- 主页
- /
- 文章
感谢您的反馈。
自定义设备证书
在此文章中
反馈?您可以通过手动或自动方式安装自定义设备证书(CDC)。 对于某些环境,您可以使用 DHCP 选项 43 为证书安装提供 SCEP 参数。 本帮助文章适用于注册到 Cisco BroadWorks 或 Webex Calling 的 Cisco Desk Phone 9800 系列和 Cisco Video Phone 8875。
自定义设备证书的安装
要在手机上安装自定义设备证书 (CDC),请根据您的情况使用以下方法之一:
手机上最新安装的证书将生效。
- 手动安装——您可以通过从电话管理网页上传证书来安装证书。 有关详细信息,请参阅 通过上传手动安装自定义设备证书。
- 自动安装——您可以配置简单证书注册协议 (SCEP) 参数来触发证书的自动安装。 电话向 SCEP 服务器发送 SCEP 请求以安装证书。
SCEP 参数可以通过电话管理网页、电话配置文件 (cfg.XML) 或 Control Hub 进行配置。 有关详细信息,请参阅 通过 SCEP 自动安装自定义设备证书 和 Control Hub 上的电话设置参数。
- DHCP 选项 43—在某些环境中,您可以利用 DHCP 选项 43 安装证书。选项 43 可以为证书安装提供 SCEP 参数。 有关详细信息,请参阅 通过 DHCP 选项 43 配置 SCEP 参数。
-
当您使用 DHCP 选项 43 配置 SCEP 参数时,电话还可以检索从 DHCP 选项 15 携带的域名。根据检索到的域名,电话可以构建 SCEP CSR 通用名称和 802.1X 用户 ID。 有关详细信息,请参阅 通过 DHCP 选项 15 提供通用名称或用户 ID。
有关如何配置 DHCP 选项的更多信息,请参阅 配置 DHCP 选项。
-
通过上传手动安装自定义设备证书
您可以通过从电话管理网页上传证书,在电话上手动安装自定义设备证书(CDC)。
开始之前
在为电话安装自定义设备证书之前,您必须拥有:
- 保存在您的电脑上的证书文件(.p12 或 .pfx)。 该文件包含证书和私钥。
- 证书的提取密码。 密码用于解密证书文件。
| 1 |
访问电话管理网页。 |
| 2 |
选择 证书。 |
| 3 |
在添加证书部分中,单击浏览...。 |
| 4 |
浏览至您 PC 上的证书。 |
| 5 |
在提取密码字段中,输入证书提取密码。 |
| 6 |
单击上传。 如果证书文件和密码正确无误,您将收到
证书已添加消息。 否则,上传会失败并出现错误消息,指明证书无法上传。 |
| 7 |
要查看已安装证书的详细信息,请单击现有证书部分中的查看。 |
| 8 |
要从电话中删除已安装的证书,请单击现有证书部分中的删除。 单击该按键后,删除操作会立即开始,无需进行确认。
如果证书被成功删除,您将收到消息“ |
通过 SCEP 自动安装自定义设备证书
您可以配置简单证书注册协议(SCEP)相关参数,以便与 SCEP 服务器交互以自动安装自定义设备证书(CDC)。
一旦配置了任何 SCEP 参数,电话就会向服务器发送 SCEP 注册请求。 手机将使用配置的指纹验证收到的 CA 证书。
开始之前
在为手机自动安装自定义设备证书 (CDC) 之前,您必须具备:
- SCEP 服务器地址
- SCEP 服务器根 CA 证书的 SHA-1 或 SHA-256 指纹
| 1 |
访问电话管理网页。 |
| 2 |
选择 证书。 |
| 3 |
在 SCEP 配置 1 部分中,按照说明设置参数 SCEP 配置参数 。 |
| 4 |
单击 Submit All Changes。 |
SCEP 配置的参数
下表定义了 SCEP 配置参数的功能和使用方法 SCEP 配置 1 部分下 证书 电话网络界面中的 Tab。 它还定义在电话配置文件(cfg.xml)中添加以配置参数的字符串的语法。
任何参数的改变都会导致手机请求新的证书。
| 参数 | 说明 |
|---|---|
| 服务器 |
SCEP 服务器地址。 这是必要参数。 执行下列操作之一:
有效值:URL 或 IP 地址。 不支持 HTTPS 方案。 默认值:空 |
| 根 CA 指纹 |
根 CA 的 SHA256 或 SHA1 指纹,用于在 SCEP 过程中进行验证。 这是必要参数。 执行下列操作之一:
默认值:空 |
| 质询密码 |
在通过 SCEP 注册证书期间,用于对电话进行 Certificate Authority (CA) 授权的质询密码。 此参数是可选的。 根据实际的 SCEP 环境,质询密码的行为会有所不同。
