Neste artigo
dropdown icon
Configurar opções de DHCP
    Suporte à opção DHCP
dropdown icon
Segurança de LAN sem fio
    Configurar o perfil Wi-Fi
dropdown icon
Autenticação 802.1X para redes com fio
    Ativar autenticação 802.1X para redes com fio no telefone
    Ativar autenticação 802.1X para redes com fio na página da Web do telefone
    Menu de configurações de segurança no telefone
Alterar as senhas do usuário e do administrador
Definir a versão mínima do TLS para cliente e servidor
Ativar o modo iniciado pelo cliente para negociações de segurança de avião de mídia
Cisco segurança do Telefone sem fio 9821 (multiplataforma)
list-menuNeste artigo
list-menuComentários?

Este artigo da Ajuda é para o Cisco Wireless Phone 9821 registrado em Webex Calling.

Configurar opções de DHCP

Você pode definir a ordem em que o telefone usa as opções DHCP. Para obter ajuda com as Opções de DHCP, consulte o suporte à opçãoDHCP.

1

Acesse a página da Web de administração do telefone.

Endereço http://<ip>/admin/avançado

2

Selecione Voz > Provisionamento.

3

Na seção Perfil de configuração, defina a opção DHCP Para usar . Este paramter consiste em uma série de opções DHCP, delimitadas por vírgulas, usadas para recuperar firmware e perfis.

Execute um dos seguintes procedimentos:

  • No arquivo de configuração do telefone com XML (cfg.xml), insira uma string neste formato:

    <DHCP_Option_To_Use ua=">66,160,159,150,60,43,125</DHCP_Option_To_Use>

  • Na página da Web do telefone, digite uma série de opções de DHCP, delimitadas por vírgulas.

Padrão: 66,160,159,150,60,43,125

4

Clique em Enviar todas as alterações.

Suporte à opção DHCP

A tabela a seguir lista as opções DHCP que são compatíveis com o Cisco Telefone sem fio 9821.

Padrão de RedeDescrição
Opção DHCP 1Máscara de sub-rede
Opção DHCP 2Compensação de tempo
Opção DHCP 3Roteador
Opção DHCP 6Servidor de nome de domínio
Opção DHCP 15Nome de domínio
Opção DHCP 17Caminho raiz
Opção DHCP 41Tempo de aluguel do endereço IP
Opção DHCP 42Servidor NTP
Opção DHCP 43Informações específicas do provedor

Pode ser usado para fornecer a configuração SCEP.

Opção DHCP 56Servidor NTP
Opção DHCP 60Identificador de classe do provedor
Opção DHCP 66TFTP nome do servidor
Opção DHCP 125Informações específicas do provedor que identificam o provedor
Opção DHCP 150Servidor TFTP
Opção DHCP 159Servidor de provisionamento IP
Opção DHCP 160URL de provisionamento

Segurança de LAN sem fio

Como todos os dispositivos de WLAN que estão no intervalo podem receber todo o tráfego da WLAN, proteger a comunicação por voz é algo essencial nessas redes. Para garantir que os intrusos não manipulem nem interceptam o tráfego de voz, a arquitetura Cisco SEGURANÇA SEGURA suporta o telefone. Para obter mais informações sobre segurança nas redes, consulte http://www.cisco.com/en/US/netsol/ns744/networking_solutions_program_home.html.

A solução Cisco sem fio IP telefonia fornece segurança de rede sem fio que impede entradas não autorizadas e comunicações comprometidas usando os métodos de autenticação a seguir que o telefone suporta.

  • Autenticação aberta: qualquer dispositivo sem fio pode solicitar autenticação em um sistema aberto. O AP que recebe a solicitação pode conceder autenticação para qualquer solicitante ou apenas para solicitantes encontrados em uma lista de usuários. A comunicação entre o dispositivo sem fio e o Ponto de Acesso (AP) não pôde ser criptografada.

  • Protocolo de Autenticação Extensível – Autenticação Flexível via Túnel Seguro (EAP-FAST) Autenticação: Esta arquitetura de segurança cliente-servidor criptografa EAP transações dentro de um túnel de Segurança de Nível de Transporte (TLS) entre o AP e o servidor RADIUS, como o Identity Services Engine (ISE).

