- 主页
- /
- 文章
本帮助文章适用于注册到 Cisco Unified Communications Manager(Unified CM)的 Cisco 无线电话 9821。
您可以启用 Cisco Unified Communications Manager(Unified CM)以在增强的安全性环境中运行。 这些增强功能可以使您的电话网络在严格的安全和风险管理控制下运行,以保障您和用户的安全。
增强的安全环境包括以下功能:
-
联系人搜索验证
-
TCP 作为远程审核日志记录的默认协议
-
改进的凭据策略
-
支持数字签名的 SHA-2 哈希系列
-
支持 RSA 密钥大小,最大为 4096 位
对于 Cisco Unified CM 发行版 14.0 或更高版本,电话支持 SIP OAuth 验证。
具有 Cisco Unified CM 发行版 14.0 (1) SU1 或更高版本的代理琐碎文件传输协议(TFTP)支持 OAuth。
有关安全性的其他信息,请参阅以下指南:
您的电话只能存储有限数量的身份信任列表格 (ITL) 文件。 ITL 文件在手机上不能超过 64K,因此请限制 Cisco Unified CM 发送到手机的文件数量。
支持的安全功能
安全功能可防范威胁,包括对电话身份或数据造成的威胁。 这些功能会建立和维持电话与 Cisco Unified Communications Manager 服务器之间经验证的通讯流,并确保电话只使用数字签名的文件。
默认情况下,Cisco Unified Communications Manager 8.5(1) 版及更高版本包括安全性,这可为 Cisco IP 电话提供以下安全功能(无需运行 CTL 客户端):
-
电话配置文件签名
-
电话配置文件加密
-
Tomcat 和其他 Web 服务的 HTTPS
安全信令和媒体功能仍需您运行 CTL 客户端和使用硬件电子令牌。
在 Cisco Unified Communications Manager 系统中实施安全性,防止电话和 Cisco Unified Communications Manager 服务器的身份被窃、防止数据被篡改以及防止呼叫信令和媒体流被篡改。
要减轻这些威胁,Cisco IP 电话网络在电话与服务器之间建立和维护安全(加密的)通信流,以数字方式签名这些文件,然后将其传输到电话,并加密 Cisco IP 电话媒体流和呼叫信令。
本地有效证书 (LSC) 会在您执行与证书权限代理功能 (CAPF) 关联的必要任务后安装在电话上。 您可以使用 Cisco Unified Communications Manager Administration 配置 LSC,如 Cisco Unified Communications Manager 安全指南 中所述。 或者,您可以从电话的“安全 ” 菜单中启动 LSC 的安装。 此菜单还可用于更新或移除 LSC。
电话使用电话安全性配置文件,该文件定义设备为不安全还是安全。 有关将安全性配置文件应用到电话的信息,请参阅特定 Cisco Unified Communications Manager 版本的文档。
如果您在 Cisco Unified Communications Manager Administration 中配置了安全相关的设置,电话配置文件将包含敏感信息。 为确保配置文件的私密性,您必须将其配置为加密。 有关详细信息,请参阅特定 Cisco Unified Communications Manager 版本的文档。
下表列出了电话支持的安全功能。 有关详细信息,请参阅特定 Cisco Unified Communications Manager 版本的文档。
|
功能 |
说明 |
|---|---|
|
图像验证 |
签名的二进制文件可以防止固件映像在映像加载到电话上之前被篡改。 篡改映像会导致电话验证过程失败并拒绝新的映像。 |
|
客户现场证书安装 |
每部 Cisco IP 电话都需要具有唯一的证书才能进行设备验证。 电话包含厂商预装证书 (MIC),但为了额外的安全性,您可以使用证书权限代理功能 (CAPF) 在 Cisco Unified Communications Manager Administration 中指定证书安装。 或者,您可以从电话的“ 安全 ”菜单中安装 Locally Significant Certificate (LSC)。 |
