Pored upisa SCEP sertifikata ručnim konfiguracijama na veb stranici telefona, možete koristiti i DHCP opciju KSNUMKS za popunjavanje parametara sa DHCP servera. DHCP opcija 43 je unapred konfigurisana sa SCEP parametrima, kasnije telefon može da preuzme parametre sa DHCP servera da izvrši upis SCEP sertifikata.

Da biste upisali SCEP sertifikat konfigurišući SCEP parametre u DHCP opciji 43, uradite sledeće:

1. Pripremite SCEP okruženje.

   Za informacije o podešavanju SCEP okruženja, pogledajte dokumentaciju SCEP servera.

2. Podesite DHCP opciju 43 (definisano u 8.4 Informacije specifične za prodavca, RFC 2132).

   Podopcije (10–15) su rezervisane za metodu:

   Parametar na veb stranici telefona	Podopcija	Tip	Dužina (bajt)	Obavezno
   FIPS režim	10	Bulovu	1	Ne*
   Server	11	niz	208 - dužina (izazov lozinka)	Da
   Koren CA otisaka prstiju	12	Binarni	20 ili 32	Da
   Izazov lozinka	13	niz	208 - dužina (server)	Ne*
   Omogućite 802.1Ks autentifikaciju	14	Bulovu	1	Ne
   Sertifikat Izaberite	15	Nepotpisani 8-bitni	1	Ne

   Kada koristite DHCP opciju 43, obratite pažnju na sledeće karakteristike metode:

   • Podopcije (10–15) su rezervisane za Custom Device Certificate (CDC).
   • Maksimalna dužina DHCP opcije 43 je 255 bajtova.
   • Maksimalna dužina servera + izazov lozinke će biti manja od KSNUMKS bajtova.
   • Vrednost FIPS režima mora biti u skladu sa konfiguracijom onboarding rezervisanja. U suprotnom, telefon ne uspeva da preuzme prethodno instalirani sertifikat nakon uključivanja. Posebno
     • Ako će telefon biti registrovan u okruženju u kojem je FIPS režim onemogućen, ne morate da konfigurišete parametar FIPS režim u DHCP opciji 43. Po defaultu, FIPS režim je onemogućen.
     • Ako će telefon biti registrovan u okruženju u kojem je omogućen FIPS režim, morate omogućiti FIPS režim u DHCP opciji 43. Pogledajte Omogući FIPS režim za detalje.
   • Lozinka u opciji 43 je u čistom tekstu.

     Ako je lozinka izazova prazna, telefon koristi MIC/SUDI za početni upis i obnovu sertifikata. Ako je lozinka izazova konfigurisana, ona se koristi samo za početni upis, a instalirani sertifikat će se koristiti za obnovu sertifikata.

   • Enable 802.1Ks Authentication i Certificate Select se koriste samo za telefone u žičanoj mreži.
   • DHCP opcija 60 (Identifikator klase dobavljača) se koristi za identifikaciju modela uređaja.

   Sledeća tabela daje primer DHCP opcije 43 (podopcije 10–15):

   Subopcija decimal/hex	Dužina vrednosti (bajt) decimalno / heksadecimalno	Vrednost	Heksadecimalna vrednost
   10/0a	1/01	1 (0: Isključen; 1: Omogućeno)	01
   11/0b	18/12	http://10.79.57.91	687474703a2f2f31302e37392e35372e3931
   12/0C	20/14	12040870625C5B755D73F5925285F8F5FF5D55AF	12040870625C5B755D73F5925285F8F5FF5D55AF
   13/0D	16/10	D233CCF9B9952A15	44323333434346394239393532413135
   14/0e	1/01	1 (0: Ne; 1: Da)	01
   15/0f	1/01	1 (0: Proizvodnja instalirana; 1: Custom instaliran)	01

   Rezime vrednosti parametara:

   • FIPS režim = Omogućeno

   • Server = http://10.79.57.91

   • Koren CA otisak prsta = 12040870625C5B755D73F5925285F8F5FF5D55AF

   • Izazov Lozinka = D233CCF9B9952A15

   • Omogućite 802.1Ks Autentifikaciju = Da

   • Sertifikat Izaberite = Prilagođeno instalirano

   Sintaksa konačne heksadecimalne vrednosti je: {<podopcija><dužina><vrednost>}...

   Prema gore navedenim vrednostima parametara, konačna heksadecimalna vrednost je sledeća:

   0a01010b12687474703a2f2f31302e37392e35372e39310c1412040870625C5B755D73F5925285F8F5FF5D55AF0d10443233334343463942393935324131350e01010f0101

3. Konfigurišite DHCP opciju KSNUMKS na DHCP serveru.
   Ovaj korak daje primer DHCP opcije KSNUMKS konfiguracije na Cisco mrežnom registru.
   1. Dodati DHCP skup definicija opcija.

