تجربة المستخدم

يختار المستخدمون نوع الاجتماع عند جدولة اجتماع. عند قبول المشاركين من الردهة، وكذلك أثناء الاجتماع، يستطيع المضيف رؤية حالة التحقق من الهوية لكل مشارك. هناك أيضًا رمز اجتماع شائع لجميع المشاركين الحاليين في الاجتماع ، يمكنهم استخدامه للتحقق من عدم اعتراض اجتماعهم من قبل هجوم Meddler في الوسط (MITM) غير المرغوب فيه.

شارك المعلومات التالية مع مضيفي الاجتماعات:

التحقق من الهوية باستخدام مرجع مصدق داخلي أو خارجي

التحقق من الهوية

يوفر التشفير من طرف إلى طرف مع التحقق من الهوية أمان إضافي لاجتماع مشفر من طرف إلى طرف.

عندما ينضم المشاركون أو الأجهزة إلى مجموعة MLS (أمان طبقة المراسلة) المشتركة، فإنهم يقدمون شهاداتهم إلى أعضاء المجموعة الآخرين، الذين يقومون بعد ذلك بالتحقق من صحة الشهادات ضد سلطات إصدار الشهادات (CA). من خلال التأكيد على أن الشهادات صالحة، يتحقق CA من هوية المشاركين، ويظهر الاجتماع المشاركين/الأجهزة التي تم التحقق منها.

يقوم مستخدمو تطبيق Webex بمصادقة أنفسهم ضد متجر تعريف Webex، والذي يصدر لهم رمز وصول عند نجاح المصادقة. إذا كانوا بحاجة إلى شهادة للتحقق من هويتهم في اجتماع مشفر من طرف إلى طرف، يقوم Webex CA بإصدار شهادة بناءً على رمز الوصول الخاص بهم. في هذا الوقت، لا نوفر طريقة لمستخدمي Webex Meetings للحصول على شهادة صادرة عن جهة خارجية/مرجع مصدق خارجي.

يمكن للأجهزة مصادقة نفسها باستخدام شهادة صادرة عن المرجع المصدق الداخلي (Webex) أو شهادة صادرة عن مرجع مصدق خارجي:

  • مرجع مصدق داخلي — يصدر Webex شهادة داخلية بناءً على رمز الوصول لحساب جهاز الجهاز. يتم توقيع الشهادة بواسطة Webex CA. لا تحتوي الأجهزة على معرفات مستخدم بنفس الطريقة التي يمتلكها المستخدمون، لذلك يستخدم Webex (أحد) مجالات مؤسستك عند كتابة هوية شهادة الجهاز (الاسم العام (CN)).

  • مرجع مصدق خارجي — طلب شهادات الجهاز وشرائها مباشرةً من جهة الإصدار التي اخترتها. يجب عليك تشفير الشهادات وتحميلها مباشرة وتفويضها باستخدام سر معروف لك فقط.

    لا تشارك Cisco، مما يجعل من ذلك الطريق لضمان التشفير الحقيقي من طرف إلى طرف والهوية التي تم التحقق منها، ومنع الاحتمال النظري المتمثل في إمكانية تنصت Cisco على اجتماعك/فك تشفير الوسائط الخاصة بك.

شهادة الجهاز الصادرة داخليا

يصدر Webex شهادة إلى الجهاز عند تسجيله بعد بدء التشغيل ، ويجددها عند الضرورة. بالنسبة إلى الأجهزة، تتضمن الشهادة معرف الحساب ونطاقا.

إذا لم يكن لدى مؤسستك مجال، فسيصدر Webex CA الشهادة بدون مجال.

إذا كان لدى مؤسستك نطاقات متعددة، يمكنك استخدام مركز التحكم لإخبار Webex بالنطاق الذي سيستخدمه الجهاز لهويته. يمكنك أيضًا استخدام API xConfiguration Conference EndToEndEncryption Identity PreferredDomain: "example.com".

إذا كان لديك نطاقات متعددة ولم تقم بتعيين النطاق المفضل للجهاز ، فسيختار Webex نطاقا لك.

شهادة الجهاز الصادرة خارجيا

يمكن للمسؤول توفير جهاز بشهادته الخاصة التي تم توقيعها باستخدام أحد المراجع المصدقة العامة.

يجب أن تستند الشهادة إلى زوج مفاتيح ECDSA P-256 ، على الرغم من أنه يمكن توقيعها بواسطة مفتاح RSA.

القيم الموجودة في الشهادة هي وفقا لتقدير المؤسسة. سيتم عرض الاسم العام (CN) والاسم البديل للموضوع (SAN) في واجهة مستخدم اجتماع Webex، كما هو موضح في التشفير من طرف إلى طرف مع التحقق من الهوية لتطبيق Webex Meetings.

نوصي باستخدام شهادة منفصلة لكل جهاز والحصول على CN فريد لكل جهاز. على سبيل المثال، "meeting-room-1.example.com" للمؤسسة التي تمتلك مجال "example.com".

من أجل حماية الشهادة الخارجية بالكامل من العبث ، يتم استخدام ميزة سرية للعميل لتشفير وتوقيع أوامر xcommand المختلفة.

عند استخدام سر العميل، من الممكن إدارة شهادة تعريف Webex الخارجية بأمان عبر xAPI. يقتصر هذا حاليا على الأجهزة عبر الإنترنت.

يوفر Webex حاليًا أوامر API لإدارة هذا الأمر.

الميزات والقيود

الأجهزة

يمكن لسلسلة Webex Room التالية المسجلة على السحابة وأجهزة سلسلة Webex Desk الانضمام إلى اجتماعات E2EE:

  • Webex Board

  • Webex Desk Pro

  • Webex Desk

  • Webex Room Kit

  • Webex Room Kit Mini

لا يمكن أن تنضم الأجهزة التالية إلى اجتماعات E2EE:

  • سلسلة Webex C

  • سلسلة Webex DX

  • سلسلة Webex EX

  • سلسلة Webex MX

  • أجهزة SIP التابعة لجهات خارجية

عملاء البرمجيات

  • يمكن لتطبيق Webex لعملاء سطح المكتب والأجهزة المحمولة الانضمام إلى اجتماعات E2EE.

  • لا يمكن لعميل ويب Webex الانضمام إلى اجتماعات E2EE.

  • لا يمكن لعملاء SIP الناعمة التابعين لجهات خارجية الانضمام إلى اجتماعات E2EE.

الهوية

  • وفقًا للتصميم، لا نوفر لك خيارات Control Hub لإدارة هوية الجهاز التي تم التحقق منها خارجيًا. بالنسبة للتشفير الحقيقي من طرف إلى طرف، يجب عليك فقط معرفة/الوصول إلى الأسرار والمفاتيح. إذا قدمنا خدمة سحابية لإدارة هذه المفاتيح ، فهناك فرصة لاعتراضها.

