802.1X 上的自定义设备证书 (CDC)

手动安装自定义设备证书

您可以通过从电话管理网页上传证书,在电话上手动安装自定义设备证书(CDC)。

开始之前

在为电话安装自定义设备证书之前,您必须拥有:

  • 保存在电脑上的证书文件(.p12 或 .pfx)。 该文件包含证书和私钥。
  • 证书的提取密码。 密码用于解密证书文件。
1

访问电话管理网页。

2

选择 证书

3

添加证书部分中,单击浏览...

4

浏览至您 PC 上的证书。

5

提取密码字段中,输入证书提取密码。

6

单击上传

如果证书文件和密码正确无误,您将收到证书已添加消息。 否则,上传会失败并出现错误消息,指明证书无法上传。
7

要查看已安装证书的详细信息,请单击现有证书部分中的查看

8

要从电话中删除已安装的证书,请单击现有证书部分中的删除

单击该按键后,删除操作会立即开始,无需进行确认。

如果证书被成功删除,您将收到消息“证书已删除”。

通过 SCEP 自动安装自定义设备证书

如果不想手动上传证书文件或没有证书文件,可以将简单证书注册协议(SCEP)参数设置为自动安装自定义设备证书(CDC)。

正确配置 SCEP 参数后,电话会向 SCEP 服务器发送请求,设备将使用定义的指纹验证 CA 证书。

开始之前

在自动安装电话的自定义设备证书之前,您必须具备:

  • SCEP 服务器地址
  • SCEP 服务器根 CA 证书的 SHA-1 或 SHA-256 指纹
1

访问电话管理网页。

2

选择 证书

3

SCEP 配置 1 部分中,按照下表 SCEP 配置参数所述设置参数。

4

单击 Submit All Changes

SCEP 配置的参数

下表在电话 Web 界面的 证书 标签页下的 SCEP 配置 1 部分中 定义了 SCEP 配置参数的功能和使用方法。 它还定义在电话配置文件(cfg.xml)中添加以配置参数的字符串的语法。

表 1. SCEP 配置的参数
参数说明
服务器

SCEP 服务器地址。 这是必要参数。

执行下列操作之一:

  • 在包含 XML(cfg.xml) 的电话配置文件中,输入以下格式的字符串:

    <CDC_Server_1_ ua=“na”>http://10.79.57.91</CDC_Server_1_>

  • 在电话网页中,输入 SCEP 服务器地址。

有效值:URL 或 IP 地址。 不支持 HTTPS 方案。

默认值:空

根 CA 指纹

根 CA 的 SHA256 或 SHA1 指纹,用于在 SCEP 过程中进行验证。 这是必要参数。

执行下列操作之一:

  • 在包含 XML(cfg.xml) 的电话配置文件中,输入以下格式的字符串:

    <CDC_Root_CA_Fingerprint_1_ ua=“na”>12040870625C5B755D73F5925285F8F5FF5D55AF</CDC_Root_CA_Fingerprint_1_>

  • 在电话网页中,输入有效的指纹。

默认值:空

质询密码

在通过 SCEP 注册证书期间,用于对电话进行 Certificate Authority (CA) 授权的质询密码。 此参数是可选的。

根据实际的 SCEP 环境,质询密码的行为会有所不同。

  • 如果电话从与 CA 进行通信的 Cisco RA 获取证书,则 CA 不支持质询密码。在这种情况下,Cisco RA 使用电话的 MIC/SUDI 进行身份验证以访问 CA。电话使用 MIC/SUDI 进行初始注册和证书续订。
  • 如果电话通过直接与 CA 通信来获取证书,则 CA 支持质询密码。如果已配置,它将仅用于初始注册。 对于证书续订,将改用已安装的证书。

执行下列操作之一:

  • 在包含 XML(cfg.xml) 的电话配置文件中,输入以下格式的字符串:

    <CDC_Challenge_Password_1_ ua=“na”></CDC_Challenge_Password_1_>

    密码在配置文件中会被掩蔽。

  • 在电话网页中,输入质询密码。

默认值:空

通过 DHCP 选项 43 配置 SCEP 参数

除了通过电话网页上的手动配置注册 SCEP 证书之外,您还可以使用 DHCP 选项 43 从 DHCP 服务器填充参数。 DHCP 选项 43 预先配置了 SCEP 参数,之后电话可以从 DHCP 服务器获取参数,以便执行 SCEP 证书注册。

  • 通过 DHCP 选项 43 配置的 SCEP 参数仅适用于执行恢复出厂设置的电话。
  • 电话不得放置在同时支持选项 43 和远程配置(例如,选项 66,160,159,150 或云配置)的网络中。 否则,电话可能无法获得 Option 43 配置。

要通过在 DHCP 选项 43 中配置 SCEP 参数来注册 SCEP 证书,请执行以下操作:

  1. 准备 SCEP 环境。

    有关 SCEP 环境设置的信息,请参阅 SCEP 服务器文档。

  2. 设置 DHCP 选项 43(定义见 8.4 供应商特定信息,RFC 2132)。

    子选项 (10-15) 保留用于该方法:

    电话上的参数网页子选项类型长度(字节)必需
    FIPS 模式10布尔1不*
    服务器11字符串208 - 长度(质询密码)
    根 CA 指纹12二进制20 或 32
    质询密码13字符串208 - 长度(服务器)不*
    启用 802.1X 验证14布尔1
    证书选择15无符号 8 位1

    使用 DHCP 选项 43 时,请注意该方法的以下特征:

