- Página inicial
- /
- Artigo
Obrigado pelos seus comentários.
Certificado de dispositivo personalizado em 9800/8875
Neste artigo
Comentários?Você pode instalar um Certificado de Dispositivo Personalizado (CDC) de forma manual ou automática. Para determinados ambientes, você pode utilizar a opção 43 do DHCP para fornecer os parâmetros SCEP para a instalação do certificado. Este artigo de ajuda é para o telefone de mesa Cisco série 9800 e o telefone de vídeo Cisco 8875 registrados no Cisco BroadWorks ou Webex Calling.
Instalação de um certificado de dispositivo personalizado
Para instalar um CDC (Custom Device Certificate, certificado do dispositivo personalizado) no telefone, utilize uma das seguintes maneiras com base na sua situação:
O certificado instalado mais recentemente no telefone entra em vigor.
- Instalação manual — você pode instalar um certificado carregando-o na página da Web de administração do telefone. Para obter detalhes, consulte Instalação manual do Certificado de dispositivo personalizado por carregamento.
- Instalação automática—você pode configurar os parâmetros SCEP (Simple Certificate Enrollment Protocol, protocolo de registro de certificado simples) para acionar uma instalação automática de um certificado. O telefone envia solicitações SCEP para um servidor SCEP para instalar o certificado.
Os parâmetros SCEP podem ser configurados por meio da página da Web de administração do telefone, do arquivo de configuração do telefone (cfg.XML) ou do Hub de controle. Para obter detalhes, consulte Instalação automática do Certificado de dispositivo personalizado por SCEP e Parâmetros para as configurações do telefone no Hub de controle.
- DHCP opção 43— Em determinado ambiente, você pode instalar um certificado utilizando a opção DHCP 43. A opção 43 pode fornecer os parâmetros SCEP para a instalação do certificado. Para obter detalhes, consulte a configuração dos parâmetros SCEP por meio da opção DHCP 43.
-
Quando você usa a opção DHCP 43 para provisionamento de parâmetros SCEP, o telefone também pode recuperar o nome do domínio transportado da opção DHCP 15. Com base no nome de domínio recuperado, o telefone pode construir a SCEP CSR Common Name e a ID de usuário 802.1X. Para obter detalhes, consulte Provisionamento de Nome Comum ou ID de Usuário por meio da opção DHCP 15.
Para obter mais informações sobre como configurar opções de DHCP, consulte Configurar opções de DHCP.
-
Instalação manual do Certificado de dispositivo personalizado por carregamento
Você pode instalar manualmente um Certificado de dispositivo personalizado (CDC) no telefone carregando o certificado na página da Web de administração do telefone.
Antes de começar
Antes de instalar um certificado de dispositivo personalizado para um telefone, você deve ter:
- Um arquivo de certificado (.p12 ou .pfx) salvo em seu PC. O arquivo contém o certificado e a chave privada.
- Extraia a senha do certificado. A senha é usada para descriptografar o arquivo de certificado.
| 1 |
Acesse a página da Web de administração do telefone. |
| 2 |
Selecione certificado. |
| 3 |
Na seção Adicionar certificado , clique em Procurar.... |
| 4 |
Navegue até o certificado em seu PC. |
| 5 |
No campo Extrair senha, insira a senha de extração do certificado. |
| 6 |
Clique em Carregar. Se o arquivo de certificado e a senha estiverem corretos, você receberá a mensagem "
Certificado adicionado.". Caso contrário, o carregamento falhará com uma mensagem de erro indicando que o certificado não pode ser carregado. |
| 7 |
Para verificar os detalhes do certificado instalado, clique em Exibir na seção Certificados existentes . |
| 8 |
Para remover o certificado instalado do telefone, clique em Excluir na seção Certificados existentes . Depois de clicar no botão, a operação de remoção é iniciada imediatamente sem uma confirmação.
Se o certificado for removido com êxito, você receberá a mensagem " |
Instalação automática do Certificado de dispositivo personalizado por SCEP
Você pode configurar os parâmetros relacionados ao SCEP (Simple Certificate Enrollment Protocol– Protocolo de registro de certificado simples) para interagir com o servidor SCEP para instalar o Certificado de dispositivo personalizado (CDC) automaticamente.
