Установить пользовательский сертификат устройства вручную

Можно вручную установить пользовательский сертификат устройства (CDC) на телефон, загрузив сертификат с веб-страницы администрирования телефона.

Перед началом работы

Прежде чем установить пользовательский сертификат устройства для телефона, необходимо иметь:

  • Файл сертификата (.p12 или .pfx), сохраненный на ПК. Файл содержит сертификат и закрытый ключ.
  • Пароль для извлечения сертификата. Пароль используется для расшифровки файла сертификата.
1.

Откройте веб-страницу администрирования телефона.

2.

Выберите Сертификат.

3.

В разделе Добавить сертификат щелкните Обзор....

4.

Найдите сертификат на своем ПК.

5

В поле Извлечь пароль введите пароль для извлечения сертификата.

6

Щелкните Загрузить.

Если файл сертификата и пароль верны, вы получите сообщение Сертификат добавлен. В противном случае загрузка завершится с сообщением об ошибке, указывающим на то, что сертификат невозможно загрузить.
7.

Чтобы проверить сведения об установленном сертификате, щелкните Просмотр в разделе Существующие сертификаты.

8

Чтобы удалить установленный сертификат с телефона, щелкните Удалить в разделе Существующие сертификаты.

После нажатия кнопки удаление начинается немедленно без подтверждения.

Если сертификат успешно удален, вы получите сообщение "Сертификат удален.".

Автоматическая установка пользовательского сертификата устройства от SCEP

Можно настроить параметры протокола SCEP для автоматической установки пользовательского сертификата устройства (CDC), если вы не хотите загружать файл сертификата вручную или у вас нет файла сертификата на месте.

Если параметры SCEP настроены правильно, телефон отправляет запросы на сервер SCEP, а сертификат ЦС проверяется устройством с использованием заданного отпечатка пальца.

Перед началом работы

Перед автоматической установкой пользовательского сертификата устройства для телефона необходимо:

  • Адрес сервера SCEP
  • Отпечаток SHA-1 или SHA-256 корневого сертификата CA для сервера SCEP
1.

Откройте веб-страницу администрирования телефона.

2.

Выберите Сертификат.

3.

В разделе Конфигурация SCEP 1 задайте параметры, как описано в следующей таблице Параметры конфигурации SCEP.

4.

Щелкните Отправить все изменения.

Параметры конфигурации SCEP

В таблице ниже определены функциональное назначение и использование параметров конфигурации SCEP в разделе Конфигурация SCEP 1 на вкладке Сертификат в веб-интерфейсе телефона. Он также определяет синтаксис строки, добавляемой в файл конфигурации телефона (cfg.xml) для настройки параметра.

Таблица 1. Параметры конфигурации SCEP
ПараметрОписание
Сервер

Адрес сервера SCEP. Этот параметр является обязательным.

Выполните одно из указанных ниже действий.

  • В файле конфигурации телефона с XML-кодом (cfg.xml) введите строку в следующем формате:

    <CDC_Server_1_ ua="na">http://10.79.57.91</CDC_Server_1_>

  • На веб-странице телефона введите адрес сервера SCEP.

Допустимые значения: URL или IP-адрес. Схема HTTPS не поддерживается.

По умолчанию пусто

Отпечаток пальца корневого центра сертификации

Отпечаток SHA256 или SHA1 корневого центра сертификации для проверки во время процесса SCEP. Этот параметр является обязательным.

Выполните одно из указанных ниже действий.

  • В файле конфигурации телефона с XML-кодом (cfg.xml) введите строку в следующем формате:

    <CDC_Root_CA_Fingerprint_1_ ua="na">12040870625C5B755D73F5925285F8F5FF5D55AF</CDC_Root_CA_Fingerprint_1_>

  • На веб-странице телефона введите действительный отпечаток пальца.

По умолчанию пусто

Изменить пароль

Пароль для авторизации центра сертификации (ЦС) на телефоне во время регистрации сертификата через SCEP. Это необязательный аргумент.

В соответствии с фактической средой SCEP поведение пароля вызова варьируется.

  • Если телефон получает сертификат от Cisco RA, который взаимодействует с ЦС, пароль для вызова не поддерживается в ЦС. В этом случае Cisco RA использует MIC/SUDI телефона для аутентификации для доступа к ЦС. Телефон использует MIC/SUDI как для начальной регистрации, так и для обновления сертификата.
  • Если телефон получает сертификат посредством непосредственной связи с ЦС, пароль для вызова поддерживается в ЦС. Если настроено, он будет использоваться только для начальной регистрации. Вместо этого для продления сертификата будет использоваться установленный сертификат.

Выполните одно из указанных ниже действий.

  • В файле конфигурации телефона с XML-кодом (cfg.xml) введите строку в следующем формате:

    <CDC_Challenge_Password_1_ ua="na"></CDC_Challenge_Password_1_>

    Пароль замаскирован в файле конфигурации.

  • На веб-странице телефона введите пароль для вызова.

