- 首頁
- /
- 文章
此説明文章適用於註冊到 Cisco Unified Communications Manager (Unified CM) 的 Cisco 無線電話 9821。
您可以啟用 Cisco Unified Communications Manager (Unified CM) 以在增強的安全環境中運行。 有了這些增強功能,您的電話網路就會在一組嚴格的安全性與風險管理控制原則之下運作,以保護您和貴方的使用者。
增強型安全性環境包括下列功能︰
-
聯絡人搜尋驗證
-
TCP 作為遠端審核日誌記錄的預設協定
-
改進的憑證原則
-
支援數位簽章的 SHA-2 哈希系列
-
支援高達 4096 位的 RSA 金鑰大小
使用 Cisco Unified CM 14.0 或更高版本,電話支援 SIP OAuth 身份驗證。
OAuth 支援 Cisco Unified CM 版本 14.0 (1) SU1 或更高版本的代理普通檔案傳輸協議 (TFTP)。
有關安全性的其他資訊,請參閱以下指南:
您的電話只能儲存數目有限的身分信任清單 (ITL) 檔案。 電話上的 ITL 檔案大小不能超過 64K,因此要限制 Cisco Unified CM 傳送至電話的檔案數量。
支援的安全性功能
安全性功能可防禦不同威脅,包括對電話身分識別和資料的威脅。 這些功能可在電話與 Cisco Unified Communications Manager 伺服器之間建立和維護經過驗證的通訊串流,並確保電話僅使用數位簽署的檔案。
Cisco Unified Communications Manager 8.5(1) 版和更新版本包括預設的安全性,可在不執行 CTL 用戶端的情況下為 Cisco IP 電話提供下列安全性功能:
-
簽署電話組態檔
-
電話組態檔加密
-
具有 Tomcat 和其他 Web 服務的 HTTPS
安全訊號和媒體功能仍然需要您執行 CTL 用戶端及使用硬體 eToken。
在 Cisco Unified Communications Manager 系統執行安全性,防止電話及 Cisco Unified Communications Manager 伺服器身份被盜、資料篡改,以及通話訊號和媒體串流篡改。
為減少這些威脅,Cisco IP 電話網路在電話與伺服器之間建立並保持安全(加密)通訊,先以數位方式簽署檔案再傳送至電話,以及對 Cisco IP 電話之間的媒體串流與通話訊號進行加密。
在您執行與憑證授權單位代理功能 (Certificate Authority Proxy Function, CAPF) 關聯的所需任務之後,地區重要憑證 (Locally Significant Certificate, LSC) 會安裝在電話上。 您可以使用 Cisco Unified Communications Manager Administration 來設定 LSC,如 Cisco Unified Communications Manager 安全指南 中所述。 或者,您也可以從電話上的「 安全性 」功能表中初始化安裝 LSC。 此功能表也可讓您更新或移除 LSC。
電話使用電話安全性設定檔,此設定檔定義裝置是否安全。 如需將設定檔套用至電話的資訊,請參閱特定 Cisco Unified Communications Manager 版本的說明文件。
若您在 Cisco Unified Communications Manager 管理中進行安全性相關的設定,電話組態檔案將包含敏感資訊。 為了確保組態檔案的私密性,您需設定對其進行加密。 如需詳細資訊,請參閱特定 Cisco Unified Communications Manager 版本的說明文件。
下表概述電話支援的安全性功能。 如需更多資訊,請參閱特定 Cisco Unified Communications Manager 版本的說明文件。
|
功能 |
描述 |
|---|---|
|
映像檔驗證 |
簽署的二進位檔可在影像於電話載入之前防止竄改韌體影像。 篡改映像檔會導致電話無法進行驗證程序並拒絕新映像檔。 |
|
客戶網站憑證安裝 |
每個 Cisco IP 電話需要唯一憑證以進行裝置驗證。 電話包括製造安裝憑證 (MIC),但對於額外安全性,您可以在 Cisco Unified Communications Manager 管理中使用憑證授權單位代理功能 (Certificate Authority Proxy Function, CAPF) 安裝憑證。 或者,您也可以從電話上的「 安全性 」功能表中安裝 Locally Significant Certificate (LSC)。 |
