I den här artikeln
dropdown icon
Konfigurera DHCP alternativ
    Stöd för DHCP alternativ
dropdown icon
Säkerhet för trådlöst LAN
    Ställ in Wi-Fi profil
dropdown icon
802.1X-autentisering för kabelanslutna nätverk
    Aktivera 802.1X-autentisering för kabelanslutna nätverk på telefonen
    Aktivera 802.1X-autentisering för kabelanslutna nätverk på telefonens webbsida
    Menyn Säkerhetsinställningar på telefonen
Ändra användar- och administratörslösenord
Ange lägsta TLS-version för klient och server
Aktivera klientinitierat läge för säkerhetsförhandlingar på medieplanet
Cisco Trådlös telefon 9821 säkerhet (Multiplatform)
list-menuI den här artikeln
list-menuHar du feedback?

Den här hjälpartikeln gäller Cisco Trådlös telefon 9821 som är registrerad på Webex Calling.

Konfigurera DHCP alternativ

Du kan ställa in i vilken ordning telefonen använder DHCP-alternativen. Om du vill ha hjälp med DHCP Alternativ läser du DHCP alternativstöd.

1

Öppna webbsidan för telefonadministration.

http://<ip adress>/admin/advanced

2

Välj Röst > Etablering.

3

I avsnittet Konfigurationsprofil anger du alternativet DHCP att använda parametern. Denna paramter består av en serie DHCP-alternativ, avgränsade med kommatecken, som används för att hämta firmware och profiler.

Utför ett av följande:

  • Ange en sträng i det här formatet i telefonens konfigurationsfil med XML (cfg.xml):

    <DHCP_Option_To_Use ua="na">66,160,159,150,60,43,125</DHCP_Option_To_Use>

  • Ange en serie DHCP alternativ på telefonens webbsida, avgränsade med kommatecken.

Standard: 66,160,159,150,60,43,125

4

Klicka på Submit All Changes.

Stöd för DHCP alternativet

I följande tabell visas alternativen DHCP som stöds på Cisco Trådlös telefon 9821.

NätverksstandardBeskrivning
DHCP-alternativ 1Nätmask
DHCP-alternativ 2Tidsförskjutning
DHCP-alternativ 3Router
DHCP-alternativ 6Domännamnserver
DHCP-alternativ 15Domännamn
DHCP-alternativ 17Rotsökväg
DHCP-alternativ 41IP-adresslånetid
DHCP-alternativ 42NTP-server
DHCP-alternativ 43Leverantörsspecifik information

Kan användas för att tillhandahålla SCEP-konfigurationen.

DHCP-alternativ 56NTP-server
DHCP-alternativ 60Leverantörsklass-ID
DHCP-alternativ 66TFTP-servernamn
DHCP-alternativ 125Leverantörs identifiera leverantörsspecifika information
DHCP-alternativ 150TFTP-server
DHCP-alternativ 159Etableringsserver-IP
DHCP-alternativ 160Etablerings-URL

Säkerhet för trådlöst LAN

Eftersom alla WLAN-enheter som finns inom räckvidd kan ta emot all övrig WLAN-trafik är det nödvändigt att säkra röstkommunikation i WLAN. För att säkerställa att inkräktare inte manipulerar eller avlyssnar rösttrafik stöder Cisco SAFE Security-arkitekturen telefonen. Mer information om säkerhet i nätverk finns ihttp://www.cisco.com/en/US/netsol/ns744/networking_solutions_program_home.html.

Telefonilösningen Cisco Wireless IP tillhandahåller säkerhet för trådlösa nätverk som förhindrar obehöriga inloggningar och komprometterad kommunikation genom att använda följande autentiseringsmetoder som telefonen stöder.

  • Öppen autentisering: Alla trådlösa enheter kan begära autentisering i ett öppet system. Åtkomstpunkten som tar emot begäran kan medge autentisering för alla begäranden eller bara för de begäranden som finns med i en lista över användare. Kommunikationen mellan den trådlösa enheten och åtkomstpunkten (åtkomstpunkten) kan vara icke-krypterad.

  • Extensible Authentication Protocol-Flexible Authentication via Secure Tunneling (EAP-FAST) Autentisering: Den här säkerhetsarkitekturen på klient-servern krypterar EAP-transaktioner i en TLS-tunnel (Transport Level Security) mellan åtkomstpunkten och RADIUS-servern, till exempel ISE (Identity Services Engine).

