slepé střevo

Konfigurace ověřovací služby XSP (s mTLS)

Dokončete postupy v tomto dodatku a nakonfigurujte ověřovací službu v broadworks tak, aby používala ověřování mTLS. V případech, kdy ověřování tokenu CI (s TLS) není podporováno, je ověřování mTLS povinné, včetně následujících instancí:

  • Pokud teteteme 21 zprostředkovatele R21,

  • Pokud tečet 22 nebo vyšší a více organizací Webex běží na stejném serveru XSP


Pokud děláte R22 nebo vyšší a nemá více organizací Webex spuštěných ze stejného serveru XSP, doporučuje se pro službu Auth Service ověření tokenu CI (s TLS). Podrobnosti najdete v části Konfigurace ověřovací služby (s ověřením tokenu CI) vkapitole Deploy Webex for BroadWorks.

Instalace ověřovací služby

V systému BroadWorks 21SP1 je ověřovací služba nespravovanou aplikací. Nainstalujte jej provedením následujících kroků:

  1. Stáhněte si authenticationService_1.0.war (zdroj webové aplikace) od Xchange (https://xchange.broadsoft.com/node/499012).

    U každého XSP používaného s Webexem prokažte následující kroky:

  2. Zkopírujte soubor WAR do dočasného umístění v XSP, například /tmp/

  3. Nainstalujte aplikaci ověřovací služby s následujícím kontextem a příkazem rozhraní příkazového řádku:

    XSP_CLI/Maintenance/ManagedObjects> install application /tmp/authenticationService_1.0.war

Konfigurace ověřovací služby

Tokeny s dlouhou životností BroadWorks jsou generovány a ověřovány ověřovací službou hostovanou na vašich XSP.

požadavky

  • Servery XSP hostující ověřovací službu musí mít nakonfigurované rozhraní mTLS.

  • XSP musí sdílet stejné klíče pro šifrování/dešifrování tokenů BroadWorks s dlouhou životností. Kopírování těchto klíčů do každého XSP je ruční proces.

  • XSP musí být synchronizovány s NTP.

Přehled konfigurace

Základní konfigurace XSP zahrnuje:

  • Nasaďte ověřovací službu.

  • Nakonfigurujte dobu trvání tokenu na nejméně 60 dní (ponechte vyřazence jako BroadWorks).

  • Generovat a sdílet klíče RSA napříč XSP.

  • Zadejte adresu URL authService do webového kontejneru.

Nasazení ověřovací služby v XSP

U každého XSP používaného s Webexem:

  1. Aktivace aplikace ověřovací služby na cestě /authService(musíte použít tuto cestu):

    XSP_CLI/Maintenance/ManagedObjects> activate application authenticationService <version> /authService

    (pokud <version> je 1.0 pro nespravovanou aplikaci na 21SP1).

  2. Nasaďte aplikaci:

    XSP_CLI/Maintenance/ManagedObjects> deploy application /authService

Konfigurace doby trvání tokenu

  1. Zkontrolujte existující konfiguraci tokenu (hodiny):

    Na 21SP1: XSP_CLI/Applications/authenticationService_1.0/TokenManagement> get

  2. Nastavte dobu trvání na 60 dní (max. je 180 dní):

    Na 21SP1: XSP_CLI/Applications/authenticationService_1.0/TokenManagement> set tokenDuration 1440

Generovat a sdílet klíče RSA

  • Pro šifrování/dešifrování tokenů ve všech instancích ověřovací služby je nutné použít stejné páry veřejných a soukromých klíčů.

  • Dvojice klíčů je generována ověřovací službou při prvním vydání tokenu.

Z důvodu těchto dvou faktorů je třeba generovat klíče na jednom XSP a pak je zkopírovat do všech ostatních XSP.


Pokud cyklické klíče nebo změníte délku klíče, musíte opakovat následující konfiguraci a restartovat všechny XSP.

  1. Vyberte jeden XSP, který chcete použít pro generování dvojice klíčů.

  2. Pomocí klienta můžete požádat o zašifrovaný token od tohoto XSP vyžádáním následující adresy URL z prohlížeče klienta:

    https://<XSP-IPAddress>/authService/token?key=BASE64URL(clientPublicKey)

    (Tím se vygeneruje soukromý / veřejný klíč pár na XSP, pokud ještě žádný nebyl)

  3. (pouze 21SP1) Zkontrolujte konfigurovatelné umístění klíče pomocí následujícího příkazu:

    XSP_CLI/Applications/authenticationService_1.0/KeyManagement> get

  4. (pouze 21SP1) Poznamenejte si vrácené fileLocation parametr.

