wyrostek robaczkowy

Konfigurowanie usługi uwierzytelniania XSP (z usługą mTLS)

Wykonaj procedury w tym dodatku, aby skonfigurować usługę uwierzytelniania w BroadWorks do używania uwierzytelniania mTLS. W przypadkach, gdy sprawdzanie poprawności tokenu CI (z TLS) nie jest obsługiwane, uwierzytelnianie mTLS jest obowiązkowe, w tym następujące wystąpienia:

  • Jeśli korzystasz z R21SP1

  • Jeśli korzystasz z r22 lub nowszego i masz wiele organizacji Webex uruchomionych poza tym samym serwerem XSP


Jeśli korzystasz z r22 lub nowszego i nie masz wielu organizacji Webex uruchomionych poza tym samym serwerem XSP, sprawdzanie poprawności tokenu CI (z TLS) jest zalecane dla usługi Auth. Aby uzyskać szczegółowe informacje, zobacz Konfigurowanie usługi uwierzytelniania (z weryfikacją tokenu CI) w rozdziale Wdrażanie programu Webex dla broadworks.

Zainstaluj usługę uwierzytelniania

W broadworks 21SP1 usługa uwierzytelniania jest aplikacją niezarządzaną. Zainstaluj go, wykonując następujące kroki:

  1. Pobierz authenticationService_1.0.war (zasób aplikacji internetowych) z Xchange (https://xchange.broadsoft.com/node/499012).

    W każdym xsp używanym z webex, wykonaj następujące czynności:

  2. Skopiuj plik .war do tymczasowej lokalizacji w systemie XSP, takiej jak /tmp/

  3. Zainstaluj aplikację usługi uwierzytelniania z następującym kontekstem i poleceniem interfejsu wiersza polecenia:

    XSP_CLI/Maintenance/ManagedObjects> install application /tmp/authenticationService_1.0.war

Konfigurowanie usługi uwierzytelniania

Tokeny long-lived BroadWorks są generowane i weryfikowane przez usługę uwierzytelniania hostowaną w programach XSPs.

Wymagania

  • Serwery XSP obsługujące usługę uwierzytelniania muszą mieć skonfigurowany interfejs mTLS.

  • XSPs musi współużytkować te same klucze do szyfrowania/odszyfrowywania tokenów BroadWorks długo żył. Kopiowanie tych kluczy do każdego XSP jest procesem ręcznym.

  • Programy XSP muszą być synchronizowane z ntp.

Omówienie konfiguracji

Podstawowa konfiguracja w programach XSPs obejmuje:

  • Wdrażanie usługi uwierzytelniania.

  • Skonfiguruj czas trwania tokenu do co najmniej 60 dni (pozostaw wystawcę jako BroadWorks).

  • Generowanie i udostępnianie kluczy RSA w różnych programach XSPs.

  • Podaj adres URL usługi authService do kontenera sieci web.

Wdrażanie usługi uwierzytelniania w usłudze XSP

Na każdym XSP używanym z Webex:

  1. Aktywowanie aplikacji usługi uwierzytelniania na ścieżce /authService(należy użyć tej ścieżki):

    XSP_CLI/Maintenance/ManagedObjects> activate application authenticationService <version> /authService

    (w przypadku gdy <version> jest 1.0 dla aplikacji niezarządzanej w dniu 21SP1).

  2. Wdrażanie aplikacji:

    XSP_CLI/Maintenance/ManagedObjects> deploy application /authService

Konfigurowanie czasu trwania tokenu

  1. Sprawdź istniejącą konfigurację tokenu (godziny):

    W dniu 21sp1: XSP_CLI/Applications/authenticationService_1.0/TokenManagement> get

  2. Ustaw czas trwania na 60 dni (maks. 180 dni):

    W dniu 21sp1: XSP_CLI/Applications/authenticationService_1.0/TokenManagement> set tokenDuration 1440

Generowanie i udostępnianie kluczy RSA

  • Należy użyć tych samych par kluczy publicznych/prywatnych do szyfrowania/odszyfrowywania tokenów we wszystkich wystąpieniach usługi uwierzytelniania.

