Übersicht

Während des TLS-Handshake überprüft ein Standard TLS Client die Gültigkeit des TLS-Serverzertifikats. Diese Implementierung könnte jedoch potenziell „Man-in-the-Middle“-Angriffe auslösen, wenn Jabber über das Internet bereitgestellt wird. Wenn ein Hacker während der Anmeldung Jabber auf seinem eigenen Server mit einem gültigen TLS-Zertifikat anstelle von Expressways bereitstellt, akzeptiert Jabber in Ermangelung einer weiteren Kontrolle dieses Zertifikat und der Benutzer kann mit einem schädlichen System verbunden werden. Um dieses Problem zu vermeiden, führt Jabber einen zusätzlichen Validierungsschritt durch, der nicht Bestandteil des Standard-TLS ist, und überprüft, ob die während des Anmeldeprozesses vom Benutzer eingegebene Domäne mit dem im Zertifikat enthaltenen alternativen Subjektnamen (Subject Alternative Names, SAN) übereinstimmt. Nur wenn sie übereinstimmen, versucht Jabber, eine Verbindung mit dem Expressway herzustellen. Alle im Zertifikat vorgenommenen SAN-Einträge müssen von der Zertifizierungsstelle (Certification Authority, CA) signiert werden, d. h. nur das Unternehmen, das die Domäne besitzt, kann ein CA-signiertes Zertifikat abrufen.

Alle im Zertifikat eingegebenen SAN unterliegen einer Validierung durch die Zertifizierungsstelle (Certification Authority, CA), sodass nur das Unternehmen, das Eigentümer der Domäne ist, ein CA-signiertes Zertifikat abrufen kann. So ist sehr viel schwieriger, die Identität des Expressways zu stehlen.

In dedizierter Instanz verwaltet Cisco die Zertifikate für die UC-Anwendungen und daher werden die Zertifikate nur mit der von Cisco bereitgestellten Domäne signiert, z. B. customer.amer.wxc-di.webex.com. Ein Endbenutzer kann sich jedoch über folgende Optionen mit der Kunden-E-Mail-Adresse beim Jabber-Client anmelden:

Option 1: Erste Anmeldung des Endbenutzers bei Jabber

Benutzern kann mitgeteilt werden, dass sie für ihre erste Anmeldung beim Jabber-Client auf dem ersten Bildschirm die Sprachdienstdomäne von Cisco, user@customer.amer.wxc-di.webex.com, und auf dem nächsten Bildschirm ihren Benutzernamen oder die E-Mail-Adresse ihres Unternehmens und das Passwort verwenden sollen. Da dies der einfachste Ansatz ist, werden die Schritte detailliert dargestellt:

  1. Der Benutzer muss auf dem ersten Anmeldebildschirm in Jabber die von Cisco bereitgestellte Sprachdienstdomäne eingeben, z. B. user@customer.amer.wxc-di.webex.com, wie in der Abbildung unten dargestellt.


    Die Sprachdienstdomäne des Kunden wird von Cisco für jede Region mitgeteilt, sobald der Dienst aktiviert ist. Diese Information ist im Dokument mit den Zugangsinformationen enthalten, das im Webex-App-Bereich freigegeben wird. Weitere Informationen finden Sie unter Dedizierte Aktivierung des Instanzdiensts.

  2. Der Benutzer wird aufgefordert, den Benutzernamen oder die E-Mail-ID des Unternehmens zusammen mit dem Passwort für die Authentifizierung einzugeben, wie in der folgenden Abbildung dargestellt.


    Wenn SSO aktiviert ist, wird ein ähnlicher Vorgang vom IdP ausgeführt.

    Bei folgenden Anmeldungen ist es nicht erforderlich, dass der Benutzer Schritt 1 ausführt, es sei denn, der Jabber-Client wird zurückgesetzt.

Option 2: Verwenden der Sprachdienstdomäne

Mit diesem Ansatz kann der Jabber-Client zwischen der vom Benutzer eingegebenen Kundendomäne und der Dienstermittlungsdomäne differenzieren. Wenn die Sprachdienstdomäne im Installationsprogramm auf customer.amer.wxc-di.webex.com festgelegt ist, kann sich der Benutzer mit der E-Mail-Adresse des Unternehmens beim Jabber-Client anmelden, und Jabber kann die Diensterkennung weiterhin auf Grundlage des in der Sprachdienstdomäne festgelegten Werts durchführen. Dadurch ist es nicht notwendig, die Sprachdienstdomäne, wie oben beschrieben, bei der Ersten Anmeldung bei Jabber bereitzustellen.

Für Windows:

Tools wie Microsoft Orca können zum Erstellen benutzerdefinierter Jabber-Installationsprogramme verwendet werden, die die Sprachdienstdomäne enthalten können. Benutzer können angewiesen werden, diese Installationsprogramme für Jabber-Clients zu verwenden.

Für MAC, iOS, Android:

Tools wie MDM können zum Erstellen benutzerdefinierter Jabber-Installationsprogramme verwendet werden, die die Sprachdienstdomäne enthalten können.

Option 3: Verwenden der Konfigurations-URL

Eine Konfigurations-URL kann verwendet werden, um vor der ersten Anmeldung Jabber-Parameter festzulegen, z. B. die Sprachdienstdomäne. Beispiel für eine Konfigurations-URL: ciscojabber://provision?ServicesDomain=customer.com&VoiceServicesDomain=customer.amer.wxc-di.webex.com

Durch Klicken auf den Link oben kann die Sprachdienstdomäne im Jabber-Client auf MAC-, Android- oder iOS-Geräten eingerichtet werden.


Diese Konfiguration ist nicht persistent. Der Benutzer muss nach dem Zurücksetzen des Jabber-Clients erneut auf den Link klicken.

Beachten Sie, dass die oben genannten Anforderungen nicht für die Webex-App gelten. Der Client führt die Domänenüberprüfung durch, es ist jedoch möglich, die Sprachdienstdomäne im Control Hub bereitzustellen. Wenn die Webex-App eine Verbindung zu Webex herstellt, wird die Sprachdienstdomäne abgerufen und registriert. Weitere Informationen zur Einrichtung von Anrufen in der Webex-App finden Sie unter Integration der Webex-Anwendung mit dedizierter Instanz für Anrufe in der App.

Nützlicher Link: Lokale Bereitstellung von Cisco Jabber 14.0