Overzicht

Tijdens de TLS-handshake controleert Een standaard TLS-client de geldigheid van het TLS-servercertificaat. Wanneer Jabber via internet wordt ingezet, kan deze opstelling kwetsbaar zijn voor een 'man-in-the-middle'-aanval.

Als een hacker tijdens het aanmelden zijn eigen server een geldig TLS-certificaat presenteert in plaats van de verwachte Expressway, kan Jabber het certificaat accepteren omdat er geen extra controles zijn, wat ertoe kan leiden dat de gebruiker wordt verbonden met een kwaadaardig systeem. Om dit probleem te voorkomen, voegt Jabber een extra validatiestap toe. Hiermee wordt gecontroleerd of het domein dat tijdens het aanmelden wordt ingevoerd, overeenkomt met de SAN (Subject Alternative Names) in het certificaat. Als dit overeenkomt, probeert Jabber verbinding te maken met de Expressway.

"Elke SAN-vermelding in het certificaat moet worden ondertekend door de certificeringsinstantie (CA). Dit betekent dat alleen het bedrijf dat eigenaar is van het domein een door een certificeringsinstantie ondertekend certificaat kan ontvangen en dat de CA de SAN-vermeldingen valideert. Daarom wordt het aanzienlijk moeilijker om de identiteit van de Expressway te vervalsen."

In Dedicated Instance beheert Cisco de certificaten voor de UC-toepassingen en daarom worden de certificaten ondertekend met het door Cisco geleverde domein, Bijvoorbeeld customer.amer.wxc-di.webex.com. Een eindgebruiker kan zich echter met het e-mailadres van de klant bij de Jabber-client aanmelden met de volgende opties:

Optie 1 - Jabber initiële aanmelding eindgebruiker

De eerste aanmelding bij Jabber voor eindgebruikers is de eenvoudigste aanpak en de stappen worden in detail beschreven:

  1. Voer het door Cisco geleverde spraakservicedomein in, bijvoorbeeld user@customer.amer.wxc-di.webex.com in het eerste aanmeldscherm van Jabber.

    Cisco deelt het spraakservicedomein van de klant voor elke regio nadat de service is geactiveerd. Deze informatie maakt deel uit van het document met toegangsgegevens dat wordt gedeeld in de ruimte van de Webex-app. Zie Service-activering toegewezen exemplaar voor meer informatie.

  2. Voer de gebruikersnaam of het e-mailadres van het bedrijf in, samen met het wachtwoord voor verificatie.

    Als SSO is ingeschakeld, voert IdP de vergelijkbare bewerking uit.

    Voor volgende aanmeldingen hoeft u Stap 1 niet uit te voeren, tenzij de Jabber-client wordt gereset.

Optie 2: Het spraakservicedomein gebruiken

Met deze benadering kan de Jabber-client onderscheid maken tussen het domein van de klant dat door de gebruiker is ingevoerd en het domein voor servicedetectie. Als het spraakservicedomein in het installatieprogramma is ingesteld op customer.amer.wxc-di.webex.com, kan de gebruiker zich met het e-mailadres van het bedrijf aanmelden bij de Jabber-client en kan Jabber de servicedetectie nog steeds uitvoeren op basis van de waarde die is ingesteld in het spraakservicedomein. Hiermee verwijdert u de noodzaak om het spraakservicedomein te leveren in de eerste jabber-aanmelding zoals in de bovenstaande optie.

Voor vensters:

Tools zoals Microsoft Orca kunnen worden gebruikt om aangepaste Jabber-installateurs te maken, die het spraakservicedomein kunnen bevatten. De gebruikers kunnen worden geïnstrueerd om deze installateurs voor de Jabber-client te gebruiken.

Voor MAC, iOS, Android:

Hulpprogramma's zoals MDM kunnen worden gebruikt om aangepaste Jabber-installatieprogramma's te maken die het spraakservicedomein kunnen bevatten.

Opties: De configuratie-URL gebruiken

Er wordt een configuratie-URL gebruikt om Jabber-parameters in te stellen vóór de eerste aanmelding, zoals het spraakservicedomein. Een voorbeeld van een configuratie-URL: ciscojabber://provision?ServicesDomain=customer.com&VoiceServicesDomain=customer.amer.wxc-di.webex.com

Door op de bovenstaande koppeling te klikken, kan het spraakservicedomein worden ingesteld in de Jabber-client die wordt uitgevoerd op MAC-, Android- of iOS-apparaten.

Deze configuratie is niet permanent, de gebruiker moet opnieuw op de koppeling klikken als de Jabber-client wordt gereset.

De Webex-app heeft niet de bovenstaande vereiste. De client voert de domeincontrole uit, maar het is mogelijk om het spraakservicedomein in te richten in de Control Hub. Wanneer de Webex-app verbinding maakt met Webex, wordt het spraakservicedomein opgehaald en wordt hetzelfde geregistreerd. Zie Webex-toepassingsintegratie met toegewezen exemplaar voor bellen in de app voor meer informatie over het instellen van bellen in de app van de Webex-app.

Nuttige koppeling: Implementatie op locatie voor Cisco Jabber 14.0