Ručno instalirajte prilagođeni sertifikat uređaja

Možete ručno instalirati sertifikat prilagođenog uređaja (CDC) na telefonu tako što ćete učitati sertifikat sa veb stranice za administraciju telefona.

Pre nego što počnete

Pre nego što instalirate prilagođeni sertifikat uređaja za telefon, morate imati:

  • Datoteka sertifikata (.pKSNUMKS ili .pfk) sačuvana na vašem računaru. Datoteka sadrži sertifikat i privatni ključ.
  • Ekstrakt lozinka sertifikata. Lozinka se koristi za dešifrovanje datoteke sertifikata.
1

Pristupite administracionoj veb stranici telefona.

2

Izaberite Sertifikat.

3

U Dodaj sertifikat kliknite na dugme Pregledaj ....

4

Dođite do sertifikata na računaru.

5

U polju Ekstrakcija lozinke unesite lozinku za ekstrakciju sertifikata.

6

Kliknite da biste otpremili.

Ako su datoteka sertifikata i lozinka tačni, dobićete poruku "Sertifikat dodan.". U suprotnom, otpremanje ne uspeva sa porukom o grešci koja ukazuje da sertifikat ne može da se otpremi.
7

Da biste proverili detalje instaliranog sertifikata, kliknite na dugme Pogledaj u Postojeći sertifikati sekcija.

8

Da biste uklonili instalirani sertifikat sa telefona, kliknite na dugme Izbriši u odeljku Postojeći sertifikati .

Kada kliknete na dugme, operacija uklanjanja počinje odmah bez potvrde.

Ako je sertifikat uspešno uklonjen, dobićete poruku "Sertifikat izbrisan".

Automatski instalirajte prilagođeni sertifikat uređaja od strane SCEP-a

Možete podesiti parametre Simple Certificate Enrollment Protocol (SCEP) da biste automatski instalirali Custom Device Certificate (CDC), ako ne želite ručno otpremiti datoteku sertifikata ili nemate datoteku sertifikata.

Kada su SCEP parametri ispravno konfigurisani, telefon šalje zahteve SCEP serveru, a CA sertifikat se potvrđuje uređajem pomoću definisanog otiska prsta.

Pre nego što počnete

Pre nego što izvršite automatsku instalaciju prilagođenog sertifikata uređaja za telefon, morate imati:

  • Adresa SCEP servera
  • SHA-1 ili SHA-256 otisak prsta korenskog CA sertifikata za SCEP server
1

Pristupite administracionoj veb stranici telefona.

2

Izaberite Sertifikat.

3

U odeljku SCEP konfiguracija 1 podesite parametre kao što je opisano u sledećoj tabeli Parametri za SCEP konfiguraciju.

4

Kliknite na Pošalji sve promene.

Parametri za SCEP konfiguraciju

Sledeća tabela definiše funkciju i upotrebu parametara konfiguracije SCEP u odeljku SCEP konfiguracija 1 pod karticom Sertifikat u veb interfejsu telefona. Takođe definiše sintaksu stringa koji se dodaje u konfiguracioni fajl telefona (cfg.xml) za konfigurisanje parametra.

Tabela 1. Parametri za SCEP konfiguraciju
ParametarOpis
Server

SCEP adresa servera. Ovaj parametar je obavezan.

Obavite jedno od sledećeg:

  • U datoteci za konfiguraciju telefona sa XML(cfg.xml), unesite niz u ovom formatu:

    <CDC_Server_1_ ua="na">http://10.79.57.91</CDC_Server_1_>

  • Na veb stranici telefona unesite adresu SCEP servera.

Važeće vrednosti: URL ili IP adresa. HTTPS šema nije podržana.

Podrazumevano: Prazno

Koren CA otisaka prstiju

SHA256 ili SHA1 otisak prsta korena CA za validaciju tokom SCEP procesa. Ovaj parametar je obavezan.

Obavite jedno od sledećeg:

  • U datoteci za konfiguraciju telefona sa XML(cfg.xml), unesite niz u ovom formatu:

    <CDC_Root_CA_Fingerprint_1_ ua="na">12040870625C5B755D73F5925285F8F5FF5D55AF</CDC_Root_CA_Fingerprint_1_>

  • Na veb stranici telefona unesite važeći otisak prsta.

Podrazumevano: Prazno

Izazov lozinka

Lozinka izazova za autorizaciju Certificate Authority (CA) protiv telefona tokom upisa sertifikata preko SCEP-a. Ovaj parametar nije obavezan.

Prema stvarnom SCEP okruženju, ponašanje izazov lozinkom varira.

