Установите сертификат пользовательского устройства вручную

Сертификат можно установить на телефоне вручную, выгрузив сертификат с веб-страницы администрирования телефона.

Перед началом настройки

Перед установкой сертификата пользовательского устройства на телефон необходимо иметь следующие возможности:

  • Файл сертификата (.p12 или .pfx), сохраненный на вашем ПК. Файл содержит сертификат и закрытый ключ.
  • Извлечение пароля сертификата. Пароль используется для расшифровки файла сертификата.
1

Доступ к веб-странице администрирования телефона.

2

Выберите Сертификат.

3

В разделе "Добавить сертификат " нажмите " Обзор..."

4

Выберите сертификат на своем ПК.

5

В поле Пароль для извлечения введите пароль для извлечения сертификата.

6

Нажмите Загрузить.

Если вы правильно введите файл сертификата и пароль, вы получите сообщение "Сертификат добавлен". В противном случае выгрузка завершается неудачей, выдается сообщение о том, что сертификат не может быть выгружен.
7

Чтобы проверить сведения об установленном сертификате, щелкните " Просмотр " в разделе "Существующие сертификаты".

8

Чтобы удалить установленный сертификат с телефона, нажмите кнопку « Удалить » в разделе « Существующие сертификаты».

После нажатия этой кнопки удаление начинается немедленно без подтверждения.

Если сертификат успешно удален, вы получите сообщение "Сертификат удален".

Автоматическая установка сертификата пользовательского устройства по SCEP

Вы можете настроить параметры SCEP для автоматической установки сертификата сертификата (CDC), если вы не хотите выгружать файл сертификата вручную или у вас нет файла сертификата.

При правильной настройке параметров SCEP телефон отправляет запросы на сервер SCEP, а сертификат CA подтверждается устройством с использованием определенного отпечатка пальца.

Перед началом настройки

Перед автоматической установкой сертификата пользовательского устройства для телефона необходимо:

  • Адрес SCEP-сервера
  • отпечаток ключа сертификата корневого центра SHA-1 или SHA-256 для сервера SCEP.
1

Доступ к веб-странице администрирования телефона.

2

Выберите Сертификат.

3

В разделе «Конфигурация SCEP 1 » задайте параметры, как описано в таблице «Параметры конфигурации SCEP».

4

Щелкните Submit All Changes.

Параметры конфигурации SCEP

В следующей таблице описаны функции и использование параметров конфигурации SCEP в разделе «Конфигурация SCEP 1 » на вкладке «Сертификат » веб-интерфейса телефона. Она также определяет синтаксис строки, добавляемой в файл конфигурации телефона (cfg.xml) для настройки параметра.

Таблица 1. Параметры конфигурации SCEP
ПараметрОписание
Сервер

адрес SCEP-сервера. Это обязательный параметр.

Выполните одно из следующих действий:

  • В файле конфигурации телефона с XML-кодом (cfg.xml) введите строку в следующем формате:

    <CDC_Server_1_ ua="na">http://10.79.57.91</CDC_Server_1_>

  • На веб-странице телефона введите адрес сервера SCEP.

Допустимые значения: URL-адрес или IP адрес. Схема HTTPS не поддерживается.

Значение по умолчанию: пустое

Укоренение корневого CA

SHA256 или SHA1 для идентификации корневого CA для проверки в ходе процесса SCEP. Это обязательный параметр.

Выполните одно из следующих действий:

  • В файле конфигурации телефона с XML-кодом (cfg.xml) введите строку в следующем формате:

    <CDC_Root_CA_Fingerprint_1_ ua="na">12040870625C5B755D73F5925285F8F5FF5D55AF</CDC_Root_CA_Fingerprint_1_>

  • На веб-странице телефона введите допустимый отпечаток пальца.

Значение по умолчанию: пустое

Вызов пароля

Пароль вызова для авторизации Certificate Authority (CA) для телефона во время регистрации сертификата через SCEP. Это необязательный параметр.

В зависимости от реальной среды SCEP поведение пароля вызова меняется.

  • Если телефон получает сертификат от Cisco RA, который связывается с CA, пароль вызова не поддерживается в СА. В этом случае Cisco RA использует MIC/SUDI телефона для аутентификации для доступа к СА. Телефон использует MIC/SUDI для первоначальной регистрации и обновления сертификата.
  • Если телефон получает сертификат путем прямого обмена данными с СА, в СА поддерживается пароль вызова. Если настроено, он будет использоваться только для первоначальной регистрации. Для обновления сертификата вместо него будет использоваться установленный сертификат.

Выполните одно из следующих действий:

  • В файле конфигурации телефона с XML-кодом (cfg.xml) введите строку в следующем формате:

    <CDC_Challenge_Password_1_ ua="na"></CDC_Challenge_Password_1_>

    Пароль замаскирован в файле конфигурации.

  • На веб-странице телефона введите пароль для вызова.

Значение по умолчанию: пустое

настройка параметров SCEP через DHCP параметр 43

Помимо регистрации сертификата SCEP, применяемого вручную на веб-странице телефона, можно также использовать параметр 43 DHCP для заполнения параметров с DHCP сервера. Параметр DHCP 43 предварительно настраивается с параметрами SCEP, так что позже телефон может получить параметры с DHCP сервера для регистрации сертификатов SCEP.

  • Конфигурация параметров SCEP через DHCP параметр 43 доступна только для телефона, на котором выполнен сброс до заводских настроек.
  • Телефоны не должны размещаться в сети, которая поддерживает как параметр 43, так и удаленную подготовку (например, параметры 66,160,159,150 или выделение облачных ресурсов). В противном случае телефоны могут не получить конфигурации параметра 43.

Чтобы зарегистрировать сертификат SCEP путем настройки параметров SCEP в параметре DHCP 43, выполните следующие действия

  1. Подготовьте среду SCEP.

    Для получения информации о настройке среды SCEP см. документацию на сервер SCEP.

  2. Настройка DHCP параметру 43 (определяется в версии 8.4 «Сведения о поставщике», RFC 2132).

