Käyttäjät valitsevat kokoustyypin ajoittaessaan kokouksen. Päästäessään sisään osallistujia aulasta sekä kokouksen aikana isäntä näkee jokaisen osallistujan henkilöllisyyden vahvistustilan. Siellä on myös kaikille kokouksen nykyisille osallistujille yhteinen kokouskoodi, jonka avulla he voivat vahvistaa toisensa.
Jaa seuraavat tiedot kokouksen järjestäjien kanssa:
Liity Webex-kokoukseen päästä päähän -salauksella
Vahvista henkilöllisyys
Päästä päähän -salaus ja henkilöllisyyden todentaminen tarjoavat lisäsuojaa päästä päähän -salatulle kokoukselle.
Kun osallistujat tai laitteet liittyvät jaettuun MLS (Messaging Layer Security) -ryhmään, he esittävät varmenteensa muille ryhmän jäsenille, jotka sitten vahvistavat varmenteet myöntäviä varmenteita (CA) vastaan. Vahvistamalla, että varmenteet ovat voimassa, varmentaja varmistaa osallistujien henkilöllisyyden ja kokous näyttää osallistujat/laitteet varmennetuiksi.
Webex App -käyttäjät todentavat itsensä Webex-identiteettikaupassa, joka antaa heille pääsytunnuksen, kun todennus onnistuu. Jos he tarvitsevat varmenteen henkilöllisyytensä vahvistamiseen päästä päähän salatussa kokouksessa, Webexin varmentaja myöntää heille varmenteen heidän käyttövaltuutensa perusteella. Tällä hetkellä emme tarjoa Webex Meetingsin käyttäjille mahdollisuutta saada kolmannen osapuolen/ulkoisen CA:n myöntämää varmennetta.
Laitteet voivat todentaa itsensä sisäisen (Webex) CA:n tai ulkoisen CA:n myöntämällä varmenteella:
Sisäinen CA – Webex myöntää sisäisen varmenteen laitteen konetilin käyttöoikeustunnuksen perusteella. Varmenteen on allekirjoittanut Webex CA. Laitteilla ei ole käyttäjätunnuksia samalla tavalla kuin käyttäjillä, joten Webex käyttää (yksi) organisaatiosi toimialueista kirjoittaessaan laitevarmenteen identiteetin (Common Name (CN)).
Ulkoinen CA – Pyydä ja osta laitevarmenteita suoraan valitsemaltasi myöntäjältä. Sinun on salattava, ladattava ja valtuutettava varmenteet käyttämällä vain sinun tuntemaasi salaisuutta.
Cisco ei ole mukana, mikä tekee tämän tavan taata todellinen päästä päähän -salaus ja varmennettu henkilöllisyys sekä estää teoreettisen mahdollisuuden, että Cisco voisi salakuunnella kokouksenne tai purkaa median salauksen.
Sisäisesti myönnetty laitesertifikaatti
Webex myöntää laitteelle varmenteen, kun se rekisteröityy käynnistyksen jälkeen, ja uusii sen tarvittaessa. Laitteissa varmenne sisältää tilitunnuksen ja verkkotunnuksen.
Jos organisaatiollasi ei ole toimialuetta, Webexin varmentaja myöntää varmenteen ilman toimialuetta.
Jos organisaatiollasi on useita verkkotunnuksia, voit Control Hubin avulla kertoa Webexille, mitä toimialuetta laite käyttää identiteetissään. Voit myös käyttää API:ta xConfiguration Conference EndToEndEncryption Identity PreferredDomain: "example.com"
.
Jos sinulla on useita verkkotunnuksia etkä aseta laitteelle ensisijaista verkkotunnusta, Webex valitsee sinulle yhden.
Ulkoinen laitesertifikaatti
Järjestelmänvalvoja voi varata laitteen omalla varmenteella, joka on allekirjoitettu jonkin julkisen CA:n kanssa.
Varmenteen on perustuttava ECDSA P-256 -avainpariin, vaikka se voidaan allekirjoittaa RSA-avaimella.
Sertifikaatin arvot ovat organisaation harkinnassa. Common Name (CN) ja Subject Alternative Name (SAN) näkyvät Webex-kokouksen käyttöliittymässä kohdassa kuvatulla tavalla. Päästä päähän -salaus ja henkilöllisyyden todentaminen Webex-kokouksille.
Suosittelemme erillisen varmenteen käyttämistä laitetta kohden ja ainutlaatuisen CN:n käyttöä laitetta kohti. Esimerkiksi "kokoushuone-1.example.com" organisaatiolle, joka omistaa "example.com"-verkkotunnuksen.
Jotta ulkoinen varmenne voidaan suojata täysin peukaloitumiselta, erilaisten x-komentojen salaamiseen ja allekirjoittamiseen käytetään asiakassalaista ominaisuutta.
Asiakassalaisuutta käytettäessä on mahdollista hallita ulkoista Webex-identiteettivarmennetta turvallisesti xAPI:n kautta. Tämä on tällä hetkellä rajoitettu online-laitteisiin.
Webex tarjoaa tällä hetkellä API-komentoja tämän hallintaan.
Laitteet
Seuraavat pilveen rekisteröidyt Webex Room- ja Webex Desk -sarjan laitteet voivat liittyä päästä päähän salattuihin kokouksiin:
Webexin hallitus
Webex Desk Pro
Webex työpöytä
Webex-huonesarja
Webex Room Kit Mini
Seuraavat laitteet eivät voi liittyä päästä päähän salattuihin kokouksiin:
Webex C-sarja
Webex DX -sarja
Webex EX -sarja
Webex MX -sarja
Kolmannen osapuolen SIP-laitteet
Ohjelmistoasiakkaat
Versiosta 41.6 alkaen Webex Meetings -työpöytäasiakasohjelma voi liittyä päästä päähän salattuihin kokouksiin.
