Установити користувацький сертифікат пристрою вручну

Можна встановити користувацький сертифікат пристрою (CDC) вручну на телефоні, передавши сертифікат із вебсторінки служби адміністрування телефонів.

Перш ніж почати

Перш ніж ви зможете встановити користувацький сертифікат пристрою для телефону, потрібно мати:

  • Файл сертифіката (.p12 або .pfx), збережений на вашому ПК. Файл містить сертифікат і закритий ключ.
  • Витягніть пароль сертифіката. Пароль використовується для розшифрування файлу сертифіката.
1.

Перейдіть на вебсторінку адміністрування телефонів.

2.

Виберіть Сертифікат.

3.

У розділі Додати сертифікат клацніть Огляд....

4.

Перейдіть до сертифіката на вашому ПК.

5.

У полі Витягти пароль введіть пароль витягу сертифіката.

6.

Клацніть Передати.

Якщо файл і пароль сертифіката правильні, ви отримаєте повідомлення «Сертифікат додано.». В іншому разі не вдалося передати через повідомлення про помилку, яке вказує на неможливість передавання сертифіката.
7.

Щоб переглянути відомості про встановлений сертифікат, клацніть Переглянути в розділі Наявні сертифікати.

8

Щоб видалити встановлений сертифікат із телефону, клацніть Видалити в розділі Наявні сертифікати.

Після натискання кнопки операція видалення почнеться негайно без підтвердження.

Якщо сертифікат успішно видалено, ви отримаєте повідомлення «Сертифікат видалено.».

Автоматично встановлювати користувацький сертифікат пристрою за допомогою SCEP

Можна налаштувати параметри простого протоколу реєстрації сертифікатів (SCEP), щоб автоматично встановлювати користувацький сертифікат пристрою (CDC), якщо ви не хочете передавати файл сертифіката вручну або файл сертифіката не маєте на місці.

Якщо параметри SCEP налаштовані правильно, телефон надсилає запити на сервер SCEP, а сертифікат ЦС перевіряється пристроєм на основі визначеного відбитка пальця.

Перш ніж почати

Перш ніж ви зможете автоматично встановити сертифікат настроюваного пристрою для телефону, ви повинні мати:

  • адреса сервера SCEP
  • Відбиток SHA-1 або SHA-256 кореневого сертифіката CA для сервера SCEP
1.

Перейдіть на вебсторінку адміністрування телефонів.

2.

Виберіть Сертифікат.

3.

У розділі Конфігурація SCEP 1 установіть параметри, як описано в наступній таблиці Параметри конфігурації SCEP.

4.

Клацніть Надіслати всі зміни.

Параметри для конфігурації SCEP

У наступній таблиці визначено функцію та використання параметрів конфігурації SCEP у розділі конфігурації SCEP 1 на вкладці Сертифікат у вебінтерфейсі телефону. Він також визначає синтаксис рядка, який додається у файл конфігурації телефону (cfg.xml) для налаштування параметра.

Таблиця 1. Параметри для конфігурації SCEP
ПараметрОпис
Сервер

адреса сервера SCEP. Цей параметр є обов’язковим.

Виконайте одну з наведених далі дій.

  • У файлі конфігурації телефону з XML(cfg.xml) введіть рядок у цьому форматі:

    <CDC_Server_1_ ua="na">http://10.79.57.91</CDC_Server_1_>

  • На вебсторінці телефону введіть адресу сервера SCEP.

Допустимі значення: URL-адреса або IP-адреса. Схема HTTPS не підтримується.

За замовчуванням: Пустий

Кореневий відбиток пальця CA

Відбиток SHA256 або SHA1 кореневого СА для перевірки під час процесу SCEP. Цей параметр є обов’язковим.

Виконайте одну з наведених далі дій.

  • У файлі конфігурації телефону з XML(cfg.xml) введіть рядок у цьому форматі:

    <CDC_Root_CA_Fingerprint_1_ ua="na">12040870625C5B755D73F5925285F8F5FF5D55AF</CDC_Root_CA_Fingerprint_1_>

  • На вебсторінці телефону введіть допустимий відбиток пальця.

За замовчуванням: Пустий

Тестовий пароль

Пароль виклику для авторизації Certificate Authority (CA) на телефоні під час реєстрації сертифіката через SCEP. Цей параметр є необов’язковим.

Залежно від фактичного середовища SCEP, поведінка пароля виклику відрізняється.

  • Якщо телефон отримує сертифікат від Cisco RA, який спілкується з ЦС, пароль виклику не підтримується в ЦС. У цьому випадку Cisco RA використовує MIC/SUDI телефона для автентифікації для доступу до CA. Телефон використовує MIC/SUDI як для початкової реєстрації, так і для подовження сертифіката.
  • Якщо телефон отримує сертифікат шляхом безпосереднього зв’язку з ЦС, пароль виклику підтримується в ЦС. Якщо це налаштування налаштовано, його буде використано лише для початкової реєстрації. Для подовження дії сертифіката замість цього використовуватиметься встановлений сертифікат.

Виконайте одну з наведених далі дій.

  • У файлі конфігурації телефону з XML(cfg.xml) введіть рядок у цьому форматі:

    <CDC_Challenge_Password_1_ ua="na"></CDC_Challenge_Password_1_>

    Пароль приховано в файлі конфігурації.

  • На вебсторінці телефону введіть пароль виклику.

