecteer Spraak > Toestel (n).

3

Stel in de sectie SIP-instellingen de velden MediaSec Verzoek en MediaSec Over TLS in zoals gedefinieerd in de volgende tabel:

Tabel 3. Parameters voor onderhandelen over de beveiliging van mediavliegtuigen
ParameterBeschrijving

MediaSec-aanvraag

Geeft aan of de telefoon beveiligingsonderhandelingen in de mediaplane initieert met de server.

Voer een van de volgende handelingen uit:

  • Voer in het telefoonconfiguratiebestand met XML(cfg.xml) een tekenreeks in de volgende notatie in:

    <MediaSec_Request_1_ ua="na">Jj</MediaSec_Request_1_>
  • Stel dit veld in de telefoonwebinterface in op Ja of Nee.

Toegestane waarden: Ja|Nee

  • Ja— modus door client gestart. De telefoon initieert beveiligings onderhandelingen voor media vlieg tuigen.
  • Nee— modus door server gestart. De server initieert beveiligings onderhandelingen voor media vlieg tuigen. De telefoon start geen onderhandelingen, maar kan onderhandelings verzoeken van de server afhandelen om veilige gesp rekken tot stand te brengen.

Standaard: Nee

Alleen MediaSec via TLS

Geeft het signalerings transport protocol aan waarop de beveiligings onderhandeling voor media vlak wordt toegepast.

Voordat u dit veld instelt op Ja, moet u controleren of het signaleringstransportprotocol TLS is.

Voer een van de volgende handelingen uit:

  • Voer in het telefoonconfiguratiebestand met XML(cfg.xml) een tekenreeks in de volgende notatie in:

    <MediaSec_Over_TLS_Only_1_ ua="na">Geen</MediaSec_Over_TLS_Only_1_>

  • Stel dit veld in de telefoonwebinterface in op Ja of Nee.

Toegestane waarden: Ja|Nee

  • Ja— de telefoon initieert of afhandelt alleen beveiligings onderhandelingen als het signalerings transport protocol TLS is.
  • Nee— de telefoon initieert de beveiligings onderhandelingen voor media vlieg tuigen, ongeacht het protocol voor het signalerings transport protocol.

Standaard: Nee

4

Klik op Submit All Changes.

WLAN-beveiliging

Omdat alle WLAN-apparaten die binnen het bereik zijn al het andere WLAN-verkeer kunnen ontvangen, is veilige gesproken communicatie van cruciaal belang in WLAN's. Om te voorkomen dat indringers het spraakverkeer niet manipuleren of onderscheppen, ondersteunt de Cisco SAFE Security-architectuur de telefoon. Zie voor meer informatie over beveiliging in netwerken http://www.cisco.com/en/US/netsol/ns744/networking_solutions_program_home.html.

De Cisco Wireless IP telephony oplossing biedt een draadloze netwerkbeveiliging die ongeautoriseerde aanmeldingen en gevaar voorkomt door de volgende verificatiemethoden te gebruiken die door de telefoon worden ondersteund:

  • Open verificatie: een draadloos apparaat kan verificatie aanvragen in een open systeem. Het toegangspunt dat het verzoek ontvangt, verleent verificatie voor een aanvrager of alleen voor aanvragers in een lijst met gebruikers. De communicatie tussen het draadloze apparaat en het Toegangspunt (AP) kan niet zijn versleuteld.

  • Extensible Authentication Protocol-Flexible Authentication via Secure Tunneling (EAP-FAST): deze beveiligingsarchitectuur voor client-server codeert EAP transacties binnen een TLS)-tunnel (Transport Level Security) tussen het AP en de RADIUS-server, zoals ISE (Identity Services Engine).

    De TLS-tunnel gebruikt PAC (Protected Access Credentials) voor de verificatie tussen de client (telefoon) en de RADIUS-server. De server verstuurt een Authority ID (AID) naar de client (telefoon), die vervolgens de juiste PAC selecteert. De client (telefoon) retourneert een PAC-Opaque naar de RADIUS-server. De server decodeert de PAC met de hoofdsleutel. Beide eindpunten bevatten nu de PAC-sleutel en een TLS-tunnel wordt gemaakt. EAP-FAST ondersteunt automatische PAC-levering, maar u moet dit inschakelen op de RADIUS-server.

    In ISE verloopt de PAC standaard binnen één week. Als de telefoon een verlopen PAC heeft, duurt verificatie met de RADIUS-server langer terwijl de telefoon een nieuwe PAC krijgt. Om vertragingen in de PAC-levering te voorkomen stelt u de PAC-vervalperiode in op 90 dagen of meer op de ISE-of RADIUS-server.

