Installer egendefinert enhetssertifikat manuelt

Du kan installere et egendefinert enhetssertifikat (CDC) manuelt på telefonen ved å laste opp sertifikatet fra telefonens administrasjonsnettside.

Før du starter

Før du kan installere et egendefinert enhetssertifikat for en telefon, må du ha:

  • En sertifikatfil (.p12 eller .pfx) lagret på datamaskinen din. Filen inneholder sertifikatet og privatnøkkelen.
  • Utskriftspassordet for sertifikatet. Passordet brukes til å dekryptere sertifikatfilen.
1

Gå inn på telefonens administrasjonsnettside.

2

Velg Sertifikat.

3

I delen Legg til sertifikat klikker du på Bla gjennom....

4

Bla til sertifikatet på PC-en.

5

Skriv inn sertifikatets utpakkingspassord i feltet Utpakkingspassord.

6

Klikk på Last opp.

Hvis sertifikatfilen og passordet er riktig, mottar du meldingen «Sertifikat lagt til.». Ellers mislykkes opplastingen med en feilmelding som angir at sertifikatet ikke kan lastes opp.
7

Hvis du vil sjekke detaljer om det installerte sertifikatet, klikker du på Vis i delen Eksisterende sertifikater.

8

Hvis du vil fjerne det installerte sertifikatet fra telefonen, klikker du på Slett i delen Eksisterende sertifikater.

Når du har klikket på knappen, starter fjerningen umiddelbart uten bekreftelse.

Hvis sertifikatet er fjernet, vil du motta meldingen «Sertifikat slettet.».

Installer egendefinert enhetssertifikat automatisk av SCEP

Du kan konfigurere parametrene SCEP (Simple Certificate Enrollment Protocol) til å installere CDC (Custom Device Certificate) automatisk, hvis du ikke vil laste opp sertifikatfilen manuelt, eller hvis du ikke har sertifikatfilen på plass.

Når SCEP-parametrene er riktig konfigurert, sender telefonen forespørsler til SCEP-serveren, og CA-sertifikatet valideres av enheten ved hjelp av det definerte fingeravtrykket.

Før du starter

Før du kan utføre en automatisk installasjon av et egendefinert enhetssertifikat for en telefon, må du ha:

  • SCEP-serveradresse
  • SHA-1 eller SHA-256 fingeravtrykk av rot-CA-sertifikatet for SCEP-serveren
1

Gå inn på telefonens administrasjonsnettside.

2

Velg Sertifikat.

3

I delen SCEP-konfigurasjon 1 angir du parameterne som beskrevet i tabellen nedenfor Parametere for SCEP-konfigurasjon.

4

Klikk på Send inn alle endringer.

Parametre for SCEP-konfigurasjon

Tabellen nedenfor definerer funksjon og bruk av SCEP-konfigurasjonsparametere i delen SCEP-konfigurasjon 1 under fanen Sertifikat i telefonens webgrensesnitt. Den definerer også syntaksen til strengen som legges til i telefonkonfigurasjonsfilen (cfg.xml) for å konfigurere en parameter.

Tabell 1. Parametre for SCEP-konfigurasjon
parameteren.Beskrivelse
Server

SCEP-serveradresse. Denne parameteren er obligatorisk.

Gjør én av følgende:

  • Skriv inn en streng i dette formatet i telefonkonfigurasjonsfilen med XML (cfg.xml):

    <CDC_Server_1_ ua="na">http://10.79.57.91</CDC_Server_1_>

  • Skriv inn SCEP-serveradressen på telefonnettsiden.

Gyldige verdier: En URL eller IP-adresse. HTTPS-ordningen støttes ikke.

Standard: Tom

Rot CA fingeravtrykk

SHA256- eller SHA1-fingeravtrykk av rot-CA for validering under SCEP-prosessen. Denne parameteren er obligatorisk.

Gjør én av følgende:

  • Skriv inn en streng i dette formatet i telefonkonfigurasjonsfilen med XML (cfg.xml):

    <CDC_Root_CA_Fingerprint_1_ ua="na">12040870625C5B755D73F5925285F8F5FF5D55AF</CDC_Root_CA_Fingerprint_1_>

  • Skriv inn et gyldig fingeravtrykk på telefonnettsiden.

Standard: Tom

Endre passord

Utfordringspassordet for sertifiseringsinstans (CA) godkjenning mot telefonen under en sertifikatregistrering via SCEP. Denne parameteren er valgfri.

I henhold til det faktiske SCEP-miljøet varierer virkemåten til utfordringspassord.

  • Hvis telefonen får et sertifikat fra en Cisco RA som kommuniserer med sertifiseringsinstansen, støttes ikke utfordringspassordet på sertifiseringsinstansen. I dette tilfellet bruker Cisco RA telefonens MIC/SUDI for godkjenning for å få tilgang til CA. Telefonen bruker MIC/SUDI for både første innmelding og sertifikatfornyelse.
  • Hvis telefonen får et sertifikat ved å kommunisere direkte med CA, støttes utfordringspassordet på CA. Hvis den er konfigurert, vil den kun bli brukt for den første registreringen. Ved fornyelse av sertifikatet vil det installerte sertifikatet bli brukt i stedet.

Gjør én av følgende:

  • Skriv inn en streng i dette formatet i telefonkonfigurasjonsfilen med XML (cfg.xml):

    <CDC_Challenge_Password_1_ ua="na"></CDC_Challenge_Password_1_>

    Passordet er skjult i konfigurasjonsfilen.

  • Skriv inn utfordringspassordet på telefonnettsiden.

