Interface CTI et configuration connexe

L’ordre de configuration « le plus élevé » est listé ci-dessous. Le suivi de cette commande n’est pas obligatoire.

  1. Configurer le serveur d’applications pour les abonnements CTI

  2. Configurer les ADP XSP|pour les abonnements CTI authentifiés mTLS

  3. Ports entrants ouverts pour l’interface CTI sécurisée

  4. Abonnez votre organisation Webex à BroadWorks CTI Events

Configurer le serveur d’applications pour les abonnements CTI

Mettre à jour l’entité ID Client sur le serveur d’applications nom commun (NC) du certificat du client Webex pour Cisco BroadWorks CTI.

Pour chaque serveur d’application que vous utilisez avec Webex, ajoutez l’identité du certificat à l’entité ID Client comme suit :

AS_CLI/System/ClientIdentity> add bwcticlient.webex.com

Le nom commun du certificat client Webex pour Cisco BroadWorks est bwcticlient.webex.com.

Configurer TLS et Ciphers sur l’interface CTI

Les niveaux de configurabilité de l'interface XSP|ADP CTI sont les suivants :

Plus général = Système > Transport > interfaces CTI > interface CTI = Plus spécifique

Les contextes CLI que vous utilisez pour afficher ou modifier les différents paramètres SSL sont :

Spécificité

Contexte CLI

Système (global)

(R22 et plus tard)

Xsp|ADP_CLI/System/SSLCommonSettings/JSSE/Ciphers>

Xsp|ADP_CLI/System/SSLCommonSettings/JSSE/Protocols>

Protocoles de transport pour ce système

(R22 et plus tard)

Xsp|ADP_CLI/System/SSLCommonSettings/OpenSSL/Ciphers>

Xsp|ADP_CLI/System/SSLCommonSettings/OpenSSL/Protocols>

Toutes les interfaces CTI sur ce système

(R22 et plus tard)

Xsp|ADP_CLI/Interface/CTI/SSLCommonSettings/Ciphers>

Xsp|ADP_CLI/Interface/CTI/SSLCommonSettings/Protocols>

Une interface CTI spécifique sur ce système

(R22 et plus tard)

Xsp|ADP_CLI/Interface/CTI/CTIServer/SSLSettings/Ciphers>

Xsp|ADP_CLI/Interface/CTI/CTIServerSSLSettings/Protocols>

Lors d'une nouvelle installation, les chiffrements suivants sont installés par défaut au niveau du système. Si rien n'est configuré au niveau de l'interface (par exemple, au niveau de l'interface CTI ou de l'interface HTTP), cette liste de chiffrement s'applique. Veuillez noter que cette liste peut changer au fil du temps :

  • TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256

  • TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256

  • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256

  • TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256

  • TLS_DHE_DSS_WITH_AES_128_GCM_SHA256

  • TLS_DHE_RSA_WITH_AES_128_GCM_SHA256

  • TLS_DHE_RSA_WITH_AES_128_CBC_SHA256

  • TLS_DHE_DSS_WITH_AES_128_CBC_SHA256

  • TLS_ECDH_RSA_WITH_AES_128_GCM_SHA256

  • TLS_ECDH_ECDSA_WITH_AES_128_GCM_SHA256

  • TLS_ECDH_RSA_WITH_AES_128_CBC_SHA256

  • TLS_ECDH_ECDSA_WITH_AES_128_CBC_SHA256

Lecture de la configuration de l'interface CTI TLS sur le XSP|ADP

  1. Connectez-vous au XSP|ADP et accédez à XSP|ADP_CLI/Interface/CTI/CTIServer>

  2. Entrez la commande get et lisez les résultats. Vous devez voir les interfaces (adresses IP) et, pour chacune d’elles, s’ils requièrent un certificat de serveur et s’ils nécessitent une authentification client.

    XSP|ADP_CLI/Interface/CTI/CTIServer> get
  Interface IP  Port  Secure  Server Certificate  Client Auth Req
=================================================================
  10.155.6.175  8012    true                true             true

Ajouter le protocole TLS 1.2 à l’interface CTI

L'interface XSP|ADP CTI qui interagit avec Webex Cloud doit être configurée pour TLS v1.2. Le Cloud ne négociera pas les versions antérieures du protocole TLS.

Pour configurer le protocole TLSv1.2 sur l’interface CTI :

  1. Connectez-vous au XSP|ADP et accédez à XSP|ADP_CLI/Interface/CTI/CTIServer/SSLSettings/Protocols>

  2. Entrez la commande get pour voir quels protocoles sont déjà utilisés sur cette interface.

  3. Saisissez la commande add TLSv1.2 pour garantir que l’interface peut utiliser TLS 1.2 lors de la communication avec le cloud.

Modifier la configuration des ciphers TLS sur l’interface CTI

Pour configurer les ciphers requis sur l’interface CTI :

  1. Connectez-vous au XSP|ADP et accédez à XSP|ADP_CLI/Interface/CTI/CTIServer/SSLSettings/Ciphers>

  2. Entrez la commande get pour voir quels chiffrements sont déjà utilisés sur cette interface. Il doit y avoir au moins une des suites recommandées par Cisco (voir XSP|Exigences d'identité et de sécurité ADP dans la section Présentation).

