- Domov
- /
- Članek
Hvala za povratne informacije.
V tem članku
Povratne informacije?Potrdilo o namestitvi po meri (CDC) lahko namestite ročno ali samodejno. V določenih okoljih lahko uporabite možnost DHCP 43 za zagotavljanje parametrov SCEP za namestitev potrdila. Ta članek s pomočjo je za namizni telefon Cisco serije 9800 in video telefon Cisco 8875, registriran pri Cisco BroadWorks ali Webex Calling.
Namestitev certifikata naprave po meri
Če želite v telefon namestiti potrdilo o napravi po meri, glede na situacijo uporabite enega od teh načinov:
Začne veljati najnovejši certifikat, ki je bil nameščen v telefon.
- Ročna namestitev – potrdilo lahko namestite tako, da ga naložite s spletne strani skrbništva telefona. Če želite podrobnosti, glejte Ročna namestitev potrdila naprave po meri z nalaganjem.
- Samodejna namestitev – parametre protokola SCEP (Simple Certificate Enrollment Protocol) lahko konfigurirate tako, da sprožijo samodejno namestitev potrdila. Telefon pošlje zahteve SCEP strežniku SCEP za namestitev potrdila.
Parametre SCEP lahko konfigurirate prek spletne strani za skrbništvo telefona, konfiguracijske datoteke telefona (cfg.XML) ali nadzornega središča. Za podrobnosti glejte Samodejna namestitev certifikata naprave po meri s strani SCEP in Parametri za nastavitve telefona v središču Control Hub.
- DHCP možnost 43 – V določenem okolju lahko certifikat namestite z možnostjo DHCP 43. Možnost 43 lahko zagotovi parametre SCEP za namestitev certifikata. Za podrobnosti glejte konfiguracijo parametrov SCEP prek možnosti DHCP 43.
-
Če za omogočanje uporabe parametrov SCEP uporabite možnost DHCP 43, lahko telefon pridobi tudi ime domene, ki ga nosi iz možnosti DHCP 15. Na podlagi pridobljenega imena domene lahko telefon sestavi splošno ime SCEP CSR in uporabniško ime 802.1X. Za podrobnosti glejte Omogočanje splošnega imena ali uporabniškega imena prek možnosti DHCP 15.
Če želite več informacij o konfiguraciji možnosti DHCP, glejte Konfiguriranje možnosti DHCP.
-
Ročna namestitev certifikata naprave po meri z nalaganjem
Potrdilo CDC (Custom Device Certificate) lahko v telefon namestite ročno, tako da ga naložite s spletne strani skrbništva telefona.
Preden začnete
Preden lahko namestite certifikat naprave po meri za telefon, morate imeti:
- Datoteka s potrdilom (.p12 ali .pfx), shranjena v računalniku. Datoteka vsebuje potrdilo in zasebni ključ.
- Geslo za izvleček potrdila. Geslo se uporablja za dešifriranje datoteke s potrdilom.
| 1 |
Odprite spletno stran za skrbništvo telefona. |
| 2 |
Izberite Potrdilo. |
| 3 |
V razdelku Dodaj potrdilo kliknite Prebrskaj .... |
| 4 |
Poiščite potrdilo v računalniku. |
| 5 |
V polje Izpisi geslo vnesite izvleček gesla potrdila. |
| 6 |
Kliknite Naloži. Če sta datoteka s potrdilom in geslo pravilna, boste prejeli sporočilo "
Potrdilo dodano.". V nasprotnem primeru prenos ne uspe in prikaže se sporočilo o napaki, da potrdila ni mogoče naložiti. |
| 7 |
Če želite preveriti podrobnosti nameščenega potrdila, kliknite Pogled v razdelku Obstoječa potrdila . |
| 8 |
Če želite odstraniti nameščeno potrdilo iz telefona, v razdelku Obstoječa potrdila kliknite Izbriši . Ko kliknete gumb, se postopek odstranitve začne takoj brez potrditve.
Če potrdilo uspešno odstranite, boste prejeli sporočilo » |
Samodejna namestitev certifikata naprave po meri s strani SCEP
Parametre, povezane s protokolom SCEP (Simple Certificate Enrollment Protocol), lahko konfigurirate za interakcijo s strežnikom SCEP, da samodejno namestite potrdilo CDC (Custom Device Certificate).
Ko je kateri koli parameter SCEP konfiguriran, bo telefon strežniku poslal zahtevo za vpis SCEP. Telefon bo preveril prejeto potrdilo CA s konfiguriranim prstnim odtisom.
