Cisco IP 电话安全性

手动安装自定义设备证书

您可以通过从电话管理网页上传证书，在电话上手动安装自定义设备证书（CDC）。

开始之前

在为电话安装自定义设备证书之前，您必须具备：

保存在电脑上的证书文件（.p12 或 .pfx）。该文件包含证书和私钥。
证书的提取密码。密码用于解密证书文件。

1	访问电话管理网页。
2	选择证书。
3	在“ 添加证书 ”部分中，单击 “浏览...”。
4	浏览至您 PC 上的证书。
5	在提取密码字段中，输入证书提取密码。
6	单击上传。如果证书文件和密码正确，您将收到消息“`证书已添加”。` 否则，上传将失败，并显示错误消息，指示无法上传证书。
7	要检查已安装证书的详细信息，请单击 “现有证书 ” 部分中的“查看 ”。
8	要从电话中删除已安装的证书，请单击现有证书部分中的删除。单击该按钮后，删除操作将立即开始，无需确认。如果证书已成功删除，您将收到消息“`证书已删除”。`

通过 SCEP 自动安装自定义设备证书

如果不想手动上传证书文件或没有证书文件，可以将简单证书注册协议（SCEP）参数设置为自动安装自定义设备证书（CDC）。

正确配置 SCEP 参数后，电话会向 SCEP 服务器发送请求，设备将使用定义的指纹验证 CA 证书。

开始之前

在自动安装电话的自定义设备证书之前，您必须具备：

SCEP 服务器地址
SCEP 服务器根 CA 证书的 SHA-1 或 SHA-256 指纹

1	访问电话管理网页。
2	选择证书。
3	在 SCEP 配置 1 部分中，按照下表 SCEP 配置的参数中所述设置参数。
4	单击 Submit All Changes。

SCEP 配置的参数

下表在电话 Web 界面的证书标签页下的 SCEP 配置 1 部分中定义了 SCEP 配置参数的功能和使用方法。它还定义在电话配置文件（cfg.xml）中添加以配置参数的字符串的语法。

表 1. SCEP 配置的参数
参数	说明
服务器	SCEP 服务器地址。这是必要参数。执行下列操作之一：在包含 XML(cfg.xml) 的电话配置文件中，输入以下格式的字符串： `<CDC_Server_1_ ua=“na”>http://10.79.57.91</CDC_Server_1_>` 在电话网页中，输入 SCEP 服务器地址。有效值：URL 或 IP 地址。不支持 HTTPS 方案。默认值：空
根 CA 指纹	根 CA 的 SHA256 或 SHA1 指纹，用于在 SCEP 过程中进行验证。这是必要参数。执行下列操作之一：在包含 XML(cfg.xml) 的电话配置文件中，输入以下格式的字符串： `<CDC_Root_CA_Fingerprint_1_ ua=“na”>12040870625C5B755D73F5925285F8F5FF5D55AF</CDC_Root_CA_Fingerprint_1_>` 在电话网页中，输入有效的指纹。默认值：空
质询密码	通过 SCEP 注册证书期间对电话进行 Certificate Authority（CA）授权的质询密码。此参数是可选的。根据实际的 SCEP 环境，质询密码的行为会有所不同。如果电话从与 CA 通信的 Cisco RA 获取证书，则 CA 不支持质询密码。在这种情况下，Cisco RA 使用电话的 MIC/SUDI 进行身份验证以访问 CA。电话使用 MIC/SUDI 进行初始注册和证书续订。如果电话通过直接与 CA 通信来获取证书，则 CA 支持质询密码。如果已配置，它将仅用于初始注册。对于证书续订，将改用已安装的证书。执行下列操作之一：在包含 XML(cfg.xml) 的电话配置文件中，输入以下格式的字符串： `<CDC_Challenge_Password_1_ ua=“na”></CDC_Challenge_Password_1_>` 密码在配置文件中被屏蔽。在电话网页中，输入质询密码。默认值：空

通过 DHCP 选项 43 配置 SCEP 参数

除了通过电话网页上的手动配置注册 SCEP 证书外，您还可以使用 DHCP 选项 43 填充 DHCP 服务器中的参数。 DHCP 选项 43 已预先配置 SCEP 参数，稍后电话可以从 DHCP 服务器获取参数以执行 SCEP 证书注册。