    TLS-tunneln använder skyddad PAC (Protected Access Credentials) för autentisering mellan klienten (telefonen) och RADIUS-servern. Servern skickar ett utfärdar-ID till klienten (telefon), som i sin tur väljer lämpligt PAC. Klienten (telefonen) returnerar ett PAC-täckande till RADIUS-servern. Servern dekrypterar PAC med den primära nyckeln. Båda slutpunkterna har nu PAC-nyckeln och en TLS-tunnel skapas. EAP-FAST stöder automatisk PAC-etablering, men du måste aktivera den på RADIUS-servern.

    I ISE upphör PAC som standard att gälla om en vecka. Om telefonen har en utgången PAC, tar autentisering med RADIUS-servern längre tid när telefonen får ett nytt PAC. För att undvika fördröjningar i PAC-etableringen kan du sätta PAC-utgångstiden till 90 dagar eller längre på ISE- eller RADIUS-servern.

  • Autentisering via EAP-TLS (Extensible Authentication Protocol-Transport Layer Security): EAP-TLS kräver ett klientcertifikat för autentisering och nätverksåtkomst. För trådlösa EAP-TLS kan klientcertifikatet vara MIC eller användarinstallerat certifikat.

  • Skyddat PEAP (Extensible Authentication Protocol): Ciscos tillverkarspecifika lösenordsbaserade och växelvisa autentiseringsschema mellan klient (telefon) och RADIUS-server. Telefonen kan använda PEAP för autentisering med det trådlösa nätverket. Både PEAP-MSCHAPV2 och PEAP-GTC autentiseringsmetoder stöds.

    Om du vill stödja PEAP-GTC-autentisering för Cisco Wireless Phone 9821 konfigurerar du den nödvändiga principen i policyuppsättningen Cisco ISE.

  • PSK (Pre-Shared Key): Telefonen stöder formaten ASCII och hexadecimalt (HEX). Du måste använda dessa format när du konfigurerar en i förväg delad WPA2/SAE-nyckel.

    ASCII: En ASCII-teckensträng med 8 till 63 tecken i längd (0-9, gemener a-z, versaler A-Z och specialtecken). Till exempel GREG123567@9ZX&W.

    HEX: En HEX-teckensträng med 64 hexsiffror i längd (0-9, a-f eller A-F).

Följande autentiseringsscheman använder RADIUS-servern för att hantera autentiseringsnycklar:

  • WPA2/WPA3: Använder RADIUS serverinformation för att skapa unika nycklar för autentisering. Eftersom de här nycklarna har genererats på den centrala RADIUS-servern ger WPA2/WPA3 högre säkerhet än i förväg delade WPA-nycklar som lagras på åtkomstpunkten och telefonen.

  • Säker och snabb roaming: Används med RADIUS-server och information om trådlös domänserver vid hantering och autentisering av nycklar. WDS skapar en cache med säkerhetsuppgifter för FT-aktiverade klientenheter för snabb och säker omautentisering.

Med WPA2/WPA3 matas inga krypteringsnycklar in på telefonen, utan härleds automatiskt mellan åtkomstpunkten och telefonen. Men EAP-användarnamn och lösenord som används för autentisering måste anges på respektive telefon.

För att skydda rösttrafiken via den trådlösa länken stöder telefonen AES-baserad kryptering för WPA2/WPA3-autentisering. AES är ett symmetriskt blockchiffer standardiserat av NIST. AES använder en fast 128-bitars blockstorlek och stöder nyckelstorlekar på 128 bitar, 192 bitar och 256 bitar. I Wi-Fi-nätverk används AES av chiffersviter som CCMP eller GCMP, medan autentisering tillhandahålls separat av PSK, SAE eller 802.1X/EAP, beroende på det konfigurerade WLAN-säkerhetsläget. Vilken chiffersviten och nyckelstorleken som stöds beror på telefonmodellen och WLAN konfigurationen.

