Korisnici odabiru novu vrstu sastanka kada zakazuju sastanak. Prilikom primanja sudionika iz predvorja i tijekom sastanka domaćin može vidjeti status provjere identiteta svakog sudionika. Postoji i kôd sastanka koji je zajednički svim trenutnim sudionicima sastanka, a koji mogu koristiti za međusobnu provjeru.

Podijelite sljedeće informacije s domaćinima sastanka:

Provjera identiteta

Cjelovita provjera identiteta pruža dodatnu sigurnost end-to-end šifriranom sastanku.

Kada se sudionici ili uređaji pridruže zajedničkoj mls (Messaging Layer Security) grupi, oni predstavljaju svoje certifikate ostalim članovima grupe koji zatim potvrđuju certifikate protiv ustanove za izdavanje certifikata /ies (CA). Potvrdom da su certifikati valjani, CA provjerava identitet sudionika, a sastanak prikazuje sudionike / uređaje kako je potvrđeno.

Korisnici aplikacije Webex sastanci autentifikuju se na webex spremište identiteta koje im izdaje pristupni token kada uspiju. Ako im je potreban certifikat za provjeru identiteta - u end-to-end šifriranom sastanku - Webex CA izdaje im certifikat na temelju njihovog pristupnog tokena. Još uvijek ne pružamo način da korisnici Webex sastanaka dobiju certifikat koji izdaje treća strana / vanjski CA.

Uređaji se mogu provjeriti pomoću certifikata izdanog od strane internog (Webex) CA ili certifikata izdanog od strane vanjskog CA:

  • U internom slučaju CA Webex izdaje interni certifikat koji se temelji na pristupnom tokenu računa računala uređaja. Certifikat potpisuje Webex CA. Uređaji nemaju korisničke ID-ove na isti način kao korisnici, pa Webex koristi (jednu od) domena vaše tvrtke ili ustanove prilikom pisanja identiteta certifikata uređaja (Zajednički naziv (CN)).

  • Za vanjski slučaj CA zatražite i kupite certifikate uređaja izravno od odabranog izdavatelja. Morate šifrirati, izravno prenijeti i autorizirati certifikate koristeći tajnu poznatu samo vama.

    Cisco nije uključen, što čini ovaj način da se zajamči istinska end-to-end enkripcija i provjereni identitet, i spriječiti teoretsku mogućnost da Cisco može prisluškivati na vašem sastanku / dešifrirati svoje medije.

Interno izdan certifikat uređaja

Webex izdaje certifikat uređaju kada se registrira nakon pokretanja i obnavlja ga kada je to potrebno. Za uređaje certifikat uključuje ID računa i domenu.

Ako vaša tvrtka ili ustanova nema domenu, Webex CA izdaje certifikat bez domene.

Ako vaša tvrtka ili ustanova ima više domena, pomoću kontrolnog centra možete web-exu reći koju domenu uređaj koristiti za svoj identitet. Možete koristiti i API xConfiguration Conference EndToEndEncryption Identity PreferredDomain: "example.com".

Ako imate više domena i ne postavljate željenu domenu za uređaj, Webex odabire jednu za vas.

Izdani certifikat uređaja izvana

Administrator može uređaju dodijeliti vlastiti certifikat koji je potpisan s jednim od javnih tijela za plaćanja.

Certifikat se mora temeljiti na ECDSA P-256 ključnom paru, iako se može potpisati RSA ključem.

Vrijednosti u certifikatu su na diskreciji organizacije. Zajednički naziv (CN) i alternativni naziv predmeta (SAN) prikazat će se u korisničkom sučelju sastanka Webexa, kao što je opisano u end-to-end šifriranju s provjerom identiteta za web-ex sastanke.

Preporučuje se korištenje zasebnog certifikata po uređaju i jedinstveno CN po uređaju. To bi, na primjer, moglo biti "meeting-room-1.example.com", za organizaciju koja je vlasnik domene "example.com".

Kako bi se vanjski certifikat u potpunosti zaštitio od neovlaštenog mijenjanja, za šifriranje i potpisivanje različitih xcommandova koristi se tajna značajka klijenta.

Kada koristite tajnu klijenta, moguće je sigurno upravljati vanjskim certifikatom identiteta webexa putem xAPI- a. To je trenutno ograničeno na internetske uređaje.

Trenutno Webex pruža API naredbe za upravljanje tim.

Uređaji

Serija Webex Room registrirana u oblaku i uređaji serije Webex Desk mogu se pridružiti end-to-end šifriranim sastancima, uključujući:

  • Webex Board

  • Webex Desk Pro

  • Webex stol

  • Webex komplet soba

  • Webex komplet soba Mini

Sljedeći se uređaji ne mogu pridružiti kraju do kraja šifriranih sastanaka:

  • Serija Webex C

  • Webex DX serija

  • Webex EX serija

  • Webex MX serija

  • SIP uređaji drugih proizvođača

Softverski klijenti

  • Od 41.6 klijent web-sastanaka za stolna računala može se pridružiti end-to-end šifriranim sastancima.

  • Ako vaša tvrtka ili ustanova omogućuje aplikaciji Webex uključivanje u sastanke pokretanjem aplikacije Sastanci za stolna računala, tu mogućnost možete koristiti za uključivanje u end-to-end šifrirane sastanke.

  • Web-klijent Webexa ne može se pridružiti end-to-end šifriranim sastancima.

  • SIP meki klijenti drugih proizvođača ne mogu se pridružiti end-to-end šifriranim sastancima.