  5. (pouze 21SP1) Zkopírujte celý fileLocation adresář, který obsahuje public a private na všechny ostatní XSP.

Poskytnutí adresy URL authService webovému kontejneru

Webový kontejner XSP potřebuje adresu URL authService, aby mohl ověřit tokeny.

Na každém z XSP:

  1. Přidejte adresu URL ověřovací služby jako externí ověřovací službu pro komunikační nástroj BroadWorks:

    XSP_CLI/System/CommunicationUtility/DefaultSettings/ExternalAuthentication/AuthService> set url http://127.0.0.1/authService

  2. Přidejte adresu URL ověřovací služby do kontejneru:

    XSP_CLI/Maintenance/ContainerOptions> add tomcat bw.authservice.authServiceUrl http://127.0.0.1/authService

    To umožňuje společnosti Webex používat ověřovací službu k ověření tokenů prezentovaných jako pověření.

  3. Zkontrolujte parametr pomocí get.

  4. Restartujte XSP.

Konfigurace služby Trust for Authentication Service (s mTLS)

Konfigurace důvěryhodnosti (R21 SP1)
  1. Přihlaste se do partnerského centra.

  2. Přejděte na nastavení > Volání BroadWorks a kliknutím na Stáhnout certifikát certifikačníautority Webex získejteCombinedCertChain.txt v místním počítači.


    Tento soubor obsahuje dva certifikáty. Před nahráním do XSP je třeba soubor rozdělit.
  3. Rozdělte řetěz certifikátů na dva certifikáty:

    1. Otevřeno combinedcertchain.txt v textovém editoru.

    2. Výběr a vyříznutí prvního bloku textu, včetně řádků -----BEGIN CERTIFICATE----- a -----END CERTIFICATE----- a vkládá textový blok do nového souboru.

    3. Uložit nový soubor jako broadcloudroot.txt.

    4. Uložit původní soubor jako broadcloudissuing.txt.

      Původní soubor by nyní měl mít pouze jeden blok textu, obklopený řádky. -----BEGIN CERTIFICATE----- a -----END CERTIFICATE-----.

  4. Zkopírujte oba textové soubory do dočasného umístění v zabezpečené xsp, např. /tmp/broadcloudroot.txt a /tmp/broadcloudissuing.txt.

  5. Přihlaste se ke XSP a přejděte na /XSP_CLI/Interface/Http/ClientAuthentication>

  6. Spusťte get a přečtěte si chainDepth parametr.

    (chainDepth je ve výchozím nastavení 1, což je příliš nízké pro řetězec Webex, který má dva certifikáty)

  7. Pokud chainDepth ještě není větší než 2, spusťte set chainDepth 2.

  8. (Nepovinné) běžet help updateTrust zobrazíte parametry a formát příkazu.

  9. Nahrajte soubory certifikátů do nových kotv důvěryhodnosti:

    XSP_CLI/Interface/Http/ClientAuthentication/Trusts> updateTrust webexclientroot /tmp/broadcloudroot.txt

    XSP_CLI/Interface/Http/ClientAuthentication/Trusts> updateTrust webexclientissuing /tmp/broadcloudissuing.txt


    webexclientroot a webexclientissuing jsou ukázkové aliasy pro kotvy důvěryhodnosti; Můžete použít vlastní.
  10. Potvrďte, že jsou oba certifikáty nahrány:

    /XSP_CLI/Interface/Http/ClientAuthentication/Trusts> get

Konfigurace důvěryhodnosti (R22 a novější)

  1. Přihlaste se k Ovládacímu centru pomocí účtu správce partnera.

  2. Přejděte na nastavení > Volání BroadWorks a kliknutím na Stáhnout certifikát certifikačníautority Webex získejteCombinedCertChain.txt v místním počítači.


    Tento soubor obsahuje dva certifikáty. Před nahráním do XSP je třeba soubor rozdělit.
  3. Rozdělte řetěz certifikátů na dva certifikáty:

    1. Otevřeno combinedcertchain.txt v textovém editoru.

    2. Výběr a vyříznutí prvního bloku textu, včetně řádků -----BEGIN CERTIFICATE----- a -----END CERTIFICATE----- a vkládá textový blok do nového souboru.

