Cisco IP telefonsäkerhet

Installera anpassat enhetscertifikat manuellt

Du kan installera ett CDC (Custom Device Certificate) manuellt på telefonen genom att överföra certifikatet från webbsidan för telefonadministration.

Innan du börjar

Innan du kan installera ett anpassat enhetscertifikat för en telefon måste du ha:

En certifikatfil (.p12 eller .pfx) som sparats på datorn. Filen innehåller certifikatet och den privata nyckeln.
Extrahera lösenord för certifikatet. Lösenordet används för att dekryptera certifikatfilen.

1	Öppna webbsidan för telefonadministration.
2	Välj Certifikat.
3	I avsnittet Lägg till certifikat klickar du på Bläddra....
4	Bläddra till certifikatet på datorn.
5	Ange certifikatets extraheringslösenord i fältet Extraheringslösenord.
6	Klicka på Överför. Om certifikatfilen och lösenordet är korrekta får du meddelandet "`Certifikatet har lagts till.`". Annars misslyckas uppladdningen med ett felmeddelande som anger att certifikatet inte kan laddas upp.
7	Om du vill kontrollera detaljerna för det installerade certifikatet klickar du på Visa i avsnittet Befintliga certifikat .
8	Om du vill ta bort det installerade certifikatet från telefonen klickar du på Ta bort i avsnittet Befintliga certifikat . När du klickar på knappen startar borttagningen omedelbart utan bekräftelse. Om certifikatet tas bort visas meddelandet "`Certifikatet har tagits bort".`

Installera automatiskt anpassat enhetscertifikat av SCEP

Du kan konfigurera SCEP-parametrarna (Simple Certificate Enrollment Protocol) för att automatiskt installera CDC (Custom Device Certificate), om du inte vill ladda upp certifikatfilen manuellt eller om du inte har certifikatfilen på plats.

När SCEP-parametrarna är korrekt konfigurerade skickar telefonen förfrågningar till SCEP-servern och CA-certifikatet valideras av enheten med det definierade fingeravtrycket.

Innan du börjar

Innan du kan utföra en automatisk installation av ett anpassat enhetscertifikat för en telefon måste du ha:

SCEP-serveradress
SHA-1 eller SHA-256 fingeravtryck för rot-CA-certifikatet i SCEP-servern

1	Öppna webbsidan för telefonadministration.
2	Välj Certifikat.
3	I avsnittet SCEP-konfiguration 1 anger du parametrarna enligt beskrivningen i följande tabell Parametrar för SCEP-konfiguration.
4	Klicka på Submit All Changes.

Parametrar för SCEP-konfiguration

I följande tabell definieras funktionen och användningen av SCEP-konfigurationsparametrarna i avsnittet SCEP-konfiguration 1 på fliken Certifikat i telefonens webbgränssnitt. Den definierar också syntaxen för strängen som läggs till i telefonens konfigurationsfil (cfg.xml) för att konfigurera en parameter.

Tabell 1. Parametrar för SCEP-konfiguration
Parameter	Beskrivning
Server	SCEP-serveradress. Den här parametern är obligatorisk. Utför ett av följande: Ange en sträng i det här formatet i telefonens konfigurationsfil med XML (cfg.xml): `<CDC_Server_1_ ua = "na"> http://10.79.57.91</CDC_Server_1_>` Ange SCEP-serveradressen på telefonens webbsida. Giltiga värden: En URL eller IP adress. HTTPS-schemat stöds inte. Standard: tomt
Root CA-fingeravtryck	Rotcertifikatutfärdarens SHA256- eller SHA1-fingeravtryck för validering under SCEP-processen. Den här parametern är obligatorisk. Utför ett av följande: Ange en sträng i det här formatet i telefonens konfigurationsfil med XML (cfg.xml): `<CDC_Root_CA_Fingerprint_1_ ua="na">12040870625C5B755D73F5925285F8F5FF5D55AF</CDC_Root_CA_Fingerprint_1_>` Ange ett giltigt fingeravtryck på telefonens webbsida. Standard: tomt
Utmaningslösenord	Utmaningslösenordet för Certificate Authority (CA)-auktorisering mot telefonen under en certifikatregistrering via SCEP. Den här parametern är valfri. Beroende på den faktiska SCEP-miljön varierar beteendet hos utmaningslösenordet. Om telefonen får ett certifikat från en Cisco RA som kommunicerar med certifikatutfärdaren stöds inte utmaningslösenordet för certifikatutfärdaren. I det här fallet använder Cisco RA telefonens MIC/SUDI för autentisering för åtkomst till certifikatutfärdaren. Telefonen använder MIC/SUDI för både inledande registrering och certifikatförnyelse. Om telefonen får ett certifikat genom att kommunicera direkt med certifikatutfärdaren stöds utmaningslösenordet för certifikatutfärdaren. Om den har konfigurerats används den endast för den första registreringen. För certifikatförnyelsen används det installerade certifikatet istället. Utför ett av följande: Ange en sträng i det här formatet i telefonens konfigurationsfil med XML (cfg.xml): `<CDC_Challenge_Password_1_ ua="na"></CDC_Challenge_Password_1_>` Lösenordet maskeras i konfigurationsfilen. Ange utmaningslösenordet på telefonens webbsida. Standard: tomt

