- Start
- /
- Artikel
Den här hjälpartikeln gäller Cisco Trådlös telefon 9821 registrerad på Cisco Unified Communications Manager (Unified CM).
Du kan aktivera Cisco Unified Communications Manager (Unified CM) för att fungera i en förbättrad säkerhetsmiljö. Med dessa förbättringar fungerar telefonen nätverk under ett antal strikta säkerhetskontroller och riskhanteringar för att skydda dig och dina användare.
Förbättrad säkerhetsmiljö innehåller följande funktioner:
-
Autentisering av kontaktsökning
-
TCP som standardprotokoll för fjärrgranskningsloggning
-
En förbättrad policy för autentiseringsuppgifter
-
Stöd för SHA-2-serien med hashvärden för digitala signaturer
-
Stöd för en RSA-nyckelstorlek på upp till 4096 bitar
Med Cisco Unified CM version 14.0 eller senare stöder telefonerna SIP OAuth-autentisering.
OAuth stöds för TFTP (Proxy Trivial File Transfer Protocol) med Cisco Unified CM version 14.0 (1) SU1 eller senare.
Mer information om säkerhet finns i följande handböcker:
-
Systemkonfigurationsguide för Cisco Unified Communications Manager, version 15 och SUs
-
Säkerhetsguide för Cisco Unified Communications Manager, Release 15 och SUs
Din telefon kan bara lagra ett begränsat antal ITL-filer. ITL-filer får inte överstiga 64K på telefonen, så begränsa antalet filer som Cisco Unified CM skickar till telefonen.
Säkerhetsfunktioner som stöds
Säkerhetsfunktionerna skyddar mot hot, bland annat hot mot identiteten på telefonen och data. Dessa funktioner etablerar och upprätthåller autentiserade kommunikationsströmmar mellan telefonen och Cisco Unified Communications Manager-servern och ser till att telefonen använder endast digitalt signerade filer.
Cisco Unified Communications Manager 8.5 (1) och senare inkluderar säkerhet som standard, vilket ger följande säkerhetsfunktioner i Cisco IP-telefon utan att CTL-klienten körs:
-
Signering av telefonens konfigurationsfiler
-
Kryptering av telefonens konfigurationsfiler
-
HTTPS med Tomcat och andra webbtjänster
Säker signalering och mediafunktioner kräver fortfarande att du kör CTL-klienten och använda maskinvarans eTokens.
Implementerad säkerhet i Cisco Unified Communications Manager-systemet förhindrar identitetsstöld i telefoner och Cisco Unified Communications Manager-servern, datamanipulering, samtalssignalering och mediströmmanipulering.
Cisco IP-telefoninätverk motverkar hoten genom att etablera och upprätthålla säkra (krypterade) kommunikationsströmmar mellan telefon och server, signera filer digitalt innan de överförs till en telefon och kryptera medieströmmar och samtalssignalering mellan Cisco IP-telefoner.
Ett LSC-certifikat installeras på telefonerna när du utför de nödvändiga åtgärder som är kopplade till CAPF. Du kan använda Cisco Unified Communications Manager Administration för att konfigurera en LSC enligt beskrivningen i säkerhetshandboken #Cisco Unified Communications Manager. Alternativt kan du starta installationen av en LSC från menyn Säkerhet på telefonen. På denna meny kan du även uppdatera eller ta bort ett LSC-certifikat.
Telefonerna används med telefonsäkerhetsprofilen, som anger om enheten är osäker eller säker. Mer information om användning av säkerhetsprofilen i telefonen finns i dokumentationen till din utgåva av Cisco Unified Communications Manager.
Om du konfigurerar säkerhetsrelaterade inställningar i Cisco Unified Communications Manager Administration, innehåller telefonkonfigurationsfilen känslig information. För att säkerställa sekretessen i en konfigurationsfil måste du konfigurera den för kryptering. Mer detaljerad information finns i dokumentationen till din utgåva av Cisco Unified Communications Manager.
Följande tabell ger en översikt över de säkerhetsfunktioner som telefonerna stöder. Mer information finns i dokumentationen till din utgåva av Cisco Unified Communications Manager.
