CTI интерфейс и сродна конфигурация

По-долу е изброена конфигурационната поръчка "inmost to outmost". Следването на тази заповед не е задължително.

  1. Конфигуриране на сървър за приложения за CTI абонаменти

  2. Конфигуриране на XSP|ADP за mTLS удостоверени CTI абонаменти

  3. Отваряне на входящи портове за защитен CTI интерфейс

  4. Абонирайте вашата Уебекс организация на Събития на BroadWorks CTI

Конфигуриране на сървър за приложения за CTI абонаменти

Актуализирайте ClientIdentity на сървър за приложения с общото име (CN) на Webex за Cisco BroadWorks CTI клиентски сертификат.

За всеки Сървър за приложения, който използвате с Webex, добавете самоличността на сертификата към ClientIdentity, както следва:

AS_CLI/System/ClientIdentity> add bwcticlient.webex.com

Общото име на клиентския сертификат Webex за Cisco BroadWorks е bwcticlient.webex.com.

Конфигуриране на TLS и шифри на CTI интерфейса

Нивата на конфигурируемост за интерфейса XSP|ADP CTI са следните:

Най-общи = Система > транспорт > CTI интерфейси > CTI интерфейс = Най-специфични

Контекстите на CLI, които използвате за преглед или промяна на различните SSL настройки, са:

Специфичност

CLI Контекст

Система (глобална)

(R22 и по-нови)

XSP|ADP_CLI/System/SSLCommonSettings/JSSE/Ciphers>

XSP|ADP_CLI/System/SSLCommonSettings/JSSE/Protocols>

Транспортни протоколи за тази система

(R22 и по-нови)

XSP|ADP_CLI/System/SSLCommonSettings/OpenSSL/Ciphers>

XSP|ADP_CLI/System/SSLCommonSettings/OpenSSL/Protocols>

Всички CTI интерфейси на тази система

(R22 и по-нови)

XSP|ADP_CLI/Interface/CTI/SSLCommonSettings/Ciphers>

XSP|ADP_CLI/Interface/CTI/SSLCommonSettings/Protocols>

Специфичен CTI интерфейс на тази система

(R22 и по-нови)

XSP|ADP_CLI/Interface/CTI/CTIServer/SSLSettings/Ciphers>

XSP|ADP_CLI/Interface/CTI/CTIServerSSLSettings/Protocols>

При нова инсталация, следните шифри се инсталират по подразбиране на системно ниво. Ако нищо не е конфигурирано на ниво интерфейс (например на CTI интерфейса или HTTP интерфейса), се прилага този списък с шифри. Обърнете внимание, че този списък може да се променя с течение на времето:

  • TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256

  • TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256

  • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256

  • TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256

  • TLS_DHE_DSS_WITH_AES_128_GCM_SHA256

  • TLS_DHE_RSA_WITH_AES_128_GCM_SHA256

  • TLS_DHE_RSA_WITH_AES_128_CBC_SHA256

  • TLS_DHE_DSS_WITH_AES_128_CBC_SHA256

  • TLS_ECDH_RSA_WITH_AES_128_GCM_SHA256

  • TLS_ECDH_ECDSA_WITH_AES_128_GCM_SHA256

  • TLS_ECDH_RSA_WITH_AES_128_CBC_SHA256

  • TLS_ECDH_ECDSA_WITH_AES_128_CBC_SHA256

Четене на конфигурацията на CTI TLS интерфейса на XSP|ADP

  1. Влезте в XSP|ADP и отидете до XSP|ADP_CLI/Interface/CTI/CTIServer>

  2. Въведете командата get и прочетете резултатите. Трябва да видите интерфейсите (IP адреси) и, за всеки, дали те изискват сертификат на сървъра и дали те изискват удостоверяване на клиента.

    XSP|ADP_CLI/Interface/CTI/CTIServer> get
  Interface IP  Port  Secure  Server Certificate  Client Auth Req
=================================================================
  10.155.6.175  8012    true                true             true

Добавяне на TLS 1.2 протокол към CTI интерфейса

Интерфейсът XSP|ADP CTI, който взаимодейства с Webex Cloud, трябва да бъде конфигуриран за TLS v1.2. Облакът не преговаря по-ранни версии на Протокола TLS.

За да конфигурирате протокола TLSv1.2 на CTI интерфейса:

  1. Влезте в XSP|ADP и отидете до XSP|ADP_CLI/Interface/CTI/CTIServer/SSLSettings/Protocols>

  2. Въведете командата get , за да видите кои протоколи вече се използват на този интерфейс.

  3. Въведете командата add TLSv1.2, за да гарантирате, че интерфейсът може да използва TLS 1.2 при комуникация с облака.

Редактиране на TLS шифри конфигурация на CTI интерфейс

За да конфигурирате необходимите шифри на CTI интерфейса:

  1. Влезте в XSP|ADP и отидете до XSP|ADP_CLI/Interface/CTI/CTIServer/SSLSettings/Ciphers>

  2. Въведете командата get, за да видите кои шифри вече се използват на този интерфейс. Трябва да има поне един от препоръчаните от Cisco пакети (вижте XSP|ADP Identity and Security Requirements в раздела „Общ преглед“).

  3. Въведете командата add , за да добавите шифър към CTI интерфейса.

