Manuel olarak özel cihaz sertifikası yükleme

Sertifikayı telefon yönetimi web sayfasından karşıya yükleyerek telefona manuel olarak bir Özel Cihaz Sertifikası (CDC) yükleyebilirsiniz.

Başlamadan önce

Bir telefon için özel cihaz sertifikası yükleyebilmeniz için öncelikle şunları yapmanız gerekir:

  • Pc'nizde kaydedilmiş bir sertifika dosyası (.p12 veya .pfx). Dosya sertifikayı ve özel anahtarı içeriyor.
  • Sertifikanın ayıkla parolası. Parola, sertifika dosyasını yok etmek için kullanılır.
1

Telefonun yönetim web sayfasına erişin.

2

Sertifika seçin.

3

Sertifika Ekle bölümünde Gözat ....

4

Bilgisayarınızda sertifikaya göz atın.

5

Ayıklama parolası alanında, sertifika ayıklama parolasını girin.

6

Yükle'ye tıklayın.

Sertifika dosyası ve parola doğruysa, "Sertifika eklendi"mesajını alırsınız. Aksi takdirde, karşıya yükleme işlemi başarısız olur ve sertifikanın yüklenemez olduğunu belirten bir hata mesajı görüntülenir.
7

Yüklü sertifikanın ayrıntılarını kontrol etmek için, Mevcut Sertifikalar bölümünde Görüntüle'yi tıklatın .

8

Yüklü sertifikayı telefondan kaldırmak için, Mevcut Sertifikalar bölümünde Sil'i tıklatın .

Düğmeyi tıklattıktan sonra, kaldırma işlemi onay verilmeden hemen başlar.

Sertifika başarıyla kaldırılırsa, "Sertifika silindi"mesajını alırsınız.

SCEP'e göre özel cihaz sertifikasını otomatik olarak yükleme

Sertifika dosyasını manuel olarak karşıya yüklemek istemiyorsanız veya sertifika dosyası yerinde değilse, Basit Sertifika Kayıt Protokolü (SCEP) parametrelerini Özel Cihaz Sertifikası'nı (CDC) otomatik olarak yüklemek için ayarlayabilirsiniz.

SCEP parametreleri doğru şekilde yapılandırıldığında, telefon istekleri SCEP sunucusuna gönderir ve CA sertifikası tanımlanan parmak izi kullanılarak cihaz tarafından doğrulanır.

Başlamadan önce

Bir telefona ilişkin özel cihaz sertifikasını otomatik olarak yükleyebilmeniz için öncelikle şunları yapmanız gerekir:

  • SCEP sunucusu adresi
  • SCEP sunucusu için kök CA sertifikasının SHA-1 veya SHA-256 parmak izi
1

Telefonun yönetim web sayfasına erişin.

2

Sertifika seçin.

3

SCEP Yapılandırma 1 bölümünde, parametreleri aşağıdaki SCEP yapılandırması parametrelerindeaçıklandığı gibi ayarlayın.

4

Tüm Değişiklikleri Gönder seçeneğine tıklayın.

SCEP yapılandırması için parametreler

Aşağıdaki tablo, telefon web arayüzündeki Sertifika sekmesinde yer alan SCEP Yapılandırma 1 bölümünde yer alan SCEP yapılandırma parametrelerinin işlevini ve kullanımını tanımlar. Ayrıca, bir parametreyi yapılandırmak için telefon yapılandırma dosyasına (cfg.xml) eklenen dizenin sözdizimini de tanımlar.

Tablo 1. SCEP yapılandırması için parametreler
ParametreAçıklama
Sunucu

SCEP sunucu adresi. Bu parametre zorunludur.

Aşağıdakilerden birini yapın:

  • XML bulunan telefon yapılandırma dosyasına (cfg.xml), şu biçime sahip bir dize girin:

    <CDC_Server_1_ ua="na">http://10.79.57.91</CDC_Server_1_>

  • Telefon web sayfasında, SCEP sunucusu adresini girin.

Geçerli değerler: Bir URL veya IP adresi. HTTPS düzeni desteklenmemektedir.

Varsayılan: Boş

Kök CA Parmak İzi

SCEP işlemi sırasında doğrulama için Kök CA'nın SHA256 veya SHA1 parmak izi. Bu parametre zorunludur.

Aşağıdakilerden birini yapın:

  • XML bulunan telefon yapılandırma dosyasına (cfg.xml), şu biçime sahip bir dize girin:

    <CDC_Root_CA_Fingerprint_1_ ua="na">12040870625C5B755D73F5925285F8F5FF5D55AF</CDC_Root_CA_Fingerprint_1_>

  • Telefonun web sayfasında, geçerli bir parmak izi girin.

Varsayılan: Boş

Meydan Okuma Parolası

SCEP üzerinden sertifika kaydı sırasında telefona karşı Certificate Authority (CA) yetkilendirmesi için meydan okuma parolası. Bu parametre isteğe bağlıdır.

Gerçek SCEP ortamına göre, meydan okuma parolasının davranışı değişir.

