التذييل

تكوين الخدمات (باستخدام mTLS لخدمة المصادقة)

تحل الإجراءات التالية محل الإجراءات الواردة في الموضوع تكوين الخدمات على Webex الخاص بك ل Cisco BroadWorks XSPs. أكمل هذه الإجراءات فقط إذا كنت تستخدم mTLS لخدمة المصادقة بدلا من التحقق من صحة CI Token. هذه الإجراءات إلزامية إذا كنت تقوم بتشغيل العديد من مؤسسات Webex من نفس خادم XSP. خلاف ذلك ، فهي اختيارية.


إذا كنت لا تقوم بتشغيل العديد من مؤسسات Webex من نفس خادم XSP، فمن المستحسن التحقق من صحة CI Token (باستخدام طبقة النقل الآمنة) لخدمة المصادقة. راجع تكوين الخدمات على Webex الخاص بك ل Cisco BroadWorks XSPs للحصول على تفاصيل حول كيفية تكوين خدمة المصادقة والخدمات الأخرى.

واجهات Xsi

قم بتثبيت وتكوين تطبيقات Xsi-Actions و Xsi-Events كما هو موضح في دليل تكوين واجهة خدمات Xtended من Cisco BroadWorks Xtended .

تكوين خدمة المصادقة (باستخدام mTLS)

يتم إنشاء الرموز المميزة طويلة العمر من BroadWorks والتحقق من صحتها بواسطة خدمة المصادقة المستضافة على XSPs الخاصة بك.

المتطلبات

  • يجب أن تحتوي خوادم XSP التي تستضيف خدمة المصادقة على واجهة mTLS تم تكوينها.

  • يجب أن تشارك XSPs نفس المفاتيح لتشفير / فك تشفير الرموز المميزة ل BroadWorks طويلة العمر. نسخ هذه المفاتيح إلى كل XSP هو عملية يدوية.

  • يجب مزامنة XSPs مع NTP.

نظرة عامة على التكوين

يتضمن التكوين الأساسي على XSPs ما يلي:

  • نشر خدمة المصادقة.

  • قم بتكوين مدة الرمز المميز إلى 60 يوما على الأقل (اترك المصدر ك BroadWorks).

  • إنشاء مفاتيح RSA ومشاركتها عبر XSPs.

  • قم بتوفير عنوان URL الخاص ب authService إلى حاوية الويب.

نشر خدمة المصادقة على XSP

على كل XSP المستخدمة مع Webex:

  1. تفعيل تطبيق خدمة المصادقة على المسار /authService(يجب عليك استخدام هذا المسار):

    XSP_CLI/Maintenance/ManagedObjects> activate application authenticationService <version> /authService

    (حيث <version> هو إصدار BroadWorks الخاص بك).

  2. نشر التطبيق:

    XSP_CLI/Maintenance/ManagedObjects> deploy application /authService

تكوين مدة الرمز المميز

  1. تحقق من تكوين الرمز المميز الحالي (ساعات):

    XSP_CLI/Applications/authenticationService/TokenManagement> get

  2. اضبط المدة على 60 يوما (الحد الأقصى هو 180 يوما):

    XSP_CLI/Applications/authenticationService/TokenManagement> set tokenDurationInHours 1440

إنشاء مفاتيح RSA ومشاركتها

  • يجب عليك استخدام نفس أزواج المفاتيح العامة / الخاصة لتشفير / فك تشفير الرمز المميز عبر جميع مثيلات خدمة المصادقة.

  • يتم إنشاء زوج المفاتيح بواسطة خدمة المصادقة عندما يكون مطلوبا لأول مرة لإصدار رمز مميز.

بسبب هذين العاملين ، تحتاج إلى إنشاء مفاتيح على XSP واحد ثم نسخها إلى جميع XSPs الأخرى.


إذا قمت بتدوير المفاتيح أو تغيير طول المفتاح ، فأنت بحاجة إلى تكرار التكوين التالي وإعادة تشغيل جميع XSPs.

  1. حدد XSP واحدا لاستخدامه لإنشاء زوج مفاتيح.

