- 首頁
- /
- 文章
感謝您的意見回饋。
9800/8875
在此文章中
意見回饋?您可以手動或自動安裝自訂裝置憑證 (CDC)。 對於某些環境,您可以使用 DHCP 選項 43 為證書安裝提供 SCEP 參數。 本説明文章適用於註冊到 Cisco BroadWorks 或 Webex Calling 的 Cisco 桌面電話 9800 系列和 Cisco 視訊電話 8875。
安裝自訂裝置憑證
若要在電話上安裝自訂裝置憑證 (CDC),請根據您的具體使用下列其中一種方法:
電話上最近安裝的憑證生效。
- 手動安裝 - 您可以從電話管理網頁上傳憑證來安裝憑證。 有關詳細資訊,請參閱 通過上傳手動安裝自定義設備證書。
- 自動安裝 - 您可以設定簡單憑證註冊協定 (SCEP) 參數以觸發憑證的自動安裝。 電話將 SCEP 請求傳送到 SCEP 伺服器以安裝憑證。
SCEP 參數可以透過電話管理網頁、電話設定檔 (cfg.XML) 或 Control Hub 進行設定。 有關詳細資訊,請參閱 SCEP 自動安裝自訂裝置憑證和 Control Hub 上電話設定參數。
- DHCP 選項 43—在某些環境中,可以使用 DHCP 選項 43 安裝證書。選項 43 可以為憑證安裝提供 SCEP 參數。 有關詳細資訊,請參閱 通過 DHCP 選項 43 進行 SCEP 參數配置。
-
當您使用 DHCP 選項 43 設定 SCEP 參數時,電話也可以擷取 DHCP 選項 15 所載的網域名稱。電話可以根據檢索到的網域名稱構造 SCEP CSR 通用名稱和 802.1X 使用者 ID。 有關詳細資訊,請參閱 通過 DHCP 選項 15 提供公用名或使用者 ID。
有關如何配置 DHCP 選項的詳細資訊,請參閱 配置 DHCP 選項。
-
上傳手動安裝自訂裝置憑證
您可以從電話管理網頁上傳憑證,在電話上手動安裝自訂裝置憑證 (CDC)。
開始之前
在您可以為電話安裝自訂裝置憑證之前,您需具備以下..
- 儲存在您的 PC 上的憑證檔案 (.p12 或 .pfx)。 該檔包含證書和私鑰。
- 憑證的擷取密碼。 密碼用於解密證書檔。
| 1 |
存取電話管理網頁。 |
| 2 |
選擇 「證書」。。 |
| 3 |
在“ 添加證書 ”部分中,按兩下 “流覽...”。 |
| 4 |
瀏覽至 PC 上的憑證。 |
| 5 |
在擷取密碼欄位中,輸入憑證的擷取密碼。 |
| 6 |
按一下上載。 如果證書檔和密碼正確,您將收到消息「
已添加證書」。 否則,上傳將失敗,並顯示一條錯誤消息,指示無法上傳證書。 |
| 7 |
若要檢查已安裝證書的詳細資訊,請按下 「現有證書」部分中的「 查看 」。 |
| 8 |
若要從電話中移除已安裝的憑證,按一下 「現有憑證」部分中的「 刪除 」。 按兩下該按鈕後,刪除操作將立即開始,無需確認。
如果證書刪除成功,您將收到消息「 |
透過 SCEP 自動安裝自訂裝置憑證
您可以將簡單證書註冊協定 (SCEP) 相關參數配置為與 SCEP 伺服器互動,以自動安裝自訂裝置證書 (CDC)。
配置任何 SCEP 參數後,電話會將 SCEP 註冊請求傳送至伺服器。 電話將使用設定的指紋驗證收到的 CA 憑證。
開始之前
在您可以為電話自動安裝自訂裝置憑證 (CDC) 之前,您需具備以下..
