Интерфейс CTI и связанная конфигурация

Ниже приведен порядок конфигурации «изнутри наружу». Следование этому порядку действий не является обязательным.

  1. Настройка сервера приложений для подписок CTI

  2. Настройте XSP|ADP для подписок CTI с аутентификацией mTLS

  3. Открытые входящие порты для защищенного CTI-интерфейса

  4. Подписка организации Webex на CTI Events BroadWorks

Настройка сервера приложений для подписок CTI

Обновите элемент ClientIdentity на сервере приложений, используя общее имя (CN) сертификата клиента CTI Webex для Cisco BroadWorks.

Для каждого сервера приложений, используемого с Webex, добавьте удостоверение сертификата для ClientIdentity следующим образом.

AS_CLI/System/ClientIdentity> add bwcticlient.webex.com

Общее имя сертификата клиента Webex для Cisco BroadWorks — bwcticlient.webex.com.

Настройка TLS и шифров в интерфейсе CTI

Уровни конфигурируемости интерфейса XSP|ADP CTI следующие:

Более общий = Системный уровень > Транспортный уровень > Интерфейсы CTI > Интерфейс CTI = более конкретный

Контексты CLI, которые используются для просмотра или изменения различных параметров SSL:

Уровень конкретики

Контекст CLI

Системный (глобальный)

(R22 и более поздние)

XSP|ADP_CLI/System/SSLCommonSettings/JSSE/Ciphers>

XSP|ADP_CLI/System/SSLCommonSettings/JSSE/Protocols>

Транспортные протоколы для этой системы

(R22 и более поздние)

XSP|ADP_CLI/System/SSLCommonSettings/OpenSSL/Ciphers>

XSP|ADP_CLI/System/SSLCommonSettings/OpenSSL/Protocols>

Все CTI-интерфейсы в этой системе

(R22 и более поздние)

XSP|ADP_CLI/Interface/CTI/SSLCommonSettings/Ciphers>

XSP|ADP_CLI/Interface/CTI/SSLCommonSettings/Protocols>

Специальный CTI-интерфейс в этой системе

(R22 и более поздние)

XSP|ADP_CLI/Interface/CTI/CTIServer/SSLSettings/Ciphers>

XSP|ADP_CLI/Interface/CTI/CTIServerSSLSettings/Protocols>

При новой установке на системном уровне по умолчанию устанавливаются следующие шифры. Если на уровне интерфейса ничего не настроено (например, на интерфейсе CTI или HTTP-интерфейсе), применяется этот список шифров. Обратите внимание, что этот список может со временем меняться:

  • TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256

  • TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256

  • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256

  • TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256

  • TLS_DHE_DSS_WITH_AES_128_GCM_SHA256

  • TLS_DHE_RSA_WITH_AES_128_GCM_SHA256

  • TLS_DHE_RSA_WITH_AES_128_CBC_SHA256

  • TLS_DHE_DSS_WITH_AES_128_CBC_SHA256

  • TLS_ECDH_RSA_WITH_AES_128_GCM_SHA256

  • TLS_ECDH_ECDSA_WITH_AES_128_GCM_SHA256

  • TLS_ECDH_RSA_WITH_AES_128_CBC_SHA256

  • TLS_ECDH_ECDSA_WITH_AES_128_CBC_SHA256

Чтение конфигурации интерфейса CTI TLS на XSP|ADP

  1. Войдите в XSP|ADP и перейдите в XSP|ADP_CLI/Interface/CTI/CTIServer>

  2. Введите команду get и прочитайте результаты. Вы должны увидеть интерфейсы (IP-адреса) и, для каждого из них, информацию о необходимости сертификата сервера и аутентификации клиента.

    XSP|ADP_CLI/Interface/CTI/CTIServer> get
  Interface IP  Port  Secure  Server Certificate  Client Auth Req
=================================================================
  10.155.6.175  8012    true                true             true

Добавление протокола TLS 1.2 в интерфейс CTI

Интерфейс XSP|ADP CTI, взаимодействующий с облаком Webex, должен быть настроен для TLS v1.2. Облако не может быть согласовано с более ранними версиями протокола TLS.

Чтобы настроить протокол TLSv1.2 на интерфейсе CTI:

  1. Войдите в XSP|ADP и перейдите в XSP|ADP_CLI/Interface/CTI/CTIServer/SSLSettings/Protocols>

  2. Введите команду get , чтобы увидеть, какие протоколы уже используются на этом интерфейсе.

  3. Введите команду add TLSv1.2, чтобы убедиться, что интерфейс может использовать TLS 1.2 при взаимодействии с облаком.

Изменение конфигурации шифров TLS в интерфейсе CTI

Чтобы настроить необходимые шифры в интерфейсе CTI:

  1. Войдите в XSP|ADP и перейдите в XSP|ADP_CLI/Interface/CTI/CTIServer/SSLSettings/Ciphers>

  2. Введите команду get, чтобы увидеть, какие шифры уже используются на этом интерфейсе. Должен быть хотя бы один из рекомендуемых Cisco наборов (см. Требования к идентификации и безопасности XSP|ADP в разделе «Обзор»).

  3. Введите команду add , чтобы добавить шифр в интерфейс CTI.

