Visão geral

Durante o handshake TLS, Um cliente TLS padrão verifica a validade do certificado do servidor TLS. Quando o Jabber é implementado pela internet, essa configuração pode estar vulnerável a um ataque "man-in-the-middle".

Durante o logon, se um hacker apresentar seu próprio servidor com um certificado TLS válido em vez do Expressway esperado, o Jabber pode aceitar o certificado devido a nenhum controle adicional, o que pode resultar na conexão do usuário a um sistema malicioso. Para evitar esse problema, o Jabber adiciona uma etapa extra de validação, ele verifica se o domínio inserido durante o logon corresponde aos Nomes Alternativos do Assunto (SAN) no certificado. Se corresponder, o Jabber tentará se conectar ao Expressway.

"Cada entrada SAN no certificado deve ser assinada pela Autoridade de Certificação (CA). Isso significa que apenas a empresa proprietária do domínio pode receber um certificado assinado pela CA e a CA valida as entradas SAN. Portanto, torna-se consideravelmente mais difícil fingir a identidade do Expressway."

Na Ocorrência dedicada, a Cisco gerencia os certificados para os aplicativos UC e, portanto, os certificados são assinados com o domínio fornecido pela Cisco, por exemplo, customer.amer.wxc-di.webex.com . No entanto, para um usuário final efetuar logon no cliente Jabber com o endereço de e-mail do cliente, pode ser obtido pelas seguintes opções:

Opção 1 - Logon inicial do usuário final do Jabber

O logon inicial do usuário final do Jabber é a abordagem mais simples e as etapas são fornecidas em detalhes:

  1. Insira o domínio do serviço de voz fornecido pela Cisco, por exemplo, user@customer.amer.wxc-di.webex.com na tela inicial de logon do Jabber.

    A Cisco compartilha o domínio do serviço de voz do cliente para cada região após a ativação do serviço. Essas informações fazem parte do documento de detalhes de acesso compartilhado no espaço do aplicativo Webex. Para obter mais detalhes, consulte Ativação do serviço de ocorrência dedicada .

  2. Insira o nome de usuário ou a ID de e-mail da empresa juntamente com a senha para autenticação.

    Se o logon único estiver ativado, o IdP executará a operação semelhante.

    A postagem de logins subsequentes que isso não requer para executar a Etapa 1, a menos que o cliente Jabber seja redefinido.

Opção 2: Usar o domínio do serviço de voz

Com essa abordagem, o cliente do Jabber pode diferenciar entre o domínio do cliente inserido pelo usuário e o domínio de descoberta de serviços. No instalador, se o domínio do serviço de voz estiver definido como customer.amer.wxc-di.webex.com , o usuário poderá fazer logon no cliente Jabber usando o endereço de e-mail da empresa e o Jabber ainda poderá fazer a descoberta de serviços com base no valor definido no domínio do serviço de voz. Isso remove a necessidade de fornecer o domínio do serviço de voz no login inicial do jabber de acordo com a opção acima.

Para janelas:

Ferramentas como o Microsoft Orca podem ser usadas para criar instaladores Jabber personalizados, que podem incluir o domínio do serviço de voz. Os usuários podem ser instruídos a usar esses instaladores para o cliente Jabber.

Para MAC, iOS, Android:

Ferramentas como o MDM podem ser usadas para criar instaladores Jabber personalizados que podem incluir o domínio do serviço de voz.

Opções: Usar a URL de configuração

Uma URL de configuração é usada para definir parâmetros do Jabber antes do logon inicial, como o domínio de serviços de voz. Um exemplo de URL de configuração: ciscojabber://provision?ServicesDomain=customer.com&VoiceServicesDomain=customer.amer.wxc-di.webex.com

Ao clicar no link acima, o domínio do serviço de voz pode ser definido no cliente Jabber em execução em dispositivos MAC, Android ou iOS.

Esta configuração não é persistente, o usuário precisa clicar no link novamente se o cliente Jabber for redefinido.

O aplicativo Webex não tem o requisito acima, o cliente executa a verificação de domínio, mas é possível provisionar o domínio do serviço de voz no Control Hub. Quando o aplicativo Webex se conecta ao Webex, ele obtém o domínio dos serviços de voz e registra o mesmo. Para obter mais informações sobre a configuração de chamadas no aplicativo Webex, consulte Integração do aplicativo Webex com a ocorrência dedicada para chamadas no aplicativo .

Link útil: Implantação local no Cisco Jabber 14.0