Interfejs CTI i powiązana konfiguracja

Kolejność konfiguracji "inmost to outmost" jest wymieniona poniżej. Przestrzeganie tego zamówienia nie jest obowiązkowe.

  1. Konfigurowanie serwera aplikacji dla subskrypcji CTI

  2. Konfigurowanie XSP|ADP dla uwierzytelnianych subskrypcji CTI mTLS

  3. Otwórz porty przychodzące dla bezpiecznego interfejsu CTI

  4. Subskrybuj swoją organizację Webex do zdarzeń CtI BroadWorks

Konfigurowanie serwera aplikacji dla subskrypcji CTI

Zaktualizuj ClientIdentity na serwerze aplikacji przy użyciu nazwy pospolitej (CN) certyfikatu klienta Webex for Cisco BroadWorks CTI.

Dla każdego serwera aplikacji używanego z Webex dodaj tożsamość certyfikatu do ClientIdentity w następujący sposób:

AS_CLI/System/ClientIdentity> add bwcticlient.webex.com

Powszechną nazwą certyfikatu klienta Webex dla Cisco BroadWorks jest bwcticlient.webex.com.

Konfigurowanie protokołu TLS i szyfrów w interfejsie CTI

Poziomy konfigurowalności interfejsu XSP|ADP CTI są następujące:

Najbardziej ogólne = Interfejsy > transportowe > CTI > CTI = Najbardziej specyficzne

Konteksty interfejsu wiersza polecenia używane do wyświetlania lub modyfikowania różnych ustawień protokołu SSL są następujące:

Specyficzność

Kontekst interfejsu wiersza polecenia

System (globalny)

(R22 i nowsze)

XSP (angielski)|ADP_CLI/System/SSLCommonSettings/JSSE/Ciphers>

XSP (angielski)|ADP_CLI/System/SSLCommonSettings/JSSE/Protocols>

Protokoły transportowe dla tego systemu

(R22 i nowsze)

XSP (angielski)|ADP_CLI/System/SSLCommonSettings/OpenSSL/Ciphers>

XSP (angielski)|ADP_CLI/System/SSLCommonSettings/OpenSSL/Protocols>

Wszystkie interfejsy CTI w tym systemie

(R22 i nowsze)

XSP (angielski)|ADP_CLI/Interface/CTI/SSLCommonSettings/Ciphers>

XSP (angielski)|ADP_CLI/Interface/CTI/SSLCommonSettings/Protocols>

Specyficzny interfejs CTI w tym systemie

(R22 i nowsze)

XSP (angielski)|ADP_CLI/Interface/CTI/CTIServer/SSLSettings/Ciphers>

XSP (angielski)|ADP_CLI/Interface/CTI/CTIServerSSLSettings/Protocols>

Podczas nowej instalacji następujące szyfry są instalowane domyślnie na poziomie systemu. Jeśli na poziomie interfejsu nic nie jest skonfigurowane (na przykład na poziomie interfejsu CTI lub interfejsu HTTP), obowiązuje ta lista szyfrów. Należy pamiętać, że lista ta może z czasem ulec zmianie:

  • TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256

  • TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256

  • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256

  • TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256

  • TLS_DHE_DSS_WITH_AES_128_GCM_SHA256

  • TLS_DHE_RSA_WITH_AES_128_GCM_SHA256

  • TLS_DHE_RSA_WITH_AES_128_CBC_SHA256

  • TLS_DHE_DSS_WITH_AES_128_CBC_SHA256

  • TLS_ECDH_RSA_WITH_AES_128_GCM_SHA256

  • TLS_ECDH_ECDSA_WITH_AES_128_GCM_SHA256

  • TLS_ECDH_RSA_WITH_AES_128_CBC_SHA256

  • TLS_ECDH_ECDSA_WITH_AES_128_CBC_SHA256

Odczyt konfiguracji interfejsu CTI TLS na XSP|ADP

  1. Zaloguj się do XSP|ADP i przejdź do XSP|ADP_CLI/Interface/CTI/CTIServer>

  2. Wpisz polecenie get i odczytaj wyniki. Powinny być widoczne interfejsy (adresy IP) i dla każdego z nich, czy wymagają one certyfikatu serwera i czy wymagają uwierzytelniania klienta.