|
设备验证 |
当每个实体都接受了其他实体的证书时,在 Cisco Unified Communications Manager 服务器和电话之间进行。 确定电话和 Cisco Unified Communications Manager 之间是否进行了安全的连接;如有必要,请使用 TLS 协议在实体之间创建一个安全信令路径。 Cisco Unified Communications Manager 不会注册电话,除非其能够进行验证。 |
|
文件身份验证 |
验证电话下载的数字签名文件。 电话验证该签名以确保文件在创建之后未经篡改。 验证失败的文件不会写入电话的闪存。 电话会拒绝此类文件,并且不会再进行进一步的处理。 |
|
文件加密 |
加密可阻止敏感信息在文件传输到电话时泄露。 此外,电话验证该签名以确保文件在创建之后未经篡改。 验证失败的文件不会写入电话的闪存。 电话会拒绝此类文件,并且不会再进行进一步的处理。 |
|
信令验证 |
使用 TLS 协议验证传输期间信令信息包未发生篡改。 |
|
厂商预装证书 |
每部 Cisco IP 电话都包含唯一的厂商预装证书 (MIC) 用于进行设备验证。 MIC 为电话提供永久且唯一的身份证明,它允许 Cisco Unified Communications Manager 对电话进行验证。 |
|
媒体加密 |
使用 SRTP 确保支持的设备之间的媒体流以证明安全性,并且只有预期设备会收到并读取数据。 包括为设备创建媒体主密钥对、交付密钥给设备以及传输密钥期间确保安全交付密钥。 |
|
CAPF(证书权限代理功能) |
实施对于电话而言处理太密集的证书生成程序,并与电话交互以生成密钥和安装证书。 可以将 CAPF 配置为代表电话向客户指定的证书颁发机构要求证书,或将其配置为本地生成证书。 同时支持 EC(椭圆曲线)和 RSA 键类型。 要使用 EC 键,请确保已启用参数“端点高级加密算法支持”(来自 )。 有关 CAPF 及相关配置的更多信息,请参阅以下文档: |
|
安全性配置文件 |
定义电话是不安全、已验证、已加密还是受保护。 该表中的其他条目介绍安全功能。 |
|
加密配置文件 |
让您确保电话配置文件的隐私性。 |
|
(可选)禁用电话的 Web 服务器 |
出于安全性的考虑,您可以阻止访问电话的网页(其中显示电话的各种运行统计信息)和 Self Care 门户网站。 |
|
电话强化 |
额外的安全性选项,您可以从 Cisco Unified Communications Manager Administration 控制这些选项:
|
|
用于 SRST 的安全 SIP 故障转移 |
当您配置用于保证安全性的 Survivable Remote Site Telephony (SRST) 参考并在 Cisco Unified Communications Manager Administration 中重置相关设备后,TFTP 服务器会在 phone cnf.xml 文件中添加 SRST 证书,然后将该文件发送至电话。 然后,安全电话使用 TLS 连接与启用了 SRST 的路由器交互。 |
|
信令加密 |
确保设备和 Cisco Unified Communications Manager 服务器之间发送的所有 SIP 和信令消息均已加密。 |
|
信任列表更新警报 |
信任列表在电话上更新时,Cisco Unified Communications Manager 会收到警报,表明更新成功或失败。 详细信息请参阅下表。 |
|
AES 256 加密 |
连接至 Cisco Unified Communications Manager 版本 10.5(2) 及更高版本时,电话支持用于 TLS 的 AES 256 加密支持以及用于信令和媒体加密的 SIP。 这样,电话就可以使用符合 SHA-2(安全的哈希算法)标准以及联邦信息处理标准 (FIPS) 的基于 AES-256 的密码,发起并支持 TLS 1.2 连接。 密码包括:
有关详细信息,请参阅 Cisco Unified Communications Manager 文档。 |
|
椭圆曲线数字签名算法 (ECDSA) 证书 |
作为通用标准 (CC) 认证的一部分,Cisco Unified Communications Manager 在版本 11.0 中增加了 ECDSA 证书。 这将影响运行 CUCM 11.5 及更高版本的所有语音操作系统 (VOS) 产品。 |