Identitet

  • Ne nudimo vam nikakve mogućnosti upravljačkog središta za upravljanje vanjsko potvrđenim identitetom uređaja. Ova odluka je dizajnirana, jer za istinsku end-to-end enkripciju, samo vi trebate znati / pristupiti tajnama i ključevima. Ako uvedemo uslugu u oblaku za upravljanje tim ključevima, postoji mogućnost da ih presretnemo.

  • Trenutačno ne nudimo nikakve alate koji bi vam pomogli u traženju ili šifriranju certifikata identiteta vašeg uređaja i njihovih privatnih ključeva. Trenutno vam pružamo "recept" za dizajniranje vlastitih alata, temeljenih na standardnim tehnikama šifriranja, kako biste pomogli u tim procesima. Ne želimo imati stvarni ili percipirani pristup vašim tajnama ili ključevima.

Sastanci

  • End-to-end šifrirani sastanci trenutno podržavaju najviše 200 sudionika.

  • Od tih 200 sudionika, može se pridružiti najviše 25 vanjsko provjerenih uređaja i oni moraju biti prvi sudionici koji će se pridružiti sastanku.

    Kada se veći broj uređaja uključi u sastanak, naši pozadinski medijski servisi pokušavaju transkodirati medijske tokove. Ako ne možemo dešifrirati, transkodirati i ponovno šifrirati medij (jer nemamo i ne bismo trebali imati ključeve za šifriranje uređaja), transkodiranje ne uspijeva.

    Da biste ublažili to ograničenje, preporučujemo manje sastanke za uređaje ili raspoređene pozivnice između uređaja i klijenata sastanaka.

Sučelje za upravljanje

Preporučujemo da za upravljanje web-mjestom sastanka koristite Kontrolni centar.

Glavni razlog za to je razlika između načina na koji kontrolni centar i administracija web-mjesta upravljaju identitetom. Organizacije kontrolnog središta imaju centralizirani identitet za cijelu organizaciju, dok se u administraciji web-mjesta identitet kontrolira na web-mjestu po web-mjestu.

To znači da ne možete imati mogućnost identiteta koju je potvrdio Cisco za korisnike kojima se upravlja putem administracije web-mjesta. Tim se korisnicima izdaje anonimni certifikat za pridruživanje end-to-end šifriranom sastanku i mogu biti isključeni sa sastanaka na kojima domaćin želi osigurati identitet.

Povezane informacije

Izvođenje uzorka JWE blobova

Uzorak ispravno šifriranog JWE-a na temelju zadanih parametara (dodatak)

  • Webex sastanci 41.7.

  • Uređaji serije Webex Room i Webex Desk registrirani u oblaku, sa sustavom 10.6.1-RoomOS_August_2021.

  • Administrativni pristup web-mjestu sastanka u kontrolnom središtu radi omogućivanja nove vrste sesije za korisnike.

  • Jedna ili više potvrđenih domena u tvrtki ili ustanovi upravljačkog centra (ako koristite Webex CA za izdavanje certifikata uređaja za potvrđeni identitet).

  • Sobe za sastanke za suradnju moraju biti uključene kako bi se korisnici mogli pridružiti iz svog videosustava. Dodatne informacije potražite u odjeljku Dopusti videosustavima da se pridruže web-ex sastancima i događajima na web-mjestu.

Ovaj korak možete preskočiti ako vam nije potreban vanjski provjereni identitet.

Za najvišu razinu sigurnosti i za provjeru identiteta svaki bi uređaj trebao imati jedinstven certifikat koji izdaje pouzdana javna ustanova za izdavanje certifikata.

Morate komunicirati s CA-om kako biste zatražili, kupili i primili digitalne certifikate i stvorili povezane privatne ključeve. Prilikom traženja certifikata to su parametri koje treba koristiti:

  • Certifikat mora izdati i potpisati poznati javni CA.

  • Jedinstven: Preporučujemo korištenje jedinstvenog certifikata za svaki uređaj. Ako koristite jedan certifikat za sve uređaje, ugrožavate svoju sigurnost.

  • Zajednički naziv (CN) i zamjenski naziv predmeta (SAN/s): Oni nisu važni za Webex, ali bi trebale biti vrijednosti koje ljudi mogu čitati i povezati s uređajem. KN će se drugim sudionicima sastanka prikazati kao primarni provjereni identitet uređaja, a ako korisnici pregledaju certifikat putem korisničkog suida sastanka, vidjet će SAN/s. Možda biste trebali koristiti nazive kao što su name.model@example.com ali to je tvoj izbor.

  • Oblik datoteke: Certifikati i ključevi moraju biti u obliku .pem.

  • Svrha: Svrha certifikata mora biti Webex identitet.

  • Generiranje ključeva: Certifikati se moraju temeljiti na ECDSA P-256 parovima ključeva (algoritam digitalnog potpisa eliptične krivulje pomoću krivulje P-256).

    Ovaj se zahtjev ne odnosi na ključ za potpisivanje. CA može koristiti RSA ključ za potpisivanje certifikata.

Ovaj korak možete preskočiti ako ne želite koristiti vanjsko potvrđeni identitet sa svojim uređajima.

Ako koristite nove uređaje, nemojte ih još registrirati na Webex. Najsigurnije je još ih ni ne povezati s mrežom.

Ako imate postojeće uređaje koje želite nadograditi da biste koristili vanjsko potvrđeni identitet, morat ćete tvornički resetirati uređaje.

  • Spremite postojeću konfiguraciju ako je želite zadržati.

  • Zakažite prozor kada se uređaji ne koriste ili koristite pristup u fazama. Obavijestite korisnike o promjenama koje mogu očekivati.

  • Osigurajte fizički pristup uređajima. Ako uređajima morate pristupiti putem mreže, imajte na umu da tajne putuju jednostavnim tekstom i ugrožavate svoju sigurnost.