Depois que um dos parâmetros SCEP for configurado, o telefone enviará uma solicitação de registro SCEP para o servidor. O telefone validará o certificado de CA recebido usando as impressões digitais configuradas.
Antes de começar
Para poder efetuar a instalação automática de um certificado de dispositivo personalizado (CDC) para um telefone, você deve possuir:
- Endereço do servidor SCEP
- Impressão digital SHA-1 ou SHA-256 do certificado raiz da CA para o servidor SCEP
| 1 |
Acesse a página da Web de administração do telefone. |
| 2 |
Selecione certificado. |
| 3 |
Na seção Configuração SCEP 1 , defina os parâmetros conforme descrito nos parâmetros para configuração scep. |
| 4 |
Clique em Enviar todas as alterações. |
Parâmetros para configuração do SCEP
A tabela a seguir define a função e o uso dos parâmetros de configuração SCEP na seção Configuração SCEP 1 sob o Certificado Tab na interface da Web do telefone. Ele também define a sintaxe da cadeia de caracteres que é adicionada no arquivo de configuração do telefone (cfg.XML) para configurar um parâmetro.
Qualquer alteração de parâmetro fará com que o telefone solicite um novo certificado.
| Parâmetro | Descrição |
|---|---|
| Servidor |
Endereço do servidor SCEP. Esse parâmetro é obrigatório. Execute um dos seguintes procedimentos:
Valores válidos: um endereço de URL ou IP. O esquema HTTPS não é suportado. Padrão: vazio |
| Impressões digitais de CA raiz |
Impressões digitais SHA256 ou SHA1 da CA raiz para validação durante o processo SCEP. Esse parâmetro é obrigatório. Execute um dos seguintes procedimentos:
Padrão: vazio |
| Desafiar Senha |
O desafio de senha para autorização do Certificate Authority (CA) no telefone durante o registro de um certificado via SCEP. Esse parâmetro é opcional. De acordo com o ambiente SCEP real, o comportamento da senha do desafio varia.
Execute um dos seguintes procedimentos:
Padrão: vazio |
| Nome Comum |
Especifica o Nome Comum (CN) usado como identificador para o telefone que solicita o certificado. A CN é usada para a Solicitação de assinatura do certificado (CSR) no processo SCEP. Esse parâmetro também suporta variáveis de expansão de macro. Consulte variáveis de expansão de macro para obter detalhes. Execute um dos seguintes procedimentos:
Valores válidos: máximo de 64 caracteres Padrão: vazio |
Renovação de certificado por SCEP
O certificado do dispositivo pode ser atualizado automaticamente pelo processo SCEP.
- O telefone verifica se o certificado expirará em 15 dias a cada 4 horas. Se sim, o telefone inicia o processo de renovação de certificado automaticamente.
- Se a senha do desafio estiver vazia, o telefone usará MIC/SUDI para a renovação de registro inicial e de certificado. Se a senha do desafio for configurada, ela será utilizada apenas para o registro inicial, o certificado existente/instalado será usado para a renovação do certificado.
- O telefone não remove o certificado do dispositivo antigo até recuperar o novo.
- Se a renovação do certificado falhar porque o certificado do dispositivo ou CA expira, o telefone aciona o registro inicial automaticamente. Enquanto isso, se a autenticação de senha do desafio falhar, uma tela de entrada de senha será exibida na tela do telefone e os usuários serão solicitados a inserir a senha de desafio no telefone.
Configuração de Nome Comum do CDC
Por padrão, o Nome Comum no MIC/SUDI é usado como nome comum do CDC.
Você pode configurar o Nome Comum para CDC ao instalar o certificado. Use um dos seguintes métodos para instalar um CDC no telefone:
-
Gere uma Solicitação de Assinatura do Certificado (CSR) que contém o Nome Comum desejado e, em seguida, carregue e instale o novo certificado na página da Web de administração do telefone.
-
Configure o Nome Comum por meio da página da Web de administração do telefone, arquivo de configuração do telefone (cfg.XML) ou Hub de controle. Isso ativará o telefone para solicitar um novo certificado automaticamente.
Para obter mais informações sobre os parâmetros na página da Web do telefone e no Hub de controle, consulte Instalação automática do Certificado de dispositivo personalizado por SCEP e Parâmetros para as configurações do telefone no Hub de controle.
