- Página inicial
- /
- Artigo
Ocisco IP segurança do telefone
Neste artigoEste artigo da Ajuda destina-se ao Cisco Desk Phone 9800 Series e Cisco Video Phone 8875 registrado no Cisco BroadWorks.
Instalar manualmente um certificado de dispositivo personalizado
Você pode instalar manualmente um Certificado de dispositivo personalizado (CDC) no telefone carregando o certificado na página da Web de administração do telefone.
Antes de começar
Antes de instalar um certificado de dispositivo personalizado para um telefone, você deve ter:
- Um arquivo de certificado (.p12 ou .pfx) salvo em seu PC. O arquivo contém o certificado e a chave privada.
- Extraia a senha do certificado. A senha é usada para descriptografar o arquivo de certificado.
| 1 |
Acesse a página da Web de administração do telefone. |
| 2 |
Selecione certificado. |
| 3 |
Na seção Adicionar certificado , clique em Procurar.... |
| 4 |
Navegue até o certificado em seu PC. |
| 5 |
No campo Extrair senha, insira a senha de extração do certificado. |
| 6 |
Clique em Carregar. Se o arquivo de certificado e a senha estiverem corretos, você receberá a mensagem "
Certificado adicionado.". Caso contrário, o carregamento falhará com uma mensagem de erro indicando que o certificado não pode ser carregado. |
| 7 |
Para verificar os detalhes do certificado instalado, clique em Exibir na seção Certificados existentes . |
| 8 |
Para remover o certificado instalado do telefone, clique em Excluir na seção Certificados existentes . Depois de clicar no botão, a operação de remoção é iniciada imediatamente sem uma confirmação.
Se o certificado for removido com êxito, você receberá a mensagem " |
Instalar automaticamente certificado do dispositivo personalizado por SCEP
Você pode configurar os parâmetros SCEP (Simple Certificate Enrollment Protocol– Protocolo de inscrição de certificado simples) para instalar automaticamente o Certificado de Dispositivo Personalizado (CDC), se não desejar carregar manualmente o arquivo de certificado ou não tiver o arquivo de certificado habilitado.
Quando os parâmetros SCEP são configurados corretamente, o telefone envia solicitações ao servidor SCEP, e o certificado de CA é validado por dispositivo usando a impressão digital definida.
Antes de começar
Para poder efetuar a instalação automática de um certificado de dispositivo personalizado para um telefone, você deve possuir:
- Endereço do servidor SCEP
- Impressão digital SHA-1 ou SHA-256 do certificado raiz da CA para o servidor SCEP
| 1 |
Acesse a página da Web de administração do telefone. |
| 2 |
Selecione certificado. |
| 3 |
Na seção Configuração SCEP 1 , defina os parâmetros conforme descrito na tabela a seguir Parâmetros para configuração de SCEP. |
| 4 |
Clique em Enviar todas as alterações. |
Parâmetros para configuração do SCEP
A tabela a seguir define a função e o uso dos parâmetros de configuração SCEP na seção Configuração SCEP 1 sob a guia Certificado na interface da Web do telefone. Ele também define a sintaxe da cadeia de caracteres que é adicionada no arquivo de configuração do telefone (cfg.xml) para configurar um parâmetro.
| Parâmetro | Descrição |
|---|---|
| Servidor |
Endereço do servidor SCEP. Esse parâmetro é obrigatório. Execute um dos seguintes procedimentos:
Valores válidos: um endereço de URL ou IP. O esquema HTTPS não é suportado. Padrão: vazio |
| Impressões digitais de CA raiz |
Impressões digitais SHA256 ou SHA1 da CA raiz para validação durante o processo SCEP. Esse parâmetro é obrigatório. Execute um dos seguintes procedimentos:
Padrão: vazio |
| Desafiar Senha |
O desafio da senha para autorização da Certificate Authority (CA) contra o telefone durante o registro de um certificado via SCEP. Esse parâmetro é opcional. De acordo com o ambiente SCEP real, o comportamento da senha do desafio varia.