Kada dovršite ove korake, dopustite video sustavima da se pridruže sastancima i događajima na web-mjestu.

Da biste bili sigurni da medij vašeg uređaja ne može šifrirati nitko osim uređaja, morate šifrirati privatni ključ na uređaju. Dizajnirali smo API-je za uređaj kako bismo omogućili upravljanje šifriranim ključem i certifikatom pomoću JSON web enkripcije (JWE).

Da bismo osigurali istinsku end-to-end enkripciju putem našeg oblaka, ne možemo biti uključeni u šifriranje i prijenos certifikata i ključa. Ako vam je potrebna ova razina sigurnosti, onus je na vama da:

  • Zatražite svoje certifikate.

  • Generirajte parove ključeva certifikata.

  • Stvorite (i zaštitite) početnu tajnu za svaki uređaj kako biste posijali mogućnost šifriranja uređaja.

  • Razvijte i održavajte vlastiti alat za šifriranje datoteka pomoću JWE standarda.

    U nastavku ćemo objasniti proces i (netajne) parametre koji će vam trebati i recept koji ćete slijediti u svojim razvojnim alatima po izboru. Također pružamo neke podatke o ispitivanju i nastale JWE blobove kako ih očekujemo, kako bismo vam pomogli potvrditi vaš proces.

    Nepodržana referentna implementacija pomoću Python3 i JWCrypto biblioteke dostupna je na zahtjev tvrtke Cisco.

  • Ulančajte i šifrirajte certifikat i ključ pomoću alata i početne tajne uređaja.

  • Prenesite dobivenu JWE mrlju na uređaj.

  • Postavite svrhu šifriranog certifikata koji će se koristiti za Webex identitet i aktivirajte certifikat.

  • (Preporučeno) Pružite sučelje za (ili distribuirajte) svoj alat kako biste korisnicima uređaja omogućili promjenu početne tajne (radi zaštite medija od vas!).

Kako koristimo JWE format

Ovaj odjeljak opisuje kako očekujemo da se JWE stvori kao ulaz na uređaje, tako da možete izraditi vlastiti alat za stvaranje blobova iz svojih certifikata i ključeva.

Morat ćete se pozvati na JSON web-šifriranje (JWE)https://datatracker.ietf.org/doc/html/rfc7516 i JSON web-potpis (JWS).https://datatracker.ietf.org/doc/html/rfc7515

Odabrali smo kompaktnu serijalizaciju JSON dokumenta za stvaranje JWE blobova. Parametri koje ćete morati uključiti prilikom stvaranja JWE blobova su:

  • JOSE zaglavlje (zaštićeno). U zaglavlju JSON potpisivanje objekata i šifriranje morate uključiti sljedeće parove vrijednosti ključa:

    • "alg":"dir"

      Izravni algoritam je jedini koji podržavamo za šifriranje korisnog tereta i morate koristiti početnu tajnu klijenta uređaja.

    • "enc":"A128GCM" ili "enc":"A256GCM"

      Podržavamo ova dva algoritma za šifriranje.

    • "cisco-action": "add" ili "cisco-action": "populate" ili "cisco-action": "activate" ili "cisco-action": "deactivate"

      To je vlasnički ključ i četiri vrijednosti koje može uzeti. Uveli smo ovaj ključ kako bismo signalizirali svrhu šifriranih podataka ciljanom uređaju. Vrijednosti su nazvane po xAPI naredbama na uređaju na kojem koristite šifrirane podatke.

      Nazvali smo ga cisco-action kako bi se ublažili potencijalni sukobi s budućim proširenjima JWE-a.

    • "cisco-kdf": { "version": "1", "salt": "base64URLEncodedRandom4+Bytes" }

      Još jedan vlasnički ključ. Vrijednosti koje navedete koristimo kao ulazne podatke za izvođenje ključeva na uređaju. The version mora se 1(verzija naše ključne funkcije izvođenja). Vrijednost salt mora biti osnovni slijed od najmanje 4 bajata kodiran URL-om baze64, koji morate odabrati nasumično.

  • JWE šifrirani ključ. Polje je prazno. Uređaj ga dobiva iz početnog ClientSecret.

  • JWE inicijalizacija Vector. Morate navesti vektor inicijalizacije kodirane base64url za dešifriranje tereta. IV MORA biti slučajna vrijednost od 12 bajtova (koristimo obitelj šifre AES-GCM, koja zahtijeva da IV bude dugačak 12 bajtova).

  • JWE AAD (dodatni provjereni podaci). Ovo polje morate izostaviti jer nije podržano u sažetoj serijalizaciji.

  • JWE šifrirani tekst: Ovo je šifrirani teret koji želite zadržati u tajnosti.

    Korisni teret MOŽE biti prazan (Na primjer, da biste resetirali tajnu klijenta, morate ga prebrisati praznom vrijednošću).

    Postoje različite vrste korisnih tereta, ovisno o tome što pokušavate učiniti na uređaju. Različite xAPI naredbe očekuju različite korisne terete i morate navesti svrhu korisnog tereta s cisco-action ključ, kako slijedi:

    • Sa "cisco-action":"populate" šifrirani tekst je novi ClientSecret

    • Sa " "cisco-action":"add" ciphertext je PEM blob koji nosi certifikat i njegov privatni ključ (ulančan)

    • Sa " "cisco-action":"activate" tekst je otisak prsta (heksadecimalni prikaz sha-1) certifikata koji aktiviramo za provjeru identiteta uređaja

    • Sa " "cisco-action":"deactivate" šifrirani tekst je otisak prsta (heksadecimalni prikaz sha-1) certifikata koji deaktiviramo da se koristi za provjeru identiteta uređaja

  • JWE oznaka za provjeru autentičnosti: Ovo polje sadrži oznaku za provjeru autentičnosti kako bi se utvrdio integritet cijelog JWE kompaktno serijaliziranog bloba

Kako izvlačimo ključ za šifriranje iz ClientSecret

Nakon prve populacije tajne, ne prihvaćamo niti izlazimo iz tajne kao običan tekst. Time se želi spriječiti potencijalni napadi rječnika od strane nekoga tko bi mogao pristupiti uređaju.