    Подопья (10–15) зарезервированы для метода:

    Параметр на веб-странице телефонаПодсопровожениеТипДлина (байт)Обязательный
    Режим FIPS10булев1Нет*
    Сервер11строка208 — длина (пароль вызова)Да
    Укоренение корневого CA12двоичный20 или 32Да
    Вызов пароля13строка208 — длина (сервер)Нет*
    Включение аутентификации 802.1X14булев1Нет
    Выбор сертификата15неподписанный 8-битный1Нет

    При использовании параметра DHCP 43 следует учесть следующие характеристики этого метода:

    • Субподзоры (10–15) зарезервированы для сертификата пользовательского устройства (CDC).
    • Максимальная длина DHCP параметру 43 составляет 255 байт.
    • Максимальная длина поля "Сервер + пароль вызова" должна быть менее 208 байт.
    • Значение режима FIPS должно соответствовать конфигурации по включенной подготовке. В противном случае телефон не сможет извлечь ранее установленный сертификат после включения в систему. Конкретно
      • Если телефон будет зарегистрирован в среде, где режим FIPS отключен, настройку параметра «Режим FIPS» в параметре DHCP 43 не требуется. По умолчанию режим FIPS отключен.
      • Если телефон будет зарегистрирован в среде, где включен режим FIPS, режим FIPS необходимо включить в DHCP параметру 43. Подробнее см . раздел «Включение режима FIPS».
    • Пароль в параметре 43 отображается чистым текстом.

      Если пароль для вызова пуст, телефон использует MIC/SUDI для первоначальной регистрации и обновления сертификата. Если пароль вызова настроен, он используется только для первоначальной регистрации, а установленный сертификат будет использоваться для обновления сертификата.

    • Включение аутентификации 802.1X и выбора сертификатов используются только на телефонах в проводной сети.
    • DHCP для идентификации модели устройства используется параметр 60 (идентификатор класса поставщика).

    В следующей таблице приводится пример DHCP параметра 43 (подопеки 10–15):

    Подопечная десятичная дробь/гексДлина значения (байт) десятичное значение/шестнадцатеричноеЗначениеЗначение в hex-миксе
    10/0a1/011 (0: выключено; 1: включено)01
    11/0b18/12http://10.79.57.91687474703a2f2f31302e37392e35372e3931
    12/0c20/1412040870625C5B755D73F5925285F8F5FF5D55AF12040870625C5B755D73F5925285F8F5FF5D55AF
    13/0d16/10D233CCF9B9952A1544323333434346394239393532413135
    14/0e1/011 (0: Нет; 1: Да)01
    15/0f1/011 (0: Установлено на производстве; 1: Пользовательское установлено) 01

    Сводная информация по значениям параметров:

    • Режим FIPS = включен

    • Сервер = http://10.79.57.91

    • Укоренение корневого CA = 12040870625C5B755D73F5925285F8F5FF5D55AF

    • Пароль вызова = D233CCF9B9952A15

    • Включить аутентификацию 802.1X = Да

    • Certificate Select = Пользовательское установлено

    Последнее значение в hex:{<suboption><length><удижение>}...

    Согласно приведенным выше значениям параметра, итоговое значение в hex выдается следующим образом:

    0a01010b12687474703a2f2f31302e37392e35372e39310c1412040870625C5B755D73F5925285F8F5FF5D55AF0d10443233334343463942393935324131350e01010f0101

  3. Настройте параметр DHCP 43 на DHCP-сервере.

    На этом шаге приведен пример конфигурации DHCP параметра 43 в Cisco Network Register.

    1. Добавьте DHCP набор определений параметров.

      Строка параметров поставщика — это имя модели IP телефонов. Допустимое значение: DP-9841, DP-9851, DP-9861, DP-9871 или CP-8875.

    2. Добавьте DHCP 43 и субподзоры в набор определений DHCP вариантов.

      Пример.

      Снимок экрана: DHCP определений параметра 43 в Cisco Network Register

    3. Добавьте параметры 43 в политику DHCP и задайте значение следующим образом:

      Пример.

      (10 1)(11 http://10.79.57.91)(12 12040870625C5B755D73F5925285F8F5FF5D55AF)(13 D233CCF9B9952A15)(14 1)(15 1)

    4. Проверьте настройки. С помощью Wireshark можно отслеживать сетевой трафик между телефоном и службой.
  4. Выполните сброс до заводских настроек для телефона.

    После сброса телефона автоматически заполняются параметры «Сервер», «Идентификация корневого CA» и «Пароль вызова». Эти параметры размещены в разделе «Конфигурация SCEP 1 » из раздела Certificate > Custom на веб-странице администрирования телефона.

    Чтобы проверить сведения об установленном сертификате, щелкните " Просмотр " в разделе "Существующие сертификаты".

    Чтобы проверить статус установки сертификата, выберите «Сертификат > Custom Cert Status». Статус загрузки 1 отображает последний результат. Если возникают какие-либо проблемы при регистрации сертификата, статус загрузки может показать причину этой проблемы для устранения неполадок.

    Если аутентификация при проверке пароля вызова терпит сбой, пользователям будет предложено ввести пароль на экране телефона.
  5. (Необязательно): чтобы удалить установленный сертификат с телефона, нажмите кнопку « Удалить » в разделе «Существующие сертификаты».
    После нажатия этой кнопки удаление начинается немедленно без подтверждения.

Продление сертификата scep

Сертификат устройства может быть обновлен автоматически в рамках процесса SCEP.

  • Телефон проверяет, не истекает ли срок действия сертификата через 15 дней каждые 4 часа. В этом случае телефон автоматически начинает обновление сертификата.
  • Если пароль для вызова пуст, телефон использует MIC/SUDI как для первоначальной регистрации, так и для обновления сертификата. Если пароль вызова настроен, он используется только для начальной регистрации, существующий/установленный сертификат используется для обновления сертификата.
  • Телефон не удаляет сертификат старого устройства, пока не извлекает новое.
  • Если продление сертификата заканчивается, потому что сертификат устройства или СА истекает, телефон инициирует начальную регистрацию автоматически. В то же время, если аутентификация пароля вызова терпит сбой, на экране телефона появляется экран ввода пароля, и пользователям предлагается ввести пароль на телефоне.

Включение режима FIPS

Можно сделать телефон совместимым с FIPS.

FIPS представляют собой набор стандартов, которые описывают обработку документов, алгоритмы шифрования и другие стандарты информационных технологий для использования в рамках невоинского правительства и государственных подрядчиков и поставщиков, которые работают с учреждениями. CiscoSSL FOM (объектный модуль FIPS) — это тщательно определенный программный компонент, предназначенный для совместимости с библиотекой CiscoSSL. Поэтому продукты, использующие библиотеку CiscoSSL и API, могут быть преобразованы для использования криптографии, проверенной стандартом FIPS 140-2, с минимальными усилиями.