Autentiserings- och krypteringsscheman ställs in i det trådlösa nätverket. VLAN konfigureras i nätverket och på åtkomstpunkterna, och anger olika kombinationer av autentisering och kryptering. Ett SSID kan kopplas till ett VLAN och valt autentiserings- och krypteringsschema. För att trådlösa klientenheter ska kunna autentiseras måste du konfigurera samma SSID med deras autentiserings- och krypteringsscheman på åtkomstpunkterna och på telefonen.

Vissa autentiseringsscheman kräver en viss typ av kryptering.

När du använder WPA2 i förväg delad nyckel eller SAE måste den i förväg delade nyckeln ställas in statiskt på telefonen. De här nycklarna måste matcha nycklarna som finns på åtkomstpunkten.

Autentiserings- och krypteringsscheman i följande tabell visar nätverkskonfigurationsalternativen för Cisco trådlös telefon 9821 som motsvarar AP-konfigurationen.

Tabell 1. Autentiserings- och krypteringsscheman
Typ av FSRAutentiseringNyckelhanteringKrypteringPMF (Protected Management Frame)
802.11r (FOT)PSK

WPA-PSK

WPA-PSK-SHA256

FT-PSK

AESNej
802.11r (FOT)WPA3

SAE

FT-SAE

AESJa
802.11r (FOT)EAP-TLS

WPA-EAP

FT-EAP

AESNej
802.11r (FOT)EAP-TLS (WPA3)

WPA-EAP-SHA256

FT-EAP

AESJa
802.11r (FOT)EAP-FAST

WPA-EAP

FT-EAP

AESNej
802.11r (FOT)EAP-FAST (WPA3)

WPA-EAP-SHA256

FT-EAP

AESJa
802.11r (FOT)EAP-PEAP

WPA-EAP

FT-EAP

AESNej
802.11r (FOT)EAP-PEAP (WPA3)

WPA-EAP-SHA256

FT-EAP

AESJa
icke-FTSvit - BWPA-EAP-SVIT-BGCMPJa
icke-FTSvit B-192WPA-EAP-SVIT-B-192GCMPJa

Ställ in Wi-Fi profil

Du kan konfigurera Wi-Fi-profiler från webbsidan för telefonadministration eller via en fjärrsynkronisering av enhetsprofilen. När du har konfigurerat dem kan du associera dessa profiler med tillgängliga trådlösa nätverk för att upprätta anslutning. Cisco Trådlös telefon 9821 stöder högst fyra konfigurerade Wi-Fi profiler.

Profilen innehåller de parametrar som krävs för telefoner för att ansluta till telefonservern med Wi-Fi. När du skapar och använder en Wi-Fi profil behöver du eller dina användare inte konfigurera det trådlösa nätverket för enskilda telefoner.

Med en Wi-Fi-profil kan du förhindra eller begränsa ändringar i Wi-Fi-konfigurationen på användarens telefon.

Vi rekommenderar att du använder en säker profil med krypteringsaktiverade protokoll för att skydda nycklar och lösenord när du använder en Wi-Fi profil.

När du konfigurerar telefonerna för att använda autentiseringsmetoden EAP-FAST i säkerhetsläge behöver användarna individuella inloggningsuppgifter för att ansluta till en åtkomstpunkt.

1

Åtkomst till telefonens webbsida.

2

Välj Röst > System.

3

I avsnittet Wi-Fi Profil (n) anger du parametrarna enligt beskrivningen i följande tabell Parametrar för Wi-Fi profilen.

Profilkonfigurationen Wi-Fi är också tillgänglig för användarinloggningen.
4

Klicka på Submit All Changes.

Parametrar för profilen Wi-Fi

I följande tabell definieras funktionen och användningen av varje parameter i avsnittet Wi-Fi profil(n) under System Tab på telefonens webbsida. Den definierar också syntaxen för strängen som läggs till i telefonens konfigurationsfil (cfg.xml) för att konfigurera en parameter.

ParameterBeskrivning
NätverksnamnGör att du kan ange ett namn för SSID att visa på telefonen. Flera profiler kan ha samma nätverksnamn med olika säkerhetsläge.

Utför ett av följande:

  • Ange en sträng i det här formatet i telefonens konfigurationsfil med XML (cfg.xml):

    <Network_Name_1_ ua="rw">Cisco</Network_Name_1_>

  • Ange ett namn på SSID på telefonwebbsidan.

