تجربة المستخدم

يختار المستخدمون نوع الاجتماع عند جدولة اجتماع. عند قبول المشاركين من الردهة ، وكذلك أثناء الاجتماع ، يمكن للمضيف رؤية حالة التحقق من الهوية لكل مشارك. يوجد أيضًا رمز اجتماع مشترك بين جميع المشاركين الحاليين في الاجتماع ، والذي يمكنهم استخدامه للتحقق من بعضهم البعض.

شارك المعلومات التالية مع مضيفي الاجتماع:

التحقق من الهوية باستخدام مرجع مصدق داخلي أو خارجي

تحقق من الهوية

يوفر التشفير الكامل مع التحقق من الهوية أمانًا إضافيًا لاجتماع مشفر من طرف إلى طرف.

عندما ينضم المشاركون أو الأجهزة إلى مجموعة MLS (أمان طبقة المراسلة ) المشتركة ، فإنهم يقدمون شهاداتهم إلى أعضاء المجموعة الآخرين ، الذين يقومون بعد ذلك بالتحقق من صحة الشهادات مقابل المراجع المصدقة (CA) المصدرة. من خلال التأكيد على أن الشهادات صالحة ، يتحقق المرجع المصدق من هوية المشاركين ، ويعرض الاجتماع المشاركين / الأجهزة كما تم التحقق منها.

يقوم مستخدمو تطبيق Webex بمصادقة أنفسهم مقابل متجر هوية Webex ، الذي يصدر لهم رمز وصول عند نجاح المصادقة. إذا كانوا بحاجة إلى شهادة للتحقق من هويتهم في اجتماع مشفر من طرف إلى طرف ، فإن Webex CA تصدر لهم شهادة بناءً على رمز الوصول الخاص بهم. في الوقت الحالي ، لا نوفر طريقة لمستخدمي Webex Meetings للحصول على شهادة صادرة عن جهة خارجية / مرجع مصدق خارجي.

يمكن للأجهزة المصادقة على نفسها باستخدام شهادة صادرة عن المرجع المصدق الداخلي (Webex) ، أو شهادة صادرة عن مرجع مصدق خارجي:

  • مرجع مصدق داخلي - يصدر Webex شهادة داخلية بناءً على رمز الوصول لحساب جهاز الجهاز. تم توقيع الشهادة بواسطة Webex CA. لا تحتوي الأجهزة على معرّفات مستخدمين بنفس الطريقة التي يستخدمها المستخدمون ، لذلك يستخدم Webex (أحد) نطاقات مؤسستك عند كتابة هوية شهادة الجهاز (الاسم الشائع (CN)).

  • مرجع مصدق خارجي — طلب شهادات الجهاز وشرائها مباشرةً من جهة الإصدار التي اخترتها. يجب عليك تشفير الشهادات وتحميلها مباشرة وترخيصها باستخدام سر تعرفه أنت فقط.

    لا تشارك Cisco ، مما يجعل هذه الطريقة لضمان التشفير الحقيقي من طرف إلى طرف والهوية التي تم التحقق منها ، ومنع الاحتمال النظري بأن Cisco قد تتنصت على اجتماعك / تفك تشفير الوسائط الخاصة بك.

شهادة الجهاز الصادرة داخليًا

يُصدر Webex شهادة للجهاز عند التسجيل بعد بدء التشغيل ، ويجددها عند الضرورة. بالنسبة للأجهزة ، تتضمن الشهادة معرّف الحساب والمجال.

إذا لم يكن لدى مؤسستك مجال ، فإن Webex CA يصدر الشهادة بدون مجال.

إذا كان لدى مؤسستك مجالات متعددة ، فيمكنك استخدام Control Hub لإخبار Webex بالمجال الذي سيستخدمه الجهاز لهويته. يمكنك أيضًا استخدام API xConfiguration Conference EndToEndEncryption Identity PreferredDomain: "example.com".

إذا كان لديك عدة مجالات ولم تقم بتعيين المجال المفضل للجهاز ، Webex واحدًا لك.

شهادة الجهاز الصادرة خارجيًا

يمكن للمسؤول تزويد الجهاز بشهادته الخاصة التي تم توقيعها باستخدام أحد المراجع المصدقة (CA) العامة.

يجب أن تستند الشهادة إلى زوج مفاتيح ECDSA P-256 ، على الرغم من أنه يمكن توقيعها بواسطة مفتاح RSA .

تخضع القيم الموجودة في الشهادة لتقدير المؤسسة. سيتم عرض الاسم الشائع (CN) والاسم البديل للموضوع (SAN) في واجهة مستخدم اجتماع Webex ، كما هو موضح في تشفير شامل مع التحقق من الهوية لـ Webex Meetings .

نوصي باستخدام شهادة منفصلة لكل جهاز والحصول على CN فريد لكل جهاز. على سبيل المثال ، "meeting-room-1.example.com" للمؤسسة التي تمتلك النطاق "example.com".

من أجل الحماية الكاملة للشهادة الخارجية من العبث ، يتم استخدام ميزة سر العميل لتشفير أوامر x المختلفة وتوقيعها.

عند استخدام سر العميل ، من الممكن إدارة شهادة هوية Webex الخارجية بشكل آمن عبر xAPI. يقتصر هذا حاليًا على الأجهزة المتصلة بالإنترنت.

يوفر Webex حاليًا أوامر API لإدارة ذلك.

الميزات والقيود

الأجهزة

يمكن لسلسلة Webex Room التالية المسجلة في السحابة الإلكترونية وأجهزة سلسلة Webex Desk الانضمام إلى الاجتماعات المشفرة من طرف إلى طرف:

  • Webex Board

  • Webex Desk Pro

  • Webex Desk

  • Webex Room Kit

  • Webex Room Kit Mini

لا يمكن للأجهزة التالية الانضمام إلى الاجتماعات المشفرة من طرف إلى طرف:

  • سلسلة Webex C

  • Webex DX Series

  • سلسلة Webex EX

  • سلسلة Webex MX

  • أجهزة SIP التابعة لجهات خارجية

عملاء البرمجيات

  • بدءًا من الإصدار 41.6 ، يمكن لعميل Webex Meetings لسطح المكتب الانضمام إلى الاجتماعات المشفرة من طرف إلى طرف.

  • إذا قامت مؤسستك بتمكين تطبيق Webex من الانضمام إلى الاجتماعات عن طريق تشغيل تطبيق Meetings لسطح المكتب ، فيمكنك استخدام هذا الخيار للانضمام إلى الاجتماعات المشفرة من طرف إلى طرف.

  • لا يمكن لعميل الويب Webex الانضمام إلى الاجتماعات المشفرة من طرف إلى طرف.

  • لا يمكن لعملاء SIP من الجهات الخارجية الانضمام إلى اجتماعات مشفرة من طرف إلى طرف.

التعريف

  • حسب التصميم ، لا نوفر لك خيارات Control Hub لإدارة هوية الجهاز التي تم التحقق منها خارجيًا. للحصول على تشفير حقيقي من طرف إلى طرف ، يجب أن تعرف / تصل إلى الأسرار والمفاتيح. إذا قدمنا خدمة سحابية لإدارة هذه المفاتيح ، فهناك فرصة لاعتراضها.