    O túnel TLS usa credenciais de acesso protegido (PACs) para autenticação entre o cliente (telefone) e o servidor RADIUS. O servidor envia um ID de autoridade (AID) para o cliente (telefone), que por sua vez seleciona a PAC apropriada. O cliente (telefone) retorna uma PAC-Opaque para o servidor RADIUS. O servidor descriptografa a PAC com a chave primária. Agora s dois pontos de extremidade contêm a chave PAC, e um túnel TLS é criado. O EAP-FAST oferece suporte para provisionamento automático de PAC, mas você precisa ativá-lo no servidor RADIUS.

    No ISE, por padrão, o PAC expira em uma semana. Se a PAC do telefone tiver expirado, a autenticação no servidor RADIUS será mais demorada enquanto o telefone obtém uma nova PAC. Para evitar atrasos no provisionamento do PAC, defina o período de expiração do PAC como 90 dias ou mais no servidor ISE ou RADIUS.

  • Protocolo de autenticação ampliável - autenticação de segurança da camada de transporte (EAP-TLS): o EAP-TLS exige um certificado de cliente para autenticação e acesso à rede. Para EAP-TLS sem fio, o certificado do cliente pode ser MIC ou certificado instalado pelo usuário.

  • Protocolo de autenticação extensível protegido (PEAP): esquema de autenticação mútua baseada em senha e proprietário da Cisco entre o cliente (telefone) e um servidor RADIUS. O telefone pode usar PEAP para autenticação com a rede sem fio. Os métodos de autenticação PEAP MSCHAPV2 e PEAP-GTC têm suporte.

    Para suportar a autenticação PEAP-GTC para o Cisco Telefone sem fio 9821, configure a política necessária dentro do conjunto de diretivas Cisco ISE.

  • Chave pré-compartilhada (PSK): o telefone oferece suporte aos formatos ASCII e hexadecimal (HEX). Você deve usar esses formatos ao configurar uma chave pré-compartilhada WPA2/SAE.

    ASCII: uma cadeia de caracteres ASCII com 8 a 63 caracteres de comprimento (0 a 9, letras minúsculas a-z, A-Z maiúsculo e caracteres especiais). Por exemplo,GREG123567@9ZX &W.

    HEX: uma cadeia de caracteres HEX com 64 dígitos hex de comprimento (0-9, a-f ou A-F).

Os seguintes esquemas de autenticação usam o servidor RADIUS para gerenciar chaves de autenticação:

  • WPA2/WPA3: usa informações do servidor RADIUS para gerar chaves exclusivas para autenticação. Como essas chaves são geradas no servidor RADIUS centralizado, o WPA2/WPA3 oferece que mais segurança do que as chaves pré-compartilhadas WPA que são armazenadas no AP e no telefone.

  • Roaming rápido e seguro: usa informações do servidor RADIUS e de um servidor de domínio sem fio (WDS) para gerenciar e autenticar as chaves. O WDS cria um cache de credenciais de segurança para dispositivos cliente ativados por FT para autenticação rápida e segura.

Com o WPA2/WPA3, as teclas de criptografia não são inseridas no telefone, mas são automaticamente derivadas entre o AP e o telefone. Porém, o nome do usuário EAP e a senha que são usados para autenticação devem ser inseridos em cada telefone.

Para ajudar a proteger o tráfego de voz através de um link sem fio, o telefone suporta criptografia baseada em AES para autenticação WPA2/WPA3. AES é uma cifere de bloco simétrico padronizada pelo NIST. O AES usa um tamanho de bloqueio fixo de 128 bits e suporta tamanhos de chave de 128 bits, 192 bits e 256 bits. Em redes Wi-Fi, AES é usado por conjuntos de cifradrias como CCMP ou GCMP, enquanto a autenticação é fornecida separadamente por PSK, SAE ou 802.1X/EAP, dependendo do modo de segurança WLAN configurado. O conjunto de cipher e o tamanho da chave suportados dependem do modelo do telefone e da configuração de WLAN.