Standard: Tom

Konfigurasjon av SCEP-parametere via DHCP-alternativ 43

I tillegg til SCEP-sertifikatregistreringen via de manuelle konfigurasjonene på telefonnettsiden, kan du også bruke DHCP-alternativ 43 til å fylle ut parametrene fra en DHCP-server. DHCP-alternativet 43 er forhåndskonfigurert med SCEP-parametrene, senere kan telefonen hente parametrene fra DHCP-serveren for å utføre registreringen av SCEP-sertifikatet.

  • Konfigurasjonen av SCEP-parametrene via DHCP-alternativ 43 er bare tilgjengelig for telefonen der en tilbakestilling til fabrikkinnstillinger utføres.
  • Telefoner må ikke plasseres i nettverket som støtter både alternativ 43 og ekstern klargjøring (for eksempel alternativ 66, 160, 159, 150 eller skyklargjøring). Ellers kan det hende at telefoner ikke får alternativet 43-konfigurasjoner.

Gjør følgende for å registrere et SCEP-sertifikat ved å konfigurere SCEP-parametrene i DHCP-alternativ 43:

  1. Klargjør et SCEP-miljø.

    Hvis du vil ha informasjon om oppsettet av SCEP-miljøet, kan du se dokumentasjonen for SCEP-serveren.

  2. Konfigurer DHCP-alternativ 43 (definert i 8.4 Leverandørspesifikk informasjon, RFC 2132).

    Underalternativer (10–15) er reservert for metoden:

    Parameter på telefonens nettsideUnderopsjonTypeLengde (byte)Obligatorisk
    FIPS-modus10Boolsk1Nei*
    Server11Streng208 – lengde (utfordringspassord)Ja
    Rot CA fingeravtrykk12binær20 eller 32Ja
    Endre passord13Streng208 - lengde (server)Nei*
    Aktiver 802.1X-godkjenning14Boolsk1Nei
    Sertifikatvalg15usignert 8-biters1Nei

    Når du bruker DHCP-alternativ 43, legg merke til følgende egenskaper ved metoden:

    • Underalternativer (10–15) er reservert for egendefinert enhetssertifikat (CDC).
    • Maksimal lengde på DHCP-alternativ 43 er 255 byte.
    • Maksimumslengden på Server + Utfordringspassord må være mindre enn 208 byte.
    • Verdien for FIPS-modus skal være i samsvar med konfigurasjonen for klargjøring av innføring. Ellers vil telefonen ikke hente det tidligere installerte sertifikatet etter innføring. Spesifikt:
      • Hvis telefonen registreres i et miljø der FIPS-modusen er deaktivert, trenger du ikke å konfigurere parameteren FIPS-modus i DHCP-alternativ 43. FIPS-modus er deaktivert som standard.
      • Hvis telefonen registreres i et miljø der FIPS-modusen er aktivert, må du aktivere FIPS-modusen i DHCP-alternativ 43. Se Aktiver FIPS-modus for mer informasjon.
    • Passordet i alternativ 43 er i klartekst.

      Hvis utfordringspassordet er tomt, bruker telefonen MIC/SUDI for den første registreringen og sertifikatfornyelsen. Hvis utfordringspassordet er konfigurert, brukes det bare til den første registreringen, og det installerte sertifikatet brukes til fornyelse av sertifikatet.

    • Aktiver 802.1X-godkjenning og Certificate Select brukes bare for telefoner i kablede nettverk.
    • DHCP-alternativ 60 (leverandørklasseidentifikator) brukes til å identifisere enhetsmodellen.

    Følgende tabell gir et eksempel på DHCP-alternativ 43 (underalternativer 10–15):

    Underopsjon desimal / hexVerdien lengde (byte) desimal/hexVerdiHeksadesimal verdi
    10/0a1/011 (0: Deaktivert; 1: Aktivert01
    11/0b18/12http://10.79.57.91687474703a2f2f31302e37392e35372e3931
    12/0c20/1412040870625c5b755d73f5925285f8f5ff5d55av12040870625c5b755d73f5925285f8f5ff5d55av
    13/0d16/10d233ccf9b9952a1544323333434346394239393532413135
    14/0e1/011 (0: Nei, 1: Ja*01
    15/0f1/011 (0: Produsent installert, 1: Egendefinert installert) 01

    Sammendrag av parameterverdiene:

    • FIPS-modus = Aktivert

    • Server = http://10.79.57.91

    • Rot CA fingeravtrykk = 12040870625C5B755D73F5925285F8F5FF5D55AF

    • Utfordringspassord = D233CCF9B9952A15

    • Aktiver 802.1X-godkjenning = Ja

    • Sertifikatvalg = Egendefinert installert

    Syntaksen for den endelige heksadesimale verdien er: {<suboption><length><value>}...

    I henhold til parameterverdiene ovenfor er den endelige heksadesimale verdien som følger:

    0a01010b12687474703a2f2f31302e37392e35372e39310c1412040870625C5B755D73F5925285F8F5FF5D55AF0d10443233334343463942393935324131350e01010f0101

  3. Konfigurer DHCP-alternativ 43 på en DHCP-server.

    Dette trinnet gir et eksempel på konfigurasjoner av DHCP-alternativ 43 i Cisco Network Register.

    1. Legg til definisjonssett for DHCP-alternativ.

      Leverandøralternativstrengen er modellnavnet på IP-telefonene. Gyldig verdi er: DP-9841, DP-9851, DP-9861, DP-9871 eller CP-8875.