  • Telefon, CA ile iletişim gösteren bir Cisco RA'dan sertifika alırsa, ca'da meydan okuma parolası desteklenmez. Bu durumda, Cisco RA CA'ya erişim için kimlik doğrulaması için telefonun MIC/SUDI kullanır. Telefon, hem ilk kayıt hem de sertifika yenileme için MIC/SUDI kullanır.
  • Telefon doğrudan CA ile iletişim kurarak bir sertifika alırsa, meydan okuma parolası CA'da desteklenir. Yapılandırılmışsa, yalnızca ilk kayıt için kullanılır. Sertifikanın yenilenmesi için, bunun yerine yüklenen sertifika kullanılır.

Aşağıdakilerden birini yapın:

  • XML bulunan telefon yapılandırma dosyasına (cfg.xml), şu biçime sahip bir dize girin:

    <CDC_Challenge_Password_1_ ua="na"></CDC_Challenge_Password_1_>

    Parola yapılandırma dosyasında maskelenir.

  • Telefon web sayfasında, meydan okuma parolasını girin.

Varsayılan: Boş

DHCP seçenek 43 ile SCEP parametrelerinin yapılandırılması

Telefonun web sayfasındaki manuel yapılandırmalarla SCEP sertifika kaydına ek olarak, DHCP seçeneği 43'i kullanarak da bir DHCP sunucusundan parametreleri doldurabilirsiniz. DHCP seçenek 43, SCEP parametreleriyle önceden yapılandırılır, daha sonra telefon SCEP sertifika kaydını gerçekleştirmek için parametreleri DHCP sunucusundan alabilir.

  • DHCP seçenek 43 ile SCEP parametrelerinin yapılandırılması, yalnızca fabrika ayarlarına sıfırlamanın yapıldığı telefon için kullanılabilir.
  • Telefonlar Seçenek 43 ve uzaktan kaynak ayırmayı (örneğin, Seçenekler 66,160,159,150 veya bulut tedariki) destekleyen ağa yerleştirilmeyecektir. Aksi takdirde, telefonlar Seçenek 43 yapılandırmalarını alamayabilir.

DHCP seçenek 43'te SCEP parametrelerini yapılandırarak bir SCEP sertifikasını kaydetmek için aşağıdakileri yapın:

  1. SCEP ortamı hazırlayın.

    SCEP ortam kurulumu hakkında daha fazla bilgi için SCEP sunucu belgelerinize bakın.

  2. DHCP seçenek 43'i ayarlayın (8.4 Satıcıya Özel Bilgiler, RFC 2132'de tanımlanmıştır).

    Alt öğeler (10–15) yöntem için ayrılmıştır:

    Telefon web sayfasındaki parametreÇıkarmaTürUzunluk (bayt)Zorunlu
    FIPS Modu10Boolean1Hayır*
    Sunucu11dize208 - uzunluk (Meydan Okuma Parolası)Evet
    Kök CA Parmak İzi12ikili20 veya 32Evet
    Meydan Okuma Parolası13dize208 - uzunluk (Sunucu)Hayır*
    802.1X Kimlik Doğrulamasını Etkinleştirme14Boolean1Hayır
    Sertifika Seçimi15Imzalanmamış 8-bit1Hayır

    DHCP seçenek 43'i kullanırken, yöntemin aşağıdaki özelliklerine dikkat edin:

    • Alt öğeler (10–15) Özel Cihaz Sertifikası (CDC) için ayrılmıştır.
    • Seçenek 43'DHCP maksimum uzunluğu 255 bayttır.
    • Maksimum Server + Challenge Parolası uzunluğu 208 bitten azdır.
    • FIPS Modunun değeri, sağlama yapılandırması için kullanılabilir. Aksi takdirde, telefon, yüklendikten sonra daha önce yüklü olan sertifikayı geri alamaz. Özellikle
      • Telefon FIPS modunun devre dışı olduğu bir ortamda kaydedilecekse, DHCP seçenek 43'te FIPS Modunu yapılandırmanız gerekmez. FiPS modu, varsayılan olarak devre dışıdır.
      • Telefon FIPS modunun etkin olduğu bir ortamda kaydedilecekse, 43 seçeneğine DHCP FIPS modunu etkinleştirmeniz gerekir. Ayrıntılar için bkz . FIPS modunu etkinleştirme.
    • Seçenek 43'teki parola metin biçimindedir.

      Meydan okuma parolası boşsa, telefon ilk kayıt ve sertifika yenileme için MIC/SUDI kullanır. Meydan okuma parolası yapılandırılmışsa, yalnızca ilk kayıt için kullanılır ve sertifikanın yenilenmesi için yüklü sertifika kullanılır.

    • 802.1X Kimlik Doğrulamasını Etkinleştir ve Sertifika Seçimi yalnızca kablolu ağdaki telefonlar için kullanılır.
    • Aygıt modelini tanımlamak için DHCP seçenek 60 (Satıcı Sınıf Tanımlayıcı) kullanılır.