1

Доступ к веб-странице администрирования телефона.

2

Выберите Голосовая связь > Система.

3

В разделе «Параметры безопасности» в параметре «Режим FIPS» выберите « Да» или « Нет ».

4

Щелкните Submit All Changes.

При включении FIPS на телефоне бесперебойно работают перечисленные ниже функции
  • Аутентификация образов
  • Защищенное хранилище
  • Шифрование файлов конфигурации;
  • TLS:
    • HTTP
    • Выгрузка PRT
    • Обновление микропрограммного обеспечения
    • Повторная синхронизация профиля
    • Услуга на борту
    • включение Webex
    • SIP поверх TLS
    • 802.1x (проводная)
  • SIP-дайджест (RFC 8760)
  • SRTP
  • Webex журналы вызовов и Webex каталог
  • Нажатие одной кнопки (OBTP)

Удаление сертификата безопасности вручную

Сертификат безопасности можно удалить с телефона вручную, если протокол SCEP (Simple Certificate Enrollment Protocol) недоступен.

1

На веб-странице администрирования телефона выберите Сертификаты.

2

Найдите сертификат на странице Сертификаты.

3

Щелкните «Удалить».

4

После завершения процесса удаления перезагрузите телефон.

Введите пароль пользователя и администратора

После первой регистрации телефона в системе обработки вызовов или выполнения сброса до заводских настроек необходимо задать пароль пользователя и администратора, чтобы повысить его безопасность. Только когда пароль задан, вы можете отправить изменения с веб-страницы телефона.

По умолчанию на телефоне включено предупреждение об отсутствии пароля. Если на телефоне нет пароля пользователя или администратора, отображается следующее предупреждение:

  • На веб-странице телефона отображается сообщение «Пароль администратора не предоставлен. Сеть находится в режиме только для чтения, и вы не можете отправлять изменения. Пожалуйста, измените пароль." в левом верхнем углу.

    В полях "Пароль пользователя" и "Пароль администратора" отображается предупреждение "Пароль не предоставлен" соответственно, если он пуст.

  • На экране телефона отображается проблема «Не предоставлен пароль».
1

Доступ к веб-странице администрирования телефона

2

Выберите Голосовая связь > Система.

3

(Необязательно) В разделе "Конфигурация системы" задайте для параметра Display Password Warnings значение "Да" и нажмите " Отправить все изменения".

Кроме того, можно включить параметры в файле конфигурации телефона (cfg.xml).

<Display_Password_Warnings ua=">Yes</Display_Password_Warnings>

Значение по умолчанию: Да

Параметры: Да|Нет

Если для параметра задано значение «Нет», предупреждение о пароле не отображается ни на веб-странице, ни на экране телефона. Кроме того, режим только "готов" для интернет-страницы не будет активирован, даже если пароль пуст.

4

Найдите параметры «Пароль пользователя» или «Пароль администратора» и щелкните « Изменить пароль » рядом с ним.

5

Введите текущий пароль пользователя в поле Старый пароль.

Если у вас нет пароля, оставьте поле пустым. По умолчанию значение не указано.
6

Введите новый пароль в поле Новый пароль.

7

Нажмите Отправить.

На веб-странице отобразится сообщение Password has been changed successfully. (Пароль успешно изменен). Веб-страница обновится через несколько секунд. Предупреждение рядом с параметром исчезнет.

После задания пароля пользователя в этом параметре в XML-файле конфигурации телефона (cfg. XML) отображается следующее:

<!-- <Admin_Password ua="na">*************</Admin_Password> <User_Password ua="rw">*************</User_Password> -->

Если при попытке открыть веб-страницу телефона код ошибки 403, необходимо задать пароль пользователя или администратора, выполнив подготовку в файле конфигурации телефона (cfg.xml). Например, введите строку в таком формате:

<Admin_Password ua="na">P0ssw0rd_tes89</Admin_Password>

<User_Password ua="rw">Abc123</User_Password>

Аутентификация 802.1X

Телефоны Cisco IP поддерживают аутентификацию 802.1X.

Телефоны Cisco IP и коммутаторы Cisco Catalyst традиционно используют протокол CDP для определения друг друга, а также таких параметров, как выделение VLAN и требования к питанию на линии. CDP не определяет локально подключенные рабочие станции. Телефоны Cisco IP предоставляют сквозной механизм EAPOL. Этот механизм позволяет рабочей станции, подключенной к телефону Cisco IP, передавать сообщения EAPOL на средство аутентификации 802.1X, размещенное на коммутаторе локальной сети. Сквозной механизм гарантирует, что IP-телефон не будет выполнять роль коммутатора локальной сети для аутентификации оконечного устройства данных перед получением доступа к сети.

Телефоны Cisco IP также предоставляют механизм выхода из прокси-сервера EAPOL. Если локально подключенный ПК отключается от IP-телефона, коммутатор локальной сети не видит сбоя физического канала, так как поддерживается канал между коммутатором локальной сети и IP-телефоном. Во избежание нарушения целостности сети IP-телефон передает сообщение о выходе EAPOL на коммутатор от лица расположенного ниже ПК, что приводит к очистке коммутатором локальной сети записи аутентификации о расположенном ниже ПК.

Для поддержки аутентификации 802.1X требуются несколько компонентов.

  • Телефон Cisco IP: телефон инициирует запрос на доступ к сети. Телефоны Cisco IP содержат запрашивающее устройство 802.1X. Это запрашивающее устройство позволяет администраторам сети управлять подключением IP-телефонов к портам коммутатора локальной сети. Текущая версия запрашивающего устройства 802.1X на телефоне использует параметры EAP-FAST и EAP-TLS для аутентификации в сети.

  • Сервер аутентификации: и сервер аутентификации, и коммутатор должны быть настроены с использованием общего секрета, который аутентифицирует телефон.

  • Коммутатор: чтобы коммутатор мог действовать в качестве средства аутентификации и передавать сообщения между телефоном и сервером аутентификации, он должен поддерживать стандарт 802.1X. По завершении обмена коммутатор предоставляет телефону доступ к сети или отказывает в доступе.

Для настройки 802.1X необходимо выполнить следующие действия.

  • Настройте другие компоненты, прежде чем включить аутентификацию 802.1X на телефоне.