- SCEP 伺服器位址
- SCEP 伺服器根 CA 憑證的 SHA-1 或 SHA-256 指紋
| 1 |
存取電話管理網頁。 |
| 2 |
選擇 「證書」。。 |
| 3 |
在 SCEP 配置 1 部分中,按照 SCEP 配置 的參數中 所述設置參數。 |
| 4 |
按一下提交所有變更。 |
SCEP 組態的參數
下表定義了電話 Web 介面中憑證 Tab 下的 SCEP 組態 1 區段 中 SCEP 組態參數 的功能與用法。 亦定義新增至電話設定檔 (cfg.XML) 中以設定參數的字串之語法。
任何參數變更都將導致電話請求新憑證。
| 參數 | 描述 |
|---|---|
| 伺服器 |
SCEP 伺服器位址。 此參數為必需。 請執行下列一項操作:
有效值:URL 或 IP 位址。 不支援 HTTPS 方案。 預設值:空 |
| 根 CA 指紋 |
根 CA 的 SHA256 或 SHA1 指紋,用於在 SCEP 過程中進行驗證。 此參數為必需。 請執行下列一項操作:
預設值:空 |
| 質詢密碼 |
在透過 SCEP 進行憑證註冊期間,用於對電話進行 Certificate Authority (CA) 授權的質詢密碼。 此參數為可選的。 根據實際的 SCEP 環境,質詢密碼的行為會有所不同。
請執行下列一項操作:
預設值:空 |
| 常用名稱 |
指定用作請求憑證的電話的標識符的通用名稱 (CN)。 CN 用於 SCEP 流程中的憑證簽署請求 (CSR)。 該參數還支援巨集展開變數,詳見 宏擴展變數 。 請執行下列一項操作:
有效值:最多 64 個字元 預設值:空 |
透過 SCEP 更新憑證
設備憑證可以透過 SCEP 進程自動刷新。
- 手機每 4 小時檢查證書是否會在 15 天後過期。 如果是,手機將自動啟動證書更新過程。
- 如果質詢密碼為空,則電話將使用 MIC/SUDI 進行初始註冊和憑證更新。 如果配置了質詢密碼,則它僅用於初始註冊,現有/已安裝的憑證用於憑證續約。
- 手機在檢索到新憑證之前不會刪除舊裝置憑證。
- 如果因裝置憑證或 CA 過期而導致憑證更新失敗,手機將自動觸發初始註冊。 同時,如果質詢密碼認證失敗,手機螢幕上會彈出密碼輸入畫面,提示使用者在手機上輸入質詢密碼。
CDC 通用名稱配置
預設情況下,MIC/SUDI 中的通用名稱用作 CDC 的通用名稱。
您可以在安裝憑證時設定 CDC 的通用名稱。 使用以下方法之一在手機上安裝 CDC:
-
產生包含所需通用名稱的憑證簽署要求 (CSR),然後在電話管理網頁上傳並安裝新憑證。
-
透過電話管理網頁、電話設定檔 (cfg.XML) 或控制中心設定通用名稱。 這將觸發手機自動請求新證書。
有關電話網頁和 Control Hub 上的參數的更多信息,請參閱 透過 SCEP 自動安裝自訂設備證書 和 Control Hub 上的電話設定參數。
- 利用 DHCP 選項 43 和 15 為 CDC 和有線 802.1X 身分提供通用名稱。
有關詳細信息,請參閱 透過 DHCP 選項 15 配置通用名稱或使用者 ID。
透過 DHCP 選項 43 配置 SCEP 參數
在某些環境中,您無法透過上傳或直接設定 SCEP 參數來安裝自訂裝置憑證 (CDC)。 在這種情況下,您可以利用 DHCP 選項 43 從 DHCP 伺服器填入參數。 可以設定 DHCP 選項 43 來向電話提供 SCEP 參數。 一旦手機恢復出廠設置,它就可以從 DHCP 伺服器接收參數,透過 SCEP 協定安裝 CDC。
- 此功能 (透過 DHCP 選項 43 配置 SCEP 參數) 僅適用於恢復原廠設定的手機。
- 不得將電話放置在支援選項 43 和遠端配置 (例如,選項 66,160,159,150 或雲端配置) 的網路中。 否則,手機可能無法獲得選項 43 配置。
若要透過 DHCP 選項 43 提供的 SCEP 參數安裝 CDC 證書,請執行下列操作:
- 準備 SCEP 環境。
有關 SCEP 環境設定的信息,請參閱 SCEP 伺服器文件。
- 設定 DHCP 選項 43 (定義於 8.4 供應商特定訊息,RFC 2132)。
子選項 (10–15) 保留用於此方法:
手機網頁上的參數 子選項 類型 長度 (位元組) 必要 FIPS 模式 10 布林值 1 不* 伺服器 11 字串 208 - 長度 (質詢密碼) 是 根 CA 指紋 12 十六進位 20、32、48 或 64 是 挑戰密碼 13 字串 208 - 長度 (伺服器) 不* 啟用 802.1X 驗證 14 布林值 1 否 證書選擇 15 無符號 8 位元 1 否 *表示此參數依實際情況配置。
使用 DHCP 選項 43 時,請注意該方法的以下特徵:
- 子選項 (10–15) 保留用於自訂裝置憑證 (CDC)。
- DHCP 選項 43 的最大長度為 255 個位元組。
- 伺服器 + 挑戰密碼 的最大長度應小於 208 位元組。
- FIPS 模式 的值應與入職配置一致。 否則,手機啟動後將無法檢索先前安裝的憑證。 具體來說,
- 如果電話將註冊到停用 FIPS 模式的環境,則無需在 DHCP 選項 43 中設定 FIPS 模式 。預設情況下,FIPS 模式是停用的。
