Prilagođeni sertifikat uređaja na 9800/8875

Instalacija sertifikata prilagođenog uređaja

Da biste instalirali sertifikat prilagođenog uređaja (CDC) na svoj telefon, koristite jedan od sledećih načina na osnovu vaše situacije:

Najnoviji instalirani sertifikat na telefonu stupa na snagu.

Ručna instalacija – sertifikat možete instalirati tako što ćete ga učitati sa veb stranice administracije telefona. Za detalje pogledajte Ručna instalacija sertifikata prilagođenog uređaja otpremanjem.
Automatska instalacija – možete konfigurisati parametre Simple Certificate Enrollment Protocol (SCEP) da biste pokrenuli automatsku instalaciju sertifikata. Telefon šalje SCEP zahteve na SCEP server da instalira sertifikat.
SCEP parametri se mogu konfigurisati preko veb stranice administracije telefona, datoteke za konfiguraciju telefona (cfg.XML) ili Control Hub-a. Za detalje pogledajte Automatska instalacija sertifikata prilagođenog uređaja od strane SCEP-a i parametara za podešavanja telefona na Control Hub-u.
DHCP opcija 43—U određenom okruženju, možete instalirati sertifikat koristeći DHCP opciju 43. Opcija 43 može da obezbedi SCEP parametre za instalaciju sertifikata. Za detalje, pogledajte konfiguraciju SCEP parametara preko DHCP opcije 43.
- Kada koristite opciju DHCP 43 za obezbeđivanje SCEP parametara, telefon takođe može da preuzme ime domena koje se prenosi iz opcije DHCP 15. Na osnovu preuzetog imena domena, telefon može konstruisati SCEP CSR Common Name i 802.1X User ID. Za detalje, pogledajte Obezbeđivanje zajedničkog imena ili korisničkog ID-a preko DHCP opcije 15.
  
  Za više informacija o tome kako konfigurisati DHCP opcije, pogledajte Konfigurišite DHCP opcije.

Ručna instalacija sertifikata prilagođenog uređaja otpremanjem

Možete ručno instalirati sertifikat prilagođenog uređaja (CDC) na telefonu tako što ćete učitati sertifikat sa veb stranice za administraciju telefona.

Pre nego što počnete

Pre nego što instalirate prilagođeni sertifikat uređaja za telefon, morate imati:

Datoteka sertifikata (.pKSNUMKS ili .pfk) sačuvana na vašem računaru. Datoteka sadrži sertifikat i privatni ključ.
Ekstrakt lozinka sertifikata. Lozinka se koristi za dešifrovanje datoteke sertifikata.

1	Pristupite administracionoj veb stranici telefona.
2	Izaberite Sertifikat.
3	U Dodaj sertifikat kliknite na dugme Pregledaj ....
4	Dođite do sertifikata na računaru.
5	U polju Ekstrakcija lozinke unesite lozinku za ekstrakciju sertifikata.
6	Kliknite da biste otpremili. Ako su datoteka sertifikata i lozinka tačni, dobićete poruku "`Sertifikat dodan.`". U suprotnom, otpremanje ne uspeva sa porukom o grešci koja ukazuje da sertifikat ne može da se otpremi.
7	Da biste proverili detalje instaliranog sertifikata, kliknite na dugme Pogledaj u Postojeći sertifikati sekcija.
8	Da biste uklonili instalirani sertifikat sa telefona, kliknite na dugme Izbriši u odeljku Postojeći sertifikati . Kada kliknete na dugme, operacija uklanjanja počinje odmah bez potvrde. Ako je sertifikat uspešno uklonjen, dobićete poruku "`Sertifikat izbrisan".`

Automatska instalacija sertifikata prilagođenog uređaja od strane SCEP-a

Možete konfigurisati parametre vezane za Simple Certificate Enrollment Protocol (SCEP) za interakciju sa SCEP serverom da biste automatski instalirali Custom Device Certificate (CDC).