SCEP-parameterkonfiguration via DHCP alternativ 43

Förutom SCEP-certifikatregistreringen genom de manuella konfigurationerna på telefonens webbsida kan du också använda alternativet DHCP 43 för att fylla i parametrarna från en DHCP server. Det DHCP alternativet 43 är förkonfigurerat med SCEP-parametrarna, senare kan telefonen hämta parametrarna från den DHCP servern för att utföra SCEP-certifikatregistreringen.

SCEP-parameterkonfigurationen via DHCP alternativ 43 är endast tillgänglig för telefoner där en fabriksåterställning utförs.
Telefoner får inte placeras i ett nätverk som stöder både Alternativ 43 och fjärretablering (t.ex. Alternativ 66,160,159,150 eller molnetablering). Annars kanske telefoner inte får alternativ 43-konfigurationer.

Registrera ett SCEP-certifikat genom att konfigurera SCEP-parametrarna i DHCP alternativ 43 genom att göra följande:

Förbered en SCEP-miljö.
Mer information om hur SCEP-miljön konfigureras finns i dokumentationen till SCEP-servern.

Ställ in DHCP alternativ 43 (definieras i 8.4 Leverantörsspecifik information, RFC 2132).

Delalternativen (10–15) är reserverade för metoden:

Parameter på telefonens webbsida	Underalternativ	Typ	Längd (byte)	Mandatory
FIPS-läge	10	boolesk	1	Nej*
Server	11	sträng	208 - längd (utmaningslösenord)	Ja
Root CA-fingeravtryck	12	binär	20 eller 32	Ja
Utmaningslösenord	13	sträng	208 - längd (Server)	Nej*
Aktivera 802.1X-autentisering	14	boolesk	1	Nej
Välj certifikat	15	Osignerad 8-bitars	1	Nej

När du använder alternativet DHCP 43 bör du lägga märke till följande egenskaper hos metoden:

Underalternativen (10–15) är reserverade för CDC (Custom Device Certificate).
Maxlängden för DHCP alternativ 43 är 255 byte.
Den maximala längden på Server + utmaningslösenord får vara mindre än 208 byte.
Värdet i FIPS-läge ska överensstämma med konfigurationen för etablering ombord. Annars kan telefonen inte hämta det tidigare installerade certifikatet efter registreringen. Specifikt
- Om telefonen ska registreras i en miljö där FIPS-läget är inaktiverat behöver du inte konfigurera parametern FIPS-läge i DHCP alternativ 43. Som standard är FIPS-läget inaktiverat.
- Om telefonen ska registreras i en miljö där FIPS-läget är aktiverat måste du aktivera FIPS-läget i DHCP alternativ 43. Mer information finns i Aktivera FIPS-läge .
Lösenordet i alternativ 43 är i klartext.
Om utmaningslösenordet är tomt använder telefonen MIC/SUDI för den första registreringen och certifikatförnyelsen. Om utmaningslösenordet har konfigurerats används det bara för den första registreringen och det installerade certifikatet används för certifikatförnyelsen.
Aktivera 802.1X-autentisering och Certificate Select används endast för telefoner i kabelanslutna nätverk.
DHCP alternativ 60 (Leverantörsklassidentifierare) används för att identifiera enhetsmodellen.