    Для интерфейса командной строки XSP|ADP требуется имя стандартного набора шифров IANA, а не имя набора шифров OpenSSL. Например, чтобы добавить шифр openSSL ECDHE-ECDSA-CHACHA20-POLY1305 к интерфейсу CTI, вы должны использовать: XSP|ADP_CLI/Interface/CTI/CTIServer/SSLSettings/Ciphers> add 192.0.2.7 TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305

    См. https://ciphersuite.info/, чтобы провести набор по имени.

Якоря доверия для интерфейса CTI (R22 и более поздние версии)

Эта процедура предполагает, что XSP|ADP либо имеют выход в Интернет, либо выходят в Интернет через сквозной прокси-сервер. Конфигурация сертификата отличается для прокси-сервера моста (см. Требования к сертификату TLS для прокси-сервера моста TLS).

Для каждого XSP|ADP в вашей инфраструктуре, который публикует события CTI в Webex, выполните следующие действия:

  1. Войдите в Partner Hub.

  2. Перейти к Услуги > Дополнительные ссылки и нажмите Загрузить сертификат Webex CA, чтобы получить CombinedCertChain2023.txt на локальном компьютере.

    Эти файлы содержат два набора по два сертификата. Перед загрузкой в ADP XSP|файлы необходимо разделить. Все файлы обязательны.

  3. Разделить цепочку сертификатов на два сертификата - combinedcertchain2023.txt

    1. Откройте combinedcertchain2023.txt в текстовом редакторе.

    2. Выделите и вырежьте первый блок текста, включая строки -----BEGIN CERTIFICATE----- и -----END CERTIFICATE-----, и вставьте текстовый блок в новый файл.

    3. Сохраните новый файл как root2023.txt.

    4. Сохраните исходный файл как issuing2023.txt. Исходный файл теперь должен содержать только один блок текста, окруженный линиями -----BEGIN CERTIFICATE----- и -----END CERTIFICATE-----.

  4. Скопируйте оба текстовых файла во временное местоположение на XSP|ADP, которое вы защищаете, например /var/broadworks/tmp/root2023.txt и /var/broadworks/tmp/issuing2023.txt

  5. Войдите в XSP|ADP и перейдите в /XSP|ADP_CLI/Interface/CTI/SSLCommonSettings/ClientAuthentication/Trusts>

  6. (Необязательно) Запустите help updateTrust, чтобы увидеть параметры и формат команды.

  7. Загрузите файлы сертификатов в новые якоря доверия - 2023

    XSP|ADP_CLI/Interface/CTI/SSLCommonSettings/ClientAuthentication/Trusts> updateTrust webexclientroot2023 /var/broadworks/tmp/root2023.txt

    XSP|ADP_CLI/Interface/CTI/SSLCommonSettings/ClientAuthentication/Trusts> updateTrust webexclientissuing2023 /var/broadworks/tmp/issuing2023.txt

    Все псевдонимы должны иметь разные имена. webexclientroot2023и webexclientissuing2023 — примеры псевдонимов для якорей доверия; вы можете использовать свои собственные, при условии, что все записи будут уникальными.

  8. Подтвердите обновление точек доверия:

    XSP|ADP_CLI/Interface/CTI/SSLCommonSettings/ClientAuthentication/Trusts> get

      Alias   Owner                                   Issuer
=============================================================================
webexclientissuing2023       Internal Private TLS SubCA      Internal Private Root
webexclientroot2023       Internal Private Root      Internal Private Root[self-signed]

  9. Разрешить клиентам аутентификацию с помощью сертификатов.

    XSP|ADP_CLI/System/CommunicationUtility/DefaultSettings/ExternalAuthentication/CertificateAuthentication> set allowClientApp true

Добавление CTI-интерфейса и включение mTLS

  1. Добавьте интерфейс CTI SSL.

    Контекст CLI зависит от версии BroadWorks. В результате этой команды в интерфейсе будет создан самозаверяющийся сертификат сервера, и интерфейс будет требовать сертификат клиента.

    • В BroadWorks R22 и R23:

      XSP|ADP_CLI/Interface/CTI/CTIServer> add 8012 true true true

  2. Замените сертификат сервера и ключ на интерфейсах CTI XSP|ADP. Для этого требуется IP-адрес интерфейса CTI; его можно получить из следующего контекста:

    • В BroadWorks R22 и R23:

      XSP|ADP_CLI/Interface/CTI/CTIServer> get

      Затем запустите следующие команды для замены самозаверяющегося сертификата интерфейса на собственный сертификат и закрытый ключ.

      XSP|ADP_CLI/Interface/CTI/CTIServer/SSLSettings/Certificates> sslUpdate keyFile certificateFile chainFile

  3. Перезапустите XSP|ADP.

Обеспечение доступа к событиям CTI BroadWorks в Webex

При настройке кластеров в Partner Hub необходимо добавить и проверить интерфейс CTI. Подробные инструкции см. в разделе Настройка партнерской организации в центре партнера.

  • Укажите адрес CTI, с помощью которого Webex может подписаться на события CTI BroadWorks.

  • Подписки CTI оформляются для каждого подписчика и поддерживаются только в том случае, если для этого подписчика подготовлена служба Webex для Cisco BroadWorks.