Jos organisaatiosi sallii Webex-sovelluksen liittyä kokouksiin käynnistämällä Meetings-työpöytäsovelluksen, voit käyttää tätä vaihtoehtoa liittyäksesi päästä päähän salattuihin kokouksiin.
Webex-verkkoasiakasohjelma ei voi liittyä päästä päähän salattuihin kokouksiin.
Kolmannen osapuolen pehmeät SIP-asiakkaat eivät voi liittyä päästä päähän -salattuihin kokouksiin.
Identiteetti
Suunnittelun perusteella emme tarjoa Control Hub -vaihtoehtoja, joiden avulla voit hallita ulkoisesti varmennettua laiteidentiteettiä. Todellista päästä päähän -salausta varten vain sinun tulee tietää salaisuudet ja avaimet/pääsy niihin. Jos otimme käyttöön pilvipalvelun näiden avainten hallintaan, on olemassa mahdollisuus, että ne siepataan.
Tällä hetkellä tarjoamme sinulle "reseptin", jonka avulla voit suunnitella omia työkalujasi, jotka perustuvat alan standardien salaustekniikoihin ja jotka auttavat laitteesi identiteettivarmenteiden ja niiden yksityisten avainten pyytämisessä tai salaamisessa. Emme halua saada todellista tai kuviteltua pääsyä salaisuuksiin tai avaimiin.
Kokoukset
Päästä päähän salatut kokoukset tukevat tällä hetkellä enintään 200 osallistujaa.
Näistä 200 osallistujasta enintään 25 ulkopuolisesti vahvistettua laitetta voi liittyä, ja he on oltava ensimmäiset osallistujat, jotka liittyvät kokoukseen.
Kun suurempi määrä laitteita liittyy kokoukseen, taustamediapalvelumme yrittävät transkoodata mediavirrat. Jos emme voi purkaa, transkoodata ja salata uudelleen mediaa (koska meillä ei ole eikä pitäisi olla laitteiden salausavaimia), transkoodaus epäonnistuu.
Tämän rajoituksen lieventämiseksi suosittelemme pienempiä kokouksia laitteille tai porrastamaan kutsut laitteiden ja Meetings-asiakkaiden välillä.
Hallintaliittymä
Suosittelemme, että käytät Control Hubia kokoussivustosi hallintaan, koska Control Hub -organisaatioilla on keskitetty identiteetti koko organisaatiolle, kun taas sivuston hallinnassa identiteettiä ohjataan sivustokohtaisesti.
Sivuston hallinnasta hallinnoiduilla käyttäjillä ei voi olla Cisco-varmennettu identiteetti -vaihtoehtoa. Näille käyttäjille myönnetään anonyymi varmenne päästä päähän salattuun kokoukseen liittymistä varten, ja heidät voidaan sulkea pois kokouksista, joissa isäntä haluaa varmistaa henkilöllisyyden vahvistamisen.
Liittyviä tietoja
Zero-Trust Security Webexille (turvatekninen paperi): https://www.cisco.com/c/en/us/solutions/collateral/collaboration/white-paper-c11-744553.html
Cisco Live 2021 -esitys (vaatii Cisco Live -rekisteröinnin): https://www.ciscolive.com/2021/learn/session-catalog.html?tab.digitalbundle=Anytime21&search.sessiontype=BRK&search.learningmap=1614364767910003wzD6#/session/16106298425360015zrh
JSON-verkkosalaus (JWE) (IETF-standardin luonnos): https://datatracker.ietf.org/doc/html/rfc7516
Käyttäjälle suunnattu dokumentaatio: https://help.webex.com/5h5d8ab
Webex-kokoukset 41.7.
Pilvirekisteröidyt Webex Room- ja Webex Desk -sarjan laitteet, käynnissä
10.6.1-RoomOS_August_2021
.Hallinnolliset käyttöoikeudet kokoussivustoon Control Hubissa, jotta uusi istuntotyyppi voidaan ottaa käyttöön käyttäjille.
Yksi tai useampi vahvistettu verkkotunnus Control Hub -organisaatiossasi (jos käytät Webex CA:ta laitevarmenteiden myöntämiseen vahvistetusta henkilöllisyydestä).
Yhteistyökokoushuoneiden on oltava päällä, jotta ihmiset voivat liittyä videojärjestelmästään. Katso lisätietoja Salli videojärjestelmien liittyä Webex-sivustosi kokouksiin ja tapahtumiin.
Voit ohittaa tämän vaiheen, jos et tarvitse ulkopuolisesti vahvistettuja henkilöllisyyksiä.
Korkeimman turvallisuustason ja henkilöllisyyden todentamiseksi jokaisella laitteella on oltava luotetun julkisen varmenteen myöntäjän (CA) myöntämä ainutlaatuinen varmenne.
Sinun on oltava vuorovaikutuksessa CA:n kanssa, jotta voit pyytää, ostaa ja vastaanottaa digitaalisia varmenteita ja luoda niihin liittyvät yksityiset avaimet. Kun pyydät varmennetta, käytä näitä parametreja:
Varmenteen on oltava tunnetun julkisen varmentajan myöntämä ja allekirjoittama.
Ainutlaatuinen: Suosittelemme käyttämään ainutlaatuista varmennetta jokaiselle laitteelle. Jos käytät yhtä varmennetta kaikille laitteille, vaarannat tietoturvasi.
