Okrem registrácie certifikátu SCEP manuálnou konfiguráciou na webovej stránke telefónu môžete na vyplnenie parametrov zo servera DHCP použiť aj možnosť DHCP 43. Možnosť DHCP 43 je predkonfigurovaná s parametrami SCEP, neskôr môže telefón načítať parametre zo servera DHCP na vykonanie registrácie certifikátu SCEP.

Ak chcete zaregistrovať certifikát SCEP konfiguráciou parametrov SCEP v možnosti DHCP 43, postupujte takto:

1. Pripravte prostredie SCEP.

   Informácie o nastavení prostredia SCEP nájdete v dokumentácii k serveru SCEP.

2. Nastavte možnosť DHCP 43 (definovanú v 8.4 Informácie špecifické pre dodávateľa, RFC 2132).

   Podmožnosti (10 – 15) sú vyhradené pre metódu:

   Parameter na webovej stránke telefónu	Podvoľba	Typ	Dĺžka (bajt)	Povinný
   Režim FIPS	10	Boolean	1	Nie*
   Server	11	povrázok	208 - dĺžka (výzva hesla)	Áno
   Odtlačok prsta koreňovej CA	12	binárny	20 alebo 32	Áno
   Heslo výzvy	13	povrázok	208 - dĺžka (server)	Nie*
   Povoliť overenie 802.1X	14	Boolean	1	Nie
   Výber certifikátu	15	8-bitová verzia bez znamienka	1	Nie

   Pri použití možnosti DHCP 43 si všimnite nasledujúce charakteristiky metódy:

   • Podmožnosti (10 – 15) sú vyhradené pre Custom Device Certificate (CDC).
   • Maximálna dĺžka možnosti DHCP 43 je 255 bajtov.
   • Maximálna dĺžka servera + hesla výzvy musí byť menšia ako 208 bajtov.
   • Hodnota režimu FIPS musí byť v súlade s konfiguráciou poskytovania onboardingu. V opačnom prípade sa telefónu po registrácii nepodarí načítať predtým nainštalovaný certifikát. Špeciálne
     • Ak bude telefón zaregistrovaný v prostredí, kde je režim FIPS vypnutý, nemusíte konfigurovať parameter Režim FIPS v možnosti DHCP 43. V predvolenom nastavení je režim FIPS vypnutý.
     • Ak bude telefón zaregistrovaný v prostredí, v ktorom je povolený režim FIPS, musíte povoliť režim FIPS v možnosti DHCP 43. Podrobnosti nájdete v časti Zapnutie režimu FIPS.
   • Heslo v možnosti 43 je vo formáte prostého textu.

     Ak je heslo výzvy prázdne, telefón použije MIC/SUDI na počiatočnú registráciu a obnovenie certifikátu. Ak je nakonfigurované heslo výzvy, použije sa iba na počiatočnú registráciu a nainštalovaný certifikát sa použije na obnovenie certifikátu.

   • Možnosť Povoliť overenie 802.1X a výber certifikátu sa používajú iba pre telefóny v káblovej sieti.
   • Na identifikáciu modelu zariadenia sa používa možnosť DHCP 60 (identifikátor triedy dodávateľa).

   V nasledujúcej tabuľke je uvedený príklad možnosti DHCP 43 (podmožnosti 10 – 15):

   Podvoľba desatinná/hexadecimálna	Dĺžka hodnoty (bajt) desatinná/hexadecimálna	Hodnota	Hexadecimálna hodnota
   10/0a	1/01	1 (0: Invalidný; 1: Povolené)	01
   11/0b	18/12	http://10.79.57.91	687474703a2f2f31302e37392e35372e3931
   12/0c	20/14	12040870625C5B755D73F5925285F8F5FF5D55AF	12040870625C5B755D73F5925285F8F5FF5D55AF
   13/0d	16/10	D233CCF9B9952A15	44323333434346394239393532413135
   14/0e	1/01	1 (0: Č. 1: Áno)	01
   15/0f	1/01	1 (0: Inštalovaná výroba; 1: Nainštalované na mieru)	01

   Súhrn hodnôt parametrov:

   • Režim FIPS = Povolené

   • Server = http://10.79.57.91

   • Odtlačok prsta koreňovej CA = 12040870625C5B755D73F5925285F8F5FF5D55AF

   • Heslo výzvy = D233CCF9B9952A15

   • Povoliť overenie 802.1X = Áno

   • Výber certifikátu = Nainštalované na mieru

   Syntax konečnej hexadecimálnej hodnoty je: {<suboption><length><value>}...</value></length></suboption>

   Podľa vyššie uvedených hodnôt parametrov je konečná hexadecimálna hodnota nasledovná:

   0a01010b12687474703a2f2f31302e37392e35372e39310c1412040870625C5B755D73F5925285F8F5FF5D55AF0d10443233334343463942393935324131350e01010f0101

3. Nakonfigurujte možnosť DHCP 43 na serveri DHCP.
   Tento krok poskytuje príklad konfigurácií možnosti DHCP 43 v Cisco Network Register.
   1. Pridajte množinu definícií možností DHCP.

      Reťazec možností dodávateľa je názov modelu telefónov IP. Platná hodnota je: DP-9841, DP-9851, DP-9861, DP-9871 alebo CP-8875.

   2. Pridajte možnosť DHCP 43 a podmožnosti do množiny definícií možností DHCP.

      Príklad:

      

   3. Pridajte možnosti 43 do politiky DHCP a nastavte hodnotu nasledovne:

      Príklad:

      (10 1)(11 http://10.79.57.91)(12 12040870625C5B755D73F5925285F8F5FF5D55AF)(13 D233CCF9B9952A15)(14 1)(15 1)

   4. Overte nastavenia. Wireshark môžete použiť na zachytenie stopy sieťovej prevádzky medzi telefónom a službou.
4. Vykonajte obnovenie továrenských nastavení telefónu.

   Po resetovaní telefónu sa automaticky vyplnia parametre Server, Odtlačok prstakoreňovej CA a Heslo výzvy. Tieto parametre sa nachádzajú v sekcii Konfigurácia SCEP 1 z Certifikát > Vlastné na webovej stránke správy telefónu.

   Ak chcete skontrolovať podrobnosti o nainštalovanom certifikáte, kliknite na položku Zobraziť v časti Existujúce certifikáty .

   Ak chcete skontrolovať stav inštalácie certifikátu, vyberte položku Stav certifikátu > vlastného certifikátu. Stav sťahovania 1 zobrazuje najnovší výsledok. Ak sa počas registrácie certifikátu vyskytne nejaký problém, stav sťahovania môže zobrazovať dôvod problému na účely riešenia problémov.

   Ak overenie hesla výzvy zlyhá, používatelia budú vyzvaní na zadanie hesla na obrazovke telefónu.
5. (Voliteľné): Ak chcete odstrániť nainštalovaný certifikát z telefónu, kliknite na položku Odstrániť v časti Existujúce certifikáty .
   Po kliknutí na tlačidlo sa operácia odstránenia spustí okamžite bez potvrdenia.

Certifikát zariadenia je možné automaticky obnoviť procesom SCEP.

• Telefón každé 4 hodiny kontroluje, či platnosť certifikátu vyprší o 15 dní. Ak áno, telefón automaticky spustí proces obnovenia certifikátu.
• Ak je heslo výzvy prázdne, telefón používa MIC/SUDI na počiatočnú registráciu aj obnovenie certifikátu. Ak je heslo výzvy nakonfigurované, používa sa iba na počiatočnú registráciu, existujúci/nainštalovaný certifikát sa použije na obnovenie certifikátu.
• Telefón neodstráni starý certifikát zariadenia, kým nenačíta nový.
• Ak obnovenie certifikátu zlyhá, pretože platnosť certifikátu zariadenia alebo certifikačnej autority vyprší, telefón automaticky spustí počiatočnú registráciu. Medzitým, ak overenie hesla výzvy zlyhá, na obrazovke telefónu sa zobrazí obrazovka na zadanie hesla a používatelia sú vyzvaní na zadanie hesla výzvy v telefóne.

IP telefóny Cisco podporujú overovanie 802.1X.

