Interfaccia CTI e configurazione correlata

L'ordine di configurazione "in primo piano" è elencato di seguito. I seguenti ordini non sono obbligatori.

  1. Configurazione del server applicazioni per sottoscrizioni CTI

  2. Configurare gli ADP XSP|per le sottoscrizioni CTI autenticate mTLS

  3. Porte in entrata aperte per interfaccia CTI sicura

  4. Sottoscrizione della propria organizzazione Webex a BroadWorks CTI Events

Configurazione del server applicazioni per sottoscrizioni CTI

Aggiornare clientIdentity sul server applicazioni con il nome comune (CN) del Webex per il certificato client CTI Cisco BroadWorks.

Per ogni server applicazioni in uso con Webex, aggiungere l'identità del certificato a ClientIdentity nel modo seguente:

AS_CLI/System/ClientIdentity> add bwcticlient.webex.com

Il nome comune del certificato client Webex per Cisco BroadWorks è bwcticlient.webex.com.

Configurare TLS e i tipi di crittografia sull'interfaccia CTI

I livelli di configurabilità per l'interfaccia XSP|ADP CTI sono i seguenti:

Più generale = Sistema > trasporto > CTI > interfaccia CTI = Più specifiche

I contesti CLI utilizzati per visualizzare o modificare diverse impostazioni SSL sono:

Specificità

Contesto CLI

Sistema (globale)

(R22 e successive)

XSP|ADP_CLI/System/SSLCommonSettings/JSSE/Ciphers>

XSP|ADP_CLI/System/SSLCommonSettings/JSSE/Protocols>

Protocolli di trasporto per questo sistema

(R22 e successive)

XSP|ADP_CLI/System/SSLCommonSettings/OpenSSL/Ciphers>

XSP|ADP_CLI/System/SSLCommonSettings/OpenSSL/Protocols>

Tutte le interfacce CTI su questo sistema

(R22 e successive)

XSP|ADP_CLI/Interface/CTI/SSLCommonSettings/Ciphers>

XSP|ADP_CLI/Interface/CTI/SSLCommonSettings/Protocols>

Un'interfaccia CTI specifica su questo sistema

(R22 e successive)

XSP|ADP_CLI/Interface/CTI/CTIServer/SSLSettings/Ciphers>

XSP|ADP_CLI/Interface/CTI/CTIServerSSLSettings/Protocols>

Durante una nuova installazione, i seguenti cifrari vengono installati per impostazione predefinita a livello di sistema. Se non è configurato nulla a livello di interfaccia (ad esempio, nell'interfaccia CTI o nell'interfaccia HTTP), si applica questo elenco di cifrature. Si noti che questo elenco potrebbe cambiare nel tempo:

  • TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256

  • TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256

  • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256

  • TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256

  • TLS_DHE_DSS_WITH_AES_128_GCM_SHA256

  • TLS_DHE_RSA_WITH_AES_128_GCM_SHA256

  • TLS_DHE_RSA_WITH_AES_128_CBC_SHA256

  • TLS_DHE_DSS_WITH_AES_128_CBC_SHA256

  • TLS_ECDH_RSA_WITH_AES_128_GCM_SHA256

  • TLS_ECDH_ECDSA_WITH_AES_128_GCM_SHA256

  • TLS_ECDH_RSA_WITH_AES_128_CBC_SHA256

  • TLS_ECDH_ECDSA_WITH_AES_128_CBC_SHA256

Lettura della configurazione dell'interfaccia CTI TLS sull'XSP|ADP

  1. Accedi all'XSP|ADP e vai a XSP|ADP_CLI/Interface/CTI/CTIServer>

  2. Immettere il comando get e leggere i risultati. Dovrebbero essere disponibili le interfacce (indirizzi IP) e, per ciascuna, se richiedono un certificato del server e se richiedono o meno l'autenticazione del client.

    XSP|ADP_CLI/Interface/CTI/CTIServer> get
  Interface IP  Port  Secure  Server Certificate  Client Auth Req
=================================================================
  10.155.6.175  8012    true                true             true

Aggiunta del protocollo TLS 1.2 all'interfaccia CTI

L'interfaccia XSP|ADP CTI che interagisce con Webex Cloud deve essere configurata per TLS v1.2. Il cloud non negozia le versioni precedenti del protocollo TLS.

Per configurare il protocollo TLSv1.2 sull'interfaccia CTI:

  1. Accedi all'XSP|ADP e vai a XSP|ADP_CLI/Interface/CTI/CTIServer/SSLSettings/Protocols>

  2. Immettere il comando get per vedere quali protocolli sono già utilizzati su questa interfaccia.

  3. Immettere il comando add TLSv1.2 per garantire che l'interfaccia possa utilizzare TLS 1.2 durante la comunicazione con il cloud.

Modifica della configurazione dei tipi di crittografia TLS sull'interfaccia CTI

Per configurare i tipi di crittografia richiesti sull'interfaccia CTI:

  1. Accedi all'XSP|ADP e vai a XSP|ADP_CLI/Interface/CTI/CTIServer/SSLSettings/Ciphers>

  2. Immettere il comando get per vedere quali cifrari sono già utilizzati su questa interfaccia. Deve essere presente almeno una delle suite consigliate da Cisco (vedere XSP|Requisiti di identità e sicurezza ADP nella sezione Panoramica).

