- Pagină de pornire
- /
- Articol
Mulțumim pentru feedback.
Certificat de dispozitiv personalizat pe 9800/8875
În acest articol
Feedback?Puteți instala un Certificat de dispozitiv personalizat (CDC) manual sau automat. Pentru anumite medii, puteți utiliza opțiunea 43 a funcției DHCP pentru a furniza parametrii SCEP pentru instalarea certificatului. Acest articol de ajutor este pentru telefonul de birou Cisco seria 9800 și telefonul video Cisco seria 8875 înregistrate la Cisco BroadWorks sau Webex Calling.
Instalarea certificatului de dispozitiv personalizat
Pentru a instala un Certificat de dispozitiv personalizat (CDC) pe telefon, utilizați una dintre următoarele metode, în funcție de situația dvs.:
Cel mai recent certificat instalat pe telefon intră în vigoare.
- Instalare manuală — puteți instala un certificat încărcându-l de pe pagina web de administrare a telefonului. Pentru detalii, consultați Instalarea manuală a certificatului de dispozitiv personalizat prin încărcare.
- Instalare automată — puteți configura parametrii Protocolului simplu de înscriere a certificatelor (SCEP) pentru a declanșa instalarea automată a unui certificat. Telefonul trimite cereri SCEP către un server SCEP pentru a instala certificatul.
Parametrii SCEP pot fi configurați prin intermediul paginii web de administrare a telefonului, al fișierului de configurare a telefonului (cfg.XML) sau al Control Hub. Pentru detalii, consultați Instalare automată a certificatului de dispozitiv personalizat de către SCEP şi Parametri pentru setările telefonului în Control Hub.
- Opțiunea 43 DHCP — În anumite medii, puteți instala un certificat utilizând opțiunea 43 DHCP. Opțiunea 43 poate furniza parametrii SCEP pentru instalarea certificatului. Pentru detalii, consultați Configurarea parametrilor SCEP prin opțiunea 43 DHCP.
-
Când utilizați opțiunea 43 DHCP pentru furnizarea parametrilor SCEP, telefonul poate prelua și numele de domeniu preluat de la opțiunea 15 DHCP. Pe baza numelui de domeniu preluat, telefonul poate construi numele comun SCEP CSR și ID-ul de utilizator 802.1X. Pentru detalii, consultați Furnizarea numelui comun sau a ID-ului de utilizator prin opțiunea 15 DHCP.
Pentru mai multe informații despre cum se configurează opțiunile DHCP, consultați Configurați opțiunile pentru DHCP.
-
Instalarea manuală a certificatului de dispozitiv personalizat prin încărcare
Puteți instala manual un Certificat de dispozitiv personalizat (CDC) pe telefon încărcând certificatul de pe pagina web de administrare a telefonului.
nainte de a începe
Înainte de a putea instala un certificat de dispozitiv personalizat pentru un telefon, trebuie să aveți:
- Un fișier de certificat (.p12 sau .pfx) salvat pe PC. Fișierul conține certificatul și cheia privată.
- Parola de extras a certificatului. Parola este utilizată pentru decriptarea fișierului certificatului.
| 1 |
Accesați pagina web de administrare a telefonului. |
| 2 |
Selecta Certificat. |
| 3 |
În Adăugați certificat secțiune, faceți clic Răsfoiți.... |
| 4 |
Răsfoiți până la certificatul de pe PC. |
| 5 |
În câmpul Parolă de extragere, introduceți parola de extragere a certificatului. |
| 6 |
Faceți clic pe Încărcare. Dacă fișierul certificatului și parola sunt corecte, veți primi mesajul „
Certificat adăugat. „. În caz contrar, încărcarea eșuează și afișează un mesaj de eroare care indică faptul că certificatul nu poate fi încărcat. |
| 7 |
Pentru a verifica detaliile certificatului instalat, faceți clic pe Vedere în Certificate existente secțiune. |
| 8 |
Pentru a elimina certificatul instalat din telefon, faceți clic pe Şterge în Certificate existente secțiune. După ce faceți clic pe buton, operațiunea de eliminare începe imediat, fără confirmare.
Dacă certificatul a fost eliminat cu succes, veți primi mesajul „ |
Instalare automată a certificatului de dispozitiv personalizat de către SCEP
Puteți configura parametrii asociați Protocolului simplu de înscriere a certificatelor (SCEP) pentru a interacționa cu serverul SCEP și a instala automat Certificatul de dispozitiv personalizat (CDC).
