- 首頁
- /
- 文章
Cisco IP 電話安全性
在此文章中本説明文章適用於已註冊到 Cisco BroadWorks 的 Cisco 桌面電話 9800 系列和 Cisco 視訊電話 8875。
手動安裝自訂裝置憑證
您可以從電話管理網頁上傳憑證,在電話上手動安裝自訂裝置憑證 (CDC)。
開始之前
在您可以為電話安裝自訂裝置憑證之前,您需具備以下..
- 儲存在您的 PC 上的憑證檔案 (.p12 或 .pfx)。 該檔包含證書和私鑰。
- 憑證的擷取密碼。 密碼用於解密證書檔。
| 1 |
存取電話管理網頁。 |
| 2 |
選擇 「證書」。。 |
| 3 |
在“ 添加證書 ”部分中,按兩下 “流覽...”。 |
| 4 |
瀏覽至 PC 上的憑證。 |
| 5 |
在擷取密碼欄位中,輸入憑證的擷取密碼。 |
| 6 |
按一下上載。 如果證書檔和密碼正確,您將收到消息「
已添加證書」。 否則,上傳將失敗,並顯示一條錯誤消息,指示無法上傳證書。 |
| 7 |
若要檢查已安裝證書的詳細資訊,請按下 「現有證書」部分中的「 查看 」。 |
| 8 |
若要從電話中移除已安裝的憑證,按一下 「現有憑證」部分中的「 刪除 」。 按兩下該按鈕後,刪除操作將立即開始,無需確認。
如果證書刪除成功,您將收到消息「 |
由 SCEP 自動安裝自訂裝置憑證
如果不想手動上傳證書檔或沒有證書檔,則可以將簡單證書註冊協定 (SCEP) 參數設置為自動安裝自定義設備證書 (CDC)。
正確設定 SCEP 參數後,電話會將請求傳送到 SCEP 伺服器,並且裝置會使用定義的指紋驗證 CA 憑證。
開始之前
在您可以為電話自動安裝自訂裝置憑證之前,您需具備以下..
- SCEP 伺服器位址
- SCEP 伺服器根 CA 憑證的 SHA-1 或 SHA-256 指紋
| 1 |
存取電話管理網頁。 |
| 2 |
選擇 「證書」。。 |
| 3 |
在“SCEP 配置 1 ”部分中,如下表 “SCEP 配置的參數”中所述設置參數。 |
| 4 |
按一下提交所有變更。 |
SCEP 組態的參數
下表定義了電話 Web 介面憑證 標籤下之 SCEP 組態 1 區段中 SCEP 組態參數的功能與用法。 亦會定義新增至電話設定檔 (cfg.xml) 中以設定參數的字串之語法。
| 參數 | 描述 |
|---|---|
| 伺服器 |
SCEP 伺服器位址。 此參數為必需。 請執行下列一項操作:
有效值:URL 或 IP 位址。 不支援 HTTPS 方案。 預設值:空 |
| 根 CA 指紋 |
根 CA 的 SHA256 或 SHA1 指紋,用於在 SCEP 過程中進行驗證。 此參數為必需。 請執行下列一項操作:
預設值:空 |
| 質詢密碼 |
透過 SCEP 註冊憑證期間針對電話進行 Certificate Authority (CA) 授權的質詢密碼。 此參數為可選的。 根據實際的 SCEP 環境,質詢密碼的行為會有所不同。
請執行下列一項操作:
預設值:空 |
透過選項 43 設定 SCEP 參數 DHCP
除了透過電話網頁上的手動組態來註冊 SCEP 憑證外,您也可以使用 DHCP 選項 43 填入 DHCP 伺服器的參數。 DHCP 選項 43 預先配置了 SCEP 參數,稍後電話可以從 DHCP 伺服器獲取參數以執行 SCEP 憑證註冊。
- 透過選項 43 進行的 SCEP 參數組態僅適用於執行原廠重設的電話 DHCP。
- 不得將電話放置在同時支援選項 43 和遠端配置 (例如,選項 66,160,159,150 或雲端配置) 的網路中。 否則,電話可能無法取得選項 43 的組態。
要通過在 DHCP 選項 43 中設定 SCEP 參數來註冊 SCEP 證書,請執行以下操作:
- 準備 SCEP 環境。
有關 SCEP 環境設定的資訊,請參閱 SCEP 伺服器文件。
- 設置 DHCP 選項 43 (在 8.4 供應商特定資訊,RFC 2132 中定義)。
子選項 (10–15) 保留給該方法:
電話網頁上的參數 子選項 類型 長度 (位元組) 必要 FIPS 模式 10 布林值 1 不* 伺服器 11 字串 208 - 長度 (挑戰密碼) 是 根 CA 指紋 12 二進位 20 或 32 是 質詢密碼 13 字串 208 - 長度 (伺服器) 不* 啟用 802.1X 驗證 14 布林值 1 否 憑證選擇 15 無符號 8 位 1 否 使用 DHCP 選項 43 時,請注意該方法的以下特徵:
- 子選項 (10–15) 保留給自訂裝置憑證 (CDC)。
- 選項 43 DHCP 的最大長度為 255 個字節。
- 伺服器 + 質詢密碼 的最大 長度應小於 208 位元組。
- FIPS 模式 的值 應與載入預配配置一致。 否則,電話在載入後將無法擷取先前安裝的憑證。 具體來說,
- 如果手機將註冊到禁用 FIPS 模式的環境,則無需在選項 43 DHCP 配置參數 FIPS 模式 。FIPS 模式預設會停用。
- 如果電話將註冊到啟用了 FIPS 模式的環境中,則必須在選項 43 DHCP 啟用 FIPS 模式。有關詳細資訊,請參閱 啟用 FIPS 模式 。
- 選項 43 中的密碼為明文。
如果質詢密碼為空,電話將使用 MIC/SUDI 進行初始註冊和證書續訂。 如果配置了質詢密碼,則該密碼僅用於初始註冊,安裝的證書將用於證書續訂。
- 啟用 802.1X 身份驗證 和 證書選擇 僅用於有線網路中的電話。
- DHCP 選項 60 (供應商類識別碼) 用於標識設備型號。
下表提供了 DHCP 選項 43 (子選項 10–15) 的範例:
子選項十進位/十六進位 值長度 (位元組) 十進位/十六進位 值 十六進位值 10/0 安 1/01 1 (0:禁用;1:啟用) 01 11/0 乙 18/12 http://10.79.57.91 687474703a2f2f31302e37392e35372e3931 12/0 攝氏度 20/14 12040870625C5B755D73F5925285F8F5FF5D55AF 12040870625C5B755D73F5925285F8F5FF5D55AF 13/0 天 16/10 D233CCF9B9952A15 44323333434346394239393532413135 14/0e 1/01 1 (0:否; 1:是) 01 15/0 樓 1/01 1 (0:製造安裝;1:定製安裝) 01 參數值摘要:
-
FIPS 模式 =
已開啟 -
伺服器 =
http://10.79.57.91 -
根 CA 指紋 =
12040870625C5B755D73F5925285F8F5FF5D55AF -
質詢密碼 =
D233CCF9B9952A15 -
啟用 802.1X 身份驗證 =
是 -
憑證選擇 =
自訂安裝
最終十六進位值的語法為:
{<suboption><length><value>}...根據上面的參數值,最終的十六進位值如下:
0a01010b12687474703a2f2f31302e37392e35372e39310c1412040870625C5B755D73F5925285F8F5FF5D55AF0d10443233334343463942393935324131350e01010f0101 - 在 DHCP 伺服器上設定 DHCP 選項 43。此步驟提供了思科網路寄存器上 DHCP 選項 43 配置的範例。
- 添加 DHCP 選項定義集。
供應商選項字串 是 IP 電話的型號名稱。 有效值為:DP-9841、DP-9851、DP-9861、DP-9871 或 CP-8875。
- 將 DHCP 選項 43 和子選項添加到 DHCP 選項定義集中。
範例:
- 將選項 43 新增到 DHCP 策略並按如下所示設定值:
範例:
(10 1)(11 http://10.79.57.91) (12 12040870625C5B755D73F5925285F8F5FF5D55AF)(13 D233CCF9B9952A15)(14 1)(15 1) - 驗證設定。 您可以使用 Wireshark 擷取電話和服務之間的網路流量跟蹤。