  • نقدم لك حاليًا "وصفة" لتصميم أدواتك الخاصة ، بناءً على تقنيات التشفير المتوافقة مع معايير الصناعة ، للمساعدة في طلب أو تشفير شهادات هوية جهازك ومفاتيحها الخاصة. لا نريد أن يكون لدينا أي وصول حقيقي أو متصور إلى أسرارك أو مفاتيحك.

الاجتماعات

  • تدعم الاجتماعات المشفرة من طرف إلى طرف حاليًا 200 مشارك كحد أقصى.

  • من بين هؤلاء المشاركين البالغ عددهم 200 مشارك ، يمكن أن ينضم بحد أقصى 25 جهازًا تم التحقق منه خارجيًا ، وهم يجب أن يكونوا أول مشاركين ينضمون إلى الاجتماع .

    عندما ينضم عدد أكبر من الأجهزة إلى اجتماع ، تحاول خدمات الوسائط الخلفية لدينا تحويل ترميز تدفقات الوسائط. إذا لم نتمكن من فك تشفير الوسائط وتحويلها وإعادة تشفيرها (لأننا لا نمتلك مفاتيح تشفير الأجهزة ولا ينبغي لنا أن نحصل عليها) ، فسيخفق تحويل الترميز.

    لتخفيف هذا القيد ، نوصي بعقد اجتماعات أصغر للأجهزة ، أو تنظيم الدعوات بين الأجهزة وعملاء الاجتماعات.

واجهة الإدارة

نوصي بشدة باستخدام Control Hub لإدارة موقع الاجتماع الخاص بك ، حيث أن مؤسسات Control Hub لها هوية مركزية للمؤسسة بأكملها ، بينما في إدارة الموقع، يتم التحكم في الهوية على أساس كل موقع على حدة.

لا يمكن للمستخدمين المُدارين من إدارة الموقع الحصول على خيار هوية تم التحقق منها من قِبل Cisco. يتم إصدار شهادة مجهولة لهؤلاء المستخدمين للانضمام إلى اجتماع مشفر من طرف إلى طرف ، وقد يتم استبعادهم من الاجتماعات التي يريد المضيف ضمان التحقق من الهوية فيها.

موارد إضافية

المعلومات ذات الصلة

المتطلبات الأساسية

  • Webex Meetings

  • أجهزة سلسلة Webex Room و Webex Desk المسجلة في السحابة قيد التشغيل 10.6.1-RoomOS_August_2021.

  • وصول إداري إلى موقع اجتماع في Control Hub ، لتمكين نوع الجلسة الجديد للمستخدمين.

  • واحد أو أكثر من المجالات التي تم التحقق منها في مؤسسة Control Hub (إذا كنت تستخدم Webex CA لإصدار شهادات الجهاز للهوية التي تم التحقق منها).

  • يجب تشغيل غرف اجتماعات التعاون حتى يتمكن الأشخاص من الانضمام من نظام الفيديو الخاص بهم. لمزيد من المعلومات ، راجع اسمح لأنظمة الفيديو بالانضمام إلى الاجتماعات والأحداث على موقع Webex الخاص بك .

احصل على شهادات الجهاز

يمكنك تخطي هذه الخطوة إذا لم تكن بحاجة إلى هويات تم التحقق منها خارجيًا.

للحصول على أعلى مستوى من الأمان وللتحقق من الهوية ، يجب أن يكون لكل جهاز شهادة فريدة صادرة عن مرجع Certificate Authority عام (CA) موثوق به.

تحتاج إلى التفاعل مع المرجع المصدق لطلب الشهادات الرقمية وشرائها واستلامها وإنشاء المفاتيح الخاصة المرتبطة. عند طلب الشهادة ، استخدم هذه المعلمات:

  • يجب إصدار الشهادة وتوقيعها من قبل مرجع مصدق عام معروف.

  • فريد: نوصي بشدة باستخدام شهادة فريدة لكل جهاز. إذا كنت تستخدم شهادة واحدة لجميع الأجهزة ، فأنت بذلك تعرض أمنك للخطر.

  • الاسم الشائع (CN) والاسم / الأسماء البديلة للموضوع (SAN / s): هذه ليست مهمة لـ Webex، ولكن يجب أن تكون قيمًا يمكن للبشر قراءتها وربطها بالجهاز. سيظهر CN للمشاركين الآخرين في الاجتماع على أنه الهوية الأساسية التي تم التحقق منها للجهاز ، وإذا قام المستخدمون بفحص الشهادة من خلال واجهة مستخدم الاجتماع ، فسوف يرون SAN / s. قد ترغب في استخدام أسماء مثل name.model@example.com.

  • تنسيق الملف: يجب أن تكون الشهادات والمفاتيح بتنسيق .pem التنسيق.

  • الغرض: يجب أن يكون الغرض من الشهادة هو Webex Identity.

  • توليد المفاتيح: يجب أن تستند الشهادات إلى أزواج مفاتيح ECDSA P-256 (خوارزمية التوقيع الرقمي منحنى بيضاوي باستخدام منحنى P-256).

    لا يمتد هذا المطلب إلى مفتاح التوقيع. يمكن لـ CA استخدام مفتاح RSA لتوقيع الشهادة.

استعد للأجهزة الموجودة على متن الطائرة

يمكنك تخطي هذه الخطوة إذا كنت لا تريد استخدام هوية تم التحقق منها خارجيًا مع أجهزتك.

إذا كنت تستخدم أجهزة جديدة ، فلا تقم بتسجيلها في Webex حتى الآن. لتكون آمنًا ، لا تقم بتوصيلهم بالشبكة في هذه المرحلة.

إذا كانت لديك أجهزة حالية تريد ترقيتها لاستخدام هوية تم التحقق منها خارجيًا ، فيجب عليك إعادة ضبط الأجهزة على إعدادات المصنع.

  • احفظ التكوين الحالي إذا كنت تريد الاحتفاظ به.

  • قم بجدولة نافذة عند عدم استخدام الأجهزة ، أو استخدم نهجًا مرحليًا. قم بإعلام المستخدمين بالتغييرات التي يمكنهم توقعها.

  • ضمان الوصول المادي إلى الأجهزة. إذا كان يجب عليك الوصول إلى الأجهزة عبر الشبكة ، فاحذر من أن الأسرار تنتقل بنص عادي وأنك تعرض أمنك للخطر.

بمجرد الانتهاء من هذه الخطوات ، السماح لأنظمة الفيديو بالانضمام إلى الاجتماعات والأحداث على موقع Webex الخاص بك .

فهم عملية الهوية الخارجية للأجهزة

للتأكد من أن وسائط جهازك لا يمكن تشفيرها بواسطة أي شخص باستثناء الجهاز ، يجب عليك تشفير المفتاح الخاص على الجهاز. قمنا بتصميم واجهات برمجة التطبيقات للجهاز لتمكين إدارة المفتاح والشهادة المشفرين ، باستخدام تشفير الويب JSON (JWE).

