Instalarea manuală a certificatului de dispozitiv particularizat

Puteți instala manual un certificat de dispozitiv particularizat (CDC) pe telefon, încărcând certificatul de pe pagina web de administrare a telefonului.

nainte de a începe

Înainte de a putea instala un certificat de dispozitiv particularizat pentru un telefon, trebuie să aveți:

  • Un fișier certificat (.p12 sau .pfx) salvat pe PC. Fișierul conține certificatul și cheia privată.
  • Extrasul parolei certificatului. Parola este utilizată pentru a decripta fișierul certificat.
1

Accesați pagina web de administrare a telefonului.

2

Selectați Certificat.

3

În secțiunea Add Certificate ( Adăugare certificat ), faceți clic pe Browse....

4

Răsfoiți până la certificatul de pe PC.

5

În câmpul Parolă de extragere, introduceți parola de extragere a certificatului.

6

Faceți clic pe Încărcare.

Dacă fișierul certificatului și parola sunt corecte, veți primi mesajul "Certificat adăugat.". În caz contrar, încărcarea eșuează cu un mesaj de eroare care indică faptul că certificatul nu poate fi încărcat.
7

Pentru a verifica detaliile certificatului instalat, faceți clic pe Vizualizare în secțiunea Certificate existente.

8

Pentru a elimina certificatul instalat de pe telefon, faceți clic pe Ștergere în secțiunea Certificate existente.

După ce faceți clic pe buton, operațiunea de eliminare începe imediat, fără o confirmare.

Dacă certificatul este eliminat cu succes, veți primi mesajul "Certificat șters.".

Instalați automat certificatul de dispozitiv personalizat prin SCEP

Puteți configura parametrii Simple Certificate Enrollment Protocol (SCEP) pentru a instala automat Custom Device Certificate (CDC), dacă nu doriți să încărcați manual fișierul certificat sau dacă nu aveți fișierul certificat în loc.

Când parametrii SCEP sunt configurați corect, telefonul trimite solicitări către serverul SCEP, iar certificatul CA este validat de dispozitiv utilizând amprenta definită.

nainte de a începe

Înainte de a putea efectua o instalare automată a unui certificat de dispozitiv particularizat pentru un telefon, trebuie să aveți:

  • Adresa serverului SCEP
  • Amprenta SHA-1 sau SHA-256 a certificatului CA rădăcină pentru serverul SCEP
1

Accesați pagina web de administrare a telefonului.

2

Selectați Certificat.

3

În secțiunea SCEP Configuration 1 , setați parametrii descriși în tabelul următor Parametri pentru configurația SCEP.

4

Faceți clic pe Trimitere toate modificările.

Parametri pentru configurarea SCEP

Următorul tabel definește funcția și utilizarea parametrilor de configurare SCEP în secțiunea SCEP Configuration 1 din fila Certificat din interfața Web a telefonului. De asemenea, definește sintaxa șirului care este adăugat în fișierul de configurare a telefonului (cfg.xml) pentru a configura un parametru.

Tabelul 1. Parametri pentru configurarea SCEP
ParametruDescriere
Server

Adresa serverului SCEP. Acest parametru este obligatoriu.

Efectuaţi una din activităţile următoare:

  • În fișierul de configurare a telefonului cu XML (cfg.xml), introduceți un șir în acest format:

    <CDC_Server_1_ ua="na">http://10.79.57.91</CDC_Server_1_>

  • În pagina Web a telefonului, introduceți adresa serverului SCEP.

Valori valide: o adresă URL sau IP. Schema HTTPS nu este acceptată.

Valoarea prestabilită: necompletată

Amprentă CA rădăcină

Amprenta SHA256 sau SHA1 a Root CA pentru validare în timpul procesului SCEP. Acest parametru este obligatoriu.

Efectuaţi una din activităţile următoare:

  • În fișierul de configurare a telefonului cu XML (cfg.xml), introduceți un șir în acest format:

    <CDC_Root_CA_Fingerprint_1_ ua="na">12040870625C5B755D73F5925285F8F5FF5D55AF</CDC_Root_CA_Fingerprint_1_>

  • În pagina web a telefonului, introduceți o amprentă validă.

Valoarea prestabilită: necompletată

Parola provocării

Parola de provocare pentru autorizarea Certificate Authority (CA) împotriva telefonului în timpul unei înscrieri a certificatului prin SCEP. Acest parametru este opțional.

În funcție de mediul SCEP real, comportamentul parolei de provocare variază.

  • Dacă telefonul primește un certificat de la un Cisco RA care comunică cu CA, parola provocării nu este acceptată de CA. În acest caz, Cisco RA utilizează MIC/SUDI al telefonului pentru autentificare pentru a accesa CA. Telefonul utilizează MIC/SUDI atât pentru înscrierea inițială, cât și pentru reînnoirea certificatului.
  • Dacă telefonul primește un certificat comunicând direct cu CA, parola provocării este acceptată pe CA. Dacă este configurat, acesta va fi utilizat numai pentru înscrierea inițială. Pentru reînnoirea certificatului, se va utiliza în schimb certificatul instalat.

Efectuaţi una din activităţile următoare:

  • În fișierul de configurare a telefonului cu XML (cfg.xml), introduceți un șir în acest format:

    <CDC_Challenge_Password_1_ ua="na"></CDC_Challenge_Password_1_>

    Parola este mascată în fișierul de configurare.

  • În pagina web a telefonului, introduceți parola provocării.

Valoarea prestabilită: necompletată

Configurarea parametrilor SCEP prin DHCP opțiunea 43

În plus față de înregistrarea certificatului SCEP prin configurațiile manuale de pe pagina web a telefonului, puteți utiliza și opțiunea DHCP 43 pentru a popula parametrii de pe un server DHCP. Opțiunea DHCP 43 este preconfigurată cu parametrii SCEP, ulterior telefonul poate prelua parametrii de la serverul DHCP pentru a efectua înscrierea certificatului SCEP.

  • Configurarea parametrilor SCEP prin DHCP opțiunea 43 este disponibilă numai pentru telefonul la care se efectuează o resetare la setările din fabrică.
  • Telefoanele nu vor fi plasate în rețeaua care acceptă atât opțiunea 43, cât și asigurarea accesului la distanță (de exemplu, opțiunea 66,160,159,150 sau asigurarea accesului în cloud). În caz contrar, este posibil ca telefoanele să nu primească configurațiile Option 43.

Pentru a înscrie un certificat SCEP configurând parametrii SCEP în opțiunea DHCP 43, procedați astfel:

  1. Pregătiți un mediu SCEP.

    Pentru informații despre configurarea mediului SCEP, consultați documentația serverului SCEP.

