- Головна
- /
- Стаття
Дякуємо за відгук.
Сертифікат спеціального пристрою на номер 9800/8875
У цій статті
Надіслати відгук?Сертифікат користувацького пристрою (CDC) можна інсталювати вручну або автоматично. Для певних середовищ ви можете використовувати параметр DHCP 43, щоб надати параметри SCEP для встановлення сертифіката. Ця довідкова стаття призначена для Cisco Desk Phone 9800 Series та Cisco Video Phone 8875, зареєстрованих на Cisco BroadWorks або Webex Calling.
Інсталяція сертифіката спеціального пристрою
Щоб інсталювати сертифікат користувацького пристрою (CDC) на телефон, скористайтеся одним із наведених нижче способів залежно від ситуації.
Останній встановлений сертифікат на телефоні вступає в силу.
- Інсталяція вручну – сертифікат можна інсталювати, завантаживши його з веб-сторінки адміністрації телефону. Докладнішу інформацію дивіться в розділі Ручна інсталяція сертифіката користувацького пристрою шляхом завантаження.
- Автоматична інсталяція: можна налаштувати параметри простого протоколу реєстрації сертифіката (SCEP), щоб ініціювати автоматичну інсталяцію сертифіката. Телефон надсилає запити SCEP на сервер SCEP для встановлення сертифіката.
Параметри SCEP можна налаштувати на веб-сторінці адміністрації телефону, у файлі конфігурації телефону (cfg.XML) або в Control Hub. Щоб дізнатися більше, перегляньте статтю Автоматична інсталяція сертифіката користувацького пристрою за допомогою SCEP і параметрів для настройок телефону в Control Hub.
- DHCP варіант 43 — У певному середовищі ви можете встановити сертифікат, використовуючи опцію DHCP 43. Опція 43 може надати параметри SCEP для встановлення сертифіката. Подробиці дивіться в розділі Налаштування параметрів SCEP за допомогою DHCP опції 43.
-
Коли ви використовуєте параметр DHCP 43 для забезпечення параметрів SCEP, телефон також може отримати доменне ім'я, перенесене з варіанту DHCP 15. На основі отриманого доменного імені телефон може створити загальне ім'я SCEP CSR та ідентифікатор користувача 802.1X. Для отримання детальної інформації дивіться Підготовка загального імені або ідентифікатора користувача за допомогою DHCP опція 15.
Для отримання додаткової інформації про те, як налаштувати параметри DHCP, дивіться Налаштування параметрів DHCP.
-
Ручна інсталяція сертифіката користувацького пристрою шляхом завантаження
Ви можете вручну встановити сертифікат користувацького пристрою (CDC) на телефон, завантаживши сертифікат із веб-сторінки адміністрації телефону.
Перш ніж почати
Перш ніж інсталювати сертифікат настроюваного пристрою для телефону, потрібно мати:
- Файл сертифіката (.p12 або .pfx), збережений на ПК. Файл містить сертифікат і закритий ключ.
- Витяг пароля сертифіката. Пароль використовується для розшифрування файлу сертифіката.
| 1 |
Відкрийте веб-сторінку адміністрування телефона. |
| 2 |
Виберіть Сертифікат. |
| 3 |
У розділі « Додати сертифікат» натисніть « Огляд ...». |
| 4 |
Перейдіть до сертифіката на ПК. |
| 5 |
У полі Extract password (Пароль для розпакування) введіть пароль для розпакування сертифіката. |
| 6 |
Натисніть Upload (Завантажити). Якщо файл сертифіката та пароль правильні, ви отримаєте повідомлення "
Сертифікат додано". В іншому випадку не вдасться завантажити файл із повідомленням про помилку, яке вказує на те, що сертифікат не можна завантажити. |
| 7 |
Щоб перевірити відомості про встановлений сертифікат, натисніть «Переглянути » в розділі «Існуючі сертифікати ». |
| 8 |
Щоб видалити встановлений сертифікат з телефону, натисніть Видалити в розділі Існуючі сертифікати . Як тільки ви натиснете кнопку, операція видалення почнеться негайно без підтвердження.
Якщо сертифікат буде успішно видалено, ви отримаєте повідомлення " |
Автоматична інсталяція сертифіката спеціального пристрою від SCEP
Ви можете налаштувати параметри, пов'язані з протоколом простого зарахування сертифіката (SCEP), для взаємодії з сервером SCEP для автоматичної інсталяції сертифіката спеціального пристрою (CDC).