  • في الوقت الحالي نقدم لك "وصفة" لتصميم أدواتك الخاصة ، بناءً على تقنيات التشفير القياسية في الصناعة ، للمساعدة في طلب أو تشفير شهادات هوية جهازك ومفاتيحها الخاصة. لا نريد أن يكون لدينا أي وصول حقيقي أو متصور إلى أسرارك أو مفاتيحك.

Meetings

  • تدعم اجتماعات E2EE حاليًا 1000 مشارك كحد أقصى.

  • يمكنك مشاركة اللوحات البيضاء الجديدة في اجتماعات E2EE. هناك بعض الاختلافات بين اللوحات البيضاء في الاجتماعات العادية:
    • في اجتماعات E2EE، لا يستطيع المستخدمون الوصول إلى اللوحات البيضاء التي تم إنشاؤها خارج الاجتماع، بما في ذلك اللوحات البيضاء الخاصة واللوحات البيضاء التي يشاركها الآخرون واللوحات البيضاء من مساحات Webex.
    • لا تتوفر اللوحات البيضاء التي تم إنشاؤها في اجتماعات E2EE إلا أثناء الاجتماع. لا يتم حفظها ولا يمكن الوصول إليها بعد انتهاء الاجتماع.
    • إذا شارك شخص ما المحتوى في اجتماع E2EE، فيمكنك إضافة تعليق توضيحي له. للحصول على مزيد من المعلومات حول التعليقات التوضيحية، ارجع إلى تطبيق Webex | وضع علامة على المحتوى الذي تتم مشاركته مع التعليقات التوضيحية.

واجهة الإدارة

نوصي بشدة باستخدام Control Hub لإدارة موقع Meetings الخاص بك، لأن مؤسسات Control Hub لديها هوية مركزية للمؤسسة بأكملها.

موارد إضافية
المتطلبات الأساسية

  • اجتماعات Webex 41.7.

  • أجهزة سلسلة Webex Room وWebex Desk المسجلة على السحابة، 10.6.1-RoomOS_August_2021.

  • الوصول الإداري إلى موقع الاجتماع في Control Hub.

  • نطاق واحد أو أكثر تم التحقق منه في مؤسسة مركز التحكم (إذا كنت تستخدم المرجع المصدق المصدق ل Webex لإصدار شهادات الجهاز للهوية التي تم التحقق منها).

  • يجب تشغيل غرف اجتماعات التعاون حتى يتمكن الأشخاص من الانضمام من نظام الفيديو الخاص بهم. للحصول على مزيد من المعلومات، راجع السماح لأنظمة الفيديو بالانضمام إلى الاجتماعات والأحداث على موقع Webex الخاص بك.

الحصول على شهادات الجهاز

يمكنك تخطي هذه الخطوة إذا لم تكن بحاجة إلى هويات تم التحقق منها خارجيًا.

للحصول على أعلى مستوى من الأمان والتحقق من الهوية، يجب أن يكون لكل جهاز شهادة فريدة صادرة عن سلطة الشهادة العامة الموثوق بها (CA).

تحتاج إلى التفاعل مع المرجع المصدق لطلب الشهادات الرقمية وشرائها واستلامها وإنشاء المفاتيح الخاصة المقترنة. عند طلب الشهادة، استخدم هذه المعلمات:

  • يجب إصدار الشهادة وتوقيعها من قبل مرجع مصدق عام معروف.

  • فريد: نوصي بشدة باستخدام شهادة فريدة لكل جهاز. إذا كنت تستخدم شهادة واحدة لجميع الأجهزة، فهذا يعني أنك تعرض أمانك للخطر.

  • الاسم الشائع (CN) والاسم / الأسماء البديلة للموضوع (SAN / s): هذه ليست مهمة ل Webex ، ولكن يجب أن تكون قيما يمكن للبشر قراءتها وربطها بالجهاز. ستظهر CN للمشاركين الآخرين في الاجتماع كهوية أساسية تم التحقق منها للجهاز، وإذا قام المستخدمون بفحص الشهادة من خلال واجهة مستخدم الاجتماع، فسيرون SAN/s. قد ترغب في استخدام أسماء مثل name.model@example.com.

  • تنسيق الملف: يجب أن تكون الشهادات والمفاتيح بتنسيق .pem .

  • قصد: يجب أن يكون الغرض من الشهادة هو Webex Identity.

  • مفاتيح التوليد: يجب أن تستند الشهادات إلى أزواج مفاتيح ECDSA P-256 (خوارزمية التوقيع الرقمي للمنحنى البيضاوي باستخدام منحنى P-256).

    لا يمتد هذا المطلب إلى مفتاح التوقيع. يمكن للمرجع المصدق استخدام مفتاح RSA لتوقيع الشهادة.

الاستعداد لضم الأجهزة

يمكنك تخطي هذه الخطوة إذا كنت لا تريد استخدام هوية تم التحقق منها خارجيًا مع أجهزتك.

إذا كنت تستخدم أجهزة جديدة ، فلا تقم بتسجيلها في Webex حتى الآن. لكي تكون آمنًا، لا تقم بتوصيلهم بالشبكة في هذه المرحلة.

إذا كان لديك أجهزة موجودة تريد ترقيتها لاستخدام هوية تم التحقق منها خارجيًا، فيجب عليك إعادة تعيين الأجهزة إلى المصنع.

  • احفظ التكوين الحالي إذا كنت تريد الاحتفاظ به.

  • جدولة نافذة عند عدم استخدام الأجهزة، أو استخدام نهج مرحلي. إعلام المستخدمين بالتغييرات التي يمكن أن يتوقعوها.

  • ضمان الوصول الفعلي إلى الأجهزة. إذا كان يجب عليك الوصول إلى الأجهزة عبر الشبكة ، فاعلم أن الأسرار تنتقل بنص عادي وأنك تعرض أمانك للخطر.

بمجرد الانتهاء من هذه الخطوات، اسمح لأنظمة الفيديو بالانضمام إلى الاجتماعات والأحداث على موقع Webex الخاص بك.

فهم عملية الهوية الخارجية للأجهزة

للتأكد من أن وسائط جهازك لا يمكن تشفيرها من قبل أي شخص باستثناء الجهاز، يجب عليك تشفير المفتاح الخاص على الجهاز. لقد صممنا واجهات API للجهاز لتمكين إدارة المفتاح المشفر والشهادة، باستخدام تشفير الويب JSON (JWE).

لضمان التشفير الحقيقي من طرف إلى طرف من خلال سحابتنا، لا يمكننا المشاركة في تشفير وتحميل الشهادة والمفتاح. إذا كنت بحاجة إلى هذا المستوى من الأمان، يجب عليك:

  1. اطلب شهاداتك.

  2. قم بإنشاء أزواج مفاتيح شهاداتك.

  3. قم بإنشاء (وحماية) سر أولي لكل جهاز ، لزرع قدرة تشفير الجهاز.

  4. قم بتطوير وصيانة أداتك الخاصة لتشفير الملفات باستخدام معيار JWE.