|
裝置驗證 |
當每個實體接受其他實體的憑證時,會在 Cisco Unified Communications Manager 伺服器與電話之間進行。 確定在電話與 Cisco Unified Communications Manager 之間是否應進行安全連線;如有必要,使用 TLS 通訊協定在實體之間建立安全訊號路徑。 Cisco Unified Communications Manager 不會註冊電話,除非可以對其驗證。 |
|
檔案驗證 |
驗證電話下載的數位簽署檔案。 電話驗證簽章,以確保在建立檔案之後不會竄改檔案。 無法驗證的檔案不會寫入電話上的快閃記憶體。 電話會拒絕此類檔案而不進一步處理。 |
|
檔案加密 |
加密可防止機敏資訊在傳送至電話時被洩露。 此外,電話會驗證簽章,以確保在建立檔案之後不會篡改檔案。 無法驗證的檔案不會寫入電話上的快閃記憶體。 電話會拒絕此類檔案而不進一步處理。 |
|
訊號驗證 |
使用 TLS 通訊協定驗證在傳輸期間訊號封包未發生竄改。 |
|
製造安裝憑證 |
每個 Cisco IP 電話包含用於裝置驗證的唯一製造安裝憑證 (MIC)。 MIC 為電話提供永久唯一身分識別證明,且可讓 Cisco Unified Communications Manager 驗證電話。 |
|
媒體加密 |
使用 SRTP 確保受支援裝置之間的媒體串流證明是安全的,且僅預期的裝置接收和讀取資料。 包括為裝置建立媒體主要的密鑰對,將密鑰傳送至裝置,以及密鑰在傳輸中時保護密鑰傳送的安全。 |
|
CAPF(憑證授權單位代理功能) |
執行對於電話來說處理太密集的部分憑證產生程序,及與電話互動以產生金鑰和安裝憑證。 CAPF 可以設定為代表電話從客戶指定的憑證授權單位請求憑證,或可以設定為本地產生憑證。 支援 EC (橢圓曲線) 和 RSA 鍵類型。 若要使用 EC 金鑰,請確保啟用了參數“終結點高級加密演演演算法支援”(來自 ) 。 有關 CAPF 和相關配置的詳細資訊,請參閱以下文檔: |
|
安全設定檔 |
定義電話是否非安全、已驗證、已加密或受保護。 此表中的其他項目說明安全性功能。 |
|
加密的組態檔 |
可讓您確保電話組態檔的私密。 |
|
選擇性停用電話的 Web 伺服器 |
出於安全性考量,您可以禁止存取電話網頁 (此網頁顯示電話的各種作業統計資料) 與自助入口網站。 |
|
電話強化 |
其他安全性選項,您可以從 Cisco Unified Communications Manager 管理進行控制:
|
|
SRST 的安全 SIP 容錯轉移 |
在您配置安全可存活性遠端位址電話技術 (SRST) 的參照組態而在 Cisco Unified Communications Manager 管理中重設相依裝置之後,TFTP 伺服器會將 SRST 憑證新增至電話 cnf.xml 檔案並將檔案傳送至電話。 然後,安全電話使用 TLS 連線與啟用 SRST 的路由器互動。 |
|
訊號加密 |
確定裝置與 Cisco Unified Communications Manager 伺服器之間的所有 SIP 訊號訊息皆經過加密。 |
|
信任清單更新警報 |
在電話上更新信任清單時,Cisco Unified Communications Manager 會收到警報,指示更新成功或失敗。 如需詳細資訊,請參閱下表。 |
|
AES 256 加密 |
連線至 Cisco Unified Communications Manager 10.5(2) 版和更新版本時,電話支援 TLS 和 SIP 的 AES 256 加密支援以進行訊號和媒體加密。 這可讓電話使用 AES-256 型加密初始化和支援 TLS 1.2 連線,AES-256 型加密符合 SHA-2(安全雜湊演算法)標準且與聯邦資訊處理標準 (FIPS) 相容。 加密包括:
如需詳細資訊,請參閱 Cisco Unified Communications Manager 文件。 |
|
橢圓曲線數位簽名演算法 (ECDSA) 憑證 |
作為憑證一般條件 (CC) 的一部分,Cisco Unified Communications Manager 在 11.0 版中新增 ECDSA 憑證。 這會影響執行 CUCM 11.5 版及更新版本的所有語音作業系統 (VOS) 產品。 |