      String opcija dobavljača je naziv modela IP telefona. Važeća vrednost je: DP-9841, DP-9851, DP-9861, DP-9871 ili CP-8875.

   2. Dodajte DHCP opciju 43 i podopcije u skup definicija DHCP opcija.

      Primer:

      

   3. Dodajte opcije 43 u DHCP politiku i podesite vrednost na sledeći način:

      Primer:

      (10 1)(11 http://10.79.57.91)(12 12040870625C5B755D73F5925285F8F5FF5D55AF)(13 D233CCF9B9952A15)(14 1)(15 1)

   4. Proverite podešavanja. Možete koristiti Vireshark da biste uhvatili trag mrežnog saobraćaja između telefona i usluge.
4. Izvršite fabrička podešavanja telefona.

   Nakon što se telefon resetuje, parametri Server,Koren CA otisak prsta, i izazov Lozinka će biti popunjena automatski. Ovi parametri se nalaze u odeljku SCEP Konfiguracija 1 od Sertifikat > Custom na veb stranici administracije telefona.

   Da biste proverili detalje instaliranog sertifikata, kliknite na dugme Pogledaj u Postojeći sertifikati sekcija.

   Da biste proverili status instalacije sertifikata, izaberite Status sertifikata >prilagođenog sertifikata. Status preuzimanja 1 prikazuje najnovije rezultate. Ako se bilo koji problem pojavi tokom upisa sertifikata, status preuzimanja može pokazati razlog problema za potrebe rešavanja problema.

   Ako provera identiteta lozinkom izazova ne uspe, od korisnika će biti zatraženo da unesete lozinku na ekranu telefona.
5. (Opciono): Da biste uklonili instalirani sertifikat sa telefona, kliknite na dugme Izbriši u Postojeći sertifikati sekcija.
   Kada kliknete na dugme, operacija uklanjanja počinje odmah bez potvrde.

Sertifikat uređaja može se automatski osvežiti SCEP procesom.

• Telefon proverava da li će sertifikat isteći za 15 dana svaka 4 sata. Ako je tako, telefon automatski pokreće proces obnove sertifikata.
• Ako je lozinka izazova prazna, telefon koristi MIC/SUDI i za početni upis i za obnovu sertifikata. Ako je lozinka izazova konfigurisana, ona se koristi samo za početni upis, postojeći / instalirani sertifikat se koristi za obnovu sertifikata.
• Telefon ne uklanja stari sertifikat uređaja dok ne preuzme novi.
• Ako obnova sertifikata ne uspe jer istekne sertifikat uređaja ili CA, telefon automatski pokreće početni upis. U međuvremenu, ako provera identiteta lozinke izazova ne uspe, na ekranu telefona pojavljuje se ekran za unos lozinke, a od korisnika se traži da unesu lozinku izazova na telefonu.

Cisco IP telefoni podržavaju 802.1X autentifikaciju.

Cisco IP telefoni i Cisco Catalyst svičevi tradicionalno koriste Cisco Discovery Protocol (CDP) za međusobnu identifikaciju i određivanje parametara kao što je VLAN alokacija i zahtevi za dovodno napajanje. CDP ne identifikuje lokalno priključene radne stanice. Cisco IP telefoni obezbeđuju EAPOL prolazni mehanizam. Ovaj mehanizam omogućava da radna stanica zakačena na Cisco IP telefon prosledi EAPOL poruke na 802.1X autentifikator na LAN sviču. Prolazni mehanizam osigurava da IP telefon ne deluje kao LAN svič za autentifikaciju podataka na krajnjoj tački pre pristupa mreži.

Cisco IP telefoni takođe obezbeđuju proksi za EAPOL mehanizam za odjavu. Ako se lokalno priključen računar isključi sa IP telefona, LAN svič ne vidi neispravnost fizičke veze jer se veza između LAN sviča i IP telefona održava. Da biste izbegli ugrožavanje integriteta mreže, IP telefon šalje EAPOL poruku za odjavu na svič u ime računara u donjem toku, što aktivira LAN svič da ukloni unos za autentifikaciju za računar u donjem toku.

Podrška za 802.1X autentifikaciju zahteva nekoliko komponenti:

• Cisco IP telefon: Telefon pokreće zahtev za pristup na mrežu. Cisco IP telefoni sadrže 802.1X dodatak. Ovaj dodatak omogućava administratoru mreže da kontroliše konektivnost IP telefona na LAN portove sviča. Trenutno izdanje za dodatak za telefon 802.1X koristi EAP-FAST i EAP-TLS opcije za autentifikaciju mreže.

• Server za autentifikaciju: Server za autentifikaciju i prekidač moraju biti konfigurisani sa zajedničkom tajnom koja potvrđuje autentičnost telefona.