|
具有 Cisco UCM 的多服务器(SAN)Tomcat 证书 | 电话支持配置了多服务器(SAN)Tomcat 证书的 Cisco UCM。 正确的 TFTP 服务器地址可以在电话 ITL 文件中找到,用于电话注册。 有关该功能的更多信息,请参阅以下内容: |
下表包含信任列表更新警报消息和含义。 有关详细信息,请参阅 Cisco Unified Communications Manager 文档。
| 代码和消息 | 说明 |
|---|---|
|
1 - TL_SUCCESS |
接收新的 CTL 和/或 ITL |
|
2 - CTL_INITIAL_SUCCESS |
接收新的 CTL,不存在 TL |
|
3 - ITL_INITIAL_SUCCESS |
接收新的 ITL,不存在 TL |
|
4 - TL_INITIAL_SUCCESS |
接收新的 CTL 和 ITL,不存在 TL |
|
5 - TL_FAILED_OLD_CTL |
更新为新 CTL 失败,但有以前的 TL |
|
6 - TL_FAILED_NO_TL |
更新为新 TL 失败,并且没有旧 TL |
|
7 - TL_FAILED |
一般失败 |
|
8 - TL_FAILED_OLD_ITL |
更新为新 ITL 失败,但有以前的 TL |
|
9 - TL_FAILED_OLD_TL |
更新为新 TL 失败,但有以前的 TL |
电话呼叫安全性
当为电话实施安全性时,可通过电话屏幕上的图标来识别安全电话呼叫。 如果在呼叫开始时播放安全音,则也可确定连接的电话是否安全并获得保护。
在安全呼叫中,所有呼叫信令和媒体流都会加密。 安全呼叫提供高级安全性,确保呼叫的完整性和私密性。 当呼叫进行中被加密时,您可以看到安全图标
在线上。
-
如果呼叫通过非 IP 呼叫分支(例如 PSTN)路由,则呼叫可能不安全,即使其已在 IP 网络内加密并且具有与之关联的锁定图标也不例外。
-
只有两个电话之间的连接支持安全呼叫。 在配置安全呼叫后,某些功能(例如电话会议和共享线路)不可用。
在 Cisco Unified Communications Manager 中,可以为配置为安全(加密和受信任)的电话分配受保护状态。 一旦受到保护,这些设备就可以配置为在每次呼叫开始时播放安全提示音。
-
受保护的设备:
要将安全电话的状态更改为受保护:
- 在 Cisco Unified Communications Manager Administration 中,选择 。
- 找到您要设置的电话。
- 在电话配置窗口中,选中 受保护的设备 复选框。
- 单击保存。
-
播放安全指示音:
要使受保护电话能够播放安全或不安全的指示音:
- 在 Cisco Unified Communications Manager Administration 中,选择 。
- 选择服务器,然后选择 Cisco CallManager 服务。
- 在 群集范围参数(功能 - 安全声音) 区域中,将“用于指示安全/不安全呼叫状态 的播放声音” 设置为 True。
- 单击保存。
安全电话会议识别
您可启动安全电话会议并监控参加者的安全性级别。 使用此过程建立安全电话会议:
-
用户从安全电话启动会议。
-
Cisco Unified Communications Manager 将安全会议桥分配给呼叫。
-
在添加参加者后,Cisco Unified Communications Manager 会验证每个电话的安全模式,并为会议维持安全级别。
-
电话会显示电话会议的安全性级别。 安全会议将显示安全图标
.
支持两个电话之间的安全呼叫。 对于受保护的电话,在配置安全呼叫后,部分功能(例如电话会议、共享线路和分机移动)将不可用。
下表提供有关根据发起者电话安全性级别、参加者的安全性级别以及安全会议桥的可用性更改会议安全性级别的信息。
|
发起者电话安全性级别 |
使用的功能 |
参与者的安全性级别 |
行动结果 |
|---|---|---|---|
|
不安全 |
会议 |
安全 |
不安全的会议桥 不安全的会议 |
|
安全 |
会议 |
至少一个成员不安全。 |
安全会议桥 不安全的会议 |
|
安全 |
会议 |
安全 |
安全会议桥 安全加密级别的会议 |
