Možete detaljnije analizirati sastanke ili pozive po sudioniku i vidjeti detaljne informacije o njihovoj kvaliteti zvuka, videa i dijeljenja. Podaci se ažuriraju svake minute za Webex Meetings i Call on Webex, tako da možete dijagnosticirati probleme kako se pojave. Podaci za Webex Calling ažuriraju se na kraju svakog poziva.

Korisnici biraju vrstu sastanka kada zakazati sastanak. Prilikom prijema sudionika iz predvorja, kao i tijekom sastanka, domaćin može vidjeti status provjere identiteta svakog sudionika. Postoji i kod sastanka koji je zajednički svim trenutnim sudionicima sastanka, a koji mogu koristiti za međusobno provjeravanje.

Podijelite sljedeće informacije sa svojim domaćinima sastanka:

Potvrdite identitet

Enkripcija s kraja na kraj s provjerom identiteta pruža dodatnu sigurnost za end-to-end šifrirani sastanak.

Kada se sudionici ili uređaji pridruže zajedničkoj MLS (Poruke Layer Security) grupi, oni prezentiraju svoje certifikate drugim članovima grupe, koji zatim provjeravaju certifikate prema izdavateljima certifikata (CA). Potvrdom da su certifikati valjani, CA provjerava identitet sudionika, a sastanak prikazuje sudionike/uređaje kao provjerene.

Korisnici Webex aplikacije provjeravaju se u Webex trgovini identiteta, koja im izdaje token za pristup kada provjera autentičnosti uspije. Ako im je potreban certifikat za provjeru svog identiteta u end-to-end šifriranom sastanku, Webex CA izdaje im certifikat na temelju njihovog tokena za pristup. Trenutačno ne pružamo način na koji korisnici Webex Meetings mogu dobiti certifikat koji je izdao treći/vanjski CA.

Uređaji se mogu autentificirati pomoću certifikata koji je izdao interni (Webex) CA ili certifikata koji je izdao vanjski CA:

  • Interni CA— Webex izdaje interni certifikat na temelju pristupnog tokena računskog računa uređaja. Certifikat je potpisao Webex CA. Uređaji nemaju korisničke ID-ove na isti način kao korisnici, pa Webex koristi (jednu od) domena vaše organizacije kada upisuje identitet certifikata uređaja (Common Name (CN)).

  • Vanjski CA—Zatražite i kupite certifikate uređaja izravno od odabranog izdavatelja. Morate šifrirati, izravno prenijeti i autorizirati certifikate koristeći samo vama poznatu tajnu.

    Cisco nije uključen, što ovo čini načinom za jamčenje istinske end-to-end enkripcije i provjerenog identiteta i sprječavanja teorijske mogućnosti da bi Cisco mogao prisluškivati vaš sastanak/dešifrirati vaš medij.

Interno izdani certifikat uređaja

Webex izdaje certifikat uređaju kada se registrira nakon pokretanja i obnavlja ga po potrebi. Za uređaje, certifikat uključuje ID računa i domenu.

Ako vaša organizacija nema domenu, Webex CA izdaje certifikat bez domene.

Ako vaša organizacija ima više domena, možete koristiti Control Hub da kažete Webex koju domenu uređaj treba koristiti za svoj identitet. Također možete koristiti API xConfiguration Conference EndToEndEncryption Identity PreferredDomain: "example.com".

Ako imate više domena i ne postavite željenu domenu za uređaj, Webex odabire jednu za vas.

Vanjski izdani certifikat uređaja

Administrator može osigurati uređaj s vlastitim certifikatom koji je potpisan s jednim od javnih CA-ova.

Certifikat se mora temeljiti na paru ključeva ECDSA P-256, iako se može potpisati RSA ključem.

Vrijednosti u certifikatu su prema nahođenju organizacije. Uobičajeni naziv (CN) i alternativni naziv subjekta (SAN) bit će prikazani u korisničko sučelje Webex sastanak , kao što je opisano u Enkripcija s kraja na kraj s provjerom identiteta za Webex Meetings .

Preporučujemo korištenje zasebnog certifikata po uređaju i jedinstvenog CN-a po uređaju. Na primjer, "meeting-room-1.example.com" za organizaciju koja posjeduje domenu "example.com".

Kako bi se u potpunosti zaštitio vanjski certifikat od neovlaštenog pristupa, koristi se značajka tajne klijenta za šifriranje i potpisivanje raznih xnaredbi.

Kada koristite tajnu klijenta, moguće je sigurno upravljati vanjskim certifikatom identiteta Webex putem xAPI-ja. Ovo je trenutno ograničeno na mrežne uređaje.

Webex trenutno nudi API naredbe za upravljanje ovim.

Uređaji

Sljedeći uređaji serije Webex Room i Webex Desk registrirani u oblaku mogu se pridružiti sastancima s en-to-end šifriranim sastancima:

  • Webex Board

  • Webex Desk Pro

  • Webex stol

  • Webex komplet soba

  • Webex komplet soba Mini

Sljedeći uređaji ne mogu se pridružiti end-to-end šifriranim sastancima:

  • Webex C serija

  • Webex serije DX

  • Webex EX serija

  • Webex MX serija

  • SIP uređaji trećih strana

Softverski klijenti
  • Počevši od verzije 41.6, Webex Meetings klijent stolnog računala može se pridružiti sastancima s en-to-end šifriranim sadržajima.

  • Ako vaša organizacija omogućuje Webex aplikacija da se pridruži sastancima pokretanjem desktop aplikacije Meetings, tada možete upotrijebiti tu opciju za pridruživanje sastancima s šifrom od kraja do kraja.

  • Webex klijent ne može se pridružiti end-to-end šifriranim sastancima.

  • SIP meki klijenti treće strane ne mogu se pridružiti end-to-end šifriranim sastancima.

