Visão geral

Durante o handshake de TLS, um cliente TLS padrão verifica a validade do certificado do servidor TLS. No entanto, essa implementação pode trazer o ataque "man-in-the-middle", quando o Jabber é implantado pela Internet. Durante o login, se um hacker apresentar ao Jabber seu próprio servidor com um certificado TLS válido, em vez do expressway, na ausência de controle adicional, o Jabber aceitará esse certificado e o usuário poderá ser conectado a um sistema mal-intencionado. Para evitar esse problema, o Jabber executa uma etapa de validação adicional que não faz parte do TLS padrão. Ele verifica se o domínio inserido durante o processo de login pelo usuário corresponde aos nomes alternativos do assunto (SAN) incluídos no certificado. Somente se ele corresponder, o Jabber tentará se conectar ao Expressway. Qualquer entrada de SAN feita no certificado precisa ser assinada pela autoridade de certificação (CA), o que significa que apenas a empresa que possui o domínio poderá obter um certificado assinado por CA.

Qualquer SAN inserido no certificado está sujeito à validação da autoridade de certificação (CA), de modo que apenas a empresa que possui o domínio pode obter um certificado assinado por CA. Isso torna muito mais difícil roubar a identidade do Expressway.

Na instância dedicada, a Cisco gerencia os certificados para os aplicativos UC e, portanto, os certificados são assinados apenas com o domínio fornecido pela Cisco, por exemplo, customer.amer.wxc-di.webex.com. No entanto, para que um usuário final faça login no cliente Jabber com o endereço de e-mail do cliente, ele tem as seguintes opções:

Opção 1-logon inicial do usuário final do Jabber

Os usuários podem ser informados que, para o login inicial no cliente Jabber, eles precisam usar o domínio de serviço de voz da Cisco user@customer.amer.wxc-di.webex.com na tela inicial seguido por seu nome de usuário ou endereço de e-mail e senha da empresa na próxima tela. Como essa é a abordagem mais simples, as etapas são ilustradas mais detalhadamente:

  1. O usuário precisa inserir o domínio de serviço de voz fornecido pela Cisco, por exemplo, user@customer.amer.wxc-di.webex.com na tela inicial de login do Jabber, conforme mostrado na figura abaixo.


    O domínio do serviço de voz do cliente é compartilhado pela Cisco para cada região quando a ativação do serviço é concluída. Essas informações fazem parte do documento de detalhes do acesso compartilhado no espaço do aplicativo Webex. Para obter mais detalhes, consulte Ativação de serviço de instância dedicada.

  2. O usuário precisa inserir o nome de usuário ou o ID de e-mail da empresa junto com a senha para autenticação, conforme mostrado na figura abaixo.


    Se SSO estiver ativado, a operação semelhante será executada pelo IdP.

    Logins subsequentes não exigem que o usuário execute a Etapa 1, a menos que o cliente Jabber seja redefinido.

Opção 2: usar o domínio do serviço de voz

Com essa abordagem, o cliente Jabber pode diferenciar entre o domínio do cliente inserido pelo usuário e o domínio de descoberta de serviços. No instalador, se o domínio do serviço de voz estiver configurado para customer.amer.wxc-di.webex.com, o usuário poderá fazer login no cliente Jabber usando o endereço de e-mail da empresa e o Jabber ainda poderá fazer a descoberta de serviço com base no valor definido no domínio do serviço de voz. Isso eliminará a necessidade de fornecer um domínio de serviço de voz no login do Jabber inicial, conforme a opção acima.

Para Windows:

Ferramentas como o Microsoft Orca podem ser usadas para criar instaladores do Jabber personalizados, que podem incluir o domínio do serviço de voz. Os usuários podem ser instruídos a usar esses instaladores para o cliente Jabber.

Para MAC, iOS e Android:

Ferramentas como o MDM podem ser usadas para criar instaladores do Jabber personalizados, que podem incluir o domínio do serviço de voz.

Opção 3: usar a URL de configuração

Um URL de configuração pode ser usado para definir parâmetros do Jabber antes do login inicial, como o domínio de serviços de voz. Um exemplo de um URL de configuração: ciscojabber://provision?ServicesDomain=customer.com&VoiceServicesDomain=customer.amer.wxc-di.webex.com

Ao clicar no link acima, o domínio do serviço de voz pode ser definido no cliente Jabber executado em dispositivos MAC, Android ou iOS.


Essa configuração não é persistente, o usuário precisaria clicar no link novamente se o cliente Jabber fosse redefinido.

Vale a pena observar que o aplicativo Webex não tem o requisito acima; o cliente executa a verificação de domínio, mas é possível provisionar o domínio do serviço de voz no Control Hub. Quando o aplicativo Webex se conecta ao Webex, ele obtém o domínio de serviços de voz e registra o mesmo. Para obter mais informações sobre a configuração de chamada do aplicativo Webex no aplicativo, consulte Integração do aplicativo Webex com uma instância dedicada para chamada no aplicativo.

Link útil: Implantação local para Cisco Jabber 14.0