По умолчанию пусто

Настройка параметров SCEP с помощью параметра DHCP 43

В дополнение к регистрации сертификата SCEP с помощью конфигураций вручную на веб-странице телефона можно также использовать параметр DHCP 43 для подстановки параметров с сервера DHCP. Параметр DHCP 43 предварительно настроен с параметрами SCEP, позже телефон может получить параметры с сервера DHCP для выполнения регистрации сертификата SCEP.

  • Конфигурация параметров SCEP с помощью параметра DHCP 43 доступна только для телефона, на котором выполняется сброс до заводских настроек.
  • Телефоны не должны быть размещены в сети, которая поддерживает как параметр 43, так и удаленную настройку (например, параметры 66, 160, 159, 150 или облачную настройку). В противном случае телефоны могут не получить конфигурации параметра 43.

Чтобы зарегистрировать сертификат SCEP, настроив параметры SCEP в параметре DHCP 43, выполните следующие действия.

  1. Подготовьте среду SCEP.

    Сведения о настройке среды SCEP см. в документации сервера SCEP.

  2. Настройте параметр DHCP 43 (определено в разделе Информация о конкретном поставщике 8.4, RFC 2132).

    Для метода зарезервированы подпараметры (10–15):

    Параметр на веб-странице телефонаПодпараметрТипДлина (в байт)Обязательно
    Режим FIPS10boolean1.Нет*
    Сервер11string208; длина (пароль для вызова)Да
    Отпечаток пальца корневого центра сертификации12бинарный20 или 32Да
    Изменить пароль13string208 – длина (сервер)Нет*
    Включить аутентификацию 802.1X14boolean1.Нет
    Выбор сертификата15неподписанный 8-разрядный1.Нет

    При использовании параметра DHCP 43 обратите внимание на следующие характеристики метода:

    • Подпараметры (10–15) зарезервированы для пользовательского сертификата устройства (CDC).
    • Максимальная длина параметра DHCP 43 — 255 байт.
    • Максимальная длина поля Server + Challenge Password (Пароль для вызова) должна быть менее 208 байт.
    • Значение режима FIPS должно соответствовать конфигурации подготовки подключения. В противном случае телефон не сможет получить ранее установленный сертификат после подключения. Подробнее:
      • Если телефон будет зарегистрирован в среде, в которой режим FIPS отключен, нет необходимости настраивать параметр Режим FIPS в параметре DHCP 43. По умолчанию режим FIPS отключен.
      • Если телефон будет зарегистрирован в среде, в которой включен режим FIPS, необходимо включить режим FIPS в параметре DHCP 43. Подробные сведения см. в статье Включение режима FIPS.
    • Пароль в параметре 43 находится в cleartext.

      Если пароль для вызова пуст, телефон использует MIC/SUDI для начальной регистрации и обновления сертификата. Если пароль вызова настроен, он используется только для начальной регистрации, а установленный сертификат будет использован для продления сертификата.

    • Включить аутентификацию 802.1X и Выбор сертификата используются только для телефонов в проводной сети.
    • Для идентификации модели устройства используется параметр DHCP 60 (идентификатор класса поставщика).

    В следующей таблице приведен пример параметра 43 DHCP (подпараметры 10–15):

    Десятичное/шестнадцатеричное значение подопцииДлина значения (в байтах) десятичная/шестнадцатеричнаяЗначениеШестнадцатеричное значение
    10/0a11011 (0: Отключено; 1: Включено01
    11/0b18/12http://10.79.57.91687474703a2f2f31302e37392e35372e3931
    12/0c20/1412040870625c5b755d73f5925285f8f5ff5d55af12040870625c5b755d73f5925285f8f5ff5d55af
    13/0d16/10d233ccf9b9952a1544323333434346394239393532413135
    14/0е11011 (0: № 1: Да*01
    15/0f11011 (0: Производство установлено; 1: Установлено пользовательское значение) 01

    Сводная информация о значениях параметров:

    • Режим FIPS = Включено

    • Сервер = http://10.79.57.91

    • Отпечаток пальца корневого центра сертификации = 12040870625C5B755D73F5925285F8F5FF5D55AF

    • Пароль для запроса = D233CCF9B9952A15

    • Включить аутентификацию 802.1X = Да

    • Выбор сертификата = Установлено пользователем

    Синтаксис последнего шестнадцатеричного значения: {<suboption><length><value>}...

    Согласно приведенным выше значениям параметров окончательное шестнадцатеричное значение выглядит следующим образом:

    0a01010b12687474703a2f2f31302e37392e35372e39310c1412040870625C5B755D73F5925285F8F5FF5D55AF0d10443233334343463942393935324131350e01010f0101

  3. Настройте параметр DHCP 43 на сервере DHCP.

    На этом этапе приведен пример конфигурации параметра DHCP 43 в реестре сети Cisco.

    1. Добавьте набор определений параметров DHCP.

      Строка параметров поставщика – это название модели IP-телефонов. Допустимое значение: DP-9841, DP-9851, DP-9861, DP-9871 или CP-8875.

    2. Добавьте параметр DHCP 43 и подпараметры в набор определений параметров DHCP.

      Пример.

      Снимок экрана 43 определений параметра DHCP в реестре сети Cisco

    3. Добавьте параметры 43 в политику DHCP и настройте значение следующим образом:

      Пример.

