- Strona główna
- /
- Artykuł
Dziękujemy za opinię.
Certyfikat urządzenia niestandardowego 9800/8875
W tym artykule
Opinia?Certyfikat urządzenia niestandardowego (CDC, Custom Device Certificate) można zainstalować ręcznie lub automatycznie. W przypadku niektórych środowisk można użyć opcji DHCP 43, aby podać parametry protokołu SCEP dla instalacji certyfikatu. Ten artykuł Pomocy dotyczy telefonów stacjonarnych Cisco serii 9800 i Cisco wideo zarejestrowanych w Cisco BroadWorks lub Webex Calling.
Instalacja niestandardowego certyfikatu urządzenia
Aby zainstalować niestandardowy certyfikat urządzenia (CDC) na telefonie, skorzystaj z jednej z poniższych metod, zależnie od sytuacji:
Obowiązuje najnowszy zainstalowany na telefonie certyfikat.
- Instalacja ręczna — certyfikat można zainstalować, przesyłając go ze strony internetowej administracji telefonu. Więcej szczegółów znajdziesz tutaj Ręczna instalacja niestandardowego certyfikatu urządzenia poprzez przesłanie.
- Instalacja automatyczna — możesz skonfigurować parametry protokołu SCEP (Simple Certificate Enrollment Protocol) w celu uruchomienia automatycznej instalacji certyfikatu. Telefon wysyła żądania SCEP do serwera SCEP w celu zainstalowania certyfikatu.
Parametry SCEP można skonfigurować poprzez stronę internetową administracji telefonem, w pliku konfiguracyjnym telefonu (cfg.XML) lub w Control Hub. Więcej szczegółów znajdziesz tutaj Automatyczna instalacja niestandardowego certyfikatu urządzenia przez SCEP I Parametry ustawień telefonu w Control Hub.
- Opcja 43 DHCP — w pewnych środowiskach można zainstalować certyfikat, korzystając z opcji 43 DHCP. Opcja 43 może zapewnić parametry SCEP dla instalacji certyfikatu. Więcej szczegółów znajdziesz tutaj Konfiguracja parametrów SCEP poprzez opcję DHCP 43.
-
Jeśli używasz opcji DHCP nr 43 do dostarczania parametrów SCEP, telefon może również pobrać nazwę domeny pochodzącą z opcji DHCP nr 15. Na podstawie pobranej nazwy domeny telefon może utworzyć wspólną nazwę SCEP CSR oraz identyfikator użytkownika 802.1X. Więcej szczegółów znajdziesz tutaj Podawanie nazwy wspólnej lub identyfikatora użytkownika za pomocą opcji DHCP 15.
Aby uzyskać więcej informacji na temat konfiguracji opcji DHCP, zobacz Skonfiguruj opcje DHCP.
-
Ręczna instalacja niestandardowego certyfikatu urządzenia poprzez przesłanie
Niestandardowy certyfikat urządzenia (CDC) można zainstalować w telefonie ręcznie, przesyłając certyfikat ze strony internetowej administracji telefonu.
Zanim rozpoczniesz
Przed zainstalowaniem niestandardowego certyfikatu urządzenia dla telefonu należy mieć:
- Plik certyfikatu (.p12 lub .pfx) zapisany na Twoim komputerze. Plik zawiera certyfikat i klucz prywatny.
- Hasło do wyodrębnienia certyfikatu. Hasło służy do odszyfrowywania pliku certyfikatu.
| 1 |
Przejdź do strony WWW administrowania telefonem. |
| 2 |
Wybierać Certyfikat. |
| 3 |
W sekcji Dodaj certyfikat kliknij przycisk Przeglądaj.... |
| 4 |
Przejdź do certyfikatu na swoim komputerze. |
| 5 |
W polu Hasło wyodrębniania wprowadź hasła wyodrębniania certyfikatu. |
| 6 |
Kliknij przycisk Prześlij. Jeśli plik certyfikatu i hasło są poprawne, zostanie wyświetlony komunikat "
Certyfikat dodany". W przeciwnym razie przesyłanie nie powiedzie się z komunikatem o błędzie wskazującym, że certyfikat nie może zostać przesłany. |
| 7 |
Aby sprawdzić szczegóły zainstalowanego certyfikatu, kliknij przycisk Wyświetl w sekcji Istniejące certyfikaty . |
| 8 |
Aby usunąć zainstalowany certyfikat z telefonu, kliknij Usuń w sekcji Istniejące certyfikaty. Po kliknięciu przycisku operacja usuwania rozpocznie się natychmiast bez dalszego potwierdzenia.