|
包含 Cisco UCM 的多伺服器 (SAN) Tomcat 憑證 | 電話支援 Cisco UCM,並設定了多重伺服器 (SAN) Tomcat 憑證。 正確的 TFTP 伺服器位址可以在電話註冊的電話 ITL 檔中找到。 有關該功能的詳細資訊,請參閱以下內容: |
下表包含信任清單更新警報訊息及含義。 如需詳細資訊,請參閱 Cisco Unified Communications Manager 文件。
| 代碼及訊息 | 描述 |
|---|---|
|
1 - TL_SUCCESS |
接收到新 CTL 及/或 ITL |
|
2 - CTL_INITIAL_SUCCESS |
接收到新 CTL,目前沒有 TL |
|
3 - ITL_INITIAL_SUCCESS |
接收到新 ITL,目前沒有 TL |
|
4 - TL_INITIAL_SUCCESS |
接收到新 CTL 及 ITL,目前沒有 TL |
|
5 - TL_FAILED_OLD_CTL |
更新至新 CTL 失敗,但之前有 TL |
|
6 - TL_FAILED_NO_TL |
更新至新 CTL 失敗,且沒有舊 TL |
|
7 - TL_FAILED |
一般故障 |
|
8 - TL_FAILED_OLD_ITL |
更新至新 ITL 失敗,但之前有 TL |
|
9 - TL_FAILED_OLD_TL |
更新至新 TL 失敗,但之前有 TL |
電話通話安全性
電話執行安全性通話時,您可以透過電話螢幕上的圖示來識別安全通話。 您還可以透過通話開始時是否播放安全音,來確定連線電話是否安全且受到保護。
在安全通話中,所有通話訊號及媒體串聯皆經過加密。 安全通話提供較高級別的安全性,為通話提供完整性與私密性。 進行中的通話經過加密後,您會看到安全圖示
在線上。
-
若通話路由至非 IP 通話線路,例如 PSTN,雖然通話在 IP 網路中經過加密,且具有與之關聯的鎖定圖示,但通話可能不安全。
-
僅對兩部電話之間的連線支援安全通話。 設定安全通話時,部分功能將無法使用,如電話會議及共用線路。
在 Cisco Unified Communications Manager 中,可以為設定為安全 (加密與可信任) 的電話指定受保護狀態。 一旦受到保護,就可以將這些裝置設定為在每次通話開始時播放安全音。
-
受保護的裝置:
若要將安全電話的狀態變更為受保護:
- 在 Cisco Unified Communications Manager Administration 中,選擇“ ”。
- 尋找您要設定的電話。
- 在「電話組態」視窗中,選取 「受保護的裝置 」核取方塊。
- 按一下儲存。
-
播放安全指示音:
若要讓受保護的電話播放安全或不安全的指示音:
- 在 Cisco Unified Communications Manager Administration 中,選擇“ 。
- 選擇伺服器,然後選擇 Cisco CallManager 服務。
- 在 「全叢集參數 (功能 - 安全音) 」區域中,將 「播放提示音以指示安全/不安全通話狀態 」設定設為 True。
- 按一下儲存。
安全的電話會議識別
您可起始安全電話會議,並監控出席者的安全級別。 使用下列程序建立安全電話會議︰
-
使用者自安全電話起始會議。
-
Cisco Unified Communications Manager 將安全會議橋接器指定到通話。
-
新增出席者時,Cisco Unified Communications Manager 將驗證每部電話的安全性模式,並保持會議的安全性級別。
-
電話上將顯示電話會議的安全性級別。 安全會議會顯示安全圖示
.
兩部電話之間支援安全通話。 對於受保護電話,設定安全通話時,部分功能將無法使用,如電話會議、共用線路及 Extension Mobility。
下表提供視乎起始者電話的安全性級別、出席者的安全性級別以及安全會議橋接器的可用性,而變更會議安全性級別的相關資訊。
|
起始者電話安全性級別 |
所用功能 |
出席者的安全性級別 |
動作結果 |
|---|---|---|---|
|
不安全 |
會議 |
安全 |
不安全的會議橋接器 不安全的會議 |
|
安全 |
會議 |
至少一位成員不安全。 |
安全的會議橋接器 不安全的會議 |
|
安全 |
會議 |
安全 |
安全的會議橋接器 安全加密級別會議 |
|
不安全 |
