Tillæg

Konfigurer XSP-godkendelsestjeneste (med mTLS)

Fuldfør fremgangsmåderne i dette bilag for at konfigurere bekræftelsestjenesten på BroadWorks til at bruge mTLS-godkendelse. I tilfælde, hvor CI-tokenvalidering (med TLS) ikke understøttes, er mTLS-godkendelse obligatorisk, herunder følgende tilfælde:

  • Hvis du kører R21SP1

  • Hvis du kører R22 eller højere og har flere Webex-organisationer, der kører på den samme XSP-server
Hvis du kører R22 eller derover, og ikke har flere Webex-organisationer, der kører på samme XSP-server, anbefales CI Token Validation (med TLS) til Auth Service.

Installer godkendelsestjeneste

På BroadWorks 21SP1 er godkendelsestjenesten en ikke-administreret applikation. Installer den ved at fuldføre følgende trin:

  1. Download authenticationService_1.0.war (webapplikationsressource) fil fra Xchange (https://xchange.broadsoft.com/node/499012).

    På hver XSP brugt med Webex, skal du gøre følgende:

  2. Kopier .war-filen til en midlertidig placering på XSP, såsom /tmp/

  3. Installer godkendelsestjenesteapplikation med følgende CLI-kontekst og kommando:

    XSP_CLI/Maintenance/ManagedObjects> install application /tmp/authenticationService_1.0.war

Konfigurer godkendelsestjeneste

BroadWorks-tokens, der er på gennem længere tid, genereres og valideres af godkendelsestjenesten, der hostes på dine XSP'er.

Krav

  • XSP-servere, der er vært for bekræftelsestjenesten, skal have en mTLS-grænseflade konfigureret.

  • XSPs skal dele de samme nøgler til at kryptere/dekryptere BroadWorks lange tegn. Kopiering af disse nøgler til hver XSP er en manuel proces.

  • XSPs skal synkroniseres med NTP.

Konfigurationsoversigt

Den essentielle konfiguration på dine XSPs omfatter:

  • Installer godkendelsestjenesten.

  • Konfigurer tokenvarighed til mindst 60 dage (forlad udsteder som BroadWorks).

  • Generer og del RSA-nøgler på tværs af XSPs.

  • Angiv AUthService URL-adressen til web-beholderen.

Installer godkendelsestjenesten på XSP

På hver XSP brugt sammen med Webex:

  1. Aktivér bekræftelsestjenesteapplikationen på stien /authService(du skal bruge denne sti):

    XSP_CLI/Maintenance/ManagedObjects> activate application authenticationService <version> /authService

    (hvor <version> Er 1.0 for den ikke-administrerede applikation på 21SP1).

  2. Installer applikationen:

    XSP_CLI/Maintenance/ManagedObjects> deploy application /authService

Konfigurer tokenvarighed

  1. Kontroller den eksisterende tokenkonfiguration (timer):

    På 21SP1: XSP_CLI/Applications/authenticationService_1.0/TokenManagement> get

  2. Indstil varigheden til 60 dage (maks. 180 dage):

    På 21SP1: XSP_CLI/Applications/authenticationService_1.0/TokenManagement> set tokenDuration 1440

Generer og del RSA-nøgler

  • Du skal bruge de samme offentlige/private nøglepar til tokenkryptering/dekryptering på tværs af alle forekomster af bekræftelsestjenesten.

  • Nøgleparret genereres af bekræftelsestjenesten, når den først skal udstede en token.

På grund af disse to faktorer skal du generere nøgler på en XSP, og derefter kopiere dem til alle andre XSP'er.

Hvis du skifter taster eller ændrer nøglens længde, skal du gentage følgende konfiguration og genstarte alle XSP'er.

  1. Vælg en XSP til brug for generering af et nøglepar.

  2. Brug en klient til at anmode om et krypteret token fra den XSP ved at anmode om følgende URL-adresse fra klientens browser:

    https://<XSP-IPAddress>/authService/token?key=BASE64URL(clientPublicKey)

    (Dette genererer et privat/offentligt nøglepar på XSP, hvis der ikke allerede var én)

  3. (Kun 21SP1) Kontrollér den nøgleplacering, der kan konfigureres, ved hjælp af følgende kommando:

    XSP_CLI/Applications/authenticationService_1.0/KeyManagement> get

  4. (Kun 21SP1) Noterer den returnerede fileLocation-parameter.