I följande tabell visas ett exempel på DHCP alternativ 43 (delalternativ 10–15):

Underalternativ decimal/hex	Värdelängd (byte) decimal/hex	Värde	Hexvärde
10/0a	1/01	1 (0: Inaktiverad; 1: Aktiverad)	01
11/0b	18/12	http://10.79.57.91	687474703a2f2f31302e37392e35372e3931
12/0C	20/14	12040870625C5B755D73F5925285F8F5FF5D55AF	12040870625C5B755D73F5925285F8F5FF5D55AF
13/0d	16/10	D233CCF9B9952A15	44323333434346394239393532413135
14/0e	1/01	1 (0: Nej; 1: Ja)	01
15/0f	1/01	1 (0: Tillverkning installerad; 1: Anpassad installerad)	01

Sammanfattning av parametervärdena:

FIPS-läge = Aktiverat
Server = http://10.79.57.91
Rotcertifikatutfärdarens fingeravtryck = 12040870625C5B755D73F5925285F8F5FF5D55AF
Utmaningslösenord = D233CCF9B9952A15
Aktivera 802.1X-autentisering = Ja
Certifikatval = Anpassad installerad

Syntaxen för det slutliga hexvärdet är: {<suboption><length><value>}...

Enligt parametervärdena ovan är det slutliga hexvärdet följande:

0a01010b12687474703a2f2f31302e37392e35372e39310c1412040870625C5B755D73F5925285F8F5FF5D55AF0d10443233334343463942393935324131350e01010f0101

Konfigurera DHCP alternativ 43 på en DHCP server.

Det här steget är ett exempel på konfigurationer med DHCP alternativ 43 i Cisco Network Register.
1. Lägg till DHCP alternativdefinitionsuppsättning.
  Leverantörsalternativsträngen är modellnamnet på de IP telefonerna. Det giltiga värdet är: DP-9841, DP-9851, DP-9861, DP-9871 eller CP-8875.
2. Lägg till DHCP alternativ 43 och underalternativ i DHCP alternativdefinitionsuppsättning.
  Exempel:
3. Lägg till alternativ 43 i principen DHCP och ställ in värdet enligt följande:
  Exempel:
  (10 1)(11 http://10.79.57.91)(12 12040870625C5B755D73F5925285F8F5FF5D55AF)(13 D233CCF9B9952A15)(14 1)(15 1)
4. Kontrollera inställningarna. Du kan använda Wireshark för att fånga en spårning av nätverkstrafiken mellan telefonen och tjänsten.
Utför en fabriksåterställning för telefonen.
När telefonen har återställts fylls parametrarna Server , Root CA Fingerprint och Challenge Password i automatiskt. Dessa parametrar finns i avsnittet SCEP Configuration 1 från Certificate > Custom på webbsidan för telefonadministration.
Om du vill kontrollera detaljerna för det installerade certifikatet klickar du på Visa i avsnittet Befintliga certifikat .
Om du vill kontrollera certifikatets installationsstatus väljer du Certifikat > Anpassad certifikatstatus. Nedladdningsstatus 1 visar det senaste resultatet. Om något problem uppstår under certifikatregistreringen kan nedladdningsstatusen visa orsaken till problemet.
Om autentiseringen av utmaningslösenordet misslyckas uppmanas användarna att ange lösenordet på telefonskärmen.
(Valfritt): Om du vill ta bort det installerade certifikatet från telefonen klickar du på Ta bort i avsnittet Befintliga certifikat .
När du klickar på knappen startar borttagningen omedelbart utan bekräftelse.

Certifikatförnyelse av SCEP

Enhetscertifikatet kan uppdateras automatiskt av SCEP-processen.