    2. Legg til DHCP-alternativ 43 og underalternativer i definisjonssettet for DHCP-alternativ.

      Eksempel:

      Skjermbilde av DHCP-alternativ 43-definisjoner i Cisco Network Register­

    3. Legg til alternativ 43 i DHCP-policyen og konfigurer verdien som følger:

      Eksempel:

      (10 1)(11 http://10.79.57.91)(12 12040870625C5B755D73F5925285F8F5FF5D55AF)(13 D233CCF9B9952A15)(14 1)(15 1)

    4. Kontroller innstillingene. Du kan bruke Wireshark til å registrere nettverkstrafikken mellom telefonen og tjenesten.
  4. Utfør en tilbakestilling til fabrikkinnstillinger for telefonen.

    Når telefonen er tilbakestilt, fylles parametrene Server, Root CA Fingeravtrykk og Utfordringspassord inn automatisk. Disse parameterne finnes i delen SCEP-konfigurasjon 1 fra Sertifikat > Egendefinert på telefonens administrasjonsnettside.

    Hvis du vil sjekke detaljer om det installerte sertifikatet, klikker du på Vis i delen Eksisterende sertifikater.

    Hvis du vil kontrollere sertifikatinstallasjonsstatusen, velger du Sertifikat > Egendefinert sertifikatstatus. Nedlastingsstatus 1 viser det nyeste resultatet. Hvis det oppstår et problem under sertifikatregistreringen, kan nedlastingsstatusen vise årsaken til feilsøkingsformål.

    Hvis utfordringspassgodkjenningen mislykkes, blir brukerne bedt om å angi passordet på telefonskjermen.
  5. (Valgfritt): Hvis du vil fjerne det installerte sertifikatet fra telefonen, klikker du på Slett i delen Eksisterende sertifikater.
    Når du har klikket på knappen, starter fjerningen umiddelbart uten bekreftelse.

Sertifikatfornyelse av SCEP

Enhetssertifikatet kan oppdateres automatisk ved hjelp av SCEP-prosessen.

  • Telefonen kontrollerer om sertifikatet utløper om 15 dager hver 4. time. I så fall starter telefonen prosessen for fornyelse av sertifikatet automatisk.
  • Hvis utfordringspassordet er tomt, bruker telefonen MIC/SUDI både ved første registrering og ved fornyelse av sertifikatet. Hvis utfordringspassordet er konfigurert, brukes det bare til den første registreringen, og det eksisterende/installerte sertifikatet brukes til sertifikatfornyelse.
  • Telefonen fjerner ikke det gamle enhetssertifikatet før den henter det nye.
  • Hvis sertifikatfornyelse mislykkes fordi enhetssertifikatet eller CA utløper, utløser telefonen den første registreringen automatisk. I mellomtiden, hvis autentiseringen av utfordringspassord mislykkes, vises et inndataskjermbilde for passord på telefonskjermen, og brukerne blir bedt om å angi utfordringspassordet på telefonen.

Aktiver FIPS-modus

Du kan gjøre en telefon i samsvar med FIPS (Federal Information Processing Standards).

FIPS er et sett med standarder som beskriver dokumentbehandling, krypteringsalgoritmer og andre IT-standarder for bruk i ikke-militære myndigheter og av offentlige entreprenører og leverandører som arbeider med byråene. CiscoSSL FOM (FIPS Object Module) er en nøye definert programvarekomponent og utformet for kompatibilitet med CiscoSSL-biblioteket, slik at produkter som bruker CiscoSSL-biblioteket og API kan konverteres til å bruke FIPS 140-2-validert kryptografi med minimal innsats.

1

Gå inn på telefonens administrasjonsnettside.

2

Velg Tale > System.

3

I delen Sikkerhetsinnstillinger velger du Ja eller Nei fra parameteren FIPS-modus.

4

Klikk på Send inn alle endringer.

Når du aktiverer FIPS, fungerer følgende funksjoner sømløst på telefonen:
  • Ingen autentisering
  • Sikker lagring
  • Kryptering av konfigurasjonsfil
  • tls:
    • HTTP-er
    • PRT Last opp
    • Fastvareoppgradering
    • Resynkronisering av profil
    • Innføringstjeneste
    • Webex-innføring
    • SRTP over TLS
    • 802.1x (kablet)
  • SIP-sammendrag (RFC 8760)
  • srtp
  • Webex-samtalelogger og Webex-katalog
  • Énknappsfunksjon (OBTP)

Fjern et sikkerhetssertifikat manuelt

Du kan fjerne et sikkerhetssertifikat manuelt fra en telefon hvis SCEP (Simple Certificate Enrollment Protocol) ikke er tilgjengelig.

1

Velg Sertifikater på telefonens administrasjonsnettside.

2

Finn sertifikatet på siden Sertifikater.

3

Klikk på Slett.

4

Start telefonen på nytt etter at slettingsprosessen er fullført.

Angi passord for bruker og administrator

Etter at telefonen er registrert i et samtalekontrollsystem for første gang, eller du utfører en tilbakestilling til fabrikkinnstillinger på telefonen, må du angi bruker- og administratorpassord for å forbedre sikkerheten til telefonen. Bare når passordet er angitt, kan du sende inn endringene fra telefonnettsiden.

Som standard er ingen passordadvarsel aktivert på telefonen. Når telefonen ikke har et bruker- eller administratorpassord, vises følgende advarsler:

  • Telefonens webgrensesnitt viser «Ingen administratorpassord angitt. Nettet er i skrivebeskyttet modus, og du kan ikke sende inn endringer. Endre passordet." øverst til venstre.

    Feltene Brukerpassord og Administratorpassord viser varselet "Ingen passord oppgitt" hvis det er tomt.