    يتم شرح العملية والمعلمات (غير السرية) التي ستحتاج إليها أدناه ، بالإضافة إلى وصفة لمتابعة في أدوات التطوير التي تختارها. كما نقدم بعض بيانات الاختبار ونقاط JWE الناتجة كما نتوقعها ، لمساعدتك في التحقق من عمليتك.

    يتوفر تطبيق مرجعي غير مدعوم باستخدام Python3 ومكتبة JWCrypto من Cisco عند الطلب.

  5. قم بتسلسل الشهادة والمفتاح وتشفيرهما باستخدام أداتك والسر الأولي للجهاز.

  6. قم بتحميل فقاعة JWE الناتجة إلى الجهاز.

  7. قم بتعيين الغرض من الشهادة المشفرة لاستخدامها لهوية Webex، وقم بتنشيط الشهادة.

  8. (موصى به) توفير واجهة لـ (أو توزيع) أداتك لتمكين مستخدمي الجهاز من تغيير السر الأولي وحماية الوسائط الخاصة بهم منك.

كيف نستخدم تنسيق JWE

يصف هذا القسم كيف نتوقع إنشاء JWE كإدخال إلى الأجهزة، بحيث يمكنك إنشاء الأداة الخاصة بك لإنشاء النقاط من الشهادات والمفاتيح.

راجع تشفير الويب JSON (JWE) https://datatracker.ietf.org/doc/html/rfc7516 وتوقيع الويب JSON (JWS) https://datatracker.ietf.org/doc/html/rfc7515.

نستخدم التسلسلية المدمجة لمستند JSON لإنشاء نقاط JWE. المعلمات التي تحتاج إلى تضمينها عند إنشاء نقاط JWE هي:

  • عنوان JOSE (محمي). في رأس توقيع كائن JSON وتشفيره، يجب تضمين أزواج القيم الرئيسية التالية:

    • "alg":"dir"

      الخوارزمية المباشرة هي الوحيدة التي ندعمها لتشفير الحمولة ، ويجب عليك استخدام سر العميل الأولي للجهاز.

    • "enc":"A GCM" أو "enc":"A256GCM"

      نحن ندعم هاتين الخوارزميتين للتشفير.

    • "cisco-action": "add" أو "cisco-action": "population" أو "cisco-action": "activate" أو "cisco-action": "disactivate"

      هذا هو مفتاح الملكية وأربع قيم يمكن أن يتخذها. قدمنا هذا المفتاح للإشارة إلى الغرض من البيانات المشفرة إلى الجهاز المستهدف. تتم تسمية القيم بعد أوامر xAPI على الجهاز الذي تستخدم فيه البيانات المشفرة.

      لقد أطلقنا عليها اسم cisco-action للحد من الاشتباكات المحتملة مع امتدادات JWE المستقبلية.

    • "cisco-kdf": { "version": "1", "salt": "base URLEncodedRandom4+Bytes" }

      مفتاح ملكية آخر. نحن نستخدم القيم التي تقدمها كمدخلات لاشتقاق المفاتيح على الجهاز. يجب أن يكون الإصدار1 (الإصدار من وظيفة الاشتقاق الرئيسية لدينا). يجب أن تكون قيمة الملح سلسلة مرمزة بـ base64 URL تتكون من 4 بايت على الأقل، والتي يجب أن تختارها بشكل عشوائي.

  • مفتاح JWE المشفر. هذا الحقل فارغ. يستمد الجهاز من ClientSecret.

  • متجه تهيئة JWE. يجب توفير متجه تهيئة ترميز base64url لفك تشفير الحمولة. يجب أن تكون IV قيمة عشوائية 12 بايت (نحن نستخدم عائلة تشفير AES-GCM ، والتي تتطلب أن يكون طول IV 12 بايت).

  • JWE AAD (بيانات إضافية مُصادق عليها). يجب حذف هذا الحقل لأنه غير معتمد في التسلسل المضغوط.

  • نص تشفير JWE: هذه هي الحمولة المشفرة التي تريد الحفاظ على سريتها.

    قد يكون الحمولة فارغًا. على سبيل المثال، لإعادة تعيين سر العميل، تحتاج إلى الكتابة فوقه بقيمة فارغة.

    هناك أنواع مختلفة من الحمولات ، اعتمادا على ما تحاول القيام به على الجهاز. تتوقع أوامر xAPI المختلفة حمولات مختلفة، ويجب عليك تحديد الغرض من الحمولة باستخدام مفتاح cisco-action ، على النحو التالي:

    • باستخدام "cisco-action":"املأ" نص التشفير هو ClientSecret الجديد.

    • مع ""cisco-action":"add" النص التشفيري عبارة عن قطعة PEM تحمل الشهادة ومفتاحها الخاص (مختومة).

    • باستخدام ""cisco-action":"activate" نص التشفير هو بصمة الإصبع (تمثيل سداسي عشري لـ sha-1) من الشهادة التي نقوم بتنشيطها للتحقق من هوية الجهاز.

    • باستخدام ""cisco-action":"إلغاء تنشيط" نص التشفير هو بصمة الإصبع (تمثيل سداسي عشري لـ sha-1) للشهادة التي نقوم بإلغاء تنشيطها من استخدامها للتحقق من هوية الجهاز.

  • علامة مصادقة JWE: يحتوي هذا الحقل على علامة المصادقة للتأكد من سلامة نقطة JWE المضغوطة بالكامل

كيف نستمد مفتاح التشفير من ClientSecret

بعد أول مجموعة من السر ، لا نقبل أو نخرج السر كنص عادي. هذا لمنع هجمات القاموس المحتملة من قبل شخص يمكنه الوصول إلى الجهاز.

يستخدم برنامج الجهاز سر العميل كمدخل لدالة اشتقاق المفتاح (kdf) ثم يستخدم المفتاح المشتق لفك تشفير / تشفير المحتوى على الجهاز.

ما يعنيه هذا بالنسبة لك هو أن أداتك لإنتاج نقاط JWE يجب أن تتبع نفس الإجراء لاشتقاق نفس مفتاح التشفير / فك التشفير من سر العميل.

تستخدم الأجهزة scrypt لاشتقاق المفاتيح (انظر https://en.wikipedia.org/wiki/Scrypt) ، مع المعلمات التالية:

  • كوست فاكتور (N) هو 32768

  • BlockSizeFactor (ص) هو 8

  • عامل التوازي (ع) هو 1

  • الملح عبارة عن تسلسل عشوائي يتكون من 4 وحدات بايت على الأقل؛ يجب عليك توفير نفس الملح عند تحديد معلمة cisco- kdf.

  • أطوال المفاتيح إما 16 بايت (إذا قمت بتحديد خوارزمية AES-GCM 128) ، أو 32 بايت (إذا قمت بتحديد خوارزمية AES-GCM 256)

  • الحد الأقصى لغطاء الذاكرة هو 64MB

هذه المجموعة من المعلمات هي التكوين الوحيد ل scrypt المتوافق مع وظيفة اشتقاق المفاتيح على الأجهزة. ويسمى هذا kdf على الأجهزة "version":"1"، وهو الإصدار الوحيد المأخوذ حاليًا من قبل معلمة cisco kdf.

