Inštalácia certifikátu vlastného zariadenia

Ak chcete do telefónu nainštalovať certifikát vlastného zariadenia (CDC), použite v závislosti od vašej situácie jeden z nasledujúcich spôsobov:

Platí naposledy nainštalovaný certifikát v telefóne.

Manuálna inštalácia certifikátu vlastného zariadenia nahraním

Certifikát vlastného zariadenia (CDC) môžete do telefónu nainštalovať manuálne nahraním certifikátu z webovej stránky správy telefónu.

Predtým, ako začnete

Pred inštaláciou vlastného certifikátu zariadenia pre telefón musíte mať:

  • Súbor certifikátu (.p12 alebo .pfx) uložený vo vašom počítači. Súbor obsahuje certifikát a súkromný kľúč.
  • Heslo na extrakciu certifikátu. Heslo sa používa na dešifrovanie súboru certifikátu.
1

Prejdite na webovú stránku správy telefónu.

2

Vyberte Certifikát.

3

V Pridať certifikát sekcia, kliknite Prehliadať....

4

Prejdite na certifikát vo vašom počítači.

5

V Extrahovať heslo zadajte heslo na extrakciu certifikátu.

6

Kliknite na položku Nahrať.

Ak je súbor certifikátu a heslo správne, zobrazí sa správa „ Certifikát pridaný. ". V opačnom prípade nahrávanie zlyhá a zobrazí sa chybové hlásenie, že certifikát nie je možné nahrať.
7

Ak chcete skontrolovať podrobnosti o nainštalovanom certifikáte, kliknite na Zobraziť v Existujúce certifikáty sekcia.

8

Ak chcete odstrániť nainštalovaný certifikát z telefónu, kliknite na Odstrániť v Existujúce certifikáty sekcia.

Po kliknutí na tlačidlo sa operácia odstránenia spustí okamžite bez potvrdenia.

Ak sa certifikát úspešne odstráni, zobrazí sa správa „ Certifikát bol odstránený. ".

Automatická inštalácia certifikátu vlastného zariadenia pomocou SCEP

Parametre súvisiace s protokolom SCEP (Simple Certificate Enrollment Protocol) môžete nakonfigurovať tak, aby interagovali so serverom SCEP a automaticky nainštalovali certifikát vlastného zariadenia (CDC).

Po nakonfigurovaní ktoréhokoľvek z parametrov SCEP telefón odošle na server žiadosť o registráciu SCEP. Telefón overí prijatý certifikát CA pomocou nakonfigurovaného odtlačku prsta.

Predtým, ako začnete

Pred vykonaním automatickej inštalácie certifikátu vlastného zariadenia (CDC) pre telefón musíte mať:

  • Adresa servera SCEP
  • SHA-1 alebo SHA-256 odtlačok koreňového certifikátu CA pre server SCEP
1

Prejdite na webovú stránku správy telefónu.

2

Vyberte Certifikát.

3

V Konfigurácia SCEP 1 časti nastavte parametre podľa popisu v Parametre pre konfiguráciu SCEP .

4

Kliknite na možnosť Odoslať všetky zmeny.

Parametre pre konfiguráciu SCEP

Nasledujúca tabuľka definuje funkciu a použitie konfiguračných parametrov SCEP v Konfigurácia SCEP 1 časť pod Certifikát Tab vo webovom rozhraní telefónu. Taktiež definuje syntax reťazca, ktorý sa pridáva do konfiguračného súboru telefónu (cfg.XML) na konfiguráciu parametra.

Akékoľvek zmeny parametrov spôsobia, že telefón požiada o nový certifikát.

Tabuľka 1. Parametre pre konfiguráciu SCEP
ParameterPopis
Server

Adresa servera SCEP. Tento parameter je povinný.

Vykonajte jeden z nasledovných krokov:

  • V konfiguračnom súbore telefónu s formátom XML (cfg.xml) zadajte reťazec v tomto formáte:

    <CDC_Server_1_ ua="na">http://10.79.57.91</CDC_Server_1_>

  • Na webovej stránke telefónu zadajte adresu servera SCEP.

Platné hodnoty: URL alebo adresa IP. Schéma HTTPS nie je podporovaná.

Predvolené: prázdne

Odtlačok prsta koreňovej certifikačnej autority

Odtlačok prsta SHA256 alebo SHA1 koreňovej CA na overenie počas procesu SCEP. Tento parameter je povinný.