  • Telefonskjermen Problemer og diagnostikk viser problemet «Ingen passord oppgitt».
1

Gå inn på telefonens administrasjonsnettside

2

Velg Tale > System.

3

(Valgfritt) I delen Systemkonfigurasjon angir du parameteren Vis passordadvarsler til Ja, og klikker deretter på Send inn alle endringer.

Du kan også aktivere parameterne i telefonkonfigurasjonsfilen (cfg.xml).

<Display_Password_Warnings ua="na">Ja</Display_Password_Warnings>

Standard: Ja

Alternativer: Ja|Nei

Når parameteren er satt til Nei, vises ikke passordadvarselen hverken på nettsiden eller på telefonskjermen. I tillegg vil kun den klare modusen for nettsiden ikke bli aktivert selv om passordet er tomt.

4

Finn parameteren Brukerpassord eller Administratorpassord, og klikk på Endre passord ved siden av parameteren.

5

Skriv inn gjeldende brukerpassord i feltet Gammelt passord.

Hvis du ikke har et passord, må du holde feltet tomt. Standardverdien er aktivert.
6

Skriv inn et nytt passord i feltet Nytt passord.

7

Klikk på Send inn.

Meldingen Passordet er endret. vises på nettsiden. Nettsiden oppdateres om noen sekunder. Advarselen ved siden av parameteren vil forsvinne.

Når du har angitt brukerpassordet, viser denne parameteren følgende i XML-filen for telefonkonfigurasjon (cfg.xml):

<!-- <Admin_Password ua="na">;*************</Admin_Password> <User_Password ua="rw">;*************</User_Password> -->

Hvis du får 403-feilkoden når du prøver å få tilgang til telefonens webgrensesnitt, må du angi bruker- eller administratorpassordet ved å klargjøre det i telefonkonfigurasjonsfilen (cfg.xml). Skriv for eksempel inn en streng i dette formatet:

<Admin_Password ua="na">P0ssw0rd_tes89</Admin_Password>

<User_Password ua="rw">Abc123</User_Password>

802.1X-godkjenning

Cisco IP-telefon støtter 802.1X-godkjenning.

Cisco IP-telefoner og Cisco Catalyst-svitsjer bruker tradisjonelt Cisco Discovery Protocol (CDP) til å identifisere hverandre og bestemme parametere som VLAN-tildeling og innebygde strømkrav. CDP identifiserer ikke lokalt tilknyttede arbeidsstasjoner. Cisco IP-telefon har en EAPOL-gjennomgangsmekanisme. Denne mekanismen gjør det mulig for en arbeidsstasjon som er koblet til Cisco IP-telefon, å sende EAPOL-meldinger til 802.1X-godkjenneren ved LAN-svitsjen. Pass-through-mekanismen sikrer at IP-telefonen ikke fungerer som LAN-svitsjen for å godkjenne et dataendepunkt før den går inn på nettverket.

Cisco IP-telefon har også en proxy-EAPOL-logoff-mekanisme. Hvis den lokalt tilkoblede PC-en kobles fra IP-telefonen, vil ikke LAN-svitsjen se den fysiske koblingen mislykkes, fordi koblingen mellom LAN-svitsjen og IP-telefonen opprettholdes. For å unngå å kompromittere nettverksintegriteten sender IP-telefonen en EAPOL-Logoff-melding til svitsjen på vegne av nedstrøms-PC-en, som utløser LAN-svitsjen til å fjerne godkjenningsoppføringen for nedstrøms-PC-en.

Støtte for 802.1X-godkjenning krever flere komponenter:

  • Cisco IP-telefon Telefonen starter forespørselen om å få tilgang til nettverket. Cisco IP-telefon inneholder en 802.1X-anmoder. Denne forespørselen gjør det mulig for nettverksadministratorer å kontrollere tilkoblingen av IP-telefoner til LAN-svitsjeportene. Den gjeldende versjonen av telefonens 802.1X-anmoder bruker alternativene EAP-FAST og EAP-TLS for nettverksgodkjenning.

  • godkjenningstjeneste Godkjenningsserveren og bryteren må begge konfigureres med en delt hemmelighet som godkjenner telefonen.

  • Svitsj: Svitsjen må støtte 802.1X, slik at den kan fungere som godkjenner og sende meldingene mellom telefonen og godkjenningsserveren. Etter at utvekslingen er fullført, gir eller nekter svitsjen telefonen tilgang til nettverket.

Du må utføre følgende handlinger for å konfigurere 802.1X.

  • Konfigurer de andre komponentene før du aktiverer 802.1X-godkjenning på telefonen.

  • Konfigurer PC-port: 802.1X-standarden tar ikke hensyn til VLAN-er, og anbefaler derfor at bare én enhet skal godkjennes til en bestemt svitsjeport. Noen svitsjer støtter imidlertid godkjenning på flere domener. Svitsjkonfigurasjonen avgjør om du kan koble en PC til telefonens PC-port.

    • Aktivert Hvis du bruker en svitsj som støtter godkjenning på flere domener, kan du aktivere PC-porten og koble en PC til den. I dette tilfellet støtter Cisco IP-telefoner proxy EAPOL-logoff for å overvåke godkjenningsutvekslingene mellom svitsjen og den tilknyttede PC-en.

