Aanhangsel

XSP-verificatieservice configureren (met mTLS)

Voltooi de procedures in deze bijlage om de verificatieservice op BroadWorks te configureren om mTLS-verificatie te gebruiken. Als ci-tokenvalidatie (met TLS) niet wordt ondersteund, is mTLS-verificatie verplicht, inclusief de volgende instanties:

  • Als u R21SP1 uitvoeren

  • Als u R22 of hoger gebruikt en u meerdere Webex-organisaties op dezelfde XSP-server hebt uitgevoerd


Als u R22 of hoger gebruikt en er niet meerdere Webex-organisaties op dezelfde XSP-server draaien, wordt ci-tokenvalidatie (met TLS) aanbevolen voor de verificatieservice.

Verificatieservice installeren

De verificatieservice in BroadWorks 21SP1 is een niet-mande toepassing. Installeer deze door de volgende stappen uit te voeren:

  1. Download authenticationService_1.0.war-bestand (webtoepassingsresource) vanuit Xchange (https://xchange.broadsoft.com/node/499012).

    Doe het volgende in elke XSP die met Webex wordt gebruikt:

  2. Kopieer het .war-bestand naar een tijdelijke locatie op de XSP, zoals /tmp/

  3. Installeer de toepassing voor de verificatieservice met de volgende CLI-context en -opdracht:

    XSP_CLI/Maintenance/ManagedObjects> install application /tmp/authenticationService_1.0.war

Verificatieservice configureren

BroadWorks-tokens voor lange gegevens worden gegenereerd en gevalideerd door de verificatieservice die wordt gehost op uw XSP's.

Vereisten

  • De XSP-servers die als host voor de verificatieservice worden hosten, moeten een mTLS-interface hebben geconfigureerd.

  • XSP's moeten dezelfde sleutels delen voor het versleutelen/decoderen van broadWorks-long- of decoderingstokens. Het kopiëren van deze sleutels naar elke XSP is een handmatig proces.

  • XSP's moeten worden gesynchroniseerd met NTP.

Configuratieoverzicht

De essentiële configuratie op uw XSP's omvat:

  • Implementeer de verificatieservice.

  • Configureer de duur van het token tot minimaal 60 dagen (gebruik de vergever als BroadWorks).

  • RSA-sleutels genereren en delen in XSP's.

  • Geef de authService-URL aan de webcontainer door.

De verificatieservice op XSP implementeren

Op elke XSP die met Webex wordt gebruikt:

  1. Activeer de verificatieservicetoepassing op het pad. /authService(u moet dit pad gebruiken):

    XSP_CLI/Maintenance/ManagedObjects> activate application authenticationService <version> /authService

    (waar <version> Is 1.0 voor de niet-manmande toepassing op 21SP1).

  2. Implementeer de toepassing:

    XSP_CLI/Maintenance/ManagedObjects> deploy application /authService

Tokenduur configureren

  1. Controleer de bestaande tokenconfiguratie (uren):

    Op 21SP1: XSP_CLI/Applications/authenticationService_1.0/TokenManagement> get

  2. Stel de duur in op 60 dagen (max. is 180 dagen):

    Op 21SP1: XSP_CLI/Applications/authenticationService_1.0/TokenManagement> set tokenDuration 1440

RSA-sleutels genereren en delen

  • U moet dezelfde openbare/privésleutelparen gebruiken voor de codering/decodering van het token in alle exemplaren van de verificatieservice.

  • Het sleutelpaar wordt gegenereerd door de verificatieservice wanneer deze voor het eerst een token moet uitgiften.

Vanwege deze twee factoren moet u sleutels op één XSP genereren en deze vervolgens kopiëren naar alle andere XSP's.


Als u de toetsen cyclet of de sleutellengte wijzigt, moet u de volgende configuratie herhalen en alle XSP's opnieuw starten.

  1. Selecteer een XSP om te gebruiken voor het genereren van een sleutelpaar.

  2. Gebruik een client om een gecodeerd token van die XSP aan te vragen door de volgende URL in de browser van de client aan te vragen:

    https://<XSP-IPAddress>/authService/token?key=BASE64URL(clientPublicKey)

    (Hierdoor genereert u een privé-/openbare sleutelpaar op de XSP, als er nog geen was)

  3. (alleen 21SP1) Controleer de configureerbare sleutellocatie met de volgende opdracht:

    XSP_CLI/Applications/authenticationService_1.0/KeyManagement> get

  4. (alleen 21SP1) Noteer de geretourneerde fileLocation gebruiken.

