Instalați manual certificatul de dispozitiv personalizat

Puteți instala manual un certificat de dispozitiv personalizat (CDC) pe telefon prin încărcarea certificatului de pe pagina web pentru administrarea telefonului.

Înainte de a începe

Înainte de a putea instala un certificat de dispozitiv personalizat pentru un telefon, trebuie să aveți:

  • Un fișier certificat (.p12 sau .pfx) salvat pe PC. Fișierul conține certificatul și cheia privată.
  • Parola extrasului certificatului. Parola este utilizată pentru a decripta fișierul certificatului.
1

Accesați pagina web pentru administrarea telefonului.

2

Selectați Certificat.

3

În secțiunea Adăugare certificat, faceți clic pe Răsfoiți....

4

Navigați la certificatul de pe PC.

5

În câmpul Extragere parolă, introduceți parola extrasului certificatului.

6

Faceți clic pe Încărcați.

Dacă fișierul și parola de certificat sunt corecte, veți primi mesajul „Certificat adăugat.”. În caz contrar, încărcarea eșuează, cu un mesaj de eroare care indică faptul că certificatul nu poate fi încărcat.
7

Pentru a verifica detaliile certificatului instalat, faceți clic pe Vizualizare în secțiunea Certificate existente.

8

Pentru a elimina certificatul instalat de pe telefon, faceți clic pe Ștergere în secțiunea Certificate existente.

După ce faceți clic pe buton, operațiunea de eliminare începe imediat fără confirmare.

Dacă certificatul este eliminat cu succes, veți primi mesajul „Certificat șters.”.

Instalați automat certificatul dispozitivului personalizat prin SCEP

Puteți configura parametrii Simple Certificate Enrollment Protocol (SCEP) pentru a instala automat certificatul dispozitivului personalizat (CDC), dacă nu doriți să încărcați manual fișierul de certificat sau nu aveți fișierul de certificat în loc.

Când parametrii SCEP sunt configurați corect, telefonul trimite solicitări către serverul SCEP, iar certificatul CA este validat de dispozitiv utilizând amprenta definită.

Înainte de a începe

Înainte de a putea efectua o instalare automată a unui certificat de dispozitiv personalizat pentru un telefon, trebuie să aveți:

  • Adresă server SCEP
  • Amprentă SHA-1 sau SHA-256 a certificatului CA rădăcină pentru serverul SCEP
1

Accesați pagina web pentru administrarea telefonului.

2

Selectați Certificat.

3

În secțiunea Configurație SCEP 1, setați parametrii așa cum este descris în următorul tabel Parametri pentru configurația SCEP.

4

Faceți clic pe Trimiteți toate modificările.

Parametri pentru configurația SCEP

Următorul tabel definește funcția și utilizarea parametrilor de configurare SCEP în secțiunea Configurație SCEP 1 din fila Certificat din interfața web a telefonului. De asemenea, definește sintaxa șirului care este adăugat în fișierul de configurare a telefonului (cfg. xml) pentru a configura un parametru.

Tabelul 1. Parametri pentru configurația SCEP
ParametruDescriere
Server

Adresa serverului SCEP. Acest parametru este obligatoriu.

Efectuați una din următoarele acțiuni:

  • În fișierul de configurare a telefonului cu XML (cfg. xml), introduceți un șir în acest format:

    <CDC_Server_1_ ua="na">http://10.79.57.91</CDC_Server_1_>

  • În pagina web a telefonului, introduceți adresa serverului SCEP.

Valori valide: Un URL sau o adresă IP. Schema HTTPS nu este acceptată.

Implicit Necompletat

Amprentă autoritate de certificare rădăcină

Amprentă SHA256 sau SHA1 a autorității de certificare rădăcină pentru validare în timpul procesului SCEP. Acest parametru este obligatoriu.

Efectuați una din următoarele acțiuni:

  • În fișierul de configurare a telefonului cu XML (cfg. xml), introduceți un șir în acest format:

    <CDC_Root_CA_Fingerprint_1_ ua="na">12040870625C5B755D73F5925285F8F5FF5D55AF</CDC_Root_CA_Fingerprint_1_>

  • În pagina web a telefonului, introduceți o amprentă validă.

Implicit Necompletat

Modifică parola

Parola de contestare pentru autorizarea Certificate Authority (CA) împotriva telefonului în timpul unei înscrieri a certificatului prin SCEP. Acest parametru este opțional.

În funcție de mediul SCEP real, comportamentul parolei challenge variază.

  • Dacă telefonul primește un certificat de la un Cisco RA care comunică cu CA, parola de contestare nu este acceptată pe CA. În acest caz, Cisco RA utilizează MIC/SUDI al telefonului pentru autentificare pentru a accesa CA. Telefonul utilizează MIC/SUDI atât pentru înregistrarea inițială, cât și pentru reînnoirea certificatului.
  • Dacă telefonul primește un certificat prin comunicarea directă cu CA, parola de contestare este acceptată pe CA. Dacă este configurat, va fi utilizat numai pentru înregistrarea inițială. Pentru reînnoirea certificatului, se va utiliza în schimb certificatul instalat.

Efectuați una din următoarele acțiuni:

  • În fișierul de configurare a telefonului cu XML (cfg. xml), introduceți un șir în acest format:

    <CDC_Challenge_Password_1_ ua="na"></CDC_Challenge_Password_1_>

    Parola este mascată în fișierul de configurare.

  • În pagina web a telefonului, introduceți parola de verificare.