Telefonen kontrollerar om certifikatet upphör att gälla om 15 dagar var 4:e timme. I så fall startar telefonen certifikatförnyelseprocessen automatiskt.
Om utmaningslösenordet är tomt använder telefonen MIC/SUDI för både den första registreringen och certifikatförnyelsen. Om utmaningslösenordet är konfigurerat används det endast för den första registreringen, det befintliga/installerade certifikatet används för certifikatförnyelse.
Telefonen tar inte bort det gamla enhetscertifikatet förrän det hämtar det nya.
Om certifikatförnyelsen misslyckas på grund av att enhetscertifikatet eller certifikatutfärdaren har upphört att gälla, utlöser telefonen den första registreringen automatiskt. Under tiden, om autentiseringen av utmaningslösenordet misslyckas, dyker en lösenordsinmatningsskärm upp på telefonskärmen och användarna uppmanas att ange utmaningslösenordet på telefonen.

Aktivera FIPS-läge

Du kan göra en telefon FIPS-kompatibel (Federal Information Processing Standards).

FIPS är en uppsättning standarder som beskriver dokumentbearbetning, krypteringsalgoritmer och andra informationsteknikstandarder för användning inom icke-militära myndigheter och av statliga entreprenörer och leverantörer som arbetar med myndigheterna. CiscoSSL FOM (FIPS-objektmodul) är en noggrant definierad programvarukomponent som är utformad för kompatibilitet med CiscoSSL-biblioteket, så produkter som använder CiscoSSL-biblioteket och API kan konverteras till FIPS 140-2-validerad kryptografi med minimal ansträngning.

1	Öppna webbsidan för telefonadministration.
2	Välj Röst > System.
3	I avsnittet Säkerhetsinställningar väljer du Ja eller Nej i parametern FIPS-läge .
4	Klicka på Submit All Changes. När du aktiverar FIPS fungerar följande funktioner utan problem på telefonen: Bildautentisering Säker lagring Kryptering av konfigurationsfiler TLS: HTTPs Överföra PRT Uppgradera firmware Omsynkronisering av profil Registreringstjänst Webex onboarding SIP över TLS 802.1x (trådbunden) SIP Digest (RFC 8760) SRTP Webex samtalsloggar och Webex katalog En knapp att trycka på (OBTP)

Ange användar- och administratörslösenord

När telefonen har registrerats i ett samtalskontrollsystem första gången eller när du gör en fabriksåterställning på telefonen måste du ange användar- och administratörslösenordet för att öka telefonens säkerhet. Först när lösenordet är inställt kan du skicka ändringarna från telefonens webbsida.

Som standard är varningen om inget lösenord aktiverad på telefonen. Om telefonen inte har något användar- eller administratörslösenord visas följande varningar:

På telefonens webbsida visas meddelandet "Inget administratörslösenord har angetts. Webben är skrivskyddad och du kan inte skicka ändringar. Ändra lösenordet." längst upp till vänster.
I fälten Användarlösenord och Administratörslösenord visas varningen "Inget lösenord har angetts" om det är tomt.
På telefonskärmen Problem och diagnostik visas problemet "Inget lösenord har angetts".

1	Öppna webbsidan för telefonadministration
2	Välj Röst > System.
3	(Valfritt) Ange parametern Visa lösenordsvarningar till Ja i avsnittet Systemkonfiguration och klicka sedan på Skicka alla ändringar. Det går även att aktivera parametrarna i telefonens konfigurationsfil (cfg.xml). `<Display_Password_Warnings ua="na">Ja</Display_Password_Warnings>` Standard: Ja Alternativ: Ja\|Nej När parametern är inställd på Nej visas inte lösenordsvarningen vare sig på webbsidan eller på telefonskärmen. Dessutom aktiveras inte det färdiga läget för sidwebben trots att lösenordet är tomt.
4	Leta reda på parametern User Password (Användarlösenord ) eller Admin Password (Administratörslösenord) och klicka på Change Password (Ändra lösenord ) bredvid parametern.
5	Ange det aktuella lösenordet i fältet Gammalt lösenord. Om du inte har något lösenord ska fältet lämnas tomt. Värdet är tomt som standard.
6	Ange ett nytt lösenord i fältet Nytt lösenord.
7	Klicka på Skicka. Meddelandet `Lösenordet har ändrats.` visas på webbsidan. Webbsidan uppdateras om några sekunder. Varningen bredvid parametern försvinner. När du har ställt in lösenordet visar parametern följande i telefonens konfigurationsfil (cfg.xml): `<!-- <Admin_Password ua="na">***********</Admin_Password> <User_Password ua="rw">***********</User_Password> -->` Om felkoden 403 visas när du försöker komma åt telefonens webbsida måste du ange användar- eller administratörslösenordet genom etablering i telefonens konfigurationsfil (cfg.xml). Ange till exempel en sträng i det här formatet: `<Admin_Password ua="na">P0ssw0rd_tes89</Admin_Password>` `<User_Password ua="rw">Abc123</User_Password>`

802.1X-autentisering

Cisco IP-telefon stöder 802.1X-autentisering.