Standard: tomt

SäkerhetslägeLåter dig välja vilken autentiseringsmetod som används för säker åtkomst till Wi-Fi-nätverk. Beroende på vilken metod du väljer visas ett lösenordsfält så att du kan ange de autentiseringsuppgifter som krävs för att ansluta till Wi-Fi-nätverket.

Utför ett av följande:

  • Ange en sträng i det här formatet i telefonens konfigurationsfil med XML (cfg.xml):

    <Security_Mode_1_ ua="rw">EAP-TLS</Security_Mode_1_> <!-- tillgängliga alternativ: |EAP-FAST|||PSK||Ingen|EAP-PEAP|EAP-TLS -->

  • Välj en av metoderna på telefonwebbsidan:
    • EAP-FAST
    • PSK
    • Ingen
    • EAP-PEAP
    • EAP-TLS

Standard: Inget

Wi-Fi-användar-IDGör att du kan ange ett användar-ID för nätverksprofilen.

Det här fältet är tillgängligt när du ställer in säkerhetsläget på Auto, EAP-FAST eller EAP-PEAP. Det här är ett obligatoriskt fält och tillåter högst 32 alfanumeriska tecken.

Utför ett av följande:

  • Ange en sträng i det här formatet i telefonens konfigurationsfil med XML (cfg.xml):

    <Wi-Fi_User_ID_1_ua="rw"></Wi-Fi_User_ID_1_>

  • Ange användaren ID för nätverksprofilen på telefonwebben.

Standard: tomt

Wi-Fi-lösenordGör att du kan ange lösenord för angivet användar-ID för Wi-Fi.

Utför ett av följande:

  • Ange en sträng i det här formatet i telefonens konfigurationsfil med XML (cfg.xml):

    <Wi-Fi_Password_1_ ua="rw"></Wi-Fi_Password_1_>

  • Ange ett lösenord för användaren ID som du har lagt till på telefonens webbsida.

Standard: tomt

FrekvensbandGör att du kan välja frekvensband för den trådlösa signal som WLAN-nätverket använder.

Utför ett av följande:

  • Ange en sträng i det här formatet i telefonens konfigurationsfil med XML (cfg.xml):

    <Frequency_Band_1_ ua="rw">Auto</Frequency_Band_1_>

  • Välj ett av alternativen på telefonens webbsida:
    • Auto
    • 2,4 GHz
    • 5 GHz eller 6 GHz

Standard: automatiskt

CertifikatvalGör att du kan välja en certifikattyp för den första registreringen av certifikatet och förnyelsen av certifikatet i det trådlösa nätverket. Den här processen är endast tillgänglig för 802.1X-autentisering.

Utför ett av följande:

  • Ange en sträng i det här formatet i telefonens konfigurationsfil med XML (cfg.xml):

    <Certificate_Select_1_ ua="rw">Tillverkning installerad</Certificate_Select_1_>

  • Välj ett av alternativen på telefonens webbsida:
    • Tillverkarinstallerad
    • Anpassad installerad

Standard: Tillverkning installerad

KontrolllägeStyr om användaren får konfigurera Wi-Fi-profilerna.

Utför ett av följande:

  • Ange en sträng i det här formatet i telefonens konfigurationsfil med XML (cfg.xml):

    <Control_Mode_1_ ua="rw">Tillåt</Control_Mode_1_>

  • Välj ett av alternativen på telefonens webbsida:
    • Tillåta
    • Otillåtna
    • Begränsad

Standard: Tillåt

AktiveraStyr om profilen Wi-Fi är aktiverad.

Utför ett av följande:

  • Ange en sträng i det här formatet i telefonens konfigurationsfil med XML (cfg.xml):

    <Enable_1_ ua="rw">Ja</Enable_1_>

  • Välj ett av alternativen på telefonens webbsida:
    • Ja
    • Nej

Standard: Ja

ProfilnamnHär kan du ange ett namn på profilen som ska visas på telefonen.

Utför ett av följande:

  • Ange en sträng i det här formatet i telefonens konfigurationsfil med XML (cfg.xml):

    <Profile_Name_1_ ua="rw">Profil 1</Profile_Name_1_>

  • Ange ett namn på profilen på telefonwebbsidan.

Standard: Profil 1

PSK-lösenordsfrasGör att du kan ange PSK-lösenfrasen när säkerhetsläget är inställt på PSK.