  3. Immettere il comando add per aggiungere un cifrario all'interfaccia CTI.

    La CLI ADP XSP|richiede il nome della suite di cifratura standard IANA, non il nome della suite di cifratura openSSL. Ad esempio, per aggiungere il cifrario openSSL ECDHE-ECDSA-CHACHA20-POLY1305 all'interfaccia CTI, dovresti usare: XSP|ADP_CLI/Interface/CTI/CTIServer/SSLSettings/Ciphers> add 192.0.2.7 TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305

    Vedere https://ciphersuite.info/ per individuare la suite in base a uno dei due nomi.

Trust Anchors per l'interfaccia CTI (R22 e versioni successive)

Questa procedura presuppone che gli ADP XSP|siano rivolti verso Internet o siano a contatto con Internet tramite proxy pass-through. La configurazione del certificato è diversa per un proxy di bridging (vedere Requisiti di certificato TLS per proxy TLS-bridge).

Per ogni ADP XSP|nella tua infrastruttura che pubblica eventi CTI su Webex, procedi come segue:

  1. Accedere all'hub partner.

  2. Vai a Servizi > Collegamenti aggiuntivi e fare clic su Scarica certificato Webex CA per ottenere CombinedCertChain2023.txt sul computer locale.

    Questi file contengono due set di due certificati. È necessario dividere i file prima di caricarli sugli ADP XSP|. Tutti i file sono obbligatori.

  3. Dividi la catena di certificati in due certificati: combinedcertchain2023.txt

    1. Aprire combinedcertchain2023.txt in un editor di testo.

    2. Seleziona e taglia il primo blocco di testo, incluse le linee -----BEGIN CERTIFICATE----- e -----END CERTIFICATE-----, e incolla il blocco di testo in un nuovo file.

    3. Salvare il nuovo file come root2023.txt.

    4. Salvare il file originale come issuing2023.txt. Il file originale dovrebbe ora contenere solo un blocco di testo, racchiuso tra le linee -----BEGIN CERTIFICATE----- e -----END CERTIFICATE-----.

  4. Copia entrambi i file di testo in una posizione temporanea sull'XSP|ADP che stai proteggendo, ad esempio /var/broadworks/tmp/root2023.txt e /var/broadworks/tmp/issuing2023.txt

  5. Accedi all'XSP|ADP e vai a /XSP|ADP_CLI/Interface/CTI/SSLCommonSettings/ClientAuthentication/Trusts>

  6. (Facoltativo) Eseguire help updateTrust per visualizzare i parametri e il formato del comando.

  7. Carica i file del certificato sui nuovi trust anchor - 2023

    XSP|ADP_CLI/Interface/CTI/SSLCommonSettings/ClientAuthentication/Trusts> updateTrust webexclientroot2023 /var/broadworks/tmp/root2023.txt

    XSP|ADP_CLI/Interface/CTI/SSLCommonSettings/ClientAuthentication/Trusts> updateTrust webexclientissuing2023 /var/broadworks/tmp/issuing2023.txt

    Tutti gli alias devono avere un nome diverso. webexclientroot2023e webexclientissuing2023 sono alias di esempio per gli ancoraggi di attendibilità; puoi usarne di tuoi purché tutte le voci siano univoche.

  8. Confermare che gli ancoraggi siano aggiornati:

    XSP|ADP_CLI/Interface/CTI/SSLCommonSettings/ClientAuthentication/Trusts> get

      Alias   Owner                                   Issuer
=============================================================================
webexclientissuing2023       Internal Private TLS SubCA      Internal Private Root
webexclientroot2023       Internal Private Root      Internal Private Root[self-signed]

  9. Consenti ai client di eseguire l'autenticazione con certificati:

    XSP|ADP_CLI/System/CommunicationUtility/DefaultSettings/ExternalAuthentication/CertificateAuthentication> set allowClientApp true

Aggiungi interfaccia CTI e abilita mTLS

  1. Aggiungere l'interfaccia SSL CTI.

    Il contesto CLI dipende dalla versione di BroadWorks. Il comando crea un certificato del server autofirmato sull'interfaccia e forza l'interfaccia a richiedere un certificato client.

    • Su BroadWorks R22 e R23:

      XSP|ADP_CLI/Interface/CTI/CTIServer> add 8012 true true true

  2. Sostituire il certificato del server e la chiave sulle interfacce CTI dell'ADP XSP|. A tale scopo, è necessario l'indirizzo IP dell'interfaccia CTI. è possibile leggerla dal contesto seguente:

    • Su BroadWorks R22 e R23:

      XSP|ADP_CLI/Interface/CTI/CTIServer> get

      Quindi, eseguire i seguenti comandi per sostituire il certificato autofirmato dell'interfaccia con il proprio certificato e chiave privata:

      XSP|ADP_CLI/Interface/CTI/CTIServer/SSLSettings/Certificates> sslUpdate keyFile certificateFile chainFile

  3. Riavviare l'XSP|ADP.

Abilitazione dell'accesso agli eventi CTI BroadWorks su Webex

È necessario aggiungere e convalidare l'interfaccia CTI quando si configurano i cluster in Partner Hub. Vedere Configurazione dell'organizzazione partner in Partner Hub per istruzioni dettagliate.

  • Specificare l'indirizzo CTI tramite il quale Webex può eseguire la sottoscrizione a BroadWorks CTI Events.

  • Gli abbonamenti CTI sono su base per-abbonato e vengono stabiliti e mantenuti solo mentre l'abbonato è predisposto per Webex per Cisco BroadWorks.