  • Para kluczy jest generowana przez usługę uwierzytelniania, gdy jest najpierw wymagane do wystawienia tokenu.

Z powodu tych dwóch czynników należy wygenerować klucze na jednym XSP, a następnie skopiować je do wszystkich innych XSP.


Jeśli klucze cyklu lub zmienić długość klucza, należy powtórzyć następującą konfigurację i ponownie uruchomić wszystkie XSPs.

  1. Wybierz jeden XSP do wygenerowania pary kluczy.

  2. Użyj klienta, aby zażądać zaszyfrowanego tokenu z tego XSP, żądając następującego adresu URL z przeglądarki klienta:

    https://<XSP-IPAddress>/authService/token?key=BASE64URL(clientPublicKey)

    (To generuje parę klucza prywatnego / publicznego na XSP, jeśli nie było już)

  3. (tylko 21SP1) Sprawdź konfigurowalną lokalizację klucza za pomocą następującego polecenia:

    XSP_CLI/Applications/authenticationService_1.0/KeyManagement> get

  4. (tylko 21SP1) Zanotuj zwrócone fileLocation parametr.

  5. (tylko 21SP1) Skopiuj całość fileLocation katalogu, który zawiera public i private wszystkich innych XSP.

Podaj adres URL usługi authService do kontenera sieci web

Kontener sieci web XSP potrzebuje adresu URL usługi authService, dzięki czemu można sprawdzić poprawność tokenów.

Na każdym z punktów XSPs:

  1. Dodaj adres URL usługi uwierzytelniania jako usługę uwierzytelniania zewnętrznego dla narzędzia BroadWorks Communications Utility:

    XSP_CLI/System/CommunicationUtility/DefaultSettings/ExternalAuthentication/AuthService> set url http://127.0.0.1/authService

  2. Dodaj adres URL usługi uwierzytelniania do kontenera:

    XSP_CLI/Maintenance/ContainerOptions> add tomcat bw.authservice.authServiceUrl http://127.0.0.1/authService

    Dzięki temu webex do korzystania z usługi uwierzytelniania do sprawdzania poprawności tokenów przedstawionych jako poświadczenia.

  3. Sprawdź parametr za pomocą get.

  4. Uruchom ponownie plik XSP.

Konfigurowanie usługi zaufania dla uwierzytelniania (za pomocą usługi mTLS)

Konfigurowanie zaufania (R21 SP1)
  1. Zaloguj się do Centrum partnerów.

  2. Przejdź do ustawień > połączenia BroadWorks i kliknij przycisk Pobierz certyfikat urzędu certyfikacji webex, aby uzyskaćCombinedCertChain.txt na komputerze lokalnym.


    Ten plik zawiera dwa certyfikaty. Musisz podzielić plik przed przesłaniem go do XSPs.
  3. Podziel łańcuch certyfikatów na dwa certyfikaty:

    1. Otwórz combinedcertchain.txt w edytorze tekstu.

    2. Zaznaczanie i wycinanie pierwszego bloku tekstu, w tym wierszy -----BEGIN CERTIFICATE----- i -----END CERTIFICATE----- i wklej blok tekstu do nowego pliku.

    3. Zapisz nowy plik jako broadcloudroot.txt.

    4. Zapisz oryginalny plik jako broadcloudissuing.txt.

      Oryginalny plik powinien teraz mieć tylko jeden blok tekstu, otoczony wierszami -----BEGIN CERTIFICATE----- i -----END CERTIFICATE-----.

  4. Skopiuj oba pliki tekstowe do tymczasowej lokalizacji w zabezpieczanym XSP miejscu, np. /tmp/broadcloudroot.txt i /tmp/broadcloudissuing.txt.

