In dit artikel
Ondersteunde beveiligingsfuncties
dropdown icon
Beveiliging telefoongesprek
    Identificatie voor conferentiegesprek
    Identificatie veilig telefoongesprek
    Codering voor inbreren inbrek
dropdown icon
Wireless LAN-beveiliging
    Een profiel Wi-Fi instellen
    Een gebruikerscertificaat installeren via de webpagina Telefoonbeheer
    Een verificatieserver-CA installeren via de webpagina telefoonbeheer
    Een beveiligingscertificaat handmatig verwijderen van de webpagina telefoonbeheer
    SCEP instellen
Een lokaal significant certificaat (LSC) instellen
dropdown icon
802.1X-verificatie voor bekabelde netwerken
    802.1X-verificatie inschakelen voor bekabelde netwerken op de telefoon
    802.1X-verificatie inschakelen voor bekabelde netwerken in Cisco Unified Communications Manager Administration
    Menu Beveiligingsinstellingen op de telefoon
De ondersteunde versies van TLS instellen
TURN luidspreker en headset uit op Cisco draadloze telefoon 9821
Cisco Draadloze telefoon 9821 beveiliging (Unified CM)
list-menuIn dit artikel
list-menuFeedback?

Dit Help-artikel is voor Cisco Wireless Phone 9821 geregistreerd bij Cisco Unified Communications Manager (Unified CM).

U kunt Cisco Unified Communications Manager (Unified CM) inschakelen onder een verbeterde beveiligingsomgeving. Met deze verbeteringen kan uw telefoonnetwerk werken met een set strikte beveiligings- en risicobeheerinstellingen om u en uw gebruikers te beschermen.

De verbeterde beveiligingsomgeving bevat de volgende functies:

  • Verificatie bij zoeken naar contacten

  • TCP als het standaardprotocol voor externe auditlogbestanden

  • Een verbeterd beleid voor aanmeldingsgegevens

  • Ondersteuning voor SHA-2-familie hashes voor digitale signatures

  • Ondersteuning voor RSA sleutelformaat tot 4096 bits

Met Cisco Unified CM versie 14.0 of hoger ondersteunen de telefoons SIP OAuth-verificatie.

OAuth wordt ondersteund voor Proxy Trivial File Transfer Protocol (TFTP) met Cisco Unified CM Release 14.0 (1) SU1 of hoger.

Raadpleeg de volgende richtlijnen voor meer informatie over beveiliging:

Uw telefoon kan slechts een beperkt aantal ITL-bestanden (Identity Trust List) opslaan. ITL-bestanden kunnen niet hoger zijn dan 64 KK op de telefoon, dus beperk het aantal bestanden dat Cisco Unified CM naar de telefoon verzendt.

Ondersteunde beveiligingsfuncties

Beveiligingsfuncties beschermen tegen bedreigingen, waaronder bedreigingen van de identiteit van de telefoon en gegevens. Deze functies vormen en onderhouden geverifieerde communicatiestromen tussen de telefoon en de Cisco Unified Communications Manager-server en zorgen dat de telefoon alleen digitaal ondertekende bestanden gebruikt.

Cisco Unified Communications Manager Release 8.5(1) en hoger omvat standaardbeveiliging met de volgende functies voor Cisco IP-telefoons waarop geen CTL-client wordt uitgevoerd:

  • Ondertekenen van telefoonconfiguratiebestanden

  • Codering telefoonconfiguratiebestand

  • HTTPS met Tomcat en andere webservices

Veilige signalering en mediafuncties vereisen nog steeds dat u de CTL-client uitvoert en hardware-eTokens gebruikt.

Door beveiliging te implementeren in het Cisco Unified Communications Manager-systeem voorkomt u identiteitsdiefstal van de telefoon en de Cisco Unified Communications Manager-server, en ongewenste bewerking van gegevens, gespreksignalen en mediastreams.

Als bescherming tegen deze bedreigingen brengt het Cisco IP-telefonienetwerk beveiligde (gecodeerde) communicatiestromen tot stand tussen een telefoon en de server, worden bestanden digitaal ondertekend voordat ze worden overgebracht naar een telefoon en worden mediastromen en gespreksignalen tussen Cisco IP-telefoons gecodeerd.

Er wordt een LSC-certificaat (Locally Significant Certificate) op de telefoons geïnstalleerd nadat u de vereiste taken hebt uitgevoerd die samenhangen met de Certificate Authority Proxy Function (CAPF). U kunt Cisco Unified Communications Manager Administration gebruiken om een LSC te configureren, zoals wordt beschreven in de beveiligingshandleiding vanCisco Unified Communications Manager. U kunt ook de installatie van een LSC starten vanuit het menu Beveiliging op de telefoon. Met dit menu kunt u een LSC bijwerken en verwijderen.

De telefoons gebruiken het beveiligingsprofiel van de telefoon, dat aangeeft of het apparaat niet-veilig of veilig is. Voor meer informatie over het toepassen van het beveiligingsprofiel op de telefoon, raadpleegt u de documentatie bij uw specifieke versie van Cisco Unified Communications Manager.

Als u de beveiligingsinstellingen in Cisco Unified Communications Manager Administration configureert, bevat het telefoon-configuratiebestand vertrouwelijke informatie. Om te zorgen voor de privacy van een configuratiebestand moet u dit configureren voor codering. Voor gedetailleerde informatie raadpleegt u de documentatie bij uw specifieke versie van Cisco Unified Communications Manager.

In de volgende tabel ziet u een overzicht van de beveiligingsfuncties die door de telefoons worden ondersteund. Voor meer informatie raadpleegt u de documentatie bij uw specifieke versie van Cisco Unified Communications Manager.

Tabel 1. Overzicht van beveiligingsfuncties

Functie

Beschrijving

Verificatie afbeelding

Ondertekende binaire bestanden verhinderen dat de firmware wordt gewijzigd voordat deze op een telefoon wordt geladen.

Als de afbeelding wordt gewijzigd, kan het verificatieproces op de telefoon mislukken en de nieuwe afbeelding worden geweigerd.

Installatie certificaat op klantlocatie

Elke Cisco IP-telefoon vereist een uniek certificaat voor apparaatverificatie. Telefoons bevatten een in de fabriek geïnstalleerd certificaat (MIC), maar voor extra beveiliging kunt u in Cisco Unified Communications Manager Administration opgeven dat een certificaat wordt geïnstalleerd met Certificate Authority Proxy Function (CAPF). U kunt ook Locally Significant Certificate (LSC) installeren via het menu Beveiliging op de telefoon.

Apparaatverificatie

Vindt plaats tussen de Cisco Unified Communications Manager-server en de telefoon wanneer elke entiteit het certificaat van de andere entiteit accepteert. Bepaalt of een veilige verbinding tussen de telefoon en Cisco Unified Communications Manager nodig is en maakt zo nodig een veilig signaleringspad tussen de entiteiten met TLS-protocol. In Cisco Unified Communications Manager worden telefoons pas geregistreerd, als ze kunnen worden geverifieerd.