      (10 1)(11 http://10.79.57.91)(12 12040870625C5B755D73F5925285F8F5FF5D55AF)(13 D233CCF9B9952A15)(14 1)(15 1)

    4. Проверить свои настройки. Wireshark можно использовать для записи трассировки сетевого трафика между телефоном и службой.
  4. Выполните сброс телефона к заводским настройкам.

    После сброса телефона параметры Server (Сервер), Root CA Fingerprint (Отпечаток пальца корневого центра сертификации) и Challenge Password (Запросить пароль) будут автоматически заполнены. Эти параметры находятся в разделе Конфигурация SCEP 1 в разделе Сертификат > Пользовательский на веб-странице администрирования телефона.

    Чтобы проверить сведения об установленном сертификате, щелкните Просмотр в разделе Существующие сертификаты.

    Чтобы проверить состояние установки сертификата, выберите Сертификат > Состояние пользовательского сертификата. В поле Состояние скачивания 1 отображается последний результат. Если во время регистрации сертификата возникает какая-либо проблема, в состоянии скачивания может отображаться причина проблемы с целью устранения неполадок.

    Если не удается выполнить аутентификацию с помощью заданного пароля, пользователям будет предложено ввести пароль на экране телефона.
  5. (Дополнительно) Чтобы удалить установленный сертификат с телефона, щелкните Удалить в разделе Существующие сертификаты.
    После нажатия кнопки удаление начинается немедленно без подтверждения.

Продление сертификата SCEP

Сертификат устройства может быть автоматически обновлен процессом SCEP.

  • Телефон проверяет, истечет ли срок действия сертификата через 15 дней каждые 4 часа. В этом случае телефон запускает процесс обновления сертификата автоматически.
  • Если пароль для вызова пуст, телефон использует MIC/SUDI как для начальной регистрации, так и для продления сертификата. Если настроен пароль для вызова, он используется только для начальной регистрации, для продления сертификата используется существующий или установленный сертификат.
  • Телефон не удаляет старый сертификат устройства, пока не получит новый.
  • Если обновление сертификата не удается из-за истечения срока действия сертификата устройства или ЦС, телефон автоматически инициирует начальную регистрацию. В то же время, если аутентификация с помощью запрашиваемого пароля не пройдёт, на экране телефона появится всплывающий экран ввода пароля, и пользователям будет предложено ввести пароль с помощью телефона.

Включить режим FIPS

Вы можете сделать телефон совместимым с Федеральными стандартами обработки информации (FIPS).

FIPS представляет собой набор стандартов, которые описывают обработку документов, алгоритмы шифрования и другие стандарты информационных технологий для использования в невоенном правительстве, а также государственными подрядчиками и поставщиками, работающими с агентствами. CiscoSSL FOM (FIPS Object Module) - это программный компонент, разработанный для совместимости с библиотекой CiscoSSL, поэтому продукты, использующие библиотеку CiscoSSL и API, могут быть преобразованы для использования криптографии, проверенной FIPS 140-2 с минимальными усилиями.

1.

Откройте веб-страницу администрирования телефона.

2.

Выберите Голос > Система.

3.

В разделе Настройки безопасности выберите Да или Нет в параметре Режим FIPS.

4.

Щелкните Отправить все изменения.

При включении FIPS на телефоне легко работают следующие функции:
  • Без аутентификации.
  • Защищенное хранилище
  • Шифрование файлов конфигурации
  • TLS:
    • HTTP-адреса
    • Загрузка PRT
    • Обновление микропрограммного обеспечения
    • Повторная синхронизация профиля
    • Служба переноса
    • Перенос Webex
    • SIP через TLS
    • 802.1x (проводная)
  • Дайджест SIP (RFC 8760)
  • sRTP
  • Журналы вызовов Webex и каталог Webex
  • Функция "Одно нажатие кнопки" (OBTP)

Удалить сертификат безопасности вручную

Сертификат безопасности можно вручную удалить с телефона, если протокол SCEP (Simple Certificate Enrollment Protocol) недоступен.

1.

На веб-странице администрирования телефона выберите Сертификаты.

2.

Найдите сертификат на странице Сертификаты.

3.

Щелкните Удалить.

4.

После завершения процесса удаления перезагрузите телефон.

Установка пароля пользователя и администратора

После первого регистрации телефона в системе управления вызовами или выполнения на телефоне сброса до заводских настроек необходимо задать пароль пользователя и администратора, чтобы повысить безопасность телефона. Отправить изменения можно только после установки пароля на веб-странице телефона.

По умолчанию на телефоне включено предупреждение об отсутствии пароля. Если на телефоне нет пароля пользователя или администратора, отображаются следующие предупреждения:

  • На веб-странице телефона отображается надпись «Пароль администратора не указан. Веб находится в режиме только для чтения, и вы не можете отправлять изменения. Измените пароль" в верхнем левом углу.

    В полях Пароль пользователя и Пароль администратора отображается предупреждение "Пароль не указан", если оно пустое.

  • На экране телефона Проблемы и диагностика отображается проблема "Пароль не указан".
1.

Доступ к веб-странице администрирования телефона

2.

Выберите Голос > Система.

3.