Implicit Necompletat

Configurarea parametrilor SCEP prin opțiunea DHCP 43

În plus față de înregistrarea certificatului SCEP de către configurațiile manuale de pe pagina web a telefonului, puteți utiliza și opțiunea DHCP 43 pentru a completa parametrii de pe un server DHCP. Opțiunea DHCP 43 este preconfigurată cu parametrii SCEP, iar ulterior telefonul poate prelua parametrii de la serverul DHCP pentru a efectua înregistrarea certificatului SCEP.

  • Configurarea parametrilor SCEP prin opțiunea 43 DHCP este disponibilă numai pentru telefonul la care se efectuează o resetare la setările din fabrică.
  • Telefoanele nu vor fi plasate în rețeaua care acceptă atât Opțiunea 43, cât și configurarea de la distanță (de exemplu, Opțiunile 66,160,159,150 sau configurarea în cloud). În caz contrar, este posibil ca telefoanele să nu primească configurațiile Opțiunii 43.

Pentru a înregistra un certificat SCEP prin configurarea parametrilor SCEP în opțiunea 43 DHCP, procedați astfel:

  1. Pregătiți un mediu SCEP.

    Pentru informații despre configurarea mediului SCEP, consultați documentația serverului SCEP.

  2. Configurați opțiunea DHCP 43 (definită în 8.4 Informații specifice furnizorului, RFC 2132).

    Subopțiunile (10–15) sunt rezervate pentru metoda:

    Parametru pe pagina web a telefonuluiSubopțiuneTipLungime (biți)Obligatoriu
    Mod FIPS10Boolean1Nu*
    Server11Șir208 - lungime (Parolă de verificare)Da
    Amprentă autoritate de certificare rădăcină12binară20 sau 32Da
    Modifică parola13Șir208 - lungime (Server)Nu*
    Activați autentificarea 802.1X14Boolean1Nu
    Selectare certificat15nesemnat pe 8 biți1Nu

    Când utilizați opțiunea DHCP 43, observați următoarele caracteristici ale metodei:

    • Subopțiunile (10-15) sunt rezervate pentru Certificat dispozitiv personalizat (CDC).
    • Lungimea maximă a opțiunii DHCP 43 este de 255 de biți.
    • Lungimea maximă pentru Server + Parolă de contestare trebuie să fie mai mică de 208 biți.
    • Valoarea Modului FIPS trebuie să fie în concordanță cu configurația de setare pentru integrare. În caz contrar, telefonul nu reușește să recupereze certificatul instalat anterior după integrare. Mai exact,
      • Dacă telefonul va fi înregistrat într-un mediu în care modul FIPS este dezactivat, nu este necesar să configurați parametrul Modul FIPS în opțiunea DHCP 43. În mod implicit, modul FIPS este dezactivat.
      • Dacă telefonul va fi înregistrat într-un mediu în care este activat modul FIPS, trebuie să activați modul FIPS în opțiunea 43 DHCP. Consultați Activați modul FIPS pentru detalii.
    • Parola din Opțiunea 43 este în text clar.

      Dacă parola de verificare este goală, telefonul utilizează MIC/SUDI pentru înregistrarea inițială și reînnoirea certificatului. Dacă parola de contestare este configurată, aceasta este utilizată numai pentru înregistrarea inițială, iar certificatul instalat va fi utilizat pentru reînnoirea certificatului.

    • Activați autentificarea 802.1X și Selectare certificat sunt utilizate numai pentru telefoanele din rețeaua cu fir.
    • Opțiunea DHCP 60 (identificator clasă furnizor) este utilizată pentru a identifica modelul de dispozitiv.

    Următorul tabel oferă un exemplu de opțiune 43 DHCP (subopțiunile 10-15):

    Subopțiune zecimal/hexLungime valoare (octeți) zecimal/hexValoareValoare hexazecimală
    10/0a1/011 (0: Dezactivat; 1: Activată)01
    11/0b18/12http://10.79.57.91687474703a2f2f31302e37392e35372e3931
    12/0c20/1412040870625c5b755d73f5925285f8f5ff5d55af12040870625c5b755d73f5925285f8f5ff5d55af
    13/0d16/10d233ccf9b9952a1544323333434346394239393532413135
    14/0e1/011 (0: Nu; 1: Da*DA01
    15/0f1/011 (0: Producție instalată; 1: Instalat personalizat) 01

    Rezumatul valorilor parametrilor:

    • Mod FIPS = Activat

    • Server = http://10.79.57.91

    • Amprentă CA rădăcină = 12040870625C5B755D73F5925285F8F5FF5D55AF

    • Parolă provocare = D233CCF9B9952A15

    • Activați autentificarea 802.1X = Da

    • Selectare certificat = Personalizat instalat

    Sintaxa valorii hex finale este: {<suboption><length><value>}...

    Conform valorilor parametrilor de mai sus, valoarea hexazecimală finală este după cum urmează:

    0a0260 b12687474703a2f2f31302e37392e35372e39310c1412040870625C5B755D73F5925285F8F5FF5D55AF0d10443233334343463942393935324131350e0260 f0101

  3. Configurați opțiunea DHCP 43 pe un server DHCP.

    Acest pas oferă un exemplu de configurații ale opțiunii DHCP 43 în Registrul de rețea Cisco.

    1. Adăugați un set de definiție a opțiunii DHCP.

      Șirul de opțiuni furnizor este numele model al telefoanelor IP. Valoarea validă este: DP-9841, DP-9851, DP-9861, DP-9871 sau CP-8875.