Bestandsverificatie

Valideert digitaal ondertekende bestanden die de telefoon downloadt. De telefoon valideert de handtekening zodat het bestand na het maken niet wordt gewijzigd. Bestanden waarvan de verificatie mislukt, worden niet weggeschreven naar het flashgeheugen op de telefoon. De telefoon weigert zulke bestanden zonder verdere verwerking.

Bestandscodering

Codering voorkomt dat vertrouwelijke informatie wordt weergegeven, terwijl het bestand op weg naar de telefoon is. Bovendien valideert de telefoon de handtekening zodat het bestand na het maken niet wordt gewijzigd. Bestanden waarvan de verificatie mislukt, worden niet weggeschreven naar het flashgeheugen op de telefoon. De telefoon weigert zulke bestanden zonder verdere verwerking.

Verificatie signalering

Gebruikt het TLS-protocol om te valideren dat de signaleringspakketten niet zijn gewijzigd tijdens de verzending.

Manufacturing Installed Certificate

Elke Cisco IP-telefoon vereist een uniek tijdens de fabricage geïnstalleerd certificaat (Manufacturing Installed Certificate, MIC) voor apparaatverificatie. MIC levert een permanent uniek identiteitsbewijs voor de telefoon waarmee Cisco Unified Communications Manager de telefoon kan verifiëren.

Mediacodering

Gebruikt SRTP om te zorgen dat de mediastromen tussen ondersteunde apparaat veilig zijn dat alleen het bedoelde apparaat de gegevens ontvangt en leest. Dit omvat het maken van een mediahoofdsleutelpaar voor de apparaten, het leveren van de sleutels aan de apparaten en het beveiligen van de sleutels tijdens het transport.

CAPF (Certificate Authority Proxy Function)

Implementeert delen van de certificaatgeneratieprocedure met een te intensieve verwerking voor de telefoon en communiceert met de telefoon voor het genereren van sleutels en het installeren van het certificaat. De CAPF kan worden geconfigureerd voor het aanvragen van certificaten voor de telefoon bij door de klant opgegeven certificeringsinstanties of voor het lokaal genereren van certificaten.

Zowel de toetstypen EC (elliptische curven) als RSA worden ondersteund. Als u de sleutel EC wilt gebruiken, moet de parameter 'Endpoint Advanced Encryption Algorithms Support' (van Systeem > Enterprise parameter) zijn ingeschakeld.

Raadpleeg de volgende documenten voor meer informatie over CAPF en verwante configuraties:

Beveiligingsprofiel

Bepaalt of de telefoon onveilig, geverifieerd, gecodeerd of beveiligd is. Andere vermeldingen in deze tabel beschrijven beveiligingsfuncties.

Gecodeerde configuratiebestanden

Garandeert de privacy van de telefoonconfiguratiebestanden.

Optionele webserver uitschakelen voor een telefoon

Omwille van de beveiliging kunt u toegang tot de webpagina's voor een telefoon (met verschillende operationele statistische gegevens voor de telefoon) en de Self Care Portal verhinderen.

Telefoon versterken

Aanvullende beveiligingsopties die u beheert via Cisco Unified Communications Manager Administration:

  • Gratuitous ARP (GARP) uitschakelen
  • Toegang tot het menu Instellingen uitschakelen of beperkte toegang verlenen
  • Toegang tot webpagina's voor telefoonbeheer uitschakelen
  • Bluetooth-accessoirepoort uitschakelen
  • TLS-cijfers beperken

SIP-Failover voor SRST beveiligen

Nadat u een SRST-referentie (Survivable Remote Site Telephony) voor beveiliging hebt geconfigureerd en de afhankelijke apparaten in Cisco Unified Communications Manager Administration hebt gereset, voegt de TFTP-server het SRST-certificaat toe aan het cnf.xml-bestand en stuurt het bestand naar de telefoon. Een veilige telefoon gebruikt vervolgens een TLS-verbinding voor interactie met de SRST-router.

Codering signalering

Zorgt ervoor dat alle SIP-signaleringsberichten die worden verzonden tussen het apparaat en de Cisco Unified Communications Manager-server worden gecodeerd.

Waarschuwing bijwerken vertrouwde lijst

Wanneer de vertrouwde lijst op de telefoon wordt gewijzigd, ontvangt de Cisco Unified Communications Manager een waarschuwing om aan te geven of het bijwerken al dan niet is gelukt. Raadpleeg de volgende tabel voor meer informatie.

AES 256-codering

Bij verbinding met Cisco Unified Communications Manager Release 10.5(2) en hoger ondersteunen de telefoons AES 256-codering voor TLS en SIP voor signalering en mediacodering. Zo kunnen telefoons TLS 1.2-verbinding initiëren en ondersteunen met op AES-256 gebaseerde cijfers conform SHA-2-standaarden (Secure Hash Algorithm) en compatibel met Federal Information Processing Standards (FIPS). De cijfers omvatten:

  • Voor TLS-verbindingen:
    • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
    • TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
  • Voor sRTP:
    • AEAD_AES_256_GCM
    • AEAD_AES_128_GCM

Voor meer informatie raadpleegt u de documentatie bij Cisco Unified Communications Manager.

Elliptic Curve Digital Signature Algorithm (ECDSA)-certificaten

Als onderdeel van het CC-certificaat (Common Criteria), zijn er in Cisco Unified Communications Manager-versie 11.0 ECDSA-certificaten toegevoegd. Dit geldt voor alle VOS-producten (spraakbesturingssysteem) waarop versie CUCM 11.5 en hoger wordt uitgevoerd.

Tomcat-certificaat multi-server (SAN) met Cisco UCM

De telefoon ondersteunt Cisco UCM met Tomcat-certificaten (multi-server) geconfigureerd. Het juiste serveradres TFTP vindt u in het ITL-bestand van de telefoonregistratie.

Raadpleeg de volgende onderwerpen voor meer informatie over de functie:

De volgende tabel bevat de waarschuwingsberichten voor het bijwerken van de vertrouwde lijst en de betekenis daarvan. Voor meer informatie raadpleegt u de documentatie bij Cisco Unified Communications Manager.

Tabel 2. Waarschuwingsberichten bijwerken vertrouwde lijst
Code en bericht Beschrijving

1 - TL_SUCCESS

Nieuwe CTL en/of ITL ontvangen

2 - CTL_INITIAL_SUCCESS

Nieuwe CTL ontvangen, geen bestaande TL

3 - ITL_INITIAL_SUCCESS

Nieuwe ITL ontvangen, geen bestaande TL

4 - TL_INITIAL_SUCCESS

Nieuwe CTL en ITL ontvangen, geen bestaande TL

5 - TL_FAILED_OLD_CTL

Bijwerken nieuwe CTL mislukt, maar vorige TL bestaat

6 - TL_FAILED_NO_TL

Bijwerken nieuwe TL mislukt en oude TL bestaat niet

7 - TL_FAILED

Algemene fout

8 - TL_FAILED_OLD_ITL

Bijwerken nieuwe ITL mislukt, maar vorige TL bestaat

9 - TL_FAILED_OLD_TL

Bijwerken nieuwe TL mislukt, maar vorige TL bestaat

Beveiliging telefoongesprek

Wanneer beveiliging is geïmplementeerd voor een telefoon, kunt u veilige telefoongesprekken herkennen aan de pictogrammen op het telefoonscherm. U kunt ook bepalen of de verbonden telefoon veilig is en beschermd als een beveiligingstoon weerklinkt aan het begin van het gesprek.