Vykonajte jeden z nasledovných krokov:

  • V konfiguračnom súbore telefónu s formátom XML (cfg.xml) zadajte reťazec v tomto formáte:

    <CDC_Root_CA_Fingerprint_1_ ua="na">12040870625C5B755D73F5925285F8F5FF5D55AF</CDC_Root_CA_Fingerprint_1_>

  • Na webovej stránke telefónu zadajte platný odtlačok prsta.

Predvolené: prázdne

Heslo výzvy

Výzva na heslo pre autorizáciu Certificate Authority (CA) na telefóne počas zápisu certifikátu cez SCEP. Tento parameter je voliteľný.

V závislosti od aktuálneho prostredia SCEP sa správanie výzvy na zadanie hesla líši.

  • Ak telefón získa certifikát z RA Cisco, ktoré komunikuje s CA, heslo na výzvu nie je na CA podporované. V tomto prípade RA Cisco použije na autentifikáciu pre prístup k CA MIC/SUDI telefónu. Telefón použije MIC/SUDI na počiatočnú registráciu aj na obnovenie certifikátu.
  • Ak telefón získa certifikát priamou komunikáciou s certifikačnou autoritou (CA), heslo pre výzvu je na CA podporované. Ak je nakonfigurované, použije sa iba pri počiatočnej registrácii. Na obnovenie certifikátu sa namiesto toho použije nainštalovaný certifikát.

Vykonajte jeden z nasledovných krokov:

  • V konfiguračnom súbore telefónu s formátom XML (cfg.xml) zadajte reťazec v tomto formáte:

    Heslo_výzvy_CDC_1_ ua="na"></Heslo_výzvy_CDC_1_>

    Heslo je v konfiguračnom súbore maskované.

  • Na webovej stránke telefónu zadajte heslo pre výzvu.

Predvolené: prázdne

Bežný názov

Určuje bežný názov (CN) používaný ako identifikátor telefónu, ktorý požaduje certifikát. CN sa používa pre žiadosť o podpis certifikátu (CSR) v procese SCEP.

Tento parameter podporuje aj makro rozširujúce premenné, podrobnosti nájdete v časti Premenné rozšírenia makier.

Vykonajte jeden z nasledovných krokov:

  • V konfiguračnom súbore telefónu s formátom XML (cfg.xml) zadajte reťazec v tomto formáte:

    <CDC_Common_Name_1_ ua="na"></CDC_Common_Name_1_>

  • Na webovej stránke telefónu zadajte bežný názov.

Platné hodnoty: maximálne 64 znakov

Predvolené: prázdne

Obnovenie certifikátu SCEP

Certifikát zariadenia je možné automaticky obnoviť procesom SCEP.

  • Telefón každé 4 hodiny kontroluje, či platnosť certifikátu vyprší o 15 dní. Ak áno, telefón automaticky spustí proces obnovenia certifikátu.
  • Ak je heslo výzvy prázdne, telefón použije MIC/SUDI na počiatočnú registráciu aj obnovenie certifikátu. Ak je heslo výzvy nakonfigurované, používa sa iba na počiatočnú registráciu, existujúci/nainštalovaný certifikát sa použije na obnovenie certifikátu.
  • Telefón neodstráni starý certifikát zariadenia, kým nenačíta nový.
  • Ak obnovenie certifikátu zlyhá, pretože vyprší platnosť certifikátu zariadenia alebo certifikačnej autority, telefón automaticky spustí počiatočnú registráciu. Medzitým, ak overenie hesla výzvy zlyhá, na obrazovke telefónu sa zobrazí obrazovka na zadanie hesla a používatelia sú vyzvaní, aby na telefóne zadali heslo výzvy.

Konfigurácia spoločného názvu CDC

V predvolenom nastavení sa bežný názov v MIC/SUDI používa ako všeobecný názov pre CDC.

Bežný názov pre CDC môžete nakonfigurovať pri inštalácii certifikátu. Na inštaláciu systému CDC do telefónu použite jeden z nasledujúcich postupov:

Konfigurácia parametrov SCEP prostredníctvom DHCP možnosti 43

V niektorých prostrediach, kde nie je možné nainštalovať certifikát vlastného zariadenia (CDC) prostredníctvom jeho nahrania alebo priamej konfigurácie parametrov SCEP. V tejto situácii môžete využiť možnosť DHCP 43 na vyplnenie parametrov zo servera DHCP. Možnosť DHCP 43 je možné nakonfigurovať tak, aby telefónu poskytovala parametre SCEP. Po obnovení továrenských nastavení môže telefón prijímať parametre zo servera DHCP na inštaláciu CDC prostredníctvom protokolu SCEP.

