Cisco IP varnost telefona

Ročna namestitev potrdila naprave po meri

Potrdilo CDC (Custom Device Certificate) lahko v telefon namestite ročno, tako da ga naložite s spletne strani skrbništva telefona.

Preden začnete

Preden lahko namestite certifikat naprave po meri za telefon, morate imeti:

Datoteka s potrdilom (.p12 ali .pfx), shranjena v računalniku. Datoteka vsebuje potrdilo in zasebni ključ.
Geslo za izvleček potrdila. Geslo se uporablja za dešifriranje datoteke s potrdilom.

1	Odprite spletno stran za skrbništvo telefona.
2	Izberite Potrdilo.
3	V razdelku Dodaj potrdilo kliknite Prebrskaj ....
4	Poiščite potrdilo v računalniku.
5	V polje Izpisi geslo vnesite izvleček gesla potrdila.
6	Kliknite Naloži. Če sta datoteka s potrdilom in geslo pravilna, boste prejeli sporočilo "`Potrdilo dodano.`". V nasprotnem primeru prenos ne uspe in prikaže se sporočilo o napaki, da potrdila ni mogoče naložiti.
7	Če želite preveriti podrobnosti nameščenega potrdila, kliknite Pogled v razdelku Obstoječa potrdila .
8	Če želite odstraniti nameščeno potrdilo iz telefona, v razdelku Obstoječa potrdila kliknite Izbriši . Ko kliknete gumb, se postopek odstranitve začne takoj brez potrditve. Če potrdilo uspešno odstranite, boste prejeli sporočilo »`Potrdilo izbrisano«.`

Samodejno namesti certifikat naprave po meri s strani SCEP

Parametre protokola SCEP (Simple Certificate Enrollment Protocol) lahko nastavite tako, da samodejno namestite potrdilo naprave po meri (CDC), če ne želite ročno naložiti datoteke s potrdilom ali če nimate datoteke s potrdilom.

Ko so parametri SCEP pravilno konfigurirani, telefon pošlje zahteve strežniku SCEP, certifikat CA pa naprava potrdi z definiranim prstnim odtisom.

Preden začnete

Preden lahko izvedete samodejno namestitev potrdila naprave po meri za telefon, morate imeti:

Naslov strežnika SCEP
SHA-1 ali SHA-256 prstni odtis korenskega certifikata CA za strežnik SCEP

1	Odprite spletno stran za skrbništvo telefona.
2	Izberite Potrdilo.
3	V razdelku Konfiguracija SCEP 1 nastavite parametre, kot je opisano v naslednji tabeli Parametri za konfiguracijo SCEP.
4	Kliknite Submit All Changes.

Parametri za konfiguracijo SCEP

V naslednji tabeli sta funkciji in uporabi konfiguracijskih parametrov SCEP v razdelku Konfiguracija SCEP 1 na zavihku Potrdilo v spletnem vmesniku telefona. Določa tudi sintakso niza, ki je dodan v konfiguracijsko datoteko telefona (cfg.xml) za konfiguriranje parametra.

Preglednica 1. Parametri za konfiguracijo SCEP
Parameter	Opis
Strežnik	Naslov strežnika SCEP. Ta parameter je obvezen. Izvedite eno od naslednjega: V konfiguracijski datoteki telefona s kodo XML (cfg. xml) vnesite niz v tej obliki: `<CDC_Server_1_ UA="na">http://10.79.57.91</CDC_Server_1_>` Na spletni strani telefona vnesite naslov strežnika SCEP. Veljavne vrednosti: URL ali IP naslov. Shema HTTPS ni podprta. Privzeto: Prazno
Prstni odtis Root CA	SHA256 ali SHA1 prstni odtis Root CA za validacijo med postopkom SCEP. Ta parameter je obvezen. Izvedite eno od naslednjega: V konfiguracijski datoteki telefona s kodo XML (cfg. xml) vnesite niz v tej obliki: `<CDC_Root_CA_Fingerprint_1_ UA="na">12040870625C5B755D73F5925285F8F5FF5D55AF</CDC_Root_CA_Fingerprint_1_>` Na spletni strani telefona vnesite veljaven prstni odtis. Privzeto: Prazno
Izpodbijanje gesla	Geslo izziva za avtorizacijo Certificate Authority (CA) na telefonu med vpisom certifikata prek SCEP. Ta parameter ni obvezen. Glede na dejansko okolje SCEP se obnašanje izzivnega gesla razlikuje. Če telefon prejme potrdilo Cisco RA, ki komunicira s CA, geslo za izziv v CA ni podprto. V tem primeru Cisco RA za dostop do licence CA uporabi telefonski sistem MIC/SUDI za preverjanje pristnosti. Telefon uporablja MIC/SUDI za začetni vpis in podaljšanje certifikata. Če telefon dobi certifikat z neposredno komunikacijo s CA, je geslo za izziv podprto v CA. Če je konfiguriran, bo uporabljen samo za začetni vpis. Za podaljšanje certifikata bo namesto tega uporabljen nameščeni certifikat. Izvedite eno od naslednjega: V konfiguracijski datoteki telefona s kodo XML (cfg. xml) vnesite niz v tej obliki: `<CDC_Challenge_Password_1_ UA="na"></CDC_Challenge_Password_1_>` Geslo je v konfiguracijski datoteki zakrito. Na spletni strani telefona vnesite geslo za izziv. Privzeto: Prazno