Utför ett av följande:

  • Ange en sträng i det här formatet i telefonens konfigurationsfil med XML (cfg.xml):

    <PSK_Passphrase_1_ ua="rw">*************</PSK_Passphrase_1_>

  • Ange lösenordsfrasen PSK på telefonens webbsida.

Standard: Tillåt

802.1X-autentisering för kabelanslutna nätverk

Cisco Trådlös telefon 9821 stöder 802.1X-autentisering för trådbundna nätverk. Detta används vanligtvis under automatisk etablering när telefonen är ansluten till skrivbordsladdaren via en USB-till-Ethernet-adapter som stöds.

Stöd för 802.1X-autentisering i kabelanslutna nätverk kräver flera komponenter enligt följande:

  • Cisco IP-telefon: Telefonen initierar begäran om att få tillgång till nätverket. Cisco IP-telefon innehåller en 802.1X-supplikant. Supplikanten tillåter att nätverksadministratörer kan styra uppkoppling av IP-telefoner till LAN-växelportar. I den aktuella versionen av telefonens 802.1X-supplikant används EAP-FAST och EAP-TLS för nätverksautentisering.

  • Autentiseringsserver: Både autentiseringsservern och växeln måste konfigureras med en delad RADIUS-hemlighet.

  • Växel: Växeln måste ha stöd för 802.1X så att den kan fungera som autentiserare och vidarebefordra EAP-meddelanden mellan telefonen och autentiseringsservern. När utväxlingen är klar beviljar eller nekar växeln åtkomst till nätverket för telefonen.

Cisco IP-telefoner och Cisco Catalyst-växlar använder traditionellt Ciscos CDP-protokoll för att identifiera varandra och fastställa parametrar som VLAN-tilldelning och interna strömbehov.

Du måste utföra följande åtgärder för att konfigurera 802.1X.

  • Konfigurera förbikoppling av CDP/LLDP röst VLAN.

  • Konfigurera autentiseringsservern och växeln innan du aktiverar 802.1X-autentisering för kabelanslutna nätverk på telefonen.

  • Konfigurera röst-VLAN: Eftersom 802.1X-standarden inte tar hänsyn till VLAN, bör du konfigurera den här inställningen baserat på växelstöd.

    • Aktiverad: Om du använder en växel som stöder multidomänautentisering kan du konfigurera den för att använda rösten VLAN.
    • Inaktiverat: Om växeln inte stöder multidomänautentisering inaktiverar du röst-VLAN och överväg sedan att tilldela porten till det inbyggda VLAN-nätet.
  • Cisco Trådlös telefon 9821 har ett annat prefix i PID än det för de andra Cisco telefonerna. Om du vill att telefonen ska klara 802.1X-autentisering ställer du in radien · Användarnamnsparameter för att inkludera din Cisco trådlösa telefon 9821.

    Till exempel är PID för Cisco Wireless Phone 9821 WP-9821. Du kan ställa in radie· Användarnamn för att börja med WP eller Innehåller WP i båda följande avsnitt:

    • Policy > Villkor > Biblioteksvillkor

    • Policy > Principuppsättningar > Auktoriseringsprincip > Auktoriseringsregel 1

Aktivera 802.1X-autentisering för kabelanslutna nätverk på telefonen

Följ dessa steg för att aktivera 802.1X-autentisering för kabelanslutna nätverk på telefonen. Observera att 802.1X-autentisering för Wi-Fi är aktiverat som standard och inte kräver någon manuell konfiguration.

1

Gå till inställningarna 9821 Settings app icon App.

2

Om du uppmanas till det anger du lösenordet för att komma åt menyn Inställningar . Du kan få lösenordet från din administratör.

3

Välj Administratörsinställningar > Säkerhetsinställning > 802.1X-autentisering.

4

Markera Enhetsautentisering och tryck på .

Aktivera 802.1X-autentisering för kabelanslutna nätverk på telefonens webbsida

När 802.1X-autentisering för kabelanslutna nätverk är aktiverat använder telefonen 802.1X-autentisering för att begära nätverksåtkomst från Ethernet LAN-porten. När 802.1X-autentisering för kabelanslutna nätverk är inaktiverat använder telefonen Cisco Discovery Protocol (CDP) för att hämta VLAN och nätverksåtkomst. Observera att 802.1X-autentisering för Wi-Fi är aktiverat som standard och inte kräver någon manuell konfiguration.