    • 子选项(10–15)是为自定义设备证书(CDC)保留的。
    • DHCP 选项 43 的最大长度为 255 字节。
    • 服务器 + 质询密码的最大长度应小于 208 字节。
    • FIPS 模式的值应与载入设置配置一致。 否则,电话在载入后将无法检索之前安装的证书。 具体说来
      • 如果电话将注册到禁用 FIPS 模式的环境中,则无需在 DHCP 选项 43 中配置 FIPS 模式 参数。默认情况下,FIPS 模式已被禁用。
      • 如果电话将注册到启用了 FIPS 模式的环境,您必须在 DHCP 选项 43 中启用 FIPS 模式。有关详细信息,请参阅 启用 FIPS 模式
    • 选项 43 中的密码为明文形式。

      如果质询密码为空,则电话将使用 MIC/SUDI 进行初始注册和证书续订。 如果配置了质询密码,则它仅用于初始注册,已安装的证书将用于证书续订。

    • 启用 802.1X 身份验证证书选择 仅用于有线网络中的电话。
    • DHCP 选项 60(供应商类标识符)用于标识设备型号。

    下表提供了 DHCP 选项 43(子选项 10–15)的示例:

    子选项十进制/十六进制值长度(字节)十进制/十六进制十六进制值
    10/0a1/011(0:已禁用;1:已启用)01
    11/0b18/12http://10.79.57.91687474703a2f2f31302e37392e35372e3931
    12/0c20/1412040870625C5B755D73F5925285F8F5FF5D55AF12040870625C5B755D73F5925285F8F5FF5D55AF
    13/0d16/10D233CCF9B9952A1544323333434346394239393532413135
    14/0e1/011(0:否;1:是)01
    15/0f1/011(0:厂商预装;1:自定义安装) 01

    参数值摘要:

    • FIPS 模式 = 启用

    • 服务器 = http://10.79.57.91

    • 根 CA 指纹 = 12040870625C5B755D73F5925285F8F5FF5D55AF

    • 质询密码 = D233CCF9B9952A15

    • 启用 802.1X 身份验证 =

    • 证书选择 = 自定义安装

    最终十六进制值的语法为: {<suboption><length><value>}...

    根据上面的参数值,最终的十六进制值如下:

    0a01010b12687474703a2f2f31302e37392e35372e39310c1412040870625C5B755D73F5925285F8F5FF5D55AF0d10443233334343463942393935324131350e01010f0101

  3. 在 DHCP 服务器上配置 DHCP 选项 43。

    此步骤提供了 Cisco 网络寄存器上的 DHCP 选项 43 配置的示例。

    1. 添加 DHCP 选项定义集。

      供应商选项字符串是 IP 电话的型号名称。 有效值为:DP-9841、DP-9851、DP-9861、DP-9871 或 CP-8875。

    2. 将 DHCP 选项 43 和子选项添加到 DHCP 选项定义集中。

      示例

      Cisco 网络寄存器上的 DHCP 选项 43 定义的屏幕截图

    3. 将选项 43 添加到 DHCP 策略,并按如下所示设置值:

      示例

      (10 1)(11 http://10.79.57.91)(12 12040870625C5B755D73F5925285F8F5FF5D55AF)(13 D233CCF9B9952A15)(14 1)(15 1)

    4. 验证设置。 您可以使用 Wireshark 捕获电话和服务之间的网络流量跟踪。
  4. 为电话执行恢复出厂设置。

    重设电话后,服务器根 CA 指纹质询密码参数将自动填写。 这些参数位于电话管理网页上证书>自定义 中的 SCEP 配置 1 部分

    要查看已安装证书的详细信息,请单击现有证书部分中的查看

    若要检查证书安装状态,请选择 “证书 > 自定义证书状态”。 下载状态 1 显示最新结果。 如果在证书注册期间出现任何问题,下载状态会显示问题原因以进行故障排除。

    如果质询密码验证失败,电话屏幕会提示用户输入密码。
  5. (可选):要从电话中删除已安装的证书,单击现有证书 部分中的删除
    单击该按键后,删除操作会立即开始,无需进行确认。

SCEP 的证书续订

SCEP 进程可以自动刷新设备证书。

  • 电话每 4 小时检查证书是否会在 15 天后过期。 如果是这样,电话会自动启动证书续订过程。
  • 如果质询密码为空,则电话将使用 MIC/SUDI 进行初始注册和证书续订。 如果配置了质询密码,则仅用于初始注册,现有/已安装的证书将用于证书续订。
  • 电话在检索新设备证书之前不会删除旧设备证书。
  • 如果证书续订因设备证书或 CA 过期而失败,电话将自动触发初始注册。 同时,如果质询密码身份验证失败,电话屏幕上会弹出密码输入屏幕,提示用户在电话上输入质询密码。

设置客户端和服务器的最低 TLS 版本

默认情况下,客户端和服务器的最低 TLS 版本为 1.2。 这意味着客户端和服务器接受与 TLS 1.2 或更高版本建立连接。 客户端和服务器的 TLS 支持的最高版本为 1.3。 配置后,最低 TLS 版本将用于 TLS 客户端和 TLS 服务器之间的协商。

您可以分别为客户端和服务器设置 TLS 的最低版本,例如 1.1、1.2 或 1.3。

开始之前

确保 TLS 服务器支持配置的最低 TLS 版本。 您可以咨询呼叫控制系统的管理员。
1

访问电话管理网页。

2

选择 Voice > System

3

在安全设置部分中 ,配置参数TLS 客户端最低版本

  • TLS 1.1:TLS 客户端支持从 1.1 到 1.3 的 TLS 版本。

    如果服务器中的 TLS 版本低于 1.1,则无法建立连接。

  • TLS 1.2 (缺省):TLS 客户端支持 TLS 1.2 和 1.3。

    如果服务器中的 TLS 版本低于 1.2(例如 1.1),则无法建立连接。

  • TLS 1.3:TLS 客户端仅支持 TLS 1.3。

    如果服务器中的 TLS 版本低于 1.3(例如 1.2 或 1.1),则无法建立连接。

    如果要将参数“TLS 客户端最低版本”设置为“TLS 1.3”,请确保服务器端支持 TLS 1.3。 如果服务器端不支持 TLS 1.3,这可能会导致严重问题。 例如,无法在电话上执行预配置作。