    Aşağıdaki tabloda, DHCP seçenek 43'e (10-15 arası alt alanlar) bir örnek sunulmaktadır:

    Alttan çıkarma ondalık/onaltılıkDeğer uzunluğu (bayt) ondalık/onaltılıkDeğerOnaltılık değer
    10/0a1/011 (0: Devre Dışı; 1: Etkin)01
    11/0b18/12http://10.79.57.91687474703a2f2f31302e37392e35372e3931
    12/0c20/1412040870625C5B755D73F5925285F8F5FF5D55AF12040870625C5B755D73F5925285F8F5FF5D55AF
    13/0d16/10D233CCF9B9952A1544323333434346394239393532413135
    14/0e1/011 (0: Hayır; 1: Evet)01
    15/0f1/011 (0: Fabrikada montaj; 1: Özel yüklü) 01

    Parametre değerlerinin özeti:

    • FIPS Modu = Etkin

    • Sunucu = http://10.79.57.91

    • Kök CA Parmak İzi = 12040870625C5B755D73F5925285F8F5FF5D55AF

    • Meydan Okuma Parolası = D233CCF9B9952A15

    • 802.1X Kimlik Doğrulamasını Etkinleştir = Evet

    • Sertifika Seç = Özel yüklenmiş

    Son onaltılık değerin sözdizimi şöyledir: {<suboption><length><uygulama>}...

    Yukarıdaki parametre değerlerine göre son onaltılık değeri aşağıdaki gibidir:

    0a01010b12687474703a2f2f31302e37392e35372e39310c1412040870625C5B755D73F5925285F8F5FF5D55AF0d10443233334343463942393935324131350e01010f0101

  3. DHCP sunucuda DHCP seçenek 43'i yapılandırın.

    Bu adım, Cisco Ağ Kaydı'ndaki DHCP seçenek 43 yapılandırmalarına bir örnek sağlar.

    1. DHCP seçenek tanım kümesini ekleyin.

      Satıcı Seçenek Dizesi IP telefonların model adıdır. Geçerli değer: CP-9841, CP-9851, CP-9861, CP-9871 veya CP-8875.

    2. DHCP seçenek 43 ve alt özellikleri DHCP seçenek tanımı kümesine ekleyin.

      Örnek:

      Cisco Network Register'da DHCP seçenek 43 tanımlarının ekran görüntüsü

    3. 43. seçenekleri DHCP ilkesine ekleyin ve değeri aşağıdaki şekilde ayarlayın:

      Örnek:

      (10 1)(11 http://10.79.57.91)(12 12040870625C5B755D73F5925285F8F5FF5D55AF)(13 D233CCF9B9952A15)(14 1)(15 1)

    4. Ayarları doğrulayın. Telefon ve hizmet arasındaki ağ trafiğinin bir izini yakalamak için Wireshark'i kullanabilirsiniz.
  4. Telefon için fabrika ayarlarına sıfırlama yapın.

    Telefon sıfırlandıktan sonra Sunucu, Kök CA Parmak İzi veMeydan Okuma Parolası parametreleri otomatik olarak doldurulur. Bu parametreler, telefon yönetimi web sayfasındaki Sertifikadan SCEP Yapılandırma 1 > Custom bölümünde bulunur.

    Yüklü sertifikanın ayrıntılarını kontrol etmek için, Mevcut Sertifikalar bölümünde Görüntüle'yi tıklatın .

    Sertifika yükleme durumunu kontrol etmek için Sertifika > Custom Sertifika Durumu öğesini seçin. İndirme Durumu 1 en son sonucu gösterir. Sertifika kaydı sırasında sorun oluşursa, indirme durumu sorun giderme amacıyla sorun nedenini gösterebilir.

    Meydan okuma parolası kimlik doğrulaması başarısız olursa, kullanıcılardan telefon ekranında parolayı girmeleri istenir.
  5. (İsteğe bağlı): Yüklü sertifikayı telefondan kaldırmak için, Mevcut Sertifikalar bölümünde Sil'i tıklatın .
    Düğmeyi tıklattıktan sonra, kaldırma işlemi onay verilmeden hemen başlar.

SCEP'e göre sertifika yenileme

Aygıt sertifikası SCEP işlemiyle otomatik olarak yenilenebilir.

  • Telefon, sertifikanın 4 saatte bir 15 gün içinde geçerli olup olmadığını kontrol eder. Bu durumda, telefon sertifika yenileme işlemini otomatik olarak başlatır.
  • Meydan okuma parolası boşsa, telefon ilk kayıt ve sertifika yenileme için MIC/SUDI kullanır. Meydan okuma parolası yapılandırılmışsa, yalnızca ilk kayıt için kullanılır, sertifikanın yenilenmesi için mevcut/yüklü sertifika kullanılır.
  • Telefon, yenisini alana kadar eski cihaz sertifikasını kaldırmaz.
  • Cihaz sertifikası veya CA süresi dolduğundan sertifika yenileme işlemi başarısız olursa, telefon otomatik olarak ilk kaydı tetikler. Bu arada, meydan okuma parolası kimlik doğrulaması başarısız olursa, telefon ekranında bir parola giriş ekranı açılır ve kullanıcılardan meydan okuma parolasını telefona girmeleri istenir.

FIPS modunu etkinleştirme

Telefonları Federal Bilgi İşleme Standartları'na (FIPS) uyumlu hâle getirebilirsiniz.

