Установка сертификата пользовательского устройства

Чтобы установить на телефоне сертификат пользовательского устройства (CDC), воспользуйтесь одним из следующих способов в зависимости от ситуации:

Вступает в силу последний сертификат, установленный на телефоне.

Установка сертификата пользовательского устройства вручную путем отправки

Сертификат можно установить на телефоне вручную, выгрузив сертификат с веб-страницы администрирования телефона.

Перед началом настройки

Перед установкой сертификата пользовательского устройства на телефон необходимо иметь следующие возможности:

  • Файл сертификата (.p12 или .pfx), сохраненный на вашем ПК. Файл содержит сертификат и закрытый ключ.
  • Извлечение пароля сертификата. Пароль используется для расшифровки файла сертификата.
1

Доступ к веб-странице администрирования телефона.

2

Выберите Сертификат.

3

В разделе "Добавить сертификат " нажмите " Обзор..."

4

Выберите сертификат на своем ПК.

5

В поле Пароль для извлечения введите пароль для извлечения сертификата.

6

Нажмите Загрузить.

Если вы правильно введите файл сертификата и пароль, вы получите сообщение "Сертификат добавлен". В противном случае выгрузка завершается неудачей, выдается сообщение о том, что сертификат не может быть выгружен.
7

Чтобы проверить сведения об установленном сертификате, щелкните " Просмотр " в разделе "Существующие сертификаты".

8

Чтобы удалить установленный сертификат с телефона, нажмите кнопку « Удалить » в разделе « Существующие сертификаты».

После нажатия этой кнопки удаление начинается немедленно без подтверждения.

Если сертификат успешно удален, вы получите сообщение "Сертификат удален".

Автоматическая установка сертификата пользовательского устройства scEP

Можно настроить связанные параметры с протоколом SCEP для взаимодействия с сервером SCEP для автоматической установки сертификата пользовательского устройства (CDC).

После настройки любого из параметров SCEP телефон отправит запрос на регистрацию SCEP на сервер. Телефон подтвердит полученный сертификат СА, используя настроенный отпечаток пальца.

Перед началом настройки

Прежде чем выполнять автоматическую установку сертификата пользовательского устройства (CDC) для телефона, необходимо:

  • Адрес SCEP-сервера
  • отпечаток ключа сертификата корневого центра SHA-1 или SHA-256 для сервера SCEP.
1

Доступ к веб-странице администрирования телефона.

2

Выберите Сертификат.

3

В разделе «Конфигурация SCEP 1 » задайте параметры, как описано в разделе «Параметры конфигурации SCEP».

4

Щелкните Submit All Changes.

Параметры конфигурации SCEP

В следующей таблице описаны функции и использование параметров конфигурации SCEP в разделе «Конфигурация SCEP 1 » в разделе «Сертификат Tab» в веб-интерфейсе телефона. Она также определяет синтаксис строки, добавляемой в файл конфигурации телефона (cfg.XML) для настройки параметра.

Изменение параметров приводит к тому, что телефон будет запрашивать новый сертификат.

Таблица 1. Параметры конфигурации SCEP
ПараметрОписание
Сервер

адрес SCEP-сервера. Это обязательный параметр.

Выполните одно из следующих действий:

  • В файле конфигурации телефона с XML-кодом (cfg.xml) введите строку в следующем формате:

    <CDC_Server_1_ ua="na">http://10.79.57.91</CDC_Server_1_>

  • На веб-странице телефона введите адрес сервера SCEP.

Допустимые значения: URL-адрес или IP адрес. Схема HTTPS не поддерживается.

Значение по умолчанию: пустое

Укоренение корневого CA

SHA256 или SHA1 для идентификации корневого CA для проверки в ходе процесса SCEP. Это обязательный параметр.

Выполните одно из следующих действий:

  • В файле конфигурации телефона с XML-кодом (cfg.xml) введите строку в следующем формате:

    <CDC_Root_CA_Fingerprint_1_ ua="na">12040870625C5B755D73F5925285F8F5FF5D55AF</CDC_Root_CA_Fingerprint_1_>

  • На веб-странице телефона введите допустимый отпечаток пальца.

Значение по умолчанию: пустое

Вызов пароля

Пароль вызова для авторизации Certificate Authority (CA) для телефона во время регистрации сертификата через SCEP. Это необязательный параметр.

В зависимости от реальной среды SCEP поведение пароля вызова меняется.

  • Если телефон получает сертификат от Cisco RA, который сообщается с CA, пароль для СА не поддерживается. В этом случае Cisco RA использует MIC/SUDI телефона для аутентификации для доступа к CA. Телефон использует MIC/SUDI для первоначальной регистрации и обновления сертификата.
  • Если телефон получает сертификат путем прямого обмена данными с СА, в СА поддерживается пароль вызова. Если настроено, он будет использоваться только для первоначальной регистрации. Для обновления сертификата вместо него будет использоваться установленный сертификат.

