Installer tilpasset enhetssertifikat manuelt

Du kan installere et tilpasset enhetssertifikat (CDC) manuelt på telefonen ved å laste opp sertifikatet fra websiden for telefonadministrasjon.

Før du begynner

Før du kan installere et egendefinert enhetssertifikat for en telefon, må du ha:

  • En sertifikatfil (.p12 eller .pfx) lagret på PCen. Filen inneholder sertifikatet og privatnøkkelen.
  • Passordet for sertifikatutdraget. Passordet brukes til å dekryptere sertifikatfilen.
1

Åpne telefonens administrasjonsnettside.

2

Velg Sertifikat.

3

I delen Legg til sertifikat klikker du Bla gjennom....

4

Bla til sertifikatet på PC-en.

5

I feltet Pakk ut passord taster du inn sertifikatets utpakkingspassord.

6

Klikk på Last opp.

Hvis sertifikatfilen og passordet er riktig, vil du motta meldingen "Sertifikat lagt til.". Ellers mislykkes opplastingen med en feilmelding som indikerer at sertifikatet ikke kan lastes opp.
7

Hvis du vil kontrollere detaljene for det installerte sertifikatet, klikker du Vis under Eksisterende sertifikater .

8

Hvis du vil fjerne det installerte sertifikatet fra telefonen, klikker du Slett under Eksisterende sertifikater .

Når du klikker på knappen, starter fjerningen umiddelbart uten bekreftelse.

Hvis sertifikatet fjernes, vil du motta meldingen "Sertifikat slettet.".

Installere tilpasset enhetssertifikat automatisk av SCEP

Du kan konfigurere SCEP-parameterne (Simple Certificate Enrollment Protocol) til å installere CDC (Custom Device Certificate) automatisk, hvis du ikke vil laste opp sertifikatfilen manuelt eller hvis du ikke har sertifikatfilen på plass.

Når SCEP-parametrene er riktig konfigurert, sender telefonen forespørsler til SCEP-serveren, og CA-sertifikatet valideres av enheten ved hjelp av det definerte fingeravtrykket.

Før du begynner

Før du kan utføre en automatisk installasjon av et tilpasset enhetssertifikat for en telefon, må du ha:

  • Adresse til SCEP-server
  • SHA-1- eller SHA-256-fingeravtrykk av rot-CA-sertifikatet for SCEP-serveren
1

Åpne telefonens administrasjonsnettside.

2

Velg Sertifikat.

3

I avsnittet SCEP-konfigurasjon 1 angir du parametrene som beskrevet i følgende tabell : Parametere for SCEP-konfigurasjon.

4

Klikk på Godta alle endringer.

Parametere for SCEP-konfigurasjon

Tabellen nedenfor definerer funksjonen og bruken av SCEP-konfigurasjonsparametere i delen SCEP konfigurasjon 1 under kategorien Sertifikat i telefonens webgrensesnitt. Den definerer også syntaksen til strengen som legges til i telefonkonfigurasjonsfilen (cfg.xml) for å konfigurere en parameter.

Tabell 1. Parametere for SCEP-konfigurasjon
ParameterBeskrivelse
Server

SCEP-serveradresse. Denne parameteren er obligatorisk.

Gjør ett av følgende:

  • I telefonens konfigurasjonsfil med XML (cfg. xml) angir du en streng i dette formatet:

    <CDC_Server_1_ ua="na">http://10.79.57.91</CDC_Server_1_>

  • Skriv inn adressen til SCEP-serveren på telefonens nettside.

Gyldige verdier: En URL- eller IP adresse. HTTPS-ordningen støttes ikke.

Standard: tom

Rot CA fingeravtrykk

SHA256- eller SHA1-fingeravtrykket til rotsertifiseringsinstansen for validering under SCEP-prosessen. Denne parameteren er obligatorisk.

Gjør ett av følgende:

  • I telefonens konfigurasjonsfil med XML (cfg. xml) angir du en streng i dette formatet:

    <CDC_Root_CA_Fingerprint_1_ ua="na">12040870625C5B755D73F5925285F8F5FF5D55AF</CDC_Root_CA_Fingerprint_1_>

  • Skriv inn et gyldig fingeravtrykk på telefonens nettside.

Standard: tom

Utfordre passord

Utfordringspassordet for Certificate Authority (CA)-autorisasjon mot telefonen under en sertifikatregistrering via SCEP. Denne parameteren er valgfri.

I henhold til det faktiske SCEP-miljøet varierer oppførselen til utfordringspassord.