مثال عملي

فيما يلي مثال يمكنك اتباعه للتحقق من أن عملية تشفير JWE تعمل بنفس الطريقة التي أنشأناها على الأجهزة.

السيناريو المثال هو إضافة نقطة PEM إلى الجهاز (يحاكي إضافة شهادة ، مع سلسلة قصيرة جدا بدلا من شهادة + مفتاح كامل). سر العميل في المثال هو ossifrage.

  1. اختر تشفير تشفير. يستخدم هذا المثال A GCM (AES مع مفاتيح 128 بت في وضع عداد Galois). يمكن أن تستخدم أداتك A256GCM إذا كنت تفضل ذلك.

  2. اختر ملحا (يجب أن يكون تسلسلا عشوائيا لا يقل عن 4 بايت). يستخدم هذا المثال (سداسي بايت)E5 E6 53 08 03 F8 33 F6. القاعدة url تشفير التسلسل للحصول على 5eZTCAP4M_Y (إزالة الحشو base64).

  3. فيما يلي عينة مكالمة متسلسلة لإنشاء مفتاح تشفير المحتوى (cek):

    cek=scrypt(password="ossifrage", salt=4-byte-sequence, N=32768, r=8, p=1, keylength=16)

    يجب أن يكون المفتاح المشتق 16 بايت (سداسي) كما يلي:95 9e ba 6d d1 22 01 05 78 fe 6a 9d 22 78 ff ac التي قاعدة url ترميز إلى lZ bdEiAQV4_mqdInj_rA.

  4. اختر تسلسلا عشوائيا من 12 بايت لاستخدامه كمتجه تهيئة. يستخدم هذا المثال (سداسي عشري) 34 b3 5d dd 5f 53 7b af 2d 92 95 83 الذي قاعدة url ترميز إلى NLNd3V9Te tkpWD.

  5. قم بإنشاء رأس JOSE باستخدام تسلسل مضغوط (اتبع نفس ترتيب المعلمات التي نستخدمها هنا) ثم قم بترميزه base64url:

    {"alg":"dir","cisco-action":"add","cisco-kdf":{"salt":"5eZTCAP4M_Y","version":"1"},"enc":"A GCM"}

    عنوان JOSE المشفر الأساسي هو eyJhbGciOiJkaXIiLCJjaXNjby1hY3Rpb24iOiJhZGQiLCJjaXNjby1rZGYiOnsic2FsdCI6IjVlWlRDQVA0TV9ZIiwidmVyc2lvbiI6IjEifSwiZW5jIjoiQTEyOEdDTSJ9

    سيكون هذا هو العنصر الأول في فقاعة JWE.

  6. العنصر الثاني من نقطة JWE فارغ ، لأننا لا نوفر مفتاح تشفير JWE.

  7. العنصر الثالث من نقطة JWE هو متجه التهيئة NLNd3V9Te tkpWD.

  8. استخدم أداة تشفير JWE لإنتاج حمولة وعلامة مشفرة. لهذا المثال، الحمولة غير المشفرة ستكون فقاعة PEM وهمية هذا ملف PEM

    معلمات التشفير التي يجب عليك استخدامها هي:

    • الحمولة هي هذا ملف PEM

    • تشفير التشفير هو AES 128 GCM

    • رأس JOSE المشفر base64url كبيانات مصادق عليها إضافية (AAD)

    القاعدة url تشفير الحمولة المشفرة، والتي يجب أن تؤدي إلى f5lLVuWNfKfmzYCo1YJfODh

    هذا هو العنصر الرابع (JWE Ciphertext) في فقاعة JWE.

  9. قاعدة url تشفير العلامة التي أنتجتها في الخطوة 8، والتي يجب أن تؤدي إلى PE-wDFWGXFFBeo928cfZ1Q

    هذا هو العنصر الخامس في فقاعة JWE.

  10. تسلسل العناصر الخمسة لنقطة JWE مع النقاط (JOSEheader.. IV.Ciphertext.Tag) للحصول على:

    JhbGciOiJkaXNjby1hY3Rpb24iOiJhZGQiLCJjaXNjby1rZGYiOnsic2FsdCI6IjVlWlRDQVA0TV9ZIiwidmVyc2lvbiI6IjEifSwiZW5jIjoiQTEyOEdDTSJ..9NLNd3V9Te tkpWD.f5lLVuWNfKfmzYCo1YJfODhQ.PE-wDFWGXFFBeo928cfZ1Q

  11. إذا قمت باشتقاق نفس القيم المشفرة base64url كما نوضحها هنا ، باستخدام أدواتك الخاصة ، فأنت على استعداد لاستخدامها لتأمين تشفير E2E وهوية أجهزتك التي تم التحقق منها.

  12. لن يعمل هذا المثال فعليا ، ولكن من حيث المبدأ ، ستكون خطوتك التالية هي استخدام نقطة JWE التي أنشأتها أعلاه كإدخال إلى xcommand على الجهاز الذي يضيف الشهادة:

    شهادات أمن القيادة إضافة eyJhbGciOiJkaXIiLCJjaXNjby1hY3Rpb24iOiJhZGQiLCJjaXNjby1rZGYiOnsic2FsdCI6IjVlWlRDQVA0TV9ZIiwidmVyc2lvbiI6IjEifSwiZW5jIjoiQTEyOEdDTSJ..9NLNd3V9Te tkpWD.f5lLVuWNfKfmzYCo1YJfODhQ.PE-wDFWGXFFBeo928cfZ1Q

تتوفر أنواع جلسات الاجتماعات ذات الثقة الصفرية لجميع مواقع الاجتماعات دون أي تكلفة إضافية. يسمى أحد أنواع الجلسات هذه بـ Pro-End to End Encryption_VOIPonly. هذا هو اسم الخدمة العامة، والذي قد نغيره في المستقبل. للحصول على الأسماء الحالية لأنواع الجلسات، راجع معرفات أنواع جلسات العمل في القسم مرجع من هذه المقالة.

لا يوجد شيء تحتاج إلى القيام به للحصول على هذه الإمكانية لموقعك؛ فأنت بحاجة إلى منح نوع الجلسة الجديد (والذي يسمى أيضًا امتياز الاجتماع) للمستخدمين. يمكنك القيام بذلك بشكل فردي من خلال صفحة تكوين المستخدم ، أو بشكل مجمع باستخدام تصدير / استيراد CSV.

تحقق من نوع الجلسة الجديدة
1

سجّل الدخول إلى Control Hub، ثم انتقل إلى الخدمات > الاجتماع.

2

انقر على المواقع، واختر موقع Webex الذي تريد تغيير إعداداته، ثم انقر على الإعدادات.

3

ضمن الإعدادات الشائعة، حدد أنواع الجلسات.