- Utilize a opção DHCP 43 e 15 para provisionar Nome Comum para o CDC e para a identidade com fio 802.1X.
Para obter mais informações, consulte Provisionamento de Nome Comum ou ID de Usuário por meio da opção DHCP 15.
Configuração de parâmetros SCEP por meio da opção DHCP 43
Em determinado ambiente em que não é possível instalar o Certificado de dispositivo personalizado (CDC) através do carregamento ou da configuração direta dos parâmetros SCEP. Nessa situação, você pode utilizar a opção DHCP 43 para preencher os parâmetros de um servidor DHCP. A opção DHCP 43 pode ser configurada para fornecer os parâmetros SCEP para o telefone. Depois que o telefone for redefinido de fábrica, ele poderá receber os parâmetros do servidor DHCP para instalar o CDC por meio do protocolo SCEP.
- Esse recurso (configuração de parâmetros SCEP por meio da opção DHCP 43) está disponível apenas para o telefone que é redefinido de fábrica.
- Os telefones não serão colocados na rede que tenha suportado a Opção 43 e o provisionamento remoto (por exemplo, Opções 66,160,159,150 ou provisionamento em nuvem). Caso contrário, talvez os telefones não obtenham a opção 43 configurações.
Para instalar um certificado CDC pelos parâmetros SCEP fornecidos na opção DHCP 43, faça o seguinte:
- Preparar um ambiente SCEP.
Para obter informações sobre a configuração do ambiente SCEP, consulte a documentação do servidor SCEP.
- Configure a opção DHCP 43 (definida em 8.4 Informações específicas do fornecedor, RFC 2132).
As subopções (10-15) são reservadas para o método:
Parâmetro na página da Web do telefone Subopção Tipo Comprimento (byte) Mandatory Modo FIPS 10 booleano 1 Não* Servidor 11 string 208 - extensão (Senha do desafio) Sim Impressões digitais de CA raiz 12 enfeitiçar 20, 32, 48 ou 64 Sim Desafiar Senha 13 string 208 - extensão (Servidor) Não* Ativar autenticação 802.1X 14 booleano 1 Não Certificado Selecionado 15 não assinado de 8 bits 1 Não * significa que o parâmetro é configurado de acordo com a situação real.
Quando você usa a opção DHCP 43, observe as seguintes características do método:
- As subopções (10-15) são reservadas para o Certificado de Dispositivo Personalizado (CDC).
- O tamanho máximo da opção DHCP 43 é 255 bytes.
- A duração máxima de Server + Challenge Password deve ser inferior a 208 bytes.
- O valor do Modo FIPS deve ser consistente com a configuração de provisionamento a bordo. Caso contrário, o telefone falhará ao recuperar o certificado anteriormente instalado após o onboarding. Especificamente
- Se o telefone estiver registrado em um ambiente onde o modo FIPS esteja desativado, não será necessário configurar o Modo FIPS na opção DHCP 43. Por padrão, o modo FIPS está desativado.
- Se o telefone estiver registrado em um ambiente onde o modo FIPS estiver ativado, você deverá ativar o modo FIPS na opção DHCP 43. Consulte Ativar modo FIPS para obter detalhes.
- A senha do desafio na Opção 43 está em cleartext.
- Se desejar que o telefone use MIC/SUDI para a renovação inicial de registro e certificado, deixe a senha do desafio em branco.
- Se a senha do desafio for usada somente para o registro inicial, configure a senha do desafio. Nesse caso, o certificado instalado será usado para a renovação do certificado.
- A ativação da Autenticação 802.1X e a Seleção de certificado são usadas apenas para os telefones em redes com fio.
- A opção DHCP 60 (Identificador de classe de fornecedor) é usada para identificar o modelo do dispositivo.
