I den här artikeln
Manuell installation av certifikat för anpassade enheter genom uppladdning
dropdown icon
Automatisk installation av certifikatet för anpassade enheter av SCEP
    Parametrar för SCEP-konfiguration
    Certifikatförnyelse via SCEP
SCEP-parameterkonfiguration via DHCP-alternativ 43
Tillhandahållande av användare ID via DHCP alternativ 15
Certifikat för anpassad enhet på Cisco trådlös telefon 9821
list-menuI den här artikeln
list-menuHar du feedback?

Du kan installera ett CDC (Custom Device Certificate) antingen manuellt eller automatiskt. I vissa miljöer använder du DHCP alternativ 43 för att ange de SCEP-parametrar (Simple Certificate Enrollment Protocol) som krävs för certifikatinstallationen. Den här hjälpartikeln gäller Cisco Trådlös telefon 9821 som är registrerad på Webex Calling.

Om du vill installera ett CDC (Custom Device Certificate) på telefonen använder du något av följande sätt beroende på din situation:

Det senast installerade certifikatet på telefonen börjar gälla.

Manuell installation av certifikat för anpassade enheter genom uppladdning

Du kan installera ett CDC (Custom Device Certificate) manuellt på telefonen genom att överföra certifikatet från webbsidan för telefonadministration.

Innan du börjar

Innan du kan installera ett anpassat enhetscertifikat för en telefon måste du ha:

  • En certifikatfil (.p12 eller .pfx) som sparats på datorn. Filen innehåller certifikatet och den privata nyckeln.
  • Extraktionslösenordet för certifikatet. Lösenordet används för att dekryptera certifikatfilen.
1

Öppna webbsidan för telefonadministration.

2

Välj Certifikat.

3

I avsnittet Lägg till certifikat klickar du på Bläddra....

4

Bläddra till certifikatet på datorn.

5

Ange certifikatets extraheringslösenord i fältet Extraheringslösenord.

6

Klicka på Överför.

Om certifikatfilen och lösenordet är korrekta får du meddelandet "Certifikatet har lagts till.". Annars misslyckas uppladdningen med ett felmeddelande som anger att certifikatet inte kan laddas upp.
7

Om du vill kontrollera detaljerna för det installerade certifikatet klickar du på Visa Befintliga certifikat i avsnittet.

8

Om du vill ta bort det installerade certifikatet från telefonen klickar du på Ta bort i avsnittet Befintliga certifikat .

När du klickar på knappen startar borttagningen omedelbart utan bekräftelse.

När certifikatet har tagits bort visas meddelandet Certifikatet har tagits bort . Om certifikatet associerades med en aktiv trådlös anslutning startar du om telefonen för att tillämpa ändringarna.

Automatisk installation av certifikatet för anpassade enheter av SCEP

Du kan konfigurera SCEP-relaterade parametrar (Simple Certificate Enrollment Protocol) så att de interagerar med SCEP-servern och installerar CDC (Custom Device Certificate) automatiskt.

När någon av SCEP-parametrarna har konfigurerats skickar telefonen en begäran om SCEP-registrering till servern. Telefonen validerar det mottagna CA-certifikatet med det konfigurerade fingeravtrycket.

Innan du börjar

Innan du kan utföra en automatisk installation av ett CDC (Custom Device Certificate) för en telefon måste du ha:

  • SCEP-serveradress
  • SHA-1 eller SHA-256 fingeravtryck för rot-CA-certifikatet i SCEP-servern
1

Öppna webbsidan för telefonadministration.

2

Välj Certifikat.

3

I avsnittet SCEP-konfiguration 1 anger du parametrarna enligt beskrivningen i Parametrar för SCEP-konfiguration .

4

Klicka på Submit All Changes.

Parametrar för SCEP-konfiguration

I följande tabell definieras funktionen och användningen av SCEP-konfigurationsparametrar i avsnittet SCEP-konfiguration 1 under Certificate Tab i telefonens webbgränssnitt. Den definierar också syntaxen för strängen som läggs till i telefonens konfigurationsfil (cfg.xml) för att konfigurera en parameter.

Alla ändringar av parametrarna gör att telefonen begär ett nytt certifikat.