|
不安全 |
Meet Me |
最低安全性级别已加密。 |
发起方收到重新排序的声音。 |
|
安全 |
Meet Me |
最低安全性级别为不安全。 |
安全会议桥 会议接受所有呼叫。 |
安全电话呼叫标识
当您的电话与另一端的电话已配置为安全呼叫时,才可建立安全呼叫。 另一个电话可以位于相同的 Cisco IP 网络中或位于 IP 网络以外的网络。 安全呼叫只可以在两个电话之间进行。 在建立会议桥后,电话会议应支持安全呼叫。
遵照以下过程建立安全呼叫:
-
用户从安全电话(受保护的安全模式)启动呼叫。
-
电话将显示安全图标
在电话屏幕上。 此图标表示电话已配置为安全呼叫,但这不表示其他连接的电话也会受保护。 -
如果呼叫连接至另一个安全电话,用户会听到一声安全音,表示对话两端已加密并受保护。 如果呼叫连接至不安全的电话,用户不会听到安全音。
支持两个电话之间的安全呼叫。 对于受保护的电话,在配置安全呼叫后,部分功能(例如电话会议、共享线路和分机移动)将不可用。
只有受保护的电话才会播放这些安全或不安全的提示音。 不受保护的电话从不会播放提示音。 如果在呼叫过程中整个呼叫状态发生了变化,则提示音会改变并且受保护的电话会播放相应的提示音。
当“指示安全/不安全呼叫状态 的播放声音”选项设置为 True 时:
-
建立端到端安全媒体并且呼叫状态为安全时,电话会播放安全提示音(三声较长的哔声,中间停顿)。
-
建立端对端非安全媒体并且呼叫状态为不安全时,电话将播放不安全提示音(六声短哔声并简短暂停)。
如果“表示安全/不安全呼叫状态 的播放声音”选项设置为 False,则不会播放任何提示音。
为插入提供加密
Cisco Unified Communications Manager 在建立会议时检查电话安全状态,然后更改会议的安全指示或阻止呼叫完成以保持系统中的完整性和安全性。
如果用于插入的电话没有配置为加密,则用户无法插入到加密的呼叫中。 在此情况下插入失败时,将在发起插入的电话上播放重拨提示音(急促的忙音)。
如果发起方电话配置为加密,则插入发起方可以从加密的电话插入到不安全的呼叫中。 进行插入后,Cisco Unified Communications Manager 将呼叫归类为不安全。
如果发起方电话配置为加密,则插入发起方可以插入到加密的呼叫中,并且电话指示呼叫已加密。
无线局域网安全
由于范围内的所有 WLAN 设备均可接收所有其他 WLAN 流量,因此安全语音通信在 WLAN 中至关重要。 为了确保入侵者不会操纵或拦截语音流量,Cisco SAFE 安全体系结构支持电话。 有关网络安全性的更多信息,请参阅 http://www.cisco.com/en/US/netsol/ns744/networking_solutions_program_home.html。
Cisco 无线 IP 电话解决方案提供无线网络安全性,通过使用电话支持的以下身份验证方法防止未经授权的登录和通信受损。
-
开放式验证:任何无线设备均可在开放式系统中请求验证。 收到请求的 AP 可允许任何请求方或仅允许用户列表中找到的请求方进行验证。 无线设备和接入点(AP)之间的通信可能未加密。
-
可扩展身份验证协议 - 通过安全隧道(EAP-FAST)身份验证进行灵活身份验证:此客户端 - 服务器安全体系结构加密 AP 和 RADIUS 服务器(如身份服务引擎(ISE))之间的传输级别安全性(TLS)隧道内的 EAP 事务。
TLS 隧道使用受保护的访问凭证 (PAC) 进行客户端(电话)与 RADIUS 服务器之间的验证。 服务器将授权 ID (AID) 发送给客户端(电话),后者会选择适当的 PAC。 客户端(电话)将返回 PAC - 对 RADIUS 服务器不透明。 服务器通过主密钥解密 PAC。 现在,两个终端均包含 PAC 密钥,且 TLS 隧道已创建。 EAP-FAST 支持自动 PAC 部署,但您必须在 RADIUS 服务器上启用该功能。
在 ISE 中,默认情况下,PAC 将在一周后过期。 如果电话有过期的 PAC,则电话获取新 PAC 时,与 RADIUS 服务器的验证要花较长的时间。 为避免 PAC 部署延迟,在 ISE 或 RADIUS 服务器上,将 PAC 过期期限设置为 90 天或更长时间。
-
可扩展身份验证协议-传输层安全 (EAP-TLS) 验证:EAP-TLS 需要客户端证书用于身份验证和网络访问。 对于无线 EAP-TLS,客户端证书可以是 MIC, LSC, 或用户安装的证书。
