Além do registro de certificado SCEP pelas configurações manuais na página da Web do telefone, você também pode usar a opção de DHCP 43 para preencher os parâmetros de um servidor DHCP. A opção de DHCP 43 é pré-configurada com os parâmetros SCEP, posteriormente o telefone pode buscar os parâmetros do servidor DHCP para realizar o registro de certificado SCEP.

Para registrar um certificado SCEP configurando os parâmetros SCEP na opção de DHCP 43, faça o seguinte:

1. Preparar um ambiente SCEP.

   Para obter informações sobre a configuração do ambiente SCEP, consulte a documentação do servidor SCEP.

2. Configure DHCP opção 43 (definida em 8.4 Informações específicas do provedor, RFC 2132).

   As subopções (10-15) são reservadas para o método:

   Parâmetro na página da Web do telefone	Subopção	Tipo	Comprimento (byte)	Mandatory
   Modo FIPS	10	booleano	1	Não*
   Servidor	11	string	208 - extensão (Senha do desafio)	Sim
   Impressões digitais de CA raiz	12	binário	20 ou 32	Sim
   Desafiar Senha	13	string	208 - extensão (Servidor)	Não*
   Ativar autenticação 802.1X	14	booleano	1	Não
   Certificado Selecionado	15	Não assinado de 8 bits	1	Não

   Quando você usa a opção de DHCP 43, observe as seguintes características do método:

   • As subopções (10-15) são reservadas para o Certificado de Dispositivo Personalizado (CDC).
   • O tamanho máximo da DHCP opção 43 é 255 bytes.
   • A duração máxima de Server + Challenge Password deve ser inferior a 208 bytes.
   • O valor do Modo FIPS deve ser consistente com a configuração de provisionamento a bordo. Caso contrário, o telefone falhará ao recuperar o certificado anteriormente instalado após o onboarding. Especificamente
     • Se o telefone estiver registrado em um ambiente onde o modo FIPS esteja desativado, não será necessário configurar o modo FIPS de parâmetro na DHCP opção 43. Por padrão, o modo FIPS está desativado.
     • Se o telefone estiver registrado em um ambiente onde o modo FIPS estiver ativado, você deverá ativar o modo FIPS na DHCP opção 43. Consulte Ativar modo FIPS para obter detalhes.
   • A senha na Opção 43 está desmarcada.

     Se a senha do desafio estiver vazia, o telefone usará MIC/SUDI para a renovação inicial de registro e certificado. Se a senha do desafio for configurada, ela será usada somente para o registro inicial, e o certificado instalado será usado para a renovação do certificado.

   • A ativação da Autenticação 802.1X e a Seleção de certificado são usadas apenas para os telefones na rede com fio.
   • DHCP opção 60 (Identificador de classe de provedor) é usada para identificar o modelo do dispositivo.

   A tabela a seguir fornece um exemplo da opção 43 de DHCP (subopções de 10 a 15):

   Decimal/hex da subopção	Tamanho do valor (byte) decimal/hex	Valor	Valor hexax
   00/10	1/01	1 (0: Desabilitado; 1: Habilitado)	01
   11/0b	18/12	http://10.79.57.91	687474703a2f2f31302e37392e35372e3931
   12/0c	20/14	12040870625C5B755D73F5925285F8F5FF5D55AF	12040870625C5B755D73F5925285F8F5FF5D55AF
   13/0d	16/10	D233CCF9B9952A15	44323333434346394239393532413135
   14/0e	1/01	1 (0: Não; 1: Sim)	01
   15/0f	1/01	1 (0: Fabricação instalada; 1: Personalizado instalado)	01

   Resumo dos valores do parâmetro:

   • Modo FIPS = Habilitado

   • Servidor = http://10.79.57.91

   • Impressão digital ca raiz = 12040870625C5B755D73F5925285F8F5FF5D55AF

   • Senha do Desafio = D233CCF9B9952A15

   • Ativar autenticação 802.1X = Sim

   • Certificado selecionado = Personalizado instalado

   A sintaxe do valor final de hex é: {<suboption><length><value>}...

   De acordo com os valores do parâmetro acima, o valor final hex é o seguinte:

   0a01010b12687474703a2f2f31302e37392e35372e39310c1412040870625C5B755D73F5925285F8F5FF5D55AF0d10443233334343463942393935324131350e01010f0101

3. Configure DHCP opção 43 em um servidor DHCP.
   Esta etapa fornece um exemplo das configurações da opção de DHCP 43 no Registro de rede Cisco.
   1. Adicione DHCP conjunto de configurações de opção.