In een beveiligd gesprek worden alle gespreksignalen en mediastreams gecodeerd. Een beveiligd gesprek biedt een hoog beveiligingsniveau, met integriteit en privacy voor het gesprek. Wanneer een actief gesprek is versleuteld, wordt het pictogram Beveiligd weergegeven 9821 pictogram Beveiligd gesprek Op de lijn.

  • Als het gesprek wordt gerouteerd via niet-IP-gesprekspaden, zoals bijvoorbeeld PSTN, kan het gesprek onveilig worden ook al is het gecodeerd binnen het IP-netwerk en is er een vergrendelingspictogram aan gekoppeld.

  • Beveiligd bellen wordt alleen ondersteund voor verbindingen tussen twee telefoons. Bepaalde functies zoals conferentiegesprekken en gedeelde lijnen, zijn niet beschikbaar wanneer beveiligd bellen is geconfigureerd.

In Cisco Unified Communications Manager kan aan telefoons die zijn geconfigureerd als veilig (gecodeerd en vertrouwd), een beveiligde status krijgen. Nadat deze apparaten zijn beveiligd, kunnen ze zo worden geconfigureerd dat ze bij het begin van elk gesprek een beveiligingstoon afspelen.

  • Beveiligd apparaat:

    Ga als volgt te werk om de status van een beveiligde telefoon te wijzigen in beveiligd:

    1. Selecteer apparaat > telefoon in Cisco Unified Communications Manager Administration.
    2. Ga naar de telefoon die u wilt instellen.
    3. Schakel in het venster Telefoonconfiguratie het selectievakje Beveiligd apparaat in.
    4. Klik op Opslaan.
  • Play Secure Indication Tone (veilige indicatie):

    Ga als volgt te werk om ervoor te zorgen dat de beveiligde telefoon een veilige of onbeveiligde indicatietoon afspeelt:

    1. Selecteer in Cisco Unified Communications Manager Administration de optie Systeem > Serviceparameters.
    2. Selecteer de server en vervolgens de Cisco CallManager-service .
    3. Stel in het gebied Parameters voor de gehele cluster (Functie - Veilige toon) de afspeeltoon voor de instelling Veilige/niet-beveiligde gespreksstatus in op Waar.
    4. Klik op Opslaan.

Identificatie voor conferentiegesprek

U kunt een veilig conferentiegesprek starten en het beveiligingsniveau van de deelnemers controleren. Een veilig conferentiegesprek wordt met dit proces tot stand gebracht:

  1. Een gebruiker start het conferentiegesprek vanaf een veilige telefoon.

  2. Cisco Unified Communications Manager wijst een veilige conferentiebrug toe aan het gesprek.

  3. Als deelnemers worden toegevoegd, controleert Cisco Unified Communications Manager de beveiligde modus van elke telefoon en wordt het beveiligingsniveau voor de conferentie gehandhaafd.

  4. Op het telefoonscherm wordt het beveiligingsniveau van het conferentiegesprek weergegeven. Het pictogram Beveiligd wordt weergegeven voor een beveiligde vergadering 9821 pictogram Beveiligd gesprek.

Beveiligd bellen wordt ondersteund tussen twee telefoons. Voor beveiligde telefoons zijn bepaalde functies zoals conferentiegesprekken, gedeelde lijnen en Extension Mobility, niet beschikbaar wanneer beveiligd bellen is geconfigureerd.

De volgende tabel bevat informatie over wijzigingen in conferentiebeveiligingsniveaus afhankelijk van het beveiligingsniveau van de telefoon van de initiator, de beveiligingsniveaus van de deelnemers en de beschikbaarheid van veilige conferentiebruggen.

Tabel 3. Beveiligingsrestricties met conferentiegesprekken

Initiator beveiligingsniveau telefoon

Gebruikte functie

Beveiligingsniveau van deelnemers

Resultaten van actie

Onveilig

Conferentie

Beveiligd

Onveilige conferentiebrug

Onveilige conferentie

Beveiligd

Conferentie

Er is ten minste één lid niet veilig.

Veilige conferentiebrug

Onveilige conferentie

Beveiligd

Conferentie

Beveiligd

Veilige conferentiebrug

Veilig gecodeerd niveau conferentie

Onveilig

Meet Me

Minimum beveiligingsniveau is gecodeerd.

De organisator ontvangt opnieuwvolgordetoon.

Beveiligd

Meet Me

Minimum beveiligingsniveau is onveilig.

Veilige conferentiebrug

Conferentie accepteert alle gesprekken.

Identificatie veilig telefoongesprek

Een veilig gesprek wordt tot stand gebracht als uw telefoon en de telefoon aan de andere kant zijn geconfigureerd voor veilig bellen. De andere telefoon kan zich in hetzelfde Cisco IP-netwerk bevinden of in een netwerk buiten het IP-netwerk. Beveiligde oproepen kunnen alleen plaatsvinden tussen twee telefoons. Conferentiegesprekken ondersteunen veilige gesprekken nadat een veilige conferentiebrug is ingesteld.

Een veilig gesprek wordt als volgt tot stand gebracht:

  1. Een gebruiker start het gesprek vanaf een veilige telefoon (beveiligde modus).

  2. Het pictogram Beveiligd wordt weergegeven op de telefoon 9821 pictogram Beveiligd gesprek Te selecteren op het telefoonscherm. Dit pictogram geeft aan dat de telefoon is geconfigureerd voor veilige gesprekken, maar niet dat de andere verbonden telefoon ook beveiligd is.

  3. De gebruiker hoort een beveiligingstoon als het gesprek wordt verbonden met de andere beveiligde telefoon, wat aangeeft dat het gesprek aan beide einden wordt gecodeerd en beveiligd. Als het gesprek tot stand komt met een onbeveiligde telefoon, hoort de gebruiker geen beveiligingstoon.

Beveiligd bellen wordt ondersteund tussen twee telefoons. Voor beveiligde telefoons zijn bepaalde functies zoals conferentiegesprekken, gedeelde lijnen en Extension Mobility, niet beschikbaar wanneer beveiligd bellen is geconfigureerd.

