Aperçu

Pendant la négociation TLS, Un client TLS standard vérifie la validité du certificat du serveur TLS. Lorsque Jabber est déployé sur Internet, cette configuration peut être vulnérable à une attaque de type « homme au milieu ».

Pendant la connexion, si un pirate présente à son propre serveur un certificat TLS valide au lieu de l'Expressway attendu, Jabber peut accepter le certificat en raison de l'absence de contrôles supplémentaires, ce qui pourrait entraîner la connexion de l'utilisateur à un système malveillant. Pour éviter ce problème, Jabber ajoute une étape de validation supplémentaire qui vérifie que le domaine saisi lors de la connexion correspond aux SAN (Subject Alternative Names) dans le certificat. Si elle correspond, Jabber tente de se connecter à l'Expressway.

« Chaque entrée SAN dans le certificat doit être signée par l’autorité de certification (AC). Cela signifie que seule la société qui possède le domaine peut recevoir un certificat signé par l'autorité de certification, et l'autorité de certification valide les entrées SAN. Par conséquent, il devient beaucoup plus difficile de falsifier l'identité de l'Expressway."

Dans Une Instance Dédiée, Cisco gère les certificats pour les applications UC et donc les certificats sont signés avec le domaine fourni par Cisco, Par exemple, customer.amer.wxc-di.webex.com. Cependant, pour qu'un utilisateur final se connecte au client Jabber avec l'adresse électronique du client, les options suivantes peuvent être obtenues :

Option 1 - Connexion initiale de l'utilisateur final Jabber

La connexion initiale de l'utilisateur final Jabber est l'approche la plus simple, et les étapes sont données en détail :

  1. Saisissez le domaine du service vocal fourni par Cisco, par exemple, user@customer.amer.wxc-di.webex.co m dans l'écran de connexion Jabber initial.

    Cisco partage le domaine du service vocal du client pour chaque région après l’activation du service. Ces informations font partie du document des détails d’accès partagé dans l’espace de l’application Webex. Pour plus de détails, voir Activation du service d’instance dédiée.

  2. Saisissez le nom d'utilisateur ou l'adresse électronique de la société ainsi que le mot de passe pour l'authentification.

    Si la SSO est activée, l’IdP effectue l’opération similaire.

    Les connexions suivantes ne nécessitent pas d'effectuer l'étape 1, à moins que le client Jabber ne soit réinitialisé.

Option 2 : Utiliser le domaine du service vocal

Grâce à cette approche, le client Jabber peut faire la différence entre le domaine du client saisi par l'utilisateur et le domaine de découverte de services. Dans le programme d'installation si le domaine du service vocal est défini sur customer.amer.wxc-di.webex.com, l'utilisateur peut se connecter au client Jabber en utilisant l'adresse électronique de son entreprise et Jabber peut toujours effectuer la détection du service en fonction de la valeur définie dans le domaine du service vocal. Cela supprime la nécessité de fournir un domaine de service vocal dans la connexion Jabber initiale conformément à l'option ci-dessus.

Pour les fenêtres :

Des outils tels que Microsoft Orc a peuvent être utilisés pour créer des installateurs Jabber personnalisés, qui peuvent inclure le domaine du service vocal. Les utilisateurs peuvent être informés d'utiliser ces installateurs pour le client Jabber.

Pour MAC, iOS, Android :

Des outils tels que MDM peuvent être utilisés pour créer des installateurs Jabber personnalisés qui peuvent inclure le domaine du service vocal.

Option 3 : Utiliser l'URL de configuration

Une URL de configuration est utilisée pour définir les paramètres Jabber avant la connexion initiale, tels que le domaine des services vocaux. Exemple d'URL de configuration : ciscojabber://provision?ServicesDomain=customer.com&VoiceServicesDomain=customer.amer.wxc-di.webex.com

En cliquant sur le lien ci-dessus, le domaine du service vocal peut être défini dans le client Jabber fonctionnant sur des périphériques MAC, Android ou iOS.

Cette configuration n'est pas permanente, l'utilisateur doit cliquer à nouveau sur le lien si le client Jabber est réinitialisé.

L’application Webex n’a pas l’exigence ci-dessus, le client effectue la vérification du domaine, mais il est possible de fournir le domaine du service vocal dans le Control Hub. Lorsque l’application Webex se connecte à Webex, elle obtient le domaine des services vocaux et l’enregistre. Pour plus d’informations sur la configuration de l’appel dans l’application Webex App, voir Intégration de l’application Webex avec instance dédiée pour l’appel dans l’application.

Lien utile : Déploiement sur site pour Cisco Jabber 14.0