      A cadeia de caracteres da opção do provedor é o nome do modelo dos telefones IP. O valor válido é: DP-9841, DP-9851, DP-9861, DP-9871 ou CP-8875.

   2. Adicione a opção de DHCP 43 e subopções ao conjunto de definição da opção DHCP.

      Exemplo:

      

   3. Adicione opções 43 à diretiva DHCP e configure o valor da seguinte forma:

      Exemplo:

      (10 1)(11 http://10.79.57.91)(12 12040870625C5B755D73F5925285F8F5FF5D55AF)(13 D233CCF9B9952A15)(14 1)(15 1)

   4. Verifique as configurações. Você pode usar Wireshark para capturar um rastreamento do tráfego da rede entre o telefone e o serviço.
4. Execute uma redefinição de fábrica para o telefone.

   Após a redefinição do telefone, o servidor de parâmetros, a Impressão digital ca raiz e a senha do desafio serão preenchidos automaticamente. Esses parâmetros estão localizados na seção Configuração SCEP 1 a partir do certificado > Custom na página da Web de administração do telefone.

   Para verificar os detalhes do certificado instalado, clique em Exibir na seção Certificados existentes .

   Para verificar o status de instalação do certificado, selecione Certificado > Status do certificadoCustom Cert. O Status do download 1 mostra o resultado mais recente. Se ocorrer algum problema durante o registro do certificado, o status do download poderá mostrar o motivo do problema para a solução de problemas.

   Se o desafio de autenticação de senha falhar, os usuários serão solicitados a inserir a senha na tela do telefone.
5. (Opcional): Para remover o certificado instalado do telefone, clique em Excluir na seção Certificados existentes .
   Depois de clicar no botão, a operação de remoção é iniciada imediatamente sem uma confirmação.

O certificado do dispositivo pode ser atualizado automaticamente pelo processo SCEP.

• O telefone verifica se o certificado expirará em 15 dias a cada 4 horas. Se sim, o telefone inicia o processo de renovação de certificado automaticamente.
• Se a senha do desafio estiver vazia, o telefone usará MIC/SUDI para registro inicial e renovação de certificado. Se a senha do desafio for configurada, ela será utilizada apenas para o registro inicial, o certificado existente/instalado será usado para a renovação do certificado.
• O telefone não remove o certificado do dispositivo antigo até recuperar o novo.
• Se a renovação do certificado falhar porque o certificado do dispositivo ou CA expira, o telefone aciona o registro inicial automaticamente. Enquanto isso, se a autenticação de senha do desafio falhar, uma tela de entrada de senha será exibida na tela do telefone e os usuários serão solicitados a inserir a senha de desafio no telefone.

Os Telefones IP Cisco são compatíveis com a Autenticação 802.1X.

Os Telefones IP Cisco e os switches do Cisco Catalyst tradicionalmente usam o CDP (Cisco Discovery Protocol) para identificar um ao outro e determinar parâmetros como a alocação de VLAN e os requisitos de potência embutida. O CDP não identifica estações de trabalho conectadas localmente. Os Telefones IP Cisco fornecem um mecanismo de passagem EAPOL. Esse mecanismo permite que uma estação de trabalho conectada ao Telefone IP Cisco passe mensagens EAPOL ao autenticador 802.1X no switch da LAN. O mecanismo de passagem garante que o telefone IP não atue como o switch da LAN para autenticar um dispositivo de dados antes de acessar a rede.

Os Telefones IP Cisco também fornecem um mecanismo de encerramento do EAPOL por proxy. Se o PC conectado localmente for desconectado do telefone IP, o switch da LAN não verá a falha do link físico, porque o link entre o switch da LAN e o telefone IP será mantido. Para evitar o comprometimento da integridade da rede, o telefone IP envia uma mensagem de encerramento do EAPOL para o switch em nome do PC de downstream, que dispara o switch da LAN para limpar a entrada de autenticação do PC de downstream.

O suporte à autenticação 802.1X exige vários componentes:

• Telefone IP Cisco: o telefone inicia a solicitação para acessar a rede. Os Telefones IP Cisco contêm um suplicante 802.1X. Esse suplicante permite aos administradores de rede controlar a conectividade dos telefones IP para as portas de switch da LAN. A versão atual do suplicante 802.1X do telefone usa as opções EAP-FAST e EAP-TLS para autenticação de rede.

• Servidor de autenticação: o servidor de autenticação e o comutador devem ser configurados com um segredo compartilhado que autentice o telefone.