FIPS; sivil resmi kurumlarda ve kurumlarla çalışan resmi kurum yüklenicileri ve satıcıları tarafından kullanılmak üzere belge işleme, şifreleme algoritmaları ve diğer bilgi teknolojisi standartlarını tanımlayan bir dizi standarttır. CiscoSSL FOM (FIPS Nesne Modülü) dikkatle tanımlanmış bir yazılım bileşenidir ve CiscoSSL kitaplığıyla uyumluluk için tasarlanmıştır, dolayısıyla CiscoSSL kitaplığı ve API kullanan ürünler, en az çabayla FIPS 140-2 doğrulanmış şifrelemeyi kullanmaya dönüştürülebilir.

1

Telefonun yönetim web sayfasına erişin.

2

Ses > Sistem seçeneklerini belirleyin.

3

Güvenlik Ayarları bölümünde, FIPS Modu parametresinden Evet veya Hayır'ı seçin .

4

Tüm Değişiklikleri Gönder seçeneğine tıklayın.

FIPS modunu etkinleştirdiğinizde, şu özellikler telefonda sorunsuz bir şekilde çalışır:
  • Görüntü kimlik doğrulaması
  • Güvenli depolama
  • Yapılandırma dosyası şifrelemesi
  • TLS:
    • HTTP'ler
    • PRT Yükleme
    • Üretici yazılımı yükseltmesi
    • Profil eşzamanlama
    • Yerleşik hizmet
    • Webex alma
    • TLS üzerinden SIP
    • 802.1x (Kablolu)
  • SIP özeti (RFC 8760)
  • SRTP
  • Arama günlüklerini ve Webex dizinini Webex
  • Basacak Tek Düğme (OBTP)

Kullanıcı ve yönetici parolasını ayarlama

Telefon ilk kez bir arama denetim sistemine kaydettikten sonra veya telefonda fabrika ayarlarına sıfırladıktan sonra, telefonun güvenliğini artırmak için kullanıcı ve yönetici parolasını ayarlamanız gerekir. Yalnızca parola ayarlandığında, telefon web sayfasından değişiklikleri gönderebilirsiniz.

Varsayılan olarak, telefonda parola uyarısı etkinleştirilmemiştir. Telefonda herhangi bir kullanıcı veya yönetici parolası yoksa, aşağıdaki uyarılar görüntülenir:

  • Telefon web sayfasında "Yönetici parolası sağlanmaz. Web salt okunur modundadır ve değişiklikleri gönderemezsiniz. Lütfen parolayı değiştirin." sol üst köşede.

    Kullanıcı Parolası ve Yönetici Parolası alanları boşsa sırasıyla "Parola verilmedi" uyarısını görüntüler.

  • Telefon ekranındaki Sorunlar ve tanı işlemleri "Parola verilmedi" sorununu görüntüler.
1

Telefon yönetimi web sayfasına erişme

2

Ses > Sistem seçeneklerini belirleyin.

3

(İsteğe bağlı) Sistem Yapılandırması bölümünde, Parola Uyarılarını Görüntüle parametresini Evet olarak ayarlayınve ardından Tüm Değişiklikleri Gönder'i tıklatın.

Parametreleri, telefon yapılandırma dosyasında (cfg.xml) da etkinleştirebilirsiniz.

<Display_Password_Warnings ua="na">Yes</Display_Password_Warnings>

Varsayılan: Evet

Seçenekler: Evet|Hayır

Parametre Hayır olarakayarlandığında, parola uyarısı web sayfasında veya telefon ekranında görünmez. Ayrıca, parola boş olduğu halde sayfa web'ine yönelik salt hazır modu da etkinleştirilmez.

4

Kullanıcı Parolası veya Yönetici Parolası parametresinibulun ve parametrenin yanındaki Parolayı Değiştir'i tıklatın .

5

Eski Parola alanına geçerli kullanıcı parolasını girin.

Parolanız yoksa alanı boş bırakın. Varsayılan değer boştur.
6

Yeni Parola alanına yeni bir parola girin.

7

Gönder'i tıklayın.

Web sayfasında Parola başarıyla değiştirildi. mesajı görüntülenir. Web sayfası birkaç saniye içinde yenilenecektir. Parametrenin yanındaki uyarı kaybolur.

Kullanıcı parolasını belirledikten sonra bu parametre, telefon yapılandırma XML dosyasında (cfg.xml) aşağıdakileri görüntüler:

<!-- <Admin_Password ua="na">*************</Admin_Password> <User_Password ua=">*************</User_Password> -->

Telefonun web sayfasına erişmeye çalıştığınızda 403 hata kodunu alırsanız, telefon yapılandırma dosyasında (cfg.xml) kaynak olarak kullanıcı veya yönetici parolasını ayarlamanız gerekir. Örneğin, şu biçimde bir dize girin:

<Admin_Password ua="na">P0ssw0rd_tes89</Admin_Password>

<User_Password ua=">Abc123</User_Password>

802.1X Kimlik Doğrulama

Cisco IP Telefonları, 802.1X Kimlik Doğrulamasını destekler.