Execute um dos seguintes procedimentos:
Padrão: vazio |
Configuração de parâmetros SCEP por meio da opção de DHCP 43
Além do registro de certificado SCEP pelas configurações manuais na página da Web do telefone, você também pode usar a opção de DHCP 43 para preencher os parâmetros de um servidor DHCP. A opção de DHCP 43 é pré-configurada com os parâmetros SCEP, posteriormente o telefone pode buscar os parâmetros do servidor DHCP para realizar o registro de certificado SCEP.
- A configuração dos parâmetros SCEP por meio da DHCP opção 43 está disponível apenas para o telefone quando uma redefinição de fábrica é executada.
- Os telefones não serão colocados na rede que suporta a Opção 43 e o provisionamento remoto (por exemplo, Opções 66,160,159,150 ou provisionamento em nuvem). Caso contrário, os telefones talvez não obtenham as configurações da Opção 43.
Para registrar um certificado SCEP configurando os parâmetros SCEP na opção de DHCP 43, faça o seguinte:
- Preparar um ambiente SCEP.
Para obter informações sobre a configuração do ambiente SCEP, consulte a documentação do servidor SCEP.
- Configure DHCP opção 43 (definida em 8.4 Informações específicas do fornecedor, RFC 2132).
As subopções (10-15) são reservadas para o método:
Parâmetro na página da Web do telefone Subopção Tipo Comprimento (byte) Mandatory Modo FIPS 10 booleano 1 Não* Servidor 11 string 208 - extensão (Senha do desafio) Sim Impressões digitais de CA raiz 12 binário 20 ou 32 Sim Desafiar Senha 13 string 208 - extensão (Servidor) Não* Ativar autenticação 802.1X 14 booleano 1 Não Certificado Selecionado 15 Não assinado de 8 bits 1 Não Quando você usa a opção de DHCP 43, observe as seguintes características do método:
- As subopções (10-15) são reservadas para o Certificado de Dispositivo Personalizado (CDC).
- O tamanho máximo da DHCP opção 43 é 255 bytes.
- A duração máxima de Server + Challenge Password deve ser inferior a 208 bytes.
- O valor do Modo FIPS deve ser consistente com a configuração de provisionamento a bordo. Caso contrário, o telefone falhará ao recuperar o certificado anteriormente instalado após o onboarding. Especificamente
- Se o telefone estiver registrado em um ambiente onde o modo FIPS esteja desativado, não será necessário configurar o modo FIPS de parâmetro na DHCP opção 43. Por padrão, o modo FIPS está desativado.
- Se o telefone estiver registrado em um ambiente onde o modo FIPS estiver ativado, você deverá ativar o modo FIPS na DHCP opção 43. Consulte Ativar modo FIPS para obter detalhes.
- A senha na Opção 43 está desmarcada.
Se a senha do desafio estiver vazia, o telefone usará MIC/SUDI para a renovação inicial de registro e certificado. Se a senha do desafio for configurada, ela será usada somente para o registro inicial, e o certificado instalado será usado para a renovação do certificado.
- A ativação da Autenticação 802.1X e a Seleção de certificado são usadas apenas para os telefones na rede com fio.
- DHCP opção 60 (Identificador de classe de fornecedor) é usada para identificar o modelo do dispositivo.
A tabela a seguir fornece um exemplo da opção 43 de DHCP (subopções de 10 a 15):
Decimal/hex da subopção Tamanho do valor (byte) decimal/hex Valor Valor hexax 00/10 1/01 1 (0: Desabilitado; 1: Habilitado) 01 11/0b 18/12 http://10.79.57.91 687474703a2f2f31302e37392e35372e3931 12/0c 20/14 12040870625C5B755D73F5925285F8F5FF5D55AF 12040870625C5B755D73F5925285F8F5FF5D55AF 13/0d 16/10 D233CCF9B9952A15 44323333434346394239393532413135 14/0e 1/01 1 (0: Não; 1: Sim) 01 15/0f 1/01 1 (0: Fabricação instalada; 1: Personalizado instalado) 01 Resumo dos valores do parâmetro:
-
Modo FIPS =
Habilitado -
Servidor =
http://10.79.57.91 -
Impressão digital ca raiz =
12040870625C5B755D73F5925285F8F5FF5D55AF -
Senha do Desafio =
D233CCF9B9952A15 -
Ativar autenticação 802.1X =
Sim -
Certificado selecionado =
Personalizado instalado
A sintaxe do valor final de hex é:
{<suboption><length><value>}...De acordo com os valores do parâmetro acima, o valor final hex é o seguinte:
0a01010b12687474703a2f2f31302e37392e35372e39310c1412040870625C5B755D73F5925285F8F5FF5D55AF0d10443233334343463942393935324131350e01010f0101 - Configure DHCP opção 43 em um servidor DHCP.Esta etapa fornece um exemplo das configurações da opção de DHCP 43 no Registro de rede Cisco.
