Installasjon av sertifikat for tilpasset enhet

Hvis du vil installere et Custom Device Certificate (CDC) på telefonen, bruker du én av følgende måter basert på situasjonen:

Det sist installerte sertifikatet på telefonen trer i kraft.

Manuell installasjon av tilpasset enhetssertifikat ved opplasting

Du kan installere et tilpasset enhetssertifikat (CDC) manuelt på telefonen ved å laste opp sertifikatet fra websiden for telefonadministrasjon.

Før du begynner

Før du kan installere et egendefinert enhetssertifikat for en telefon, må du ha:

  • En sertifikatfil (.p12 eller .pfx) lagret på PCen. Filen inneholder sertifikatet og privatnøkkelen.
  • Passordet for sertifikatutdraget. Passordet brukes til å dekryptere sertifikatfilen.
1

Åpne telefonens administrasjonsnettside.

2

Velg Sertifikat.

3

I delen Legg til sertifikat klikker du Bla gjennom....

4

Bla til sertifikatet på PC-en.

5

I feltet Pakk ut passord taster du inn sertifikatets utpakkingspassord.

6

Klikk på Last opp.

Hvis sertifikatfilen og passordet er riktig, vil du motta meldingen "Sertifikat lagt til.". Ellers mislykkes opplastingen med en feilmelding som indikerer at sertifikatet ikke kan lastes opp.
7

Hvis du vil kontrollere detaljene for det installerte sertifikatet, klikker du Vis under Eksisterende sertifikater .

8

Hvis du vil fjerne det installerte sertifikatet fra telefonen, klikker du Slett under Eksisterende sertifikater .

Når du klikker på knappen, starter fjerningen umiddelbart uten bekreftelse.

Hvis sertifikatet fjernes, vil du motta meldingen "Sertifikat slettet.".

Automatisk installering av tilpasset enhetssertifikat av SCEP

Du kan konfigurere SCEP-relaterte parametere (Simple Certificate Enrollment Protocol) til å samhandle med SCEP-serveren for å installere CDC-sertifikatet (Custom Device Certificate) automatisk.

Når noen av SCEP-parameterne er konfigurert, sender telefonen en forespørsel om SCEP-registrering til serveren. Telefonen vil validere det mottatte CA-sertifikatet ved hjelp av det konfigurerte fingeravtrykket.

Før du begynner

Før du kan utføre en automatisk installasjon av et CDC (Custom Device Certificate) for en telefon, må du ha:

  • Adresse til SCEP-server
  • SHA-1- eller SHA-256-fingeravtrykk av rot-CA-sertifikatet for SCEP-serveren
1

Åpne telefonens administrasjonsnettside.

2

Velg Sertifikat.

3

I delen SCEP-konfigurasjon 1 angir du parametrene som beskrevet i Parametere for SCEP-konfigurasjon .

4

Klikk på Godta alle endringer.

Parametere for SCEP-konfigurasjon

Tabellen nedenfor definerer funksjonen og bruken av SCEP-konfigurasjonsparametere i delen SCEP-konfigurasjon 1 under Sertifikat # Tab i telefonens webgrensesnitt. Den definerer også syntaksen til strengen som legges til i telefonkonfigurasjonsfilen (cfg.XML) for å konfigurere en parameter.

Eventuelle endringer av parametere vil føre til at telefonen ber om et nytt sertifikat.

Tabell 1. Parametere for SCEP-konfigurasjon
ParameterBeskrivelse
Server

SCEP-serveradresse. Denne parameteren er obligatorisk.

Gjør ett av følgende:

  • I telefonens konfigurasjonsfil med XML (cfg. xml) angir du en streng i dette formatet:

    <CDC_Server_1_ ua="na">http://10.79.57.91</CDC_Server_1_>

  • Skriv inn adressen til SCEP-serveren på telefonens nettside.

Gyldige verdier: En URL- eller IP adresse. HTTPS-ordningen støttes ikke.

Standard: tom

Rot CA fingeravtrykk

SHA256- eller SHA1-fingeravtrykket til rotsertifiseringsinstansen for validering under SCEP-prosessen. Denne parameteren er obligatorisk.