  2. Configurați DHCP opțiunea 43 (definită în 8.4 Informații specifice furnizorului, RFC 2132).

    Subopțiunile (10-15) sunt rezervate metodei:

    Parametru pe pagina web a telefonuluiSubopțiuneTipLungime (octet)Obligatoriu
    Modul FIPS10boolean1Nu*
    Server11șir208 - lungime (Challenge Password)Da
    Amprentă CA rădăcină12binar20 sau 32Da
    Parola provocării13șir208 - lungime (Server)Nu*
    Activarea autentificării 802.1X14boolean1Nu
    Selectare certificat15Nesemnat pe 8 biți1Nu

    Când utilizați opțiunea DHCP 43, observați următoarele caracteristici ale metodei:

    • Subopțiunile (10–15) sunt rezervate pentru Certificatul de dispozitiv personalizat (CDC).
    • Lungimea maximă a opțiunii DHCP 43 este de 255 octeți.
    • Lungimea maximă a parolei server + provocare trebuie să fie mai mică de 208 octeți.
    • Valoarea modului FIPS trebuie să fie în concordanță cu configurația de asigurare a accesului la integrare. În caz contrar, telefonul nu reușește să recupereze certificatul instalat anterior după integrare. Special
      • Dacă telefonul va fi înregistrat într-un mediu în care modul FIPS este dezactivat, nu este necesar să configurați parametrul Mod FIPS în opțiunea DHCP 43. În mod implicit, modul FIPS este dezactivat.
      • Dacă telefonul va fi înregistrat într-un mediu în care modul FIPS este activat, trebuie să activați modul FIPS în opțiunea DHCP 43. Consultați Activarea modului FIPS pentru detalii.
    • Parola din opțiunea 43 este în text clar.

      Dacă parola provocării este goală, telefonul utilizează MIC/SUDI pentru înscrierea inițială și reînnoirea certificatului. Dacă parola de provocare este configurată, aceasta este utilizată numai pentru înscrierea inițială, iar certificatul instalat va fi utilizat pentru reînnoirea certificatului.

    • Enable 802.1X Authentication (Activare autentificare 802.1X) și Certificate Select (Selectare certificat) sunt utilizate numai pentru telefoanele din rețeaua cu fir.
    • DHCP opțiune 60 (Identificator clasă furnizor) este utilizată pentru a identifica modelul dispozitivului.

    Următorul tabel oferă un exemplu de DHCP opțiunea 43 (subopțiunile 10–15):

    Subopțiune zecimal/hexazecimalLungimea valorii (octet) zecimal/hexazecimalValoareValoare hexagonală
    10/0a1/011 (0: Dezactivat; 1: Activat)01
    11/0b18/12http://10.79.57.91687474703a2f2f31302e37392e35372e3931
    12/0C20/1412040870625C5B755D73F5925285F8F5FF5D55AF12040870625C5B755D73F5925285F8F5FF5D55AF
    13/0d16/10D233CCF9B9952A1544323333434346394239393532413135
    14/0e1/011 (0: Nu; 1: Da)01
    15/0f1/011 (0: Producție instalată; 1: Personalizat instalat) 01

    Rezumatul valorilor parametrilor:

    • Mod FIPS = Activat

    • Server = http://10.79.57.91

    • Amprentă CA rădăcină = 12040870625C5B755D73F5925285F8F5FF5D55AF

    • Parola provocării = D233CCF9B9952A15

    • Activați autentificarea 802.1X = Da

    • Certificate Select = Personalizat instalat

    Sintaxa valorii hexazecimale finale este: {<suboption><length><value>}...

    Conform valorilor parametrilor de mai sus, valoarea hexazecimală finală este următoarea:

    0a01010b12687474703a2f2f31302e37392e35372e39310c1412040870625C5B755D73F5925285F8F5FF5D55AF0d10443233334343463942393935324131350e01010f0101

  3. Configurați opțiunea DHCP 43 pe un server DHCP.

    Acest pas oferă un exemplu de configurații ale opțiunii DHCP 43 din Cisco Network Register.

    1. Adăugați DHCP set de definiții de opțiuni.

      Șirul de opțiuni al furnizorului este numele modelului pentru telefoanele IP. Valoarea validă este: DP-9841, DP-9851, DP-9861, DP-9871 sau CP-8875.

    2. Adăugați opțiunea DHCP 43 și subopțiunile la setul de definiții de opțiuni DHCP.

      Exemplu:

      Captură de ecran cu definițiile opțiunii 43 DHCP Cisco Network Register

    3. Adăugați opțiunile 43 la politica DHCP și configurați valoarea după cum urmează:

      Exemplu:

      (10 1)(11 http://10.79.57.91)(12 12040870625C5B755D73F5925285F8F5FF5D55AF)(13 D233CCF9B9952A15)(14 1)(15 1)

    4. Verificați setările. Puteți utiliza Wireshark pentru a captura o urmă a traficului de rețea între telefon și serviciu.
  4. Efectuați o resetare la setările din fabrică a telefonului.

    După resetarea telefonului, parametrii Server, Root CA Fingerprint și Challenge Password vor fi completați automat. Acești parametri se găsesc în secțiunea SCEP Configuration 1 din Certificate > Custom de pe pagina web de administrare a telefonului.

    Pentru a verifica detaliile certificatului instalat, faceți clic pe Vizualizare în secțiunea Certificate existente.

    Pentru a verifica starea instalării certificatului, selectați Status > Custom Cert Status. Starea descărcării 1 afișează cel mai recent rezultat. Dacă apare vreo problemă în timpul înscrierii certificatului, starea descărcării poate afișa motivul problemei în scopul depanării.

    Dacă autentificarea cu parolă a provocării eșuează, utilizatorilor li se va solicita să introducă parola pe ecranul telefonului.
  5. (Opțional): Pentru a elimina certificatul instalat de pe telefon, faceți clic pe Ștergere în secțiunea Certificate existente.
    După ce faceți clic pe buton, operațiunea de eliminare începe imediat, fără o confirmare.

Reînnoirea certificatului de către SCEP

Certificatul dispozitivului poate fi reîmprospătat automat prin procesul SCEP.

  • Telefonul verifică dacă certificatul va expira în 15 zile la fiecare 4 ore. În acest caz, telefonul pornește automat procesul de reînnoire a certificatului.
  • Dacă parola provocării este goală, telefonul utilizează MIC/SUDI atât pentru înscrierea inițială, cât și pentru reînnoirea certificatului. Dacă parola de provocare este configurată, este utilizată numai pentru înscrierea inițială, certificatul existent/instalat este utilizat pentru reînnoirea certificatului.
  • Telefonul nu scoate certificatul vechi al dispozitivului până când nu îl regăsește pe cel nou.
  • Dacă reînnoirea certificatului nu reușește deoarece certificatul dispozitivului sau CA expiră, telefonul declanșează automat înscrierea inițială. Între timp, dacă autentificarea cu parolă a provocării eșuează, pe ecranul telefonului apare un ecran de introducere a parolei, iar utilizatorilor li se solicită să introducă parola provocării pe telefon.