- Adicione DHCP conjunto de definições de opção.
A cadeia de caracteres da opção do fornecedor é o nome do modelo dos telefones IP. O valor válido é: DP-9841, DP-9851, DP-9861, DP-9871 ou CP-8875.
- Adicione a opção de DHCP 43 e subopções ao conjunto de definição da opção DHCP.
Exemplo:
- Adicione opções 43 à diretiva DHCP e configure o valor da seguinte forma:
Exemplo:
(10 1)(11 http://10.79.57.91)(12 12040870625C5B755D73F5925285F8F5FF5D55AF)(13 D233CCF9B9952A15)(14 1)(15 1) - Verifique as configurações. Você pode usar Wireshark para capturar um rastreamento do tráfego da rede entre o telefone e o serviço.
- Adicione DHCP conjunto de definições de opção.
- Execute uma redefinição de fábrica para o telefone.
Após a redefinição do telefone, o servidor de parâmetros, a Impressão digital ca raiz e a senha do desafio serão preenchidos automaticamente. Esses parâmetros estão localizados na seção Configuração SCEP 1 a partir do na página da Web de administração do telefone.
Para verificar os detalhes do certificado instalado, clique em Exibir na seção Certificados existentes .
Para verificar o status de instalação do certificado, selecione do certificadoCustom Cert. O Status do download 1 mostra o resultado mais recente. Se ocorrer algum problema durante o registro do certificado, o status do download poderá mostrar o motivo do problema para a solução de problemas.
Se o desafio de autenticação de senha falhar, os usuários serão solicitados a inserir a senha na tela do telefone. - (Opcional): Para remover o certificado instalado do telefone, clique em Excluir na seção Certificados existentes .Depois de clicar no botão, a operação de remoção é iniciada imediatamente sem uma confirmação.
Renovação de certificado por SCEP
O certificado do dispositivo pode ser atualizado automaticamente pelo processo SCEP.
- O telefone verifica se o certificado expirará em 15 dias a cada 4 horas. Se sim, o telefone inicia o processo de renovação de certificado automaticamente.
- Se a senha do desafio estiver vazia, o telefone usará MIC/SUDI para registro inicial e renovação de certificado. Se a senha do desafio for configurada, ela será utilizada apenas para o registro inicial, o certificado existente/instalado será usado para a renovação do certificado.
- O telefone não remove o certificado do dispositivo antigo até recuperar o novo.
- Se a renovação do certificado falhar porque o certificado do dispositivo ou CA expira, o telefone aciona o registro inicial automaticamente. Enquanto isso, se a autenticação de senha do desafio falhar, uma tela de entrada de senha será exibida na tela do telefone e os usuários serão solicitados a inserir a senha de desafio no telefone.
Ativar modo FIPS
Você pode tornar um telefone compatível com as Padrões de Processamento de Informações Federais (FIPS).
O FIPS é um conjunto de padrões que descrevem processamento de documentos, algoritmos de criptografia e outros padrões de tecnologia da informação para uso no governo não militar e por empreiteiros e fornecedores do governo que trabalham com as agências. O CiscoSSL FOM (Módulo de Objetos FIPS) é um componente de software cuidadosamente definido e projetado para compatibilidade com a biblioteca ciscoSSL, de modo que os produtos que usam a biblioteca ciscoSSL e API podem ser convertidos para usar criptografia validada fips 140-2 com o mínimo esforço.
| 1 |
Acesse a página da Web de administração do telefone. |
| 2 |
Selecione . |
| 3 |
Na seção Configurações de segurança, escolha Sim ou Não no parâmetro Modo FIPS. |
| 4 |
Clique em Enviar todas as alterações. Quando você ativa o FIPS, os seguintes recursos funcionam justamente no telefone:
|
Definir a senha do usuário e do administrador
Depois que o telefone estiver registrado em um sistema de controle de chamadas no primeiro momento ou você efetuar uma redefinição de fábrica no telefone, será necessário definir o usuário e a senha admin para aprimorar a segurança do telefone. Somente quando a senha estiver definida, você poderá enviar as alterações na página da Web do telefone.