      Hvis du vil ha mer informasjon om støtte for IEEE 802.1X på Cisco Catalyst-svitsjene, kan du se konfigurasjonsveiledningene for Cisco Catalyst-svitsjene på:

      http://www.cisco.com/en/US/products/hw/switches/ps708/tsd_products_support_series_home.html

    • Deaktivert Hvis svitsjen ikke støtter flere 802.1X-kompatible enheter på samme port, må du deaktivere PC-porten når 802.1X-godkjenning er aktivert. Hvis du ikke deaktiverer denne porten og deretter prøver å koble en PC til den, nekter svitsjen nettverkstilgang til både telefonen og PC-en.

  • Konfigurer tale-VLAN: Siden 802.1X-standarden ikke tar hensyn til VLAN-er, bør du konfigurere denne innstillingen basert på svitsjstøtten.
    • Aktivert Hvis du bruker en svitsj som støtter godkjenning på flere domener, kan du fortsette den for å bruke tale-VLAN.
    • Deaktivert Hvis svitsjen ikke støtter godkjenning på flere domener, deaktiverer du Tale-VLAN og vurderer å tilordne porten til det opprinnelige VLAN.
  • (Kun for Cisco Desk Phone 9800-serien)

    Cisco Desk Phone 9800-serien har et annet prefiks i PID enn for de andre Cisco-telefonene. For å gjøre det mulig for telefonen å bestå 802.1X-godkjenning, angir du parameteren Radius·User-Name slik at den inkluderer Cisco Desk Phone 9800-serien.

    PID for telefon 9841 er for eksempel DP-9841. Du kan angi Radius·Brukernavn til Start med DP eller Inneholder DP. Du kan angi det i begge av følgende deler:

    • Retningslinjer > Vilkår > Biblioteksvilkår

    • Policy > Policysett > Godkjenningspolicy > Godkjenningsregel 1

Aktiver 802.1X-godkjenning

Når 802.1X-godkjenning er aktivert, bruker telefonen 802.1X-godkjenning til å be om nettverkstilgang. Når 802.1X-godkjenning er deaktivert, bruker telefonen Cisco Discovery Protocol (CDP) til å skaffe VLAN og nettverkstilgang. Du kan også vise transaksjonsstatusen og endringen på telefonskjermen.

Når 802.1X-godkjenning er aktivert, kan du også velge enhetssertifikatet (MIC/SUDI eller egendefinert) for den første registreringen og sertifikatfornyelsen. Vanligvis er MIC for Cisco Video Phone 8875, SUDI for Cisco Desk Phone 9800-serien. CDC kan bare brukes til godkjenning i 802.1x.

1

Gjør ett av følgende for å aktivere 802.1X-godkjenning:

  • På telefonens webgrensesnitt velger du Tale > System og setter parameteren Aktiver 802.1X-godkjenning til Ja. Klikk deretter på Send inn alle endringer.
  • Skriv inn en streng i dette formatet i konfigurasjonsfilen (cfg.xml):

    <Enable_802.1X_Authentication ua="rw">Ja</Enable_802.1X_Authentication>

    Gyldige verdier: Ja|Nei

    Standard: Nei

  • Trykk på Innstillingerthe Settings hard key på telefonen, og gå til Nettverk og tjeneste > Sikkerhetsinnstillinger > 802.1X-godkjenning. Slå Enhetsgodkjenning-feltet til På, og velg deretter Bruk.
Tabell 2. Parametere for 802.1X-godkjenning på telefonskjermen

parameteren.

Alternativer

Standard

Beskrivelse

Enhetsgodkjenning

Av

Av

Aktiver eller deaktiver 802.1X-godkjenning på telefonen.

Transaksjonsstatus

Deaktivert

Viser tilstanden til 802.1X-godkjenning. Staten kan være (ikke begrenset til):

  • Autentisering Angir at godkjenningsprosessen pågår.
  • Autentisering Angir at telefonen er godkjent.
  • Deaktivert Angir at 802.1x-godkjenning er deaktivert på telefonen.

Protokoll

Ingen

Viser EAP-metoden som brukes for 802.1X-godkjenning. Protokollen kan være EAP-FAST eller EAP-TLS.

Type brukersertifikat

Produsent installert

Egendefinert installert

Produsent installert

Velg sertifikatet for 802.1X-godkjenningen under den første registreringen og sertifikatfornyelsen.

  • Produsentinstallert – Produsentinstallert sertifikat (MIC) og sikker unik enhetsidentifikator (SUDI) brukes.
  • Egendefinert installert – Egendefinert enhetssertifikat (CDC) brukes. Denne typen sertifikat kan installeres enten ved manuell opplasting på telefonens webgrensesnitt eller ved installasjon fra en SCEP-server (Simple Certificate Enrollment Protocol).

Denne parameteren vises bare på telefonen når Enhetsgodkjenning er aktivert.

2

Velg et sertifikat (MIC eller egendefinert) for 802.1X-godkjenningen på telefonnettsiden.

  • For kablede nettverk velger du Tale > System og velger en sertifikattype fra rullegardinlisten Sertifikatvelg i delen 802.1X-godkjenning.

    Du kan også konfigurere denne parameteren i konfigurasjonsfilen (cfg.xml):

    <Certificate_Select ua="rw">Egendefinert installert</Certificate_Select>

    Gyldige verdier: Produsent installert|Egendefinert installert

    Standard: Produsent installert

  • For trådløse nettverk velger du Tale > System og velger en sertifikattype fra rullegardinlisten Sertifikat Velg i delen Wi-Fi-profil 1.

    Du kan også konfigurere denne parameteren i konfigurasjonsfilen (cfg.xml):

    <Wi-Fi_Certificate_Select_1_ ua="rw">Egendefinert installert</Wi-Fi_Certificate_Select_1_>

    Gyldige verdier: Produsent installert|Egendefinert installert

    Standard: Produsent installert

Hvis du vil ha informasjon om hvordan du velger en sertifikattype på telefonskjermen, kan du se Koble telefonen til et Wi-Fi-nettverk.