За замовчуванням: Пустий

Конфігурація параметрів SCEP через параметр DHCP 43

На додаток до реєстрації сертифіката SCEP за допомогою налаштувань вручну на вебсторінці телефону, ви також можете використовувати параметр DHCP 43 для введення параметрів із сервера DHCP. Параметр DHCP 43 попередньо налаштований з параметрами SCEP, пізніше телефон може отримати параметри з сервера DHCP для виконання реєстрації сертифіката SCEP.

  • Конфігурація параметрів SCEP через параметр DHCP 43 доступна лише для телефону, де виконується відновлення заводських налаштувань.
  • Телефони не повинні розміщуватися в мережі, яка підтримує як параметр 43, так і віддалену підготовку (наприклад, параметри 66,160,159,150 або хмарну підготовку). В іншому разі телефони можуть не отримати конфігурації параметра 43.

Щоб зареєструвати сертифікат SCEP, налаштовуючи параметри SCEP в параметрі DHCP 43, виконайте таке.

  1. Підготовка середовища SCEP.

    Інформацію про налаштування середовища SCEP див. в документації сервера SCEP.

  2. Налаштуйте параметр DHCP 43 (визначено в 8.4 інформації про постачальника, RFC 2132).

    Підваріанти (10–15) зарезервовані для методу:

    Параметр на вебсторінці телефонуПідпараметрТипДовжина (у байтах)Обов’язкове
    Режим FIPS10булевий1.Ні*
    Сервер11рядок208 - довжина (пароль виклику)Так
    Кореневий відбиток пальця CA12двійковий20 або 32Так
    Тестовий пароль13рядок208 - довжина (Сервер)Ні*
    Увімкнути автентифікацію 802.1X14булевий1.Ні
    Вибір сертифіката158-розрядний без підпису1.Ні

    При використанні параметра DHCP 43 зверніть увагу на наступні характеристики методу:

    • Підпараметри (10–15) зарезервовані для спеціального сертифіката пристрою (CDC).
    • Максимальна довжина параметра DHCP 43 становить 255 байт.
    • Максимальна довжина Сервер + Пароль завдання має бути меншою за 208 байт.
    • Значення режиму FIPS повинно відповідати конфігурації підготовки приєднання. В іншому разі телефону не вдасться отримати попередньо встановлений сертифікат після приєднання. Зокрема,
      • Якщо телефон буде зареєстровано в середовищі, де вимкнено режим FIPS, вам не потрібно налаштовувати параметр Режим FIPS у параметрі DHCP 43. За замовчуванням режим FIPS вимкнено.
      • Якщо телефон буде зареєстровано в середовищі, де ввімкнено режим FIPS, ви повинні ввімкнути режим FIPS в параметрі DHCP 43. Докладніше див. в розділі Увімкнути режим FIPS.
    • Пароль у варіанті 43 міститься в чистому тексті.

      Якщо пароль виклику пустий, телефон використовує MIC/SUDI для початкової реєстрації та подовження сертифіката. Якщо налаштовано пароль завдання, він використовується лише для початкової реєстрації, а встановлений сертифікат використовуватиметься для подовження сертифіката.

    • Увімкніть автентифікацію 802.1X і вибір сертифіката використовуються лише для телефонів у дротовій мережі.
    • Для ідентифікації моделі пристрою використовується параметр DHCP 60 (ідентифікатор класу постачальника).

    У наступній таблиці наведено приклад параметра DHCP 43 (підпараметри 10–15):

    Підваріант десятковий/шістнадцятковийДовжина (байт) десяткова/шістнадцятковаЗначенняШістнадцяткове значення
    10/0а1/011 (0: Вимкнено; 1: Увімкнено)01
    11/0б18/12http://10.79.57.91687474703a2f2f31302e37392e35372e3931
    12/0c20/1412040870625c5b755d73f5925285f8f5ff5d55af12040870625c5b755d73f5925285f8f5ff5d55af
    13/0d16/10d233ccf9b9952a1544323333434346394239393532413135
    14/0е1/011 (0: Ні; 1: Так*01
    15/0f1/011 (0: Виробництво встановлено; 1: Користувацьке встановлено) 01

    Зведені дані про значення параметрів:

    • Режим FIPS = Увімкнено

    • Сервер = http://10.79.57.91

    • Відбиток CA кореневого значення = 12040870625C5B755D73F5925285F8F5FF5D55AF

    • Пароль завдання = D233CCF9B9952A15

    • Увімкнути автентифікацію 802.1X = Так

    • Вибір сертифіката = Користувацьке встановлено

    Синтаксис кінцевого значення шістнадцяткового значення такий: {<suboption><length><value>}...

    Згідно зі значеннями параметрів, кінцеве шістнадцяткове значення таке:

    0a01010b12687474703a2f2f31302e37392e35372e39310c1412040870625C5B755D73F5925285F8F5FF5D55AF0d10443233334343463942393935324131350e01010f0101

  3. Налаштуйте параметр 43 DHCP на сервері DHCP.

    Цей крок наводить приклад конфігурацій параметра DHCP 43 в реєстрі мережі Cisco.

    1. Додати набір визначення параметра DHCP.

      Рядок параметра постачальника — це модельне ім’я IP-телефонів. Допустиме значення: DP-9841, DP-9851, DP-9861, DP-9871 або CP-8875.

    2. Додайте параметр 43 і підпараметри DHCP до набору визначення параметрів DHCP.

