vakbél

XSP hitelesítési szolgáltatás konfigurálása (mTLS-szel)

Töltse ki az ebben a függelékben található eljárásokat az mTLS-hitelesítés használatára a BroadWorks hitelesítési szolgáltatásának konfigurálásához. Azokban az esetekben, amikor a CI token érvényesítése (TLS-szel) nem támogatott, az mTLS hitelesítése kötelező, beleértve a következő példányokat:

  • Ha R21SP1-et futtat

  • Ha R22 vagy újabb alkalmazást futtat, és több Webex-szervezet fut ugyanazon az XSP-kiszolgálón


Ha R22 vagy újabb szolgáltatást futtat, és nincs több Webex-szervezet, amely ugyanazon XSP-kiszolgálón fut, a CI Token Validation (TLS-szel) ajánlott az Auth szolgáltatáshoz.

Hitelesítési szolgáltatás telepítése

A BroadWorks 21SP1-ben a hitelesítési szolgáltatás egy kezeletlen alkalmazás. Telepítse a következő lépések kitöltésével:

  1. Töltse le authenticationService_1.0.war (webalkalmazás-forrás) fájlt az Xchange -ből (https://xchange.broadsoft.com/node/499012).

    A Webex által használt minden XSP-n tegye a következőket:

  2. Másolja a .war fájlt az XSP ideiglenes helyére, például /tmp/

  3. Telepítse a hitelesítési szolgáltatás alkalmazását a következő CLI környezettel és paranccsal:

    XSP_CLI/Maintenance/ManagedObjects> install application /tmp/authenticationService_1.0.war

Hitelesítési szolgáltatás konfigurálása

A BroadWorks hosszú élettartamú tokeneket az XSP-jén tárolt hitelesítési szolgáltatás generálja és érvényesíti.

Követelmények

  • A hitelesítési szolgáltatást fogadó XSP-kiszolgálóknak mTLS-felülettel kell rendelkezniük.

  • Az XSP-knek ugyanazokat a kulcsokat kell megosztaniuk a BroadWorks hosszú élettartamú tokenek titkosításához / visszafejtéséhez. Ezeknek a kulcsaknak az egyes XSP-hez való másolása manuális folyamat.

  • Az XSP-ket szinkronizálni kell az NTP-vel.

Konfiguráció áttekintése

Az XSP-k alapvető konfigurációja a következőket tartalmazza:

  • A hitelesítési szolgáltatás telepítése.

  • A token időtartamának beállítása legalább 60 napra (hagyja a kibocsátót BroadWorks néven).

  • RSA-kulcsok létrehozása és megosztása XSP-k között.

  • Adja meg az authService URL-címét a webtárhelynek.

A hitelesítési szolgáltatás telepítése az XSP-n

A Webex által használt minden XSP-n:

  1. A hitelesítési szolgáltatás alkalmazásának aktiválása az útvonalon /authService(ezt az utat kell használnia):

    XSP_CLI/Maintenance/ManagedObjects> activate application authenticationService <version> /authService

    (ahol <version> van 1.0 a 21SP1-es nem kezeletlen alkalmazás esetében).

  2. Az alkalmazás telepítése:

    XSP_CLI/Maintenance/ManagedObjects> deploy application /authService

Token időtartamának konfigurálása

  1. Ellenőrizze a meglévő token konfigurációt (óra):

    A 21SP1-ről: XSP_CLI/Applications/authenticationService_1.0/TokenManagement> get

  2. Állítsa be az időtartamot 60 napra (max. 180 nap):

    A 21SP1-ről: XSP_CLI/Applications/authenticationService_1.0/TokenManagement> set tokenDuration 1440

RSA-kulcsok létrehozása és megosztása

  • A hitelesítési szolgáltatás minden példányában ugyanazokat a nyilvános/privát kulcspárokat kell használnia a token titkosításhoz/visszafejtéséhez.

  • A kulcspárt a hitelesítési szolgáltatás hozza létre, amikor először kell tokent kiadnia.

E két tényező miatt kulcsokat kell generálnia egy XSP-n, majd át kell másolnia azokat az összes többi XSP-re.


Ha gombokat ciklusol, vagy módosítja a kulcs hosszát, meg kell ismételnie a következő konfigurációt, és újra kell indítania az összes XSP-t.

  1. Válasszon ki egy XSP-t a kulcspárok előállításához.

  2. Az ügyfél titkosított tokent kérhet az adott XSP-től, ha a következő URL-t kéri az ügyfél böngészőjéből:

    https://<XSP-IPAddress>/authService/token?key=BASE64URL(clientPublicKey)

    (Ez létrehoz egy privát / nyilvános kulcspár az XSP, ha nem volt még egy)

  3. (csak 21SP1) Ellenőrizze a konfigurálható kulcs helyét a következő paranccsal:

    XSP_CLI/Applications/authenticationService_1.0/KeyManagement> get

  4. (csak 21SP1) Vegye figyelembe a visszaküldött fileLocation paraméter.