Por padrão, o aviso de nenhuma senha está ativado no telefone. Quando o telefone não tem nenhuma senha de usuário ou administrador, os seguintes avisos são exibidos:
- A página da Web do telefone exibe a "Nenhuma senha admin fornecida. A Web está no modo somente leitura e você não pode enviar alterações. Altere a senha." no canto superior esquerdo.
Os campos Senha do usuário e Senha administrativa exibem o aviso "Nenhuma senha fornecida", respectivamente, se ela estiver vazia.
- A tela do telefone problemas e diagnósticos exibem o problema de "Nenhuma senha fornecida".
| 1 |
Acessar a página da Web de administração do telefone |
| 2 |
Selecione . |
| 3 |
(Opcional) Na seção Configuração do sistema, defina o parâmetro Exibir avisos de senha como Sim e clique em Enviar todas as alterações. Você também pode ativar os parâmetros no arquivo de configuração do telefone (cfg.xml).
Padrão: Sim Opções: Sim|Não Quando o parâmetro é definido como Não, o aviso de senha não aparece nem na página da Web nem na tela do telefone. Além disso, o modo somente pronto para a web da página não será ativado, embora a senha esteja vazia. |
| 4 |
Localize a senha do usuário do parâmetro ou a Senha Admin e clique em Alterar senha ao lado do parâmetro. |
| 5 |
Digite a senha atual no campo Senha antiga. Se você não tiver uma senha, mantenha o campo vazio. O valor padrão é vazio.
|
| 6 |
Digite uma nova senha no campo Nova senha . |
| 7 |
Clique em Enviar. A mensagem Após definir a senha do usuário, este parâmetro exibe o seguinte no arquivo de XML de configuração do telefone (cfg.xml):
Se receber o código de erro 403 ao tentar acessar a página da Web do telefone, você precisa definir a senha do usuário ou administrador pelo provisionamento no arquivo de configuração do telefone (cfg.xml). Por exemplo, insira uma cadeia de caracteres neste formato:
|
Autenticação 802.1X
Os Telefones IP Cisco são compatíveis com a Autenticação 802.1X.
Os Telefones IP Cisco e os switches do Cisco Catalyst tradicionalmente usam o CDP (Cisco Discovery Protocol) para identificar um ao outro e determinar parâmetros como a alocação de VLAN e os requisitos de potência embutida. O CDP não identifica estações de trabalho conectadas localmente. Os Telefones IP Cisco fornecem um mecanismo de passagem EAPOL. Esse mecanismo permite que uma estação de trabalho conectada ao Telefone IP Cisco passe mensagens EAPOL ao autenticador 802.1X no switch da LAN. O mecanismo de passagem garante que o telefone IP não atue como o switch da LAN para autenticar um dispositivo de dados antes de acessar a rede.
Os Telefones IP Cisco também fornecem um mecanismo de encerramento do EAPOL por proxy. Se o PC conectado localmente for desconectado do telefone IP, o switch da LAN não verá a falha do link físico, porque o link entre o switch da LAN e o telefone IP será mantido. Para evitar o comprometimento da integridade da rede, o telefone IP envia uma mensagem de encerramento do EAPOL para o switch em nome do PC de downstream, que dispara o switch da LAN para limpar a entrada de autenticação do PC de downstream.
O suporte à autenticação 802.1X exige vários componentes:
-
Telefone IP Cisco: o telefone inicia a solicitação para acessar a rede. Os Telefones IP Cisco contêm um suplicante 802.1X. Esse suplicante permite aos administradores de rede controlar a conectividade dos telefones IP para as portas de switch da LAN. A versão atual do suplicante 802.1X do telefone usa as opções EAP-FAST e EAP-TLS para autenticação de rede.