Deze indicatietonen voor beveiligd of niet beveiligd bellen worden alleen afgespeeld op beveiligde telefoons. Onbeveiligde telefoons spelen nooit tonen af. Als de algemene gespreksstatus wijzigt tijdens een gesprek, verandert de indicatietoon en speelt de beveiligde telefoon de bijbehorende toon af.

Wanneer de optie Toon afspelen om de status van een beveiligd/niet-beveiligd gesprek aan te geven is ingesteld op Waar:

  • Als end-to-end beveiligde media wordt opgezet en de gespreksstatus beveiligd is, speelt de telefoon de beveiligde indicatietoon af (drie lange piepjes met pauzes).

  • Als end-to-end niet-beveiligde media wordt opgezet en de gespreksstatus niet-beveiligd is, speelt de telefoon de niet-beveiligde indicatietoon af (zes korte piepjes met korte pauzes).

Als de optie Afspeeltoon voor het aangeven van veilige/niet-beveiligde gespreksstatus is ingesteld op Onwaar, wordt er geen toon afgespeeld.

Codering voor inbreren inbrek

Cisco Unified Communications Manager controleert de telefoonbeveiligingstatus wanneer conferenties tot stand worden gebracht. De beveiligingsaanduiding voor de conferentie wordt gewijzigd of de voltooiing van het gesprek wordt geblokkeerd om de integriteit en beveiliging in het systeem te handhaven.

Een gebruiker kan niet inbreken in een gecodeerd gesprek als de telefoon die wordt gebruikt voor inbreken, niet is geconfigureerd voor codering. Wanneer het inbreken mislukt, wordt een herkiestoon (snelle bezettoon) afgespeeld op de telefoon waarop het inbreken is gestart.

Als de telefoon van de initiator is geconfigureerd voor versleuteling, kan de initiator inbreken in een onbeveiligd gesprek via de gecodeerde telefoon. Na het inbreken wordt het gesprek in Cisco Unified Communications Manager als niet-beveiligd geclassificeerd.

Als de telefoon van de initiator is geconfigureerd voor versleuteling, kan de initiator inbreken in een gecodeerd gesprek en op de telefoon wordt aangegeven dat het gesprek is gecodeerd.

Wireless LAN-beveiliging

Omdat alle WLAN-apparaten die binnen het bereik zijn al het andere WLAN-verkeer kunnen ontvangen, is veilige gesproken communicatie van cruciaal belang in WLAN's. Om te voorkomen dat indringers het spraakverkeer niet manipuleren of onderscheppen, ondersteunt de architectuur Cisco SAFE Security de telefoon. Ziehttp://www.cisco.com/en/US/netsol/ns744/networking_solutions_program_home.html voor meer informatie over de beveiliging van netwerken.

De oplossing Cisco Wireless IP telefonie biedt een draadloze netwerkbeveiliging die ongeoorloofde aanmeldingen en gevaar voorkomt dat communicatie wordt verhinderd door gebruik te maken van de volgende verificatiemethoden die de telefoon ondersteunt.

  • Open verificatie: een draadloos apparaat kan verificatie aanvragen in een open systeem. Het toegangspunt dat het verzoek ontvangt, verleent verificatie voor een aanvrager of alleen voor aanvragers in een lijst met gebruikers. De communicatie tussen het draadloze apparaat en het Toegangspunt (AP) kan niet zijn versleuteld.

  • Extensible Authentication Protocol-Flexible Authentication via Secure Tunneling (EAP-FAST) Authentication: deze beveiligingsarchitectuur voor clientservers versleutelt EAP transacties binnen een tunnel voor Transport Level Security (TLS) tussen de AP en de RADIUS-server, zoals Ise (Identity Services Engine).

    De TLS-tunnel gebruikt PAC (Protected Access Credentials) voor de verificatie tussen de client (telefoon) en de RADIUS-server. De server verstuurt een Authority ID (AID) naar de client (telefoon), die vervolgens de juiste PAC selecteert. De client (telefoon) retourneert een PAC-Opaque naar de RADIUS-server. De server decodeert de PAC met de hoofdsleutel. Beide eindpunten bevatten nu de PAC-sleutel en een TLS-tunnel wordt gemaakt. EAP-FAST ondersteunt automatische PAC-levering, maar u moet dit inschakelen op de RADIUS-server.

    In ISE verloopt de PAC standaard binnen één week. Als de telefoon een verlopen PAC heeft, duurt verificatie met de RADIUS-server langer terwijl de telefoon een nieuwe PAC krijgt. Om vertragingen in de PAC-levering te voorkomen stelt u de PAC-vervalperiode in op 90 dagen of meer op de ISE-of RADIUS-server.

  • EAP-TLS-verificatie (Extensible Authentication Protocol-Transport Layer Security): EAP-TLS vereist een clientcertificaat voor verificatie en netwerktoegang. Voor draadloze EAP-TLS kan het clientcertificaat MIC, LSC, of een door de gebruiker geïnstalleerd certificaat zijn.

  • Protected Extensible Authentication Protocol (PEAP): Cisco's eigen op wachtwoorden gebaseerde wederzijdse verificatieschema tussen de client (telefoon) en een RADIUS-server. De telefoon kan PEAP gebruiken voor verificatie met het draadloze netwerk. Zowel de PEAP-MSCHAPV2 als PEAP-GTC verificatiemethoden worden ondersteund.

  • Pre-Shared Key (PSK):de telefoon ondersteunt ASCII en hexadecimale (HEX) indelingen. U moet deze indelingen gebruiken bij het instellen van een PRE-shared sleutel (WPA2/SAE).

    ASCII: een ASCII-tekenreeks met 8 tot 63 tekens (0-9, kleine letters a-z, hoofdletters A-Z en speciale tekens). Bijvoorbeeld GREG123567@9ZX&W.

    HEX: een HEX-tekenreeks met een lengte van 64 hex cijfers (0-9, a-f of A-F).

De volgende verificatieschema's gebruiken de RADIUS-server om verificatiesleutels te beheren:

  • WPA2/WPA3: gebruikt RADIUS-serverinformatie voor het genereren van unieke sleutels voor de verificatie. Omdat deze sleutels zijn gegenereerd op de centrale RADIUS-server, biedt WPA2/WPA3 betere beveiliging dan de vooraf gedeelde WPA-sleutels die op de telefoon en het toegangspunt zijn opgeslagen.

  • Snelle beveiligde roaming: gebruikt de RADIUS-server en de gegevens van een draadloze domeinserver (WDS) voor het beheren en verifiëren van sleutels. De WDS maakt een cache met beveiligingsreferenties voor CLIENTapparaten met FT-ondersteuning voor snelle en veilige reauthenticatie.

Bij WPA2/WPA3 worden coderingssleutels niet ingevoerd op de telefoon, maar worden automatisch afgeleid tussen het AP en de telefoon. Maar de EAP-gebruikersnaam en het wachtwoord die worden gebruikt voor de verificatie, moeten worden ingevoerd op elke telefoon.