|
Funktion |
Beskrivning |
|---|---|
|
Bildautentisering |
Signerade binära filer förhindrar att avbilden för den fasta programvaran manipuleras innan den läses in på en telefon. Manipulering av bilden orsakar att en telefon inte godkänns i autentiseringsprocessen och avvisar den nya bilden. |
|
Installation av kundens arbetsplatscertifikat |
Varje Cisco IP-telefon kräver ett unikt certifikat för enhetsverifiering. Telefoner har ett fabriksinstallerat certifikat (MIC), men för extra säkerhet kan du gå till Cisco Unified Communications Manager Administration och göra en certifikatinstallation genom att använda CAPF (Certificate Authority Proxy Function). Alternativt kan du installera en Locally Significant Certificate (LSC) från menyn Säkerhet på telefonen. |
|
Enhetsautentisering |
Sker mellan Cisco Unified Communications Manager-servern och telefonen när en enhet accepterar certifikatet för den andra enheten. Fastställer om en säker anslutning mellan telefonen och en Cisco Unified Communications Manager inträffar och skapar en säker signaleringssökväg om det behövs mellan dessa enheter med hjälp av TLS-protokollet. Cisco Unified Communications Manager registrerar endast telefoner som kan autentiseras. |
|
Filautentisering |
Validerar digitalt signerade filer som telefonen hämtar. Telefonen validerar signaturen för att se till att filmanipulering inte har inträffat efter att filen skapades. Filer som inte godkänns vid autentisering skrivs inte till Flash-minnet i telefonen. Telefonen avvisar sådana filer utan vidare bearbetning. |
|
Kryptering |
Kryptering förhindrar att känslig information visas när filen är på väg till telefonen. Telefonen validerar dessutom signaturen för att se till att filmanipulering inte har inträffat efter att filen skapades. Filer som inte godkänns vid autentisering skrivs inte till Flash-minnet i telefonen. Telefonen avvisar sådana filer utan vidare bearbetning. |
|
Signaleringsautentisering |
Använder TLS-protokollet för att validera att ingen manipulering skett till signaleringspaket under sändning. |
|
Fabriksinstallerade certifikat |
Varje Cisco IP-telefon innehåller ett unikt fabriksinstallerat certifikatet (MIC) som används för enhetsautentisering. MIC ger ett permanent unikt identitetsbevis för telefonen och gör det möjligt för Cisco Unified Communications Manager att autentisera telefonen. |
|
Mediakryptering |
Använder SRTP för att säkerställa att mediaströmmarna mellan enheter som stöds är säkra och att endast den avsedda enheten tar emot och läser data. Här skapas även ett par primärt medianyckelpar för enheterna som levereras till enheterna och skyddas under transporten. |
|
CAPF (Certificate Authority Proxy funktion) |
Implementerar delar av certifikatgenereringsförfarandet som är för processkrävande för telefonen och samverkar med telefonen vid nyckelgenereringen och certifikatinstallationen. CAPF kan konfigureras för att begära certifikat från kundspecifika certifikatutfärdare till telefonen eller konfigureras för att generera certifikat lokalt. Både tangenttyperna EC (elliptisk kurva) och RSA stöds. Om du vill använda nyckeln EC kontrollerar du att parametern "Stöd för avancerade krypteringsalgoritmer för slutpunkt" (från Enterprise) är aktiverad. Mer information om CAPF och relaterade konfigurationer finns i följande dokument: |
|
Säkerhetsprofil |
Anger om telefonen är osäker, autentiserad, krypterad eller skyddad. Övriga poster i den här tabellen beskriver säkerhetsfunktioner. |
|
Krypterade konfigurationsfiler |
Låter du säkerställa integriteten i telefonens konfigurationsfiler. |
|
Valfri webbserver inaktiverar en telefon |
Av säkerhetsskäl kan du förhindra åtkomst till webbsidor för en telefon (som visar olika driftstatistik för telefonen) och självbetjäningsportalen. |
|
Telefonhärdning |
Ytterligare säkerhetsalternativ, som du styr från Cisco Unified Communications Manager Administration:
|
|
Säker SIP-växling för SRST |
När du har konfigurerat en SRST-referens (Survivable Remote Site Telephony) för säkerhet och sedan återställer de beroende enheterna i Cisco Unified Communications Manager Administration lägger TFTP-servern till SRST-certifikatet i telefonens cnf.xml-fil och skickar filen till telefonen. En säker telefon använder sedan en TLS-anslutning för att interagera med den SRST-aktiverade routern. |
|
Signaleringskryptering |
Säkerställer att alla SIP-signalingsmeddelanden som skickas mellan enheten och Cisco Unified Communications Manager-servern är krypterade. |
|
Uppdateringslarm för lista över betrodda adresser |
När listan över betrodda adresser uppdateras på telefonen, får Cisco Unified Communications Manager ett larm som indikerar genomförd eller misslyckad uppdatering. Mer information finns i följande tabell. |
|
AES 256-kryptering |
Om du är ansluten till Cisco Unified Communications Manager Release 10.5 (2) och senare har telefonerna stöd för AES 256-kryptering för TLS och SIP för signalering och mediakryptering. Då kan telefoner initiera och få stöd för TLS 1.2-anslutningar med AES-256-baserade chiffer som uppfyller SHA-2-standarder (Secure Hash Algorithm) och är FIPS-kompatibla. Chiffren omfattar:
Mer information finns i dokumentationen till Cisco Unified Communications Manager. |
|
ECDSA (Elliptic Curve Digital Signature Algorithm)-certifikat |
ECDSA-certifikat i version 11.0 läggs till av Cisco Unified Communications Manager som ingår i CC (Common Criteria)-certifiering. Det här påverkar alla Voice Operating System (VOS)-produkter som körs med CUCM 11.5 och senare versioner. |
|
Tomcat-certifikat för flera servrar (SAN) med Cisco UCM | Telefonen stöder Cisco UCM med konfigurerade Tomcat-certifikat (Multi-server) (SAN). Den korrekta TFTP-serveradressen finns i telefonens ITL-fil för telefonens registrering. Mer information om funktionen finns i: |
Följande tabell innehåller meddelanden och innebörd av uppdateringslarm för listan över betrodda adresser. Mer information finns i dokumentationen till Cisco Unified Communications Manager.