Aktiver klientinitiert modus for forhandlinger om medieflyversikkerhet

For å beskytte medieøkter kan du konfigurere telefonen til å starte sikkerhetsforhandlinger med serveren for medieplan. Sikkerhetsmekanismen følger standardene som er angitt i RFC 3329 og dens utvidelsesutkast Sikkerhetsmekanismenavn for medier (se https://tools.ietf.org/html/draft-dawes-sipcore-mediasec-parameter-08#ref-2). Transport av forhandlinger mellom telefonen og serveren kan bruke SIP-protokollen over UDP, TCP og TLS. Du kan begrense at medieflysikkerhetsforhandling bare brukes når signaltransportprotokollen er TLS.

1

Gå inn på telefonens administrasjonsnettside.

2

Velg Tale > Internnummer (n).

3

I delen SIP-innstillinger angir du feltene MediaSec-forespørsel og MediaSec Over TLS Only som definert i tabellen nedenfor:

Tabell 23. Parametere for forhandling om medieflyversikkerhet
parameteren.Beskrivelse

MediaSec-forespørsel

Angir om telefonen starter sikkerhetsforhandlinger med serveren for mediaplaner.

Gjør én av følgende:

  • Skriv inn en streng i dette formatet i telefonkonfigurasjonsfilen med XML (cfg.xml):

    <MediaSec_Request_1_ ua="na">Ja</MediaSec_Request_1_>
  • På telefonens webgrensesnitt setter du dette feltet til Ja eller Nei etter behov.

Tillatte verdier: Ja|Nei

  • Ja – Klientinitiert modus. Telefonen starter forhandlinger om sikkerhet for mediaplaner.
  • Nei – serverinitiert modus. Serveren starter forhandlinger om medieflysikkerhet. Telefonen starter ikke forhandlinger, men kan håndtere forhandlingsforespørsler fra serveren for å etablere sikre samtaler.

Standard: Nei

Kun MediaSec over TLS

Angir signaltransportprotokollen som medieflysikkerhetsforhandling brukes over.

Før du setter dette feltet til Ja, må du kontrollere at signaltransportprotokollen er TLS.

Gjør én av følgende:

  • Skriv inn en streng i dette formatet i telefonkonfigurasjonsfilen med XML (cfg.xml):

    <MediaSec_Over_TLS_Only_1_ ua="na">Nei</MediaSec_Over_TLS_Only_1_>

  • På telefonens webgrensesnitt setter du dette feltet til Ja eller Nei etter behov.

Tillatte verdier: Ja|Nei

  • Ja – Telefonen starter eller håndterer sikkerhetsforhandlinger for mediaplaner bare når signaltransportprotokollen er TLS.
  • Nei – Telefonen starter og håndterer sikkerhetsforhandlinger for mediaplaner uavhengig av signaltransportprotokollen.

Standard: Nei

4

Klikk på Send inn alle endringer.

WLAN-sikkerhet

Fordi alle WLAN-enheter som er innenfor rekkevidde, kan motta all annen WLAN-trafikk, er det viktig å sikre talekommunikasjon i WLAN-er. For å sikre at inntrengere ikke manipulerer eller fanger opp taletrafikk, støtter Ciscos SAFE Security-arkitektur telefonen. For mer informasjon om sikkerhet i nettverk, se http://www.cisco.com/en/US/netsol/ns744/networking_solutions_program_home.html.

Ciscos løsning for trådløs IP-telefoni gir sikkerhet for trådløse nettverk som hindrer uautoriserte pålogginger og kompromittert kommunikasjon ved hjelp av følgende godkjenningsmetoder som telefonen støtter:

  • Ingen autentisering Alle trådløse enheter kan be om godkjenning i et åpent system. Tilgangspunktet som mottar forespørselen, kan gi godkjenning til en hvilken som helst ansøger eller bare til anmodere som finnes på en liste over brukere. Kommunikasjon mellom den trådløse enheten og tilgangspunktet (AP) kan være ukryptert.

  • Extensible Authentication Protocol-Flexible Authentication via sikker tunnelering (EAP-FAST): Denne sikkerhetsarkitekturen for klient-server krypterer EAP-transaksjoner innenfor en TLS-tunnel (Transport Level Security) mellom tilgangspunktet og RADIUS-serveren, for eksempel Identity Services Engine (ISE).

    TLS-tunnelen bruker PAC-legitimasjon (Protected Access Credentials) for godkjenning mellom klienten (telefonen) og RADIUS-serveren. Serveren sender en Authority-ID (AID) til klienten (telefonen), som i sin tur velger riktig PAC. Klienten (telefonen) returnerer en PAC-Opaque til RADIUS-serveren. Serveren dekrypterer PAC-koden med primærnøkkelen. Begge endepunktene inneholder nå PAC-nøkkelen, og det opprettes en TLS-tunnel. EAP-FAST støtter automatisk klargjøring av PAC, men du må aktivere den på RADIUS-serveren.

    I ISE utløper PAC som standard om én uke. Hvis telefonen har en utløpt PAC, tar godkjenning med RADIUS-serveren lengre tid mens telefonen får en ny PAC. For å unngå forsinkelser i klargjøringen av PAC, sett utløpsperioden for PAC til 90 dager eller lenger på ISE- eller RADIUS-serveren.