Gjør ett av følgende:

  • I telefonens konfigurasjonsfil med XML (cfg. xml) angir du en streng i dette formatet:

    <CDC_Root_CA_Fingerprint_1_ ua="na">12040870625C5B755D73F5925285F8F5FF5D55AF</CDC_Root_CA_Fingerprint_1_>

  • Skriv inn et gyldig fingeravtrykk på telefonens nettside.

Standard: tom

Utfordre passord

Utfordringspassordet for Certificate Authority (CA)-autorisasjon mot telefonen under en sertifikatregistrering via SCEP. Denne parameteren er valgfri.

I henhold til det faktiske SCEP-miljøet varierer oppførselen til utfordringspassord.

  • Hvis telefonen får et sertifikat fra en Cisco RA som kommuniserer med CA, støttes ikke utfordringspassordet i CA. I dette tilfellet bruker Cisco RA telefonens MIC/SUDI for godkjenning for å få tilgang til CA. Telefonen bruker MIC/SUDI for både innledende registrering og sertifikatfornyelse.
  • Hvis telefonen får et sertifikat ved å kommunisere med CA direkte, støttes utfordringspassordet i CA. Hvis den er konfigurert, brukes den bare til den første registreringen. For sertifikatfornyelsen vil det installerte sertifikatet bli brukt i stedet.

Gjør ett av følgende:

  • I telefonens konfigurasjonsfil med XML (cfg. xml) angir du en streng i dette formatet:

    <CDC_Challenge_Password_1_ ua="na"></CDC_Challenge_Password_1_>

    Passordet er maskert i konfigurasjonsfilen.

  • Skriv inn utfordringspassordet på telefonens nettside.

Standard: tom

Vanlig navn

Angir fellesnavnet (CN) som brukes som identifikator for telefonen som ber om sertifikatet. CN brukes for forespørsel om sertifikatsignering (CSR) i SCEP-prosessen.

Denne parameteren støtter også makroutvidelsesvariabler, se Makroutvidelsesvariabler hvis du vil ha mer informasjon.

Gjør ett av følgende:

  • I telefonens konfigurasjonsfil med XML (cfg. xml) angir du en streng i dette formatet:

    <CDC_Common_Name_1_ ua="na"></CDC_Common_Name_1_>

  • Skriv inn det vanlige navnet på telefonens nettside.

Gyldige verdier: Maksimalt 64 tegn

Standard: tom

Sertifikatfornyelse med SCEP

Enhetssertifikatet kan oppdateres automatisk av SCEP-prosessen.

  • Telefonen sjekker om sertifikatet utløper om 15 dager hver 4. time. I så fall starter telefonen sertifikatfornyelsesprosessen automatisk.
  • Hvis passordet for utfordringen er tomt, bruker telefonen MIC/SUDI både for første registrering og sertifikatfornyelse. Hvis passordet for utfordringen er konfigurert, brukes det bare til første registrering, det eksisterende/installerte sertifikatet brukes til sertifikatfornyelse.
  • Telefonen fjerner ikke det gamle enhetssertifikatet før den henter det nye.
  • Hvis sertifikatfornyelse mislykkes fordi enhetssertifikatet eller CA utløper, utløser telefonen den første registreringen automatisk. I mellomtiden, hvis godkjenning av utfordringspassord mislykkes, dukker det opp en passordinntastingsskjerm på telefonskjermen, og brukerne blir bedt om å angi utfordringspassordet på telefonen.

Konfigurasjon av vanlig CDC-navn

Som standard brukes fellesnavnet i MIC/SUDI som fellesnavn for CDC.

Du kan konfigurere fellesnavnet for CDC når du installerer sertifikatet. Bruk en av følgende metoder for å installere en CDC på telefonen:

SCEP-parameterkonfigurasjon via DHCP alternativ 43

I visse miljøer der du ikke kan installere CDC-sertifikatet (Custom Device Certificate) ved å laste det opp eller konfigurere SCEP-parameterne direkte. I så fall kan du bruke alternativet DHCP 43 til å fylle ut parameterne fra en DHCP-server. Alternativet DHCP 43 kan konfigureres til å angi SCEP-parametrene til telefonen. Når telefonen er tilbakestilt til fabrikkstandard, kan den motta parametrene fra DHCP-serveren for å installere CDC via SCEP-protokollen.