    2. Adăugați opțiunea DHCP 43 și subopțiunile la setul de definiție a opțiunii DHCP.

      Exemplu:

      Captură de ecran a opțiunii DHCP 43 definiții în Registrul de rețea Cisco

    3. Adăugați opțiunile 43 la politica DHCP și setați valoarea după cum urmează:

      Exemplu:

      (10 1)(11 http://10.79.57.91)(12 12040870625C5B755D73F5925285F8F5FF5D55AF)(13 D233CCF9B9952A15)(14 1)(15 1)

    4. Verificați setările. Puteți utiliza Wireshark pentru a captura o urmă a traficului de rețea dintre telefon și serviciu.
  4. Efectuați o resetare la setările din fabrică a telefonului.

    După ce telefonul este resetat, parametrii Server, Amprentă CA rădăcină și Parolă verificare vor fi completați automat. Acești parametri se află în secțiunea Configurație SCEP 1 din Certificat > Personalizat de pe pagina web pentru administrarea telefonului.

    Pentru a verifica detaliile certificatului instalat, faceți clic pe Vizualizare în secțiunea Certificate existente.

    Pentru a verifica starea instalării certificatului, selectați Certificat > Stare certificat particularizată. Starea de descărcare 1 afișează cel mai recent rezultat. Dacă apare o problemă în timpul înregistrării certificatului, starea descărcării poate indica motivul problemei în scopul soluționării problemelor.

    Dacă autentificarea prin parolă de provocare nu reușește, utilizatorilor li se va solicita să introducă parola pe ecranul telefonului.
  5. (Opțional): Pentru a elimina certificatul instalat de pe telefon, faceți clic pe Ștergere în secțiunea Certificate existente.
    După ce faceți clic pe buton, operațiunea de eliminare începe imediat fără confirmare.

Reînnoirea certificatului de către SCEP

Certificatul dispozitivului poate fi reîmprospătat automat prin procesul SCEP.

  • Telefonul verifică dacă certificatul va expira în 15 zile, la fiecare 4 ore. În acest caz, telefonul inițiază automat procesul de reînnoire a certificatului.
  • Dacă parola de verificare este goală, telefonul utilizează MIC/SUDI atât pentru înregistrarea inițială, cât și pentru reînnoirea certificatului. Dacă este configurată parola de contestare, aceasta este utilizată numai pentru înregistrarea inițială, certificatul existent/instalat este utilizat pentru reînnoirea certificatului.
  • Telefonul nu elimină certificatul dispozitivului vechi până când nu îl preia pe cel nou.
  • Dacă reînnoirea certificatului nu reușește deoarece certificatul dispozitivului sau CA expiră, telefonul declanșează automat înregistrarea inițială. Între timp, dacă autentificarea prin parolă de provocare nu reușește, pe ecranul telefonului apare un ecran de introducere a parolei, iar utilizatorilor li se solicită să introducă parola de provocare pe telefon.

Activați modul FIPS

Puteți face un telefon conform Standardelor federale de procesare a informațiilor (FIPS).

FIPS sunt un set de standarde care descriu procesarea documentelor, algoritmii de criptare și alte standarde privind tehnologia informației pentru a fi utilizate în cadrul guvernului nemilitar și de către contractanții și furnizorii guvernamentali care lucrează cu agențiile. CiscoSSL FOM (FIPS Object Module) este o componentă software definită cu atenție și concepută pentru compatibilitate cu biblioteca CiscoSSL, astfel încât produsele care utilizează biblioteca CiscoSSL și API pot fi convertite pentru a utiliza criptografie validată FIPS 140-2 cu efort minim.

1

Accesați pagina web pentru administrarea telefonului.

2

Selectați Voce > Sistem.

3

În secțiunea Setări de securitate, alegeți Da sau Nu din parametrul Mod FIPS.

4

Faceți clic pe Trimiteți toate modificările.

Când activați FIPS, următoarele caracteristici funcționează fără probleme pe telefon:
  • Autentificare imagine
  • Stocare securizată
  • Configurare criptare fișier
  • tls:
    • HTTP-uri
    • Încărcare PRT
    • Upgrade firmware
    • Resincronizarea profilului
    • Serviciu integrare
    • Integrare în Webex
    • SRTP prin TLS
    • 802.1x (Cu fir)
  • Rezumat SIP (RFC 8760)
  • srtp (dezambiguizare)
  • Jurnalele de apeluri Webex și directorul Webex
  • Un singur buton de apăsat (OBTP)

Eliminați manual un certificat de securitate

Puteți elimina manual un certificat de securitate de pe un telefon dacă Simple Certificate Enrollment Protocol (SCEP) nu este disponibil.

1

Din pagina web pentru administrarea telefonului, selectați Certificate.

2

Găsiți certificatul pe pagina Certificate.

3

Faceți clic pe Ștergeți.

4

Reporniți telefonul după finalizarea procesului de ștergere.

Setați parola de utilizator și de administrator

După ce telefonul este înregistrat la un sistem de control al apelurilor pentru prima dată sau efectuați o resetare la setările din fabrică a telefonului, trebuie să setați parola de utilizator și de administrator pentru a îmbunătăți securitatea telefonului. Numai atunci când parola este setată, puteți trimite modificările din pagina web a telefonului.

În mod implicit, pe telefon nu este activat niciun avertisment privind parola. Când telefonul nu are parolă de utilizator sau de administrator, se afișează următoarele avertismente:

  • Pagina web a telefonului afișează mesajul „Nu a fost furnizată nicio parolă de administrator. Site-ul web este în modul exclusiv citire și nu puteți trimite modificări. Vă rugăm să schimbați parola.” în colțul din stânga sus.

    Câmpurile Parolă utilizator și Parolă administrator afișează avertismentul „Nicio parolă furnizată”, respectiv, dacă este gol.

  • Probleme și diagnosticare pe ecranul telefonului afișează problema „Nicio parolă furnizată”.
1

Accesați pagina web pentru administrarea telefonului

2

Selectați Voce > Sistem.

