Rozhranie CTI a súvisiaca konfigurácia

Poradie konfigurácie „od najvnútornejšieho po najvzdialenejší“ je uvedené nižšie. Dodržiavanie tohto poradia nie je povinné.

  1. Konfigurácia aplikačného servera pre predplatné CTI

  2. Konfigurácia XSP|ADP pre predplatné CTI overené mTLS

  3. Otvorené vstupné porty pre zabezpečené rozhranie CTI

  4. Prihláste svoju organizáciu Webex na odber podujatí BroadWorks CTI

Konfigurácia aplikačného servera pre predplatné CTI

Aktualizujte ClientIdentity na aplikačnom serveri pomocou bežného názvu (CN) klientskeho certifikátu Webex pre Cisco BroadWorks CTI.

Pre každý aplikačný server, ktorý používate s Webexom, pridajte identitu certifikátu do ClientIdentity takto:

AS_CLI/System/ClientIdentity> add bwcticlient.webex.com

Bežný názov klientskeho certifikátu Webex pre Cisco BroadWorks je bwcticlient.webex.com.

Konfigurácia TLS a šifier na rozhraní CTI

Úrovne konfigurovateľnosti pre rozhranie XSP|ADP CTI sú nasledovné:

Najvšeobecnejšie = Systém > Doprava > Rozhrania CTI > Rozhranie CTI = Najšpecifickejšie

Kontexty rozhrania príkazového riadka, ktoré používate na zobrazenie alebo úpravu rôznych nastavení SSL, sú:

Špecifickosť

Kontext rozhrania príkazového riadka

Systém (globálny)

(R22 a novšie)

XSP|ADP_CLI/System/SSLCommonSettings/JSSE/Ciphers>

XSP|ADP_CLI/System/SSLCommonSettings/JSSE/Protocols>

Transportné protokoly pre tento systém

(R22 a novšie)

XSP|ADP_CLI/System/SSLCommonSettings/OpenSSL/Ciphers>

XSP|ADP_CLI/System/SSLCommonSettings/OpenSSL/Protocols>

Všetky rozhrania CTI v tomto systéme

(R22 a novšie)

XSP|ADP_CLI/Interface/CTI/SSLCommonSettings/Ciphers>

XSP|ADP_CLI/Interface/CTI/SSLCommonSettings/Protocols>

Špecifické rozhranie CTI v tomto systéme

(R22 a novšie)

XSP|ADP_CLI/Interface/CTI/CTIServer/SSLSettings/Ciphers>

XSP|ADP_CLI/Interface/CTI/CTIServerSSLSettings/Protocols>

Pri novej inštalácii sa na úrovni systému štandardne nainštalujú nasledujúce šifry. Ak na úrovni rozhrania nie je nič nakonfigurované (napríklad na rozhraní CTI alebo HTTP), platí tento zoznam šifier. Upozorňujeme, že tento zoznam sa môže časom meniť:

  • TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256

  • TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256

  • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256

  • TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256

  • TLS_DHE_DSS_WITH_AES_128_GCM_SHA256

  • TLS_DHE_RSA_WITH_AES_128_GCM_SHA256

  • TLS_DHE_RSA_WITH_AES_128_CBC_SHA256

  • TLS_DHE_DSS_WITH_AES_128_CBC_SHA256

  • TLS_ECDH_RSA_WITH_AES_128_GCM_SHA256

  • TLS_ECDH_ECDSA_WITH_AES_128_GCM_SHA256

  • TLS_ECDH_RSA_WITH_AES_128_CBC_SHA256

  • TLS_ECDH_ECDSA_WITH_AES_128_CBC_SHA256

Čítanie konfigurácie rozhrania CTI TLS na XSP|ADP

  1. Prihláste sa do XSP|ADP a prejdite na XSP|ADP_CLI/Interface/CTI/CTIServer>

  2. Zadajte príkaz get a prečítajte si výsledky. Mali by ste vidieť rozhrania (IP adresy) a pre každé z nich, či vyžadujú certifikát servera a či vyžadujú overenie klienta.

    XSP|ADP_CLI/Interface/CTI/CTIServer> get
  Interface IP  Port  Secure  Server Certificate  Client Auth Req
=================================================================
  10.155.6.175  8012    true                true             true

Pridanie protokolu TLS 1.2 do rozhrania CTI

Rozhranie XSP|ADP CTI, ktoré interaguje s Webex Cloud, musí byť nakonfigurované pre TLS v1.2. Cloud nevyjednáva staršie verzie protokolu TLS.

Konfigurácia protokolu TLSv1.2 na rozhraní CTI:

  1. Prihláste sa do XSP|ADP a prejdite na XSP|ADP_CLI/Interface/CTI/CTIServer/SSLSettings/Protocols>

  2. Zadajte príkaz get a zistite, ktoré protokoly sa už na tomto rozhraní používajú.

  3. Zadajte príkaz add TLSv1.2, aby ste zabezpečili, že rozhranie môže pri komunikácii s cloudom používať TLS 1.2.

Úprava konfigurácie šifier TLS na rozhraní CTI

Konfigurácia požadovaných šifier na rozhraní CTI:

  1. Prihláste sa do XSP|ADP a prejdite na XSP|ADP_CLI/Interface/CTI/CTIServer/SSLSettings/Ciphers>

  2. Zadajte príkaz get a zistite, ktoré šifry sa už na tomto rozhraní používajú. Musí existovať aspoň jeden z odporúčaných balíkov spoločnosti Cisco (pozri XSP|Požiadavky na identitu a zabezpečenie ADP v časti Prehľad).