Meet Me |
最低安全性級別為加密。 |
發起方收到重新排序提示音。 |
|
安全 |
Meet Me |
最低安全性級別為不安全。 |
安全的會議橋接器 會議接受所有通話。 |
安全電話通話識別
您的電話與另一端的電話設定進行安全通話後,即建立安全通話。 對方電話可以在同一 Cisco IP 網路,或 IP 網路之外的網路。 只可在兩部電話之間設定安全通話。 在設定安全會議橋接器之後,電話會議應該支援安全通話。
使用下列程序建立安全通話︰
-
使用者從安全電話(安全的安全性模式)發起通話。
-
電話會顯示安全圖示
在電話螢幕上。 此圖示表示電話已設定安全通話,但這並不意味著對方連線電話也安全。 -
若通話連線至另一部安全電話,使用者可聽到安全音,這表示對話雙方均經過加密,是安全的。 若通話接通的對象不是安全電話,使用者不會聽到安全音。
兩部電話之間支援安全通話。 對於受保護電話,設定安全通話時,部分功能將無法使用,如電話會議、共用線路及 Extension Mobility。
僅受保護的電話會播放這些安全或非安全指示音。 未受保護的電話不會播放任何指示音。 若整個通話狀態在通話期間發生變更,指示音會變更,且受保護的電話將播放適當的指示音。
當「播放提示音以指示安全/不安全通話狀態 」選項設定為 True 時:
-
在端到端安全媒體建立並且通話狀態為安全時,電話將會播放安全指示音(三聲有停頓的長嗶聲)。
-
在端到端非安全媒體建立,而通話狀態為不安全時,電話將會播放非安全指示音 (六聲有短暫停頓的短嗶聲)。
如果將「 播放提示音以指示安全/不安全的通話狀態 」選項設定為 「False」,則不會播放聲音。
提供插話加密
建立會議,以及變更會議的安全性指示,或封鎖通話完成時,Cisco Unified Communications Manager 會檢查電話安全性狀態,以保障系統的完整性與安全性。
若用於插話的電話未設定加密功能,使用者將無法插入加密的通話。 在此情況下插話失敗後,起始插話的電話會播放重新排序(快速忙線音)提示音。
若起始的電話設定了加密功能,插話起始者可從加密電話中插入不安全通話。 插話後,Cisco Unified Communications Manager 會將該通電話分類為不安全通話。
若起始者電話設定了加密功能,插話起始者可插入加密通話,電話將顯示該通通話已加密。
無線區域網安全
由於範圍內的所有 WLAN 裝置都可以接收所有其他 WLAN 流量,因此在 WLAN 中安全的語音通訊很重要。 為確保入侵者不會操縱或攔截語音流量,Cisco SAFE 安全性架構支援電話。 有關網路安全性的詳細資訊,請參閱 http://www.cisco.com/en/US/netsol/ns744/networking_solutions_program_home.html。
Cisco 無線 IP 電話解決方案通過使用電話支援的以下身份驗證方法提供無線網路安全性,防止未經授權的登錄和通信受損。
-
開放驗證:任何無線裝置都可以在開放系統中請求驗證。 接收請求的 AP 可以將驗證授予任何請求者或僅授予使用者清單上的請求者。 無線設備和接入點 (AP) 之間的通信可能是非加密的。
-
可擴展身份驗證協定 - 通過安全隧道 (EAP-FAST) 身份驗證的靈活身份驗證:此用戶端 - 伺服器安全體系結構對 AP 和 RADIUS 伺服器之間的傳輸級別安全性 (TLS) 隧道中的 EAP 事務進行加密,例如身份服務引擎 (ISE)。
TLS 通道使用受保護存取認證 (PAC) 在用戶端(電話)與 RADIUS 伺服器之間驗證。 伺服器將授權單位 ID (AID) 傳送至用戶端(電話),進而選取適當的 PAC。 用戶端(電話)將 PAC-Opaque 返回至 RADIUS 伺服器。 伺服器使用主密鑰解密 PAC 。 這兩個端點即包含 PAC 金鑰並建立 TLS 通道。 EAP-FAST 支援自動 PAC 佈建,但您需在 RADIUS 伺服器上啟用它。
在 ISE 中,預設情況下,PAC 將在一周後過期。 如果電話具有過期的 PAC,電話取得新的 PAC 時,向 RADIUS 伺服器驗證需要更長時間。 若要避免 PAC 佈建延遲,請在 ISE 或 RADIUS 伺服器上將 PAC 到期期間設定為 90 天或更長時間。
-
可延伸驗證通訊協定—傳輸層安全性 (EAP-TLS) 的驗證:EAP-TLS 需要用戶端憑證才能進行驗證與網路存取。 對於無線 EAP-TLS,用戶端證書可以是 MIC, LSC, 或使用者安裝證書。