      Приклад:

      Знімок екрана визначень параметра DHCP 43 в мережевому реєстрі Cisco­

    3. Додайте параметри 43 до політики DHCP та встановіть значення так:

      Приклад:

      (10 1)(11 http://10.79.57.91)(12 12040870625C5B755D73F5925285F8F5FF5D55AF)(13 D233CCF9B9952A15)(14 1)(15 1)

    4. Перевірте налаштування. Ви можете використовувати Wireshark, щоб фіксувати слід мережевого трафіку між телефоном і службою.
  4. Виконайте скидання до заводських налаштувань телефону.

    Після скидання телефону параметри Сервер, Відбиток пальця кореневого CA та Пароль запиту будуть автоматично заповнені. Ці параметри розміщено в розділі SCEP Конфігурація 1 з Сертифікат > Користувацький на вебсторінці адміністрування телефону.

    Щоб переглянути відомості про встановлений сертифікат, клацніть Переглянути в розділі Наявні сертифікати.

    Щоб перевірити стан установлення сертифіката, виберіть Сертифікат > Стан користувацького сертифіката. Стан завантаження 1 показує останній результат. Якщо під час реєстрації сертифіката виникла проблема, стан завантаження може відображати причину проблеми з метою виправлення неполадок.

    Якщо під час автентифікації не вдасться виконати виклик, користувачам буде запропоновано ввести пароль на екрані телефону.
  5. (Необов’язково): Щоб видалити встановлений сертифікат із телефону, клацніть Видалити в розділі Наявні сертифікати.
    Після натискання кнопки операція видалення почнеться негайно без підтвердження.

Подовження дії сертифіката SCEP

Сертифікат пристрою можна автоматично оновити за допомогою процесу SCEP.

  • Термін дії сертифіката перевіряється телефоном через 15 днів кожні 4 години. Якщо так, телефон автоматично розпочне процес подовження сертифіката.
  • Якщо пароль виклику пустий, телефон використовує MIC/SUDI як для початкової реєстрації, так і для подовження сертифіката. Якщо налаштовано пароль завдання, він використовується лише для початкової реєстрації, а для подовження сертифіката використовується наявний/встановлений сертифікат.
  • Телефон не видаляє старий сертифікат пристрою, доки не отримає новий.
  • Якщо не вдасться подовжити дію сертифіката через завершення терміну дії сертифіката пристрою або ЦС, телефон автоматично запустить початкову реєстрацію. Тим часом, якщо помилка автентифікації тестового пароля, на екрані телефону з’явиться екран введення пароля, і користувачам буде запропоновано ввести тестовий пароль на телефоні.

Увімкнути режим FIPS

Ви можете зробити телефон сумісним із Федеральними стандартами обробки інформації (FIPS).

FIPS - це набір стандартів, що описують обробку документів, алгоритми шифрування та інші стандарти інформаційних технологій для використання в невійськовому уряді, а також урядовими підрядниками та постачальниками, які працюють з агентствами. CiscoSSL FOM (FIPS Object Module) - це ретельно визначений програмний компонент, призначений для сумісності з бібліотекою CiscoSSL, тому продукти, які використовують бібліотеку CiscoSSL та API, можуть бути перетворені на використання перевіреної криптографії FIPS 140-2 з мінімальними зусиллями.

1.

Перейдіть на вебсторінку адміністрування телефонів.

2.

Виберіть Голос > Система.

3.

У розділі Налаштування безпеки виберіть Так чи Ні в параметрі режиму FIPS.

4.

Клацніть Надіслати всі зміни.

Якщо ввімкнути FIPS, на телефоні без проблем працюватимуть такі функції:
  • Без автентифікації
  • Захищене сховище
  • Шифрування файлу конфігурації
  • tls:
    • HTTP
    • Вивантаження PRT
    • Оновлення мікропрограми
    • Повторна синхронізація профілю
    • Служба підключення
    • Реєстрація Webex
    • SRTP за протоколом TLS
    • 802. 1x (дротовий)
  • дайджест SIP (RFC 8760)
  • srtp
  • Журнали викликів Webex і каталог Webex
  • Одна кнопка для натискання (OBTP)

Видалити сертифікат безпеки вручну

Ви можете вручну видалити сертифікат безпеки з телефону, якщо простий протокол реєстрації сертифікатів (SCEP) недоступний.

1.

На вебсторінці адміністрування телефонів виберіть Сертифікати.

2.

Знайдіть сертифікат на сторінці Сертифікати.

3.

Клацніть Видалити.

4.

Перезапустіть телефон після завершення процесу видалення.

Установіть пароль користувача й адміністратора

Після першої реєстрації телефону в систему керування викликами або відновлення заводських налаштувань телефону потрібно встановити пароль користувача та адміністратора, щоб підвищити безпеку телефону. Тільки якщо встановлено пароль, ви можете надіслати зміни на вебсторінці телефону.

За замовчуванням на телефоні ввімкнено попередження без пароля. Якщо на телефоні немає пароля користувача або адміністратора, відображаються такі попередження:

  • На вебсторінці телефону відображається "Пароль адміністратора не надано. Вебсайт перебуває в режимі лише для читання, і ви не можете надсилати зміни. Змініть пароль." у верхньому лівому куті.

    Поля Пароль користувача та Пароль адміністратора відображають попередження «Пароль не надано», якщо воно пусте.

  • На екрані телефону Проблеми та діагностика відображається проблема «Пароль не надано».
1.

