CTI-Schnittstelle und zugehörige Konfiguration

Die "oberste bis outmost"-Konfigurationsbestellung ist unten aufgeführt. Das Folgen dieser Bestellung ist nicht verpflichtend.

  1. Konfigurieren des Anwendungsservers für CTI-Abonnements

  2. Konfigurieren Sie XSP|ADPs für mTLS-authentifizierte CTI-Abonnements

  3. Öffnen eingehender Ports für sichere CTI-Schnittstelle

  4. Abonnieren Ihrer Webex-Organisation für BroadWorks CTI Events

Konfigurieren des Anwendungsservers für CTI-Abonnements

Aktualisieren der ClientIdentity auf Anwendungsserver mit dem allgemeiner Name (CN) des CTI-Clientzertifikats von Webex für Cisco BroadWorks.

Fügen Sie für jeden Anwendungsserver, den Sie mit Webex verwenden, die Zertifikatidentität wie folgt zur ClientIdentity hinzu:

AS_CLI/System/ClientIdentity> add bwcticlient.webex.com

Der allgemeine Name des Webex-Client-Zertifikats für Cisco BroadWorks ist bwcticlient.webex.com.

Konfigurieren von TLS und Verschlüsselungen auf der CTI-Schnittstelle

Die Konfigurierbarkeitsebenen für die XSP|ADP CTI-Schnittstelle sind wie folgt:

Allgemein = System > Transport > CTI-Schnittstellen > CTI-Schnittstelle = Spezifisch

Die CLI-Kontexte, die Sie zum Anzeigen oder Ändern der unterschiedlichen SSL-Einstellungen verwenden, sind:

Spezifität

CLI-Kontext

System (global)

(R22 und höher)

Xsp|ADP_CLI/System/SSLCommonSettings/JSSE/Ciphers>

Xsp|ADP_CLI/System/SSLCommonSettings/JSSE/Protocols>

Transportprotokolle für dieses System

(R22 und höher)

Xsp|ADP_CLI/System/SSLCommonSettings/OpenSSL/Ciphers>

Xsp|ADP_CLI/System/SSLCommonSettings/OpenSSL/Protocols>

Alle CTI-Schnittstellen in diesem System

(R22 und höher)

Xsp|ADP_CLI/Interface/CTI/SSLCommonSettings/Ciphers>

Xsp|ADP_CLI/Interface/CTI/SSLCommonSettings/Protocols>

Eine spezifische CTI-Schnittstelle auf diesem System

(R22 und höher)

Xsp|ADP_CLI/Interface/CTI/CTIServer/SSLSettings/Ciphers>

Xsp|ADP_CLI/Interface/CTI/CTIServerSSLSettings/Protocols>

Bei einer Neuinstallation werden die folgenden Chiffren standardmäßig auf Systemebene installiert. Wenn auf Schnittstellenebene (beispielsweise an der CTI-Schnittstelle oder der HTTP-Schnittstelle) nichts konfiguriert ist, gilt diese Verschlüsselungsliste. Beachten Sie, dass sich diese Liste im Laufe der Zeit ändern kann:

  • TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256

  • TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256

  • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256

  • TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256

  • TLS_DHE_DSS_WITH_AES_128_GCM_SHA256

  • TLS_DHE_RSA_WITH_AES_128_GCM_SHA256

  • TLS_DHE_RSA_WITH_AES_128_CBC_SHA256

  • TLS_DHE_DSS_WITH_AES_128_CBC_SHA256

  • TLS_ECDH_RSA_WITH_AES_128_GCM_SHA256

  • TLS_ECDH_ECDSA_WITH_AES_128_GCM_SHA256

  • TLS_ECDH_RSA_WITH_AES_128_CBC_SHA256

  • TLS_ECDH_ECDSA_WITH_AES_128_CBC_SHA256

Lesen der CTI-TLS-Schnittstellenkonfiguration auf dem XSP|ADP

  1. Melden Sie sich beim XSP|ADP an und navigieren Sie zu XSP|ADP_CLI/Interface/CTI/CTIServer>

  2. Geben Sie den Befehl get ein und lesen Sie die Ergebnisse. Sie sollten die Schnittstellen (IP-Adressen) sehen und für jede davon, ob sie ein Serverzertifikat benötigen und ob sie eine Client-Authentifizierung erfordern.