  • Настройка порта ПК: в стандарте 802.1X не учтены виртуальные локальные сети (VLAN), поэтому рекомендуется, чтобы только одно устройство проходило аутентификацию для определенного порта коммутатора. Однако некоторые коммутаторы поддерживают аутентификацию в нескольких доменах. Конфигурация коммутатора определяет, можно ли подключать ПК к порту ПК на телефоне.

    • Включено: если используется коммутатор, который поддерживает аутентификацию в нескольких доменах, можно включить порт ПК и подсоединить к нему ПК. В этом случае телефоны Cisco IP поддерживают выход с прокси-сервера EAPOL для отслеживания обмена данными аутентификации между коммутатором и подключенным ПК.

      Дополнительные сведения о поддержке IEEE 802.1X на коммутаторах Cisco Catalyst см. в руководствах по конфигурации коммутаторов Cisco Catalyst:

      http://www.cisco.com/en/US/products/hw/switches/ps708/tsd_products_support_series_home.html.

    • Отключено: если коммутатор не поддерживает несколько совместимых со стандартом 802.1X устройств на одном и том же порту, то при включенной аутентификации по 802.1X необходимо отключить порт ПК. Если вы не отключите этот порт и впоследствии попытаетесь подключить к нему ПК, коммутатор откажет в доступе к сети и телефону, и ПК.

  • Настройка голосовой VLAN: так как в стандарте 802.1X не учтены виртуальные локальные сети (VLAN), необходимо настроить этот параметр в зависимости от характеристик коммутатора.
    • Включено: если вы используете коммутатор, поддерживающий аутентификацию в нескольких доменах, можно продолжить использовать голосовую VLAN.
    • Отключено: если коммутатор не поддерживает аутентификацию в нескольких доменах, отключите голосовую VLAN и рассмотрите возможность назначения этого порта обычной VLAN.
  • (Только для настольных телефонов Cisco серии 9800)

    Настольное телефонное устройство Cisco серии 9800 имеет в PID другой префикс, чем у других телефонов Cisco. Чтобы телефон мог проходить аутентификацию 802.1X, задайте «Радиус» Параметр User-Name (Имя пользователя), включающее в себя настольный телефон Cisco серии 9800.

    Например, PID для телефона 9841 — DP-9841; можно задать Радиус. Имя пользователя для начала с DP или содержит DP. Его можно установить в обоих следующих разделах:

    • Политика > Кондиции > Обусловы по лизме

    • Политика > Наборы политики> Политика аутентификации> Правило 1

Включить аутентификацию 802.1X

Если аутентификация 802.1X включена, телефон использует аутентификацию 802.1X для запроса доступа к сети. Если аутентификация 802.1X отключена, телефон использует Cisco Discovery Protocol (CDP) для получения VLAN и доступа к сети. Кроме того, в меню экрана телефона можно просмотреть состояние транзакции и изменить ее.

Если аутентификация 802.1X включена, можно также выбрать сертификат устройства (MIC/SUDI или пользовательский) для первоначальной регистрации и обновления сертификата. Обычно MIC — для Cisco Video Phone 8875, SUDI — для настольных телефонов Cisco серии 9800. CDC можно использовать для аутентификации только в 802.1x.

1

Для включения аутентификации 802.1X выполните одно из следующих действий:

  • В веб-интерфейсе телефона выберите Voice > System и задайте для параметра «Включить аутентификацию 802.1X» значение «Да». Затем нажмите Отправить все изменения.
  • В файле конфигурации телефона (cfg.xml) введите строку в следующем формате:

    <Enable_802.1X_Authentication ua="rw">Yes</Enable_802.1X_Authentication>

    Допустимые значения: Да/Нет

    Значение по умолчанию: Нет

  • Нажмите на телефоне кнопку «Настройки» the Settings hard keyи перейдите в раздел «Параметры сети и службы > Безопасность > 802.1X». Переключите поле аутентификации устройства в «Вкл.» и нажмите « Применить».
Таблица 2. Параметры для аутентификации 802.1X на экране телефона

Параметры

Параметры

По умолч.

Описание

Аутентификация устройства

Вкл

Выкл.

Выкл.

Включите или выключите аутентификацию 802.1X на телефоне.

Состояние транзакции

Отключено

Отображает состояние аутентификации 802.1X. Состояние может быть (не ограничиваясь):

  • Аутентификация: указывает, что выполняется процесс аутентификации.
  • Аутентификация выполнена: указывает, что телефон прошел аутентификацию.
  • Отключено: указывает, что аутентификация 802.1x отключена на телефоне.

Протокол

Нет

Отображает метод EAP, используемый для аутентификации 802.1X. Это может быть протокол EAP-FAST или EAP-TLS.

Тип сертификата пользователя

На производстве установлено

Настраиваемая установка

На производстве установлено

Выберите сертификат для аутентификации 802.1X при первоначальной регистрации и обновлении сертификата.

  • На производстве установлено — используется сертификат, установленный на производстве (MIC) и защищенный уникальный идентификатор устройства (SUDI).
  • Настраиваемая установка — используется сертификат пользовательского устройства (CDC). Сертификат этого типа можно установить либо вручную на веб-странице телефона, либо с сервера SCEP.

Этот параметр появляется на телефоне, только если включена аутентификация устройства.

2

Выберите сертификат (MIC или пользовательский) для аутентификации 802.1X на веб-странице телефона.

  • Для проводной сети выберите Voice>System, а тип сертификата выберите в раскрывающемся списке Certificate Select в разделе «Аутентификация 802.1X».

    Этот параметр также можно настроить в файле конфигурации (cfg.xml).

    <Certificate_Select ua="rw">Custom установлено</Certificate_Select>

    Допустимые значения: установлено на производстве |Настраиваемая установка

    По умолчанию: установлено на производстве

  • Для беспроводной сети выберите Voice>System, выберите тип сертификата в раскрывающемся списке «Сертификат выбрать » в разделе Wi-Fi Профиль 1.

    Этот параметр также можно настроить в файле конфигурации (cfg.xml).

    <Wi-Fi_Certificate_Select_1_ ua="rw">Custom установлено</Wi-Fi_Certificate_Select_1_>

    Допустимые значения: установлено на производстве |Настраиваемая установка

    По умолчанию: установлено на производстве

Сведения о выборе типа сертификата на экране телефона см. в разделе «Подключение телефона к сети Wi-Fi».

