Förutom SCEP-certifikatregistreringen genom de manuella konfigurationerna på telefonens webbsida kan du också använda alternativet DHCP 43 för att fylla i parametrarna från en DHCP server. Det DHCP alternativet 43 är förkonfigurerat med SCEP-parametrarna, senare kan telefonen hämta parametrarna från den DHCP servern för att utföra SCEP-certifikatregistreringen.

Registrera ett SCEP-certifikat genom att konfigurera SCEP-parametrarna i DHCP alternativ 43 genom att göra följande:

1. Förbered en SCEP-miljö.

   Mer information om hur SCEP-miljön konfigureras finns i dokumentationen till SCEP-servern.

2. Ställ in DHCP alternativ 43 (definieras i 8.4 Leverantörsspecifik information, RFC 2132).

   Delalternativen (10–15) är reserverade för metoden:

   Parameter på telefonens webbsida	Underalternativ	Typ	Längd (byte)	Mandatory
   FIPS-läge	10	boolesk	1	Nej*
   Server	11	sträng	208 - längd (utmaningslösenord)	Ja
   Root CA-fingeravtryck	12	binär	20 eller 32	Ja
   Utmaningslösenord	13	sträng	208 - längd (Server)	Nej*
   Aktivera 802.1X-autentisering	14	boolesk	1	Nej
   Välj certifikat	15	Osignerad 8-bitars	1	Nej

   När du använder alternativet DHCP 43 bör du lägga märke till följande egenskaper hos metoden:

   • Underalternativen (10–15) är reserverade för CDC (Custom Device Certificate).
   • Maxlängden för DHCP alternativ 43 är 255 byte.
   • Den maximala längden på Server + utmaningslösenord får vara mindre än 208 byte.
   • Värdet i FIPS-läge ska överensstämma med konfigurationen för etablering ombord. Annars kan telefonen inte hämta det tidigare installerade certifikatet efter registreringen. Specifikt
     • Om telefonen ska registreras i en miljö där FIPS-läget är inaktiverat behöver du inte konfigurera parametern FIPS-läge i DHCP alternativ 43. Som standard är FIPS-läget inaktiverat.
     • Om telefonen ska registreras i en miljö där FIPS-läget är aktiverat måste du aktivera FIPS-läget i DHCP alternativ 43. Mer information finns i Aktivera FIPS-läge .
   • Lösenordet i alternativ 43 är i klartext.

     Om utmaningslösenordet är tomt använder telefonen MIC/SUDI för den första registreringen och certifikatförnyelsen. Om utmaningslösenordet har konfigurerats används det bara för den första registreringen och det installerade certifikatet används för certifikatförnyelsen.

   • Aktivera 802.1X-autentisering och Certificate Select används endast för telefoner i kabelanslutna nätverk.
   • DHCP alternativ 60 (Leverantörsklassidentifierare) används för att identifiera enhetsmodellen.

   I följande tabell visas ett exempel på DHCP alternativ 43 (delalternativ 10–15):

   Underalternativ decimal/hex	Värdelängd (byte) decimal/hex	Värde	Hexvärde
   10/0a	1/01	1 (0: Inaktiverad; 1: Aktiverad)	01
   11/0b	18/12	http://10.79.57.91	687474703a2f2f31302e37392e35372e3931
   12/0C	20/14	12040870625C5B755D73F5925285F8F5FF5D55AF	12040870625C5B755D73F5925285F8F5FF5D55AF
   13/0d	16/10	D233CCF9B9952A15	44323333434346394239393532413135
   14/0e	1/01	1 (0: Nej; 1: Ja)	01
   15/0f	1/01	1 (0: Tillverkning installerad; 1: Anpassad installerad)	01

   Sammanfattning av parametervärdena:

   • FIPS-läge = Aktiverat

   • Server = http://10.79.57.91

   • Rotcertifikatutfärdarens fingeravtryck = 12040870625C5B755D73F5925285F8F5FF5D55AF

   • Utmaningslösenord = D233CCF9B9952A15

   • Aktivera 802.1X-autentisering = Ja

   • Certifikatval = Anpassad installerad

   Syntaxen för det slutliga hexvärdet är: {<suboption><length><value>}...

   Enligt parametervärdena ovan är det slutliga hexvärdet följande:

   0a01010b12687474703a2f2f31302e37392e35372e39310c1412040870625C5B755D73F5925285F8F5FF5D55AF0d10443233334343463942393935324131350e01010f0101

3. Konfigurera DHCP alternativ 43 på en DHCP server.
   Det här steget är ett exempel på konfigurationer med DHCP alternativ 43 i Cisco Network Register.
   1. Lägg till DHCP alternativdefinitionsuppsättning.