Як тільки будь-який з параметрів SCEP буде налаштовано, телефон надішле на сервер запит на реєстрацію SCEP. Телефон перевірить отриманий сертифікат ЦС за допомогою налаштованого відбитка пальця.
Перш ніж почати
Перш ніж виконати автоматичну інсталяцію сертифіката настроюваного пристрою (CDC) для телефону, потрібно мати:
- Адреса сервера SCEP
- Відбиток кореневого сертифіката ЦС за SHA-1 або SHA-256 для сервера SCEP.
| 1 |
Відкрийте веб-сторінку адміністрування телефона. |
| 2 |
Виберіть Сертифікат. |
| 3 |
У розділі Конфігурація 1 SCEP встановіть параметри, як описано в розділі Параметри для конфігурації SCEP. |
| 4 |
Натисніть "Надіслати всі зміни". |
Параметри для конфігурації SCEP
У наведеній нижче таблиці описано функцію та використання параметрів конфігурації SCEP у розділі Конфігурація SCEP 1 під Сертифікатом Tab у веб-інтерфейсі телефону. Він також визначає синтаксис рядка, який додається у файл конфігурації телефону (cfg.XML) для налаштування параметра.
Будь-які зміни параметрів змусять телефон запросити новий сертифікат.
| Параметр | Опис |
|---|---|
| Сервер |
Адреса сервера SCEP. Цей параметр є обов'язковим. Виконайте одну з таких дій:
Допустимі значення: URL-адреса або IP-адреса. Схема HTTPS не підтримується. За замовчуванням: пусто |
| Корінь ЦС Відбиток пальця |
Відбиток SHA256 або SHA1 кореневого ЦС для перевірки під час процесу SCEP. Цей параметр є обов'язковим. Виконайте одну з таких дій:
За замовчуванням: пусто |
| Пароль виклику |
Пароль виклику для авторизації Certificate Authority (CA) на телефоні під час реєстрації сертифіката через SCEP. Цей параметр не є обов'язковим. Згідно з фактичним середовищем SCEP, поведінка пароля виклику може бути різною.
Виконайте одну з таких дій:
За замовчуванням: пусто |
| Загальна назва |
Указує загальне ім'я (CN), яке використовується як ідентифікатор телефону, який запитує сертифікат. CN використовується для запиту на підписання сертифіката (CSR) у процесі SCEP. Цей параметр також підтримує змінні розширення макросів, докладніше див. у розділі Макрозмінні розширення. Виконайте одну з таких дій:
Допустимі значення: максимум 64 символи За замовчуванням: пусто |
Продовження сертифікату SCEP
Сертифікат пристрою може бути автоматично поновлений за допомогою процесу SCEP.
- Телефон кожні 4 години перевіряє, чи закінчиться термін дії сертифіката через 15 днів. Якщо так, телефон автоматично розпочне процес оновлення сертифіката.
- Якщо пароль виклику порожній, телефон використовує MIC/SUDI як для початкової реєстрації, так і для поновлення сертифіката. Якщо пароль виклику налаштований, він використовується лише для початкової реєстрації, існуючий/встановлений сертифікат використовується для продовження сертифіката.
- Телефон не видаляє старий сертифікат пристрою, доки не отримає новий.
- Якщо не вдається оновити сертифікат через закінчення терміну дії сертифіката пристрою або центру сертифікації, телефон автоматично ініціює початкову реєстрацію. Тим часом, якщо автентифікація за допомогою пароля виклику не вдається, на екрані телефону з'являється екран введення пароля, і користувачам пропонується ввести пароль виклику на телефоні.
Конфігурація загального імені CDC
За замовчуванням Загальне ім'я в MIC/SUDI використовується як загальне ім'я для CDC.
Ви можете налаштувати спільне ім'я для CDC під час інсталяції сертифіката. Скористайтеся одним із наступних способів, щоб встановити CDC на телефон:
-
Згенеруйте запит на підписання сертифіката (CSR), який містить бажане загальне ім'я, а потім завантажте та встановіть новий сертифікат на веб-сторінці адміністрування телефону.
-
Налаштуйте загальне ім'я на веб-сторінці адміністрації телефону, у файлі конфігурації телефону (cfg.XML) або в Control Hub. Це призведе до того, що телефон автоматично запросить новий сертифікат.
Щоб отримати додаткову інформацію про параметри на веб-сторінці телефону та в Control Hub, перегляньте статтю Автоматична інсталяція сертифіката користувацького пристрою за допомогою SCEP та параметрів для налаштувань телефону на Control Hub.