通过 DHCP 选项 43 进行的 SCEP 参数配置仅对执行恢复出厂设置的电话有空。
电话不得放置在同时支持选项 43 和远程配置（例如，选项 66,160,159,150 或云配置）的网络中。否则，电话可能无法获得 Option 43 配置。

若要通过在 DHCP 选项 43 中配置 SCEP 参数来注册 SCEP 证书，请执行以下操作：

准备 SCEP 环境。
有关 SCEP 环境设置的信息，请参阅 SCEP 服务器文档。

设置 DHCP 选项 43（在 8.4 供应商特定信息，RFC 2132 中定义）。

子选项（10–15）保留用于方法：

电话网页上的参数	子选项	类型	长度（字节）	必需
FIPS 模式	10	布尔	1	不*
服务器	11	字符串	208 - 长度（质询密码）	是
根 CA 指纹	12	二元的	20 或 32	是
质询密码	13	字符串	208 - 长度（服务器）	不*
启用 802.1X 验证	14	布尔	1	否
证书选择	15	无符号 8 位	1	否

使用 DHCP 选项 43 时，请注意该方法的以下特征：

子选项（10–15）是为自定义设备证书（CDC）保留的。
选项 43 DHCP 的最大长度为 255 字节。
服务器 + 质询密码 的最大 长度应小于 208 字节。
FIPS 模式的值应与载入预配置一致。否则，电话在载入后将无法检索之前安装的证书。具体说来
- 如果电话将注册到禁用 FIPS 模式的环境，您无需在选项 43 DHCP 配置参数 FIPS 模式 。默认情况下，FIPS 模式处于禁用状态。
- 如果电话将注册到启用了 FIPS 模式的环境，您必须 DHCP 选项 43 中启用 FIPS 模式。有关详细信息，请参阅启用 FIPS 模式。
选项 43 中的密码为明文形式。
如果质询密码为空，电话将使用 MIC/SUDI 进行初始注册和证书续订。如果配置了质询密码，它将仅用于初始注册，已安装的证书将用于证书续订。
启用 802.1X 身份验证 和 证书选择 仅用于有线网络中的电话。
DHCP 选项 60（供应商类别标识符）用于标识设备型号。

下表提供了选项 43（子选项 10-15）DHCP 的示例：

子选项十进制/十六进制	值长度（字节）十进制/十六进制	值	十六进制值
10/0A	1/01	1（0：已禁用;1：已启用）	01
11/0b	18/12	http://10.79.57.91	687474703a2f2f31302e37392e35372e3931
12/0c	20/14	12040870625C5B755D73F5925285F8F5FF5D55AF	12040870625C5B755D73F5925285F8F5FF5D55AF
13/0d	16/10	D233CCF9B9952A15	44323333434346394239393532413135
14/0e	1/01	1（0：否;1：是）	01
15/0 楼	1/01	1（0：已安装制造装置;1：自定义安装）	01

参数值摘要：

FIPS 模式 = 启用
服务器 = http://10.79.57.91
根 CA 指纹 = 12040870625C5B755D73F5925285F8F5FF5D55AF
质询密码 = D233CCF9B9952A15
启用 802.1X 身份验证 = 是
证书选择 = 自定义安装

最终十六进制值的语法为： {<suboption><length><value>}...

根据上面的参数值，最终的十六进制值如下：

0a01010b12687474703a2f2f31302e37392e35372e39310c1412040870625C5B755D73F5925285F8F5FF5D55AF0d10443233334343463942393935324131350e01010f0101

在 DHCP 服务器上配置 DHCP 选项 43。

此步骤提供 Cisco 网络寄存器上 DHCP 选项 43 配置的示例。
1. 添加 DHCP 选项定义集。
  供应商选项字符串 是 IP 电话的型号名称。有效值为：DP-9841、DP-9851、DP-9861、DP-9871 或 CP-8875。
2. 将 DHCP 选项 43 和子选项添加到 DHCP 选项定义集中。
  示例：
3. 将选项 43 添加到 DHCP 策略，并按如下所示设置值：
  示例：
  (10 1)（11 http://10.79.57.91）(12 12040870625C5B755D73F5925285F8F5FF5D55AF）（13 D233CCF9B9952A15)(14 1)(15 1）
4. 验证设置。您可以使用 Wireshark 捕获电话和服务之间的网络流量跟踪。
为电话执行恢复出厂设置。
重置手机后，将自动填写服务器、根 CA 指纹和质询密码等参数。这些参数位于电话管理网页上证书>自定义中的 SCEP 配置 1 部分。
要检查已安装证书的详细信息，请单击 “现有证书 ” 部分中的“查看 ”。
若要检查证书安装状态，请选择 “证书 > 自定义证书状态”。下载状态 1 显示最新结果。如果在证书注册期间出现任何问题，下载状态会显示问题原因以进行故障排除。
如果质询密码验证失败，系统将提示用户在电话屏幕上输入密码。
（可选）：要从电话中删除已安装的证书，单击现有证书部分中的删除。
单击该按钮后，删除操作将立即开始，无需确认。

