- Start
- /
- Artikel
Hartelijk dank voor uw feedback
Custom-apparaatcertificaat op 9800/8875
In dit artikel
Feedback?U kunt een Aangepast apparaatcertificaat (CDC) handmatig of automatisch installeren. In bepaalde omgevingen kunt u DHCP optie 43 gebruiken om de SCEP-parameters op te geven voor de installatie van het certificaat. Dit Help-artikel is voor Cisco Bureautelefoon 9800-serie en Cisco Videotelefoon 8875 die zijn geregistreerd bij Cisco BroadWorks of Webex Calling.
Installatie van aangepast apparaatcertificaat
Om een aangepast apparaatcertificaat (CDC) op uw telefoon te installeren, kunt u een van de volgende manieren gebruiken, afhankelijk van uw situatie:
Het meest recent geïnstalleerde certificaat op de telefoon is van toepassing.
- Handmatige installatie: u kunt een certificaat installeren door het te uploaden vanaf de webpagina voor telefoonbeheer. Voor details, zie Handmatige installatie van aangepast apparaatcertificaat door uploaden.
- Automatische installatie: u kunt de SCEP-parameters (Simple Certificate Enrollment Protocol) configureren om een automatische installatie van een certificaat te activeren. De telefoon stuurt SCEP-verzoeken naar een SCEP-server om het certificaat te installeren.
De SCEP-parameters kunnen worden geconfigureerd via de webpagina voor telefoonbeheer, het telefoonconfiguratiebestand (cfg.XML) of Control Hub. Voor details, zie Automatische installatie van aangepast apparaatcertificaat door SCEP En Parameters voor telefooninstellingen op Control Hub.
- DHCP optie 43: in bepaalde omgevingen kunt u een certificaat installeren met behulp van optie 43 van DHCP. Optie 43 kan de SCEP-parameters voor de certificaatinstallatie opgeven. Voor details, zie SCEP-parameters configureren via DHCP optie 43.
-
Wanneer u optie 43 van DHCP gebruikt voor het inrichten van SCEP-parameters, kan de telefoon ook de domeinnaam ophalen die is meegenomen uit optie 15 van DHCP. Op basis van de opgehaalde domeinnaam kan de telefoon de SCEP CSR Common Name en 802.1X User ID samenstellen. Voor details, zie Inrichting van algemene naam of gebruikers-ID via DHCP optie 15.
Voor meer informatie over het configureren van DHCP-opties, zie DHCP-opties configureren.
-
Handmatige installatie van aangepast apparaatcertificaat door uploaden
U kunt een CDC (Aangepast apparaatcertificaat) handmatig op de telefoon installeren door het certificaat via de webpagina voor telefoonbeheer te uploaden.
Voordat u begint
Voordat u een aangepast apparaatcertificaat voor een telefoon kunt installeren, moet u over de volgende beschikken:
- Een certificaatbestand (.p12 of .pfx) opgeslagen op uw pc. Het bestand bevat het certificaat en de persoonlijke sleutel.
- Het extractiewachtwoord van het certificaat. Het wachtwoord wordt gebruikt om het certificaatbestand te decoderen.
| 1 |
Open de beheerwebpagina van de telefoon. |
| 2 |
Selecteer Certificaat. |
| 3 |
Klik in het gedeelte Certificaat toevoegen op Bladeren.... |
| 4 |
Blader naar het certificaat op uw computer. |
| 5 |
In het veld Wachtwoord ophalen voert u het certificaatwachtwoord in. |
| 6 |
Klik op Uploaden. Als het certificaatbestand en het wachtwoord juist zijn, wordt het bericht ′
Certificaat toegevoegd′ weergegeven. Anders mislukt het uploaden en wordt er een foutbericht weergegeven dat het certificaat niet kan worden geüpload. |
| 7 |
Als u details van het geïnstalleerde certificaat wilt controleren, klikt u Weergeven in het gedeelte Bestaande certificaten. |
| 8 |
Als u het geïnstalleerde certificaat van de telefoon wilt verwijderen, klikt u Verwijderen in het gedeelte Bestaande certificaten. Nadat u op de knop hebt geklikt, start het proces voor verwijderen meteen, zonder een bevestiging te vragen.
Als het certificaat is verwijderd, wordt het bericht ' |
Automatische installatie van aangepast apparaatcertificaat door SCEP
U kunt de SCEP-gerelateerde (Simple Certificate Enrollment Protocol)-parameters configureren om met de SCEP-server te communiceren en het aangepaste apparaatcertificaat (CDC) automatisch te installeren.
Zodra een van de SCEP-parameters is geconfigureerd, stuurt de telefoon een SCEP-inschrijvingsverzoek naar de server. De telefoon valideert het ontvangen CA-certificaat met behulp van de geconfigureerde vingerafdruk.