(Необязательно) В разделе Конфигурация системы установите для параметра Отображать предупреждения о пароле значение Да и щелкните Отправить все изменения.

Параметры также можно включить в файле конфигурации телефона (cfg.xml).

<Display_Password_Warnings ua="na">Да</Display_Password_Warnings>

По умолчанию Да

Параметры. Да/Нет

Если для параметра установлено значение Нет, предупреждение о пароле не отображается ни на веб-странице, ни на экране телефона. Кроме того, режим подготовки только для веб-страницы не будет активирован, даже если пароль пуст.

4.

Найдите параметр Пароль пользователя или Пароль администратора и щелкните Изменить пароль рядом с параметром.

5

Введите текущий пароль пользователя в поле Старый пароль.

Если у вас нет пароля, оставьте поле пустым. По умолчанию для параметра устанавливается значение "0".
6

Введите новый пароль в поле Пароль.

7.

Нажмите Отправить.

На веб-странице отобразится сообщение Пароль успешно изменен.. Веб-страница обновится через несколько секунд. Предупреждение рядом с параметром исчезнет.

После установки пароля пользователя в XML-файле конфигурации телефона (cfg.xml) отображается следующее:

<!-- <Admin_Password ua="na">;*************</Admin_Password> <User_Password ua="rw">;*************</User_Password> -->

При получении кода ошибки 403 при попытке доступа к веб-странице телефона необходимо задать пароль пользователя или администратора, выполнив настройку в файле конфигурации телефона (cfg.xml). Например, введите строку в следующем формате:

<Admin_Password ua="na">P0ssw0rd_tes89</Admin_Password>

<User_Password ua="rw">Abc123</User_Password>

Аутентификация 802.1X

Телефоны Cisco IP поддерживают аутентификацию 802.1X.

Телефоны Cisco IP и коммутаторы Cisco Catalyst традиционно используют протокол CDP для идентификации друг друга и определения таких параметров, как выделение VLAN и требования к питанию в сети. CDP не определяет локально подключенные рабочие станции. Телефоны Cisco IP предоставляют сквозной механизм EAPOL. Этот механизм позволяет рабочей станции, подключенной к телефону Cisco IP, передавать сообщения EAPOL в средство аутентификации 802.1X на коммутаторе локальной сети. Сквозной механизм гарантирует, что IP-телефон не выполняет роль коммутатора локальной сети для аутентификации конечной точки данных перед доступом к сети.

Телефоны Cisco IP также предоставляют механизм регистрации прокси-сервера EAPOL. Если локально подключенный ПК отключается от IP-телефона, коммутатор локальной сети не видит сбоя физического канала, так как сохраняется связь между коммутатором локальной сети и IP-телефоном. Во избежание нарушения целостности сети IP-телефон отправляет на коммутатор сообщение EAPOL от имени нисходящего ПК, что приводит к очистке коммутатором локальной сети записи аутентификации нисходящего ПК.

Для поддержки аутентификации 802.1X требуется несколько компонентов:

  • IP-телефон Cisco Телефон инициирует запрос на доступ к сети. Телефоны Cisco IP содержат запрашивающее устройство 802.1X. Это запрашивающее устройство позволяет администраторам сети управлять подключением IP-телефонов к портам коммутатора локальной сети. Текущий выпуск запрашивающего устройства 802.1X на телефоне использует параметры EAP-FAST и EAP-TLS для аутентификации в сети.

  • служба аутентификации Сервер аутентификации и коммутатор должны быть настроены с использованием совместно используемого секретного кода для аутентификации телефона.

  • Переключение: Коммутатор должен поддерживать 802.1X, чтобы он мог выполнять функции средства аутентификации и передавать сообщения между телефоном и сервером аутентификации. После завершения обмена коммутатор предоставляет или отклоняет доступ телефона к сети.

Для настройки 802.1X необходимо выполнить следующие действия.

  • Настройте другие компоненты, прежде чем включить аутентификацию 802.1X на телефоне.

  • Настройка порта ПК: Стандарт 802.1X не учитывает сети VLAN и поэтому рекомендует, чтобы только одно устройство было аутентифицировано по определенному порту коммутатора. Однако некоторые коммутаторы поддерживают аутентификацию в нескольких доменах. Конфигурация коммутатора определяет, можно ли подключить ПК к порту ПК телефона.

    • Включен. При использовании коммутатора, который поддерживает аутентификацию в нескольких доменах, можно включить порт ПК и подключить к нему ПК. В этом случае телефоны Cisco IP поддерживают прокси-сервер EAPOL для отслеживания обмена аутентификацией между коммутатором и подключенным ПК.

      Дополнительную информацию о поддержке IEEE 802.1X на коммутаторах Cisco Catalyst см. в руководствах по настройке коммутатора Cisco Catalyst по ссылке:

      http://www.cisco.com/en/US/products/hw/switches/ps708/tsd_products_support_series_home.html

    • Отключен. Если коммутатор не поддерживает несколько устройств, совместимых с 802.1X, на одном и том же порте, необходимо отключить порт ПК, если включена аутентификация 802.1X. Если вы не отключите этот порт, а затем попытаетесь подключить к нему ПК, коммутатор запретит доступ к сети как к телефону, так и к ПК.

