Interfața CTI și configurația aferentă

Ordinea de configurare "inmost to outmost" este listată mai jos. Respectarea acestui ordin nu este obligatorie.

  1. Configurarea serverului de aplicații pentru abonamentele CTI

  2. Configurați XSP|ADP-uri pentru abonamente CTI autentificate mTLS

  3. Deschideți porturile de intrare pentru interfața CTI securizată

  4. Abonează-te la Organizația Webex la BroadWorks CTI Events

Configurarea serverului de aplicații pentru abonamentele CTI

Actualizați ClientIdentity pe Application Server cu numele comun (CN) al certificatului de client Webex pentru Cisco BroadWorks CTI.

Pentru fiecare server de aplicații pe care îl utilizați cu Webex, adăugați identitatea certificatului la ClientIdentity după cum urmează:

AS_CLI/System/ClientIdentity> add bwcticlient.webex.com

Numele comun al certificatului client Webex pentru Cisco BroadWorks este bwcticlient.webex.com.

Configurarea TLS și cifruri pe interfața CTI

Nivelurile de configurabilitate pentru interfața XSP|ADP CTI sunt următoarele:

Cele mai generale = Interfețe > de transport > CTI > interfață CTI = Cele mai specifice

Contextele CLI pe care le utilizați pentru a vizualiza sau modifica diferitele setări SSL sunt:

Specificitate

Contextul CLI

Sistem (global)

(R22 și versiuni ulterioare)

XSP|ADP_CLI/System/SSLCommonSettings/JSSE/Ciphers>

XSP|ADP_CLI/System/SSLCommonSettings/JSSE/Protocols>

Protocoale de transport pentru acest sistem

(R22 și versiuni ulterioare)

XSP|ADP_CLI/System/SSLCommonSettings/OpenSSL/Ciphers>

XSP|ADP_CLI/System/SSLCommonSettings/OpenSSL/Protocols>

Toate interfețele CTI de pe acest sistem

(R22 și versiuni ulterioare)

XSP|ADP_CLI/Interface/CTI/SSLCommonSettings/Ciphers>

XSP|ADP_CLI/Interface/CTI/SSLCommonSettings/Protocols>

O interfață CTI specifică pe acest sistem

(R22 și versiuni ulterioare)

XSP|ADP_CLI/Interface/CTI/CTIServer/SSLSettings/Ciphers>

XSP|ADP_CLI/Interface/CTI/CTIServerSSLSettings/Protocols>

La o instalare nouă, următoarele cifruri sunt instalate în mod implicit la nivel de sistem. Dacă nu este configurat nimic la nivel de interfață (de exemplu, la interfața CTI sau la interfața HTTP), se aplică această listă de cifruri. Rețineți că această listă se poate modifica în timp:

  • TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256

  • TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256

  • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256

  • TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256

  • TLS_DHE_DSS_WITH_AES_128_GCM_SHA256

  • TLS_DHE_RSA_WITH_AES_128_GCM_SHA256

  • TLS_DHE_RSA_WITH_AES_128_CBC_SHA256

  • TLS_DHE_DSS_WITH_AES_128_CBC_SHA256

  • TLS_ECDH_RSA_WITH_AES_128_GCM_SHA256

  • TLS_ECDH_ECDSA_WITH_AES_128_GCM_SHA256

  • TLS_ECDH_RSA_WITH_AES_128_CBC_SHA256

  • TLS_ECDH_ECDSA_WITH_AES_128_CBC_SHA256

Citirea configurației interfeței CTI TLS pe XSP|ADP

  1. Conectați-vă la XSP|ADP și navigați la XSP|ADP_CLI/Interface/CTI/CTIServer>

  2. Introduceți comanda get și citiți rezultatele. Ar trebui să vedeți interfețele (adresele IP) și, pentru fiecare, dacă necesită un certificat de server și dacă necesită autentificarea clientului.

    XSP|ADP_CLI/Interface/CTI/CTIServer> get
  Interface IP  Port  Secure  Server Certificate  Client Auth Req
=================================================================
  10.155.6.175  8012    true                true             true

Adăugarea protocolului TLS 1.2 la interfața CTI

Interfața XSP|ADP CTI care interacționează cu Webex Cloud trebuie configurată pentru TLS v1.2. Cloud-ul nu negociază versiunile anterioare ale protocolului TLS.

Pentru a configura protocolul TLSv1.2 pe interfața CTI:

  1. Conectați-vă la XSP|ADP și navigați la XSP|ADP_CLI/Interface/CTI/CTIServer/SSLSettings/Protocols>

  2. Introduceți comanda get pentru a vedea ce protocoale sunt deja utilizate pe această interfață.

  3. Introduceți comanda add TLSv1.2 pentru a vă asigura că interfața poate utiliza TLS 1.2 atunci când comunică cu cloud-ul.

Editarea configurației cifrurilor TLS pe interfața CTI

Pentru a configura cifrurile necesare pe interfața CTI:

  1. Conectați-vă la XSP|ADP și navigați la XSP|ADP_CLI/Interface/CTI/CTIServer/SSLSettings/Ciphers>

  2. Introduceți comanda get pentru a vedea ce cifruri sunt deja utilizate pe această interfață. Trebuie să existe cel puțin unul dintre suitele recomandate de Cisco (consultați XSP|Cerințe de identitate și securitate ADP în secțiunea Prezentare generală).