Om spraakverkeer via de draadloze koppeling te beveiligen, ondersteunt de telefoon op basis van AES-codering voor WPA2/WPA3-verificatie. AES is een door NIST standaard symmetrische blokversleuteling. AES werkt met een vaste 128-bits blokgrootte en ondersteunt sleutelgroottes van 128 bits, 192 bits en 256 bits. In Wi-Fi netwerken wordt AES gebruikt door versleutelingssuites zoals CCMP of DEZE, terwijl verificatie afzonderlijk wordt geleverd door PSK, SAE of 802.1X/EAP, afhankelijk van de geconfigureerde beveiligingsmodus van WLAN. De ondersteunde codeersuite en het sleutelformaat zijn afhankelijk van het telefoonmodel en de configuratie van WLAN.

Wanneer de telefoon gebruikmaakt van AES-codering, worden zowel de signaleringsgroep SIP- als de spraakpakketten Met het Real-Time Transport Protocol (RTP) gecodeerd tussen het AP en de telefoon.

Verificatie en coderingschema's worden ingesteld binnen het draadloze LAN-netwerk. VLAN's zijn geconfigureerd in het netwerk en op de toegangspunten en geven verschillende verificatie- en coderingscombinaties. Een SSID wordt gekoppeld aan een VLAN en het specifieke verificatie- en coderingsschema. Voor verificatie van draadloze clientapparaten moet u dezelfde SSID's configureren met hun verificatie- en coderingsprogramma's op de AP's en op de telefoon.

Sommige verificatieschema's vereisen specifieke coderingstypen.

Wanneer u WPA2 een vooraf gedeelde sleutel of SAE gebruikt, moet de vooraf gedeelde sleutel statisch op de telefoon worden ingesteld. Deze sleutels moeten overeenkomen met de sleutels op het toegangspunt.

De verificatie- en encryptieschema's in de volgende tabel tonen de netwerkconfiguratieopties voor Cisco Wireless Phone 9821 die overeenkomt met de AP-configuratie.

Tabel 4. Verificatie- en coderingschema's
FSR-typeVerificatieToetsbeheerCoderingPMF (Protected Management Frame)
802.11r (FT)PSK

WPA-PSK

WPA-PSK-SHA256

FT-PSK

AESNee
802.11r (FT)WPA3

SAE

FT-SAE

AESJa
802.11r (FT)EAP-TLS

WPA-EAP

FT-EAP

AESNee
802.11r (FT)EAP-TLS (WPA3)

WPA-EAP-SHA256

FT-EAP

AESJa
802.11r (FT)EAP-FAST

WPA-EAP

FT-EAP

AESNee
802.11r (FT)EAP-FAST (WPA3)

WPA-EAP-SHA256

FT-EAP

AESJa
802.11r (FT)AP-PEAP

WPA-EAP

FT-EAP

AESNee
802.11r (FT)EAP-PEAP (WPA3)

WPA-EAP-SHA256

FT-EAP

AESJa
niet-FTSuite-BWPA-EAP-SUITE-BDEMPJa
niet-FTSuite B-192WPA-EAP-SUITE-B-192DEMPJa

Een nummer Wi-Fi instellen

U kunt een profiel Wi-Fi configureren en toewijzen aan Cisco Wireless Phone 9821. Dit profiel bevat de noodzakelijke parameters om de telefoon een verbinding nr Wi-Fi tot stand te brengen en u vervolgens te registreren bij Cisco Unified CM. Wanneer u profiel Wi-Fi maakt en gebruikt, hoeven u of uw gebruikers het draadloze netwerk voor afzonderlijke telefoons niet te configureren.

Het is raadzaam dat u een beveiligd profiel met TFTP-codering gebruikt om sleutels en wachtwoorden te beveiligen wanneer u een Wi-Fi-profiel gebruikt.

De telefoons ondersteunen één servercertificaat per installatiemethode (handmatig, SCEP of TFTP).

Houd rekening met het volgende voordat u het WLAN-profiel configureert:

  • Gebruikersnaam en wachtwoord

    • Wanneer uw netwerk EAP-FAST en PEAP voor gebruikersverificatie gebruikt, moet u de gebruikersnaam en het wachtwoord configureren als dit verplicht is voor de RADIUS (Remote Authentication Dial-In User Service) en de telefoon.

    • De referenties die u invoert in het draadloze LAN-profiel moeten identiek zijn aan de referenties die u hebt geconfigureerd op de RADIUS-server.
    • Als u domeinen binnen het netwerk gebruikt, moet u de gebruikersnaam en de domeinnaam invoeren in de indeling: domein\gebruikersnaam.

  • De volgende acties kunnen tot gevolg hebben dat het bestaande Wi-Fi-wachtwoord wordt gewist:

    • Een ongeldige gebruikers-id of een ongeldig wachtwoord invoeren
    • Een ongeldige of verlopen Root CA installeren als het EAP-type is ingesteld op PEAP-MSCHAPV2 of PEAP-GTC
    • Het gebruikte EAP-type uitschakelen op de RADIUS-server voordat de telefoon wordt overgeschakeld op het nieuwe EAP-type
  • Als u het EAP-type wilt wijzigen, moet u eerst het nieuwe EAP type op de RADIUS-server inschakelen en vervolgens de telefoon naar het EAP-type overschakelen. Als alle telefoons zijn gewijzigd in het nieuwe EAP-type, kunt u desgewenst het vorige EAP-type uitschakelen.
1

Selecteer in Cisco Unified Communications Manager Administration Apparaat > Apparaatinstellingen > Draadloos LAN-profiel.

2

Klik op Nieuwe toevoegen.

3

Stel in het gedeelte Informatie draadloos LAN-profiel de volgende parameters in:

  • Naam: voer een unieke naam voor het Wi-Fi-profiel. Deze naam wordt weergegeven op de telefoon.

  • Beschrijving: voer een beschrijving in voor het Wi-Fi-profiel om dit profiel te onderscheiden van andere Wi-Fi-profielen.

  • Te wijzigen door de gebruiker: selecteer een optie:

    • Toegestaan: geeft aan dat de gebruiker wijzigingen in de Wi-Fi-instellingen van de telefoon kan aanbrengen. Deze optie is standaard geselecteerd.

    • Niet toegestaan: geeft aan dat de gebruiker geen wijzigingen in de Wi-Fi-instellingen op de telefoon kan aanbrengen.

    • Beperkt: geeft aan dat de gebruiker de Wi-Fi-gebruikersnaam en het wachtwoord op hun telefoon kan wijzigen. Maar gebruikers mogen geen wijzigingen aanbrengen in andere Wi-Fi-instellingen op de telefoon. Wanneer het netwerk EAP-TLS gebruikt voor gebruikersverificatie, kan de gebruiker het certificaattype kiezen (MIC, LSC of Gebruiker geïnstalleerd).

4

Stel de volgende parameters in in de sectie Draadloze instellingen:

  • SSID (netwerknaam): voer de netwerknaam in die beschikbaar is in de gebruikersomgeving waarmee de telefoon kan worden verbonden. Deze naam wordt weergegeven in de lijst met beschikbare netwerken op de telefoon en de telefoon kan verbinding maken met dit draadloze netwerk.

