设备证书可通过SCEP流程自动刷新。

• 电话会检查证书是否每4小时15天后过期。 如果是，电话会自动启动证书续订过程。
• 如果挑战密码为空，电话将同时使用MIC/SUDI进行初始注册和证书续订。 如果配置了挑战密码，则仅用于初始注册，现有/已安装的证书将用于证书续订。
• 电话在检索新设备证书之前不会删除旧设备证书。
• 如果由于设备证书或CA过期而证书续订失败，电话会自动触发初始注册。 同时，如果挑战密码验证失败，电话屏幕上会弹出密码输入屏幕，提示用户在电话上输入挑战密码。

Cisco IP电话支持802.1X身份验证。

Cisco IP电话和Cisco Catalyst交换机传统上使用Cisco Discovery协议(CDP)来互相识别，并确定诸如VLAN分配和内联电源要求等参数。 CDP不会识别本地连接的工作站。 Cisco IP电话提供EAPOL传递机制。 此机制允许连接到Cisco IP电话的工作站将EAPOL消息传递到LAN交换机上的802.1X验证器。 传递机制确保IP电话不作为LAN交换机在访问网络之前验证数据端点。

Cisco IP电话还提供代理EAPOL Logoff机制。 如果本地连接的PC从IP电话断开连接，LAN交换机不会看到物理链接失败，因为LAN交换机与IP电话之间的链接保持不变。 为了避免危及网络完整性，IP电话代表下游PC向交换机发送EAPOL-Logoff消息，这触发LAN交换机以清除下游PC的身份验证条目。

支持802.1X身份验证需要多个组件：

• Cisco IP 电话 电话启动访问网络的请求。 Cisco IP电话包含一个802.1X求助器。 此请求允许网络管理员控制IP电话与LAN交换机的连接。 当前版本的802.1X电话请求者使用EAP-FAST和EAP-TLS选项进行网络验证。

• 身份验证级别 身份验证服务器和交换机必须均使用可验证电话的共享秘密进行配置。

• 切换。 交换机必须支持802.1X，因此可以充当身份验证器，并在电话和身份验证服务器之间传递消息。 交换完成后，交换机授予或拒绝电话访问网络。

必须执行以下操作才能配置802.1X。

• 在电话上启用802.1X身份验证之前配置其他组件。

• 配置PC端口： 802.1X标准不考虑VLAN，因此建议仅对特定交换机端口进行身份验证。 但是，一些交换机支持多域验证。 交换机配置决定您是否可以将PC连接到电话的PC端口。

  • 启用： 如果您使用支持多域身份验证的交换机，则可以启用PC端口并将PC连接到它。 在这种情况下，Cisco IP电话支持代理EAPOL-Logoff以监控交换机与所连接的PC之间的身份验证交换。

    有关Cisco Catalyst交换机上的IEEE 802.1X支持的更多信息，请参阅Cisco Catalyst交换机配置指南：

    http://www.cisco.com/en/US/products/ps10627/tsd_products_support_series_home.html

  • 禁用： 如果交换机不支持同一端口上的多个802.1X兼容的设备，则应在启用802.1X身份验证时禁用PC端口。 如果您未禁用此端口并尝试将其连接PC，交换机将拒绝对电话和PC的网络访问。

• 配置语音VLAN： 由于802.1X标准不包含VLAN，您应根据交换机支持配置此设置。
  • 启用： 如果您使用支持多域身份验证的交换机，则可以继续使用语音VLAN。
  • 禁用： 如果交换机不支持多域验证，请禁用语音VLAN，并考虑将端口分配给本机VLAN。
• （仅适用于Cisco Desk Phone 9800系列）

  Cisco Desk Phone 9800系列在PID中具有与其他Cisco电话不同的前缀。 要使您的电话通过802.1X身份验证，请将 Radius·用户名参数设置为包括Cisco Desk Phone 9800系列。

  例如，电话9841的PID为DP-9841；您可以将 Radius·用户名设为开始使用DP或包含DP。 您可以选择以下选项之一：

  • 政策 > 条件 > 库条件

  • 政策 > 政策集 > 授权政策 > 授权规则1

由于位于范围内的所有WLAN设备都可以接收所有其他的WLAN流量，因此在WLAN中保护语音通信至关重要。 为了确保入侵者不会操纵或拦截语音流量，Cisco SAFE安全架构支持电话。 有关网络安全的更多信息，请参阅http：//www.cisco.com/en/US/netsol/ns744/networking_solutions_program_home.html。

Cisco Wireless IP电话解决方案提供无线网络安全，通过使用电话支持的以下身份验证方法，防止未经授权的登录和受损通信：

• 无验证 任何无线设备都可以在打开的系统中请求身份验证。 接收请求的AP可授予任何请求者身份验证，或仅授予用户列表中的请求者。 无线设备和接入点(AP)之间的通信可能是非加密的。

• 可扩展验证协议-通过安全隧道(EAP-FAST)验证灵活验证： 此客户端-服务器安全架构对AP和RADIUS服务器之间的传输级安全(TLS)隧道中的EAP事务加密，例如身份服务引擎(ISE)。

  TLS隧道使用受保护访问凭证(PAC)在客户端（电话）和RADIUS服务器之间进行身份验证。 服务器向客户端（电话）发送授权ID（援助），客户端（电话）然后选择适当的PAC。 客户端（电话）向RADIUS服务器返回不透明的PAC。 服务器使用主密钥解密PAC。 两个端点现在都包含PAC密钥，并创建TLS隧道。 EAP-FAST支持自动PAC配置，但您必须在RADIUS服务器上启用它。

  在ISE中，默认情况下，PAC将在一周内到期。 如果电话的PAC已过期，当电话获得新的PAC时，使用RADIUS服务器进行身份验证需要更长时间。 为了避免PAC配置延迟，在ISE或RADIUS服务器上将PAC到期时间设置为90天或以上。

• 可扩展验证协议-传输层安全(EAP-TLS)验证： EAP-TLS需要客户端证书进行身份验证和网络访问。 对于无线EAP-TLS，客户端证书可以是MIC、LSC或用户安装的证书。

• 受保护的可扩展身份验证协议(PEAP)： 客户端（电话）和RADIUS服务器之间基于思科专有密码的相互验证方案。 电话可以使用PEAP与无线网络进行身份验证。 支持PEAP-MSCHAPV2和PEAP-GTC验证方法。

• 预共享密钥(PSK)： 电话支持ASCII格式。 在设置WPA/WPA2/SAE预共享密钥时必须使用此格式：

  ASCII： 长度为8至63个字符的ASCII字符串（0-9、小写和大写字母A-Z以及特殊字符）

  例如： GREG123567@9ZX&W