Activarea modului FIPS

Puteți face un telefon conform cu Standardele federale de procesare a informațiilor (FIPS).

FIPS este un set de standarde care descriu procesarea documentelor, algoritmii de criptare și alte standarde ale tehnologiei informației pentru utilizarea în cadrul guvernului non-militar și de către contractorii guvernamentali și furnizorii care lucrează cu agențiile. CiscoSSL FOM (FIPS Object Module) este o componentă software atent definită și proiectată pentru compatibilitatea cu biblioteca CiscoSSL, astfel încât produsele care utilizează biblioteca și API CiscoSSL pot fi convertite pentru a utiliza criptografia validată FIPS 140-2 cu un efort minim.

1

Accesați pagina web de administrare a telefonului.

2

Selectați Voce > Sistem.

3

În secțiunea Setări de securitate, alegeți Da sau Nu din parametrul Mod FIPS.

4

Faceți clic pe Trimitere toate modificările.

Când activați FIPS, următoarele caracteristici funcționează perfect pe telefon:
  • Autentificarea pentru imagini
  • Stocare securizată
  • Criptarea fișierelor de configurare
  • TLS:
    • HTTP-uri
    • Încărcare PRT
    • Actualizare firmware
    • Resincronizarea profilului
    • Service la bord
    • Webex onboarding
    • SIP peste TLS
    • 802.1x (cu fir)
  • Rezumat SIP (RFC 8760)
  • SRTP
  • Webex jurnalele de apeluri și directorul Webex
  • Un singur buton de apăsat (OBTP)

Eliminarea manuală a unui certificat de securitate

Puteți să eliminați manual un certificat de securitate de pe un telefon dacă Simple Certificate Enrollment Protocol (SCEP) nu este disponibil.

1

Din pagina web de administrare a telefonului, selectați Certificate.

2

Găsiți certificatul în pagina Certificate.

3

Faceți clic pe Ștergere.

4

Reporniți telefonul după finalizarea procesului de ștergere.

Setarea parolei de utilizator și de administrator

După ce telefonul este înregistrat pentru prima dată într-un sistem de control al apelurilor sau după ce efectuați o resetare la setările din fabrică a telefonului, trebuie să setați parola de utilizator și de administrator pentru a spori securitatea telefonului. Numai atunci când parola este setată, puteți trimite modificările de pe pagina web a telefonului.

În mod implicit, avertismentul fără parolă este activat pe telefon. Când telefonul nu are nicio parolă de utilizator sau de administrator, se afișează următoarele avertismente:

  • Pagina web a telefonului afișează mesajul "Nu este furnizată nicio parolă de administrator. Web-ul este în modul doar în citire și nu puteți trimite modificări. Vă rugăm să schimbați parola." în colțul din stânga sus.

    Câmpurile Parolă utilizator și Parolă administrator afișează avertismentul "Nu s-a furnizat nicio parolă", dacă este gol.

  • Ecranul telefonului Probleme și diagnosticare afișează problema "Nu este furnizată parola".
1

Accesarea paginii web de administrare a telefonului

2

Selectați Voce > Sistem.

3

(Opțional) În secțiunea System Configuration (Configurație sistem), setați parametrul Display Password Warnings (Afișare avertismente parolă) la Yes ( Da), apoi faceți clic peSubmit All Changes (Trimitere toate modificările ).

De asemenea, puteți activa parametrii din fișierul de configurare a telefonului (cfg.xml).

<Display_Password_Warnings ua="na">Da</Display_Password_Warnings>

Valoarea prestabilită: Da

Opțiuni: Da |Nu

Când parametrul este setat la Nu, avertismentul de parolă nu apare nici pe pagina web, nici pe ecranul telefonului. De asemenea, modul gata pentru pagina web nu va fi activat, chiar dacă parola este goală.

4

Găsiți parametrul Parolă utilizator sau Parolă administrator și faceți clic pe Modificare parolă lângă parametru.

5

Introduceți parola de utilizator curentă în câmpul Parolă veche.

Dacă nu aveți o parolă, păstrați câmpul gol. Valoarea prestabilită este necompletată.
6

Introduceți o parolă nouă în câmpul Parolă nouă.

7

Faceţi clic pe Submit (Trimitere).

Mesajul Parola a fost modificat cu succes. se va afișa în pagina web. Pagina web se va reîmprospăta în câteva secunde. Avertismentul de lângă parametri va dispărea.

După ce setați parola utilizatorului, acest parametru afișează următoarele în configurația telefonului XML fișier (cfg.xml):

<!-- <Admin_Password ua="na">*************</Admin_Password> <User_Password ua="rw">*************</User_Password> -->

Dacă primiți codul de eroare 403 atunci când încercați să accesați pagina web a telefonului, trebuie să setați parola de utilizator sau de administrator prin asigurarea accesului în fișierul de configurare a telefonului (cfg.xml). De exemplu, introduceți un șir în acest format:

<Admin_Password ua="na">P0ssw0rd_tes89</Admin_Password>

<User_Password ua="rw">Abc123</User_Password>

Autentificarea 802.1X

Telefoanele Cisco IP acceptă autentificarea 802.1X.

Telefoanele Cisco IP și switch-urile Cisco Catalyst utilizează în mod tradițional Cisco Discovery Protocol (CDP) pentru a se identifica reciproc și pentru a determina parametrii, cum ar fi alocarea VLAN și cerințele de alimentare în linie. CDP nu identifică stațiile de lucru atașate local. Telefoanele Cisco IP oferă un mecanism de transfer EAPOL. Acest mecanism permite unei stații de lucru atașate la telefonul Cisco IP să transmită mesaje EAPOL către autentificatorul 802.1X de la switch-ul LAN. Mecanismul de transmisie garantează faptul că telefonul IP nu acționează ca switch LAN pentru a autentifica un punct final de date înainte de a accesa rețeaua.

Telefoanele Cisco IP oferă, de asemenea, un mecanism proxy de deconectare de la EAPOL. Dacă PC-ul atașat local se deconectează de la telefonul IP, switch LAN nu vede eșecul legăturii fizice, deoarece legătura dintre switch-ul LAN și telefonul IP este păstrată. Pentru a evita compromiterea integrității rețelei, telefonul IP trimite un mesaj EAPOL-Logoff către switch în numele PC-ului din aval, care declanșează switch-ul LAN pentru a elimina intrarea de autentificare pentru PC-ul din aval.

Acceptarea autentificării 802.1X necesită mai multe componente:

  • Telefonul Cisco IP: telefonul inițiază solicitarea de a accesa rețeaua. Telefoanele Cisco IP conțin un solicitant 802.1X. Acest solicitant permite administratorilor de rețea să controleze conectivitatea telefoanelor IP la porturile switch-ului LAN. Versiunea curentă a solicitantului 802.1X de pe telefon utilizează opțiunile EAP-FAST și EAP-TLS pentru autentificarea în rețea.