| Kod och meddelande | Beskrivning |
|---|---|
|
1 – TL_SUCCESS |
Mottagen ny CTL och/eller ITL |
|
2 - CTL_INITIAL_SUCCESS |
Mottagen ny CTL, ingen befintlig TL |
|
3 - ITL_INITIAL_SUCCESS |
Mottagen ny ITL, ingen befintlig TL |
|
4 – ITL_INITIAL_SUCCESS |
Mottagen ny CTL och ITL, ingen befintlig TL |
|
5 – TL_FAILED_OLD_CTL |
Uppdatering av ny CTL misslyckades, men har tidigare TL |
|
6 – TL_FAILED_NO_TL |
Uppdatering av ny TL misslyckades och har ingen tidigare TL |
|
7 – TL_FAILED |
Allmänt fel |
|
8 – TL_FAILED_OLD_ITL |
Uppdatering av ny ITL misslyckades, men har tidigare TL |
|
9 – TL_FAILED_OLD_TL |
Uppdatering av ny TL misslyckades, men har tidigare TL |
Säkerhet i telefonsamtal
När säkerhet har implementerats för en telefon kan du identifiera säkra telefonsamtal med hjälp av ikoner på telefonens skärm. Du kan också fastställa om den anslutna telefonen är säker och skyddad beroende på om en säkerhetston spelas upp i början av samtalet.
I ett säkert samtal är all samtalssignalering och alla mediaströmmar krypterade. Ett säkert samtal ger en hög nivå av säkerhet för att ge integritet och sekretess i samtalet. När ett pågående samtal är krypterat kan du se säkerhetsikonen
På linjen.
-
Om samtalet dirigeras genom andra samtalsgrenar än IP, till exempel PSTN, kan samtalet vara osäkert även om det är krypterat inom IP-nätverket och visas med en låsikon.
-
Säkra samtal stöds bara för anslutningar mellan endast två telefoner. Vissa funktioner, som konferenssamtal och delade linjer, är inte tillgängliga när säkert samtal har konfigurerats.
I Cisco Unified Communications Manager kan telefoner som konfigurerats som säkra (krypterade och betrodda) tilldelas en skyddad status. När de har skyddats kan dessa enheter konfigureras för att spela upp en säkerhetston i början av varje samtal.
-
Skyddad enhet:
Så här ändrar du statusen för en säker telefon till skyddad:
- I Cisco Unified Communications Manager Administration väljer du .
- Leta reda på telefonen som du ska konfigurera.
- I fönstret Telefonkonfiguration markerar du kryssrutan Skyddad enhet .
- Klicka på Spara.
-
Spela upp säker indikeringston:
Så här aktiverar du den skyddade telefonen för att spela upp en säker eller osäker indikationston:
- I Cisco Unified Communications Manager Administration väljer du .
- Välj servern och sedan Cisco CallManager tjänsten.
- I området Clusterwide Parameters (Feature – Secure Tone) ställer du in inställningen Play Tone to Indicate Secure/Non-secure Call Status (Säker/ej säker samtalsstatus ) på Sant.
- Klicka på Spara.
Säker identifiering av konferenssamtal
Du kan initiera en säker telefonkonferens och övervaka säkerhetsnivån hos deltagare. En säker telefonkonferens upprättas med hjälp av denna process:
-
En användare initierar konferensen från en säker telefon.
-
Cisco Unified Communications Manager tilldelar en säker konferensbrygga till samtalet.
-
När deltagare läggs till verifierar Cisco Unified Communications Manager säkerhetsläget för varje telefon och upprätthåller en säker nivå för konferensen.
-
Telefonen visar säkerhetsnivån på telefonkonferensen. En säker konferens visar ikonen för säker
.
Säkert samtal stöds mellan två telefoner. För skyddade telefoner är vissa funktioner som konferenssamtal, delade linjer och Extension Mobility (anknytningsmobilitet) inte tillgängliga när säkra samtal har konfigurerats.
Följande tabell ger information om ändringar av konferenssäkerhetsnivåer beroende på säkerhetsnivån i konferensorganisatörens telefon och säkerhetsnivåer hos deltagarna, och tillgången till säkra konferensbryggor.
|
Säkerhetsnivå i organisatörens telefon |
Använd funktion |
Säkerhetsnivå hos deltagarna |
Resultat av åtgärder |
|---|---|---|---|
|
Osäker |
Konferens |
Säkert |
Osäker konferensbrygga Osäker konferens |
|
Säkert |
Konferens |
Minst en medlem är otillförlitlig. |
Säker konferensbrygga Osäker konferens |
|
Säkert |
Konferens |
Säkert |
Säker konferensbrygga Säker krypterad konferensnivå |
|
Osäker |
Meet me |
Minimal säkerhetsnivå är krypterad. |
Initiatorn får ombeställningston. |
|
Säkert |
Meet me |
Minimal säkerhetsnivå är osäker. |
Säker konferensbrygga Konferensen tar emot alla samtal. |
Säker identifiering av telefonsamtal
Ett säkert samtal upprättas när din telefon och telefonen i den andra änden har konfigurerats för säkert samtal. Den andra telefonen kan finnas i samma Cisco IP-nätverk eller i ett nätverk utanför IP-nätverket. Säkra samtal kan endast göras mellan två telefoner. Konferenssamtal bör ha stöd för säkert samtal efter inställning av en säker konferensbrygga.