Esquemas de autenticação e criptografia são configuradas na LAN sem fio. As VLANs configuradas na rede e nos APs e especificam diferentes combinações de autenticação e criptografia. Um SSID é associado a uma VLAN e ao esquema de autenticação e criptografia específico. Para que os dispositivos de cliente sem fio se autenticem com êxito, você deve configurar os mesmos SSIDs com seus esquemas de autenticação e criptografia nos APs e no telefone.

Alguns esquemas de autenticação exigem tipos específicos de criptografia.

Quando você usa a chave pré-compartilhada WPA2 ou SAE, a chave pré-compartilhada deve ser definida estáticamente no telefone. Essas chaves devem coincidir com as chaves que estão no AP.

Os esquemas de autenticação e criptografia na tabela a seguir mostram as opções de configuração de rede para o Cisco Telefone sem fio 9821 que correspondem à configuração AP.

Tabela 1. Esquemas de autenticação e criptografia
Tipo de FSRAutenticaçãoGerenciamento de teclaCriptografiaQuadro de Gerenciamento Protegido (PMF)
802.11r (FT)PSK

PSK WPA

WPA-PSK-SHA256

FT-PSK

AESNão
802.11r (FT)WPA3

SAE

FT-SAE

AESSim
802.11r (FT)EAP-TLS

WPA-EAP

FT-EAP

AESNão
802.11r (FT)EAP-TLS (WPA3)

WPA-EAP-SHA256

FT-EAP

AESSim
802.11r (FT)EAP-FAST

WPA-EAP

FT-EAP

AESNão
802.11r (FT)EAP-FAST (WPA3)

WPA-EAP-SHA256

FT-EAP

AESSim
802.11r (FT)EAP-PEAP

WPA-EAP

FT-EAP

AESNão
802.11r (FT)EAP-PEAP (WPA3)

WPA-EAP-SHA256

FT-EAP

AESSim
Não FTSuite-BWPA-EAP-SUITE-BGCMPSim
Não FTSuite-B-192WPA-EAP-SUITE-B-192GCMPSim

Configurar o perfil Wi-Fi

Você pode configurar Wi-Fi perfis na página da Web de administração do telefone ou por meio de um novo perfil de dispositivo remoto. Depois de configurado, você pode associar esses perfis a redes sem fio disponíveis para estabelecer a conectividade. O Cisco Telefone sem fio 9821 suporta um máximo de quatro perfis Wi-Fi configurados.

O perfil contém os parâmetros necessários para os telefones se conectarem ao servidor de telefone com Wi-Fi. Quando você cria e usa um perfil Wi-Fi, você ou seus usuários não precisam configurar a rede sem fio para telefones individuais.

Um perfil de Wi-Fi permite impedir ou limitar as alterações na configuração de Wi-Fi no telefone pelo usuário.

Recomendamos que você use um perfil seguro com protocolos habilitados para criptografia para proteger chaves e senhas quando usar um perfil Wi-Fi.

Ao configurar os telefones para usar o método de autenticação EAP-FAST no modo de segurança, seus usuários precisam de credenciais individuais para se conectar a um ponto de acesso.

1

Acesse a página da Web do telefone.

2

Selecione Voz > Sistema.

3

Na seção Wi-Fi Perfil (n),defina os parâmetros conforme descrito na tabela a seguir Parâmetros para Wi-Fi perfil.

A configuração do perfil Wi-Fi também está disponível para login do usuário.
4

Clique em Enviar todas as alterações.

Parâmetros do perfil Wi-Fi

A tabela a seguir define a função e o uso de cada parâmetro na seçãoWi-Fi Perfil(n) na página da WebTab do sistema. Ele também define a sintaxe da cadeia de caracteres que é adicionada no arquivo de configuração do telefone (cfg.XML) para configurar um parâmetro.

ParâmetroDescrição
Nome da RedePermite digitar um nome para o SSID que será exibido no telefone. Vários perfis podem ter o mesmo nome de rede com modo de segurança diferente.

Execute um dos seguintes procedimentos:

  • No arquivo de configuração do telefone com XML (cfg.xml), insira uma string neste formato:

    <Network_Name_1_ ua="rw">Cisco</Network_Name_1_>

  • Na página da Web do telefone, digite um nome para o SSID.