Softver uređaja koristi klijentsku tajnu kao ulaz u funkciju izvođenja ključeva (kdf), a zatim koristi izvedeni ključ za dešifriranje /šifriranje sadržaja na uređaju.

To za vas znači da vaš alat za proizvodnju JWE blobs mora slijediti isti postupak kako bi iz klijentske tajne izvući isti ključ za šifriranje / dešifriranje.

Uređaji koriste kriptu za izvođenje ključeva (vidi https://en.wikipedia.org/wiki/Scrypt), sa sljedećim parametrima:

  • CostFactor (N) je 32768

  • BlockSizeFactor (r) je 8

  • ParallelizationFactor (p) je 1

  • Sol je slučajni slijed od najmanje 4 bajtova; morate navesti tu istu salt prilikom određivanja cisco-kdf parametarski.

  • Duljine tipki su ili 16 bajtova (ako odaberete algoritam AES-GCM 128) ili 32 bajtova (ako odaberete algoritam AES-GCM 256)

  • Maksimalna memorijska kapica iznosi 64 MB

Ovaj skup parametara jedina je konfiguracija kripte koja je kompatibilna s funkcijom izvođenja ključa na uređajima. Ovaj kdf na uređajima naziva se "version":"1", što je jedina verzija koju trenutačno uzima cisco-kdf parametarski.

Obrađeni primjer

Evo primjera koji možete slijediti kako biste provjerili funkcionira li vaš postupak JWE šifriranja isto kao i proces koji smo stvorili na uređajima.

Primjer scenarija je dodavanje PEM bloba uređaju (oponaša dodavanje certifikata, s vrlo kratkim nizom umjesto punim certifikatom + ključem). Tajna klijenta u primjeru je ossifrage.

  1. Odaberite šifru šifriranja. U ovom se primjeru A128GCM(AES sa 128-bitnim tipkama u Galois counter modu). Vaš bi alat mogao koristiti A256GCM ako vam je draže.

  2. Odaberite sol (mora biti slučajni slijed od najmanje 4 bajtova). Ovaj primjer koristi (heksad bajtove) E5 E6 53 08 03 F8 33 F6. Base64url kodirajte slijed koji želite dobiti 5eZTCAP4M_Y(uklonite podlogu Base64).

  3. Evo uzorka scrypt poziv za stvaranje ključa za šifriranje sadržaja (cek):

    cek=scrypt(password="ossifrage", salt=4-byte-sequence, N=32768, r=8, p=1, keylength=16)

    Izvedeni ključ trebao bi biti 16 bajtova (heksale) kako slijedi: 95 9e ba 6d d1 22 01 05 78 fe 6a 9d 22 78 ff ac koja baza64url kodira u lZ66bdEiAQV4_mqdInj_rA.

  4. Odaberite slučajni slijed od 12 bajtova koji će se koristiti kao vektor inicijalizacije. Ovaj primjer koristi (heksad) 34 b3 5d dd 5f 53 7b af 2d 92 95 83 koja baza64url kodira u NLNd3V9Te68tkpWD.

  5. Stvorite JOSE zaglavlje kompaktnom serijalizacijom (slijedite isti redoslijed parametara koje ovdje koristimo), a zatim ga šifrirajte na bazi64url:

    {"alg":"dir","cisco-action":"add","cisco-kdf":{"salt":"5eZTCAP4M_Y","version":"1"},"enc":"A128GCM"}

    Zaglavlje JOSE-a kodirano u bazi64url eyJhbGciOiJkaXIiLCJjaXNjby1hY3Rpb24iOiJhZGQiLCJjaXNjby1rZGYiOnsic2FsdCI6IjVlWlRDQVA0TV9ZIiwidmVyc2lvbiI6IjEifSwiZW5jIjoiQTEyOEdDTSJ9

    To će biti prvi element JWE bloba.

  6. Drugi element JWE bloba je prazan, jer ne isporučujemo JWE ključ za šifriranje.

  7. Treći element JWE bloba je vektor inicijalizacije NLNd3V9Te68tkpWD.

  8. Upotrijebite svoj JWE alat za šifriranje kako biste proizveli šifrirani korisni teret i oznaku. U ovom primjeru, nešifrirani teret bit će lažna PEM gruda this is a PEM file

    Parametri šifriranja koje biste trebali koristiti su:

    • Korisni teret je this is a PEM file

    • Šifra za šifriranje je AES 128 GCM

    • Zaglavlje BAZE64url kodiralo je JOSE kao dodatne provjerene podatke (AAD)

    Base64url kodira šifrirani teret, što bi trebalo rezultirati f5lLVuWNfKfmzYCo1YJfODhQ

    Ovo je četvrti element (JWE Ciphertext) u JWE blob.

  9. Base64url kodirajte oznaku koju ste proizveli u koraku 8, što bi trebalo rezultirati PE-wDFWGXFFBeo928cfZ1Q

    Ovo je peti element u JWE grudnoj kugli.