Jeśli certyfikat zostanie pomyślnie usunięty, zostanie wyświetlony komunikat " |
Automatyczna instalacja niestandardowego certyfikatu urządzenia przez SCEP
Można skonfigurować parametry związane z protokołem SCEP (Simple Certificate Enrollment Protocol) w celu interakcji z serwerem SCEP w celu automatycznej instalacji niestandardowego certyfikatu urządzenia (CDC).
Po skonfigurowaniu dowolnego parametru SCEP telefon wyśle do serwera żądanie rejestracji SCEP. Telefon zweryfikuje otrzymany certyfikat CA przy użyciu skonfigurowanego odcisku palca.
Zanim rozpoczniesz
Aby móc wykonać automatyczną instalację Certyfikatu Urządzenia Niestandardowego (CDC) dla telefonu, musisz mieć:
- Adres serwera protokołu SCEP
- Odciski linii papilarnych certyfikatu głównego urzędu certyfikacji serwera protokołu SCEP w formacie SHA-1 lub SHA-256
| 1 |
Przejdź do strony WWW administrowania telefonem. |
| 2 |
Wybierać Certyfikat. |
| 3 |
W Konfiguracja SCEP 1 sekcji ustaw parametry zgodnie z opisem w Parametry konfiguracji SCEP . |
| 4 |
Kliknij przycisk Submit All Changes (Prześlij wszystkie zmiany). |
Parametry konfiguracji protokołu SCEP
W poniższej tabeli zdefiniowano funkcję i zastosowanie parametrów konfiguracji SCEP w Konfiguracja SCEP 1 sekcja pod Certyfikat Tab w interfejsie internetowym telefonu. Definiuje również składnię ciągu dodawanego do pliku konfiguracyjnego telefonu (cfg.xml) w celu skonfigurowania parametru.
Wszelkie zmiany parametrów spowodują, że telefon zażąda nowego certyfikatu.
| Parametr | Opis |
|---|---|
| Serwer |
Adres serwera protokołu SCEP. Ten parametr jest obowiązkowy. Wykonaj jedną z następujących czynności:
Prawidłowe wartości: adres URL lub adres IP. Schemat HTTPS nie jest obsługiwany. Wartość domyślna: puste |
| Odcisk palca głównego urzędu certyfikacji |
Odcisk palca SHA256 lub SHA1 głównego urzędu certyfikacji do walidacji podczas procesu SCEP. Ten parametr jest obowiązkowy. Wykonaj jedną z następujących czynności:
Wartość domyślna: puste |
| Hasło wyzwania |
Hasło wyzwania do autoryzacji urzędu certyfikacji (CA) w telefonie podczas rejestracji certyfikatu za pośrednictwem SCEP. Ten parametr jest opcjonalny. W zależności od rzeczywistego środowiska SCEP zachowanie hasła wyzwania jest różne.
Wykonaj jedną z następujących czynności:
Wartość domyślna: puste |
| Nazwa pospolita |
Określa nazwę wspólną (CN) używaną jako identyfikator telefonu, który żąda certyfikatu. Numer CN jest używany w przypadku żądania podpisania certyfikatu (CSR) w procesie SCEP. Ten parametr obsługuje również zmienne rozszerzające makra, patrz Zmienne ekspansji makr po szczegóły. Wykonaj jedną z następujących czynności:
Prawidłowe wartości: maksymalnie 64 znaki Wartość domyślna: puste |
Odnowienie certyfikatu przez protokół SCEP
Certyfikat urządzenia może zostać automatycznie odświeżony przez proces protokołu SCEP.