Preden začnete
Preden lahko izvedete samodejno namestitev potrdila CDC (Custom Device Certificate) za telefon, morate imeti:
- Naslov strežnika SCEP
- SHA-1 ali SHA-256 prstni odtis korenskega certifikata CA za strežnik SCEP
| 1 |
Odprite spletno stran za skrbništvo telefona. |
| 2 |
Izberite Potrdilo. |
| 3 |
V razdelku Konfiguracija SCEP 1 nastavite parametre, kot je opisano v razdelku Parametri za konfiguracijo SCEP. |
| 4 |
Kliknite Submit All Changes. |
Parametri za konfiguracijo SCEP
Naslednja tabela opredeljuje funkcijo in uporabo konfiguracijskih parametrov SCEP v razdelku Konfiguracija SCEP 1 pod certifikatom Tab v spletnem vmesniku telefona. Določa tudi sintakso niza, ki je dodan v konfiguracijsko datoteko telefona (cfg.XML) za konfiguriranje parametra.
Vsaka sprememba parametrov bo povzročila, da bo telefon zahteval novo potrdilo.
| Parameter | Opis |
|---|---|
| Strežnik |
Naslov strežnika SCEP. Ta parameter je obvezen. Izvedite eno od naslednjega:
Veljavne vrednosti: URL ali IP naslov. Shema HTTPS ni podprta. Privzeto: Prazno |
| Prstni odtis Root CA |
SHA256 ali SHA1 prstni odtis Root CA za validacijo med postopkom SCEP. Ta parameter je obvezen. Izvedite eno od naslednjega:
Privzeto: Prazno |
| Izpodbijanje gesla |
Izzivno geslo za avtorizacijo Certificate Authority (CA) na telefonu med vpisom certifikata prek SCEP. Ta parameter ni obvezen. Glede na dejansko okolje SCEP se obnašanje izzivnega gesla razlikuje.
Izvedite eno od naslednjega:
Privzeto: Prazno |
| Splošno ime |
Določa splošno ime (CN), ki se uporablja kot identifikator telefona, ki zahteva potrdilo. KN se uporablja za zahtevo za podpis certifikata (CSR) v postopku SCEP. Ta parameter podpira tudi spremenljivke razširitve makrov, za podrobnosti glejte Spremenljivke razširitve makrov. Izvedite eno od naslednjega:
Veljavne vrednosti: največ 64 znakov Privzeto: Prazno |
Podaljšanje certifikata s strani SCEP
Certifikat naprave je mogoče samodejno osvežiti s postopkom SCEP.
- Telefon preveri, ali bo potrdilo poteklo čez 15 dni vsake 4 ure. V tem primeru telefon samodejno zažene postopek podaljšanja potrdila.
- Če je geslo za izziv prazno, telefon uporablja MIC/SUDI za začetni vpis in podaljšanje certifikata. Če je izzivno geslo konfigurirano, se uporablja samo za začetno včlanitev, obstoječe/nameščeno potrdilo pa se uporabi za podaljšanje certifikata.
- Telefon ne odstrani starega certifikata naprave, dokler ne pridobi novega.
- Če podaljšanje certifikata ne uspe, ker certifikat naprave ali overitelj podatkov poteče, telefon samodejno sproži začetno včlanitev. Medtem, če preverjanje pristnosti z geslom izziva ne uspe, se na zaslonu telefona prikaže zaslon za vnos gesla in uporabniki so pozvani, da v telefon vnesejo geslo za izziv.
Konfiguracija splošnega imena CDC
Splošno ime v MIC/SUDI se privzeto uporablja kot splošno ime za CDC.
Splošno ime za CDC lahko konfigurirate, ko namestite potrdilo. Za namestitev CDC-ja v telefon uporabite enega od teh načinov:
-
Ustvarite zahtevo za podpisovanje potrdila (CSR), ki vsebuje želeno splošno ime, nato pa naložite in namestite novo potrdilo na spletno stran skrbništva telefona.
-
Splošno ime konfigurirajte prek spletne strani za skrbništvo telefona, konfiguracijske datoteke telefona (cfg.XML) ali nadzornega središča. To bo sprožilo, da bo telefon samodejno zahteval novo potrdilo.
Če želite več informacij o parametrih na spletni strani telefona in v središču Control Hub, glejte Samodejna namestitev potrdila naprave po meri s strani SCEP in Parametri za nastavitve telefona v središču Control Hub.
- Uporabite možnosti DHCP 43 in 15 za zagotavljanje splošnega imena za CDC in žično identiteto 802.1X.