• Svič: Svič mora da podržava 802.1X, tako da može da deluje kao autentifikator i prosledi poruke između telefona i servera za autentifikaciju. Nakon završetka razmene, svič odobrava ili odbija pristup telefona na mrežu.

Morate da obavite sledeće postupke da biste podesili 802.1X.

• Podesite druge komponente pre nego što omogućite 802.1X autentifikaciju na telefonu.

• Podešavanje porta računara: Standard 802.1X ne razmatra VLAN-ove i zbog toga je preporučeno da samo jedan uređaj treba da se potvrdi za određeni port sviča. Ipak, neki svičevi podržavaju autentifikaciju za više domena. Konfiguracija sviča određuje da li možete da povežete računar na port za računar na telefonu.

  • Omogućeno: Ako koristite svič koji podržava autentifikaciju preko više domena, možete da omogućite port za računar i da povežete računar na njega. U ovom slučaju, Cisco IP telefoni podržavaju proksi EAPOL odjavu za nadzor razmena za autentifikaciju između sviča i priključenog računara.

    Za više informacija o IEEE 802.1X podršci na Cisco Catalyst svičevima, pogledajte vodič za konfiguraciju Cisco Catalyst sviča na:

    http://www.cisco.com/en/US/products/hw/switches/ps708/tsd_products_support_series_home.html

  • Onemogućeno: Ako svič ne podržava više uređaja usklađenih sa 802.1X na istom portu, treba da onemogućite port računara kada je omogućena 802.1X autentifikacija. Ako ne onemogućite ovaj port i zatim pokušate da priključite računar na njega, svič odbija pristup na mrežu za telefon i računar.

• Podešavanje govornog VLAN: Pošto se 802.1X standard ne računa za VLAN-ove, potrebno je da podesite ovu postavku na osnovu podrške za svič.
  • Omogućeno: Ako koristite svič koji podržava autentifikaciju preko više domena, možete da nastavite da koristite govorni VLAN.
  • Onemogućeno: Ako svič ne podržava autentifikaciju za više uređaja, onemogućite govorni VLAN i razmislite da dodelite port na prirodni VLAN.
• (Samo za Cisco Desk Phone 9800 seriju)

  Cisco Desk Phone KSNUMKS serija ima drugačiji prefiks u PID-u od onog za druge Cisco telefone. Da biste omogućili svom telefonu da prođe 802.1X autentifikaciju, podesite Radius· Parametar korisničkog imena koji uključuje vaš Cisco Desk Phone KSNUMKS seriju.

  Na primer, PID telefona 9841 je DP-9841; možete podesiti Radius· Korisničko ime za početak sa DP ili sadrži DP. Možete ga podesiti u oba sledeća odeljka:

  • Politika > uslovi > Uslovi biblioteke

  • Politika > Skupovi politika > Politika ovlašćenja> Pravilo ovlašćenja 1

Pošto svi WLAN uređaji koji su u okviru opsega mogu da primaju drugi WLAN saobraćaj, osiguravanje glasovne komunikacije je od presudnog značaja za WLAN-ove. Da bi se osiguralo da uljezi ne manipulišu niti presreću glasovni saobraćaj, Cisco SAFE Securiti arhitektura podržava telefon. Za više informacija o bezbednosti na mrežama, pogledajte http://www.cisco.com/en/US/netsol/ns744/networking_solutions_program_home.html.

Cisco bežična IP telefonija rešenje obezbeđuje bezbednost bežične mreže koja sprečava neovlašćene prijave i kompromitovane komunikacije pomoću sledećih metoda autentifikacije koje telefon podržava:

• Otvorena autentifikacija: Bilo koji bežični uređaj može da zahteva autentifikaciju u otvorenom sistemu. AP koji dobija zahtev može da odobri autentifikaciju za bilo kog podnosioca zahteva ili samo za podnosioce zahteva koji se nalaze na listi korisnika. Komunikacija između bežičnog uređaja i pristupne tačke (AP) može biti nešifrovana.

• Proširivi protokol za autentifikaciju-Fleksibilan autentifikacija putem sigurnog tuneliranja (EAP-FAST) Autentifikacija: Ova sigurnosna arhitektura klijent-server šifrira EAP transakcije unutar tunela Transport Level Securiti (TLS) između AP-a i RADIUS servera, kao što je Identiti Services Engine (ISE).

  TLS tunel koristi akreditive za zaštićeni pristup (PAC-ovi) za autentifikaciju između klijenta (telefon) i RADIUS servera. Server šalje ID autoriteta (AID) za klijenta (telefon) koji zauzvrat bira odgovarajući PAC. Klijent (telefon) donosi PAC-Opaque na RADIUS server. Server dešifruje PAC uz primarni ključ. Obe krajnje tačke sada sadrže PAC ključ i kreira se TLS tunel. EAP-FAST podrža automatsko obezbeđivanje PAC, ali to morate da omogućite na RADIUS server.