  • Godkjenning av Extensible Authentication Protocol-Transport Layer Security (EAP-TLS): EAP-TLS krever et klientsertifikat for godkjenning og nettverkstilgang. For trådløs EAP-TLS kan klientsertifikatet være MIC-, LSC- eller brukerinstallert sertifikat.

  • Protected Extensible Authentication Protocol (PEAP): Ciscos egenutviklede passordbasert ordning for gjensidig godkjenning mellom klienten (telefonen) og en RADIUS-server. Telefonen kan bruke PEAP til godkjenning med det trådløse nettverket. Både godkjenningsmetodene PEAP-MSCHAPV2 og PEAP-GTC støttes.

  • Forhåndsdelt nøkkel (PSK): Telefonen støtter ASCII-format. Du må bruke dette formatet når du konfigurerer en forhåndsdelt WPA/WPA2/SAE-nøkkel:

    ASCII: en ASCII-tegnstreng med lengde mellom 8 og 63 tegn (0–9, små og store bokstaver A–Z og spesialtegn)

    Eksempel: GREG123567@9ZX&W

Følgende godkjenningsordninger bruker RADIUS-serveren til å administrere godkjenningsnøkler:

  • wpa/wpa2/wpa3: Bruker RADIUS-serverinformasjon til å generere unike nøkler for godkjenning. Fordi disse nøklene genereres på den sentraliserte RADIUS-serveren, gir WPA2/WPA3 mer sikkerhet enn forhåndsdelte WPA-nøkler som lagres på tilgangspunktet og telefonen.

  • Rask og sikker roaming: Bruker informasjon fra RADIUS-serveren og en trådløs domene-server (WDS) til å administrere og godkjenne nøkler. WDS oppretter en buffer med sikkerhetslegitimasjon for FT-aktiverte klientenheter for rask og sikker reautentisering. Cisco Desk Phone 9861 og 9871 og Cisco Video Phone 8875 støtter 802.11r (FT). Både over luften og over DS støttes for å muliggjøre rask og sikker roaming. Men vi anbefaler på det sterkeste å bruke 802.11r (FT) over luft-metoden.

Med WPA/WPA2/WPA3 angis ikke krypteringsnøkler på telefonen, men hentes automatisk mellom tilgangspunktet og telefonen. Men EAP-brukernavnet og -passordet som brukes til godkjenning, må angis på hver telefon.

For å sikre at taletrafikken er sikker støtter telefonen TKIP og AES for kryptering. Når disse mekanismene brukes til kryptering, krypteres både SIP-signalpakkene og talepakkene RTP (Real-Time Transport Protocol) mellom tilgangspunktet og telefonen.

tkip

WPA bruker TKIP-kryptering som har flere forbedringer i forhold til WEP. TKIP leverer nøkkelkryptering per pakke og lengre initialiseringsvektorer (IV-er) som styrker kryptering. I tillegg sikrer en meldingsintegritetskontroll (MIC) at krypterte pakker ikke endres. TKIP fjerner forutsigbarheten til WEP som hjelper inntrengere med å dechiffrere WEP-nøkkelen.

åes

En krypteringsmetode som brukes for WPA2-/WPA3-godkjenning. Denne nasjonale krypteringsstandarden bruker en symmetrisk algoritme som har samme nøkkel for kryptering og dekryptering. AES bruker 128-biters Cipher Blocking Chain (CBC) kryptering, som støtter nøkkelstørrelser på 128-biter, 192-biter og 256-biter, som et minimum. Telefonen støtter en nøkkelstørrelse på 256 biter.

Cisco Desk Phone 9861 og 9871 og Cisco Video Phone 8875 støtter ikke Cisco Key Integrity Protocol (CKIP) med CMIC.

Godkjennings- og krypteringsordninger konfigureres i det trådløse lokalnettverket. VLAN-er konfigureres i nettverket og på tilgangspunktene og spesifiserer forskjellige kombinasjoner av autentisering og kryptering. En SSID knytter seg til et VLAN og den bestemte godkjennings- og krypteringsordningen. For at trådløse klientenheter skal kunne godkjennes, må du konfigurere de samme SSID-ene med deres godkjennings- og krypteringsordninger på tilgangspunktene og på telefonen.

Noen godkjenningsordninger krever spesifikke typer kryptering.

  • Når du bruker forhåndsdelt WPA-nøkkel, forhåndsdelt WPA2-nøkkel eller SAE, må den forhåndsdelte nøkkelen angis statisk på telefonen. Disse nøklene må samsvare med nøklene på tilgangspunktet.

  • Telefonen støtter automatisk EAP-forhandling for FAST eller PEAP, men ikke for TLS. For EAP-TLS-modus må du angi det.

Godkjennings- og krypteringsordningene i tabellen nedenfor viser alternativene for nettverkskonfigurasjon for telefonen som tilsvarer AP-konfigurasjonen.

Tabell 24. Godkjennings- og krypteringsordninger
FSR-typeAutentiseringBrukeradministrasjonKrypteringBeskyttet styringsramme (PMF)
802.11r (FT)psk

wpa-psk

wpa-psk-sha256

ft-psk

åesNei
802.11r (FT)wpa3

sae

ft-sae

åesJa
802.11r (FT)eap-tls

wpa-eap

ft-eap

åesNei
802.11r (FT)eap-tls (wpa3)

wpa-eap-sha256

ft-eap

åesJa
802.11r (FT)eap-rask

wpa-eap

ft-eap

åesNei
802.11r (FT)eap-rask (wpa3)

wpa-eap-sha256

ft-eap

åesJa
802.11r (FT)eap-peap

wpa-eap

ft-eap

åesNei
802.11r (FT)eap-peap (wpa3)

wpa-eap-sha256

ft-eap

åesJa

Konfigurere Wi-Fi-profil

Du kan konfigurere en Wi-Fi-profil fra telefonens nettside eller fra resynkronisering av ekstern enhetsprofil og deretter knytte profilen til de tilgjengelige Wi-Fi-nettverkene. Du kan bruke denne Wi-Fi-profilen til å koble til et Wi-Fi-nettverk. For øyeblikket kan bare én Wi-Fi-profil konfigureres.