- 添加 DHCP 選項定義集。
- 對電話執行原廠重設。
重設電話後,將自動填寫參數 伺服器、 根 CA 指紋和 質詢密碼 。 這些參數位於電話管理網頁的「憑證>自訂」的 SCEP 組態 1 區段
若要檢查已安裝證書的詳細資訊,請按下 「現有證書」部分中的「 查看 」。
若要檢查證書安裝狀態,請選擇 ”。 下載 狀態 1 顯示最新結果。 如果在證書註冊期間出現任何問題,下載狀態可以顯示問題原因,以便進行故障排除。
如果質詢密碼驗證失敗,系統將提示使用者在電話螢幕上輸入密碼。 - (選用) - 若要從電話中移除已安裝的憑證,按一下 「現有憑證」部分中的「 刪除 」。按兩下該按鈕後,刪除操作將立即開始,無需確認。
透過 SCEP 更新憑證
SCEP 進程可以自動刷新設備證書。
- 電話會每 4 小時檢查憑證是否會在 15 天後過期。 如果是這樣,電話會自動開始憑證更新程序。
- 如果質詢密碼為空,電話將使用 MIC/SUDI 進行初始註冊和證書續訂。 如果配置了質詢密碼,則它僅用於初始註冊,現有/已安裝的證書用於證書續訂。
- 電話在擷取新裝置憑證之前不會移除舊裝置憑證。
- 如果憑證更新因裝置憑證或 CA 過期而失敗,電話會自動觸發初始註冊。 同時,如果質詢密碼驗證失敗,電話螢幕上會彈出密碼輸入螢幕,並提示使用者在電話上輸入質詢密碼。
啟用 FIPS 模式
您可以使電話符合聯邦資訊處理標準 (FIPS)。
FIPS 是一組標準,用於描述文檔處理、加密演演演算法和其他資訊技術標準,供非軍事政府以及與機構合作的政府承包商和供應商使用。 CiscoSSL FOM (FIPS 物件模組) 是經過精心定義的軟體元件,其設計與 CiscoSSL 程式庫相容,因此使用 CiscoSSL 程式庫和 API 的產品可以毫不費力地轉換為使用 FIPS 140-2 驗證的加密技術。
| 1 |
存取電話管理網頁。 |
| 2 |
選擇。 |
| 3 |
在“ 安全性設置 ”部分中,從 “FIPS 模式” 參數中選擇 “是 ”或 “否 ”。 |
| 4 |
按一下提交所有變更。 當您啟用 FIPS 時,以下功能將在電話上無縫運作:
|
設定使用者與管理員密碼
首次將電話註冊到呼叫控制系統或在電話上恢復出廠設置后,必須設置使用者和管理員密碼以增強電話的安全性。 設定密碼後,您才可以從電話網頁提交變更。
依預設,電話上會開啟無密碼警告。 當電話沒有任何使用者或管理員密碼時,將顯示以下警告:
- 電話網頁會顯示「未提供管理員密碼。 Web 處於唯讀模式,您無法提交更改。 請更改密碼“,在左上角。
“使用者密碼 ”和 “管理員密碼 ”字段如果為空,則分別顯示警告“未提供密碼”。
- 電話螢幕 問題和診斷顯示 「未提供密碼」問題。
| 1 |
存取電話管理網頁 |
| 2 |
選擇。 |
| 3 |
(選用)在“ 系統配置 ”部分,將“ 顯示密碼警告 ”參數設置為 “是”,然後按兩下“提交所有更改 ”。 您也可以啟用電話設定檔 (cfg.xml) 中的參數。
預設值:是 選項:是|不 當參數設定為 「否」時,密碼警告不會出現在網頁或電話螢幕上。 此外,即使密碼為空,頁面 Web 的僅就緒模式也不會啟動。 |
| 4 |
找到參數 用戶密碼 或 管理員密碼,然後按下 參數旁邊的更改密碼 。 |
| 5 |
在「舊密碼 」欄位中 輸入目前的使用者密碼。 如果您沒有密碼,請將該欄位留空。 預設值為空白。
|
| 6 |
在「新密碼」欄位中 輸入新密碼 。 |
| 7 |
按一下遞交。 在您設定使用者密碼後,此參數會在電話組態 XML 檔案(cfg.xml 中顯示以下內容:
如果您在嘗試存取電話網頁時收到 403 錯誤代碼,您必須透過在電話設定檔中進行設定來設定使用者或管理員密碼 (cfg.xml)。 例如,按下列格式輸入字串:
|
802.1X 驗證
Cisco IP 電話支援 802.1X 驗證。