  • Server de autentificare: Serverul de autentificare și comutatorul trebuie să fie configurate cu un secret partajat care autentifică telefonul.

  • Switch: switch-ul trebuie să accepte 802.1X, astfel încât să poată acționa ca autentificator și să poată transmite mesajele între telefon și serverul de autentificare. După finalizarea schimbului, switch-ul acordă sau respinge accesul telefonului în rețea.

Trebuie să efectuați următoarele acțiuni pentru a configura 802.1X.

  • Configurați celelalte componente înainte de a activa autentificarea 802.1X pe telefon.

  • Configurarea portului PC: standardul 802.1X nu ia în considerare VLAN-urile și, prin urmare, recomandă ca numai un singur dispozitiv să fie autentificat la un port de switch specific. Cu toate acestea, unele switch-uri acceptă autentificarea în mai multe domenii. Configurația switch-ului stabilește dacă puteți conecta un PC la portul PC al telefonului.

    • Activat: Dacă utilizați un switch care acceptă autentificarea în mai multe domenii, puteți să activați portul PC și să conectați un PC la acesta. În acest caz, telefoanele Cisco IP acceptă EAPOL-Logoff proxy pentru a monitoriza schimburile de autentificare dintre switch și PC-ul atașat.

      Pentru mai multe informații despre acceptarea IEEE 802.1X pe switch-urile Cisco Catalyst, consultați ghidurile de configurare a switch-urilor Cisco Catalyst, de la:

      http://www.cisco.com/en/US/products/hw/switches/ps708/tsd_products_support_series_home.html

    • Dezactivat: dacă switch-ul nu acceptă mai multe dispozitive compatibile cu 802.1X pe același port, trebuie să dezactivați portul PC când este activată autentificarea 802.1X. Dacă nu dezactivați acest port și apoi încercați să atașați un PC la acesta, switch-ul respinge accesul în rețea atât pentru telefon, cât și pentru PC.

  • Configurare VLAN vocal: deoarece standardul 802.1X nu ține cont de VLAN-uri, trebuie să configurați această setare pe baza compatibilității switch-ului.
    • Activat: dacă utilizați un switch care acceptă autentificarea în mai multe domenii, puteți continua să utilizați VLAN-ul vocal.
    • Dezactivat: dacă switch-ul nu acceptă autentificarea în mai multe domenii, dezactivați VLAN-ul vocal și luați în considerare atribuirea portului către VLAN-ul nativ.
  • (Numai pentru Cisco Desk Phone seria 9800)

    Cisco Desk Phone seria 9800 are un prefix diferit în PID față de cel pentru celelalte telefoane Cisco. Pentru a permite telefonului să treacă autentificarea 802.1X, setați Radius · User-Name pentru a include Cisco Desk Phone seria 9800.

    De exemplu, PID-ul telefonului 9841 este DP-9841; puteți seta raza· Nume de utilizator pentru a începe cu DP sau Conține DP. Îl puteți seta în ambele secțiuni următoare:

    • Politică > Condiții > Condiții de bibliotecă

    • Politici > Seturi de politici > Politică de autorizare> Regula de autorizare 1

Activarea autentificării 802.1X

Când autentificarea 802.1X este activată, telefonul utilizează autentificarea 802.1X pentru a solicita acces la rețea. Când autentificarea 802.1X este dezactivată, telefonul utilizează Cisco Discovery Protocol (CDP) pentru a obține VLAN și acces la rețea. De asemenea, puteți vizualiza starea tranzacției și modificarea în meniul ecranului telefonului.

Când autentificarea 802.1X este activată, puteți selecta și certificatul dispozitivului (MIC/SUDI sau personalizat) pentru înscrierea inițială și reînnoirea certificatului. De obicei, MIC este pentru Cisco Video Phone 8875, SUDI este pentru Cisco Desk Phone seria 9800. CDC poate fi utilizat pentru autentificare numai în 802.1x.

1

Efectuați una dintre următoarele acțiuni pentru a activa autentificarea 802.1X:

  • În telefonul web interfață, selectați Voce > Sistem și setați parametrul Activare autentificare 802.1X la Da. Apoi, faceți clic pe Trimiteți toate modificările.
  • În fișierul de configurare (cfg.xml), introduceți un șir în acest format:

    <Enable_802.1X_Authentication ua="rw">Da</Enable_802.1X_Authentication>

    Valori valide: Da|Nu

    Implicit: nu

  • Pe telefon, apăsați Setări the Settings hard keyși navigați la Setări de rețea și serviciu > Securitate > Autentificare 802.1X. Comutați câmpul Autentificare dispozitiv la Activat, apoi selectați Aplicare.
Tabelul 2. Parametri pentru autentificarea 802.1X pe ecranul telefonului

Parametri

Opţiuni

Default

Descriere

Autentificarea dispozitivelor

Activat

Dezactivat

Dezactivat

Activați sau dezactivați autentificarea 802.1X pe telefon.

Stare tranzacţie

Dezactivate

Afișează starea autentificării 802.1X. Statul poate fi (fără a se limita la):

  • Autentificare: Indică faptul că procesul de autentificare este în desfășurare.
  • Autentificat: Indică faptul că telefonul este autentificat.
  • Dezactivat: Indică faptul că autentificarea 802.1x este dezactivată pe telefon.

Protocol

Fără

Afișează metoda EAP utilizată pentru autentificarea 802.1X. Protocolul poate fi EAP-FAST sau EAP-TLS.

Tipul certificatului de utilizator

Producție instalată

Instalat personalizat

Producție instalată

Alegeți certificatul pentru autentificarea 802.1X în timpul înscrierii inițiale și reînnoirii certificatului.

  • Fabricație instalată - Se utilizează certificatul instalat de producție (MIC) și identificatorul unic de dispozitiv securizat (SUDI).
  • Instalat personalizat - Se utilizează certificatul de dispozitiv personalizat (CDC). Acest tip de certificat poate fi instalat fie prin încărcare manuală pe pagina web a telefonului, fie prin instalare de pe un server SCEP (Simple Certificate Enrollment Protocol).

Acest parametru apare pe telefon numai atunci când autentificarea dispozitivului este activată.

2

Selectați un certificat (MIC sau personalizat) pentru autentificarea 802.1X pe pagina web a telefonului.

  • Pentru rețeaua cu fir, selectați Voce > Sistem, alegeți un tip de certificat din lista verticală Selectare certificat în secțiunea Autentificare 802.1X.

    De asemenea, puteți configura acest parametru în fișierul de configurare (cfg.xml):

    <Certificate_Select ua="rw">Instalat personalizat</Certificate_Select>

    Valori valide: Producție instalată|Instalat personalizat

    Implicit: Producție instalată

  • Pentru rețeaua wireless, selectați Voce>Sistem, alegeți un tip de certificat din lista verticală Selectare certificat în secțiunea Wi-Fi Profil 1.