      Leverantörsalternativsträngen är modellnamnet på de IP telefonerna. Det giltiga värdet är: DP-9841, DP-9851, DP-9861, DP-9871 eller CP-8875.

   2. Lägg till DHCP alternativ 43 och underalternativ i DHCP alternativdefinitionsuppsättning.

      Exempel:

      

   3. Lägg till alternativ 43 i principen DHCP och ställ in värdet enligt följande:

      Exempel:

      (10 1)(11 http://10.79.57.91)(12 12040870625C5B755D73F5925285F8F5FF5D55AF)(13 D233CCF9B9952A15)(14 1)(15 1)

   4. Kontrollera inställningarna. Du kan använda Wireshark för att fånga en spårning av nätverkstrafiken mellan telefonen och tjänsten.
4. Utför en fabriksåterställning för telefonen.

   När telefonen har återställts fylls parametrarna Server , Root CA Fingerprint och Challenge Password i automatiskt. Dessa parametrar finns i avsnittet SCEP Configuration 1 från Certificate > Custom på webbsidan för telefonadministration.

   Om du vill kontrollera detaljerna för det installerade certifikatet klickar du på Visa i avsnittet Befintliga certifikat .

   Om du vill kontrollera certifikatets installationsstatus väljer du Certifikat > Anpassad certifikatstatus. Nedladdningsstatus 1 visar det senaste resultatet. Om något problem uppstår under certifikatregistreringen kan nedladdningsstatusen visa orsaken till problemet.

   Om autentiseringen av utmaningslösenordet misslyckas uppmanas användarna att ange lösenordet på telefonskärmen.
5. (Valfritt): Om du vill ta bort det installerade certifikatet från telefonen klickar du på Ta bort i avsnittet Befintliga certifikat .
   När du klickar på knappen startar borttagningen omedelbart utan bekräftelse.

Enhetscertifikatet kan uppdateras automatiskt av SCEP-processen.

• Telefonen kontrollerar om certifikatet upphör att gälla om 15 dagar var 4:e timme. I så fall startar telefonen certifikatförnyelseprocessen automatiskt.
• Om utmaningslösenordet är tomt använder telefonen MIC/SUDI för både den första registreringen och certifikatförnyelsen. Om utmaningslösenordet är konfigurerat används det endast för den första registreringen, det befintliga/installerade certifikatet används för certifikatförnyelse.
• Telefonen tar inte bort det gamla enhetscertifikatet förrän det hämtar det nya.
• Om certifikatförnyelsen misslyckas på grund av att enhetscertifikatet eller certifikatutfärdaren har upphört att gälla, utlöser telefonen den första registreringen automatiskt. Under tiden, om autentiseringen av utmaningslösenordet misslyckas, dyker en lösenordsinmatningsskärm upp på telefonskärmen och användarna uppmanas att ange utmaningslösenordet på telefonen.

Cisco IP-telefon stöder 802.1X-autentisering.

Cisco IP-telefoner och Cisco Catalyst-växlar använder traditionellt Ciscos CDP-protokoll för att identifiera varandra och fastställa parametrar som VLAN-tilldelning och interna strömbehov. CDP identifierar inte lokalt anslutna arbetsstationer. Cisco IP-telefon har en EAPOL-överföringsmekanism. Denna mekanism medger att en arbetsstation som är ansluten till Cisco IP-telefon kan överföra EAPOL-meddelanden till 802.1X-autentiseraren på LAN. Överföringsmekanismen säkerställer att IP-telefonen inte agerar som LAN-växel för autentisering av en dataändpunkt innan åtkomsten till nätverket.

Cisco IP-telefon har också en EAPOL-utloggningsmekanism via proxy. Om den lokalt anslutna datorn kopplas bort från IP-telefonen kan LAN-växeln inte tolka att den fysiska länken brutits eftersom länken mellan LAN-växeln och IP-telefonen bibehålls. För att undvika att äventyra nätverksintegriteten sänder IP-telefonen ett EAPOL-utloggningsmeddelande till växeln från datorn nedströms, vilket utlöser att LAN-växeln börjar rensa autentiseringsposten för datorn nedströms.

Stödet för 802.1X-autentisering kräver flera komponenter:

• Cisco IP-telefon: Telefonen initierar begäran om att få tillgång till nätverket. Cisco IP-telefon innehåller en 802.1X-supplikant. Supplikanten tillåter att nätverksadministratörer kan styra uppkoppling av IP-telefoner till LAN-växelportar. I den aktuella versionen av telefonens 802.1X-supplikant används EAP-FAST och EAP-TLS för nätverksautentisering.