Telefóny Cisco IP a prepínače Cisco Catalyst tradične používajú protokol Cisco Discovery Protocol (CDP) na vzájomnú identifikáciu a určenie parametrov, ako je pridelenie siete VLAN a požiadavky na napájanie. CDP neidentifikuje lokálne pripojené pracovné stanice. IP telefóny Cisco poskytujú mechanizmus EAPOL pass-through. Tento mechanizmus umožňuje pracovnej stanici pripojenej k IP telefónu Cisco odovzdávať správy EAPOL autentifikátoru 802.1X na prepínači LAN. Mechanizmus prenosu zaisťuje, že IP telefón nefunguje ako prepínač LAN na overenie koncového bodu údajov pred prístupom k sieti.

Cisco IP telefóny tiež poskytujú mechanizmus odhlásenia proxy EAPOL. Ak sa lokálne pripojený počítač odpojí od IP telefónu, prepínač LAN nevidí zlyhanie fyzického spojenia, pretože spojenie medzi prepínačom LAN a IP telefónom je zachované. Aby sa predišlo narušeniu integrity siete, telefón IP odošle správu EAPOL-Logoff do prepínača v mene nadväzujúceho počítača, ktorá spustí prepínač siete LAN na vymazanie položky overenia pre nadväzujúci počítač.

Podpora overovania 802.1X vyžaduje niekoľko súčastí:

• IP telefóny Cisco Telefón iniciuje žiadosť o prístup k sieti. IP telefóny Cisco obsahujú prosebníka 802.1X. Tento prosebník umožňuje správcom siete ovládať pripojenie IP telefónov k portom prepínačov LAN. Aktuálne vydanie telefónu 802.1X prosebníka používa na sieťové overovanie možnosti EAP-FAST a EAP-TLS.

• Autentifikačný server: Overovací server aj prepínač musia byť nakonfigurované so zdieľaným tajným kódom, ktorý overuje telefón.

• Prepínač: Prepínač musí podporovať 802.1X, aby mohol fungovať ako autentifikátor a odovzdávať správy medzi telefónom a autentifikačným serverom. Po dokončení výmeny prepínač udelí alebo odmietne telefónu prístup k sieti.

Ak chcete nakonfigurovať štandard 802.1X, musíte vykonať nasledujúce akcie.

• Pred povolením overenia 802.1X v telefóne nakonfigurujte ostatné komponenty.

• Nakonfigurujte port PC: Štandard 802.1X neberie do úvahy VLAN, a preto odporúča, aby bolo na konkrétnom porte prepínača overené iba jedno zariadenie. Niektoré prepínače však podporujú overovanie viacerých domén. Konfigurácia prepínača určuje, či môžete pripojiť počítač k portu počítača telefónu.

  • Povolené: Ak používate prepínač, ktorý podporuje overovanie viacerých domén, môžete povoliť port počítača a pripojiť k nemu počítač. V tomto prípade Cisco IP telefóny podporujú proxy EAPOL-Logoff na monitorovanie výmeny autentifikácie medzi prepínačom a pripojeným počítačom.

    Ďalšie informácie o podpore IEEE 802.1X na prepínačoch Cisco Catalyst nájdete v sprievodcoch konfiguráciou prepínačov Cisco Catalyst na adrese:

    http://www.cisco.com/en/US/products/hw/switches/ps708/tsd_products_support_series_home.html

  • Invalidný: Ak prepínač nepodporuje viacero zariadení kompatibilných so štandardom 802.1X na rovnakom porte, mali by ste vypnúť port počítača, keď je povolené overovanie 802.1X. Ak tento port nezakážete a potom sa k nemu pokúsite pripojiť počítač, prepínač odmietne prístup k sieti telefónu aj počítaču.