Padrão: vazio

Modo de segurançaPermite selecionar o método de autenticação usado para garantir o acesso à rede Wi-Fi. Dependendo do método escolhido, um campo de senha será exibido para que você possa fornecer as credenciais necessárias para ingressar nessa rede Wi-Fi.

Execute um dos seguintes procedimentos:

  • No arquivo de configuração do telefone com XML (cfg.xml), insira uma string neste formato:

    <Security_Mode_1_ ua="rw">EAP-TLS</Security_Mode_1_> <!-- opções disponíveis: |EAP-FAST|||PSK||Nenhum|EAP-PEAP|EAP-TLS -->

  • Na página da Web do telefone, selecione um dos métodos:
    • EAP-FAST
    • PSK
    • Nenhuma
    • EAP-PEAP
    • EAP-TLS

Padrão: Nenhum

Wi-Fi Usuário IDPermite que você insira um usuário ID para o perfil da rede.

Esse campo estará disponível quando você definir o modo de segurança como Automático, EAP-FAST ou EAP-PEAP. Esse é um campo obrigatório e permite um comprimento máximo de 32 caracteres alfanuméricos.

Execute um dos seguintes procedimentos:

  • No arquivo de configuração do telefone com XML (cfg.xml), insira uma string neste formato:

    <Wi-Fi_User_ID_1_ua="rw"></Wi-Fi_User_ID_1_>

  • Na página da Web do telefone, digite um usuário ID para o perfil da rede.

Padrão: vazio

Wi-Fi senhaPermite digitar a senha do Wi-Fi usuário ID especificado.

Execute um dos seguintes procedimentos:

  • No arquivo de configuração do telefone com XML (cfg.xml), insira uma string neste formato:

    <Wi-Fi_Password_1_ ua="rw"></Wi-Fi_Password_1_>

  • Na página da Web do telefone, digite a senha do usuário ID que você adicionou.

Padrão: vazio

Banda de frequênciaPermite selecionar a banda de frequência de sinal sem fio que é a WLAN usa.

Execute um dos seguintes procedimentos:

  • No arquivo de configuração do telefone com XML (cfg.xml), insira uma string neste formato:

    <Frequency_Band_1_ ua="rw">Auto</Frequency_Band_1_>

  • Na página da Web do telefone, selecione uma das opções:
    • Auto
    • 2,4 GHz
    • 5 GHz ou 6 GHz

Padrão: Auto

Certificado SelecionadoPermite-lhe selecionar um tipo de certificado para registro inicial de certificado e renovação de certificado na rede sem fio. Esse processo está disponível somente para autenticação 802.1X.

Execute um dos seguintes procedimentos:

  • No arquivo de configuração do telefone com XML (cfg.xml), insira uma string neste formato:

    <Certificate_Select_1_ ua="rw">Emanação instalada</Certificate_Select_1_>

  • Na página da Web do telefone, selecione uma das opções:
    • Fabricação instalada
    • Personalizado instalado

Padrão: Fabricação instalada

Modo de controleControla se o usuário tem permissão para configurar os perfis do Wi-Fi.

Execute um dos seguintes procedimentos:

  • No arquivo de configuração do telefone com XML (cfg.xml), insira uma string neste formato:

    <Control_Mode_1_ ua="rw">Auau</Control_Mode_1_>

  • Na página da Web do telefone, selecione uma das opções:
    • Permitir
    • Desaprovados
    • Restrito

Padrão: Permitir

PermitirControla se o perfil Wi-Fi está habilitado.

Execute um dos seguintes procedimentos:

  • No arquivo de configuração do telefone com XML (cfg.xml), insira uma string neste formato:

    <Enable_1_ ua="rw">Yes</Enable_1_>

  • Na página da Web do telefone, selecione uma das opções:
    • Sim
    • Não

Padrão: Sim

Nome do perfilPermite digitar um nome para o perfil que será exibido no telefone.

Execute um dos seguintes procedimentos:

  • No arquivo de configuração do telefone com XML (cfg.xml), insira uma string neste formato:

    <Profile_Name_1_ ua="rw">Profile 1</Profile_Name_1_>

  • Na página da Web do telefone, digite um nome para o perfil.

Padrão: Perfil 1

Senha de PSKPermite digitar a senha de PSK quando o Modo de segurança estiver configurado como PSK.