-
Servidor de autenticação: o servidor de autenticação e o comutador devem ser configurados com um segredo compartilhado que autentice o telefone.
-
Switch: o switch precisa suportar 802.1X para atuar como autenticador e passar as mensagens entre o telefone e o servidor de autenticação. Após a conclusão da troca, o switch concede ou nega o acesso do telefone à rede.
Você deve executar as ações a seguir para configurar a 802.1X.
-
Configure os outros componentes antes de ativar a Autenticação 802.1X no telefone.
-
Configure a porta do PC: o padrão 802.1X não considera VLANs e, assim, recomenda que apenas um único dispositivo seja autenticado para uma porta de switch específica. No entanto, alguns switches aceitam a autenticação de vários domínios. A configuração do switch determina se você pode conectar um PC à porta do PC do telefone.
-
Ativado: se estiver usando um switch que suporta a autenticação de vários domínios, você poderá ativar a porta do PC e conectar um PC a ela. Nesse caso, os Telefones IP Cisco aceitam o encerramento do EAPOL por proxy para monitorar a troca de autenticação entre o switch e o PC conectado.
Para obter mais informações sobre o suporte do IEEE 802.1X em switches do Cisco Catalyst, consulte os guias de configuração de switch do Cisco Catalyst em:
http://www.cisco.com/en/US/products/hw/switches/ps708/tsd_products_support_series_home.html
-
Desativado: se o switch não oferecer suporte a vários dispositivos compatíveis com 802.1X na mesma porta, você deverá desativar a porta do PC quando a autenticação 802.1X for ativada. Se você não desativar essa porta e em seguida tentar conectar um PC a ela, o switch negará o acesso à rede tanto para o telefone quanto para o PC.
-
- Configure a VLAN de voz: como o padrão 802.1X não considera as VLANs, você deve definir essa configuração com base no suporte ao switch.
- Ativado: se você estiver usando um switch que suporta a autenticação de vários domínios, você poderá continuar usando a VLAN de voz.
- Desativado: se o switch não suportar a autenticação de vários domínios, desative a VLAN de voz e considere a atribuição da porta à VLAN nativa.
- (Somente para o Telefone de mesa Cisco 9800 Series)
O Cisco Desk Phone 9800 Series tem um prefixo diferente no PID daquele para outros telefones Cisco. Para ativar seu telefone para passar pela autenticação 802.1X, defina o Radius· Parâmetro nome de usuário para incluir seu Telefone de mesa Cisco série 9800.
Por exemplo, a PID do telefone 9841 é DP-9841; você pode definir Radius· O nome de usuário para
iniciar com DPoucontém DP. Você pode defini-lo nas duas seções a seguir: -
Ativar autenticação 802.1X
Quando a autenticação 802.1X é ativada, o telefone usa a autenticação 802.1X para solicitar acesso à rede. Quando a autenticação 802.1X é desativada, o telefone usa Cisco Discovery Protocol (CDP) para adquirir vLAN e acesso à rede. Você também pode exibir o status da transação e alterar no menu da tela do telefone.
Quando a autenticação 802.1X estiver ativada, você também poderá selecionar o certificado do dispositivo (MIC/SUDI ou personalizado) para a renovação do registro inicial e do certificado. Geralmente, MIC é para Telefone de vídeo Cisco 8875, SUDI é para Telefone de mesa Cisco 9800 Series. O CDC pode ser usado para autenticação somente em 802.1x.
| 1 |
Execute uma das seguintes ações para ativar a autenticação 802.1X:
| ||||||||||||||||||||
| 2 |
Selecione um certificado (MIC ou personalizado) para a autenticação 802.1X na página da Web do telefone.