3

(Opțional) În secțiunea Configurație sistem, setați parametrul Afișare avertismente parolă la valoarea Da, apoi faceți clic pe Trimiteți toate modificările.

De asemenea, puteți activa parametrii din fișierul de configurare a telefonului (cfg. xml).

<Display_Password_Warnings ua="na">Da</Display_Password_Warnings>

Implicit Da

Opțiuni Da|Nu

Când parametrul este setat la Nu, avertismentul cu parolă nu apare nici pe pagina web, nici pe ecranul telefonului. De asemenea, modul exclusiv gata pentru pagina web nu va fi activat, chiar dacă parola este goală.

4

Găsiți parametrul Parolă utilizator sau Parolă administrator și faceți clic pe Modificare parolă lângă parametru.

5

Introduceți parola curentă a utilizatorului în câmpul Parolă veche.

Dacă nu aveți o parolă, păstrați câmpul gol. Valoarea implicită este goală.
6

Introduceți o parolă nouă în câmpul Parolă nouă.

7

Faceți clic pe Trimiteți.

Mesajul Parola a fost modificat cu succes. va fi afișat pe pagina web. Pagina web se va reîmprospăta în câteva secunde. Avertismentul de lângă parametru va dispărea.

După ce setați parola de utilizator, acest parametru afișează următoarele în fișierul XML de configurare a telefonului (cfg. xml):

<!-- <Admin_Password ua="na">;*************</Admin_Password> <User_Password ua="rw">;*************</User_Password> -->

Dacă primiți codul de eroare 403 atunci când încercați să accesați pagina web a telefonului, trebuie să setați parola de utilizator sau de administrator prin setarea în fișierul de configurare a telefonului (cfg.xml). De exemplu, introduceți un șir în acest format:

<admin_password ua="na">p0ssw0rd_tes89</admin_password>

<user_password ua="rw">abc123</user_password>

Autentificare 802.1X

Telefoanele Cisco IP acceptă autentificarea 802.1X.

Telefoanele Cisco IP și switch-urile Cisco Catalyst utilizează în mod tradițional Cisco Discovery Protocol (CDP) pentru a se identifica reciproc și a determina parametri precum alocarea VLAN și cerințele de alimentare în linie. CDP nu identifică stațiile de lucru atașate local. Telefoanele Cisco IP furnizează un mecanism de trecere EAPOL. Acest mecanism permite unei stații de lucru atașate la telefonul Cisco IP să transmită mesaje EAPOL către autentificatorul 802.1X la comutatorul LAN. Mecanismul de trecere prin trecere asigură faptul că telefonul IP nu acționează ca comutator LAN pentru autentificarea unui terminal de date înainte de a accesa rețeaua.

Telefoanele Cisco IP oferă, de asemenea, un mecanism de logoff EAPOL proxy. Dacă PC-ul atașat local se deconectează de la telefonul IP, comutatorul LAN nu vede că legătura fizică eșuează, deoarece legătura dintre comutatorul LAN și telefonul IP este menținută. Pentru a evita compromiterea integrității rețelei, telefonul IP trimite un mesaj EAPOL-Logoff către switch în numele PC-ului din aval, care declanșează switch-ul LAN pentru a șterge intrarea de autentificare pentru PC-ul din aval.

Asistența pentru autentificarea 802.1X necesită mai multe componente:

  • Telefoane IP Cisco Telefonul inițiază solicitarea de acces la rețea. Telefoanele Cisco IP conțin un implant 802.1X. Acest implant permite administratorilor de rețea să controleze conectivitatea telefoanelor IP la porturile de comutare LAN. Versiunea actuală a solicitantului telefonului 802.1X utilizează opțiunile EAP-FAST și EAP-TLS pentru autentificarea în rețea.

  • serviciu de autentificare Serverul de autentificare și comutatorul trebuie să fie configurate cu un secret partajat care autentifică telefonul.

  • Comutare: Comutatorul trebuie să accepte 802.1X, astfel încât să poată acționa ca aplicație de autentificare și să transmită mesajele între telefon și serverul de autentificare. După finalizarea schimbului, comutatorul acordă sau refuză accesul telefonului la rețea.

Trebuie să efectuați următoarele acțiuni pentru a configura 802.1X.

  • Configurați celelalte componente înainte de a activa autentificarea 802.1X pe telefon.

  • Configurare port PC: Standardul 802.1X nu ia în considerare VLAN-urile și, prin urmare, recomandă autentificarea unui singur dispozitiv la un anumit port de comutare. Cu toate acestea, unele switch-uri acceptă autentificarea prin mai multe domenii. Configurația comutatorului determină dacă puteți conecta un PC la portul PC al telefonului.

    • Activată: Dacă utilizați un comutator care acceptă autentificarea prin mai multe domenii, puteți activa portul PC și puteți conecta un PC la acesta. În acest caz, telefoanele Cisco IP acceptă proxy EAPOL-Logoff pentru monitorizarea schimburilor de autentificare între switch și PC-ul atașat.

      Pentru mai multe informații despre compatibilitatea IEEE 802.1X cu switch-urile Cisco Catalyst, consultați ghidurile de configurare a switch-urilor Cisco Catalyst de la:

      http://www.cisco.com/en/US/products/hw/switches/ps708/tsd_products_support_series_home.html

    • Dezactivat: Dacă comutatorul nu acceptă mai multe dispozitive compatibile 802.1X pe același port, trebuie să dezactivați portul PC atunci când autentificarea 802.1X este activată. Dacă nu dezactivați acest port și apoi încercați să atașați un PC la acesta, comutatorul refuză accesul la rețea, atât la telefon, cât și la PC.