  • Ako telefon dobije sertifikat od Cisco RA koji komunicira sa CA, lozinka izazova nije podržana na CA. U ovom slučaju, Cisco RA koristi MIC / SUDI telefona za autentifikaciju za pristup CA. Telefon koristi MIC / SUDI i za početni upis i za obnovu sertifikata.
  • Ako telefon dobije sertifikat direktnom komunikacijom sa CA, lozinka izazova je podržana na CA. Ako je konfigurisan, koristiće se samo za početni upis. Za obnovu sertifikata, umesto toga će se koristiti instalirani sertifikat.

Obavite jedno od sledećeg:

  • U datoteci za konfiguraciju telefona sa XML(cfg.xml), unesite niz u ovom formatu:

    <CDC_Challenge_Password_1_ ua="na"></CDC_Challenge_Password_1_>

    Lozinka je maskirana u konfiguracionoj datoteci.

  • Na veb stranici telefona unesite lozinku izazova.

Podrazumevano: Prazno

Konfiguracija SCEP parametara preko DHCP opcije 43

Pored upisa SCEP sertifikata ručnim konfiguracijama na veb stranici telefona, možete koristiti i DHCP opciju KSNUMKS za popunjavanje parametara sa DHCP servera. DHCP opcija 43 je unapred konfigurisana sa SCEP parametrima, kasnije telefon može da preuzme parametre sa DHCP servera da izvrši upis SCEP sertifikata.

  • Konfiguracija SCEP parametara preko DHCP opcije 43 dostupna je samo za telefon na kojem se vrši fabrička podešavanja.
  • Telefoni ne smeju biti smešteni u mrežu koja podržava i opciju 43 i daljinsko obezbeđivanje (na primer, opcije 66,160,159,150 ili obezbeđivanje oblaka). U suprotnom, telefoni možda neće dobiti konfiguracije Option 43.

Da biste upisali SCEP sertifikat konfigurišući SCEP parametre u DHCP opciji 43, uradite sledeće:

  1. Pripremite SCEP okruženje.

    Za informacije o podešavanju SCEP okruženja, pogledajte dokumentaciju SCEP servera.

  2. Podesite DHCP opciju 43 (definisano u 8.4 Informacije specifične za prodavca, RFC 2132).

    Podopcije (10–15) su rezervisane za metodu:

    Parametar na veb stranici telefonaPodopcijaTipDužina (bajt)Obavezno
    FIPS režim10Bulovu1Ne*
    Server11niz208 - dužina (izazov lozinka)Da
    Koren CA otisaka prstiju12Binarni20 ili 32Da
    Izazov lozinka13niz208 - dužina (server)Ne*
    Omogućite 802.1Ks autentifikaciju14Bulovu1Ne
    Sertifikat Izaberite15Nepotpisani 8-bitni1Ne

    Kada koristite DHCP opciju 43, obratite pažnju na sledeće karakteristike metode:

    • Podopcije (10–15) su rezervisane za Custom Device Certificate (CDC).
    • Maksimalna dužina DHCP opcije 43 je 255 bajtova.
    • Maksimalna dužina servera + izazov lozinke će biti manja od KSNUMKS bajtova.
    • Vrednost FIPS režima mora biti u skladu sa konfiguracijom onboarding rezervisanja. U suprotnom, telefon ne uspeva da preuzme prethodno instalirani sertifikat nakon uključivanja. Posebno
      • Ako će telefon biti registrovan u okruženju u kojem je FIPS režim onemogućen, ne morate da konfigurišete parametar FIPS režim u DHCP opciji 43. Po defaultu, FIPS režim je onemogućen.
      • Ako će telefon biti registrovan u okruženju u kojem je omogućen FIPS režim, morate omogućiti FIPS režim u DHCP opciji 43. Pogledajte Omogući FIPS režim za detalje.
    • Lozinka u opciji 43 je u čistom tekstu.

      Ako je lozinka izazova prazna, telefon koristi MIC/SUDI za početni upis i obnovu sertifikata. Ako je lozinka izazova konfigurisana, ona se koristi samo za početni upis, a instalirani sertifikat će se koristiti za obnovu sertifikata.

    • Enable 802.1Ks Authentication i Certificate Select se koriste samo za telefone u žičanoj mreži.
    • DHCP opcija 60 (Identifikator klase dobavljača) se koristi za identifikaciju modela uređaja.