Konfiguracija parametrov SCEP s DHCP možnostjo 43

Poleg včlanitve certifikata SCEP z ročnimi konfiguracijami na spletni strani telefona lahko uporabite tudi možnost DHCP 43, da zapolnite parametre iz strežnika DHCP. Možnost DHCP 43 je vnaprej konfigurirana s parametri SCEP, pozneje pa lahko telefon pridobi parametre iz strežnika DHCP za izvedbo včlanitve certifikata SCEP.

Konfiguracija parametrov SCEP prek DHCP možnosti 43 je na voljo samo za telefon, v katerem se izvede ponastavitev na tovarniške nastavitve.
Telefoni ne smejo biti postavljeni v omrežje, ki podpira možnost 43 in omogočanje uporabe na daljavo (na primer možnosti 66,160,159,150 ali zagotavljanje storitev v oblaku). V nasprotnem primeru telefoni morda ne bodo dobili konfiguracij možnosti 43.

Če želite potrdilo SCEP pridobiti s konfiguriranjem parametrov SCEP v možnosti DHCP 43, naredite naslednje:

Pripravite okolje SCEP.
Za informacije o nastavitvi okolja SCEP glejte dokumentacijo strežnika SCEP.

Nastavite DHCP možnost 43 (opredeljena v 8.4 Informacije za posamezne prodajalce, RFC 2132).

Podmožnosti (10–15) so rezervirane za metodo:

Parameter na spletni strani telefona	Podmožnost	Vrsta	Dolžina (bajt)	Obvezno
Način FIPS	10	Logična vrednost	1	Ne*
Strežnik	11	niz	208 - dolžina (geslo izziva)	da
Prstni odtis Root CA	12	Binary	20 ali 32	da
Izpodbijanje gesla	13	niz	208 - dolžina (strežnik)	Ne*
Omogočanje preverjanja pristnosti 802.1X	14	Logična vrednost	1	Ne
Izbira certifikata	15	Nepodpisana 8-bitna različica	1	Ne

Ko uporabljate možnost DHCP 43, upoštevajte naslednje značilnosti metode:

Podmožnosti (10–15) so rezervirane za potrdilo naprave po meri (CDC).
Največja dolžina DHCP možnosti 43 je 255 bajtov.
Največja dolžina Server + Challenge Password je manjša od 208 bajtov.
Vrednost načina FIPS je skladna s konfiguracijo zagotavljanja storitev na vozilu. V nasprotnem primeru telefon po vkrcanju ne more pridobiti predhodno nameščenega potrdila. Posebej
- Če bo telefon registriran v okolju, kjer je način FIPS onemogočen, vam parametra FIPS Mode ni treba konfigurirati v DHCP možnosti 43. Način FIPS je privzeto onemogočen.
- Če bo telefon registriran v okolju, kjer je omogočen način FIPS, morate omogočiti način FIPS v DHCP možnosti 43. Za podrobnosti glejte Omogočanje načina FIPS.
Geslo v možnosti 43 je v jasnem besedilu.
Če je izzivno geslo prazno, telefon za začetni vpis in podaljšanje potrdila uporabi MIC/SUDI. Če je geslo za izziv konfigurirano, se uporabi samo za začetno včlanitev, nameščeno potrdilo pa bo uporabljeno za podaljšanje certifikata.
Omogoči preverjanje pristnosti 802.1X in možnost Certificate Select se uporabljata samo za telefone v žičnem omrežju.
DHCP možnost 60 (identifikator razreda dobavitelja) se uporablja za identifikacijo modela naprave.