    De asemenea, puteți configura acest parametru în fișierul de configurare (cfg.xml):

    <Wi-Fi_Certificate_Select_1_ ua="rw">Instalat personalizat</Wi-Fi_Certificate_Select_1_>

    Valori valide: Producție instalată|Instalat personalizat

    Implicit: Producție instalată

Pentru informații despre cum să selectați un tip de certificat pe ecranul telefonului, consultați Conectarea telefonului la o rețea Wi-Fi.

Configurarea unui server proxy

Puteți configura telefonul pentru a utiliza un server proxy pentru a spori securitatea. De obicei, un server proxy HTTP poate furniza următoarele servicii:

  • Rutarea traficului între rețelele interne și externe
  • Filtrarea, monitorizarea sau înregistrarea traficului
  • Memorarea în cache a răspunsurilor pentru a îmbunătăți performanța

De asemenea, serverul proxy HTTP poate acționa ca un firewall între telefon și Internet. După o configurare reușită, telefonul se conectează la Internet prin serverul proxy care protejează telefonul de atacurile cibernetice.

Când este configurată, caracteristica proxy HTTP se aplică tuturor aplicațiilor care utilizează protocolul HTTP. De exemplu:

  • GDS (Cod de activare la bord)
  • Activarea dispozitivului EDOS
  • Integrarea în Webex Cloud (prin EDOS sau GDS)
  • Autoritate de certificare personalizată
  • Pregătire
  • Upgrade firmware
  • Raport stare telefon
  • Încărcare PRT
  • Servicii XSI
  • Servicii Webex

În prezent, caracteristica acceptă doar IPv4.

1

Accesați pagina web de administrare a telefonului.

2

Selectați Voce > Sistem.

3

În secțiunea Setări proxy HTTP, selectați un mod proxy din lista derulantă Modul proxy și configurați parametrii asociați.

Pentru fiecare mod proxy, parametrii necesari sunt diferiți. Vedeți detalii în tabelul următor:
Modul proxyParametrii necesariDescriere
DezactivatNAProxy HTTP este dezactivat pe telefon.
ManualGazdă proxy

Proxy Port

Autentificare proxy: Da

Nume de utilizator

Parolă

Specificați manual un server proxy (un nume de gazdă sau o adresă IP) și un port proxy. Dacă serverul proxy necesită autentificare, trebuie să introduceți în continuare numele de utilizator și parola.
Gazdă proxy

Proxy Port

Autentificare proxy: Nu

Specificați manual un server proxy. Serverul proxy nu necesită acreditări de autentificare.
AutoWeb Proxy Auto Discovery: Nu

PAC URL

Introduceți un URL PAC valid pentru a regăsi fișierul PAC.
Web Proxy Auto Discovery: Da

Utilizează protocolul WPAD pentru a regăsi automat un fișier PAC.

Pentru mai multe informații despre parametri, consultați Parametrii pentru setările proxy HTTP.

4

Faceți clic pe Trimitere toate modificările.

Parametri pentru setările proxy HTTP

Următorul tabel definește funcția și utilizarea parametrilor proxy HTTP în secțiunea Setări proxy HTTP din fila Voce > Sistem din interfața Web a telefonului. De asemenea, definește sintaxa șirului care este adăugat în fișierul de configurare a telefonului (cfg.xml) cu codul XML pentru configurarea unui parametru.

ParametruDescriere
Modul proxySpecifică modul proxy HTTP utilizat de telefon sau dezactivează caracteristica proxy HTTP.
  • Auto

    Telefonul regăsește automat un fișier de configurare automată proxy (PAC) pentru a selecta un server proxy. În acest mod, aveți posibilitatea să determinați dacă utilizați protocolul Web Proxy Auto Discovery (WPAD) pentru a regăsi un fișier PAC sau introduceți manual un URL valid al fișierului PAC.

    Pentru detalii despre parametri, consultați parametrii "Web Proxy Auto Discovery" și "PAC URL" din acest tabel.

  • Manual

    Trebuie să specificați manual un server (nume de gazdă sau IP adresă) și un port al unui server proxy.

    Pentru detalii despre parametri, consultați Gazdă proxy și Port proxy.

  • Dezactivat

    Dezactivați caracteristica proxy HTTP pe telefon.

Efectuaţi una din activităţile următoare:

  • În fișierul de configurare a telefonului cu XML (cfg.xml), introduceți un șir în acest format:

    <Proxy_Mode ua="rw">Off</Proxy_Mode>

  • Pe interfața Web a telefonului, selectați un mod proxy sau dezactivați caracteristica.

Valori permise: Automat, Manual și Dezactivat

Implicit: Dezactivat

Web Proxy Auto DiscoveryDetermină dacă telefonul utilizează protocolul Web Proxy Auto Discovery (WPAD) pentru a regăsi un fișier PAC.

Protocolul WPAD utilizează DHCP sau DNS sau ambele protocoale de rețea pentru a localiza automat un fișier Proxy Auto Configuration (PAC). PAC fișier este utilizat pentru a selecta un server proxy pentru un URL dat. Acest fișier poate fi găzduit local sau într-o rețea.

  • Configurația parametrilor are efect atunci când Modul proxy este setat la Auto.
  • Dacă setați parametrul la Nu, trebuie să specificați un URL PAC.

    Pentru detalii despre parametru, consultați parametrul "PAC URL" din acest tabel.

Efectuaţi una din activităţile următoare:

  • În fișierul de configurare a telefonului cu XML (cfg.xml), introduceți un șir în acest format:

    <Web_Proxy_Auto_Discovery ua="rw">Da</Web_Proxy_Auto_Discovery>

  • Pe interfața Web a telefonului, selectați Da sau Nu , după cum este necesar.

Valori permise: Da și Nu

Valoarea prestabilită: Da

PAC URLAdresa URL a unui fișier PAC.

De exemplu, http://proxy.department.branch.example.com

TFTP, HTTP și HTTPS sunt acceptate.

Dacă setați modul proxy la descoperire automată și descoperire automată proxy web la nu , trebuie să configurațiacest parametru.

Efectuaţi una din activităţile următoare:

  • În fișierul de configurare a telefonului cu XML (cfg.xml), introduceți un șir în acest format:

    <PAC_URL ua="rw">http://proxy.department.branch.example.com/pac</PAC_URL>

  • Pe interfața Web a telefonului, introduceți un URL valid care localizează într-un fișier PAC.

Valoarea prestabilită: necompletată

Gazdă proxyIP adresa sau numele de gazdă al serverului gazdă proxy pentru accesarea telefonului. De exemplu:

proxy.example.com

Schema (http:// sau https://) nu este necesară.

Dacă setați modul proxy la Manual, trebuie să configurați acest parametru.