Yleisnimi (CN) ja aiheen vaihtoehtoinen nimi/nimet (SAN/s): Nämä eivät ole tärkeitä Webexille, mutta niiden pitäisi olla arvoja, joita ihmiset voivat lukea ja yhdistää laitteeseen. CN näyttää muille kokouksen osallistujille laitteen ensisijaisena vahvistettuna henkilöllisyytenä, ja jos käyttäjät tarkastavat varmenteen kokouksen käyttöliittymän kautta, he näkevät SAN:t. Haluat ehkä käyttää nimiä, kuten
name.model@example.com
.Tiedosto muoto: Varmenteiden ja avainten on oltava
.pem
muoto.Tarkoitus: Varmenteen tarkoituksen on oltava Webex Identity.
Avainten luominen: Varmenteiden tulee perustua ECDSA P-256 avainpareihin (Elliptical Curve Digital Signature Algorithm käyttäen P-256 käyrää).
Tämä vaatimus ei ulotu allekirjoitusavaimeen. Varmentaja voi käyttää RSA-avainta varmenteen allekirjoittamiseen.
Voit ohittaa tämän vaiheen, jos et halua käyttää ulkoisesti vahvistettua henkilöllisyyttä laitteidesi kanssa.
Jos käytät uusia laitteita, älä rekisteröi niitä vielä Webexiin. Älä yhdistä niitä verkkoon tässä vaiheessa varmuuden vuoksi.
Jos sinulla on olemassa olevia laitteita, jotka haluat päivittää käyttämään ulkoisesti vahvistettua henkilöllisyyttä, sinun on palautettava laitteiden tehdasasetukset.
Tallenna olemassa oleva kokoonpano, jos haluat säilyttää sen.
Ajoita ikkuna, kun laitteita ei käytetä, tai käytä vaiheittaista lähestymistapaa. Ilmoita käyttäjille muutoksista, joita he voivat odottaa.
Varmista fyysinen pääsy laitteisiin. Jos sinun on käytettävä laitteita verkon kautta, ota huomioon, että salaisuudet kulkevat pelkkänä tekstinä ja vaarannat turvallisuutesi.
Kun olet suorittanut nämä vaiheet, salli videojärjestelmien liittyä kokouksiin ja tapahtumiin Webex-sivustollasi.
Varmistaaksesi, että kukaan muu kuin laite ei voi salata laitteesi mediaa, sinun on salattava laitteen yksityinen avain. Suunnittelimme laitteelle API:t mahdollistamaan salatun avaimen ja varmenteen hallinnan JSON Web Encryptionin (JWE) avulla.
Varmistaaksemme todellisen päästä päähän -salauksen pilvemme kautta, emme voi olla mukana varmenteen ja avaimen salaamisessa ja lataamisessa. Jos tarvitset tämän tason suojausta, sinun on:
Pyydä todistuksesi.
Luo sertifikaattien avainparit.
Luo (ja suojaa) ensimmäinen salaisuus jokaiselle laitteelle, jotta laitteen salausominaisuus saadaan valmiiksi.
Kehitä ja ylläpidä omaa työkaluasi tiedostojen salaamiseen JWE-standardin avulla.
Prosessi ja tarvitsemasi (ei-salaiset) parametrit selitetään alla sekä resepti, jota noudatetaan valitsemissasi kehitystyökaluissa. Tarjoamme myös joitain testitietoja ja tuloksena olevia JWE-blobeja odotetulla tavalla, jotta voit vahvistaa prosessisi.
Python3:a ja JWCrypto-kirjastoa käyttävä viitetoteutus, jota ei tueta, on saatavilla pyynnöstä Ciscosta.
Yhdistä ja salaa varmenne ja avain käyttämällä työkaluasi ja laitteen alkuperäistä salaisuutta.
Lataa tuloksena oleva JWE-blob laitteeseen.
Aseta Webex-identiteetissä käytettävän salatun varmenteen tarkoitus ja aktivoi varmenne.
(Suositus) Tarjoa käyttöliittymä (tai jakaa) työkalullesi, jotta laitteen käyttäjät voivat muuttaa alkuperäisen salaisuuden ja suojata mediansa sinulta.
Kuinka käytämme JWE-muotoa
Tässä osiossa kuvataan, kuinka odotamme JWE:n luovan syötteeksi laitteisiin, jotta voit rakentaa oman työkalusi luodaksesi blobeja varmenteistasi ja avaimistasi.
Viitata JSON Web Encryption (JWE) https://datatracker.ietf.org/doc/html/rfc7516 ja JSON Web Signature (JWS) https://datatracker.ietf.org/doc/html/rfc7515.
Käytämme Kompakti sarjointi JSON-asiakirjasta JWE-blobin luomiseksi. Parametrit, jotka sinun on sisällytettävä JWE-blobeja luotaessa, ovat:
JOSE Otsikko (suojattu). JSON Object Signing and Encryption -otsikkoon TÄYTYY sisällyttää seuraavat avainarvoparit:
"alg":"dir"
Suora algoritmi on ainoa, jota tuemme hyötykuorman salaamiseen, ja sinun on käytettävä laitteen alkuperäistä asiakassalaisuutta.
"enc":"A128GCM"
tai"enc":"A256GCM"
Tuemme näitä kahta salausalgoritmia.
"cisco-action": "add"
tai"cisco-action": "populate"
tai"cisco-action": "activate"
tai"cisco-action": "deactivate"
Tämä on oma avain ja se voi ottaa neljä arvoa. Otimme käyttöön tämän avaimen viestimään salattujen tietojen tarkoituksesta kohdelaitteelle. Arvot on nimetty sen laitteen xAPI-komentojen mukaan, jossa käytät salattua tietoa.