Identitet
  • Dizajnirano, ne nudimo opcije Control Hub-a za upravljanje vanjskim provjerenim identitetom uređaja. Za pravu end-to-end enkripciju, samo vi trebate znati/pristupiti tajnama i ključevima. Ako smo uveli uslugu u oblaku za upravljanje tim ključevima, postoji šansa da budu presretnuti.

  • Trenutačno vam nudimo 'recept' za dizajniranje vlastitih alata, temeljenih na industrijskim standardnim tehnikama šifriranja, za pomoć pri traženju ili šifriranju certifikata identiteta vašeg uređaja i njihovih privatnih ključeva. Ne želimo imati nikakav stvarni ili prividni pristup vašim tajnama ili ključevima.

Sastanci
  • End-to-end šifrirani sastanci trenutno podržavaju najviše 200 sudionika.

  • Od tih 200 sudionika može se pridružiti najviše 25 eksterno provjerenih uređaja, a oni moraju biti prvi sudionici koji će se pridružiti sastanku .

    Kada se sastanku pridruži veći broj uređaja, naše pozadinske medijske usluge pokušavaju transkodirati medijske streamove. Ako ne možemo dešifrirati, transkodirati i ponovno šifrirati medij (jer nemamo i ne bismo trebali imati ključeve za šifriranje uređaja), onda transkodiranje ne uspijeva.

    Da bismo ublažili ovo ograničenje, preporučujemo manje sastanke za uređaje ili razmjenu pozivnica između uređaja i klijenata za sastanke.

Sučelje za upravljanje

Toplo preporučamo da koristite Control Hub za upravljanje svojim mjestom za sastanke, budući da organizacije Control Hub-a imaju centralizirani identitet za cijelu organizaciju, dok se u Administracijsko web-mjesto-mjesta identitet kontrolira od mjesta do mjesta.

Korisnici kojima se upravlja iz Administracijsko web-mjesto ne mogu imati opciju identiteta koji je potvrdio Cisco. Tim korisnicima se izdaje anonimni certifikat za pridruživanje end-to-end šifriranom sastanku i mogu biti isključeni iz sastanaka na kojima domaćin želi osigurati provjeru identiteta.

Povezane informacije
  • Webex Meetings 41.7.

  • Uređaji serije Webex Room i Webex Desk registrirani u oblaku, rade 10.6.1-RoomOS_August_2021.

  • Administrativni pristup mjestu web-mjesto sastanka u Control Hubu, kako bi se korisnicima omogućila nova vrsta sesije.

  • Jedna ili više provjerenih domena u vašoj organizaciji Control Hub (ako koristite Webex CA za izdavanje certifikata uređaja za potvrđeni identitet).

  • Sobe za sastanke za suradnju moraju biti uključene kako bi se ljudi mogli pridružiti iz svog videosustava. Za više informacija pogledajte Dopustite videosustavima da se pridruže sastancima i događajima na vašem Web-mjesto Webex .

Možete preskočiti ovaj korak ako vam ne trebaju vanjski provjereni identiteti.

Za najvišu razinu sigurnosti i za provjeru identiteta, svaki uređaj treba imati jedinstveni certifikat koji izdaje pouzdano javno izdavač certifikata (CA).

Morate stupiti u interakciju s CA da biste zatražili, kupili i primili digitalne certifikate i stvorili pridružene privatne ključeve. Kada tražite certifikat, koristite ove parametre:

  • Potvrdu mora izdati i potpisati poznati javni CA.

  • jedinstveno: Preporučujemo korištenje jedinstvenog certifikata za svaki uređaj. Ako koristite jedan certifikat za sve uređaje, ugrožavate svoju sigurnost.

  • Uobičajeni naziv (CN) i zamjenski naziv/i subjekta (SAN/s): One nisu važne za Webex, ali bi trebale biti vrijednosti koje ljudi mogu pročitati i povezati s uređajem. CN će se drugim sudionicima sastanka prikazati kao primarni potvrđeni identitet uređaja, a ako korisnici pregledaju certifikat putem korisničkog sučelja sastanka, vidjet će SAN/s. Možda biste željeli koristiti imena kao što su name.model@example.com.

  • Format datoteke: Certifikati i ključevi moraju biti u .pem formatu.

  • svrha: Svrha certifikata mora biti Webex Identity.

  • Generiranje ključeva: Certifikati se moraju temeljiti na parovima ključeva ECDSA P-256 (algoritam digitalnog potpisa eliptičke krivulje koji koristi krivulju P-256).

    Ovaj se zahtjev ne odnosi na ključ za potpisivanje. CA može koristiti RSA ključ za potpisivanje certifikata.

Možete preskočiti ovaj korak ako ne želite koristiti vanjski provjereni identitet sa svojim uređajima.

Ako koristite nove uređaje, nemojte ih još registrirati na Webex . Da biste bili sigurni, nemojte ih u ovom trenutku povezivati s mrežom.

Ako imate postojeće uređaje koje želite nadograditi za korištenje vanjski provjerenog identiteta, morate ih vratiti na tvorničke postavke.

  • Spremite postojeću konfiguraciju ako je želite zadržati.

  • Zakažite prozor kada se uređaji ne koriste ili koristite fazni pristup. Obavijestite korisnike o promjenama koje mogu očekivati.

  • Osigurajte fizički pristup uređajima. Ako morate pristupiti uređajima putem mreže, imajte na umu da tajne putuju u običnom tekstu i da ugrožavate svoju sigurnost.

Nakon što dovršite ove korake, dopustite videosustavima da se pridruže sastancima i događajima na vašem web- Web-mjesto Webex .

Kako biste osigurali da medij vašeg uređaja ne može šifrirati nitko osim uređaja, morate šifrirati privatni ključ na uređaju. Dizajnirali smo API-je za uređaj kako bismo omogućili upravljanje šifriranim ključem i certifikatom, koristeći JSON Web Encryption (JWE).