Efectuaţi una din activităţile următoare:

  • În fișierul de configurare a telefonului cu XML (cfg.xml), introduceți un șir în acest format:

    <Proxy_Host ua="rw">proxy.example.com</Proxy_Host>

  • Pe interfața Web a telefonului, introduceți o adresă IP sau un nume de gazdă al serverului proxy.

Valoarea prestabilită: necompletată

Proxy PortNumărul portului serverului gazdă proxy.

Dacă setați modul proxy la Manual, trebuie să configurați acest parametru.

Efectuaţi una din activităţile următoare:

  • În fișierul de configurare a telefonului cu XML (cfg.xml), introduceți un șir în acest format:

    <Proxy_Port ua="rw">3128</Proxy_Port>

  • În interfața Web a telefonului, introduceți un port de server.

Implicit: 3128

Autentificare proxyDetermină dacă utilizatorul trebuie să furnizeze acreditările de autentificare (nume de utilizator și parolă) necesare serverului proxy. Acest parametru este configurat în funcție de comportamentul real al serverului proxy.

Dacă setați parametrul la Da, trebuie să configurați numele de utilizator și parola.

Pentru detalii despre parametri, consultați parametrul "Nume utilizator" și "Parolă" din acest tabel.

Configurația parametrilor are efect atunci când Modul proxy este setat la Manual .

Efectuaţi una din activităţile următoare:

  • În fișierul de configurare a telefonului cu XML (cfg.xml), introduceți un șir în acest format:

    <Proxy_Authentication ua="rw">No</Proxy_Authentication>

  • Pe interfața Web a telefonului, setați acest câmp Da sau Nu , după cum este necesar.

Valori permise: Da și Nu

Implicit: nu

Nume de utilizatorNume de utilizator pentru un utilizator de acreditare pe serverul proxy.

Dacă Modul proxy este setat la Manual și autentificarea proxy este setată la Da, trebuie să configurați parametrul.

Efectuaţi una din activităţile următoare:

  • În fișierul de configurare a telefonului cu XML (cfg.xml), introduceți un șir în acest format:

    <Proxy_Username ua="rw">Exemplu</Proxy_Username>

  • În interfața Web a telefonului, introduceți numele de utilizator.

Valoarea prestabilită: necompletată

ParolăParola numelui de utilizator specificat în scopul autentificării proxy.

Dacă Modul proxy este setat la Manual și autentificarea proxy este setată la Da, trebuie să configurați parametrul.

Efectuaţi una din activităţile următoare:

  • În fișierul de configurare a telefonului cu XML (cfg.xml), introduceți un șir în acest format:

    <Proxy_Password ua="rw">Exemplu</Proxy_Password>

  • Pe interfața Web a telefonului, introduceți o parolă validă pentru autentificarea proxy a utilizatorului.

Valoarea prestabilită: necompletată

Activați modul inițiat de client pentru negocierile de securitate ale planului media

Pentru a proteja sesiunile media, puteți configura telefonul pentru a iniția negocieri de securitate a planului media cu serverul. Mecanismul de securitate respectă standardele menționate în RFC 3329 și proiectul său de extindere a numelor mecanismelor de securitate pentru mass-media (a se vedea https://tools.ietf.org/html/draft-dawes-sipcore-mediasec-parameter-08#ref-2). Transportul negocierilor dintre telefon și server poate utiliza protocolul SIP pe UDP, TCP și TLS. Puteți limita ca negocierea securității avionului media să se aplice numai atunci când protocolul de transport de semnalizare este TLS.

1

Accesați pagina web de administrare a telefonului.

2

Selectați Voce > Ext. (n).

3

În secțiunea Setări SIP, setați câmpurile MediaSec Request și MediaSec Over TLS Only , așa cum sunt definite în tabelul următor:

Tabelul 3. Parametrii pentru negocierea securității planului media
ParametruDescriere

Cerere MediaSec

Specifică dacă telefonul inițiază negocieri de securitate a planului media cu serverul.

Efectuaţi una din activităţile următoare:

  • În fișierul de configurare a telefonului cu XML (cfg.xml), introduceți un șir în acest format:

    <MediaSec_Request_1_ ua="na">Da</MediaSec_Request_1_>
  • În interfața Web a telefonului, setați acest câmp la Da sau Nu , după cum este necesar.

Valori permise: Da | Nu

  • Da - Modul inițiat de client. Telefonul inițiază negocieri de securitate a avionului media.
  • Nu - Modul inițiat de server. Serverul inițiază negocieri de securitate a planului media. Telefonul nu inițiază negocieri, dar poate gestiona cererile de negociere de la server pentru a stabili apeluri sigure.

Implicit: nu

MediaSec numai peste TLS

Specifică protocolul de transport de semnalizare peste care se aplică negocierea securității avionului media.

Înainte de a seta acest câmp la Da, asigurați-vă că protocolul de transport al semnalizării este TLS.

Efectuaţi una din activităţile următoare:

  • În fișierul de configurare a telefonului cu XML (cfg.xml), introduceți un șir în acest format:

    <MediaSec_Over_TLS_Only_1_ ua="na">nr</MediaSec_Over_TLS_Only_1_>

  • În interfața Web a telefonului, setați acest câmp la Da sau Nu , după cum este necesar.

Valori permise: Da | Nu

  • Da, telefonul inițiază sau gestionează negocierile de securitate a avionului media numai atunci când protocolul de transport de semnalizare este TLS.
  • Nu - Telefonul inițiază și gestionează negocierile de securitate a avioanelor media, indiferent de protocolul de transport de semnalizare.

Implicit: nu

4

Faceți clic pe Trimitere toate modificările.

WLAN securitate

Deoarece toate dispozitivele WLAN care se află în aria de acoperire pot primi tot celălalt trafic WLAN, securizarea comunicațiilor vocale este critică în rețelele WLAN. Pentru a se asigura că intrușii nu manipulează și nu interceptează traficul de voce, arhitectura Cisco SAFE Security acceptă telefonul. Pentru mai multe informații despre securitatea în rețele, consultați http://www.cisco.com/en/US/netsol/ns744/networking_solutions_program_home.html.

Soluția de telefonie Cisco Wireless IP asigură securitatea rețelei wireless care previne conectările neautorizate și comunicațiile compromise, utilizând următoarele metode de autentificare acceptate de telefon:

  • Autentificare deschisă: orice dispozitiv wireless poate solicita autentificarea într-un sistem deschis. AP care primește solicitarea poate acorda autentificare oricărui solicitant sau numai solicitanților care se află pe o listă de utilizatori. Comunicarea dintre dispozitivul wireless și punctul de acces (AP) ar putea fi necriptată.

  • Extensible Authentication Protocol-Flexible Authentication via Secure Tunneling (EAP-FAST) Authentication: Această arhitectură de securitate client-server criptează tranzacțiile EAP într-un tunel Transport Level Security (TLS) între AP și serverul RADIUS, cum ar fi Identity Services Engine (ISE).