  • Настройка голосовой VLAN: Поскольку стандарт 802.1X не учитывает сети VLAN, необходимо настроить этот параметр в зависимости от поддержки коммутатора.
    • Включен. Если вы используете коммутатор, который поддерживает аутентификацию в нескольких доменах, можно продолжить использовать голосовую VLAN.
    • Отключен. Если коммутатор не поддерживает аутентификацию в нескольких доменах, отключите голосовую VLAN и рассмотрите возможность назначения порта встроенной VLAN.
  • (Только для стационарного телефона Cisco серии 9800)

    Префикс PID для стационарных телефонов Cisco серии 9800 отличается от префикса для других телефонов Cisco. Чтобы телефон мог пройти аутентификацию 802.1X, задайте параметр Radius·User-Name, чтобы добавить стационарный телефон Cisco серии 9800.

    Например, PID телефона 9841 — DP-9841. Для параметра Radius·User-Name можно задать значение Start with DP (Начать с DP) или Contains DP (Содержит DP). Его можно настроить в обоих следующих разделах.

    • Политика > Условия > Условия библиотеки

    • Политика > Наборы политик > Политика авторизации > Правило авторизации 1

Включить аутентификацию 802.1X

Если включена аутентификация 802.1X, телефон использует аутентификацию 802.1X для запроса доступа к сети. Если аутентификация 802.1X отключена, телефон использует протокол CDP для получения VLAN и доступа к сети. Кроме того, в меню экрана телефона можно просмотреть состояние транзакции и изменить ее.

Если аутентификация 802.1X включена, можно также выбрать сертификат устройства (MIC/SUDI или пользовательский) для начальной регистрации и продления сертификата. Как правило, MIC используется для видеотелефона Cisco 8875, SUDI — для стационарного телефона Cisco серии 9800. CDC можно использовать для аутентификации только в 802.1x.

1.

Чтобы включить аутентификацию 802.1X, выполните одно из следующих действий:

  • В веб-интерфейсе телефона выберите Голос > Система и задайте для параметра Включить аутентификацию 802.1X значение Да. Затем щелкните Отправить все изменения.
  • В файле конфигурации (cfg.xml) введите строку в следующем формате:

    <Enable_802.1X_Authentication ua="rw">Да</Enable_802.1X_Authentication>

    Допустимые значения: Да/Нет

    По умолчанию Нет

  • На телефоне нажмите Настройки the Settings hard key и перейдите к разделу Сеть и служба > Настройки безопасности > Аутентификация 802.1X. Переведите поле Аутентификация устройства в положение Вкл. и выберите Применить.
Таблица 2. Параметры аутентификации 802.1X на экране телефона

Параметры

Параметры

По умолчанию

Описание

Базовая аутентификация

Вкл

Off

Off

Включение или отключение аутентификации 802.1X на телефоне.

Состояние транзакции

Отключено

Отображает состояние аутентификации 802.1X. Состояние может быть (не ограничено):

  • Аутентификация Указывает, что процесс аутентификации выполняется.
  • Аутентификация пройдена Указывает, что телефон аутентифицирован.
  • Отключен. Указывает, что на телефоне отключена аутентификация 802.1x.

Protocol

Нет

Отображает метод EAP, используемый для аутентификации 802.1X. Протоколом может быть EAP-FAST или EAP-TLS.

Тип сертификата пользователя

Производство установлено

Пользовательская установка

Производство установлено

Выберите сертификат для аутентификации 802.1X во время начальной регистрации и обновления сертификата.

  • Установленный на производстве — используются сертификат MIC и безопасный уникальный идентификатор устройства (SUDI).
  • Установлено пользовательское значение — используется пользовательский сертификат устройства (CDC). Этот тип сертификата можно установить либо путем загрузки вручную на веб-страницу телефона, либо путем установки с сервера SCEP.

Этот параметр отображается на телефоне только в том случае, если включена функция Аутентификация устройства.

2.

Выберите сертификат (MIC или пользовательский) для аутентификации 802.1X на веб-странице телефона.

  • Для проводной сети выберите Голос > Система, выберите тип сертификата в раскрывающемся списке Выбор сертификата в разделе Аутентификация 802.1X.

    Этот параметр также можно настроить в файле конфигурации (cfg.xml):

    <Certificate_Select ua="rw">Установлено пользовательское</Certificate_Select>

    Допустимые значения: Установка на производстве|Установка на заказ

    По умолчанию Производство установлено

  • Для беспроводной сети выберите Голосовая связь > Система, выберите тип сертификата в раскрывающемся списке Выбор сертификата в разделе Профиль Wi-Fi 1.

    Этот параметр также можно настроить в файле конфигурации (cfg.xml):

    <Wi-Fi_Certificate_Select_1_ ua="rw">Установлено пользовательское значение</Wi-Fi_Certificate_Select_1_>

    Допустимые значения: Установка на производстве|Установка на заказ

    По умолчанию Производство установлено

Информацию о выборе типа сертификата на экране телефона см. в статье Подключение телефона к сети Wi-Fi.