4
يجب أن ترى واحدًا أو أكثر من أنواع جلسات التشفير من طرف إلى طرف. راجع قائمة معرفات نوع جلسة العمل في قسم المراجع من هذه المقالة. على سبيل المثال، قد تشاهد Pro-End to End Encryption_VOIPonly.

هناك نوع جلسة أقدم يحمل اسما مشابها جدا: التشفير من طرف إلى طرف. يتضمن نوع جلسة العمل هذا وصول PSTN غير المشفر إلى الاجتماعات. تأكد من أن لديك إصدار _VOIPonly لضمان التشفير من طرف إلى طرف. يمكنك التحقق من خلال تمرير مؤشر PRO في عمود رمز الجلسة؛ لهذا المثال، يجب أن يكون هدف الارتباط javascript:ShowFeature(652).

قد نقوم بتغيير أسماء الخدمة العامة لأنواع الجلسات هذه في المستقبل.

5

إذا لم يكن لديك نوع الجلسة الجديد بعد، فاتصل بممثل Webex الخاص بك.

التصرف التالي

قم بتمكين هذا النوع من الجلسات/امتياز الاجتماع لبعض المستخدمين أو جميعهم.

تمكين اجتماعات E2EE للمستخدمين الفرديين
1

سجّل الدخول إلى Control Hub، وانتقل إلى الإدارة > المستخدمون.

2

حدد حساب مستخدم لتحديثه، ثم حدد Meetings.

3

من الإعدادات تنطبق على القائمة المنسدلة، حدد موقع الاجتماع للتحديث.

4

حدد المربع المجاور لـ Pro-End to End Encryption_VOIPonly.

5

أغلق لوحة تكوين المستخدم.

6

كرر ذلك للمستخدمين الآخرين إذا لزم الأمر.

لتعيين هذا للعديد من المستخدمين، استخدم الخيار التالي، قم بتمكين اجتماعات E2EE لمستخدمين متعددين.

تمكين اجتماعات E2EE لمستخدمين متعددين
1

سجّل الدخول إلى Control Hub، ثم انتقل إلى الخدمات > الاجتماع.

2

انقر على المواقع، واختر موقع Webex الذي تريد تغيير الإعدادات له.

3

في قسم التراخيص والمستخدمون ، انقر فوق إدارة مجمعة.

4

انقر على إنشاء تقرير، وانتظر حتى نقوم بإعداد الملف.

5

عندما يكون الملف جاهزا، انقر فوق تصدير النتائج ثم فوق تنزيل. (يجب عليك إغلاق النافذة المنبثقة يدويًا بعد النقر على تنزيل.)

6

افتح ملف CSV الذي تم تنزيله للتحرير.

يوجد صف لكل مستخدم، ويحتوي عمود MeetingPrivilege على معرفات نوع الجلسة الخاصة به كقائمة محددة بفاصلة.

7

لكل مستخدم ترغب في منحه نوع الجلسة الجديد، قم بإضافة 1561 كقيمة جديدة في القائمة المحددة بفاصلة في خلية MeetingPrivilege .

يحتوي مرجع تنسيق ملف Webex CSV على تفاصيل عن الغرض من ملف CSV ومحتواه.

8

افتح لوحة تكوين موقع الاجتماع في مركز التحكم.

إذا كنت موجودا بالفعل في صفحة قائمة مواقع الاجتماع، فقد تحتاج إلى تحديثها.

9

في قسم التراخيص والمستخدمون ، انقر فوق إدارة مجمعة.

10

انقر على استيراد وحدد ملف CSV الذي تم تحريره، ثم انقر على استيراد . انتظر حتى يتم تحميل الملف.

11

عند الانتهاء من الاستيراد، يمكنك النقر فوق استيراد النتائج لمراجعة ما إذا كانت هناك أية أخطاء.

12

انتقل إلى صفحة المستخدمون وافتح أحد المستخدمين للتحقق من أن لديهم نوع الجلسة الجديد.

إضافة علامة مميزة صوتية لأغراض الأمان

يمكنك إضافة علامة مائية إلى تسجيلات الاجتماعات باستخدام نوع جلسة Webex Meetings Pro-End إلى End Encryption_VOIPonly ، والذي يسمح لك بتحديد عميل المصدر أو الجهاز الخاص بالتسجيلات غير المصرح بها للاجتماعات السرية.

عند تمكين هذه الميزة، يشتمل صوت الاجتماع على معرف فريد لكل عميل أو جهاز مشارك. يمكنك تحميل التسجيلات الصوتية إلى Control Hub، والذي يقوم بعد ذلك بتحليل التسجيل والبحث عن المعرفات الفريدة. يمكنك الاطلاع على النتائج لمعرفة عميل المصدر أو الجهاز الذي سجل الاجتماع.

  • لكي يتم تحليله، يجب أن يكون التسجيل ملف AAC أو MP3 أو M4A أو WAV أو MP4 أو AVI أو MOV لا يزيد حجمه عن 500 ميجابايت.
  • يجب أن يكون التسجيل أطول من 100 ثانية.
  • يمكنك فقط تحليل التسجيلات للاجتماعات التي يستضيفها الأشخاص في مؤسستك.
  • يتم الاحتفاظ بمعلومات العلامة المائية لنفس المدة التي يتم فيها الاحتفاظ بمعلومات اجتماع المؤسسة.

إضافة علامات صوتية إلى اجتماعات E2EE

  1. سجّل الدخول إلى Control Hub، ثم تحت الإدارة، حدد إعدادات المؤسسة.
  2. في قسم العلامات المائية للاجتماع ، قم بتشغيل إضافة علامة مائية صوتية.

    بعد مرور بعض الوقت على تشغيل هذا الخيار، يرى المستخدمون الذين يقومون بجدولة الاجتماعات باستخدام نوع جلسة Webex Meetings Pro-End إلى End Encryption_VOIPonly خيار وضع علامة مائية رقمية في قسم الأمان.

تحميل وتحليل اجتماع يحمل علامة مائية

  1. في Control Hub، تحت المراقبة، حدد استكشاف الأخطاء وإصلاحها.
  2. انقر فوق تحليل العلامة المائية.
  3. ابحث عن الاجتماع أو حدده في القائمة، ثم انقر على تحليل.
  4. في نافذة تحليل العلامة المائية الصوتية، أدخل اسمًا للتحليل الخاص بك.
  5. (اختياري) أدخل ملاحظة لتحليلك.
  6. اسحب ملف الصوت وأفلته ليتم تحليله، أو انقر فوق اختيار ملف للتصفح إلى ملف الصوت.
  7. انقر على إغلاق.

    عند اكتمال التحليل، سيتم عرضه في قائمة النتائج في صفحة تحليل العلامة المائية .

  8. حدد الاجتماع في القائمة للاطلاع على نتائج التحليل. انقر زر التنزيل لتنزيل النتائج.