Nimesimme sen
cisco-action
lieventämään mahdollisia yhteenottoja tulevien JWE-laajennusten kanssa."cisco-kdf": { "version": "1", "salt": "base64URLEncodedRandom4+Bytes" }
Toinen oma avain. Käytämme antamiasi arvoja syötteinä avainten johtamiseen laitteessa. The
version
täytyy olla1
(versio avainjohdannaisfunktiostamme). Arvosalt
on oltava base64 URL-koodattu vähintään 4 tavun pituinen sekvenssi, jonka sinä on pakko valita satunnaisesti.
JWE-salattu avain. Tämä kenttä on tyhjä. Laite saa sen alkuperäisestä
ClientSecret
.JWE:n alustusvektori. Sinun on toimitettava base64url-koodattu alustusvektori hyötykuorman salauksen purkamista varten. IV ON PAKKO olla satunnainen 12 tavun arvo (käytämme AES-GCM salausperhettä, joka edellyttää IV:n olevan 12 tavua pitkä).
JWE AAD (todennettua lisätietoa). Sinun on jätettävä tämä kenttä pois, koska sitä ei tueta kompaktissa serialisaatiossa.
JWE Salateksti: Tämä on salattu hyötykuorma, jonka haluat pitää salassa.
Hyötykuorma VOI olla tyhjä. Jos esimerkiksi haluat nollata asiakkaan salaisuuden, sinun on kirjoitettava se tyhjällä arvolla.
Hyötykuormia on erilaisia sen mukaan, mitä yrität tehdä laitteella. Eri xAPI-komennot odottavat erilaisia hyötykuormia, ja sinun on määritettävä hyötykuorman tarkoitus
cisco-action
avain seuraavasti:Kanssa
"cisco-action":"populate"
salateksti on uusiClientSecret
.Kanssa "
"cisco-action":"add"
salateksti on PEM-blob, joka sisältää varmenteen ja sen yksityisen avaimen (ketjutettuna).Kanssa "
"cisco-action":"activate"
salateksti on sormenjälki (heksadesimaalinen sha-1:n esitys) varmenteessa, jonka aktivoimme laitteen identiteetin todentamista varten.Kanssa "
"cisco-action":"deactivate"
salateksti on sen varmenteen sormenjälki (sha-1:n heksadesimaalinen esitys), jonka käyttö laitteen henkilöllisyyden todentamiseen poistetaan.
JWE-todennustunniste: Tämä kenttä sisältää todennustunnisteen, jolla varmistetaan koko JWE:n kompaktisti serialisoidun blobin eheys
Kuinka johdamme salausavaimen ClientSecret
Salaisuuden ensimmäisen populaation jälkeen emme hyväksy tai tulosta salaisuutta pelkkänä tekstinä. Tällä estetään mahdolliset sanakirjahyökkäykset sellaisilta henkilöiltä, jotka voivat käyttää laitetta.
Laiteohjelmisto käyttää asiakassalaisuutta syötteenä avaimen johtamistoimintoon (kdf) ja käyttää sitten johdettua avainta sisällön salauksen purkamiseen/salaukseen laitteessa.
Tämä tarkoittaa sinulle sitä, että JWE-blobeja tuottavan työkalun on noudatettava samaa menettelyä saadakseen sama salaus-/salauksenpurkuavain asiakkaan salaisuudesta.
Laitteet käyttävät scrypt avaimen johdosta (katso https://en.wikipedia.org/wiki/Scrypt), seuraavilla parametreilla:
CostFactor (N) on 32768
BlockSizeFactor (r) on 8
Parallelization Factor (p) on 1
Suola on vähintään 4 tavun satunnainen sekvenssi; sinun on toimitettava tämä sama
salt
määritettäessäcisco-kdf
parametri.Avainten pituudet ovat joko 16 tavua (jos valitset AES-GCM 128 -algoritmin) tai 32 tavua (jos valitset AES-GCM 256 -algoritmin).
Muistin enimmäiskapasiteetti on 64 Mt
Tämä parametrijoukko on ainoa konfiguraatio scrypt joka on yhteensopiva laitteiden avaimen johtamistoiminnon kanssa. Tämä kdf laitteissa on nimeltään "version":"1"
, joka on tällä hetkellä ainoa versio, jonka cisco-kdf
parametri.
Toiminut esimerkki
Tässä on esimerkki, jonka avulla voit varmistaa, että JWE-salausprosessisi toimii samalla tavalla kuin laitteille luomamme prosessi.
Esimerkkiskenaario on PEM-blobin lisääminen laitteeseen (jäljittelee varmenteen lisäämistä, erittäin lyhyellä merkkijonolla täyden sertifikaatin + -avaimen sijaan). Esimerkin asiakkaan salaisuus on ossifrage
.