    Tunelul TLS utilizează Protected Access Credentials (PAC) pentru autentificarea dintre client (telefon) și serverul RADIUS. Serverul trimite un ID de autoritate (AID) către client (telefon), care, la rândul său, selectează PAC corespunzătoare. Clientul (telefonul) returnează PAC-Opaque către serverul RADIUS. Serverul decriptează PAC cu cheia primară. Ambele puncte finale conțin acum cheia PAC și este creat un tunel TLS. EAP-FAST acceptă asigurarea automată PAC, dar trebuie s-o activați pe serverul RADIUS.

    În ISE, în mod implicit, PAC expiră într-o săptămână. Dacă telefonul are PAC expirate, autentificarea pe serverul RADIUS durează mai mult, în timp ce telefonul primește PAC noi. Pentru a evita întârzierile de asigurare a PAC, setați perioada de expirare a PAC la 90 zile sau mai mult pe serverul ISE sau RADIUS.

  • Autentificarea Extensible Authentication Protocol-Transport Layer Security (EAP-TLS): EAP-TLS necesită un certificat client pentru autentificare și accesul în rețea. Pentru EAP-TLS wireless, certificatul client poate fi MIC, LSC sau certificat instalat de utilizator.

  • Protected Extensible Authentication Protocol (PEAP): schema proprietară Cisco de autentificare reciprocă bazată pe parolă dintre client (telefon) și un server RADIUS. Telefonul poate utiliza PEAP pentru autentificarea cu rețeaua fără fir. Sunt acceptate ambele metode de autentificare, PEAP-MSCHAPV2 și PEAP-GTC.

  • Cheie pre-partajată (PSK): telefonul acceptă formatul ASCII. Trebuie să utilizați acest format atunci când configurați o cheie pre-partajată WPA/WPA2/SAE:

    ASCII: un șir de caractere ASCII cu 8 - 63 caractere lungime (0-9, litere mici și majuscule A-Z și caractere speciale)

    Exemplu: GREG123567@9ZX&W

Următoarele scheme de autentificare utilizează serverul RADIUS pentru a gestiona cheile de autentificare:

  • WPA/WPA2/WPA3: utilizează informațiile serverului RADIUS pentru a genera chei unice pentru autentificare. Deoarece aceste chei sunt generate la serverul centralizat RADIUS, WPA2/WPA3 oferă mai multă securitate decât WPA cheile prepartajate stocate pe AP și telefon.

  • Roaming rapid securizat: utilizează informațiile despre serverul RADIUS și despre serverul de domeniu wireless (WDS) pentru a gestiona și a autentifica cheile. WDS creează o memorie cache de acreditări de securitate pentru dispozitivele client compatibile FT pentru reautentificare rapidă și sigură. Telefoanele de birou Cisco 9861 și 9871 și Cisco Video Phone 8875 acceptă 802.11r (FT). Atât deasupra aerului cât și deasupra DS sunt acceptate pentru a permite roaming rapid și sigur. Dar vă recomandăm insistent utilizarea 802.11r (FT) la metoda aeriană.

Cu WPA/WPA2/WPA3, cheile de criptare nu sunt introduse pe telefon, ci sunt derivate automat între AP și telefon. Dar numele de utilizator și parola EAP care sunt utilizate pentru autentificare trebuie introduse pe fiecare telefon.

Pentru a asigura securitatea traficului de voce, telefonul acceptă TKIP și AES pentru criptare. Când aceste mecanisme sunt utilizate pentru criptare, atât pachetele SIP de semnalizare, cât și pachetele de voce Real-Time Transport Protocol (RTP) sunt criptate între AP și telefon.

TKIP

WPA utilizează criptarea TKIP care are mai multe îmbunătățiri față de WEP. TKIP oferă cifrarea cheilor per pachet și vectori de inițializare (IV) mai lungi, care consolidează criptarea. În plus, o verificare de integritate a mesajului (MIC) garantează faptul că pachetele criptate nu sunt modificate. TKIP elimină predictibilitatea WEP, care ajută intrușii să descifreze cheia WEP.

AES

O metodă de criptare utilizată pentru autentificarea WPA2/WPA3. Acest standard național pentru criptare utilizează un algoritm simetric, care are aceeași cheie pentru criptare și decriptare. AES utilizează criptarea Cipher Blocking Chain (CBC) pe dimensiunea de 128 de biți, care acceptă dimensiuni de chei de minimum 128 de biți, 192 de biți și 256 de biți. Telefonul acceptă o dimensiune a tastei de 256 biți.

Telefoanele de birou Cisco 9861, 9871 și Cisco Video Phone 8875 nu acceptă Cisco Key Integrity Protocol (CKIP) cu CMIC.

Schemele de autentificare și criptare sunt configurate în cadrul rețelei LAN wireless. VLAN-urile sunt configurate în rețea și pe AP-uri și specifică diferite combinații de autentificare și criptare. Un SSID se asociază cu un VLAN și cu schema specifică de autentificare și criptare. Pentru ca dispozitivele client wireless să se autentifice cu succes, trebuie să configurați aceleași SSID-uri cu schemele lor de autentificare și criptare pe AP-uri și pe telefon.

Unele scheme de autentificare necesită tipuri specifice de criptare.

  • Când utilizați WPA cheie pre-partajată, cheie WPA2 pre-partajată sau SAE, cheia pre-partajată trebuie să fie setată static pe telefon. Aceste chei trebuie să se potrivească cu cheile care sunt pe AP.
  • Telefonul acceptă negocierea EAP automată pentru FAST sau PEAP, dar nu și pentru TLS. Pentru EAP-TLS mod, trebuie să îl specificați.

Schemele de autentificare și criptare din tabelul următor prezintă opțiunile de configurare a rețelei pentru telefonul care corespunde configurației AP.

Tabelul 4. Scheme de autentificare și criptare
Tip FSRAutentificareAdministrare cheiCriptareCadrul de Management Protejat (PMF)
802.11r (FT)PSK

WPA-PSK

WPA-PSK-SHA256

FT-PSK

AESNu
802.11r (FT)WPA3

SAE

FT-SAE

AESDa
802.11r (FT)EAP-TLS

WPA-EAP

FT-EAP

AESNu
802.11r (FT)EAP-TLS (WPA3)

WPA-EAP-SHA256

FT-EAP

AESDa
802.11r (FT)EAP-FAST

WPA-EAP

FT-EAP

AESNu
802.11r (FT)EAP-FAST (WPA3)

WPA-EAP-SHA256

FT-EAP

AESDa
802.11r (FT)EAP-PEAP

WPA-EAP

FT-EAP

AESNu
802.11r (FT)EAP-PEAP (WPA3)

WPA-EAP-SHA256

FT-EAP

AESDa

Configurarea Wi-Fi profil

Puteți configura un profil Wi-Fi din pagina web a telefonului sau de pe dispozitivul la distanță, resincronizați și apoi asociați profilul la rețelele Wi-Fi disponibile. Puteți utiliza acest profil de Wi-Fi pentru a vă conecta la un Wi-Fi. În prezent, poate fi configurat un singur profil Wi-Fi.