Du kan välja ett certifikat (MIC/SUDI eller CDC) som används för 802.1X-autentisering. Mer information om CDC finns i Certifikat för anpassade enheter på Cisco trådlösa telefon 9821.

Du kan visa transaktionsstatus och säkerhetsinställningar på telefonskärmens meny. Mer information finns i Säkerhetsinställningsmenyn på telefonen.

1

Aktivera 802.1X-autentisering.

Välj Röst > System. I avsnittet 802.1X-autentisering anger du parametern Aktivera 802.1X-autentisering till Ja.

Du kan även konfigurera parametern i konfigurationsfilen (cfg.xml):

<Enable_802.1X_Authentication ua="rw">Ja</Enable_802.1X_Authentication>

Giltiga värden: Ja|Nej

Standard: Nej

2

I avsnittet 802.1X-autentisering väljer du ett av följande installerade certifikat som används för 802.1X-autentisering i listrutan Certifikatval .

Värdealternativ:

  • Tillverkning installerad: MIC/SUDI.
  • Anpassad installerad: Anpassat enhetscertifikat (CDC).

Du kan även konfigurera parametern i konfigurationsfilen (cfg.xml):

<Certificate_Select ua="rw">Anpassad installerad</Certificate_Select>

Giltiga värden: Tillverkning installerad|Anpassad installerad

Standard: Tillverkning installerad

3

Konfigurera parametern Användare ID som ska användas som identitet för 802.1X-autentisering i det kabelanslutna nätverket.

Den här konfigurationen gäller endast när du använder ett CDC (Custom Device Certificate) för kabelansluten 802.1X-autentisering, där Certificate Select är inställt på Custom installerat.

Du kan även konfigurera parametern i konfigurationsfilen (cfg.xml):

<Wired_User_ID ua="na"></Wired_User_ID>

Giltiga värden: Max 127 tecken

Standard: tomt

Den här parametern stöder även makroexpansionsvariabler, se Makroexpansionsvariabler för mer information.

Information om hur du etablerar användaren ID med en kombination med alternativen DHCP finns i Etablering av användare ID via DHCP alternativ 15.

4

Klicka på Submit All Changes.

Menyn Säkerhetsinställningar på telefonen

Om du vill visa information om säkerhetsinställningarna från telefonmenyn öppnar du Inställningar 9821 Settings app icon och välj Administratörsinställningar > Säkerhetsinställning > 802.1X-autentisering . Hur tillgänglig informationen är beror på nätverksinställningarna i organisationen.

Parametrar

Alternativ

Standard

Beskrivning

Enhetsautentisering

Av

Av

Aktiverar eller inaktiverar 802.1X-autentisering på telefonen.

Parameterinställningen kan behållas efter telefonens OOB-registrering (Out-Of-Box).

Transaktionsstatus

Inaktiverad

Visar status för 802.1X-autentisering. Staten kan vara (inte begränsad till):

  • Autentisering – Anger att autentiseringsprocessen pågår.
  • Autentiserad – Anger att telefonen är autentiserad.
  • Inaktiverat – Anger att 802.1x-autentisering har inaktiverats på telefonen.
  • Ansluter – Anger att telefonen skickar EAP startmeddelanden till växeln var 30:e sekund.
  • Förvärvat – Indikerar att växeln har avvisat telefonens begäran om EAP och att telefonen inte får någon EAP-TLS- eller EAP-FAST-utmaning från växeln. Telefonen försöker skicka EAP begäranden igen.
  • Frånkopplad – Indikerar att Ethernet-kabeln är frånkopplad.
  • Vänt – Indikerar att växeln har behandlat telefonens EAP begäran men avvisat autentiseringen EAP-FAST eller EAP-TLS. Telefonen försöker skicka EAP begäranden igen.

Protokoll

Ingen

Visar metoden EAP som används för 802.1X-autentisering. Protokollet kan vara EAP-FAST eller EAP-TLS.

Typ av användarcertifikat

Tillverkarinstallerad

Anpassad installerad

Tillverkarinstallerad

Väljer certifikatet för 802.1X-autentisering under den första registreringen och certifikatförnyelsen.