Kako bismo osigurali istinsku end-to-end enkripciju putem našeg oblaka, ne možemo biti uključeni u šifriranje i prijenos certifikata i ključa. Ako vam je potrebna ova razina sigurnosti, morate:

  1. Zatražite svoje certifikate.

  2. Generirajte parove ključeva svojih certifikata.

  3. Stvorite (i zaštitite) početnu tajnu za svaki uređaj, kako biste započeli sposobnost šifriranja uređaja.

  4. Razvijte i održavajte vlastiti alat za šifriranje datoteka pomoću JWE standarda.

    Proces i (netajni) parametri koji su vam potrebni objašnjeni su u nastavku, kao i recept koji trebate slijediti u razvojnim alatima po izboru. Također pružamo neke testne podatke i rezultirajuće JWE mrlje kako ih očekujemo, kako bismo vam pomogli da potvrdite svoj proces.

    Nepodržana referentna implementacija koja koristi Python3 i biblioteku JWCrypto dostupna je od Cisco na zahtjev.

  5. Spojite i šifrirajte certifikat i ključ koristeći svoj alat i početnu tajnu uređaja.

  6. Prenesite rezultirajući JWE blob na uređaj.

  7. Postavite svrhu šifriranog certifikata koji će se koristiti za Webex identitet i aktivirajte certifikat.

  8. (Preporučeno) Omogućite (ili distribuirajte) svoj alat kako biste korisnicima uređaja omogućili promjenu početne tajne i zaštitili svoje medije od vas.

Kako koristimo JWE format

Ovaj odjeljak opisuje kako očekujemo da se JWE kreira kao ulaz za uređaje, tako da možete izraditi vlastiti alat za stvaranje blobova iz vaših certifikata i ključeva.

Pogledajte na JSON Web enkripcija (JWE)https://datatracker.ietf.org/doc/html/rfc7516i JSON Web potpis (JWS)https://datatracker.ietf.org/doc/html/rfc7515.

Koristimo se Kompaktna serijalizacija JSON dokumenta za stvaranje JWE blobova. Parametri koje trebate uključiti prilikom izrade JWE blobova su:

  • JOSE Zaglavlje (zaštićeno). U zaglavlje JSON za potpisivanje i šifriranje objekta MORATE uključiti sljedeće parove ključ/vrijednost:

    • "alg":"dir"

      Izravni algoritam jedini je koji podržavamo za šifriranje korisnog opterećenja i morate koristiti početnu tajnu klijenta uređaja.

    • "enc":"A128GCM" ili "enc":"A256GCM"

      Podržavamo ova dva algoritma šifriranja.

    • "cisco-action": "add" ili "cisco-action": "populate" ili "cisco-action": "activate" ili "cisco-action": "deactivate"

      Ovo je vlasnički ključ i četiri vrijednosti koje može uzeti. Uveli smo ovaj ključ da signaliziramo svrhu šifriranih podataka ciljnom uređaju. Vrijednosti su nazvane prema xAPI naredbama na uređaju na kojem koristite šifrirane podatke.

      Nazvali smo ga cisco-action za ublažavanje potencijalnih sukoba s budućim proširenjima JWE-a.

    • "cisco-kdf": { "version": "1", "salt": "base64URLEncodedRandom4+Bytes" }

      Još jedan vlasnički ključ. Koristimo vrijednosti koje navedete kao ulaze za izvođenje ključa na uređaju. The version mora biti 1(verzija naše funkcije izvođenja ključa). Vrijednost od salt mora biti base64 URL kodiran slijed od najmanje 4 bajta, što vi mora birati nasumično.

  • JWE šifrirani ključ . Ovo polje je prazno. Uređaj ga izvodi iz početne ClientSecret.

  • Vektor za inicijalizaciju JWE . Morate dostaviti base64url kodiran inicijalizacijski vektor za dešifriranje korisnog opterećenja. IV MORA biti nasumična vrijednost od 12 bajtova (koristimo AES-GCM obitelj šifre, koja zahtijeva da IV bude dugačak 12 bajtova).

  • JWE AAD (dodatni provjereni podaci). Ovo polje morate izostaviti jer nije podržano u kompaktnoj serijalizaciji.

  • Šifrirani tekst JWE : Ovo je šifrirani teret koji želite zadržati u tajnosti.

    Korisni teret MOŽE biti prazan. Na primjer, da biste resetirali tajnu klijenta, trebate je prepisati praznom vrijednošću.

    Postoje različite vrste tereta, ovisno o tome što pokušavate učiniti na uređaju. Različite xAPI naredbe očekuju različita tereta, a vi morate navesti svrhu korisnog opterećenja s cisco-action ključ, kako slijedi:

    • Sa "cisco-action":"populate" šifrirani tekst je novi ClientSecret.

    • sa " "cisco-action":"add" šifrirani tekst je PEM blob koji nosi certifikat i njegov privatni ključ (konkatenirani).

    • sa " "cisco-action":"activate" šifrirani tekst je otisak prsta (heksadecimalni prikaz sha-1) certifikata koji aktiviramo radi provjere identiteta uređaja.

    • sa " "cisco-action":"deactivate" šifrirani tekst je otisak prsta (heksadecimalni prikaz sha-1) certifikata koji deaktiviramo da se ne koristi za provjeru identiteta uređaja.

  • JWE autentikacijska oznaka: Ovo polje sadrži oznaku za provjeru autentičnosti za utvrđivanje integriteta cijelog JWE kompaktno serijaliziranog blob-a

Kako izvodimo ključ za ključ za šifriranje iz ClientSecret

Nakon prvog popunjavanja tajne, ne prihvaćamo niti ispisujemo tajnu kao običan tekst. Time se sprječavaju potencijalni rječnički napadi od strane nekoga tko bi mogao pristupiti uređaju.