Če želite več informacij, glejte Omogočanje splošnega imena ali uporabniškega imena z možnostjo DHCP 15.
Konfiguracija parametrov SCEP prek možnosti DHCP 43
V določenih okoljih, kjer potrdila CDC po meri ne morete namestiti z nalaganjem ali neposredno konfiguriranjem parametrov SCEP. V tem primeru lahko uporabite možnost DHCP 43 za dopolnitev parametrov s strežnika DHCP. Možnost DHCP 43 lahko konfigurirate tako, da telefonu zagotavlja parametre SCEP. Ko je telefon ponastavljen na tovarniške nastavitve, lahko prejme parametre s strežnika DHCP za namestitev CDC prek protokola SCEP.
- Ta funkcija (konfiguracija parametrov SCEP prek možnosti DHCP 43) je na voljo samo za telefon, ki se ponastavi na tovarniške nastavitve.
- Telefoni ne smejo biti postavljeni v omrežje, ki podpira možnost 43 in omogočanje uporabe na daljavo (na primer možnosti 66,160,159,150 ali zagotavljanje storitev v oblaku). V nasprotnem primeru telefoni morda ne bodo dobili možnosti konfiguracije 43.
Če želite namestiti potrdilo CDC s parametri SCEP, navedenimi v možnosti DHCP 43, naredite naslednje:
- Pripravite okolje SCEP.
Za informacije o nastavitvi okolja SCEP glejte dokumentacijo strežnika SCEP.
- Nastavite možnost DHCP 43 (opredeljena v 8.4 Informacije o posameznih dobaviteljih, RFC 2132).
Podmožnosti (10–15) so rezervirane za metodo:
Parameter na spletni strani telefona Podmožnost Vrsta Dolžina (bajt) Obvezno Način FIPS 10 Logična vrednost 1 Ne* Strežnik 11 niz 208 - dolžina (geslo izziva) da Prstni odtis Root CA 12 Čarovnica 20, 32, 48 ali 64 da Izpodbijanje gesla 13 niz 208 - dolžina (strežnik) Ne* Omogočanje preverjanja pristnosti 802.1X 14 Logična vrednost 1 Ne Izbira certifikata 15 Nepodpisana 8-bitna različica 1 Ne * pomeni, da je parameter konfiguriran glede na dejansko stanje.
Ko uporabljate možnost DHCP 43, upoštevajte naslednje značilnosti metode:
- Podmožnosti (10–15) so rezervirane za potrdilo naprave po meri (CDC).
- Največja dolžina možnosti DHCP 43 je 255 bajtov.
- Največja dolžina Server + Challenge Password je manjša od 208 bajtov.
- Vrednost načina FIPS je skladna s konfiguracijo zagotavljanja storitev na vozilu. V nasprotnem primeru telefon po vkrcanju ne more pridobiti predhodno nameščenega potrdila. Posebej
- Če bo telefon registriran v okolju, kjer je način FIPS onemogočen, vam ni treba konfigurirati načina FIPS v možnosti DHCP 43. Način FIPS je privzeto onemogočen.
- Če bo telefon registriran v okolju, kjer je omogočen način FIPS, morate omogočiti način FIPS v možnosti DHCP 43. Za podrobnosti glejte Omogočanje načina FIPS.
- Geslo za izziv pri možnosti 43 je v jasnem besedilu.
- Če želite, da telefon za začetni vpis in podaljšanje certifikata uporablja MIC/SUDI, pustite geslo za izziv prazno.
- Če je geslo za izziv uporabljeno samo za začetno včlanitev, konfigurirajte geslo za izziv. V tem primeru bo nameščeni certifikat uporabljen za podaljšanje certifikata.
- Omogoči preverjanje pristnosti 802.1X in možnost Certificate Select se uporabljata samo za telefone v žičnih omrežjih.
- DHCP možnost 60 (identifikator razreda dobavitelja) se uporablja za identifikacijo modela naprave.
