- Start
- /
- Artikel
Du kan installera ett CDC (Custom Device Certificate) antingen manuellt eller automatiskt. I vissa miljöer använder du DHCP alternativ 43 för att ange de SCEP-parametrar (Simple Certificate Enrollment Protocol) som krävs för certifikatinstallationen. Den här hjälpartikeln gäller Cisco Trådlös telefon 9821 som är registrerad på Webex Calling.
Om du vill installera ett CDC (Custom Device Certificate) på telefonen använder du något av följande sätt beroende på din situation:
- Manuell installation – du kan installera ett certifikat genom att ladda upp det från webbsidan för telefonadministration. Mer information finns i Manuell installation av certifikat för anpassade enheter genom uppladdning.
- Automatisk installation – du kan konfigurera SCEP-parametrarna (Simple Certificate Enrollment Protocol) för att utlösa en automatisk installation av ett certifikat. Telefonen skickar SCEP-förfrågningar till en SCEP-server om att installera certifikatet.
SCEP-parametrarna kan konfigureras via webbsidan för telefonadministration, telefonkonfigurationsfilen (cfg.XML) eller Control Hub. Mer information finns i Automatisk installation av certifikat för anpassad enhet av SCEP och Parametrar för telefoninställningar i Control Hub.
- DHCP alternativ 43 – I vissa miljöer kan du installera ett certifikat genom att använda alternativet DHCP 43. Alternativ 43 kan tillhandahålla SCEP-parametrar för certifikatinstallationen. Mer information finns i SCEP-parameterkonfiguration via DHCP alternativ 43.
När du använder alternativ DHCP 43 för etablering av SCEP-parametrar kan telefonen även hämta domännamnet från alternativ DHCP alternativ 15. Baserat på det hämtade domännamnet kan telefonen konstruera 802.1X-användaren ID för trådbunden nätverksanslutning. Mer information finns i Etablering av användare ID via DHCP alternativ 15.
Mer information om hur du konfigurerar DHCP-alternativ finns i Konfigurera DHCP-alternativ.
Det senast installerade certifikatet på telefonen börjar gälla.
Manuell installation av certifikat för anpassade enheter genom uppladdning
Du kan installera ett CDC (Custom Device Certificate) manuellt på telefonen genom att överföra certifikatet från webbsidan för telefonadministration.
Innan du börjar
Innan du kan installera ett anpassat enhetscertifikat för en telefon måste du ha:
- En certifikatfil (.p12 eller .pfx) som sparats på datorn. Filen innehåller certifikatet och den privata nyckeln.
- Extraktionslösenordet för certifikatet. Lösenordet används för att dekryptera certifikatfilen.
| 1 |
Öppna webbsidan för telefonadministration. |
| 2 |
Välj Certifikat. |
| 3 |
I avsnittet Lägg till certifikat klickar du på Bläddra.... |
| 4 |
Bläddra till certifikatet på datorn. |
| 5 |
Ange certifikatets extraheringslösenord i fältet Extraheringslösenord. |
| 6 |
Klicka på Överför. Om certifikatfilen och lösenordet är korrekta får du meddelandet "
Certifikatet har lagts till.". Annars misslyckas uppladdningen med ett felmeddelande som anger att certifikatet inte kan laddas upp. |
| 7 |
Om du vill kontrollera detaljerna för det installerade certifikatet klickar du på Visa Befintliga certifikat i avsnittet. |
| 8 |
Om du vill ta bort det installerade certifikatet från telefonen klickar du på Ta bort i avsnittet Befintliga certifikat . När du klickar på knappen startar borttagningen omedelbart utan bekräftelse. När certifikatet har tagits bort |
Automatisk installation av certifikatet för anpassade enheter av SCEP
Du kan konfigurera SCEP-relaterade parametrar (Simple Certificate Enrollment Protocol) så att de interagerar med SCEP-servern och installerar CDC (Custom Device Certificate) automatiskt.
När någon av SCEP-parametrarna har konfigurerats skickar telefonen en begäran om SCEP-registrering till servern. Telefonen validerar det mottagna CA-certifikatet med det konfigurerade fingeravtrycket.
Innan du börjar
Innan du kan utföra en automatisk installation av ett CDC (Custom Device Certificate) för en telefon måste du ha:
- SCEP-serveradress
- SHA-1 eller SHA-256 fingeravtryck för rot-CA-certifikatet i SCEP-servern
| 1 |
Öppna webbsidan för telefonadministration. |
| 2 |
Välj Certifikat. |
| 3 |
I avsnittet SCEP-konfiguration 1 anger du parametrarna enligt beskrivningen i Parametrar för SCEP-konfiguration . |
| 4 |
Klicka på Submit All Changes. |
Parametrar för SCEP-konfiguration
I följande tabell definieras funktionen och användningen av SCEP-konfigurationsparametrar i avsnittet SCEP-konfiguration 1 under Certificate Tab i telefonens webbgränssnitt. Den definierar också syntaxen för strängen som läggs till i telefonens konfigurationsfil (cfg.xml) för att konfigurera en parameter.
Alla ändringar av parametrarna gör att telefonen begär ett nytt certifikat.
| Parameter | Beskrivning |
|---|---|
| Server |
SCEP-serveradress. Den här parametern är obligatorisk. Utför ett av följande:
Giltiga värden: En URL eller IP-adress. HTTPS-schemat stöds inte. Standard: tomt |
| CA-fingeravtryck |
Rotcertifikatutfärdarens SHA256- eller SHA1-fingeravtryck för validering under SCEP-processen. Den här parametern är obligatorisk. Utför ett av följande:
Standard: tomt |
Certifikatförnyelse via SCEP
Enhetscertifikatet kan uppdateras automatiskt av SCEP-processen.