Execute um dos seguintes procedimentos:

  • No arquivo de configuração do telefone com XML (cfg.xml), insira uma string neste formato:

    <PSK_Passphrase_1_ ua="rw">*************</PSK_Passphrase_1_>

  • Na página da Web do telefone, digite a senha de PSK.

Padrão: Permitir

Autenticação 802.1X para redes com fio

O Cisco Wireless Phone 9821 suporta autenticação 802.1X para redes com fio. Isso é geralmente usado durante o provisionamento automático quando o telefone está conectado ao carregador de mesa por meio de um adaptador USB-to-Ethernet suportado.

O suporte para autenticação 802.1X em redes com fio requer diversos componentes como se segue:

  • Telefone IP Cisco: o telefone inicia a solicitação para acessar a rede. Os Telefones IP Cisco contêm um suplicante 802.1X. Esse suplicante permite aos administradores de rede controlar a conectividade dos telefones IP para as portas de switch da LAN. A versão atual do suplicante 802.1X do telefone usa as opções EAP-FAST e EAP-TLS para autenticação de rede.

  • Servidor de autenticação: O servidor de autenticação e o comutador devem ser configurados com um segredo compartilhado RADIUS.

  • Switch: o comutador deve suportar 802.1X, de forma que possa funcionar como um autenticador e retransmitir as mensagens EAP entre o telefone e o servidor de autenticação. Após a conclusão da troca, o switch concede ou nega o acesso do telefone à rede.

Os Telefones IP Cisco e os switches do Cisco Catalyst tradicionalmente usam o CDP (Cisco Discovery Protocol) para identificar um ao outro e determinar parâmetros como a alocação de VLAN e os requisitos de potência embutida.

Você deve executar as ações a seguir para configurar a 802.1X.

  • Configure CDP/LLDP de voz VLAN ignorar.

  • Configure o servidor de autenticação e o comutador antes de ativar a autenticação 802.1X para redes com fio no telefone.

  • Configure a VLAN de voz: como o padrão 802.1X não considera as VLANs, você deve definir essa configuração com base no suporte ao switch.

    • Ativado: se estiver usando um comutador que suporte autenticação multidomain, você pode configurá-lo para usar a voz VLAN.
    • Desativado: se o switch não suportar a autenticação de vários domínios, desative a VLAN de voz e considere a atribuição da porta à VLAN nativa.
  • Cisco Telefone sem fio 9821 tem um prefixo diferente no PID daquele para os outros telefones Cisco. Para ativar seu telefone para passar pela autenticação 802.1X, defina o Radius· O parâmetro Nome de usuário para incluir seu Cisco Telefone sem fio 9821.

    Por exemplo, a PID do Cisco Telefone sem fio 9821 é O WP-9821. Você pode definir Radius· O Nome do usuário para iniciar com WP ou WP contém o WP nas duas seções a seguir:

    • Condições > conduções > Libraria

    • Conjuntos de políticas>Estimização > Estimização > Retodonar 1

Ativar autenticação 802.1X para redes com fio no telefone

Siga estas etapas para ativar a autenticação 802.1X para redes com fio em seu telefone. Observe que a autenticação 802.1X para Wi-Fi está ativada por padrão e não exige configuração manual.

1

Acessar as Configurações 9821 Settings app icon App.

2

Se solicitado, digite a senha para acessar o menu Configurações . Você pode obter a senha do administrador.

3

Selecione configurações de Admin> A configuração deSecurity> 802.1X Autenticação.

4

Realce a autenticação do dispositivo e pressione Ativar.

Ativar autenticação 802.1X para redes com fio na página da Web do telefone

Quando a autenticação 802.1X para redes com fio é ativada, o telefone usa a autenticação 802.1X para solicitar acesso de rede pela porta LAN Ethernet. Quando a autenticação 802.1X para redes com fio é desativada, o telefone usa a opção Cisco Discovery Protocol (CDP) para adquirir o VLAN e o acesso à rede. Observe que a autenticação 802.1X para Wi-Fi está ativada por padrão e não exige configuração manual.