-
受保护的可扩展验证协议 (PEAP):客户端(电话)与 RADIUS 服务器之间 Cisco 专有的、基于密码的相互验证方案。 电话可以使用 PEAP 进行无线网络身份验证。 支持 PEAP-MSCHAPV2 和 PEAP-GTC 验证方法。
-
预共享密钥(PSK):电话支持 ASCII 和十六进制(HEX)格式。 设置 WPA2/SAE 预共享密钥时,必须使用这些格式。
ASCII:长度为 8 到 63 个字符(0-9、小写 a-z、大写 A-Z 和特殊字符)的 ASCII 字符串。 例如,
GREG123567@9ZX&W。HEX:长度为 64 个十六进制数字(0-9、a-f 或 A-F)的十六进制字符串。
以下验证方案使用 RADIUS 服务器管理验证密钥:
-
WPA2/WPA3:使用 RADIUS 服务器信息生成唯一的密钥进行验证。 由于这些密钥在中央 RADIUS 服务器生成,因此 WPA2/WPA3 提供比存储在 AP 和电话上的 WPA 预共享密钥更高的安全性。
-
快速安全漫游:使用 RADIUS 服务器和无线域服务器 (WDS) 信息管理和验证密钥。 WDS 为启用 FT 的客户端设备创建安全凭据缓存,以便快速安全地重新进行身份验证。
使用 WPA2/WPA3,加密密钥不会在电话上输入,而是在 AP 和电话之间自动派生。 但必须在每部电话上输入用于验证的 EAP 用户名和密码。
为了帮助保护无线链路上的语音流量,电话支持基于 AES 的加密进行 WPA2/WPA3 身份验证。 AES 是由 NIST 标准化的对称分组密码。 AES 使用固定的 128 位块大小,并支持 128 位、192 位和 256 位的密钥大小。 在 Wi-Fi 网络中,AES 由 CCMP 或 GCMP 等密码套件使用,而身份验证由 PSK、SAE 或 802.1X/EAP 单独提供,具体取决于配置的 WLAN 安全模式。 支持的密码套件和密钥大小取决于电话型号和 WLAN 配置。
当电话使用 AES 加密时,信令 SIP 数据包和语音实时传输协议(RTP)数据包在 AP 和电话之间加密。
验证和加密方案在无线 LAN 内设置。 VLAN 在网络和 AP 中配置,指定验证和加密的不同组合。 SSID 与 VLAN 以及特定验证和加密方案关联。 要使无线客户端设备成功进行身份验证,您必须在 AP 和电话上配置相同的 SSID 及其身份验证和加密方案。
某些验证方案需要特定类型的加密。
使用 WPA2 预共享密钥或 SAE 时,必须在电话上静态设置预共享密钥。 这些密钥必须与 AP 上的密钥匹配。
下表中的身份验证和加密方案显示了对应于 AP 配置的 Cisco 无线电话 9821 的网络配置选项。
| FSR 类型 | 验证 | 密钥管理 | 加密 | 受保护的管理帧(PMF) |
|---|---|---|---|---|
| 802.11r (FT) | PSK |
WPA-PSK WPA-PSK-SHA256 FT-PSK | AES | 否 |
| 802.11r (FT) | WPA3 |
Sae 傅立方报 -SAE | AES | 是 |
| 802.11r (FT) | EAP-TLS |
WPA-EAP FT-EAP | AES | 否 |
| 802.11r (FT) | EAP-TLS(WPA3) |
WPA-EAP-SHA256 FT-EAP | AES | 是 |
| 802.11r (FT) | EAP-FAST |
WPA-EAP FT-EAP | AES | 否 |
| 802.11r (FT) | EAP-FAST(WPA3) |
WPA-EAP-SHA256 FT-EAP | AES | 是 |
| 802.11r (FT) | EAP-PEAP |
WPA-EAP FT-EAP | AES | 否 |
| 802.11r (FT) | EAP-PEAP(WPA3) |
WPA-EAP-SHA256 FT-EAP | AES | 是 |
| 非金融时分 | 套房 -B | WPA-EAP-SUITE-B | GCMP | 是 |
| 非金融时分 | 套房 -B-192 | WPA-EAP-SUITE-B-192 | GCMP | 是 |
设置 Wi-Fi 个人资料