Kada se konfiguriše bilo koji od SCEP parametara, telefon će poslati zahtev za upis SCEP-a na server. Telefon će potvrditi primljeni CA sertifikat pomoću konfigurisanog otiska prsta.

Pre nego što počnete

Pre nego što izvršite automatsku instalaciju sertifikata prilagođenog uređaja (CDC) za telefon, morate imati:

Adresa SCEP servera
SHA-1 ili SHA-256 otisak prsta korenskog CA sertifikata za SCEP server

1	Pristupite administracionoj veb stranici telefona.
2	Izaberite Sertifikat.
3	U odeljku SCEP konfiguracija 1 , podesite parametre kao što je opisano u Parametri za SCEP konfiguraciju .
4	Kliknite na Pošalji sve promene.

Parametri za SCEP konfiguraciju

Sledeća tabela definiše funkciju i upotrebu parametara konfiguracije SCEP u odeljku SCEP Configuration 1 pod Certificate Tab u veb interfejsu telefona. Takođe definiše sintaksu stringa koji je dodat u konfiguracioni fajl telefona (cfg.XML) za konfigurisanje parametra.

Svaka promena parametara će dovesti do toga da telefon zatraži novi sertifikat.

Tabela 1. Parametri za SCEP konfiguraciju
Parametar	Opis
Server	SCEP adresa servera. Ovaj parametar je obavezan. Obavite jedno od sledećeg: U datoteci za konfiguraciju telefona sa XML(cfg.xml), unesite niz u ovom formatu: `<CDC_Server_1_ ua="na">http://10.79.57.91</CDC_Server_1_>` Na veb stranici telefona unesite adresu SCEP servera. Važeće vrednosti: URL ili IP adresa. HTTPS šema nije podržana. Podrazumevano: Prazno
Koren CA otisaka prstiju	SHA256 ili SHA1 otisak prsta korena CA za validaciju tokom SCEP procesa. Ovaj parametar je obavezan. Obavite jedno od sledećeg: U datoteci za konfiguraciju telefona sa XML(cfg.xml), unesite niz u ovom formatu: `<CDC_Root_CA_Fingerprint_1_ ua="na">12040870625C5B755D73F5925285F8F5FF5D55AF</CDC_Root_CA_Fingerprint_1_>` Na veb stranici telefona unesite važeći otisak prsta. Podrazumevano: Prazno
Izazov lozinka	Lozinka izazova za Certificate Authority (CA) autorizaciju protiv telefona tokom upisa sertifikata preko SCEP-a. Ovaj parametar nije obavezan. Prema stvarnom SCEP okruženju, ponašanje izazov lozinkom varira. Ako telefon dobije sertifikat od Cisco RA koji komunicira sa CA, lozinka izazova nije podržana na CA. U ovom slučaju, Cisco RA koristi telefon MIC/SUDI za autentifikaciju za pristup CA. Telefon koristi MIC / SUDI i za početni upis i za obnovu sertifikata. Ako telefon dobije sertifikat direktnom komunikacijom sa CA, lozinka izazova je podržana na CA. Ako je konfigurisan, koristiće se samo za početni upis. Za obnovu sertifikata, umesto toga će se koristiti instalirani sertifikat. Obavite jedno od sledećeg: U datoteci za konfiguraciju telefona sa XML(cfg.xml), unesite niz u ovom formatu: `<CDC_Challenge_Password_1_ ua="na"></CDC_Challenge_Password_1_>` Lozinka je maskirana u konfiguracionoj datoteci. Na veb stranici telefona unesite lozinku izazova. Podrazumevano: Prazno
Zajedničko ime	Određuje zajedničko ime (CN) koje se koristi kao identifikator telefona koji zahteva sertifikat. CN se koristi za zahtev za potpisivanje sertifikata (CSR) u SCEP procesu. Ovaj parametar takođe podržava makro promenljive proširenja, pogledajte Makro promenljive proširenja za detalje . Obavite jedno od sledećeg: U datoteci za konfiguraciju telefona sa XML(cfg.xml), unesite niz u ovom formatu: `<CDC_Common_Name_1_ ua="na"></CDC_Common_Name_1_>` Na veb stranici telefona unesite zajedničko ime. Važeće vrednosti: Maksimalno 64 karaktera Podrazumevano: Prazno

Obnova sertifikata od strane SCEP-a

Sertifikat uređaja može se automatski osvežiti SCEP procesom.