Softver uređaja koristi tajnu klijenta kao ulaz u funkciju izvođenja ključa (kdf), a zatim koristi izvedeni ključ za dešifriranje/šifriranje sadržaja na uređaju.

To za vas znači da vaš alat za proizvodnju JWE blob-ova mora slijediti isti postupak kako bi iz tajne klijenta dobio isti ključ za šifriranje/dešifriranje.

Uređaji koriste skripta za izvođenje ključa (vidihttps://en.wikipedia.org/wiki/Scrypt ), sa sljedećim parametrima:

  • Faktor troškova (N) je 32768

  • BlockSizeFactor (r) je 8

  • Faktor paralelizacije (p) je 1

  • Salt je nasumični slijed od najmanje 4 bajta; morate dostaviti ovo isto salt prilikom navođenja cisco-kdf parametar.

  • Duljine ključa su ili 16 bajtova (ako odaberete algoritam AES-GCM 128) ili 32 bajta (ako odaberete algoritam AES-GCM 256)

  • Maksimalni kapacitet memorije je 64 MB

Ovaj skup parametara jedina je konfiguracija skripta koji je kompatibilan s funkcijom izvođenja ključa na uređajima. Ovaj kdf na uređajima se zove "version":"1", što je jedina verzija koju trenutno preuzima cisco-kdf parametar.

Odrađen primjer

Evo primjera koji možete slijediti kako biste potvrdili da vaš JWE proces enkripcije radi isto kao i proces koji smo kreirali na uređajima.

Primjer scenarija je dodavanje PEM blob-a na uređaj (imitira dodavanje certifikata, s vrlo kratkim nizom umjesto punog certifikata + ključa). Tajna klijenta u primjeru je ossifrage.

  1. Odaberite šifru za šifriranje. Ovaj primjer koristi A128GCM(AES sa 128-bitnim ključevima u načinu Galois Counter). Vaš bi alat mogao koristiti A256GCM ako ti je draže.

  2. Odaberite sol (mora biti nasumični slijed od najmanje 4 bajta). Ovaj primjer koristi (hex bajtova) E5 E6 53 08 03 F8 33 F6. Base64url kodira sekvencu za dobivanje 5eZTCAP4M_Y(uklonite base64 padding).

  3. Evo primjera scrypt nazovite za stvaranje ključ za šifriranje sadržaja (cek):

    cek=scrypt(password="ossifrage", salt=4-byte-sequence, N=32768, r=8, p=1, keylength=16)

    Izvedeni ključ trebao bi imati 16 bajtova (hex) kako slijedi: 95 9e ba 6d d1 22 01 05 78 fe 6a 9d 22 78 ff ac na koji base64url kodira lZ66bdEiAQV4_mqdInj_rA.

  4. Odaberite nasumični slijed od 12 bajtova koji ćete koristiti kao inicijalizacijski vektor. Ovaj primjer koristi (hex) 34 b3 5d dd 5f 53 7b af 2d 92 95 83 na koji base64url kodira NLNd3V9Te68tkpWD.

  5. Napravite zaglavlje JOSE s kompaktnom serijalizacijom (slijedite isti redoslijed parametara koji ovdje koristimo), a zatim ga base64url kodirajte:

    {"alg":"dir","cisco-action":"add","cisco-kdf":{"salt":"5eZTCAP4M_Y","version":"1"},"enc":"A128GCM"}

    Zaglavlje JOSE kodirano base64url je eyJhbGciOiJkaXIiLCJjaXNjby1hY3Rpb24iOiJhZGQiLCJjaXNjby1rZGYiOnsic2FsdCI6IjVlWlRDQVA0TV9ZIiwidmVyc2lvbiI6IjEifSwiZW5jIjoiQTEyOEdDTSJ9

    Ovo će biti prvi element JWE bloba.

  6. Drugi element JWE blob-a je prazan jer ne isporučujemo JWE ključ za ključ za šifriranje.

  7. Treći element JWE blob-a je vektor inicijalizacije NLNd3V9Te68tkpWD.

  8. Upotrijebite svoj JWE alat za enkripciju za proizvodnju šifriranog tereta i oznake. Za ovaj primjer, nekriptirani korisni teret bit će lažni PEM blob this is a PEM file

    Parametri šifriranja koje biste trebali koristiti su:

    • Nosivost je this is a PEM file

    • Šifra za šifriranje je AES 128 GCM

    • Zaglavlje JOSE kodirano base64url kao dodatni provjereni podaci (AAD)

    Base64url kodira šifrirani korisni teret, što bi trebalo rezultirati f5lLVuWNfKfmzYCo1YJfODhQ

    Ovo je četvrti element (JWE šifrirani tekst) u JWE blob-u.

  9. Base64url kodira oznaku koju ste proizveli u koraku 8, što bi trebalo rezultirati PE-wDFWGXFFBeo928cfZ1Q

    Ovo je peti element u JWE blob.

  10. Spojite pet elemenata JWE blob-a s točkama (JOSEheader..IV.Ciphertext.Tag) da biste dobili:

    eyJhbGciOiJkaXIiLCJjaXNjby1hY3Rpb24iOiJhZGQiLCJjaXNjby1rZGYiOnsic2FsdCI6IjVlWlRDQVA0TV9ZIiwidmVyc2lvbiI6IjEifSwiZW5jIjoiQTEyOEdDTSJ..9NLNd3V9Te68tkpWD.f5lLVuWNfKfmzYCo1YJfODhQ.PE-wDFWGXFFBeo928cfZ1Q

  11. Ako ste izveli iste base64url kodirane vrijednosti kao što prikazujemo ovdje, koristeći svoje vlastite alate, spremni ste ih koristiti za osiguranje E2E enkripcije i provjerenog identiteta svojih uređaja.