  • EAP-TLS-verificatie (Extensible Authentication Protocol-Transport Layer Security): EAP-TLS vereist een clientcertificaat voor verificatie en netwerktoegang. Voor draadloze EAP-TLS kan het clientcertificaat MIC, LSC of een door de gebruiker geïnstalleerd certificaat zijn.

  • Protected Extensible Authentication Protocol (PEAP): Cisco's eigen op wachtwoorden gebaseerde wederzijdse verificatieschema tussen de client (telefoon) en een RADIUS-server. De telefoon kan PEAP gebruiken voor verificatie met het draadloze netwerk. Zowel de PEAP-MSCHAPV2 als PEAP-GTC verificatiemethoden worden ondersteund.

  • Pre-Shared Key (PSK):de telefoon ondersteunt ASCII indeling. U moet deze indeling gebruiken bij het instellen van een WPA/WPA2/SAE Pre-shared key:

    ASCII: een ASCII-tekenreeks met een lengte van 8 tot 63 (0-9, kleine letters en hoofdletters a-Z en speciale tekens)

    Voorbeeld: GREG123567@9ZX&W

De volgende verificatieschema's gebruiken de RADIUS-server om verificatiesleutels te beheren:

  • WPA/WPA2/WPA3: gebruikt informatie over de RADIUS-server om unieke sleutels voor verificatie te genereren. Omdat deze sleutels zijn gegenereerd op de centrale RADIUS-server, biedt WPA2/WPA3 betere beveiliging dan de vooraf gedeelde WPA-sleutels die op de telefoon en het toegangspunt zijn opgeslagen.

  • Snelle beveiligde roaming: gebruikt de RADIUS-server en de gegevens van een draadloze domeinserver (WDS) voor het beheren en verifiëren van sleutels. De WDS maakt een cache met beveiligingsreferenties voor CLIENTapparaten met FT-ondersteuning voor snelle en veilige reauthenticatie. Cisco Desk Phone 9861 en 9871 en Cisco Video Phone 8875 ondersteunen 802.11r (FT). Zowel via de lucht als via de DS worden ondersteund om snel, veilige roaming mogelijk te maken. Maar we raden aan om de 802.11r (FT)-methode te gebruiken.

Bij WPA/WPA2/WPA3 worden geen coderingssleutels ingevoerd op de telefoon, maar worden deze automatisch afgeleid tussen het AP en de telefoon. Maar de EAP-gebruikersnaam en het wachtwoord die worden gebruikt voor de verificatie, moeten worden ingevoerd op elke telefoon.

Om de veiligheid van het spraakverkeer te garanderen, ondersteunt de telefoon TKIP en AES voor codering. Wanneer deze mechanismen worden gebruikt voor codering, worden zowel de signalerende SIP-pakketten als de spraak real-time transportprotocolpakketten (RTP) versleuteld tussen het AP en de telefoon.

TKIP

WPA maakt gebruik van TKIP-codering die op verschillende manieren verbeteringen heeft ten opzichte van WEP. TKIP biedt sleutelcodering per pakket en langere initialisatievectoren (IV's) die de codering versterken. Bovendien zorgt een Message Integrity Check (MIC) ervoor dat gecodeerde pakketten niet worden gewijzigd. TKIP voorkomt de voorspelbaarheid van WEP waarmee indringers de WEP-sleutel decoderen.

AES

Een versleutelingsmethode die wordt gebruikt voor WPA2/WPA3-verificatie. Deze nationale standaard voor codering gebruikt een symmetrisch algoritme dat dezelfde sleutel voor codering en decodering heeft. AES werkt met CBC-codering (Cipher Blocking Chain) van 128-bits groot, die minimaal de sleutelgrootten 128 bits, 192 bits en 256 bits ondersteunt. De telefoon ondersteunt een toetsgrootte van 256 bits.

Cisco Desk Phone 9861 en 9871 en Cisco Video Phone 8875 ondersteunen Cisco Key Integrity Protocol (CKIP) niet met CMIC.

Verificatie en coderingschema's worden ingesteld binnen het draadloze LAN-netwerk. VLAN's zijn geconfigureerd in het netwerk en op de toegangspunten en geven verschillende verificatie- en coderingscombinaties. Een SSID wordt gekoppeld aan een VLAN en het specifieke verificatie- en coderingsschema. Voor verificatie van draadloze clientapparaten moet u dezelfde SSID's configureren met hun verificatie- en coderingsprogramma's op de AP's en op de telefoon.

Sommige verificatieschema's vereisen specifieke coderingstypen.