Cisco IP-telefoner och Cisco Catalyst-växlar använder traditionellt Ciscos CDP-protokoll för att identifiera varandra och fastställa parametrar som VLAN-tilldelning och interna strömbehov. CDP identifierar inte lokalt anslutna arbetsstationer. Cisco IP-telefon har en EAPOL-överföringsmekanism. Denna mekanism medger att en arbetsstation som är ansluten till Cisco IP-telefon kan överföra EAPOL-meddelanden till 802.1X-autentiseraren på LAN. Överföringsmekanismen säkerställer att IP-telefonen inte agerar som LAN-växel för autentisering av en dataändpunkt innan åtkomsten till nätverket.

Cisco IP-telefon har också en EAPOL-utloggningsmekanism via proxy. Om den lokalt anslutna datorn kopplas bort från IP-telefonen kan LAN-växeln inte tolka att den fysiska länken brutits eftersom länken mellan LAN-växeln och IP-telefonen bibehålls. För att undvika att äventyra nätverksintegriteten sänder IP-telefonen ett EAPOL-utloggningsmeddelande till växeln från datorn nedströms, vilket utlöser att LAN-växeln börjar rensa autentiseringsposten för datorn nedströms.

Stödet för 802.1X-autentisering kräver flera komponenter:

Cisco IP-telefon: Telefonen initierar begäran om att få tillgång till nätverket. Cisco IP-telefon innehåller en 802.1X-supplikant. Supplikanten tillåter att nätverksadministratörer kan styra uppkoppling av IP-telefoner till LAN-växelportar. I den aktuella versionen av telefonens 802.1X-supplikant används EAP-FAST och EAP-TLS för nätverksautentisering.
Autentiseringsserver: Autentiseringsservern och växeln måste båda konfigureras med en delad hemlighet som autentiserar telefonen.
Växel: Växeln måste ha stöd för 802.1X så att den fungerar för auktorisering och överför meddelanden mellan telefonen och autentiseringsservern. När utväxlingen är klar beviljar eller nekar växeln åtkomst till nätverket för telefonen.

Du måste utföra följande åtgärder för att konfigurera 802.1X.

Konfigurera de andra komponenterna innan du aktiverar 802.1X-autentisering på telefonen.
Konfigurera PC-porten: 802.1X-standarden använder inte VLAN och föreslår därför att en enda enhet ska autentiseras för en specifik växelport. Men vissa växlar har stöd för multidomänautentisering. Växelkonfigurationen avgör om du kan ansluta en dator till PC-porten på telefonen.
- Aktiverat: Om du använder en växel som stöder multidomänautentisering, kan du aktivera PC-porten och ansluta en dator till den. I det här fallet har Cisco IP-telefon stöd för EAPOL-proxyutloggning för att övervaka autentiseringsutväxlingen mellan växeln och en ansluten dator.
  
  Mer information om stöd för IEEE 802.1X i Cisco Catalyst-växlar finns i Cisco Catalyst-växelkonfigurationshandböcker på:
  