    Sledeća tabela daje primer DHCP opcije 43 (podopcije 10–15):

    Subopcija decimal/hexDužina vrednosti (bajt) decimalno / heksadecimalnoVrednostHeksadecimalna vrednost
    10/0a1/011 (0: Isključen; 1: Omogućeno)01
    11/0b18/12http://10.79.57.91687474703a2f2f31302e37392e35372e3931
    12/0C20/1412040870625C5B755D73F5925285F8F5FF5D55AF12040870625C5B755D73F5925285F8F5FF5D55AF
    13/0D16/10D233CCF9B9952A1544323333434346394239393532413135
    14/0e1/011 (0: Ne; 1: Da)01
    15/0f1/011 (0: Proizvodnja instalirana; 1: Custom instaliran) 01

    Rezime vrednosti parametara:

    • FIPS režim = Omogućeno

    • Server = http://10.79.57.91

    • Koren CA otisak prsta = 12040870625C5B755D73F5925285F8F5FF5D55AF

    • Izazov Lozinka = D233CCF9B9952A15

    • Omogućite 802.1Ks Autentifikaciju = Da

    • Sertifikat Izaberite = Prilagođeno instalirano

    Sintaksa konačne heksadecimalne vrednosti je: {<podopcija><dužina><vrednost>}...

    Prema gore navedenim vrednostima parametara, konačna heksadecimalna vrednost je sledeća:

    0a01010b12687474703a2f2f31302e37392e35372e39310c1412040870625C5B755D73F5925285F8F5FF5D55AF0d10443233334343463942393935324131350e01010f0101

  3. Konfigurišite DHCP opciju KSNUMKS na DHCP serveru.

    Ovaj korak daje primer DHCP opcije KSNUMKS konfiguracije na Cisco mrežnom registru.

    1. Dodati DHCP skup definicija opcija.

      String opcija dobavljača je naziv modela IP telefona. Važeća vrednost je: DP-9841, DP-9851, DP-9861, DP-9871 ili CP-8875.

    2. Dodajte DHCP opciju 43 i podopcije u skup definicija DHCP opcija.

      Primer:

      Snimak ekrana DHCP opcije KSNUMKS definicija na Cisco mrežnom registru

    3. Dodajte opcije 43 u DHCP politiku i podesite vrednost na sledeći način:

      Primer:

      (10 1)(11 http://10.79.57.91)(12 12040870625C5B755D73F5925285F8F5FF5D55AF)(13 D233CCF9B9952A15)(14 1)(15 1)

    4. Proverite podešavanja. Možete koristiti Vireshark da biste uhvatili trag mrežnog saobraćaja između telefona i usluge.
  4. Izvršite fabrička podešavanja telefona.

    Nakon što se telefon resetuje, parametri Server,Koren CA otisak prsta, i izazov Lozinka će biti popunjena automatski. Ovi parametri se nalaze u odeljku SCEP Konfiguracija 1 od Sertifikat > Custom na veb stranici administracije telefona.

    Da biste proverili detalje instaliranog sertifikata, kliknite na dugme Pogledaj u Postojeći sertifikati sekcija.

    Da biste proverili status instalacije sertifikata, izaberite Status sertifikata >prilagođenog sertifikata. Status preuzimanja 1 prikazuje najnovije rezultate. Ako se bilo koji problem pojavi tokom upisa sertifikata, status preuzimanja može pokazati razlog problema za potrebe rešavanja problema.

    Ako provera identiteta lozinkom izazova ne uspe, od korisnika će biti zatraženo da unesete lozinku na ekranu telefona.
  5. (Opciono): Da biste uklonili instalirani sertifikat sa telefona, kliknite na dugme Izbriši u Postojeći sertifikati sekcija.
    Kada kliknete na dugme, operacija uklanjanja počinje odmah bez potvrde.

Obnova sertifikata od strane SCEP-a

Sertifikat uređaja može se automatski osvežiti SCEP procesom.

  • Telefon proverava da li će sertifikat isteći za 15 dana svaka 4 sata. Ako je tako, telefon automatski pokreće proces obnove sertifikata.
  • Ako je lozinka izazova prazna, telefon koristi MIC/SUDI i za početni upis i za obnovu sertifikata. Ako je lozinka izazova konfigurisana, ona se koristi samo za početni upis, postojeći / instalirani sertifikat se koristi za obnovu sertifikata.
  • Telefon ne uklanja stari sertifikat uređaja dok ne preuzme novi.
  • Ako obnova sertifikata ne uspe jer istekne sertifikat uređaja ili CA, telefon automatski pokreće početni upis. U međuvremenu, ako provera identiteta lozinke izazova ne uspe, na ekranu telefona pojavljuje se ekran za unos lozinke, a od korisnika se traži da unesu lozinku izazova na telefonu.