  3. Entrez la commande add pour ajouter un chiffrement à l'interface CTI.

    L'interface de ligne de commande XSP|ADP requiert le nom de la suite de chiffrement standard IANA, et non le nom de la suite de chiffrement openSSL. Par exemple, pour ajouter le chiffrement openSSL ECDHE-ECDSA-CHACHA20-POLY1305 à l'interface CTI, vous utiliseriez : XSP|ADP_CLI/Interface/CTI/CTIServer/SSLSettings/Ciphers> add 192.0.2.7 TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305

    Voir https://ciphersuite.info/ pour trouver la suite par l’un ou l’autre nom.

Ancres de confiance pour l'interface CTI (R22 et versions ultérieures)

Cette procédure suppose que les ADP XSP|sont soit connectés à Internet, soit connectés à Internet via un proxy de transfert. La configuration du certificat est différente pour un proxy passerelle (voir Exigences du certificat TLS pour le proxy TLS-bridge).

Pour chaque XSP|ADP de votre infrastructure qui publie des événements CTI sur Webex, procédez comme suit :

  1. Connectez-vous au Hub partenaire.

  2. Accéder à Services > Liens supplémentaires et cliquez sur Télécharger le certificat Webex CA pour obtenir CombinedCertChain2023.txt sur votre ordinateur local.

    Ces fichiers contiennent deux ensembles de deux certificats. Vous devez diviser les fichiers avant de les télécharger sur les ADP XSP|. Tous les fichiers sont obligatoires.

  3. Diviser la chaîne de certificats en deux certificats - combinedcertchain2023.txt

    1. Ouvrez combinedcertchain2023.txt dans un éditeur de texte.

    2. Sélectionnez et coupez le premier bloc de texte, y compris les lignes -----BEGIN CERTIFICATE----- et -----END CERTIFICATE-----, et collez le bloc de texte dans un nouveau fichier.

    3. Enregistrez le nouveau fichier sous root2023.txt.

    4. Enregistrez le fichier d'origine sous issuing2023.txt. Le fichier d'origine ne devrait désormais contenir qu'un seul bloc de texte, entouré des lignes -----BEGIN CERTIFICATE----- et -----END CERTIFICATE-----.

  4. Copiez les deux fichiers texte dans un emplacement temporaire sur le XSP|ADP que vous sécurisez, par exemple /var/broadworks/tmp/root2023.txt et /var/broadworks/tmp/issuing2023.txt

  5. Connectez-vous au XSP|ADP et accédez à /XSP|ADP_CLI/Interface/CTI/SSLCommonSettings/ClientAuthentication/Trusts>

  6. (Facultatif) Exécutez help updateTrust pour voir les paramètres et le format de la commande.

  7. Télécharger les fichiers de certificat vers de nouvelles ancres de confiance - 2023

    XSP|ADP_CLI/Interface/CTI/SSLCommonSettings/ClientAuthentication/Trusts> updateTrust webexclientroot2023 /var/broadworks/tmp/root2023.txt

    XSP|ADP_CLI/Interface/CTI/SSLCommonSettings/ClientAuthentication/Trusts> updateTrust webexclientissuing2023 /var/broadworks/tmp/issuing2023.txt

    Tous les alias doivent avoir un nom différent. webexclientroot2023et webexclientissuing2023 sont des exemples d'alias pour les ancres de confiance ; vous pouvez utiliser les vôtres à condition que toutes les entrées soient uniques.

  8. Confirmez que les chevilles sont mises à jour :

    XSP|ADP_CLI/Interface/CTI/SSLCommonSettings/ClientAuthentication/Trusts> get

      Alias   Owner                                   Issuer
=============================================================================
webexclientissuing2023       Internal Private TLS SubCA      Internal Private Root
webexclientroot2023       Internal Private Root      Internal Private Root[self-signed]

  9. Autoriser les clients à s’authentifier avec les certificats :

    XSP|ADP_CLI/System/CommunicationUtility/DefaultSettings/ExternalAuthentication/CertificateAuthentication> set allowClientApp true

Ajouter l’interface CTI et activer mTLS

  1. Ajoutez l’interface CTI SSL.

    Le contexte CLI dépend de votre version de BroadWorks. La commande crée un certificat de serveur auto-signé sur l’interface et force l’interface à exiger un certificat client.

    • Sur BroadWorks R22 et R23 :

      XSP|ADP_CLI/Interface/CTI/CTIServer> add 8012 true true true

  2. Remplacez le certificat du serveur et la clé sur les interfaces CTI d'ADP XSP|. Vous avez besoin de l’adresse IP de l’interface CTI pour cela ; vous pouvez le lire dans le contexte suivant :

    • Sur BroadWorks R22 et R23 :

      XSP|ADP_CLI/Interface/CTI/CTIServer> get

      Puis exécutez les commandes suivantes pour remplacer le certificat auto-signé de l’interface par votre propre certificat et votre propre clé privée :

      XSP|ADP_CLI/Interface/CTI/CTIServer/SSLSettings/Certificates> sslUpdate keyFile certificateFile chainFile

  3. Redémarrez le XSP|ADP.

Permettre l’accès à BroadWorks CTI Events sur Webex

Vous devez ajouter et valider l’interface CTI lorsque vous configurez vos clusters dans Partner Hub. Voir Configurer votre organisation partenaire dans le Hub partenaire pour des instructions détaillées.

  • Indiquez l’adresse CTI avec laquelle Webex peut s’abonner à BroadWorks CTI Events.

  • Les abonnements CTI sont souscrits par abonné et sont uniquement établis et conservés pendant que cet abonné est provisionnable pour Webex pour Cisco BroadWorks.