Ett säkert samtal upprättas med hjälp av denna process:
-
En användare initierar samtal från en säker telefon (skyddat säkerhetsläge).
-
Telefonen visar säkerhetsikonen
På telefonskärmen. Denna ikon indikerar att telefonen är konfigurerad för säkra samtal, men det betyder inte att den andra anslutna telefonen också är säkrad. -
Användaren hör en säkerhetston om samtalet kopplas till en annan säker telefon, vilket betyder att båda ändar av konversationen är krypterade och säkra. Om samtalet kopplas till en osäker telefon hör inte användaren någon säkerhetston.
Säkert samtal stöds mellan två telefoner. För skyddade telefoner är vissa funktioner som konferenssamtal, delade linjer och Extension Mobility (anknytningsmobilitet) inte tillgängliga när säkra samtal har konfigurerats.
Endast skyddade telefoner spelar upp toner vid säkert eller osäkert samtal. I oskyddade telefoner hörs inga toner. Om den övergripande samtalsstatusen ändras under samtalet ändras också indikationstonen och den skyddade telefonen spelar upp en lämplig ton.
När alternativet Spela upp ton för att indikera säker/osäker samtalsstatus är inställt på Sant:
-
När säker anslutning har etablerats i båda ändar och samtalsstatusen är säker spelar telefonen upp en säkerhetsindikation (tre långa pip med pauser).
-
Om en osäker anslutning har etablerats och samtalsstatusen är osäker spelar telefonen upp en osäkerhetsindikation (sex korta pip med korta pauser).
Om alternativet Spela upp ton för att indikera säker/osäker samtalsstatus är inställt på Falskt spelas ingen ton upp.
Tillhandahålla kryptering för pråm
Cisco Unified Communications Manager kontrollerar telefonens säkerhetsstatus när konferenssamtal har etablerats och ändrar säkerhetsindikeringen för konferenssamtalet eller blockerar slutförandet av det för att bibehålla integritet och säkerhet i systemet.
En användare kan inte bryta in i ett krypterat samtal om telefonen som används vid inbrytning inte har konfigurerats för kryptering. När inbrytning i det här fallet misslyckas hörs en felton (spärrton) på telefonen som inbrytningen initierades från.
Om initiatortelefonen har konfigurerats för kryptering kan inbrytningsinitiatorn bryta in i ett osäkert samtal från den krypterade telefonen. När inbrytningen har inträffat klassificeras samtalet som osäkert i Cisco Unified Communications Manager.
Om initiatortelefonen har konfigurerats för kryptering kan inbrytningsinitiatorn bryta in i ett krypterat samtal och telefonen indikerar då att samtalet är krypterat.
Säkerhet för trådlöst LAN
Eftersom alla WLAN-enheter som finns inom räckvidd kan ta emot all övrig WLAN-trafik är det nödvändigt att säkra röstkommunikation i WLAN. För att säkerställa att inkräktare inte manipulerar eller avlyssnar rösttrafik stöder Cisco SAFE Security-arkitekturen telefonen. Mer information om säkerhet i nätverk finns i http://www.cisco.com/en/US/netsol/ns744/networking_solutions_program_home.html.
Telefonilösningen Cisco Wireless IP tillhandahåller säkerhet för trådlösa nätverk som förhindrar obehöriga inloggningar och komprometterad kommunikation genom att använda följande autentiseringsmetoder som telefonen stöder.
-
Öppen autentisering: Alla trådlösa enheter kan begära autentisering i ett öppet system. Åtkomstpunkten som tar emot begäran kan medge autentisering för alla begäranden eller bara för de begäranden som finns med i en lista över användare. Kommunikationen mellan den trådlösa enheten och åtkomstpunkten (åtkomstpunkten) kan vara icke-krypterad.
-
Extensible Authentication Protocol-Flexible Authentication via Secure Tunneling (EAP-FAST) Autentisering: Den här säkerhetsarkitekturen på klient-servern krypterar EAP-transaktioner i en TLS-tunnel (Transport Level Security) mellan åtkomstpunkten och RADIUS-servern, till exempel ISE (Identity Services Engine).
TLS-tunneln använder skyddad PAC (Protected Access Credentials) för autentisering mellan klienten (telefonen) och RADIUS-servern. Servern skickar ett utfärdar-ID till klienten (telefon), som i sin tur väljer lämpligt PAC. Klienten (telefonen) returnerar ett PAC-täckande till RADIUS-servern. Servern dekrypterar PAC med den primära nyckeln. Båda slutpunkterna har nu PAC-nyckeln och en TLS-tunnel skapas. EAP-FAST stöder automatisk PAC-etablering, men du måste aktivera den på RADIUS-servern.
I ISE upphör PAC som standard att gälla om en vecka. Om telefonen har en utgången PAC, tar autentisering med RADIUS-servern längre tid när telefonen får ett nytt PAC. För att undvika fördröjningar i PAC-etableringen kan du sätta PAC-utgångstiden till 90 dagar eller längre på ISE- eller RADIUS-servern.
-
Autentisering via EAP-TLS (Extensible Authentication Protocol-Transport Layer Security): EAP-TLS kräver ett klientcertifikat för autentisering och nätverksåtkomst. För trådlösa EAP-TLS kan klientcertifikatet vara MIC, LSC, eller användarinstallerat certifikat.