الميزات والقيود

تتضمن العوامل المشاركة في فك ترميز العلامة المائية المسجلة بنجاح المسافة بين جهاز التسجيل ومكبر الصوت الذي يصدر الصوت ومستوى الصوت والضوضاء البيئية وما إلى ذلك. لدينا تكنولوجيا الوسم المائي لديها مرونة إضافية ليتم ترميزها عدة مرات، كما قد يحدث عندما يتم مشاركة وسائل الإعلام.

تم تصميم هذه الميزة لتمكين فك تشفير معرف العلامة المائية بنجاح في مجموعة واسعة ولكن معقولة من الظروف. هدفنا هو جهاز التسجيل ، مثل الهاتف المحمول ، الذي يقع على مكتب بالقرب من نقطة نهاية شخصية أو عميل كمبيوتر محمول ، يجب دائمًا إنشاء تسجيل يؤدي إلى تحليل ناجح. عندما يتم نقل جهاز التسجيل بعيدًا عن المصدر، أو يتم حجبه عن سماع طيف الصوت الكامل، يتم تقليل فرص إجراء تحليل ناجح.

من أجل تحليل التسجيل بنجاح، يلزم التقاط صوت الاجتماع بشكل معقول. إذا تم تسجيل صوت اجتماع على نفس الكمبيوتر الذي يستضيف العميل، فيجب عدم تطبيق القيود.

أجهزة التسجيل (CA الداخلية)

إذا كانت أجهزتك قد تم ضمها بالفعل إلى مؤسسة Control Hub الخاصة بك وكنت ترغب في استخدام Webex CA لإنشاء شهادات التعريف الخاصة بها تلقائيًا، فلن تحتاج إلى إعادة تعيين الأجهزة إلى المصنع.

يحدد هذا الإجراء المجال الذي يستخدمه الجهاز لتعريف نفسه، وهو مطلوب فقط إذا كان لديك نطاقات متعددة في مؤسسة مركز التحكم. إذا كان لديك أكثر من نطاق واحد، نوصيك بإجراء ذلك لجميع أجهزتك التي سيكون لها هوية "تم التحقق منها من Cisco". إذا لم تخبر Webex عن المجال الذي يحدد الجهاز، يتم اختيار المجال تلقائيًا، وقد يبدو الأمر خاطئًا للمشاركين الآخرين في الاجتماع.

قبل البدء

إذا لم يتم تضمين أجهزتك بعد، فاتبع تسجيل جهاز في Cisco Webex باستخدام API أو واجهة الويب المحلية أو إعداد السحابة على Board وDesk وRoom Series. يجب عليك أيضًا التحقق من المجال/المجالات التي تريد استخدامها لتحديد الأجهزة في إدارة مجالاتك.

1

سجّل الدخول إلى Control Hub، وتحت الإدارة، حدد الأجهزة.

2

حدد جهازا لفتح لوحة التكوين الخاصة به.

3

حدد النطاق الذي تريد استخدامه لتحديد هذا الجهاز.

4

كرر ذلك للأجهزة الأخرى.

أجهزة التسجيل (CA الخارجية)

قبل البدء

  • احصل على شهادة موقعة من CA ومفتاح خاص، بتنسيق .pem ، لكل جهاز.

  • ضمن علامة التبويب إعداد ، اقرأ موضوع فهم عملية الهوية الخارجية للأجهزة،

  • قم بإعداد أداة تشفير JWE فيما يتعلق بالمعلومات هناك.

  • تأكد من أن لديك أداة لإنشاء تسلسلات بايت عشوائية من الأطوال المعطاة.

  • تأكد من أن لديك أداة لقاعدة url ترميز البايتات أو النص.

  • تأكد من أن لديك تطبيق متسلسل.

  • تأكد من أن لديك كلمة أو عبارة سرية لكل جهاز.

1

ملء ClientSecret الخاص بالجهاز بسر نصي عادي:

في المرة الأولى التي تقوم فيها بنشر Secret، تقوم بتوفيره في نص عادي. لهذا السبب نوصي بالقيام بذلك في وحدة تحكم الجهاز الفعلي.

  1. يقوم Base64url بتشفير العبارة السرية لهذا الجهاز.

  2. افتح TShell على الجهاز.

  3. تشغيل xcommand Security ClientSecret Populate Secret: "MDEyMzQ1Njc4OWFiY2RlZg"

    يملأ أمر المثال أعلاه السر بالعبارة 0123456789abcdef. تحتاج إلى اختيار الخاصة بك.

الجهاز لديه سره الأولي. لا تنس هذا؛ لا يمكنك استعادته ويجب إعادة ضبط الجهاز للتشغيل مرة أخرى.
2

تسلسل شهادتك ومفتاحك الخاص:

  1. باستخدام محرر نصوص، افتح ملفات .pem، والصق النقطة الرئيسية نقطة الشهادة، واحفظها كملف .pem جديد.

    هذا هو نص الحمولة الذي ستقوم بتشفيره وتضعه في فتحة JWE الخاصة بك.

3

قم بإنشاء نقطة JWE لاستخدامها كإدخال لأمر إضافة الشهادة:

  1. إنشاء تسلسل عشوائي لا يقل عن 4 بايت. هذا هو الملح الخاص بك.

  2. اشتق مفتاح تشفير المحتوى باستخدام أداة التشفير.

    لهذا تحتاج إلى السر والملح وطول المفتاح لمطابقة تشفير التشفير الذي اخترته. هناك بعض القيم الثابتة الأخرى للتوريد (N = 32768 ، r = 8 ، p = 1). يستخدم الجهاز نفس العملية والقيم لاشتقاق نفس مفتاح تشفير المحتوى.

  3. إنشاء تسلسل عشوائي من 12 بايت بالضبط. هذا هو متجه التهيئة الخاص بك.

  4. إنشاء عنوان JOSE، إعداد ألغاز... encو cisco kdf المفاتيح كما هو موضح في فهم عملية الهوية الخارجية للأجهزة... قم بتعيين إجراء "إضافة" باستخدام المفتاح:value"cisco-action":"add" في عنوان JOSE الخاص بك (لأننا نضيف الشهادة إلى الجهاز).

  5. يقوم Base64url بترميز رأس JOSE.

  6. استخدم أداة تشفير JWE الخاصة بك مع التشفير المختار ورأس JOSE المشفر base64url لتشفير النص من ملف pem المتسلسل.

  7. يقوم Base64url بترميز متجه التهيئة وحمولة PEM المشفرة وعلامة المصادقة.

  8. قم بإنشاء نقطة JWE على النحو التالي (يتم ترميز جميع القيم base64url):

    JOSEHeader..InitVector.EncryptedPEM.AuthTag

4

افتح TShell على الجهاز وقم بتشغيل الأمر إضافة (متعدد الأسطر): 

خدمات شهادات أمان xcommand إضافة IsEncrypted: صحيح..JWE.str.ing\n .\n
5

تحقق من إضافة الشهادة عن طريق تشغيل عرض خدمات شهادات أمان xcommand

انسخ بصمة الشهادة الجديدة.