  5. Zaloguj się do XSP i przejdź do /XSP_CLI/Interface/Http/ClientAuthentication>

  6. Uruchom get polecenia i odczytać chainDepth parametr.

    (chainDepth jest 1 domyślnie, co jest zbyt niskie dla łańcucha Webex, który ma dwa certyfikaty)

  7. Jeśli chainDepth nie jest już większy niż 2, set chainDepth 2.

  8. (Opcjonalnie) biegać help updateTrust, aby wyświetlić parametry i format polecenia.

  9. Przekaż pliki certyfikatów do nowych kotwic zaufania:

    XSP_CLI/Interface/Http/ClientAuthentication/Trusts> updateTrust webexclientroot /tmp/broadcloudroot.txt

    XSP_CLI/Interface/Http/ClientAuthentication/Trusts> updateTrust webexclientissuing /tmp/broadcloudissuing.txt


    webexclientroot i webexclientissuing są przykładowymi aliasami zakotwiczenia zaufania; można użyć własnego.
  10. Upewnij się, że oba certyfikaty zostały przesłane:

    /XSP_CLI/Interface/Http/ClientAuthentication/Trusts> get

Konfigurowanie zaufania (R22 lub nowsze)

  1. Zaloguj się do Centrum sterowania za pomocą konta administratora partnera.

  2. Przejdź do ustawień > połączenia BroadWorks i kliknij przycisk Pobierz certyfikat urzędu certyfikacji webex, aby uzyskaćCombinedCertChain.txt na komputerze lokalnym.


    Ten plik zawiera dwa certyfikaty. Musisz podzielić plik przed przesłaniem go do XSPs.
  3. Podziel łańcuch certyfikatów na dwa certyfikaty:

    1. Otwórz combinedcertchain.txt w edytorze tekstu.

    2. Zaznaczanie i wycinanie pierwszego bloku tekstu, w tym wierszy -----BEGIN CERTIFICATE----- i -----END CERTIFICATE----- i wklej blok tekstu do nowego pliku.

    3. Zapisz nowy plik jako broadcloudroot.txt.

    4. Zapisz oryginalny plik jako broadcloudissuing.txt.

      Oryginalny plik powinien teraz mieć tylko jeden blok tekstu, otoczony wierszami -----BEGIN CERTIFICATE----- i -----END CERTIFICATE-----.

  4. Skopiuj oba pliki tekstowe do tymczasowej lokalizacji w zabezpieczanym XSP miejscu, np. /tmp/broadcloudroot.txt i /tmp/broadcloudissuing.txt.

  5. (Opcjonalnie) biegać help UpdateTrust, aby wyświetlić parametry i format polecenia.

  6. Przekaż pliki certyfikatów do nowych kotwic zaufania:

    XSP_CLI/Interface/Http/SSLCommonSettings/ClientAuthentication/Trusts> updateTrust webexclientroot /tmp/broadcloudroot.txt

    XSP_CLI/Interface/Http/SSLCommonSettings/ClientAuthentication/Trusts> updateTrust webexclientissuing /tmp/broadcloudissuing.txt


    webexclientroot i webexclientissuing są przykładowymi aliasami zakotwiczenia zaufania; można użyć własnego.
  7. Upewnij się, że kotwice są aktualizowane:

    XSP_CLI/Interface/Http/SSLCommonSettings/ClientAuthentication/Trusts> get

      Alias   Owner                                   Issuer
    =============================================================================
    webexclientissuing    BroadCloud Commercial Issuing CA – DA3     BroadCloud Commercial Trusted Root CA
    webexclientroot       BroadCloud Commercial Trusted Root CA      BroadCloud Commercial Trusted Root CA[self-signed]

(Opcja) Konfigurowanie usługi mTLS na poziomie interfejsu/portu HTTP

Istnieje możliwość skonfigurowania serwera mTLS na poziomie interfejsu/portu HTTP lub na podstawie aplikacji sieci Web.