-
Skyddat PEAP (Extensible Authentication Protocol): Ciscos tillverkarspecifika lösenordsbaserade och växelvisa autentiseringsschema mellan klient (telefon) och RADIUS-server. Telefonen kan använda PEAP för autentisering med det trådlösa nätverket. Både PEAP-MSCHAPV2 och PEAP-GTC autentiseringsmetoder stöds.
-
PSK (Pre-Shared Key): Telefonen stöder formaten ASCII och hexadecimalt (HEX). Du måste använda dessa format när du konfigurerar en i förväg delad WPA2/SAE-nyckel.
ASCII: En ASCII-teckensträng med 8 till 63 tecken i längd (0-9, gemener a-z, versaler A-Z och specialtecken). Till exempel
GREG123567@9ZX&W.HEX: En HEX-teckensträng med 64 hexsiffror i längd (0-9, a-f eller A-F).
Följande autentiseringsscheman använder RADIUS-servern för att hantera autentiseringsnycklar:
-
WPA2/WPA3: Använder RADIUS serverinformation för att skapa unika nycklar för autentisering. Eftersom de här nycklarna har genererats på den centrala RADIUS-servern ger WPA2/WPA3 högre säkerhet än i förväg delade WPA-nycklar som lagras på åtkomstpunkten och telefonen.
-
Säker och snabb roaming: Används med RADIUS-server och information om trådlös domänserver vid hantering och autentisering av nycklar. WDS skapar en cache med säkerhetsuppgifter för FT-aktiverade klientenheter för snabb och säker omautentisering.
Med WPA2/WPA3 matas inga krypteringsnycklar in på telefonen, utan härleds automatiskt mellan åtkomstpunkten och telefonen. Men EAP-användarnamn och lösenord som används för autentisering måste anges på respektive telefon.
För att skydda rösttrafiken via den trådlösa länken stöder telefonen AES-baserad kryptering för WPA2/WPA3-autentisering. AES är ett symmetriskt blockchiffer standardiserat av NIST. AES använder en fast 128-bitars blockstorlek och stöder nyckelstorlekar på 128 bitar, 192 bitar och 256 bitar. I Wi-Fi-nätverk används AES av chiffersviter som CCMP eller GCMP, medan autentisering tillhandahålls separat av PSK, SAE eller 802.1X/EAP, beroende på det konfigurerade WLAN-säkerhetsläget. Vilken chiffersviten och nyckelstorleken som stöds beror på telefonmodellen och WLAN konfigurationen.
När telefonen använder AES-kryptering krypteras både SIP-signalpaketen och RTP-röstpaketen (Real-Time Transport Protocol) mellan åtkomstpunkten och telefonen.
Autentiserings- och krypteringsscheman ställs in i det trådlösa nätverket. VLAN konfigureras i nätverket och på åtkomstpunkterna, och anger olika kombinationer av autentisering och kryptering. Ett SSID kan kopplas till ett VLAN och valt autentiserings- och krypteringsschema. För att trådlösa klientenheter ska kunna autentiseras måste du konfigurera samma SSID med deras autentiserings- och krypteringsscheman på åtkomstpunkterna och på telefonen.
Vissa autentiseringsscheman kräver en viss typ av kryptering.
När du använder WPA2 i förväg delad nyckel eller SAE måste den i förväg delade nyckeln ställas in statiskt på telefonen. De här nycklarna måste matcha nycklarna som finns på åtkomstpunkten.
Autentiserings- och krypteringsschemana i följande tabell visar nätverkskonfigurationsalternativen för Cisco Trådlös telefon 9821 som motsvarar AP-konfigurationen.
| Typ av FSR | Autentisering | Nyckelhantering | Kryptering | PMF (Protected Management Frame) |
|---|---|---|---|---|
| 802.11r (FOT) | PSK |
WPA-PSK WPA-PSK-SHA256 FT-PSK | AES | Nej |
| 802.11r (FOT) | WPA3 |
SAE FT-SAE | AES | Ja |
| 802.11r (FOT) | EAP-TLS |
WPA-EAP FT-EAP | AES | Nej |
| 802.11r (FOT) | EAP-TLS (WPA3) |
WPA-EAP-SHA256 FT-EAP | AES | Ja |
| 802.11r (FOT) | EAP-FAST |
WPA-EAP FT-EAP | AES | Nej |
| 802.11r (FOT) | EAP-FAST (WPA3) |
WPA-EAP-SHA256 FT-EAP | AES | Ja |
| 802.11r (FOT) | EAP-PEAP |
WPA-EAP FT-EAP | AES | Nej |
| 802.11r (FOT) | EAP-PEAP (WPA3) |
WPA-EAP-SHA256 FT-EAP | AES | Ja |
| icke-FT | Svit - B | WPA-EAP-SVIT-B | GCMP | Ja |
| icke-FT | Svit B-192 | WPA-EAP-SVIT-B-192 | GCMP | Ja |
Skapa en Wi-Fi profil
Du kan konfigurera en Wi-Fi profil och tilldela den till Cisco Wireless Phone 9821. Den här profilen innehåller de parametrar som krävs för att telefonen ska kunna upprätta en Wi-Fi-anslutning och därefter registrera sig med Cisco Unified CM. När du skapar och använder en Wi-Fi profil behöver du eller dina användare inte konfigurera det trådlösa nätverket för enskilda telefoner.