    XSP|ADP_CLI/Interface/CTI/CTIServer> get
  Interface IP  Port  Secure  Server Certificate  Client Auth Req
=================================================================
  10.155.6.175  8012    true                true             true

Hinzufügen des TLS 1.2-Protokolls zur CTI-Schnittstelle

Die XSP|ADP CTI-Schnittstelle, die mit der Webex Cloud interagiert, muss für TLS v1.2 konfiguriert werden. Die Cloud verhandeln nicht über frühere Versionen des TLS-Protokolls.

So konfigurieren Sie das TLSv1.2-Protokoll auf der CTI-Schnittstelle:

  1. Melden Sie sich beim XSP|ADP an und navigieren Sie zu XSP|ADP_CLI/Interface/CTI/CTIServer/SSLSettings/Protocols>

  2. Geben Sie den Befehl get ein, um zu sehen, welche Protokolle auf dieser Schnittstelle bereits verwendet werden.

  3. Geben Sie den Befehl add TLSv1.2 ein, um sicherzustellen, dass die Schnittstelle bei der Kommunikation mit der Cloud TLS 1.2 verwenden kann.

Tls-Verschlüsselungskonfiguration auf der CTI-Schnittstelle bearbeiten

So konfigurieren Sie die erforderlichen Verschlüsselungen auf der CTI-Schnittstelle:

  1. Melden Sie sich beim XSP|ADP an und navigieren Sie zu XSP|ADP_CLI/Interface/CTI/CTIServer/SSLSettings/Ciphers>

  2. Geben Sie den Befehl get ein, um zu sehen, welche Chiffren auf dieser Schnittstelle bereits verwendet werden. Es muss mindestens eine der von Cisco empfohlenen Suiten vorhanden sein (siehe XSP|ADP-Identitäts- und Sicherheitsanforderungen im Abschnitt „Übersicht“).

  3. Geben Sie den Befehl add ein, um der CTI-Schnittstelle eine Verschlüsselung hinzuzufügen.

    Die XSP|ADP CLI erfordert den Namen der IANA-Standard-Chiffre-Suite, nicht den Namen der OpenSSL-Chiffre-Suite. Um beispielsweise die OpenSSL-Verschlüsselung ECDHE-ECDSA-CHACHA20-POLY1305 zur CTI-Schnittstelle hinzuzufügen, verwenden Sie: XSP|ADP_CLI/Interface/CTI/CTIServer/SSLSettings/Ciphers> add 192.0.2.7 TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305

    Siehe, https://ciphersuite.info/ um die Suite mit einem der beiden Namen zu finden.

Vertrauensanker für die CTI-Schnittstelle (R22 und höher)

Bei diesem Verfahren wird davon ausgegangen, dass die XSP|ADPs entweder über einen Internetzugang verfügen oder über einen Pass-Through-Proxy auf das Internet zugreifen. Die Zertifikatkonfiguration ist für einen Bridge-Proxy anders (siehe TLS-Zertifikatsanforderungen für TLS-Bridge-Proxy).

Gehen Sie für jeden XSP|ADP in Ihrer Infrastruktur, der CTI-Ereignisse an Webex veröffentlicht, wie folgt vor:

  1. Melden Sie sich bei Partner Hub an.

  2. Gehe zu Dienstleistungen > Weitere Links und klicken Sie auf Webex CA-Zertifikat herunterladen, um CombinedCertChain2023.txt auf Ihrem lokalen Computer zu erhalten.

    Diese Dateien enthalten zwei Sätze mit jeweils zwei Zertifikaten. Sie müssen die Dateien aufteilen, bevor Sie sie auf die XSP|ADPs hochladen. Alle Dateien werden benötigt.

  3. Teilen Sie die Zertifikatskette in zwei Zertifikate auf - combinedcertchain2023.txt

    1. Öffnen Sie combinedcertchain2023.txt in einem Texteditor.

    2. Wählen und schneiden Sie den ersten Textblock aus, einschließlich der Zeilen -----BEGIN CERTIFICATE----- und -----END CERTIFICATE-----, und fügen Sie den Textblock in eine neue Datei ein.