Omogući FIPS režim

Možete napraviti telefon Federalni standardi za obradu informacija (FIPS) usaglašen.

FIPS je skup standarda koji opisuju obradu dokumenata, algoritme za šifrovanje i druge standarde informacionih tehnologija za upotrebu u nevojnoj vladi i od strane vladinih izvođača i dobavljača koji rade sa agencijama. CiscoSSL FOM (FIPS Object Module) je pažljivo definisana softverska komponenta i dizajnirana za kompatibilnost sa CiscoSSL bibliotekom, tako da se proizvodi koji koriste CiscoSSL biblioteku i API mogu pretvoriti u upotrebu FIPS 140-2 potvrđene kriptografije uz minimalan napor.

1

Pristupite administracionoj veb stranici telefona.

2

Izaberite Glas > Sistem.

3

U odeljku Bezbednosna podešavanja izaberite Da ili Ne iz parametra FIPS Mode .

4

Kliknite na Pošalji sve promene.

Kada omogućite FIPS, sledeće funkcije rade besprekorno na telefonu:
  • Autentifikacija slike
  • Bezbedno skladištenje
  • Config fajl enkripcija
  • TLS:
    • HTTP SAJTOVI
    • PRT otpremanje
    • Nadogradnja firmvera
    • Resinhronizacija profila
    • Servis na brodu
    • Webex onboarding
    • SIP preko TLS
    • 802.1k (Žičani)
  • SIP digest (RFC 8760)
  • SRTP
  • Webex evidencije poziva i Webex direktorijum
  • Jedno dugme za guranje (OBTP)

Podesite korisničku i administratorsku lozinku

Nakon što je telefon prvi put registrovan u sistemu za kontrolu poziva ili izvršite fabrička podešavanja na telefonu, morate podesiti korisničku i administratorsku lozinku kako biste poboljšali sigurnost telefona. Tek kada je lozinka postavljena, možete da pošaljete promene sa veb stranice telefona.

Po defaultu, upozorenje bez lozinke je omogućeno na telefonu. Kada telefon nema korisničku ili administratorsku lozinku, prikazuju se sledeća upozorenja:

  • Veb stranica telefona prikazuje "Nema administratorske lozinke. Veb je u režimu samo za čitanje i ne možete da pošaljete izmene. Molimo Vas da promenite lozinku." u gornjem levom uglu.

    Polja Korisnička lozinka i Administratorska lozinka prikazuju upozorenje "Nije navedena lozinka" ako je prazna.

  • Na ekranu telefona Problemi i dijagnostika prikazuje problem "Bez lozinke".
1

Pristupite na veb stranicu za administraciju telefona.

2

Izaberite Glas > Sistem.

3

(Opciono) U odeljku Konfiguracija sistema, podesite parametar Display Passvord Warnings na Da, a zatim kliknite na dugme Pošalji sve izmene.

Takođe možete da omogućite parametre u konfiguracionoj datoteci telefona (cfg.xml).

<Display_Password_Warnings ua="na">Da</Display_Password_Warnings>

Podrazumevano: Da

Opcije: Da|Ne

Kada je parametar postavljen na Ne, upozorenje o lozinki se ne pojavljuje ni na veb stranici ni na ekranu telefona. Takođe, spreman režim za veb stranicu neće biti aktiviran iako je lozinka prazna.

4

Pronađite parametar Korisnička lozinka ili Admin lozinka, i kliknite Promeni lozinku pored parametra.

5

Unesite trenutnu korisničku lozinku u polje Stara lozinka .

Ako nemate lozinku, držite polje prazno. Podrazumevana vrednost je prazno.
6

Unesite novu lozinku u polje Nova lozinka .

7

Kliknite na Pošalji.

Poruka Lozinka je uspešno promenjena. će se prikazati na veb stranici. Veb stranica će se osvežiti za nekoliko sekundi. Upozorenje pored parametra će nestati.

Nakon što podesite korisničku lozinku, ovaj parametar prikazuje sledeće u konfiguraciji telefona XML datoteci (cfg.xml):

<!-- <Admin_Password ua="na">*************</Admin_Password> <User_Password ua="rw">*************</User_Password> -->

Ako primite 403 kod greške kada pokušate da pristupite veb stranici telefona, morate podesiti korisničku ili administratorsku lozinku tako što ćete obezbediti u konfiguracionoj datoteci telefona (cfg.xml). Na primer, unesite string u ovom formatu:

<Admin_Password ua="na">P0ssw0rd_tes89</Admin_Password>

<User_Password ua="rw">abc123</User_Password>

802.1X autentifikacija

Cisco IP telefoni podržavaju 802.1X autentifikaciju.

