Descripción general

Durante el protocolo de enlace TLS, Un cliente TLS estándar comprueba la validez del certificado del servidor TLS. Cuando Jabber se implementa a través de Internet, esta configuración podría ser vulnerable a un ataque "Man-in-the-Middle".

Durante el inicio de sesión, si un pirata informático presenta a su propio servidor un certificado de TLS válido en lugar del Expressway esperado, es posible que Jabber acepte el certificado debido a la ausencia de controles adicionales, lo que podría resultar en la conexión del usuario a un sistema malicioso. Para evitar este problema, Jabber agrega un paso de validación adicional: verifica que el dominio ingresado durante el inicio de sesión coincida con los nombres alternativos del sujeto (SAN) en el certificado. Si coincide, Jabber intenta conectarse al Expressway.

"Cada entrada SAN en el certificado debe ser firmada por la Autoridad de Certificación (CA). Esto significa que solo la empresa propietaria del dominio puede recibir un certificado firmado por la CA, y la CA valida las entradas SAN. Por lo tanto, se vuelve considerablemente más difícil falsificar la identidad del Expressway".

En Instancia Dedicada, Cisco administra los certificados para las aplicaciones de UC y, por lo tanto, los certificados se firman con el dominio proporcionado por Cisco, Por ejemplo, customer.amer.wxc-di.webex.com. Sin embargo, para que un usuario final inicie sesión en el cliente de Jabber con la dirección de correo electrónico del cliente, se puede lograr con las siguientes opciones:

Opción 1: inicio de sesión del usuario final inicial de Jabber

El inicio de sesión inicial del usuario final de Jabber es el enfoque más simple, y los pasos se indican en detalle:

  1. Introduzca el dominio del servicio de voz proporcionado por Cisco, por ejemplo, user@customer.amer.wxc-di.webex.co m en la pantalla inicial de inicio de sesión de Jabber.

    Cisco comparte el dominio del servicio de voz del cliente para cada región después de la activación del servicio. Esta información forma parte del documento de detalles de acceso compartido en el espacio de la aplicación Webex. Para obtener más detalles, consulte Activación del servicio de instancia dedicada.

  2. Introduzca el nombre de usuario o el ID de correo electrónico de la empresa junto con la contraseña para la autenticación.

    Si el SSO está activado, el IdP realiza la operación similar.

    Los inicios de sesión posteriores después de esto no requieren realizar el paso 1, a menos que se restablezca el cliente de Jabber.

Opción 2: Utilizar el dominio del servicio de voz

Con este enfoque, el cliente de Jabber puede diferenciar entre el dominio del cliente introducido por el usuario y el dominio de descubrimiento de servicios. En el instalador, si el dominio del servicio de voz está configurado en customer.amer.wxc-di.webex.com, el usuario puede conectarse al cliente Jabber mediante la dirección de correo electrónico de su empresa y Jabber puede seguir realizando el descubrimiento de servicios en función del valor establecido en el dominio del servicio de voz. Esto elimina la necesidad de proporcionar un dominio de servicio de voz en el inicio de sesión de Jabber inicial según la opción anterior.

Para ventanas:

Herramientas como Microsoft Orc a se pueden utilizar para crear instaladores personalizados de Jabber, que pueden incluir el dominio del servicio de voz. Se puede indicar a los usuarios que utilicen estos instaladores para el cliente Jabber.

Para MAC, iOS, Android:

Se pueden utilizar herramientas como MDM para crear instaladores personalizados de Jabber que puedan incluir el dominio del servicio de voz.

Opción 3: Utilizar la URL de configuración

Se utiliza una URL de configuración para establecer los parámetros de Jabber antes del inicio de sesión inicial, como el dominio de servicios de voz. Ejemplo de una URL de configuración: ciscojabber://provision?ServicesDomain=customer.com&VoiceServicesDomain=customer.amer.wxc-di.webex.com

Al hacer clic en el enlace anterior, el dominio del servicio de voz se puede configurar en el cliente Jabber que se ejecuta en dispositivos MAC, Android o iOS.

Esta configuración no es persistente; el usuario debe volver a hacer clic en el enlace si se restablece el cliente de Jabber.

La aplicación Webex no tiene el requisito anterior; el cliente realiza la comprobación del dominio, pero es posible aprovisionar el dominio del servicio de voz en Control Hub. Cuando la aplicación Webex se conecta a Webex, obtiene el dominio de servicios de voz y lo registra. Para obtener más información sobre la configuración de llamadas dentro de la aplicación de Webex, consulte Integración de la aplicación de Webex con instancia exclusiva para llamadas dentro de la aplicación.

Enlace útil: Implementación local para Cisco Jabber 14.0