• Switch: o switch precisa suportar 802.1X para atuar como autenticador e passar as mensagens entre o telefone e o servidor de autenticação. Após a conclusão da troca, o switch concede ou nega o acesso do telefone à rede.

Você deve executar as ações a seguir para configurar a 802.1X.

• Configure os outros componentes antes de ativar a Autenticação 802.1X no telefone.

• Configure a porta do PC: o padrão 802.1X não considera VLANs e, assim, recomenda que apenas um único dispositivo seja autenticado para uma porta de switch específica. No entanto, alguns switches aceitam a autenticação de vários domínios. A configuração do switch determina se você pode conectar um PC à porta do PC do telefone.

  • Ativado: se estiver usando um switch que suporta a autenticação de vários domínios, você poderá ativar a porta do PC e conectar um PC a ela. Nesse caso, os Telefones IP Cisco aceitam o encerramento do EAPOL por proxy para monitorar a troca de autenticação entre o switch e o PC conectado.

    Para obter mais informações sobre o suporte do IEEE 802.1X em switches do Cisco Catalyst, consulte os guias de configuração de switch do Cisco Catalyst em:

    http://www.cisco.com/en/US/products/hw/switches/ps708/tsd_products_support_series_home.html

  • Desativado: se o switch não oferecer suporte a vários dispositivos compatíveis com 802.1X na mesma porta, você deverá desativar a porta do PC quando a autenticação 802.1X for ativada. Se você não desativar essa porta e em seguida tentar conectar um PC a ela, o switch negará o acesso à rede tanto para o telefone quanto para o PC.

• Configure a VLAN de voz: como o padrão 802.1X não considera as VLANs, você deve definir essa configuração com base no suporte ao switch.
  • Ativado: se você estiver usando um switch que suporta a autenticação de vários domínios, você poderá continuar usando a VLAN de voz.
  • Desativado: se o switch não suportar a autenticação de vários domínios, desative a VLAN de voz e considere a atribuição da porta à VLAN nativa.
• (Somente para o Telefone de mesa Cisco 9800 Series)

  O Cisco Desk Phone 9800 Series tem um prefixo diferente no PID daquele para outros telefones Cisco. Para ativar seu telefone para passar pela autenticação 802.1X, defina o Radius· Parâmetro nome de usuário para incluir seu Telefone de mesa Cisco série 9800.

  Por exemplo, a PID do telefone 9841 é DP-9841; você pode definir Radius· O nome de usuário para iniciar com DP ou contém DP. Você pode defini-lo nas duas seções a seguir:

  • Condições > conduções > Libraria

  • Conjuntos de políticas>Estimização > Estimização > Retodonar 1

Como todos os dispositivos de WLAN que estão no intervalo podem receber todo o tráfego da WLAN, proteger a comunicação por voz é algo essencial nessas redes. Para garantir que os intrusos não manipulem nem interceptam o tráfego de voz, a arquitetura de Segurança SEGURA da Cisco suporta o telefone. Para obter mais informações sobre a segurança em redes, consulte http://www.cisco.com/en/US/netsol/ns744/networking_solutions_program_home.html.

A solução de telefonia IP sem fio da Cisco fornece segurança de rede sem fio que impede entradas não autorizadas e comunicações comprometidas usando os seguintes métodos de autenticação que o telefone suporta:

• Autenticação aberta: qualquer dispositivo sem fio pode solicitar autenticação em um sistema aberto. O AP que recebe a solicitação pode conceder autenticação para qualquer solicitante ou apenas para solicitantes encontrados em uma lista de usuários. A comunicação entre o dispositivo sem fio e o Ponto de Acesso (AP) não pôde ser criptografada.

• Protocolo de Autenticação Extensível – Autenticação Flexível via Túneis Seguros (EAP-FAST) Autenticação: Esta arquitetura de segurança do servidor cliente criptografa EAP transações dentro de um túnel de Segurança de nível de transporte (TLS) entre o AP e o servidor RADIUS, como o Identity Services Engine (ISE).

  O túnel TLS usa credenciais de acesso protegido (PACs) para autenticação entre o cliente (telefone) e o servidor RADIUS. O servidor envia um ID de autoridade (AID) para o cliente (telefone), que por sua vez seleciona a PAC apropriada. O cliente (telefone) retorna uma PAC-Opaque para o servidor RADIUS. O servidor descriptografa a PAC com a chave primária. Agora s dois pontos de extremidade contêm a chave PAC, e um túnel TLS é criado. O EAP-FAST oferece suporte para provisionamento automático de PAC, mas você precisa ativá-lo no servidor RADIUS.