- Telefon sprawdza, czy certyfikat wygaśnie za 15 dni co 4 godziny. W takim przypadku telefon automatycznie rozpocznie proces odnawiania certyfikatu.
- Jeśli hasło wyzwania jest puste, telefon używa MIC/SUDI zarówno do początkowej rejestracji, jak i odnowienia certyfikatu. Jeśli hasło wyzwania jest skonfigurowane, jest używane tylko do początkowej rejestracji, istniejący/zainstalowany certyfikat jest używany do odnawiania certyfikatu.
- Telefon nie usunie starego certyfikatu urządzenia, dopóki nie pobierze nowego.
- Jeśli odnowienie certyfikatu nie powiedzie się z powodu wygaśnięcia certyfikatu urządzenia lub urzędu certyfikacji, telefon automatycznie uruchomi początkową rejestrację. W międzyczasie, jeśli uwierzytelnianie hasłem wyzwania nie powiedzie się, na ekranie telefonu pojawi się ekran wprowadzania hasła, a użytkownicy zostaną poproszeni o wprowadzenie hasła wyzwania w telefonie.
Konfiguracja nazwy wspólnej CDC
Domyślnie nazwa zwyczajowa z MIC/SUDI jest używana jako nazwa zwyczajowa dla CDC.
Nazwę wspólną dla CDC można skonfigurować podczas instalacji certyfikatu. Aby zainstalować CDC na telefonie, użyj jednej z następujących metod:
-
Wygeneruj żądanie podpisania certyfikatu (CSR) zawierające żądaną Nazwę zwykłą, a następnie prześlij i zainstaluj nowy certyfikat na stronie internetowej administracji telefonu.
-
Skonfiguruj nazwę wspólną za pośrednictwem strony internetowej administracji telefonem, pliku konfiguracyjnego telefonu (cfg.XML) lub Control Hub. Spowoduje to, że telefon automatycznie zażąda nowego certyfikatu.
Aby uzyskać więcej informacji na temat parametrów na stronie internetowej telefonu i w Centrum sterowania, zobacz Automatyczna instalacja niestandardowego certyfikatu urządzenia przez SCEP I Parametry ustawień telefonu w Control Hub.
- Użyj opcji 43 i 15 polecenia DHCP, aby zapewnić wspólną nazwę dla CDC i przewodowej tożsamości 802.1X.
Aby uzyskać więcej informacji, zobacz Podawanie nazwy wspólnej lub identyfikatora użytkownika za pomocą opcji DHCP 15.
Konfiguracja parametrów SCEP za pośrednictwem opcji 43 protokołu DHCP
W pewnych środowiskach nie można zainstalować niestandardowego certyfikatu urządzenia (CDC) poprzez jego przesłanie lub bezpośrednią konfigurację parametrów SCEP. W tej sytuacji możesz wykorzystać opcję 43 DHCP, aby uzupełnić parametry z serwera DHCP. Opcję 43 DHCP można skonfigurować tak, aby dostarczała telefonowi parametry SCEP. Po przywróceniu ustawień fabrycznych telefonu może on otrzymać parametry z serwera DHCP w celu zainstalowania CDC za pośrednictwem protokołu SCEP.
- Ta funkcja (konfiguracja parametrów SCEP za pomocą opcji 43 DHCP) jest dostępna tylko w telefonie, w którym przywrócono ustawienia fabryczne.
- Telefonów nie należy umieszczać w sieci obsługującej opcję 43 i zdalne provisionowanie (na przykład opcje 66,160,159,150 lub provisionowanie w chmurze). W przeciwnym wypadku telefony mogą nie otrzymać konfiguracji opcji 43.
Aby zainstalować certyfikat CDC przy użyciu parametrów SCEP dostarczonych w opcji 43 DHCP, wykonaj następujące czynności:
- Przygotuj środowisko protokołu SCEP.
Informacje na temat konfiguracji środowiska SCEP można znaleźć w dokumentacji serwera SCEP.
- Skonfiguruj opcję DHCP 43 (zdefiniowaną w dokumencie 8.4 Vendor Specific Information, RFC 2132).