Telefon proverava da li će sertifikat isteći za 15 dana svaka 4 sata. Ako je tako, telefon automatski pokreće proces obnove sertifikata.
Ako je lozinka izazova prazna, telefon koristi MIC/SUDI i za početni upis i za obnovu sertifikata. Ako je lozinka izazova konfigurisana, ona se koristi samo za početni upis, postojeći / instalirani sertifikat se koristi za obnovu sertifikata.
Telefon ne uklanja stari sertifikat uređaja dok ne preuzme novi.
Ako obnova sertifikata ne uspe jer istekne sertifikat uređaja ili CA, telefon automatski pokreće početni upis. U međuvremenu, ako provera identiteta lozinke izazova ne uspe, na ekranu telefona pojavljuje se ekran za unos lozinke, a od korisnika se traži da unesu lozinku izazova na telefonu.

CDC Zajedničko ime konfiguracija

Po defaultu, zajedničko ime u MIC / SUDI se koristi kao zajedničko ime za CDC.

Možete konfigurisati zajedničko ime za CDC kada instalirate sertifikat. Koristite jedan od sledećih načina da instalirate CDC na telefonu:

Generišite zahtev za potpisivanje sertifikata (CSR) koji sadrži željeno zajedničko ime, a zatim otpremite i instalirajte novi sertifikat na veb stranici za administraciju telefona.
Konfigurišite zajedničko ime preko veb stranice administracije telefona, datoteke za konfiguraciju telefona (cfg.XML) ili Control Hub-a. Ovo će pokrenuti telefon da automatski zatraži novi sertifikat.

Za više informacija o parametrima na veb stranici telefona i Control Hub-u, pogledajte Automatska instalacija Custom Device Certificate od strane SCEP-a i parametara za podešavanja telefona na Control Hub-u.
Koristite DHCP opciju 43 i 15 da obezbedite zajedničko ime za CDC i žičani 802.1Ks identitet.
Za više informacija, pogledajte Obezbeđivanje zajedničkog imena ili korisničkog ID-a preko DHCP opcije 15.

SCEP konfiguracija parametara preko DHCP opcija 43

U određenom okruženju u kojem ne možete instalirati Custom Device Certificate (CDC) putem učitavanja ili direktnog konfigurisanja SCEP parametara. U ovoj situaciji, možete koristiti DHCP opciju 43 da popunite parametre sa DHCP servera. Opcija DHCP 43 može se konfigurisati da obezbedi SCEP parametre na telefonu. Kada se telefon vrati na fabrike, može da primi parametre sa DHCP servera za instalaciju CDC-a preko SCEP protokola.

Ova funkcija (konfiguracija SCEP parametara preko DHCP opcija 43) je dostupna samo za telefon koji je fabrička podešavanja.
Telefoni neće biti smešteni u mrežu koja je podržala opciju 43 i daljinsko obezbeđivanje (na primer, Opcije 66,160,159,150 ili obezbeđivanje oblaka). U suprotnom, telefoni možda neće dobiti opciju KSNUMKS konfiguracije.

Da biste instalirali CDC sertifikat pomoću SCEP parametara koji su obezbeđeni iz opcije DHCP 43, uradite sledeće:

Pripremite SCEP okruženje.
Za informacije o podešavanju SCEP okruženja, pogledajte dokumentaciju SCEP servera.

Podesite DHCP opciju 43 (definisano u 8.4 Informacije specifične za prodavca, RFC 2132).