  10. Ulančajte pet elemenata JWE bloba s točkicama (JOSEheader.. IV.Ciphertext.Tag) da biste dobili:

    eyJhbGciOiJkaXIiLCJjaXNjby1hY3Rpb24iOiJhZGQiLCJjaXNjby1rZGYiOnsic2FsdCI6IjVlWlRDQVA0TV9ZIiwidmVyc2lvbiI6IjEifSwiZW5jIjoiQTEyOEdDTSJ..9NLNd3V9Te68tkpWD.f5lLVuWNfKfmzYCo1YJfODhQ.PE-wDFWGXFFBeo928cfZ1Q

  11. Ako ste izvedene iste vrijednosti kodirane u bazi64url kao što prikazujemo ovdje, koristeći vlastite alate, spremni ste ih koristiti za zaštitu E2E šifriranja i potvrđenog identiteta vaših uređaja.

  12. Ovaj primjer zapravo neće raditi, ali u načelu bi vaš sljedeći korak bio korištenje JWE bloba koji ste gore stvorili kao ulaz u xcommand na uređaju koji dodaje certifikat:

    xCommand Security Certificates Add eyJhbGciOiJkaXIiLCJjaXNjby1hY3Rpb24iOiJhZGQiLCJjaXNjby1rZGYiOnsic2FsdCI6IjVlWlRDQVA0TV9ZIiwidmVyc2lvbiI6IjEifSwiZW5jIjoiQTEyOEdDTSJ..9NLNd3V9Te68tkpWD.f5lLVuWNfKfmzYCo1YJfODhQ.PE-wDFWGXFFBeo928cfZ1Q

Postoje nove vrste sesija za sastanke s nultom sigurnošću, koje će biti dostupne svim mjestima sastanka bez dodatnih troškova. Jedna od novih vrsta sesije zove se Pro-End to End Encryption_VOIPonly. Ovo je naziv javne službe koji možemo promijeniti u budućnosti. Trenutne nazive vrsta sesija potražite u članku ID-ovi vrste sesije u odjeljku Referenca ovog članka.

Ne morate ništa učiniti da biste dobili novu mogućnost za svoju web-lokaciju, ali ćete morati korisnicima dodijeliti novu vrstu sesije (koja se naziva i Privilegijasastanka). To možete učiniti pojedinačno putem korisnikove konfiguracijske stranice ili skupno s CSV izvozom/uvozom.

1

Prijavite se u kontrolni centar i otvorite stranicu Sastanak.

2

Kliknite naziv web-mjesta da biste otvorili konfiguracijsku ploču web-mjesta.

3

Kliknite Konfiguriraj web-mjesto.

4

U području Uobičajene postavke kliknite Vrste sesija.

Na toj stranici trebali biste vidjeti jednu ili više vrsta sesija šifriranja s kraja na kraj. Pogledajte popis ID-ova vrste sesije u odjeljku Referenca ovog članka. Na primjer, možda ćete vidjeti Pro-End to End Encryption_VOIPonly.

 

Postoji starija vrsta sesije s vrlo sličnim nazivom: Pro- end to end enkripcija. Ova vrsta sesije uključuje nešifrirani PSTN pristup sastancima. Provjerite imate li _verziju VOIPonly kako biste osigurali end to end šifriranje. Možete provjeriti tako da zadržite pokazivač miša iznad PRO veze u stupcu koda sesije; za ovaj primjer, cilj veze trebao bi biti javascript:ShowFeature(652).

Ubuduće možemo mijenjati nazive javnih usluga za te vrste sesija, na primjer, planiramo promijeniti Pro-End to End Encryption_VOIPonly u E2E Encryption + Identity.

5

Ako još nemate novu vrstu sesije, obratite se predstavniku Webexa.

Što učiniti sljedeće

Omogućite ovu vrstu sesije / privilegiju sastanka nekim ili svim korisnicima.

1

Kliknite Korisnici i odaberite korisnika da biste otvorili korisnikovu konfiguracijsku ploču.

2

U oblasti "Usluge" kliknite Cisco Webex sastanci.

3

Odaberite web-mjesto (ako je korisnik u više od jednog) i kliknite Glavno računalo.

4

Potvrdite okvir pokraj unosa Webex sastanaka s oznakom Pro- End to End Encryption_VOIPonly.

5

Zatvorite konfiguracijsku ploču korisnika.

6

Ponovite postupak za druge korisnike ako je potrebno.

Ako to želite dodijeliti većem broju korisnika, koristite mogućnost CSV skupno.

1

Prijavite se u kontrolni centar https://admin.webex.com i otvorite stranicu Sastanak.

2

Kliknite naziv web-mjesta da biste otvorili konfiguracijsku ploču web-mjesta.

3

U odjeljku Licence i korisnici kliknite Masovno upravljanje.

4

Kliknite Izvezi, a zatim pričekajte da pripremimo datoteku.

5

Kada je datoteka spremna, kliknite Izvezi rezultate, a zatim Preuzmi. (Morate ručno zatvoriti taj skočni prozor nakon što kliknete Preuzmi.)

6

Otvorite preuzetu CSV datoteku za uređivanje.

Postoji redak za svakog korisnika, a MeetingPrivilege stupac sadrži ID-ove vrste sesije kao popis razgraničen zarezima.

7

Za svakog korisnika kojem želite dodijeliti novu vrstu sesije dodajte 1561 kao nova vrijednost na popisu razgraničenom zarezima u MeetingPrivilege ćelija.

Referenca formata CSV datoteke Cisco Webex sadrži pojedinosti o svrsi i sadržaju CSV datoteke.

8

Otvorite konfiguracijsku ploču web-mjesta sastanka u kontrolnom središtu.


 

Ako ste već bili na stranici popisa web-mjesta sastanka, možda ćete je morati osvježiti.

9

U odjeljku Licence i korisnici kliknite Masovno upravljanje.