    3. Uložit nový soubor jako broadcloudroot.txt.

    4. Uložit původní soubor jako broadcloudissuing.txt.

      Původní soubor by nyní měl mít pouze jeden blok textu, obklopený řádky. -----BEGIN CERTIFICATE----- a -----END CERTIFICATE-----.

  4. Zkopírujte oba textové soubory do dočasného umístění v zabezpečené xsp, např. /tmp/broadcloudroot.txt a /tmp/broadcloudissuing.txt.

  5. (Nepovinné) běžet help UpdateTrust zobrazíte parametry a formát příkazu.

  6. Nahrajte soubory certifikátů do nových kotv důvěryhodnosti:

    XSP_CLI/Interface/Http/SSLCommonSettings/ClientAuthentication/Trusts> updateTrust webexclientroot /tmp/broadcloudroot.txt

    XSP_CLI/Interface/Http/SSLCommonSettings/ClientAuthentication/Trusts> updateTrust webexclientissuing /tmp/broadcloudissuing.txt


    webexclientroot a webexclientissuing jsou ukázkové aliasy pro kotvy důvěryhodnosti; Můžete použít vlastní.
  7. Zkontrolujte, zda jsou kotvy aktualizovány:

    XSP_CLI/Interface/Http/SSLCommonSettings/ClientAuthentication/Trusts> get

      Alias   Owner                                   Issuer
    =============================================================================
    webexclientissuing    BroadCloud Commercial Issuing CA – DA3     BroadCloud Commercial Trusted Root CA
    webexclientroot       BroadCloud Commercial Trusted Root CA      BroadCloud Commercial Trusted Root CA[self-signed]

(Možnost) Konfigurace serveru mTLS na úrovni rozhraní/portu HTTP

MTLS je možné konfigurovat na úrovni rozhraní/portu HTTP nebo na základě webových aplikací.

Způsob, jakým povolíte mTLS pro vaši aplikaci, závisí na aplikacích, které hostujete na XSP. Pokud hostujete více aplikací, které vyžadují mTLS, měli byste v rozhraní povolit mTLS. Pokud potřebujete zabezpečit pouze jednu z několika aplikací, které používají stejné rozhraní HTTP, můžete nakonfigurovat mTLS na úrovni aplikace.

Při konfiguraci serveru mTLS na úrovni rozhraní/portu HTTP je server mTLS vyžadován pro všechny hostované webové aplikace přístupné prostřednictvím tohoto rozhraní/portu.

  1. Přihlaste se k XSP, jehož rozhraní konfigurujete.

  2. Přejít na XSP_CLI/Interface/Http/HttpServer> a spustit get zobrazíte rozhraní.

  3. Přidání rozhraní a vyžadování ověření klienta (což znamená totéž jako mTLS):

    XSP_CLI/Interface/Http/HttpServer> add IPAddress Port Name true true

    Podrobnosti najdete v dokumentaci rozhraní XSP CLI. V podstatě první true zabezpečí rozhraní s TLS (v případě potřeby se vytvoří certifikát serveru) a druhým true vynutí, aby rozhraní vyžadovalo ověření klientského certifikátu (společně jsou mTLS).

Příklad:

XSP_CLI/Interface/Http/HttpServer> get

Interface Port Name Secure Client Auth Req Cluster Fqdn
         =======================================================
         192.0.2.7 443 xsp01.collab.example.net true false 
         192.0.2.7 444 xsp01.collab.example.net true true

V tomto příkladu je mTLS (Client Auth Req = true) povolen na 192.0.2.7 přístav 444. Protokol TLS je povolen na 192.0.2.7 přístav 443.

(Možnost) Konfigurace mTLS pro konkrétní webové aplikace

MTLS je možné konfigurovat na úrovni rozhraní/portu HTTP nebo na základě webových aplikací.

Způsob, jakým povolíte mTLS pro vaši aplikaci, závisí na aplikacích, které hostujete na XSP. Pokud hostujete více aplikací, které vyžadují mTLS, měli byste v rozhraní povolit mTLS. Pokud potřebujete zabezpečit pouze jednu z několika aplikací, které používají stejné rozhraní HTTP, můžete nakonfigurovat mTLS na úrovni aplikace.

Při konfiguraci serveru mTLS na úrovni aplikace je pro tuto aplikaci vyžadován server mTLS bez ohledu na konfiguraci rozhraní serveru HTTP.

  1. Přihlaste se k XSP, jehož rozhraní konfigurujete.

  2. Přejít na XSP_CLI/Interface/Http/SSLCommonSettings/ClientAuthentication/WebApps> a spustit get a podívejte se, které aplikace jsou spuštěny.