您可以配置 Wi-Fi 配置文件并将其分配给 Cisco 无线电话 9821。此档案包含电话建立 Wi-Fi 连接并随后向 Cisco Unified CM 注册的必要参数。创建和使用 Wi-Fi 配置文件时,您或您的用户无需为单个电话配置无线网络。
使用 Wi-Fi 配置文件时,我们建议您使用已启用 TFTP 加密的安全配置文件以保护密钥和密码。
电话支持每个安装方法一个服务器证书(手动、SCEP 或 TFTP)。
在配置 WLAN 配置文件之前,请牢记以下注意事项:
-
用户名和密码
-
当您的网络使用 EAP-FAST 和 PEAP 进行用户验证时,如果远程身份验证拨入用户服务 (RADIUS) 和电话需要,您必须配置用户名和密码。
- 在无线 LAN 配置文件中输入的凭证必须与在 RADIUS 服务器上配置的凭证相同。
-
如果在网络内使用域,则必须输入用户名及域名,格式为:
domain\username。
-
-
以下操作可能会导致现有 Wi-Fi 密码被清除:
- 输入无效的用户 ID 或密码
- 当 EAP 类型设为 PEAP-MSCHAPV2 或 PEAP-GTC 时安装无效或过期的根 CA
- 在将电话切换为新的 EAP 类型之前,禁用电话 RADIUS 服务器上所用的 EAP 类型
- 要更改 EAP 类型,请确保首先在 RADIUS 服务器上启用新的 EAP 类型,然后再将电话切换到 EAP 类型。 当所有电话都已更改为新的 EAP 类型时,您便可以根据需要禁用以前的 EAP 类型。
| 1 |
在 Cisco Unified Communications Manager 管理中,选择。 |
| 2 |
单击新增。 |
| 3 |
在无线局域网配置文件信息部分中设置以下参数:
|
| 4 |
在无线设置部分中设置以下参数:
|
| 5 |
在 “身份验证设置” 部分中,将“身份验证方法 ”设置为 以下身份验证方法之一:EAP-FAST, EAP-TLS, PEAP-MSCHAPv2、PEAP-GTC、PSK 和 None。 Cisco 无线电话 9821 不支持 WEP。 设置此字段后,您可能会看到有其他字段需要设置。
Cisco 无线电话 9821 不支持 网络访问配置文件 字段。 |
| 6 |
单击保存。 |
后续操作
将无线局域网配置文件绑定到 WLAN 配置文件组,然后将 WLAN 配置文件组应用于设备池(系统>设备池电话
从电话管理网页安装用户证书
如果未有空简单证书注册协议(SCEP),您可以在电话上手动安装用户证书。
厂商预装证书 (MIC) 可用作 EAP-TLS 用户证书。
安装用户证书后,您需要将颁发用户证书的 CA 链添加到 RADIUS 服务器的信任列表中。
开始之前
在为电话安装用户证书之前,您必须拥有:
-
保存到您 PC 上的用户证书。 证书必须是 PKCS #12 格式。
-
证书的提取密码。 密码长度不得超过 32 个字符。
| 1 |
在电话管理网页中选择证书。 |
| 2 |
找到用户安装字段,然后单击安装。 |
| 3 |
浏览至您 PC 上的证书。 |
| 4 |
在提取密码字段中,输入证书提取密码。 |
| 5 |
单击上传。 |
| 6 |
上传完毕后需重新启动电话。 |
从电话管理网页安装验证服务器 CA
如果未有空简单证书注册协议(SCEP),您可以在电话上手动安装验证服务器 CA。
必须安装颁发 RADIUS 服务器证书的根 CA 证书。
开始之前
必须在手机上保存身份验证服务器 CA,然后才能在手机上安装证书。 证书必须采用 PEM (Base 64) 或 DER 编码格式。
| 1 |
在电话管理网页中选择证书。 |
| 2 |
找到验证服务器 CA 字段,然后单击安装。 |
| 3 |
浏览至您 PC 上的证书。 |
| 4 |
单击上传。 |
| 5 |
上传完毕后需重新启动电话。 |
从电话管理网页手动删除安全证书
如果简单证书注册协议 (SCEP) 不可用,您可以从电话中手动删除安全证书。
| 1 |
在电话管理网页中选择证书。 |
| 2 |
在证书页面找到证书。 |
| 3 |
单击删除。 |
| 4 |
在删除过程完成后,重新启动电话。 |
设置 SCEP
简单证书注册协议 (SCEP) 是用于自动配置和续订证书的一种标准。 它无需在您的电话上手动安装证书。
激活 SCEP 产品特定的配置参数
您必须在 Cisco Unified Communications Manager(Unified CM)上配置以下 SCEP 参数。