您还可以在配置文件 (cfg.xml) 中配置此参数:

<TLS_Client_Min_Version ua=“na”>TLS 1.2</TLS_Client_Min_Version>

允许的值:TLS 1.1、TLS1.2 和 TLS 1.3。

默认值:TLS 1.2

4

在安全设置部分中 ,配置参数TLS 服务器最低版本

Webex Calling 不支持 TLS 1.1。
  • TLS 1.1:TLS 服务器支持从 1.1 到 1.3 的 TLS 版本。

    如果客户端中的 TLS 版本低于 1.1,则无法建立连接。

  • TLS 1.2 (缺省):TLS 服务器支持 TLS 1.2 和 1.3。

    如果客户端中的 TLS 版本低于 1.2(例如 1.1),则无法建立连接。

  • TLS 1.3:TLS 服务器仅支持 TLS 1.3。

    如果客户端中的 TLS 版本低于 1.3(例如 1.2 或 1.1),则无法建立连接。

您还可以在配置文件 (cfg.xml) 中配置此参数:

<TLS_Server_Min_Version ua=“na”>TLS 1.2</TLS_Server_Min_Version>

允许的值:TLS 1.1、TLS1.2 和 TLS 1.3。

默认值:TLS 1.2

5

单击 Submit All Changes

启用 FIPS 模式

您可以使电话符合联邦信息处理标准 (FIPS)。

FIPS 是一组在非军事政府中使用以及与机构合作的政府承包商和供应商使用的文档处理、加密算法和其他信息技术标准。 CiscoSSL FOM(FIPS 对象模块)是一个精心定义的软件组件,专为与 CiscoSSL 库兼容而设计,因此使用思科 SSL 库和 API 的产品可以毫不费力地转换为使用 FIPS 140-2 验证的加密技术。

1

访问电话管理网页。

2

选择 Voice > System

3

在“安全设置” 部分中,从 FIPS 模式 参数中选择 “是 ”或 “否 ”。

4

单击 Submit All Changes

启用 FIPS 时,以下功能可在电话上无缝运行:
  • 图像验证
  • 安全存储
  • 配置文件加密
  • 红绿灯:
    • HTTPs
    • PRT 上传
    • 固件升级
    • 配置文件重新同步
    • 自行激活服务
    • Webex 入门
    • 通过 TLS 的 SIP
    • 802.1x(有线)
  • SIP Digest (RFC 8760)
  • SRTP
  • Webex 呼叫日志和 Webex 目录
  • 一键通 (OBTP)

手动删除安全证书

如果简单证书注册协议 (SCEP) 不可用,您可以从电话中手动删除安全证书。

1

在电话管理网页中选择证书

2

证书页面找到证书。

3

单击删除

4

在删除过程完成后,重新启动电话。

设置用户密码和管理员密码

在电话首次注册到呼叫控制系统或在电话上执行恢复出厂设置后,您必须设置用户和管理员密码以增强电话的安全性。 设置密码后,您可以访问电话 Web 界面。

默认情况下,用户密码和管理员密码为空。 因此,您可以在 设置 > 问题和诊断 > 问题 手机屏幕上找到“未提供密码”问题。

1

访问电话管理网页

2

选择 Voice > System

3

(可选)在 系统配置 部分,将 显示密码警告 参数设置为 ,然后点击 提交所有更改

您还可以在电话配置文件 (cfg.xml) 中启用参数。

默认值:Yes

选项:是|否

如果参数设置为 ,则话机屏幕上不会出现密码警告。

4

找到参数 用户密码管理员密码,然后点击参数旁边的 更改密码

5

旧密码字段中输入当前用户密码。

如果您没有密码,请将此字段留空。 默认值为空。
6

新密码字段中输入新密码。

有效密码规则:

  • 密码必须至少包含 8 到 127 个字符。
  • 大写字母、小写字母、数字和特殊字符的组合(3/4)。
  • 不允许有空格。
如果新密码不符合要求,则设置将被拒绝。
7

单击提交

消息密码已成功更改。将显示在网页中。 网页将在几秒钟内刷新。

设置用户密码后,此参数将在电话配置 XML 文件 (cfg.xml) 中显示以下内容:

802.1x 验证

Cisco IP 电话支持 802.1X 验证。

Cisco IP 电话和 Cisco Catalyst 交换机过去使用 Cisco Discovery Protocol (CDP) 来识别彼此并确定 VLAN 分配和线内电源要求等参数。 CDP 不识别本地连接的工作站。 Cisco IP 电话提供 EAPOL 传递机制。 利用此机制,连接至 Cisco IP 电话的工作站会将 EAPOL 消息传递给 LAN 交换机处的 802.1X 验证器。 该传递机制可确保,在访问网络前 IP 电话不会充当 LAN 交换机来验证数据终端。

Cisco IP 电话还提供代理 EAPOL 注销机制。 如果本地连接的 PC 与 IP 电话断开,LAN 交换机看不到物理链路失效,因为保持了 LAN 交换机与 IP 电话之间的链路。 为了避免损害网络完整性,IP 电话会代表下游 PC 向交换机发送一则 EAPOL 注销的消息,这会触发 LAN 交换机清除下游 PC 的验证条目。