  5. (Kun 21SP1) Kopier hele fileLocation mappe, som indeholder public og private undermappe, til alle andre XSP'er.

Angiv AUthService URL-adressen til web-beholderen

XSP'ens web-beholder skal bruge URL-adressen til godk.-tjeneste, så den kan validere tokens.

På hver af de XSP'er:

  1. Tilføj bekræftelsestjenestens URL-adresse som en ekstern godkendelsestjeneste for hjælpeprogrammet BroadWorks Communications:

    XSP_CLI/System/CommunicationUtility/DefaultSettings/ExternalAuthentication/AuthService> set url http://127.0.0.1/authService

  2. Tilføj BEKRÆFTELSEstjenestens URL-adresse til beholderen:

    XSP_CLI/Maintenance/ContainerOptions> add tomcat bw.authservice.authServiceUrl http://127.0.0.1/authService

    Dette giver Cisco Webex mulighed for at bruge godkendelsestjenesten til at validere tokens, der vises som legitimationsoplysninger.

  3. Kontrollér parameteren med get.

  4. Genstart XSP.

Konfigurer tillid til godkendelsestjeneste (med mTLS)

Konfigurer tillid (R21 SP1)

  1. Log ind på Partner Hub.

  2. Gå til Indstillinger > BroadWorks Calling, og klik på Download Webex CA-certifikat for at få CombinedCertChain.txt på din lokale computer.


    Denne fil indeholder to certifikater. Du skal opdele filen, før du overfører den til XSP'erne.

  3. Opdel certifikatkæden i to certifikater:

    1. Åbn combinedcertchain.txt i et tekstredigeringsprogram.

    2. Vælg og beskære den første blok af tekst, herunder linjerne -----BEGIN CERTIFICATE----- og -----END CERTIFICATE-----, og indsæt tekstblokering i en ny fil.

    3. Gem den nye fil som broadcloudroot.txt.

    4. Gem den originale fil som broadcloudissuing.txt.

      Den oprindelige fil må nu kun have én tekstblok, omgivet af linjerne -----BEGIN CERTIFICATE----- og -----END CERTIFICATE-----.

  4. Kopier begge tekstfiler til en midlertidig placering på den XSP, du er ved at sikre, f.eks. /tmp/broadcloudroot.txt og /tmp/broadcloudissuing.txt.

  5. Log ind på XSP, og naviger til /XSP_CLI/Interface/Http/ClientAuthentication>

  6. Kør get og læse chainDepth-parameter.

    (chainDepth er 1 som standard, hvilket er for lav til Webex-kæden, som har to certifikater)

  7. Hvis kædenDepth ikke allerede er større end 2, skal du køre set chainDepth 2.

  8. (Valgfri) Køre help updateTrust for at se parametrene og kommandoformatet.

  9. Overfør certifikatfilerne til nye tillidsankre:

    XSP_CLI/Interface/Http/ClientAuthentication/Trusts> updateTrust webexclientroot /tmp/broadcloudroot.txt

    XSP_CLI/Interface/Http/ClientAuthentication/Trusts> updateTrust webexclientissuing /tmp/broadcloudissuing.txt
    webexclientroot og webexclientissuing er eksempelaliaser for tillidankre; kan du bruge din egen.

  10. Bekræft, at begge certifikater er overført:

    /XSP_CLI/Interface/Http/ClientAuthentication/Trusts> get

Konfigurer tillid (R22 og senere)

  1. Log ind på Control Hub med din partneradministratorkonto.

  2. Gå til Indstillinger > BroadWorks Calling, og klik på Download Webex CA-certifikat for at få CombinedCertChain.txt på din lokale computer.


    Denne fil indeholder to certifikater. Du skal opdele filen, før du overfører den til XSP'erne.

  3. Opdel certifikatkæden i to certifikater:

    1. Åbn combinedcertchain.txt i et tekstredigeringsprogram.

    2. Vælg og beskære den første blok af tekst, herunder linjerne -----BEGIN CERTIFICATE----- og -----END CERTIFICATE-----, og indsæt tekstblokering i en ny fil.