Cisco IP 電話與 Cisco Catalyst 交換器通常使用 Cisco Discovery Protocol (CDP) 來相互識別及確定各項參數,例如 VLAN 分配與線內電源要求。 CDP 不會識別本機連接的工作站。 Cisco IP 電話提供 EAPOL 傳遞機制。 此機制允許工作站連接至 Cisco IP 電話,以便將 EAPOL 訊息傳遞至 LAN 交換器上的 802.1X 驗證器。 傳遞機制確保 IP 電話在存取網路之前,不會作為 LAN 交換器來驗證資料端點。
Cisco IP 電話還提供代理 EAPOL 登出機制。 如本機連接的 PC 與 IP 電話中斷連接,LAN 交換器不會發現實體連結失敗,因為 LAN 交換器與 IP 電話之間仍保持連結。 為避免影響網路完整性,IP 電話代表下游 PC 將 EAPOL 登出訊息傳送至交換器,這會觸發 LAN 交換器清除下游 PC 的驗證項目。
支援 802.1X 驗證需要若干元件︰
-
Cisco IP 電話︰電話發起存取網路的請求。 Cisco IP 電話包含 802.1X 要求。 此要求允許網路管理員控制 IP 電話與 LAN 交換器連接埠的連接。 最新版電話 802.1X 要求使用 EAP-FAST 與 EAP-TLS 選項進行網路驗證。
-
驗證伺服器:必須為驗證伺服器和交換器設定一個可用於驗證電話的共用密碼。
-
交換器:交換器必須支援 802.1X,以便其用作驗證器並在電話與驗證伺服器之間傳遞訊息。 交換完成後,交換器同意或拒絕電話存取網路。
您需執行下列動作來設定 802.1X。
-
設定其他元件,然後在電話上啟用 802.1X 驗證。
-
設定 PC 連接埠:802.1X 標準不考慮 VLAN,因此建議對特定交換器通訊埠只驗證單一裝置。 不過,部份交換器支援多網域驗證。 交換器組態確定是否可將 PC 連線至電話的 PC 通訊埠。
-
已啟用:如果使用支援多網域驗證的交換器,您可以啟用 PC 連接埠並將 PC 連接至該連接埠。 在此情況下,Cisco IP 電話支援 proxy EAPOL 登出,以監控交換器與連接的 PC 之間的驗證交換。
如需關於 Cisco Catalyst 交換器支援 IEEE 802.1X 的詳細資訊,請參閱《Cisco Catalyst 交換器組態指南》,網址︰
http://www.cisco.com/en/US/products/hw/switches/ps708/tsd_products_support_series_home.html
-
已停用:若交換器不在同一連接埠上支援多部 802.1X 相容裝置,則應在啟用 802.1X 驗證時停用 PC 連接埠。 若不停用此連接埠,且隨後嘗試連接 PC 與該連接埠,交換器會拒絕在電話與 PC 上進行網路存取。
-
- 設定語音 VLAN:由於 802.1X 標準不考慮 VLAN,您應根據交換器支援情況來進行此設定。
- 已啟用:如果是使用支援多網域驗證的交換器,您可以繼續使用語音 VLAN。
- 已停用:若交換器不支援多網域驗證,則停用語音 VLAN,並考慮將通訊埠指定到原生 VLAN。
- (僅適用於 Cisco Desk Phone 9800 系列)
Cisco 桌上型電話 9800 系列在 PID 中的前綴與其他 Cisco 電話的前綴不同。 若要讓您的電話透過 802.1X 驗證,請設定 Radius·使用者名稱 參數以包含 Cisco Desk Phone 9800 系列。
例如,電話 9841 的 PID 為 DP-9841;您可以設定 半徑· 使用者名以
DP開頭或包含 DP。您可以在以下兩個部分中進行設定: -
啟用 802.1X 驗證
啟用 802.1X 驗證後,電話將使用 802.1X 驗證來請求網路存取。 停用 802.1X 驗證時,電話將使用 Cisco Discovery Protocol (CDP) 來取得 VLAN 與網路存取權限。 您還可以在電話螢幕功能表上查看交易狀態和更改。