Odată ce oricare dintre parametrii SCEP este configurat, telefonul va trimite o cerere de înscriere SCEP către server. Telefonul va valida certificatul CA primit folosind amprenta configurată.
nainte de a începe
Înainte de a putea efectua o instalare automată a unui Certificat de dispozitiv personalizat (CDC) pentru un telefon, trebuie să aveți:
- Adresa serverului SCEP
- Amprenta SHA-1 sau SHA-256 a certificatului CA rădăcină pentru serverul SCEP
| 1 |
Accesați pagina web de administrare a telefonului. |
| 2 |
Selecta Certificat. |
| 3 |
În Configurația SCEP 1 secțiune, setați parametrii așa cum este descris în Parametri pentru configurarea SCEP . |
| 4 |
Faceți clic pe Trimitere toate modificările. |
Parametri pentru configurarea SCEP
Următorul tabel definește funcția și utilizarea parametrilor de configurare SCEP în Configurația SCEP 1 secțiunea de sub Certificat Tab în interfața web a telefonului. De asemenea, definește sintaxa șirului de caractere adăugat în fișierul de configurare al telefonului (cfg.XML) pentru a configura un parametru.
Orice modificare a parametrilor va determina telefonul să solicite un nou certificat.
| Parametru | Descriere |
|---|---|
| Server |
Adresa serverului SCEP. Acest parametru este obligatoriu. Efectuaţi una din activităţile următoare:
Valori valide: o adresă URL sau IP. Schema HTTPS nu este acceptată. Valoarea prestabilită: necompletată |
| Amprentă digitală CA rădăcină |
Amprenta SHA256 sau SHA1 a autorității de certificare rădăcină (Root CA) pentru validare în timpul procesului SCEP. Acest parametru este obligatoriu. Efectuaţi una din activităţile următoare:
Valoarea prestabilită: necompletată |
| Parolă de verificare |
Parola de verificare pentru autorizarea Certificate Authority (CA) pe telefon în timpul înscrierii unui certificat prin SCEP. Acest parametru este opțional. În funcție de mediul SCEP real, comportamentul parolei de provocare variază.
Efectuaţi una din activităţile următoare:
Valoarea prestabilită: necompletată |
| Nume comun |
Specifică numele comun (CN) utilizat ca identificator pentru telefonul care solicită certificatul. CN-ul este utilizat pentru cererea de semnare a certificatului (CSR) în procesul SCEP. Acest parametru acceptă și variabile de expansiune macro, vezi Variabile de expansiune macro pentru detalii. Efectuaţi una din activităţile următoare:
Valori valide: Maxim 64 de caractere Valoarea prestabilită: necompletată |
Reînnoirea certificatului de către SCEP
Certificatul dispozitivului poate fi reîmprospătat automat prin procesul SCEP.
- Telefonul verifică dacă certificatul va expira în 15 zile la fiecare 4 ore. În acest caz, telefonul pornește automat procesul de reînnoire a certificatului.
- Dacă parola provocării este goală, telefonul folosește MIC/SUDI atât pentru înscrierea inițială, cât și pentru reînnoirea certificatului. Dacă parola de provocare este configurată, este utilizată numai pentru înscrierea inițială, certificatul existent/instalat este utilizat pentru reînnoirea certificatului.
- Telefonul nu scoate certificatul vechi al dispozitivului până când nu îl regăsește pe cel nou.
- Dacă reînnoirea certificatului nu reușește deoarece certificatul dispozitivului sau CA expiră, telefonul declanșează automat înscrierea inițială. Între timp, dacă autentificarea cu parolă a provocării eșuează, pe ecranul telefonului apare un ecran de introducere a parolei, iar utilizatorilor li se solicită să introducă parola provocării pe telefon.
Configurația numelui comun CDC
În mod implicit, numele comun din MIC/SUDI este utilizat ca nume comun pentru CDC.
Aveți posibilitatea să configurați Common Name for CDC atunci când instalați certificatul. Utilizați una dintre următoarele metode pentru a instala un CDC pe telefon:
-
Generați o solicitare de semnare a certificatului (CSR) care conține numele comun dorit, apoi încărcați și instalați noul certificat pe pagina web administrare telefon.
-
Configurați numele comun prin intermediul paginii web de administrare a telefonului, al fișierului de configurare a telefonului (cfg. XML) sau al Control Hub. Acest lucru va determina telefonul să solicite automat un nou certificat.
Pentru mai multe informații despre parametrii din pagina web a telefonului și din Control Hub, consultați Instalarea automată a certificatului de dispozitiv particularizat de SCEP și Parametri pentru setările telefonului în Control Hub.