  12. Ovaj primjer zapravo neće raditi, ali u principu bi vaš sljedeći korak bio korištenje JWE blob-a koji ste kreirali iznad kao ulaz za naredbu x na uređaju koji dodaje certifikat:

    xCommand Security Certificates Add eyJhbGciOiJkaXIiLCJjaXNjby1hY3Rpb24iOiJhZGQiLCJjaXNjby1rZGYiOnsic2FsdCI6IjVlWlRDQVA0TV9ZIiwidmVyc2lvbiI6IjEifSwiZW5jIjoiQTEyOEdDTSJ..9NLNd3V9Te68tkpWD.f5lLVuWNfKfmzYCo1YJfODhQ.PE-wDFWGXFFBeo928cfZ1Q

Postoje nove vrste sesija za sastanke bez povjerenja, koje će biti dostupne svim mjestima za sastanke bez dodatnih troškova. Jedan od novih tipova sesije se zove Pro-End to End Encryption_VOIPonly. Ovo je Naziv javne službe koje bismo mogli promijeniti u budućnosti. Za trenutne nazive vrsta sesija, pogledajte ID-jevi vrsta sesije u Referenca odjeljak ovog članka.

Ne morate ništa učiniti da biste dobili novu mogućnost za svoju web-lokaciju, ali morat ćete dodijeliti novu vrstu sesije (također se naziva Privilegija susreta ) korisnicima. To možete učiniti pojedinačno putem stranice za stranica za konfiguraciju korisnika ili skupno s CSV izvozom/uvozom.

1

Prijavite se na Control Hub i otvorite Sastanak stranica.

2

Kliknite naziv svoje stranice da biste otvorili konfiguracijsku ploču web-mjesta.

3

Kliknite Konfiguriraj web-mjesto.

4

U Uobičajene postavke područje, kliknite Vrste sesija .

Trebali biste vidjeti jednu ili više vrsta sesija end-to-end enkripcije. Pogledajte popis ID-jevi vrsta sesije u Referenca odjeljak ovog članka. Na primjer, možete vidjeti Pro-End to End Encryption_ Samo za VOIP .

 

Postoji starija vrsta sesije s vrlo sličnim imenom: Pro-End to End Enkripcija . Ova vrsta sesije uključuje nekriptirani pristup za PSTN sastancima. Provjerite imate li_ Samo za VOIP verziju kako bi se osigurala end-to-end enkripcija. Možete provjeriti tako da zadržite pokazivač iznad PRO veza u stupcu koda sesije; za ovaj primjer, cilj veze bi trebao biti javascript:ShowFeature(652).

Nazive javnih usluga za ove vrste sesija možemo promijeniti u budućnosti.

5

Ako još nemate novu vrstu sesije, kontaktirajte svog predstavnika Webex .

Što učiniti sljedeće

Omogućite ovu vrstu sesije/privilegiju sastanka nekim ili svim svojim korisnicima.

1

Ispod Upravljanje , kliknite Korisnici .

2

Odaberite korisnika, a zatim odaberite Sastanci .

3

Odaberite stranicu (ako je korisnik na više od jedne) i kliknite Domaćin .

4

Označite okvir pored Pro-End to End Encryption_ Samo za VOIP .

5

Zatvorite konfiguracija korisnika .

6

Ponovite za druge korisnike ako je potrebno.

Da biste ovo dodijelili mnogim korisnicima, koristite sljedeću opciju, Omogućite sastanke E2EE za više korisnika .

1

Prijavite se na Control Hub , zatim ispod Usluge , odaberite Sastanak .

2

Odaberite svoju web stranicu.

3

U Licence i korisnici odjeljak, kliknite Grupno upravljanje .

4

Kliknite Izvoz , i pričekajte dok pripremimo datoteku.

5

Kada je datoteka spremna, kliknite Izvoz rezultata a zatim Preuzmi . (Morate ručno zatvoriti taj skočni prozor nakon što kliknete Preuzmi .)

6

Otvorite preuzetu CSV datoteka za uređivanje.

Za svakog korisnika postoji red i MeetingPrivilege stupac sadrži njihove ID-ove tipa sesije kao popis razdvojen zarezima.

7

Za svakog korisnika kojem želite dodijeliti novu vrstu sesije dodajte 1561 kao nova vrijednost na popisu razdvojenom zarezima u MeetingPrivilege stanica.

The Referenca za format CSV datoteke Webex sadrži pojedinosti o namjeni i sadržaju CSV datoteka.

8

Otvorite ploču za konfiguraciju mjesta sastanka u Control Hubu.


 

Ako ste već bili na stranici s popisom stranica za sastanke, možda ćete je trebati osvježiti.

9

U Licence i korisnici odjeljak, kliknite Grupno upravljanje .

10

Kliknite Uvoz i odaberite uređeni CSV, a zatim kliknite Uvoz . Pričekajte dok se datoteka učita.

11

Kada je uvoz gotov, možete kliknuti Uvoz rezultata provjeriti ima li grešaka.

12

Idite na Korisnici stranicu i otvorite jednog od korisnika kako biste potvrdili da imaju novu vrstu sesije.

Snimkama sastanka možete dodati vodeni žig pomoću Webex Meetings Pro-End to End Encryption_ Samo VOIPOn vrstu sesije, koja vam omogućuje da identificirate tko je podijelio snimku izvana.

Kada je ova značajka omogućena, zvuk sastanka uključuje jedinstveni identifikator za svakog sudionika. Audio snimke možete prenijeti u Control Hub, koji zatim analizira snimku i traži jedinstvene identifikatore. Možete pogledati rezultate da biste vidjeli koji je sudionik dijelio sadržaj sastanka izvana.