V naslednji tabeli je primer možnosti 43 DHCP (podmožnosti 10–15):

Podmožnost decimalno/šestnajstiško	Dolžina vrednosti (bajt), decimalna/šestnajstiška	Vrednost	Hex vrednost
10/0a	1/01	1 (0: Onemogočeno; 1: Omogočeno)	01
11/0b	18/12	http://10.79.57.91	687474703a2f2f31302e37392e35372e3931
12/0c	20/14	12040870625C5B755D73F5925285F8F5FF5D55AF	12040870625C5B755D73F5925285F8F5FF5D55AF
13/0d	16/10	D233CCF9B9952A15	44323333434346394239393532413135
14/0E	1/01	1 (0: Ne; 1: Da)	01
15/0F	1/01	1 (0: Proizvodno nameščeno; 1: Nameščeno po meri)	01

Povzetek vrednosti parametrov:

Način FIPS = omogočeno
Strežnik = http://10.79.57.91
Prstni odtis Root CA = 12040870625C5B755D73F5925285F8F5FF5D55AF
Izziv geslo = D233CCF9B9952A15
Omogoči preverjanje pristnosti 802.1X =
Potrdilo Izberite = po meri nameščeno

Sintaksa končne šestnajstiške vrednosti je: {<suboption><length><value>}...

Glede na zgornje vrednosti parametrov je končna šestnajstiška vrednost naslednja:

0a01010b12687474703a2f2f31302e37392e35372e39310c1412040870625C5B755D73F5925285F8F5FF5D55AF0d10443233334343463942393935324131350e01010f0101

Konfigurirajte DHCP možnost 43 v strežniku DHCP.

Ta korak je primer konfiguracij DHCP možnosti 43 v omrežnem registru Cisco.
1. Dodajte DHCP nabor definicij možnosti.
  Niz možnosti dobavitelja je ime modela IP-telefonov. Veljavna vrednost je: DP-9841, DP-9851, DP-9861, DP-9871 ali CP-8875.
2. Naboru definicij DHCP možnosti dodajte možnost DHCP 43 in podmožnosti.
  Primer:
3. V pravilnik DHCP dodajte možnosti 43 in nastavite vrednost na naslednji način:
  Primer:
  (10 1)(11 http://10.79.57.91)(12 12040870625C5B755D73F5925285F8F5FF5D55AF)(13 D233CCF9B9952A15)(14 1)(15 1)
4. Preverite nastavitve. Wireshark lahko uporabite za zajemanje sledi omrežnega prometa med telefonom in storitvijo.
Izvedite ponastavitev na tovarniške nastavitve telefona.
Ko je telefon ponastavljen, se parametri Server , Root CA Fingerprint in Challenge Password samodejno izpolnijo. Ti parametri se nahajajo v razdelku Konfiguracija SCEP 1 iz Certifikat > Po meri na spletni strani skrbništva telefona.
Če želite preveriti podrobnosti nameščenega potrdila, kliknite Pogled v razdelku Obstoječa potrdila .
Če želite preveriti stanje namestitve potrdila, izberite Certificate > Custom Cert Status. Stanje prenosa 1 prikazuje najnovejši rezultat. Če med včlanitvijo certifikata pride do kakršne koli težave, lahko stanje prenosa pokaže razlog težave za odpravljanje težav.
Če preverjanje pristnosti z geslom izziva ne uspe, bodo uporabniki pozvani, da geslo vnesejo na zaslonu telefona.
(Izbirno): če želite odstraniti nameščeno potrdilo iz telefona, v razdelku Obstoječa potrdila kliknite Izbriši .
Ko kliknete gumb, se postopek odstranitve začne takoj brez potrditve.

Podaljšanje certifikata s strani SCEP

Certifikat naprave je mogoče samodejno osvežiti s postopkom SCEP.

Telefon preveri, ali bo potrdilo poteklo čez 15 dni vsake 4 ure. V tem primeru telefon samodejno zažene postopek podaljšanja potrdila.
Če je geslo za izziv prazno, telefon uporabi MIC/SUDI za začetni vpis in podaljšanje potrdila. Če je izzivno geslo konfigurirano, se uporablja samo za začetno včlanitev, obstoječe/nameščeno potrdilo pa se uporabi za podaljšanje certifikata.
Telefon ne odstrani starega certifikata naprave, dokler ne pridobi novega.
Če podaljšanje certifikata ne uspe, ker certifikat naprave ali overitelj podatkov poteče, telefon samodejno sproži začetno včlanitev. Medtem, če preverjanje pristnosti z geslom izziva ne uspe, se na zaslonu telefona prikaže zaslon za vnos gesla in uporabniki so pozvani, da v telefon vnesejo geslo za izziv.