-
受保護的可延伸驗證通訊協定 (PEAP):用戶端 (電話) 與 RADIUS 伺服器之間的 Cisco 專屬密碼型相互驗證架構。 電話可以使用 PEAP 通過無線網路進行身份驗證。 同時支援 PEAP-MSCHAPV2 和 PEAP-GTC 驗證方法。
-
預共用金鑰 (PSK):電話支援 ASCII 和十六進位 (HEX) 格式。 設定 WPA2/SAE 預共用金鑰時,您必須使用這些格式。
ASCII:長度為 8 到 63 個字元 (0-9、小寫 a-z、大寫 A-Z 和特殊字元) 的 ASCII 字元字串。 例如,
GREG123567@9ZX&W。十六進位:長度為 64 個十六進位數字的十六進位字元字串 (0-9、a-f 或 A-F)。
下列驗證方案使用 RADIUS 伺服器管理驗證金鑰:
-
WPA2/WPA3:使用 RADIUS 伺服器資訊產生用於驗證的唯一金鑰。 由於這些金鑰是在集中式 RADIUS 伺服器上生成,因此 WPA2/WPA3 比儲存在 AP 和電話上的 WPA 預共用金鑰提供更高的安全性。
-
快速安全漫遊︰使用 RADIUS 伺服器和無線網域伺服器 (WDS) 資訊來管理和驗證金鑰。 WDS 為啟用了 FT 的用戶端設備創建安全憑據緩存,以實現快速安全的重新身份驗證。
使用 WPA2/WPA3,加密金鑰不會輸入在電話上,但會自動在 AP 與電話之間衍生。 但是,需在每部電話上輸入用於驗證的 EAP 使用者名稱和密碼。
為了幫助保護透過無線連結的語音流量,電話支援基於 AES 的加密以進行 WPA2/WPA3 驗證。 AES 是由 NIST 標準化的對稱分組密碼。 AES 使用固定的 128 位塊大小,並支援 128 位、192 位和 256 位的金鑰大小。 在 Wi-Fi 網络中,AES 由 CCMP 或 GCMP 等密碼套件使用,而身份驗證則由 PSK、SAE 或 802.1X/EAP 單獨提供,具體取決於配置的 WLAN 安全模式。 支援的密碼套件和金鑰大小視電話機型和 WLAN 組態而定。
電話使用 AES 加密時,會在 AP 與電話之間同時對訊號 SIP 封包和語音即時傳輸通訊協定 (RTP) 封包加密。
在無線 LAN 內設定驗證和加密架構。 在網路中和 AP 上設定 VLAN,並指定不同的驗證和加密的組合。 SSID 與 VLAN 和特定驗證及加密架構關聯。 要使無線用戶端設備成功進行身份驗證,您必須在 AP 和電話上使用其身份驗證和加密方案配置相同的 SSID。
部分驗證架構需要特定的加密類型。
使用 WPA2 預先共用金鑰或 SAE 時,必須在電話上靜態設定預先共用金鑰。 這些金鑰需與 AP 上的金鑰相符。
下表中的身份驗證和加密方案顯示了與 AP 組態相對應的 Cisco Wireless Phone 9821 的網路組態選項。
| FSR 類型 | 授權 | 金鑰管理 | 加密 | 受保護的管理框架 (PMF) |
|---|---|---|---|---|
| 802.11r (英尺) | PSK |
WPA-PSK WPA-PSK-SHA256 FT-PSK | AES | 否 |
| 802.11r (英尺) | WPA3 |
汽車工程學會 FT-SAE | AES | 是 |
| 802.11r (英尺) | EAP-TLS |
WPA-EAP FT-EAP | AES | 否 |
| 802.11r (英尺) | EAP-TLS (WPA3) |
WPA-EAP-SHA256 FT-EAP | AES | 是 |
| 802.11r (英尺) | EAP-FAST |
WPA-EAP FT-EAP | AES | 否 |
| 802.11r (英尺) | EAP-FAST (WPA3) |
WPA-EAP-SHA256 FT-EAP | AES | 是 |
| 802.11r (英尺) | EAP-PEAP |
WPA-EAP FT-EAP | AES | 否 |
| 802.11r (英尺) | EAP-PEAP (WPA3) |
WPA-EAP-SHA256 FT-EAP | AES | 是 |
| 非 FT | 套房 -B | WPA-EAP-SUITE-B | GCMP | 是 |
| 非 FT | 套房 -B-192 | WPA-EAP-SUITE-B-192 | GCMP | 是 |
設定 Wi-Fi 個人資料