  • Táto funkcia (konfigurácia parametrov SCEP prostredníctvom DHCP možnosti 43) je dostupná len pre telefón, ktorý je obnovený z výroby.
  • Telefóny nesmú byť umiestnené v sieti, ktorá podporuje možnosť 43 a vzdialené poskytovanie (napríklad možnosti 66,160,159,150 alebo poskytovanie cloudu). V opačnom prípade sa môže stať, že telefóny nedostanú konfigurácie možnosti 43.

Ak chcete nainštalovať certifikát CDC pomocou parametrov SCEP uvedených v možnosti DHCP 43, postupujte takto:

  1. Pripravte prostredie SCEP.

    Informácie o nastavení prostredia SCEP nájdete v dokumentácii k serveru SCEP.

  2. Nastavte DHCP možnosť 43 (definovaná v 8.4 Informácie špecifické pre dodávateľa, RFC 2132).

    Čiastkové možnosti (10–15) sú vyhradené pre metódu:

    Parameter na webovej stránke telefónuČiastková možnosťTypDĺžka (bajt)Povinný
    Režim FIPS10Boolean1Nie*
    Server11Reťazec208 - dĺžka (heslo výzvy)Áno
    Koreňový odtlačok CA12Hex20, 32, 48 alebo 64Áno
    Heslo výzvy13Reťazec208 - dĺžka (server)Nie*
    Povoliť overenie 802.1X14Boolean1Nie
    Vybrať certifikát15Nepodpísaná 8-bitová verzia1Nie

    * znamená, že parameter je nakonfigurovaný podľa skutočnej situácie.

    Keď použijete možnosť DHCP 43, všimnite si nasledujúce charakteristiky metódy:

    • Čiastkové možnosti (10 – 15) sú vyhradené pre certifikát vlastného zariadenia (CDC).
    • Maximálna dĺžka možnosti DHCP 43 je 255 bajtov.
    • Maximálna dĺžka hesla Server + výzva musí byť menšia ako 208 bajtov.
    • Hodnota režimu FIPS musí byť konzistentná s konfiguráciou poskytovania pri zaradení. V opačnom prípade telefón nedokáže po zaradení načítať predtým nainštalovaný certifikát. Špeciálne
      • Ak bude telefón zaregistrovaný v prostredí, v ktorom je vypnutý režim FIPS, nemusíte režim FIPS konfigurovať v možnosti DHCP 43. Režim FIPS je predvolene vypnutý.
      • Ak bude telefón zaregistrovaný v prostredí, v ktorom je povolený režim FIPS, musíte režim FIPS povoliť v DHCP možnosti 43. Podrobnosti nájdete v časti Zapnutie režimu FIPS.
    • Heslo výzvy v možnosti 43 je v nešifrovanom texte.
      • Ak chcete, aby telefón používal MIC/SUDI na počiatočnú registráciu a obnovenie certifikátu, nechajte heslo výzvy prázdne.
      • Ak sa heslo výzvy používa iba na počiatočnú registráciu, nakonfigurujte heslo výzvy. V takom prípade sa nainštalovaný certifikát použije na obnovenie certifikátu.
    • Povoliť overenie 802.1X a výber certifikátu sa používajú len pre telefóny v káblových sieťach.
    • DHCP na identifikáciu modelu zariadenia sa používa možnosť 60 (Identifikátor triedy dodávateľa).

    Príklad DHCP možnosti 43 (čiastkové možnosti 10 – 15):

    Čiastková možnosť desatinné/hexadecimálneDĺžka hodnoty (bajt) desatinné/hexadecimálneHodnotaHexadecimálna hodnota
    10/0a1/011 (0: Vypnuté; 1: Povolené)01
    11/0b18/12http://10.79.57.91687474703a2f2f31302e37392e35372e3931
    12/0c20/1412040870625C5B755D73F5925285F8F5FF5D55AF12040870625C5B755D73F5925285F8F5FF5D55AF
    13/0d16/10D233CCF9B9952A1544323333434346394239393532413135
    14/0e1/011 (0: Nie; 1: Áno)01
    15/0f1/011 (0: Nainštalovaná výroba; 1: Nainštalovaná na mieru) 01

    Súhrn hodnôt parametrov:

    • Režim FIPS = povolený

    • Server = http://10.79.57.91

    • Odtlačok koreňovej CA = 12040870625C5B755D73F5925285F8F5FF5D55AF

    • Heslo výzvy = D233CCF9B9952A15

    • Povoliť overenie 802.1X = Áno

    • Výber certifikátu = Vlastné nainštalované

    Syntax konečnej hexadecimálnej hodnoty je: {<suboption><length><value>}...