  2. استخدم عميلا لطلب رمز مميز مشفر من XSP هذا، عن طريق طلب عنوان URL التالي من مستعرض العميل:

    https://<XSP-IPAddress>/authService/token?key=BASE64URL(clientPublicKey)

    (يؤدي هذا إلى إنشاء زوج مفاتيح خاص / عام على XSP ، إذا لم يكن هناك زوج بالفعل)

  3. موقع المتجر الرئيسي غير قابل للتكوين. تصدير المفاتيح:

    XSP_CLI/Applications/authenticationService/KeyManagement> exportKeys

  4. نسخ الملف المصدر /var/broadworks/tmp/authService.keys إلى نفس الموقع على XSPs الأخرى ، الكتابة فوق أقدم .keys ملف إذا لزم الأمر.

  5. استيراد المفاتيح على كل من XSPs الأخرى:

    XSP_CLI/Applications/authenticationService/KeyManagement> importKeys /var/broadworks/tmp/authService.keys

توفير عنوان URL الخاص ب authService إلى حاوية الويب

تحتاج حاوية الويب الخاصة ب XSP إلى عنوان URL الخاص ب authService حتى تتمكن من التحقق من صحة الرموز المميزة.

على كل من XSPs:

  1. إضافة عنوان URL لخدمة المصادقة كخدمة مصادقة خارجية للأداة المساعدة للاتصالات BroadWorks:

    XSP_CLI/System/CommunicationUtility/DefaultSettings/ExternalAuthentication/AuthService> set url http://127.0.0.1/authService

  2. أضف عنوان URL لخدمة المصادقة إلى الحاوية:

    XSP_CLI/Maintenance/ContainerOptions> add tomcat bw.authservice.authServiceUrl http://127.0.0.1/authService

    وهذا يمكن Webex من استخدام خدمة المصادقة للتحقق من صحة الرموز المميزة المقدمة كبيانات اعتماد.

  3. تحقق من المعلمة باستخدام get.

  4. أعد تشغيل XSP.

تكوين طبقة النقل الآمنة (TLS) والأصفار على واجهات HTTP (لخدمة XSI والمصادقة)

تستخدم تطبيقات "خدمة المصادقة" و"إجراءات Xsi" و"Xsi-Events" واجهات خادم HTTP. مستويات تكوين طبقة النقل الآمنة لهذه التطبيقات هي كما يلي:

الأكثر عمومية = > نقل النظام > HTTP > واجهة خادم HTTP = الأكثر تحديدا

سياقات CLI التي تستخدمها لعرض إعدادات SSL المختلفة أو تعديلها هي:

خصوصيه سياق CLI
النظام (عالمي)

XSP_CLI/System/SSLCommonSettings/JSSE/Ciphers>

XSP_CLI/System/SSLCommonSettings/JSSE/Protocols>

بروتوكولات النقل لهذا النظام

XSP_CLI/System/SSLCommonSettings/OpenSSL/Ciphers>

XSP_CLI/System/SSLCommonSettings/OpenSSL/Protocols>

HTTP على هذا النظام

XSP_CLI/Interface/Http/SSLCommonSettings/Ciphers>

XSP_CLI/Interface/Http/SSLCommonSettings/Protocols>

واجهات خادم HTTP محددة على هذا النظام

XSP_CLI/Interface/Http/HttpServer/SSLSettings/Ciphers>

XSP_CLI/Interface/Http/HttpServer/SSLSettings/Protocols>

قراءة تكوين واجهة TLS لخادم HTTP على XSP

  1. تسجيل الدخول إلى XSP والانتقال إلى XSP_CLI/Interface/Http/HttpServer>

  2. أدخل get الأمر وقراءة النتائج. يجب أن ترى الواجهات (عناوين IP) ، وبالنسبة لكل منها ، ما إذا كانت آمنة وما إذا كانت تتطلب مصادقة العميل.

يفرض Apache tomcat شهادة لكل واجهة آمنة. يقوم النظام بإنشاء شهادة موقعة ذاتيا إذا كان بحاجة إلى واحدة.

XSP_CLI/Interface/Http/HttpServer> get

إضافة بروتوكول TLS 1.2 إلى واجهة خادم HTTP

يجب تكوين واجهة HTTP التي تتفاعل مع Webex Cloud ل TLSv1.2. لا تتفاوض السحابة على الإصدارات السابقة من بروتوكول TLS.