Tabell 1. Parametrar för SCEP-konfiguration
ParameterBeskrivning
Server

SCEP-serveradress. Den här parametern är obligatorisk.

Utför ett av följande:

  • Ange en sträng i det här formatet i telefonens konfigurationsfil med XML (cfg.xml):

    <CDC_Server_1_ ua = "na"> http://10.79.57.91</CDC_Server_1_>

  • Ange SCEP-serveradressen på telefonens webbsida.

Giltiga värden: En URL eller IP-adress. HTTPS-schemat stöds inte.

Standard: tomt

CA-fingeravtryck

Rotcertifikatutfärdarens SHA256- eller SHA1-fingeravtryck för validering under SCEP-processen. Den här parametern är obligatorisk.

Utför ett av följande:

  • Ange en sträng i det här formatet i telefonens konfigurationsfil med XML (cfg.xml):

    <CDC_Root_CA_Fingerprint_1_ ua="na">12040870625C5B755D73F5925285F8F5FF5D55AF</CDC_Root_CA_Fingerprint_1_>

  • Ange ett giltigt fingeravtryck på telefonens webbsida.

Standard: tomt

Certifikatförnyelse via SCEP

Enhetscertifikatet kan uppdateras automatiskt av SCEP-processen.

  • Telefonen kontrollerar om certifikatet upphör att gälla om 15 dagar var 4:e timme. I så fall startar telefonen certifikatförnyelseprocessen automatiskt.
  • Om utmaningslösenordet är tomt använder telefonen MIC/SUDI för både den första inskrivningen och certifikatförnyelsen. Om utmaningslösenordet är konfigurerat används det endast för den första registreringen, det befintliga/installerade certifikatet används för certifikatförnyelse.
  • Telefonen tar inte bort det gamla enhetscertifikatet förrän det hämtar det nya.
  • Om certifikatförnyelsen misslyckas på grund av att enhetscertifikatet eller CA (Certifikatutfärdaren) har upphört att gälla, utlöser telefonen den första inskrivningen automatiskt. Om autentiseringen av utmaningslösenordet misslyckas, dyker en lösenordsinmatningsskärm upp på telefonskärmen och användarna uppmanas att ange utmaningslösenordet på telefonen.

SCEP-parameterkonfiguration via DHCP-alternativ 43

I vissa miljöer där du inte kan installera CDC (Custom Device Certificate) genom att ladda upp det eller konfigurera SCEP-parametrarna direkt. I det här fallet kan du använda alternativet DHCP 43 för att fylla i parametrarna från en DHCP-server. Alternativet DHCP 43 kan konfigureras för att tillhandahålla SCEP-parametrarna till telefonen. När telefonen har återställts till fabriken kan den ta emot parametrarna från DHCP servern för att installera CDC via SCEP-protokollet.

  • Den här funktionen (SCEP-parameterkonfiguration via DHCP alternativ 43) är endast tillgänglig för telefoner som återställts till fabriksinställningarna.
  • Telefoner får inte placeras i ett nätverk som har stöd för alternativ 43 och fjärretablering (t.ex. alternativ 66,160,159,150 eller molnetablering). Annars kanske telefonerna inte får alternativet 43-konfigurationer.

Följ dessa steg för att installera ett CDC-certifikat med SCEP-parametrarna som tillhandahålls från alternativet DHCP 43.

1

Förbered en SCEP-miljö.

Mer information om hur SCEP-miljön konfigureras finns i dokumentationen till SCEP-servern.

2

Ställ in DHCP-alternativ 43 (definieras i 8.4 Leverantörsspecifik information, RFC 2132).

Delalternativen (10–12) är reserverade för metoden:

Parameter på telefonens webbsidaUnderalternativTypLängd (byte)Mandatory
FIPS-läge 10 boolesk 1 Nej*
Server 11 sträng 208 - längd Ja
Root CA-fingeravtryck 12 Hex 20, 32, 48 eller 64 Ja

* betyder att parametern är konfigurerad enligt den faktiska situationen.