    XSP|ADP_CLI/Interface/CTI/CTIServer> get
  Interface IP  Port  Secure  Server Certificate  Client Auth Req
=================================================================
  10.155.6.175  8012    true                true             true

Dodawanie protokołu TLS 1.2 do interfejsu CTI

Interfejs XSP|ADP CTI komunikujący się z chmurą Webex musi być skonfigurowany dla protokołu TLS v1.2. Chmura nie negocjuje wcześniejszych wersji protokołu TLS.

Aby skonfigurować protokół TLSv1.2 w interfejsie CTI:

  1. Zaloguj się do XSP|ADP i przejdź do XSP|ADP_CLI/Interface/CTI/CTIServer/SSLSettings/Protocols>

  2. Wprowadź polecenie get , aby zobaczyć, które protokoły są już używane na tym interfejsie.

  3. Wprowadź polecenie add TLSv1.2, aby upewnić się, że interfejs może używać protokołu TLS 1.2 podczas komunikacji z chmurą.

Edytowanie konfiguracji szyfrów TLS w interfejsie CTI

Aby skonfigurować wymagane szyfry w interfejsie CTI:

  1. Zaloguj się do XSP|ADP i przejdź do XSP|ADP_CLI/Interface/CTI/CTIServer/SSLSettings/Ciphers>

  2. Wprowadź polecenie get, aby zobaczyć, które szyfry są już używane w tym interfejsie. Musi istnieć co najmniej jeden z pakietów zalecanych przez firmę Cisco (patrz XSP|Wymagania dotyczące tożsamości i zabezpieczeń ADP w sekcji Przegląd).

  3. Wprowadź polecenie add , aby dodać szyfr do interfejsu CTI.

    Interfejs wiersza poleceń XSP|ADP CLI wymaga nazwy standardowego zestawu szyfrów IANA, a nie nazwy zestawu szyfrów openSSL. Na przykład, aby dodać szyfr openSSL ECDHE-ECDSA-CHACHA20-POLY1305 do interfejsu CTI, należy użyć: XSP|ADP_CLI/Interface/CTI/CTIServer/SSLSettings/Ciphers> add 192.0.2.7 TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305

    Zobacz, https://ciphersuite.info/ aby znaleźć apartament pod dowolną nazwą.

Zaufane kotwice dla interfejsu CTI (R22 i nowsze)

Ta procedura zakłada, że urządzenia XSP|ADP są podłączone do Internetu lub są podłączone do Internetu za pośrednictwem serwera proxy. Konfiguracja certyfikatu jest inna dla serwera proxy pomostowego (zobacz Wymagania dotyczące certyfikatów TLS dla serwera proxy mostka TLS).

W przypadku każdego obiektu XSP|ADP w infrastrukturze, który publikuje zdarzenia CTI w usłudze Webex, wykonaj następujące czynności:

  1. Zaloguj się do Centrum partnerów.

  2. Przejdź do Usługi > Dodatkowe łącza i kliknij Pobierz certyfikat Webex CA, aby uzyskać CombinedCertChain2023.txt na komputerze lokalnym.

    Pliki te zawierają dwa zestawy dwóch certyfikatów. Musisz podzielić pliki przed przesłaniem ich do ADP XSP|. Wszystkie pliki są wymagane.

  3. Podziel łańcuch certyfikatów na dwa certyfikaty - combinedcertchain2023.txt

    1. Otwórz combinedcertchain2023.txt w edytorze tekstu.

    2. Zaznacz i wytnij pierwszy blok tekstu, łącznie z wierszami -----BEGIN CERTIFICATE----- i -----END CERTIFICATE-----, a następnie wklej blok tekstu do nowego pliku.