Valitse salauskoodi. Tämä esimerkki käyttää
A128GCM
(AES 128-bittisillä avaimilla Galois Counter -tilassa). Työkalustasi voisi olla hyötyäA256GCM
jos sinä suosit.Valitse suola (täytyy olla vähintään 4 tavun satunnainen sarja). Tämä esimerkki käyttää (heksatavua)
E5 E6 53 08 03 F8 33 F6
. Base64url koodaa hankittavan sekvenssin5eZTCAP4M_Y
(poista base64 pehmuste).Tässä on esimerkki
scrypt
kutsu luodaksesi sisällön salausavain (cek):cek=scrypt(password="ossifrage", salt=4-byte-sequence, N=32768, r=8, p=1, keylength=16)
Johdetun avaimen tulee olla 16 tavua (heksadesimaaliluku) seuraavasti:
95 9e ba 6d d1 22 01 05 78 fe 6a 9d 22 78 ff ac
johon base64url koodaalZ66bdEiAQV4_mqdInj_rA
.Valitse 12 tavun satunnainen sekvenssi käytettäväksi alustusvektorina. Tässä esimerkissä käytetään (hex)
34 b3 5d dd 5f 53 7b af 2d 92 95 83
johon base64url koodaaNLNd3V9Te68tkpWD
.Luo JOSE-otsikko kompaktilla sarjoituksella (noudata tässä käyttämäämme parametrien järjestystä) ja koodaa se sitten base64url:
{"alg":"dir","cisco-action":"add","cisco-kdf":{"salt":"5eZTCAP4M_Y","version":"1"},"enc":"A128GCM"}
Base64url-koodattu JOSE-otsikko on
eyJhbGciOiJkaXIiLCJjaXNjby1hY3Rpb24iOiJhZGQiLCJjaXNjby1rZGYiOnsic2FsdCI6IjVlWlRDQVA0TV9ZIiwidmVyc2lvbiI6IjEifSwiZW5jIjoiQTEyOEdDTSJ9
Tämä on JWE-blobin ensimmäinen elementti.
JWE-blobin toinen elementti on tyhjä, koska emme toimita JWE-salausavainta.
JWE-blobin kolmas elementti on alustusvektori
NLNd3V9Te68tkpWD
.- Käytä JWE-salaustyökaluasi salatun hyötykuorman ja -tunnisteen tuottamiseen. Tässä esimerkissä salaamaton hyötykuorma on väärennetty PEM-blob
this is a PEM file
Salausparametrit, joita sinun tulee käyttää, ovat:
Hyötykuorma on
this is a PEM file
Salaus on AES 128 GCM
Base64url-koodattu JOSE-otsikko lisätodennettuna datana (AAD)
Base64url koodaa salatun hyötykuorman, jonka pitäisi johtaa
f5lLVuWNfKfmzYCo1YJfODhQ
Tämä on neljäs elementti (JWE Ciphertext) JWE-blobissa.
Base64url koodaa tagin, jonka loit vaiheessa 8, minkä pitäisi johtaa
PE-wDFWGXFFBeo928cfZ1Q
Tämä on viides elementti JWE-blobissa.
Yhdistä JWE-blobin viisi elementtiä pisteillä (JOSEheader..IV.Ciphertext.Tag) saadaksesi:
eyJhbGciOiJkaXIiLCJjaXNjby1hY3Rpb24iOiJhZGQiLCJjaXNjby1rZGYiOnsic2FsdCI6IjVlWlRDQVA0TV9ZIiwidmVyc2lvbiI6IjEifSwiZW5jIjoiQTEyOEdDTSJ..9NLNd3V9Te68tkpWD.f5lLVuWNfKfmzYCo1YJfODhQ.PE-wDFWGXFFBeo928cfZ1Q
Jos johdit samat base64url-koodatut arvot kuin tässä näytämme, käyttämällä omia työkalujasi, olet valmis käyttämään niitä turvataksesi laitteidesi E2E-salauksen ja varmennetun henkilöllisyyden.
Tämä esimerkki ei itse asiassa toimi, mutta periaatteessa seuraava askel olisi käyttää yllä luomaasi JWE-blobia syötteenä varmenteen lisäävän laitteen x-komennolle:
xCommand Security Certificates Add
eyJhbGciOiJkaXIiLCJjaXNjby1hY3Rpb24iOiJhZGQiLCJjaXNjby1rZGYiOnsic2FsdCI6IjVlWlRDQVA0TV9ZIiwidmVyc2lvbiI6IjEifSwiZW5jIjoiQTEyOEdDTSJ..9NLNd3V9Te68tkpWD.f5lLVuWNfKfmzYCo1YJfODhQ.PE-wDFWGXFFBeo928cfZ1Q
Nollaluottamuksellisten kokousten istuntotyypit ovat saatavilla kaikille kokoussivustoille ilman lisäkustannuksia. Yksi näistä istuntotyypeistä on ns Pro-End to End Encryption_VOIPonly
. Tämä on Julkisen palvelun nimi, joita voimme muuttaa tulevaisuudessa. Katso istuntotyyppien nykyiset nimet Istuntotyyppien tunnukset in Viite tämän artikkelin osio.
Sinun ei tarvitse tehdä mitään saadaksesi tämän ominaisuuden sivustollesi. sinun on myönnettävä uusi istuntotyyppi (kutsutaan myös Kokouksen etuoikeus) käyttäjille. Voit tehdä tämän yksitellen käyttäjän määrityssivulla tai joukkona CSV-viennin/-tuonnin avulla.
1 | Kirjaudu sisään Ohjauskeskus, ja mene osoitteeseen . | ||
2 | Klikkaus Sivustot, valitse Webex-sivusto, jonka asetuksia haluat muuttaa, ja napsauta sitten asetukset. | ||
3 | Alla Yleiset asetukset, valitse Istuntotyypit. | ||
4 | Sinun pitäisi nähdä yksi tai useampi päästä päähän -salausistuntotyyppi. Katso luettelosta Istuntotyyppien tunnukset in Viite tämän artikkelin osio. Saatat esimerkiksi nähdä Pro-End to End Encryption_VOIPonly.
| ||
5 | Jos sinulla ei vielä ole uutta istuntotyyppiä, ota yhteyttä Webex-edustajaasi. |
Mitä tehdä seuraavaksi
Ota tämä istuntotyyppi/kokousoikeus käyttöön joillekin tai kaikille käyttäjillesi.