  • Denne funksjonen (SCEP-parameterkonfigurasjon via DHCP alternativ 43) er bare tilgjengelig for telefoner som tilbakestilles til fabrikkstandard.
  • Telefoner skal ikke plasseres i nettverket som har støttet alternativ 43 og ekstern klargjøring (for eksempel Options 66,160,159,150 eller skyklargjøring). Ellers kan det hende at telefonene ikke får alternativet 43-konfigurasjoner.

Hvis du vil installere et CDC-sertifikat ved hjelp av SCEP-parameterne fra DHCP alternativ 43, gjør du følgende:

  1. Forbered et SCEP-miljø.

    Hvis du vil ha informasjon om oppsett av SCEP-miljøet, kan du se dokumentasjonen for SCEP-serveren.

  2. Sett opp DHCP alternativ 43 (definert i 8.4 Leverandørspesifikk informasjon, RFC 2132).

    Undervalg (10–15) er reservert for metoden:

    Parameter på telefonens nettsideAlternativTypeLengde (byte)Obligatorisk
    FIPS-modus10Boolsk1Nei*
    Server11streng208 - lengde (Challenge passord)Ja
    Rot CA fingeravtrykk12Hex20, 32, 48 eller 64Ja
    Utfordre passord13streng208 - lengde (Server)Nei*
    Aktivere 802.1X-godkjenning14Boolsk1Nei
    Velg sertifikat15Usignert 8-biters1Nei

    * betyr at parameteren er konfigurert i henhold til den faktiske situasjonen.

    Når du bruker alternativet DHCP 43, må du legge merke til følgende kjennetegn ved metoden:

    • Underalternativer (10–15) er reservert for CDC (Custom Device Certificate).
    • Maksimumslengden på DHCP alternativ 43 er 255 byte.
    • Den maksimale lengden på Server + Challenge Password skal være mindre enn 208 byte.
    • Verdien for FIPS-modus skal være i samsvar med konfigurasjonen for klargjøring av pålasting. Ellers kan ikke telefonen hente det tidligere installerte sertifikatet etter innføring. Spesifikt
      • Hvis telefonen skal registreres i et miljø der FIPS-modus er deaktivert, trenger du ikke å konfigurere FIPS-modus i DHCP alternativ 43. FIPS-modus er deaktivert som standard.
      • Hvis telefonen skal registreres i et miljø der FIPS-modus er aktivert, må du aktivere FIPS-modus i DHCP alternativ 43. Se Aktivere FIPS-modus hvis du vil ha mer informasjon.
    • Utfordringspassordet i alternativ 43 er i klartekst.
      • Hvis du vil at telefonen skal bruke MIC/SUDI for den første registreringen og sertifikatfornyelsen, lar du utfordringspassordet stå tomt.
      • Hvis utfordringspassordet bare brukes til den første registreringen, konfigurerer du utfordringspassordet. I dette tilfellet vil det installerte sertifikatet bli brukt til sertifikatfornyelse.
    • Aktiver 802.1X-godkjenning og sertifikatvalg brukes bare for telefoner i kablede nettverk.
    • DHCP alternativ 60 (Vendor Class Identifier) brukes til å identifisere enhetsmodellen.

    Eksempel på DHCP alternativ 43 (undervalg 10–15):

    Suboption desimal/hexVerdilengde (byte) desimal/hexVerdiHex-verdi
    10/0a1/011 (0: Deaktivert; 1: Aktivert)01
    11/0b18/12http://10.79.57.91687474703a2f2f31302e37392e35372e3931
    12/0c20/1412040870625C5B755D73F5925285F8F5FF5D55AF12040870625C5B755D73F5925285F8F5FF5D55AF
    13/0D16/10D233CCF9B9952A1544323333434346394239393532413135
    14/0e1/011 (0: Nei; 1: Ja)01
    15/0F1/011 (0: Produksjon installert; 1: Tilpasset installert) 01

    Sammendrag av parameterverdiene:

    • FIPS-modus = aktivert

    • Server = http://10.79.57.91

    • Root CA fingeravtrykk = 12040870625C5B755D73F 5925285F8F5FF5D55AF

    • Utfordringspassord = D233CCF9B9952A15

    • Aktiver 802.1X-godkjenning = Ja

    • Sertifikatvalg = Tilpasset installert

    Syntaksen til den endelige hex-verdien er: {<suboption><length><value>}...