Выполните одно из следующих действий:

  • В файле конфигурации телефона с XML-кодом (cfg.xml) введите строку в следующем формате:

    <CDC_Challenge_Password_1_ ua="na"></CDC_Challenge_Password_1_>

    Пароль замаскирован в файле конфигурации.

  • На веб-странице телефона введите пароль для вызова.

Значение по умолчанию: пустое

Общее имя

Указывает общее имя (CN), используемое в качестве идентификатора телефона, который запрашивает сертификат. CN используется для запроса на подпись сертификатов (CSR) в процессе SCEP.

Этот параметр также поддерживает переменные макро расширения. Подробности см .

Выполните одно из следующих действий:

  • В файле конфигурации телефона с XML-кодом (cfg.xml) введите строку в следующем формате:

    <CDC_Common_Name_1_ ua="na"></CDC_Common_Name_1_>

  • На веб-странице телефона введите общее имя.

Допустимое значение: не более 64 символов

Значение по умолчанию: пустое

Продление сертификата scep

Сертификат устройства может быть обновлен автоматически в рамках процесса SCEP.

  • Телефон проверяет, не истекает ли срок действия сертификата через 15 дней каждые 4 часа. В этом случае телефон автоматически начинает обновление сертификата.
  • Если пароль для вызова пуст, телефон использует MIC/SUDI для первоначальной регистрации и обновления сертификата. Если пароль вызова настроен, он используется только для начальной регистрации, существующий/установленный сертификат используется для обновления сертификата.
  • Телефон не удаляет сертификат старого устройства, пока не извлекает новое.
  • Если продление сертификата заканчивается, потому что сертификат устройства или СА истекает, телефон инициирует начальную регистрацию автоматически. В то же время, если аутентификация пароля вызова терпит сбой, на экране телефона появляется экран ввода пароля, и пользователям предлагается ввести пароль на телефоне.

Конфигурация с общими именами CDC

По умолчанию в качестве общего имени для CDC используется общее имя в MIC/SUDI.

Вы можете настроить общее имя CDC при установке сертификата. Для установки CDC на телефоне используйте один из следующих способов:

настройка параметров SCEP через параметр DHCP 43

В определенных средах, где невозможно установить сертификат пользовательского устройства (CDC), выгрузив его или непосредственно настроив параметры SCEP. В этой ситуации можно использовать параметр DHCP 43 для заполнения параметров с сервера DHCP. Параметр DHCP 43 можно настроить для предоставления параметров SCEP на телефон. После сброса до заводских настроек телефон может получить параметры от сервера DHCP для установки CDC по протоколу SCEP.

  • Эта функция (конфигурация параметров SCEP через DHCP параметр 43) доступна только для телефона, сброшенного до заводских настроек.
  • Телефоны не должны размещаться в сети, которая поддерживает параметр 43 и удаленную подготовку (например, Options 66,160,159,150 или выделение облачных ресурсов). В противном случае телефоны могут не получить конфигурацию параметра 43.

Чтобы установить сертификат CDC с помощью параметров SCEP, указанных в параметре DHCP 43, выполните следующие действия

  1. Подготовьте среду SCEP.

    Для получения информации о настройке среды SCEP см. документацию на сервер SCEP.

  2. Настройте DHCP параметр 43 (определяется в версии 8.4 «Информация о поставщике», RFC 2132).

    Подопья (10–15) зарезервированы для метода:

    Параметр на веб-странице телефонаПодсопровожениеТипДлина (байт)Обязательный
    Режим FIPS10булев1Нет*
    Сервер11строка208 — длина (пароль вызова)Да
    Укоренение корневого CA12зачаровывать20, 32, 48 или 64Да
    Вызов пароля13строка208 — длина (сервер)Нет*
    Включение аутентификации 802.1X14булев1Нет
    Выбор сертификата15неподписанный 8-битный1Нет

    * означает, что параметр настраивается в соответствии с фактической ситуацией.

    При использовании параметра DHCP 43 следует обратить внимание на следующие характеристики метода:

    • Субподзоры (10–15) зарезервированы для сертификата пользовательского устройства (CDC).
    • Максимальная длина параметра DHCP 43 — 255 байт.
    • Максимальная длина поля "Сервер + пароль вызова" должна быть менее 208 байт.
    • Значение режима FIPS должно соответствовать конфигурации по включенной подготовке. В противном случае телефон не сможет извлечь ранее установленный сертификат после включения в систему. Конкретно
      • Если телефон будет зарегистрирован в среде, где режим FIPS отключен, вам не нужно настраивать режим FIPS в параметре DHCP 43. По умолчанию режим FIPS отключен.
      • Если телефон будет зарегистрирован в среде, где включен режим FIPS, режим FIPS необходимо включить в DHCP параметре 43. Подробнее см . раздел «Включение режима FIPS».
    • Пароль для вызова в параметре 43 отображается в чистом тексте.
      • Если вы хотите, чтобы телефон использовал MIC/SUDI для первоначальной регистрации и обновления сертификата, оставьте пароль для вызова пустым.
      • Если пароль вызова используется только для первоначальной регистрации, настройте его пароль. В этом случае для обновления сертификата будет использоваться установленный сертификат.
    • Включение аутентификации 802.1X и выбора сертификатов используются только для телефонов в проводных сетях.
    • DHCP параметр 60 (идентификатор класса поставщика) используется для идентификации модели устройства.