  • Frequentieband: beschikbare opties zijn Automatisch, 2,4 GHz en 5 GHz. Dit veld bepaalt de frequentieband waarvan de draadloze verbinding gebruikmaakt. Als u Automatisch selecteert, probeert de telefoon om de 5 GHz- of 6 GHz-band eerst te gebruiken. Vervolgens wordt de 2,4 GHz-band alleen gebruikt wanneer 5 GHz of 6 GHz niet beschikbaar is.

5

Stel in het gedeelte Verificatie-instellingen de verificatiemethode in op een van de volgende verificatiemethoden: EAP-FAST, EAP-TLS, PEAP-MSCHAPv2, PEAP-GTC, PSK en Geen.

Cisco Wireless Phone 9821 ondersteunt WEP niet.

Nadat u dit veld hebt ingesteld, ziet u mogelijk extra velden die u nodig hebt om in te stellen.

  • Gebruikerscertificaat: vereist voor EAP-TLS-verificatie. Selecteer MIC, LSC of Gebruiker geïnstalleerd. De telefoon vereist dat een certificaat wordt geïnstalleerd, automatisch vanaf de SCEP of handmatig vanaf de beheerpagina op de telefoon.

  • PSK wachtwoord: vereist voor PSK-verificatie. Voer het wachtwoord van 8 - 63 ASCII- of 64 hexadecimale tekens in.

  • Gedeelde aanmeldgegevens leveren: vereist voor EAP-FAST, PEAP-MSCHAPv2 en PEAP-GTC verificatie.

    • Als de gebruiker de gebruikersnaam en wachtwoord beheert, laat u de velden Gebruikersnaam en Wachtwoord leeg.

    • Als alle gebruikers dezelfde gebruikersnaam en hetzelfde wachtwoord delen, kunt u de informatie opgeven in de velden Gebruikersnaam en Wachtwoord.

    • Geef een beschrijving op in het veld Beschrijving van wachtwoord.

    Als u aan elke gebruiker een unieke gebruikersnaam en wachtwoord wilt toewijzen, moet u een profiel maken voor elke gebruiker.

Cisco Wireless Phone 9821 ondersteunt het veld Netwerktoegangsprofiel niet.

6

Klik op Opslaan.

Volgende stappen

Bind het profiel voor het Wireless LAN aan een profielgroep van WLAN en pas vervolgens WLAN profielgroep toe op een apparatenpool (Systeem>Apparaatpool) of rechtstreeks op de telefoon ( Apparaat >Telefoon).

Een gebruikerscertificaat installeren via de webpagina Telefoonbeheer

U kunt een gebruikerscertificaat handmatig op de telefoon installeren als SCEP (Simple Certificate Enrollment Protocol) niet beschikbaar is.

Het vooraf geïnstalleerde Manufacturing Installed Certificate (MIC) kan worden gebruikt als het gebruikerscertificaat voor EAP TLS.

Nadat het gebruikerscertificaat is geïnstalleerd, moet u de CA-ketting die het gebruikerscertificaat heeft uitgegeven toevoegen aan de vertrouwenslijst van de RADIUS-server.

Voordat u begint

Voordat u een gebruikercertificaat voor een telefoon kunt installeren, moet u:

  • Een gebruikerscertificaat op uw computer opslaan. Het certificaat moet de PKCS #12-indeling hebben.

  • Het wachtwoord van het certificaat ophalen. Het wachtwoord mag niet langer zijn dan 32 tekens.

1

Selecteer Certificaten op de webpagina voor telefoonbeheer.

2

Ga naar het veld Gebruiker geïnstalleerd en klik op Installeren.

3

Blader naar het certificaat op uw computer.

4

In het veld Wachtwoord ophalen voert u het certificaatwachtwoord in.

5

Klik op Uploaden.

6

Start de telefoon opnieuw nadat het uploaden voltooid is.

Een verificatieserver-CA installeren via de webpagina telefoonbeheer

U kunt een verificatieserver-CA handmatig op de telefoon installeren als SCEP (Simple Certificate Enrollment Protocol) niet beschikbaar is.

Het hoofd-CA-certificaat waarvoor het RADIUS-servercertificaat is uitgegeven, moet worden geïnstalleerd.

Voordat u begint

Voordat u een certificaat op een telefoon kunt installeren, moet een verificatieserver-CA op uw pc zijn opgeslagen. Het certificaat moet zijn gecodeerd in PEM (Base-64) of DER.

1

Selecteer Certificaten op de webpagina voor telefoonbeheer.

2

Ga naar het veld Verificatieserver CA en klik op Installeren.

3

Blader naar het certificaat op uw computer.

4

Klik op Uploaden.

5

Start de telefoon opnieuw nadat het uploaden voltooid is.

Een beveiligingscertificaat handmatig verwijderen van de webpagina telefoonbeheer

U kunt een beveiligingscertificaat handmatig verwijderen van de telefoon als Simple Certificate Enrollment Protocol (SCEP) niet beschikbaar is.

1

Selecteer Certificaten op de webpagina voor telefoonbeheer.

2

Zoek het certificaat op de pagina Certificaten.

3

Klik op Verwijderen.

4

Start de telefoon opnieuw nadat de verwijdering is voltooid.

SCEP instellen

Simple Certificate Enrollment Protocol (SCEP) is de norm voor het automatisch afgeven en vernieuwen van certificaten. Hiermee wordt voorkomen dat u certificaten handmatig op uw telefoon moet installeren.

De scep-productspecifieke configuratieparameters activeren

U moet de volgende SCEP-parameters configureren op Cisco Unified Communications Manager (Unified CM).

  • RA IP adres of hostnaam

  • SHA-1 of SHA-256 vingerafdruk van het CA-basiscertificaat voor de SCEP-server

De Cisco IOS Registration Authority (RA) dient als proxy voor de SCEP-server. De SCEP-client op de telefoon gebruikt de parameters die zijn gedownload van Cisco Unified CM. Nadat u de parameters hebt geconfigureerd, verzendt de telefoon een SCEP getcs-verzoek naar de RA en wordt het certificaat van de hoofd-CA gevalideerd met de gedefinieerde vingerafdruk.

1

Selecteer bij Cisco Unified Communications Manager Administration Apparaat > telefoon.

2

Zoek de telefoon.

3

Navigeer naar het gedeelte Productspecifieke configuratie-indeling.

4

Schakel het selectievakjeWLAN SCEP-server in om de SCEP-parameter te activeren.

5

Schakel het selectievakjeWLAN Vingerafdruk root CA (SHA256 of SHA1) in om de parameter SCEP QED te activeren.