Cisco IP Telefonları ve Cisco Catalyst anahtarları, birbirlerini tanımlamak ve VLAN tahsisi ve hat içi güç gereksinimleri gibi parametreleri belirlemek için geleneksel olarak Cisco Keşif Protokolü'nü (CDP) kullanır. CDP, yerel olarak bağlanan iş istasyonları tanımlamaz. Cisco IP Telefonları, bir EAPOL düz geçiş mekanizması sağlar. Bu mekanizma, Cisco IP Telefonuna bağlanmış bir iş istasyonunun EAPOL mesajlarını, LAN anahtarındaki 802.1X kimlik doğrulayıcısına geçirmesine olanak verir. Düz geçiş mekanizması, IP Telefonunun ağa erişmeden önce bir veri uç noktasının kimliğini doğrulamak için LAN anahtarı işlevini görmediğini garantiye alır.

Cisco IP Telefonları, ayrıca bir proxy EAPOL Oturum Kapatma mekanizması sağlar. Yerel olarak bağlı bilgisayarın IP Telefonu ile bağlantısının kesilmesi durumunda, LAN anahtarı, kendisi ile IP Telefonu arasındaki bağlantı sürdürüldüğü için fiziksel bağlantının başarısız olduğunu görmez. Ağ bütünlüğünün tehlikeye atılmasını önlemek için IP Telefonu aşağı akış bilgisayarı adına anahtara bir EAPOL-Oturum Kapatma mesajı göndererek LAN anahtarının aşağı akış bilgisayarına ilişkin kimlik doğrulama girişini temizlemesini tetikler.

802.1X kimlik doğrulaması desteği, çeşitli bileşenler gerektirir:

  • Cisco IP Telefonu: Telefon, ağa erişme talebini başlatır. Cisco IP Telefonları, bir 802.1 talepçisi içerir. Bu talepçi, ağ yöneticilerinin IP Telefonların LAN anahtar bağlantı noktaları ile arasındaki bağlantıyı kontrol etmelerine olanak verir. Telefon 802.1X talepçisinin geçerli sürümü, ağ kimlik doğrulaması için EAP-FAST ve EAP-TLS seçeneklerini kullanır.

  • Kimlik doğrulama sunucusu: Kimlik doğrulama sunucusu ve anahtarın her ikisi de telefonun kimliğini doğrulayan paylaşılan bir sırla yapılandırılmalıdır.

  • Anahtar: 802.1X'i desteklemesi gereken bir LAN anahtarı, kimlik doğrulayıcı görevi görür ve telefon ile kimlik doğrulama sunucusu arasında mesaj iletimi yapar. Alışveriş tamamlandıktan sonra, anahtar telefonun ağa erişimini sağlar veya reddeder.

802.1X'i yapılandırmak için aşağıdaki eylemleri gerçekleştirmeniz gerekir.

  • Telefonda 802.1X Kimlik Doğrulamasını etkinleştirmeden önce diğer bileşenleri yapılandırın.

  • Bilgisayar Bağlantı Noktasını Yapılandırın: 802.1X standardı, VLAN'ları hesaba katmaz ve bu nedenle yalnızca tek bir cihazın belirli bir anahtar bağlantı noktasında kimliğinin doğrulanmasını önerir. Fakat, bazı anahtarlar çok etki alanlı kimlik doğrulamasını destekler. Anahtar yapılandırması, bir bilgisayarı telefonun bilgisayar bağlantı noktasına bağlayıp bağlayamayacağınızı belirler.

    • Etkin: Çok etki alanlı kimlik doğrulamasını destekleyen bir anahtar kullanıyorsanız, bilgisayar bağlantı noktasını etkinleştirebilir ve buraya bir bilgisayar bağlayabilirsiniz. Bu durumda, Cisco IP Telefonları anahtar ve bağlı bilgisayar arasındaki kimlik doğrulama alışverişlerini izlemek için proxy EAPOL- Oturum Kapatma özelliğini destekler.

      Cisco Catalyst anahtarlarda IEEE 802.1X desteği ile ilgili daha fazla bilgi için, aşağıdaki adresten Cisco Catalyst anahtar yapılandırmasına bakın:

      http://www.cisco.com/en/US/products/hw/switches/ps708/tsd_products_support_series_home.html

    • Devre Dışı: Anahtar aynı bağlantı noktasında birden çok 802.1X uyumlu cihazı desteklemiyorsa, 802.1X kimlik doğrulaması etkinleştirildiğinde Bilgisayar Bağlantı Noktasını devre dışı bırakmanız gerekir. Bu bağlantı noktasını devre dışı bırakmaz ve ardından buraya bir bilgisayar bağlamaya çalışırsanız, anahtar hem telefonun hem de bilgisayarın ağa erişimini reddeder.

  • Ses VLAN'ını yapılandırın: 802.1X standardı VLAN'ları hesaba katmadığı için bu ayarı anahtar desteğini temel alarak yapılandırmanız gerekir.
    • Etkin: Çok etki alanlı kimlik doğrulamasını destekleyen bir anahtar kullanıyorsanız ses VLAN'ını kullanmaya devam edebilirsiniz.
    • Devre Dışı: Anahtar çok etki alanlı kimlik doğrulamasını desteklemiyorsa Ses VLAN'ını devre dışı bırakın ve bağlantı noktasını yerel VLAN'a atayın.
  • (Yalnızca Cisco Masa Telefonu 9800 Serisi için)

    Cisco Masa Telefonu 9800 Serisi, PID'de diğer Cisco telefonları için olandan farklı bir önek içerir. Telefonunuzun 802.1X kimlik doğrulamasını geçirmesini sağlamak için, Radius· Cisco Masa Telefonu 9800 Serisini eklemek için Kullanıcı Adı parametresi.