Vi rekommenderar att du använder en säker profil med TFTP-kryptering för att skydda nycklar och lösenord när du använder en Wi-Fi-profil.
Telefonerna har stöd för ett Server certifikat per installations metod (Manual, SCEP eller TFTP).
Tänk på följande saker innan du konfigurerar WLAN-profilen:
-
Användarnamn och lösenord
-
När ditt nätverk använder EAP-FAST och PEAP vid användarautentisering, måste du konfigurera både användarnamn och lösenord om det behövs på RADIUS (Remote Authentication Dial-in User Service) och på telefonen.
- De inloggningsuppgifter som du anger i den trådlösa LAN-profilen måste vara identiska med de inloggningsuppgifter som du konfigurerade i RADIUS-servern.
-
Om du använder domäner i nätverket måste du ange användarnamn med namnet på domänen i formatet
domän\användarnamn.
-
-
Följande åtgärder kan leda till att det befintliga Wi-Fi-lösenordet försvinner:
- Om du anger ett ogiltigt användar-id eller lösenord.
- Om du installerar en ogiltig eller utgången rotcertifikatutfärdare och EAP-typen är inställd på PEAP-MSCHAPV2 eller PEAP GTC.
- Inaktivera EAP-typen på RADIUS-servern som används innan du växlar telefonen till den nya EAP-typen.
- Om du vill ändra EAP-typen måste du först aktivera den nya EAP-typen på RADIUS-servern och sedan växla telefonen till EAP-typen. När alla telefoner har ändrats till den nya EAP-typen kan du inaktivera den tidigare EAP-typen om du vill.
| 1 |
I Cisco Unified Communications Manager Administration, välj . |
| 2 |
Klicka på Lägg till nytt. |
| 3 |
Ställ in följande parametrar i avsnittet Information för trådlös LAN-profil:
|
| 4 |
Ange följande parametrar i avsnittet Trådlösa inställningar:
|
| 5 |
I avsnittet Autentiseringsinställningar anger du någon av följande autentiseringsmetoder för autentiseringsmetod: EAP-FAST, EAP-TLS, PEAP-MSCHAPv2, PEAP-GTC, PSK och Ingen. Cisco Trådlös telefon 9821 stöder inte WEP. När du har ställt in det här fältet kan du se ytterligare fält som du måste ställas in.
Cisco Trådlös telefon 9821 stöder inte fältet Nätverksåtkomstprofil . |
| 6 |
Klicka på Spara. |
Nästa steg
Bind profilen för trådlöst LAN till en profilgrupp WLAN # och använd sedan profilgruppen WLAN på en enhetspool (system>enhetspooltelefon
Installera ett användarcertifikat från webbsidan för telefonadministration
Du kan installera ett användarcertifikat manuellt på telefonen om SCEP (Simple Certificate Enrollment Protocol) inte är tillgängligt.
Förinstallerat MIC (Manufacturing Installed Certificate) kan användas som användarcertifikat för EAP-TLS.
När användarcertifikatet har installerats måste du lägga till certifikatutfärdarkedjan som utfärdade användarcertifikatet i RADIUS-serverns lista över betrodda anslutningar.
Innan du börjar
Innan du kan installera ett användarcertifikat för en telefon måste du ha:
-
Ett användarcertifikat sparas på datorn. Certifikatet måste ha ett PKCS #12-format.
-
Certifikatets extraheringslösenord. Lösenordslängden får inte vara längre än 32 tecken.
| 1 |
På webbsidan för telefonadministration väljer du Certifikat. |
| 2 |
Leta reda på fältet Användarinstallerat och klicka på Installera. |
| 3 |
Bläddra till certifikatet på datorn. |
| 4 |
Ange certifikatets extraheringslösenord i fältet Extraheringslösenord. |
| 5 |
Klicka på Överför. |
| 6 |
Starta om telefonen när överföringen är klar. |
Installera en autentiseringsservercertifikatutfärdare från webbsidan för telefonadministration
Du kan installera en autentiseringsservercertifikatutfärdare manuellt på telefonen om SCEP (Simple Certificate Enrollment Protocol) inte är tillgängligt.
Rotcertifikatutfärdarcertifikatet som utfärdade RADIUS-servercertifikatet måste vara installerat.
Innan du börjar
Innan du kan installera ett certifikat på en telefon måste du ha sparat en certifikatutfärdare för autentiseringsservern på datorn. Certifikatet måste vara kodat i PEM (Base-64) eller DER.
| 1 |
På webbsidan för telefonadministration väljer du Certifikat. |
| 2 |
Leta upp fältet Autentiseringsserver CA och klicka på Installera. |
| 3 |
Bläddra till certifikatet på datorn. |
| 4 |
Klicka på Överför. |
| 5 |
Starta om telefonen när överföringen är klar. |
Ta bort ett säkerhetscertifikat manuellt från webbsidan för telefonadministration
Du kan manuellt ta bort ett säkerhetscertifikat från en telefon om SCEP (Simple Certificate Enrollment Protocol) inte är tillgängligt.
| 1 |
På webbsidan för telefonadministration väljer du Certifikat. |
| 2 |
Leta reda på certifikatet på sidan Certifikat. |
| 3 |
Klicka på Ta bort. |
| 4 |
Starta om telefonen när borttagningen är klar. |
Konfigurera SCEP
SCEP (Simple Certificate Enrollment Protocol) är standarden för automatisk etablering och förnyelse av certifikat. Den undviker manuell installation av certifikat på telefonen.