    CLI на XSP|ADP изисква името на стандартния шифрован пакет на IANA, а не името на шифрования пакет на openSSL. Например, за да добавите openSSL шифъра ECDHE-ECDSA-CHACHA20-POLY1305 към CTI интерфейса, ще използвате: XSP|ADP_CLI/Interface/CTI/CTIServer/SSLSettings/Ciphers> add 192.0.2.7 TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305

    Вижте https://ciphersuite.info/ да намерите суита по двете имена.

Доверителни котви за CTI интерфейс (R22 и по-нови версии)

Тази процедура предполага, че XSP|ADP са или обърнати към интернет, или са обърнати към интернет чрез pass-through proxy. Конфигурацията на сертификата е различна за прокси прокси за преодоляване (вижте TLS изисквания за сертификат за TLS-мост прокси).

За всеки XSP|ADP във вашата инфраструктура, който публикува CTI събития към Webex, направете следното:

  1. Влезте в Partner Hub.

  2. Отидете на Услуги > Допълнителни връзки и щракнете върху Изтегляне на сертификата на Webex CA, за да получите CombinedCertChain2023.txt на вашия локален компютър.

    Тези файлове съдържат два комплекта от по два сертификата. Трябва да разделите файловете, преди да ги качите в XSP|ADP. Всички файлове са задължителни.

  3. Разделяне на веригата от сертификати на два сертификата - combinedcertchain2023.txt

    1. Отворете combinedcertchain2023.txt в текстов редактор.

    2. Изберете и изрежете първия блок от текста, включително редовете -----BEGIN CERTIFICATE----- и -----END CERTIFICATE-----, и поставете текстовия блок в нов файл.

    3. Запазете новия файл като root2023.txt.

    4. Запазете оригиналния файл като issuing2023.txt. Оригиналният файл вече трябва да има само един блок текст, ограден от редовете -----BEGIN CERTIFICATE----- и -----END CERTIFICATE-----.

  4. Копирайте и двата текстови файла във временно място на XSP|ADP, който защитавате, например /var/broadworks/tmp/root2023.txt и /var/broadworks/tmp/issuing2023.txt

  5. Влезте в XSP|ADP и отидете до /XSP|ADP_CLI/Interface/CTI/SSLCommonSettings/ClientAuthentication/Trusts>

  6. (По избор) Изпълнете help updateTrust, за да видите параметрите и формата на командата.

  7. Качване на файловете със сертификати към нови точки за доверие - 2023

    XSP|ADP_CLI/Interface/CTI/SSLCommonSettings/ClientAuthentication/Trusts> updateTrust webexclientroot2023 /var/broadworks/tmp/root2023.txt

    XSP|ADP_CLI/Interface/CTI/SSLCommonSettings/ClientAuthentication/Trusts> updateTrust webexclientissuing2023 /var/broadworks/tmp/issuing2023.txt

    Всички псевдоними трябва да имат различно име. webexclientroot2023и webexclientissuing2023 са примерни псевдоними за доверените котви; можете да използвате свои собствени, стига всички записи да са уникални.

  8. Потвърдете анкерите се актуализират:

    XSP|ADP_CLI/Interface/CTI/SSLCommonSettings/ClientAuthentication/Trusts> get

      Alias   Owner                                   Issuer
=============================================================================
webexclientissuing2023       Internal Private TLS SubCA      Internal Private Root
webexclientroot2023       Internal Private Root      Internal Private Root[self-signed]

  9. Разрешаване на клиенти да удостоверяват със сертификати:

    XSP|ADP_CLI/System/CommunicationUtility/DefaultSettings/ExternalAuthentication/CertificateAuthentication> set allowClientApp true

Добавяне на CTI интерфейс и Разрешаване на mTLS

  1. Добавете CTI SSL интерфейса.

    Контекстът на CLI зависи от вашата версия на BroadWorks. Командата създава самоподписан сертификат на сървъра на интерфейса и принуждава интерфейса да изисква сертификат на клиент.

    • На BroadWorks R22 и R23:

      XSP|ADP_CLI/Interface/CTI/CTIServer> add 8012 true true true

  2. Сменете сертификата и ключа на сървъра на CTI интерфейсите на XSP|ADP. Имате нужда от IP адреса на CTI интерфейса за това; можете да го прочетете от следния контекст:

    • На BroadWorks R22 и R23:

      XSP|ADP_CLI/Interface/CTI/CTIServer> get

      След това изпълнете следните команди, за да замените самоподписаното удостоверение на интерфейса със собствен сертификат и частен ключ:

      XSP|ADP_CLI/Interface/CTI/CTIServer/SSLSettings/Certificates> sslUpdate keyFile certificateFile chainFile

  3. Рестартирайте XSP|ADP.

Разрешаване на достъп до CTI събития на BroadWorks в Webex

Трябва да добавите и валидирате CTI интерфейса, когато конфигурирате клъстерите си в Partner Hub. Вижте Конфигуриране на вашата партньорска организация в Partner Hub за подробни инструкции.

  • Задайте CTI адреса, по който Webex може да се абонира за Събития на BroadWorks CTI.

  • Абонаментите за CTI са на база за абонат и се установяват и поддържат само докато този абонат е предвиден за Webex за Cisco BroadWorks.