SCEP 的证书续订

SCEP 进程可以自动刷新设备证书。

电话每 4 小时检查证书是否会在 15 天后过期。如果是这样，电话会自动启动证书续订过程。
如果验证密码为空，电话将使用 MIC/SUDI 进行初始注册和证书续订。如果配置了质询密码，则仅用于初始注册，现有/已安装的证书用于证书续订。
电话在检索新设备证书之前不会删除旧设备证书。
如果证书续订因设备证书或 CA 过期而失败，电话将自动触发初始注册。同时，如果质询密码认证失败，电话屏幕上会弹出密码输入画面，并提示用户在电话上输入质询密码。

启用 FIPS 模式

您可以使电话符合联邦信息处理标准 (FIPS)。

FIPS 是一组在非军事政府中使用以及与机构合作的政府承包商和供应商使用的文档处理、加密算法和其他信息技术标准。 CiscoSSL fom（FIPS 对象模块）是一个精心定义的软件组件，旨在与 CiscoSSL 库兼容，因此使用思科 SSL 库和 API 的产品可以毫不费力地转换为使用 FIPS 140-2 验证的加密技术。

1	访问电话管理网页。
2	选择 Voice > System。
3	在“安全设置” 部分中，从 FIPS 模式参数中选择 “是 ”或 “否 ”。
4	单击 Submit All Changes。启用 FIPS 时，以下功能可在电话上无缝运行：图像验证安全存储配置文件加密 TLS： HTTPs PRT 上传固件升级配置文件重新同步自行激活服务 Webex 入职通过 TLS 的 SIP 802.1x（有线） SIP Digest (RFC 8760) SRTP Webex 通话记录和 Webex 目录一键通（OBTP）

设置用户和管理员密码

电话首次注册到呼叫控制系统或在电话上执行恢复出厂设置后，您必须设置用户和管理员密码以增强电话的安全性。只有在设置了密码后，您才能从电话网页提交更改。

默认情况下，电话上启用无密码警告。当电话没有任何用户或管理员密码时，将显示以下警告：

电话网页显示“未提供管理员密码。 Web 处于只读模式，您无法提交更改。请更改密码“，在左上角。
如果“用户密码 ”和 “管理员密码 ”字段为空，将分别显示警告“未提供密码”。
电话屏幕的问题和诊断显示“未提供密码”问题。

1	访问电话管理网页
2	选择 Voice > System。
3	（可选）在“系统配置” 部分，将显示密码警告参数设置为 “是 ”，然后单击“提交所有更改 ”。您还可以在电话配置文件 (cfg.xml) 中启用参数。 `<Display_Password_Warnings ua=“na”>是的</Display_Password_Warnings>` 默认值：Yes 选项：是\|否当参数设置为否时，密码警告不会显示在网页或电话屏幕上。此外，即使密码为空，也不会激活页面 Web 的仅就绪模式。
4	找到参数用户密码或管理员密码，然后单击参数旁边的更改密码。
5	在旧密码字段中输入当前用户密码。如果您没有密码，请将此字段留空。默认值为空。
6	在新密码字段中输入新密码。
7	单击提交。消息`密码已成功更改。`将显示在网页中。网页将在几秒钟内刷新。参数旁的警告将消失。设置用户密码后，此参数将在电话配置 XML 文件 (cfg.xml) 中显示以下内容： `<!-- <Admin_Password ua=“na”>***********</Admin_Password> <User_Password ua=“rw”>***********</User_Password> -->` 如果您在尝试访问电话网页时收到 403 错误代码，则必须通过在电话配置文件（cfg.xml）中进行预配置来设置用户或管理员密码。例如，输入以下格式的字符串： `<Admin_Password ua=“na”>P0ssw0rd_tes89</Admin_Password>` `<User_Password ua=“rw”>Abc123</User_Password>`