  5. (alleen 21SP1) De hele kopiëren fileLocation map, die het public en private subdirectories, naar alle andere XSP's.

Geef de authService-URL aan de webcontainer door

De webcontainer van de XSP heeft de authService-URL nodig om de tokens te valideren.

Op elk van de XSP's:

  1. Voeg de URL van de verificatieservice toe als een externe verificatieservice voor het BroadWorks Communications Utility:

    XSP_CLI/System/CommunicationUtility/DefaultSettings/ExternalAuthentication/AuthService> set url http://127.0.0.1/authService

  2. Voeg de URL van de verificatieservice toe aan de container:

    XSP_CLI/Maintenance/ContainerOptions> add tomcat bw.authservice.authServiceUrl http://127.0.0.1/authService

    Hierdoor kunnen Cisco Webex de Verificatieservice gebruiken om de tokens die als aanmeldgegevens worden gepresenteerd, te valideren.

  3. Controleer de parameter met get.

  4. Start de XSP opnieuw.

Vertrouwen voor verificatieservice configureren (met mTLS)

Vertrouwen configureren (R21 SP1)
  1. Meld u aan bij Partner Hub.

  2. Ga naar Instellingen > BroadWorks-bellen en klik op Webex CA-certificaat downloaden om CombinedCertChain.txt op uw lokale computer.


    Dit bestand bevat twee certificaten. U moet het bestand opsplitsen voordat u het uploadt naar de XSP's.
  3. Splits de certificaatketen op in twee certificaten:

    1. Openen combinedcertchain.txt in een teksteditor.

    2. Selecteer en knip het eerste blok tekst, inclusief de regels -----BEGIN CERTIFICATE----- en -----END CERTIFICATE-----, en plak het tekstblok in een nieuw bestand.

    3. Sla het nieuwe bestand op als broadcloudroot.txt.

    4. Sla het oorspronkelijke bestand op als broadcloudissuing.txt.

      Het oorspronkelijke bestand mag nu slechts één blok tekst bevatten, omgeven door de regels -----BEGIN CERTIFICATE----- en -----END CERTIFICATE-----.

  4. Kopieer beide tekstbestanden naar een tijdelijke locatie op de XSP die u beveiligen, bijvoorbeeld /tmp/broadcloudroot.txt en /tmp/broadcloudissuing.txt.

  5. Meld u aan bij de XSP en navigeer naar /XSP_CLI/Interface/Http/ClientAuthentication>

  6. Voer de get opdracht en lees de chainDepth gebruiken.

    (chainDepth is 1 standaard, die te laag is voor de Webex-keten met twee certificaten)

  7. Als de ketendepth nog niet groter is dan 2, voer dan uit set chainDepth 2.

  8. (Optioneel) Uitvoeren help updateTrust om de parameters en opdrachtindeling te zien.

  9. Upload de certificaatbestanden naar nieuwe vertrouwensankers:

    XSP_CLI/Interface/Http/ClientAuthentication/Trusts> updateTrust webexclientroot /tmp/broadcloudroot.txt

    XSP_CLI/Interface/Http/ClientAuthentication/Trusts> updateTrust webexclientissuing /tmp/broadcloudissuing.txt


    webexclientroot en webexclientissuing zijn voorbeeldaliasen voor de vertrouwensankers; die u zelf kunt gebruiken.
  10. Bevestig dat beide certificaten zijn geüpload:

    /XSP_CLI/Interface/Http/ClientAuthentication/Trusts> get

Vertrouwen configureren (R22 en hoger)

  1. Meld u aan bij Control Hub met uw partnerbeheerdersaccount.

  2. Ga naar Instellingen > BroadWorks-bellen en klik op Webex CA-certificaat downloaden om CombinedCertChain.txt op uw lokale computer.


    Dit bestand bevat twee certificaten. U moet het bestand opsplitsen voordat u het uploadt naar de XSP's.
  3. Splits de certificaatketen op in twee certificaten:

    1. Openen combinedcertchain.txt in een teksteditor.

    2. Selecteer en knip het eerste blok tekst, inclusief de regels -----BEGIN CERTIFICATE----- en -----END CERTIFICATE-----, en plak het tekstblok in een nieuw bestand.