Omogočanje načina FIPS

Telefon lahko uskladite s FIPS (Federal Information Processing Standards).

FIPS je niz standardov, ki opisujejo obdelavo dokumentov, algoritme šifriranja in druge standarde informacijske tehnologije za uporabo v nevojaški vladi in s strani vladnih izvajalcev in prodajalcev, ki sodelujejo z agencijami. CiscoSSL FOM (FIPS objektni modul) je skrbno definirana programska komponenta, zasnovana za združljivost s knjižnico CiscoSSL, zato lahko izdelke, ki uporabljajo knjižnico in API CiscoSSL, pretvorite v kriptografijo, potrjeno s FIPS 140-2, z minimalnim naporom.

1	Odprite spletno stran za skrbništvo telefona.
2	Izberite Voice > System.
3	V razdelku Varnostne nastavitve v parametru načina FIPS izberite Da ali Ne .
4	Kliknite Submit All Changes. Ko omogočite FIPS, naslednje funkcije na telefonu delujejo brezhibno: Preverjanje pristnosti slike Varno shranjevanje Konfiguracija šifriranja datotek TLS: HTTP-ji Prenos PRT Nadgradnja vdelane programske opreme Vnovična sinhronizacija profila Storitev na krovu Webex uvajanje SIP prek TLS 802.1x (Žično) SIP digest (RFC 8760) SRTP Webex dnevniki klicev in imenik Webex En gumb za pritisk (OBTP)

Nastavitev uporabniškega in skrbniškega gesla

Ko je telefon prvič registriran v sistem za nadzor klicev ali če v telefonu ponastavite tovarniške nastavitve, morate nastaviti uporabniško in skrbniško geslo za povečanje varnosti telefona. Šele ko je geslo nastavljeno, lahko spremembe pošljete na spletni strani telefona.

Privzeto je v telefonu omogočeno opozorilo brez gesla. Če telefon nima uporabniškega ali skrbniškega gesla, se prikažejo naslednja opozorila:

Na spletni strani telefona je prikazano »Skrbniško geslo ni na voljo. Splet je v načinu samo za branje in sprememb ni mogoče pošiljati. Prosimo, spremenite geslo." v zgornjem levem kotu.
V poljih Uporabniško geslo in Skrbniško geslo se prikaže opozorilo »Geslo ni na voljo«, če je prazno.
Na zaslonu telefona Težave in diagnostika se prikaže težava »Brez gesla«.

1	Dostop do spletne strani skrbništva telefona
2	Izberite Voice > System.
3	(Neobvezno) V razdelku Konfiguracija sistema nastavite parameter Prikaži opozorila gesla na Da in nato kliknite Pošlji vse spremembe. Parametre lahko omogočite tudi v konfiguracijski datoteki telefona (cfg.xml). `<Display_Password_Warnings ua="na">Da</Display_Password_Warnings>` Privzeto: Da Možnosti: Da \|Ne Ko je parameter nastavljen na Ne, se opozorilo o geslu ne prikaže niti na spletni strani niti na zaslonu telefona. Prav tako način pripravljenosti za spletno stran ne bo aktiviran, čeprav je geslo prazno.
4	Poiščite parameter Uporabniško geslo ali Skrbniško geslo in poleg parametra kliknite Spremeni geslo .
5	V polje Staro geslo vnesite trenutno uporabniško geslo . Če nimate gesla, pustite polje prazno. Privzeto je ta možnost prazna.
6	V polje Novo geslo vnesite novo geslo .
7	Kliknite Submit (Pošlji). Na spletni strani se prikaže sporočilo `Geslo je uspešno spremenjeno.` Spletna stran se bo osvežila v nekaj sekundah. Opozorilo poleg parametra bo izginilo. Ko nastavite uporabniško geslo, ta parameter v konfiguraciji telefona XML datoteki (cfg.xml) prikaže naslednje: `<!-- <Admin_Password UA="Na">***********</Admin_Password> <User_Password UA="rw">***********</User_Password> -->` Če se pri poskusu dostopa do spletne strani telefona prikaže koda napake 403, morate uporabniško ali skrbniško geslo nastaviti tako, da omogočite uporabo v konfiguracijski datoteki telefona (cfg.xml). Vnesite na primer niz v tej obliki zapisa: `<Admin_Password UA="na">P0ssw0rd_tes89</Admin_Password>` `<User_Password ua="rw">Abc123</User_Password>`

Preverjanje pristnosti 802.1X

Cisco IP Phones podpira preverjanje pristnosti 802.1X.