  http://www.cisco.com/en/US/products/hw/switches/ps708/tsd_products_support_series_home.html
- Inaktiverat: Om växeln inte stöder flera 802.1X-kompatibla enheter i samma port, bör du inaktivera PC-porten när 802.1X-autentisering har aktiverats. Om du inte inaktiverar denna port och därefter försöka att fästa en dator till det, förnekar omkopplaren nätverksåtkomst till både telefonen och datorn.
Konfigurera röst-VLAN: Eftersom 802.1X-standarden inte tar hänsyn till VLAN, bör du konfigurera den här inställningen baserat på växelstöd.
- Aktiverat: Om du använder en växel som stöder multidomänautentisering kan du fortsätta att använda röst-VLAN.
- Inaktiverat: Om växeln inte stöder multidomänautentisering inaktiverar du röst-VLAN och överväg sedan att tilldela porten till det inbyggda VLAN-nätet.
(Endast för Cisco Desk Phone 9800-serien)
Cisco Desk Phone 9800-serien har ett annat prefix i PID än det för andra Cisco-telefoner. Om du vill att telefonen ska klara 802.1X-autentisering ställer du in radien · Parametern Användarnamn för att inkludera Cisco Desk Phone 9800-serien.
Till exempel är PID för telefon 9841 DP-9841; du kan ställa in radie· Användarnamn för att börja med DP eller Innehåller DP. Du kan ställa in det i båda följande avsnitt:
- Policy > Villkor > Biblioteksvillkor
- Policy > Principuppsättningar > Auktoriseringsprincip > Auktoriseringsregel 1

Aktivera 802.1X-autentisering

När 802.1X-autentisering är aktiverad använder telefonen 802.1X-autentisering för att begära nätverksåtkomst. När 802.1X-autentisering är inaktiverat använder telefonen Cisco Discovery Protocol (CDP) för att hämta VLAN och nätverksåtkomst. Du kan också visa transaktionsstatus och ändra på telefonens skärmmeny.

När 802.1X-autentisering har aktiverats kan du även välja enhetscertifikatet (MIC/SUDI eller anpassad) för den första registreringen och certifikatförnyelsen. Vanligtvis är MIC för Cisco Video Phone 8875, SUDI är för Cisco Desk Phone 9800-serien. CDC kan endast användas för autentisering i 802.1x.

Utför en av följande åtgärder för att aktivera 802.1x-autentisering:

I telefonens webbgränssnitt väljer du Röst> system och anger parametern Aktivera 802.1X-autentisering till Ja. Klicka sedan på Verkställ alla ändringar.
I konfigurationsfilen (cfg.xml) anger du en sträng i det här formatet:
<Enable_802.1X_Authentication ua="rw">Ja</Enable_802.1X_Authentication>
Giltiga värden: Ja|Nej
Standard: Nej
Tryck på Inställningar på telefonen och navigera till Nätverk och tjänst > Säkerhetsinställningar > 802.1X-autentisering. Växla fältet Enhetsautentisering till På och välj sedan Använd.

Tabell 2. Parametrar för 802.1X-autentisering på telefonskärmen
Parametrar	Alternativ	Standard	Beskrivning
Enhetsautentisering	På Av	Av	Aktivera eller inaktivera 802.1X-autentisering på telefonen.
Transaktionsstatus		Inaktiverad	Visar status för 802.1X-autentisering. Staten kan vara (inte begränsad till): Autentiserar: Anger att autentiseringsprocessen pågår. Autentiserad: Anger att telefonen är autentiserad. Inaktiverad: Anger att 802.1x-autentisering är inaktiverad på telefonen.
Protokoll		Ingen	Visar den EAP metoden som används för 802.1X-autentisering. Protokollet kan vara EAP-FAST eller EAP-TLS.
Typ av användarcertifikat	Tillverkning installerad Anpassad installerad	Tillverkning installerad	Välj certifikatet för 802.1X-autentisering under den första registreringen och certifikatförnyelsen. Tillverkning installerad – MIC (Manufacturing Installed Certificate) och SUDI (Secure Unique Device Identifier) används. Anpassad installerad – CDC (Custom Device Certificate) används. Den här typen av certifikat kan installeras antingen genom manuell uppladdning på telefonens webbsida eller genom installation från en SCEP-server (Simple Certificate Enrollment Protocol). Den här parametern visas bara på telefonen när enhetsautentisering har aktiverats.

Välj ett certifikat (MIC eller anpassat) för 802.1X-autentisering på telefonens webbsida.