É possível selecionar um certificado (MIC/SUDI ou CDC) usado para a autenticação 802.1X. Para obter mais informações sobre o CDC, consulte o Certificado do dispositivo personalizado no Cisco Telefone sem fio 9821.

Você pode visualizar o status da transação e as configurações de segurança no menu da tela do telefone. Para obter mais informações, consulte o menu de configurações de segurança no telefone.

1

Ativar autenticação 802.1X.

Selecione Voz > Sistema. Na seção Autenticação 802.1X, defina o parâmetro Ativar autenticação 802.1X como Sim.

Você também pode configurar esse parâmetro no arquivo de configuração (cfg.XML):

<Enable_802.1X_Autenticação ua="rw">Yes</Enable_802.1X_Autenticação>

Valores válidos: Sim|Não

Padrão: No

2

Na seção Autenticação 802.1X, selecione um dos seguintes certificados instalados usados para a autenticação 802.1X na lista suspensa Selecionar certificado.

Opções de valor:

  • Fabricação instalada: MIC/SUDI.
  • Personalizado instalado: Certificado de dispositivo personalizado (CDC).

Você também pode configurar esse parâmetro no arquivo de configuração (cfg.XML):

<Certificate_Select ua="rw">Custom instalado</Certificate_Select>

Valores válidos: Fabricação instalada|Personalizado instalado

Padrão: Fabricação instalada

3

Configure o parâmetro ID do usuário que será usado como identidade para a autenticação 802.1X na rede com fio.

Essa configuração aplica-se somente quando você usa um Certificado de dispositivo personalizado (CDC) para autenticação 802.1X com fio, com o Certificado Selecionado definido como Personalizado instalado.

Você também pode configurar esse parâmetro no arquivo de configuração (cfg.XML):

<Wired_User_ID ua="></Wired_User_ID>

Valores válidos: máximo de 127 caracteres

Padrão: vazio

Esse parâmetro também suporta variáveis de expansão de macro. Consulte variáveis de expansão de macro para obter detalhes.

Se desejar provisionar o usuário ID utilizando uma combinação com opções de DHCP, consulte Provisionamento do usuário ID via DHCP opção 15.

4

Clique em Enviar todas as alterações.

Menu de configurações de segurança no telefone

Para visualizar as informações sobre as configurações de segurança no menu do telefone, acesse as Configurações 9821 Settings app icon aplicativo e selecione configurações de Administração> A configuração deSecurity> 802.1X Autenticação. A disponibilidade das informações depende das configurações de rede de sua organização.

Parâmetros

Opções

Padrão

Descrição

Autenticação do dispositivo

Ligada

Desativado

Desativado

Ativa ou desativa a autenticação 802.1X no telefone.

A configuração do parâmetro pode ser mantida após o registro de OOB (Out-Of-Box) do telefone.

Status da transação

Desativado

Exibe o estado de autenticação 802.1X. O estado pode ser (não limitado a):

  • Autenticando - Indica que o processo de autenticação está em andamento.
  • Autenticado – Indica que o telefone está autenticado.
  • Desativado – Indica que a autenticação 802.1x está desativada no telefone.
  • Conectando- Indica que o telefone está enviando EAP iniciar mensagens para o comutador a cada 30 segundos.
  • Adquirido — Indica que o comutador rejeitou a solicitação EAP do telefone e o telefone não recebe nenhum desafio EAP-TLS ou EAP-FAST no switch. O telefone está tentando novamente enviar solicitações de EAP.
  • Desconectado : indica que o cabo Ethernet foi desconectado.
  • Em espera — Indica que o comutador processou a solicitação EAP do telefone, mas rejeitou a autenticação EAP-FAST ou EAP-TLS. O telefone está tentando enviar solicitações de EAP.

Protocolo

Nenhuma

Exibe o método EAP usado para autenticação 802.1X. O protocolo pode ser EAP-FAST ou EAP-TLS.

Tipo de certificado do usuário

Fabricação instalada

Personalizado instalado

Fabricação instalada

Seleciona o certificado para a autenticação 802.1X durante a renovação inicial de registro e certificado.