Настройка прокси-сервера

Можно настроить телефон на использование прокси-сервера для повышения безопасности. Обычно прокси-сервер HTTP может предоставлять следующие службы:

  • Маршрутизация трафика между внутренними и внешними сетями
  • фильтрация, мониторинг или регистрация трафика
  • Кэширование ответов для повышения производительности

Кроме того, прокси-сервер HTTP может выступать в качестве брандмауэра между телефоном и Интернетом. После успешной конфигурации телефон подключается к Интернету через прокси-сервер, который защищает телефон от кибератак.

Функция HTTP-прокси при настройке применяется ко всем приложениям, используюским протокол HTTP. Пример:

  • GDS (Подключение с кодом активации)
  • Активация устройства EDOS
  • Включение в облако Webex (через EDOS или GDS)
  • Пользовательский CA
  • Инициализация
  • Обновление микропрограммного обеспечения
  • Отчет о состоянии телефона
  • Выгрузка PRT
  • Службы XSI
  • Службы Webex

В настоящее время функция поддерживает только IPv4.

1

Доступ к веб-странице администрирования телефона.

2

Выберите Голосовая связь > Система.

3

В разделе « Параметры прокси-сервера HTTP» выберите режим прокси в раскрывающемся списке «Режим прокси-сервера » и настройте соответствующие параметры.

Для каждого режима прокси требуется задать разные параметры. Подробная информация приведена в следующей таблице:
Режим проксиТребуемые параметрыОписание
Выкл.Н/ДНа телефоне отключен http-прокси.
ВручнуюУзел прокси-сервера

Порт прокси-сервера

Аутентификация прокси-сервера: да

Имя пользователя

Пароль

Вручную укажите прокси-сервер (имя хоста или IP адрес) и порт прокси-сервера. Если для прокси-сервера требуется проверка подлинности, необходимо ввести имя пользователя и пароль.
Узел прокси-сервера

Порт прокси-сервера

Аутентификация прокси-сервера: нет

Укажите прокси-сервер вручную. Для прокси-сервера не требуются учетные данные проверки подлинности.
АвтоАвтоматическое обнаружение веб-прокси: нет

URL PAC

Введите допустимый URL PAC, чтобы извлечь файл PAC.
Автоматическое обнаружение веб-прокси: да

Используется протокол WPAD для автоматического извлечения PAC-файла.

Дополнительные сведения об этом см. в разделе «Параметры параметров прокси-сервера HTTP».

4

Щелкните Submit All Changes.

Параметры параметров прокси-сервера HTTP

В следующей таблице описаны функции и использование параметров HTTP-прокси в разделе «Настройки прокси-сервера HTTP» на вкладке «Голос > System » веб-интерфейса телефона. Здесь также определяется синтаксис строки, добавляемой в файл конфигурации телефона с XML-кодом (cfg.xml), для настройки параметра.

ПараметрОписание
Режим проксиУказывает режим HTTP-прокси, используемый телефоном, или отключает функцию HTTP-прокси.
  • Авто

    Телефон автоматически извлекает файл автоматической конфигурации прокси (PAC) для выбора прокси-сервера. В этом режиме можно определить, следует ли использовать протокол автоматического обнаружения веб-прокси (WPAD) для получения файла PAC или вручную ввести допустимый URL-адрес файла PAC.

    Подробнее об этих параметрах см. в разделе «Автоматическое обнаружение веб-прокси» и «URL PAC» в этой таблице.

  • Вручную

    Необходимо вручную указать сервер (имя хоста или IP-адрес) и порт прокси-сервера.

    Дополнительные сведения о параметрах см. в разделах Узел прокси-сервера и Порт прокси-сервера.

  • Выкл.

    На телефоне можно отключить функцию HTTP-прокси.

Выполните одно из следующих действий:

  • В файле конфигурации телефона с XML-кодом (cfg.xml) введите строку в следующем формате:

    <Proxy_Mode ua="rw">Off</Proxy_Mode>

  • В веб-интерфейсе телефона выберите режим прокси-сервера или отключите эту функцию.

Допустимые значения: «Авто», «Вручную» и «Выкл.»

Значение по умолчанию: «Выкл.»

Автоматическое обнаружение веб-проксиОпределяет, использует ли телефон протокол автоматического обнаружения веб-прокси (WPAD) для получения PAC-файла.

Для автоматического обнаружения файла автоматической конфигурации прокси-сервера (PAC) протокол WPAD использует DHCP или DNS или оба сетевых протокола. Файл PAC используется для выбора прокси-сервера для заданного URL-адреса. Этот файл может размещаться локально или в сети.

  • Настройка параметра вступает в силу, если для параметра Режим прокси установлено значение Авто.
  • Если для параметра установлено значение Нет, необходимо указать URL-адрес PAC.

    Подробнее об этом параметре см. в разделе «URL PAC» в этой таблице.

Выполните одно из следующих действий:

  • В файле конфигурации телефона с XML-кодом (cfg.xml) введите строку в следующем формате:

    <Web_Proxy_Auto_Discovery ua="rw">Yes</Web_Proxy_Auto_Discovery>

  • При необходимости в веб-интерфейсе телефона выберите значение «Да» или «Нет ».

Допустимые значения: Да и Нет

Значение по умолчанию: Да

URL PACURL-адрес файла PAC.

Например, http://proxy.department.branch.example.com

Поддерживаются протоколы TFTP, HTTP и HTTPS.

Если для режима прокси-сервера задано значение «Авто и автоматическое обнаружение веб-прокси» значение «Нет», необходимо настроить этот параметр.

Выполните одно из следующих действий:

  • В файле конфигурации телефона с XML-кодом (cfg.xml) введите строку в следующем формате:

    <PAC_URL ua="rw">http://proxy.department.branch.example.com/pac</PAC_URL>

  • В веб-интерфейсе телефона введите допустимый URL-адрес, который указывает на файл PAC.

Значение по умолчанию: пустое

Узел прокси-сервераIP-адрес или имя хоста узла прокси-сервера, к которому должен обращаться телефон. Пример:

proxy.example.com

Схема (http:// или https://) не требуется.

Если для параметра Режим прокси задано значение Вручную, необходимо настроить этот параметр.

Выполните одно из следующих действий:

  • В файле конфигурации телефона с XML-кодом (cfg.xml) введите строку в следующем формате:

    <Proxy_Host ua="rw">proxy.example.com</Proxy_Host>

  • В веб-интерфейсе телефона введите IP-адрес или имя хоста прокси-сервера.

Значение по умолчанию: пустое

Порт прокси-сервераНомер порта узла прокси-сервера.