لضمان تشفير حقيقي من طرف إلى طرف من خلال السحابة الخاصة بنا ، لا يمكننا المشاركة في تشفير وتحميل الشهادة والمفتاح. إذا كنت بحاجة إلى هذا المستوى من الأمان ، فيجب عليك:

  1. اطلب شهاداتك.

  2. قم بإنشاء أزواج المفاتيح الخاصة بشهاداتك.

  3. قم بإنشاء (وحماية) سر أولي لكل جهاز ، لبذر قدرة تشفير الجهاز.

  4. قم بتطوير وصيانة أداتك الخاصة لتشفير الملفات باستخدام معيار JWE.

    يتم شرح العملية والمعلمات (غير السرية) التي ستحتاج إليها أدناه ، بالإضافة إلى وصفة يجب اتباعها في أدوات التطوير التي تختارها. نوفر أيضًا بعض بيانات الاختبار ونقاط JWE الناتجة كما نتوقعها ، لمساعدتك في التحقق من العملية الخاصة بك.

    يتوفر تطبيق مرجعي غير مدعوم باستخدام Python3 ومكتبة JWCrypto من Cisco عند الطلب.

  5. اربط وتشفير الشهادة والمفتاح باستخدام أداتك والسر الأولي للجهاز.

  6. قم بتحميل كائن JWE الناتج على الجهاز.

  7. قم بتعيين الغرض من الشهادة المشفرة التي سيتم استخدامها لهوية Webex ، وقم بتنشيط الشهادة.

  8. (موصى به) قم بتوفير واجهة (أو توزيع) لأداتك لتمكين مستخدمي الجهاز من تغيير السر الأولي وحماية الوسائط الخاصة بهم منك.

كيف نستخدم تنسيق JWE

يصف هذا القسم كيف نتوقع إنشاء JWE كمدخلات للأجهزة ، بحيث يمكنك إنشاء أداتك الخاصة لإنشاء النقاط الثنائية الكبيرة من الشهادات والمفاتيح الخاصة بك.

الرجوع إلى تشفير الويب JSON (JWE)https://datatracker.ietf.org/doc/html/rfc7516و توقيع الويب JSON (JWS)https://datatracker.ietf.org/doc/html/rfc7515.

نحن نستخدم ملف التسلسل المضغوط من مستند JSON لإنشاء نقاط JWE. المعلمات التي تحتاج إلى تضمينها عند إنشاء نقاط JWE هي:

  • رأس خوسيه (محمية). في عنوان JSON Object Signing and Encryption ، يجب عليك تضمين أزواج المفتاح والقيمة التالية:

    • "alg":"dir"

      الخوارزمية المباشرة هي الخوارزمية الوحيدة التي ندعمها لتشفير الحمولة ، ويجب عليك استخدام سر العميل الأولي للجهاز.

    • "enc":"A128GCM" أو "enc":"A256GCM"

      نحن ندعم خوارزميات التشفير هاتين.

    • "cisco-action": "add" أو "cisco-action": "populate" أو "cisco-action": "activate" أو "cisco-action": "deactivate"

      هذا هو مفتاح الملكية وأربع قيم يمكن أن يأخذها. قدمنا هذا المفتاح للإشارة إلى الغرض من البيانات المشفرة للجهاز المستهدف. تتم تسمية القيم بعد أوامر xAPI على الجهاز الذي تستخدم فيه البيانات المشفرة.

      أطلقنا عليه اسم cisco-action للتخفيف من حدة الاشتباكات المحتملة مع امتدادات JWE المستقبلية.

    • "cisco-kdf": { "version": "1", "salt": "base64URLEncodedRandom4+Bytes" }

      مفتاح ملكية آخر. نستخدم القيم التي تقدمها كمدخلات لاشتقاق المفتاح على الجهاز. يفتح اجتماع version يجب أن يكون 1(إصدار دالة الاشتقاق الرئيسية لدينا). قيمة salt يجب أن يكون تسلسلًا بترميز URL لـ base64 بحيث لا يقل عن 4 بايت ، وهو ما يمكنك القيام به يجب اختر عشوائيا.

  • مفتاح JWE المشفر . هذا الحقل فارغ. الجهاز يشتقها من الأولى ClientSecret.

  • ناقل تهيئة JWE . يجب توفير متجه التهيئة المشفر باستخدام base64url لفك تشفير الحمولة. الرابع يجب أن تكون قيمة عشوائية 12 بايت (نحن نستخدم عائلة تشفير AES-GCM ، والتي تتطلب أن يكون طول IV 12 بايت).

  • JWE AAD (بيانات مصادقة إضافية). يجب حذف هذا الحقل لأنه غير مدعوم في عملية تحويل البيانات إلى ملفات مضغوطة.

  • JWE Ciphertext : هذه هي الحمولة المشفرة التي تريد الاحتفاظ بها سرا.

    قد تكون الحمولة فارغة. على سبيل المثال ، لإعادة تعيين سر العميل ، تحتاج إلى الكتابة فوقه بقيمة فارغة.

    هناك أنواع مختلفة من الحمولات ، اعتمادًا على ما تحاول القيام به على الجهاز. تتوقع أوامر xAPI المختلفة حمولات مختلفة ، ويجب عليك تحديد الغرض من الحمولة باستخدام ملف cisco-action المفتاح ، على النحو التالي:

    • مع "cisco-action":"populate" النص المشفر هو الجديد ClientSecret.

    • مع " "cisco-action":"add" النص المشفر عبارة عن كائن ثنائي الأبعاد ثنائي الأبعاد يحمل الشهادة ومفتاحه الخاص (متسلسل).

    • مع " "cisco-action":"activate" النص المشفر هو بصمة الإصبع (التمثيل السداسي العشري لـ sha-1) للشهادة التي نقوم بتنشيطها للتحقق من هوية الجهاز.

    • مع " "cisco-action":"deactivate" النص المشفر هو بصمة الإصبع (التمثيل السداسي العشري لـ sha-1) للشهادة التي نقوم بإلغاء تنشيطها من استخدامها للتحقق من هوية الجهاز.

  • علامة مصادقة JWE: يحتوي هذا الحقل على علامة المصادقة للتأكد من تكامل كائن JWE المتسلسل المضغوط بالكامل

كيف نشتق مفتاح التشفير من ملف ClientSecret

بعد المجموعة الأولى للسر ، لا نقبل أو نخرج السر كنص عادي. هذا لمنع الهجمات المحتملة على القاموس من قبل شخص يمكنه الوصول إلى الجهاز.

يستخدم برنامج الجهاز سر العميل كمدخل لوظيفة اشتقاق المفتاح (kdf) ثم يستخدم المفتاح المشتق لفك تشفير / تشفير المحتوى على الجهاز.

ما يعنيه هذا بالنسبة لك هو أن أداتك لإنتاج نقاط JWE يجب أن تتبع نفس الإجراء لاشتقاق نفس مفتاح التشفير / فك التشفير من سر العميل.

تستخدم الأجهزة سكربت للاشتقاق الرئيسي (انظرhttps://en.wikipedia.org/wiki/Scrypt ) ، بالمعلمات التالية:

  • CostFactor (N) هو 32768

  • BlockSizeFactor (r) يساوي 8

  • عامل الموازاة (p) هو 1

  • الملح هو تسلسل عشوائي لا يقل عن 4 بايت ؛ يجب عليك توفير هذا نفسه salt عند تحديد cisco-kdf المعلمة.

