Anhang

Konfigurieren des XSP-Authentifizierungsdiensts (mit mTLS)

Schließen Sie die Verfahren im Anhang zum Konfigurieren des Authentifizierungsdiensts in BroadWorks zur Verwendung der mTLS-Authentifizierung ab. In Fällen, in denen die CI Token-Validierung (mit TLS) nicht unterstützt wird, ist die mTLS-Authentifizierung obligatorisch, einschließlich der folgenden Instanzen:

  • Wenn Sie R21SP1 ausführen

  • Wenn Sie R22 oder höher ausführen und mehrere Webex-Organisationen auf demselben XSP-Server laufen


Wenn Sie R22 oder höher ausführen und nicht mehrere Webex-Organisationen auf demselben XSP-Server laufen, wird für den Authentifizierungsdienst eine CI Token-Validierung (mit TLS) empfohlen. Weitere Informationen finden Sie unter Konfigurieren des Authentifizierungsdiensts (mit CI Token Validation) im Kapitel Deploy Webex for BroadWorks (Webex für BroadWorks bereitstellen).

Authentifizierungsdienst installieren

In BroadWorks 21SP1 ist der Authentifizierungsdienst eine nicht verwaltete Anwendung. Installieren Sie sie, indem Sie die folgenden Schritte durchführen:

  1. Laden authenticationService_1.0.war (Web-Anwendungsressource) von Xchange ( )https://xchange.broadsoft.com/node/499012herunter.

    Führen Sie bei jeder XSP, die mit Webex verwendet wird, folgende Schritte aus:

  2. Kopieren Sie die .war-Datei an einen temporären Speicherort auf XSP, z. B. /tmp/

  3. Installieren Sie die Authentifizierungs-Service-Anwendung mit folgendem CLI-Kontext und Befehl:

    XSP_CLI/Maintenance/ManagedObjects> install application /tmp/authenticationService_1.0.war

Authentifizierungsdienst konfigurieren

Langlebige BroadWorks-Token werden vom auf Ihren XSPs gehosteten Authentifizierungsdienst generiert und validiert.

Anforderungen

  • Die XSP-Server, die den Authentifizierungsdienst hosten, müssen über eine mTLS-Schnittstelle konfiguriert sein.

  • XSPs müssen die gleichen Schlüssel zum Ver- und Entschlüsseln von BroadWorks-langlebigen Token teilen. Diese Schlüssel können manuell in die einzelnen XSP-Dateien kopiert werden.

  • XSPs müssen mit NTP synchronisiert werden.

Konfigurationsübersicht

Die grundlegende Konfiguration auf Ihren XSPs beinhaltet:

  • Stellen Sie den Authentifizierungsdienst zur Verfügung.

  • Konfigurieren Sie die Tokendauer auf mindestens 60 Tage (lassen Sie den Aussteller als BroadWorks.

  • RSA-Schlüssel über XSPs generieren und freigeben.

  • Stellen Sie die AuthService-URL für den Web-Container zur Verfügung.

Bereitstellen des Authentifizierungsdiensts auf XSP

Auf jedem mit Webex verwendeten XSP:

  1. Aktivieren Sie die Authentifizierungsdienstanwendung auf dem Pfad /authService(Sie müssen diesen Pfad verwenden):

    XSP_CLI/Maintenance/ManagedObjects> activate application authenticationService <version> /authService

    (wobei <version> Ist 1.0 für die nicht verwaltete Anwendung auf 21SP1).

  2. Stellen Sie die Anwendung vor:

    XSP_CLI/Maintenance/ManagedObjects> deploy application /authService

Token-Dauer konfigurieren

  1. Überprüfen Sie die vorhandene Tokenkonfiguration (Stunden):

    Auf 21SP1: XSP_CLI/Applications/authenticationService_1.0/TokenManagement> get

  2. Legen Sie die Dauer auf 60 Tage fest (max. 180 Tage):

    Auf 21SP1: XSP_CLI/Applications/authenticationService_1.0/TokenManagement> set tokenDuration 1440

RSA-Schlüssel generieren und freigeben

  • Sie müssen dieselben öffentlichen/privaten Schlüssel-Paare für die Tokenverschlüsselung/-entschlüsselung für alle Instanzen des Authentifizierungsdiensts verwenden.