    3. Sla het nieuwe bestand op als broadcloudroot.txt.

    4. Sla het oorspronkelijke bestand op als broadcloudissuing.txt.

      Het oorspronkelijke bestand mag nu slechts één blok tekst bevatten, omgeven door de regels -----BEGIN CERTIFICATE----- en -----END CERTIFICATE-----.

  4. Kopieer beide tekstbestanden naar een tijdelijke locatie op de XSP die u beveiligen, bijvoorbeeld /tmp/broadcloudroot.txt en /tmp/broadcloudissuing.txt.

  5. (Optioneel) Uitvoeren help UpdateTrust om de parameters en opdrachtindeling te zien.

  6. Upload de certificaatbestanden naar nieuwe vertrouwensankers:

    XSP_CLI/Interface/Http/SSLCommonSettings/ClientAuthentication/Trusts> updateTrust webexclientroot /tmp/broadcloudroot.txt

    XSP_CLI/Interface/Http/SSLCommonSettings/ClientAuthentication/Trusts> updateTrust webexclientissuing /tmp/broadcloudissuing.txt


    webexclientroot en webexclientissuing zijn voorbeeldaliasen voor de vertrouwensankers; die u zelf kunt gebruiken.
  7. Bevestig dat de ankers zijn bijgewerkt:

    XSP_CLI/Interface/Http/SSLCommonSettings/ClientAuthentication/Trusts> get

      Alias   Owner                                   Issuer
    =============================================================================
    webexclientissuing    BroadCloud Commercial Issuing CA – DA3     BroadCloud Commercial Trusted Root CA
    webexclientroot       BroadCloud Commercial Trusted Root CA      BroadCloud Commercial Trusted Root CA[self-signed]

(Optie) MTLS configureren op http-interface/poortniveau

Het is mogelijk om mTLS te configureren op HTTP-interface/poortniveau of per webtoepassing.

Hoe u mTLS inschakelen voor uw toepassing is afhankelijk van de toepassingen die u host op de XSP. Als u meerdere toepassingen host waarvoor mTLS vereist is, moet u mTLS inschakelen in de interface. Als u slechts een van de toepassingen hoeft te beveiligen die dezelfde HTTP-interface gebruiken, kunt u mTLS configureren op toepassingsniveau.

Wanneer u mTLS configureert op http-interface/poortniveau, is mTLS vereist voor alle gehoste webtoepassingen die worden gebruikt via deze interface/poort.

  1. Meld u aan bij de XSP waarvan u de interface configureert.

  2. Navigeren naar XSP_CLI/Interface/Http/HttpServer> en voer de get opdracht om de interfaces te bekijken.

  3. U kunt hier een interface toevoegen en verificatie van de client vereisen (wat hetzelfde betekent als mTLS):

    XSP_CLI/Interface/Http/HttpServer> add IPAddress Port Name true true

    Zie de XSP CLI-documentatie voor meer informatie. In principe de eerste true beveiligt de interface met TLS (servercertificaat wordt gemaakt indien vereist) en de tweede true dwingt de interface af om verificatie van het clientcertificaat te vereisen (samen zijn ze mTLS).

Bijvoorbeeld:

XSP_CLI/Interface/Http/HttpServer> get

Interface Port Name Secure Client Auth Req Cluster Fqdn
         =======================================================
         192.0.2.7 443 xsp01.collab.example.net true false 
         192.0.2.7 444 xsp01.collab.example.net true true

In dit voorbeeld is mTLS (Client Auth Req = true) ingeschakeld op 192.0.2.7 poort 444. TLS is ingeschakeld op 192.0.2.7 poort 443.

(Optie) MTLS configureren voor specifieke webtoepassingen

Het is mogelijk om mTLS te configureren op HTTP-interface/poortniveau of per webtoepassing.

Hoe u mTLS inschakelen voor uw toepassing is afhankelijk van de toepassingen die u host op de XSP. Als u meerdere toepassingen host waarvoor mTLS vereist is, moet u mTLS inschakelen in de interface. Als u slechts een van de toepassingen hoeft te beveiligen die dezelfde HTTP-interface gebruiken, kunt u mTLS configureren op toepassingsniveau.

Wanneer u mTLS configureert op toepassingsniveau, is mTLS vereist voor die toepassing, ongeacht de configuratie van de HTTP-serverinterface.

  1. Meld u aan bij de XSP waarvan u de interface configureert.

  2. Navigeren naar XSP_CLI/Interface/Http/SSLCommonSettings/ClientAuthentication/WebApps> en voer de get gebruiken om te zien welke toepassingen worden uitgevoerd.