Podopcje (10–15) są zarezerwowane dla metody:
Parametr na stronie internetowej telefonu Podopcja Typ Długość (bajt) Mandatory Tryb FIPS 10 logiczny 1 NIE* Serwer 11 łańcuch 208 - długość (Hasło wyzwania) Tak Odcisk palca głównego urzędu certyfikacji 12 klątwa 20, 32, 48 lub 64 Tak Hasło wyzwania 13 łańcuch 208 - długość (serwer) NIE* Włącz uwierzytelnianie 802.1x 14 logiczny 1 Nie Wybierz certyfikat 15 8-bitowy bez znaku 1 Nie * oznacza, że parametr jest konfigurowany zgodnie z rzeczywistą sytuacją.
W przypadku korzystania z opcji DHCP 43 należy zwrócić uwagę na następujące cechy tej metody:
- Podopcje (10-15) są zarezerwowane dla niestandardowego certyfikatu urządzenia (CDC).
- Maksymalna długość opcji DHCP 43 wynosi 255 bajtów.
- Maksymalna długość Serwer + Hasło wyzwania powinna być mniejsza niż 208 bajtów.
- Wartość trybu FIPS musi być zgodna z konfiguracją dostarczania podczas onboardingu. W przeciwnym razie telefon nie pobierze wcześniej zainstalowanego certyfikatu po dołączeniu. Konkretnie,
- Jeśli telefon będzie zarejestrowany w środowisku, w którym tryb FIPS jest wyłączony, nie trzeba go konfigurować Tryb FIPS w opcji DHCP 43. Domyślnie tryb FIPS jest wyłączony.
- Jeżeli telefon będzie zarejestrowany w środowisku, w którym włączony jest tryb FIPS, należy włączyć tryb FIPS w opcji 43 DHCP. Zobacz Włącz tryb FIPS po szczegóły.
- Hasło wyzwania w Opcji 43 jest podane w postaci zwykłego tekstu.
- Jeśli chcesz, aby telefon używał MIC/SUDI do początkowej rejestracji i odnowienia certyfikatu, pozostaw pole hasła zabezpieczającego puste.
- Jeśli hasło dostępu do konta jest używane wyłącznie podczas początkowej rejestracji, należy je skonfigurować. W tym przypadku zainstalowany certyfikat zostanie wykorzystany do odnowienia certyfikatu.
- Włącz uwierzytelnianie 802.1X i Wybór certyfikatu są używane tylko w przypadku telefonów w sieciach przewodowych.
- Do identyfikacji modelu urządzenia używana jest opcja DHCP 60 (identyfikator klasy dostawcy).
Przykład opcji 43 (podopcje 10–15) polecenia DHCP:
Podopcja dziesiętna/szesnastkowa Długość wartości (bajt) ułamek dziesiętny/ szesnastkowy Wartość Wartość szesnastkowa 10/0a 1/01 1 (0: Wyłączone; 1: Włączone) 01 11/0b 18/12 http://10.79.57.91 687474703a2f2f31302e37392e35372e3931 12/0c 20/14 12040870625C5B755D73F5925285F8F5FF5D55AF 12040870625C5B755D73F5925285F8F5FF5D55AF 13/0d 16/10 D233CCF9B9952A15 44323333434346394239393532413135 14/0e 1/01 1 (0: Nie; 1: Tak) 01 15/0f 1/01 1 (0: Zainstalowano fabrycznie; 1: Zainstalowano niestandardowo) 01 Podsumowanie wartości parametrów:
-
Tryb FIPS =
Włączony -
Serwer =
http://10.79.57.91 -
Odcisk palca głównego urzędu certyfikacji =
12040870625C5B755D73F5925285F8F5FF5D55AF -
Hasło wyzwania =
D233CCF9B9952A15 -
Włącz uwierzytelnianie 802.1X =
Tak -
Wybór certyfikatu =
Zainstalowano niestandardowy
Składnia ostatecznej wartości szesnastkowej jest następująca:
{<podopcja><długość><wartość>}...Zgodnie z powyższymi wartościami parametrów, ostateczna wartość szesnastkowa jest następująca:
0a01010b12687474703a2f2f31302e37392e35372e39310c1412040870625C5B755D73F5925285F8F5FF5D55AF0d10443233334343463942393935324131350e01010f0101 - Skonfiguruj opcję DHCP 43 na serwerze DHCP.