لتكوين بروتوكول TLSv1.2 على واجهة خادم HTTP:

  1. تسجيل الدخول إلى XSP والانتقال إلى XSP_CLI/Interface/Http/HttpServer/SSLSettings/Protocols>

  2. أدخل الأمر get <interfaceIp> 443 لمعرفة البروتوكولات المستخدمة بالفعل على هذه الواجهة.

  3. أدخل الأمر add <interfaceIp> 443 TLSv1.2 للتأكد من أن الواجهة يمكنها استخدام TLS 1.2 عند التواصل مع السحابة.

تحرير تكوين رموز TLS على واجهة خادم HTTP

لتكوين الأصفار المطلوبة:

  1. تسجيل الدخول إلى XSP والانتقال إلى XSP_CLI/Interface/Http/HttpServer/SSLSettings/Ciphers>

  2. أدخل الأمر get <interfaceIp> 443 لمعرفة الأصفار المستخدمة بالفعل على هذه الواجهة. يجب أن يكون هناك واحد على الأقل من المجموعات الموصى بها من Cisco (راجع متطلبات XSP للهوية والأمان في قسم نظرة عامة).

  3. أدخل الأمر add <interfaceIp> 443 <cipherName> لإضافة تشفير إلى واجهة خادم HTTP.


    يتطلب XSP CLI اسم مجموعة تشفير IANA القياسية، وليس اسم مجموعة تشفير openSSL. على سبيل المثال، لإضافة تشفير openSSL ECDHE-ECDSA-CHACHA20-POLY1305 إلى واجهة خادم HTTP ، يمكنك استخدام: XSP_CLI/Interface/Http/HttpServer/SSLSettings/Ciphers>add 192.0.2.7 443 TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305

    انظر https://ciphersuite.info/ للعثور على الجناح بأي من الاسمين.

تكوين الثقة لخدمة المصادقة (باستخدام mTLS)

  1. سجل الدخول إلى مركز التحكم باستخدام حساب مشرف الشركاء.

  2. انتقل إلى الإعدادات > اتصال BroadWorks وانقر فوق تنزيل شهادة Webex CA للحصول على CombinedCertChain.txt على الكمبيوتر المحلي.


    يحتوي هذا الملف على شهادتين. تحتاج إلى تقسيم الملف قبل تحميله إلى XSPs.
  3. تقسيم سلسلة الشهادات إلى شهادتين:

    1. فتح combinedcertchain.txt في محرر نصوص.

    2. تحديد الكتلة الأولى من النص وقصها، بما في ذلك الأسطر -----BEGIN CERTIFICATE----- و -----END CERTIFICATE----- ، ثم الصق كتلة النص في ملف جديد.

    3. حفظ الملف الجديد باسم broadcloudroot.txt.

    4. احفظ الملف الأصلي باسم broadcloudissuing.txt.

      يجب أن يحتوي الملف الأصلي الآن على كتلة واحدة فقط من النص ، محاطة بالأسطر -----BEGIN CERTIFICATE----- و -----END CERTIFICATE-----.

  4. انسخ كلا الملفين النصيين إلى موقع مؤقت على XSP الذي تقوم بتأمينه، على سبيل المثال: /tmp/broadcloudroot.txt و /tmp/broadcloudissuing.txt.

  5. (اختياري) ركض help UpdateTrust للاطلاع على المعلمات وتنسيق الأوامر.

  6. قم بتحميل ملفات الشهادات إلى مراسي الثقة الجديدة:

    XSP_CLI/Interface/Http/SSLCommonSettings/ClientAuthentication/Trusts> updateTrust webexclientroot /tmp/broadcloudroot.txt

    XSP_CLI/Interface/Http/SSLCommonSettings/ClientAuthentication/Trusts> updateTrust webexclientissuing /tmp/broadcloudissuing.txt


    webexclientroot و webexclientissuing هي أمثلة مستعارة لمراسي الثقة ؛ يمكنك استخدام الخاصة بك.
  7. تأكد من تحديث المراسي:

    XSP_CLI/Interface/Http/SSLCommonSettings/ClientAuthentication/Trusts> get

      Alias   Owner                                   Issuer
    =============================================================================
    webexclientissuing    BroadCloud Commercial Issuing CA – DA3     BroadCloud Commercial Trusted Root CA
    webexclientroot       BroadCloud Commercial Trusted Root CA      BroadCloud Commercial Trusted Root CA[self-signed]

(اختياري) تكوين mTLS على مستوى واجهة/منفذ HTTP

من الممكن تكوين mTLS على مستوى واجهة / منفذ HTTP أو على أساس تطبيق كل ويب.