Aktivera SCEP:s produktspecifika konfigurationsparametrar
Du måste konfigurera följande SCEP-parametrar på Cisco Unified Communications Manager (Unified CM).
-
RA IP adress eller värdnamn
-
SHA-1 eller SHA-256 fingeravtryck för rot-CA-certifikatet i SCEP-servern
Cisco IOS-registreringsmyndigheten (RA) fungerar som en proxy för SCEP-servern. SCEP-klienten på telefonen använder parametrarna som hämtas från Cisco Unified CM. När du har konfigurerat parametrarna skickar telefonen en SCEP getcs-begäran till RA och rotcertifikatutfärdarcertifikatet valideras med det definierade fingeravtrycket.
| 1 |
Från Cisco Unified Communications Manager Administration väljer du . |
| 2 |
Lokalisera telefonen. |
| 3 |
Bläddra till området Produktspecifik konfigurationslayout. |
| 4 |
Markera kryssrutan WLAN SCEP-server för att aktivera SCEP-parametern. |
| 5 |
Markera kryssrutan WLAN Root CA Fingerprint (SHA256 or SHA1) för att aktivera SCEP QED-parametern. |
Stöd för SCEP-server
Om du använder en SCEP (Simple Certificate Enrollment Protocol)-server kan den automatiskt behålla dina användar- och servercertifikat. Konfigurera RA (Registration Agent) på SCEP-servern:
-
Fungera som betrodd punkt för PKI
-
Fungera som PKI RA
-
Utföra enhetsautentisering med hjälp av en RADIUS-server
Mer information finns i dokumentationen som hör till SCEP-servern.
Konfigurera ett LSC-certifikat
Det finns några metoder för att installera en LSC. Den här exempelaktiviteten gäller för att konfigurera en LSC med autentiseringssträngmetoden på Cisco Wireless Phone 9821.
Innan du börjar
Kontrollera att rätt säkerhetskonfigurationer för Cisco Unified CM och certificate authority proxy function (CAPF) är klara.
-
CTL- eller ITL-filen har ett CAPF-certifikat.
-
Kontrollera att CAPF certifikatet har installerats i Cisco Unified Communications Operating System Administration.
-
CAPF körs och är konfigurerat.
Mer information om de här inställningarna finns i dokumentationen till just din Cisco Unified CM version.
| 1 |
Hämta autentiseringssträngen CAPF som angavs när CAPF konfigurerades. |
| 2 |
Öppna inställningarna på telefonen |
| 3 |
Välj . |
| 4 |
Ange autentiseringssträngen. |
| 5 |
Tryck på Mer Telefonen börjar installera, uppdatera eller ta bort LSC, beroende på hur CAPF är konfigurerat. När proceduren är klar får du ett meddelande om alternativet installerats eller inte installerats på telefonen. En installation, uppdatering eller borttagning av LSC kan ta lång tid att slutföra. När telefoninstallationen är klar visas meddelandet |
802.1X-autentisering för kabelanslutna nätverk
Cisco Trådlös telefon 9821 stöder 802.1X-autentisering för trådbundna nätverk. Detta används vanligtvis under automatisk etablering när telefonen är ansluten till skrivbordsladdaren via en USB-till-Ethernet-adapter som stöds.
Stöd för 802.1X-autentisering i kabelanslutna nätverk kräver flera komponenter enligt följande:
-
Cisco IP-telefon: Telefonen initierar begäran om att få tillgång till nätverket. Cisco IP-telefon innehåller en 802.1X-supplikant. Supplikanten tillåter att nätverksadministratörer kan styra uppkoppling av IP-telefoner till LAN-växelportar. I den aktuella versionen av telefonens 802.1X-supplikant används EAP-FAST och EAP-TLS för nätverksautentisering.
-
Autentiseringsserver: Både autentiseringsservern och växeln måste konfigureras med en delad RADIUS-hemlighet.
-
Växel: Växeln måste ha stöd för 802.1X så att den kan fungera som autentiserare och vidarebefordra EAP-meddelanden mellan telefonen och autentiseringsservern. När utväxlingen är klar beviljar eller nekar växeln åtkomst till nätverket för telefonen.
Cisco IP-telefoner och Cisco Catalyst-växlar använder traditionellt Ciscos CDP-protokoll för att identifiera varandra och fastställa parametrar som VLAN-tilldelning och interna strömbehov.
Du måste utföra följande åtgärder för att konfigurera 802.1X.
-
Konfigurera förbikoppling av CDP/LLDP röst VLAN.
-
Konfigurera autentiseringsservern och växeln innan du aktiverar 802.1X-autentisering för kabelanslutna nätverk på telefonen.
-
Konfigurera röst-VLAN: Eftersom 802.1X-standarden inte tar hänsyn till VLAN, bör du konfigurera den här inställningen baserat på växelstöd.
- Aktiverad: Om du använder en växel som stöder multidomänautentisering kan du konfigurera den för att använda rösten VLAN.
- Inaktiverat: Om växeln inte stöder multidomänautentisering inaktiverar du röst-VLAN och överväg sedan att tilldela porten till det inbyggda VLAN-nätet.