Voordat u begint
Voordat u een automatische installatie van een aangepast apparaatcertificaat (CDC) voor een telefoon kunt uitvoeren, moet u aan het volgende voldoen:
- SCEP-serveradres
- SHA-1 of SHA-256 vingerafdruk van het CA-basiscertificaat voor de SCEP-server
| 1 |
Open de beheerwebpagina van de telefoon. |
| 2 |
Selecteer Certificaat. |
| 3 |
In de SCEP-configuratie 1 sectie, stel de parameters in zoals beschreven in Parameters voor SCEP-configuratie . |
| 4 |
Klik op Submit All Changes. |
Parameters voor SCEP-configuratie
De volgende tabel definieert de functie en het gebruik van SCEP-configuratieparameters in de SCEP-configuratie 1 sectie onder de Certificaat Tab in de webinterface van de telefoon. Het definieert ook de syntaxis van de string die in het telefoonconfiguratiebestand (cfg.xml) wordt toegevoegd om een parameter te configureren.
Elke wijziging in de parameters zorgt ervoor dat de telefoon een nieuw certificaat aanvraagt.
| Parameter | Beschrijving |
|---|---|
| Server |
SCEP-serveradres. Deze parameter is verplicht. Voer een van de volgende handelingen uit:
Geldige waarden: een URL of IP-adres. Het HTTPS-schema wordt niet ondersteund. Standaard: leeg |
| Vingerafdruk van Root CA |
SHA256- of SHA1-vingerafdruk van de Root CA voor validatie tijdens het SCEP-proces. Deze parameter is verplicht. Voer een van de volgende handelingen uit:
Standaard: leeg |
| Controlewachtwoord |
Het controlewachtwoord voor de Certificate Authority-autorisatie (CA) voor de telefoon tijdens de certificaatinschrijving via SCEP. Deze parameter is optioneel. Afhankelijk van de SCEP-omgeving varieert het gedrag van het challenge wachtwoord.
Voer een van de volgende handelingen uit:
Standaard: leeg |
| Algemene naam |
Geeft de algemene naam (CN) op die wordt gebruikt als identificatie voor de telefoon die het certificaat aanvraagt. De CN wordt gebruikt voor Certificate Signing Request (CSR) in het SCEP-proces. Deze parameter ondersteunt ook macro-uitbreidingsvariabelen, zie Macro-uitbreidingsvariabelen voor details. Voer een van de volgende handelingen uit:
Geldige waarden: maximaal 64 tekens Standaard: leeg |
Certificaatverlenging door SCEP
Het apparaatcertificaat kan automatisch worden vernieuwd tijdens het SCEP-proces.
- De telefoon controleert elke 4 uur of het certificaat over 15 dagen verloopt. Als dat gebeurt, dan wordt het vernieuwingsproces van het certificaat automatisch door de telefoon gestart.
- Als het controlewachtwoord leeg is, gebruikt de telefoon MIC/SUDI zowel voor de eerste inschrijving als bij vernieuwing van het certificaat. Als het wachtwoord voor de uitdaging is geconfigureerd, wordt het alleen gebruikt voor de eerste aanmelding, en wordt het bestaande/geïnstalleerde certificaat gebruikt voor het vernieuwen van het certificaat.
- Het oude apparaatcertificaat wordt pas verwijderd als het nieuwe certificaat is opgehaald.
- Als de vernieuwing van het certificaat mislukt omdat het apparaatcertificaat of CA verloopt, wordt de initiële inschrijving automatisch door de telefoon geactiveerd. Als de wachtwoordcontrole mislukt, wordt er een invoerscherm voor het wachtwoord op het telefoonscherm weergegeven en worden gebruikers gevraagd om het controlewachtwoord op de telefoon in te voeren.
CDC Common Name-configuratie
Standaard wordt de algemene naam in MIC/SUDI gebruikt als de algemene naam voor CDC.
U kunt de algemene naam voor CDC configureren wanneer u het certificaat installeert. Gebruik een van de volgende methoden om een CDC op de telefoon te installeren:
-
Genereer een certificaatondertekeningsaanvraag (CSR) die de gewenste algemene naam bevat en upload en installeer vervolgens het nieuwe certificaat op de webpagina voor telefoonbeheer.
-
Configureer de algemene naam via de webpagina voor telefoonbeheer, het telefoonconfiguratiebestand (cfg.XML) of Control Hub. Hierdoor vraagt de telefoon automatisch een nieuw certificaat aan.
Voor meer informatie over de parameters op de telefoonwebpagina en Control Hub, zie Automatische installatie van aangepast apparaatcertificaat door SCEP En Parameters voor telefooninstellingen op Control Hub.
- Gebruik optie 43 en 15 van DHCP om de algemene naam voor CDC en bekabelde 802.1X-identiteit in te richten.