تعتمد طريقة تمكين mTLS للتطبيق الخاص بك على التطبيقات التي تستضيفها على XSP. إذا كنت تستضيف تطبيقات متعددة تتطلب mTLS ، فيجب عليك تمكين mTLS على الواجهة. إذا كنت بحاجة فقط إلى تأمين واحد من عدة تطبيقات تستخدم نفس واجهة HTTP ، فيمكنك تكوين mTLS على مستوى التطبيق.

عند تكوين mTLS على مستوى واجهة / منفذ HTTP ، يلزم وجود mTLS لجميع تطبيقات الويب المستضافة التي يتم الوصول إليها عبر هذه الواجهة / المنفذ.

  1. سجل الدخول إلى XSP الذي تقوم بتكوين واجهته.

  2. انتقل إلى XSP_CLI/Interface/Http/HttpServer> وتشغيل get الأمر لرؤية الواجهات.

  3. لإضافة واجهة وطلب مصادقة العميل هناك (وهو ما يعني نفس mTLS):

    XSP_CLI/Interface/Http/HttpServer> add IPAddress Port Name true true

    راجع وثائق XSP CLI للحصول على التفاصيل. في الأساس ، الأول true يؤمن الواجهة باستخدام TLS (يتم إنشاء شهادة الخادم إذا لزم الأمر) والثانية true يجبر الواجهة على طلب مصادقة شهادة العميل (معا هي mTLS).

على سبيل المثال:

XSP_CLI/Interface/Http/HttpServer> get

Interface Port Name Secure Client Auth Req Cluster Fqdn
         =======================================================
         192.0.2.7 443 xsp01.collab.example.net true false 
         192.0.2.7 444 xsp01.collab.example.net true true

في هذا المثال، يتم تمكين mTLS (مصادقة العميل Req = true) على 192.0.2.7 المنفذ 444. يتم تمكين TLS على 192.0.2.7 المنفذ 443.

(اختياري) تكوين mTLS لتطبيقات ويب محددة

من الممكن تكوين mTLS على مستوى واجهة / منفذ HTTP أو على أساس تطبيق كل ويب.

تعتمد طريقة تمكين mTLS للتطبيق الخاص بك على التطبيقات التي تستضيفها على XSP. إذا كنت تستضيف تطبيقات متعددة تتطلب mTLS ، فيجب عليك تمكين mTLS على الواجهة. إذا كنت بحاجة فقط إلى تأمين واحد من عدة تطبيقات تستخدم نفس واجهة HTTP ، فيمكنك تكوين mTLS على مستوى التطبيق.

عند تكوين mTLS على مستوى التطبيق، تكون mTLS مطلوبة لهذا التطبيق بغض النظر عن تكوين واجهة خادم HTTP.

  1. سجل الدخول إلى XSP الذي تقوم بتكوين واجهته.

  2. انتقل إلى XSP_CLI/Interface/Http/SSLCommonSettings/ClientAuthentication/WebApps> وتشغيل get الأمر لمعرفة التطبيقات قيد التشغيل.

  3. لإضافة تطبيق وطلب مصادقة العميل له (وهو ما يعني نفس mTLS):

    XSP_CLI/Interface/Http/SSLCommonSettings/ClientAuthentication/WebApps> add IPAddress Port ApplicationName true

    راجع وثائق XSP CLI للحصول على التفاصيل. يتم تعداد أسماء التطبيقات هناك. يفتح اجتماع true في هذا الأمر تمكين mTLS.

على سبيل المثال:

XSP_CLI/Interface/Http/SSLCommonSettings/ClientAuthentication/WebApps> add 192.0.2.7 443 AuthenticationService true

يضيف الأمر المثال تطبيق AuthenticationService إلى 192.0.2.7:443 ويتطلب منه طلب الشهادات والمصادقة عليها من العميل.