    Örneğin, 9841 telefonunun PID'i, YAPıMıNDA YANIT-9841'dir; Radius· ayarlayabilirsiniz ISTE ile Başlanması gereken Kullanıcı Adı veya YANIT içerir. Aşağıdaki bölümlerin her ikisinde de ayarlayabilirsiniz:

    • İlke >Uyuşturmalar >Kimliği Koşulları

    • İlke >Policy Setleri > Authorization Policy > Authorization Rule 1

802.1X kimlik doğrulamasını etkinleştirme

802.1X kimlik doğrulaması etkinleştirildiğinde, telefon ağ erişimi istemek için 802.1X kimlik doğrulaması kullanır. 802.1X kimlik doğrulaması devre dışı bırakıldığında, telefon VLAN ve ağ erişimi elde etmek için Cisco Discovery Protocol (CDP) kullanır. Ayrıca işlem durumunu görüntüleyebilir ve telefon ekranı menüsünde değiştirebilirsiniz.

802.1X kimlik doğrulaması etkinleştirildiğinde, ilk kayıt ve sertifika yenileme için cihaz sertifikasını (MIC/SUDI veya özel) de seçebilirsiniz. Genellikle, MIC Cisco Video Phone 8875 içindir, SUDI ise Cisco Masa Telefonu 9800 Serisi içindir. CDC yalnızca 802.1x kimlik doğrulaması için kullanılabilir.

1

802.1X kimlik doğrulamasını etkinleştirmek için aşağıdaki eylemlerden birini gerçekleştirin:

  • Telefon web arabiriminde, Ses >Sistemi'ni seçin ve 802.1X Kimlik Doğrulamasını Etkinleştir parametresini Evet olarak ayarlayın. Ardından, Tüm Değişiklikleri Gönder seçeneğine tıklayın.
  • Yapılandırma dosyasına (cfg.xml), şu biçime sahip bir dize girin:

    <Enable_802.1X_Authentication ua=">Yes</Enable_802.1X_Authentication>

    Geçerli değerler: Evet|Hayır

    Varsayılan: Hayır

  • Telefonda, Ayarlar'a basın the Settings hard keyve Ağ ve hizmet > Güvenlik ayarları > 802.1X kimlik doğrulamasına gidin. Cihaz kimlik doğrulama alanını Açık olarakdeğiştirip Uygula'yı seçin.
Tablo 2. Telefon ekranında 802.1X kimlik doğrulaması için parametreler

Parametreler

Seçenekler

Varsayılan

Açıklama

Aygıt kimliği doğrulama

Açık

Kapalı

Kapalı

Telefonda 802.1X kimlik doğrulamasını etkinleştirme veya devre dışı bırakma.

İşlem durumu

Devre dışı

802.1X kimlik doğrulamasının durumunu görüntüler. Durum şöyle olabilir (bunlarla sınırlı değildir):

  • Kimliği doğrulanıyor: Kimlik doğrulama işleminin sürdüğünü gösterir.
  • Kimliği doğrulandı: Telefon kimliğinin doğrulandığını gösterir.
  • Devre dışı: 802.1x kimlik doğrulamasının telefonda devre dışı olduğunu gösterir.

Protokol

Yok

802.1X kimlik doğrulaması için kullanılan EAP yöntemini görüntüler. Protokol EAP-FAST veya EAP-TLS olabilir.

Kullanıcı sertifika türü

Fabrikada montaj

Özel olarak yüklenmiş

Fabrikada montaj

İlk kayıt ve sertifika yenileme sırasında 802.1X kimlik doğrulaması için sertifikayı seçin.

  • Fabrikada montaj—Fabrikada Montaj Sertifikası (MIC) ve Güvenli Benzersiz Cihaz Tanımlayıcısı (SUDI) kullanılır.
  • Özel yüklenmiş—Özel Cihaz Sertifikası (CDC) kullanılır. Bu tür sertifika, telefonun web sayfasına manuel olarak yükleyerek veya Basit Sertifika Kayıt Protokolü (SCEP) sunucusundan yüklenerek yüklenebilir.

Bu parametre telefonda yalnızca Cihaz kimlik doğrulaması etkinleştirildiğinde görünür.

2

Telefon web sayfasında 802.1X kimlik doğrulaması için bir sertifika (MIC veya özel) seçin.

  • Kablolu ağlarda, Ses > Sistemi'ni seçin , açılan listedenbir sertifika türü seçin 802.1X Kimlik Doğrulaması bölümünde sertifika seçin .

    Bu parametreyi, yapılandırma dosyasında (cfg.xml) da yapılandırabilirsiniz:

    <Certificate_Select ua=">Custom yüklendi</Certificate_Select>

    Geçerli değerler: Üretim yüklendi|Özel olarak yüklenmiş

    Varsayılan: Fabrikada montaj

  • Kablosuz ağ için Ses > Sistemi'ni seçin , açılan listedenbir sertifika türü seçin Wi-Fi Profil 1 bölümünden Sertifika Seçin .