- 如果要將手機註冊到啟用了 FIPS 模式的環境,則必須在 DHCP 選項 43 中啟用 FIPS 模式。請參閱 啟用 FIPS 模式 了解詳情。
- 選項 43 中的挑戰密碼是明文形式。
- 如果您希望手機使用 MIC/SUDI 進行初始註冊和憑證更新,請將質詢密碼留空。
- 如果質詢密碼僅用於初始註冊,請設定質詢密碼。 在這種情況下,已安裝的憑證將用於憑證更新。
- 啟用 802.1X 驗證 和 憑證選擇 僅適用於有線網路中的電話。
- DHCP 選項 60 (供應商類別識別碼) 用於識別裝置型號。
DHCP 選項 43 (子選項 10–15) 的範例:
子選項十進制/十六進制 值長度 (位元組) 十進制/十六進制 值 十六進位值 10/0a 1/01 1 (0:停用;1:啟用) 01 11/0b 18/12 http://10.79.57.91 687474703a2f2f31302e37392e35372e3931 12/0c 20/14 12040870625C5B755D73F5925285F8F5FF5D55AF 12040870625C5B755D73F5925285F8F5FF5D55AF 13/0 天 16/10 D233CCF9B9952A15 44323333434346394239393532413135 14/0e 1/01 1 (0:否;1:是) 01 15/0f 1/01 1 (0:製造安裝;1:客製化安裝) 01 參數值總結:
-
FIPS 模式 =
已啟用 -
伺服器 =
http://10.79.57.91 -
根 CA 指紋 =
12040870625C5B755D73F5925285F8F5FF5D55AF -
挑戰密碼 =
D233CCF9B9952A15 -
啟用 802.1X 身份驗證 =
是的 -
證書選擇 =
客製化安裝
最終十六進位值的語法是:
{<子選項><長度><值> }...根據上述參數值,最終的十六進位值如下:
0a01010b12687474703a2f2f31302e37392e35372e39310c1412040870625 C5B755D73F5925285F8F5FF5D55AF0d10443233334343463942393935324131350e01010f0101 - 在 DHCP 伺服器上設定 DHCP 選項 43。
此步驟提供了 Cisco 網路暫存器上的 DHCP 選項 43 配置的範例。
- 新增 DHCP 選項定義集。
這 供應商選項字串 是 IP 手機的型號名稱。 有效值為:DP-9841、DP-9851、DP-9861、DP-9871 或 CP-8875。
- 將 DHCP 選項 43 和子選項新增至 DHCP 選項定義集。
範例:
- 將選項 43 新增至 DHCP 策略並設定以下值:
範例:
(10 1)(11 http://10.79.57.91) (12 12040870625C5B755D73F5925285F8F5FF5D55AF)(13 D233CCF9B9952Apii1032495) - 驗證設定。 您可以使用 Wireshark 擷取手機和服務之間的網路流量追蹤。
- 新增 DHCP 選項定義集。
- 將手機恢復出廠設定。
手機重置後,參數 伺服器, 根 CA 指紋,和 挑戰密碼 將自動填寫。 這些參數位於 SCEP 配置 1 從 在電話管理網頁上。
要檢查已安裝證書的詳細信息,請單擊 看法 在 現有證書 部分。
若要檢查憑證安裝狀態,請選擇 。 下載狀態 1 顯示最新結果。 如果證書註冊期間出現任何問題,下載狀態可以顯示問題原因以便進行故障排除。
如果質詢密碼認證失敗,手機螢幕上會提示使用者輸入密碼。
- (可選) :要從手機中刪除已安裝的證書,請點擊現有證書 部分中的 刪除 。
一旦您單擊該按鈕,刪除操作將立即開始,無需確認。
透過 DHCP 選項 15 提供通用名稱或使用者 ID
在透過 DHCP 選項 43 進行 SCEP 憑證註冊期間,電話還可以取得 DHCP 選項 15 中提供的網域名稱 (如果已設定)。 手機收到網域後,可以用網域建構 Common Name 或 User ID,表示如下:
- 通用名稱 = <MIC/SUDI 中的通用名稱>.<選項 15 中的網域名稱>
通用名稱 將在 SCEP 流程中用於 CSR,之後將成為 CDC 中的通用名稱。
- 使用者 ID = <MIC/SUDI 中的通用名稱>@<選項 15 中的網域名稱>
使用者 ID 將用作有線 802.1X 驗證的身份。
例如手機的 MAC 位址為 00:1A:2B:3C:4D:5E,手機型號為 9871:
| DHCP 選項 15 中的域名 | 常用名稱 | 使用者 ID |
|---|---|---|
| example.nl | CP-9871-SEP001A2B3C4D5E.example.nl | CP-9871-SEP001A2B3C4D5E@example.nl |
| 空 | CP-9871-SEP001A2B3C4D5E |
CP-9871-SEP001A2B3C4D5E |
如果選項 15 中未配置域名,則通用名稱和使用者 ID 將與 MIC/SUDI 中的通用名稱相同。