Включение режима инициирования клиентом согласования безопасности в плане передачи данных

Для защиты сеансов мультимедиа можно настроить телефон на инициирование согласования безопасности в плане мультимедиа с сервером. Механизм безопасности соответствует стандартам, изложенным в RFC 3329, и его черновику расширений «Имена механизмов безопасности для мультимедиа» (см. https://tools.ietf.org/html/draft-dawes-sipcore-mediasec-parameter-08#ref-2). Передача согласований между телефоном и сервером может использовать протокол SIP по протоколу UDP, TCP и TLS. Согласование безопасности в плане передачи данных можно ограничить, только если транспортным протоколом сигнализации является TLS.

1.

Откройте веб-страницу администрирования телефона.

2.

Выберите Голос > Доб. (n).

3.

В разделе Настройки SIP задайте поля Запрос MediaSec и MediaSec Только по TLS, как определено в следующей таблице.

Таблица 93. Параметры согласования безопасности в плане мультимедиа
ПараметрОписание

Запрос MediaSec

Указывает, инициирует ли телефон согласование безопасности в плане передачи данных с сервером.

Выполните одно из указанных ниже действий.

  • В файле конфигурации телефона с XML-кодом (cfg.xml) введите строку в следующем формате:

    <MediaSec_Request_1_ ua="na">Да</MediaSec_Request_1_>
  • В веб-интерфейсе телефона задайте в этом поле значение Да или Нет по мере необходимости.

Допустимые значения: Да/Нет

  • Да: режим инициирования клиентом. Телефон инициирует согласование безопасности в плане передачи данных.
  • Нет: режим инициирования сервером. Сервер инициирует согласование безопасности в плане передачи данных. Телефон не инициирует согласование, но может обрабатывать запросы сервера на согласование для установления защищенных вызовов.

По умолчанию Нет

Только MediaSec по TLS

Указывает транспортный протокол передачи сигналов, по которому применяется согласование безопасности в плане передачи данных.

Прежде чем задать для этого поля значение Да, убедитесь, что транспортным протоколом передачи сигналов является TLS.

Выполните одно из указанных ниже действий.

  • В файле конфигурации телефона с XML-кодом (cfg.xml) введите строку в следующем формате:

    <MediaSec_Over_TLS_Only_1_ ua="na">Нет</MediaSec_Over_TLS_Only_1_>

  • В веб-интерфейсе телефона задайте в этом поле значение Да или Нет по мере необходимости.

Допустимые значения: Да/Нет

  • Да. Телефон инициирует или обрабатывает согласование безопасности в плане передачи данных только в том случае, если транспортным протоколом сигнализации является TLS.
  • Нет. Телефон инициирует и обрабатывает согласование безопасности в плане передачи информации независимо от транспортного протокола передачи сигналов.

По умолчанию Нет

4.

Щелкните Отправить все изменения.

Безопасность БЛВС

Поскольку все устройства БЛВС, находящиеся в радиусе действия, могут получать весь остальной трафик БЛВС, безопасность голосовой связи в БЛВС имеет решающее значение. Чтобы убедиться, что злоумышленники не манипулируют голосовым трафиком и не перехватывают его, архитектура безопасности Cisco SAFE поддерживает телефон. Дополнительную информацию о безопасности в сетях см. на странице http://www.cisco.com/en/US/netsol/ns744/networking_solutions_program_home.html.

Решение для беспроводной IP-телефонии Cisco обеспечивает безопасность беспроводной сети, которая предотвращает несанкционированный вход и скомпрометированную связь с помощью следующих методов аутентификации, поддерживаемых телефоном:

  • Без аутентификации Любое беспроводное устройство может запросить аутентификацию в открытой системе. Точка доступа, получающая запрос, может предоставить аутентификацию любому запрашивающему пользователю или только тем, кто указан в списке пользователей. Связь между беспроводным устройством и точкой доступа (AP) может быть незашифрована.

  • Протокол Extensible Authentication Protocol-Flexible Authentication via Secure Tunneling (EAP-FAST). Эта архитектура безопасности клиента-сервера шифрует транзакции EAP в туннеле Transport Level Security (TLS) между точкой доступа и сервером RADIUS, например Identity Services Engine (ISE).

    TLS-туннель использует учетные данные защищенного доступа (PAC) для аутентификации между клиентом (телефоном) и сервером RADIUS. Сервер отправляет идентификатор авторизации (AID) клиенту (телефону), который в свою очередь выбирает соответствующий PAC. Клиент (телефон) возвращает PAC-Opaque на сервер RADIUS. Сервер расшифровывает PAC с помощью основного ключа. Обе конечные точки теперь содержат ключ PAC, и создается туннель TLS. EAP-FAST поддерживает автоматическую подготовку PAC, однако ее необходимо включить на сервере RADIUS.

    В ISE срок действия PAC по умолчанию истекает через неделю. Если у телефона истек срок действия PAC, аутентификация на сервере RADIUS занимает больше времени, пока телефон получает новый PAC. Во избежание задержек подготовки PAC задайте на сервере ISE или RADIUS срок действия PAC равный 90 или более дней.