  • Das Schlüsselpaar wird vom Authentifizierungsdienst generiert, wenn zum ersten Mal ein Token ausausgabet werden muss.

Aufgrund dieser beiden Faktoren müssen Sie Schlüssel auf einem XSP generieren und dann in alle anderen XSPs kopieren.


Wenn Sie Schlüssel wechseln oder die Schlüssellänge ändern, müssen Sie die folgende Konfiguration wiederholen und alle XSPs neu starten.

  1. Wählen Sie ein XSP aus, das zum Generieren eines Schlüsselpaares verwendet werden soll.

  2. Verwenden Sie einen Client, um ein verschlüsseltes Token von diesem XSP an fordern Sie die folgende URL vom Browser des Clients an:

    https://<XSP-IPAddress>/authService/token?key=BASE64URL(clientPublicKey)

    (Dadurch wird ein privates / öffentliches Schlüssel-Paar auf dem XSP generiert, wenn es nicht bereits eins gab)

  3. (Nur 21SP1) Überprüfen Sie den konfigurierbaren Schlüsselspeicherort mithilfe des folgenden Befehls:

    XSP_CLI/Applications/authenticationService_1.0/KeyManagement> get

  4. (Nur 21SP1) Notieren Sie sich die zurückgegebenen fileLocation verwenden.

  5. (Nur 21SP1) Gesamt kopieren fileLocation Verzeichnis, das public und private Unterverzeichnisse, an alle anderen XSPs.

Bereitstellen der AuthService-URL für den Web-Container

Der XSP-Webcontainer benötigt die authService-URL, damit er Tokens validieren kann.

Auf den einzelnen XSPs:

  1. Fügen Sie die Authentifizierungsdienst-URL als externen Authentifizierungsdienst für das BroadWorks Communications-Dienstprogramm hinzu:

    XSP_CLI/System/CommunicationUtility/DefaultSettings/ExternalAuthentication/AuthService> set url http://127.0.0.1/authService

  2. Fügen Sie die Authentifizierungsdienst-URL zum Container hinzu:

    XSP_CLI/Maintenance/ContainerOptions> add tomcat bw.authservice.authServiceUrl http://127.0.0.1/authService

    Dies ermöglicht es Webex, den Authentifizierungsdienst zu verwenden, um tokens als Anmeldeinformationen zu validieren.

  3. Parameter überprüfen mit get definiert.

  4. Starten Sie XSP neu.

Konfigurieren des Vertrauens für den Authentifizierungsdienst (mit mTLS)

Konfigurieren von Trust (R21 SP1)
  1. Melden Sie sich bei Partner Hub an.

  2. Gehen Sie zu Einstellungen > BroadWorks Calling und klicken Sie aufWebex CA-Zertifikat herunterladen, um CombinedCertChain.txt auf Ihrem lokalen Computer gespeichert sind.


    Diese Datei enthält zwei Zertifikate. Sie müssen die Datei teilen, bevor Sie sie in die XSPs hochladen.
  3. Teilen Sie die Zertifikatskette in zwei Zertifikate auf:

    1. Öffnen combinedcertchain.txt in einem Texteditor.

    2. Auswählen und Ausschneiden des ersten Textblocks einschließlich der Linien -----BEGIN CERTIFICATE----- und -----END CERTIFICATE----- und fügen Sie den Textblock in eine neue Datei ein.

    3. Speichern Sie die neue Datei unter broadcloudroot.txt definiert.

    4. Originaldatei speichern als broadcloudissuing.txt definiert.

      Die Originaldatei sollte jetzt nur noch einen Block Text haben, der von den Leitungen umringt ist. -----BEGIN CERTIFICATE----- und -----END CERTIFICATE----- definiert.

  4. Kopieren Sie beide Textdateien an einen temporären Speicherort auf der XSP, die Sie sichern möchten, z. B. /tmp/broadcloudroot.txt und /tmp/broadcloudissuing.txt definiert.

