Overzicht

Tijdens de TLS-handshake controleert een standaard TLS-client de geldigheid van het TLS-servercertificaat. Deze implementatie kan echter een 'man-in-the-middle' aanval mogelijk maken wanneer Jabber via internet wordt geïmplementeerd. Als een hacker tijdens de aanmelding Jabber hun eigen server aanbiedt met een geldig TLS-certificaat in plaats van de Expressway, accepteert Jabber het certificaat bij gebrek aan verdere controle, en kan de gebruiker worden verbonden met een schadelijk systeem. Om dit probleem te voorkomen, voert Jabber een aanvullende validatiestap uit die geen deel uitmaakt van de standaard TLS en controleert of het domein dat is ingevoerd tijdens het aanmeldingsproces door de gebruiker overeenkomt met de SAN (Subject Alternative Names) die in het certificaat zijn opgenomen. Alleen als deze overeenkomen, probeert Jabber verbinding te maken met de Expressway. Elke SAN-vermelding die in het certificaat is gemaakt, moet worden ondertekend door de certificeringsinstantie (CA). Dit betekent dat alleen het bedrijf dat eigenaar is van het domein, een door CA ondertekend certificaat kan verkrijgen.

Elke SAN die in het certificaat is ingevoerd, kan worden gevalideerd door de certificeringsinstantie (CA), dus alleen het bedrijf dat eigenaar van het domein is, kan een certificaat hebben dat door de CA is ondertekend. Dit maakt het veel moeilijker om de identiteit van de Expressway te stelen.

Op specifieke instanties beheert Cisco de certificaten voor de UC-toepassingen en daarom zijn de certificaten alleen ondertekend met het door Cisco verstrekte domein, bijvoorbeeld customer.amer.wxc-di.webex.com. Aanmelding door een eindgebruiker bij de Jabber-client met het e-mailadres van de klant kan echter op de volgende manieren worden bereikt:

Optie 1-eerste aanmelding eind gebruiker jabber

Aan de gebruikers kan worden gecommuniceerd dat voor hun eerste aanmelding bij de Jabber-client ze het spraakservicedomein van Cisco user@customer.amer.wxc-di.webex.com moeten gebruiken in het eerste scherm gevolgd door hun gebruikersnaam of het e-mailadres en het wachtwoord van het bedrijf in het volgende scherm. Aangezien dit de meest eenvoudige manier is, worden de stappen uitgebreider besproken:

  1. De gebruiker moet het door Cisco opgegeven spraakservicedomein invoeren, bijvoorbeeld user@customer.amer.wxc-di.webex.com, in het eerste Jabber-aanmeldingsscherm zoals weergegeven op de onderstaande afbeelding.


    Het spraakservicedomein van de klant wordt door Cisco gedeeld voor elke regio wanneer de service wordt geactiveerd. Deze informatie maakt deel uit van het document met toegangsgegevens dat wordt gedeeld in de Webex-app-ruimte. Zie Service-activering voor specifieke instanties voor meer informatie.

  2. De gebruiker wordt gevraagd de gebruikersnaam of de e-mail-id van het bedrijf in te voeren, samen met het wachtwoord voor verificatie, zoals wordt weergegeven op de onderstaande afbeelding.


    Als SSO is ingeschakeld, wordt dezelfde bewerking uitgevoerd door de IdP.

    Bij volgende aanmeldingspogingen hoeft de gebruiker niet stap 1 uit te voeren, tenzij de Jabber-client opnieuw is gereset.

Optie 2: het domein van de Voice-service gebruiken

Op deze manier kan de Jabber-client onderscheid maken tussen het domein van de klant dat is ingevoerd door de gebruiker en het servicedetectiedomein. Als het spraakservicedomein is ingesteld op customer.amer.wxc-di.webex.com, kan de gebruiker zich in het installatieprogramma bij de Jabber-client aanmelden met het e-mailadres van het bedrijf en kan Jabber de servicedetectie nog wel uitvoeren op basis van de waarde die is ingesteld in het spraakservicedomein. Hierdoor wordt de noodzaak om het spraakservicedomein op te geven in de eerste Jabber-aanmelding met de bovenstaande optie weggenomen.

Voor Windows:

Hulpprogramma's als Microsoft Orca kunnen worden gebruikt voor het maken van aangepaste Jabber-installatieprogramma's, die het spraakservicedomein kunnen omvatten. De gebruikers kunnen worden geïnstrueerd deze installatieprogramma's voor de Jabber-client te gebruiken.

Voor MAC, iOS, Android:

Hulpprogramma's als MDM kunnen worden gebruikt voor het maken van aangepaste Jabber-installatieprogramma's, die het spraakservicedomein kunnen omvatten.

Optie 3: de configuratie-URL gebruiken

Een configuratie-URL kan worden gebruikt voor het instellen van Jabber-parameters vóór de eerste aanmelding, zoals het spraakservicedomein. Voorbeeld van een configuratie-URL: ciscojabber://provision?ServicesDomain=customer.com&VoiceServicesDomain=customer.amer.wxc-di.webex.com

Door op de bovenstaande koppeling te klikken, kan het spraakservicedomein worden ingesteld op een Jabber-client die op een MAC-, Android- of iOS-apparaat wordt uitgevoerd.


Deze configuratie is niet permanent. De gebruiker moet opnieuw op de koppeling klikken als de Jabber-client is gereset.

Houd er rekening mee dat de Webex-app niet over de bovenstaande vereisten beschikt. De client voert de domeincontrole uit, maar het is mogelijk om het spraakservicedomein in te stellen in de Control Hub. Wanneer de Webex-app verbinding maakt met Webex, wordt het spraakservicedomein opgehaald en wordt hetzelfde geregistreerd. Zie Integratie van de Webex-app met een specifieke instantie voor in-app-oproepen voor meer informatie over het instellen van in-app-oproepen met de Webex-app.

Nuttige koppeling: Implementatie op locatie voor Cisco Jabber 14.0