  3. Přidání aplikace a vyžadování ověření klienta (což znamená totéž jako mTLS):

    XSP_CLI/Interface/Http/SSLCommonSettings/ClientAuthentication/WebApps> add IPAddress Port ApplicationName true

    Podrobnosti najdete v dokumentaci rozhraní XSP CLI. Zde jsou výčty názvů aplikací. ten true v tomto příkazu povolí mTLS.

Příklad:

XSP_CLI/Interface/Http/SSLCommonSettings/ClientAuthentication/WebApps> add 192.0.2.7 443 AuthenticationService true

Ukázkový příkaz přidá aplikaci AuthenticationService do 192.0.2.7:443 a vyžaduje, aby od klienta vyžádá a ověřil certifikáty.

Zkontrolujte get:

XSP_CLI/Interface/Http/SSLCommonSettings/ClientAuthentication/WebApps> get

Interface Ip Port Application Name Client Auth Req
         ===================================================
         192.0.2.7 443 AuthenticationService      true          

Dodatečné požadavky na certifikát pro vzájemné ověřování TLS proti AuthService

Webex spolupracuje se službou ověřování prostřednictvím vzájemného připojení ověřeného protokolem TLS. To znamená, že Webex představuje klientský certifikát a XSP ho musí ověřit. Chcete-li tomuto certifikátu důvěřovat, vytvořte pomocí řetězu certifikátů certifikační autority Webex kotvu důvěryhodnosti v XSP (nebo proxy serveru). Řetěz certifikátů je k dispozici ke stažení prostřednictvím Partner Hub:

  1. Přejděte na nastavení > Volání BroadWorks.

  2. Klikněte na odkaz Stáhnout certifikát.


Řetěz certifikátů můžete také získat od společnosti https://bwks-uap.webex.com/assets/public/CombinedCertChain.txt.

Přesné požadavky na nasazení tohoto řetězce certifikátů služby Webex CA závisí na tom, jak jsou nasazeny veřejné XSP:

  • Prostřednictvím přemosťujícího proxy serveru TLS

  • Prostřednictvím předávacích proxy serverů TLS

  • Přímo do XSP

Následující diagram shrnuje, kde musí být v těchto třech případech nasazen řetěz certifikátů certifikační autority Webex.

Vzájemné požadavky na certifikát TLS pro proxy tls-bridge

  • Webex představuje klientský certifikát podepsaný certifikační autoritou Webex serveru proxy.

  • Řetěz certifikátů certifikační autority Webex je nasazen v úložině důvěryhodných certifikátů proxy serveru, takže proxy server důvěřuje klientskému certifikátu.

  • Veřejně podepsaný certifikát serveru XSP je také načten do proxy serveru.

  • Proxy server představuje veřejně podepsaný certifikát serveru společnosti Webex.

  • Webex důvěřuje veřejnému certifikačnímu úřadu, který podepsal certifikát serveru proxy.

  • Proxy server představuje interně podepsaný klientský certifikát XSP.

    Tento certifikát musí mít pole rozšíření x509.v3 Extended Key Usage naplněné broadworks OID 1.3.6.1.4.1.6431.1.1.8.2.1.3 a účelem TLS clientAuth. Např.:

    X509v3 extensions:

    X509v3 Extended Key Usage:

    1.3.6.1.4.1.6431.1.1.8.2.1.3, TLS Web Client
                  Authentication 

    Při generování interních klientských certifikátů pro proxy server mějte na paměti, že certifikáty SAN nejsou podporovány. Interní serverové certifikáty pro XSP mohou být SAN.

  • XSP důvěřují interní certifikační autoritě.

  • XSP představují interně podepsaný certifikát serveru.

  • Proxy server důvěřuje interní certifikační autoritě.

Vzájemné požadavky na certifikát TLS pro TLS-passthrough Proxy nebo XSP v DMZ

  • Webex představuje XSP klientský certifikát podepsaný certifikační autoritou Webex.

  • Řetěz certifikátů certifikační autority Webex je nasazen v úložištích důvěryhodných certifikátů XSP, takže XSP důvěřují klientskému certifikátu.

  • Veřejně podepsaný certifikát serveru XSP je také načten do XSP.

  • XSP představují veřejně podepsané serverové certifikáty společnosti Webex.

  • Webex důvěřuje veřejnému certifikačnímu úřadu, který podepsal certifikáty serveru XSPs.