تحقق من get:

XSP_CLI/Interface/Http/SSLCommonSettings/ClientAuthentication/WebApps> get

Interface Ip Port Application Name Client Auth Req
         ===================================================
         192.0.2.7 443 AuthenticationService      true          

تكوين إدارة الأجهزة على XSP وخادم التطبيقات وخادم ملف التعريف

خادم ملف التعريف وXSP إلزاميان لإدارة الأجهزة. يجب تكوينها وفقا للإرشادات الواردة في دليل تكوين إدارة أجهزة BroadWorks.

إلى أين أذهب بعد ذلك

للتكوين، يمكنك إعادة الانضمام إلى تدفق المستندات الرئيسي في واجهة CTI والتكوينذي الصلة.

متطلبات شهادة إضافية لمصادقة TLS المتبادلة مقابل AuthService

يتفاعل Webex مع خدمة المصادقة عبر اتصال TLS مصادق عليه متبادل. هذا يعني أن Webex يقدم شهادة عميل ويجب على XSP التحقق من صحتها. للوثوق بهذه الشهادة، استخدم سلسلة شهادات Webex CA لإنشاء مرساة ثقة على XSP (أو الوكيل). تتوفر سلسلة الشهادات للتنزيل عبر مركز الشركاء:

  1. انتقل إلى الإعدادات > مكالمات BroadWorks.

  2. انقر على رابط تنزيل الشهادة.


يمكنك أيضا الحصول على سلسلة الشهادات من https://bwks-uap.webex.com/assets/public/CombinedCertChain.txt.

تعتمد المتطلبات الدقيقة لنشر سلسلة شهادات Webex CA هذه على كيفية نشر XSPs التي تواجه الجمهور:

  • عبر وكيل جسر TLS

  • عبر وكيل تمرير TLS

  • مباشرة إلى XSP

يلخص الرسم التخطيطي التالي المكان الذي يجب فيه نشر سلسلة شهادات Webex CA في هذه الحالات الثلاث.

متطلبات شهادة TLS المتبادلة لوكيل جسر TLS

  • يقدم Webex شهادة عميل موقعة من Webex CA إلى الوكيل.

  • يتم نشر سلسلة شهادات Webex CA على مخزن الثقة الوكيل، وبالتالي يثق الوكيل في شهادة العميل.

  • يتم أيضا تحميل شهادة خادم XSP الموقعة بشكل عام في الوكيل.

  • يقدم الوكيل شهادة خادم موقعة بشكل عام إلى Webex.

  • يثق Webex في المرجع المصدق العام الذي وقع شهادة خادم الوكيل.

  • يقدم الوكيل شهادة عميل موقعة داخليا إلى XSPs.

    يجب أن تحتوي هذه الشهادة على حقل ملحق x509.v3 استخدام المفتاح الموسع المملوء بالغرض من BroadWorks OID 1.3.6.1.4.1.6431.1.1.8.2.1.3 والغرض من TLS clientAuth . على سبيل المثال:

    X509v3 extensions:

    X509v3 Extended Key Usage:

    1.3.6.1.4.1.6431.1.1.8.2.1.3, TLS Web Client
                  Authentication 

    عند إنشاء شهادات عميل داخلية للوكيل، لاحظ أن شهادات شبكة التخزين (SAN) غير معتمدة. يمكن أن تكون شهادات الخادم الداخلية ل XSP هي SAN.

  • تثق XSPs في المرجع المصدق الداخلي.

  • تقدم XSPs شهادة خادم موقعة داخليا.

  • يثق الوكيل في المرجع المصدق الداخلي.

متطلبات شهادة TLS المتبادلة لوكيل مرور TLS أو XSP في المنطقة المجردة من السلاح

  • يقدم Webex شهادة عميل موقعة من Webex CA إلى XSPs.

  • يتم نشر سلسلة شهادات Webex CA على مخزن الثقة الخاص ب XSPs، وبالتالي فإن XSPs تثق في شهادة العميل.

  • يتم أيضا تحميل شهادة خادم XSP الموقعة بشكل عام في XSPs.

  • تقدم XSPs شهادات خادم موقعة بشكل عام إلى Webex.

  • يثق Webex في المرجع المصدق العام الذي وقع شهادات خادم XSPs.