  • Hvis telefonen får et sertifikat fra en Cisco RA som kommuniserer med CA, støttes ikke utfordringspassordet i CA. I dette tilfellet bruker Cisco RA telefonens MIC/SUDI for godkjenning for å få tilgang til CA. Telefonen bruker MIC/SUDI for både innledende registrering og sertifikatfornyelse.
  • Hvis telefonen får et sertifikat ved å kommunisere med CA direkte, støttes utfordringspassordet i CA. Hvis den er konfigurert, brukes den bare til den første registreringen. For sertifikatfornyelsen vil det installerte sertifikatet bli brukt i stedet.

Gjør ett av følgende:

  • I telefonens konfigurasjonsfil med XML (cfg. xml) angir du en streng i dette formatet:

    <CDC_Challenge_Password_1_ ua="na"></CDC_Challenge_Password_1_>

    Passordet er maskert i konfigurasjonsfilen.

  • Skriv inn utfordringspassordet på telefonens nettside.

Standard: tom

Konfigurasjon av SCEP-parametere via DHCP alternativ 43

I tillegg til SCEP-sertifikatregistreringen ved hjelp av de manuelle konfigurasjonene på telefonens nettside, kan du også bruke alternativet DHCP 43 til å fylle ut parametrene fra en DHCP-server. Det DHCP alternativ 43 er forhåndskonfigurert med SCEP-parametrene, senere kan telefonen hente parametrene fra DHCP-serveren for å utføre SCEP-sertifikatregistreringen.

  • SCEP-parameterkonfigurasjonen via DHCP alternativ 43 er bare tilgjengelig for telefoner der en fabrikktilbakestilling utføres.
  • Telefoner skal ikke plasseres i nettverket som støtter både alternativ 43 og ekstern klargjøring (for eksempel opsjon 66,160,159,150 eller skyklargjøring). Ellers kan det hende at telefoner ikke får Option 43-konfigurasjonene.

Gjør følgende for å registrere et SCEP-sertifikat ved å konfigurere SCEP-parametrene i alternativet DHCP 43:

  1. Forbered et SCEP-miljø.

    Hvis du vil ha informasjon om oppsett av SCEP-miljøet, kan du se dokumentasjonen for SCEP-serveren.

  2. Konfigurer DHCP alternativ 43 (definert i 8.4 Leverandørspesifikk informasjon, RFC 2132).

    Undervalg (10–15) er reservert for metoden:

    Parameter på telefonens nettsideAlternativTypeLengde (byte)Obligatorisk
    FIPS-modus10Boolsk1Nei*
    Server11streng208 - lengde (Challenge passord)Ja
    Rot CA fingeravtrykk12binær20 eller 32Ja
    Utfordre passord13streng208 - lengde (Server)Nei*
    Aktivere 802.1X-godkjenning14Boolsk1Nei
    Velg sertifikat15Usignert 8-biters1Nei

    Når du bruker alternativet DHCP 43, må du legge merke til følgende egenskaper ved metoden:

    • Underalternativer (10–15) er reservert for CDC (Custom Device Certificate).
    • Maksimumslengden på DHCP alternativ 43 er 255 byte.
    • Den maksimale lengden på Server + Challenge Password skal være mindre enn 208 byte.
    • Verdien for FIPS-modus skal være i samsvar med konfigurasjonen for klargjøring av pålasting. Ellers kan ikke telefonen hente det tidligere installerte sertifikatet etter innføring. Spesifikt
      • Hvis telefonen skal registreres i et miljø der FIPS-modus er deaktivert, trenger du ikke å konfigurere parameteren FIPS-modus i DHCP alternativ 43. FIPS-modus er deaktivert som standard.
      • Hvis telefonen skal registreres i et miljø der FIPS-modus er aktivert, må du aktivere FIPS-modus i DHCP alternativ 43. Se Aktivere FIPS-modus hvis du vil ha mer informasjon.
    • Passordet i alternativ 43 er i klartekst.

      Hvis passordet for utfordringen er tomt, bruker telefonen MIC/SUDI for den første registreringen og sertifikatfornyelsen. Hvis passordet for utfordringen er konfigurert, brukes det bare til den første registreringen, og det installerte sertifikatet vil bli brukt til sertifikatfornyelsen.

    • Aktiver 802.1X-godkjenning og sertifikatvalg brukes bare for telefoner i kablet nettverk.
    • DHCP alternativ 60 (Vendor Class Identifier) brukes til å identifisere enhetsmodellen.