  • Da bi se mogla analizirati, snimka mora biti datoteka AAC, MP3, M4A, WAV, MP4, AVI ili MOV ne veća od 500 MB.
  • Snimka mora biti dulja od 90 sekundi.
  • Možete analizirati samo snimke sastanaka koje su organizirali ljudi u vašoj organizaciji.
  • Analizirane snimke brišu se čim se analiza završi.
Dodajte audio vodene žigove sastancima E2EE
  1. Prijavite se na Control Hub , zatim ispod Upravljanje , odaberite Postavke organizacije .
  2. U Susret sa vodenim žigovima odjeljak, uključite Dodaj audio vodeni žig .
Prenesite i analizirajte sastanak s vodenim žigom
  1. U Control Hubu, pod Praćenje , odaberite Rješavanje problema .
  2. Kliknite Analiza vodenog žiga .
  3. Potražite ili odaberite sastanak na popisu, a zatim kliknite Analizirajte datoteku .
  4. U Analizirajte audio vodeni žig prozoru, unesite naziv za svoju analizu.
  5. (Neobavezno) Unesite bilješku za svoju analizu.
  6. Povucite i ispustite audio datoteku koju želite analizirati ili kliknite Odaberite datoteku za pregledavanje audio datoteke.
  7. Kliknite Zatvori .

    Kada se analiza završi, ona će se prikazati na popisu rezultata na Analizirajte vodeni žig stranica.

  8. Odaberite sastanak na popisu da biste vidjeli rezultate analize. KlikniteGumb za preuzimanje za preuzimanje rezultata.

Ako su vaši uređaji već uključeni u vašu organizaciju Control Hub-a i želite koristiti Webex CA za automatsko generiranje njihovih identifikacijskih certifikata, ne morate vraćati uređaje na vraćanje na tvorničke postavke .

Ovaj postupak odabire koju domenu uređaj koristi za identifikaciju, a potreban je samo ako imate više domena u organizaciji Control Hub-a. Ako imate više od jedne domene, preporučujemo da to učinite za sve svoje uređaje koji će imati "Cisco-verified" identitet. Ako Webex ne kažete koja domena identificira uređaj, jedan će se automatski odabrati i drugim sudionicima sastanka može izgledati pogrešno.

Prije početka

Ako vaši uređaji još nisu uključeni, slijedite ih Registrirajte uređaj na Cisco Webex pomoću API -ja ili lokalnog Web sučelja ili Cloud onboarding za Board, Desk i Room Series . Također biste trebali potvrditi domenu/e koje želite koristiti za identifikaciju uređaja Upravljajte svojim domenama .

1

Prijavite se na Control Hub , i ispod Upravljanje , odaberite Uređaji .

2

Odaberite uređaj da biste otvorili njegovu konfiguracijsku ploču.

3

Odaberite domenu koju želite koristiti za identifikaciju ovog uređaja.

4

Ponovite za druge uređaje.

Prije početka

trebate:

  • Da biste dobili CA potpisan certifikat i privatni ključ, u .pem formatu za svaki uređaj.

  • Da pročitam temu Razumijevanje procesa vanjskog identiteta za uređaje , u Pripremite se dio ovog članka.

  • Za pripremu JWE alata za šifriranje s obzirom na tamošnje informacije.

  • Alat za generiranje nasumičnih nizova bajtova zadane duljine.

  • Alat za base64url kodiranje bajtova ili teksta.

  • An scrypt provedba.

  • Tajna riječ ili izraz za svaki uređaj.

1

Popunite uređaj ClientSecret s tajnom običnog teksta:

Prvi put kada popunite Secret, dostavljate ga u obliku običnog teksta. Zato preporučamo da to učinite na konzoli fizičkog uređaja.

  1. Base64url kodira tajnu frazu za ovaj uređaj.

  2. Otvorite TShell na uređaju.

  3. Pokreni xcommand Security ClientSecret Populate Secret: "MDEyMzQ1Njc4OWFiY2RlZg"

    Gornja naredba za primjer popunjava Secret s frazom 0123456789abcdef. Morate odabrati svoje.

Uređaj ima svoju početnu tajnu. Ne zaboravite ovo; ne možete ga oporaviti i morate vratiti uređaj na tvorničke postavke da biste ponovno pokrenuli.
2

Spojite svoj certifikat i privatni ključ:

  1. Pomoću uređivača teksta otvorite .pem datoteke, zalijepite blob ključa u blob certifikata i spremite ga kao novu .pem datoteku.

    (Ovo je tekst tereta koji ćete šifrirati i staviti u svoj JWE blob)

3

Napravite JWE blob za korištenje kao ulaz za naredbu za dodavanje certifikata:

  1. Napravite nasumični niz od najmanje 4 bajta. Ovo je tvoja sol.

  2. Izvedite ključ za šifriranje sadržaja pomoću alata za šifriranje.

    Za to vam je potrebna tajna, sol i duljina ključa koja odgovara odabranoj šifri šifriranja. Postoje neke druge fiksne vrijednosti za opskrbu (N=32768, r=8, p=1). Uređaj koristi isti proces i vrijednosti za dobivanje istog ključ za šifriranje sadržaja.

  3. Napravite nasumični slijed od točno 12 bajtova. Ovo je vaš vektor inicijalizacije.

  4. Napravite zaglavlje JOSE, postavku alg, enc i cisco-kdf ključeve kako je opisano u Razumijevanje procesa vanjskog identiteta za uređaje . Postavite akciju "dodaj" pomoću ključa:vrijednost "cisco-action":"add" u zaglavlju JOSE (jer dodajemo certifikat na uređaj).

  5. Base64url kodira zaglavlje JOSE.

  6. Upotrijebite svoj JWE alat za šifriranje s odabranom šifrom i base64url kodiranim JOSE zaglavljem za šifriranje teksta iz spojene pem datoteke.

  7. Base64url kodira vektor inicijalizacije, šifrirani PEM korisni teret i oznaku za provjeru autentičnosti.

  8. Konstruirajte JWE blob na sljedeći način (sve vrijednosti su kodirane base64url):

    JOSEHeader..InitVector.EncryptedPEM.AuthTag

4

Otvorite TShell na uređaju i pokrenite naredbu za dodavanje (više redaka):

xcommand Security Certificates Services Add IsEncrypted: Trueyour..JWE.str.ing\n.\n
5

Provjerite je li certifikat dodan pokretanjem xcommand Security Certificates Services Show

Kopirajte otisak prsta novog certifikata.