Cisco IP telefoni i Cisco Catalyst svičevi tradicionalno koriste Cisco Discovery Protocol (CDP) za međusobnu identifikaciju i određivanje parametara kao što je VLAN alokacija i zahtevi za dovodno napajanje. CDP ne identifikuje lokalno priključene radne stanice. Cisco IP telefoni obezbeđuju EAPOL prolazni mehanizam. Ovaj mehanizam omogućava da radna stanica zakačena na Cisco IP telefon prosledi EAPOL poruke na 802.1X autentifikator na LAN sviču. Prolazni mehanizam osigurava da IP telefon ne deluje kao LAN svič za autentifikaciju podataka na krajnjoj tački pre pristupa mreži.

Cisco IP telefoni takođe obezbeđuju proksi za EAPOL mehanizam za odjavu. Ako se lokalno priključen računar isključi sa IP telefona, LAN svič ne vidi neispravnost fizičke veze jer se veza između LAN sviča i IP telefona održava. Da biste izbegli ugrožavanje integriteta mreže, IP telefon šalje EAPOL poruku za odjavu na svič u ime računara u donjem toku, što aktivira LAN svič da ukloni unos za autentifikaciju za računar u donjem toku.

Podrška za 802.1X autentifikaciju zahteva nekoliko komponenti:

  • Cisco IP telefon: Telefon pokreće zahtev za pristup na mrežu. Cisco IP telefoni sadrže 802.1X dodatak. Ovaj dodatak omogućava administratoru mreže da kontroliše konektivnost IP telefona na LAN portove sviča. Trenutno izdanje za dodatak za telefon 802.1X koristi EAP-FAST i EAP-TLS opcije za autentifikaciju mreže.

  • Server za autentifikaciju: Server za autentifikaciju i prekidač moraju biti konfigurisani sa zajedničkom tajnom koja potvrđuje autentičnost telefona.

  • Svič: Svič mora da podržava 802.1X, tako da može da deluje kao autentifikator i prosledi poruke između telefona i servera za autentifikaciju. Nakon završetka razmene, svič odobrava ili odbija pristup telefona na mrežu.

Morate da obavite sledeće postupke da biste podesili 802.1X.

  • Podesite druge komponente pre nego što omogućite 802.1X autentifikaciju na telefonu.

  • Podešavanje porta računara: Standard 802.1X ne razmatra VLAN-ove i zbog toga je preporučeno da samo jedan uređaj treba da se potvrdi za određeni port sviča. Ipak, neki svičevi podržavaju autentifikaciju za više domena. Konfiguracija sviča određuje da li možete da povežete računar na port za računar na telefonu.

    • Omogućeno: Ako koristite svič koji podržava autentifikaciju preko više domena, možete da omogućite port za računar i da povežete računar na njega. U ovom slučaju, Cisco IP telefoni podržavaju proksi EAPOL odjavu za nadzor razmena za autentifikaciju između sviča i priključenog računara.

      Za više informacija o IEEE 802.1X podršci na Cisco Catalyst svičevima, pogledajte vodič za konfiguraciju Cisco Catalyst sviča na:

      http://www.cisco.com/en/US/products/hw/switches/ps708/tsd_products_support_series_home.html

    • Onemogućeno: Ako svič ne podržava više uređaja usklađenih sa 802.1X na istom portu, treba da onemogućite port računara kada je omogućena 802.1X autentifikacija. Ako ne onemogućite ovaj port i zatim pokušate da priključite računar na njega, svič odbija pristup na mrežu za telefon i računar.

  • Podešavanje govornog VLAN: Pošto se 802.1X standard ne računa za VLAN-ove, potrebno je da podesite ovu postavku na osnovu podrške za svič.
    • Omogućeno: Ako koristite svič koji podržava autentifikaciju preko više domena, možete da nastavite da koristite govorni VLAN.
    • Onemogućeno: Ako svič ne podržava autentifikaciju za više uređaja, onemogućite govorni VLAN i razmislite da dodelite port na prirodni VLAN.
  • (Samo za Cisco Desk Phone 9800 seriju)

    Cisco Desk Phone KSNUMKS serija ima drugačiji prefiks u PID-u od onog za druge Cisco telefone. Da biste omogućili svom telefonu da prođe 802.1X autentifikaciju, podesite Radius· Parametar korisničkog imena koji uključuje vaš Cisco Desk Phone KSNUMKS seriju.