Voor meer informatie, zie Het verstrekken van een algemene naam of gebruikers-ID via optie DHCP 15.
Configuratie SCEP-parameters via DHCP-optie 43
In bepaalde omgevingen waar u het aangepaste apparaatcertificaat (CDC) niet kunt installeren door het te uploaden of de SCEP-parameters rechtstreeks te configureren. In deze situatie kunt u optie 43 van DHCP gebruiken om de parameters van een DHCP-server in te vullen. Optie 43 van DHCP kan worden geconfigureerd om de SCEP-parameters aan de telefoon te verstrekken. Nadat de fabrieksinstellingen van de telefoon zijn hersteld, kan deze de parameters van de DHCP-server ontvangen om de CDC via het SCEP-protocol te installeren.
- Deze functie (SCEP-parameterconfiguratie via DHCP optie 43) is alleen beschikbaar voor de telefoon die is teruggezet naar de fabrieksinstellingen.
- Telefoons mogen niet worden geplaatst in een netwerk dat optie 43 en externe provisioning ondersteunt (bijvoorbeeld opties 66,160,159,150 of cloud provisioning). Anders krijgen de telefoons mogelijk niet de optie 43-configuratie.
Ga als volgt te werk om een CDC-certificaat te installeren met behulp van de SCEP-parameters die zijn opgegeven in optie 43 van DHCP:
- Bereid een SCEP-omgeving voor.
Raadpleeg uw SCEP-serverdocumentatie voor informatie over de SCEP-omgeving.
- Stel DHCP-optie 43 in (gedefinieerd in 8.4 Leveranciersspecifieke informatie, RFC 2132).
Subopties (10-15) zijn voorbehouden voor de methode:
Parameter op webpagina voor de telefoon Suboptie Type Lengte (byte) Verplicht FIPS-modus 10 booleaans 1 Nee* Server 11 tekenreeks 208 - lengte (Challenge-wachtwoord) Ja Vingerafdruk van Root CA 12 hex 20, 32, 48 of 64 Ja Controlewachtwoord 13 tekenreeks 208 - lengte (Server) Nee* 802.1X-verificatie inschakelen 14 booleaans 1 Nee Certificaat selecteren 15 niet-ondertekend, 8-bits 1 Nee * betekent dat de parameter is geconfigureerd volgens de werkelijke situatie.
Wanneer u DHCP-optie 43 gebruikt, let dan op de volgende kenmerken van de methode:
- Subopties (10–15) zijn voorbehouden voor CDC (Aangepast apparaatcertificaat).
- De maximumlengte van DHCP-optie 43 is 255 bytes.
- De maximumlengte van Server + Controlewachtwoord moet minder dan 208 bytes zijn.
- De waarde van de FIPS-modus moet in overeenstemming zijn met de inrichtingsconfiguratie bij onboarding. Anders kan de telefoon het eerder geïnstalleerde certificaat na onboarding niet ophalen. Specifiek,
- Als de telefoon wordt geregistreerd in een omgeving waarin de FIPS-modus is uitgeschakeld, hoeft u deze niet te configureren. FIPS-modus in DHCP optie 43. Standaard is de FIPS-modus uitgeschakeld.
- Als de telefoon wordt geregistreerd in een omgeving waarin de FIPS-modus is ingeschakeld, moet u de FIPS-modus inschakelen in DHCP optie 43. Zie FIPS-modus inschakelen voor details.
- Het uitdagingswachtwoord in Optie 43 is in platte tekst.
- Als u wilt dat de telefoon MIC/SUDI gebruikt voor de eerste registratie en certificaatvernieuwing, laat u het uitdagingswachtwoord leeg.
- Als het uitdagingswachtwoord alleen voor de eerste inschrijving wordt gebruikt, configureert u het uitdagingswachtwoord. In dit geval wordt het geïnstalleerde certificaat gebruikt voor de certificaatvernieuwing.
- 802.1X-verificatie inschakelen en Certificaat selecteren worden alleen gebruikt voor telefoons in bekabelde netwerken.
- DHCP-optie 60 (Vendor Class Identifier) wordt gebruikt om het apparaatmodel aan te geven.