  No ISE, por padrão, o PAC expira em uma semana. Se a PAC do telefone tiver expirado, a autenticação no servidor RADIUS será mais demorada enquanto o telefone obtém uma nova PAC. Para evitar atrasos no provisionamento do PAC, defina o período de expiração do PAC como 90 dias ou mais no servidor ISE ou RADIUS.

• Protocolo de autenticação ampliável - autenticação de segurança da camada de transporte (EAP-TLS): o EAP-TLS exige um certificado de cliente para autenticação e acesso à rede. Para EAP-TLS sem fio, o certificado do cliente pode ser MIC, LSC ou certificado instalado pelo usuário.

• Protocolo de autenticação extensível protegido (PEAP): esquema de autenticação mútua baseada em senha e proprietário da Cisco entre o cliente (telefone) e um servidor RADIUS. O telefone pode usar PEAP para autenticação com a rede sem fio. Os métodos de autenticação PEAP MSCHAPV2 e PEAP-GTC têm suporte.

• Chave pré-compartilhada (PSK):: o telefone é compatível com ASCII formato. Você deve usar este formato ao configurar uma WPA/WPA2/SAE Chave pré-compartilhada:

  ASCII: uma cadeia de caracteres ASCII com 8 a 63 caracteres (0-9, letras minúsculas e a-Z e caracteres especiais)

  Exemplo: GREG123567@9ZX>

Os seguintes esquemas de autenticação usam o servidor RADIUS para gerenciar chaves de autenticação:

• WPA/WPA2/WPA3: usa informações do servidor RADIUS para gerar chaves exclusivas para autenticação. Como essas chaves são geradas no servidor RADIUS centralizado, o WPA2/WPA3 oferece que mais segurança do que as chaves pré-compartilhadas WPA que são armazenadas no AP e no telefone.

• Roaming rápido e seguro: usa informações do servidor RADIUS e de um servidor de domínio sem fio (WDS) para gerenciar e autenticar as chaves. O WDS cria um cache de credenciais de segurança para dispositivos cliente ativados por FT para autenticação rápida e segura. Os Telefones de mesa Cisco 9861 e 9871 e Cisco Video Phone 8875 oferecem suporte a 802.11r (FT). Tanto no ar quanto sobre o DS são suportados para permitir roaming seguro rápido. Mas recomendamos muito o uso do método pelo ar 802.11r (FT).

Com o WPA/WPA2/WPA3, as teclas de criptografia não são inseridas no telefone, mas são automaticamente derivadas entre o AP e o telefone. Porém, o nome do usuário EAP e a senha que são usados para autenticação devem ser inseridos em cada telefone.

Para assegurar que o tráfego de voz seja seguro, o telefone suporta TKIP e AES para criptografia. Quando esses mecanismos são usados para criptografia, os pacotes de SIP de sinalização e os pacotes de voz em tempo real (RTP) são criptografados entre o AP e o telefone.

TKIP

WPA utiliza a criptografia TKIP que apresenta várias melhorias em relação à WEP. TKIP fornece vetores de inicialização (IVs) mais longos e criptografia de chave por pacote que reforçam a criptografia. Além disso, uma verificação de integridade das mensagens (MIC) garante que os pacotes criptografados não estejam sendo alterados. O TKIP remove a capacidade de previsão do WEP que ajuda os invasores a decifrar a chave WEP.

AES

Um método de criptografia usado para autenticação WPA2/WPA3. Esse padrão nacional de criptografia usa um algoritmo simétrico que tem a mesma chave para criptografia e descriptografia. O AES usa criptografia CBC de 128 bits, que suporta tamanhos de chave de pelo menos 128, 192 e 256 bits. O telefone é compatível com um tamanho de tecla de 256 bits.

Esquemas de autenticação e criptografia são configuradas na LAN sem fio. As VLANs configuradas na rede e nos APs e especificam diferentes combinações de autenticação e criptografia. Um SSID é associado a uma VLAN e ao esquema de autenticação e criptografia específico. Para que os dispositivos de cliente sem fio se autenticem com êxito, você deve configurar os mesmos SSIDs com seus esquemas de autenticação e criptografia nos APs e no telefone.

Alguns esquemas de autenticação exigem tipos específicos de criptografia.

Os esquemas de autenticação e criptografia na tabela a seguir mostram as opções de configuração de rede para o telefone que correspondem à configuração AP.