Profilul conține parametrii necesari pentru ca telefoanele să se conecteze la serverul de telefonie cu Wi-Fi. Atunci când creați și utilizați un profil Wi-Fi, dvs. sau utilizatorii dvs. nu trebuie să configurați rețeaua wireless pentru telefoane individuale.

Un profil Wi-Fi vă permite să împiedicați sau să limitați modificările configurației Wi-Fi de pe telefon de către utilizator.

Vă recomandăm să utilizați un profil securizat cu protocoale activate pentru criptare pentru a proteja cheile și parolele atunci când utilizați un profil Wi-Fi.

Atunci când configurați telefoanele să utilizeze metoda de autentificare EAP-FAST în Modul de securitate, utilizatorii au nevoie de acreditări individuale pentru a se conecta la un punct de acces.

1

Accesați pagina web a telefonului.

2

Selectați Voce > Sistem.

3

În secțiunea Wi-Fi Profil (n), setați parametrii descriși în tabelul următor Parametri pentru Wi-Fi profil.

Configurația profilului Wi-Fi este, de asemenea, disponibilă pentru conectarea utilizatorului.
4

Faceți clic pe Trimitere toate modificările.

Parametri pentru profilul Wi-Fi

Următorul tabel definește funcția și utilizarea fiecărui parametru în Wi-Fi secțiunea Profil(n) din fila Sistem de pe pagina web a telefonului. De asemenea, definește sintaxa șirului care este adăugat în fișierul de configurare a telefonului (cfg.xml) pentru a configura un parametru.

ParametruDescriere
Numele rețeleiVă permite să introduceți un nume pentru SSID care se va afișa pe telefon. Mai multe profiluri pot avea același nume de rețea, cu moduri de securitate diferite.

Efectuaţi una din activităţile următoare:

  • În fișierul de configurare a telefonului cu XML (cfg.xml), introduceți un șir în acest format:

    <Network_Name_1_ ua="rw">cisco</Network_Name_1_>

  • În pagina web a telefonului, introduceți un nume pentru SSID.

Valoarea prestabilită: necompletată

Mod securitateVă permite să selectați metoda de autentificare utilizată pentru securizarea accesului la rețeaua Wi-Fi. În funcție de metoda pe care o alegeți, apare un câmp pentru parolă, astfel încât să puteți furniza acreditările necesare pentru a vă conecta la această rețea Wi-Fi.

Efectuaţi una din activităţile următoare:

  • În fișierul de configurare a telefonului cu XML (cfg.xml), introduceți un șir în acest format:

    <Security_Mode_1_ ua="rw">EAP-TLS</Security_Mode_1_> <!-- opțiuni disponibile: Auto|EAP-FAST|||PSK||Nici unul|EAP-PEAP|EAP-TLS -->

  • În pagina web a telefonului, selectați una dintre metode:
    • Auto
    • EAP-FAST
    • PSK
    • Fără
    • EAP-PEAP
    • EAP-TLS

Valoarea prestabilită: Auto

Wi-Fi ID utilizatorVă permite să introduceți un ID de utilizator pentru profilul de rețea.

Acest câmp este disponibil atunci când setați modul de securitate la Auto, EAP-FAST sau EAP-PEAP. Acesta este un câmp obligatoriu și permite o lungime maximă de 32 de caractere alfanumerice.

Efectuaţi una din activităţile următoare:

  • În fișierul de configurare a telefonului cu XML (cfg.xml), introduceți un șir în acest format:

    <Wi-Fi_User_ID_1_ua="rw"></Wi-Fi_User_ID_1_>

  • În pagina web a telefonului, introduceți un ID de utilizator pentru profilul de rețea.

Valoarea prestabilită: necompletată

Parolă Wi-FiVă permite să introduceți parola pentru ID-ul de utilizator Wi-Fi specificat.

Efectuaţi una din activităţile următoare:

  • În fișierul de configurare a telefonului cu XML (cfg.xml), introduceți un șir în acest format:

    <Wi-Fi_Password_1_ ua="rw"></Wi-Fi_Password_1_>

  • În pagina Web a telefonului, introduceți o parolă pentru ID-ul de utilizator pe care l-ați adăugat.

Valoarea prestabilită: necompletată

Banda de frecvențăVă permite să selectați banda de frecvență a semnalului wireless utilizată WLAN.

Efectuaţi una din activităţile următoare:

  • În fișierul de configurare a telefonului cu XML (cfg.xml), introduceți un șir în acest format:

    <Frequency_Band_1_ ua="rw">Auto</Frequency_Band_1_>

  • În pagina web a telefonului, selectați una dintre opțiunile:
    • Auto
    • 2,4 GHz
    • 5 GHz

Valoarea prestabilită: Auto

Selectare certificatVă permite să selectați un tip de certificat pentru înscrierea inițială a certificatului și reînnoirea certificatului în rețeaua wireless. Acest proces este disponibil numai pentru autentificarea 802.1X.

Efectuaţi una din activităţile următoare:

  • În fișierul de configurare a telefonului cu XML (cfg.xml), introduceți un șir în acest format:

    <Certificate_Select_1_ ua="rw">Producție instalată</Certificate_Select_1_>

  • În pagina web a telefonului, selectați una dintre opțiunile:
    • Producție instalată
    • Instalat personalizat

Implicit: Producție instalată

Verificați starea de securitate a dispozitivului pe telefon

Telefonul verifică automat starea de securitate a dispozitivului. Dacă detectează potențiale amenințări de securitate pe telefon, meniul Probleme și diagnosticare poate afișa detaliile problemelor. Pe baza problemelor raportate, administratorul poate efectua operațiuni pentru securizarea și întărirea telefonului.

Starea de securitate a dispozitivului poate fi încă disponibilă atunci când telefonul nu este înregistrat la sistemul de control al apelurilor (Webex Calling sau BroadWorks).

Pentru a vizualiza detalii despre problemele de securitate pe telefon, procedați astfel:

1

Apăsați Setări Settings button

2

Selectați Probleme și diagnosticare > Probleme.

În prezent, raportul de securitate al dispozitivului conține următoarele probleme:

CategorieProblemă
Încrederea în dispozitiveAutentificarea dispozitivului a eșuat
Hardware falsificat
Configurație vulnerabilăNu a fost furnizată nicio parolă
SSH activat
Telnet activat
Eveniment de anomalie a rețelei detectatÎncercări excesive de conectare
Eliberarea certificatuluiCertificatul CDC va expira în curând
3

Contactați administratorul pentru asistență în vederea rezolvării problemelor de securitate.