    3. Zapisz nowy plik jako root2023.txt.

    4. Zapisz oryginalny plik jako issuing2023.txt. Oryginalny plik powinien teraz zawierać tylko jeden blok tekstu otoczony liniami -----BEGIN CERTIFICATE----- i -----END CERTIFICATE-----.

  4. Skopiuj oba pliki tekstowe do tymczasowej lokalizacji na zabezpieczonym serwerze XSP|ADP, np. /var/broadworks/tmp/root2023.txt i /var/broadworks/tmp/issuing2023.txt

  5. Zaloguj się do XSP|ADP i przejdź do /XSP|ADP_CLI/Interface/CTI/SSLCommonSettings/ClientAuthentication/Trusts>

  6. (Opcjonalnie) Uruchom help updateTrust, aby zobaczyć parametry i format polecenia.

  7. Prześlij pliki certyfikatów do nowych punktów zaufania - 2023

    XSP|ADP_CLI/Interface/CTI/SSLCommonSettings/ClientAuthentication/Trusts> updateTrust webexclientroot2023 /var/broadworks/tmp/root2023.txt

    XSP|ADP_CLI/Interface/CTI/SSLCommonSettings/ClientAuthentication/Trusts> updateTrust webexclientissuing2023 /var/broadworks/tmp/issuing2023.txt

    Wszystkie aliasy muszą mieć inną nazwę. webexclientroot2023i webexclientissuing2023 to przykładowe aliasy dla punktów zaufania. Możesz używać własnych, pod warunkiem, że wszystkie wpisy będą unikalne.

  8. Upewnij się, że kotwice są zaktualizowane:

    XSP|ADP_CLI/Interface/CTI/SSLCommonSettings/ClientAuthentication/Trusts> get

      Alias   Owner                                   Issuer
=============================================================================
webexclientissuing2023       Internal Private TLS SubCA      Internal Private Root
webexclientroot2023       Internal Private Root      Internal Private Root[self-signed]

  9. Zezwalaj klientom na uwierzytelnianie za pomocą certyfikatów:

    XSP|ADP_CLI/System/CommunicationUtility/DefaultSettings/ExternalAuthentication/CertificateAuthentication> set allowClientApp true

Dodaj interfejs CTI i włącz mTLS

  1. Dodaj interfejs CTI SSL.

    Kontekst interfejsu wiersza polecenia zależy od wersji BroadWorks. Polecenie tworzy samopodpisany certyfikat serwera w interfejsie i wymusza wymaganie przez interfejs certyfikatu klienta.

    • Na BroadWorks R22 i R23:

      XSP|ADP_CLI/Interface/CTI/CTIServer> add 8012 true true true

  2. Wymień certyfikat serwera i klucz na interfejsach CTI XSP|ADP. Potrzebujesz do tego adresu IP interfejsu CTI; możesz go odczytać z następującego kontekstu:

    • Na BroadWorks R22 i R23:

      XSP|ADP_CLI/Interface/CTI/CTIServer> get

      Następnie uruchom następujące polecenia, aby zastąpić certyfikat z podpisem własnym interfejsu własnym certyfikatem i kluczem prywatnym:

      XSP|ADP_CLI/Interface/CTI/CTIServer/SSLSettings/Certificates> sslUpdate keyFile certificateFile chainFile

  3. Uruchom ponownie XSP|ADP.

Włączanie dostępu do zdarzeń CTI BroadWorks w webex

Podczas konfigurowania klastrów w Centrum partnerów należy dodać i zweryfikować interfejs CTI. Szczegółowe instrukcje można znaleźć w witrynie Konfigurowanie organizacji partnerskiej w Centrum partnerów.

  • Określ adres CTI, za pomocą którego Webex może subskrybować zdarzenia CTI BroadWorks.

  • Subskrypcje CTI są przyznawane dla poszczególnych subskrybentów i są ustanawiane i utrzymywane tylko wtedy, gdy ten subskrybent jest aprowizowany dla Webex dla Cisco BroadWorks.