-
RA IP 地址或主机名
-
SCEP 服务器根 CA 证书的 SHA-1 或 SHA-256 指纹
Cisco IOS 注册颁发机构 (RA) 可充当 SCEP 服务器的代理。 电话上的 SCEP 客户端使用从 Cisco Unified CM 下载的参数。配置参数后,电话会向 RA 发送 SCEP getcs 请求,并使用定义的指纹验证根 CA 证书。
| 1 |
从 Cisco Unified Communications Manager Administration,选择 。 |
| 2 |
找到此电话。 |
| 3 |
滚动至 Product Specific Configuration Layout(产品特定配置布局)区域。 |
| 4 |
选中 WLAN SCEP 服务器 复选框以激活 SCEP 参数。 |
| 5 |
选中 WLAN 根 CA 指纹(SHA256 或 SHA1) 复选框以激活 SCEP QED 参数。 |
SCEP 服务器支持
如果您使用简单证书注册协议 (SCEP) 服务器,服务器会自动可以保持您的用户和服务器证书。 在 SCEP 服务器上,将 SCEP 注册座席 (RA) 配置为:
-
充当 PKI 信任点
-
充当 PKI RA
-
通过 RADIUS 服务器执行设备验证
有关详细信息,请参阅您的 SCEP 服务器文档。
设置本地有效证书 (LSC)
有几种方法可以安装 LSC。 此示例任务适用于在 Cisco 无线电话 9821 上使用身份验证字符串方法设置 LSC。
开始之前
确保相应的 Cisco Unified CM 和 certificate authority proxy function(CAPF)安全配置已完成。
-
CTL 或 ITL 文件具有 CAPF 证书。
-
在 Cisco Unified Communications 操作系统管理中,确认已安装 CAPF 证书。
-
CAPF 正在运行且已配置。
有关这些设置的更多信息,请参阅特定 Cisco Unified CM 版本的文档。
| 1 |
获取配置 CAPF 时设置的 CAPF 身份验证字符串。 |
| 2 |
在电话上,访问 “设置” |
| 3 |
选择 。 |
| 4 |
输入身份验证字符串。 |
| 5 |
按 更多 电话会开始安装、更新或移除 LSC,具体取决于配置 CAPF 的方式。 当此程序完成后,电话上会显示“已安装”或“未安装”。 LSC 安装、更新或移除过程需要较长时间才能完成。 如果电话安装过程成功,则会显示 |
有线网络的 802.1X 身份验证
Cisco 无线电话 9821 支持有线网络的 802.1X 身份验证。 这通常在自动配置 期间 使用,当电话通过支持的 USB 转以太网适配器连接到桌面充电器时。
在有线网络上支持 802.1X 身份验证需要以下几个组件:
-
Cisco IP 电话:电话会发起访问网络的请求。 Cisco IP 电话包含 802.1X 请求方。 网络管理员可以通过此请求方控制 IP 电话至 LAN 交换机端口的连接。 电话 802.1X 请求方的最新版本使用 EAP-FAST 和 EAP-TLS 选项进行网络验证。
-
身份验证服务器:身份验证服务器和交换机都必须配置 RADIUS 共享密钥。
-
交换机:交换机必须支持 802.1X,因此它可以充当身份验证器并在电话和身份验证服务器之间中继 EAP 消息。 在交换完成后,交换机会授予或拒绝电话访问网络的权限。
Cisco IP 电话和 Cisco Catalyst 交换机过去使用 Cisco Discovery Protocol (CDP) 来识别彼此并确定 VLAN 分配和线内电源要求等参数。
您必须执行以下操作来配置 802.1X。
-
配置 CDP/LLDP 语音 VLAN 绕过。
-
在为电话上的有线网络启用 802.1X 身份验证之前,请先配置身份验证服务器和交换机。
-
配置语音 VLAN:由于 802.1X 标准不考虑 VLAN,应根据交换机支持来配置此设置。
- 已启用:如果您使用的是支持多域身份验证的交换机,则可以将其配置为使用语音 VLAN。
- 禁用:如果交换机不支持多域验证,则禁用语音 VLAN 并考虑将此端口分配给本机 VLAN。
-