När du använder DHCP-alternativet 43 bör du lägga märke till följande egenskaper hos metoden:

  • Underalternativen (10–12) är reserverade för Custom Device Certificate (CDC).
  • Den maximala längden på DHCP-alternativ 43 är 255 byte.
  • Värdet för FIPS-läge måste anges till Inaktiverat eftersom Cisco Trådlös telefon 9821 inte stöder FIPS-läge.
  • DHCP-alternativ 60 (Vendor Class Identifier) används för att identifiera enhetsmodellen.

Exempel på DHCP alternativ 43 (delalternativ 10–15):

Underalternativ decimal/hexVärdelängd (byte) decimal/hexVärdeHexvärde
10/0a 1/01 0 (0: Inaktiverad; 1: Aktiverad) 00
11/0b 18/12 http://10.79.57.91 687474703a2f2f31302e37392e35372e3931
12/0c 20/14 12040870625C5B755D73F5925285F8F5FF5D55AF 12040870625C5B755D73F5925285F8F5FF5D55AF

Sammanfattning av parametervärdena:

  • FIPS-läge = Inaktiverat

  • Server = http://10.79.57.91

  • Root CA Fingerprint = 12040870625C5B755D73F5925285F8F5FF5D55AF

Syntaxen för det slutliga hexvärdet är: {<suboption><length><value>}...

Enligt parametervärdena ovan är det slutliga hexvärdet följande:

0a01000b12687474703a2f2f31302e37392e35372e39310c1412040870625C5B755D73F5925285F8F5FF5D55AF
3

Konfigurera DHCP-alternativ 43 på en DHCP-server.

Det här steget är ett exempel på DHCP-alternativ 43-konfigurationer på Cisco Network Register.

  1. Lägg till DHCP-alternativdefinitionsset.

    Strängen för leverantörsalternativet är modellnamnet på IP-telefonerna. Det giltiga värdet är: WP-9821.

  2. Lägg till DHCP-alternativet 43 och underalternativen i definitionsuppsättningen för DHCP-alternativ.

    Se följande skärmbild som exempel:

    Skärmbild av alternativet DHCP 43 definitioner för 9821 på Cisco Nätverksregister

  3. Lägg till alternativ 43 i DHCP-policyn och ställ in värdet enligt följande:

    Exempel:

    (10 1)(11 http://10.79.57.91)(12 12040870625C5B755D73F5925285F8F5FF5D55AF)

  4. Kontrollera inställningarna. Du kan använda Wireshark för att fånga en spårning av nätverkstrafiken mellan telefonen och tjänsten.
4

Utför en fabriksåterställning för telefonen.

När telefonen har återställts fylls parametrarna Server och Root CA Fingerprint i automatiskt. Dessa parametrar finns i avsnittet SCEP Configuration 1 från Certificate > Custom på webbsidan för telefonadministration.

Om du vill kontrollera detaljerna för det installerade certifikatet klickar du på Visa Befintliga certifikat i avsnittet.

Om du vill kontrollera certifikatets installationsstatus väljer du Certifikat > Anpassad certifikatstatus. Hämtningsstatus 1 visar det senaste resultatet. Om något problem uppstår under certifikatinskrivningen kan nedladdningsstatusen visa problemorsaken för felsökningsändamål.

5

(Valfritt) Om du vill ta bort det installerade certifikatet från telefonen klickar du på Ta bort i avsnittet Befintliga certifikat .

När du klickar på knappen startar borttagningen omedelbart utan bekräftelse.

Tillhandahållande av användare ID via DHCP alternativ 15

Det här avsnittet gäller 802.1X-autentisering endast för kabelanslutna nätverk.

Under SCEP-certifikatregistreringen via alternativ DHCP 43 kan telefonen även hämta domännamnet som anges i alternativ DHCP 15 (om det har konfigurerats). När telefonen tar emot domännamnet kan den konstruera användaren ID med domännamnet, som representeras enligt följande.

  • Användare ID = <Vanligt namn i MIC/SUDI >@<domännamn i alternativ 15>

    Användaren ID används som identitet för kabelansluten 802.1X-autentisering.

Till exempel är adressen MAC för en Cisco trådlös telefon 9821 C8:78:F7:7C:09:F9.

Domännamn i DHCP alternativ 15Användar-ID
example.nlWP-9821-SEPC878F77C09F9@example.nl
TomWP-9821-SEPC878F77C09F9
Var den här artikeln användbar?
Var den här artikeln användbar?