对 802.1X 验证的支持需要多个组件:

  • Cisco IP 电话:电话会发起访问网络的请求。 Cisco IP 电话包含 802.1X 请求方。 网络管理员可以通过此请求方控制 IP 电话至 LAN 交换机端口的连接。 电话 802.1X 请求方的最新版本使用 EAP-FAST 和 EAP-TLS 选项进行网络验证。

  • 认证服务器:认证服务器和交换机都必须配置用于认证电话的共享密钥。

  • 交换机:交换机必须支持 802.1X,这样它才能充当验证器,并在电话和验证服务器之间传递消息。 在交换完成后,交换机会授予或拒绝电话访问网络的权限。

您必须执行以下操作来配置 802.1X。

  • 在电话上启用 802.1X 验证前配置其他组件。

  • 配置 PC 端口:802.1X 标准不会考虑 VLAN,因此建议只验证连接至特定交换机端口的单个设备。 但是,某些交换机支持多域验证。 交换机配置决定是否可以将 PC 连接至电话的 PC 端口。

    • 启用:如果您使用的是支持多域验证的交换机,可以启用 PC 端口并将 PC 连接至该端口。 在此情况下,Cisco IP 电话支持代理 EAPOL 注销,来监控交换机与所连 PC 之间的验证交换。

      有关 Cisco Catalyst 交换机上支持 IEEE 802.1X 的详细信息,请参阅位于以下网址的 Cisco Catalyst 交换机配置指南:

      http://www.cisco.com/en/US/products/hw/switches/ps708/tsd_products_support_series_home.html

    • 禁用:如果交换机不支持同一端口上的多个符合 802.1X 的设备,应在启用 802.1X 验证后禁用 PC 端口。 如果不禁用此端口,后来又尝试将 PC 连接至该端口,交换机会拒绝对电话和 PC 的网络访问。

  • 配置语音 VLAN:由于 802.1X 标准不考虑 VLAN,应根据交换机支持来配置此设置。
    • 启用:如果您使用的是支持多域验证的交换机,则可以继续使用语音 VLAN。
    • 禁用:如果交换机不支持多域验证,则禁用语音 VLAN 并考虑将此端口分配给本机 VLAN。
  • (仅适用于思科台式电话 9800 系列)

    Cisco 台式电话 9800 系列的 PID 前缀与其他 Cisco 电话不同。 要使您的电话通过 802.1X 身份验证,请设置 Radius·用户名 参数以包含您的 Cisco Desk Phone 9800 系列。

    例如,话机 9841 的 PID 为 DP-9841;您可以将 Radius·用户名 设置为 以 DP 开头包含 DP。 您可以在以下两个部分中进行设置:

    • 政策 > 条件 > 图书馆条件

    • 策略 > 策略集 > 授权策略 > 授权规则 1

启用 802.1X 验证

启用 802.1X 身份验证后,电话使用 802.1X 身份验证来请求网络访问。 当 802.1X 身份验证被禁用时,电话使用思科发现协议 (CDP) 来获取 VLAN 和网络访问权限。 您还可以在手机屏幕菜单上查看交易状态和变化。

启用 802.1X 身份验证后,您还可以选择设备证书(MIC/SUDI 或自定义)进行初始注册和证书更新。 通常,MIC 适用于 Cisco 视频电话 8875,SUDI 适用于 Cisco 桌面电话 9800 系列。 CDC 仅可用于 802.1x 中的身份验证。

1

执行以下操作之一以启用 802.1 X 验证:

  • 在电话 Web 界面中,选择 语音 > 系统 并将 启用 802.1X 身份验证 参数设置为 。 然后,单击 Submit All Changes
  • 在配置文件 (cfg.xml) 中,输入以下格式的字符串:

    有效值:Yes|No

    默认值:No

  • 在手机上,按 “设置” the Settings hard key,然后导航至 网络和服务 > 安全设置 > 802.1X 身份验证。 将 设备身份验证 字段切换为 开启,然后选择 应用

    有关参数的更多信息,请参阅 HTTP 代理设置参数

2

在电话网页上选择用于 802.1X 身份验证的证书(MIC 或自定义)。

  • 对于有线网络,选择 语音 > 系统,从下拉列表 证书选择 部分中的 中选择证书类型。

    您还可以在配置文件 (cfg.xml) 中配置此参数:

    自定义安装

    有效值:制造安装|定制安装

    默认:制造安装

  • 对于无线网络,选择 语音 > 系统,从下拉列表 证书选择 中的 Wi-Fi 配置文件 1部分中选择证书类型。

    您还可以在配置文件 (cfg.xml) 中配置此参数:

    自定义安装

    有效值:制造安装|定制安装

    默认:制造安装

有关如何在手机屏幕上选择证书类型的信息,请参阅 将手机连接到 Wi-Fi 网络

802.1X认证参数

参数

选项

默认值

说明

设备验证

在电话上启用或禁用 802.1X 身份验证。

手机开箱即用(OOB)注册后,参数设置仍可保留。

事务状态

已禁用

显示802.1X认证的状态。 状态可以是(但不限于):

  • 正在验证:指示验证过程正在进行中。
  • 已验证:指示电话已验证完成。
  • 禁用:指示在电话上禁用了 802.1x 验证。

协议

显示用于 802.1X 身份验证的 EAP 方法。 协议可以是 EAP-FAST 或 EAP-TLS。

用户证书类型

厂商预装

定制安装

厂商预装

在初始注册和证书续订期间选择 802.1X 身份验证的证书。

  • 厂商预装 — 使用厂商预装证书 (MIC) 和安全唯一设备标识符 (SUDI)。
  • 自定义安装 — 使用自定义设备证书 (CDC)。 这类证书可以通过在电话网页上手动上传或从简单证书注册协议 (SCEP) 服务器上安装。

