Uporabniki izberejo vrsto sestanka, ko načrtujejo sestanek. Pri sprejemanju udeležencev iz preddverja in med sestankom lahko gostitelj vidi status preverjanja identitete vsakega udeleženca. Obstaja tudi koda sestanka, ki je skupna vsem trenutnim udeležencem sestanka, s katero se lahko medsebojno preverjajo.
Z gostitelji srečanja delite naslednje informacije:
Pridružite se sestanku Webex s šifriranjem od konca do konca
Preveri identiteto
Šifriranje od konca do konca s preverjanjem identitete zagotavlja dodatno varnost za šifriran sestanek od konca do konca.
Ko se udeleženci ali naprave pridružijo skupni skupini MLS (Messaging Layer Security), predložijo svoja potrdila drugim članom skupine, ki nato preverijo potrdila pri izdajajočih overiteljih potrdil (CA). S potrditvijo, da so potrdila veljavna, CA preveri identiteto udeležencev, srečanje pa prikaže udeležence/naprave kot preverjene.
Uporabniki aplikacije Webex se avtentifikirajo s shrambo identitet Webex, ki jim izda žeton za dostop, ko avtentikacija uspe. Če potrebujejo potrdilo za preverjanje svoje identitete v šifriranem sestanku od konca do konca, jim Webex CA izda potrdilo na podlagi njihovega žetona za dostop. Trenutno uporabnikom Webex Meetings ne nudimo možnosti, da bi pridobili potrdilo, ki bi ga izdala tretja oseba/zunanji CA.
Naprave se lahko overijo s potrdilom, ki ga izda notranja (Webex) CA, ali s potrdilom, ki ga izda zunanja CA:
Notranji CA—Webex izda interni certifikat na podlagi žetona dostopa strojnega računa naprave. Certifikat je podpisan s strani Webex CA. Naprave nimajo uporabniških ID-jev na enak način kot uporabniki, zato Webex pri pisanju identitete potrdila naprave (Common Name (CN)) uporablja (eno od) domen vaše organizacije.
Zunanji CA – zahtevajte in kupite potrdila naprave neposredno pri izbranem izdajatelju. Potrdila morate šifrirati, neposredno naložiti in odobriti s skrivnostjo, ki je znana samo vam.
Cisco ni vključen, zaradi česar je na ta način zagotovljeno resnično šifriranje od konca do konca in preverjena identiteta ter prepreči teoretična možnost, da bi Cisco prisluškoval vašemu sestanku/dešifriral vaš medij.
Interno izdan certifikat naprave
Webex izda napravi potrdilo, ko se registrira po zagonu, in ga po potrebi obnovi. Pri napravah potrdilo vključuje ID računa in domeno.
Če vaša organizacija nima domene, Webex CA izda potrdilo brez domene.
Če ima vaša organizacija več domen, lahko uporabite Control Hub, da poveste Webexu, katero domeno naj naprava uporabi za svojo identiteto. Uporabite lahko tudi API xConfiguration Conference EndToEndEncryption Identity PreferredDomain: "example.com".
Če imate več domen in ne nastavite želene domene za napravo, Webex izbere eno namesto vas.
Zunanje izdano potrdilo naprave
Skrbnik lahko napravi zagotovi lastno potrdilo, ki je podpisano z enim od javnih CA.
Potrdilo mora temeljiti na paru ključev ECDSA P-256, čeprav ga je mogoče podpisati s ključem RSA.
Vrednosti v certifikatu so po lastni presoji organizacije. Splošno ime (CN) in alternativno ime subjekta (SAN) bosta prikazana v uporabniškem vmesniku srečanja Webex, kot je opisano v Šifriranje od konca do konca s preverjanjem identitete za Webex Meetings.
Priporočamo uporabo ločenega potrdila za vsako napravo in edinstveno CN za vsako napravo. Na primer »meeting-room-1.example.com« za organizacijo, ki ima v lasti domeno »example.com«.
Za popolno zaščito zunanjega potrdila pred posegi se za šifriranje in podpisovanje različnih ukazov x uporablja funkcija tajnosti odjemalca.