Доступ до вебсторінки служби адміністрування телефонів

2.

Виберіть Голос > Система.

3.

(Необов’язково) У розділі Конфігурація системи задайте параметр Відображати попередження про пароль значення Так, а потім клацніть Надіслати всі зміни.

Ви також можете ввімкнути параметри у файлі конфігурації телефону (cfg.xml).

<Display_Password_Warnings ua="na">Так</Display_Password_Warnings>

За замовчуванням: Так

Параметри: Так|Ні

Якщо для параметра задано значення Ні, попередження про пароль не відображатиметься ні на вебсторінці, ні на екрані телефону. Крім того, режим тільки для вебсторінки не буде активовано, навіть якщо пароль пустий.

4.

Знайдіть параметр Пароль користувача або Пароль адміністратора і клацніть Змінити пароль поруч із параметром.

5.

Введіть пароль поточного користувача в полі Старий пароль.

Якщо у вас немає пароля, залиште поле пустим. Значення за замовчуванням пусте.
6.

Введіть новий пароль у полі Новий пароль.

7.

Клацніть Надіслати.

Пароль повідомлення Успішно змінено. буде відображено на вебсторінці. Оновлення вебсторінки буде здійснено за декілька секунд. Попередження поруч із параметром зникне.

Після встановлення пароля користувача цей параметр відображає наступне у файлі конфігурації телефону (cfg.xml):

<!-- <Admin_Password ua="na">;*************</Admin_Password> <User_Password ua="rw">;*************</User_Password> -->

Якщо ви отримуєте код помилки 403 під час спроби доступу до вебсторінки телефону, ви повинні встановити пароль користувача або адміністратора, указавши в файлі конфігурації телефону (cfg.xml). Наприклад, введіть рядок у цьому форматі:

<Admin_Password ua="na">P0ssw0rd_tes89</Admin_Password>

<User_Password ua="rw">Abc123</User_Password>

Автентифікація 802.1X

IP-телефони Cisco підтримують автентифікацію 802.1X.

IP-телефони Cisco та комутатори Cisco Catalyst традиційно використовують Cisco Discovery Protocol (CDP), щоб ідентифікувати один одного та визначити такі параметри, як виділення VLAN та вимоги до вбудованої потужності. CDP не ідентифікує локально підключені робочі станції. IP-телефони Cisco забезпечують механізм передавання через EAPOL. Цей механізм дозволяє робочій станції, підключеній до IP-телефону Cisco, передавати повідомлення EAPOL до автентифікатора 802.1X на комутаторі локальної мережі. Механізм передавання даних гарантує, що IP-телефон не виступає як перемикач локальної мережі для автентифікації кінцевої точки даних перед доступом до мережі.

IP-телефони Cisco також забезпечують проксі-механізм EAPOL Logoff. Якщо локально підключений ПК відключиться від IP-телефону, перемикач локальної мережі не побачить фізичного зв’язку, оскільки зв’язок між перемикачем локальної мережі та IP-телефоном підтримується. Щоб уникнути загрози цілісності мережі, IP-телефон надсилає комутатору повідомлення EAPOL-Logoff від імені ПК, розташованого нижче за рангом, який запускає перемикач локальної мережі, щоб очистити запис автентифікації для ПК нижче за рангом.

Підтримка автентифікації 802.1X вимагає декількох компонентів:

  • IP-телефони Cisco Телефон ініціює запит на доступ до мережі. IP-телефони Cisco містять постачальника 802.1X. Цей постачальник дозволяє адміністраторам мережі керувати підключенням IP-телефонів до портів перемикання локальної мережі. У поточному випуску постачальника телефону 802.1X використовуються параметри EAP-FAST та EAP-TLS для автентифікації мережі.

  • Сервер автентифікації: Сервер автентифікації та перемикач мають бути налаштовані зі спільним секретом, який автентифікує телефон.

  • Перемикач: Перемикач повинен підтримувати 802.1X, щоб він міг виступати як автентифікатор і передавати повідомлення між телефоном і сервером автентифікації. Після завершення обміну перемикач надає або забороняє доступ до телефону до мережі.

Щоб налаштувати 802.1X, необхідно виконати такі дії.

  • Налаштуйте інші компоненти, перш ніж увімкнути автентифікацію 802.1X на телефоні.

  • Налаштувати порт ПК: Стандарт 802.1X не враховує мережі VLAN і тому рекомендує автентифікувати лише один пристрій на конкретний порт перемикання. Однак деякі перемикачі підтримують багатодоменну автентифікацію. Конфігурація перемикача визначає, чи можна підключити комп’ютер до порту ПК телефону.

    • Увімкнено: Якщо ви використовуєте перемикач, який підтримує багатодоменну автентифікацію, ви можете ввімкнути порт ПК та підключити до нього ПК. IP-телефони Cisco підтримують проксі EAPOL-Logoff для моніторингу обміну автентифікацією між перемикачем і прикріпленим ПК.

      Додаткову інформацію про підтримку IEEE 802.1X у комутаторах Cisco Catalyst див. в посібниках із налаштування перемикачів Cisco Catalyst за адресою:

      http://www.cisco.com/en/US/products/hw/switches/ps708/tsd_products_support_series_home.html

    • Вимкнено: Якщо перемикач не підтримує кілька пристроїв, сумісних із 802.1X, на одному порту необхідно вимкнути порт ПК, коли ввімкнено автентифікацію 802.1X. Якщо цей порт не вимкнути, а потім спробувати прикріпити до нього ПК, перемикач заборонить мережевий доступ як до телефону, так і до ПК.