  • Configurați Voice VLAN: Deoarece standardul 802.1X nu include VLAN-uri, trebuie să configurați această setare pe baza asistenței pentru comutare.
    • Activată: Dacă utilizați un comutator care acceptă autentificarea prin mai multe domenii, îl puteți utiliza în continuare pentru a utiliza VLAN de voce.
    • Dezactivat: Dacă comutatorul nu acceptă autentificarea prin mai multe domenii, dezactivați VLAN-ul de voce și luați în considerare alocarea portului la VLAN-ul nativ.
  • (Numai pentru Cisco Desk Phone seria 9800)

    Telefonul de birou Cisco seria 9800 are un prefix în PID diferit de cel pentru celelalte telefoane Cisco. Pentru a permite telefonului să treacă prin autentificarea 802.1X, setați parametrul Radius·Nume utilizator pentru a include telefonul Cisco Desk seria 9800.

    De exemplu, PID-ul telefonului 9841 este DP-9841; puteți seta Radius·Nume utilizator pentru a Începe cu DP sau Conține DP. Puteți să o setați în ambele secțiuni următoare:

    • Politică > Condiții > Condiții bibliotecă

    • Politică > Seturi de politici > Politică de autorizare > Regulă de autorizare 1

Activați autentificarea 802.1X

Când autentificarea 802.1X este activată, telefonul utilizează autentificarea 802.1X pentru a solicita acces la rețea. Când autentificarea 802.1X este dezactivată, telefonul utilizează Cisco Discovery Protocol (CDP) pentru a obține acces la VLAN și la rețea. De asemenea, puteți să vizualizați starea tranzacției și să modificați în meniul ecranului telefonului.

Când autentificarea 802.1X este activată, puteți selecta, de asemenea, certificatul dispozitivului (MIC/SUDI sau personalizat) pentru înregistrarea inițială și reînnoirea certificatului. De obicei, MIC este pentru Cisco Video Phone 8875, SUDI este pentru Cisco Desk Phone seria 9800. CDC poate fi utilizat pentru autentificare numai în 802.1x.

1

Efectuați una dintre următoarele acțiuni pentru a activa autentificarea 802.1X:

  • În interfața web a telefonului, selectați Voce > Sistem și setați parametrul Activare autentificare 802.1X la valoarea Da. Apoi faceți clic pe Trimiteți toate modificările.
  • În fișierul de configurare (cfg. xml), introduceți un șir în acest format:

    <Enable_802.1X_Autentificare ua="rw">Da</Enable_802.1X_Autentificare>

    Valori valide: Da|Nu

    Implicit Nu

  • Pe telefon, apăsați Setări the Settings hard keyși navigați la Rețea și serviciu > Setări de securitate > Autentificare 802.1X. Comutați câmpul Autentificare dispozitiv la Activat, apoi selectați Aplicare.
Tabelul 2. Parametri pentru autentificarea 802.1X pe ecranul telefonului

Parametri

Opțiuni

Implicit

Descriere

Autentificare dispozitiv

Pornit

Dezactivați

Dezactivați

Activați sau dezactivați autentificarea 802.1X pe telefon.

Stare tranzacție

Dezactivată

Afișează starea autentificării 802.1X. Statul poate fi (nu limitat la):

  • Autentificare Indică faptul că procesul de autentificare este în curs.
  • Autentificare Indică faptul că telefonul este autentificat.
  • Dezactivat: Indică faptul că autentificarea 802.1x este dezactivată pe telefon.

Protocol

Fără

Afișează metoda EAP care este utilizată pentru autentificarea 802.1X. Protocolul poate fi EAP-FAST sau EAP-TLS.

Tip de certificat de utilizator

Producție instalată

Personalizat instalat

Producție instalată

Alegeți certificatul pentru autentificarea 802.1X în timpul înregistrării inițiale și al reînnoirii certificatului.

  • Manufacturing installed – Se utilizează Manufacturing Installed Certificate (MIC) și Secure Unique Device Identifier (SUDI).
  • Personalizat instalat — este utilizat certificatul de dispozitiv personalizat (CDC). Acest tip de certificat poate fi instalat fie prin încărcare manuală pe pagina web a telefonului, fie prin instalare de pe un server Simple Certificate Enrollment Protocol (SCEP).

Acest parametru apare pe telefon numai când este activată opțiunea Autentificare dispozitiv.

2

Selectați un certificat (MIC sau personalizat) pentru autentificarea 802.1X de pe pagina web a telefonului.

  • Pentru rețeaua cablată, selectați Voce > Sistem, alegeți un tip de certificat din lista derulantă Selectare certificat din secțiunea 802.1X Autentificare.

    De asemenea, puteți configura acest parametru în fișierul de configurare (cfg. xml):

    <Certificate_Select ua="rw">Instalat personalizat</Certificate_Select>

    Valori valide: Producție instalată|Personalizat instalat

    Implicit Producție instalată

  • Pentru rețeaua wireless, selectați Voce > Sistem, alegeți un tip de certificat din lista derulantă Selectare certificat din secțiunea Profil Wi-Fi 1.

    De asemenea, puteți configura acest parametru în fișierul de configurare (cfg. xml):

    <Wi-Fi_Certificate_Select_1_ ua="rw">Instalat personalizat</Wi-Fi_Certificate_Select_1_>

    Valori valide: Producție instalată|Personalizat instalat

    Implicit Producție instalată

Pentru informații despre modul de selectare a unui tip de certificat de pe ecranul telefonului, consultați Conectați telefonul la o rețea Wi-Fi.