  • Аутентификация по протоколу EAP-TLS. Для аутентификации и сетевого доступа EAP-TLS требуется сертификат клиента. Для беспроводного EAP-TLS сертификатом клиента может быть MIC, LSC или установленный пользователем сертификат.

  • Протокол PEAP. Собственная схема взаимной аутентификации Cisco на основе пароля между клиентом (телефоном) и сервером RADIUS. Телефон может использовать PEAP для аутентификации в беспроводной сети. Поддерживаются методы аутентификации PEAP-MSCHAPV2 и PEAP-GTC.

  • Общий ключ (PSK). Телефон поддерживает формат ASCII. При настройке предварительного ключа WPA/WPA2/SAE необходимо использовать этот формат.

    ASCII: строка ASCII длиной от 8 до 63 символов (0–9, строчные и верхние буквы A–Z и специальные символы)

    Пример. ГРЕГ123567@9ZX&W

Следующие схемы аутентификации используют сервер RADIUS для управления ключами аутентификации:

  • wpa/wpa2/wpa3: Использование информации о сервере RADIUS для создания уникальных ключей аутентификации. Поскольку эти ключи генерируются на централизованном сервере RADIUS, WPA2/WPA3 обеспечивает большую безопасность, чем предварительные ключи WPA, которые хранятся в точке доступа и на телефоне.

  • Быстрый безопасный роуминг: Для управления ключами и аутентификации используется информация о сервере RADIUS и сервере домена беспроводной сети (WDS). WDS создает кэш учетных данных безопасности для клиентских устройств с поддержкой FT для быстрой и безопасной повторной аутентификации. Стационарные телефоны Cisco 9861 и 9871, а также видеотелефоны Cisco 8875 поддерживают 802.11r (FT). Для обеспечения быстрого безопасного роуминга поддерживаются как по воздуху, так и по DS. Однако мы настоятельно рекомендуем использовать метод 802.11r (FT) по воздуху.

При использовании WPA/WPA2/WPA3 ключи шифрования не вводятся на телефоне, но автоматически передаются между точкой доступа и телефоном. Однако имя пользователя и пароль EAP, которые используются для аутентификации, должны быть введены на каждом телефоне.

Чтобы обеспечить безопасность голосового трафика, телефон поддерживает TKIP и AES для шифрования. Если эти механизмы используются для шифрования, сигнальные пакеты SIP и голосовые пакеты протокола RTP шифруются между точкой доступа и телефоном.

tkip

WPA использует шифрование TKIP, которое имеет несколько улучшений по сравнению с WEP. TKIP обеспечивает шифрование ключей для каждого пакета и более длительные векторы инициализации (IV), которые усиливают шифрование. Кроме того, проверка целостности сообщений (MIC) гарантирует, что зашифрованные пакеты не будут изменены. TKIP удаляет предсказуемость WEP, которая помогает злоумышленникам расшифровать ключ WEP.

aes

Метод шифрования, используемый для аутентификации WPA2/WPA3. Этот национальный стандарт шифрования использует симметричный алгоритм, который имеет один и тот же ключ для шифрования и дешифрования. AES использует шифрование CBC размером 128 бит, которое, как минимум, поддерживает размеры ключей 128, 192 и 256 бит. Телефон поддерживает размер ключа 256 бит.

Стационарные телефоны Cisco 9861 и 9871, а также видеотелефоны Cisco 8875 не поддерживают протокол CKIP с CMIC.

Схемы аутентификации и шифрования настраиваются в беспроводной локальной сети. VLAN настраиваются в сети и в точках доступа и указывают различные комбинации аутентификации и шифрования. SSID связывается с VLAN и определенной схемой аутентификации и шифрования. Для успешной аутентификации беспроводных клиентских устройств необходимо настроить те же SSID с их схемами аутентификации и шифрования в точках доступа и на телефоне.

Некоторые схемы аутентификации требуют определенных типов шифрования.

  • При использовании предварительного ключа WPA, WPA2 или SAE предварительный ключ должен быть статически задан на телефоне. Эти ключи должны совпадать с ключами в точке доступа.

  • Телефон поддерживает автоматическое согласование EAP для FAST или PEAP, но не для TLS. Для режима EAP-TLS его необходимо указать.

В схемах аутентификации и шифрования в следующей таблице показаны параметры сетевой конфигурации телефона, соответствующие конфигурации точки доступа.

Таблица 94. Схемы аутентификации и шифрования
Тип FSRАутентификацияУправление пользователямиШифрованиеЗащищенная рамка управления (PMF)
802.11r (FT)PSK

ВПА-ПСК

wpa-psk-sha256

ft-psk

aesНет
802.11r (FT)WPAD

саэ

фут-сае

aesДа
802.11r (FT)EAP-TLS

Шаблон: WPA-EAP

ft-eap

aesНет
802.11r (FT)eap-tls (wpa3)

wpa-eap-sha256

ft-eap

aesДа
802.11r (FT)EAP-FAST

Шаблон: WPA-EAP

ft-eap

aesНет
802.11r (FT)быстрый (wpa3)

wpa-eap-sha256

ft-eap

aesДа
802.11r (FT)eap-peap

Шаблон: WPA-EAP

ft-eap

aesНет
802.11r (FT)eap-peap (wpa3)

wpa-eap-sha256

ft-eap

aesДа

Настройка профиля Wi-Fi

Профиль Wi-Fi можно настроить с веб-страницы телефона или с помощью повторной синхронизации профиля удаленного устройства, а затем связать профиль с доступными сетями Wi-Fi. Этот профиль Wi-Fi можно использовать для подключения к Wi-Fi. В настоящее время можно настроить только один профиль Wi-Fi.