Exemplo da opção DHCP 43 (subopções de 10 a 15):
Decimal/hex da subopção Tamanho do valor (byte) decimal/hex Valor Valor hexax 00/10 1/01 1 (0: Desabilitado; 1: Habilitado) 01 11/0b 18/12 http://10.79.57.91 687474703a2f2f31302e37392e35372e3931 12/0c 20/14 12040870625C5B755D73F5925285F8F5FF5D55AF 12040870625C5B755D73F5925285F8F5FF5D55AF 13/0d 16/10 D233CCF9B9952A15 44323333434346394239393532413135 14/0e 1/01 1 (0: Não; 1: Sim) 01 15/0f 1/01 1 (0: Fabricação instalada; 1: Personalizado instalado) 01 Resumo dos valores do parâmetro:
-
Modo FIPS =
Habilitado -
Servidor =
http://10.79.57.91 -
Impressões digitais de CA raiz =
12040870625C5B755D73F5925285F8F5FF5D55AF -
Senha do Desafio =
D233CCF9B9952A15 -
Ativar autenticação 802.1X =
Sim -
Certificado selecionado =
Personalizado instalado
A sintaxe do valor final de hex é:
{<suboption><length><value>}...De acordo com os valores do parâmetro acima, o valor final hex é o seguinte:
0a01010b12687474703a2f2f31302e37392e35372e39310c1412040870625C5B755D73F5925285F8F5FF5D55AF0d10443233334343463942393935324131350e01010f0101 - Configure a opção DHCP 43 em um servidor DHCP.
Essa etapa fornece um exemplo das configurações da opção DHCP 43 no Registro de rede Cisco.
- Adicione DHCP conjunto de definição da opção.
A cadeia de caracteres da opção do fornecedor é o nome do modelo dos telefones IP. O valor válido é: DP-9841, DP-9851, DP-9861, DP-9871 ou CP-8875.
- Adicione a opção DHCP 43 e as subopções ao conjunto de definições de opção DHCP.
Exemplo:
- Adicione opções 43 à diretiva DHCP e configure o valor da seguinte forma:
Exemplo:
(10 1)(11 http://10.79.57.91)(12 12040870625C5B755D73F5925285F8F5FF5D55AF)(13 D233CCF9B9952A15)(14 1)(15 1) - Verifique as configurações. Você pode usar Wireshark para capturar um rastreamento do tráfego da rede entre o telefone e o serviço.
- Adicione DHCP conjunto de definição da opção.
- Execute uma redefinição de fábrica para o telefone.
Após a redefinição do telefone, o servidor de parâmetros, a Impressão digital ca raiz e a senha do desafio serão preenchidos automaticamente. Esses parâmetros estão localizados na seção Configuração SCEP 1 a partir do na página da Web de administração do telefone.
Para verificar os detalhes do certificado instalado, clique em Exibir na seção Certificados existentes .
Para verificar o status de instalação do certificado, selecione . O Status do download 1 mostra o resultado mais recente. Se ocorrer algum problema durante o registro do certificado, o status do download poderá mostrar o motivo do problema para a solução de problemas.
Se o desafio de autenticação de senha falhar, os usuários serão solicitados a inserir a senha na tela do telefone.
- (Opcional): Para remover o certificado instalado do telefone, clique em Excluir na seção Certificados existentes .
Depois de clicar no botão, a operação de remoção é iniciada imediatamente sem uma confirmação.
Provisionamento de Nome Comum ou ID de Usuário por meio da opção DHCP 15
Durante o registro do certificado SCEP por meio da opção DHCP 43, o telefone também pode obter o nome de domínio fornecido na opção DHCP 15 (se configurado). Depois que o telefone receber o nome do domínio, ele pode construir o Nome comum ou a ID de usuário com o nome do domínio, que é representado como o seguinte:
- Nome Comum= < Nome deCommon no > MIC/SUDI.<Domain Name na Opção 15>
O Nome Comum será usado para CSR no processo SCEP e posteriormente será o Nome Comum no CDC.
- ID do usuário= <Não docommon em MIC/SUDI >@<Domain Name na Opção 15>
A ID do usuário será usada como identidade para autenticação 802.1X com fio.
Por exemplo, o endereço MAC do telefone é 00:1A:2B:3C:4D:5E, o modelo de telefone é 9871:
| Nome do domínio na opção DHCP 15 | Nome Comum | ID de usuário |
|---|---|---|
| example.nl | CP-9871-SEP001A2B3C4D5E.example.nl | CP-9871-SEP001A2B3C4D5E@example.nl |
| Vazio | CP-9871-SEP001A2B3C4D5E |
CP-9871-SEP001A2B3C4D5E |
Se o nome de domínio não estiver configurado na opção 15, o Nome comum e a ID de usuário serão iguais com o Nome comum no MIC/SUDI.