您可以設定 Wi-Fi 設定檔並將其指定給 Cisco Wireless Phone 9821。此配置檔包含電話建立 Wi-Fi 連接並隨後註冊到 Cisco Unified CM 所需的參數。創建和使用 Wi-Fi 設定檔時,您或您的使用者無需為單個電話配置無線網路。
我們建議您使用具有 TFTP 加密功能的安全設定檔,以便在您使用 Wi-Fi 設定檔時保護金鑰和密碼。
這些電話支援每種安裝方式僅一個伺服器證書(手動,SCEP 或 TFTP)。
在設定 WLAN 設定檔之前,請緊記以下注意事項:
-
使用者名稱與密碼
-
網路使用 EAP-FAST 和 PEAP 進行使用者驗證時,您需在遠端驗證撥號使用者服務與電話上設定使用者名稱與密碼(如有需要)。
- 在無線 LAN 設定檔中輸入的憑證必須與在 RADIUS 伺服器上設定的憑證相同。
-
若您使用網路內的網域,需輸入帶有網域名稱的使用者名稱,格式為︰
domain\username。
-
-
以下動作可能會導致現有的 Wi-Fi 密碼遭到清除︰
- 輸入無效的使用者 ID 或密碼
- 當 EAP 類型設定為 PEAP-MSCHAPV2 或 PEAP-GTC 時,安裝無效或過期的根 CA
- 在將電話切換為新的 EAP 類型之前,停用電話 RADIUS 伺服器上所用的 EAP 類型
- 要更改 EAP 類型,請確保首先在 RADIUS 伺服器上啟用新的 EAP 類型,然後再將電話切換到 EAP 類型。 當所有電話都已變更為新的 EAP 類型之後,您可以視需要來停用之前的 EAP 類型。
| 1 |
在 Cisco Unified Communications Manager 管理中選取。 |
| 2 |
按一下新增。 |
| 3 |
在無線 LAN 設定檔資訊區段中,設定以下參數︰
|
| 4 |
在無線設定區段中,設定以下參數︰
|
| 5 |
在「 驗證設定 」區段中,將「驗證方法 」設定 為下列其中一種驗證方法:EAP-FAST, EAP-TLS, PEAP-MSCHAPv2、PEAP-GTC、PSK 和「無」。 Cisco 無線電話 9821 不支援 WEP。 當您設定此欄位後,可看到您需設定的額外欄位。
Cisco Wireless Phone 9821 不支援“網络存取設定檔” 欄位。 |
| 6 |
按一下儲存。 |
下一步行動
將 WLAN 設定檔綁定到 WLAN 設定檔群組,然後將 WLAN 設定檔群組套用於裝置集區 (系統>裝置集區電話
從電話管理網頁安裝使用者憑證
如果簡單憑證註冊協定 (SCEP) 不可用,您可以手動在電話上安裝使用者憑證。
預先安裝的製造安裝憑證 (MIC) 可以當做 EAP-TLS 的使用者憑證使用。
在使用者憑證安裝之後,您需要將發出使用者憑證的 CA 鏈新增到 RADIUS 伺服器的信任清單。
開始之前
在您可以為電話安裝使用者憑證之前,您需具備以下︰
-
儲存在您的 PC 上的使用者憑證。 此憑證需為 PKCS #12 格式。
-
憑證的擷取密碼。 密碼長度不得超過 32 個字元。
| 1 |
從電話管理網頁中,選取憑證。 |
| 2 |
找出已安裝的使用者欄位,然後按一下安裝。 |
| 3 |
瀏覽至 PC 上的憑證。 |
| 4 |
在擷取密碼欄位中,輸入憑證的擷取密碼。 |
| 5 |
按一下上載。 |
| 6 |
當上載完成後,請重新啟動電話。 |
從電話管理網頁安裝驗證伺服器 CA
如果簡單憑證註冊協定 (SCEP) 無法使用,您可以在電話上手動安裝驗證伺服器 CA。
必須安裝頒發 RADIUS 伺服器憑證的根 CA 憑證。
開始之前
在您可於電話上安裝憑證之前,您需先將驗證伺服器 CA 儲存在您的 PC 上。 此憑證需以 PEM (Base-64) 或 DER 編碼。
| 1 |
從電話管理網頁中,選取憑證。 |
| 2 |
尋找驗證伺服器 CA 欄位,然後按一下安裝。 |
| 3 |
瀏覽至 PC 上的憑證。 |
| 4 |
按一下上載。 |
| 5 |
當上載完成後,請重新啟動電話。 |
自電話管理網頁手動移除安全性憑證
若簡單憑證註冊通訊協定 (SCEP) 無法使用,您可以手動從電話中移除安全憑證。
| 1 |
從電話管理網頁中,選取憑證。 |
| 2 |
在憑證頁面上找出憑證。 |
| 3 |
按一下刪除。 |
| 4 |
刪除程序完成後,請重新啟動電話。 |
設定 SCEP
簡單憑證註冊通訊協定 (SCEP) 是一項用於自動提供和更新憑證的標準。 它可避免將憑證手動安裝在電話上。
啟動 SCEP 產品特定設定參數
