Rozhraní CTI a související konfigurace

Pořadí konfigurace "nejvnitřnější až nejvzdálenější" je uvedeno níže. Dodržování tohoto pořadí není povinné.

  1. Konfigurace aplikačního serveru pro předplatná CTI

  2. Konfigurace XSP|ADP pro předplatné CTI ověřené mTLS

  3. Otevření příchozích portů pro zabezpečené rozhraní CTI

  4. Přihlásit svou organizaci Webex k událostem BroadWorks CTI

Konfigurace aplikačního serveru pro předplatná CTI

Aktualizujte ClientIdentity na aplikačním serveru běžným názvem (CN) klientského certifikátu Webex pro Cisco BroadWorks CTI.

Pro každý aplikační server, který používáte s Webexem, přidejte identitu certifikátu do ClientIdentity následujícím způsobem:

AS_CLI/System/ClientIdentity> add bwcticlient.webex.com

Běžný název klientského certifikátu Webex pro Cisco BroadWorks je bwcticlient.webex.com.

Konfigurace protokolů TLS a šifer v rozhraní CTI

Úrovně konfigurovatelnosti rozhraní XSP|ADP CTI jsou následující:

Nejobecnější = Rozhraní > > CTI > Rozhraní CTI = Nejspecifičtější

Kontexty rozhraní příkazového řádku, které používáte k zobrazení nebo úpravě různých nastavení SSL, jsou:

Specifičnost

Kontext rozhraní příkazového řádku

Systém (globální)

(R22 a novější)

XSP|ADP_CLI/System/SSLCommonSettings/JSSE/Ciphers>

XSP|ADP_CLI/System/SSLCommonSettings/JSSE/Protocols>

Transportní protokoly pro tento systém

(R22 a novější)

XSP|ADP_CLI/System/SSLCommonSettings/OpenSSL/Ciphers>

XSP|ADP_CLI/System/SSLCommonSettings/OpenSSL/Protocols>

Všechna rozhraní CTI v tomto systému

(R22 a novější)

XSP|ADP_CLI/Interface/CTI/SSLCommonSettings/Ciphers>

XSP|ADP_CLI/Interface/CTI/SSLCommonSettings/Protocols>

Specifické rozhraní CTI v tomto systému

(R22 a novější)

XSP|ADP_CLI/Interface/CTI/CTIServer/SSLSettings/Ciphers>

XSP|ADP_CLI/Interface/CTI/CTIServerSSLSettings/Protocols>

Při nové instalaci se na úrovni systému standardně nainstalují následující šifry. Pokud na úrovni rozhraní není nic nakonfigurováno (například na rozhraní CTI nebo HTTP), platí tento seznam šifer. Upozorňujeme, že tento seznam se může v průběhu času měnit:

  • TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256

  • TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256

  • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256

  • TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256

  • TLS_DHE_DSS_WITH_AES_128_GCM_SHA256

  • TLS_DHE_RSA_WITH_AES_128_GCM_SHA256

  • TLS_DHE_RSA_WITH_AES_128_CBC_SHA256

  • TLS_DHE_DSS_WITH_AES_128_CBC_SHA256

  • TLS_ECDH_RSA_WITH_AES_128_GCM_SHA256

  • TLS_ECDH_ECDSA_WITH_AES_128_GCM_SHA256

  • TLS_ECDH_RSA_WITH_AES_128_CBC_SHA256

  • TLS_ECDH_ECDSA_WITH_AES_128_CBC_SHA256

Čtení konfigurace rozhraní CTI TLS na XSP|ADP

  1. Přihlaste se do XSP|ADP a přejděte na XSP|ADP_CLI/Interface/CTI/CTIServer>

  2. Zadejte příkaz get a přečtěte si výsledky. Měli byste vidět rozhraní (IP adresy) a pro každé z nich, zda vyžadují certifikát serveru a zda vyžadují ověření klienta.

    XSP|ADP_CLI/Interface/CTI/CTIServer> get
  Interface IP  Port  Secure  Server Certificate  Client Auth Req
=================================================================
  10.155.6.175  8012    true                true             true

Přidání protokolu TLS 1.2 do rozhraní CTI

Rozhraní XSP|ADP CTI, které interaguje s Webex Cloud, musí být nakonfigurováno pro TLS v1.2. Cloud nevyjednává starší verze protokolu TLS.

Konfigurace protokolu TLSv1.2 v rozhraní CTI:

  1. Přihlaste se do XSP|ADP a přejděte na XSP|ADP_CLI/Interface/CTI/CTIServer/SSLSettings/Protocols>

  2. Zadejte příkaz get a zjistěte, které protokoly se na tomto rozhraní již používají.

  3. Zadejte příkaz add TLSv1.2, abyste zajistili, že rozhraní může při komunikaci s cloudem používat TLS 1.2.

Úprava konfigurace šifer TLS v rozhraní CTI

Konfigurace požadovaných šifer v rozhraní CTI:

  1. Přihlaste se do XSP|ADP a přejděte na XSP|ADP_CLI/Interface/CTI/CTIServer/SSLSettings/Ciphers>

  2. Zadejte příkaz get a zjistěte, které šifry se na tomto rozhraní již používají. Musí existovat alespoň jeden z doporučených sad Cisco (viz XSP|Požadavky na identitu a zabezpečení ADP v části Přehled).