    Bu parametreyi, yapılandırma dosyasında (cfg.xml) da yapılandırabilirsiniz:

    <Wi-Fi_Certificate_Select_1_ ua=">Custom yüklendi</Wi-Fi_Certificate_Select_1_>

    Geçerli değerler: Üretim yüklendi|Özel olarak yüklenmiş

    Varsayılan: Fabrikada montaj

Telefon ekranında bir sertifika türünü seçme hakkında bilgi için, bkz. Telefonunuzu Wi-Fi ağa bağlama.

Ortam düzlemi güvenlik alışverişi için istemci tarafından başlatılan modu etkinleştirme

Ortam oturumlarını korumak için telefonu, sunucuyla ortam düzlemi güvenlik anlaşmalarını başlatacak şekilde yapılandırabilirsiniz. Güvenlik mekanizması RFC 3329'da belirtilen standartları ve onun dahili hattı Ortam için Güvenlik Mekanizması Adları'nı (Bkz. https://tools.ietf.org/html/draft-dawes-sipcore-mediasec-parameter-08#ref-2) izler. Telefon ile sunucu arasındaki anlaşmaların aktarımında UDP, TCP ve TLS üzerinden SIP protokolü kullanılabilir. Ortam düzlemi güvenlik anlaşmasını, yalnızca sinyal aktarım protokolü TLS olduğunda uygulanacak şekilde sınırlayabilirsiniz.

1

Telefonun yönetim web sayfasına erişin.

2

Ses > Dahili(n) seçeneklerini belirleyin.

3

SIP Ayarları bölümünde, aşağıdaki tabloda tanımlanan MediaSec İsteği ve Yalnızca TLS Üzerinde MediaSec alanlarını ayarlayın :

Tablo 3. Ortam düzlemi güvenlik alışverişi için parametreler
ParametreAçıklama

MediaSec İsteği

Telefonun, sunucuyla ortam düzlemi güvenlik anlaşmalarını başlatıp başlatmadığını belirtir.

Aşağıdakilerden birini yapın:

  • XML bulunan telefon yapılandırma dosyasına (cfg.xml), şu biçime sahip bir dize girin:

    <MediaSec_Request_1_ ua="na">Yes</MediaSec_Request_1_>
  • Telefon web arabiriminde, bu alanı gerektiği şekilde Evet veya Hayır olarak ayarlayın.

İzin verilen değerler: Evet|Hayır

  • Evet—İstemci Tarafından Başlatılan Mod. Ortam düzlemi güvenlik anlaşmalarını telefon başlatır.
  • Hayır—Sunucu Tarafından Başlatılan Mod. Ortam düzlemi güvenlik anlaşmalarını sunucu başlatır. Telefon anlaşmaları başlatmaz, ancak güvenli çağrılar yapmak için sunucudan gelen anlaşma isteklerini işleyebilir.

Varsayılan: Hayır

Yalnızca TLS Üzerinden MediaSec

Ortam düzlemi güvenlik anlaşmasının uygulanacağı sinyal aktarım protokolünü belirtir.

Bu alanı Evet olarak ayarlamadan önce, sinyal aktarım protokolünün TLS olduğundan emin olun.

Aşağıdakilerden birini yapın:

  • XML bulunan telefon yapılandırma dosyasına (cfg.xml), şu biçime sahip bir dize girin:

    <MediaSec_Over_TLS_Only_1_ ua="na">No</MediaSec_Over_TLS_Only_1_>

  • Telefon web arabiriminde, bu alanı gerektiği şekilde Evet veya Hayır olarak ayarlayın.

İzin verilen değerler: Evet|Hayır

  • Evet—Telefon, yalnızca sinyal aktarım protokolü TLS olduğunda ortam düzlemi güvenlik anlaşmalarını başlatır veya işler.
  • Hayır—Telefon, sinyal aktarım protokolünün TLS olup olmamasına bakılmaksızın ortam düzlemi güvenlik anlaşmalarını başlatır veya işler.

Varsayılan: Hayır

4

Tüm Değişiklikleri Gönder seçeneğine tıklayın.

Wi-Fi profili ayarlama

Wi-Fi profilini telefon web sayfasından ya da uzaktan cihaz profil yeniden eşitlemeden yapılandırabilir ve ardından profili mevcut Wi-Fi ağlarıyla ilişkilendirebilirsiniz. Bu Wi-Fi profilini kullanarak bir Wi-Fi'a bağlanabilirsiniz. Şu anda yalnızca bir Wi-Fi profili yapılandırılabilir.

Profil, telefonların Wi-Fi ile telefon sunucusuna bağlanması için gereken parametreleri içerir. Bir Wi-Fi profili oluşturduğunuzda ve kullandığınızda, sizin veya kullanıcılarınızın tek tek telefonlar için kablosuz ağı yapılandırmanız gerekmez.

Wi-Fi profili, kullanıcının telefondaki Wi-Fi yapılandırmasında değişiklik yapmasını engellemenize veya bu değişiklikleri sınırlamanıza olanak verir.