Ten krok zawiera przykład konfiguracji opcji 43 DHCP w rejestrze sieci Cisco.
- Dodaj zestaw definicji opcji DHCP.
Ciąg opcji dostawcy to nazwa modelu telefonów IP. Prawidłowa wartość to: DP-9841, DP-9851, DP-9861, DP-9871 lub CP-8875.
- Dodaj opcję DHCP 43 i podopcje do zestawu definicji opcji DHCP.
Przykład:
- Dodaj opcje 43 do zasad DHCP i ustaw wartość w następujący sposób:
Przykład:
(10 1)(11 http://10.79.57.91)(12 12040870625C5B755D73F5925285F8F5FF5D55AF)(13 D233CCF9B9952A15)(14 1)(15 1) - Sprawdź ustawienia. Programu Wireshark można użyć do przechwycenia śladu ruchu sieciowego między telefonem a usługą.
- Dodaj zestaw definicji opcji DHCP.
- Przywróć ustawienia fabryczne telefonu.
Po zresetowaniu telefonu parametry Serwer, Odcisk głównego urzędu certyfikacji i Hasło wyzwania zostaną wypełnione automatycznie. Te parametry znajdują się w sekcji Konfiguracja SCEP 1 z na stronie internetowej administracji telefonem.
Aby sprawdzić szczegóły zainstalowanego certyfikatu, kliknij przycisk Wyświetl w sekcji Istniejące certyfikaty .
Aby sprawdzić stan instalacji certyfikatu, wybierz opcję . Stan Pobierania 1 pokazuje najnowszy wynik. Jeśli wystąpi jakikolwiek problem podczas rejestracji certyfikatu, status pobierania może pokazać przyczynę problemu w celu jego rozwiązania.
Jeśli uwierzytelnianie hasłem wezwania nie powiedzie się, użytkownicy zostaną poproszeni o wprowadzenie hasła na ekranie telefonu.
- (Opcjonalnie): Aby usunąć zainstalowany certyfikat z telefonu, kliknij Usuń w sekcji Istniejące certyfikaty .
Po kliknięciu przycisku operacja usuwania rozpocznie się natychmiast bez dalszego potwierdzenia.
Podawanie nazwy wspólnej lub identyfikatora użytkownika za pomocą opcji DHCP 15
Podczas rejestracji certyfikatu SCEP za pośrednictwem opcji 43 DHCP telefon może również uzyskać nazwę domeny podaną w opcji 15 DHCP (jeśli została skonfigurowana). Po otrzymaniu nazwy domeny telefon może utworzyć Nazwę zwykłą lub Identyfikator użytkownika na podstawie nazwy domeny, co przedstawia się następująco:
- Nazwa zwyczajowa = <Nazwa zwyczajowa w MIC/SUDI >.<Nazwa domeny w opcji 15>
Nazwa zwyczajowa będzie używana dla CSR w procesie SCEP, a później będzie nazwą zwyczajową w CDC.
- Identyfikator użytkownika = <Nazwa zwyczajowa w MIC/SUDI >@<Nazwa domeny w opcji 15>
Identyfikator użytkownika będzie używany jako tożsamość do uwierzytelniania przewodowego 802.1X.
Na przykład adres telefonu MAC to 00:1A:2B:3C:4D:5E, a model telefonu to 9871:
| Nazwa domeny w opcji 15 DHCP | Nazwa pospolita | Identyfikator użytkownika |
|---|---|---|
| example.nl | CP-9871-SEP001A2B3C4D5E.example.nl | CP-9871-SEP001A2B3C4D5E@example.nl |
| Puste | CP-9871-SEP001A2B3C4D5E |
CP-9871-SEP001A2B3C4D5E |
Jeśli nazwa domeny nie została skonfigurowana w opcji 15, nazwa zwykła i identyfikator użytkownika będą takie same jak nazwa zwykła w MIC/SUDI.