  • أطوال المفاتيح هي إما 16 بايت (إذا قمت بتحديد خوارزمية AES-GCM 128) ، أو 32 بايت (إذا قمت بتحديد خوارزمية AES-GCM 256)

  • الحد الأقصى للذاكرة 64 ميغا بايت

هذه المجموعة من المعلمات هي التكوين الوحيد لـ سكربت متوافق مع وظيفة اشتقاق المفتاح على الأجهزة. يسمى هذا ملف kdf الموجود على الأجهزة "version":"1" ، وهو الإصدار الوحيد الذي يتم استخدامه حاليًا بواسطة cisco-kdf المعلمة.

عمل مثال

فيما يلي مثال يمكنك اتباعه للتحقق من أن عملية تشفير JWE تعمل بنفس العملية التي أنشأناها على الأجهزة.

سيناريو المثال هو إضافة كائن ثنائي ثنائي الأبعاد (blob) إلى الجهاز (يحاكي إضافة شهادة ، بسلسلة قصيرة جدًا بدلاً من شهادة + مفتاح كامل). سر العميل في المثال هو ossifrage.

  1. اختر تشفير. يستخدم هذا المثال A128GCM(AES مع مفاتيح 128 بت في Galois Counter Mode). يمكن استخدام أداتك A256GCM إذا كنت تفضل ذلك.

  2. اختر ملحًا (يجب أن يكون تسلسلًا عشوائيًا لا يقل عن 4 بايت). يستخدم هذا المثال (ست عشري بايت) E5 E6 53 08 03 F8 33 F6. يقوم Base64url بترميز التسلسل للحصول على 5eZTCAP4M_Y(قم بإزالة الحشوة الأساسية 64).

  3. هذه عينة scrypt استدعاء لإنشاء مفتاح التشفير المحتوى (cek):

    cek=scrypt(password="ossifrage", salt=4-byte-sequence, N=32768, r=8, p=1, keylength=16)

    يجب أن يكون المفتاح المشتق 16 بايت (ست عشري) على النحو التالي: 95 9e ba 6d d1 22 01 05 78 fe 6a 9d 22 78 ff ac الذي يشفر base64url إليه lZ66bdEiAQV4_mqdInj_rA.

  4. اختر تسلسلًا عشوائيًا من 12 بايت لاستخدامه كمتجه تهيئة. يستخدم هذا المثال (ست عشري) 34 b3 5d dd 5f 53 7b af 2d 92 95 83 الذي يشفر base64url إليه NLNd3V9Te68tkpWD.

  5. قم بإنشاء عنوان JOSE بتسلسل مضغوط (اتبع نفس ترتيب المعلمات التي نستخدمها هنا) ثم قم بترميزه باستخدام base64url:

    {"alg":"dir","cisco-action":"add","cisco-kdf":{"salt":"5eZTCAP4M_Y","version":"1"},"enc":"A128GCM"}

    عنوان base64url المشفر هو eyJhbGciOiJkaXIiLCJjaXNjby1hY3Rpb24iOiJhZGQiLCJjaXNjby1rZGYiOnsic2FsdCI6IjVlWlRDQVA0TV9ZIiwidmVyc2lvbiI6IjEifSwiZW5jIjoiQTEyOEdDTSJ9

    سيكون هذا هو العنصر الأول في JWE blob.

  6. العنصر الثاني في JWE blob فارغ ، لأننا لا نوفر مفتاح التشفير JWE.

  7. العنصر الثالث في JWE blob هو متجه التهيئة NLNd3V9Te68tkpWD.

  8. استخدم أداة تشفير JWE لإنتاج حمولة وعلامة مشفرة. في هذا المثال ، ستكون الحمولة غير المشفرة عبارة عن blob المزيف لـ PEM this is a PEM file

    معلمات التشفير التي يجب عليك استخدامها هي:

    • الحمولة هي this is a PEM file

    • تشفير التشفير هو AES 128 GCM

    • عنوان base64url المشفر على أنه بيانات مصادقة إضافية (AAD)

    يقوم Base64url بترميز الحمولة المشفرة ، والتي يجب أن ينتج عنها f5lLVuWNfKfmzYCo1YJfODhQ

    هذا هو العنصر الرابع (JWE Ciphertext) في JWE blob.

  9. يقوم Base64url بترميز العلامة التي قمت بإنشائها في الخطوة 8 ، والتي يجب أن ينتج عنها PE-wDFWGXFFBeo928cfZ1Q

    هذا هو العنصر الخامس في JWE blob.

  10. اربط العناصر الخمسة لـ JWE بالنقاط (JOSEheader..IV.Ciphertext.Tag) للحصول على:

    eyJhbGciOiJkaXIiLCJjaXNjby1hY3Rpb24iOiJhZGQiLCJjaXNjby1rZGYiOnsic2FsdCI6IjVlWlRDQVA0TV9ZIiwidmVyc2lvbiI6IjEifSwiZW5jIjoiQTEyOEdDTSJ..9NLNd3V9Te68tkpWD.f5lLVuWNfKfmzYCo1YJfODhQ.PE-wDFWGXFFBeo928cfZ1Q

  11. إذا قمت باستخلاص نفس قيم ترميز base64url التي نعرضها هنا ، باستخدام الأدوات الخاصة بك ، فأنت على استعداد لاستخدامها لتأمين تشفير E2E والهوية التي تم التحقق منها لأجهزتك.

  12. لن يعمل هذا المثال في الواقع ، ولكن من حيث المبدأ ، ستكون خطوتك التالية هي استخدام كائن JWE الذي أنشأته أعلاه كمدخل لأمر x على الجهاز الذي يضيف الشهادة:

    xCommand Security Certificates Add eyJhbGciOiJkaXIiLCJjaXNjby1hY3Rpb24iOiJhZGQiLCJjaXNjby1rZGYiOnsic2FsdCI6IjVlWlRDQVA0TV9ZIiwidmVyc2lvbiI6IjEifSwiZW5jIjoiQTEyOEdDTSJ..9NLNd3V9Te68tkpWD.f5lLVuWNfKfmzYCo1YJfODhQ.PE-wDFWGXFFBeo928cfZ1Q

تتوفر أنواع جلسات الاجتماعات ذات الثقة الصفرية لجميع مواقع الاجتماعات دون أي تكلفة إضافية. يسمى أحد أنواع الجلسات هذه Pro-End to End Encryption_VOIPonly. هذا هو اسم الخدمة العامة، والذي قد نغيره في المستقبل. لمعرفة الأسماء الحالية لأنواع الجلسات ، راجع معرفات نوع الجلسة في المرجع قسم من هذه المقالة.

لا يوجد شيء تحتاج إلى القيام به للحصول على هذه الإمكانية لموقعك؛ فأنت بحاجة إلى منح نوع الجلسة الجديد (والذي يسمى أيضًا امتياز الاجتماع) للمستخدمين. يمكنك القيام بذلك بشكل فردي من خلال صفحة التكوين المستخدم ، أو بشكل مجمّع باستخدام تصدير / استيراد CSV .