Podopcije (10–15) su rezervisane za metodu:

Parametar na veb stranici telefona	Podopcija	Tip	Dužina (bajt)	Obavezno
FIPS režim	10	Bulovu	1	Ne*
Server	11	niz	208 - dužina (izazov lozinka)	Da
Koren CA otisaka prstiju	12	Heksadecimalni	20, 32, 48 ili 64	Da
Izazov lozinka	13	niz	208 - dužina (server)	Ne*
Omogućite 802.1Ks autentifikaciju	14	Bulovu	1	Ne
Sertifikat Izaberite	15	Nepotpisani 8-bitni	1	Ne

* znači da je parametar konfigurisan u skladu sa stvarnom situacijom.

Kada koristite opciju DHCP 43, obratite pažnju na sledeće karakteristike metode:

Podopcije (10–15) su rezervisane za Custom Device Certificate (CDC).
Maksimalna dužina DHCP opcije 43 je 255 bajtova.
Maksimalna dužina servera + izazov lozinke će biti manja od KSNUMKS bajtova.
Vrednost FIPS režima mora biti u skladu sa konfiguracijom onboarding rezervisanja. U suprotnom, telefon ne uspeva da preuzme prethodno instalirani sertifikat nakon uključivanja. Posebno
- Ako će telefon biti registrovan u okruženju u kojem je FIPS režim onemogućen, ne morate da konfigurišete FIPS režim u DHCP opciji 43. Po defaultu, FIPS režim je onemogućen.
- Ako će telefon biti registrovan u okruženju u kojem je omogućen FIPS režim, morate omogućiti FIPS režim u DHCP opciji 43. Pogledajte Omogući FIPS režim za detalje.
Lozinka izazova u opciji 43 je u čistom tekstu.
- Ako želite da telefon koristi MIC / SUDI za početni upis i obnovu sertifikata, ostavite lozinku izazova praznu.
- Ako se lozinka izazova koristi samo za početni upis, podesite lozinku izazova. U ovom slučaju, instalirani sertifikat će se koristiti za obnovu sertifikata.
Enable 802.1Ks Authentication i Certificate Select se koriste samo za telefone u žičanim mrežama.
DHCP opcija 60 (identifikator klase dobavljača) se koristi za identifikaciju modela uređaja.

Primer DHCP opcije 43 (podopcije 10–15):

Subopcija decimal/hex	Dužina vrednosti (bajt) decimalno / heksadecimalno	Vrednost	Heksadecimalna vrednost
10/0a	1/01	1 (0: Isključen; 1: Omogućeno)	01
11/0b	18/12	http://10.79.57.91	687474703a2f2f31302e37392e35372e3931
12/0C	20/14	12040870625C5B755D73F5925285F8F5FF5D55AF	12040870625C5B755D73F5925285F8F5FF5D55AF
13/0D	16/10	D233CCF9B9952A15	44323333434346394239393532413135
14/0e	1/01	1 (0: Ne; 1: Da)	01
15/0f	1/01	1 (0: Proizvodnja instalirana; 1: Custom instaliran)	01

Rezime vrednosti parametara:

FIPS režim = Omogućeno
Server = http://10.79.57.91
Koren CA otisak prsta = 12040870625C5B755D73F5925285F8F5FF5D55AF
Izazov Lozinka = D233CCF9B9952A15
Omogućite 802.1Ks Autentifikaciju = Da
Sertifikat Izaberite = Prilagođeno instalirano

Sintaksa konačne heksadecimalne vrednosti je: {<podopcija><dužina><vrednost>}...

Prema gore navedenim vrednostima parametara, konačna heksadecimalna vrednost je sledeća:

0a01010b12687474703a2f2f31302e37392e35372e39310c1412040870625C5B755D73F5925285F8F5FF5D55AF0d10443233334343463942393935324131350e01010f0101

Konfigurišite DHCP opciju 43 na DHCP serveru.