ONDERSTEUNING voor SCEP-server

Als u een SCEP-server (Simple Certificate Enrollment Protocol) gebruikt, kan de server automatisch uw gebruikers- en servercertificaten onderhouden. Configureer op de SCEP-server de SCEP Registration Agent (RA) voor:

  • Fungeren als een vertrouwd PKI-punt

  • Fungeren als een PKI RA

  • Apparaatverificatie uitvoeren met een RADIUS-server

Zie de documentatie bij uw SCEP-server voor meer informatie.

Een lokaal significant certificaat (LSC) instellen

Er zijn enkele methoden om LSC te installeren. Deze voorbeeldtaak is van toepassing op het instellen van een LSC met de tekenreeksmethode voor verificatie op Cisco Wireless Phone 9821.

Voordat u begint

Zorg ervoor dat de beveiligingsconfiguraties Cisco Unified CM en certificate authority proxy function (CAPF) zijn voltooid.

  • Het CTL- of ITL-bestand heeft een CAPF-certificaat.

  • Controleer in Besturingssysteem van Cisco Unified Communications Administration of het CAPF-certificaat is geïnstalleerd.

  • CAPF wordt uitgevoerd en is geconfigureerd.

Meer informatie over deze instellingen vindt u in de documentatie bij versie Cisco Unified CM.

1

Haal de verificatiereeks CAPF op die is ingesteld toen CAPF werd geconfigureerd.

2

Open op de telefoon de Instellingen 9821 Settings app icon App.

3

Selecteer Admin settings > System configuration > Security > LSC.

4

Geef de verificatiereeks op.

5

Druk op Meer 9821 More button en selecteer Indienen.

De telefoon begint met het installeren, bijwerken of verwijderen van de LSC, afhankelijk van hoe CAPF is geconfigureerd. Wanneer de procedure is voltooid, verschijnt Geïnstalleerd of Niet geïnstalleerd op de telefoon.

Het proces voor het installeren, bijwerken of verwijderen van LSC kan geruime tijd in beslag nemen.

Wanneer de installatieprocedure voor de telefoon is voltooid, verschijnt het bericht Geïnstalleerd. Als de telefoon Niet geïnstalleerd aangeeft, is mogelijk de autorisatietekenreeks onjuist of is de telefoonupgrade niet ingeschakeld. Als bij de CAPF-bewerking de LSC wordt verwijderd, geeft de telefoon mogelijk Niet geïnstalleerd aan om aan te geven of de bewerking is geslaagd. De CAPF-server logt de foutmeldingen. Raadpleeg de CAPF-serverdocumentatie om de logbestanden te vinden en de betekenis van de foutmeldingen te achterhalen.

802.1X-verificatie voor bekabelde netwerken

Cisco Wireless Phone 9821 ondersteunt 802.1X-verificatie voor bekabelde netwerken. Deze wordt gewoonlijk gebruikt tijdens automatische provisionering wanneer de telefoon via een ondersteunde USB-naar-Ethernet-adapter op het bureaulader is aangesloten.

Ondersteuning voor 802.1x-verificatie op bedrade netwerken vereist verschillende componenten:

  • Cisco IP-telefoon: de telefoon initieert het verzoek voor toegang tot het netwerk. Cisco IP-telefoon bevat een 802.1X-supplicant. Met deze supplicant kunnen netwerkbeheerders de verbinding regelen van IP-telefoons met de LAN-switchpoorten. De huidige versie van de 802.1X-supplicant voor de telefoon gebruikt de opties EAP-FAST en EAP-TLS voor netwerkverificatie.

  • Verificatieserver: de verificatieserver en de switch moeten beide zijn geconfigureerd met een RADIUS-gedeeld geheim.

  • Switch: de switch moet 802.1X ondersteunen, zodat deze kan fungeren als verificator en de EAP-berichten kan doorsturen tussen de telefoon en de verificatieserver. Nadat de uitwisseling is afgerond, kan de switch toegang tot het netwerk toestaan of weigeren.

Cisco IP-telefoons en Cisco Catalyst-switches gebruiken traditioneel Cisco Discovery Protocol (CDP) om elkaar te herkennen en om parameters te bepalen zoals VLAN-toewijzing en inline voedingsvereisten.

U moet de volgende acties uitvoeren om 802.1X te configureren.

  • Configureer CDP/LLDP spraak VLAN bypass.

  • Configureer de verificatieserver en de switch voordat u 802.1X-verificatie voor bekabelde netwerken op de telefoon inschakelt.

  • Spraak-VLAN configureren: omdat de 802.1X-standaard geen rekening houdt met VLAN's, moet u deze instelling configureren op basis van de switchondersteuning.

    • Ingeschakeld: als u een switch gebruikt die multidomeinverificatie ondersteunt, kunt u deze configureren voor het gebruik van spraaknummer VLAN.
    • Uitgeschakeld: als de switch geen ondersteuning biedt voor multidomeinverificatie, schakelt u het spraak-VLAN uit en probeert u de poort toe te wijzen aan het native VLAN.
  • Cisco Wireless Phone 9821 heeft een ander prefix in het PID dan voor de andere telefoons Cisco. Om ervoor te zorgen dat uw telefoon 802.1X-verificatie doorgeeft, stelt u de Radius· De parameter voor de gebruikersnaam omvat uw draadloze Cisco-telefoon 9821.

    Bijvoorbeeld, de PID van Cisco Wireless Phone 9821 is WP-9821. U kunt Radius· Gebruikersnaam om te beginnen met WP of Bevat WP in de beide volgende secties:

    • Beleid > Voorwaarden > Libraire Voorwaarden

    • Beleids > Beleidssets > Authorization Policy > Authorization Rule 1

802.1X-verificatie inschakelen voor bekabelde netwerken op de telefoon

Voer de volgende stappen uit om 802.1X-verificatie voor bekabelde netwerken op uw telefoon in te schakelen. 802.1X-verificatie voor Wi-Fi is standaard ingeschakeld en hoeft niet handmatig te worden geconfigureerd.

1

Instellingen openen 9821 Settings app icon App.

2

Voer het wachtwoord in als daarom wordt gevraagd om het menu Instellingen te openen. U kunt het wachtwoord opvragen bij uw beheerder.

3

Selecteer Admin settings > Security setup > 802.1X Authentication.

4

Markeer Apparaatverificatie en druk op Aan.

802.1X-verificatie inschakelen voor bekabelde netwerken in Cisco Unified Communications Manager Administration

Voer de volgende stappen uit om 802.1X-verificatie voor bekabelde netwerken in te schakelen op Cisco Unified CM. 802.1X-verificatie voor Wi-Fi is standaard ingeschakeld en vereist geen handmatige configuratie.

U kunt de transactiestatus en beveiligingsinstellingen weergeven in het menu op het telefoonscherm. Zie het menu Beveiligingsinstellingen op de telefoon voor meer informatie.

1

Selecteer in Cisco Unified Communications Manager Administration Apparaat > telefoon.

2

Ga naar de telefoon die u wilt instellen.

3

Navigeer naar het gebied Indeling productspecifieke configuratie.