  5. Melden Sie sich bei XSP an und navigieren Sie zu /XSP_CLI/Interface/Http/ClientAuthentication>

  6. Führen Sie die get Befehl und lesen Sie den chainDepth verwenden.

    (chainDepth ist standardmäßig 1, was für die Webex-Kette mit zwei Zertifikaten zu niedrig ist)

  7. Wenn die KetteDepth nicht bereits größer als 2 ist, führen Sie set chainDepth 2 definiert.

  8. (Optional) Ausführen help updateTrust um die Parameter und das Befehlsformat zu sehen.

  9. Laden Sie die Zertifikatdateien in neue Vertrauensanker hoch:

    XSP_CLI/Interface/Http/ClientAuthentication/Trusts> updateTrust webexclientroot /tmp/broadcloudroot.txt

    XSP_CLI/Interface/Http/ClientAuthentication/Trusts> updateTrust webexclientissuing /tmp/broadcloudissuing.txt


    webexclientroot und webexclientissuing sind Beispiel-Aliase für die Vertrauensanker; können Sie Ihre eigenen verwenden.
  10. Bestätigen Sie, dass beide Zertifikate hochgeladen wurden:

    /XSP_CLI/Interface/Http/ClientAuthentication/Trusts> get

Konfigurieren der Vertrauensstellung (R22 und höher)

  1. Melden Sie sich bei Control Hub mit Ihrem Partneradministratorkonto an.

  2. Gehen Sie zu Einstellungen > BroadWorks Calling und klicken Sie aufWebex CA-Zertifikat herunterladen, um CombinedCertChain.txt auf Ihrem lokalen Computer gespeichert sind.


    Diese Datei enthält zwei Zertifikate. Sie müssen die Datei teilen, bevor Sie sie in die XSPs hochladen.
  3. Teilen Sie die Zertifikatskette in zwei Zertifikate auf:

    1. Öffnen combinedcertchain.txt in einem Texteditor.

    2. Auswählen und Ausschneiden des ersten Textblocks einschließlich der Linien -----BEGIN CERTIFICATE----- und -----END CERTIFICATE----- und fügen Sie den Textblock in eine neue Datei ein.

    3. Speichern Sie die neue Datei unter broadcloudroot.txt definiert.

    4. Originaldatei speichern als broadcloudissuing.txt definiert.

      Die Originaldatei sollte jetzt nur noch einen Block Text haben, der von den Leitungen umringt ist. -----BEGIN CERTIFICATE----- und -----END CERTIFICATE----- definiert.

  4. Kopieren Sie beide Textdateien an einen temporären Speicherort auf der XSP, die Sie sichern möchten, z. B. /tmp/broadcloudroot.txt und /tmp/broadcloudissuing.txt definiert.

  5. (Optional) Ausführen help UpdateTrust um die Parameter und das Befehlsformat zu sehen.

  6. Laden Sie die Zertifikatdateien in neue Vertrauensanker hoch:

    XSP_CLI/Interface/Http/SSLCommonSettings/ClientAuthentication/Trusts> updateTrust webexclientroot /tmp/broadcloudroot.txt

    XSP_CLI/Interface/Http/SSLCommonSettings/ClientAuthentication/Trusts> updateTrust webexclientissuing /tmp/broadcloudissuing.txt


    webexclientroot und webexclientissuing sind Beispiel-Aliase für die Vertrauensanker; können Sie Ihre eigenen verwenden.
  7. Bestätigen Sie, dass die Dübel aktualisiert sind:

    XSP_CLI/Interface/Http/SSLCommonSettings/ClientAuthentication/Trusts> get

      Alias   Owner                                   Issuer
    =============================================================================
    webexclientissuing    BroadCloud Commercial Issuing CA – DA3     BroadCloud Commercial Trusted Root CA
    webexclientroot       BroadCloud Commercial Trusted Root CA      BroadCloud Commercial Trusted Root CA[self-signed]

(Option) Konfigurieren Sie mTLS auf HTTP-Schnittstelle/Port-Ebene

Es ist möglich, mTLS auf http-Schnittstelle/Port-Ebene oder per Web-Anwendung zu konfigurieren.