  • Налаштувати голосову VLAN: Оскільки стандарт 802.1X не враховує мережі VLAN, цей параметр слід налаштувати на основі підтримки перемикання.
    • Увімкнено: Якщо ви використовуєте перемикач, який підтримує багатодоменну автентифікацію, ви можете продовжити його, використовуючи голосову VLAN.
    • Вимкнено: Якщо перемикач не підтримує багатодоменну автентифікацію, вимкніть голосову VLAN і розгляньте можливість призначення порту рідній VLAN.
  • (Тільки для настільних телефонів Cisco серії 9800)

    Настільний телефон Cisco серії 9800 має інший префікс в PID, ніж для інших телефонів Cisco. Щоб увімкнути передавання автентифікації 802.1X на телефоні, установіть параметр Radius·User-Name, щоб включити настільний телефон Cisco серії 9800.

    Наприклад, PID телефону 9841 є DP-9841. Ви можете задати параметр Radius·User-Name, щоб Почати з DP або Містить DP. Його можна встановити в обох таких розділах:

    • Політика > Умови > Умови бібліотеки

    • Політика > Набори політик > Політика авторизації > Правило авторизації 1

Увімкнути автентифікацію 802.1X

Якщо автентифікацію 802.1X увімкнено, телефон використовує автентифікацію 802.1X для запиту доступу до мережі. Коли автентифікацію 802.1X вимкнено, телефон використовує Cisco Discovery Protocol (CDP), щоб отримати VLAN і доступ до мережі. Ви також можете переглянути стан транзакції та змінити її в меню екрана телефону.

Якщо автентифікацію 802.1X увімкнено, можна також вибрати сертифікат пристрою (MIC/SUDI або користувацький) для початкової реєстрації та подовження сертифіката. Зазвичай MIC використовується для відеотелефону Cisco 8875, SUDI — для настільного телефону Cisco серії 9800. CDC можна використовувати для автентифікації лише в 802.1x.

1.

Щоб увімкнути автентифікацію 802.1X, виконайте одну з наведених далі дій.

  • У вебінтерфейсі телефону виберіть Голос > Система і встановіть для параметра Увімкнути автентифікацію 802.1X значення Так. Потім клацніть Надіслати всі зміни.
  • У файлі конфігурації (cfg.xml) введіть рядок у цьому форматі:

    <Enable_802.1X_Authentication ua="rw">Так</Enable_802.1X_Authentication>

    Допустимі значення: Так|Ні

    За замовчуванням: Ні

  • На телефоні натисніть Налаштування the Settings hard key і перейдіть до розділу Мережа і служба > Налаштування безпеки > Автентифікація 802.1X. Перемкніть поле Автентифікація пристрою на Увімк, а потім виберіть Застосувати.
Таблиця 2. Параметри автентифікації 802.1X на екрані телефону

Параметр

Параметри

За замовчуванням

Опис

Автентифікація пристрою

увімкнено

вимкнено

вимкнено

Увімкніть або вимкніть автентифікацію 802.1X на телефоні.

Стан транзакції

Вимкнуто

Відображає стан автентифікації 802.1X. Держава може бути (не обмежена):

  • Автентифікація Вказує, що процес автентифікації триває.
  • Автентифікація Вказує на автентифікацію телефону.
  • Вимкнено: Вказує, що автентифікацію 802.1x вимкнено на телефоні.

Протокол

Немає

Відображає метод EAP, який використовується для автентифікації 802.1X. Протокол може бути EAP-FAST або EAP-TLS.

Тип сертифіката користувача

Виробниче встановлення

Користувацьке встановлено

Виробниче встановлення

Виберіть сертифікат для автентифікації 802.1X під час початкової реєстрації та подовження сертифіката.

  • Виробництво встановлено – використовуються виробничий встановлений сертифікат (MIC) і безпечний унікальний ідентифікатор пристрою (SUDI).
  • Користувацьке встановлено – використовується користувацький сертифікат пристрою (CDC). Цей тип сертифіката можна встановити шляхом передавання вручну на вебсторінку телефону або встановлення з сервера простого протоколу реєстрації сертифікатів (SCEP).

Цей параметр з’являється на телефоні, лише коли ввімкнено автентифікацію пристрою.

2.

Виберіть сертифікат (МІКРОФОН або користувацький) для автентифікації 802.1X на вебсторінці телефону.

  • Для дротової мережі виберіть Голос > Система, виберіть тип сертифіката з розкривного списку Вибір сертифіката в розділі 802.1X Автентифікація.

    Цей параметр можна також налаштувати у файлі конфігурації (cfg.xml):

    <Certificate_Select ua="rw">Користувацьке встановлено</Certificate_Select>

    Допустимі значення: Виробництво встановлено|Користувацький установлений

    За замовчуванням: Виробниче встановлення

  • Для бездротової мережі виберіть Голос > Система, виберіть тип сертифіката з розкривного списку Вибір сертифіката в розділі Профіль Wi-Fi 1.

    Цей параметр можна також налаштувати у файлі конфігурації (cfg.xml):

    <Wi-Fi_Certificate_Select_1_ ua="rw">Користувацьке встановлено</Wi-Fi_Certificate_Select_1_>

    Допустимі значення: Виробництво встановлено|Користувацький установлений

    За замовчуванням: Виробниче встановлення

Інформацію про те, як вибрати тип сертифіката на екрані телефону, див. в розділі Підключити телефон до мережі Wi-Fi.