• Autentiseringsserver: Autentiseringsservern och växeln måste båda konfigureras med en delad hemlighet som autentiserar telefonen.

• Växel: Växeln måste ha stöd för 802.1X så att den fungerar för auktorisering och överför meddelanden mellan telefonen och autentiseringsservern. När utväxlingen är klar beviljar eller nekar växeln åtkomst till nätverket för telefonen.

Du måste utföra följande åtgärder för att konfigurera 802.1X.

• Konfigurera de andra komponenterna innan du aktiverar 802.1X-autentisering på telefonen.

• Konfigurera PC-porten: 802.1X-standarden använder inte VLAN och föreslår därför att en enda enhet ska autentiseras för en specifik växelport. Men vissa växlar har stöd för multidomänautentisering. Växelkonfigurationen avgör om du kan ansluta en dator till PC-porten på telefonen.

  • Aktiverat: Om du använder en växel som stöder multidomänautentisering, kan du aktivera PC-porten och ansluta en dator till den. I det här fallet har Cisco IP-telefon stöd för EAPOL-proxyutloggning för att övervaka autentiseringsutväxlingen mellan växeln och en ansluten dator.

    Mer information om stöd för IEEE 802.1X i Cisco Catalyst-växlar finns i Cisco Catalyst-växelkonfigurationshandböcker på:

    http://www.cisco.com/en/US/products/hw/switches/ps708/tsd_products_support_series_home.html

  • Inaktiverat: Om växeln inte stöder flera 802.1X-kompatibla enheter i samma port, bör du inaktivera PC-porten när 802.1X-autentisering har aktiverats. Om du inte inaktiverar denna port och därefter försöka att fästa en dator till det, förnekar omkopplaren nätverksåtkomst till både telefonen och datorn.

• Konfigurera röst-VLAN: Eftersom 802.1X-standarden inte tar hänsyn till VLAN, bör du konfigurera den här inställningen baserat på växelstöd.
  • Aktiverat: Om du använder en växel som stöder multidomänautentisering kan du fortsätta att använda röst-VLAN.
  • Inaktiverat: Om växeln inte stöder multidomänautentisering inaktiverar du röst-VLAN och överväg sedan att tilldela porten till det inbyggda VLAN-nätet.
• (Endast för Cisco Desk Phone 9800-serien)

  Cisco Desk Phone 9800-serien har ett annat prefix i PID än det för andra Cisco-telefoner. Om du vill att telefonen ska klara 802.1X-autentisering ställer du in radien · Parametern Användarnamn för att inkludera Cisco Desk Phone 9800-serien.

  Till exempel är PID för telefon 9841 DP-9841; du kan ställa in radie· Användarnamn som börjar med DP eller innehåller DP. Du kan ställa in det i båda följande avsnitt:

  • Policy > Villkor > Biblioteksvillkor

  • Policy > Principuppsättningar > Auktoriseringsprincip > Auktoriseringsregel 1

Eftersom alla WLAN-enheter som finns inom räckvidd kan ta emot all övrig WLAN-trafik är det nödvändigt att säkra röstkommunikation i WLAN. För att säkerställa att inkräktare inte manipulerar eller avlyssnar rösttrafik stöder Cisco SAFE Security-arkitekturen telefonen. Mer information om säkerhet i nätverk finns i http://www.cisco.com/en/US/netsol/ns744/networking_solutions_program_home.html.

Ciscos trådlösa telefonilösning IP tillhandahåller säkerhet för trådlösa nätverk som förhindrar obehöriga inloggningar och komprometterad kommunikation genom att använda följande autentiseringsmetoder som telefonen stöder:

• Öppen autentisering: Alla trådlösa enheter kan begära autentisering i ett öppet system. Åtkomstpunkten som tar emot begäran kan medge autentisering för alla begäranden eller bara för de begäranden som finns med i en lista över användare. Kommunikationen mellan den trådlösa enheten och åtkomstpunkten (åtkomstpunkten) kan vara icke-krypterad.

• Extensible Authentication Protocol-flexibel autentisering via EAP-FAST-autentisering (Secure Tunneling): Den här säkerhetsarkitekturen för klient-server krypterar EAP transaktioner i en TLS-tunnel (Transport Level Security) mellan åtkomstpunkten och RADIUS-servern, till exempel ISE (Identity Services Engine).

  TLS-tunneln använder skyddad PAC (Protected Access Credentials) för autentisering mellan klienten (telefonen) och RADIUS-servern. Servern skickar ett utfärdar-ID till klienten (telefon), som i sin tur väljer lämpligt PAC. Klienten (telefonen) returnerar ett PAC-täckande till RADIUS-servern. Servern dekrypterar PAC med den primära nyckeln. Båda slutpunkterna har nu PAC-nyckeln och en TLS-tunnel skapas. EAP-FAST stöder automatisk PAC-etablering, men du måste aktivera den på RADIUS-servern.