Если для параметра Режим прокси задано значение Вручную, необходимо настроить этот параметр.

Выполните одно из следующих действий:

  • В файле конфигурации телефона с XML-кодом (cfg.xml) введите строку в следующем формате:

    <Proxy_Port ua="rw">3128</Proxy_Port>

  • В веб-интерфейсе телефона введите порт сервера.

Значение по умолчанию: 3128

Аутентификация прокси-сервераОпределяет, должен ли пользователь предоставлять учетные данные для аутентификации (имя пользователя и пароль), необходимые прокси-серверу. Этот параметр настраивается в соответствии с фактическим поведением прокси-сервера.

Если для параметра установлено значение Да, необходимо настроить Имя пользователя и Пароль.

Подробнее об этих параметрах см. в параметрах "Имя пользователя" и "Пароль" в этой таблице.

Настройка параметра вступает в силу, если для параметра Режим прокси установлено значение Вручную.

Выполните одно из следующих действий:

  • В файле конфигурации телефона с XML-кодом (cfg.xml) введите строку в следующем формате:

    <Proxy_Authentication ua="rw">No</Proxy_Authentication>

  • При необходимости задайте это поле «Да» или «Нет » в веб-интерфейсе телефона.

Допустимые значения: Да и Нет

Значение по умолчанию: Нет

Имя пользователяИмя пользователя для пользователя учетных данных на прокси-сервере.

Если значение «Прокси-режим » — «Вручную », а для аутентификации прокси-сервера — значение «Да», необходимо настроить этот параметр.

Выполните одно из следующих действий:

  • В файле конфигурации телефона с XML-кодом (cfg.xml) введите строку в следующем формате:

    <Proxy_Username ua="rw">Пример</Proxy_Username>

  • В веб-интерфейсе телефона введите имя пользователя.

Значение по умолчанию: пустое

ПарольПароль для указанного имени пользователя для целей аутентификации на прокси-сервере.

Если значение «Прокси-режим » — «Вручную », а для аутентификации прокси-сервера — значение «Да», необходимо настроить этот параметр.

Выполните одно из следующих действий:

  • В файле конфигурации телефона с XML-кодом (cfg.xml) введите строку в следующем формате:

    <Proxy_Password ua="rw">Пример</Proxy_Password>

  • В веб-интерфейсе телефона введите действительный пароль для аутентификации пользователя на прокси-сервере.

Значение по умолчанию: пустое

Включите режим, инициированный клиентом для согласования безопасности на уровне сред передачи

Для защиты сеансов работы с мультимедиа телефон можно настроить на инициирование согласования с сервером плана безопасной передачи информации. Механизм безопасности соответствует стандартам, установленным в RFC 3329 и проекте его добавочного номера «Названия механизмов безопасности для сред передачи » (см. https://tools.ietf.org/html/draft-dawes-sipcore-mediasec-parameter-08#ref-2). Транспорт согласований между телефоном и сервером может использовать протокол SIP по UDP, TCP и TLS. Согласование безопасности плана передачи информации можно ограничить случаем, когда протоколом передачи сигналов служит TLS.

1

Доступ к веб-странице администрирования телефона.

2

Выберите Голосовая связь > Доб.(n).

3

В разделе «Параметры SIP» задайте поля MediaSec Request и MediaSec Over TLS Only , как указано в таблице ниже:

Таблица 3. Параметры для согласования безопасности на плоскости сред
ПараметрОписание

Запрос MediaSec

Указывает, будет ли телефон инициировать согласование безопасности в плане передачи информации с сервером.

Выполните одно из следующих действий:

  • В файле конфигурации телефона с XML-кодом (cfg.xml) введите строку в следующем формате:

    <MediaSec_Request_1_ ua="na">Yes</MediaSec_Request_1_>
  • В веб-интерфейсе телефона задайте в этом поле значение Да или Нет.

Допустимые значения: Да/Нет

  • Да— режим инициирования клиентом Телефон инициирует согласование безопасности в плане передачи информации.
  • Нет— режим инициирования сервером Сервер инициирует согласование безопасности в плане передачи информации. Телефон не инициирует согласования, но может обрабатывать запросы сервера на согласование для установления безопасных вызовов.

Значение по умолчанию: Нет

Только MediaSec по TLS

Указывает транспортный протокол сигнализации, по которому выполняется согласование безопасности в плане передачи информации.

Прежде чем задать в этом поле значение Да, обязательно выберите TLS в качестве транспортного протокола сигнализации.

Выполните одно из следующих действий:

  • В файле конфигурации телефона с XML-кодом (cfg.xml) введите строку в следующем формате:

    <MediaSec_Over_TLS_Only_1_ ua="na">No</MediaSec_Over_TLS_Only_1_>

  • В веб-интерфейсе телефона задайте в этом поле значение Да или Нет.

Допустимые значения: Да/Нет

  • Да— телефон инициирует или обрабатывает согласование безопасности в плане передачи информации, если транспортным протоколом сигнализации является TLS.
  • Нет— телефон инициирует и управляет согласованием безопасности в плане передачи информации вне зависимости от выбранного транспортного протокола сигнализации.

Значение по умолчанию: Нет

4

Щелкните Submit All Changes.

безопасность WLAN

Так как все устройства беспроводной сети, расположенные в пределах радиуса действия, могут получать весь остальной трафик беспроводной сети, обеспечение безопасности голосовой связи является критически важной задачей в беспроводных локальных сетях. Телефон поддерживается архитектурой Cisco SAFE Security, чтобы злоумышленники не могли манипулировать и не перехватывать голосовой трафик. Дополнительные сведения о безопасности в сетях см. на странице http://www.cisco.com/en/US/netsol/ns744/networking_solutions_program_home.html.

Решение для беспроводной IP телефонии Cisco обеспечивает защиту беспроводной сети, предотвращая несанкционированный вход и скомпрометирование связи, используя следующие методы аутентификации, поддерживаемые телефоном:

  • Открытая аутентификация: в открытой системе любое беспроводное устройство может запросить аутентификацию. Точка доступа, которая получает запрос, может аутентифицировать любое запрашивающее лицо или только тех запрашивающих лиц, которые включены в список пользователей. Связь между беспроводным устройством и точкой доступа (точка доступа) может быть нешифровой.

  • Аутентификация с помощью защищенного туннелирования (EAP-FAST): эта архитектура безопасности клиента-сервера обеспечивает шифрование EAP транзакций в туннеле уровня безопасности TLS между точкой доступа и сервером РАДИУС, например, identity Services Engine (ISE).