    Na primer, PID telefona 9841 je DP-9841; možete podesiti Radius· Korisničko ime za početak sa DP ili sadrži DP. Možete ga podesiti u oba sledeća odeljka:

    • Politika > uslovi > Uslovi biblioteke

    • Politika > Skupovi politika > Politika ovlašćenja> Pravilo ovlašćenja 1

Omogući 802.1X autentifikaciju

Kada je omogućena 802.1Ks autentifikacija, telefon koristi 802.1Ks autentifikaciju da zatraži pristup mreži. Kada je 802.1Ks autentifikacija onemogućena, telefon koristi Cisco Discoveri Protocol (CDP) za sticanje VLAN-a i mrežnog pristupa. Takođe možete da vidite status transakcije i promenite na meniju ekrana telefona.

Kada je omogućena 802.1Ks autentifikacija, možete odabrati i sertifikat uređaja (MIC/SUDI ili prilagođeni) za početni upis i obnovu sertifikata. Tipično, MIC je za Cisco Video Phone 8875, SUDI je za Cisco Desk Phone 9800 serija. CDC se može koristiti za proveru identiteta samo u 802.1k.

1

Izvršite jednu od sledećih radnji da biste omogućili 802.1Ks autentifikaciju:

  • U veb interfejsu telefona izaberite Voice > Sistem i podesite parametar Enable 802.1X Authentication na Da. Zatim kliknite na dugme Pošalji sve promene.
  • U konfiguracioni fajl (cfg.xml) unesite string u ovom formatu:

    <Enable_802.1Ks_Authentication ua = "rv" >Da< / Enable_802.1Ks_Authentication>

    Validne vrednosti: Da|Ne

    Podrazumevano: Ne

  • Na telefonu pritisnite Podešavanja the Settings hard key, i idite na Mreža i servis > Bezbednosna podešavanja > 802.1Ks autentifikacija. Prebacite polje za proveru identiteta uređaja na Uključeno, a zatim izaberite Appli.
Tabela 2. Parametri za 802.1Ks autentifikaciju na ekranu telefona

Parametri

Opcije

Podrazumevano

Opis

Autentifikacija uređaja

Uključeno

Off

Off

Omogućite ili onemogućite 802.1Ks autentifikaciju na telefonu.

Status transakcije

Onemogućeno

Prikazuje stanje 802.1Ks autentifikacije. Država može biti (ne ograničavajući se na):

  • Autentifikacija: Označava da je proces autentifikacije u toku.
  • Autentifikovano: Označava da je telefon autentifikovan.
  • Disabled: Označava da je 802.1k autentifikacija onemogućena na telefonu.

Protokol

Nijedno

Prikazuje EAP metod koji se koristi za 802.1Ks autentifikaciju. Protokol može biti EAP-FAST ili EAP-TLS.

Tip korisničkog sertifikata

Proizvodnja instalirana

Prilagođeni instaliran

Proizvodnja instalirana

Izaberite sertifikat za 802.1Ks autentifikaciju tokom početnog upisa i obnove sertifikata.

  • Instalirana proizvodnja - Koristi se Manufacturing Installed Certificate (MIC) i Secure Unique Device Identifier (SUDI).
  • Prilagođeno instalirano—Koristi se sertifikat prilagođenog uređaja (CDC). Ova vrsta sertifikata može se instalirati ili ručnim učitavanjem na veb stranicu telefona ili instalacijom sa servera Simple Certificate Enrollment Protocol (SCEP).

Ovaj parametar se pojavljuje na telefonu samo kada je omogućena autentifikacija uređaja.

2

Izaberite sertifikat (MIC ili običaj) za 802.1Ks autentifikaciju na veb stranici telefona.

  • Za žičanu mrežu, izaberite Voice>Sistem, izaberite tip sertifikata sa padajuće liste Sertifikat Izaberite u odeljku 802.1Ks Autentifikacija.

    Takođe možete konfigurisati ovaj parametar u konfiguracionoj datoteci (cfg.xml):

    <Certificate_Select ua = "rv">Custom instaliran< / Certificate_Select>

    Važeće vrednosti: Proizvodnja instalirana|Prilagođeni instaliran

    Podrazumevano: Proizvodnja instalirana

  • Za bežičnu mrežu, izaberite Voice>Sistem, izaberite tip sertifikata iz padajuće liste Sertifikat Izaberite u odeljku Wi-Fi Profil 1.