-
Cisco Trådlös telefon 9821 har ett annat prefix i PID än det för de andra Cisco telefonerna. Om du vill att telefonen ska klara 802.1X-autentisering ställer du in radien · Parametern Användarnamn för att inkludera din Cisco trådlösa telefon 9821.
Till exempel är PID för Cisco Wireless Phone 9821 WP-9821. Du kan ställa in radie· Användarnamn för att
börja med WPellerInnehåller WPi båda följande avsnitt: -
Aktivera 802.1X-autentisering för kabelanslutna nätverk på telefonen
Följ dessa steg för att aktivera 802.1X-autentisering för kabelanslutna nätverk på telefonen. Observera att 802.1X-autentisering för Wi-Fi är aktiverat som standard och inte kräver någon manuell konfiguration.
| 1 |
Gå till inställningarna |
| 2 |
Om du uppmanas till det anger du lösenordet för att komma åt menyn Inställningar . Du kan få lösenordet från din administratör. |
| 3 |
Välj . |
| 4 |
Markera Enhetsautentisering och tryck på På. |
Aktivera 802.1X-autentisering för kabelanslutna nätverk i Cisco Unified Communications Manager Administration
Följ dessa steg för att aktivera 802.1X-autentisering för kabelanslutna nätverk på Cisco Unified CM. Observera att 802.1X-autentisering för Wi-Fi är aktiverat som standard och inte kräver någon manuell konfiguration.
Du kan visa transaktionsstatus och säkerhetsinställningar på telefonskärmens meny. Mer information finns i Säkerhetsinställningsmenyn på telefonen.
| 1 |
I Cisco Unified Communications Manager Administration väljer du Enhet > Telefon. |
| 2 |
Leta reda på telefonen som du ska konfigurera. |
| 3 |
Navigera till området Produktspecifik konfigurationslayout . |
| 4 |
Välj Aktiverad i listrutan 802.1x-autentisering . När enhetsautentiseringsalternativet på Cisco trådlösa telefon 9821 konfigureras som aktiverat eller inaktiverat blir det skrivskyddat, vilket hindrar användare från att ändra 802.1X-autentiseringsinställningarna. |
| 5 |
Välj Spara. |
| 6 |
Välj Använd konfig. |
Menyn Säkerhetsinställningar på telefonen
Om du vill visa information om säkerhetsinställningarna från telefonmenyn öppnar du Inställningar
och välj Administratörsinställningar . Hur tillgänglig informationen är beror på nätverksinställningarna i organisationen.
|
Parametrar |
Alternativ |
Standard |
Beskrivning |
|---|---|---|---|
|
Enhetsautentisering |
På Av |
Av |
Aktiverar eller inaktiverar 802.1X-autentisering på telefonen. Parameterinställningen kan behållas efter telefonens OOB-registrering (Out-Of-Box). |
|
Transaktionsstatus | Inaktiverad |
Visar status för 802.1X-autentisering. Staten kan vara (inte begränsad till):
| |
|
Protokoll | Ingen |
Visar metoden EAP som används för 802.1X-autentisering. Protokollet kan vara EAP-FAST eller EAP-TLS. |
Konfigurera de versioner av TLS som stöds
Du kan ställa in den lägsta version av TLS som krävs för klient respektive server.
Som standard är den lägsta TLS-versionen av server och klient både 1.2. Inställningen påverkar följande funktioner:
- HTTPS-anslutning för webbåtkomst
- Onboarding för lokal telefon
- HTTPS-tjänster, till exempel katalogtjänster
- DTLS (Data Transport Layer Security)
- Port Access Entity (PAE)
- Säkerhet för Extensible Authentication Protocol-Transport Layer (EAP-TLS)
Mer information om kompatibilitetsmatrisen TLS 1.3 för Cisco IP Phones finns i kompatibilitetsmatrisen TLS 1.3 för Cisco Collaboration Products.
| 1 |
Gör något av följande i Cisco Unified Communications Manager Administration efter behov:
Konfigurationen följer en hierarkisk struktur:
|
| 2 |
Ställ in fältet TLS Min version för klient: Alternativet TLS 1.3 är tillgängligt på Cisco Unified CM 15SU2 eller senare.
|
| 3 |
Ställ in fältet TLS Min version för server:
|
| 4 |
Klicka på Spara. |
| 5 |
Klicka på Använd konfig. |
| 6 |
Starta om telefonerna. |
TURN av högtalartelefon och headset på Cisco trådlös telefon 9821
Du har möjlighet att permanent TURN av högtalartelefonen och headsetet på en Cisco trådlös telefon 9821 för användaren. Genom att stänga av dessa ljudutgångar säkerställer du att konversationer inte hörs av andra i närheten, vilket är viktigt i delade eller öppna kontorsmiljöer.
| 1 |
I Cisco Unified Communications Manager Administration väljer du . |
| 2 |
Leta reda på telefonen som du ska konfigurera. |
| 3 |
Navigera till området Produktspecifik konfigurationslayout . |
| 4 |
Markera en eller flera av följande kryssrutor för att TURN av telefonens funktioner:
Som standard är dessa kryssrutor avmarkerade. |
| 5 |
Välj Spara. |
| 6 |
Välj Använd konfig. |