    TLS-туннель использует учетные данные для защищенного доступа (PAC) для выполнения аутентификации между клиентом (телефоном) и сервером RADIUS. Сервер отправляет идентификатор AID клиенту (телефону), который в свою очередь выбирает подходящий PAC. Клиент (телефон) возвращает PAC-Opaque на сервер RADIUS. Сервер расшифровывает PAC с помощью первичного ключа. Обе конечные точки теперь имеют ключ PAC, и создается TLS-туннель. EAP-FAST поддерживает автоматическую подготовку PAC, однако вам необходимо включить ее на сервере RADIUS.

    В ISE по умолчанию PAC истекает в течение одной недели. Если в телефоне есть PAC с истекшим сроком действия, аутентификация на сервере RADIUS занимает дольше времени, пока телефон получает новый PAC. Чтобы избежать задержек с подготовкой PAC, задайте на сервере ISE или RADIUS срок действия PAC не менее 90 дней.

  • Аутентификация по протоколу EAP-TLS: для аутентификации и предоставления доступа к сети протоколу EAP-TLS требуется сертификат клиента. Для беспроводных EAP-TLS сертификатом клиента может быть MIC, LSC или установленный пользователем сертификат.

  • Протокол PEAP: запатентованная Cisco схема взаимной аутентификации на основе пароля между клиентом (телефоном) и сервером RADIUS. Телефон может использовать PEAP для аутентификации по беспроводной сети. Поддерживаются методы аутентификации PEAP-MSCHAPV2 и PEAP-GTC.

  • Клавиша до общего доступа (PSK): телефон поддерживает ASCII формат. При настройке предварительного ключа WPA/WPA2/SAE необходимо использовать указанный ниже формат

    ASCII: строка ASCII-символов длиной от 8 до 63 символов (0–9, строчные и заглавные буквы A–Z, специальные символы).

    Пример: GREG123567@9ZX&W

Следующие схемы аутентификации задействуют сервер RADIUS для управления ключами аутентификации:

  • WPA/WPA2/WPA3: использует информацию о сервере РАДИУС для генерации уникальных ключей для аутентификации. Поскольку эти ключи генерируются на централизованном сервере RADIUS, WPA2/WPA3 обеспечивает безопасность более высокого уровня, чем предварительные ключи WPA, которые хранятся в точке доступа и на телефоне.

  • Быстрый безопасный роуминг: для управления ключами и их аутентификации используются сведения с сервера RADIUS и сервера домена беспроводной сети (WDS). WDS создает кэш учетных данных для клиентских устройств с поддержкой FT для быстрой и безопасной повторной аутентификации. Настольные телефоны Cisco 9861 и 9871, а также телефон Cisco Video Phone 8875 поддерживают 802.11r (FT). Поддерживаются и по воздуху, и через DS, что обеспечивает быстрый защищенный роуминг. Однако мы настоятельно рекомендуем использовать беспроводную связь стандарта 802.11r (FT).

При использовании WPA/WPA2/WPA3 ключи шифрования не вводятся на телефоне, а автоматически извлекаются между точкой доступа и телефоном. Однако имя пользователя и пароль EAP, которые используются для аутентификации, должны быть введены на каждом телефоне.

Чтобы обеспечить безопасность голосового трафика, телефон поддерживает TKIP и AES для шифрования. Когда эти механизмы используются для шифрования, между точкой доступа и телефоном шифруются как сигнальные SIP-пакеты, так и пакеты voice Real-Time Transport Protocol (RTP).

TKIP

WPA использует шифрование TKIP, которое имеет несколько улучшений по сравнению с WEP. TKIP обеспечивает шифрование ключом каждого пакета и более длительные векторы инициализации, что делает шифрование более надежным. Кроме того, проверка целостности сообщения (MIC) обеспечивает невозможность изменения зашифрованных пакетов. TKIP устраняет предсказуемость WEP, благодаря которой злоумышленники могут расшифровать ключ WEP.

AES

Метод шифрования, используемый для аутентификации WPA2/WPA3. Этот национальный стандарт шифрования использует симметричный алгоритм, который задействует один и тот же ключ для шифрования и расшифровки. AES использует 128-разрядный алгоритм шифрования Cipher Blocking Chain (CBC), который поддерживает ключи размером как минимум 128, 192 и 256 битов. Телефон поддерживает размер ключа 256 бит.

Настольные телефоны Cisco 9861 и 9871 и телефон Cisco Video Phone 8875 не поддерживают протокол Cisco Key Integrity Protocol (CKIP) с CMIC.

Схемы аутентификации и шифрования настраиваются в беспроводной локальной сети. VLAN настраиваются в сети и в точках доступа и могут использовать разные комбинации аутентификации и шифрования. SSID связывается с VLAN и определенной схемой аутентификации и шифрования. Чтобы беспроводные клиентские устройства прошли успешную аутентификацию, необходимо настроить те же SSID со схемами аутентификации и шифрования на интернет-серверах и на телефоне.

Некоторые схемы аутентификации нуждаются в определенных типах шифрования.

  • При использовании WPA предварительно общего доступа, предварительно общего доступа к ключу WPA2 или SAE этот ключ должен быть статически установлен на телефоне. Эти ключи должны соответствовать ключам в точке доступа.
  • Телефон поддерживает автоматическое EAP согласование для FAST или PEAP, но не для TLS. Для режима EAP-TLS его необходимо указать.

Схемы аутентификации и шифрования, приведенные в следующей таблице, приведены параметры сетевой конфигурации телефона, соответствующего конфигурации точки доступа.

Таблица 4. Схемы аутентификации и шифрования
Тип FSRАутентификацияЦентр управленияШифрованиеЗащищенный кадр управления (PMF)
802.11r (FT)PSK

WPA-PSK

WPA-PSK-SHA256

FT-PSK

AESНет
802.11r (FT)WPA3

SAE

FT-SAE

AESДа
802.11r (FT)EAP-TLS

WPA EAP

FT-EAP

AESНет
802.11r (FT)EAP-TLS (WPA3)

WPA-EAP-SHA256

FT-EAP

AESДа
802.11r (FT)EAP-FAST

WPA EAP

FT-EAP

AESНет
802.11r (FT)EAP-FAST (WPA3)

WPA-EAP-SHA256

FT-EAP

AESДа
802.11r (FT)EAP-PEAP

WPA EAP

FT-EAP

AESНет
802.11r (FT)EAP-PEAP (WPA3)

WPA-EAP-SHA256

FT-EAP

AESДа

Настройка Wi-Fi профиля

Профиль Wi-Fi можно настроить с веб-страницы телефона или из профиля удаленного устройства, а затем связать профиль с доступными сетями Wi-Fi. Этот профиль Wi-Fi можно использовать для подключения к Wi-Fi. В настоящее время можно настроить только один профиль Wi-Fi.