  3. Introduceți comanda add pentru a adăuga un cifru la interfața CTI.

    Interfața de comandă XSP|ADP necesită numele suitei de cifruri standard IANA, nu numele suitei de cifruri openSSL. De exemplu, pentru a adăuga cifrul openSSL ECDHE-ECDSA-CHACHA20-POLY1305 la interfața CTI, ați folosi: XSP|ADP_CLI/Interface/CTI/CTIServer/SSLSettings/Ciphers> add 192.0.2.7 TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305

    A se vedea https://ciphersuite.info/ pentru a găsi suita de fiecare nume.

Ancore de încredere pentru interfața CTI (R22 și versiuni ulterioare)

Această procedură presupune că ADP-urile XSP|sunt fie conectate la internet, fie se conectează la internet printr-un proxy pass-through. Configurația certificatului este diferită pentru un proxy de punte (consultați Cerințe de certificat TLS pentru PROXY TLS-bridge).

Pentru fiecare XSP|ADP din infrastructura dvs. care publică evenimente CTI pe Webex, procedați în felul următor:

  1. Conectați-vă la Hubul pentru parteneri.

  2. Accesați Servicii > Linkuri suplimentare și faceți clic pe Descărcați certificatul Webex CA pentru a obține CombinedCertChain2023.txt pe computerul local.

    Aceste fișiere conțin două seturi a câte două certificate. Trebuie să divizați fișierele înainte de a le încărca în ADP-urile XSP|. Toate fișierele sunt obligatorii.

  3. Împărțiți lanțul de certificate în două certificate - combinedcertchain2023.txt

    1. Deschideți combinedcertchain2023.txt într-un editor de text.

    2. Selectați și decupați primul bloc de text, inclusiv liniile -----BEGIN CERTIFICATE----- și -----END CERTIFICATE-----, și lipiți blocul de text într-un fișier nou.

    3. Salvați noul fișier ca root2023.txt.

    4. Salvați fișierul original ca issuing2023.txt. Fișierul original ar trebui să conțină acum un singur bloc de text, înconjurat de liniile -----BEGIN CERTIFICATE----- și -----END CERTIFICATE-----.

  4. Copiați ambele fișiere text într-o locație temporară pe XSP|ADP pe care îl securizați, de exemplu /var/broadworks/tmp/root2023.txt şi /var/broadworks/tmp/issuing2023.txt

  5. Conectați-vă la XSP|ADP și navigați la /XSP|ADP_CLI/Interface/CTI/SSLCommonSettings/ClientAuthentication/Trusts>

  6. (Opțional) Executați help updateTrust pentru a vedea parametrii și formatul comenzii.

  7. Încărcarea fișierelor de certificat către noile ancore de încredere - 2023

    XSP|ADP_CLI/Interface/CTI/SSLCommonSettings/ClientAuthentication/Trusts> updateTrust webexclientroot2023 /var/broadworks/tmp/root2023.txt

    XSP|ADP_CLI/Interface/CTI/SSLCommonSettings/ClientAuthentication/Trusts> updateTrust webexclientissuing2023 /var/broadworks/tmp/issuing2023.txt

    Toate aliasurile trebuie să aibă un nume diferit. webexclientroot2023și webexclientissuing2023 sunt exemple de aliasuri pentru ancorele de încredere; puteți folosi propriile aliasuri atâta timp cât toate intrările sunt unice.

  8. Confirmați că ancorele sunt actualizate:

    XSP|ADP_CLI/Interface/CTI/SSLCommonSettings/ClientAuthentication/Trusts> get

      Alias   Owner                                   Issuer
=============================================================================
webexclientissuing2023       Internal Private TLS SubCA      Internal Private Root
webexclientroot2023       Internal Private Root      Internal Private Root[self-signed]

  9. Permiteți clienților să se autentifice cu certificate:

    XSP|ADP_CLI/System/CommunicationUtility/DefaultSettings/ExternalAuthentication/CertificateAuthentication> set allowClientApp true

Adăugați interfața CTI și activați mTLS

  1. Adăugați interfața CTI SSL.

    Contextul CLI depinde de versiunea BroadWorks. Comanda creează un certificat de server auto-semnat pe interfață și forțează interfața să solicite un certificat client.

    • Pe BroadWorks R22 și R23:

      XSP|ADP_CLI/Interface/CTI/CTIServer> add 8012 true true true

  2. Înlocuiți certificatul și cheia serverului pe interfețele CTI ale XSP|ADP. Aveți nevoie de adresa IP a interfeței CTI pentru aceasta; îl puteți citi din următorul context:

    • Pe BroadWorks R22 și R23:

      XSP|ADP_CLI/Interface/CTI/CTIServer> get

      Apoi executați următoarele comenzi pentru a înlocui certificatul autosemnat al interfeței cu propriul certificat și cheie privată:

      XSP|ADP_CLI/Interface/CTI/CTIServer/SSLSettings/Certificates> sslUpdate keyFile certificateFile chainFile

  3. Reporniți XSP|ADP.

Activarea accesului la evenimentele CTI BroadWorks pe Webex

Trebuie să adăugați și să validați interfața CTI atunci când configurați clusterele în Partner Hub. Consultați Configurarea organizației partenere în Hubul de parteneri pentru instrucțiuni detaliate.

  • Specificați adresa CTI prin care Webex se poate abona la BroadWorks CTI Events.

  • Abonamentele CTI sunt per abonat și sunt stabilite și menținute numai în timp ce abonatul respectiv este furnizat pentru Webex pentru Cisco BroadWorks.