Activați modul inițiat de client pentru negocierile de securitate a planului media

Pentru a proteja sesiunile media, puteți configura telefonul pentru a iniția negocieri de securitate a planului media cu serverul. Mecanismul de securitate respectă standardele enunțate în RFC 3329 și proiectul său de extensie Numele mecanismului de securitate pentru conținut media (A se vedea https://tools.ietf.org/html/draft-dawes-sipcore-mediasec-parameter-08#ref-2). Transportul negocierilor dintre telefon și server poate utiliza protocolul SIP prin UDP, TCP și TLS. Puteți limita faptul că negocierea de securitate a planului media se aplică numai atunci când protocolul de transport de semnalizare este TLS.

1

Accesați pagina web pentru administrarea telefonului.

2

Selectați Voce > Ext (n).

3

În secțiunea Setări SIP, setați câmpurile Solicitare MediaSec și MediaSec peste doar TLS, așa cum sunt definite în următorul tabel:

Tabelul 2. Parametri pentru negocierea securității planului media
ParametruDescriere

Solicitare MediaSec

Specifică dacă telefonul inițiază negocieri de securitate a planului media cu serverul.

Efectuați una din următoarele acțiuni:

  • În fișierul de configurare a telefonului cu XML (cfg. xml), introduceți un șir în acest format:

    <MediaSec_Request_1_ ua="na">Da</MediaSec_Request_1_>
  • În interfața Web a telefonului, setați acest câmp la Da sau Nu, după cum este necesar.

Valori permise: Da|Nu

  • Da—Mod inițiat de client. Telefonul inițiază negocierile de securitate a avionului media.
  • Nu—Mod inițiat de server. Serverul inițiază negocieri de securitate a planului media. Telefonul nu inițiază negocieri, dar poate gestiona solicitările de negociere de la server pentru a stabili apeluri securizate.

Implicit Nu

Numai MediaSec prin TLS

Specifică protocolul de transport de semnalizare prin care se aplică negocierea de securitate a planului media.

Înainte de a seta acest câmp la Da, asigurați-vă că protocolul de transport de semnalizare este TLS.

Efectuați una din următoarele acțiuni:

  • În fișierul de configurare a telefonului cu XML (cfg. xml), introduceți un șir în acest format:

    <MediaSec_Over_TLS_Only_1_ ua="na">Nu</MediaSec_Over_TLS_Only_1_>

  • În interfața Web a telefonului, setați acest câmp la Da sau Nu, după cum este necesar.

Valori permise: Da|Nu

  • Da—Telefonul inițiază sau gestionează negocierile de securitate a avionului media numai atunci când protocolul de transport de semnalizare este TLS.
  • Nu- Telefonul inițiază și gestionează negocierile de securitate a avionului media, indiferent de protocolul de transport de semnalizare.

Implicit Nu

4

Faceți clic pe Trimiteți toate modificările.

securitate Wi-Fi

Deoarece toate dispozitivele WLAN aflate în raza de acoperire pot recepționa toate celelalte tipuri de trafic WLAN, securizarea comunicațiilor vocale este esențială în rețelele WLAN. Pentru a vă asigura că intrușii nu manipulează și nu interceptează traficul vocal, arhitectura de securitate SIGURĂ Cisco acceptă telefonul. Pentru mai multe informații despre securitatea rețelelor, accesați http://www.cisco.com/en/US/netsol/ns744/networking_solutions_program_home.html.

Soluția de telefonie Cisco wireless IP oferă securitate wireless a rețelei, care previne conectarea neautorizată și comunicațiile compromise, utilizând următoarele metode de autentificare acceptate de telefon:

  • Deschideți autentificarea: Orice dispozitiv wireless poate solicita autentificarea într-un sistem deschis. AP-ul care primește solicitarea poate acorda autentificarea oricărui solicitant sau numai solicitanților care se află într-o listă de utilizatori. Comunicarea dintre dispozitivul wireless și punctul de acces (AP) ar putea fi necriptată.

  • Extensible Authentication Protocol-Flexible Authentication via Secure Tunneling (EAP-FAST): Această arhitectură de securitate client-server criptează tranzacțiile EAP din cadrul unui tunel Transport Level Security (TLS) între AP și serverul RADIUS, cum ar fi Identity Services Engine (ISE).

    Tunelul TLS utilizează Protected Access Credentials (PAC) pentru autentificarea între client (telefon) și serverul RADIUS. Serverul trimite clientului (telefon) un ID de autoritate, care, la rândul său, selectează PAC-ul corespunzător. Clientul (telefonul) returnează un Opac PAC către serverul RADIUS. Serverul decriptează PAC cu cheia principală. Ambele terminale conțin acum cheia PAC și este creat un tunel TLS. EAP-FAST acceptă configurarea automată a PAC, dar trebuie să o activați pe serverul RADIUS.

    În ISE, în mod implicit, PAC expiră într-o săptămână. Dacă telefonul are un PAC expirat, autentificarea la serverul RADIUS durează mai mult, în timp ce telefonul primește un nou PAC. Pentru a evita întârzierile în asigurarea accesului la PAC, setați perioada de expirare a PAC la 90 de zile sau mai mult pe serverul ISE sau RADIUS.

  • Extensible Authentication Protocol-Transport Layer Security (EAP-TLS): EAP-TLS necesită un certificat de client pentru autentificare și acces la rețea. Pentru EAP-TLS wireless, certificatul clientului poate fi MIC, LSC sau certificat instalat de utilizator.