6

Aktivirajte certifikat za tu svrhu WebexIdentity:

  1. Pročitajte otisak prsta certifikata, bilo iz samog certifikata ili iz izlaza xcommand Security Certificates Services Show.

  2. Napravite nasumični slijed od najmanje 4 bajta i base64url kodira taj niz. Ovo je tvoja sol.

  3. Izvedite ključ za šifriranje sadržaja pomoću alata za šifriranje.

    Za to vam je potrebna tajna, sol i duljina ključa koja odgovara odabranoj šifri šifriranja. Postoje neke druge fiksne vrijednosti za opskrbu (N=32768, r=8, p=1). Uređaj koristi isti proces i vrijednosti za dobivanje istog ključ za šifriranje sadržaja.

  4. Napravite nasumični slijed od točno 12 bajtova i base64url kodira taj niz. Ovo je vaš vektor inicijalizacije.

  5. Napravite zaglavlje JOSE, postavku alg, enc i cisco-kdf ključeve kako je opisano u Razumijevanje procesa vanjskog identiteta za uređaje . Postavite akciju "aktiviraj" pomoću ključa:vrijednost "cisco-action":"activate" u vašem zaglavlju JOSE (jer aktiviramo certifikat na uređaju).

  6. Base64url kodira zaglavlje JOSE.

  7. Koristite svoj JWE alat za šifriranje s odabranom šifrom i base64url kodiranim JOSE zaglavljem za šifriranje otiska prsta certifikata.

    Alat bi trebao ispisati sekvencu od 16 ili 32 bajta, ovisno o tome jeste li odabrali 128 ili 256-bitni AES-GCM i oznaku za provjeru autentičnosti.

  8. Base64urlencode šifrirani otisak prsta i oznaku za provjeru autentičnosti.

  9. Konstruirajte JWE blob na sljedeći način (sve vrijednosti su kodirane base64url):

    JOSEHeader..InitVector.EncryptedFingerprint.AuthTag

  10. Otvorite TShell na uređaju i pokrenite sljedeću naredbu za aktiviranje:

                      xcommand Security Certificates Services Activate Purpose: WebexIdentity Fingerprint: "Your..JWE.encrypted.fingerprint"                
Uređaj ima šifrirani, aktivni certifikat koji je izdao CA, spreman za korištenje za njegovu identifikaciju u end-to-end šifriranim Webex sastancima.
7

Uključite uređaj u svoju organizaciju Control Hub.

1

Zakažite sastanak ispravnog tipa ( Webex Meetings Pro-End to End Encryption_ Samo za VOIP ).

2

Pridružite se sastanku kao domaćin iz klijenta Webex Meetings .

3

Pridružite se sastanku s uređaja čiji je identitet potvrđen od strane Webex CA.

4

Kao domaćin, provjerite da se ovaj uređaj pojavljuje u predvorju s ispravnom ikonom identiteta.

5

Pridružite se sastanku s uređaja čiji je identitet potvrđen od strane vanjskog CA.

6

Kao domaćin, provjerite da se ovaj uređaj pojavljuje u predvorju s ispravnom ikonom identiteta. Saznajte više o ikonama identiteta .

7

Pridružite se sastanku kao neautorizirani sudionik sastanka.

8

Kao domaćin, provjerite da se ovaj sudionik pojavljuje u predvorju s ispravnom ikonom identiteta.

9

Kao domaćin, priznajte ili odbijte ljude/uređaje.

10

Potvrdite identitet sudionika/uređaja gdje je to moguće provjerom certifikata.

11

Provjerite vide li svi na sastanku isti sigurnosni kod sastanka.

12

Pridružite se sastanku s novim sudionikom.

13

Provjerite vide li svi isti, novi sigurnosni kod sastanka.

Hoćete li end-to-end šifrirane sastanke učiniti zadanom opcijom sastanka, ili ćete je omogućiti samo za neke korisnike ili dopustiti svim domaćinima da odluče? Kada odlučite kako ćete koristiti ovu značajku, pripremite one korisnike koji će je koristiti, posebno s obzirom na ograničenja i što očekivati na sastanku.

Trebate li osigurati da ni Cisco ni bilo tko drugi ne može dešifrirati vaš sadržaj ili lažno predstavljati vaše uređaje? Ako je tako, trebate certifikate javnog CA. U sigurnom sastanku možete imati samo do 25 uređaja. Ako vam je potrebna ova razina sigurnosti, ne biste trebali dopustiti da se sastanci pridruže.

Za korisnike koji se pridružuju sa sigurnim uređajima, pustite uređaje da se prvi pridruže i postavite očekivanja korisnika da se možda neće moći pridružiti ako se pridruže kasno.

Ako imate različite razine provjere identiteta, omogućite korisnicima da se međusobno provjeravaju pomoću identiteta s certifikatom i sigurnosnog koda sastanka. Iako postoje okolnosti u kojima se sudionici mogu pojaviti kao Neprovjereni, a sudionici bi trebali znati kako to provjeriti, neprovjereni ljudi možda nisu varalice.

Ako koristite vanjski CA za izdavanje certifikata uređaja, na vama je nadzor, osvježavanje i ponovna primjena certifikata.

Ako ste stvorili početnu tajnu, imajte na umu da bi vaši korisnici možda željeli promijeniti tajnu svog uređaja. Možda ćete morati izraditi sučelje/distribuirati alat da im to omogućite.