Wi-Fi profili kullanırken tuşları ve parolaları korumak için şifreleme protokolleri etkinleştirilmiş güvenli bir profil kullanmanızı öneririz.

Telefonları güvenlik modunda EAP-FAST kimlik doğrulama yöntemini kullanacak şekilde ayarladığınızda, kullanıcılarınızın bir erişim noktasına bağlanmak için bireysel kimlik bilgilerine ihtiyacı vardır.

1

Telefon web sayfasına erişin.

2

Ses > Sistem seçeneklerini belirleyin.

3

Profil (n) Wi-Fi bölümünde , parametreleri aşağıdaki tablodaaçıklandığı gibi ayarlayın Wi-Fi profili için Parametreler.

Wi-Fi profili yapılandırması, kullanıcı oturum açması için de kullanılabilir.
4

Tüm Değişiklikleri Gönder seçeneğine tıklayın.

Wi-Fi profili için parametreler

Aşağıdaki tabloda, telefonun web sayfasında Sistem sekmesinin altında yer alan Wi-Fi Profili(n) bölümündeki her bir parametrenin işlevi ve kullanımı tanımlanmaktadır. Ayrıca, bir parametreyi yapılandırmak için telefon yapılandırma dosyasına (cfg.xml) eklenen dizenin sözdizimini de tanımlar.

ParametreAçıklama
Ağ AdıTelefonda görüntülenecek olan SSID için bir ad girmenize olanak sağlar. Birden fazla profil farklı güvenlik moduyla birlikte aynı ağ adına sahip olabilir.

Aşağıdakilerden birini yapın:

  • XML bulunan telefon yapılandırma dosyasına (cfg.xml), şu biçime sahip bir dize girin:

    <Network_Name_1_ua="rw">cisco</Network_Name_1_>

  • Telefon web sayfasında, SSID için bir ad girin.

Varsayılan: Boş

Güvenlik ModuWi-Fi ağına güvenli erişim sağlamak için kullanılan kimlik doğrulama yöntemini seçmenize izin verir. Seçtiğiniz yönteme bağlı olarak, bu Wi-Fi ağa katılmak için gereken kimlik bilgilerini sağlayabilmeniz için bir parola alanı görüntülenir.

Aşağıdakilerden birini yapın:

  • XML bulunan telefon yapılandırma dosyasına (cfg.xml), şu biçime sahip bir dize girin:

    <Security_Mode_1_ ua="metallic">EAP-TLS</Security_Mode_1_> <!-- mevcut seçenekler: Auto|EAP-FAST|||PSK||Yok|EAP-PEAP|EAP-TLS -->

  • Telefon web sayfasında, yöntemlerden birini seçin:
    • Auto
    • EAP-FAST
    • PSK
    • Yok
    • EAP-PEAP
    • EAP-TLS

Varsayılan: Otomatik

Wi-Fi Kullanıcı KimliğiAğ profili için bir kullanıcı kimliği girmenize izin verir.

Bu alan, güvenlik modunu Otomatik, EAP-FAST veya EAP-PEAP olarak ayarladığınızda kullanılabilir. Bu alan zorunlu bir alandır ve en çok 32 alfasayısal karaktere izin verir.

Aşağıdakilerden birini yapın:

  • XML bulunan telefon yapılandırma dosyasına (cfg.xml), şu biçime sahip bir dize girin:

    <Wi-Fi_User_ID_1_ua="rw"></Wi-Fi_User_ID_1_>

  • Telefon web sayfasında, ağ profili için bir kullanıcı kimliği girin.

Varsayılan: Boş

Wi-Fi ParolasıBelirtilen Wi-Fi Kullanıcı Kimliği için parola girmenize olanak sağlar.

Aşağıdakilerden birini yapın:

  • XML bulunan telefon yapılandırma dosyasına (cfg.xml), şu biçime sahip bir dize girin:

    <Wi-Fi_Password_1_ ua="rw"></Wi-Fi_Password_1_>

  • Telefon web sayfasında, eklediğiniz kullanıcı kimliği için bir parola girin.

Varsayılan: Boş

Frekans BandıWLAN tarafından kullanılan kablosuz sinyal frekans bandını seçmenize olanak verir.

Aşağıdakilerden birini yapın:

  • XML bulunan telefon yapılandırma dosyasına (cfg.xml), şu biçime sahip bir dize girin:

    <Frequency_Band_1_ ua=">Auto</Frequency_Band_1_>

  • Telefon web sayfasında, seçeneklerden birini seçin:
    • Auto
    • 2,4 GHz
    • 5 GHz

Varsayılan: Otomatik

Sertifika SeçimiKablosuz ağda sertifika ilk kaydı ve sertifika yenilemesi için bir sertifika türü seçmenize olanak sağlar. Bu işlem yalnızca 802.1X kimlik doğrulaması için kullanılabilir.

Aşağıdakilerden birini yapın:

  • XML bulunan telefon yapılandırma dosyasına (cfg.xml), şu biçime sahip bir dize girin:

    <Certificate_Select_1_ ua=">Yönlendirme kurulu</Certificate_Select_1_>

  • Telefon web sayfasında, seçeneklerden birini seçin:
    • Fabrikada montaj
    • Özel olarak yüklenmiş

Varsayılan: Fabrikada montaj