  • Fabricação instalada—O SUDI (Secure Unique Device Identifier, identificador de dispositivo exclusivo seguro) é usado.
  • Personalizado instalado — O Certificado de dispositivo personalizado (CDC) é usado. Esse tipo de certificado pode ser instalado pelo carregamento manual na página da Web do telefone ou pela instalação de um servidor SCEP (Simple Certificate Enrollment Protocol).

Esse parâmetro aparece no telefone somente quando a autenticação do dispositivo está ativada.

Alterar as senhas do usuário e do administrador

No registro inicial com um sistema de controle de chamadas ou após uma redefinição de fábrica, você deve configurar as senhas de usuário e administrador ao acessar a página da Web de administração do telefone. Você pode atualizar essas credenciais a qualquer momento para manter a segurança do dispositivo.

As regras válidas de senha incluem as seguintes:

  • A senha deve conter de pelo menos 8 a 127 caracteres.
  • Uma combinação (três dos quatro tipos) de letra maiúscula, letra minúscula, número e caractere especial.
  • O espaço não é permitido.
1

Acesse a página da Web de administração do telefone.

2

Selecione Voz > Sistema.

3

(Opcional) Na seção Configuração do sistema, defina o parâmetro Exibir avisos de senha como Sim e clique em Enviar todas as alterações.

Você também pode ativar os parâmetros no arquivo de configuração do telefone (cfg.XML).

<Display_Password_Warnings ua="na">Yes</Display_Password_Warnings>

Padrão: Sim

Opções: Sim|Não

Se o parâmetro estiver definido como Não, o aviso de senha não aparecerá na tela do telefone.

4

Localize a senha do usuário do parâmetro ou a Senha Admin e clique em Alterar senha ao lado do parâmetro.

5

Digite a senha atual no campo Senha antiga.

6

Digite uma nova senha no campo Nova senha .

Se a nova senha não atender às regras de senha válidas, a configuração será negada.

7

Clique em Enviar.

A mensagem Senha foi alterada com êxito. será exibido na página da Web. A página da Web será atualizada em vários segundos.

Após definir a senha do usuário, este parâmetro exibe o seguinte no arquivo de configuração do telefone XML (cfg.XML):

<!-- <Admin_Password ua="na">*************</Admin_Password> <User_Password ua="rw">*************</User_Password> -->

Definir a versão mínima do TLS para cliente e servidor

Por padrão, a versão TLS mínima para cliente e servidor é 1.2. Isso significa que o cliente e o servidor aceitam estabelecer conexões com o TLS 1.2 ou superior. A versão máxima suportada de TLS para cliente e servidor é 1.3. Quando configurada, a versão mínima do TLS será usada para negociação entre o cliente TLS e o servidor TLS.

Você pode definir a versão mínima de TLS para cliente e servidor, respectivamente, como 1.1, 1.2 ou 1.3.

Antes de começar

Assegure-se de que o servidor TLS suporte a versão mínima TLS configurada. Você pode consultar o administrador do sistema de controle de chamadas.

1

Acesse a página da Web de administração do telefone.

2

Selecione Voz > Sistema.

3

Na seção Configurações de segurança, configure o parâmetro TLS Versão mín. do cliente.

  • TLS 1.1: O cliente TLS suporta as versões do TLS de 1.1 para 1.3.

    Se a versão TLS no servidor for inferior a 1.1, a conexão não poderá ser estabelecida.

  • TLS 1.2 (padrão): O cliente TLS suporta TLS 1.2 e 1.3.

    Se a versão TLS no servidor for inferior a 1.2, por exemplo, 1.1, a conexão não poderá ser estabelecida.

  • TLS 1.3: O cliente TLS suporta apenas o TLS 1.3.

    Se a versão TLS no servidor for inferior a 1.3, por exemplo, 1.2 ou 1.1, a conexão não poderá ser estabelecida.

    Se desejar definir o parâmetro "TLS Client Min Version" como "TLS 1.3", assegure-se de que o lado do servidor suporte TLS 1.3. Se o lado do servidor não suportar o TLS 1.3, isso pode causar problemas críticos. Por exemplo, as operações de provisionamento não podem ser realizadas nos telefones.

Você também pode configurar esse parâmetro no arquivo de configuração (cfg.XML):

<TLS_Client_Min_Version ua=">TLS 1.2</TLS_Client_Min_Version>

Valores permitidos: TLS 1.1, TLS1.2 e TLS 1.3.

