Общ преглед

По време на TLS ръкостискане стандартен TLS клиент проверява валидността на сертификата на сървъра на TLS. Въпреки това, това изпълнение може потенциално да доведе до атака "човек по средата", когато Jabber се разгръща по интернет. По време на влизане, ако хакер представи на Jabber собствения си сървър с валиден TLS сертификат вместо Expressway, тогава Jabber при липса на по-нататъшен контрол, приема този сертификат и потребителят може да бъде свързан към злонамерена система. За да избегне този проблем, Jabber извършва допълнителна стъпка за валидиране, която не е част от стандартния TLS, той проверява дали домейнът, въведен по време на процеса на влизане от потребителя, съвпада с алтернативните имена на субектите (SAN), включени в сертификата. Jabber прави опити за сварване с Expressway само при наличие на съвпадение. Всяко SAN вписване, направено в сертификата, изисква да бъде подписано от сертифициращия орган (CA), което означава, че само компанията, която притежава домейна, ще може да получи CA-подписан сертификат.

Всеки SAN, въведен в сертификата, подлежи на валидиране от сертифициращия орган (CA), така че само компанията, която притежава домейна, може да получи CA-подписан сертификат. Това значително затруднява кражбата на самоличност в Expressway.

В специализирания екземпляр Cisco управлява сертификатите за UC приложенията и следователно сертификатите се подписват само с предоставения от Cisco домейн, например за customer.amer.wxc-di.webex.com. За да може обаче крайният потребител да влезе в клиент на Jabber с имейл адрес на клиент, трябва да действа по някой от следните начини:

Опция 1 - Първоначално влизане на краен потребител в Jabber

Потребителите могат да бъдат уведомен, че при първоначалното си влизане в клиент на Jabber трябва да използват домейн за гласова услуга на Cisco user@customer.amer.wxc-di.webex.com на началния екран, последно от потребителското име и имейл адреса на компанията и паролата на следващия екран. Тъй като това е най-простият подход, стъпките са илюстрирани по-подробно:

  1. Потребителят трябва да влезе в домейна за гласови услуги на Cisco, например user@customer.amer.wxc-di.webex.comна началния екран за вход в Jabber, както е показано на фигурата по-долу.


    Домейнът за гласови услуги на клиента се споделя от Cisco за всеки регион, когато активирането на услугата приключи. Тази информация е част от документа с подробни данни за достъпа, споделен в пространството на приложението Webex. За повече подробности вижте Активиране на услуга за специализиран екземпляр.

  2. Потребителят получава подкана да въведе потребителското име или имейл адреса на компанията заедно с паролата за удостоверяване, както е показано на фигурата по-долу.


    Ако SSO е разрешено, подобна операция ще бъде извършена от IdP.

    Публикуването при последващите влизания не изисква потребителят да извършва Стъпка 1, освен ако клиентът на Jabber не се нулира.

Опция 2: Използвайте домейна за гласови услуги

С този подход клиентът на Jabber може да направи разлика между домейна на клиента, въведен от потребителя, и домейна за откриване на услуги. В инсталатора, ако домейнът на гласовата услуга е настроен на customer.amer.wxc-di.webex.com, потребителят може да влезе в клиента на Jabber, като използва имейл адреса на своята компания, а Jabber все още може да направи откриването на услугата въз основа на стойността, зададена в домейна на гласовата услуга. Това ще премахне необходимостта от предоставяне на домейн за гласови услуги при първоначалното влизане в jabber съгласно горната опция.

За Windows:

Инструменти, като Microsoft Orca, могат да се използват за създаване на персонализирани инсталатори на Jabber, които могат да включват домейна на гласовата услуга. Потребителите могат да бъдат инструктирани да използват тези инсталатори за Jabber клиент.

За MAC, iOS, Android:

Инструменти, като MDM, могат да се използват за създаване на персонализирани инсталатори на Jabber, които могат да включват домейна на гласовата услуга.

Опция 3: Използвайте URL на конфигурацията

Конфигурационен URL адрес може да се използва за задаване на параметри на Jabber преди първоначалното влизане, като домейна за гласови услуги. Пример за конфигурационен URL: ciscojabber://provision?ServicesDomain=customer.com&VoiceServicesDomain=customer.amer.wxc-di.webex.com

Като кликнете върху горната връзка, домейнът за гласова услуга може да бъде зададен в Jabber клиент, работещ на MAC, Android или iOS устройства.


Тази конфигурация не е постоянна, потребителят ще трябва да кликне върху връзката отново, ако клиентът на Jabber се нулира.

Струва си да се отбележи, че Webex App няма горното изискване; клиентът извършва проверката на домейна, но е възможно да предостави домейна за гласова услуга в контролния център. Когато приложението Webex се свърже с Webex, то получава домейна за гласови услуги и регистрира същото. За повече информация относно вътрешните настройки на повикванията в приложението Webex вижтеВзаимодействие на приложението Webex със специализиран екземпляр за повикване от приложението.

Полезна връзка: Разгръщане на място на Cisco Jabber 14.0