  3. Een toepassing toevoegen en de clientverificatie vereisen (wat hetzelfde betekent als mTLS):

    XSP_CLI/Interface/Http/SSLCommonSettings/ClientAuthentication/WebApps> add IPAddress Port ApplicationName true

    Zie de XSP CLI-documentatie voor meer informatie. De toepassingsnamen worden daar geemigreerd. Het bericht true in deze opdracht schakelt u mTLS in.

Bijvoorbeeld:

XSP_CLI/Interface/Http/SSLCommonSettings/ClientAuthentication/WebApps> add 192.0.2.7 443 AuthenticationService true

Met de voorbeeldopdracht wordt de toepassing AuthenticationService toegevoegd aan 192.0.2.7:443 en moet de toepassing certificaten van de client aanvragen en verifiëren.

Controleren met get:

XSP_CLI/Interface/Http/SSLCommonSettings/ClientAuthentication/WebApps> get

Interface Ip Port Application Name Client Auth Req
         ===================================================
         192.0.2.7 443 AuthenticationService      true          

Aanvullende certificaatvereisten voor gemeenschappelijke TLS-verificatie tegen AuthService

Cisco Webex via een geverifieerde verbinding met de gemeenschappelijke TLS met de verificatieservice. Dit betekent dat Webex een clientcertificaat presenteert en dat de XSP dit moet valideren. Als u dit certificaat wilt vertrouwen, gebruikt u de certificaatketen van Webex CA om een vertrouwensanker in XSP (of proxy) te maken. De certificaatketen kan worden gedownload via Partner Hub:

  1. Ga naar Instellingen > BroadWorks bellen.

  2. Klik op de koppeling Certificaat downloaden.


U kunt de certificaatketen ook bij https://bwks-uap.webex.com/assets/public/CombinedCertChain.txtkrijgen.

De exacte vereisten voor het implementeren van deze Webex CA-certificaatketen is afhankelijk van hoe uw openbare XSP's zijn geïmplementeerd:

  • Via een TLS-bebridgingsproxy

  • Via een pass-through-proxy van TLS

  • Rechtstreeks naar de XSP

In het volgende diagram is een samenvatting weergegeven waar de Webex CA-certificaatketen in deze drie gevallen moet worden geïmplementeerd.

Gemeenschappelijke TLS-certificaatvereisten voor TLS-bridgeproxy

  • Webex toont een door Webex CA ondertekend clientcertificaat naar de proxy.

  • De Certificaatketen van Webex CA is geïmplementeerd in de trust store van de proxy, zodat de proxy het clientcertificaat vertrouwt.

  • Het openbaar ondertekende XSP-servercertificaat wordt ook geladen in de proxy.

  • De proxy toont een openbaar ondertekend servercertificaat voor Webex.

  • Webex vertrouwt de openbare certificeringsstantie (CA) die het servercertificaat van de proxy heeft ondertekend.

  • De proxy toont een intern ondertekend clientcertificaat voor de XSP's.

    Dit certificaat moet het toestelveld X509.v3 extension field Extended Key usage hebben ingevuld met de BroadWorks OID 1.3.6.1.4.1.6431.1.1.8.2.1.3 en hetTLS-clientAuth-doel. Bijvoorbeeld.:

    X509v3 extensions:

    X509v3 Extended Key Usage:

    1.3.6.1.4.1.6431.1.1.8.2.1.3, TLS Web Client
                  Authentication 

    Houd er bij het genereren van interne clientcertificaten voor de proxy rekening mee dat SAN-certificaten niet worden ondersteund. Interne servercertificaten voor de XSP kunnen SAN zijn.

  • De XSP's vertrouwen de interne CA.

  • De XSP's presenteren een intern ondertekend servercertificaat.

  • De proxy vertrouwt de interne ca.

Gemeenschappelijke TLS-certificaatvereisten voor TLS-passthrough Proxy of XSP in DMZ

  • Webex toont een door Webex CA ondertekend clientcertificaat naar de XSP's.

  • De Webex CA-certificaatketen is geïmplementeerd op de trust store van de XSP's, zodat de XSP's het clientcertificaat vertrouwen.

  • Het openbaar ondertekende XSP-servercertificaat wordt ook geladen in de XSP's.

  • De XSP's presenteren openbaar ondertekende servercertificaten voor Webex.

  • Webex vertrouwt de openbare CA die de XSP's servercertificaten heeft ondertekend.