  U ISE-u, po defaultu, PAC ističe za nedelju dana. Ako telefon ima istekli PAC, autentifikacija preko RADIUS servera traje duže dok telefon dobije novi PAC. Da biste izbegli kašnjenja za dobijanje PAC, podesite period za istek PAC-a na 90 dana ili duže na ISE ili RADIUS serveru.

• Protokol za autentifikaciju lokala-Autentifikacija transportnog sloja bezbednosti (EAP-TLS): EAP-TLS zahteva sertifikat klijenta za autentifikaciju i mrežni pristup. Za bežični EAP-TLS, sertifikat klijenta može biti MIC, LSC ili korisnički instaliran sertifikat.

• Zaštićeni protokol autntifikacije lokala (PEAP): Cisco šema za zajedničku autentifikaciju zasnovana na lozinci između klijenta (telefon) i RADIUS servera. Telefon može da koristi PEAP za proveru identiteta sa bežične mreže. Oba metoda autentifikacije, PEAP-MSCHAPV2 i PEAP-GTC, su podržani.

• Pre-Shared Kei (PSK): Telefon podržava ASCII format. Morate koristiti ovaj format prilikom postavljanja WPA / VPA2 / SAE unapred podeljenog ključa:

  ASCII: niz ASCII karaktera sa 8 do 63 karaktera dužine (0-9, mala i velika slova A-Z i specijalni znaci)

  Primer : GREG123567@9ZX&V

Sledeće šeme za autentifikaciju koriste RADIUS server za upravljanje autentifikacionim ključevima:

• WPA / VPA2 / VPA3: Koristi informacije o RADIUS serveru za generisanje jedinstvenih ključeva za autentifikaciju. Pošto se ovi ključevi generišu na centralizovanom RADIUS serveru, WPA2/WPA3 pruža više bezbednosti od WPA unapred podeljenih ključeva koji su sačuvani na AP i telefonu.

• Brzi bezbedni roming: Koristi informacije za RADIUS server i server bežičnog domena (WDS) za upravljanje i autentifikaciji ključeva. VDS stvara keš bezbednosnih akreditiva za FT-omogućene klijentske uređaje za brzu i sigurnu ponovnu autentifikaciju. Cisco Desk Phone 9861 i 9871 i Cisco Video Phone 8875 podrška 802.11r (FT). I preko vazduha i preko DS-a su podržani kako bi se omogućilo brzo i sigurno roming. Ali snažno preporučujemo korišćenje 802.11r (FT) metode za emitovanje.

Sa WPA / VPA2 / VPA3, ključevi za šifrovanje se ne unose na telefon, već se automatski izvode između AP i telefona. Ali EAP korisničko ime i lozinka koji se koriste za autentifikaciju moraju da se unesu na svaki telefon.

Da bi se osiguralo da je glasovni saobraćaj siguran, telefon podržava TKIP i AES za šifrovanje. Kada se ovi mehanizmi koriste za enkripciju, i signalni SIP paketi i glasovni Real-Time Transport Protocol (RTP) paketi su šifrovani između AP-a i telefona.

TKIP

WPA koristi TKIP enkripciju koja ima nekoliko poboljšanja u odnosu na WEP. TKIP pruža šifrovanje ključa po paketu i dužu inicijalizaciju vektora (IV-ovi) koji ojačavaju šifrovanje. Pored toga, provera integriteta poruke (MIC) osigurava da šifrovani paketi nisu izmenjeni. TKIP uklanja prediktabilnost za WEP koja omaže uljezima da dešifruju WEP ključ.

AES

Metod šifrovanja koji se koristi za VPA2 / VPA3 autentifikaciju. Nacionalni standardi za šifrovanje koriste simetrični algoritam koji ima isti ključ zta šifrovanje i dešifrovanje. AES koristi šifrovanje lanca za blok šifrovanje (CBC) veličine od 128 bitova, koji podržavaju veličine ključa od 128 bitova, 192 bita i 256 bitova, kao minimum. Telefon podržava veličinu ključa od 256 bita.

Šeme za autentifikaciju i šifrovanje podešavaju se u okviru bežičnog LAN. VLAN-ovi se podešavaju na mreži i na AP-ovima i navode različite kombinacije za autentifikaciju i šifrovanje. SSID se pridružuje sa VLAN i određenoj autentifikaciji i šemi šifrovanja. Da bi se bežični klijentski uređaji uspešno autentifikovali, morate konfigurisati iste SSID-ove sa njihovim šemama autentifikacije i šifrovanja na AP-ovima i na telefonu.

Iste šeme za autentifikaciju zahtevaju specifične tipove šifrovanja.

Šeme za autentifikaciju i šifrovanje u sledećoj tabeli prikazuju opcije konfiguracije mreže za telefon koji odgovara AP konfiguraciji.