10

Kliknite Uvezi i odaberite uređeni CSV, a zatim kliknite Uvezi. Pričekajte dok se datoteka ne prenese.

11

Kada je uvoz dovršen, kliknite Uvezi rezultate da biste pregledali je li bilo pogrešaka.

12

Idite na stranicu Korisnici i otvorite jedan od korisnika da biste provjerili imaju li novu vrstu sesije.

Ako su vaši uređaji već ugrađeni u vašu organizaciju Control Hub i želite koristiti Webex CA za automatsko generiranje njihovih identifikacijskih certifikata, ne morate tvornički resetirati uređaje.

Ovaj postupak odabire domenu koju uređaj koristi za identifikaciju i potreban je samo ako imate više domena u tvrtki ili ustanovi kontrolnog centra. Ako imate više domena, preporučujemo da to učinite za sve svoje uređaje koji će imati identitet "Cisco-provjeren". Ako webexu ne kažete koja domena identificira uređaj, odabrat ćemo ga i drugim sudionicima sastanka može izgledati pogrešno.

Prije nego što počnete

Ako vaši uređaji još nisu ugrađeni, registrirajte uređaj na Cisco Webex pomoću API-ja ili lokalnog web sučelja ili uvođenja u oblak za uređaje. Provjerite i domene koje želite koristiti za identifikaciju uređaja u odjeljku Upravljanje uređajima.

1

Prijavite se u Kontrolni centar (https://admin.webex.com) i otvorite stranicu Uređaji.

2

Odaberite uređaj da biste otvorili njegovu konfiguracijsku ploču.

3

Odaberite domenu koju želite koristiti za identifikaciju ovog uređaja.

4

Ponovite postupak za druge uređaje.

Prije nego što počnete

Trebaš:

  • Da biste dobili CA potpisani certifikat i privatni ključ, u .pem formatu, za svaki uređaj.

  • Da biste pročitali temu Razumijevanje procesa vanjskog identiteta za uređaje, u odjeljku Priprema u ovom članku.

  • Pripremiti JWE alat za šifriranje s obzirom na tamošnje informacije.

  • Alat za generiranje nasumičnih bajtnih sekvenci zadanih duljina.

  • Alat za osnovni64url kodiranje bajtova ili teksta.

  • Neki scrypt implementacija.

  • Tajna riječ ili fraza za svaki uređaj.

1

Popunjavanje uređaja ClientSecret s tajnom običnog teksta:

Prvi put kada popunite Secret, dostaviti ga u običnom tekstu. Zato preporučujemo da to učinite na konzoli fizičkog uređaja.

  1. Base64url kodira tajnu frazu za ovaj uređaj.

  2. Otvorite TShell na uređaju.

  3. Trčati xcommand Security ClientSecret Populate Secret: "MDEyMzQ1Njc4OWFiY2RlZg"

    Gornja naredba primjera popunjava Secret s izrazom 0123456789abcdef. Moraš izabrati svoju.

Uređaj ima svoju početnu tajnu. Ne zaboravite to, ne možete ga oporaviti i morate tvornički resetirati uređaj za ponovno pokretanje.
2

Ulančajte certifikat i privatni ključ:

  1. Pomoću uređivača teksta otvorite .pem datoteke, zalijepite ključ blob certifikata i spremite ga kao novu .pem datoteku.

    (Ovo je tekst korisnog tereta koji ćete šifrirati i staviti u JWE blob)

3

Stvorite JWE blob koji će se koristiti kao ulaz u naredbu za dodavanje certifikata:

  1. Stvorite slučajni slijed od najmanje 4 bajtova. Ovo je tvoja sol.

  2. Pomoću alata za šifriranje sadržaja iznesite ključ za šifriranje sadržaja.

    Za to vam je potrebna tajna, sol i ključna duljina koja odgovara odabranoj šifri za šifriranje. Postoje i neke druge fiksne vrijednosti za opskrbu (N=32768, r=8, p=1). Uređaj koristi isti postupak i vrijednosti za dobivanje istog ključa za šifriranje sadržaja.

  3. Stvorite slučajni slijed od točno 12 bajtova. Ovo je tvoj vektor inicijalizacije.

  4. Stvaranje JOSE zaglavlja, postavka alg, enc i cisco-kdf ključeve kao što je opisano u odjeljku Razumijevanje procesa vanjskog identiteta za uređaje. Postavljanje akcije "dodaj" pomoću ključa:vrijednost "cisco-action":"add" u zaglavlju JOSE-a (jer dodajemo certifikat uređaju).

  5. Base64url kodira JOSE zaglavlje.

  6. Koristite svoj JWE alat za šifriranje s odabranom šifrom i zaglavljem JOSE kodiranog base64url za šifriranje teksta iz ulančane pem datoteke.

  7. Base64url kodira vektor inicijalizacije, šifrirani PEM teret i oznaku za provjeru autentičnosti.

  8. Konstruirajte JWE blob na sljedeći način (sve vrijednosti su kodirane u bazu64url):

    JOSEHeader..InitVector.EncryptedPEM.AuthTag

4

Otvorite TShell na uređaju i pokrenite naredbu (višeredno dodavanje):

xcommand Security Certificates Services Add IsEncrypted: True
your..JWE.str.ing\n
.\n
5

Provjerite je li certifikat dodan pokretanjem xcommand Security Certificates Services Show

Kopirajte otisak prsta novog certifikata.

6

Aktiviranje certifikata u tu svrhu WebexIdentity:

  1. Pročitajte otisak prsta certifikata, bilo iz samog certifikata ili iz izlaza certifikata xcommand Security Certificates Services Show.