Pri uporabi skrivnosti odjemalca je možno varno upravljati zunanji certifikat identitete Webex preko xAPI. To je trenutno omejeno na spletne naprave.
Webex trenutno ponuja ukaze API za upravljanje tega.
Naprave
Naslednje naprave serije Webex Room in serije Webex Desk, registrirane v oblaku, se lahko pridružijo šifriranim sestankom od konca do konca:
Webex plošča
Webex Desk Pro
Pisalna miza Webex
Komplet za sobo Webex
Webex Room Kit Mini
Naslednje naprave se ne morejo pridružiti šifriranim sestankom od konca do konca:
Serija Webex C
Serija Webex DX
Serija Webex EX
Serija Webex MX
SIP naprave drugih proizvajalcev
Odjemalci programske opreme
Od različice 41.6 se lahko namizni odjemalec Webex Meetings pridruži šifriranim sestankom od konca do konca.
Če vaša organizacija omogoča aplikaciji Webex, da se pridruži sestankom z zagonom namizne aplikacije Meetings, potem lahko to možnost uporabite za pridružitev šifriranim sestankom od konca do konca.
Spletni odjemalec Webex se ne more pridružiti šifriranim sestankom od konca do konca.
Programski odjemalci SIP drugih proizvajalcev se ne morejo pridružiti šifriranim sestankom od konca do konca.
Identiteta
Zasnovo vam ne nudimo možnosti Control Hub za upravljanje zunanje preverjene identitete naprave. Za resnično šifriranje od konca do konca morate samo vi poznati/dostopati do skrivnosti in ključev. Če bi uvedli storitev v oblaku za upravljanje teh ključev, obstaja možnost, da jih prestrežemo.
Trenutno vam nudimo 'recept' za oblikovanje lastnih orodij, ki temeljijo na industrijskih standardnih tehnikah šifriranja, za pomoč pri zahtevanju ali šifriranju potrdil o identiteti vaše naprave in njihovih zasebnih ključev. Ne želimo imeti resničnega ali navideznega dostopa do vaših skrivnosti ali ključev.
Srečanja
Šifrirani sestanki od konca do konca trenutno podpirajo največ 200 udeležencev.
Od teh 200 udeležencev se lahko pridruži največ 25 zunanje preverjenih naprav in oni morajo biti prvi udeleženci, ki se pridružijo srečanju.
Ko se srečanju pridruži večje število naprav, poskušajo naše zaledne medijske storitve prekodirati medijske tokove. Če ne moremo dešifrirati, prekodirati in ponovno šifrirati medija (ker nimamo in ne smemo imeti šifrirnih ključev naprav), potem transkodiranje ne uspe.
Da bi ublažili to omejitev, priporočamo manjše sestanke za naprave ali razporedite povabila med napravami in odjemalci sestankov.
Vmesnik za upravljanje
Toplo priporočamo, da za upravljanje svojega mesta za srečanja uporabljate Control Hub, saj imajo organizacije Control Hub centralizirano identiteto za celotno organizacijo, medtem ko se v Site Administration identiteta nadzoruje na podlagi posameznega mesta.
Uporabniki, ki jih upravlja Site Administration, ne morejo imeti možnosti Cisco verified identity. Tem uporabnikom se izda anonimno potrdilo za pridružitev sestanku, šifriranemu od konca do konca, in so lahko izključeni iz sestankov, kjer gostitelj želi zagotoviti preverjanje identitete.
Povezane informacije
Varnost brez zaupanja za Webex (varnostno tehnični dokument): https://www.cisco.com/c/en/us/solutions/collateral/collaboration/white-paper-c11-744553.html
Predstavitev Cisco Live 2021 (potrebna je registracija za Cisco Live): https://www.ciscolive.com/2021/learn/session-catalog.html?tab.digitalbundle=Anytime21&search.sessiontype=BRK&search.learningmap=1614364767910003wzD6#/session/16106298425360015zrh
Spletno šifriranje JSON (JWE) (Osnutek standarda IETF): https://datatracker.ietf.org/doc/html/rfc7516
Uporabniška dokumentacija: https://help.webex.com/5h5d8ab
Webex srečanja 41.7.