1 | Kirjaudu sisään Ohjauskeskus, ja mene osoitteeseen . |
2 | Valitse päivitettävä käyttäjätili ja valitse sitten Kokoukset. |
3 | alkaen Asetukset koskevat avattavasta valikosta, valitse päivitettävä kokoussivusto. |
4 | Valitse vieressä oleva valintaruutu Pro-End to End Encryption_VOIPonly. |
5 | Sulje käyttäjän asetuspaneeli. |
6 | Toista tarvittaessa muille käyttäjille. Jos haluat määrittää tämän useille käyttäjille, käytä seuraavaa vaihtoehtoa, Ota E2EE-kokoukset käyttöön useille käyttäjille. |
1 | Kirjaudu sisään Ohjauskeskus, ja mene osoitteeseen . | ||
2 | Klikkaus Sivustot, valitse Webex-sivusto, jonka asetuksia haluat muuttaa. | ||
3 | Vuonna Lisenssit ja käyttäjät osio, napsauta Joukkohallinta. | ||
4 | Klikkaus Luo raportti, ja odota, kun valmistelemme tiedoston. | ||
5 | Kun tiedosto on valmis, napsauta Vie tulokset ja sitten ladata. (Sinun on suljettava ponnahdusikkuna manuaalisesti napsautuksen jälkeen ladata.) | ||
6 | Avaa ladattu CSV-tiedosto muokkausta varten. Jokaiselle käyttäjälle on rivi, ja | ||
7 | Lisää jokaiselle käyttäjälle, jolle haluat myöntää uuden istuntotyypin The Webex CSV -tiedostomuodon viite sisältää tietoja CSV-tiedoston tarkoituksesta ja sisällöstä. | ||
8 | Avaa Kokoussivuston määrityspaneeli Control Hubissa.
| ||
9 | Vuonna Lisenssit ja käyttäjät osio, napsauta Joukkohallinta. | ||
10 | Klikkaus Tuonti ja valitse muokattu CSV ja napsauta sitten Tuonti. Odota, kun tiedosto ladataan. | ||
11 | Kun tuonti on valmis, voit napsauttaa Tuo tulokset tarkistaa, onko virheitä. | ||
12 | Siirry kohtaan Käyttäjät sivu ja avaa yksi käyttäjistä varmistaaksesi, että heillä on uusi istuntotyyppi. |
Voit lisätä vesileiman kokoustallenteisiin Webex Meetings Pro-End to End Encryption_VOIPonly
istuntotyyppi, jonka avulla voit tunnistaa luottamuksellisten kokousten luvattomien tallenteiden lähdeasiakkaan tai laitteen.
Kun tämä ominaisuus on käytössä, kokouksen ääni sisältää yksilöllisen tunnisteen jokaiselle osallistuvalle asiakkaalle tai laitteelle. Voit ladata äänitallenteita Control Hubiin, joka sitten analysoi tallenteen ja etsii yksilölliset tunnisteet. Voit tarkastella tuloksia nähdäksesi, mikä lähdeasiakas tai -laite tallensi kokouksen.
- Jotta tallenne voidaan analysoida, sen on oltava AAC-, MP3-, M4A-, WAV-, MP4-, AVI- tai MOV-tiedosto, jonka koko on enintään 500 Mt.
- Tallennuksen on oltava yli 100 sekuntia pitkä.
- Voit analysoida vain organisaatiosi ihmisten isännöimien kokousten tallenteita.
- Vesileimatiedot säilytetään saman ajan kuin organisaation kokoustiedot.
Lisää äänivesileimoja E2EE-kokouksiin
- Kirjaudu Control Hubiin, sitten alla Hallinto, valitse Organisaation asetukset.
- Vuonna Tapaaminen vesileimat osio, kytke päälle Lisää äänivesileima.
Jonkin ajan kuluttua tämän päälle kytkemisen jälkeen käyttäjät suunnittelevat tapaamisia sovelluksen kanssa
Webex Meetings Pro-End to End Encryption_VOIPonly
istunnon tyyppi katso a Digitaalinen vesileima vaihtoehto Suojaus-osiossa.
Lataa ja analysoi vesileimallinen kokous
- Ohjauskeskuksessa, alla Valvonta, valitse Ongelmien karttoittaminen.
- Klikkaus Vesileima-analyysi.
- Etsi tai valitse kokous luettelosta ja napsauta sitten Analysoida.
- Vuonna Analysoi äänivesileima ikkunassa, anna analyysillesi nimi.
- (Valinnainen) Kirjoita muistiinpano analyysiäsi varten.
- Vedä ja pudota analysoitava äänitiedosto tai napsauta Valitse tiedosto selataksesi äänitiedoston.
- Klikkaus kiinni.
Kun analyysi on valmis, se näkyy tulosluettelossa Analysoi vesileima sivu.
- Valitse kokous luettelosta nähdäksesi analyysin tulokset. Klikkaus ladataksesi tulokset.
Ominaisuudet ja rajoitukset
Tallennetun vesileiman onnistuneeseen dekoodaukseen vaikuttavia tekijöitä ovat muun muassa tallennuslaitteen ja ääntä toistavan kaiuttimen välinen etäisyys, äänen voimakkuus, ympäristön melu jne. Vesileimateknologiamme on lisäkestävyyttä koodattaessa useita kertoja, mikä saattaa tapahtua, kun mediaa jaetaan.