  • Protected Extensible Authentication Protocol (PEAP): Schemă de autentificare reciprocă Cisco bazată pe parolă privată între client (telefon) și un server RADIUS. Telefonul poate utiliza PEAP pentru autentificare în rețeaua wireless. Sunt acceptate atât metode de autentificare PEAP-MSCHAPV2, cât și metode de autentificare PEAP-GTC.

  • Cheie prepartajată (PSK): Telefonul acceptă formatul ASCII. Trebuie să utilizați acest format atunci când configurați o cheie prepartajată WPA/WPA2/SAE:

    ASCII: un șir de caractere ASCII cu o lungime de 8 până la 63 de caractere (0-9, litere mici și mari, de la A LA Z și caractere speciale)

    Exemplu: GREG123567@9ZX&W

Următoarele scheme de autentificare utilizează serverul RADIUS pentru a gestiona cheile de autentificare:

  • wpa/wpa2/wpa3: Utilizează informațiile serverului RADIUS pentru a genera chei unice pentru autentificare. Deoarece aceste chei sunt generate pe serverul RADIUS centralizat, WPA2/WPA3 oferă mai multă securitate decât chei prestabilite WPA care sunt stocate pe AP și pe telefon.

  • Roaming securizat rapid: Utilizează informațiile serverului RADIUS și ale serverului de domeniu wireless (WDS) pentru a gestiona și autentifica cheile. WDS creează o memorie cache a acreditărilor de securitate pentru dispozitivele client cu capacități FT, pentru o reautentificare rapidă și sigură. Telefoanele de birou Cisco 9861 și 9871 și Telefonul video Cisco 8875 acceptă 802.11r (FT). Atât pe calea aerului, cât și pe DS sunt acceptate pentru a permite roaming-ul rapid și sigur. Dar vă recomandăm insistent să utilizați metoda 802.11r (FT) deasupra aerului.

Cu WPA/WPA2/WPA3, cheile de criptare nu sunt introduse pe telefon, dar sunt derivate automat între AP și telefon. Dar numele de utilizator și parola EAP care sunt utilizate la autentificare trebuie să fie introduse pe fiecare telefon.

Pentru a vă asigura că traficul de voce este securizat, telefonul acceptă TKIP și AES pentru criptare. Când aceste mecanisme sunt utilizate pentru criptare, atât pachetele SIP de semnalizare, cât și pachetele de voce Real-Time Transport Protocol (RTP) sunt criptate între AP și telefon.

tkip

WPA utilizează criptarea TKIP care are mai multe îmbunătățiri față de WEP. TKIP oferă criptare cheie per pachet și vectori de inițializare mai lungi (IV) care consolidează criptarea. În plus, o verificare a integrității mesajului (MIC) asigură faptul că pachetele criptate nu sunt modificate. TKIP elimină previzibilitatea WEP care ajută intrușii să descifreze cheia WEP.

Aes (dezambiguizare)

O metodă de criptare utilizată pentru autentificarea WPA2/WPA3. Acest standard național pentru criptare utilizează un algoritm simetric care are aceeași cheie pentru criptare și decriptare. AES utilizează criptarea lanțului de blocare a cifrului (CBC) de 128 biți, care acceptă ca minim dimensiunile cheilor de 128 biți, 192 biți și 256 biți. Telefonul acceptă o dimensiune a cheii de 256 biți.

Telefoanele de birou Cisco 9861 și 9871 și telefoanele video Cisco 8875 nu acceptă protocolul de integritate a cheii Cisco (CKIP) cu CMIC.

Schemele de autentificare și criptare sunt configurate în rețeaua LAN wireless. VLAN-urile sunt configurate în rețea și pe AP-uri și specifică diferite combinații de autentificare și criptare. Un SSID se asociază cu un VLAN și cu o anumită schemă de autentificare și criptare. Pentru ca dispozitivele client wireless să se autentifice cu succes, trebuie să configurați aceleași SSID-uri cu schemele lor de autentificare și criptare pe AP-uri și pe telefon.

Unele scheme de autentificare necesită tipuri specifice de criptare.

  • Când utilizați cheia WPA pre-partajată, cheia WPA2 pre-partajată sau SAE, cheia pre-partajată trebuie să fie setată static pe telefon. Aceste chei trebuie să corespundă cheilor din AP.

  • Telefonul acceptă negocierea automată EAP pentru FAST sau PEAP, dar nu și pentru TLS. Pentru modul EAP-TLS, trebuie să îl specificați.

Schemele de autentificare și criptare din tabelul următor afișează opțiunile de configurare a rețelei pentru telefonul care corespunde configurației AP.

Tabelul 2. Scheme de autentificare și criptare
Tip FSRAutentificareGestionare cheiCriptareCadru de gestionare protejată (PMF)
802.11r (FT)psk (dezambiguizare)

wpa-psk

wpa-psk-sha256

ft-psk

Aes (dezambiguizare)Nu
802.11r (FT)Wpa3 (dezambiguizare)

sae

ft-sae

Aes (dezambiguizare)Da
802.11r (FT)eap-tls

wpa-eap

ft-eap pentru

Aes (dezambiguizare)Nu
802.11r (FT)eap-tls (wpa3)

wpa-eap-sha256

ft-eap pentru

Aes (dezambiguizare)Da
802.11r (FT)eap-rapid

wpa-eap

ft-eap pentru

Aes (dezambiguizare)Nu
802.11r (FT)eap-fast (wpa3)

wpa-eap-sha256

ft-eap pentru

Aes (dezambiguizare)Da
802.11r (FT)eap-peap

wpa-eap

ft-eap pentru

Aes (dezambiguizare)Nu
802.11r (FT)eap-peap (wpa3)

wpa-eap-sha256

ft-eap pentru

Aes (dezambiguizare)Da

Configurați profilul Wi-Fi

Puteți configura un profil Wi-Fi din pagina web a telefonului sau din resincronizarea profilului dispozitivului la distanță și apoi puteți asocia profilul la rețelele Wi-Fi disponibile. Puteți utiliza acest profil Wi-Fi pentru a vă conecta la o rețea Wi-Fi. În prezent, se poate configura un singur profil Wi-Fi.