  2. Stvorite slučajni slijed od najmanje 4 bajtova, a base64url kodirajte taj slijed. Ovo je tvoja sol.

  3. Pomoću alata za šifriranje sadržaja iznesite ključ za šifriranje sadržaja.

    Za to vam je potrebna tajna, sol i ključna duljina koja odgovara odabranoj šifri za šifriranje. Postoje i neke druge fiksne vrijednosti za opskrbu (N=32768, r=8, p=1). Uređaj koristi isti postupak i vrijednosti za dobivanje istog ključa za šifriranje sadržaja.

  4. Stvorite slučajni slijed od točno 12 bajtova i base64url kodirajte taj slijed. Ovo je tvoj vektor inicijalizacije.

  5. Stvaranje JOSE zaglavlja, postavka alg, enc i cisco-kdf ključeve kao što je opisano u odjeljku Razumijevanje procesa vanjskog identiteta za uređaje. Postavljanje akcije "aktiviranje" pomoću ključa:vrijednost "cisco-action":"activate" u zaglavlju JOSE-a (jer aktiviramo certifikat na uređaju).

  6. Base64url kodira JOSE zaglavlje.

  7. Upotrijebite svoj JWE alat za šifriranje s odabranom šifrom i zaglavljem JOSE kodirane baze64url za šifriranje otiska prsta certifikata.

    Alat bi trebao imati slijed od 16 ili 32 bajtova, ovisno o tome jeste li odabrali 128 ili 256-bitni AES-GCM i oznaku za provjeru autentičnosti.

  8. Base64urlencode šifrirani otisak prsta i oznaku za provjeru autentičnosti.

  9. Konstruirajte JWE blob na sljedeći način (sve vrijednosti su kodirane u bazu64url):

    JOSEHeader..InitVector.EncryptedFingerprint.AuthTag

  10. Otvorite TShell na uređaju i pokrenite sljedeću naredbu za aktivaciju:

    xcommand Security Certificates Services Activate Purpose: WebexIdentity Fingerprint: "Your..JWE.encrypted.fingerprint"
Uređaj ima šifrirani, aktivni, CA-izdani certifikat, spreman za identifikaciju na end-to-end šifriranim Webex sastancima.
7

Uključite uređaj u tvrtku ili ustanovu upravljačkog centra.

1

Zakažite sastanak odgovarajuće vrste (Webex sastanci od kraja do kraja Encryption_VOIPonly).

2

Uključite se u sastanak kao domaćin iz klijenta Webex sastanaka.

3

Uključite se u sastanak s uređaja na kojem je webex CA potvrdio svoj identitet.

4

Kao glavno računalo provjerite pojavljuje li se ovaj uređaj u predvorju s ispravnom ikonom identiteta.

5

Uključite se u sastanak s uređaja na kojem je vanjski CA potvrdio svoj identitet.

6

Kao glavno računalo provjerite pojavljuje li se ovaj uređaj u predvorju s ispravnom ikonom identiteta. Saznajte više o ikonama identiteta.

7

Uključite se u sastanak kao neprovjereni sudionik sastanaka.

8

Kao domaćin provjerite pojavljuje li se ovaj sudionik u predvorju s ispravnom ikonom identiteta.

9

Kao domaćin, priznajte ili odbacite ljude / uređaje.

10

Provjerite identitete sudionika/uređaja gdje je to moguće, provjerom certifikata.

11

Provjerite vide li svi u sastanku isti sigurnosni kod sastanka.

12

Uključite se u sastanak s novim sudionikom.

13

Provjerite vide li svi isti, novi sigurnosni kod sastanka.

Hoćete li end-to-end šifrirane sastanke učiniti zadanom opcijom sastanka ili je omogućiti samo nekim korisnicima ili dopustiti svim domaćinima da odluče? Kada odlučite kako ćete koristiti ovu značajku, pripremite one korisnike koji će je koristiti, posebno s obzirom na ograničenja i što možete očekivati na sastanku.

Trebate li osigurati da ni Cisco ni bilo tko drugi ne može dešifrirati vaš sadržaj ili oponašati vaše uređaje? Ako je tako, potrebni su vam certifikati javnog CA- a. Na sigurnom sastanku možda imate samo do 25 uređaja. Ako vam je potrebna ta razina sigurnosti, ne biste trebali dopustiti klijentima sastanaka da se pridruže.

Korisnicima koji se pridružuju sigurnim uređajima dopustite da se uređaji pridruže prvi i postavite očekivanja korisnika da se možda neće moći pridružiti ako se kasno pridruže.

Ako imate različite razine provjere identiteta, osnažujte korisnike da se međusobno provjeravaju identitetom koji podržava certifikat i sigurnosnim kodom sastanka. Iako postoje okolnosti u kojima se sudionici mogu pojaviti kao neprovjereni, a sudionici bi trebali znati provjeriti, neprovjereni ljudi možda nisu varalice.

Ako za izdavanje certifikata uređaja koristite vanjski CA, onus je na vama da pratite, osvježavate i ponovno primjenjujete certifikate.

Ako ste stvorili početnu tajnu, shvatite da vaši korisnici možda žele promijeniti tajnu svog uređaja. Možda ćete morati stvoriti sučelje/distribuirati alat da biste im to omogućili.