تحقق من نوع الجلسة الجديد

1

سجّل الدخول إلى Control Hub، ثم انتقل إلى الخدمات > الاجتماع.

2

انقر على المواقع، واختر موقع Webex الذي تريد تغيير إعداداته، ثم انقر على الإعدادات.

3

تحت الإعدادات العامة ، حدد أنواع الجلسات .

4
يجب أن تشاهد نوعًا واحدًا أو أكثر من أنواع جلسات التشفير من طرف إلى طرف. الرجوع إلى قائمة معرفات نوع الجلسة في المرجع قسم من هذه المقالة. على سبيل المثال ، قد ترى Pro-End to End هـncryption_ VOIP فقط .

 

يوجد نوع جلسة قديم يحمل اسمًا مشابهًا جدًا: التشفير من طرف إلى طرف . يتضمن نوع الجلسة هذا وصول PSTN غير المشفر إلى الاجتماعات. تأكد من أن لديك_ VOIP فقط إصدار لضمان التشفير التام بين الأطراف. يمكنك التحقق من خلال تمرير مؤشر الماوس فوق PRO الارتباط في عمود رمز الجلسة ؛ في هذا المثال ، يجب أن يكون هدف الارتباط javascript:ShowFeature(652).

قد نقوم بتغيير أسماء الخدمة العامة لأنواع الجلسات هذه في المستقبل.

5

إذا لم يكن لديك نوع الجلسة الجديد حتى الآن ، فاتصل بممثل Webex .

التصرف التالي

قم بتمكين نوع الجلسة / امتياز الاجتماع هذا لبعض المستخدمين أو كلهم.

قم بتمكين اجتماعات E2EE للمستخدمين الفرديين

1

سجّل الدخول إلى مركز التحكم ، واذهب إلى الإدارة > المستخدمون .

2

حدد حساب مستخدم لتحديثه ، ثم حدد الاجتماعات .

3

من الإعدادات تنطبق على القائمة المنسدلة، حدد موقع الاجتماع للتحديث.

4

حدد المربع المجاور لـ Pro-End to End هـncryption_ VOIP فقط .

5

أغلق لوحة تكوين المستخدم .

6

كرر لمستخدمين آخرين إذا لزم الأمر.

لتعيين هذا للعديد من المستخدمين ، استخدم الخيار التالي ، قم بتمكين اجتماعات E2EE لعدة مستخدمين .

قم بتمكين اجتماعات E2EE لعدة مستخدمين

1

سجّل الدخول إلى Control Hub، ثم انتقل إلى الخدمات > الاجتماع.

2

انقر على المواقع، واختر موقع Webex الذي تريد تغيير الإعدادات له.

3

في التراخيص والمستخدمين القسم ، انقر إدارة مجمعة .

4

انقر على إنشاء تقرير، وانتظر حتى نقوم بإعداد الملف.

5

عندما يكون الملف جاهزًا ، انقر فوق "نعم" نتائج التصدير وبعد ذلك تنزيل . (يجب عليك إغلاق النافذة المنبثقة يدويًا بعد النقر فوقها تنزيل .)

6

افتح ملف CSV الذي تم تنزيله للتحرير.

يوجد صف لكل مستخدم ، و MeetingPrivilege يحتوي العمود على معرفات نوع الجلسة الخاصة بهم كقائمة مفصولة بفواصل.

7

لكل مستخدم ترغب في منحه نوع الجلسة الجديد ، أضف 1561 كقيمة جديدة في القائمة المفصولة بفواصل في ملف MeetingPrivilege الخلية.

ال مرجع تنسيق ملف Webex CSV يحتوي على تفاصيل حول الغرض من ملف CSV ومحتوياته.

8

افتح لوحة تكوين موقع الاجتماع في مركز التحكم.


 

إذا كنت موجودًا بالفعل في صفحة قائمة مواقع الاجتماع ، فقد تحتاج إلى تحديثها.

9

في التراخيص والمستخدمين القسم ، انقر إدارة مجمعة .

10

انقر فوق استيراد وحدد CSV الذي تم تحريره ، ثم انقر فوق استيراد . انتظر حتى يتم تحميل الملف.

11

عند الانتهاء من الاستيراد ، يمكنك النقر فوق نتائج الاستيراد لمراجعة ما إذا كان هناك أي أخطاء.

12

انتقل إلى المستخدمون الصفحة وافتح أحد المستخدمين للتحقق من أن لديهم نوع الجلسة الجديد.

إضافة علامة مميزة صوتية لأغراض الأمان

يمكنك إضافة علامة مائية إلى تسجيلات الاجتماعات باستخدام Webex Meetings Pro-End to End Encryption_VOIPonly نوع الجلسة، الذي يسمح لك بتحديد عميل المصدر أو جهاز التسجيلات غير المصرح بها للاجتماعات السرية.

عند تمكين هذه الميزة، يشتمل صوت الاجتماع على معرف فريد لكل عميل أو جهاز مشارك. يمكنك تحميل التسجيلات الصوتية إلى Control Hub، والذي يقوم بعد ذلك بتحليل التسجيل والبحث عن المعرفات الفريدة. يمكنك الاطلاع على النتائج لمعرفة عميل المصدر أو الجهاز الذي سجل الاجتماع.

  • لكي يتم تحليلها ، يجب أن يكون التسجيل عبارة عن ملف AAC أو MP3 أو M4A أو WAV أو MP4 أو AVI أو MOV بحيث لا يزيد حجمه عن 500 ميجابايت.
  • يجب أن يكون التسجيل أطول من 100 ثانية.
  • يمكنك فقط تحليل التسجيلات للاجتماعات التي يستضيفها الأشخاص في مؤسستك.
  • يتم الاحتفاظ بمعلومات العلامة المائية لنفس المدة التي يتم فيها الاحتفاظ بمعلومات اجتماع المؤسسة.
أضف علامات مائية صوتية إلى اجتماعات E2EE
  1. سجّل الدخول إلى Control Hub ، ثم أقل الإدارة ، حدد إعدادات المؤسسة .
  2. في لقاء العلامات المائية قسم ، قم بالتبديل أضف علامة مائية صوتية .

    بعد مرور بعض الوقت بعد تشغيل هذا الخيار، يقوم المستخدمون بجدولة الاجتماعات باستخدام Webex Meetings Pro-End to End Encryption_VOIPonly نوع الجلسة راجع خيار وضع علامة مائية رقمية في قسم الأمان.

تحميل وتحليل اجتماع بعلامة مائية
  1. في Control Hub ، تحت المراقبة ، حدد استكشاف الأخطاء وإصلاحها .
  2. انقر فوق تحليل العلامة المائية .
  3. ابحث عن الاجتماع أو حدده في القائمة، ثم انقر على تحليل.
  4. في تحليل العلامة المائية الصوتية نافذة ، أدخل اسمًا لتحليلك.
  5. (اختياري) أدخل ملاحظة لتحليلك.
  6. اسحب ملف الصوت وأفلته لتحليله ، أو انقر اختر الملف للاستعراض وصولاً إلى ملف الصوت.
  7. انقر فوق أغلق .