  • Wanneer u WPA vooraf gedeelde sleutel, WPA2-sleutel of SAE gebruikt, moet de vooraf gedeelde sleutel statisch op de telefoon worden ingesteld. Deze sleutels moeten overeenkomen met de sleutels op het toegangspunt.
  • De telefoon ondersteunt automatische EAP onderhandelen voor FAST of PEAP, maar niet voor TLS. Voor EAP-TLS modus moet u deze opgeven.

De verificatie- en coderingschema's in de volgende tabel tonen de opties voor netwerkconfiguratie voor de telefoon die overeenkomt met de AP-configuratie.

Tabel 4. Verificatie- en coderingschema's
FSR-typeAuthenticatieToetsbeheerCoderingPMF (Protected Management Frame)
802.11r (FT)PSK

WPA-PSK

WPA-PSK-SHA256

FT-PSK

AESNee
802.11r (FT)WPA3

SAE

FT-SAE

AESJa
802.11r (FT)EAP-TLS

WPA-EAP

FT-EAP

AESNee
802.11r (FT)EAP-TLS (WPA3)

WPA-EAP-SHA256

FT-EAP

AESJa
802.11r (FT)EAP-FAST

WPA-EAP

FT-EAP

AESNee
802.11r (FT)EAP-FAST (WPA3)

WPA-EAP-SHA256

FT-EAP

AESJa
802.11r (FT)EAP-PEAP

WPA-EAP

FT-EAP

AESNee
802.11r (FT)EAP-PEAP (WPA3)

WPA-EAP-SHA256

FT-EAP

AESJa

Profiel Wi-Fi instellen

U kunt een Wi-Fi-profiel configureren op de webpagina van de telefoon of externe hersynchronisatie van het appraatprofiel en dit profiel vervolgens koppelen met de beschikbare Wi-Fi-netwerken. U kunt dit Wi-Fi-profiel gebruiken om verbinding te maken met een Wi-Fi-netwerk. Momenteel kan slechts één Wi-Fi profiel worden geconfigureerd.

Het profiel bevat de vereiste parameters voor telefoons om verbinding te maken met de telefoonserver via Wi-Fi. Wanneer u een Wi-Fi profiel maakt en gebruikt, hoeven u of uw gebruikers het draadloze netwerk voor afzonderlijke telefoons niet te configureren.

Met een Wi-Fi-profiel kunt u wijzigingen door de gebruiker voorkomen of beperken in de Wi-Fi-configuratie op de telefoon.

Het is raadzaam een veilig profiel te gebruiken met protocollen met codering ingeschakeld om de sleutels en wachtwoorden te beveiligen wanneer u een Wi-Fi-profiel gebruikt.

Wanneer u de telefoons instelt om de EAP-FAST-verificatiemethode in de beveiligingsmodus te gebruiken, moeten gebruikers afzonderlijke referenties nodig hebben om verbinding te maken met een toegangspunt.

1

Open de webpagina van de telefoon.

2

Selecteer Spraak > Systeem.

3

Stel in de sectie Wi-Fi Profiel (n)de parameters in zoals beschreven in de volgende tabel Parameters voor Wi-Fi profiel.

De Wi-Fi profielconfiguratie is ook beschikbaar voor de aanmelding van de gebruiker.
4

Klik op Submit All Changes.

Parameters voor Wi-Fi profiel

De volgende tabel definieert de functie en het gebruik van elke parameter in de sectie Wi-Fi-profiel(en) onder het tabblad Systeem in de webpagina van de telefoon. Het definieert ook de syntaxis van de string die in het telefoonconfiguratiebestand (cfg.xml) wordt toegevoegd om een parameter te configureren.

ParameterBeschrijving
NetwerknaamHiermee kunt u een naam invoeren voor de SSID die op de telefoon wordt weergegeven. Meerdere profielen kunnen dezelfde netwerknaam hebben met een verschillende beveiligingsmodus.

Voer een van de volgende handelingen uit:

  • Voer in het telefoonconfiguratiebestand met XML(cfg.xml) een tekenreeks in de volgende notatie in:

    <Network_Name_1_ua="rw">cisco</Network_Name_1_>

  • Geef op de webpagina telefoon een naam op voor de SSID.

Standaard: leeg

BeveiligingsmodusHiermee kunt u de verificatiemethode selecteren die wordt gebruikt voor beveiligde toegang tot het Wi-Fi-netwerk. Afhankelijk van de methode die u kiest, wordt een wachtwoordveld weergegeven waar u de referenties kunt opgeven die nodig zijn om lid te worden van dit Wi-Fi netwerk.