Профиль содержит параметры, необходимые телефону для подключения к серверу телефонов по Wi-Fi. При создании и использовании профиля Wi-Fi вам или вашим пользователям необязательно настраивать беспроводную сеть для отдельных телефонов.

Профиль Wi-Fi позволяет предотвратить или ограничить изменения конфигурации Wi-Fi на телефоне пользователем.

При использовании Wi-Fi профиля для защиты ключей и паролей рекомендуется использовать защищенный профиль с включенными протоколами шифрования.

Когда вы настраиваете телефоны на использование метода EAP-FAST аутентификации в режиме безопасности, пользователям требуются отдельные учетные данные для подключения к точке доступа.

1

Необходим доступ к веб-странице администрирования телефона.

2

Выберите Голосовая связь > Система.

3

В разделе Wi-Fi Profile (n), задайте параметры как описано в таблице «Параметры Wi-Fi профиля».

Для входа пользователя можно также использовать конфигурацию Wi-Fi профиля.
4

Щелкните Submit All Changes.

Параметры профиля Wi-Fi

В таблице ниже описывается функция и использование каждого параметра в разделе Профиль Wi-Fi (n) на вкладке Система на веб-странице телефона. Она также определяет синтаксис строки, добавляемой в файл конфигурации телефона (cfg.xml) для настройки параметра.

ПараметрОписание
Имя сетиПозволяет ввести имя SSID, которое будет отображаться в телефоне. У нескольких профилей может быть одно и то же имя сети с различными режимами безопасности.

Выполните одно из следующих действий:

  • В файле конфигурации телефона с XML-кодом (cfg.xml) введите строку в следующем формате:

    <Network_Name_1_ua="rw">cisco</Network_Name_1_>

  • На веб-странице телефона введите имя SSID.

Значение по умолчанию: пустое

Режим безопасностиПозволяет выбрать метод аутентификации, используемый для защиты доступа к сети Wi-Fi. В зависимости от выбранного метода появляется поле пароля, включающее учетные данные, необходимые для присоединения к сети Wi-Fi.

Выполните одно из следующих действий:

  • В файле конфигурации телефона с XML-кодом (cfg.xml) введите строку в следующем формате:

    <Security_Mode_1_ ua="rw">EAP-TLS</Security_Mode_1_> <!-- доступные варианты: Auto|EAP-FAST|||PSK||Нет |EAP-PEAP|EAP-TLS -->

  • На веб-странице телефона выберите один из способов:
    • Авто
    • EAP-FAST
    • PSK
    • Нет
    • EAP-PEAP
    • EAP-TLS

Значение по умолчанию: Авто

Идентификатор пользователя Wi-FiПозволяет ввести идентификатор пользователя для сетевого профиля.

Это поле доступно, когда для режима безопасности задано значение "Авто", "EAP-FAST" или "EAP-PEAP". Это обязательное поле с максимальной длиной 32 алфавитно-цифровых символа.

Выполните одно из следующих действий:

  • В файле конфигурации телефона с XML-кодом (cfg.xml) введите строку в следующем формате:

    <Wi-Fi_User_ID_1_ua="rw"></Wi-Fi_User_ID_1_>

  • На веб-странице телефона введите идентификатор пользователя сетевого профиля.

Значение по умолчанию: пустое

Пароль для Wi-FiПозволяет ввести пароль для указанного идентификатора пользователя Wi-Fi.

Выполните одно из следующих действий:

  • В файле конфигурации телефона с XML-кодом (cfg.xml) введите строку в следующем формате:

    <Wi-Fi_Password_1_ ua="rw"></Wi-Fi_Password_1_>

  • На веб-странице телефона введите пароль для добавленного идентификатора пользователя.

Значение по умолчанию: пустое

Полоса частотПозволяет выбрать полосу частот беспроводных сигналов, используемую в БЛВС.

Выполните одно из следующих действий:

  • В файле конфигурации телефона с XML-кодом (cfg.xml) введите строку в следующем формате:

    <Frequency_Band_1_ ua="rw">Auto</Frequency_Band_1_>

  • Выберите один из следующих вариантов на веб-странице телефона
    • Авто
    • 2,4 ГГц
    • 5 ГГц

Значение по умолчанию: Авто

Выбор сертификатаПозволяет выбрать тип сертификата для первоначальной регистрации и обновления сертификата в беспроводной сети. Этот процесс доступен только для аутентификации 802.1X.

Выполните одно из следующих действий:

  • В файле конфигурации телефона с XML-кодом (cfg.xml) введите строку в следующем формате:

    <Certificate_Select_1_ ua="rw">Монтировано</Certificate_Select_1_>

  • Выберите один из следующих вариантов на веб-странице телефона
    • На производстве установлено
    • Настраиваемая установка

По умолчанию: установлено на производстве

Проверьте статус безопасности устройства на телефоне

Статус безопасности устройства проверяется телефоном автоматически. При обнаружении на телефоне потенциальных угроз безопасности подробная информация о проблемах отображается в меню "Проблемы и диагностика ". Основываясь на проблемах,ох, администратор может выполнить действия по обеспечению защиты и защиты телефона.

Статус безопасности устройства может быть доступен, если телефон не зарегистрирован в системе управления вызовами (Webex Calling или BroadWorks).

Чтобы просмотреть сведения о проблемах с безопасностью на телефоне, выполните следующие действия

1

Нажмите Настройки.Settings button

2

Выберите проблемы и диагностика > Иссуды.

В настоящее время в отчете о безопасности устройства содержатся следующие проблемы:

КатегорияПроблема
Доверие устройстваСбой аутентификации устройства
Оборудование взломано
Уязвимая конфигурацияПароль не предоставлен
SSH включен
Телефонная сеть включена
Обнаружено событие аномалии сетиЧрезмерные попытки входа
Проблема с сертификатом;Срок действия сертификата CDC истекает в ближайшее время
3

Для решения проблем с безопасностью обратитесь к своему администратору за поддержкой.