Tämä ominaisuus on suunniteltu mahdollistamaan vesileimatunnisteen onnistunut dekoodaus laajassa mutta kohtuullisessa tilanteessa. Tavoitteemme on, että pöydällä henkilökohtaisen päätepisteen tai kannettavan asiakkaan lähellä makaava tallennuslaite, kuten matkapuhelin, luo aina onnistuneeseen analyysiin johtavan tallenteen. Kun tallennuslaite siirretään pois lähteestä tai se on peitetty kuulemasta koko äänispektriä, onnistuneen analyysin mahdollisuudet heikkenevät.
Tallenteen analysoimiseksi onnistuneesti tarvitaan kohtuullinen kaappaus kokouksen äänestä. Jos kokouksen ääni tallennetaan samalle tietokoneelle, joka isännöi asiakasta, rajoituksia ei pitäisi soveltaa.
Jos laitteesi on jo liitetty Control Hub -organisaatioosi ja haluat käyttää Webex CA:ta niiden tunnistavien sertifikaattien automaattiseen luomiseen, sinun ei tarvitse palauttaa laitteiden tehdasasetuksia.
Tämä toimenpide valitsee, mitä toimialuetta laite käyttää tunnistaakseen itsensä, ja se on pakollinen vain, jos Control Hub -organisaatiossasi on useita toimialueita. Jos sinulla on useampi kuin yksi verkkotunnus, suosittelemme, että teet tämän kaikille laitteillesi, joilla on "Cisco-verified" -identiteetti. Jos et kerro Webexille, mikä verkkotunnus laitteen tunnistaa, se valitaan automaattisesti, ja se voi näyttää väärältä muiden kokouksen osallistujien silmissä.
Ennen kuin aloitat
Jos laitteesi eivät ole vielä käytössä, noudata Rekisteröi laite Cisco Webexiin API:n tai paikallisen verkkoliittymän avulla tai Pilvipohjainen käyttöönotto Board-, Desk- ja Room-sarjoissa. Sinun tulee myös vahvistaa verkkotunnukset, joita haluat käyttää laitteiden tunnistamiseen Hallinnoi verkkotunnuksiasi.
1 | Kirjaudu Control Hubiin, ja alla Hallinto, valitse Laitteet. |
2 | Valitse laite avataksesi sen määrityspaneelin. |
3 | Valitse verkkotunnus, jota haluat käyttää tämän laitteen tunnistamiseen. |
4 | Toista muille laitteille. |
Ennen kuin aloitat
Tarvitset:
Saadaksesi CA-allekirjoitetun varmenteen ja yksityisen avaimen, sisään
.pem
muodossa jokaiselle laitteelle.Aiheen lukemiseen Laitteiden ulkoisen identiteettiprosessin ymmärtäminen, sisällä Valmistella osa tätä artikkelia.
JWE-salaustyökalun valmistelemiseksi siinä olevien tietojen perusteella.
Työkalu tietynpituisten satunnaisten tavusekvenssien luomiseen.
Työkalu base64url-koodaukseen tavuja tai tekstiä.
An
scrypt
toteutus.Salainen sana tai lause jokaiselle laitteelle.
1 | Täytä laitteen tiedot Kun täytät ensimmäisen kerran Laitteella on alkuperäinen salaisuutensa. Älä unohda tätä; et voi palauttaa sitä, ja laite on palautettava tehdasasetuksiin, jotta se käynnistyy uudelleen.
|
2 | Yhdistä varmenne ja yksityinen avaimesi: |
3 | Luo JWE-blob käytettäväksi syötteenä sertifikaatin lisäyskomennossa: |
4 | Avaa laitteen TShell ja suorita (monirivinen) add -komento:
|
5 | Varmista, että varmenne on lisätty suorittamalla Kopioi uuden varmenteen sormenjälki. |
6 | Aktivoi varmenne tätä tarkoitusta varten Laitteessa on salattu, aktiivinen, CA:n myöntämä varmenne, joka on valmis käytettäväksi sen tunnistamiseen päästä päähän salatuissa Webex-kokouksissa.
|
7 | Kytke laite Control Hub -organisaatioosi. |
1 | Sovi oikean tyyppinen kokous (Webex Meetings Pro-End to End Encryption_VOIPonly). |
2 | Liity kokoukseen isäntänä Webex Meetings -asiakkaalta. |
3 | Liity kokoukseen laitteelta, jonka identiteetti on Webexin varmentajan vahvistama. |
4 | Varmista isäntänä, että tämä laite näkyy aulassa oikean identiteettikuvakkeen kanssa. |
5 | Liity kokoukseen laitteelta, jonka henkilöllisyyden ulkoinen CA on vahvistanut. |
6 | Varmista isäntänä, että tämä laite näkyy aulassa oikean identiteettikuvakkeen kanssa. Lisätietoja identiteettikuvakkeista. |
7 | Liity kokoukseen todentamattomana kokouksen osallistujana. |
8 | Varmista isäntänä, että tämä osallistuja näkyy aulassa oikean henkilöllisyyskuvakkeen kanssa. |
9 | Isäntänä hyväksy tai hylkää ihmiset/laitteet. |
10 | Vahvista osallistujien/laitteiden identiteetit mahdollisuuksien mukaan tarkistamalla varmenteet. |
11 | Tarkista, että kaikki kokouksen osallistujat näkevät saman kokouksen suojakoodin. |
12 | Liity kokoukseen uuden osallistujan kanssa. |
13 | Tarkista, että kaikki näkevät saman, uuden kokouksen suojakoodin. |
Aiotko tehdä päästä päähän -salatuista kokouksista oletuskokousvaihtoehdon, ottaa sen käyttöön vain joillekin käyttäjille vai antaako kaikkien isäntien päättää? Kun olet päättänyt, miten aiot käyttää tätä ominaisuutta, valmistele niitä käyttäjiä, jotka käyttävät sitä, erityisesti mitä tulee rajoituksiin ja siihen, mitä kokouksessa on odotettavissa.