• Nakonfigurujte hlasovú sieť VLAN: Keďže štandard 802.1X nezohľadňuje siete VLAN, mali by ste toto nastavenie nakonfigurovať na základe podpory prepínačov.
  • Povolené: Ak používate prepínač, ktorý podporuje overovanie viacerých domén, môžete v ňom pokračovať a používať hlasovú sieť VLAN.
  • Invalidný: Ak prepínač nepodporuje overovanie viacerých domén, vypnite hlasovú sieť VLAN a zvážte priradenie portu k natívnej sieti VLAN.
• (Len pre stolný telefón Cisco radu 9800)

  Stolný telefón Cisco radu 9800 má v PID inú predponu ako ostatné telefóny Cisco. Ak chcete povoliť telefónu overenie 802.1X, nastavte Polomer· Parameter používateľského mena , ktorý zahŕňa stolný telefón Cisco radu 9800.

  Napríklad PID telefónu 9841 je DP-9841; môžete nastaviť Polomer· Používateľské meno na začiatok DP alebo obsahuje DP. Môžete ho nastaviť v oboch nasledujúcich častiach:

  • Pravidlá > podmienky > podmienky knižnice

  • Zásady > Množiny politík > Autorizačná politika > Autorizačné pravidlo 1

Keďže všetky zariadenia WLAN, ktoré sú v dosahu, môžu prijímať všetku ostatnú prevádzku WLAN, zabezpečenie hlasovej komunikácie je v sieťach WLAN dôležité. Aby sa zabezpečilo, že votrelci nebudú manipulovať ani nezachytávať hlasovú prevádzku, architektúra Cisco SAFE Security podporuje telefón. Ďalšie informácie o zabezpečení v sieťach nájdete v téme http://www.cisco.com/en/US/netsol/ns744/networking_solutions_program_home.html.

Riešenie bezdrôtovej IP telefónie Cisco poskytuje zabezpečenie bezdrôtovej siete, ktoré zabraňuje neoprávneným prihláseniam a ohrozenej komunikácii pomocou nasledujúcich metód overovania, ktoré telefón podporuje:

• Otvorené overenie: Akékoľvek bezdrôtové zariadenie môže požiadať o overenie v otvorenom systéme. Prístupový bod, ktorý prijme žiadosť, môže udeliť autentifikáciu ktorémukoľvek žiadateľovi alebo len žiadateľom, ktorí sa nachádzajú v zozname používateľov. Komunikácia medzi bezdrôtovým zariadením a prístupovým bodom (AP) môže byť nešifrovaná.

• Rozšíriteľný autentifikačný protokol – flexibilné overovanie prostredníctvom zabezpečeného tunelovania (EAP-FAST) Autentifikácia: Táto architektúra zabezpečenia klient-server šifruje transakcie EAP v tuneli TLS (Transport Level Security) medzi prístupovým bodom a serverom RADIUS, ako je napríklad Identity Services Engine (ISE).

  Tunel TLS používa poverenia chráneného prístupu (PAC) na overenie medzi klientom (telefónom) a serverom RADIUS. Server odošle ID autority (AID) klientovi (telefónu), ktorý následne vyberie príslušný PAC. Klient (telefón) vráti PAC-Opaque na server RADIUS. Server dešifruje PAC pomocou primárneho kľúča. Oba koncové body teraz obsahujú kľúč PAC a vytvorí sa tunel TLS. EAP-FAST podporuje automatické zriaďovanie PAC, ale musíte ho povoliť na serveri RADIUS.

  V ISE štandardne platnosť PAC uplynie o jeden týždeň. Ak má telefón platnosť PAC, overenie na serveri RADIUS trvá dlhšie, kým telefón dostane nový PAC. Ak sa chcete vyhnúť oneskoreniu poskytovania PAC, nastavte obdobie uplynutia platnosti PAC na serveri ISE alebo RADIUS na 90 dní alebo dlhšie.

• Overovanieprotokolu EAP-TLS (Extensible Authentication Protocol-Transport Layer Security): EAP-TLS vyžaduje klientsky certifikát na overenie a prístup k sieti. V prípade bezdrôtového protokolu EAP-TLS môže byť klientskym certifikátom MIC, LSC alebo certifikát nainštalovaný používateľom.

• Protokol PEAP (Protected Extensible Authentication Protocol): Proprietárna schéma vzájomnej autentifikácie založená na hesle Cisco medzi klientom (telefónom) a serverom RADIUS. Telefón môže používať protokol PEAP na autentifikáciu v bezdrôtovej sieti. Podporované sú metódy overovania PEAP-MSCHAPV2 aj PEAP-GTC.