Naprave serije Webex Room in Webex Desk, registrirane v oblaku, delujejo
10.6.1-RoomOS_August_2021.Skrbniški dostop do mesta srečanja v Control Hubu, da omogočite novo vrsto seje za uporabnike.
Ena ali več preverjenih domen v vaši organizaciji Control Hub (če uporabljate Webex CA za izdajanje potrdil naprave za preverjeno identiteto).
Sobe za sestanke za sodelovanje morajo biti vklopljene, da se lahko ljudje pridružijo iz svojega video sistema. Za več informacij glejte Dovolite video sistemom, da se pridružijo sestankom in dogodkom na vašem spletnem mestu Webex.
Ta korak lahko preskočite, če ne potrebujete zunanje preverjenih identitet.
Za najvišjo raven varnosti in za preverjanje identitete mora imeti vsaka naprava edinstveno potrdilo, ki ga izda zaupanja vreden javni overitelj potrdil (CA).
Za zahtevanje, nakup in prejem digitalnih potrdil ter ustvarjanje povezanih zasebnih ključev morate komunicirati s CA. Ko zahtevate potrdilo, uporabite te parametre:
Certifikat mora izdati in podpisati priznana javna overitelja potrdil.
Edinstveno: Močno priporočamo uporabo edinstvenega certifikata za vsako napravo. Če uporabljate en certifikat za vse naprave, ogrožate svojo varnost.
Splošno ime (CN) in nadomestna imena subjekta (SAN/i): Te za Webex niso pomembne, ampak morajo biti vrednosti, ki jih lahko ljudje preberejo in povežejo z napravo. CN bo prikazan drugim udeležencem srečanja kot primarna preverjena identiteta naprave in če uporabniki pregledajo potrdilo prek uporabniškega vmesnika srečanja, bodo videli SAN/s. Morda boste želeli uporabiti imena, kot je
name.model@example.com.Format datoteke: Certifikati in ključi morajo biti v
.pemformat.Namen: Namen potrdila mora biti Webex Identity.
Generiranje ključev: Potrdila morajo temeljiti na parih ključev ECDSA P-256 (algoritem digitalnega podpisa z eliptično krivuljo, ki uporablja krivuljo P-256).
Ta zahteva ne velja za podpisni ključ. CA lahko za podpis potrdila uporabi ključ RSA.
Ta korak lahko preskočite, če s svojimi napravami ne želite uporabljati zunanje preverjene identitete.
Če uporabljate nove naprave, jih še ne registrirajte v Webex. Zaradi varnosti jih na tej točki ne povezujte z omrežjem.
Če imate obstoječe naprave, ki jih želite nadgraditi za uporabo zunanje preverjene identitete, morate naprave ponastaviti na tovarniške nastavitve.
Shranite obstoječo konfiguracijo, če jo želite obdržati.
Načrtujte okno, ko se naprave ne uporabljajo, ali uporabite postopni pristop. Obvestite uporabnike o spremembah, ki jih lahko pričakujejo.
Zagotovite fizični dostop do naprav. Če morate dostopati do naprav prek omrežja, se zavedajte, da skrivnosti potujejo v navadnem besedilu in s tem ogrožate svojo varnost.
Ko dokončate te korake, omogočite video sistemom, da se pridružijo sestankom in dogodkom na vašem spletnem mestu Webex.
Če želite zagotoviti, da medijev vaše naprave ne more šifrirati nihče razen naprave, morate šifrirati zasebni ključ v napravi. API-je za napravo smo zasnovali tako, da omogočajo upravljanje šifriranega ključa in potrdila z uporabo JSON Web Encryption (JWE).
Da zagotovimo resnično šifriranje od konca do konca prek našega oblaka, ne moremo sodelovati pri šifriranju in nalaganju potrdila in ključa. Če potrebujete to stopnjo varnosti, morate:
Zahtevajte svoje certifikate.
Ustvarite pare ključev svojih potrdil.
Ustvarite (in zaščitite) začetno skrivnost za vsako napravo, da zagotovite zmožnost šifriranja naprave.