802.1x 验证

Cisco IP 电话支持 802.1X 验证。

Cisco IP 电话和 Cisco Catalyst 交换机过去使用 Cisco Discovery Protocol (CDP) 来识别彼此并确定 VLAN 分配和线内电源要求等参数。 CDP 不识别本地连接的工作站。 Cisco IP 电话提供 EAPOL 传递机制。利用此机制，连接至 Cisco IP 电话的工作站会将 EAPOL 消息传递给 LAN 交换机处的 802.1X 验证器。该传递机制可确保，在访问网络前 IP 电话不会充当 LAN 交换机来验证数据终端。

Cisco IP 电话还提供代理 EAPOL 注销机制。如果本地连接的 PC 与 IP 电话断开，LAN 交换机看不到物理链路失效，因为保持了 LAN 交换机与 IP 电话之间的链路。为了避免损害网络完整性，IP 电话会代表下游 PC 向交换机发送一则 EAPOL 注销的消息，这会触发 LAN 交换机清除下游 PC 的验证条目。

对 802.1X 验证的支持需要多个组件：

Cisco IP 电话：电话会发起访问网络的请求。 Cisco IP 电话包含 802.1X 请求方。网络管理员可以通过此请求方控制 IP 电话至 LAN 交换机端口的连接。电话 802.1X 请求方的最新版本使用 EAP-FAST 和 EAP-TLS 选项进行网络验证。
身份验证服务器：身份验证服务器和交换机都必须配置用于对电话进行身份验证的共享密钥。
交换机：交换机必须支持 802.1X，这样它才能充当验证器，并在电话和验证服务器之间传递消息。在交换完成后，交换机会授予或拒绝电话访问网络的权限。

您必须执行以下操作来配置 802.1X。

在电话上启用 802.1X 验证前配置其他组件。
配置 PC 端口：802.1X 标准不会考虑 VLAN，因此建议只验证连接至特定交换机端口的单个设备。但是，某些交换机支持多域验证。交换机配置决定是否可以将 PC 连接至电话的 PC 端口。
- 启用：如果您使用的是支持多域验证的交换机，可以启用 PC 端口并将 PC 连接至该端口。在此情况下，Cisco IP 电话支持代理 EAPOL 注销，来监控交换机与所连 PC 之间的验证交换。
  
  有关 Cisco Catalyst 交换机上支持 IEEE 802.1X 的详细信息，请参阅位于以下网址的 Cisco Catalyst 交换机配置指南：
  
  http://www.cisco.com/en/US/products/hw/switches/ps708/tsd_products_support_series_home.html
- 禁用：如果交换机不支持同一端口上的多个符合 802.1X 的设备，应在启用 802.1X 验证后禁用 PC 端口。如果不禁用此端口，后来又尝试将 PC 连接至该端口，交换机会拒绝对电话和 PC 的网络访问。
配置语音 VLAN：由于 802.1X 标准不考虑 VLAN，应根据交换机支持来配置此设置。
- 启用：如果您使用的是支持多域验证的交换机，则可以继续使用语音 VLAN。
- 禁用：如果交换机不支持多域验证，则禁用语音 VLAN 并考虑将此端口分配给本机 VLAN。
（仅适用于 Cisco 座机 9800 系列）
Cisco 座机 9800 系列在 PID 中的前缀与其他 Cisco 电话的前缀不同。要使您的电话通过 802.1X 身份验证，请设置 Radius·用户名参数，用于包含您的 Cisco 座机 9800 系列。
例如，电话 9841 的 PID 是 DP-9841;您可以设置半径·以 DP 开头或包含 DP 的用户名。您可以在以下两个部分中设置它：
- 政策 > 条件 > 库条件
- 策略 > 策略集 > 授权策略 > 授权规则 1

启用 802.1X 验证

启用 802.1X 身份验证后，电话将使用 802.1X 身份验证请求网络访问。禁用 802.1X 身份验证后，电话将使用 Cisco Discovery Protocol（CDP）来获取 VLAN 和网络访问权限。您还可以在电话屏幕菜单上查看交易状态和更改。

启用 802.1X 身份验证后，您还可以为初始注册和证书续订选择设备证书（MIC/SUDI 或自定义）。通常，MIC 用于 Cisco Video Phone 8875，SUDI 用于 Cisco Desk Phone 9800 系列。 CDC 只能用于 802.1x 中的身份验证。