    Podľa vyššie uvedených hodnôt parametrov je konečná hexadecimálna hodnota nasledovná:

    0A01010B12687474703a2f2f31302e37392e35372e39310c1412040870625C5B755D73F5925285F8F5FF5D55AF0d10443233334343463942393935324131350e01010f0101

  3. Nakonfigurujte možnosť DHCP 43 na serveri DHCP.

    Tento krok poskytuje príklad konfigurácie DHCP možnosti 43 v registri siete Cisco.

    1. Pridajte množinu definícií možností DHCP.

      Reťazec možností dodávateľa je názov modelu IP telefónov. Platná hodnota je: DP-9841, DP-9851, DP-9861, DP-9871 alebo CP-8875.

    2. Pridajte možnosť DHCP 43 a vedľajšie možnosti do množiny definícií možností DHCP.

      Príklad:

      Snímka obrazovky s možnosťou DHCP 43 definícií v registri siete Cisco

    3. Pridajte možnosti 43 do politiky DHCP a nastavte hodnotu takto:

      Príklad:

      (10 1)(11 http://10.79.57.91)(12 12040870625C5B755D73F5925285F8F5FF5D55AF)(13 D233CCF9B9952A15)(14 1)(15 1)

    4. Overte nastavenia. Wireshark môžete použiť na zachytenie stopy sieťovej prevádzky medzi telefónom a službou.
  4. Vykonajte obnovenie výrobných nastavení telefónu.

    Po resetovaní telefónu sa automaticky vyplnia parametre Server, Root CA Fingerprint a Challenge Password . Tieto parametre sa nachádzajú v časti SCEP Konfigurácia 1 z Certificate > Custom na webovej stránke správy telefónu.

    Ak chcete skontrolovať podrobnosti o nainštalovanom certifikáte, kliknite na tlačidlo Zobraziť v časti Existujúce certifikáty .

    Ak chcete skontrolovať stav inštalácie certifikátu, vyberte Certificate > Custom Cert Status. Stav preberania 1 zobrazuje najnovší výsledok. Ak sa počas registrácie certifikátu vyskytne nejaký problém, stav sťahovania môže ukázať dôvod problému na účely riešenia problémov.

    Ak overenie heslom výzvy zlyhá, používatelia budú vyzvaní na zadanie hesla na obrazovke telefónu.

  5. (Voliteľné): Ak chcete odstrániť nainštalovaný certifikát z telefónu, kliknite na Odstrániť v časti Existujúce certifikáty .

    Po kliknutí na tlačidlo sa operácia odstránenia spustí okamžite bez potvrdenia.

Poskytovanie bežného mena alebo ID používateľa prostredníctvom možnosti DHCP 15

Počas registrácie certifikátu SCEP prostredníctvom možnosti DHCP 43 môže telefón získať aj názov domény uvedený v možnosti DHCP 15 (ak je nakonfigurovaná). Keď telefón prijme názov domény, môže vytvoriť spoločný názov alebo ID používateľa s názvom domény, ktorý je znázornený takto:

  • Bežný názov = <Bežný názov v > MIC/SUDI.<Názov domény v možnosti 15>

    Bežný názov sa použije pre CSR v procese SCEP a neskôr bude všeobecným názvom v CDC.

  • ID používateľa = <bežné meno v MIC/SUDI >@<názov domény v možnosti 15>

    ID používateľa sa použije ako identita pre káblové overenie 802.1X.

Napríklad MAC adresa telefónu je 00:1A:2B:3C:4D:5E, model telefónu je 9871:

Názov domény v možnosti DHCP 15Bežný názovID použív.
example.nlCP-9871-SEP001A2B3C4D5E.example.nlCP-9871-SEP001A2B3C4D5E@example.nl
PrázdnyCP-9871-SEP001A2B3C4D5E

CP-9871-SEP001A2B3C4D5E

Ak názov domény nie je nakonfigurovaný v možnosti 15, bežný názov a ID používateľa budú rovnaké ako bežný názov v MIC/SUDI.