    عند اكتمال التحليل ، سيظهر في قائمة النتائج في تحليل العلامة المائية الصفحة.

  8. حدد الاجتماع في القائمة لعرض نتائج التحليل. انقر فوقزر التنزيل لتنزيل النتائج.
الميزات والقيود

وتشمل العوامل المشاركة في فك ترميز العلامة المائية المسجلة بنجاح المسافة بين جهاز التسجيل ومكبر الصوت إخراج الصوت، وحجم ذلك الصوت، والضجيج البيئي، وما إلى ذلك. تتمتع تقنية العلامات المائية لدينا مرونة إضافية ليتم ترميزها عدة مرات، كما قد يحدث عند مشاركة الوسائط.

تم تصميم هذه الميزة لتمكين فك تشفير معرف العلامة المائية بنجاح في مجموعة واسعة ولكن معقولة من الظروف. هدفنا هو جهاز التسجيل ، مثل الهاتف المحمول ، الذي يقع على مكتب بالقرب من نقطة نهاية شخصية أو عميل كمبيوتر محمول ، يجب دائمًا إنشاء تسجيل يؤدي إلى تحليل ناجح. عندما يتم نقل جهاز التسجيل بعيدًا عن المصدر، أو يتم حجبه عن سماع طيف الصوت الكامل، يتم تقليل فرص إجراء تحليل ناجح.

من أجل تحليل التسجيل بنجاح، يلزم التقاط صوت الاجتماع بشكل معقول. إذا تم تسجيل صوت اجتماع على نفس الكمبيوتر الذي يستضيف العميل، فيجب عدم تطبيق القيود.

الأجهزة المدمجة (المرجع المصدق الداخلي)

إذا كانت أجهزتك مدمجة بالفعل في مؤسسة Control Hub الخاصة بك وتريد استخدام Webex CA لإنشاء شهادات التعريف الخاصة بها تلقائيًا ، فلن تحتاج إلى إعادة ضبط المصنع .

يحدد هذا الإجراء المجال الذي يستخدمه الجهاز لتعريف نفسه ، ويكون مطلوبًا فقط إذا كان لديك مجالات متعددة في مؤسسة Control Hub الخاصة بك. إذا كان لديك أكثر من مجال واحد ، فإننا نوصيك بالقيام بذلك لجميع أجهزتك التي سيكون لها هوية "تم التحقق منها من قِبل Cisco". إذا لم تخبر Webex بالمجال الذي يحدد الجهاز ، فسيتم اختيار أحدها تلقائيًا ، وقد يبدو الأمر خاطئًا للمشاركين الآخرين في الاجتماع.

قبل البدء

إذا لم يتم إعداد أجهزتك بعد ، فاتبع قم بتسجيل جهاز على Cisco Webex باستخدام API أو واجهة الويب المحلية أو الإعداد السحابي لسلسلة اللوحات والمكتب والغرف . يجب عليك أيضًا التحقق من المجال / المجالات التي تريد استخدامها لتحديد الأجهزة الموجودة فيها إدارة المجالات الخاصة بك .

1

سجّل الدخول إلى Control Hub وتحت الإدارة ، حدد الأجهزة .

2

حدد جهازًا لفتح لوحة التكوين الخاصة به.

3

حدد المجال الذي تريد استخدامه لتعريف هذا الجهاز.

4

كرر للأجهزة الأخرى.

الأجهزة المدمجة (مرجع مصدق خارجي)

قبل البدء

أنت بحاجة إلى:

  • للحصول على شهادة موقعة من المرجع المصدق والمفتاح الخاص ، في .pem لكل جهاز.

  • لقراءة الموضوع فهم عملية الهوية الخارجية للأجهزة ، في استعد جزء من هذه المقالة.

  • لإعداد أداة تشفير JWE فيما يتعلق بالمعلومات الموجودة هناك.

  • أداة لتوليد متواليات بايت عشوائية بأطوال معينة.

  • أداة لتشفير base64url للبايت أو النص.

  • ان scrypt التنفيذ.

  • كلمة أو عبارة سرية لكل جهاز.

1

املأ الجهاز ClientSecret بسر النص العادي:

في المرة الأولى التي تقوم فيها بتعبئة ملف Secret ، يمكنك توفيره في نص عادي. لهذا السبب نوصيك بالقيام بذلك في وحدة تحكم الجهاز الفعلية.

  1. يقوم Base64url بترميز العبارة السرية لهذا الجهاز.

  2. افتح TShell على الجهاز.

  3. تشغيل xcommand Security ClientSecret Populate Secret: "MDEyMzQ1Njc4OWFiY2RlZg"

    يملأ الأمر المثال أعلاه ملف Secret مع العبارة 0123456789abcdef. عليك أن تختار بنفسك.

الجهاز له سره الأولي. لا تنسى هذا ؛ لا يمكنك استعادته ويجب إعادة ضبط الجهاز على إعدادات المصنع لبدء التشغيل مرة أخرى.
2

اربط شهادتك والمفتاح الخاص بك:

  1. باستخدام محرر نصوص ، افتح ملفات .pem ، والصق blob الرئيسي في blob الشهادة ، واحفظه كملف pem. جديد.

    (هذا هو نص الحمولة الذي ستقوم بتشفيره ووضعه في JWE blob الخاص بك)

3

قم بإنشاء JWE blob لاستخدامه كإدخال لأمر إضافة الشهادة:

  1. قم بإنشاء تسلسل عشوائي لا يقل عن 4 بايت. هذا هو الملح الخاص بك.

  2. قم باشتقاق مفتاح التشفير المحتوى باستخدام أداة التشفير.

    لهذا تحتاج إلى السر والملح وطول المفاتيح لمطابقة تشفير التشفير الذي اخترته. هناك بعض القيم الثابتة الأخرى التي يجب توفيرها (N = 32768 ، r = 8 ، p = 1). يستخدم الجهاز نفس العملية والقيم لاشتقاق نفس مفتاح التشفير المحتوى.

  3. قم بإنشاء تسلسل عشوائي من 12 بايت بالضبط. هذا هو ناقل التهيئة الخاص بك.

  4. قم بإنشاء عنوان JOSE ، الإعداد alg ، enc ، و cisco-kdf مفاتيح كما هو موضح في فهم عملية الهوية الخارجية للأجهزة . قم بتعيين إجراء "إضافة" باستخدام المفتاح: القيمة "cisco-action":"add" في عنوان JOSE الخاص بك (لأننا نضيف الشهادة إلى الجهاز).

  5. يقوم Base64url بترميز رأس JOSE.

  6. استخدم أداة تشفير JWE مع التشفير المختار ورأس JOSE المشفر باستخدام base64url لتشفير النص من ملف pem المتسلسل.

  7. يقوم Base64url بترميز متجه التهيئة وحمولة PEM المشفرة وعلامة المصادقة.