- Utilizați opțiunile DHCP 43 și 15 pentru a furniza numele comun pentru CDC și identitatea 802.1X cablată.
Pentru mai multe informații, consultați Asigurarea accesului la Common Name sau User ID prin opțiunea DHCP 15.
Configurarea parametrilor SCEP prin opțiunea DHCP 43
În anumite medii în care nu puteți instala certificatul de dispozitiv personalizat (CDC) încărcându-l sau configurând direct parametrii SCEP. În această situație, puteți utiliza opțiunea DHCP 43 pentru a popula parametrii de pe un server DHCP. Opțiunea DHCP 43 poate fi configurată pentru a furniza telefonului parametrii SCEP. Odată ce telefonul este resetat din fabrică, acesta poate primi parametrii de la serverul DHCP pentru a instala CDC prin protocolul SCEP.
- Această caracteristică (configurarea parametrilor SCEP prin opțiunea DHCP 43) este disponibilă numai pentru telefonul resetat la setările din fabrică.
- Telefoanele nu vor fi plasate în rețeaua care a acceptat opțiunea 43 și asigurarea accesului la distanță (de exemplu, opțiunile 66,160,159,150 sau asigurarea accesului în cloud). În caz contrar, este posibil ca telefoanele să nu primească configurațiile opțiunii 43.
Pentru a instala un certificat CDC prin parametrii SCEP furnizați din opțiunea DHCP 43, procedați astfel:
- Pregătiți un mediu SCEP.
Pentru informații despre configurarea mediului SCEP, consultați documentația serverului SCEP.
- Configurați opțiunea DHCP 43 (definită în 8.4 Informații specifice furnizorului, RFC 2132).
Subopțiunile (10-15) sunt rezervate metodei:
Parametru pe pagina web a telefonului Subopțiune Tip Lungime (octet) Obligatoriu Modul FIPS 10 boolean 1 Nu* Server 11 șir 208 - lungime (Challenge Password) Da Amprentă CA rădăcină 12 Hex 20, 32, 48 sau 64 Da Parola provocării 13 șir 208 - lungime (Server) Nu* Activarea autentificării 802.1X 14 boolean 1 Nu Selectare certificat 15 Nesemnat pe 8 biți 1 Nu * înseamnă că parametrul este configurat în funcție de situația reală.
Când utilizați opțiunea DHCP 43, observați următoarele caracteristici ale metodei:
- Subopțiunile (10–15) sunt rezervate pentru Certificatul de dispozitiv personalizat (CDC).
- Lungimea maximă a opțiunii DHCP 43 este de 255 octeți.
- Lungimea maximă a parolei server + provocare trebuie să fie mai mică de 208 octeți.
- Valoarea modului FIPS trebuie să fie în concordanță cu configurația de asigurare a accesului la integrare. În caz contrar, telefonul nu reușește să recupereze certificatul instalat anterior după integrare. Special
- Dacă telefonul va fi înregistrat într-un mediu în care modul FIPS este dezactivat, nu este necesar să configurați modul FIPS în opțiunea DHCP 43. În mod implicit, modul FIPS este dezactivat.
- Dacă telefonul va fi înregistrat într-un mediu în care modul FIPS este activat, trebuie să activați modul FIPS în opțiunea DHCP 43. Consultați Activarea modului FIPS pentru detalii.
- Parola provocării din opțiunea 43 este în text clar.
- Dacă doriți ca telefonul să utilizeze MIC/SUDI pentru înscrierea inițială și reînnoirea certificatului, lăsați parola provocării necompletată.
- Dacă parola provocării este utilizată numai pentru înscrierea inițială, configurați parola provocării. În acest caz, certificatul instalat va fi utilizat pentru reînnoirea certificatului.
- Enable 802.1X Authentication (Activare autentificare 802.1X) și Certificate Select (Selectare certificat) sunt utilizate numai pentru telefoanele din rețelele cu fir.
- DHCP opțiunea 60 (Vendor Class Identifier) este utilizată pentru a identifica modelul dispozitivului.