Stikala Cisco IP Phones in Cisco Catalyst običajno uporabljajo Cisco Discovery Protocol (CDP) za medsebojno identifikacijo in določanje parametrov, kot so razporeditev VLAN in zahteve glede moči v vrsti. CDP ne prepozna lokalno priključenih delovnih postaj. Cisco IP Phones zagotoviti mehanizem prenosa EAPOL. Ta mehanizem omogoča, da delovna postaja, ki je priključena na Cisco IP Phone, posreduje sporočila EAPOL avtentikatorju 802.1X pri stikalu LAN. Mehanizem prehoda zagotavlja, da telefon IP ne deluje kot stikalo LAN za preverjanje pristnosti končne podatkovne točke pred dostopom do omrežja.

Cisco IP Phones zagotoviti tudi nadomestni mehanizem odjave EAPOL. Če lokalno priključeni računalnik prekine povezavo s telefonom IP, stikalo LAN ne vidi, da fizična povezava ne uspe, ker je povezava med stikalom LAN in telefonom IP ohranjena. Da bi se izognili ogrožanju celovitosti omrežja, telefon IP stikalu v imenu nadaljnjega računalnika pošlje sporočilo EAPOL-Logoff, ki sproži stikalo LAN, da počisti vnos preverjanja pristnosti za osebni računalnik na nižji stopnji.

Podpora za preverjanje pristnosti 802.1X zahteva več komponent:

Cisco IP Phone: Telefon sproži zahtevo za dostop do omrežja. Cisco IP Phones vsebujejo prosilno sredstvo 802.1X. Ta priložena naprava skrbnikom omrežja omogoča nadzor nad povezljivostjo telefonov IP s stikalnimi vrati LAN. Trenutna izdaja telefona 802.1X supplicant uporablja možnosti EAP-FAST in EAP-TLS za preverjanje pristnosti omrežja.
Strežnik za preverjanje pristnosti: strežnik za preverjanje pristnosti in stikalo morata biti konfigurirana s skupno skrivnostjo, ki preverja pristnost telefona.
Stikalo: Stikalo mora podpirati 802.1X, tako da lahko deluje kot avtentikator in prenaša sporočila med telefonom in strežnikom za preverjanje pristnosti. Ko je izmenjava končana, stikalo dodeli ali zavrne telefonski dostop do omrežja.

Če želite konfigurirati standard 802.1X, morate izvesti naslednja dejanja.

Konfigurirajte druge komponente, preden v telefonu omogočite preverjanje pristnosti 802.1X.
Konfiguriraj PC-vrata: Standard 802.1X ne upošteva VLAN-ov in zato priporoča, da se na določena stikalna vrata overi samo ena naprava. Vendar pa nekatera stikala podpirajo preverjanje pristnosti z več domenami. Konfiguracija stikala določa, ali lahko računalnik priključite na vrata PC na telefonu.
- Omogočeno: če uporabljate stikalo, ki podpira večdomensko preverjanje pristnosti, lahko omogočite vrata PC in nanj priključite računalnik. V tem primeru Cisco IP Phones podpira proxy EAPOL-Logoff za spremljanje izmenjav preverjanja pristnosti med stikalom in priključenim računalnikom.
  
  Za več informacij o podpori za IEEE 802.1X na stikalih Cisco Catalyst si oglejte priročnike za konfiguracijo stikala Cisco Catalyst na:
  
  http://www.cisco.com/en/US/products/hw/switches/ps708/tsd_products_support_series_home.html
- Onemogočeno: če stikalo na istih vratih ne podpira več naprav, združljivih z standardom 802.1X, onemogočite PC-vrata, ko je omogočeno preverjanje pristnosti 802.1X. Če teh vrat ne onemogočite in nato poskusite nanj priključiti računalnik, stikalo onemogoči dostop do omrežja do telefona in računalnika.
Konfiguriraj glasovni VLAN: ker standard 802.1X ne upošteva VLAN-ov, morate to nastavitev konfigurirati glede na podporo stikala.
- Omogočeno: če uporabljate stikalo, ki podpira večdomensko preverjanje pristnosti, lahko nadaljujete z uporabo glasovnega VLAN-a.
- Onemogočeno: če stikalo ne podpira večdomenskega preverjanja pristnosti, onemogočite glasovni VLAN in razmislite o dodelitvi vrat izvornemu VLAN-u.
(Samo za Ciscov namizni telefon serije 9800)
Cisco Desk Phone 9800 Series ima v PID-ju drugačno predpono kot drugi Ciscovi telefoni. Če želite telefonu omogočiti preverjanje pristnosti 802.1X, nastavite Radij· Parameter uporabniškega imena , ki vključuje vaš telefon serije Cisco Desk Phone 9800.
Na primer, PID telefona 9841 je DP-9841; lahko nastavite Radius· Uporabniško ime za začetek z DP ali vsebuje DP. Nastavite ga lahko v obeh spodnjih razdelkih:
- Pravilnik > Pogoji > knjižnični pogoji
- Nabori pravilnikov > pravilnikov > Pravilnik o avtorizaciji> Pravilo 1