仅当启用设备身份验证时,电话上才会显示此参数。

查看有关手机安全设置的信息

表 2. 安全设置参数

参数

说明

802.1X 身份验证启用或禁用 IEEE 802.1X 身份验证。

有关详细信息,请参阅 启用 802.1X 身份验证

与 WPA 向后兼容

确定最旧版本的 Wi-Fi 保护访问 (WPA) 是否兼容手机以连接到无线网络或接入点 (AP)。

  • 如果启用,手机可以搜索并连接支持所有 WPA 版本的无线网络,包括 WPA、WPA2 和 WPA3。 此外,手机可以搜索并连接仅支持最旧版本 WPA 的 AP。
  • 如果禁用(默认),手机只能搜索并连接支持 WPA2 和 WPA3 的无线网络和 AP。

此功能仅适用于 9861/9871/8875 手机。

开始之前

您可以在电话菜单中查看有关安全设置的信息。 信息的可用性取决于您组织中的网络设置。

1

设置the Settings key.

2

导航到 网络和服务 > 安全设置

3

在“安全” 设置中,查看安全信息。

设置代理服务器

您可以将电话配置为使用代理服务器来增强安全性。 通常,HTTP 代理服务器可以提供下列服务:

  • 在内部和外部网络之间路由流量
  • 过滤、监控或记录流量
  • 缓存响应以提高性能

此外,HTTP 代理服务器还可以充当电话和互联网之间的防火墙。 配置成功后,手机通过代理服务器连接到互联网,从而保护手机免受网络攻击。

配置后,HTTP 代理功能适用于所有使用 HTTP 协议的应用程序。 例如:

  • GDS(激活码加入)
  • EDOS 设备激活
  • 加入 Webex 云(通过 EDOS 或 GDS)
  • 自定义 CA
  • 设置
  • 固件升级
  • 电话状态报告
  • PRT 上传
  • XSI 服务
  • Webex 服务

  • 目前该功能仅支持IPv4。
  • HTTP 代理设置可在电话的全新 (OOB) 注册后保留。

1

访问电话管理网页。

2

选择 Voice > System

3

在HTTP代理设置 ,从代理 模式下拉列表中选择代理模式 并配置相关参数。

有关每种代理模式的参数和必需参数的详细信息,请参阅 HTTP 代理设置 的参数。

4

单击 Submit All Changes

HTTP 代理设置的参数

下表在电话 Web 界面的语音>系统 标签下的 HTTP 代理设置 部分中定义了 HTTP 代理参数 的功能和用 法。 它还定义了电话配置文件 (cfg.xml) 中添加的字符串的语法,其中包含用于配置参数的 XML 代码。

参数说明
代理模式指定电话使用的 HTTP 代理模式,或禁用 HTTP 代理功能。
  • 自动

    电话会自动检索代理自动配置 (PAC) 文件以选择代理服务器。 在此模式下,您可以确定是使用 Web 代理自动发现 (WPAD) 协议检索 PAC 文件还是手动输入 PAC 文件的有效 URL。

    有关参数的详细信息,请参阅下表中的参数“Web 代理自动发现”和“PAC URL”。

  • 手动

    您必须手动指定服务器(主机名或 IP 地址)和代理服务器的端口。

    有关参数的详细信息,请参阅代理主机和代理端口。

  • 您禁用了电话上的 HTTP 代理功能。

执行下列操作之一:

  • 在包含 XML(cfg.xml) 的电话配置文件中,输入以下格式的字符串:

    <Proxy_Mode ua=“rw”>Off</Proxy_Mode>

  • 在电话 Web 界面上,选择代理模式或禁用该功能。

允许的值:自动、手动和关

默认值:关

Web 代理自动发现确定电话是否使用 Web 代理自动发现 (WPAD) 协议检索 PAC 文件。

WPAD 协议使用 DHCP 或 DNS 或两种网络协议来自动查找代理自动配置 (PAC) 文件。 PAC 文件用于为给定的 URL 选择代理服务器。 此文件可以在本地或网络上托管。

  • 代理模式设置为自动时,参数配置生效。
  • 如果将参数设置为,则必须指定一个 PAC URL。

    有关参数的详细信息,请参阅下表中的参数“PAC URL”。

执行下列操作之一:

  • 在包含 XML(cfg.xml) 的电话配置文件中,输入以下格式的字符串:

    <Web_Proxy_Auto_Discovery ua=“rw”>是的</Web_Proxy_Auto_Discovery>

  • 在电话 Web 界面上,根据需要选择

允许的值:Yes 和 No

默认值:Yes

PAC URLPAC 文件的 URL。

例如,http://proxy.department.branch.example.com

支持 TFTP、HTTP 和 HTTPS。

如果将 代理模式 设置为自动,将 Web 代理自动发现 设置为 ,则必须配置此参数。

执行下列操作之一:

  • 在包含 XML(cfg.xml) 的电话配置文件中,输入以下格式的字符串:

    <PAC_URL ua=“rw”>http://proxy.department.branch.example.com/pac</PAC_URL>

  • 在电话 Web 界面上,输入一个定位到 PAC 文件的有效 URL。

默认值:空

代理主机电话要访问的代理主机服务器的 IP 地址或主机名。 例如:

proxy.example.com

不需要该方案 (http:// or https://)。

如果将代理模式设置为手动,则必须配置此参数。

执行下列操作之一:

  • 在包含 XML(cfg.xml) 的电话配置文件中,输入以下格式的字符串:

    <Proxy_Host ua=“rw”>proxy.example.com</Proxy_Host>

  • 在电话 Web 界面上,输入代理服务器的 IP 地址或主机名。

默认值:空

代理服务器端口代理主机服务器的端口号。

如果将代理模式设置为手动,则必须配置此参数。

执行下列操作之一:

  • 在包含 XML(cfg.xml) 的电话配置文件中,输入以下格式的字符串:

    <Proxy_Port ua=“rw”>3128</Proxy_Port>

  • 在电话 Web 界面上,输入服务器端口。

缺省:3128

代理验证确定用户是否需要提供代理服务器所需的验证凭据(用户名和密码)。 此参数是根据代理服务器的实际行为配置的。

如果将参数设置为,则必须配置用户名密码

有关参数的详细信息,请参阅下表中的参数“用户名”和“密码”。

代理模式设置为手动时,参数配置生效。

执行下列操作之一:

  • 在包含 XML(cfg.xml) 的电话配置文件中,输入以下格式的字符串:

    <Proxy_Authentication ua=“rw”>No</Proxy_Authentication>

  • 在电话 Web 界面上,根据需要将此字段 设置为 YesNo

允许的值:Yes 和 No

默认值:No

用户名代理服务器上凭据用户的用户名。

如果代理模式设置为手动,代理验证 设置为,则必须 配置该参数。

执行下列操作之一:

  • 在包含 XML(cfg.xml) 的电话配置文件中,输入以下格式的字符串:

    <Proxy_Username ua=“rw”>示例</Proxy_Username>

  • 在电话 Web 界面上,输入用户名。

默认值:空

密码用于代理验证目的的指定用户名的密码。

如果代理模式设置为手动,代理验证 设置为,则必须 配置该参数。

执行下列操作之一:

  • 在包含 XML(cfg.xml) 的电话配置文件中,输入以下格式的字符串:

    <Proxy_Password ua=“rw”>Example</Proxy_Password>

  • 在电话 Web 界面上,为用户的代理验证输入有效密码。

默认值:空

表 3. 每种代理模式所需的参数
代理模式必需参数说明
不适用电话上已禁用 HTTP 代理。
手动代理主机

代理服务器端口

代理验证:是

用户名

密码

手动指定代理服务器(主机名或IP地址)和代理端口。 如果代理服务器要求身份验证,则必须进一步输入用户名和密码。
代理主机

代理服务器端口

代理验证:否

手动指定代理服务器。 代理服务器不需要身份验证凭据。
自动Web 代理自动发现:否

PAC URL

请输入有效的 PAC URL 以检索 PAC 文件。
Web 代理自动发现:是

使用 WPAD 协议自动检索 PAC 文件。

为媒体平面安全协商启用客户端启动的模式

要保护媒体会话,您可以配置电话以发起与服务器的媒体平面安全协商。 安全机制遵循 RFC 3329 及其扩展草案媒体安全机制名称中所述的标准(请参阅 https://tools.ietf.org/html/draft-dawes-sipcore-mediasec-parameter-08#ref-2)。 电话与服务器之间的协商传输可以通过 UDP、TCP 和 TLS 使用 SIP 协议。 您可以限制为,仅当信令传输协议为 TLS 时,才应用媒体平面安全协商。

表 4. 媒体平面安全协商的参数
参数说明

MediaSec Request

指定电话是否向服务器发起媒体平面安全协商。

执行下列操作之一:

  • 在包含 XML(cfg.xml) 的电话配置文件中,输入以下格式的字符串:

    <MediaSec_Request_1_ ua=“na”>是的</MediaSec_Request_1_>
  • 在电话 Web 界面中,根据需要将此字段设置为 YesNo

允许的值:是|否

  • Yes — 客户端发起的模式。 电话发起媒体平面安全协商。
  • No — 服务器发起的模式。 服务器发起媒体平面安全协商。 电话不发起协商,但可以处理来自服务器的协商请求以建立安全呼叫。

默认值:No

MediaSec Over TLS Only

指定通过其应用媒体平面安全协商的信令传输协议。

在将此字段设置为 Yes 之前,请确保信令传输协议为 TLS。

执行下列操作之一:

  • 在包含 XML(cfg.xml) 的电话配置文件中,输入以下格式的字符串:

    <MediaSec_Over_TLS_Only_1_ ua=“na”>No</MediaSec_Over_TLS_Only_1_>

  • 在电话 Web 界面中,根据需要将此字段设置为 YesNo

允许的值:是|否

  • Yes — 仅当信令传输协议为 TLS 时,电话才会发起或处理媒体平面安全协商。
  • No — 无论信令传输协议如何,电话都会发起并处理媒体平面安全协商。

默认值:No

1

访问电话管理网页。

2

选择 Voice > Ext(n)

3

“SIP 设置 ”部分,设置 上表中定义的“MediaSec 请求 ”和 “仅限TLS MediaSec”字段。

4

单击 Submit All Changes

WLAN 安全

由于范围内的所有 WLAN 设备均可接收所有其他 WLAN 流量,因此安全语音通信在 WLAN 中至关重要。 为了确保入侵者不会纵或拦截语音流量,Cisco SAFE 安全体系结构支持该电话。 有关网络中安全性的详细信息,请参阅 http://www.cisco.com/en/US/netsol/ns744/networking_solutions_program_home.html

Cisco 无线IP电话解决方案提供无线网络安全性,通过使用电话支持的以下身份验证方法防止未经授权的登录和通信中断:

  • 开放式验证:任何无线设备均可在开放式系统中请求验证。 收到请求的 AP 可允许任何请求方或仅允许用户列表中找到的请求方进行验证。 无线设备和接入点 (AP) 之间的通信可能未加密。

  • 可扩展身份验证协议 - 通过安全隧道 (EAP-FAST) 身份验证进行灵活身份验证:此客户端-服务器安全体系结构对 AP 和 RADIUS 服务器(如身份服务引擎 (ISE))之间的传输级别安全性 (TLS) 隧道内的EAP事务进行加密。

    TLS 隧道使用受保护的访问凭证 (PAC) 进行客户端(电话)与 RADIUS 服务器之间的验证。 服务器将授权 ID (AID) 发送给客户端(电话),后者会选择适当的 PAC。 客户端(电话)将返回 PAC - 对 RADIUS 服务器不透明。 服务器通过主密钥解密 PAC。 现在,两个终端均包含 PAC 密钥,且 TLS 隧道已创建。 EAP-FAST 支持自动 PAC 部署,但您必须在 RADIUS 服务器上启用该功能。

    在 ISE 中,默认情况下,PAC 将在一周后过期。 如果电话有过期的 PAC,则电话获取新 PAC 时,与 RADIUS 服务器的验证要花较长的时间。 为避免 PAC 部署延迟,在 ISE 或 RADIUS 服务器上,将 PAC 过期期限设置为 90 天或更长时间。

  • 可扩展身份验证协议-传输层安全 (EAP-TLS) 验证:EAP-TLS 需要客户端证书用于身份验证和网络访问。 对于无线 EAP-TLS,客户端证书可以是 MIC、LSC 或用户安装的证书。

  • 受保护的可扩展验证协议 (PEAP):客户端(电话)与 RADIUS 服务器之间 Cisco 专有的、基于密码的相互验证方案。 电话可以使用PEAP通过无线网络进行身份验证。 支持 PEAP-MSCHAPV2 和 PEAP-GTC 验证方法。

  • 预共享密钥 (PSK):电话支持ASCII格式。 设置 WPA/WPA2/SAE 预共享密钥时,必须使用此格式:

    ASCII:长度为 8 至 63 个字符的 ASCII 字符字符串(0-9、小写和大写 A-Z 以及特殊字符)

    示例:GREG123567@9ZX&W

以下验证方案使用 RADIUS 服务器管理验证密钥:

  • WPA/WPA2/WPA3:使用 RADIUS 服务器信息生成用于身份验证的唯一密钥。 由于这些密钥在中央 RADIUS 服务器生成,因此 WPA2/WPA3 提供比存储在 AP 和电话上的 WPA 预共享密钥更高的安全性。

  • 快速安全漫游:使用 RADIUS 服务器和无线域服务器 (WDS) 信息管理和验证密钥。 WDS 为启用 FT 的客户端设备创建安全凭据缓存,以便快速安全地重新进行身份验证。 Cisco 座机9861 和 9871 以及 Cisco Video Phone 8875 支持 802.11r (FT)。 支持无线和 DS,以实现快速安全漫游。 但我们强烈建议使用空中 802.11r (FT) 方法。

使用 WPA/WPA2/WPA3,加密密钥不会在电话上输入,而是在 AP 和电话之间自动派生。 但必须在每部电话上输入用于验证的 EAP 用户名和密码。

为确保语音流量安全,电话支持 TKIP 和 AES 加密。 当使用这些机制进行加密时,信令 SIP 数据包和语音实时传输协议 (RTP) 数据包在 AP 和电话之间都会被加密。

TKIP

WPA使用 TKIP 加密,与 WEP 相比有多项改进。 TKIP 提供每个信息包的密钥加密和更长的初始化向量 (IV) 来强化加密。 此外,消息完整性检查 (MIC) 可确保加密的信息包不会被更改。 TKIP 消除了有助于入侵者解密 WEP 密钥的 WEP 可预测性。

AES

用于 WPA2/WPA3 身份验证的加密方法。 此国家加密标准使用对称算法,加密和解密具有相同的密钥。 AES 使用大小为 128 位最小值的密码阻止链 (CBC) 加密,其支持的密钥大小为 128、192 和 256 位。 电话支持的密钥大小为 256 位。

Cisco Desk Phone 9861 和 9871 以及 Cisco Video Phone 8875 不支持使用 CMIC 的 Cisco 密钥完整性协议 (CKIP)。

验证和加密方案在无线 LAN 内设置。 VLAN 在网络和 AP 中配置,指定验证和加密的不同组合。 SSID 与 VLAN 以及特定验证和加密方案关联。 要使无线客户端设备成功进行身份验证,您必须在 AP 和电话上配置相同的 SSID 及其身份验证和加密方案。

某些验证方案需要特定类型的加密。

  • 当您使用预共享密钥、WPA2 预共享密钥或 SAE WPA时,必须在电话上静态设置预共享密钥。 这些密钥必须与 AP 上的密钥匹配。
  • 电话支持 FAST 或 PEAP 的自动EAP协商,但不支持 TLS。 对于EAP-TLS模式,必须指定它。

下表中的身份验证和加密方案显示了对应于 AP 配置的电话的网络配置选项。

表格 5. 验证和加密方案
FSR 类型验证密钥管理加密受保护的管理帧 (PMF)
802.11r (英尺)PSK

WPA-PSK

WPA-PSK-SHA256

FT-PSK

AES
802.11r (英尺)WPA3

美国汽车工程师协会

傅立方报-SAE

AES
802.11r (英尺)EAP-TLS

WPA EAP

FT-EAP

AES
802.11r (英尺)EAP-TLS (WPA3)