Razvijte in vzdržujte lastno orodje za šifriranje datotek s standardom JWE.
Postopek in (neskrivni) parametri, ki jih boste potrebovali, so razloženi spodaj, kot tudi recept, ki ga morate upoštevati pri izbranih razvojnih orodjih. Zagotavljamo tudi nekaj preskusnih podatkov in posledične blob JWE, kot jih pričakujemo, da vam pomagamo preveriti vaš proces.
Nepodprta referenčna izvedba z uporabo Python3 in knjižnice JWCrypto je na voljo pri Ciscu na zahtevo.
Združite in šifrirajte potrdilo in ključ s svojim orodjem in začetno skrivnostjo naprave.
Prenesite nastalo blob JWE v napravo.
Nastavite namen šifriranega potrdila, ki naj se uporablja za identiteto Webex, in aktivirajte potrdilo.
(Priporočeno) Zagotovite vmesnik (ali distribuirajte) svojemu orodju, da uporabnikom naprav omogočite spreminjanje začetne skrivnosti in zaščito svojih medijev pred vami.
Kako uporabljamo format JWE
V tem razdelku je opisano, kako pričakujemo, da bo JWE ustvarjen kot vhod v naprave, tako da lahko sestavite svoje orodje za ustvarjanje blobov iz svojih potrdil in ključev.
Nanašati se na Spletno šifriranje JSON (JWE) https://datatracker.ietf.org/doc/html/rfc7516 in Spletni podpis JSON (JWS) https://datatracker.ietf.org/doc/html/rfc7515.
Uporabljamo Kompaktna serializacija dokumenta JSON za ustvarjanje blobov JWE. Parametri, ki jih morate vključiti pri ustvarjanju blobov JWE, so:
JOSE Glava (zaščiteno). V glavo JSON Object Signing and Encryption MORATE vključiti naslednje pare ključ-vrednost:
"alg":"dir"Neposredni algoritem je edini, ki ga podpiramo za šifriranje tovora, in uporabiti morate začetno skrivnost odjemalca naprave.
"enc":"A128GCM"oz"enc":"A256GCM"Podpiramo ta dva algoritma šifriranja.
"cisco-action": "add"oz"cisco-action": "populate"oz"cisco-action": "activate"oz"cisco-action": "deactivate"To je lastniški ključ in ima lahko štiri vrednosti. Ta ključ smo uvedli za signaliziranje namena šifriranih podatkov ciljni napravi. Vrednosti so poimenovane po ukazih xAPI v napravi, kjer uporabljate šifrirane podatke.
Poimenovali smo ga
cisco-actionza ublažitev morebitnih navzkrižij s prihodnjimi razširitvami JWE."cisco-kdf": { "version": "1", "salt": "base64URLEncodedRandom4+Bytes" }Še en lastniški ključ. Vrednosti, ki jih posredujete, uporabljamo kot vnose za izpeljavo ključa v napravi. The
versionmora biti1(različica naše ključne funkcije za izpeljavo). Vrednostsaltmora biti vsaj 4 bajti kodirano zaporedje base64 URL, ki ga mora izberite naključno.
Šifrirani ključ JWE. To polje je prazno. Naprava jo izpelje iz začetne
ClientSecret.Inicializacijski vektor JWE. Za dešifriranje koristnega tovora morate zagotoviti inicializacijski vektor, kodiran base64url. IV MORA naj bo naključna 12-bajtna vrednost (uporabljamo družino šifre AES-GCM, ki zahteva, da je IV dolg 12 bajtov).
JWE AAD (dodatni overjeni podatki). To polje morate izpustiti, ker ni podprto v kompaktni serializaciji.
Šifrirano besedilo JWE: To je šifriran tovor, ki ga želite ohraniti skrivnost.
Tovor je LAHKO prazen. Če želite na primer ponastaviti skrivnost odjemalca, jo morate prepisati s prazno vrednostjo.