Profilul conține parametrii necesari pentru ca telefoanele să se conecteze la serverul de telefonie cu Wi-Fi. Atunci când creați și utilizați un profil Wi-Fi, dvs. sau utilizatorii dvs. nu trebuie să configurați rețeaua wireless pentru telefoanele individuale.

Un profil Wi-Fi vă permite să preveniți sau să limitați modificările configurației Wi-Fi pe telefon de către utilizator.

Vă recomandăm să utilizați un profil securizat cu protocoale de criptare activate pentru a proteja cheile și parolele atunci când utilizați un profil Wi-Fi.

Când configurați telefoanele să utilizeze metoda de autentificare EAP-FAST în modul de securitate, utilizatorii au nevoie de acreditări individuale pentru a se conecta la un punct de acces.

1

Accesați pagina web a telefonului.

2

Selectați Voce > Sistem.

3

În secțiunea Profil Wi-Fi (n), setați parametrii așa cum este descris în următorul tabel Parametri pentru profilul Wi-Fi.

Configurația profilului Wi-Fi este disponibilă și pentru conectarea utilizatorului.
4

Faceți clic pe Trimiteți toate modificările.

Parametri pentru profilul Wi-Fi

Următorul tabel definește funcția și utilizarea fiecărui parametru în secțiunea Profil(n) Wi-Fi din fila Sistem din pagina web a telefonului. De asemenea, definește sintaxa șirului care este adăugat în fișierul de configurare a telefonului (cfg. xml) pentru a configura un parametru.

ParametruDescriere
Nume rețeaVă permite să introduceți un nume pentru SSID care se va afișa pe telefon. Mai multe profiluri pot avea același nume de rețea, cu un mod de securitate diferit.

Efectuați una din următoarele acțiuni:

  • În fișierul de configurare a telefonului cu XML (cfg. xml), introduceți un șir în acest format:

    <Network_Name_1_ ua="rw">cisco</Network_Name_1_>

  • În pagina web a telefonului, introduceți un nume pentru SSID.

Implicit Necompletat

Mod securitateVă permite să selectați metoda de autentificare utilizată pentru a securiza accesul la rețeaua Wi-Fi. În funcție de metoda pe care o alegeți, apare un câmp pentru parolă, astfel încât să puteți furniza datele de autentificare necesare pentru a vă conecta la această rețea Wi-Fi.

Efectuați una din următoarele acțiuni:

  • În fișierul de configurare a telefonului cu XML (cfg. xml), introduceți un șir în acest format:

    <Security_Mode_1_ ua="rw">EAP-TLS</Security_Mode_1_> <!-- opțiuni disponibile: Automat|EAP-RAPID|||PSK||Fără|EAP-PEAP|EAP-TLS -->

  • În pagina web a telefonului, selectați una dintre metode:
    • Automată
    • eap-rapid
    • psk (dezambiguizare)
    • Fără
    • eap-peap
    • eap-tls

Implicit Automată

ID utilizator Wi-FiVă permite să introduceți un ID de utilizator pentru profilul de rețea.

Acest câmp este disponibil atunci când setați modul de securitate la Automat, EAP-RAPID sau EAP-PEAP. Acesta este un câmp obligatoriu și permite o lungime maximă de 32 de caractere alfanumerice.

Efectuați una din următoarele acțiuni:

  • În fișierul de configurare a telefonului cu XML (cfg. xml), introduceți un șir în acest format:

    <Wi-Fi_User_ID_1_ua="rw"></Wi-Fi_User_ID_1_>

  • În pagina web a telefonului, introduceți un ID de utilizator pentru profilul de rețea.

Implicit Necompletat

Parolă Wi-FiVă permite să introduceți parola pentru ID-ul de utilizator Wi-Fi specificat.

Efectuați una din următoarele acțiuni:

  • În fișierul de configurare a telefonului cu XML (cfg. xml), introduceți un șir în acest format:

    <Wi-Fi_Password_1_ ua="rw"></Wi-Fi_Password_1_>

  • În pagina web a telefonului, introduceți o parolă pentru ID-ul de utilizator pe care l-ați adăugat.

Implicit Necompletat

Bandă de frecvențăVă permite să selectați banda de frecvență a semnalului wireless care este utilizată de rețeaua WLAN.

Efectuați una din următoarele acțiuni:

  • În fișierul de configurare a telefonului cu XML (cfg. xml), introduceți un șir în acest format:

    <Frequency_Band_1_ ua="rw">Auto</Frequency_Band_1_>

  • În pagina web a telefonului, selectați una dintre opțiunile:
    • Automată
    • 2,4 GHz
    • 5 GHz

Implicit Automată

Selectare certificatVă permite să selectați un tip de certificat pentru înregistrarea inițială a certificatului și reînnoirea certificatului în rețeaua wireless. Acest proces este disponibil numai pentru autentificarea 802.1X.

Efectuați una din următoarele acțiuni:

  • În fișierul de configurare a telefonului cu XML (cfg. xml), introduceți un șir în acest format:

    <Certificate_Select_1_ ua="rw">Procesul de fabricație este instalat</Certificate_Select_1_>

  • În pagina web a telefonului, selectați una dintre opțiunile:
    • Producție instalată
    • Personalizat instalat

Implicit Producție instalată