Voer een van de volgende handelingen uit:

  • Voer in het telefoonconfiguratiebestand met XML(cfg.xml) een tekenreeks in de volgende notatie in:

    <Security_Mode_1_ ua="des">EAP-TLS</Security_Mode_1_> <!-- beschikbare opties: Auto|EAP-FAST|||PSK||Geen|AP-PEAP|EAP-TLS -->

  • Selecteer een van de methoden op de webpagina Telefoon:
    • Auto
    • EAP-FAST
    • PSK
    • Geen
    • EAP-PEAP
    • EAP-TLS

Standaard: automatisch

Wi-Fi-gebruikers-IDHiermee kunt u een gebruikers-id invoeren voor het netwerkprofiel.

Dit veld is beschikbaar wanneer u de beveiligingsmodus instelt op Automatisch, EAP-FAST of EAP-PEAP. Dit is een verplicht veld en kan maximaal 32 alfanumerieke tekens bevatten.

Voer een van de volgende handelingen uit:

  • Voer in het telefoonconfiguratiebestand met XML(cfg.xml) een tekenreeks in de volgende notatie in:

    <Wi-Fi_User_ID_1_ua="rw"></Wi-Fi_User_ID_1_>

  • Geef op de webpagina telefoon een gebruikers-id voor het netwerkprofiel op.

Standaard: leeg

Wi-Fi-wachtwoordHiermee kunt u het wachtwoord van het ID voor de opgegeven Wi-Fi-gebruikers invoeren.

Voer een van de volgende handelingen uit:

  • Voer in het telefoonconfiguratiebestand met XML(cfg.xml) een tekenreeks in de volgende notatie in:

    <Wi-Fi_Password_1_ ua="rw"></Wi-Fi_Password_1_>

  • Geef op de webpagina telefoon een wachtwoord op voor de gebruikers-id die u hebt toegevoegd.

Standaard: leeg

FrequentiebandHiermee kunt u de frequentieband van het draadloze signaal kiezen dat door de WLAN wordt gebruikt.

Voer een van de volgende handelingen uit:

  • Voer in het telefoonconfiguratiebestand met XML(cfg.xml) een tekenreeks in de volgende notatie in:

    <Frequency_Band_1_ ua="op >Autom</Frequency_Band_1_>

  • Selecteer een van de opties op de webpagina Telefoon:
    • Auto
    • 2,4 GHz
    • 5 GHz

Standaard: automatisch

Certificaat selecterenHiermee kunt u een certificaattype selecteren voor de eerste aanmelding en het vernieuwen van het certificaat in het draadloze netwerk. Dit proces is alleen beschikbaar voor 802.1X-verificatie.

Voer een van de volgende handelingen uit:

  • Voer in het telefoonconfiguratiebestand met XML(cfg.xml) een tekenreeks in de volgende notatie in:

    <Certificate_Select_1_ ua="op >Manufacturing geïnstalleerd</Certificate_Select_1_>

  • Selecteer een van de opties op de webpagina Telefoon:
    • Productie geïnstalleerd
    • Aangepast geïnstalleerd

Standaardwaarde: Productie geïnstalleerd

De beveiligingsstatus van het apparaat op de telefoon controleren

De beveiligingsstatus van het apparaat wordt automatisch gecontroleerd door de telefoon. Als er potentiële beveiligingsrisico's voor de telefoon worden gedetecteerd, kunnen in het menu Problemen en diagnose de details van de problemen worden weergegeven. Op basis van de gerapporteerde problemen kan de systeembeheerder bewerkingen uitvoeren voor het beveiligen en harden van de telefoon.

De beveiligingsstatus van het apparaat kan nog steeds beschikbaar zijn wanneer de telefoon niet is geregistreerd bij het gespreksbeheersysteem (Webex Calling of BroadWorks).

Ga als volgt te werk om details van beveiligingsproblemen op de telefoon weer te geven:

1

Druk op Instellingen.Settings button

2

Selecteer Problemen en diagnose > Issues.

Momenteel bevat het rapport Beveiliging van apparaten de volgende problemen:

CategorieProbleem
Apparaat vertrouwenApparaatverificatie is mislukt
Hardware hardware en gesn.
Kwetsbare configuratieGeen wachtwoord verstrekt
SSH ingeschakeld
Telnet ingeschakeld
Netwerkafwijking gedetecteerdExcessieve aanmeldpogingen
CertificaatprobleemCDC-certificaat verloopt binnenkort
3

Neem contact op met de beheerder voor ondersteuning bij het oplossen van de beveiligingsproblemen.