您必須在 Cisco Unified Communications Manager (Unified CM) 上設定以下 SCEP 參數。
-
RA IP 位址或主機名稱
-
SCEP 伺服器根 CA 憑證的 SHA-1 或 SHA-256 指紋
Cisco IOS 登錄授權單位 (RA) 會被當做 SCEP 伺服器的代理運作。 電話上的 SCEP 使用者端使用從 Cisco Unified CM 下載的參數。在您設定參數後,電話會將 SCEP getcs 請求傳送 到 RA,並使用定義的指紋驗證根 CA 憑證。
| 1 |
從 Cisco Unified Communications Manager Administration,選擇 ”。 |
| 2 |
尋找電話。 |
| 3 |
捲動至產品專屬組態版面配置區域。 |
| 4 |
選中“ WLAN SCEP 伺服器 ”複選框以啟動 SCEP 參數。 |
| 5 |
選中 WLAN 根 CA 指紋 (SHA256 或 SHA1) 複選框以啟動 SCEP QED 參數。 |
SCEP 伺服器支援
若您使用簡單憑證註冊通訊協定 (SCEP) 伺服器,該伺服器可自動維護貴組織的使用者和伺服器憑證。 在 SCEP 伺服器上設定 SCEP 註冊代理 (RA) 可達成以下目的:
-
當做 PKI 信任點
-
當做 PKI RA
-
使用 RADIUS 伺服器執行裝置驗證
如需詳細資訊,請參閱您的 SCEP 伺服器文件。
設定本地重要憑證 (LSC)
有幾種方法可以安裝 LSC。 此示例任務適用於在 Cisco 無線電話 9821 上使用身份驗證字串方法設置 LSC。
開始之前
請確保適當的 Cisco Unified CM 和 certificate authority proxy function (CAPF) 安全性組態完整。
-
CTL 或 ITL 檔案具有 CAPF 憑證。
-
在 Cisco Unified Communications Operating System 管理中,確認已安裝 CAPF 憑證。
-
CAPF 正在執行中且已設定。
有關這些設置的詳細資訊,請參閱特定 Cisco Unified CM 版本的文件。
| 1 |
取得在設定 CAPF 時設定的 CAPF 身份驗證字串。 |
| 2 |
在電話上,存取“設置” |
| 3 |
選擇 。 |
| 4 |
輸入驗證字串。 |
| 5 |
按 更多 電話開始安裝、更新或移除 LSC,視 CAPF 的設定方式而定。 程序完成後,「已安裝」或「未安裝」會顯示在電話上。 完成 LSC 的安裝、更新或移除程序可能需要較長時間。 電話安裝程序成功完成後, |
有線網路的 802.1X 身份驗證
Cisco 無線電話 9821 支援有線網络的 802.1X 身份驗證。 當電話透過支援的 USB 至乙太網路介面卡連接至桌上型充電器時,通常會在自動設定 期間 使用此方法。
支援有線網路上的 802.1X 身份驗證需要以下幾個元件:
-
Cisco IP 電話︰電話發起存取網路的請求。 Cisco IP 電話包含 802.1X 要求。 此要求允許網路管理員控制 IP 電話與 LAN 交換器連接埠的連接。 最新版電話 802.1X 要求使用 EAP-FAST 與 EAP-TLS 選項進行網路驗證。
-
身份驗證伺服器:身份驗證伺服器和交換機都必須使用 RADIUS 共用密鑰進行配置。
-
交換器:交換器必須支援 802.1X,以便它可以充當驗證器並在電話和驗證伺服器之間中繼 EAP 訊息。 交換完成後,交換器同意或拒絕電話存取網路。
Cisco IP 電話與 Cisco Catalyst 交換器通常使用 Cisco Discovery Protocol (CDP) 來相互識別及確定各項參數,例如 VLAN 分配與線內電源要求。
您需執行下列動作來設定 802.1X。
-
配置 CDP/LLDP 語音 VLAN 旁路。
-
在為電話上的有線網路啟用 802.1X 驗證之前,請先設定驗證伺服器和交換器。
-
設定語音 VLAN:由於 802.1X 標準不考慮 VLAN,您應根據交換器支援情況來進行此設定。
- 已啟用:如果您使用的是支援多域身份驗證的交換機,則可以將其配置為使用語音 VLAN。
- 已停用:若交換器不支援多網域驗證,則停用語音 VLAN,並考慮將通訊埠指定到原生 VLAN。
-
Cisco Wireless Phone 9821 的 PID 前綴與其他 Cisco 電話的前綴不同。 若要讓您的電話透過 802.1X 驗證,請設定 Radius· 使用者名參數以包含您的 Cisco 無線電話 9821。