Die Art und Weise, wie Sie mTLS für Ihre Anwendung aktivieren, hängt von den Anwendungen ab, die Sie auf dem XSP hosten. Wenn Sie mehrere Anwendungen hosten, für die mTLS erforderlich ist, sollten Sie mTLS auf der Schnittstelle aktivieren. Wenn Sie nur eine von mehreren Anwendungen sichern müssen, die dieselbe HTTP-Schnittstelle verwenden, können Sie mTLS auf Anwendungsebene konfigurieren.

Bei der Konfiguration von mTLS auf HTTP-Schnittstelle/Port-Ebene ist mTLS für alle gehosteten Webanwendungen erforderlich, auf die über diese Schnittstelle/diesen Port zugegriffen wird.

  1. Melden Sie sich bei XSP an, dessen Oberfläche Sie konfigurieren.

  2. Navigieren Sie zu XSP_CLI/Interface/Http/HttpServer> und führen Sie die get Befehl, um die Schnittstellen zu sehen.

  3. So fügen Sie eine Schnittstelle hinzu und fordern eine Client-Authentifizierung dort an (das heißt, dasselbe wie mTLS):

    XSP_CLI/Interface/Http/HttpServer> add IPAddress Port Name true true

    Weitere Informationen finden Sie in der XSP CLI-Dokumentation. Im Wesentlichen die erste true sichert die Schnittstelle mit TLS (bei Bedarf wird ein Serverzertifikat erstellt) und dem zweiten true zwingt die Schnittstelle dazu, eine Client-Zertifikatauthentifizierung zu fordern (zusammen sind sie mTLS).

Zum Beispiel:

XSP_CLI/Interface/Http/HttpServer> get

Interface Port Name Secure Client Auth Req Cluster Fqdn
         =======================================================
         192.0.2.7 443 xsp01.collab.example.net true false 
         192.0.2.7 444 xsp01.collab.example.net true true

In diesem Beispiel ist mTLS (Client Auth Req = true) aktiviert auf 192.0.2.7 Port 444 definiert. TLS ist aktiviert auf 192.0.2.7 Port 443 definiert.

(Option) Konfigurieren von mTLS für bestimmte Webanwendungen

Es ist möglich, mTLS auf http-Schnittstelle/Port-Ebene oder per Web-Anwendung zu konfigurieren.

Die Art und Weise, wie Sie mTLS für Ihre Anwendung aktivieren, hängt von den Anwendungen ab, die Sie auf dem XSP hosten. Wenn Sie mehrere Anwendungen hosten, für die mTLS erforderlich ist, sollten Sie mTLS auf der Schnittstelle aktivieren. Wenn Sie nur eine von mehreren Anwendungen sichern müssen, die dieselbe HTTP-Schnittstelle verwenden, können Sie mTLS auf Anwendungsebene konfigurieren.

Bei der Konfiguration von mTLS auf Anwendungsebene ist mTLS für diese Anwendung erforderlich, unabhängig von der Konfiguration der HTTP-Serverschnittstelle.

  1. Melden Sie sich bei XSP an, dessen Oberfläche Sie konfigurieren.

  2. Navigieren Sie zu XSP_CLI/Interface/Http/SSLCommonSettings/ClientAuthentication/WebApps> und führen Sie die get um zu sehen, welche Anwendungen ausgeführt werden.

  3. So fügen Sie eine Anwendung hinzu und fordern eine Client-Authentifizierung an (d. h. dasselbe wie mTLS):

    XSP_CLI/Interface/Http/SSLCommonSettings/ClientAuthentication/WebApps> add IPAddress Port ApplicationName true

    Weitere Informationen finden Sie in der XSP CLI-Dokumentation. Die Applikationsnamen werden dort auflistet. Das Symbol true aktiviert in diesem Befehl mTLS.