Omogočanje preverjanja pristnosti 802.1X

Ko je omogočeno preverjanje pristnosti 802.1X, telefon za dostop do omrežja zahteva preverjanje pristnosti 802.1X. Ko je preverjanje pristnosti 802.1X onemogočeno, telefon uporabi Cisco Discovery Protocol (CDP) za pridobitev VLAN in omrežnega dostopa. Stanje transakcije in spremembo si lahko ogledate tudi v meniju telefonskega zaslona.

Ko je preverjanje pristnosti 802.1X omogočeno, lahko izberete tudi potrdilo naprave (MIC/SUDI ali po meri) za začetno včlanitev in podaljšanje certifikata. Običajno je MIC za Ciscov video telefon 8875, SUDI pa za Cisco Desk Phone 9800 Series. CDC lahko za preverjanje pristnosti uporabite samo v 802.1x.

Če želite omogočiti preverjanje pristnosti 802.1X, izvedite enega od naslednjih dejanj:

V spletnem vmesniku telefona izberite Glasovni >sistem in nastavite parameter Omogoči preverjanje pristnosti 802.1X na Da . Nato kliknite Pošlji vse spremembe.
V konfiguracijsko datoteko (cfg.xml) vnesite niz v tej obliki:
<Enable_802.1X_Authentication ua="rw">Da</Enable_802.1X_Authentication>
Veljavne vrednosti: Da |Ne
Privzeto: Ne
V telefonu pritisnite Nastavitve in se pomaknite do razdelka Varnost omrežja in storitve > Varnostne nastavitve > 802.1X preverjanje pristnosti. Preklopite polje Preverjanje pristnosti naprave na Vklopljeno in izberite Uporabi.

Preglednica 2. Parametri za preverjanje pristnosti 802.1X na telefonskem zaslonu
Parametri	Možnosti	Privzeto	Opis
Preverjanje pristnosti naprave	Ob Izklopljeno	Izklopljeno	Omogočite ali onemogočite preverjanje pristnosti 802.1X v telefonu.
Stanje transakcije		Onemogočeno	Prikaže stanje preverjanja pristnosti 802.1X. Država je lahko (ni omejena na): Preverjanje pristnosti: označuje, da postopek preverjanja pristnosti poteka. Preverjena pristnost: označuje, da je pristnost telefona preverjena. Onemogočeno: označuje, da je preverjanje pristnosti 802.1x v telefonu onemogočeno.
Protokol		Brez	Prikaže metodo EAP, ki se uporablja za preverjanje pristnosti 802.1X. Protokol je lahko EAP-FAST ali EAP-TLS.
Vrsta uporabniškega certifikata	Proizvodno vgrajena Namestitev po meri	Proizvodno vgrajena	Izberite potrdilo za preverjanje pristnosti 802.1X med začetno včlanitvijo in podaljšanjem certifikata. Proizvodno nameščeno – uporabljena sta certifikat Manufacturing Installed Certificate (MIC) in Secure Unique Device Identifier (SUDI). Po meri – uporabljeno je potrdilo CDC (Custom Device Certificate). To vrsto potrdila lahko namestite z ročnim nalaganjem na spletno stran telefona ali z namestitvijo s strežnika SCEP (Simple Certificate Enrollment Protocol). Ta parameter se v telefonu prikaže samo, če je omogočeno preverjanje pristnosti naprave.

Izberite potrdilo (MIC ali po meri) za preverjanje pristnosti 802.1X na spletni strani telefona.