执行下列操作之一:
默认值:空 |
| 通用名称 |
指定用作请求证书的电话的标识符的通用名称 (CN)。 CN 用于 SCEP 流程中的证书签名请求 (CSR)。 此参数还支持宏扩展变量,参见 宏扩展变量 了解详情。 执行下列操作之一:
有效值:最多 64 个字符 默认值:空 |
SCEP 的证书续订
SCEP 进程可以自动刷新设备证书。
- 电话每 4 小时检查证书是否会在 15 天后过期。 如果是这样,电话会自动启动证书续订过程。
- 如果质询密码为空,则电话将使用 MIC/SUDI 进行初始注册和证书续订。 如果配置了质询密码,则仅用于初始注册,现有/已安装的证书将用于证书续订。
- 电话在检索新设备证书之前不会删除旧设备证书。
- 如果证书续订因设备证书或 CA 过期而失败,电话将自动触发初始注册。 同时,如果质询密码身份验证失败,电话屏幕上会弹出密码输入屏幕,提示用户在电话上输入质询密码。
CDC 通用名称配置
默认情况下,MIC/SUDI 中的通用名称用作 CDC 的通用名称。
您可以在安装证书时配置 CDC 的通用名称。 使用以下方法之一在手机上安装 CDC:
-
生成包含所需通用名称的证书签名请求(CSR),然后在电话管理网页上上传并安装新证书。
-
通过电话管理网页、电话配置文件(cfg.XML)或控制中心配置通用名称。 这将触发手机自动请求新证书。
有关电话网页和 Control Hub 上参数的更多信息,请参阅 通过 SCEP 自动安装自定义设备证书 和 Control Hub 上的电话设置参数。
- 利用 DHCP 选项 43 和 15 为 CDC 和有线 802.1X 身份提供通用名称。
有关详细信息,请参阅 通过 DHCP 选项 15 提供通用名称或用户 ID。
通过 DHCP 选项 43 配置 SCEP 参数
在某些环境中,您无法通过上传或直接配置 SCEP 参数来安装自定义设备证书 (CDC)。 在这种情况下,您可以利用 DHCP 选项 43 从 DHCP 服务器填充参数。 可以配置 DHCP 选项 43 来向电话提供 SCEP 参数。 一旦手机恢复出厂设置,它就可以从 DHCP 服务器接收参数,通过 SCEP 协议安装 CDC。
- 此功能(通过 DHCP 选项 43 配置 SCEP 参数)有空仅适用于恢复出厂设置的手机。
- 不得将电话放置在支持选项 43 和远程配置(例如,选项 66,160,159,150 或云配置)的网络中。 否则,手机可能无法获得选项 43 配置。
要通过 DHCP 选项 43 提供的 SCEP 参数安装 CDC 证书,请执行以下操作:
- 准备 SCEP 环境。
有关 SCEP 环境设置的信息,请参阅 SCEP 服务器文档。
- 设置 DHCP 选项 43(定义见 8.4 供应商特定信息,RFC 2132)。
子选项 (10-15) 保留用于该方法:
电话上的参数网页 子选项 类型 长度(字节) 必需 FIPS 模式 10 布尔 1 不* 服务器 11 字符串 208 - 长度(质询密码) 是 根 CA 指纹 12 十六进制 20、32、48 或 64 是 质询密码 13 字符串 208 - 长度(服务器) 不* 启用 802.1X 验证 14 布尔 1 否 证书选择 15 无符号 8 位 1 否 *表示该参数根据实际情况配置。
使用 DHCP 选项 43 时,请注意该方法的以下特征:
- 子选项(10–15)是为自定义设备证书(CDC)保留的。
- DHCP 选项 43 的最大长度为 255 字节。
- 服务器 + 质询密码的最大长度应小于 208 字节。
- FIPS 模式的值应与载入设置配置一致。 否则,电话在载入后将无法检索之前安装的证书。 具体说来
- 如果手机将注册到禁用 FIPS 模式的环境,则无需配置 FIPS 模式 在 DHCP 选项 43 中。默认情况下,FIPS 模式是禁用的。
- 如果电话要注册到启用了 FIPS 模式的环境,则必须在 DHCP 选项 43 中启用 FIPS 模式。请参阅 启用 FIPS 模式 了解详情。
- 选项 43 中的挑战密码是明文形式。
- 如果您希望手机使用 MIC/SUDI 进行初始注册和证书更新,请将质询密码留空。
- 如果质询密码仅用于初始注册,请配置质询密码。 在这种情况下,已安装的证书将用于证书续订。
- 启用 802.1X 身份验证 和 证书选择 仅用于有线网络中的电话。
- DHCP 选项 60(供应商类标识符)用于标识设备型号。