4

Selecteer Ingeschakeld in het vervolgkeuzemenu 802.1x Verificatie .

Indien geconfigureerd op Ingeschakeld of Uitgeschakeld wordt de optie Apparaatverificatie op Cisco Wireless Phone 9821 alleen-lezen, waardoor gebruikers de 802.1X-verificatie-instellingen niet kunnen wijzigen.

5

Selecteer Opslaan.

6

Selecteer Config toepassen.

Menu Beveiligingsinstellingen op de telefoon

Als u de informatie over de beveiligingsinstellingen in het telefoonmenu wilt weergeven, gaat u naar de pagina Instellingen 9821 Settings app icon en selecteer Admin settings > Security setup > 802.1X Authentication. Welke informatie beschikbaar is, hangt af van de netwerkinstellingen in uw organisatie.

Parameters

Opties

Standaard

Beschrijving

Apparaatverificatie

Aan

Uit

Uit

Hiermee schakelt u 802.1X-verificatie op de telefoon in of uit.

De parameterinstelling kan worden bewaard na de OOB-registratie (Out-Of-Box) van de telefoon.

Transactiestatus

Uitgeschakeld

Geeft de status van 802.1X-verificatie weer. De status kan (niet beperkt tot):

  • Verifiëren: geeft aan dat het verificatieproces wordt uitgevoerd.
  • Geverifieerd: geeft aan dat de telefoon is geverifieerd.
  • Uitgeschakeld: geeft aan dat de 802.1x-verificatie is uitgeschakeld op de telefoon.
  • Verbinden: geeft aan dat de telefoon elke 30 seconden EAP start-berichten verzendt naar de switch.
  • Verkregen: geeft aan dat de switch het verzoek EAP van de telefoon heeft afgewezen en de telefoon geen EAP-TLS of EAP-FAST-uitdaging van de switch heeft ontvangen. De telefoon probeert opnieuw EAP-verzoeken te verzenden.
  • Losgekoppeld: geeft aan dat de ethernetkabel is losgekoppeld.
  • In de wachtstand: geeft aan dat de switch het verzoek EAP van de telefoon heeft verwerkt, maar de verificatie van EAP-FAST of EAP-TLS heeft geweigerd. De telefoon probeert opnieuw EAP-verzoeken te verzenden.

Protocol

Geen

Geeft de methode EAP weer die voor 802.1X-verificatie wordt gebruikt. Het protocol kan EAP-FAST of EAP-TLS zijn.

De ondersteunde versies van TLS instellen

U kunt de minimaal vereiste versie van TLS instellen voor respectievelijk client en server.

Standaard is het minimumnummer TLS van versie van server en client beide 1.2. De instelling heeft invloed op de volgende functies:

  • HTTPS-webtoegangverbinding
  • Aan boord voor de telefoon op kantoor
  • HTTPS-services, zoals de Adreslijstservices
  • Datagram Transport Layer Security (DTLS)
  • Poorttoegangsentiteit (PAE)
  • Extensible Authentication Protocol-Transport Layer Security (EAP-TLS)

ZieTLS TLS 1.3-compatibiliteit Cisco IP Phones smatrix voor TLS 1.3 voor meer informatie over de compatibiliteitsmatrix voor Cisco Collaboration Products.

1

Voer in Cisco Unified Communications Manager Administration zo nodig een van de volgende handelingen uit:

  • Als u alle geïmplementeerde telefoons wilt configureren, gaat u naar Systeem > Enterprise Phone Configuration.
  • Als u telefoons wilt configureren die hetzelfde profiel delen, gaat u naar Apparaat>Device Settings > Common Phone Profile .
  • Als u een afzonderlijke telefoon wilt configureren, gaat u naar Apparaat > Telefoon. Zoek vervolgens uw telefoon en open de pagina Telefoonconfiguratie.

De configuratie volgt een hiërarchische structuur:

  • Afzonderlijke apparaatinstellingen hebben voorrang boven instellingen op het gemeenschappelijke telefoonprofiel- en ondernemingsniveau.
  • Algemene instellingen voor telefoonprofielen hebben voorrang op instellingen op ondernemingsniveau

2

Stel het veldTLS Min-versie client in:

De optieTLS 1.3 is beschikbaar op Cisco Unified CM 15SU2 of hoger.

  • TLS 1.1: de TLS-client ondersteunt de versies van TLS van 1.1 tot 1.3.

    Als de TLS-versie op de server lager is dan 1.1, bijvoorbeeld 1.0, kan de verbinding niet tot stand worden gebracht.

  • TLS 1.2 (standaard): de TLS-client ondersteunt TLS 1.2 en 1.3.

    Als de TLS-versie op de server lager is dan 1.2, bijvoorbeeld 1.1 of 1.0, kan de verbinding niet tot stand worden gebracht.

  • TLS 1.3: de TLS-client ondersteunt alleen TLS 1.3.

    Als versie TLS op de server lager is dan 1.3, bijvoorbeeld 1.2, 1.1 of 1.0, kan de verbinding niet tot stand worden gebracht.

3

Stel het veld TLS Min versie server in:

  • TLS 1.1: de TLS-server ondersteunt de versies van TLS van 1.1 tot 1.3.

    Als TLS in client lager is dan 1.1, bijvoorbeeld 1.0, kan de verbinding niet tot stand worden gebracht.

  • TLS 1.2 (standaard): de TLS-server ondersteunt TLS 1.2 en 1.3.

    Als TLS versie in client lager is dan 1,2, bijvoorbeeld 1.1 of 1.0, kan de verbinding niet tot stand worden gebracht.

  • TLS 1.3: de TLS-server ondersteunt alleen TLS 1.3.

    Als versie TLS in client lager is dan 1,3, bijvoorbeeld 1.2, 1.1 of 1.0, kan de verbinding niet tot stand worden gebracht.

4

Klik op Opslaan.

5

Klik op Config toepassen.

6

Start de telefoons opnieuw.

TURN luidspreker en headset uitgeschakeld Cisco draadloze telefoon 9821

U kunt de luidspreker en headset permanent op TURN op een Cisco draadloze telefoon 9821 voor uw gebruiker. Door deze audio-uitgangen uit te schakelen, wordt gezorgd dat gesprekken niet worden gehoord door anderen in de buurt. Dit is belangrijk in gedeelde of open kantooromgevingen.

1

Selecteer apparaat > telefoon in Cisco Unified Communications Manager Administration.

2

Ga naar de telefoon die u wilt instellen.

3

Navigeer naar het gebied Indeling productspecifieke configuratie.

4

Schakel een of meer van de volgende selectievakjes in om de mogelijkheden van de telefoon te TURN:

  • Luidspreker uitschakelen
  • Luidspreker en headset uitschakelen

Standaard zijn deze selectievakjes niet ingeschakeld.

5

Selecteer Opslaan.

6

Selecteer Config toepassen.

Vond u dit artikel nuttig?
Vond u dit artikel nuttig?