6

تنشيط الشهادة لهذا الغرض WebexIdentity:

  1. اقرأ بصمة الشهادة، إما من الشهادة نفسها أو من مخرجات عرض خدمات شهادات الأمان xcommand.

  2. قم بإنشاء تسلسل عشوائي لا يقل عن 4 بايت ، ويقوم base64url بترميز هذا التسلسل. هذا هو الملح الخاص بك.

  3. اشتق مفتاح تشفير المحتوى باستخدام أداة التشفير.

    لهذا تحتاج إلى السر والملح وطول المفتاح لمطابقة تشفير التشفير الذي اخترته. هناك بعض القيم الثابتة الأخرى للتوريد (N = 32768 ، r = 8 ، p = 1). يستخدم الجهاز نفس العملية والقيم لاشتقاق نفس مفتاح تشفير المحتوى.

  4. قم بإنشاء تسلسل عشوائي من 12 بايت بالضبط ، ويقوم base64url بترميز هذا التسلسل. هذا هو متجه التهيئة الخاص بك.

  5. إنشاء عنوان JOSE، إعداد ألغاز... encو cisco kdf المفاتيح كما هو موضح في فهم عملية الهوية الخارجية للأجهزة... قم بتعيين إجراء "تنشيط" باستخدام المفتاح:value"cisco-action":"activate" في عنوان JOSE الخاص بك (لأننا نقوم بتنشيط الشهادة على الجهاز).

  6. يقوم Base64url بترميز رأس JOSE.

  7. استخدم أداة تشفير JWE الخاصة بك مع التشفير المختار ورأس JOSE المشفر base64url لتشفير بصمة الشهادة.

    يجب أن تخرج الأداة تسلسل 16 أو 32 بايت، اعتمادا على ما إذا كنت قد اخترت AES-GCM 128 أو 256 بت، وعلامة مصادقة.

  8. Base64urlencode بصمة الإصبع المشفرة، وعلامة المصادقة.

  9. قم بإنشاء نقطة JWE على النحو التالي (يتم ترميز جميع القيم base64url):

    JOSEHeader..InitVector.EncryptedFingerprint.AuthTag

  10. افتح TShell على الجهاز وقم بتشغيل أمر التنشيط التالي:

     خدمات شهادات الأمان xcommand تنشيط الغرض: بصمة إصبع WebexIdentity: "بصمة..JWE.encrypted.fingerprint"

يحتوي الجهاز على شهادة مشفرة ونشطة صادرة عن CA ، جاهزة للاستخدام لتحديد هويتها في اجتماعات Webex المشفرة من طرف إلى طرف.
7

قم بتوصيل الجهاز إلى مؤسسة مركز التحكم.

اختبار التشفير من طرف إلى طرف مع التحقق من الهوية
1

جدولة اجتماع من النوع الصحيح (Webex Meetings Pro-End to End Encryption_VOIPonly).

راجع جدولة اجتماع Webex باستخدام التشفيرمن طرف إلى طرف.

2

انضم إلى الاجتماع كمضيف، من عميل Webex Meetings.

راجع الانضمام إلى اجتماع Webex باستخدام التشفيرمن طرف إلى طرف.

3

انضم إلى الاجتماع من جهاز تم التحقق من هويته بواسطة المرجع المصدق ل Webex.

4

بصفتك المضيف، تحقق من ظهور هذا الجهاز في ساحة الانتظار باستخدام رمز الهوية الصحيح.

راجع الانضمام إلى اجتماع Webex باستخدام التشفيرمن طرف إلى طرف.

5

انضم إلى الاجتماع من جهاز تم التحقق من هويته بواسطة مرجع مصدق خارجي.

6

بصفتك المضيف، تحقق من ظهور هذا الجهاز في ساحة الانتظار باستخدام رمز الهوية الصحيح. تعرف على المزيد حول رموز الهوية.

7

انضم إلى الاجتماع كمشارك في الاجتماعات غير المصادق عليها.

8

بصفتك المضيف، تحقق من ظهور هذا المشارك في ساحة الانتظار باستخدام رمز الهوية الصحيح.

9

كمضيف ، اعترف أو ارفض الأشخاص / الأجهزة.

10

تحقق من هويات المشارك/الجهاز حيثما أمكن عن طريق التحقق من الشهادات.

11

تحقق من أن كل شخص في الاجتماع يرى نفس رمز أمان الاجتماع.

12

انضم إلى الاجتماع مع مشارك جديد.

13

تحقق من أن الجميع يرون نفس رمز أمان الاجتماع الجديد.

تحديد النطاق والتوقعات

  • هل ستجعل الاجتماعات المشفرة من طرف إلى طرف خيار الاجتماع الافتراضي ، أو تمكينه فقط لبعض المستخدمين ، أو السماح لجميع المضيفين باتخاذ القرار؟ عندما تقرر كيف ستستخدم هذه الميزة ، قم بإعداد هؤلاء المستخدمين الذين سيستخدمونها ، خاصة فيما يتعلق بالقيود وما يمكن توقعه في الاجتماع.

  • هل تحتاج إلى التأكد من أنه لا يمكن لشركة Cisco أو أي شخص آخر فك تشفير المحتوى الخاص بك أو انتحال شخصية أجهزتك؟ إذا كان الأمر كذلك، فأنت بحاجة إلى شهادات من مرجع مصدق عام.

  • إذا كان لديك مستويات مختلفة من التحقق من الهوية، فقم بتمكين المستخدمين من التحقق من بعضهم البعض باستخدام هوية مدعومة بالشهادة. على الرغم من وجود ظروف يمكن أن يظهر فيها المشاركون على أنهم غير متحققين ، ويجب أن يعرف المشاركون كيفية التحقق ، فقد لا يكون الأشخاص الذين لم يتم التحقق منهم محتالين.

إدارة الهوية

إذا كنت تستخدم مرجعا مصدقا خارجيا لإصدار شهادات جهازك، فإن المسؤولية تقع على عاتقك لمراقبة الشهادات وتحديثها وإعادة تطبيقها.

إذا أنشأت السر الأولي، فافهم أن المستخدمين قد يرغبون في تغيير سر أجهزتهم. قد تحتاج إلى إنشاء واجهة / توزيع أداة لتمكينهم من القيام بذلك.

معرفات نوع الجلسة
الجدول رقم 1. معرفات نوع الجلسة للاجتماعات المشفرة من طرف إلى طرف

معرف نوع الجلسة

اسم الخدمة العامة

638

تشفير E2E + VoIP فقط

652

Pro-End to End Encryption_VOIPonly

660

Pro 3 نهاية حرة إلى نهاية Encryption_VOIPonly

تشفير E2E + الهوية

672

Pro 3 Free50-End to End Encryption_VOIPonly

673

مدرس التعليم E2E Encryption_VOIPonly

676

Broadworks قياسي بالإضافة إلى التشفير من طرف إلى طرف

677

برودووركس بريميوم بالإضافة إلى التشفير من طرف إلى طرف

681

سكولوجي مجاني بالإضافة إلى تشفير من طرف إلى طرف

أوامر xAPI ذات الصلة

تصف هذه الجداول أوامر واجهة برمجة تطبيقات أجهزة Webex التي أضفناها للاجتماعات المشفرة من طرف إلى طرف والهوية التي تم التحقق منها. لمزيد من المعلومات حول كيفية استخدام واجهة برمجة التطبيقات، راجع الوصول إلى واجهة برمجة التطبيقات لغرفة Webex والأجهزة المكتبية ولوحات Webex.