    3. Speichern Sie die neue Datei als root2023.txt.

    4. Speichern Sie die Originaldatei als issuing2023.txt. Die Originaldatei sollte jetzt nur noch einen Textblock enthalten, umgeben von den Zeilen -----BEGIN CERTIFICATE----- und -----END CERTIFICATE-----.

  4. Kopieren Sie beide Textdateien an einen temporären Speicherort auf dem XSP|ADP, den Sie sichern, z. B. /var/broadworks/tmp/root2023.txt und /var/broadworks/tmp/issuing2023.txt

  5. Melden Sie sich beim XSP|ADP an und navigieren Sie zu /XSP|ADP_CLI/Interface/CTI/SSLCommonSettings/ClientAuthentication/Trusts>

  6. (Optional) Führen Sie help updateTrust aus, um die Parameter und das Befehlsformat anzuzeigen.

  7. Hochladen der Zertifikatsdateien in neue Vertrauensanker – 2023

    XSP|ADP_CLI/Interface/CTI/SSLCommonSettings/ClientAuthentication/Trusts> updateTrust webexclientroot2023 /var/broadworks/tmp/root2023.txt

    XSP|ADP_CLI/Interface/CTI/SSLCommonSettings/ClientAuthentication/Trusts> updateTrust webexclientissuing2023 /var/broadworks/tmp/issuing2023.txt

    Alle Aliase müssen einen anderen Namen haben. webexclientroot2023und webexclientissuing2023 sind Beispielaliase für die Vertrauensanker. Sie können Ihre eigenen verwenden, solange alle Einträge eindeutig sind.

  8. Bestätigen Sie, dass die Dübel aktualisiert sind:

    XSP|ADP_CLI/Interface/CTI/SSLCommonSettings/ClientAuthentication/Trusts> get

      Alias   Owner                                   Issuer
=============================================================================
webexclientissuing2023       Internal Private TLS SubCA      Internal Private Root
webexclientroot2023       Internal Private Root      Internal Private Root[self-signed]

  9. Clients die Authentifizierung mit Zertifikaten erlauben:

    XSP|ADP_CLI/System/CommunicationUtility/DefaultSettings/ExternalAuthentication/CertificateAuthentication> set allowClientApp true

CTI-Schnittstelle hinzufügen und mTLS aktivieren

  1. Fügen Sie die CTI SSL-Schnittstelle hinzu.

    Der CLI-Kontext hängt von Ihrer BroadWorks-Version ab. Der Befehl erstellt ein selbstsigniertes Serverzertifikat auf der Benutzeroberfläche und zwingt die Schnittstelle dazu, ein Client-Zertifikat zu fordern.

    • Auf BroadWorks R22 und R23:

      XSP|ADP_CLI/Interface/CTI/CTIServer> add 8012 true true true

  2. Ersetzen Sie das Serverzertifikat und den Schlüssel auf den CTI-Schnittstellen des XSP|ADP. Sie benötigen dafür die IP-Adresse der CTI-Schnittstelle; können Sie sie aus folgendem Kontext lesen:

    • Auf BroadWorks R22 und R23:

      XSP|ADP_CLI/Interface/CTI/CTIServer> get

      Führen Sie dann die folgenden Befehle aus, um das selbstsignierte Zertifikat der Benutzeroberfläche durch Ihr eigenes Zertifikat und ihren privaten Schlüssel zu ersetzen:

      XSP|ADP_CLI/Interface/CTI/CTIServer/SSLSettings/Certificates> sslUpdate keyFile certificateFile chainFile

  3. Starten Sie den XSP|ADP neu.

Zugriff auf BroadWorks CTI Events in Webex aktivieren

Sie müssen die CTI-Schnittstelle hinzufügen und validieren, wenn Sie Ihre Cluster in Partner Hub konfigurieren. Detaillierte Anweisungen finden Sie unter Konfigurieren Ihrer Partnerorganisation in Partner Hub.

  • Geben Sie die CTI-Adresse an, mit der Webex BroadWorks CTI Events abonnieren kann.

  • CTI-Abonnements werden pro Abonnenten festgelegt und gepflegt, während der Abonnent für Webex für Cisco BroadWorks bereitgestellt wird.