    Tabellen nedenfor gir et eksempel på DHCP alternativ 43 (underalternativene 10–15):

    Suboption desimal/hexVerdilengde (byte) desimal/hexVerdiHex-verdi
    10/0a1/011 (0: Deaktivert; 1: Aktivert)01
    11/0b18/12http://10.79.57.91687474703a2f2f31302e37392e35372e3931
    12/0c20/1412040870625C5B755D73F5925285F8F5FF5D55AF12040870625C5B755D73F5925285F8F5FF5D55AF
    13/0D16/10D233CCF9B9952A1544323333434346394239393532413135
    14/0e1/011 (0: Nei; 1: Ja)01
    15/0F1/011 (0: Produksjon installert; 1: Tilpasset installert) 01

    Sammendrag av parameterverdiene:

    • FIPS-modus = aktivert

    • Server = http://10.79.57.91

    • Root CA fingeravtrykk = 12040870625C5B755D73F 5925285F8F5FF5D55AF

    • Utfordringspassord = D233CCF9B9952A15

    • Aktiver 802.1X-godkjenning = Ja

    • Sertifikatvalg = Tilpasset installert

    Syntaksen til den endelige hex-verdien er: {<suboption><length><value>}...

    I henhold til parameterverdiene ovenfor er den endelige hex-verdien som følger:

    0a01010b12687474703a2f2f31302e37392e35372e39310c1412040870625C5B755D73F5925285F8F5FF5D55AF0d10443233334343463942393935324131350e01010f0101

  3. Konfigurer DHCP alternativ 43 på en DHCP-server.

    Dette trinnet gir et eksempel på konfigurasjonene for DHCP alternativ 43 i Ciscos nettverksregister.

    1. Legg til DHCP alternativdefinisjonssett.

      Alternativstrengen for leverandører er modellnavnet på de IP telefonene. Den gyldige verdien er: DP-9841, DP-9851, DP-9861, DP-9871 eller CP-8875.

    2. Legg til DHCP alternativ 43 og underalternativer i definisjonssettet for DHCP alternativer.

      Eksempel:

      Skjermbilde av DHCP definisjoner for alternativ 43 i Cisco Network Register

    3. Legg til alternativer 43 i DHCP policyen, og definer verdien på følgende måte:

      Eksempel:

      (10 1)(11 http://10.79.57.91)(12 12040870625C5B755D73F5925285F8F5FF5D55AF)(13 D233CCF9B9952A15)(14 1)(15 1)

    4. Kontroller innstillingene. Du kan bruke Wireshark til å fange opp et spor av nettverkstrafikken mellom telefonen og tjenesten.
  4. Utfør en tilbakestilling til fabrikkinnstillingene for telefonen.

    Etter at telefonen er tilbakestilt, blir parametrene Server, Root CA Fingerprint og Challenge Password fylt ut automatisk. Disse parameterne finner du i delen SCEP-konfigurasjon 1 fra Sertifikat > Tilpasset på websiden for telefonadministrasjon.

    Hvis du vil kontrollere detaljene for det installerte sertifikatet, klikker du Vis under Eksisterende sertifikater .

    Hvis du vil kontrollere installasjonsstatusen for sertifikatet, velger du Certificate > Custom Cert Status. Nedlastingsstatus 1 viser det siste resultatet. Hvis det oppstår et problem under sertifikatregistreringen, kan nedlastingsstatusen vise årsaken til problemet i forbindelse med feilsøking.

    Hvis godkjenning av passord mislykkes, blir brukerne bedt om å angi passordet på telefonskjermen.
  5. (Valgfritt): Hvis du vil fjerne det installerte sertifikatet fra telefonen, klikker du Slett under Eksisterende sertifikater .
    Når du klikker på knappen, starter fjerningen umiddelbart uten bekreftelse.

Sertifikatfornyelse med SCEP

Enhetssertifikatet kan oppdateres automatisk av SCEP-prosessen.

  • Telefonen sjekker om sertifikatet utløper om 15 dager hver 4. time. I så fall starter telefonen sertifikatfornyelsesprosessen automatisk.
  • Hvis passordet for utfordringen er tomt, bruker telefonen MIC/SUDI både for første registrering og sertifikatfornyelse. Hvis passordet for utfordringen er konfigurert, brukes det bare til første registrering, det eksisterende/installerte sertifikatet brukes til sertifikatfornyelse.
  • Telefonen fjerner ikke det gamle enhetssertifikatet før den henter det nye.
  • Hvis sertifikatfornyelse mislykkes fordi enhetssertifikatet eller CA utløper, utløser telefonen den første registreringen automatisk. I mellomtiden, hvis godkjenning av utfordringspassord mislykkes, dukker det opp en passordinntastingsskjerm på telefonskjermen, og brukerne blir bedt om å angi utfordringspassordet på telefonen.