    3. Gem den nye fil som broadcloudroot.txt.

    4. Gem den originale fil som broadcloudissuing.txt.

      Den oprindelige fil må nu kun have én tekstblok, omgivet af linjerne -----BEGIN CERTIFICATE----- og -----END CERTIFICATE-----.

  4. Kopier begge tekstfiler til en midlertidig placering på den XSP, du er ved at sikre, f.eks. /tmp/broadcloudroot.txt og /tmp/broadcloudissuing.txt.

  5. (Valgfri) Køre help UpdateTrust for at se parametrene og kommandoformatet.

  6. Overfør certifikatfilerne til nye tillidsankre:

    XSP_CLI/Interface/Http/SSLCommonSettings/ClientAuthentication/Trusts> updateTrust webexclientroot /tmp/broadcloudroot.txt

    XSP_CLI/Interface/Http/SSLCommonSettings/ClientAuthentication/Trusts> updateTrust webexclientissuing /tmp/broadcloudissuing.txt
    webexclientroot og webexclientissuing er eksempelaliaser for tillidankre; kan du bruge din egen.

  7. Bekræft, at ankre er opdateret:

    XSP_CLI/Interface/Http/SSLCommonSettings/ClientAuthentication/Trusts> get

      Alias   Owner                                   Issuer
=============================================================================
webexclientissuing    BroadCloud Commercial Issuing CA – DA3     BroadCloud Commercial Trusted Root CA
webexclientroot       BroadCloud Commercial Trusted Root CA      BroadCloud Commercial Trusted Root CA[self-signed]

(Valgmulighed) Konfigurer mTLS på HTTP-grænseflade-/portniveau

Det er muligt at konfigurere mTLS på HTTP-grænseflade-/portniveau eller pr. webapplikation.

Den måde, hvorpå du aktiverer mTLS for din applikation, afhænger af de applikationer, du er vært for på XSP. Hvis du er vært for flere applikationer, der kræver mTLS, skal du aktivere mTLS på grænsefladen. Hvis du kun behøver at sikre en af flere applikationer, der bruger den samme HTTP-grænseflade, kan du konfigurere mTLS på applikationsniveau.

Når mTLS konfigureres på HTTP-grænseflade/portniveau, kræves mTLS for alle hostede webapplikationer, der tilgås via denne grænseflade/port.

  1. Log ind på den XSP, hvis grænseflade du konfigurerer.

  2. Naviger til XSP_CLI/Interface/Http/HttpServer> og kør get for at se grænsefladerne.

  3. For at tilføje en grænseflade og kræve klientbekræftelse er der (hvilket betyder det samme som mTLS):

    XSP_CLI/Interface/Http/HttpServer> add IPAddress Port Name true true

    Få flere oplysninger i XSP CLI-dokumentationen. I bund og grund er den første true sikrer grænsefladen med TLS (servercertifikat oprettes om nødvendigt) og den anden true tvinger grænsefladen til at kræve klientcertifikatbekræftelse (sammen er de mTLS).

Eksempel:

XSP_CLI/Interface/Http/HttpServer> get

Interface Port Name Secure Client Auth Req Cluster Fqdn
         =======================================================
         192.0.2.7 443 xsp01.collab.example.net true false 
         192.0.2.7 444 xsp01.collab.example.net true true

I dette eksempel er mTLS (Client Auth Req = true) aktiveret på 192.0.2.7 port 444. TLS er aktiveret på 192.0.2.7 port 443.

(Valgmulighed) Konfigurer mTLS til specifikke webapplikationer

Det er muligt at konfigurere mTLS på HTTP-grænseflade-/portniveau eller pr. webapplikation.

Den måde, hvorpå du aktiverer mTLS for din applikation, afhænger af de applikationer, du er vært for på XSP. Hvis du er vært for flere applikationer, der kræver mTLS, skal du aktivere mTLS på grænsefladen. Hvis du kun behøver at sikre en af flere applikationer, der bruger den samme HTTP-grænseflade, kan du konfigurere mTLS på applikationsniveau.

Når du konfigurerer mTLS på applikationsniveau, kræves mTLS for den applikation uanset konfigurationen af HTTP-servergrænsefladen.