Para obter informações sobre como selecionar um tipo de certificado na tela do telefone, consulte Conectar o telefone a uma rede de Wi-Fi.
|
Ativar o modo iniciado pelo cliente para negociações de segurança de avião de mídia
Para proteger as sessões de mídia, você pode configurar o telefone para iniciar as negociações de segurança do plano de mídia com o servidor. O mecanismo de segurança segue as normas declaradas no RFC 3329 e seu rascunho de ramal Nomes de mecanismos de segurança para mídia (consulte https://tools.ietf.org/html/draft-dawes-sipcore-mediasec-parameter-08#ref-2). O transporte de negociações entre o telefone e o servidor pode usar o protocolo SIP sobre UDP, TCP e TLS. Você pode limitar que a negociação de segurança do plano de mídia é aplicada apenas quando o protocolo de transporte de sinalização é TLS.
| 1 |
Acesse a página da Web de administração do telefone. | ||||||
| 2 |
Selecione . | ||||||
| 3 |
Na seção Configurações SIP, defina a Solicitação MediaSec e o MediaSec sobre TLS campos Somente , conforme definido na tabela a seguir:
| ||||||
| 4 |
Clique em Enviar todas as alterações. |
Configurar perfil de Wi-Fi
Você pode configurar um perfil Wi-Fi na página da Web do telefone ou no perfil de dispositivo remoto e, em seguida, associar o perfil às redes Wi-Fi disponíveis. Você pode usar esse perfil Wi-Fi para se conectar a um Wi-Fi. Atualmente, somente um perfil de Wi-Fi pode ser configurado.
O perfil contém os parâmetros necessários para os telefones se conectarem ao servidor de telefone com Wi-Fi. Quando você cria e usa um perfil de Wi-Fi, não precisa configurar a rede sem fio para telefones individuais.
Um perfil de Wi-Fi permite impedir ou limitar as alterações na configuração de Wi-Fi no telefone pelo usuário.
Recomendamos que você use um perfil seguro com protocolos habilitados para criptografia para proteger chaves e senhas quando usar um perfil de Wi-Fi.
Quando você configura os telefones para usar o método de autenticação EAP-FAST no modo de segurança, os usuários precisam de credenciais individuais para se conectar a um ponto de acesso.
| 1 |
Acesse a página da Web do telefone. |
| 2 |
Selecione . |
| 3 |
Na seção Wi-Fi Perfil (n), defina os parâmetros conforme descrito na tabela a seguir Parâmetros para Wi-Fi perfil. A configuração Wi-Fi perfil também está disponível para o login do usuário.
|
| 4 |
Clique em Enviar todas as alterações. |
Parâmetros do perfil de Wi-Fi
A tabela a seguir define a função e o uso de cada parâmetro na seção Wi-Fi Perfil(n) na guia Sistema na página da Web do telefone. Ele também define a sintaxe da cadeia de caracteres que é adicionada no arquivo de configuração do telefone (cfg.xml) para configurar um parâmetro.
| Parâmetro | Descrição |
|---|---|
| Nome da Rede | Permite digitar um nome para o SSID que será exibido no telefone. Vários perfis podem ter o mesmo nome de rede com modo de segurança diferente. Execute um dos seguintes procedimentos:
Padrão: vazio |
| Modo de segurança | Permite selecionar o método de autenticação usado para proteger o acesso à rede Wi-Fi. Dependendo do método escolhido, um campo de senha será exibido para que você possa fornecer as credenciais necessárias para ingressar nessa rede Wi-Fi. Execute um dos seguintes procedimentos:
Padrão: Auto |
| ID de usuário do Wi-Fi | Permite que você insira um ID de usuário para o perfil de rede. Esse campo estará disponível quando você definir o modo de segurança como Automático, EAP-FAST ou EAP-PEAP. Este é um campo obrigatório e permite comprimento máximo de 32 caracteres alfanuméricos. Execute um dos seguintes procedimentos:
Padrão: vazio |
| Senha de Wi-Fi | Permite digitar a senha para a ID de usuário Wi-Fi especificada. Execute um dos seguintes procedimentos:
Padrão: vazio |
| Banda de frequência | Permite selecionar a banda de frequência de sinal sem fio que é a WLAN usa. Execute um dos seguintes procedimentos:
Padrão: Auto |
| Certificado Selecionado | Permite-lhe selecionar um tipo de certificado para registro inicial de certificado e renovação de certificado na rede sem fio. Esse processo está disponível somente para autenticação 802.1X. Execute um dos seguintes procedimentos:
Padrão: Fabricação instalada |