  3. Zadajte príkaz add na pridanie šifry do rozhrania CTI.

    Rozhranie príkazového riadka XSP|ADP vyžaduje štandardný názov šifrovacej sady IANA, nie názov šifrovacej sady openSSL. Napríklad, ak chcete do rozhrania CTI pridať šifru openSSL ECDHE-ECDSA-CHACHA20-POLY1305, použijete: XSP|ADP_CLI/Interface/CTI/CTIServer/SSLSettings/Ciphers> add 192.0.2.7 TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305

    Ak chcete nájsť apartmán podľa ktoréhokoľvek z názvov, pozrite si https://ciphersuite.info/.

Dôveryhodné kotvy pre rozhranie CTI (R22 a novšie)

Tento postup predpokladá, že ADP XSP|sú buď pripojené k internetu, alebo sú pripojené k internetu cez priechodný proxy server. Konfigurácia certifikátu je odlišná pre premosťovací proxy (pozri Požiadavky na certifikát TLS pre premosťovací proxy TLS).

Pre každý XSP|ADP vo vašej infraštruktúre, ktorý publikuje udalosti CTI do Webexu, vykonajte nasledujúce kroky:

  1. Prihláste sa do Centra partnerov.

  2. Prejsť na Služby > Ďalšie odkazy a kliknite na Stiahnuť certifikát Webex CA a získajte CombinedCertChain2023.txt na svojom lokálnom počítači.

    Tieto súbory obsahujú dve sady dvoch certifikátov. Pred nahraním do XSP|ADP je potrebné súbory rozdeliť. Všetky súbory sú povinné.

  3. Rozdeliť reťaz certifikátov na dva certifikáty - combinedcertchain2023.txt

    1. Otvorte combinedcertchain2023.txt v textovom editore.

    2. Vyberte a vystrihnite prvý blok textu vrátane riadkov -----BEGIN CERTIFICATE----- a -----END CERTIFICATE-----a vložte blok textu do nového súboru.

    3. Uložte nový súbor ako root2023.txt.

    4. Uložte pôvodný súbor ako issuing2023.txt. Pôvodný súbor by teraz mal obsahovať iba jeden blok textu, ohraničený riadkami -----BEGIN CERTIFICATE----- a -----END CERTIFICATE-----.

  4. Skopírujte oba textové súbory do dočasného umiestnenia na XSP|ADP, ktoré zabezpečujete, napr. /var/broadworks/tmp/root2023.txt a /var/broadworks/tmp/issuing2023.txt

  5. Prihláste sa do XSP|ADP a prejdite na /XSP|ADP_CLI/Interface/CTI/SSLCommonSettings/ClientAuthentication/Trusts>

  6. (Voliteľné) Spustite help updateTrust a zobrazte parametre a formát príkazu.

  7. Nahranie súborov certifikátov do nových dôveryhodných kotiev – 2023

    XSP|ADP_CLI/Interface/CTI/SSLCommonSettings/ClientAuthentication/Trusts> updateTrust webexclientroot2023 /var/broadworks/tmp/root2023.txt

    XSP|ADP_CLI/Interface/CTI/SSLCommonSettings/ClientAuthentication/Trusts> updateTrust webexclientissuing2023 /var/broadworks/tmp/issuing2023.txt

    Všetky aliasy musia mať iné meno. webexclientroot2023a webexclientissuing2023 sú príklady aliasov pre dôveryhodné kotvy; môžete použiť vlastné, pokiaľ sú všetky položky jedinečné.

  8. Potvrďte aktualizáciu kotiev:

    XSP|ADP_CLI/Interface/CTI/SSLCommonSettings/ClientAuthentication/Trusts> get

      Alias   Owner                                   Issuer
=============================================================================
webexclientissuing2023       Internal Private TLS SubCA      Internal Private Root
webexclientroot2023       Internal Private Root      Internal Private Root[self-signed]

  9. Povoliť klientom overovanie pomocou certifikátov:

    XSP|ADP_CLI/System/CommunicationUtility/DefaultSettings/ExternalAuthentication/CertificateAuthentication> set allowClientApp true

Pridajte rozhranie CTI a povoľte mTLS

  1. Pridajte rozhranie CTI SSL.

    Kontext CLI závisí od vašej verzie BroadWorks. Príkaz vytvorí na rozhraní samopodpísaný certifikát servera a vynúti rozhranie, aby vyžadovalo klientsky certifikát.

    • Na diaľniciach BroadWorks R22 a R23:

      XSP|ADP_CLI/Interface/CTI/CTIServer> add 8012 true true true

  2. Nahraďte certifikát a kľúč servera na rozhraniach CTI XSP|ADP. Na to potrebujete IP adresu rozhrania CTI; môžete si ju prečítať z nasledujúceho kontextu:

    • Na diaľniciach BroadWorks R22 a R23:

      XSP|ADP_CLI/Interface/CTI/CTIServer> get

      Potom spustite nasledujúce príkazy na nahradenie samopodpísaného certifikátu rozhrania vlastným certifikátom a súkromným kľúčom:

      XSP|ADP_CLI/Interface/CTI/CTIServer/SSLSettings/Certificates> sslUpdate keyFile certificateFile chainFile

  3. Reštartujte XSP|ADP.

Povoliť prístup k udalostiam BroadWorks CTI na Webexe

Pri konfigurácii klastrov v centre partnerov je potrebné pridať a overiť rozhranie CTI. Podrobné pokyny nájdete v časti Konfigurácia partnerskej organizácie v Centre pre partnerov.

  • Zadajte adresu CTI, pomocou ktorej sa Webex môže prihlásiť na odber udalostí BroadWorks CTI.

  • Predplatné CTI sa uzatvárajú na základe jednotlivých predplatiteľov a sú zriadené a udržiavané iba vtedy, keď je daný predplatiteľ zriadený pre Webex pre Cisco BroadWorks.