Ovaj korak daje primer DHCP opcije 43 konfiguracije na Cisco mrežnom registru.
1. Dodajte DHCP skup definicija opcija.
  String opcija dobavljača je naziv modela IP telefona. Važeća vrednost je: DP-9841, DP-9851, DP-9861, DP-9871 ili CP-8875.
2. Dodajte DHCP opciju 43 i podopcije u skup definicija opcija DHCP.
  Primer:
3. Dodajte opcije 43 u politiku DHCP i podesite vrednost na sledeći način:
  Primer:
  (10 1)(11 http://10.79.57.91)(12 12040870625C5B755D73F5925285F8F5FF5D55AF)(13 D233CCF9B9952A15)(14 1)(15 1)
4. Proverite podešavanja. Možete koristiti Vireshark da biste uhvatili trag mrežnog saobraćaja između telefona i usluge.
Izvršite fabrička podešavanja telefona.
Nakon što se telefon resetuje, parametri Server,Koren CA otisak prsta, i izazov Lozinka će biti popunjena automatski. Ovi parametri se nalaze u odeljku SCEP Konfiguracija 1 od Sertifikat > Custom na veb stranici administracije telefona.
Da biste proverili detalje instaliranog sertifikata, kliknite na dugme Pogledaj u Postojeći sertifikati sekcija.
Da biste proverili status instalacije sertifikata, izaberite Status sertifikata > prilagođenog sertifikata. Status preuzimanja 1 prikazuje najnovije rezultate. Ako se bilo koji problem pojavi tokom upisa sertifikata, status preuzimanja može pokazati razlog problema za potrebe rešavanja problema.

Ako provera identiteta lozinkom izazova ne uspe, od korisnika će biti zatraženo da unesete lozinku na ekranu telefona.
(Opciono): Da biste uklonili instalirani sertifikat sa telefona, kliknite na dugme Izbriši u Postojeći sertifikati sekcija.

Kada kliknete na dugme, operacija uklanjanja počinje odmah bez potvrde.

Obezbeđivanje zajedničkog imena ili korisničkog ID-a preko DHCP opcije 15

Tokom upisa SCEP sertifikata preko opcije DHCP 43, telefon takođe može dobiti ime domena koje je navedeno u opciji 15 DHCP (ako je konfigurisano). Nakon što telefon primi ime domena, može konstruisati zajedničko ime ili korisnički ID sa imenom domena, koji je predstavljen na sledeći način:

Common Name= <Common Name in MIC/SUDI >.<Ime domena u opciji 15>
Zajedničko ime će se koristiti za CSR u SCEP procesu, a kasnije će to biti zajedničko ime u CDC-u.
ID korisnika = <Uobičajeno ime u MIC / SUDI > @ <Ime domena u opciji 15>
Korisnički ID će se koristiti kao identitet za žičanu 802.1Ks autentifikaciju.

Na primer, MAC adresa telefona je 00:1A:2B:3C:4D:5E, model telefona je 9871:

Ime domena u DHCP opcija 15	Zajedničko ime	Korisnički ID
example.nl	CP-9871-SEP001A2B3C4D5E.example.nl	CP-9871-SEP001A2B3C4D5E@example.nl
Prazan	CP-9871-SEP001A2B3C4D5E	CP-9871-SEP001A2B3C4D5E

Ako ime domena nije konfigurisano u opciji 15, zajedničko ime i korisnički ID će biti isti sa zajedničkim imenom u MIC / SUDI.

Hvala na povratnim informacijama.

Prilagođeni sertifikat uređaja na 9800/8875< / h1>

Instalacija sertifikata prilagođenog uređaja

Ručna instalacija sertifikata prilagođenog uređaja otpremanjem

Automatska instalacija sertifikata prilagođenog uređaja od strane SCEP-a

Parametri za SCEP konfiguraciju

Obnova sertifikata od strane SCEP-a

CDC Zajedničko ime konfiguracija

SCEP konfiguracija parametara preko DHCP opcija 43

Obezbeđivanje zajedničkog imena ili korisničkog ID-a preko DHCP opcije 15

Mala preduzeća

Velika preduzeća

Uređaji

Rešenja za

Resursi

Kompanija