- Telefonen kontrollerar om certifikatet upphör att gälla om 15 dagar var 4:e timme. I så fall startar telefonen certifikatförnyelseprocessen automatiskt.
- Om utmaningslösenordet är tomt använder telefonen MIC/SUDI för både den första inskrivningen och certifikatförnyelsen. Om utmaningslösenordet är konfigurerat används det endast för den första registreringen, det befintliga/installerade certifikatet används för certifikatförnyelse.
- Telefonen tar inte bort det gamla enhetscertifikatet förrän det hämtar det nya.
- Om certifikatförnyelsen misslyckas på grund av att enhetscertifikatet eller CA (Certifikatutfärdaren) har upphört att gälla, utlöser telefonen den första inskrivningen automatiskt. Om autentiseringen av utmaningslösenordet misslyckas, dyker en lösenordsinmatningsskärm upp på telefonskärmen och användarna uppmanas att ange utmaningslösenordet på telefonen.
SCEP-parameterkonfiguration via DHCP-alternativ 43
I vissa miljöer där du inte kan installera CDC (Custom Device Certificate) genom att ladda upp det eller konfigurera SCEP-parametrarna direkt. I det här fallet kan du använda alternativet DHCP 43 för att fylla i parametrarna från en DHCP-server. Alternativet DHCP 43 kan konfigureras för att tillhandahålla SCEP-parametrarna till telefonen. När telefonen har återställts till fabriken kan den ta emot parametrarna från DHCP servern för att installera CDC via SCEP-protokollet.
- Den här funktionen (SCEP-parameterkonfiguration via DHCP alternativ 43) är endast tillgänglig för telefoner som återställts till fabriksinställningarna.
- Telefoner får inte placeras i ett nätverk som har stöd för alternativ 43 och fjärretablering (t.ex. alternativ 66,160,159,150 eller molnetablering). Annars kanske telefonerna inte får alternativet 43-konfigurationer.
Följ dessa steg för att installera ett CDC-certifikat med SCEP-parametrarna som tillhandahålls från alternativet DHCP 43.
| 1 |
Förbered en SCEP-miljö. Mer information om hur SCEP-miljön konfigureras finns i dokumentationen till SCEP-servern. | ||||||||||||||||||||||||||||||||||||
| 2 |
Ställ in DHCP-alternativ 43 (definieras i 8.4 Leverantörsspecifik information, RFC 2132). Delalternativen (10–12) är reserverade för metoden:
* betyder att parametern är konfigurerad enligt den faktiska situationen. När du använder DHCP-alternativet 43 bör du lägga märke till följande egenskaper hos metoden:
Exempel på DHCP alternativ 43 (delalternativ 10–15):
Sammanfattning av parametervärdena:
Syntaxen för det slutliga hexvärdet är: Enligt parametervärdena ovan är det slutliga hexvärdet följande: 0a01000b12687474703a2f2f31302e37392e35372e39310c1412040870625C5B755D73F5925285F8F5FF5D55AF
| ||||||||||||||||||||||||||||||||||||
| 3 |
Konfigurera DHCP-alternativ 43 på en DHCP-server. Det här steget är ett exempel på DHCP-alternativ 43-konfigurationer på Cisco Network Register.
| ||||||||||||||||||||||||||||||||||||
| 4 |
Utför en fabriksåterställning för telefonen. När telefonen har återställts fylls parametrarna Server och Root CA Fingerprint i automatiskt. Dessa parametrar finns i avsnittet SCEP Configuration 1 från på webbsidan för telefonadministration. Om du vill kontrollera detaljerna för det installerade certifikatet klickar du på Visa Befintliga certifikat i avsnittet. Om du vill kontrollera certifikatets installationsstatus väljer du . Hämtningsstatus 1 visar det senaste resultatet. Om något problem uppstår under certifikatinskrivningen kan nedladdningsstatusen visa problemorsaken för felsökningsändamål. | ||||||||||||||||||||||||||||||||||||
| 5 |
(Valfritt) Om du vill ta bort det installerade certifikatet från telefonen klickar du på Ta bort i avsnittet Befintliga certifikat . När du klickar på knappen startar borttagningen omedelbart utan bekräftelse. |
Tillhandahållande av användare ID via DHCP alternativ 15
Det här avsnittet gäller 802.1X-autentisering endast för kabelanslutna nätverk.
Under SCEP-certifikatregistreringen via alternativ DHCP 43 kan telefonen även hämta domännamnet som anges i alternativ DHCP 15 (om det har konfigurerats). När telefonen tar emot domännamnet kan den konstruera användaren ID med domännamnet, som representeras enligt följande.
- Användare ID = <Vanligt namn i MIC/SUDI >@<domännamn i alternativ 15>
Användaren ID används som identitet för kabelansluten 802.1X-autentisering.
Till exempel är adressen MAC för en Cisco trådlös telefon 9821 C8:78:F7:7C:09:F9.
| Domännamn i DHCP alternativ 15 | Användar-ID |
|---|---|
| example.nl | WP-9821-SEPC878F77C09F9@example.nl |
| Tom | WP-9821-SEPC878F77C09F9 |