Aktivere FIPS-modus

Du kan gjøre telefonen kompatibel med FIPS (Federal Information Processing Standards).

FIPS er et sett med standarder som beskriver dokumentbehandling, krypteringsalgoritmer og andre informasjonsteknologistandarder for bruk i ikke-militære myndigheter og av offentlige entreprenører og leverandører som arbeider med byråene. CiscoSSL FOM (FIPS-objektmodul) er en nøye definert programvarekomponent som er utformet for kompatibilitet med CiscoSSL-biblioteket, slik at produkter som bruker CiscoSSL-biblioteket og API kan konverteres til å bruke FIPS 140-2-validert kryptografi med minimal innsats.

1

Åpne telefonens administrasjonsnettside.

2

Velg Stemme > System.

3

I delen Sikkerhetsinnstillinger velger du Ja eller Nei fra parameteren FIPS-modus .

4

Klikk på Godta alle endringer.

Når du aktiverer FIPS, fungerer følgende funksjoner sømløst på telefonen:
  • Bildegodkjenning
  • Sikker lagring
  • Kryptering av konfigurasjonsfil
  • TLS:
    • HTTP-er
    • PRT-opplasting
    • Fastvareoppgradering
    • Synkronisering av profil på nytt
    • Service om bord
    • Webex onboarding
    • SIP over TLS
    • 802.1x (kablet)
  • SIP-sammendrag (RFC 8760)
  • SRTP
  • Webex anropslogger og Webex katalog
  • Én knapp å trykke på (OBTP)

Angi bruker- og administratorpassord

Når telefonen er registrert i et anropskontrollsystem første gang, eller du har tilbakestilt fabrikkinnstillingene på telefonen, må du angi bruker- og administratorpassordet for å forbedre telefonens sikkerhet. Bare når passordet er angitt, kan du sende endringene fra telefonens nettside.

Som standard er advarselen om ikke passord aktivert på telefonen. Når telefonen ikke har noe bruker- eller administratorpassord, vises følgende advarsler:

  • Telefonens nettside viser "Ingen administratorpassord oppgitt. Internett er i skrivebeskyttet modus, og du kan ikke sende inn endringer. Vennligst endre passordet." øverst til venstre.

    Feltene Brukerpassord og Administratorpassord viser henholdsvis advarselen "Ingen passord oppgitt" hvis det er tomt.

  • Telefonskjermen Problemer og diagnostikk viser problemet "Ingen passord oppgitt".
1

Åpne telefonens administrasjonsnettside

2

Velg Stemme > System.

3

(Valgfritt) I delen Systemkonfigurasjon setter du parameteren Vis passordadvarsler til Ja, og deretter klikker du Send alle endringer.

Du kan også aktivere parameterne i telefonkonfigurasjonsfilen (cfg.xml).

<Display_Password_Warnings ua="na">Ja</Display_Password_Warnings>

Standard: Ja

Alternativer: Ja|Nei

Når parameteren er satt til Nei, vises ikke passordadvarselen verken på nettsiden eller telefonskjermen. Klar-bare modus for siden web vil heller ikke bli aktivert selv om passordet er tomt.

4

Finn parameteren Brukerpassord eller Administratorpassord, og klikk på Endre passord ved siden av parameteren.

5

Skriv inn gjeldende brukerpassord i feltet Gammelt passord .

Hvis du ikke har et passord, lar du feltet stå tomt. Standard verdi er tom.
6

Skriv inn et nytt passord i feltet Nytt passord .

7

Klikk på Bekreft.

Meldingen Passordet er endret. vises på nettsiden. Nettsiden oppdateres om noen sekunder. Advarselen ved siden av parameteren forsvinner.

Når du har angitt brukerpassordet, viser denne parameteren følgende i telefonkonfigurasjon XML-filen (cfg.xml):

<!-- <Admin_Password ua="na">*************</Admin_Password> <User_Password ua="rw">*************</User_Password> -->

Hvis du får feilkoden 403 når du prøver å få tilgang til telefonens webside, må du angi bruker- eller administratorpassordet ved å klargjøre i telefonkonfigurasjonsfilen (cfg.xml). Skriv for eksempel inn en streng i dette formatet:

<Admin_Password ua="na">P0ssw0rd_tes89</Admin_Password>

<User_Password ua="rw">Abc123</User_Password>

802.1X-godkjenning

Cisco IP-telefon støtter 802.1X-godkjenning.