• Predbežne zdieľaný kľúč (PSK): Telefón podporuje formát ASCII. Tento formát musíte použiť pri nastavovaní predzdieľaného kľúča WPA/WPA2/SAE:

  ASCII: reťazec znakov ASCII s dĺžkou 8 až 63 znakov (0 – 9, malé a veľké písmená A až Z a špeciálne znaky)

  Príklad: GREG123567@9ZX&W

Nasledujúce schémy overovania používajú server RADIUS na správu overovacích kľúčov:

• WPA/WPA2/WPA3: Používa informácie o serveri RADIUS na generovanie jedinečných kľúčov na overenie. Keďže tieto kľúče sa generujú na centralizovanom serveri RADIUS, WPA2/WPA3 poskytuje väčšie zabezpečenie ako predzdieľané kľúče WPA, ktoré sú uložené v prístupovom bode a telefóne.

• Rýchly zabezpečený roaming: Na správu a overovanie kľúčov používa informácie o serveri RADIUS a serveri bezdrôtovej domény (WDS). Služba WDS vytvára vyrovnávaciu pamäť bezpečnostných poverení pre klientske zariadenia s podporou FT na rýchle a bezpečné opätovné overenie. Stolný telefón Cisco 9861 a 9871 a videotelefón Cisco 8875 podporujú štandard 802.11r (FT). Podporované sú bezdrôtové aj bezdrôtové vysielanie aj DS, ktoré umožňujú rýchly a bezpečný roaming. Dôrazne však odporúčame použiť metódu 802.11r (FT) vzduchom.

Pri WPA/WPA2/WPA3 sa šifrovacie kľúče nezadávajú do telefónu, ale automaticky sa odvodzujú medzi prístupovým bodom a telefónom. Používateľské meno a heslo EAP, ktoré sa používajú na overenie, však musia byť zadané v každom telefóne.

Na zaistenie bezpečnosti hlasovej prevádzky telefón podporuje šifrovanie TKIP a AES. Keď sa tieto mechanizmy používajú na šifrovanie, medzi AP a telefónom sa šifrujú signalizačné pakety SIP aj hlasové pakety RTP (Real-Time Transport Protocol).

TKIP

WPA používa šifrovanie TKIP, ktoré má oproti WEP niekoľko vylepšení. TKIP poskytuje šifrovanie kľúčov pre jednotlivé pakety a dlhšie inicializačné vektory (IV), ktoré posilňujú šifrovanie. Okrem toho kontrola integrity správ (MIC) zaisťuje, že sa šifrované pakety nemenia. TKIP odstraňuje predvídateľnosť WEP, ktorá pomáha votrelcom dešifrovať kľúč WEP.

AES

Metóda šifrovania používaná na overovanie WPA2/WPA3. Tento národný štandard pre šifrovanie používa symetrický algoritmus, ktorý má rovnaký kľúč na šifrovanie a dešifrovanie. AES používa šifrovanie CBC (Cipher Blocking Chain) s veľkosťou 128 bitov, ktoré podporuje minimálne 128 bitov, 192 bitov a 256 bitov. Telefón podporuje veľkosť kľúča 256 bitov.

Schémy autentifikácie a šifrovania sú nastavené v rámci bezdrôtovej siete LAN. Siete VLAN sú nakonfigurované v sieti a na prístupových bodoch a špecifikujú rôzne kombinácie autentifikácie a šifrovania. SSID sa priraďuje k sieti VLAN a konkrétnej schéme overovania a šifrovania. Ak chcete, aby sa bezdrôtové klientske zariadenia úspešne overili, musíte nakonfigurovať rovnaké identifikátory SSID s ich schémami overovania a šifrovania na prístupových bodoch a v telefóne.

Niektoré schémy overovania vyžadujú špecifické typy šifrovania.

Schémy overovania a šifrovania v nasledujúcej tabuľke zobrazujú možnosti konfigurácie siete pre telefón, ktoré zodpovedajú konfigurácii prístupového bodu.