啟用 802.1X 身份驗證後,還可以為初始註冊和證書續訂選擇設備證書 (MIC/SUDI 或自定義)。 通常,MIC 適用於 Cisco 視訊電話 8875,SUDI 適用於 Cisco 桌面電話 9800 系列。 CDC 只能用於 802.1x 中的驗證。
| 1 |
執行下列其中一個動作以啟用 802.1X 驗證:
| ||||||||||||||||||||
| 2 |
在電話網頁上選取用於 802.1X 驗證的憑證 (MIC 或自訂)。
有關如何在電話螢幕上選擇證書類型的資訊,請參閱 將電話連接到 Wi-Fi 網路。
|
為媒體平面安全協商啟用客戶端啟動的模式
為了保護媒體作業階段,您可以將電話配置為啟動與伺服器的媒體平面安全協商。 安全機制遵循 RFC 3329 及其擴展草案媒體安全機制名稱 (參見 https://tools.ietf.org/html/draft-dawes-sipcore-mediasec-parameter-08#ref-2) 中所述的標準。 電話與伺服器之間的協商傳輸可透過 UDP、TCP 及 TLS 使用 SIP 通訊協定。 您可以限制僅在 TLS 信令傳輸協定時應用媒體平面安全協商。
| 1 |
存取電話管理網頁。 | ||||||
| 2 |
選擇。 | ||||||
| 3 |
在「SIP 設定 」區段中,如下表所定義設定「 MediaSec 請求 」及 「僅 MediaSec Over TLS」欄位:
| ||||||
| 4 |
按一下提交所有變更。 |
設定 Wi-Fi 設定檔
您可以從電話網頁或遠端裝置設定檔重新同步來設定 Wi-Fi 設定檔,然後將此設定檔與可用的 Wi-Fi 網路建立關聯。 您可以使用此 Wi-Fi 設定檔連接到 Wi-Fi。 目前只能設定一個 Wi-Fi 設定檔。
此設定檔包含電話使用 Wi-Fi 連接至電話伺服器所需的參數。 創建和使用 Wi-Fi 設定檔時,您或您的使用者無需為單個電話配置無線網路。
Wi-Fi 設定檔可讓您防止或限制使用者在電話上變更 Wi-Fi 組態。
我們建議您使用具有啟用加密協定的安全設定檔,以便在您使用 Wi-Fi 設定檔時保護金鑰和密碼。
當您設定電話在安全性模式下使用 EAP-FAST 驗證方法時,您的使用者需要單獨的憑證才能連接存取點。
| 1 |
存取電話網頁。 |
| 2 |
選擇。 |
| 3 |
在配置檔(n) 部分中Wi-Fi 如下表 Wi-Fi 配置檔的參數中所述設置參數。 Wi-Fi 設定檔組態也可供使用者登入使用。
|
| 4 |
按一下提交所有變更。 |
Wi-Fi 設定檔的參數
下表定義了電話網頁中 「系統 」標籤下 Wi-Fi 設定檔(n) 區段中各參數 的功能與用法。 亦會定義新增至電話設定檔 (cfg.xml) 中以設定參數的字串之語法。
| 參數 | 描述 |
|---|---|
| 網路名稱 | 讓您為將顯示在電話上的 SSID 輸入名稱。 多個配置檔可以具有具有相同網路名稱和不同安全模式的網路名稱。 請執行下列一項操作:
預設值:空 |
| 安全性模式 | 可讓您選取用來為 Wi-Fi 網路的存取維護安全的驗證方法。 根據您所選擇的方法,將會出現一個密碼欄位,以便您可以提供加入此 Wi-Fi 網路所需的憑證。 請執行下列一項操作:
預設值:自動 |
| Wi-Fi 使用者 ID | 可讓您輸入網路設定檔的使用者 ID。 當您將安全性模式設定為「自動」、「EAP-FAST」或「EAP-PEAP」時,此欄位可用。 此為必填欄位,長度上限為 32 個英數字元。 請執行下列一項操作:
預設值:空 |
| Wi-Fi 密碼 | 可讓您為指定的 Wi-Fi 使用者 ID 輸入密碼。 請執行下列一項操作:
預設值:空 |
| 頻帶 | 允許您選擇 WLAN 使用的無線信號頻段。 請執行下列一項操作:
預設值:自動 |
| 憑證選擇 | 允許您為無線網路中的證書初始註冊和證書續訂選擇證書類型。 此程式僅適用於 802.1X 驗證。 請執行下列一項操作:
預設值:原廠安裝 |