  8. قم ببناء كائن JWE على النحو التالي (جميع القيم مشفرة باستخدام base64url):

    JOSEHeader..InitVector.EncryptedPEM.AuthTag

4

افتح TShell على الجهاز وقم بتشغيل الأمر add (متعدد الأسطر):

xcommand Security Certificates Services Add IsEncrypted: True
your..JWE.str.ing\n
.\n
5

تحقق من إضافة الشهادة عن طريق التشغيل xcommand Security Certificates Services Show

انسخ بصمة الشهادة الجديدة.

6

تفعيل الشهادة للغرض WebexIdentity:

  1. اقرأ بصمة الشهادة ، إما من الشهادة نفسها أو من مخرجات xcommand Security Certificates Services Show.

  2. قم بإنشاء تسلسل عشوائي لا يقل عن 4 بايت ، وقم بتشفير Base64url هذا التسلسل. هذا هو الملح الخاص بك.

  3. قم باشتقاق مفتاح التشفير المحتوى باستخدام أداة التشفير.

    لهذا تحتاج إلى السر والملح وطول المفاتيح لمطابقة تشفير التشفير الذي اخترته. هناك بعض القيم الثابتة الأخرى التي يجب توفيرها (N = 32768 ، r = 8 ، p = 1). يستخدم الجهاز نفس العملية والقيم لاشتقاق نفس مفتاح التشفير المحتوى.

  4. قم بإنشاء تسلسل عشوائي من 12 بايت بالضبط ، وقم بترميز Base64url هذا التسلسل. هذا هو ناقل التهيئة الخاص بك.

  5. قم بإنشاء عنوان JOSE ، الإعداد alg ، enc ، و cisco-kdf مفاتيح كما هو موضح في فهم عملية الهوية الخارجية للأجهزة . قم بتعيين إجراء "التنشيط" باستخدام المفتاح: القيمة "cisco-action":"activate" في عنوان JOSE الخاص بك (لأننا نقوم بتنشيط الشهادة على الجهاز).

  6. يقوم Base64url بترميز رأس JOSE.

  7. استخدم أداة تشفير JWE مع التشفير المختار ورأس JOSE المشفر باستخدام base64url لتشفير بصمة الشهادة.

    يجب أن تقوم الأداة بإخراج تسلسل 16 أو 32 بايت ، اعتمادًا على ما إذا كنت قد اخترت 128 أو 256 بت AES-GCM ، وعلامة المصادقة.

  8. Base64urlencode البصمة المشفرة وعلامة المصادقة.

  9. قم ببناء كائن JWE على النحو التالي (جميع القيم مشفرة باستخدام base64url):

    JOSEHeader..InitVector.EncryptedFingerprint.AuthTag

  10. افتح TShell على الجهاز وقم بتشغيل أمر التنشيط التالي:

                      xcommand Security Certificates Services Activate Purpose: WebexIdentity Fingerprint: "Your..JWE.encrypted.fingerprint"
يحتوي الجهاز على شهادة مشفرة ونشطة صادرة عن المرجع المصدق (CA) وجاهزة للاستخدام لتحديد هويته في اجتماعات Webex المشفرة من طرف إلى طرف.
7

قم بإدخال الجهاز إلى مؤسسة Control Hub الخاصة بك.

اختبار التشفير من طرف إلى طرف مع التحقق من الهوية

1

جدولة اجتماع من النوع الصحيح ( Webex Meetings Pro-End to End E.ncryption_ VOIP فقط ).

انظر قم بجدولة اجتماع Webex باستخدام التشفير التام بين الأطراف .

2

انضم إلى الاجتماع بصفتك المضيف ، من عميل Webex Meetings .

انظر انضم إلى اجتماع Webex باستخدام التشفير التام بين الأطراف .

3

انضم إلى الاجتماع من جهاز تم التحقق من هويته بواسطة Webex CA.

4

بصفتك المضيف ، تحقق من ظهور هذا الجهاز في الردهة برمز الهوية الصحيح.

انظر انضم إلى اجتماع Webex باستخدام التشفير التام بين الأطراف .

5

انضم إلى الاجتماع من جهاز تم التحقق من هويته بواسطة مرجع مصدق خارجي.

6

بصفتك المضيف ، تحقق من ظهور هذا الجهاز في الردهة برمز الهوية الصحيح. تعرف على المزيد حول رموز الهوية .

7

انضم إلى الاجتماع كمشارك غير مصدق عليه.

8

بصفتك المضيف ، تحقق من ظهور هذا المشارك في الردهة برمز الهوية الصحيح.

9

بصفتك المضيف ، اعترف أو ارفض الأشخاص / الأجهزة.

10

تحقق من هويات المشاركين / الجهاز حيثما أمكن ذلك عن طريق التحقق من الشهادات.

11

تحقق من أن كل شخص في الاجتماع يرى نفس رمز أمان الاجتماع.

12

انضم إلى الاجتماع مع مشارك جديد.

13

تحقق من أن كل شخص يرى نفس رمز أمان الاجتماع الجديد.

حدد النطاق والتوقعات

هل ستجعل الاجتماعات المشفرة من طرف إلى طرف هي الخيار الافتراضي للاجتماعات ، أم أنك ستمكّنها لبعض المستخدمين فقط ، أو تسمح لجميع المضيفين بالاختيار؟ عندما تقرر كيف ستستخدم هذه الميزة ، قم بإعداد هؤلاء المستخدمين الذين سيستخدمونها ، خاصة فيما يتعلق بالقيود وما يمكن توقعه في الاجتماع.

هل تحتاج إلى التأكد من عدم تمكن Cisco أو أي شخص آخر من فك تشفير المحتوى الخاص بك أو انتحال شخصية أجهزتك؟ إذا كان الأمر كذلك ، فأنت بحاجة إلى شهادات من مرجع مصدق عام. قد يكون لديك ما يصل إلى 25 جهازًا فقط في اجتماع آمن. إذا كنت بحاجة إلى هذا المستوى من الأمان ، فيجب ألا تسمح لعملاء الاجتماعات بالانضمام.

بالنسبة للمستخدمين الذين ينضمون إلى الأجهزة الآمنة ، دع الأجهزة تنضم أولاً ، وحدد توقعات المستخدمين بأنهم قد لا يتمكنون من الانضمام في حالة انضمامهم متأخرًا.

إذا كانت لديك مستويات مختلفة من التحقق من الهوية ، فقم بتمكين المستخدمين من التحقق من بعضهم البعض باستخدام الهوية المدعومة بشهادة ورمز أمان الاجتماع. على الرغم من وجود ظروف يمكن أن يظهر فيها المشاركون على أنهم لم يتم التحقق منهم ، ويجب أن يعرف المشاركون كيفية التحقق ، فقد لا يكون الأشخاص الذين لم يتم التحقق منهم محتالين.

إدارة الهوية

إذا كنت تستخدم مرجع مصدق (CA) خارجيًا لإصدار شهادات جهازك ، فإن المسؤولية تقع على عاتقك لمراقبة الشهادات وتحديثها وإعادة تطبيقها.

إذا أنشأت السر الأولي ، فاعلم أن المستخدمين قد يرغبون في تغيير سر أجهزتهم. قد تحتاج إلى إنشاء واجهة / توزيع أداة لتمكينهم من القيام بذلك.