Profilen inneholder parameterne som kreves for at telefoner skal kunne koble seg til telefonserveren med Wi-Fi. Når du oppretter og bruker en Wi-Fi-profil, trenger ikke du eller brukerne konfigurere det trådløse nettverket for individuelle telefoner.

Med en Wi-Fi-profil kan du forhindre eller begrense endringer i Wi-Fi-konfigurasjonen på telefonen fra brukeren.

Vi anbefaler at du bruker en sikker profil med krypteringsaktiverte protokoller for å beskytte nøkler og passord når du bruker en Wi-Fi-profil.

Når du konfigurerer telefonene til å bruke EAP-FAST-godkjenningsmetoden i sikkerhetsmodus, trenger brukerne individuelle påloggingsopplysninger for å koble seg til et tilgangspunkt.

1

Gå inn på telefonens nettside.

2

Velg Tale > System.

3

I delen Wi-Fi-profil (n) angir du parametrene som beskrevet i tabellen Parametre for Wi-Fi-profil.

Konfigurasjonen av Wi-Fi-profilen er også tilgjengelig for brukerpålogging.
4

Klikk på Send inn alle endringer.

Parametre for Wi-Fi-profil

Tabellen nedenfor definerer funksjon og bruk av hver parameter i delen Wi-Fi-profil(er) under System-fanen på telefonnettsiden. Den definerer også syntaksen til strengen som legges til i telefonkonfigurasjonsfilen (cfg.xml) for å konfigurere en parameter.

parameteren.Beskrivelse
NettverksnavnHer kan du angi et navn på SSID-en som skal vises på telefonen. Flere profiler kan ha samme nettverksnavn med forskjellig sikkerhetsmodus.

Gjør én av følgende:

  • Skriv inn en streng i dette formatet i telefonkonfigurasjonsfilen med XML (cfg.xml):

    <Network_Name_1_ ua="rw">cisco</Network_Name_1_>

  • Skriv inn et navn for SSID på telefonnettsiden.

Standard: Tom

SikkerhetsmodusHer kan du velge godkjenningsmetoden som skal brukes til å sikre tilgangen til Wi-Fi-nettverket. Avhengig av hvilken metode du velger, vises et passordfelt, slik at du kan oppgi legitimasjonen som kreves for å bli med i dette Wi-Fi-nettverket.

Gjør én av følgende:

  • Skriv inn en streng i dette formatet i telefonkonfigurasjonsfilen med XML (cfg.xml):

    <Security_Mode_1_ ua="rw">EAP-TLS</Security_Mode_1_> <!-- tilgjengelige alternativer: Auto|EAP-FAST|||PSK||Ingen|EAP-PEAP|EAP-TLS -->

  • Velg én av metodene på telefonnettsiden:
    • Automatisk
    • eap-rask
    • psk
    • Ingen
    • eap-peap
    • eap-tls

Standard: Automatisk

Bruker-ID for Wi-FiLar deg angi en bruker-ID for nettverksprofilen.

Dette feltet er tilgjengelig når du angir sikkerhetsmodusen til Automatisk, EAP-FAST eller EAP-PEAP. Feltet er obligatorisk og har en maksimal lengde på 32 alfanumeriske tegn.

Gjør én av følgende:

  • Skriv inn en streng i dette formatet i telefonkonfigurasjonsfilen med XML (cfg.xml):

    <Wi-Fi_User_ID_1_ua="rw"></Wi-Fi_User_ID_1_>

  • På telefonnettsiden angir du en bruker-ID for nettverksprofilen.

Standard: Tom

Wi-Fi-passordHer kan du angi passordet for den angitte Wi-Fi-bruker-ID-en.

Gjør én av følgende:

  • Skriv inn en streng i dette formatet i telefonkonfigurasjonsfilen med XML (cfg.xml):

    <Wi-Fi_Password_1_ ua="rw"></Wi-Fi_Password_1_>

  • På telefonnettsiden skriver du inn et passord for bruker-ID-en du har lagt til.

Standard: Tom

FrekvensbåndLar deg velge frekvensbåndet for trådløse signaler som WLAN bruker.

Gjør én av følgende:

  • Skriv inn en streng i dette formatet i telefonkonfigurasjonsfilen med XML (cfg.xml):

    <Frequency_Band_1_ ua="rw">Automatisk</Frequency_Band_1_>

  • På telefonnettsiden velger du ett av alternativene:
    • Automatisk
    • 2,4 GHz
    • 5 GHz

Standard: Automatisk

SertifikatvalgLar deg velge en sertifikattype for første sertifikatregistrering og sertifikatfornyelse i det trådløse nettverket. Denne prosessen er kun tilgjengelig for 802.1X-godkjenning.

Gjør én av følgende:

  • Skriv inn en streng i dette formatet i telefonkonfigurasjonsfilen med XML (cfg.xml):

    <Certificate_Select_1_ ua="rw">Produsent installert</Certificate_Select_1_>

  • På telefonnettsiden velger du ett av alternativene:
    • Produsent installert
    • Egendefinert installert

Standard: Produsent installert