执行以下操作之一以启用 802.1 X 验证：

在电话 Web 界面中，选择语音 > 系统并将启用 802.1X 身份验证参数设置为是。然后，单击 Submit All Changes。
在配置文件 (cfg.xml) 中，输入以下格式的字符串：
<Enable_802.1X_Authentication ua=“rw”>Yes</Enable_802.1X_Authentication>
有效值：Yes|No
默认值：No
在电话上，按设置，然后导航到网络和服务 > 安全设置 > 802.1X 身份验证。将“ 设备身份验证 ”字段切换为 “开”，然后选择“应用”。

表 2. 电话屏幕上 802.1X 身份验证的参数
参数	选项	默认值	说明
设备验证	开关	关	在电话上启用或禁用 802.1X 身份验证。
事务状态		已禁用	显示 802.1X 身份验证的状态。状态可以是（不限于）：正在验证：指示验证过程正在进行中。已验证：指示电话已验证完成。禁用：指示在电话上禁用了 802.1x 验证。
协议		无	显示用于 802.1X 身份验证 EAP 方法。协议可以是 EAP-FAST 或 EAP-TLS。
用户证书类型	制造已安装自定义安装	制造已安装	在初始注册和证书续订期间选择 802.1X 身份验证的证书。已安装制造 - 使用已安装制造证书（MIC）和安全唯一设备标识符（SUDI）。自定义安装 - 使用自定义设备证书（CDC）。可以通过在电话网页上手动上传或从简单证书注册协议（SCEP）服务器安装来安装此类证书。仅当启用设备身份验证时，此参数才会显示在电话上。

在电话网页上为 802.1X 验证选择证书（MIC 或自定义）。

对于有线网络，选择语音>系统，从下拉列表中选择证书类型：802.1X 身份验证部分中的证书选择。
您还可以在配置文件 (cfg.xml) 中配置此参数：
<Certificate_Select ua=“rw”>自定义安装</Certificate_Select>
有效值：制造已安装|自定义安装
默认值：制造已安装
对于无线网络，选择语音>系统，从下拉列表中选择证书类型 Wi-Fi 配置文件 1 中的证书选择。
您还可以在配置文件 (cfg.xml) 中配置此参数：
<Wi-Fi_Certificate_Select_1_ ua=“rw”>自定义安装</Wi-Fi_Certificate_Select_1_>
有效值：制造已安装|自定义安装
默认值：制造已安装

有关如何在电话屏幕上选择证书类型的信息，请参阅将电话连接到 Wi-Fi 网络。

为媒体平面安全协商启用客户端启动的模式

要保护媒体会话，您可以配置电话以发起与服务器的媒体平面安全协商。安全机制遵循 RFC 3329 及其扩展草案媒体安全机制名称（请参阅 https://tools.ietf.org/html/draft-dawes-sipcore-mediasec-parameter-08#ref-2）中所述的标准。电话与服务器之间的协商传输可以通过 UDP、TCP 和 TLS 使用 SIP 协议。您可以限制为，仅当信令传输协议为 TLS 时，才应用媒体平面安全协商。

访问电话管理网页。

选择 Voice > Ext(n)。

在“ SIP 设置 ”部分，设置下表中定义的“MediaSec 请求 ”和 “仅限 TLS MediaSec”字段：

表 3. 媒体平面安全协商的参数
参数	说明
MediaSec Request	指定电话是否向服务器发起媒体平面安全协商。执行下列操作之一：在包含 XML(cfg.xml) 的电话配置文件中，输入以下格式的字符串： `<MediaSec_Request_1_ ua=“na”>是的</MediaSec_Request_1_>` 在电话 Web 界面中，根据需要将此字段设置为 Yes 或 No。允许的值：是\|否 Yes — 客户端发起的模式。电话发起媒体平面安全协商。 No — 服务器发起的模式。服务器发起媒体平面安全协商。电话不发起协商，但可以处理来自服务器的协商请求以建立安全呼叫。默认值：No
MediaSec Over TLS Only	指定通过其应用媒体平面安全协商的信令传输协议。在将此字段设置为 Yes 之前，请确保信令传输协议为 TLS。执行下列操作之一：在包含 XML(cfg.xml) 的电话配置文件中，输入以下格式的字符串： `<MediaSec_Over_TLS_Only_1_ ua=“na”>No</MediaSec_Over_TLS_Only_1_>` 在电话 Web 界面中，根据需要将此字段设置为 Yes 或 No。允许的值：是\|否 Yes — 仅当信令传输协议为 TLS 时，电话才会发起或处理媒体平面安全协商。 No — 无论信令传输协议如何，电话都会发起并处理媒体平面安全协商。默认值：No