  5. (csak 21SP1) Az egész másolása fileLocation könyvtár, amely tartalmazza public és private alkönyvtárakba, az összes többi XSP-be.

Adja meg az authService URL-t a webtárhelynek

Az XSP webtárhelyének szüksége van az authService URL-re, hogy érvényesíthesse a tokeneket.

Az egyes XSP-ken:

  1. Adja hozzá a hitelesítési szolgáltatás URL-címét a BroadWorks kommunikációs segédprogram külső hitelesítési szolgáltatásaként:

    XSP_CLI/System/CommunicationUtility/DefaultSettings/ExternalAuthentication/AuthService> set url http://127.0.0.1/authService

  2. Adja hozzá a hitelesítési szolgáltatás URL-jét a tárolóhoz:

    XSP_CLI/Maintenance/ContainerOptions> add tomcat bw.authservice.authServiceUrl http://127.0.0.1/authService

    Ez lehetővé teszi a Cisco Webex számára, hogy a hitelesítési szolgáltatást hitelesítő adatként bemutatott tokenek érvényesítésére használja.

  3. Ellenőrizze a paramétert a get.

  4. Indítsa újra az XSP-t.

Megbízhatóság konfigurálása hitelesítési szolgáltatáshoz (mTLS-szel)

Megbízhatóság beállítása (R21 SP1)
  1. Jelentkezzen be a Partner Hubba.

  2. Lépjen a Beállítások > BroadWorks hívása elemre, és kattintson a Webex CA tanúsítvány letöltése elemre aCombinedCertChain.txt a helyi számítógépen.


    Ez a fájl két tanúsítványt tartalmaz. A fájlt fel kell osztania, mielőtt feltölti az XSP-be.
  3. A tanúsítványlánc felosztása két tanúsítványra:

    1. Megnyitás combinedcertchain.txt szövegszerkesztőben.

    2. Jelölje ki és vágja le az első szövegblokkot, beleértve a sorokat is -----BEGIN CERTIFICATE----- és -----END CERTIFICATE-----, és illessze be a szövegblokkot egy új fájlba.

    3. Mentse az új fájlt broadcloudroot.txt.

    4. Mentse az eredeti fájlt broadcloudissuing.txt.

      Az eredeti fájlnak mostantól csak egy szövegblokkot kell -----BEGIN CERTIFICATE----- és -----END CERTIFICATE-----.

  4. Másolja mindkét szövegfájlt a biztosított XSP ideiglenes helyére, pl. /tmp/broadcloudroot.txt és /tmp/broadcloudissuing.txt.

  5. Jelentkezzen be az XSP-be, és navigáljon a /XSP_CLI/Interface/Http/ClientAuthentication>

  6. Futtassa a get parancsot, és olvassa el a chainDepth paraméter.

    (a chainDepth alapértelmezés szerint 1, ami túl alacsony a Webex lánchoz, amely két tanúsítvánnyal rendelkezik)

  7. Ha a chainDepth még nem nagyobb 2-nál, fuss set chainDepth 2.

  8. (Nem kötelező) fut help updateTrust a paraméterek és a parancsformátum megtekintéséhez.

  9. Töltse fel a tanúsítványfájlokat az új bizalmi horgonyokra:

    XSP_CLI/Interface/Http/ClientAuthentication/Trusts> updateTrust webexclientroot /tmp/broadcloudroot.txt

    XSP_CLI/Interface/Http/ClientAuthentication/Trusts> updateTrust webexclientissuing /tmp/broadcloudissuing.txt


    webexclientroot és webexclientissuing példa álnevek a megbízhatósági horgonyokhoz; használhatja a sajátját.
  10. Erősítse meg mindkét tanúsítvány feltöltését:

    /XSP_CLI/Interface/Http/ClientAuthentication/Trusts> get

Megbízhatóság beállítása (R22 és újabb)

  1. Jelentkezzen be a Vezérlőközpontba partner rendszergazdai fiókjával.

  2. Lépjen a Beállítások > BroadWorks hívása elemre, és kattintson a Webex CA tanúsítvány letöltése elemre aCombinedCertChain.txt a helyi számítógépen.


    Ez a fájl két tanúsítványt tartalmaz. A fájlt fel kell osztania, mielőtt feltölti az XSP-be.
  3. A tanúsítványlánc felosztása két tanúsítványra:

    1. Megnyitás combinedcertchain.txt szövegszerkesztőben.

    2. Jelölje ki és vágja le az első szövegblokkot, beleértve a sorokat is -----BEGIN CERTIFICATE----- és -----END CERTIFICATE-----, és illessze be a szövegblokkot egy új fájlba.