Увімкнути режим, ініційований клієнтом, для переговорів щодо безпеки літака медіа

Щоб захистити медіасеанси, можна налаштувати телефон, щоб ініціювати переговори щодо безпеки медіаплану з сервером. Механізм безпеки відповідає стандартам, визначеним у RFC 3329, та його проєкті розширення Names Mechanism Security for Media (див. https://tools.ietf.org/html/draft-dawes-sipcore-mediasec-parameter-08#ref-2). Транспортування переговорів між телефоном і сервером може використовувати SIP-протокол через UDP, TCP і TLS. Можна обмежити, що переговори щодо безпеки медіаплану застосовуються лише тоді, коли протокол передавання сигналів є TLS.

1.

Перейдіть на вебсторінку адміністрування телефонів.

2.

Виберіть Голос > Внутрішній номер (n).

3.

У розділі Налаштування SIP установіть поля MediaSec Request та MediaSec Тільки для TLS, як визначено в наступній таблиці.

Таблиця 3. Параметри для узгодження безпеки медіаплощини
ПараметрОпис

Запит MediaSec

Визначає, чи буде телефон ініціювати переговори щодо безпеки медіаплану з сервером.

Виконайте одну з наведених далі дій.

  • У файлі конфігурації телефону з XML(cfg.xml) введіть рядок у цьому форматі:

    <MediaSec_Request_1_ ua="na">Так</MediaSec_Request_1_>
  • У вебінтерфейсі телефону установіть у цьому полі значення Так або Ні, якщо необхідно.

Дозволені значення: Так|Ні

  • Так— Режим, ініційований клієнтом. Телефон ініціює переговори щодо безпеки медіаплану.
  • Немає— режим, ініційований сервером. Сервер ініціює переговори щодо безпеки медіаплощини. Телефон не ініціює переговори, але може обробляти запити на переговори від сервера для встановлення безпечних викликів.

За замовчуванням: Ні

MediaSec лише для TLS

Визначає протокол передавання сигналів, щодо якого застосовується узгодження безпеки медіаплану.

Перш ніж задати в цьому полі значення Так, переконайтеся, що протокол передавання сигналів є TLS.

Виконайте одну з наведених далі дій.

  • У файлі конфігурації телефону з XML(cfg.xml) введіть рядок у цьому форматі:

    <MediaSec_Over_TLS_Only_1_ ua="na">Ні</MediaSec_Over_TLS_Only_1_>

  • У вебінтерфейсі телефону установіть у цьому полі значення Так або Ні, якщо необхідно.

Дозволені значення: Так|Ні

  • Так— телефон ініціює або обробляє переговори щодо безпеки літака медіа, лише коли протокол передавання сигналів є TLS.
  • Ні— телефон ініціює та обробляє переговори щодо безпеки літака медіа незалежно від протоколу передавання сигналів.

За замовчуванням: Ні

4.

Клацніть Надіслати всі зміни.

Безпека Wlan

Оскільки всі пристрої WLAN, які знаходяться в межах діапазону, можуть отримувати весь інший трафік WLAN, безпека голосового зв’язку має важливе значення в WLAN. Щоб переконатися, що зловмисники не маніпулюють і не перехоплюють голосовий трафік, архітектура SAFE Security Cisco підтримує телефон. Додаткову інформацію про безпеку в мережах див. у статті http://www.cisco.com/en/US/netsol/ns744/networking_solutions_program_home.html.

Рішення Cisco Wireless IP-телефонії забезпечує безпеку бездротової мережі, яка запобігає несанкціонованому вході та компромісному зв’язку за допомогою таких методів автентифікації, які підтримує телефон:

  • Без автентифікації Будь-який бездротовий пристрій може запитувати автентифікацію у відкритій системі. AP, що отримує запит, може надати автентифікацію будь-якому відправнику запиту або лише відправникам запиту, знайденим у списку користувачів. Зв’язок між бездротовим пристроєм і точкою доступу (AP) може бути незашифрованим.

  • Розширений протокол автентифікації — гнучка автентифікація за допомогою безпечного тунелювання (EAP-FAST): Ця архітектура безпеки клієнта-сервера шифрує транзакції EAP в тунелі Transport Level Security (TLS) між AP та сервером RADIUS, наприклад Identity Services Engine (ISE).

    Тунель TLS використовує облікові дані захищеного доступу (PAC) для автентифікації між клієнтом (телефоном) і сервером RADIUS. Сервер надсилає ідентифікатор центру (AID) клієнту (телефону), який у свою чергу вибирає відповідний PAC. Клієнт (телефон) повертає PAC-Opaque на сервер RADIUS. Сервер розшифрує PAC за допомогою первинного ключа. Обидві кінцеві пристрої тепер містять ключ PAC, і створено тунель TLS. EAP-FAST підтримує автоматичну підготовку PAC, але її потрібно ввімкнути на сервері RADIUS.

    У ISE за замовчуванням термін дії PAC закінчується через один тиждень. Якщо термін дії PAC на телефоні завершився, автентифікація за допомогою сервера RADIUS займає більше часу, поки телефон отримує новий PAC. Щоб уникнути затримок під час підготовки PAC, встановіть період закінчення терміну дії PAC на 90 днів або більше на сервері ISE.

