Descripción general

Durante la negociación del TLS, un cliente estándar de TLS verifica la validez del certificado del servidor TLS. Sin embargo, es posible que esta implementación incorpore ataques de intermediario, cuando Jabber se implementa por Internet. Durante el inicio de sesión, si un pirata informático presenta a Jabber su propio servidor con un certificado válido de TLS en lugar del expressway, entonces Jabber en ausencia de control adicional, acepta ese certificado y el usuario puede conectarse a un sistema malintencionado. Para evitar este problema, Jabber realiza un paso de validación adicional que no forma parte de la TLS estándar, comprueba que el dominio que el usuario introdujo durante el proceso de inicio de sesión coincide con el Nombre alternativo del sujeto (SAN) incluido en el certificado. Jabber intenta conectarse a Expressway solo si coincide. Cualquier entrada de SAN que se realice en el certificado debe estar firmada por la entidad de certificación (CA), lo que significa que solo la empresa que posee el dominio podrá obtener un certificado firmado por CA.

Cualquier SAN introducido en el certificado está sujeta a la validación de la entidad de certificación (CA), por lo que solo la empresa que posee el dominio puede obtener un certificado firmado por CA. Hace que sea más difícil robar la identidad del Expressway.

En la instancia dedicada, Cisco administra los certificados para las aplicaciones UC y, por lo tanto, los certificados solo se firman con el dominio de Cisco proporcionado, por ejemplocustomer.amer.wxc-di.webex.com. Sin embargo, se pueden realizar las siguientes opciones para que un usuario final inicie sesión en el cliente de Jabber con la dirección de correo electrónico del cliente:

Opción 1: inicio de sesión inicial del usuario final de Jabber

Los usuarios se pueden comunicar que por su inicio de sesión en el cliente de Jabber necesitan utilizar el dominio del servicio de voz de Cisco user@customer.amer.wxc-di.webex.com en la pantalla inicial, seguido por el nombre de usuario o la dirección de correo electrónico de la empresa y la contraseña en la siguiente pantalla. Dado que este enfoque es más sencillo, los pasos se explican más detalladamente:

  1. El usuario debe introducir al dominio de servicio de voz proporcionado por Cisco, por ejemplo user@customer.amer.wxc-di.webex.com en la pantalla de inicio de sesión de Jabber inicial, como se muestra en la siguiente figura.


    Cisco comparte el dominio del servicio de voz del cliente para cada región cuando se completa la activación del servicio. Esta información es parte del documento detalles de acceso compartido en el espacio de la aplicación de Webex. Para obtener más información, consulte Activación de servicio de instancia dedicada.

  2. Se solicita al usuario que introduzca el nombre de usuario o la ID de correo electrónico de la empresa, junto con la contraseña para la autenticación como se muestra en la figura siguiente.


    Si SSO está habilitado, el IdP ejecutará una operación similar.

    Los inicios de sesión subsecuentes post no requieren que el usuario realice el paso 1, a menos que se restablezca el cliente Jabber.

Opción 2: usar el dominio del servicio de voz

Con este enfoque, el cliente de Jabber puede distinguir entre el dominio del cliente introducido por el usuario y el dominio de detección de servicios. En el programa de instalación si el dominio del servicio de voz está configurado en customer.amer.wxc-di.webex.com, el usuario puede iniciar sesión en el cliente de Jabber usando la dirección de correo electrónico de la empresa y Jabber puede seguir haciendo el descubrimiento de servicios basándose en el valor establecido en dominio de servicio de voz. Esto eliminará la necesidad de proporcionar el dominio de servicio de voz en el inicio de sesión de Jabber inicial como se indica en la opción anterior.

Para Windows:

Las herramientas como Microsoft Orca se pueden utilizar para crear programas de instalación de Jabber personalizados, que pueden incluir el dominio del servicio de voz. Los usuarios pueden tener instrucciones para usar estos programas de instalación para el cliente de Jabber.

Para MAC, iOS, Android:

Las herramientas como MDM se pueden utilizar para crear programas de instalación de Jabber personalizados, que pueden incluir el dominio del servicio de voz.

Opción 3: usar la URL de configuración

Se puede utilizar una dirección URL de configuración para establecer los parámetros de Jabber antes del inicio de sesión inicial, como el dominio de los servicios de voz. Ejemplo de una URL de configuración: ciscojabber://provision?ServicesDomain=customer.com&VoiceServicesDomain=customer.amer.wxc-di.webex.com

Al hacer clic en el enlace anterior, el dominio del servicio de voz se puede configurar en el cliente de Jabber que se ejecuta en dispositivos de MAC, Android o iOS.


Esta configuración no se mantiene, el usuario debería volver a hacer clic en el enlace si se restablece el cliente Jabber.

Merece la pena tener en cuenta que la aplicación de Webex no tiene el requisito anterior. el cliente realiza la comprobación de dominios, pero es posible aprovisionar el dominio del servicio de voz en el Hub de control. Cuando la aplicación de Webex se conecta a Webex, obtiene el dominio de los servicios de voz y se registra la misma. Para obtener más información sobre la configuración de llamada de aplicación en la aplicación de Webex, consulte Integración de la aplicación de Webex con instancia dedicada para llamadas en la aplicación.

Enlace útil: Implementación en las instalaciones para Cisco Jabber 14.0