För kabelanslutet nätverk väljer du Röst> system, väljer en certifikattyp i listrutan Certifikatval i avsnitt 802.1X-autentisering .
Du kan även konfigurera parametern i konfigurationsfilen (cfg.xml):
<Certificate_Select ua="rw">Anpassad installerad</Certificate_Select>
Giltiga värden: Tillverkning installerad|Anpassad installerad
Standard: Tillverkning installerad
För trådlöst nätverk väljer du Röst> System, väljer en certifikattyp i listrutan Certifikatval i avsnittet Wi-Fi Profil 1.
Du kan även konfigurera parametern i konfigurationsfilen (cfg.xml):
<Wi-Fi_Certificate_Select_1_ ua="rw">Anpassad installerad</Wi-Fi_Certificate_Select_1_>
Giltiga värden: Tillverkning installerad|Anpassad installerad
Standard: Tillverkning installerad

Information om hur du väljer en certifikattyp på telefonskärmen finns i Ansluta telefonen till ett Wi-Fi nätverk.

Aktivera klientinitierat läge för säkerhetsförhandlingar på medieplanet

För att skydda mediesessioner kan du konfigurera telefonen så att den initierar säkerhetsförhandlingar med medieplan med servern. Säkerhetsmekanismen följer de standarder som anges i RFC 3329 och dess tilläggsutkast Security Mechanism Names for Media (Se https://tools.ietf.org/html/draft-dawes-sipcore-mediasec-parameter-08#ref-2). Transport av förhandlingar mellan telefonen och servern kan använda SIP-protokoll över UDP, TCP och TLS. Du kan enbart begränsa användning av säkerhetsförhandling för medieplan om signalprotokollet är TLS.

Öppna webbsidan för telefonadministration.

Välj Röst > Ext (n).

I avsnittet SIP-inställningar anger du fälten MediaSec-begäran och MediaSec över TLS endast enligt definitionen i följande tabell:

Tabell 3. Parametrar för säkerhetsförhandling på medieplanet
Parameter	Beskrivning
MediaSec-förfrågan	Anger om telefonen initierar säkerhetsförhandlingar för medieplan med servern. Utför ett av följande: Ange en sträng i det här formatet i telefonens konfigurationsfil med XML (cfg.xml): `<MediaSec_Request_1_ ua="na">Ja</MediaSec_Request_1_>` Ställ in det här fältet som Ja eller Nej i telefonens webbgränssnitt utifrån dina önskemål. Tillåtna värden: Ja\|Nej Ja – klientinitierat läge. Telefonen initierar säkerhetsförhandlingar för medieplan. Nej – Serverinitierat läge. Servern initierar säkerhetsförhandlingar för medieplan. Telefonen initierar inte förhandlingar, men kan hantera förhandlingsförfrågningar från servern för att upprätta säkra samtal. Standard: Nej
Endast MediaSec över TLS	Anger det signaltransportprotokoll där säkerhetsförhandling för medieplan tillämpas. Innan du ställer in det här fältet på Ja ska du kontrollera att signaltransportprotokollet är TLS. Utför ett av följande: Ange en sträng i det här formatet i telefonens konfigurationsfil med XML (cfg.xml): `<MediaSec_Over_TLS_Only_1_ ua="na">Nej</MediaSec_Over_TLS_Only_1_>` Ställ in det här fältet som Ja eller Nej i telefonens webbgränssnitt utifrån dina önskemål. Tillåtna värden: Ja\|Nej Ja – Telefonen initierar eller hanterar säkerhetsförhandlingar för medieplan enbart om signaltransportprotokollet är TLS. Nej – Telefonen initierar och hanterar säkerhetsförhandlingar för medieplan oberoende av signaltransportprotokoll. Standard: Nej

Klicka på Submit All Changes.

Konfigurera Wi-Fi profil

Du kan konfigurera en Wi-Fi-profil från webbsidan för telefonen eller från profilomsynkronisering för fjärrenhet och sedan koppla profilen till de tillgängliga Wi-Fi-nätverken. Du kan använda denna Wi-Fi-profil för att ansluta till Wi-Fi. För närvarande kan endast en Wi-Fi profil konfigureras.

Profilen innehåller de parametrar som krävs för telefoner för att ansluta till telefonservern med Wi-Fi. När du skapar och använder en Wi-Fi profil behöver du eller dina användare inte konfigurera det trådlösa nätverket för enskilda telefoner.

Med en Wi-Fi-profil kan du förhindra eller begränsa ändringar i Wi-Fi-konfigurationen på användarens telefon.

Vi rekommenderar att du använder en säker profil med krypteringsaktiverade protokoll för att skydda nycklar och lösenord när du använder en Wi-Fi profil.