  • Автентифікація розширеного протоколу автентифікації — транспортного рівня безпеки (EAP-TLS): EAP-TLS вимагає сертифіката клієнта для автентифікації та доступу до мережі. Для бездротового EAP-TLS сертифікатом клієнта може бути мікрофон, LSC або сертифікат, встановлений користувачем.

  • Захищений розширений протокол автентифікації (PEAP): Власна схема взаємної автентифікації Cisco на основі пароля між клієнтом (телефоном) і RADIUS-сервером. Телефон може використовувати PEAP для автентифікації з бездротовою мережею. Підтримуються методи автентифікації PEAP-MSCHAPV2 та PEAP-GTC.

  • Спільний ключ (PSK): Телефон підтримує формат ASCII. Цей формат потрібно використовувати під час налаштування спільного ключа WPA/WPA2/SAE:

    ASCII: рядок ASCII-символів довжиною від 8 до 63 символів (0–9, малих і великих літер A–Z і спеціальні символи)

    Приклад: GREG123567@9ZX&W

Такі схеми автентифікації використовують сервер RADIUS для керування ключами автентифікації:

  • wpa/wpa2/wpa3: Використовує інформацію про сервер RADIUS для створення унікальних ключів для автентифікації. Оскільки ці ключі створюються на централізованому сервері RADIUS, WPA2/WPA3 забезпечує більшу безпеку, ніж попередні ключі WPA, які зберігаються в точці доступу та телефоні.

  • Швидкий безпечний роумінг: Використовує сервер RADIUS і інформацію про сервер бездротового домену (WDS) для керування ключами та автентифікації. WDS створює кеш облікових даних безпеки для клієнтських пристроїв із підтримкою FT для швидкої та безпечної повторної автентифікації. Настільний телефон Cisco 9861 і 9871, а також відеотелефон Cisco 8875 підтримують 802.11r (FT). Як по повітрю, так і по DS підтримуються для швидкого безпечного роумінгу. Але ми настійно рекомендуємо використовувати метод 802.11r (FT) над повітряним методом.

У WPA/WPA2/WPA3 ключі шифрування не вводяться на телефоні, але автоматично походять між точкою доступу та телефоном. Але ім’я користувача та пароль EAP, які використовуються для автентифікації, мають бути введені на кожному телефоні.

Щоб забезпечити безпеку голосового трафіку, телефон підтримує шифрування TKIP і AES. Коли ці механізми використовуються для шифрування, між точкою доступу та телефоном шифруються пакети SIP сигналів і пакети голосового протоколу Real-Time Transport Protocol (RTP).

tkip

WPA використовує шифрування TKIP, що має кілька покращень порівняно з WEP. TKIP забезпечує шифрування ключів для кожного пакета та довші векторів ініціалізації (IV), які покращують шифрування. Крім того, перевірка цілісності повідомлення (MIC) гарантує, що зашифровані пакети не змінюються. TKIP видаляє передбачуваність WEP, що допомагає зловмисникам розшифрувати ключ WEP.

aes

Метод шифрування, який використовується для автентифікації WPA2/WPA3. Цей національний стандарт шифрування використовує симетричний алгоритм, який має той самий ключ для шифрування та дешифрування. AES використовує шифрування ланцюжка блокування шифрів (CBC) розміром 128 біт, який підтримує мінімальні розміри ключів 128 біт, 192 біт і 256 біт. Телефон підтримує розмір ключа 256 біт.

Настільні телефони Cisco 9861 і 9871, а також відеотелефон Cisco 8875 не підтримують протокол цілісності ключів Cisco (CKIP) з CMIC.

Схеми автентифікації та шифрування налаштовуються в бездротовій локальній мережі. Мережі VLAN налаштовуються в мережі та на AP і вказують різні комбінації автентифікації та шифрування. SSID пов’язаний із VLAN і певною схемою автентифікації та шифрування. Для успішної автентифікації бездротових клієнтських пристроїв потрібно налаштувати ті самі SSID із їхніми схемами автентифікації та шифрування на точках доступу й на телефоні.

Деякі схеми автентифікації потребують певних типів шифрування.

  • Якщо використовується спільний ключ WPA, спільний ключ WPA2 або SAE, спільний ключ має бути статично встановлено на телефоні. Ці ключі мають збігатися з ключами точки доступу.

  • Телефон підтримує автоматичні переговори про EAP для FAST або PEAP, але не для TLS. Для режиму EAP-TLS його потрібно задати.

У схемах автентифікації та шифрування, наведених у наведеній нижче таблиці, показано параметри конфігурації мережі для телефону, які відповідають конфігурації точки доступу.

Таблиця 4. Схеми автентифікації та шифрування
Тип FSRАвтентифікаціяКерування ключамиШифруванняЗахищена рамка керування (PMF)
802.11r (FT)пск

wpa- psk

wpa- psk- sha256

ft- psk

aesНі
802.11r (FT)wpa3

сае

ft- sae

aesТак
802.11r (FT)eap- tls

wpa- eap

ft- eap

aesНі
802.11r (FT)eap- tls (wpa3)

wpa- eap- sha256

ft- eap

aesТак
802.11r (FT)eap- fast

wpa- eap

ft- eap

aesНі
802.11r (FT)eap- fast (wpa3)

wpa- eap- sha256

ft- eap

aesТак
802.11r (FT)eap-peap

wpa- eap

ft- eap

aesНі
802.11r (FT)eap- peap (wpa3)

wpa- eap- sha256

ft- eap

aesТак

Налаштувати профіль Wi-Fi

Можна налаштувати профіль Wi-Fi із вебсторінки телефону або з повторної синхронізації профілю віддаленого пристрою, а потім пов’язати профіль із доступними мережами Wi-Fi. Ви можете використовувати цей профіль Wi-Fi для підключення до Wi-Fi. Зараз можна налаштувати лише один профіль Wi-Fi.