Voorbeeld van DHCP optie 43 (subopties 10–15):
Suboption decimaal/hex Lengte van de waarde (byte) decimaal/hex Waarde Hex-waarde 10/0a 1/01 1 (0: Uitgeschakeld; 1: Ingeschakeld) 01 11/0b 18/12 http://10.79.57.91 687474703a2f2f31302e37392e35372e3931 12/0c 20/14 12040870625C5B755D73F5925285F8F5FF5D55AF 12040870625C5B755D73F5925285F8F5FF5D55AF 13/0d 16/10 D233CCF9B9952A15 44323333434346394239393532413135 14/0e 1/01 1 (0: Nee; 1: Ja) 01 15/0f 1/01 1 (0: Fabrieksinstallatie; 1: Aangepaste installatie) 01 Samenvatting van de parameterwaarden:
-
FIPS-modus =
Ingeschakeld -
Server =
http://10.79.57.91 -
Root CA-vingerafdruk =
12040870625C5B755D73F5925285F8F5FF5D55AF -
Controlewachtwoord =
D233CCF9B9952A15 -
802.1X-verificatie inschakelen =
Ja -
Certificaat selecteren =
Aangepaste installatie
De syntaxis van de uiteindelijke hexadecimale waarde is:
{<suboptie><lengte><waarde>}...Volgens de bovenstaande parameterwaarden is de uiteindelijke hexwaarde als volgt:
0a01010b12687474703a2f2f31302e37392e35372e39310c1412040870625C5B755D73F5925285F8F5FF5D55AF0d10443233334343463942393935324131350e01010f0101 - Configureer DHCP-optie 43 op een DHCP-server.
Deze stap bevat een voorbeeld van configuraties van DHCP-optie 43 op Cisco Network Register.
- Voeg een definitieset met DHCP-opties toe.
De Vendor Option String is de modelnaam van de IP-telefoons. De geldige waarde is: DP-9841, DP-9851, DP-9861, DP-9871 of CP-8875.
- Voeg de DHCP-optie 43 en-subinstellingen toe aan de definitieset met DHCP-opties.
Voorbeeld:
- Voeg optie 43 toe aan het DHCP-beleid en stel de waarde als volgt in:
Voorbeeld:
(10 1)(11 http://10.79.57.91)(12 12040870625C5B755D73F5925285F8F5FF5D55AF)(13 D233CCF9B9952A15)(14 1)(15 1) - Controleer de instellingen. Met Wireshark kunt u een spoor van het netwerkverkeer tussen de telefoon en de service vastleggen.
- Voeg een definitieset met DHCP-opties toe.
- Voer een reset van de fabrieksinstellingen uit voor de telefoon.
Nadat de telefoon opnieuw is ingesteld, worden de parameters Server, Root CA-vingerafdruk en Controlewachtwoord automatisch ingevuld. Deze parameters bevinden zich in de sectie SCEP-configuratie 1 van op de webpagina voor telefoonbeheer.
Als u details van het geïnstalleerde certificaat wilt controleren, klikt u Weergeven in het gedeelte Bestaande certificaten.
Om de installatiestatus van het certificaat te controleren, selecteert u . Bij Downloadstatus 1 wordt het laatste resultaat weergegeven. Als zich een probleem voordoet tijdens het aanmelden van het certificaat, kan de downloadstatus de reden van het probleem aangeven.
Als de wachtwoordverificatie voor de uitdaging mislukt, worden gebruikers gevraagd het wachtwoord in te voeren op het telefoonscherm.
- (Optioneel): Om het geïnstalleerde certificaat van de telefoon te verwijderen, klikt u op Verwijderen in de sectie Bestaande certificaten .
Nadat u op de knop hebt geklikt, start het proces voor verwijderen meteen, zonder een bevestiging te vragen.
Inrichting van algemene naam of gebruikers-ID via DHCP optie 15
Tijdens de SCEP-certificaatinschrijving via optie 43 van DHCP kan de telefoon ook de domeinnaam ophalen die is opgegeven in optie 15 van DHCP (indien geconfigureerd). Nadat de telefoon de domeinnaam heeft ontvangen, kan deze de algemene naam of gebruikers-ID met de domeinnaam samenstellen. Dit wordt als volgt weergegeven:
- Algemene naam = <Algemene naam in MIC/SUDI >.<Domeinnaam in optie 15>
De Common Name wordt gebruikt voor CSR in het SCEP-proces en zal later de Common Name in CDC zijn.
- Gebruikers-ID = <Algemene naam in MIC/SUDI >@<Domeinnaam in optie 15>
De gebruikers-ID wordt gebruikt als identiteit voor bekabelde 802.1X-authenticatie.
Het adres van de telefoon MAC is bijvoorbeeld 00:1A:2B:3C:4D:5E, het telefoonmodel is 9871:
| Domeinnaam in DHCP optie 15 | Algemene naam | Gebruikers-id |
|---|---|---|
| example.nl | CP-9871-SEP001A2B3C4D5E.example.nl | CP-9871-SEP001A2B3C4D5E@example.nl |
| Leeg | CP-9871-SEP001A2B3C4D5E |
CP-9871-SEP001A2B3C4D5E |
Als de domeinnaam niet is geconfigureerd in optie 15, zijn de algemene naam en gebruikers-ID hetzelfde als de algemene naam in MIC/SUDI.