例如,Cisco Wireless Phone 9821 的 PID 為 WP-9821。 您可以設定 半徑· 在以下兩個部分中,使用者名以
WP開頭或包含 WP: -
為電話上的有線網路啟用 802.1X 身份驗證
請按照以下步驟為電話上的有線網路啟用 802.1X 身份驗證。 請注意,Wi-Fi 的 802.1X 身份驗證預設處於啟用狀態,無需手動配置。
| 1 |
存取設定 |
| 2 |
如有提示,請輸入密碼以存取「 設定 」功能表。 您可以從管理員處取得密碼。 |
| 3 |
選擇 ”。 |
| 4 |
突出顯示設備 身份驗證 ,然後按 開。 |
在 Cisco Unified Communications Manager Administration 中為有線網路啟用 802.1X 身份驗證
請按照以下步驟在 Cisco Unified CM 上為有線網路啟用 802.1X 身份驗證。請注意,Wi-Fi 的 802.1X 身份驗證預設處於啟用狀態,無需手動配置。
您可以在電話螢幕功能表上檢視交易狀態和安全設定。 有關詳細資訊,請參閱 手機上的安全設置功能表。
| 1 |
在 Cisco Unified Communications Manager Administration 中,選擇“ 設備 > 電話”。 |
| 2 |
尋找您要設定的電話。 |
| 3 |
導航到「 產品特定配置佈局」 區域。 |
| 4 |
從 802.1x 身份驗證 下拉功能表中選擇 啟用 。 配置為 “啟用” 或 “禁用”時,Cisco 無線電話 9821 上的“設備身份驗證”選項將變為只讀,從而阻止使用者修改 802.1X 身份驗證設置。 |
| 5 |
選取儲存。 |
| 6 |
選取套用組態。 |
電話上的安全性設定功能表
若要從電話功能表檢視安全性設定的相關資訊,請存取「設定」
應用,然後選擇 。 資訊的可用性取決於組織中的網路設置。
|
參數 |
選項 |
預設值 |
描述 |
|---|---|---|---|
|
裝置驗證 |
開啟 關閉 |
關閉 |
在電話上啟用或停用 802.1X 驗證。 參數設定可以在手機的現成 (OOB) 註冊後保留。 |
|
交易狀態 | 已停用 |
顯示 802.1X 驗證的狀態。 狀態可以是 (但不限於):
| |
|
通訊協定 | None |
顯示用於 802.1X 驗證的 EAP 方法。 協定可以是 EAP-FAST 或 EAP-TLS。 |
設定支援的 TLS 版本
您可以分別為客戶端和伺服器設置 TLS 的最低版本。
默認情況下,伺服器和用戶端的最低 TLS 版本均為 1.2。 此設定對下列功能有影響:
- HTTPS Web 存取連線
- 本地電話的載入
- HTTPS 服務,例如目錄服務
- 資料包傳輸層安全性 (DTLS)
- 連接埠存取實體 (PAE)
- 可延伸驗證通訊協定 - 傳輸層安全性 (EAP-TLS)
有關 Cisco IP Phones 的 TLS 1.3 相容性的詳細資訊,請參閱 Cisco TLS 協作產品的 # 1.3 相容性矩陣。
| 1 |
在 Cisco Unified Communications Manager Administration 中,根據需要執行以下操作之一:
設定遵循階層結構:
|
| 2 |
設定 TLS 用戶端最小版本 欄位: TLS 1.3 選項在 Cisco Unified CM 15SU2 或更高版本上可用。
|
| 3 |
設定 TLS 伺服器最低版本 欄位:
|
| 4 |
按一下儲存。 |
| 5 |
按一下套用組態。 |
| 6 |
重新啟動電話。 |
TURN 關閉免持通話和 Cisco 無線電話 9821 上的耳機
您可以選擇永久 TURN 關閉使用者 Cisco 無線電話 9821 上的免持通話和耳機。 關閉這些音訊輸出可確保附近的其他人不會聽到對話,這在共用或開放式辦公環境中非常重要。
| 1 |
在 Cisco Unified Communications Manager Administration 中,選擇“ ”。 |
| 2 |
尋找您要設定的電話。 |
| 3 |
導航到「 產品特定配置佈局」 區域。 |
| 4 |
選取下列一個或多個方塊以 TURN 關閉電話的功能:
預設不會選取這些方塊。 |
| 5 |
選取儲存。 |
| 6 |
選取套用組態。 |