Sposób włączenia mTLS dla aplikacji zależy od aplikacji, które są hostowania na XSP. Jeśli hostujesz wiele aplikacji, które wymagają mTLS, należy włączyć mTLS w interfejsie. Jeśli trzeba zabezpieczyć tylko jedną z kilku aplikacji, które używają tego samego interfejsu HTTP, można skonfigurować mTLS na poziomie aplikacji.

Podczas konfigurowania usługi mTLS na poziomie interfejsu/portu HTTP serwer mTLS jest wymagany dla wszystkich hostowanych aplikacji internetowych dostępnych za pośrednictwem tego interfejsu/portu.

  1. Zaloguj się do XSP, którego interfejs konfigurujesz.

  2. Przejdź do XSP_CLI/Interface/Http/HttpServer> i uruchomić get aby wyświetlić interfejsy.

  3. Aby dodać interfejs i wymagać tam uwierzytelnienia klienta (co oznacza to samo co mTLS):

    XSP_CLI/Interface/Http/HttpServer> add IPAddress Port Name true true

    Szczegółowe informacje można znaleźć w dokumentacji interfejsu wiersza polecenia XSP. Zasadniczo pierwsze true zabezpiecza interfejs z TLS (certyfikat serwera jest tworzony w razie potrzeby), a drugi true wymusza, aby interfejs wymagał uwierzytelniania certyfikatu klienta (razem są mTLS).

Na przykład:

XSP_CLI/Interface/Http/HttpServer> get

Interface Port Name Secure Client Auth Req Cluster Fqdn
         =======================================================
         192.0.2.7 443 xsp01.collab.example.net true false 
         192.0.2.7 444 xsp01.collab.example.net true true

W tym przykładzie mTLS (Client Auth Req = true) jest włączony na 192.0.2.7 port 444. TLS jest włączony na 192.0.2.7 port 443.

(Opcja) Konfigurowanie usługi mTLS dla określonych aplikacji internetowych

Istnieje możliwość skonfigurowania serwera mTLS na poziomie interfejsu/portu HTTP lub na podstawie aplikacji sieci Web.

Sposób włączenia mTLS dla aplikacji zależy od aplikacji, które są hostowania na XSP. Jeśli hostujesz wiele aplikacji, które wymagają mTLS, należy włączyć mTLS w interfejsie. Jeśli trzeba zabezpieczyć tylko jedną z kilku aplikacji, które używają tego samego interfejsu HTTP, można skonfigurować mTLS na poziomie aplikacji.

Podczas konfigurowania serwera mTLS na poziomie aplikacji mTLS jest wymagany dla tej aplikacji, niezależnie od konfiguracji interfejsu serwera HTTP.

  1. Zaloguj się do XSP, którego interfejs konfigurujesz.

  2. Przejdź do XSP_CLI/Interface/Http/SSLCommonSettings/ClientAuthentication/WebApps> i uruchomić get aby zobaczyć, które aplikacje są uruchomione.

  3. Aby dodać aplikację i wymagać uwierzytelnienia klienta (co oznacza to samo co mTLS):

    XSP_CLI/Interface/Http/SSLCommonSettings/ClientAuthentication/WebApps> add IPAddress Port ApplicationName true

    Szczegółowe informacje można znaleźć w dokumentacji interfejsu wiersza polecenia XSP. Nazwy aplikacji są tam wyliczone. ten true w tym poleceniu włącza mTLS.

Na przykład:

XSP_CLI/Interface/Http/SSLCommonSettings/ClientAuthentication/WebApps> add 192.0.2.7 443 AuthenticationService true

Przykładowe polecenie dodaje aplikację AuthenticationService do 192.0.2.7:443 i wymaga jej żądania i uwierzytelnienia certyfikatów od klienta.