DHCP 选项 43(子选项 10–15)的示例:
子选项十进制/十六进制 值长度(字节)十进制/十六进制 值 十六进制值 10/0a 1/01 1(0:已禁用;1:已启用) 01 11/0b 18/12 http://10.79.57.91 687474703a2f2f31302e37392e35372e3931 12/0c 20/14 12040870625C5B755D73F5925285F8F5FF5D55AF 12040870625C5B755D73F5925285F8F5FF5D55AF 13/0d 16/10 D233CCF9B9952A15 44323333434346394239393532413135 14/0e 1/01 1(0:否;1:是) 01 15/0f 1/01 1(0:厂商预装;1:自定义安装) 01 参数值摘要:
-
FIPS 模式 =
启用 -
服务器 =
http://10.79.57.91 -
根 CA 指纹 =
12040870625C5B755D73F5925285F8F5FF5D55AF -
质询密码 =
D233CCF9B9952A15 -
启用 802.1X 身份验证 =
是 -
证书选择 =
自定义安装
最终十六进制值的语法为:
{<suboption><length><value>}...根据上面的参数值,最终的十六进制值如下:
0a01010b12687474703a2f2f31302e37392e35372e39310c1412040870625C5B755D73F5925285F8F5FF5D55AF0d10443233334343463942393935324131350e01010f0101 - 在 DHCP 服务器上配置 DHCP 选项 43。
此步骤提供了 Cisco 网络寄存器上的 DHCP 选项 43 配置的示例。
- 添加 DHCP 选项定义集。
供应商选项字符串是 IP 电话的型号名称。 有效值为:DP-9841、DP-9851、DP-9861、DP-9871 或 CP-8875。
- 将 DHCP 选项 43 和子选项添加到 DHCP 选项定义集中。
示例:
- 将选项 43 添加到 DHCP 策略,并按如下所示设置值:
示例:
(10 1)(11 http://10.79.57.91)(12 12040870625C5B755D73F5925285F8F5FF5D55AF)(13 D233CCF9B9952A15)(14 1)(15 1) - 验证设置。 您可以使用 Wireshark 捕获电话和服务之间的网络流量跟踪。
- 添加 DHCP 选项定义集。
- 为电话执行恢复出厂设置。
重设电话后,服务器、根 CA 指纹和质询密码参数将自动填写。 这些参数位于电话管理网页上证书>自定义 中的 SCEP 配置 1
要查看已安装证书的详细信息,请单击现有证书部分中的查看。
若要检查证书安装状态,请选择 ”。 下载状态 1 显示最新结果。 如果在证书注册期间出现任何问题,下载状态会显示问题原因以进行故障排除。
如果质询密码验证失败,电话屏幕会提示用户输入密码。
- (可选):要从电话中删除已安装的证书,单击现有证书 部分中的删除 。
单击该按键后,删除操作会立即开始,无需进行确认。
通过 DHCP 选项 15 提供公用名或用户标识
在通过 DHCP 选项 43 注册 SCEP 证书期间,电话还可以获取 DHCP 选项 15 中提供的域名(如果已配置)。 电话收到域名后,可以用域名构造公用名或用户 ID,具体表示如下:
- 公用名 = <MIC/SUDI >中的公用名。<选项 15 中的域名>
在 SCEP 进程中,公用名 将用于 CSR,稍后它将是 CDC 中的公用名。
- 用户标识 = <MIC/SUDI 中的公用名 >@<选项 15 中的域名>
用户标识 将用作有线 802.1X 身份验证的标识。
例如,电话的 MAC 地址是 00:1A:2B:3C:4D:5E,电话型号为 9871:
| DHCP 选项 15 中的域名 | 通用名称 | 用户 ID |
|---|---|---|
| example.nl | CP-9871-SEP001A2B3C4D5E.example.nl | CP-9871-SEP001A2B3C4D5E@example.nl |
| 空 | CP-9871-SEP001A2B3C4D5E |
CP-9871-SEP001A2B3C4D5E |
如果未在选项 15 中配置域名,则公用名和用户标识将与 MIC/SUDI 中的公用名相同。