Профіль містить параметри, необхідні для підключення телефонів до сервера телефону з Wi-Fi. Під час створення та використання профілю Wi-Fi вам або вашим користувачам не потрібно налаштовувати бездротову мережу для окремих телефонів.

Профіль Wi-Fi дає змогу запобігти або обмежити зміни користувачем конфігурації Wi-Fi на телефоні.

Рекомендовано використовувати захищений профіль із активованими шифруванням протоколами для захисту ключів і паролів під час використання профілю Wi-Fi.

Коли телефони налаштовуються на використання методу автентифікації EAP-FAST в режимі безпеки, користувачам потрібні індивідуальні облікові дані для підключення до точки доступу.

1.

Отримайте доступ до вебсторінки телефону.

2.

Виберіть Голос > Система.

3.

У розділі Профіль Wi-Fi (n) налаштуйте параметри, як описано в таблиці Параметри для профілю Wi-Fi нижче.

Конфігурація профілю Wi-Fi також доступна для входу користувача.
4.

Клацніть Надіслати всі зміни.

Параметри для профілю Wi-Fi

У наведеній нижче таблиці визначено функцію та використання кожного параметра в розділі Профіль(и) Wi-Fi на вкладці Система на вебсторінці телефону. Він також визначає синтаксис рядка, який додається у файл конфігурації телефону (cfg.xml) для налаштування параметра.

ПараметрОпис
Ім’я мережіДозволяє ввести ім’я SSID, яке буде відображатися на телефоні. Кілька профілів можуть мати однакове ім’я мережі з різним режимом безпеки.

Виконайте одну з наведених далі дій.

  • У файлі конфігурації телефону з XML(cfg.xml) введіть рядок у цьому форматі:

    <Network_Name_1_ ua="rw">cisco</Network_Name_1_>

  • На вебсторінці телефону введіть ім’я SSID.

За замовчуванням: Пустий

Режим безпекиДозволяє вибрати спосіб автентифікації, який використовується для гарантування доступу до мережі Wi-Fi. Залежно від вибраного способу з’явиться поле пароля, щоб ви могли надати облікові дані, необхідні для приєднання до цієї мережі Wi-Fi.

Виконайте одну з наведених далі дій.

  • У файлі конфігурації телефону з XML(cfg.xml) введіть рядок у цьому форматі:

    <Security_Mode_1_ ua="rw">EAP-TLS</Security_Mode_1_> <!-- доступні параметри: Авто|EAP-FAST|||PSK||Немає|EAP-PEAP|EAP-TLS -->

  • На веб-сторінці телефону виберіть один із способів:
    • Автоматично
    • eap- fast
    • пск
    • Немає
    • eap-peap
    • eap- tls

За замовчуванням: Автоматично

Ідентифікатор користувача Wi-FiДозволяє ввести ідентифікатор користувача для мережевого профілю.

Це поле доступне, коли для режиму безпеки задано значення Авто, EAP-FAST або EAP-PEAP. Це обов’язкове поле. Максимальна довжина його становить 32 буквено-цифрові символи.

Виконайте одну з наведених далі дій.

  • У файлі конфігурації телефону з XML(cfg.xml) введіть рядок у цьому форматі:

    <Wi-Fi_User_ID_1_ua="rw"></Wi-Fi_User_ID_1_>

  • На вебсторінці телефону введіть ідентифікатор користувача для мережевого профілю.

За замовчуванням: Пустий

Пароль Wi-FiДозволяє ввести пароль для вказаного ідентифікатора користувача Wi-Fi.

Виконайте одну з наведених далі дій.

  • У файлі конфігурації телефону з XML(cfg.xml) введіть рядок у цьому форматі:

    <Wi-Fi_Password_1_ ua="rw"></Wi-Fi_Password_1_>

  • На вебсторінці телефону введіть пароль для доданого вами ідентифікатора користувача.

За замовчуванням: Пустий

Смуга частотДозволяє вибрати смугу частот бездротового сигналу, яку використовує WLAN.

Виконайте одну з наведених далі дій.

  • У файлі конфігурації телефону з XML(cfg.xml) введіть рядок у цьому форматі:

    <Frequency_Band_1_ ua="rw">Автоматичний</Frequency_Band_1_>

  • На вебсторінці телефону виберіть один із варіантів:
    • Автоматично
    • 2,4 ГГц
    • 5 ГГц

За замовчуванням: Автоматично

Вибір сертифікатаДозволяє вибрати тип сертифіката для початкової реєстрації сертифіката та подовження сертифіката в бездротовій мережі. Цей процес доступний лише для автентифікації 802.1X.

Виконайте одну з наведених далі дій.

  • У файлі конфігурації телефону з XML(cfg.xml) введіть рядок у цьому форматі:

    <Certificate_Select_1_ ua="rw">Установлене виробництво</Certificate_Select_1_>

  • На вебсторінці телефону виберіть один із варіантів:
    • Виробниче встановлення
    • Користувацьке встановлено

За замовчуванням: Виробниче встановлення