När du konfigurerar telefonerna för att använda autentiseringsmetoden EAP-FAST i säkerhetsläge behöver användarna individuella inloggningsuppgifter för att ansluta till en åtkomstpunkt.

1	Åtkomst till telefonens webbsida.
2	Välj Röst > System.
3	I avsnittet Wi-Fi Profil (n) anger du parametrarna enligt beskrivningen i följande tabell Parametrar för Wi-Fi profil. Konfigurationen av Wi-Fi profil är också tillgänglig för användarinloggningen.
4	Klicka på Submit All Changes.

Parametrar för Wi-Fi profil

Följande tabell beskriver hur parametrarna i avsnittet Wi-Fi-profil(n) på fliken System fungerar och används. Den definierar också syntaxen för strängen som läggs till i telefonens konfigurationsfil (cfg.xml) för att konfigurera en parameter.

Parameter	Beskrivning
Nätverksnamn	Gör att du kan ange ett namn för SSID att visa på telefonen. Flera profiler kan ha samma nätverksnamn med olika säkerhetsläge. Utför ett av följande: Ange en sträng i det här formatet i telefonens konfigurationsfil med XML (cfg.xml): `<Network_Name_1_ua="rw">cisco</Network_Name_1_>` Ange ett namn på SSID på telefonwebben. Standard: tomt
Säkerhetsläge	Låter dig välja vilken autentiseringsmetod som används för säker åtkomst till Wi-Fi-nätverk. Beroende på vilken metod du väljer visas ett lösenordsfält så att du kan ange de autentiseringsuppgifter som krävs för att ansluta till Wi-Fi nätverket. Utför ett av följande: Ange en sträng i det här formatet i telefonens konfigurationsfil med XML (cfg.xml): `<Security_Mode_1_ ua="rw">EAP-TLS</Security_Mode_1_> <!-- tillgängliga alternativ: Auto\|EAP-FAST\|\|\|PSK\|\|Ingen\|EAP-PEAP\|EAP-TLS -->` Välj en av metoderna på telefonens webbsida: Auto EAP-FAST PSK Ingen EAP-PEAP EAP-TLS Standard: automatiskt
Wi-Fi-användar-ID	Gör att du kan ange ett användar-ID för nätverksprofilen. Det här fältet är tillgängligt när du ställer in säkerhetsläget på Auto, EAP-FAST eller EAP-PEAP. Det här är ett obligatoriskt fält och tillåter högst 32 alfanumeriska tecken. Utför ett av följande: Ange en sträng i det här formatet i telefonens konfigurationsfil med XML (cfg.xml): `<Wi-Fi_User_ID_1_ua="rw"></Wi-Fi_User_ID_1_>` Ange ett användar-ID för nätverksprofilen på telefonwebbsidan. Standard: tomt
Wi-Fi-lösenord	Gör att du kan ange lösenord för angivet användar-ID för Wi-Fi. Utför ett av följande: Ange en sträng i det här formatet i telefonens konfigurationsfil med XML (cfg.xml): `<Wi-Fi_Password_1_ ua="rw"></Wi-Fi_Password_1_>` Ange ett lösenord för det användar-ID som du har lagt till på telefonens webbsida. Standard: tomt
Frekvensband	Gör att du kan välja frekvensband för den trådlösa signal som WLAN-nätverket använder. Utför ett av följande: Ange en sträng i det här formatet i telefonens konfigurationsfil med XML (cfg.xml): `<Frequency_Band_1_ ua="rw">Auto</Frequency_Band_1_>` Välj ett av alternativen på telefonens webbsida: Auto 2,4 GHz 5 GHz Standard: automatiskt
Välj certifikat	Gör att du kan välja en certifikattyp för den första registreringen av certifikatet och förnyelsen av certifikatet i det trådlösa nätverket. Den här processen är endast tillgänglig för 802.1X-autentisering. Utför ett av följande: Ange en sträng i det här formatet i telefonens konfigurationsfil med XML (cfg.xml): `<Certificate_Select_1_ ua="rw">Tillverkning installerad</Certificate_Select_1_>` Välj ett av alternativen på telefonens webbsida: Tillverkning installerad Anpassad installerad Standard: Tillverkning installerad