Cisco IP-telefon og Cisco Catalyst-svitsjer bruker tradisjonelt CDP-protokollen (Cisco Discovery Protocol) til å identifisere hverandre og definere parametere, for eksempel VLAN-tildeling og innebygde strømkrav. CDP identifiserer ikke lokalt tilknyttede arbeidsstasjoner. Cisco IP-telefon formidler en EAPOL-sendemekanisme. Denne mekanismen tillater at en arbeidsstasjon som er knyttet til Cisco IP-telefon, kan sende EAPOL-meldinger til 802.1X-godkjenneren ved LAN-svitsjen. Sendemekanismen sørger for at IP-telefonen ikke fungerer som LAN-svitsjen for å godkjenne et dataendepunkt før det gis tilgang til nettverket.

Cisco IP-telefoner formidler også en EAPOL-avloggingsmekanisme for proxy. Hvis den lokalt tilknyttede PC-en kobles fra IP-telefonen, vil ikke LAN-svitsjen registrere at den fysiske koblingen ikke lenger fungerer, fordi koblingen mellom LAN-svitsjen og IP-telefonen opprettholdes. For å unngå at nettverksintegriteten svekkes, sender IP-telefonen en EAPOL-avloggingsmelding til svitsjen på vegne av nedstrøms-PC-en, som fører til at LAN-svitsjen fjerner godkjenningsoppføringen for nedstrøms-PC-en.

Støtte for 802.1X-godkjenning krever flere komponenter:

  • Cisco IP-telefon: Telefonen sender forespørselen om tilgang til nettverket. Cisco IP-telefoner inneholder en 802.1X-anmoder. Denne anmoderen tillater at nettverksadministratorer kontrollerer tilkoblingen for IP-telefoner til LAN-svitsjeportene. Den gjeldende versjonen av telefonens 802.1X-anmoder bruker alternativene EAP-FAST og EAP-TLS for nettverksgodkjenning.

  • Godkjenningsserver: Både godkjenningsserveren og svitsjen må konfigureres med en delt hemmelighet som godkjenner telefonen.

  • svitsj: svitsjen må støtte 802.1X, slik at den kan fungere som godkjenner og sende meldingene mellom telefonen og godkjenningsserveren. Etter at utvekslingen er fullført, gir eller avslår svitsjen tilgang til nettverket for telefonen.

Du må utføre følgende handlinger for å konfigurere 802.1X.

  • Konfigurer de andre komponentene før du aktiverer 802.1X-godkjenning på telefonen.

  • Konfigurer PC-port: 802.1X-standarden vurderer ikke VLAN-er. Derfor anbefales det at bare én enhet bør godkjennes for en bestemt svitsjport. Noen svitsjer støtter imidlertid godkjenning av flere domener. Svitsjkonfigurasjonen fastslår om du kan koble en PC til PC-porten på telefonen.

    • Aktivert: Hvis du bruker en svitsj som støtter godkjenning på flere domener, kan du aktivere PC-porten og koble en PC til den. I dette tilfellet støtter Cisco IP-telefoner EAPOL-avlogging for proxy for å overvåke godkjenningsutvekslingene mellom svitsjen og den tilknyttede PC-en.

      Hvis du vil ha mer informasjon om IEEE 802.1X-støtte på Cisco Catalyst-svitsjene, kan du se retningslinjene for konfigurasjon av Cisco Catalyst-svitsjer på:

      http://www.cisco.com/en/US/products/hw/switches/ps708/tsd_products_support_series_home.html

    • Deaktivert: Hvis svitsjen ikke støtter flere 802.1X-kompatible enheter på samme port, må du deaktivere PC-porten når 802.1X-godkjenning er aktivert. Hvis du ikke deaktiverer denne porten og forsøker å koble en PC til den, avslår svitsjen nettverkstilgang til både telefonen og PC-en.