- Використовуйте DHCP опції 43 і 15, щоб забезпечити загальне ім'я для CDC та дротового ідентифікатора 802.1X.
Для отримання додаткової інформації дивіться Підготовка загального імені або ідентифікатора користувача за допомогою DHCP опція 15.
Налаштування параметрів SCEP за допомогою DHCP варіант 43
У певних середовищах, де ви не можете інсталювати сертифікат користувацького пристрою (CDC), передавши його або безпосередньо налаштувавши параметри SCEP. У цій ситуації ви можете використовувати опцію DHCP 43 для заповнення параметрів із сервера DHCP. Параметр DHCP 43 можна налаштувати так, щоб надавати параметри SCEP на телефон. Після скидання до заводських налаштувань телефон може отримувати параметри від сервера DHCP для встановлення CDC за протоколом SCEP.
- Ця функція (налаштування параметрів SCEP за допомогою DHCP опція 43) доступна лише для телефону, який скинуто до заводських налаштувань.
- Телефони не можна розміщувати в мережі, яка підтримує Варіант 43 і віддалене виділення (наприклад, Опції 66,160,159,150 або хмарне забезпечення). В іншому випадку телефони можуть не отримати конфігурацію опції 43.
Щоб встановити сертифікат CDC за параметрами SCEP, наданими з варіанту DHCP 43, виконайте наступне:
- Підготуйте середовище SCEP.
Для отримання інформації про налаштування середовища SCEP зверніться до документації вашого сервера SCEP.
- Налаштуйте параметр DHCP 43 (визначено в 8.4 Специфічна інформація для постачальників, RFC 2132).
Підпараметри (10–15) зарезервовані для методу:
Параметр на веб-сторінці телефону Підваріант Тип Довжина (байт) Обов’язково Режим FIPS 10 Логічні 1 Ні* Сервер 11 Рядок 208 - довжина (Пароль виклику) Так Корінь ЦС Відбиток пальця 12 шестигранник 20, 32, 48 або 64 Так Пароль виклику 13 Рядок 208 - довжина (Сервер) Ні* Увімкніть аутентифікацію 802.1X 14 Логічні 1 Ні Вибір сертифіката 15 8-біт без знаку 1 Ні * означає, що параметр налаштований відповідно до реальної ситуації.
Коли ви використовуєте варіант DHCP 43, зверніть увагу на наступні характеристики методу:
- Підпараметри (10–15) зарезервовано для сертифіката користувацького пристрою (CDC).
- Максимальна довжина варіанту DHCP 43 становить 255 байт.
- Максимальна довжина пароля Server + Challenge має бути меншою за 208 байт.
- Значення режиму FIPS має відповідати конфігурації ініціалізації вбудованого обладнання. В іншому випадку телефону не вдасться відновити раніше встановлений сертифікат після підключення. Специфічно
- Якщо телефон буде зареєстрований у середовищі, де режим FIPS вимкнено, вам не потрібно налаштовувати режим FIPS у варіанті DHCP 43. За замовчуванням режим FIPS вимкнено.
- Якщо телефон буде зареєстрований у середовищі, де ввімкнено режим FIPS, ви повинні увімкнути режим FIPS у варіанті DHCP варіант 43. Дивіться розділ Увімкнення режиму FIPS для отримання детальної інформації.
- Пароль виклику у варіанті 43 написано у відкритому тексті.
- Якщо ви хочете, щоб телефон використовував MIC/SUDI для початкової реєстрації та поновлення сертифіката, залиште пароль виклику порожнім.
- Якщо пароль челенджу використовується лише для початкової реєстрації, налаштуйте пароль для виклику. У цьому випадку встановлений сертифікат буде використовуватися для продовження сертифіката.
- Увімкнути аутентифікацію 802.1X і вибір сертифіката використовуються тільки для телефонів у дротових мережах.
- DHCP варіант 60 (ідентифікатор класу постачальника) використовується для ідентифікації моделі пристрою.