    Takođe možete konfigurisati ovaj parametar u konfiguracionoj datoteci (cfg.xml):

    <Vi-Fi_Certificate_Select_1_ ua = "rv" >Custom instaliran< / Vi-Fi_Certificate_Select_1_>

    Važeće vrednosti: Proizvodnja instalirana|Prilagođeni instaliran

    Podrazumevano: Proizvodnja instalirana

Za informacije o tome kako da izaberete vrstu sertifikata na ekranu telefona, pogledajte Povezivanje telefona sa Wi-Fi mrežom.

Omogućite režim koji je pokrenuo klijent za pregovore o bezbednosti medijske ravni

Da biste zaštitili medijske sesije, možete podesiti telefon da pokrene pregovore o bezbednosti medija aviona sa serverom. Sigurnosni mehanizam prati standarde navedene u RFC 3329 i njegovom proširenju nacrt Imena sigurnosnih mehanizama za medije (vidi https://tools.ietf.org/html/draft-dawes-sipcore-mediasec-parameter-08#ref-2). Prevoz pregovora između telefona i servera može koristiti SIP protokol preko UDP, TCP i TLS. Možete ograničiti da se pregovori o bezbednosti medijskog aviona primenjuju samo kada je protokol transporta signalizacije TLS.

1

Pristupite administracionoj veb stranici telefona.

2

Izaberite opciju Glas > Lok.(n).

3

U odeljku SIP Settings podesite polja MediaSec Zahtev i MediaSec preko TLS Samo kao što je definisano u sledećoj tabeli:

Tabela 3. Parametri za pregovore o bezbednosti medija aviona
ParametarOpis

MediaSec Zahtev

Određuje da li telefon pokreće pregovore o bezbednosti medijskog aviona sa serverom.

Obavite jedno od sledećeg:

  • U datoteci za konfiguraciju telefona sa XML(cfg.xml), unesite niz u ovom formatu:

    <MediaSec_Request_1_ ua="na">Da</MediaSec_Request_1_>
  • U veb interfejsu telefona, podesite ovo polje na Da ili Ne po potrebi.

Dozvoljene vrednosti: Da|Ne

  • Da - režim koji pokreće klijent. Telefon pokreće pregovore o bezbednosti medijskog aviona.
  • Ne—Režim koji je pokrenuo server. Server pokreće pregovore o bezbednosti medijskog aviona. Telefon ne pokreće pregovore, ali može da podnese zahteve za pregovore sa servera kako bi se uspostavili bezbedni pozivi.

Podrazumevano: Ne

MediaSec samo preko TLS-a

Određuje signalni transportni protokol preko kojeg se primenjuju pregovori o bezbednosti medijske ravni.

Pre nego što podesite ovo polje na Da, uverite se da je protokol transporta signalizacije TLS.

Obavite jedno od sledećeg:

  • U datoteci za konfiguraciju telefona sa XML(cfg.xml), unesite niz u ovom formatu:

    <MediaSec_Over_TLS_Only_1_ ua="na">Ne</MediaSec_Over_TLS_Only_1_>

  • U veb interfejsu telefona, podesite ovo polje na Da ili Ne po potrebi.

Dozvoljene vrednosti: Da|Ne

  • Da - telefon pokreće ili upravlja pregovorima o bezbednosti medijskog aviona samo kada je protokol za prenos signalizacije TLS.
  • Ne – telefon inicira i upravlja pregovorima o bezbednosti medijskog aviona bez obzira na protokol signalizacije transporta.

Podrazumevano: Ne

4

Kliknite na Pošalji sve promene.

Podesite Wi-Fi profil

Možete podesiti Wi-Fi profil sa veb stranice telefona ili sa udaljenog profila uređaja resinhronizacije, a zatim povezati profil sa dostupnim Wi-Fi mrežama. Ovaj Wi-Fi profil možete koristiti za povezivanje sa Wi-Fi-om. Trenutno se može konfigurisati samo jedan Wi-Fi profil.

Profil sadrži parametre potrebne za telefone za povezivanje sa telefonskim serverom pomoću Wi-Fi-ja. Kada kreirate i koristite Wi-Fi profil, vi ili vaši korisnici ne morate da konfigurišete bežičnu mrežu za pojedinačne telefone.

Wi-Fi profil vam omogućava da sprečite ili ograničite promene u Wi-Fi konfiguraciji na telefonu od strane korisnika.

Preporučujemo da koristite siguran profil sa protokolima za šifrovanje za zaštitu ključeva i lozinki kada koristite Wi-Fi profil.

Kada podesite telefone da koriste EAP-FAST metod autentifikacije u bezbednosnom režimu, vašim korisnicima su potrebni pojedinačni akreditivi za povezivanje sa pristupnom tačkom.