    I henhold til parameterverdiene ovenfor er den endelige hex-verdien som følger:

    0a01010b12687474703a2f2f31302e37392e35372e39310c1412040870625C5B755D73F5925285F8F5FF5D55AF0d10443233334343463942393935324131350e01010f0101

  3. Konfigurer DHCP alternativ 43 på en DHCP-server.

    Dette trinnet gir et eksempel på konfigurasjonene DHCP alternativ 43 på Cisco Network Register.

    1. Legg til DHCP alternativdefinisjonssett.

      Alternativstrengen for leverandører er modellnavnet på de IP telefonene. Den gyldige verdien er: DP-9841, DP-9851, DP-9861, DP-9871 eller CP-8875.

    2. Legg til DHCP alternativ 43 og underalternativer i definisjonssettet DHCP.

      Eksempel:

      Skjermbilde av DHCP alternativ 43 definisjoner på Cisco Network Register

    3. Legg til alternativer 43 i DHCP policyen, og definer verdien på følgende måte:

      Eksempel:

      (10 1)(11 http://10.79.57.91)(12 12040870625C5B755D73F5925285F8F5FF5D55AF)(13 D233CCF9B9952A15)(14 1)(15 1)

    4. Kontroller innstillingene. Du kan bruke Wireshark til å fange opp et spor av nettverkstrafikken mellom telefonen og tjenesten.
  4. Utfør en tilbakestilling til fabrikkinnstillingene for telefonen.

    Etter at telefonen er tilbakestilt, blir parametrene Server, Root CA Fingerprint og Challenge Password fylt ut automatisk. Disse parameterne finner du i delen SCEP-konfigurasjon 1 fra Sertifikat > Tilpasset på websiden for telefonadministrasjon.

    Hvis du vil kontrollere detaljene for det installerte sertifikatet, klikker du Vis under Eksisterende sertifikater .

    Hvis du vil kontrollere installasjonsstatusen for sertifikatet, velger du Certificate > Custom Cert Status. Nedlastingsstatus 1 viser det siste resultatet. Hvis det oppstår et problem under sertifikatregistreringen, kan nedlastingsstatusen vise årsaken til problemet i forbindelse med feilsøking.

    Hvis godkjenning av passord mislykkes, blir brukerne bedt om å angi passordet på telefonskjermen.

  5. (Valgfritt): Hvis du vil fjerne det installerte sertifikatet fra telefonen, klikker du Slett under Eksisterende sertifikater .

    Når du klikker på knappen, starter fjerningen umiddelbart uten bekreftelse.

Levering av vanlig navn eller bruker-ID via DHCP alternativ 15

Under SCEP-sertifikatregistreringen via DHCP alternativ 43, kan telefonen også få domenenavnet oppgitt i DHCP alternativ 15 (hvis konfigurert). Etter at telefonen mottar domenenavnet, kan den konstruere det vanlige navnet eller bruker-IDen med domenenavnet, som er representert som følger:

  • Vanlig navn = < vanlig navn i MIC / SUDI >.<Domenenavn i alternativ 15>

    Det vanlige navnet vil bli brukt for CSR i SCEP-prosessen, og senere vil det være det vanlige navnet i CDC.

  • Bruker-ID = <Vanlig navn i MIC/SUDI >@<Domenenavn i alternativ 15>

    Bruker-IDen vil bli brukt som identitet for kablet 802.1X-autentifikasjon .

For eksempel er telefonens MAC-adresse 00:1A:2B:3C:4D:5E, telefonmodellen er 9871:

Domenenavn i DHCP alternativ 15Vanlig navnBruker-ID
example.nlCP-9871-SEP001A2B3C4D5E.example.nlCP-9871-SEP001A2B3C4D5E@example.nl
TomCP-9871-SEP001A2B3C4D5E

CP-9871-SEP001A2B3C4D5E

Hvis domenenavn ikke er konfigurert i alternativ 15, vil det vanlige navnet og bruker-IDen være det samme som det vanlige navnet i MIC/SUDI.