Exemplu de DHCP opțiunea 43 (subopțiunile 10–15):
Subopțiune zecimal/hexazecimal Lungimea valorii (octet) zecimal/hexazecimal Valoare Valoare hexagonală 10/0a 1/01 1 (0: Dezactivat; 1: Activat) 01 11/0b 18/12 http://10.79.57.91 687474703a2f2f31302e37392e35372e3931 12/0C 20/14 12040870625C5B755D73F5925285F8F5FF5D55AF 12040870625C5B755D73F5925285F8F5FF5D55AF 13/0d 16/10 D233CCF9B9952A15 44323333434346394239393532413135 14/0e 1/01 1 (0: Nu; 1: Da) 01 15/0f 1/01 1 (0: Producție instalată; 1: Personalizat instalat) 01 Rezumatul valorilor parametrilor:
-
Mod FIPS =
Activat -
Server =
http://10.79.57.91 -
Amprentă CA rădăcină =
12040870625C5B755D73F5925285F8F5FF5D55AF -
Parola provocării =
D233CCF9B9952A15 -
Activați autentificarea 802.1X =
Da -
Certificate Select =
Personalizat instalat
Sintaxa valorii hexazecimale finale este:
{<suboption><length><value>}...Conform valorilor parametrilor de mai sus, valoarea hexazecimală finală este următoarea:
0a01010b12687474703a2f2f31302e37392e35372e39310c1412040870625C5B755D73F5925285F8F5FF5D55AF0d10443233334343463942393935324131350e01010f0101 - Configurați opțiunea DHCP 43 pe un server DHCP.
Acest pas oferă un exemplu de configurații opțiunea DHCP 43 din Cisco Network Register.
- Adăugați setul de definiții de opțiuni DHCP.
Șirul de opțiuni al furnizorului este numele modelului pentru telefoanele IP. Valoarea validă este: DP-9841, DP-9851, DP-9861, DP-9871 sau CP-8875.
- Adăugați opțiunea DHCP 43 și subopțiunile la setul de definiții de opțiuni DHCP.
Exemplu:
- Adăugați opțiunile 43 la politica DHCP și configurați valoarea după cum urmează:
Exemplu:
(10 1)(11 http://10.79.57.91)(12 12040870625C5B755D73F5925285F8F5FF5D55AF)(13 D233CCF9B9952A15)(14 1)(15 1) - Verificați setările. Puteți utiliza Wireshark pentru a captura o urmă a traficului de rețea între telefon și serviciu.
- Adăugați setul de definiții de opțiuni DHCP.
- Efectuați o resetare la setările din fabrică a telefonului.
După resetarea telefonului, parametrii Server, Root CA Fingerprint și Challenge Password vor fi completați automat. Acești parametri se găsesc în secțiunea SCEP Configuration 1 din de pe pagina web de administrare a telefonului.
Pentru a verifica detaliile certificatului instalat, faceți clic pe Vizualizare în secțiunea Certificate existente.
Pentru a verifica starea instalării certificatului, selectați . Starea descărcării 1 afișează cel mai recent rezultat. Dacă apare vreo problemă în timpul înscrierii certificatului, starea descărcării poate afișa motivul problemei în scopul depanării.
Dacă autentificarea cu parolă a provocării eșuează, utilizatorilor li se va solicita să introducă parola pe ecranul telefonului.
- (Opțional): Pentru a elimina certificatul instalat de pe telefon, faceți clic pe Ștergere în secțiunea Certificate existente.
După ce faceți clic pe buton, operațiunea de eliminare începe imediat, fără o confirmare.
Asigurarea accesului la Common Name sau User ID prin opțiunea DHCP 15
În timpul înscrierii certificatului SCEP prin opțiunea DHCP 43, telefonul poate obține, de asemenea, numele de domeniu furnizat în opțiunea DHCP 15 (dacă este configurat). După ce telefonul primește numele de domeniu, acesta poate construi numele comun sau ID-ul de utilizator cu numele domeniului, care este reprezentat după cum urmează:
- Common name = <Nume comun în MIC/SUDI >.<Nume domeniu în opțiunea 15>
Numele comun va fi folosit pentru CSR în procesul SCEP, iar mai târziu va fi numele comun în CDC.
- ID utilizator = <Nume comun în MIC / SUDI >@<Nume de domeniu în opțiunea 15>
ID-ul de utilizator va fi utilizat ca identitate pentru autentificarea cu fir 802.1X.
De exemplu, adresa MAC a telefonului este 00:1A:2B:3C:4D:5E, modelul telefonului este 9871:
| Nume de domeniu în opțiunea DHCP 15 | Nume comun | IDutilizator |
|---|---|---|
| example.nl | CP-9871-SEP001A2B3C4D5E.example.nl | CP-9871-SEP001A2B3C4D5E@example.nl |
| Gol | CP-9871-SEP001A2B3C4D5E |
CP-9871-SEP001A2B3C4D5E |
Dacă numele de domeniu nu este configurat în opțiunea 15, numele comun și ID-ul de utilizator vor fi aceleași cu numele comun din MIC/SUDI.