  3. Zadejte příkaz add pro přidání šifry do rozhraní CTI.

    Rozhraní CLI XSP|ADP vyžaduje standardní název šifrovací sady IANA, nikoli název šifrovací sady openSSL. Například pro přidání šifry openSSL ECDHE-ECDSA-CHACHA20-POLY1305 do rozhraní CTI byste použili: XSP|ADP_CLI/Interface/CTI/CTIServer/SSLSettings/Ciphers> add 192.0.2.7 TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305

    Podívejte https://ciphersuite.info/ se, jak najít sadu podle obou jmen.

Důvěryhodné kotvy pro rozhraní CTI (R22 a novější)

Tento postup předpokládá, že ADP XSP|jsou buď připojeny k internetu, nebo jsou k internetu připojeny přes průchozí proxy. Konfigurace certifikátu se liší pro přemosťující proxy server (viz Požadavky na certifikát TLS pro proxy TLS-bridge).

Pro každý XSP|ADP ve vaší infrastruktuře, který publikuje události CTI do Webexu, proveďte následující:

  1. Přihlas se do partnerského centra.

  2. Přejít na Služby > Další odkazy a kliknutím na Stáhnout certifikát CA Webex získáte CombinedCertChain2023.txt na svém místním počítači.

    Tyto soubory obsahují dvě sady po dvou certifikátech. Před nahráním do XSP|ADP je nutné soubory rozdělit. Všechny soubory jsou povinné.

  3. Rozdělte řetězec certifikátů na dva certifikáty - combinedcertchain2023.txt

    1. Otevřete combinedcertchain2023.txt v textovém editoru.

    2. Vyberte a vyjměte první blok textu, včetně řádků -----BEGIN CERTIFICATE----- a -----END CERTIFICATE-----, a vložte textový blok do nového souboru.

    3. Uložte nový soubor jako root2023.txt.

    4. Uložte původní soubor jako issuing2023.txt. Původní soubor by nyní měl obsahovat pouze jeden blok textu, ohraničený řádky -----BEGIN CERTIFICATE----- a -----END CERTIFICATE-----.

  4. Zkopírujte oba textové soubory do dočasného umístění na XSP|ADP, které zabezpečujete, např. /var/broadworks/tmp/root2023.txt a /var/broadworks/tmp/issuing2023.txt

  5. Přihlaste se do XSP|ADP a přejděte na /XSP|ADP_CLI/Interface/CTI/SSLCommonSettings/ClientAuthentication/Trusts>

  6. (Volitelné) Spusťte help updateTrust pro zobrazení parametrů a formátu příkazu.

  7. Nahrávání souborů certifikátů do nových kotev důvěryhodnosti – 2023

    XSP|ADP_CLI/Interface/CTI/SSLCommonSettings/ClientAuthentication/Trusts> updateTrust webexclientroot2023 /var/broadworks/tmp/root2023.txt

    XSP|ADP_CLI/Interface/CTI/SSLCommonSettings/ClientAuthentication/Trusts> updateTrust webexclientissuing2023 /var/broadworks/tmp/issuing2023.txt

    Všechny aliasy musí mít jiné jméno. webexclientroot2023a webexclientissuing2023 jsou příklady aliasů pro důvěryhodné kotvy; můžete použít vlastní, pokud jsou všechny položky jedinečné.

  8. Potvrďte, že jsou kotvy aktualizovány:

    XSP|ADP_CLI/Interface/CTI/SSLCommonSettings/ClientAuthentication/Trusts> get

      Alias   Owner                                   Issuer
=============================================================================
webexclientissuing2023       Internal Private TLS SubCA      Internal Private Root
webexclientroot2023       Internal Private Root      Internal Private Root[self-signed]

  9. Povolit klientům ověřování pomocí certifikátů:

    XSP|ADP_CLI/System/CommunicationUtility/DefaultSettings/ExternalAuthentication/CertificateAuthentication> set allowClientApp true

Přidání rozhraní CTI a povolení mTLS

  1. Přidejte rozhraní CTI SSL.

    Kontext rozhraní příkazového řádku závisí na vaší verzi BroadWorks. Příkaz vytvoří v rozhraní certifikát serveru podepsaný svým držitelem a vynutí, aby rozhraní vyžadovalo klientský certifikát.

    • Na BroadWorks R22 a R23:

      XSP|ADP_CLI/Interface/CTI/CTIServer> add 8012 true true true

  2. Nahraďte certifikát a klíč serveru na rozhraních CTI XSP|ADP. K tomu potřebujete IP adresu rozhraní CTI; můžete si ji přečíst z následujícího kontextu:

    • Na BroadWorks R22 a R23:

      XSP|ADP_CLI/Interface/CTI/CTIServer> get

      Pak spuštěním následujících příkazů nahraďte certifikát rozhraní podepsaný svým držitelem vlastním certifikátem a soukromým klíčem:

      XSP|ADP_CLI/Interface/CTI/CTIServer/SSLSettings/Certificates> sslUpdate keyFile certificateFile chainFile

  3. Restartujte XSP|ADP.

Povolit přístup k událostem ČOi BroadWorks na Webexu

Při konfiguraci clusterů v partnerském centru je třeba přidat a ověřit rozhraní CTI. Podrobné pokyny najdete v tématu Konfigurace partnerské organizace v partnerském centru.

  • Zadejte adresu CTI, pomocí které se Webex může přihlásit k odběru událostí BroadWorks CTI.

  • Předplatná CTI jsou na základě jednotlivých předplatitelů a jsou vytvořena a udržována pouze v době, kdy je tento předplatitel zřízen pro Webex pro Cisco BroadWorks.