  • Konfigurer Tale-VLAN: 802.1X-standarden omfatter ikke VLAN-er, og derfor må du konfigurere denne innstillingen basert på svitsjstøtten.
    • Aktivert: Hvis du bruker en svitsj som støtter godkjenning på flere domener, kan du fortsette å bruke tale-VLAN.
    • Deaktivert: Hvis svitsjen ikke støtter godkjenning på flere domener, deaktiverer du Tale-VLAN og vurderer å tilordne porten til opprinnelig VLAN.
  • (Bare for Cisco bordtelefon 9800-serien)

    Cisco bordtelefon 9800-serien har et annet prefiks i PID enn for de andre Cisco-telefonene. Hvis du vil at telefonen skal bestå 802.1X-godkjenning, angir du Radius· Brukernavnparameter for å inkludere din Cisco bordtelefon 9800-serien.

    For eksempel er PID for telefon 9841 DP-9841; kan du angi Radius · Brukernavn til å begynne med DP eller inneholder DP. Du kan angi det i begge følgende deler:

    • Retningslinjer > betingelser > bibliotekbetingelser

    • Policy > policysett> autorisasjonspolicy > autorisasjonsregel 1

Aktivere 802.1X-godkjenning

Når 802.1X-godkjenning er aktivert, bruker telefonen 802.1X-godkjenning til å be om nettverkstilgang. Når 802.1X-godkjenning er deaktivert, bruker telefonen Cisco Discovery Protocol (CDP) til å hente VLAN- og nettverkstilgang. Du kan også vise transaksjonsstatus og endring på telefonskjermmenyen.

Når 802.1X-godkjenning er aktivert, kan du også velge enhetssertifikatet (MIC/SUDI eller egendefinert) for den første registreringen og sertifikatfornyelsen. Vanligvis er MIC for Cisco Video Phone 8875, SUDI er for Cisco bordtelefon 9800-serien. CDC kan bare brukes til godkjenning i 802.1x.

1

Utfør en av følgende handlinger for å aktivere 802.1X-godkjenning:

  • I telefonens webgrensesnitt velger du Talesystem og setter parameteren Aktiver 802.1X> godkjenning til Ja. Klikk deretter Send inn alle endringer.
  • I konfigurasjonsfilen (cfg.xml) skriver du inn en streng i dette formatet:

    <Enable_802.1X_Authentication ua="rw">Ja</Enable_802.1X_Autentisering>

    Gyldige verdier: Ja|Nei

    Standard: Ingen

  • Trykk på Innstillinger på telefonen the Settings hard key, og naviger til Nettverks- og tjeneste >sikkerhetsinnstillinger > 802.1X-godkjenning . Sett feltet Enhetsgodkjenning til , og velg deretter Bruk.
Tabell 2. Parametere for 802.1X-godkjenning på telefonskjermen

Parametre

Alternativer

Standard

Beskrivelse

Enhetsgodkjenning

Av

Av

Aktivere eller deaktivere 802.1X-godkjenning på telefonen.

Transaksjonsstatus

Deaktivert

Viser tilstanden for 802.1X-godkjenning. Staten kan være (ikke begrenset til):

  • Autentisering: Angir at godkjenningsprosessen pågår.
  • Godkjent: Angir at telefonen er godkjent.
  • Deaktivert: Angir at 802.1x-godkjenning er deaktivert på telefonen.

Protokoll

Ingen

Viser den EAP metoden som brukes for 802.1X-godkjenning. Protokollen kan være EAP-FAST eller EAP-TLS.

Type brukersertifikat

Produksjon installert

Tilpasset installasjon

Produksjon installert

Velg sertifikatet for 802.1X-godkjenningen under den første registreringen og sertifikatfornyelsen.

  • Produksjon installert – MIC (Manufacturing Installed Certificate) og Secure Unique Device Identifier (SUDI) brukes.
  • Tilpasset installert – Custom Device Certificate (CDC) brukes. Denne sertifikattypen kan installeres enten ved manuell opplasting på telefonens webside eller ved installasjon fra en SCEP-server (Simple Certificate Enrollment Protocol).

Denne parameteren vises bare på telefonen når enhetsgodkjenning er aktivert.

2

Velg et sertifikat (MIC eller egendefinert) for 802.1X-godkjenning på telefonens webside.

  • For kablet nettverk, velg Tale>System, velg en sertifikattype fra rullegardinlisten Sertifikat Velg i seksjon 802.1X-godkjenning.

    Du kan også konfigurere denne parameteren i konfigurasjonsfilen (cfg.xml):

    <Certificate_Select ua="rw">Custom installert</Certificate_Select>

    Gyldige verdier: Produksjon installert|Tilpasset installasjon

    Standard: Produksjon installert

  • For trådløst nettverk velger du Tale>system, velger en sertifikattype fra rullegardinlisten Sertifikat Velg i delen Wi-Fi Profil 1.