1

Pristupite veb stranici telefona.

2

Izaberite Glas > Sistem.

3

U odeljku Wi-Fi Profil (n), podesite parametre kao što je opisano u sledećoj tabeli Parametri za Wi-Fi profil.

Konfiguracija Wi-Fi profila je takođe dostupna za prijavu korisnika.
4

Kliknite na Pošalji sve promene.

Parametri za Wi-Fi profil

Sledeća tabela definiše funkciju i upotrebu svakog parametra u Wi-Fi profilu( n) sekciji pod karticom Sistem na veb stranici telefona. Takođe definiše sintaksu stringa koji se dodaje u konfiguracioni fajl telefona (cfg.xml) za konfigurisanje parametra.

ParametarOpis
Ime mrežeOmogućava vam da unesete ime za SSID koji će se prikazati na telefonu. Višestruki profili mogu imati isto ime mreže sa različitim bezbednosnim režimom.

Obavite jedno od sledećeg:

  • U datoteci za konfiguraciju telefona sa XML(cfg.xml), unesite niz u ovom formatu:

    <Network_Name_1_ ua="rw">cisco</Network_Name_1_>

  • Na veb stranici telefona unesite ime za SSID.

Podrazumevano: Prazno

Režim bezbednostiOmogućava vam da izaberete metod autentifikacije koji se koristi za obezbeđivanje pristupa Wi-Fi mreži. U zavisnosti od načina koji izaberete, pojavljuje se polje za lozinku kako biste mogli da navedete akreditive koji su potrebni da biste se pridružili ovoj Wi-Fi mreži.

Obavite jedno od sledećeg:

  • U datoteci za konfiguraciju telefona sa XML(cfg.xml), unesite niz u ovom formatu:

    <Security_Mode_1_ ua="rw">EAP-TLS</Security_Mode_1_> <!-- dostupne opcije: Auto|EAP-FAST|||PSK||Nijedan|EAP-PEAP|EAP-TLS -->

  • Na veb stranici telefona izaberite jednu od metoda:
    • Automatski
    • EAP-FAST
    • PSK
    • Nijedno
    • EAP-PEAP
    • EAP-TLS

Podrazumevano: Automatski

Wi-Fi korisnički IDOmogućava vam da unesete korisnički ID za mrežni profil.

Ovo polje je dostupno kada podesite bezbednosni režim na Auto, EAP-FAST, ili EAP-PEAP. Ovo je obavezno polje i omogućava maksimalnu dužinu od 32 alfanumeričkih znakova.

Obavite jedno od sledećeg:

  • U datoteci za konfiguraciju telefona sa XML(cfg.xml), unesite niz u ovom formatu:

    <Wi-Fi_User_ID_1_ua="rw"></Wi-Fi_User_ID_1_>

  • Na veb stranici telefona unesite korisnički ID za mrežni profil.

Podrazumevano: Prazno

Wi-Fi lozinkaOmogućava vam da unesete lozinku za navedenu Wi-Fi User ID.

Obavite jedno od sledećeg:

  • U datoteci za konfiguraciju telefona sa XML(cfg.xml), unesite niz u ovom formatu:

    <Wi-Fi_Password_1_ ua="rw"></Wi-Fi_Password_1_>

  • Na veb stranici telefona unesite lozinku za korisnički ID koji ste dodali.

Podrazumevano: Prazno

Frekvencijski opsegOmogućava vam da izaberete frekvencijski opseg bežičnog signala koji je WLAN koristi.

Obavite jedno od sledećeg:

  • U datoteci za konfiguraciju telefona sa XML(cfg.xml), unesite niz u ovom formatu:

    <Frequency_Band_1_ ua="rw">Auto</Frequency_Band_1_>

  • Na veb stranici telefona izaberite jednu od opcija:
    • Automatski
    • 2.4 GHz
    • 5 GHz

Podrazumevano: Automatski

Sertifikat IzaberiteOmogućava vam da izaberete tip sertifikata za početni upis sertifikata i obnovu sertifikata u bežičnoj mreži. Ovaj proces je dostupan samo za 802.1Ks autentifikaciju.

Obavite jedno od sledećeg:

  • U datoteci za konfiguraciju telefona sa XML(cfg.xml), unesite niz u ovom formatu:

    <Certificate_Select_1_ ua="rw">Proizvodnja instalirana</Certificate_Select_1_>

  • Na veb stranici telefona izaberite jednu od opcija:
    • Proizvodnja instalirana
    • Prilagođeni instaliran

Podrazumevano: Proizvodnja instalirana