Skontaktuj się z get:

XSP_CLI/Interface/Http/SSLCommonSettings/ClientAuthentication/WebApps> get

Interface Ip Port Application Name Client Auth Req
         ===================================================
         192.0.2.7 443 AuthenticationService      true          

Dodatkowe wymagania dotyczące certyfikatów dla wzajemnego uwierzytelniania TLS przeciwko UathService

Webex współdziała z usługą uwierzytelniania za pośrednictwem wzajemnego połączenia uwierzytelnionego TLS. Oznacza to, że Webex przedstawia certyfikat klienta i XSP musi go zweryfikować. Aby ufać temu certyfikatowi, użyj łańcucha certyfikatów urzędu certyfikacji webex, aby utworzyć kotwicę zaufania w programie XSP (lub serwerze proxy). Łańcuch certyfikatów jest dostępny do pobrania za pośrednictwem Centrum partnerów:

  1. Przejdź do ustawień > połączenia BroadWorks.

  2. Kliknij łącze pobierz certyfikat.


Można również uzyskać łańcuch certyfikatów z https://bwks-uap.webex.com/assets/public/CombinedCertChain.txt.

Dokładne wymagania dotyczące wdrażania tego łańcucha certyfikatów urzędu certyfikacji webex zależą od sposobu wdrażania publicznych programów XSPs:

  • Za pośrednictwem serwera proxy pomostowego TLS

  • Za pośrednictwem serwera proxy przekazywania TLS

  • Bezpośrednio do XSP

Na poniższym diagramie podsumowano, gdzie łańcuch certyfikatów urzędu certyfikacji webex musi zostać wdrożony w tych trzech przypadkach.

Wymagania dotyczące wzajemnego certyfikatu TLS dla serwera proxy mostka TLS

  • Webex przedstawia certyfikat klienta podpisany przez urząd certyfikacji webex do serwera proxy.

  • Łańcuch certyfikatów urzędu certyfikacji webex jest wdrażany w magazynie zaufania serwera proxy, więc serwer proxy ufa certyfikatowi klienta.

  • Publicznie podpisany certyfikat serwera XSP jest również ładowany do serwera proxy.

  • Serwer proxy przedstawia webexowi publicznie podpisany certyfikat serwera.

  • Webex ufa publicznemu urzędowi certyfikacji, który podpisał certyfikat serwera serwera.

  • Serwer proxy przedstawia wewnętrznie podpisany certyfikat klienta do listy XSPs.

    Ten certyfikat musi mieć pole rozszerzenia x509.v3 rozszerzone użycie klucza wypełnione broadworks oid 1.3.6.1.4.1.6431.1.1.8.2.1.3 i celem klienta TLSAuth. Przykład.:

    X509v3 extensions:

    X509v3 Extended Key Usage:

    1.3.6.1.4.1.6431.1.1.8.2.1.3, TLS Web Client
                  Authentication 

    Podczas generowania wewnętrznych certyfikatów klienta dla serwera proxy należy pamiętać, że certyfikaty sieci SAN nie są obsługiwane. Wewnętrzne certyfikaty serwera dla XSP mogą być siecią SAN.

  • Dostawcy usług XSP ufają wewnętrznej uchyłomieniu urzędu certyfikacji.

  • Programy XSPs przedstawiają wewnętrznie podpisany certyfikat serwera.

  • Serwer proxy ufa wewnętrznej uchyłku urzędu certyfikacji.

Wymagania dotyczące wzajemnego certyfikatu TLS dla serwera proxy TLS-passthrough lub XSP w dmz

  • Webex przedstawia certyfikat klienta podpisany przez urząd certyfikacji Webex do listy XSPs.

  • Łańcuch certyfikatów urzędu certyfikacji webex jest wdrażany w magazynie zaufania XSPs, więc dostawcy usług XSp ufają certyfikatowi klienta.

  • Publicznie podpisany certyfikat serwera XSP jest również ładowany do programów XSP.

  • Programy XSPs prezentują publicznie podpisane certyfikaty serwera w witrynie Webex.

  • Webex ufa publicznemu urzędowi certyfikacji, który podpisał certyfikaty serwera XSPs.