    3. Mentse az új fájlt broadcloudroot.txt.

    4. Mentse az eredeti fájlt broadcloudissuing.txt.

      Az eredeti fájlnak mostantól csak egy szövegblokkot kell -----BEGIN CERTIFICATE----- és -----END CERTIFICATE-----.

  4. Másolja mindkét szövegfájlt a biztosított XSP ideiglenes helyére, pl. /tmp/broadcloudroot.txt és /tmp/broadcloudissuing.txt.

  5. (Nem kötelező) fut help UpdateTrust a paraméterek és a parancsformátum megtekintéséhez.

  6. Töltse fel a tanúsítványfájlokat az új bizalmi horgonyokra:

    XSP_CLI/Interface/Http/SSLCommonSettings/ClientAuthentication/Trusts> updateTrust webexclientroot /tmp/broadcloudroot.txt

    XSP_CLI/Interface/Http/SSLCommonSettings/ClientAuthentication/Trusts> updateTrust webexclientissuing /tmp/broadcloudissuing.txt


    webexclientroot és webexclientissuing példa álnevek a megbízhatósági horgonyokhoz; használhatja a sajátját.
  7. Erősítse meg, hogy a horgonyok frissülnek:

    XSP_CLI/Interface/Http/SSLCommonSettings/ClientAuthentication/Trusts> get

      Alias   Owner                                   Issuer
    =============================================================================
    webexclientissuing    BroadCloud Commercial Issuing CA – DA3     BroadCloud Commercial Trusted Root CA
    webexclientroot       BroadCloud Commercial Trusted Root CA      BroadCloud Commercial Trusted Root CA[self-signed]

(Opció) MTLS konfigurálása HTTP interfész/port szinten

Lehetőség van az mTLS konfigurálására HTTP interfész/port szinten vagy webalkalmazásonként.

Az mTLS alkalmazás engedélyezésének módja az XSP-n üzemeltetett alkalmazásoktól függ. Ha több olyan alkalmazást üzemeltet, amelyek mTLS-t igényelnek, engedélyeznie kell az mTLS-t a felületen. Ha csak az ugyanazon HTTP-felületet használó számos alkalmazás egyikét kell biztonságossá tennie, az alkalmazás szintjén konfigurálhatja az mTLS-t.

Az mTLS HTTP interfész/port szinten történő konfigurálásakor az mTLS szükséges az ezen a felületen/porton keresztül elérhető összes tárolt webes alkalmazáshoz.

  1. Jelentkezzen be az XSP-hez, amelynek kezelőfelületét konfigurálja.

  2. Navigálás XSP_CLI/Interface/Http/HttpServer> és futtassa a get parancsot, hogy a felületek.

  3. Interfész hozzáadása és ügyfélhitelesítés megkövetelése (ami ugyanazt jelenti, mint az mTLS):

    XSP_CLI/Interface/Http/HttpServer> add IPAddress Port Name true true

    A részletekért tekintse meg az XSP CLI dokumentációját. Lényegében az első true biztosítja a felületet a TLS-szel (szükség esetén szervertanúsítvány jön létre), a második true kényszeríti a felületet, hogy megkövetelje az ügyféltanúsítvány hitelesítését (együtt mTLS).

Például:

XSP_CLI/Interface/Http/HttpServer> get

Interface Port Name Secure Client Auth Req Cluster Fqdn
         =======================================================
         192.0.2.7 443 xsp01.collab.example.net true false 
         192.0.2.7 444 xsp01.collab.example.net true true

Ebben a példában az mTLS (Client Auth Req = true) 192.0.2.7 kikötő 444. A TLS be van engedélyezve 192.0.2.7 kikötő 443.

(Opció) MTLS konfigurálása adott webes alkalmazásokhoz

Lehetőség van az mTLS konfigurálására HTTP interfész/port szinten vagy webalkalmazásonként.

Az mTLS alkalmazás engedélyezésének módja az XSP-n üzemeltetett alkalmazásoktól függ. Ha több olyan alkalmazást üzemeltet, amelyek mTLS-t igényelnek, engedélyeznie kell az mTLS-t a felületen. Ha csak az ugyanazon HTTP-felületet használó számos alkalmazás egyikét kell biztonságossá tennie, az alkalmazás szintjén konfigurálhatja az mTLS-t.

Az mTLS alkalmazásszintű konfigurálásakor az alkalmazáshoz mTLS szükséges, függetlenül a HTTP-kiszolgáló interfész konfigurációjától.

  1. Jelentkezzen be az XSP-hez, amelynek kezelőfelületét konfigurálja.

  2. Navigálás XSP_CLI/Interface/Http/SSLCommonSettings/ClientAuthentication/WebApps> és futtassa a get parancsot, hogy mely alkalmazások futnak.