  I ISE upphör PAC som standard att gälla om en vecka. Om telefonen har en utgången PAC, tar autentisering med RADIUS-servern längre tid när telefonen får ett nytt PAC. För att undvika fördröjningar i PAC-etableringen kan du sätta PAC-utgångstiden till 90 dagar eller längre på ISE- eller RADIUS-servern.

• Autentisering via EAP-TLS (Extensible Authentication Protocol-Transport Layer Security): EAP-TLS kräver ett klientcertifikat för autentisering och nätverksåtkomst. För trådlösa EAP-TLS kan klientcertifikatet vara MIC, LSC eller användarinstallerat certifikat.

• Skyddat PEAP (Extensible Authentication Protocol): Ciscos tillverkarspecifika lösenordsbaserade och växelvisa autentiseringsschema mellan klient (telefon) och RADIUS-server. Telefonen kan använda PEAP för autentisering med det trådlösa nätverket. Både PEAP-MSCHAPV2 och PEAP-GTC autentiseringsmetoder stöds.

• PSK (Pre-Shared Key): Telefonen stöder ASCII format. Du måste använda det här formatet när du konfigurerar en WPA/WPA2/SAE-i förväg delad nyckel:

  ASCII: en sträng med ASCII-tecken med en längd på 8 till 63 tecken (0-9, gemener och versaler A-Z och specialtecken)

  Exempel: GREG123567@9ZX&W

Följande autentiseringsscheman använder RADIUS-servern för att hantera autentiseringsnycklar:

• WPA/WPA2/WPA3: Använder RADIUS-serverinformation för att generera unika nycklar för autentisering. Eftersom de här nycklarna har genererats på den centrala RADIUS-servern ger WPA2/WPA3 högre säkerhet än i förväg delade WPA-nycklar som lagras på åtkomstpunkten och telefonen.

• Säker och snabb roaming: Används med RADIUS-server och information om trådlös domänserver vid hantering och autentisering av nycklar. WDS skapar en cache med säkerhetsuppgifter för FT-aktiverade klientenheter för snabb och säker omautentisering. Cisco skrivbordstelefon 9861 och 9871 och Cisco videotelefon 8875 stöder 802.11r (FT). Både trådlöst och trådlöst stöds DS för att möjliggöra snabb och säker roaming. Men vi rekommenderar starkt att använda luftburen metod via 802.11r (FT).

Med WPA/WPA2/WPA3 matas inga krypteringsnycklar in på telefonen, utan härleds automatiskt mellan åtkomstpunkten och telefonen. Men EAP-användarnamn och lösenord som används för autentisering måste anges på respektive telefon.

För att säkerställa att rösttrafiken är säker stöder telefonen TKIP och AES för kryptering. När dessa mekanismer används för kryptering krypteras både SIP-signalpaketen och RTP-röstpaketen (Real-Time Transport Protocol) mellan åtkomstpunkten och telefonen.

TKIP

WPA använder TKIP-kryptering som har flera förbättringar jämfört med WEP. TKIP ger paketvisa nyckelchiffer och längre initieringsvektorer (IV) som stärker krypteringen. Dessutom kan ett MIC (Message Integrity check) säkerställa att krypterade paket inte ändras. TKIP tar bort förutsägbarheten i WEP som hjälper inkräktare att dechiffrera WEP-nyckeln.

AES

En krypteringsmetod som används för WPA2/WPA3-autentisering. Denna nationella standard för kryptering använder en symmetrisk algoritm som har samma nyckel för kryptering och dekryptering. AES använder CBC (Cipher Blocking Chain)-kryptering i 128 bitar, som stöder nyckelstorlekar som är minst 128 bitar, 192 bitar och 256 bitar. Telefonen stöder en nyckelstorlek på 256 bitar.

Autentiserings- och krypteringsscheman ställs in i det trådlösa nätverket. VLAN konfigureras i nätverket och på åtkomstpunkterna, och anger olika kombinationer av autentisering och kryptering. Ett SSID kan kopplas till ett VLAN och valt autentiserings- och krypteringsschema. För att trådlösa klientenheter ska kunna autentiseras måste du konfigurera samma SSID med deras autentiserings- och krypteringsscheman på åtkomstpunkterna och på telefonen.

Vissa autentiseringsscheman kräver en viss typ av kryptering.

Autentiserings- och krypteringsschemana i följande tabell visar nätverkskonfigurationsalternativen för den telefon som motsvarar AP-konfigurationen.