Приклад варіанту DHCP 43 (підваріанти 10–15):
Підпараметр десятковий/шістнадцятковий Довжина значення (байт) десяткове/шістнадцяткове Значення Шістнадцяткове значення 10/0А 1/01 1 (0: вимкнено; 1: увімкнено) 01 11/0Б 18/12 http://10.79.57.91 687474703a2f2f31302e37392e35372e3931 12/0С 20/14 12040870625C5B755D73F5925285F8F5FF5D55AF 12040870625C5B755D73F5925285F8F5FF5D55AF 13/0д 16/10 D233CCF9B9952A15 44323333434346394239393532413135 14/0e 1/01 1 (0: Ні; 1: Так) 01 15/0f 1/01 1 (0: Виробництво встановлено; 1: Встановлено на замовлення) 01 Підсумок значень параметрів:
-
Режим FIPS =
Увімкнено -
Сервер =
http://10.79.57.91 -
Відбиток кореневого ЦС =
12040870625C5B755D73F5925285F8F5FF5D55AF -
Пароль виклику =
D233CCF9B9952A15 -
Увімкнути аутентифікацію 802.1X =
Так -
Вибір сертифіката =
Встановлено на замовлення
Синтаксис кінцевого шістнадцяткового значення:
{<suboption><length><value>}...Відповідно до наведених вище значень параметрів, кінцеве шістнадцяткове значення виглядає наступним чином:
0a01010b12687474703a2f2f31302e37392e35372e39310c1412040870625C5B755D73F5925285F8F5FF5D55AF0d10443233334343463942393935324131350e01010f0101 - Налаштуйте варіант DHCP 43 на сервері DHCP.
На цьому кроці наведено приклад конфігурації варіанту DHCP 43 на Cisco Network Register.
- Додайте набір визначень опції DHCP.
Рядок опції постачальника – це назва моделі телефонів IP. Допустиме значення: DP-9841, DP-9851, DP-9861, DP-9871 або CP-8875.
- Додайте параметр DHCP 43 та підпараметри до набору визначень опції DHCP.
Приклад:
- Додайте опції 43 до політики DHCP та встановіть значення наступним чином:
Приклад:
(10 1)(11 http://10.79.57.91)(12 12040870625C5B755D73F5925285F8F5FF5D55AF)(13 D233CCF9B9952A15)(14 1)(15 1) - Перевірте налаштування. Ви можете використовувати Wireshark для фіксації слідів мережевого трафіку між телефоном і сервісом.
- Додайте набір визначень опції DHCP.
- Виконайте скидання до заводських налаштувань телефону.
Після скидання налаштувань телефону параметри Server, Root CA, Fingerprint і Challenge Password будуть заповнені автоматично. Ці параметри знаходяться в розділі SCEP Configuration 1 від на веб-сторінці адміністрації телефону.
Щоб перевірити відомості про встановлений сертифікат, натисніть «Переглянути » в розділі «Існуючі сертифікати ».
Щоб перевірити статус інсталяції сертифіката, виберіть . Статус завантаження 1 показує останній результат. Якщо під час реєстрації сертифіката виникає будь-яка проблема, у статусі завантаження може відображатися причина проблеми для усунення неполадок.
Якщо автентифікація за допомогою пароля виклику не пройде, користувачам буде запропоновано ввести пароль на екрані телефону.
- (Необов'язково): щоб видалити встановлений сертифікат із телефону, натисніть Видалити в розділі Наявні сертифікати .
Як тільки ви натиснете кнопку, операція видалення почнеться негайно без підтвердження.
Надання загального імені або ідентифікатора користувача за допомогою DHCP варіант 15
Під час реєстрації сертифіката SCEP за допомогою опції DHCP 43 телефон також може отримати доменне ім'я, надане в опції DHCP 15 (якщо налаштовано). Після того, як телефон отримає доменне ім'я, він може створити загальне ім'я або ідентифікатор користувача з доменним ім'ям, яке представлено таким чином:
- Common name = <Common Name у MIC/SUDI >.<Доменне ім'я у варіанті 15>
Спільне ім'я буде використовуватися для CSR в процесі SCEP, а пізніше воно стане загальним ім'ям в CDC.
- ID користувача= <Загальне ім'я в MIC/SUDI >@<Доменне ім'я у варіанті 15>
Ідентифікатор користувача використовуватиметься як ідентифікатор для дротової автентифікації 802.1X.
Наприклад, адреса телефону MAC - 00:1A:2B:3C:4D:5E, модель телефону - 9871:
| Доменне ім'я в DHCP варіант 15 | Загальна назва | Ідентифікатор користувача |
|---|---|---|
| example.nl | CP-9871-SEP001A2B3C4D5E.example.nl | CP-9871-SEP001A2B3C4D5E@example.nl |
| Порожній | СР-9871-SEP001A2B3C4D5E |
СР-9871-SEP001A2B3C4D5E |
Якщо доменне ім'я не налаштовано у варіанті 15, загальне ім'я та ідентифікатор користувача будуть такими ж, як і загальне ім'я в MIC/SUDI.