معرفات نوع الجلسة

الجدول رقم 1. معرفات نوع الجلسة للاجتماعات المشفرة من طرف إلى طرف

معرّف نوع الجلسة

اسم الخدمة العامة

638

تشفير E2E + VoIP فقط

652

Pro-End to End هـncryption_ VOIP فقط

660

الإصدار المجاني 3 من الإصدار المجاني للنهاية Encryption_ VOIP فقط

تشفير E2E + الهوية

672

إصدار Pro 3 Free50-End to End E.ncryption_ VOIP فقط

673

مدرس تعليم E2E Encryption_ VOIP فقط

676

معيار Broadworks بالإضافة إلى التشفير التام بين الأطراف

677

Broadworks Premium بالإضافة إلى التشفير التام بين الأطراف

681

Schoology Free بالإضافة إلى التشفير من طرف إلى طرف

أوامر xAPI ذات الصلة

تصف هذه الجداول أوامر API لأجهزة Webex التي أضفناها للاجتماعات المشفرة من طرف إلى طرف والهوية التي تم التحقق منها. لمزيد من المعلومات حول كيفية استخدام API، راجع قم بالوصول إلى API Webex Room والأجهزة المكتبية ولوحات Webex .

تتوفر أوامر xAPI هذه فقط على الأجهزة التي تكون إما:

  • مسجل في Webex

  • مسجّل Webex داخلي Webex Edge for Devices

الجدول رقم 2. واجهات برمجة التطبيقات على مستوى النظام للاجتماعات المشفرة من طرف إلى طرف والهوية التي تم التحقق منها

استدعاء API

الوصف

xConfiguration Conference EndToEndEncryption Identity PreferredDomain: "example.com"

يتم إجراء هذا التكوين عندما يقوم المسؤول بتعيين المجال المفضل للجهاز من Control Hub. ضروري فقط إذا كان لدى المنظمة أكثر من مجال واحد.

يستخدم الجهاز هذا المجال عندما يطلب شهادة من Webex CA. ثم يحدد المجال الجهاز.

لا ينطبق هذا التكوين عندما يكون للجهاز شهادة نشطة صادرة من الخارج لتعريف نفسه.

xStatus Conference EndToEndEncryption Availability

يشير إلى ما إذا كان يمكن للجهاز الانضمام إلى اجتماع مشفر من طرف إلى طرف. تستدعيها API السحابية بحيث يعرف التطبيق المقترن ما إذا كان يمكنه استخدام الجهاز للانضمام.

xStatus Conference EndToEndEncryption ExternalIdentity Verification

يشير إلى ما إذا كان الجهاز يستخدم External التحقق (له شهادة صادرة من الخارج).

xStatus Conference EndToEndEncryption ExternalIdentity Identity

هوية الجهاز كما تمت قراءتها من الاسم الشائع للشهادة الصادرة خارجيًا.

xStatus Conference EndToEndEncryption ExternalIdentity CertificateChain Certificate # specificinfo

يقرأ معلومات محددة من شهادة صادرة من الخارج.

في الأمر الموضح ، استبدل # مع رقم الشهادة. استبدال specificinfo مع واحد من:

  • Fingerprint

  • NotAfter تاريخ الإنهاء الصلاحية

  • NotBefore تاريخ البدء الصلاحية

  • PrimaryName

  • PublicKeyAlgorithm

  • SerialNumber

  • SignatureAlgorithm

  • Subject # Name قائمة مواضيع الشهادة (مثل عنوان بريد إلكتروني أو اسم المجال)

  • Validity يعطي حالة صلاحية هذه الشهادة (على سبيل المثال ، valid أو expired)

xStatus Conference EndToEndEncryption ExternalIdentity Status

حالة الهوية الخارجية للجهاز (على سبيل المثال valid أو error).

xStatus Conference EndToEndEncryption InternalIdentity Verification

يشير إلى ما إذا كان للجهاز شهادة صالحة صادرة عن Webex CA.

xStatus Conference EndToEndEncryption InternalIdentity Identity

هوية الجهاز كما تمت قراءتها من الاسم الشائع لشهادة Webex.

يحتوي على اسم المجال إذا كان لدى المؤسسة مجال.

فارغ إذا لم يكن لدى المؤسسة مجال.

إذا كان الجهاز في مؤسسة لها مجالات متعددة ، فهذه هي القيمة من PreferredDomain.

xStatus Conference EndToEndEncryption InternalIdentity CertificateChain Certificate # specificinfo

يقرأ معلومات محددة من الشهادة الصادرة عن Webex.

في الأمر الموضح ، استبدل # مع رقم الشهادة. استبدال specificinfo مع واحد من:

  • Fingerprint

  • NotAfter تاريخ الإنهاء الصلاحية

  • NotBefore تاريخ البدء الصلاحية

  • PrimaryName

  • PublicKeyAlgorithm

  • SerialNumber

  • SignatureAlgorithm

  • Subject # Name قائمة مواضيع الشهادة (مثل عنوان بريد إلكتروني أو اسم المجال)

  • Validity يعطي حالة صلاحية هذه الشهادة (على سبيل المثال ، valid أو expired)

الجدول رقم 3. واجهات برمجة التطبيقات في المكالمة للاجتماعات المشفرة من طرف إلى طرف والهوية التي تم التحقق منها

استدعاء API

الوصف

xEvent Conference ParticipantList ParticipantAdded

xEvent Conference ParticipantList ParticipantUpdated

xEvent Conference ParticipantList ParticipantDeleted

تشمل هذه الأحداث الثلاثة الآن EndToEndEncryptionStatus ، EndToEndEncryptionIdentity ، و EndToEndEncryptionCertInfo للمشارك المتضرر.

الجدول رقم 4. واجهات برمجة تطبيقات ClientSecret ذات الصلة للاجتماعات المشفرة من طرف إلى طرف والهوية التي تم التحقق منها

استدعاء API

الوصف

xCommand Security ClientSecret Populate Secret: "base64url-encoded"

أو

xCommand Security ClientSecret Populate Secret: JWEblob

يقبل قيمة نص عادي مشفر باستخدام base64url لنشر سر العميل على الجهاز لأول مرة.

لتحديث السر بعد تلك المرة الأولى ، يجب عليك توفير كائن JWE يحتوي على السر الجديد المشفر بواسطة السر القديم.

xCommand Security Certificates Services Add JWEblob

يضيف شهادة (بمفتاح خاص).

قمنا بتوسيع هذا الأمر لقبول كائن JWE الذي يحتوي على بيانات PEM المشفرة.

xCommand Security Certificates Services Activate Purpose:WebexIdentity FingerPrint: JWEblob

يقوم بتنشيط شهادة معينة لـ WebexIdentity. لهذا Purpose ، يتطلب الأمر تشفير بصمة تحديد الهوية وتسلسلها في كائن JWE.

xCommand Security Certificates Services Deactivate Purpose:WebexIdentity FingerPrint: JWEblob

يلغي تنشيط شهادة معينة لـ WebexIdentity. لهذا Purpose ، يتطلب الأمر تشفير بصمة تحديد الهوية وتسلسلها في كائن JWE.