  3. Alkalmazás hozzáadása és ügyfélhitelesítés megkövetelése (ami ugyanazt jelenti, mint az mTLS):

    XSP_CLI/Interface/Http/SSLCommonSettings/ClientAuthentication/WebApps> add IPAddress Port ApplicationName true

    A részletekért tekintse meg az XSP CLI dokumentációját. A kérelem nevei ott vannak felsorolva. Az true ebben a parancsban lehetővé teszi az mTLS-t.

Például:

XSP_CLI/Interface/Http/SSLCommonSettings/ClientAuthentication/WebApps> add 192.0.2.7 443 AuthenticationService true

A példa parancs hozzáadja az AuthenticationService alkalmazást a 192.0.2.7:443-as alkalmazáshoz, és megköveteli, hogy tanúsítványokat kérjen és hitelesítsen az ügyféltől.

Ellenőrizze a get:

XSP_CLI/Interface/Http/SSLCommonSettings/ClientAuthentication/WebApps> get

Interface Ip Port Application Name Client Auth Req
         ===================================================
         192.0.2.7 443 AuthenticationService      true          

Az AuthService elleni kölcsönös TLS-hitelesítés további tanúsítványkövetelményei

A Cisco Webex kölcsönös TLS-hitelesítéssel kommunikál a hitelesítési szolgáltatással. Ez azt jelenti, hogy a Webex bemutatja az ügyféltanúsítványt, és az XSP-nek érvényesítenie kell azt. A tanúsítvány megbízhatóságához használja a Webex CA tanúsítványláncot az XSP (vagy proxy) megbízhatósági horgonyának létrehozásához. A tanúsítványlánc letölthető a Partner Hubon keresztül:

  1. Lépjen a Beállítások > a BroadWorks hívásaelemre.

  2. Kattintson a letöltési tanúsítvány hivatkozásra.


A Webex CA tanúsítványlánc üzembe helyezésének pontos követelményei attól függnek, hogy a nyilvános XSP-ket hogyan telepítik:

  • TLS áthidaló proxyn keresztül

  • TLS-átmenő proxyn keresztül

  • Közvetlenül az XSP-hez

A következő diagram összefoglalja, hogy ebben a három esetben hol kell telepíteni a Webex CA tanúsítványláncot.

Kölcsönös TLS tanúsítványkövetelmények a TLS-bridge proxyhoz

  • A Webex egy Webex CA által aláírt ügyféltanúsítványt mutat be a proxynak.

  • A Webex CA tanúsítványlánc a proxy trust áruházban van telepítve, így a proxy megbízik az ügyféltanúsítványban.

  • A nyilvánosan aláírt XSP-kiszolgáló tanúsítvány is betöltődik a proxyba.

  • A proxy nyilvánosan aláírt kiszolgálói tanúsítványt mutat be a Webexnek.

  • A Webex megbízik a proxy kiszolgálói tanúsítványát aláíró nyilvános szolgáltatóban.

  • A meghatalmazott egy belsőleg aláírt ügyféltanúsítványt mutat be az XSP-knek.

    Ennek a tanúsítványnak rendelkeznie kell az x509.v3 kiterjesztési mező kiterjesztett kulcshasználattal, amely a BroadWorks OID 1.3.6.1.4.1.6431.1.1.8.2.1.3 és a TLS clientAuth céllal van feltöltve. Pl..:

    X509v3 extensions:

    X509v3 Extended Key Usage:

    1.3.6.1.4.1.6431.1.1.8.2.1.3, TLS Web Client
                  Authentication 

    A proxy belső ügyféltanúsítványainak létrehozásakor vegye figyelembe, hogy az SAN-tanúsítványok nem támogatottak. Az XSP belső kiszolgálótanúsítványai lehetnek SAN.

  • Az XSP-k bíznak a belső KB-ben.

  • Az XSP-k belsőleg aláírt kiszolgálói tanúsítványt mutatnak be.

  • A meghatalmazott megbízik a belső kbt.-ben.

Kölcsönös TLS tanúsítványkövetelmények A TLS-passthrough proxy vagy XSP A DMZ

  • A Webex webex CA által aláírt ügyféltanúsítványt mutat be az XSP-knek.

  • A Webex CA tanúsítványlánc az XSP-k bizalmi áruházában van telepítve, így az XSP-k megbíznak az ügyféltanúsítványban.

  • A nyilvánosan aláírt XSP szervertanúsítvány is betöltődik az XSP-kbe.

  • Az XSP-k nyilvánosan aláírt kiszolgálói tanúsítványokat mutatnak be a Webexnek.

  • A Webex megbízik az XSP-k kiszolgálói tanúsítványait aláíró nyilvános ca-ben.