    Пример параметра DHCP 43 (дочерние варианты 10–15):

    Подопечная десятичная дробь/гексДлина значения (байт) десятичное значение/шестнадцатеричноеЗначениеЗначение в hex-миксе
    10/0a1/011 (0: выключено; 1: включено)01
    11/0b18/12http://10.79.57.91687474703a2f2f31302e37392e35372e3931
    12/0c20/1412040870625C5B755D73F5925285F8F5FF5D55AF12040870625C5B755D73F5925285F8F5FF5D55AF
    13/0d16/10D233CCF9B9952A1544323333434346394239393532413135
    14/0e1/011 (0: Нет; 1: Да)01
    15/0f1/011 (0: Установлено на производстве; 1: Пользовательское установлено) 01

    Сводная информация по значениям параметров:

    • Режим FIPS = включен

    • Сервер = http://10.79.57.91

    • Отпечатки пальцев корневого CA = 12040870625C5B755D73F5925285F8F5FF5D55AF

    • Пароль вызова = D233CCF9B9952A15

    • Включить аутентификацию 802.1X = Да

    • Certificate Select = Пользовательское установлено

    Последнее значение в hex:{<suboption><length><удижение>}...

    Согласно приведенным выше значениям параметра, итоговое значение в hex выдается следующим образом:

    0a01010b12687474703a2f2f31302e37392e35372e39310c1412040870625C5B755D73F5925285F8F5FF5D55AF0d10443233334343463942393935324131350e01010f0101

  3. Настройте параметр DHCP 43 на сервере DHCP.

    На этом шаге приведен пример конфигурации параметра DHCP 43 на Cisco сетевой регистрации.

    1. Добавьте DHCP набор определений параметров.

      Строка параметров поставщика — это имя модели IP телефонов. Допустимое значение: DP-9841, DP-9851, DP-9861, DP-9871 или CP-8875.

    2. Добавьте параметр DHCP 43 и субподзоры в набор определений параметра DHCP.

      Пример.

      Снимок экрана: определения параметра DHCP 43 на Cisco сетевой регистрации

    3. Добавьте параметры 43 в политику DHCP и задайте значение следующим образом:

      Пример.

      (10 1)(11 http://10.79.57.91)(12 12040870625C5B755D73F5925285F8F5FF5D55AF)(13 D233CCF9B9952A15)(14 1)(15 1)

    4. Проверьте настройки. С помощью Wireshark можно отслеживать сетевой трафик между телефоном и службой.
  4. Выполните сброс до заводских настроек для телефона.

    После сброса телефона автоматически заполняются параметры «Сервер», «Идентификация корневого CA» и «Пароль вызова». Эти параметры размещены в разделе «Конфигурация SCEP 1 » из раздела Certificate > Custom на веб-странице администрирования телефона.

    Чтобы проверить сведения об установленном сертификате, щелкните " Просмотр " в разделе "Существующие сертификаты".

    Чтобы проверить статус установки сертификата, выберите «Сертификат > Custom Cert Status». Статус загрузки 1 показывает последний результат. Если во время регистрации сертификата возникнут какие-либо проблемы, статус загрузки может отобразить причину проблемы для устранения неполадок.

    В случае неудачной аутентификации по паролю пользователю будет предложено ввести пароль на экране телефона.

  5. (Необязательно): Чтобы удалить установленный сертификат с телефона, нажмите Удалить в разделе Существующие сертификаты .

    После нажатия кнопки операция удаления начнется немедленно, без подтверждения.

Предоставление общего имени или идентификатора пользователя через опцию DHCP 15

Во время регистрации сертификата SCEP с помощью параметра DHCP 43 телефон также может получить доменное имя, указанное в параметре DHCP 15 (если настроено). После того как телефон получит доменное имя, он может сконструировать общее имя или идентификатор пользователя с доменным именем, который представлен следующим образом:

  • Общее имя = <Общее имя в MIC/SUDI >.<Доменное имя в варианте 15>

    Общее имя будет использоваться для CSR в процессе SCEP, а позже оно станет общим именем в CDC.

  • Идентификатор пользователя = <Общее имя в MIC/SUDI >@<Доменное имя в варианте 15>

    Идентификатор пользователя будет использоваться в качестве идентификатора для проводной аутентификации 802.1X.

Например, адрес телефона MAC — 00:1A:2B:3C:4D:5E, модель телефона — 9871:

Доменное имя в DHCP вариант 15Общее имяИдентификатор пользователя
example.nlCP-9871-SEP001A2B3C4D5E.example.nlCP-9871-SEP001A2B3C4D5E@example.nl
ПустоCP-9871-SEP001A2B3C4D5E

CP-9871-SEP001A2B3C4D5E

Если доменное имя не настроено в параметре 15, общее имя и идентификатор пользователя будут такими же, как общее имя в MIC/SUDI.