Padrão: TLS 1.2

4

Na seção Configurações de segurança, configure o parâmetro TLS Versão mín. do servidor.

Webex Calling não suporta TLS 1.1.

  • TLS 1.1: O servidor TLS suporta as versões do TLS de 1.1 a 1.3.

    Se a versão TLS no cliente for inferior a 1.1, a conexão não poderá ser estabelecida.

  • TLS 1.2 (padrão): O servidor TLS suporta TLS 1.2 e 1.3.

    Se a versão TLS no cliente for inferior a 1.2, por exemplo, 1.1, a conexão não poderá ser estabelecida.

  • TLS 1.3: O servidor TLS suporta apenas TLS 1.3.

    Se a versão TLS no cliente for inferior a 1.3, por exemplo, 1.2 ou 1.1, a conexão não poderá ser estabelecida.

Você também pode configurar esse parâmetro no arquivo de configuração (cfg.XML):

<TLS_Server_Min_Version ua=">TLS 1,2</TLS_Server_Min_Version>

Valores permitidos: TLS 1.1, TLS1.2 e TLS 1.3.

Padrão: TLS 1.2

5

Clique em Enviar todas as alterações.

Ativar o modo iniciado pelo cliente para negociações de segurança de avião de mídia

Para proteger as sessões de mídia, você pode configurar o telefone para iniciar negociações de segurança de avião de mídia com o servidor. O mecanismo de segurança segue as normas declaradas no RFC 3329 e seu rascunho de ramal Nomes de mecanismos de segurança para mídia (consulte https://tools.ietf.org/html/draft-dawes-sipcore-mediasec-parameter-08#ref-2). O transporte de negociações entre o telefone e o servidor pode usar o protocolo SIP sobre UDP, TCP, e TLS. Você pode limitar que a negociação de segurança de avião de mídia seja aplicada somente quando o protocolo de transporte de sinalização for TLS.

Tabela 2. Parâmetros de negociação de segurança de avião de mídia
ParâmetroDescrição

Solicitação do MediaSec

Especifica se o telefone inicia negociações de segurança de avião de mídia com o servidor.

Execute um dos seguintes procedimentos:

  • No arquivo de configuração do telefone com XML (cfg.xml), insira uma string neste formato:

    <MediaSec_Request_1_ ua="na">Yes</MediaSec_Request_1_>
  • Na interface da Web do telefone, defina esse campo como Sim ou Não , conforme a necessidade.

Valores permitidos: Sim|Não

  • Sim — Modo iniciado pelo cliente. O telefone inicia negociações de segurança de avião de mídia.
  • Não — Modo iniciado pelo servidor. O servidor inicia negociações de segurança de avião de mídia. O telefone não inicia negociações, mas pode lidar com solicitações de negociação do servidor para estabelecer chamadas seguras.

Padrão: No

MediaSec sobre TLS apenas

Especifica o protocolo de transporte de sinalização sobre qual negociação de segurança de avião de mídia é aplicada.

Antes de definir esse campo para Sim, assegure-se de que o protocolo de transporte de sinalização seja TLS.

Execute um dos seguintes procedimentos:

  • No arquivo de configuração do telefone com XML (cfg.xml), insira uma string neste formato:

    <MediaSec_Over_TLS_Only_1_ ua=">Não</MediaSec_Over_TLS_Only_1_>

  • Na interface da Web do telefone, defina esse campo como Sim ou Não , conforme a necessidade.

Valores permitidos: Sim|Não

  • Sim — O telefone inicia ou trata das negociações de segurança de avião de mídia somente quando o protocolo de transporte de sinalização é TLS.
  • Não — O telefone inicia e lida com as negociações de segurança de avião de mídia, independentemente do protocolo de transporte de sinalização.

Padrão: No

1

Acesse a página da Web de administração do telefone.

2

Selecione Voz > Ramal (n).

3

Na seçãoSIP Configurações , defina os campos Solicitação MediaSec e MediaSec sobre TLS Somente, conforme definido na tabela acima.

4

Clique em Enviar todas as alterações.

Este artigo foi útil?
Este artigo foi útil?