  1. Log ind på den XSP, hvis grænseflade du konfigurerer.

  2. Naviger til XSP_CLI/Interface/Http/SSLCommonSettings/ClientAuthentication/WebApps> og kør get for at se, hvilke applikationer der kører.

  3. For at tilføje en applikation og kræve klientbekræftelse for den (hvilket betyder det samme som mTLS):

    XSP_CLI/Interface/Http/SSLCommonSettings/ClientAuthentication/WebApps> add IPAddress Port ApplicationName true

    Få flere oplysninger i XSP CLI-dokumentationen. Applikationsnavnene er opsat der. , true i denne kommando aktiverer mTLS.

Eksempel:

XSP_CLI/Interface/Http/SSLCommonSettings/ClientAuthentication/WebApps> add 192.0.2.7 443 AuthenticationService true

Kommandoen Eksempel tilføjer AuthenticationService-applikationen til 192.0.2.7:443 og kræver, at den anmoder om og godkender certifikater fra klienten.

Kontroller med get:

XSP_CLI/Interface/Http/SSLCommonSettings/ClientAuthentication/WebApps> get

Interface Ip Port Application Name Client Auth Req
         ===================================================
         192.0.2.7 443 AuthenticationService      true

Yderligere certifikatkrav til fælles TLS-godkendelse mod AuthService

Cisco Webex interagerer med godkendelsestjenesten over en fælles TLS godkendt forbindelse. Dette betyder, at Webex præsenterer et klientcertifikat, og XSP skal validere det. For at have tillid til dette certifikat skal du bruge Webex CA-certifikatkæden til at oprette et tillidsanker på XSP (eller proxy). Certifikatkæden er tilgængelig til download via Partner Hub:

  1. Gå til Indstillinger > BroadWorks-opkald.

  2. Klik på linket download certifikat.

Du kan også få certifikatkæden fra https://bwks-uap.webex.com/assets/public/CombinedCertChain.txt.

De nøjagtige krav til implementering af denne Webex CA-certifikatkæde afhænger af, hvordan dine offentlige XSP'er implementeres:

  • Via en TLS bromærkningsproxy

  • Via en TLS-pass-through proxy

  • Direkte til XSP

Følgende diagram opsummerer, hvor Webex CA-certifikatkæden skal implementeres i disse tre tilfælde.

Fælles TLS-certifikatkrav til TLS-broproxy

  • Webex præsenterer et Webex CA-signeret klientcertifikat til proxyen.

  • Webex CA-certifikatkæden er installeret i proxytillidsbutikken, så proxyen har tillid til klientcertifikatet.

  • Det offentligt underskrevne XSP-servercertifikat indlæses også i proxyen.

  • Proxyen præsenterer et offentligt underskrevet servercertifikat til Webex.

  • Webex stoler på den offentlige CA, der signerede proxyens servercertifikat.

  • Proxyen præsenterer et internt underskrevet klientcertifikat til XSP'erne.

    Dette certifikat skal have forlængelsesfeltet x509.v3 forlængelse udfyldt med BroadWorks OID 1.3.6.1.4.1.6431.1.1.1.8.2.1.3 og TLS-klientenAuth-formål. F.eks.:

    X509v3 extensions:

    X509v3 Extended Key Usage: 

    1.3.6.1.4.1.6431.1.1.8.2.1.3, TLS Web Client
              Authentication

    Når der oprettes interne klientcertifikater for proxyen, skal du være opmærksom på, at SAN-certifikater ikke understøttes. Interne servercertifikater for XSP kan være SAN.

  • XSP'erne stoler på den interne CA.

  • XSP'erne præsenterer et internt underskrevet servercertifikat.

  • Proxyen stoler på den interne CA.

Fælles TLS-certifikatkrav til TLS-passthroxyproxy eller XSP i DMZ

  • Webex præsenterer et Webex CA-signeret klientcertifikat til XSP'erne.

  • Webex CA-certifikatkæden implementeres i XSPs' tillidslager, så XSP'erne stoler på klientcertifikatet.

  • Det offentligt underskrevne XSP-servercertifikat indlæses også i XSP'erne.

  • XSP'erne præsenterer offentligt underskrevne servercertifikater til Webex.

  • Webex stoler på den offentlige CA, der underskrev XSP'erne' servercertifikater.