WPA-EAP-SHA256

FT-EAP

AES
802.11r (英尺)EAP-FAST

WPA EAP

FT-EAP

AES
802.11r (英尺)EAP-FAST (WPA3)

WPA-EAP-SHA256

FT-EAP

AES
802.11r (英尺)EAP-PEAP

WPA EAP

FT-EAP

AES
802.11r (英尺)EAP-PEAP (WPA3)

WPA-EAP-SHA256

FT-EAP

AES

设置Wi-Fi配置文件

您可以从电话网页或远程设备配置文件重新同步配置 Wi-Fi 配置文件,然后将配置文件与可用的 Wi-Fi 网络相关联。 您可以使用此 Wi-Fi 配置文件连接到 Wi-Fi。 目前只能配置一个Wi-Fi配置文件。

配置文件包含电话通过 Wi-Fi 连接到电话服务器所需的参数。 创建和使用 Wi-Fi 档案时,您或您的用户无需为单个电话配置无线网络。

Wi-Fi 配置文件可防止或限制用户在电话上更改 Wi-Fi 配置。

我们建议您在使用 Wi-Fi 配置文件时使用具有加密协议的安全配置文件来保护密钥和密码。

当您将电话设置为在安全模式下使用 EAP-FAST 身份验证方法时,您的用户需要单个凭证才能连接到接入点。

1

访问电话网页。

2

选择 Voice > System

3

在配置文件 (n Wi-Fi 部分中,按照下表 Wi-Fi配置文件的参数中所述设置参数

Wi-Fi配置文件配置也会有空到用户登录时。
4

单击 Submit All Changes

Wi-Fi配置文件的参数

下表定义了电话网页系统选项卡 Wi-Fi 配置文件 (n) 部分中每个参数的功能和用途。 它还定义在电话配置文件(cfg.xml)中添加以配置参数的字符串的语法。

参数说明
网络名称用于输入将在电话上显示的 SSID 的名称。 多个配置文件可以有相同的网络名称和不同的安全模式。

执行下列操作之一:

  • 在包含 XML(cfg.xml) 的电话配置文件中,输入以下格式的字符串:

    <Network_Name_1_ua="rw">cisco</Network_Name_1_>

  • 在电话网页中,输入SSID的名称。

默认值:空

安全模式可选择用来保护 Wi-Fi 网络访问的验证方法。 根据您选择的方法,将显示密码字段,以便您可以提供加入此 Wi-Fi 网络所需的凭据。

执行下列操作之一:

  • 在包含 XML(cfg.xml) 的电话配置文件中,输入以下格式的字符串:

    <Security_Mode_1_ ua=“rw”>EAP-TLS</Security_Mode_1_> <!-- 有空 选项:自动|EAP-FAST|||PSK||无|EAP-PEAP|EAP-TLS -->

  • 在电话网页中,选择以下方法之一:
    • 自动
    • EAP-FAST
    • PSK
    • EAP-PEAP
    • EAP-TLS

默认值:Auto

Wi-Fi 用户 ID允许您为网络配置文件输入用户 ID。

将安全模式设置为 Auto、EAP-FAST 或 EAP-PEAP 时,将有空此字段。 这是必填字段,最多可包含 32 个字母数字字符。

执行下列操作之一:

  • 在包含 XML(cfg.xml) 的电话配置文件中,输入以下格式的字符串:

    <Wi-Fi_User_ID_1_ua="rw"></Wi-Fi_User_ID_1_>

  • 在电话网页中,输入网络配置文件的用户 ID。

默认值:空

Wi-Fi 密码用于输入指定 Wi-Fi 用户 ID 的密码。

执行下列操作之一:

  • 在包含 XML(cfg.xml) 的电话配置文件中,输入以下格式的字符串:

    <Wi-Fi_Password_1_ ua="rw"></Wi-Fi_Password_1_>

  • 在电话网页中,输入已添加的用户标识的密码。

默认值:空

频段用于选择 WLAN 使用的无线信号频带。

执行下列操作之一:

  • 在包含 XML(cfg.xml) 的电话配置文件中,输入以下格式的字符串:

    <Frequency_Band_1_ ua=“rw”>Auto</Frequency_Band_1_>

  • 在电话网页中,选择以下选项之一:
    • 自动
    • 2.4 GHz
    • 5 GHz

默认值:Auto

证书选择允许您为无线网络中的证书初始注册和证书续订选择证书类型。 此过程仅对 802.1X 身份验证有空。

执行下列操作之一:

  • 在包含 XML(cfg.xml) 的电话配置文件中,输入以下格式的字符串:

    <Certificate_Select_1_ ua=“rw”>已安装制造</Certificate_Select_1_>

  • 在电话网页中,选择以下选项之一:
    • 厂商预装
    • 自定义安装

默认值:制造已安装

检查电话上的设备安全状态

您的电话会自动检查设备安全状态。 如果它在手机上检测到潜在的安全威胁, “问题和诊断 ”菜单可以显示问题的详细信息。 根据报告的问题,管理员可以采取措施保护和强化您的电话。

在将电话注册到呼叫控制系统(Webex Calling 或 BroadWorks)之前,设备安全状态为有空。

要查看电话安全问题的详细信息,请执行以下作:

1

设置Settings button

2

选择 问题和诊断 > 问题

目前,设备安全报告包含以下问题:

  • 设备信任
    • 设备认证失败
    • 硬件被篡改
  • 易受攻击的配置
    • 未提供密码
    • SSH 已启用
    • 已启用远程登录
  • 检测到网络异常事件
    • 登录尝试次数过多
  • 证书问题
    • CDC 证书即将过期

3

请联系管理员以获取支持以解决安全问题。