    Du kan også konfigurere denne parameteren i konfigurasjonsfilen (cfg.xml):

    <Wi-Fi_Certificate_Select_1_ ua="rw">Custom installert</Wi-Fi_Certificate_Select_1_>

    Gyldige verdier: Produksjon installert|Tilpasset installasjon

    Standard: Produksjon installert

Hvis du vil ha informasjon om hvordan du velger en sertifikattype på telefonskjermen, kan du se Koble telefonen til et Wi-Fi nettverk.

Aktiver klientinitiert modus for sikkerhetsforhandlinger på medieplan

Hvis du vil beskytte medieøkter, kan du konfigurere telefonen til å starte sikkerhetsforhandlinger med serveren. Sikkerhetsmekanismen følger standardene angitt i RFC 3329 og dens utvidelsesutkast Sikkerhetsmekanismenavn for media (se https://tools.ietf.org/html/draft-dawes-sipcore-mediasec-parameter-08#ref-2). Transport av forhandlinger mellom telefonen og serveren kan bruke SIP-protokollen over UDP, TCP og TLS. Du kan begrense at sikkerhetsforhandlinger for mediefly bare brukes når signaltransportprotokollen er TLS.

1

Åpne telefonens administrasjonsnettside.

2

Velg Stemme > Ext(n).

3

I delen SIP-innstillinger angir du feltene MediaSec-forespørsel og MediaSec over TLS Bare som definert i følgende tabell:

Tabell 3. Parametere for sikkerhetsforhandlinger på medieplan
ParameterBeskrivelse

MediaSec-forespørsel

Angir om telefonen starter sikkerhetsforhandlinger med serveren.

Gjør ett av følgende:

  • I telefonens konfigurasjonsfil med XML (cfg. xml) angir du en streng i dette formatet:

    <MediaSec_Request_1_ ua="na">Ja</MediaSec_Request_1_>
  • I telefonens webgrensesnitt setter du dette feltet til Ja eller Nei etter behov.

Tillatte verdier: Ja|Nei

  • Ja – klientinitiert modus. Telefonen innleder medieflyets sikkerhetsforhandlinger.
  • Nei – Serverinitiert modus. Serveren starter medieplansikkerhetsforhandlinger. Telefonen starter ikke forhandlinger, men kan behandle forhandlingsforespørsler fra serveren for å etablere sikre anrop.

Standard: Ingen

MediaSec bare over TLS

Angir signaltransportprotokollen som sikkerhetsforhandlinger for medieplan brukes over.

Før du setter dette feltet til Ja, må du kontrollere at signaltransportprotokollen er TLS.

Gjør ett av følgende:

  • I telefonens konfigurasjonsfil med XML (cfg. xml) angir du en streng i dette formatet:

    <MediaSec_Over_TLS_Only_1_ ua="na">Nei</MediaSec_Over_TLS_Only_1_>

  • I telefonens webgrensesnitt setter du dette feltet til Ja eller Nei etter behov.

Tillatte verdier: Ja|Nei

  • Ja, telefonen starter eller håndterer sikkerhetsforhandlinger på mediefly bare når signaltransportprotokollen er TLS.
  • Nei, telefonen initierer og håndterer sikkerhetsforhandlinger på mediefly uavhengig av signaltransportprotokollen.

Standard: Ingen

4

Klikk på Godta alle endringer.

Konfigurere Wi-Fi profil

Du kan konfigurere Wi-Fi-profiler fra telefonens nettside eller ved resynkronisering av eksterne enhetsprofiler, og deretter knytte profilen til de tilgjengelige Wi-Fi-nettverkene. Du kan bruke en slik Wi-Fi-profil til å koble til et Wi-Fi-nettverk. For øyeblikket kan bare én Wi-Fi profil konfigureres.

Profilen inneholder parametrene som er nødvendige for å kunne koble telefoner til telefonserveren med Wi-Fi. Når du oppretter og bruker en Wi-Fi profil, trenger ikke du eller brukerne å konfigurere det trådløse nettverket for individuelle telefoner.

En Wi-Fi-profil gjør det mulig å forhindre eller begrense endringer i Wi-Fi-konfigurasjonen på telefonen fra brukeren.

Vi anbefaler at du bruker en sikker profil med krypteringsaktiverte protokoller for å beskytte nøkler og passord når du bruker en Wi-Fi profil.