Onko sinun varmistettava, että Cisco tai kukaan muu ei voi purkaa sisältöäsi tai esiintyä laitteinasi? Jos näin on, tarvitset varmenteita julkiselta varmentajalta. Sinulla voi olla enintään 25 laitetta suojatussa kokouksessa. Jos tarvitset tämän tason suojausta, sinun ei pitäisi sallia kokousasiakkaiden liittymistä.
Käyttäjille, jotka liittyvät suojatuilla laitteilla, anna laitteiden liittyä ensin ja aseta käyttäjien odotukset siitä, että he eivät ehkä voi liittyä, jos he liittyvät myöhään.
Jos sinulla on erilaisia henkilöllisyyden vahvistustasoja, anna käyttäjille mahdollisuus vahvistaa toisensa varmennetuetulla henkilöllisyydellä ja kokouksen suojakoodilla. Vaikka on tilanteita, joissa osallistujat voivat esiintyä vahvistamattomina ja osallistujien pitäisi tietää, kuinka tarkistaa, vahvistamattomat ihmiset eivät välttämättä ole huijareita.
Jos käytät ulkoista CA:ta laitevarmenteiden myöntämiseen, sinun on valvottava, päivitettävä ja haettava varmenteita uudelleen.
Jos loit alkuperäisen salaisuuden, ymmärrä, että käyttäjäsi saattavat haluta muuttaa laitteensa salaisuutta. Sinun on ehkä luotava käyttöliittymä / jaettava työkalu, jotta he voivat tehdä tämän.
Istuntotyypin tunnus | Julkisen palvelun nimi |
---|---|
638 | Vain E2E-salaus + VoIP |
652 | Pro-End to End Encryption_VOIPonly |
660 | Pro 3 vapaasta päähän Encryption_VOIPonly E2E-salaus + identiteetti |
672 | Pro 3 Free50-päästä loppuun Encryption_VOIPonly |
673 | Koulutusohjaaja E2E Encryption_VOIPonly |
676 | Broadworks Standard plus päästä päähän -salaus |
677 | Broadworks Premium plus päästä päähän -salaus |
681 | Schoology Free plus päästä päähän -salaus |
Nämä taulukot kuvaavat Webex-laitteiden API-komentoja, jotka lisäsimme päästä päähän salattuja kokouksia ja vahvistettua henkilöllisyyttä varten. Lisätietoja API:n käytöstä on kohdassa Käytä Webex-huone- ja pöytälaitteiden ja Webex-levyjen API:a.
Nämä xAPI-komennot ovat saatavilla vain laitteissa, jotka ovat joko:
Rekisteröity Webexiin
Rekisteröity paikan päällä ja linkitetty Webexiin Webex Edge for Devices -sovelluksella
API-kutsu | Kuvaus |
---|---|
| Tämä määritys tehdään, kun järjestelmänvalvoja määrittää laitteen ensisijaisen toimialueen Control Hubista. Tarvitaan vain, jos organisaatiolla on useampi kuin yksi verkkotunnus. Laite käyttää tätä toimialuetta, kun se pyytää varmennetta Webex CA:lta. Sen jälkeen verkkotunnus tunnistaa laitteen. Tätä kokoonpanoa ei voida soveltaa, jos laitteessa on aktiivinen ulkopuolinen varmenne itsensä tunnistamiseksi. |
| Osoittaa, voiko laite liittyä päästä päähän salattuun kokoukseen. Pilvisovellusliittymä kutsuu sitä, jotta pariksi liitetty sovellus tietää, voiko se käyttää laitetta liittymiseen. |
| Osoittaa, käyttääkö laite |
| Laitteen identiteetti luettuna ulkoisesti myönnetyn varmenteen yleisnimestä. |
| Lukee tiettyjä tietoja ulkopuolisesta varmenteesta. Korvaa näytetyssä komennossa
|
| Laitteen ulkoisen identiteetin tila (esim |
| Ilmaisee, onko laitteessa voimassa oleva Webex CA:n myöntämä sertifikaatti. |
| Laitteen identiteetti luettuna Webexin myöntämän varmenteen yleisnimestä. Sisältää verkkotunnuksen, jos organisaatiolla on verkkotunnus. On tyhjä, jos organisaatiolla ei ole verkkotunnusta. Jos laite on organisaatiossa, jolla on useita verkkotunnuksia, tämä on arvo |
| Lukee tietyt tiedot Webexin myöntämästä sertifikaatista. Korvaa näytetyssä komennossa
|
API-kutsu | Kuvaus |
---|---|
| Nämä kolme tapahtumaa ovat nyt mukana |
API-kutsu | Kuvaus |
---|---|
tai
| Hyväksyy base64url-koodatun tekstiarvon, kun asiakassalaisuus lähetetään laitteeseen ensimmäistä kertaa. Jos haluat päivittää salaisuuden ensimmäisen kerran, sinun on toimitettava JWE-blob, joka sisältää uuden salaisuuden, joka on salattu vanhalla salaisuudella. |
| Lisää varmenteen (yksityisellä avaimella). Laajensimme tätä komentoa hyväksymään JWE-blobin, joka sisältää salatut PEM-tiedot. |
| Aktivoi tietyn WebexIdentity-varmenteen. Tätä varten |
| Poistaa käytöstä tietyn WebexIdentity-varmenteen. Tätä varten |