  • Tillverkning installerad – SUDI (Secure Unique Device Identifier) används.
  • Anpassad installation – CDC (Custom Device Certificate) används. Den här typen av certifikat kan installeras antingen genom manuell uppladdning på telefonens webbsida eller genom installation från en SCEP-server (Simple Certificate Enrollment Protocol).

Den här parametern visas bara på telefonen när enhetsautentisering har aktiverats.

Ändra användar- och administratörslösenord

Vid den första registreringen med ett samtalskontrollsystem eller efter en fabriksåterställning måste du konfigurera både användar- och administratörslösenord när du öppnar webbsidan för telefonadministration. Du kan uppdatera dessa autentiseringsuppgifter när som helst för att upprätthålla enhetens säkerhet.

Giltiga lösenordsregler är följande:

  • Lösenordet måste innehålla minst 8 till 127 tecken.
  • En kombination (tre av de fyra typerna) av stor bokstav, liten liten liten bokstav, siffra och specialtecken.
  • Utrymme är inte tillåtet.
1

Öppna webbsidan för telefonadministration.

2

Välj Röst > System.

3

(Valfritt) Ange parametern Visa lösenordsvarningar till Ja i avsnittet Systemkonfiguration och klicka sedan på Skicka alla ändringar.

Det går även att aktivera parametrarna i telefonens konfigurationsfil (cfg.xml).

<Display_Password_Warnings ua="na">Ja</Display_Password_Warnings>

Standard: Ja

Alternativ: Ja|Nej

Om parametern är inställd på Nej visas inte lösenordsvarningen på telefonskärmen.

4

Leta reda på parametern User Password (Användarlösenord ) eller Admin Password (Administratörslösenord) och klicka på Change Password (Ändra lösenord ) bredvid parametern.

5

Ange det aktuella lösenordet i fältet Gammalt lösenord.

6

Ange ett nytt lösenord i fältet Nytt lösenord.

Om det nya lösenordet inte uppfyller de giltiga lösenordsreglerna nekas inställningen.

7

Klicka på Skicka.

Meddelandet Lösenordet har ändrats. visas på webbsidan. Webbsidan uppdateras om några sekunder.

När du har ställt in lösenordet visar parametern följande i telefonens konfigurationsfil (cfg.xml):

<!-- <Admin_Password ua="na">*************</Admin_Password> <User_Password ua="rw">*************</User_Password> -->

Ange lägsta TLS-version för klient och server

Som standard är den lägsta TLS-versionen för klient och server 1.2. Det innebär att klienten och servern accepterar att upprätta anslutningar med TLS 1.2 eller högre. Den maximala versionen TLS för klient och server som stöds är 1.3. När den har konfigurerats används den lägsta TLS-versionen för förhandling mellan TLS-klienten och TLS-servern.

Du kan ange den lägsta versionen av TLS för klient respektive server, till exempel 1.1, 1.2 eller 1.3.

Innan du börjar

Kontrollera att TLS-servern har stöd för den lägsta konfigurerade versionen av TLS. Du kan rådgöra med administratören för samtalskontrollsystemet.

1

Öppna webbsidan för telefonadministration.

2

Välj Röst > System.

3

I avsnittet Säkerhetsinställningar konfigurerar du parametern TLS Min version av klient.

  • TLS 1.1: TLS-klienten stöder versionerna av TLS från 1.1 till 1.3.

    Om TLS-versionen på servern är lägre än 1.1 kan anslutningen inte upprättas.

  • TLS 1.2 (standard): TLS-klienten stöder TLS 1.2 och 1.3.

    Om TLS-versionen på servern är lägre än 1.2, till exempel 1.1, kan anslutningen inte upprättas.

  • TLS 1.3: TLS-klienten stöder endast TLS 1.3.

    Om TLS-versionen på servern är lägre än 1.3, till exempel 1.2 eller 1.1, kan anslutningen inte upprättas.

    Om du vill ställa in parametern "TLS Client Min Version" till "TLS 1.3", kontrollerar du att serversidan stöder TLS 1.3. Om serversidan inte stöder TLS 1.3 kan det orsaka allvarliga problem. Etableringsåtgärderna kan till exempel inte utföras på telefonerna.