Tablica 1. ID-jevi vrste sesije za end-to-end šifrirane sastanke

ID vrste sesije

Naziv javne službe

638

Samo E2E Encryption+ VoIP

652

Pro-End to End Encryption_ Samo za VOIP

660

Pro 3 Free-End to End Encryption_ Samo za VOIP

E2E šifriranje + identitet

672

Pro 3 Free50-End to End Encryption_ Samo za VOIP

673

Instruktor edukacije E2E Encryption_ Samo za VOIP

676

Broadworks Standard plus enkripcija od kraja do kraja

677

Broadworks Premium plus enkripcija od kraja do kraja

681

Schoology Free plus enkripcija od kraja do kraja

Ove tablice opisuju naredbe API -ja Webex uređaja koje smo dodali za end-to-end šifrirane sastanke i potvrđeni identitet. Za više informacija o tome kako koristiti API, pogledajte Pristupite API -ju za Webex sobne i stolne uređaje i Webex ploče .

Ove xAPI naredbe dostupne su samo na uređajima koji su:

  • Registriran na Webex

  • Registriran lokalno i povezan s Webex uz Webex Edge za uređaje

Tablica 2 API-ji na razini sustava za end-to-end šifrirane sastanke i provjereni identitet

API poziv

Opis

xConfiguration Conference EndToEndEncryption Identity PreferredDomain: "example.com"

Ova se konfiguracija izrađuje kada administrator postavi željenu domenu uređaja iz Control Huba. Potrebno samo ako organizacija ima više od jedne domene.

Uređaj koristi ovu domenu kada zatraži certifikat od Webex CA. Domena tada identificira uređaj.

Ova konfiguracija nije primjenjiva kada uređaj ima aktivan, vanjski izdani certifikat za identifikaciju.

xStatus Conference EndToEndEncryption Availability

Označava može li se uređaj pridružiti end-to-end šifriranom sastanku. Cloud API ga poziva tako da uparena aplikacija zna može li koristiti uređaj za pridruživanje.

xStatus Conference EndToEndEncryption ExternalIdentity Verification

Označava koristi li uređaj External provjeru (ima vanjski certifikat).

xStatus Conference EndToEndEncryption ExternalIdentity Identity

Identitet uređaja pročitan iz zajedničkog naziva certifikata izdanog izvana.

xStatus Conference EndToEndEncryption ExternalIdentity CertificateChain Certificate # specificinfo

Čita određene podatke iz certifikata izdanog izvana.

U prikazanoj naredbi zamijenite # s brojem potvrde. Zamijeni specificinfo s jednim od:

  • Fingerprint

  • NotAfter datum završetka

  • NotBefore datum početka

  • PrimaryName

  • PublicKeyAlgorithm

  • SerialNumber

  • SignatureAlgorithm

  • Subject # Name Popis predmeta za certifikat (npr. adresa e-pošte ili naziv domene)

  • Validity Daje status valjanosti ove potvrde (npr valid ili expired)

xStatus Conference EndToEndEncryption ExternalIdentity Status

Status vanjskog identiteta uređaja (npr valid ili error).

xStatus Conference EndToEndEncryption InternalIdentity Verification

Označava ima li uređaj važeći certifikat koji je izdao Webex CA.

xStatus Conference EndToEndEncryption InternalIdentity Identity

Identitet uređaja pročitan iz uobičajenog naziva certifikata koji je izdao Webex.

Sadrži naziv domene ako organizacija ima domenu.

Prazan je ako organizacija nema domenu.

Ako je uređaj u organizaciji koja ima više domena, ovo je vrijednost iz PreferredDomain.

xStatus Conference EndToEndEncryption InternalIdentity CertificateChain Certificate # specificinfo

Čita određene informacije iz certifikata koji je izdao Webex.

U prikazanoj naredbi zamijenite # s brojem potvrde. Zamijeni specificinfo s jednim od:

  • Fingerprint

  • NotAfter datum završetka

  • NotBefore datum početka

  • PrimaryName

  • PublicKeyAlgorithm

  • SerialNumber

  • SignatureAlgorithm

  • Subject # Name Popis predmeta za certifikat (npr. adresa e-pošte ili naziv domene)

  • Validity Daje status valjanosti ove potvrde (npr valid ili expired)

Tablica 3. API-ji za pozive za end-to-end šifrirane sastanke i potvrđeni identitet

API poziv

Opis

xEvent Conference ParticipantList ParticipantAdded

xEvent Conference ParticipantList ParticipantUpdated

xEvent Conference ParticipantList ParticipantDeleted

Ova tri događaja sada uključuju EndToEndEncryptionStatus, EndToEndEncryptionIdentity i EndToEndEncryptionCertInfo za pogođenog sudionika.

Tablica 4. API-ji povezani s ClientSecretom za end-to-end šifrirane sastanke i potvrđeni identitet

API poziv

Opis

xCommand Security ClientSecret Populate Secret: "base64url-encoded"

ili

xCommand Security ClientSecret Populate Secret: JWEblob

Prihvaća base64url kodiranu vrijednost običnog teksta za postavljanje tajne klijenta na uređaj po prvi put.

Da biste ažurirali tajnu nakon tog prvog puta, morate dostaviti JWE blob koji sadrži novu tajnu šifriranu starom tajnom.

xCommand Security Certificates Services Add JWEblob

Dodaje certifikat (s privatnim ključem).

Proširili smo ovu naredbu da prihvatimo JWE blob koji sadrži šifrirane PEM podatke.

xCommand Security Certificates Services Activate Purpose:WebexIdentity FingerPrint: JWEblob

Aktivira određeni certifikat za WebexIdentity. Za ovo Purpose, naredba zahtijeva da identifikacijski otisak prsta bude šifriran i serijaliziran u JWE blob.

xCommand Security Certificates Services Deactivate Purpose:WebexIdentity FingerPrint: JWEblob

Deaktivira određeni certifikat za WebexIdentity. Za ovo Purpose, naredba zahtijeva da identifikacijski otisak prsta bude šifriran i serijaliziran u JWE blob.