Za žično omrežje izberite Glasovni >sistem, izberite vrsto potrdila s spustnega seznama Potrdilo Izberite v razdelku 802.1X Preverjanje pristnosti.
Ta parameter lahko konfigurirate tudi v konfiguracijski datoteki (cfg.xml):
<Certificate_Select ua="rw">Nameščeno po meri</Certificate_Select>
Veljavne vrednosti: Proizvodno nameščeno |Namestitev po meri
Privzeto: Proizvodnja nameščena
Za brezžično omrežje izberite Voice>System, izberite vrsto potrdila s spustnega seznama Potrdilo Izberite v razdelku Wi-Fi Profil 1.
Ta parameter lahko konfigurirate tudi v konfiguracijski datoteki (cfg.xml):
<Wi-Fi_Certificate_Select_1_ ua="rw">Custom installed</Wi-Fi_Certificate_Select_1_>
Veljavne vrednosti: Proizvodno nameščeno |Namestitev po meri
Privzeto: Proizvodnja nameščena

Če želite več informacij o izbiri vrste potrdila na zaslonu telefona, glejte Vzpostavljanje povezave telefona z omrežjem Wi-Fi.

Omogočanje načina, ki ga je sprožil odjemalec, za pogajanja o varnosti medijskega letala

Če želite zaščititi predstavnostne seje, lahko telefon konfigurirate tako, da s strežnikom začne pogajanja o varnosti medijskega letala. Varnostni mehanizem sledi standardom, navedenim v RFC 3329 in njegovem razširitvenem osnutku imen varnostnih mehanizmov za medije (glej https://tools.ietf.org/html/draft-dawes-sipcore-mediasec-parameter-08#ref-2). Prenos pogajanj med telefonom in strežnikom lahko uporablja protokol SIP preko UDP, TCP in TLS. Omejite lahko, da se pogajanja o varnosti medijskega letala uporabijo samo, če je protokol prenosa signalizacije TLS.

Odprite spletno stran za skrbništvo telefona.

Izberite Glas> ext (n).

V razdelku Nastavitve SIP nastavite polji MediaSec Request in MediaSec Over TLS Only , kot je določeno v naslednji tabeli:

Preglednica 3. Parametri za pogajanja o varnosti medijskega letala
Parameter	Opis
Zahteva MediaSec	Določa, ali telefon s strežnikom začne pogajanja o varnosti medijskega letala. Izvedite eno od naslednjega: V konfiguracijski datoteki telefona s kodo XML (cfg. xml) vnesite niz v tej obliki: `<MediaSec_Request_1_ ua="na">Da</MediaSec_Request_1_>` V spletnem vmesniku telefona po potrebi nastavite to polje na Da ali Ne . Dovoljeni vrednosti: Da\|Ne Da – način, ki ga je sprožil odjemalec. Telefon sproži pogajanja o varnosti medijskega letala. Ne—strežniški način. Strežnik sproži pogajanja o varnosti medijskega letala. Telefon ne sproži pogajanj, vendar lahko obravnava zahteve za pogajanja iz strežnika za vzpostavljanje varnih klicev. Privzeto: Ne
MediaSec samo več kot TLS	Določa signalizacijski transportni protokol, prek katerega se uporabljajo pogajanja o varnosti medijskega letala. Preden nastavite to polje na Da, se prepričajte, da je protokol prenosa signalizacije TLS. Izvedite eno od naslednjega: V konfiguracijski datoteki telefona s kodo XML (cfg. xml) vnesite niz v tej obliki: `<MediaSec_Over_TLS_Only_1_ ua="na">Ne</MediaSec_Over_TLS_Only_1_>` V spletnem vmesniku telefona po potrebi nastavite to polje na Da ali Ne . Dovoljeni vrednosti: Da\|Ne Da – telefon sproži ali vodi pogajanja o varnosti medijskega letala samo, če je protokol prenosa signalizacije TLS. Ne—Telefon sproži in vodi pogajanja o varnosti medijskega letala ne glede na protokol prenosa signalizacije. Privzeto: Ne

Kliknite Submit All Changes.

Nastavitev profila Wi-Fi

Profil Wi-Fi lahko konfigurirate na spletni strani telefona ali z vnovično sinhronizacijo profila oddaljene naprave, nato pa povežete profil z razpoložljivimi omrežji Wi-Fi. Ta profil Wi-Fi lahko uporabite za povezavo z omrežjem Wi-Fi. Trenutno je mogoče konfigurirati samo en profil Wi-Fi.

Profil vsebuje parametre, ki so potrebni, da se telefoni povežejo s telefonskim strežnikom prek omrežja Wi-Fi. Ko ustvarite in uporabljate profil Wi-Fi, vam ali vašim uporabnikom ni treba konfigurirati brezžičnega omrežja za posamezne telefone.

Profil Wi-Fi omogoča, da uporabniku preprečite ali omejite spreminjane konfiguracije Wi-Fi na telefonu.

Priporočamo, da uporabite varen profil s protokoli z omogočenim šifriranjem, da zaščitite ključe in gesla, ko uporabljate profil Wi-Fi.