Du kan även konfigurera parametern i konfigurationsfilen (cfg.xml):

<TLS_Client_Min_Version ua="na">TLS 1.2</TLS_Client_Min_Version>

Tillåtna värden: TLS 1.1, TLS1.2 och TLS 1.3.

Standard: TLS 1.2

4

I avsnittet Säkerhetsinställningar konfigurerar du parametern TLS Serverminversion.

Webex Calling stöder inte TLS 1.1.

  • TLS 1.1: TLS-servern stöder versionerna av TLS från 1.1 till 1.3.

    Om TLS-versionen i klienten är lägre än 1.1 kan anslutningen inte upprättas.

  • TLS 1.2 (standard): TLS-servern stöder TLS 1.2 och 1.3.

    Om TLS-versionen i klienten är lägre än 1.2, till exempel 1.1, kan anslutningen inte upprättas.

  • TLS 1.3: TLS-servern stöder endast TLS 1.3.

    Om TLS-versionen i klienten är lägre än 1.3, till exempel 1.2 eller 1.1, kan anslutningen inte upprättas.

Du kan även konfigurera parametern i konfigurationsfilen (cfg.xml):

<TLS_Server_Min_Version ua="na">TLS 1.2</TLS_Server_Min_Version>

Tillåtna värden: TLS 1.1, TLS1.2 och TLS 1.3.

Standard: TLS 1.2

5

Klicka på Submit All Changes.

Aktivera klientinitierat läge för säkerhetsförhandlingar på medieplanet

För att skydda mediesessioner kan du konfigurera telefonen så att den initierar säkerhetsförhandlingar med medieplan med servern. Säkerhetsmekanismen följer de standarder som anges i RFC 3329 och dess tilläggsutkast Security Mechanism Names for Media (Se https://tools.ietf.org/html/draft-dawes-sipcore-mediasec-parameter-08#ref-2). Transport av förhandlingar mellan telefonen och servern kan använda SIP-protokoll över UDP, TCP och TLS. Du kan enbart begränsa användning av säkerhetsförhandling för medieplan om signalprotokollet är TLS.

Tabell 2. Parametrar för säkerhetsförhandling på medieplanet
ParameterBeskrivning

MediaSec-förfrågan

Anger om telefonen initierar säkerhetsförhandlingar för medieplan med servern.

Utför ett av följande:

  • Ange en sträng i det här formatet i telefonens konfigurationsfil med XML (cfg.xml):

    <MediaSec_Request_1_ ua="na">Ja</MediaSec_Request_1_>
  • Ställ in det här fältet som Ja eller Nej i telefonens webbgränssnitt utifrån dina önskemål.

Tillåtna värden: Ja|Nej

  • Ja – klientinitierat läge. Telefonen initierar säkerhetsförhandlingar för medieplan.
  • Nej – Serverinitierat läge. Servern initierar säkerhetsförhandlingar för medieplan. Telefonen initierar inte förhandlingar, men kan hantera förhandlingsförfrågningar från servern för att upprätta säkra samtal.

Standard: Nej

Endast MediaSec över TLS

Anger det signaltransportprotokoll där säkerhetsförhandling för medieplan tillämpas.

Innan du ställer in det här fältet på Ja ska du kontrollera att signaltransportprotokollet är TLS.

Utför ett av följande:

  • Ange en sträng i det här formatet i telefonens konfigurationsfil med XML (cfg.xml):

    <MediaSec_Over_TLS_Only_1_ ua="na">Nej</MediaSec_Over_TLS_Only_1_>

  • Ställ in det här fältet som Ja eller Nej i telefonens webbgränssnitt utifrån dina önskemål.

Tillåtna värden: Ja|Nej

  • Ja – Telefonen initierar eller hanterar säkerhetsförhandlingar för medieplan enbart om signaltransportprotokollet är TLS.
  • Nej – Telefonen initierar och hanterar säkerhetsförhandlingar för medieplan oberoende av signaltransportprotokoll.

Standard: Nej

1

Öppna webbsidan för telefonadministration.

2

Välj Röst > Ext (n).

3

I avsnittet SIP Inställningar anger du fälten MediaSec-begäran och MediaSec över endast TLS enligt definitionen i tabellen ovan.

4

Klicka på Submit All Changes.

Var den här artikeln användbar?
Var den här artikeln användbar?