Primer možnosti DHCP 43 (podmožnosti 10–15):
Podmožnost decimalno/šestnajstiško Dolžina vrednosti (bajt), decimalna/šestnajstiška Vrednost Hex vrednost 10/0a 1/01 1 (0: Onemogočeno; 1: Omogočeno) 01 11/0b 18/12 http://10.79.57.91 687474703a2f2f31302e37392e35372e3931 12/0c 20/14 12040870625C5B755D73F5925285F8F5FF5D55AF 12040870625C5B755D73F5925285F8F5FF5D55AF 13/0d 16/10 D233CCF9B9952A15 44323333434346394239393532413135 14/0E 1/01 1 (0: Ne; 1: Da) 01 15/0F 1/01 1 (0: Proizvodno nameščeno; 1: Nameščeno po meri) 01 Povzetek vrednosti parametrov:
-
Način FIPS =
omogočeno -
Strežnik =
http://10.79.57.91 -
Prstni odtis Root CA =
12040870625C5B755D73F5925285F8F5FF5D55AF -
Izziv geslo = D233CCF9B9952A15
-
Omogoči preverjanje pristnosti 802.1X =
-
Potrdilo Izberite =
po meri nameščeno
Sintaksa končne šestnajstiške vrednosti je:
{<suboption><length><value>}...Glede na zgornje vrednosti parametrov je končna šestnajstiška vrednost naslednja:
0a01010b12687474703a2f2f31302e37392e35372e39310c1412040870625C5B755D73F5925285F8F5FF5D55AF0d10443233334343463942393935324131350e01010f0101 - Konfigurirajte možnost DHCP 43 na strežniku DHCP.
Ta korak prikazuje primer konfiguracij možnosti DHCP 43 v omrežnem registru Cisco.
- Dodajte nabor definicij možnosti DHCP.
Niz možnosti dobavitelja je ime modela IP-telefonov. Veljavna vrednost je: DP-9841, DP-9851, DP-9861, DP-9871 ali CP-8875.
- Naboru definicij možnosti DHCP dodajte možnost DHCP 43 in podmožnosti.
Primer:
- V pravilnik DHCP dodajte možnosti 43 in nastavite vrednost na naslednji način:
Primer:
(10 1)(11 http://10.79.57.91)(12 12040870625C5B755D73F5925285F8F5FF5D55AF)(13 D233CCF9B9952A15)(14 1)(15 1) - Preverite nastavitve. Wireshark lahko uporabite za zajemanje sledi omrežnega prometa med telefonom in storitvijo.
- Dodajte nabor definicij možnosti DHCP.
- Izvedite ponastavitev na tovarniške nastavitve telefona.
Ko je telefon ponastavljen, se parametri Server , Root CA Fingerprint in Challenge Password samodejno izpolnijo. Ti parametri se nahajajo v razdelku Konfiguracija SCEP 1 iz na spletni strani skrbništva telefona.
Če želite preveriti podrobnosti nameščenega potrdila, kliknite Pogled v razdelku Obstoječa potrdila .
Če želite preveriti stanje namestitve potrdila, izberite . Stanje prenosa 1 prikazuje najnovejši rezultat. Če med včlanitvijo certifikata pride do kakršne koli težave, lahko stanje prenosa pokaže razlog težave za odpravljanje težav.
Če preverjanje pristnosti z geslom izziva ne uspe, bodo uporabniki pozvani, da geslo vnesejo na zaslonu telefona.
- (Izbirno): če želite odstraniti nameščeno potrdilo iz telefona, v razdelku Obstoječa potrdila kliknite Izbriši .
Ko kliknete gumb, se postopek odstranitve začne takoj brez potrditve.
Omogočanje splošnega imena ali uporabniškega imena prek možnosti DHCP 15
Med vpisom certifikata SCEP prek možnosti DHCP 43 lahko telefon dobi tudi ime domene, navedeno v možnosti DHCP 15 (če je konfigurirana). Ko telefon prejme ime domene, lahko konstruira splošno ime ali ID uporabnika z imenom domene, ki je predstavljeno na naslednji način:
- Splošno ime = <splošno ime v MIC/SUDI >.<Ime domene pri možnosti 15>
Splošno ime bo uporabljeno za CSR v postopku SCEP, kasneje pa bo splošno ime v CDC.
- ID = <splošno ime v MIC/SUDI >@<Ime domene pri možnosti 15>
ID uporabnika bo uporabljen kot identiteta za žično preverjanje pristnosti 802.1X.
Na primer, naslov MAC telefona je 00:1A:2B:3C:4D:5E, model telefona je 9871:
| Ime domene v možnosti DHCP 15 | Splošno ime | ID uporabnika |
|---|---|---|
| example.nl | CP-9871-SEP001A2B3C4D5E.example.nl | CP-9871-SEP001A2B3C4D5E@example.nl |
| Izprazniti | CP-9871-SEP001A2B3C4D5E |
CP-9871-SEP001A2B3C4D5E |
Če ime domene ni konfigurirano v možnosti 15, bosta splošno ime in uporabniško ime enaka splošnemu imenu v MIC/SUDI.