Tablica 1. ID-ove vrste sesije za end-to-end šifrirane sastanke

ID vrste sesije

Naziv javne usluge

638

Samo E2E šifriranje + VoIP

652

Pro-End do End Encryption_VOIPonly

660

Pro 3 Free-End do End Encryption_VOIPonly

E2E šifriranje + identitet

672

Pro 3 Free50-end do kraja Encryption_VOIPonly

673

Instruktor obrazovanja E2E Encryption_VOIPonly

676

Broadworks Standard plus end to end enkripcija

677

Broadworks Premium plus end to end enkripcija

681

Schoology Free plus end to end enkripcija

Ove tablice opisuju API naredbe webex uređaja koje smo dodali za end-to-end šifrirane sastanke i provjereni identitet. Dodatne informacije o korištenju API-ja potražite u članku Pristup API-jem za Webex room i desk uređaje te Webex ploče.

Ove xAPI naredbe dostupne su samo na uređajima koji su:

  • Registriran na Webex

  • Registriran lokalno i povezan s Webexom s Webex Edgeom za uređaje

Tablica 2. API-je na razini sustava za end-to-end šifrirane sastanke i provjereni identitet

API poziv

Opis

xConfiguration Conference EndToEndEncryption Identity PreferredDomain: "example.com"

Ta se konfiguracija vrši kada administrator postavi željenu domenu uređaja iz kontrolnog središta. Potrebno samo ako organizacija ima više domena.

Uređaj koristi ovu domenu kada zatraži certifikat od Webex CA. Domena zatim identificira uređaj.

Ova konfiguracija nije primjenjiva kada uređaj ima aktivan, vanjski izdan certifikat za identifikaciju.

xStatus Conference EndToEndEncryption Availability

Označava može li se uređaj pridružiti end-to-end šifriranom sastanku. API u oblaku naziva ga tako da uparena aplikacija zna može li koristiti uređaj za pridruživanje.

xStatus Conference EndToEndEncryption ExternalIdentity Verification

Označava koristi li uređaj External provjera (ima vanjski izdan certifikat).

xStatus Conference EndToEndEncryption ExternalIdentity Identity

Identitet uređaja koji se očitava iz zajedničkog naziva vanjskog certifikata.

xStatus Conference EndToEndEncryption ExternalIdentity CertificateChain Certificate # specificinfo

Čita određene informacije iz vanjsko izdanog certifikata.

U prikazanoj naredbi zamijenite # s brojem certifikata. Zamijeni specificinfo s jednim od:

  • Fingerprint

  • NotAfter Datum završetka valjanosti

  • NotBefore Datum početka valjanosti

  • PrimaryName

  • PublicKeyAlgorithm

  • SerialNumber

  • SignatureAlgorithm

  • Subject # Name Popis predmeta za certifikat (npr. adresa e-pošte ili naziv domene)

  • Validity Daje status valjanosti ovog certifikata (npr. valid ili expired)

xStatus Conference EndToEndEncryption ExternalIdentity Status

Status vanjskog identiteta uređaja (npr. valid ili error).

xStatus Conference EndToEndEncryption InternalIdentity Verification

Označava ima li uređaj valjani certifikat koji je izdao Webex CA.

xStatus Conference EndToEndEncryption InternalIdentity Identity

Identitet uređaja koji se čita iz zajedničkog naziva certifikata izdanog na Webexu.

Sadrži naziv domene ako organizacija ima domenu.

Prazna je ako organizacija nema domenu.

Ako se uređaj nalazi u tvrtki ili ustanovi koja ima više domena, to je vrijednost iz PreferredDomain.

xStatus Conference EndToEndEncryption InternalIdentity CertificateChain Certificate # specificinfo

Čita određene informacije iz certifikata izdanog na Webexu.

U prikazanoj naredbi zamijenite # s brojem certifikata. Zamijeni specificinfo s jednim od:

  • Fingerprint

  • NotAfter Datum završetka valjanosti

  • NotBefore Datum početka valjanosti

  • PrimaryName

  • PublicKeyAlgorithm

  • SerialNumber

  • SignatureAlgorithm

  • Subject # Name Popis predmeta za certifikat (npr. adresa e-pošte ili naziv domene)

  • Validity Daje status valjanosti ovog certifikata (npr. valid ili expired)

Tablica 3. Pozivni API-je za end-to-end šifrirane sastanke i provjereni identitet

API poziv

Opis

xEvent Conference ParticipantList ParticipantAdded

xEvent Conference ParticipantList ParticipantUpdated

xEvent Conference ParticipantList ParticipantDeleted

Ta tri događaja sada uključuju EndToEndEncryptionStatus, EndToEndEncryptionIdentity i EndToEndEncryptionCertInfo za pogođenog sudionika.

Stol 4. API-je povezani s klijentomSecret za end-to-end šifrirane sastanke i provjereni identitet

API poziv

Opis

xCommand Security ClientSecret Populate Secret: "base64url-encoded"

ili

xCommand Security ClientSecret Populate Secret: JWEblob

Prihvaća osnovnu vrijednost običnog teksta kodirane u bazi64url za posijanje tajne klijenta na uređaju po prvi put.

Da biste ažurirali tajnu nakon toga prvi put, morate dostaviti JWE blob koji sadrži novu tajnu šifriranu starom tajnom.

xCommand Security Certificates Services Add JWEblob

Dodaje certifikat (s privatnim ključem).

Proširili smo ovu naredbu kako bismo prihvatili JWE blob koji sadrži šifrirane PEM podatke.

xCommand Security Certificates Services Activate Purpose:WebexIdentity FingerPrint: JWEblob

Aktivira određeni certifikat za WebexIdentity. Za to Purpose, naredba zahtijeva da identifikacijski otisak prsta bude šifriran i serijaliziran u JWE blobu.

xCommand Security Certificates Services Deactivate Purpose:WebexIdentity FingerPrint: JWEblob

Deaktivira određeni certifikat za WebexIdentity. Za to Purpose, naredba zahtijeva da identifikacijski otisak prsta bude šifriran i serijaliziran u JWE blobu.