Профиль содержит параметры, необходимые для подключения телефонов к серверу телефона с помощью Wi-Fi. При создании и использовании профиля Wi-Fi вам или вашим пользователям не нужно настраивать беспроводную сеть для отдельных телефонов.

Профиль Wi-Fi позволяет предотвратить или ограничить изменения конфигурации Wi-Fi на телефоне пользователем.

Для защиты ключей и паролей при использовании профиля Wi-Fi рекомендуется использовать безопасный профиль с протоколами с включенным шифрованием.

При настройке телефонов на использование метода аутентификации EAP-FAST в режиме безопасности пользователям необходимы индивидуальные учетные данные для подключения к точке доступа.

1.

Откройте веб-страницу телефона.

2.

Выберите Голос > Система.

3.

В разделе Профиль Wi-Fi (n) задайте параметры, как описано в таблице Параметры для профиля Wi-Fi.

Конфигурация профиля Wi-Fi также доступна для входа пользователя.
4.

Щелкните Отправить все изменения.

Параметры для профиля Wi-Fi

В таблице ниже определены функциональное назначение и использование каждого параметра в разделе Профиль(n) на вкладке Система на веб-странице телефона. Он также определяет синтаксис строки, добавляемой в файл конфигурации телефона (cfg.xml) для настройки параметра.

ПараметрОписание
Имя сетиПозволяет ввести имя SSID, который будет отображаться на телефоне. Несколько профилей могут иметь одно и то же имя сети с различными режимами безопасности.

Выполните одно из указанных ниже действий.

  • В файле конфигурации телефона с XML-кодом (cfg.xml) введите строку в следующем формате:

    <Network_Name_1_ ua="rw">cisco</Network_Name_1_>

  • На веб-странице телефона введите имя SSID.

По умолчанию пусто

Режим безопасностиПозволяет выбрать метод аутентификации, используемый для защиты доступа к сети Wi-Fi. В зависимости от выбранного метода отобразится поле пароля, позволяющее указать учетные данные, необходимые для присоединения к этой сети Wi-Fi.

Выполните одно из указанных ниже действий.

  • В файле конфигурации телефона с XML-кодом (cfg.xml) введите строку в следующем формате:

    <Security_Mode_1_ ua="rw">EAP-TLS</Security_Mode_1_> <!-- доступные параметры: Авто|EAP-FAST|||PSK||Нет|EAP-PEAP|EAP-TLS -->

  • На веб-странице телефона выберите один из методов.
    • Auto
    • EAP-FAST
    • PSK
    • Нет
    • eap-peap
    • EAP-TLS

По умолчанию Auto

Идентификатор пользователя Wi-FiПозволяет ввести идентификатор пользователя для профиля сети.

Это поле доступно, если для режима безопасности задано значение Auto, EAP-FAST или EAP-PEAP. Это обязательное поле с максимальной длиной 32 буквенно-цифровых символа.

Выполните одно из указанных ниже действий.

  • В файле конфигурации телефона с XML-кодом (cfg.xml) введите строку в следующем формате:

    <Wi-Fi_User_ID_1_ua="rw"></Wi-Fi_User_ID_1_>

  • На веб-странице телефона введите идентификатор пользователя для сетевого профиля.

По умолчанию пусто

Пароль Wi-FiПозволяет ввести пароль для указанного идентификатора пользователя Wi-Fi.

Выполните одно из указанных ниже действий.

  • В файле конфигурации телефона с XML-кодом (cfg.xml) введите строку в следующем формате:

    <Wi-Fi_Password_1_ ua="rw"></Wi-Fi_Password_1_>

  • На веб-странице телефона введите пароль для добавленного идентификатора пользователя.

По умолчанию пусто

Частотный диапазонПозволяет выбрать частотный диапазон беспроводных сигналов, используемый в БЛВС.

Выполните одно из указанных ниже действий.

  • В файле конфигурации телефона с XML-кодом (cfg.xml) введите строку в следующем формате:

    <Frequency_Band_1_ ua="rw">Авто</Frequency_Band_1_>

  • На веб-странице телефона выберите один из следующих вариантов:
    • Auto
    • 2.4 ГГц
    • 5 ГГц

По умолчанию Auto

Выбор сертификатаПозволяет выбрать тип сертификата для начальной регистрации и продления сертификата в беспроводной сети. Этот процесс доступен только для аутентификации 802.1X.

Выполните одно из указанных ниже действий.

  • В файле конфигурации телефона с XML-кодом (cfg.xml) введите строку в следующем формате:

    <Certificate_Select_1_ ua="rw">Установлено производство</Certificate_Select_1_>

  • На веб-странице телефона выберите один из следующих вариантов:
    • Производство установлено
    • Пользовательская установка

По умолчанию Производство установлено