单击 Submit All Changes。

设置 Wi-Fi 配置文件

您可以从电话网页或远程设备配置文件重新同步配置 Wi-Fi 配置文件，然后将配置文件与可用的 Wi-Fi 网络相关联。您可以使用此 Wi-Fi 配置文件连接到 Wi-Fi。目前只能配置一个 Wi-Fi 配置文件。

配置文件包含电话通过 Wi-Fi 连接到电话服务器所需的参数。创建和使用 Wi-Fi 档案时，您或您的用户无需为单个电话配置无线网络。

Wi-Fi 配置文件可防止或限制用户在电话上更改 Wi-Fi 配置。

我们建议您在使用 Wi-Fi 配置文件时使用具有加密协议的安全配置文件来保护密钥和密码。

当您将电话设置为在安全模式下使用 EAP-FAST 身份验证方法时，您的用户需要单个凭证才能连接到接入点。

1	访问电话网页。
2	选择 Voice > System。
3	在配置文件（n Wi-Fi 部分中，按照下表 Wi-Fi 配置文件的参数中所述设置参数。 Wi-Fi 配置文件配置也会有空到用户登录时。
4	单击 Submit All Changes。

Wi-Fi 配置文件的参数

下表定义了电话网页系统选项卡 Wi-Fi 配置文件 (n) 部分中每个参数的功能和用途。它还定义在电话配置文件（cfg.xml）中添加以配置参数的字符串的语法。

参数	说明
网络名称	用于输入将在电话上显示的 SSID 的名称。多个配置文件可以有相同的网络名称和不同的安全模式。执行下列操作之一：在包含 XML(cfg.xml) 的电话配置文件中，输入以下格式的字符串： `<Network_Name_1_ua="rw">cisco</Network_Name_1_>` 在电话网页中，输入 SSID 的名称。默认值：空
安全模式	可选择用来保护 Wi-Fi 网络访问的验证方法。根据您选择的方法，将显示密码字段，以便您可以提供加入此 Wi-Fi 网络所需的凭据。执行下列操作之一：在包含 XML(cfg.xml) 的电话配置文件中，输入以下格式的字符串： `<Security_Mode_1_ ua=“rw”>EAP-TLS</Security_Mode_1_> <!-- 有空选项：自动\|EAP-FAST\|\|\|PSK\|\|无\|EAP-PEAP\|EAP-TLS -->` 在电话网页中，选择以下方法之一：自动 EAP-FAST PSK 无 EAP-PEAP EAP-TLS 默认值：Auto
Wi-Fi 用户 ID	允许您为网络配置文件输入用户 ID。将安全模式设置为 Auto、EAP-FAST 或 EAP-PEAP 时，将有空此字段。这是必填字段，最多可包含 32 个字母数字字符。执行下列操作之一：在包含 XML(cfg.xml) 的电话配置文件中，输入以下格式的字符串： `<Wi-Fi_User_ID_1_ua="rw"></Wi-Fi_User_ID_1_>` 在电话网页中，输入网络配置文件的用户 ID。默认值：空
Wi-Fi 密码	用于输入指定 Wi-Fi 用户 ID 的密码。执行下列操作之一：在包含 XML(cfg.xml) 的电话配置文件中，输入以下格式的字符串： `<Wi-Fi_Password_1_ ua="rw"></Wi-Fi_Password_1_>` 在电话网页中，输入已添加的用户标识的密码。默认值：空
频段	用于选择 WLAN 使用的无线信号频带。执行下列操作之一：在包含 XML(cfg.xml) 的电话配置文件中，输入以下格式的字符串： `<Frequency_Band_1_ ua=“rw”>Auto</Frequency_Band_1_>` 在电话网页中，选择以下选项之一：自动 2.4 GHz 5 GHz 默认值：Auto
证书选择	允许您为无线网络中的证书初始注册和证书续订选择证书类型。此过程仅对 802.1X 身份验证有空。执行下列操作之一：在包含 XML(cfg.xml) 的电话配置文件中，输入以下格式的字符串： `<Certificate_Select_1_ ua=“rw”>已安装制造</Certificate_Select_1_>` 在电话网页中，选择以下选项之一：制造已安装自定义安装默认值：制造已安装