Cisco 无线电话 9821 在 PID 中的前缀与其他 Cisco 电话的前缀不同。 要使您的电话通过 802.1X 身份验证,请设置 Radius· 用户名参数,用于包含您的 Cisco 无线电话 9821。
例如,Cisco 无线电话 9821 的 PID 是 WP-9821。 您可以设置 半径·用户名以 WP 开头
或包含WP 在以下两个部分中: -
为电话上的有线网络启用 802.1X 身份验证
请按照以下步骤为电话上的有线网络启用 802.1X 身份验证。 请注意,默认情况下启用 Wi-Fi 的 802.1X 身份验证,不需要手动配置。
| 1 |
访问设置 |
| 2 |
如果出现提示,输入密码以访问“ 设置 ”菜单。 您可以从管理员处获取密码。 |
| 3 |
选择 。 |
| 4 |
突出显示设备 身份验证 并按 开。 |
在 Cisco Unified Communications Manager Administration 中为有线网络启用 802.1X 身份验证
按照以下步骤在 Cisco Unified CM 上为有线网络启用 802.1X 身份验证。请注意,默认情况下启用 Wi-Fi 的 802.1X 身份验证,不需要手动配置。
您可以在电话屏幕菜单上查看交易状态和安全设置。 有关详细信息,请参阅 电话上的安全设置菜单。
| 1 |
在 Cisco Unified Communications Manager Administration 中,选择 设备 > 电话。 |
| 2 |
找到您要设置的电话。 |
| 3 |
导航到“ 产品特定配置布局” 区域。 |
| 4 |
从 802.1x 身份验证下拉菜单中选择 启用 。 当配置为 启用 或 禁用时,Cisco 无线电话 9821 上的设备身份验证选项变为只读,从而阻止用户修改 802.1X 身份验证设置。 |
| 5 |
选择保存。 |
| 6 |
选择应用配置。 |
电话上的安全设置菜单
要从电话菜单查看有关安全设置的信息,请访问 设置
应用程序并选择 。 信息的可用性取决于您组织中的网络设置。
|
参数 |
选项 |
默认值 |
说明 |
|---|---|---|---|
|
设备验证 |
开 关 |
关 |
在电话上启用或禁用 802.1X 身份验证。 参数设置可在电话的全新(OOB)注册后保留。 |
|
事务状态 | 已禁用 |
显示 802.1X 身份验证的状态。 状态可以是(不限于):
| |
|
协议 | 无 |
显示用于 802.1X 身份验证的 EAP 方法。 协议可以是 EAP-FAST 或 EAP-TLS。 |
设置受支持的 TLS 版本
您可以分别设置客户端和服务器所需的最低 TLS 版本。
默认情况下,服务器和客户端的最低 TLS 版本均为 1.2。 该设置会影响以下功能:
- HTTPS Web 访问连接
- 本地电话的载入
- HTTPS 服务,例如目录服务
- 数据报传输层安全性(DTLS)
- 端口访问实体(PAE)
- 可扩展身份验证协议 - 传输层安全性(EAP-TLS)
有关 Cisco IP Phones 的 TLS 1.3 兼容性的更多信息,请参阅 TLS Cisco 协作产品的 1.3 兼容性矩阵。
| 1 |
在 Cisco Unified Communications Manager Administration 中,根据需要执行以下操作之一:
配置遵循分层结构:
|
| 2 |
设置 TLS 客户端最低版本 字段: TLS 1.3 选项在 Cisco Unified CM 15SU2 或更高版本上有空。
|
| 3 |
设置 TLS 服务器最低版本 字段:
|
| 4 |
单击保存。 |
| 5 |
单击应用配置。 |
| 6 |
重新启动电话。 |
TURN 关闭免提电话和耳机 Cisco 无线电话 9821
您可以选择为用户永久 TURN 关闭 Cisco 无线电话 9821 上的免提电话和头戴式耳机。 关闭这些音频输出可确保附近的人听不到对话,这在共享或开放式办公环境中非常重要。
| 1 |
在 Cisco Unified Communications Manager Administration 中,选择 。 |
| 2 |
找到您要设置的电话。 |
| 3 |
导航到“ 产品特定配置布局” 区域。 |
| 4 |
选中以下一个或多个复选框以 TURN 关闭电话的功能:
缺省情况下,这些复选框未选中。 |
| 5 |
选择保存。 |
| 6 |
选择应用配置。 |