Zum Beispiel:

XSP_CLI/Interface/Http/SSLCommonSettings/ClientAuthentication/WebApps> add 192.0.2.7 443 AuthenticationService true

Der Beispielbefehl fügt die Authentifizierungsservice-Anwendung zu 192.0.2.7:443 hinzu und erfordert die Anforderung und Authentifizierung von Zertifikaten beim Client.

Überprüfen mit get:

XSP_CLI/Interface/Http/SSLCommonSettings/ClientAuthentication/WebApps> get

Interface Ip Port Application Name Client Auth Req
         ===================================================
         192.0.2.7 443 AuthenticationService      true          

Zusätzliche Zertifikatsanforderungen für die Mutual TLS-Authentifizierung mit AuthService

Webex interagiert mit dem Authentifizierungsdienst über eine Mutual TLS Verbindung. Das heißt, Webex stellt ein Client-Zertifikat vor und das XSP muss es validieren. Um diesem Zertifikat zu vertrauen, verwenden Sie die Webex CA-Zertifikatskette, um einen Vertrauensanker auf XSP (oder Proxy) zu erstellen. Die Zertifikatskette steht über den Partner Hub zum Download zur Verfügung:

  1. Gehen Sie zu Einstellungen > BroadWorks Calling.

  2. Klicken Sie auf den Link Zertifikat herunterladen.


Sie können auch die Zertifikatskette von https://bwks-uap.webex.com/assets/public/CombinedCertChain.txterhalten.

Die genauen Anforderungen für die Bereitstellung dieser Webex CA-Zertifikatskette hängen von der Bereitstellung Ihrer öffentlichen XSPs ab:

  • Über einen TLS-Bridge-Proxy

  • Über einen TLS-Pass-Through-Proxy

  • Direkt zum XSP

Das folgende Diagramm fasst den Einsatz der Webex CA-Zertifikatskette in diesen drei Fällen zusammen.

Anforderungen an Mutual TLS-Zertifikate für TLS-Bridge-Proxy

  • Webex stellt dem Proxy ein von Webex CA signiertes Client-Zertifikat vor.

  • Die Webex CA-Zertifikatskette wird im Proxy Trust Store bereitgestellt, so dass der Proxy dem Client-Zertifikat vertraut.

  • Das öffentlich signierte XSP-Serverzertifikat wird ebenfalls in den Proxy geladen.

  • Der Proxy stellt webex ein öffentlich signiertes Serverzertifikat vor.

  • Webex vertraut der öffentlichen Zertifizierungsstelle, die das Serverzertifikat des Proxy signiert hat.

  • Der Proxy stellt den XSPs ein intern signiertes Client-Zertifikat vor.

    Bei diesem Zertifikat muss das Feld erweiterte Schlüsselverwendung x509.v3 mit der BroadWorks-OID 1.3.6.1.4.1.6431.1.1.8.2.1.3 und dem Zweck der TLS-Clientauthentifizierung ausgefüllt sein. E.g.:

    X509v3 extensions:

    X509v3 Extended Key Usage:

    1.3.6.1.4.1.6431.1.1.8.2.1.3, TLS Web Client
                  Authentication 

    Beachten Sie beim Generieren interner Client-Zertifikate für den Proxy, dass SAN-Zertifikate nicht unterstützt werden. Interne Serverzertifikate für das XSP können SAN sein.

  • Die XSPs vertrauen der internen Zertifizierungsstelle.

  • Die XSPs stellen ein intern signiertes Serverzertifikat vor.

  • Der Proxy vertraut der internen Zertifizierungsstelle.

Mutual TLS-Zertifikatanforderungen für TLS-Passthrough-Proxy oder XSP im DMZ

  • Webex stellt den XSPs ein von Webex CA signiertes Client-Zertifikat vor.

  • Die Webex CA-Zertifikatskette wird im Vertrauensspeicher der XSPs bereitgestellt, sodass die XSPs dem Clientzertifikat vertrauen.

  • Das öffentlich signierte XSP-Serverzertifikat wird ebenfalls in die XSPs geladen.

  • Die XSPs präsentieren Webex öffentlich signierte Serverzertifikate.

  • Webex vertraut der öffentlichen Zertifizierungsstelle, die die XSPs-Serverzertifikate signiert hat.