Når du konfigurerer telefonene til å bruke godkjenningsmetoden EAP-FAST i sikkerhetsmodus, trenger brukerne individuell legitimasjon for å koble til et tilgangspunkt.

1

Gå til telefonens webside.

2

Velg Stemme > System.

3

I Wi-Fi delen Profil (n) angir du parameterne som beskrevet i følgende tabell Parametere for Wi-Fi profil.

Konfigurasjonen av Wi-Fi-profilen er også tilgjengelig for brukerpålogging.
4

Klikk på Godta alle endringer.

Parametere for Wi-Fi profil

Tabellen nedenfor angir funksjon og bruk av hver parameter i delen Wi-Fi-profile(n) under fanen System på telefonnettsiden. Den definerer også syntaksen til strengen som legges til i telefonkonfigurasjonsfilen (cfg.xml) for å konfigurere en parameter.

ParameterBeskrivelse
NettverksnavnHer kan du angi et navn på SSID-en. Dette vises på telefonen. Flere profiler kan ha samme nettverksnavn med ulik sikkerhetsmodus.

Gjør ett av følgende:

  • I telefonens konfigurasjonsfil med XML (cfg. xml) angir du en streng i dette formatet:

    <Network_Name_1_ua="rw">cisco</Network_Name_1_>

  • Skriv inn et navn på SSID på telefonens nettside.

Standard: tom

SikkerhetsmodusLar deg velge hvilken godkjenningsmetode som skal brukes til å sikre tilgangen til Wi-Fi-nettverket. Avhengig av hvilken metode du velger, vises et passordfelt slik at du kan angi legitimasjonen som kreves for å bli med i dette Wi-Fi nettverket.

Gjør ett av følgende:

  • I telefonens konfigurasjonsfil med XML (cfg. xml) angir du en streng i dette formatet:

    <Security_Mode_1_ ua="rw">EAP-TLS</Security_Mode_1_> <!-- tilgjengelige alternativer: Auto|EAP-FAST|||PSK||Ingen|EAP-PEAP|EAP-TLS -->

  • Velg én av metodene på telefonens webside:
    • Automatisk
    • EAP-FAST
    • PSK
    • Ingen
    • EAP-PEAP
    • EAP-TLS

Standard: Automatisk

Wi-Fi-bruker-IDLar deg angi en bruker-ID for nettverksprofilen.

Dette feltet er tilgjengelig når du setter sikkerhetsmodusen til Auto, EAP-FAST eller EAP-PEAP. Feltet er obligatorisk og har en maksimumslengde på 32 alfanumeriske tegn.

Gjør ett av følgende:

  • I telefonens konfigurasjonsfil med XML (cfg. xml) angir du en streng i dette formatet:

    <Wi-Fi_User_ID_1_ua="rw"></Wi-Fi_User_ID_1_>

  • På telefonens webside angir du en bruker-ID for nettverksprofilen.

Standard: tom

Wi-Fi-passordHer kan du oppgi passordet for den angitte Wi-Fi-bruker-ID-en.

Gjør ett av følgende:

  • I telefonens konfigurasjonsfil med XML (cfg. xml) angir du en streng i dette formatet:

    <Wi-Fi_Password_1_ ua="rw"></Wi-Fi_Password_1_>

  • Skriv inn et passord for bruker-IDen du har lagt til, på telefonens nettside.

Standard: tom

FrekvensbåndHer kan du velge frekvensbåndet for trådløse signaler som WLAN-et skal bruke.

Gjør ett av følgende:

  • I telefonens konfigurasjonsfil med XML (cfg. xml) angir du en streng i dette formatet:

    <Frequency_Band_1_ ua="rw">Auto</Frequency_Band_1_>

  • Velg ett av alternativene på telefonens webside:
    • Automatisk
    • 2,4 GHz
    • 5 GHz

Standard: Automatisk

Velg sertifikatLar deg velge en sertifikattype for innmelding av sertifikat og sertifikatfornyelse i trådløsnettverket. Denne prosessen er bare tilgjengelig for 802.1X-autentifikasjon.

Gjør ett av følgende:

  • I telefonens konfigurasjonsfil med XML (cfg. xml) angir du en streng i dette formatet:

    <Certificate_Select_1_ ua="rw">Produksjon installert</Certificate_Select_1_>

  • Velg ett av alternativene på telefonens webside:
    • Produksjon installert
    • Tilpasset installasjon

Standard: Produksjon installert