تتوفر أوامر xAPI هذه فقط على الأجهزة التي تكون إما:

  • مسجل في Webex

  • مسجلة محليا ومرتبطة ب Webex مع Webex Edge للأجهزة

الجدول رقم 2. واجهات برمجة التطبيقات على مستوى النظام للاجتماعات المشفرة من طرف إلى طرف والهوية التي تم التحقق منها

استدعاء واجهة برمجة التطبيقات

الوصف

xConfiguration مؤتمر EndToEndEncryption Identity Preferredالمجال: "example.com"

يتم إجراء هذا التكوين عندما يقوم المشرف بتعيين النطاق المفضل للجهاز من مركز التحكم. ضروري فقط إذا كان لدى المؤسسة أكثر من مجال واحد.

يستخدم الجهاز هذا المجال عندما يطلب شهادة من المرجع المصدق على Webex. ثم يحدد النطاق الجهاز.

لا ينطبق هذا التكوين عندما يكون لدى الجهاز شهادة نشطة صادرة من الخارج لتحديد هويته.

توفر EndToEndEncryption الخاص بمؤتمر الحالة

يشير إلى ما إذا كان بإمكان الجهاز الانضمام إلى اجتماع مشفر من طرف إلى طرف. تستدعي واجهة برمجة التطبيقات السحابية ذلك بحيث يعرف التطبيق المقترن ما إذا كان بإمكانه استخدام الجهاز للانضمام.

xStatus مؤتمر EndToEndEncryption Externalالتحقق من الهوية

يشير إلى ما إذا كان الجهاز يستخدم التحقق الخارجي (لديه شهادة صادرة من الخارج).

xStatus مؤتمر EndToEndEncryption Externalالهوية الهوية

هوية الجهاز كما تقرأ من الاسم الشائع للشهادة الصادرة من الخارج.

xStatus مؤتمر EndToEndEncryption Externalشهادة الهويةChain شهادة # معلومات محددة

يقرأ معلومات محددة من شهادة صادرة من الخارج.

في الأمر الموضح، استبدل # بعدد الشهادة. استبدل معلومات محددة بواحدة من:

  • بصمة الإصبع

  • Not After تاريخ انتهاء الصلاحية

  • NotBefore تاريخ بدء الصلاحية

  • الاسم الأساسي

  • خوارزمية المفتاح العام

  • رقم تسلسلي

  • خوارزمية التوقيع

  • الموضوع # Name قائمة بالمشاركين في الشهادة (مثل عنوان البريد الإلكتروني أو اسم المجال)

  • الصلاحية تعطي حالة صلاحية هذه الشهادة (على سبيل المثال صالحة أو منتهية الصلاحية)

xStatus مؤتمر EndToEndEncryption Externalحالة الهوية

حالة الهوية الخارجية للجهاز (على سبيل المثال: صالح أو خطأ).

xStatus مؤتمر EndToEndEncryption Internalالتحقق من الهوية

يشير إلى ما إذا كان الجهاز يحتوي على شهادة صالحة صادرة عن Webex CA.

xStatus مؤتمر EndToEndEncryption InternalIdentity الهوية

هوية الجهاز كما هي مقروءة من الاسم الشائع لشهادة Webex.

يحتوي على اسم مجال إذا كان لدى المؤسسة مجال.

يكون فارغا إذا لم يكن لدى المؤسسة مجال.

إذا كان الجهاز في مؤسسة بها مجالات متعددة، فهذه هي القيمة من PreferredDomain.

xStatus Conference EndToEndEncryption InternalCertificateIdentityChain certificate # معلومات محددة

يقرأ معلومات محددة من الشهادة الصادرة عن Webex.

في الأمر الموضح، استبدل # بعدد الشهادة. استبدل معلومات محددة بواحدة من:

  • بصمة الإصبع

  • Not After تاريخ انتهاء الصلاحية

  • NotBefore تاريخ بدء الصلاحية

  • الاسم الأساسي

  • خوارزمية المفتاح العام

  • رقم تسلسلي

  • خوارزمية التوقيع

  • الموضوع # Name قائمة بالمشاركين في الشهادة (مثل عنوان البريد الإلكتروني أو اسم المجال)

  • الصلاحية تعطي حالة صلاحية هذه الشهادة (على سبيل المثال صالحة أو منتهية الصلاحية)

الجدول رقم 3. في واجهات برمجة تطبيقات المكالمات للاجتماعات المشفرة من طرف إلى طرف والهوية التي تم التحقق منها

استدعاء واجهة برمجة التطبيقات

الوصف

تمت إضافة المشارك في مؤتمر xEventConference ParticipantList

المشارك في قائمة المشاركين في مؤتمر xEventتم تحديثه

تم حذف المشارك في قائمة المشاركين في مؤتمر xEventConference

تتضمن هذه الأحداث الثلاثة الآن EndToEndEncryptionStatus وEndToEndEncryptionIdentity وEndToEndEncryptionCertInfo للمشارك المتضرر.

الجدول رقم 4. واجهات برمجة التطبيقات ذات الصلة ب ClientSecret للاجتماعات المشفرة من طرف إلى طرف والهوية التي تم التحقق منها

استدعاء واجهة برمجة التطبيقات

الوصف

xCommand Security ClientSecret Populate Secret: "base url-encoded"

أو

xCommand الأمن ClientSecret Populate Secret: جوبلوب

يقبل قيمة نص عادي مشفر base64url لزرع سر العميل على الجهاز لأول مرة.

لتحديث السر بعد تلك المرة الأولى ، يجب عليك توفير نقطة JWE تحتوي على السر الجديد المشفر بواسطة السر القديم.

خدمات شهادات أمان القيادة إضافة JWEblob

إضافة شهادة (مع مفتاح خاص).

قمنا بتوسيع هذا الأمر لقبول نقطة JWE التي تحتوي على بيانات PEM المشفرة.

خدمات شهادات أمان الأوامر تنشيط الغرض: WebexIdentity FingerPrint: جوبلوب

تنشيط شهادة معينة ل WebexIdentity. لهذا الغرض، يتطلب الأمر تشفير بصمة الإصبع المحددة وتسلسلها في نقطة JWE.

خدمات شهادات أمان الأوامر إلغاء تنشيط الغرض: WebexIdentity FingerPrint: جوبلوب

إلغاء تنشيط شهادة معينة ل WebexIdentity. لهذا الغرض، يتطلب الأمر تشفير بصمة الإصبع المحددة وتسلسلها في نقطة JWE.