Ko telefone nastavite tako, da uporabljajo način preverjanja pristnosti EAP-FAST v varnostnem načinu, uporabniki potrebujejo posamezne poverilnice za povezavo z dostopno točko.

1	Dostop do spletne strani telefona.
2	Izberite Voice > System.
3	V razdelku Wi-Fi Profil (n), nastavite parametre, kot je opisano v naslednji tabeli Parametri za Wi-Fi profil. Konfiguracija profila Wi-Fi je na voljo tudi za prijavo uporabnika.
4	Kliknite Submit All Changes.

Parametri za Wi-Fi profil

Spodnja tabela definira funkcijo in uporabo vsakega parametra v razdelku Profil Wi-Fi(n) na zavihku Sistem na spletni strani telefona. Določa tudi sintakso niza, ki je dodan v konfiguracijsko datoteko telefona (cfg.xml) za konfiguriranje parametra.

Parameter	Opis
Ime omrežja	Omogoča, da vnesete ime za SSID, ki bo prikazano v telefonu. Več profilov lahko uporablja enako ime omrežja z različnim varnostnim načinom. Izvedite eno od naslednjega: V konfiguracijski datoteki telefona s kodo XML (cfg. xml) vnesite niz v tej obliki: `<Ime_omrežja_1_ua="rw">cisco</Ime_omrežja_1_>` Na spletni strani telefona vnesite ime SSID. Privzeto: Prazno
Varnostni način	Omogoča, da izberete način preverjanja pristnosti, ki je uporabljen za zaščito dostopa do omrežja Wi-Fi. Glede na izbrani način se prikaže polje za geslo, v katerem lahko vnesete poverilnice, potrebne za pridružitev temu Wi-Fi omrežju. Izvedite eno od naslednjega: V konfiguracijski datoteki telefona s kodo XML (cfg. xml) vnesite niz v tej obliki: `<Security_Mode_1_ ua="rw">EAP-TLS</Security_Mode_1_> <!-- razpoložljive možnosti: Samodejno\|EAP-FAST\|\|\|PSK\|\|Jih ni\|EAP-PEAP\|EAP-TLS -->` Na spletni strani telefona izberite enega od načinov: Samodejno EAP-FAST PSK Brez EAP-PEAP EAP-TLS Privzeto: samodejno
ID uporabnika za Wi-Fi	Omogoča, da vnesete ID uporabnika za profil omrežja. To polje je na voljo, ko varnostni način nastavite na Samodejno, EAP-FAST ali EAP-PEAP. To polje je obvezno; njegova največja dovoljena dolžina je 32 alfanumeričnih znakov. Izvedite eno od naslednjega: V konfiguracijski datoteki telefona s kodo XML (cfg. xml) vnesite niz v tej obliki: `<Wi-Fi_User_ID_1_ua="rw"></Wi-Fi_User_ID_1_>` Na spletni strani telefona vnesite ID uporabnika za omrežni profil. Privzeto: Prazno
Geslo za Wi-Fi	Omogoča, da vnesete geslo za podano uporabniško ime za Wi-Fi. Izvedite eno od naslednjega: V konfiguracijski datoteki telefona s kodo XML (cfg. xml) vnesite niz v tej obliki: `<Wi-Fi_Password_1_ ua="rw"></Wi-Fi_Password_1_>` Na spletni strani telefona vnesite geslo za ID uporabnika, ki ste ga dodali. Privzeto: Prazno
Frekvenčni pas	Omogoča, da izberete frekvenčni pas brezžičnega signala, ki ga uporablja omrežje WLAN. Izvedite eno od naslednjega: V konfiguracijski datoteki telefona s kodo XML (cfg. xml) vnesite niz v tej obliki: `<Frequency_Band_1_ ua="rw">Auto</Frequency_Band_1_>` Na spletni strani telefona izberite eno od možnosti: Samodejno 2,4 GHz 5 GHz Privzeto: samodejno
Izbira certifikata	Omogoča izbiro vrste certifikata za začetno registracijo certifikata in obnovitev certifikata v brezžičnem omrežju. Ta postopek je na voljo samo za preverjanje pristnosti 802.1X. Izvedite eno od naslednjega: V konfiguracijski datoteki telefona s kodo XML (cfg. xml) vnesite niz v tej obliki: `<Certificate_Select_1_ UA="rw">Proizvodnja</Certificate_Select_1_>` Na spletni strani telefona izberite eno od možnosti: Proizvodno vgrajena Namestitev po meri Privzeto: Proizvodnja nameščena