Obstajajo različne vrste koristnih obremenitev, odvisno od tega, kaj poskušate narediti na napravi. Različni ukazi xAPI pričakujejo različne koristne obremenitve, zato morate določiti namen koristne obremenitve z
cisco-actionključ, kot sledi:z
"cisco-action":"populate"šifrirano besedilo je novoClientSecret.z "
"cisco-action":"add"šifrirano besedilo je PEM blob, ki nosi potrdilo in njegov zasebni ključ (povezan).z "
"cisco-action":"activate"šifrirano besedilo je prstni odtis (šestnajstiška predstavitev sha-1) potrdila, ki ga aktiviramo za preverjanje identitete naprave.z "
"cisco-action":"deactivate"šifrirano besedilo je prstni odtis (šestnajstiška predstavitev sha-1) potrdila, ki ga deaktiviramo pred uporabo za preverjanje identitete naprave.
Oznaka za preverjanje pristnosti JWE: To polje vsebuje oznako za preverjanje pristnosti za preverjanje celovitosti celotnega kompaktno serializiranega bloba JWE
Kako pridobimo šifrirni ključ iz ClientSecret
Po prvem vnosu skrivnosti skrivnosti ne sprejmemo ali izpišemo kot golo besedilo. To je namenjeno preprečevanju morebitnih slovarskih napadov nekoga, ki bi lahko dostopal do naprave.
Programska oprema naprave uporablja skrivnost odjemalca kot vhod v funkcijo izpeljave ključa (kdf) in nato uporabi izpeljani ključ za dešifriranje/šifriranje vsebine v napravi.
Za vas to pomeni, da mora vaše orodje za izdelavo blobov JWE slediti istemu postopku za pridobitev istega ključa za šifriranje/dešifriranje iz skrivnosti odjemalca.
Naprave uporabljajo šifra za izpeljavo ključa (glej https://en.wikipedia.org/wiki/Scrypt), z naslednjimi parametri:
CostFactor (N) je 32768
BlockSizeFactor (r) je 8
Paralelizacijski faktor (p) je 1
Sol je naključno zaporedje vsaj 4 bajtov; morate zagotoviti to isto
saltpri določanjucisco-kdfparameter.Dolžine ključev so 16 bajtov (če izberete algoritem AES-GCM 128) ali 32 bajtov (če izberete algoritem AES-GCM 256)
Največja omejitev pomnilnika je 64 MB
Ta nabor parametrov je edina konfiguracija šifra ki je združljiv s funkcijo izpeljave ključev na napravah. Ta kdf na napravah se imenuje "version":"1", ki je edina različica, ki jo trenutno uporablja cisco-kdf parameter.
Primer dela
Tukaj je primer, ki mu lahko sledite, da preverite, ali vaš postopek šifriranja JWE deluje enako kot postopek, ki smo ga ustvarili v napravah.
Primer scenarija je dodajanje bloba PEM v napravo (posnema dodajanje potrdila z zelo kratkim nizom namesto polnega potrdila + ključ). Skrivnost stranke v primeru je ossifrage.
Izberite šifro šifriranja. Ta primer uporablja
A128GCM(AES s 128-bitnimi ključi v načinu števca Galois). Vaše orodje bi lahko uporabiloA256GCMče vam je ljubše.Izberite sol (mora biti naključno zaporedje vsaj 4 bajtov). Ta primer uporablja (šestnajstiške bajte)
E5 E6 53 08 03 F8 33 F6. Base64url kodira zaporedje, ki ga želite dobiti5eZTCAP4M_Y(odstranite oblazinjenje base64).Tukaj je vzorec
scryptklic za ustvarjanje ključa za šifriranje vsebine (cek):cek=scrypt(password="ossifrage", salt=4-byte-sequence, N=32768, r=8, p=1, keylength=16)Izpeljani ključ mora imeti 16 bajtov (šestnajstiški), kot sledi:
95 9e ba 6d d1 22 01 05 78 fe 6a 9d 22 78 ff acv katerega base64url kodiralZ66bdEiAQV4_mqdInj_rA.Izberite naključno zaporedje 12 bajtov za uporabo kot inicializacijski vektor. Ta primer uporablja (hex)
34 b3 5d dd 5f 53 7b af 2d 92 95 83v katerega base64url kodiraNLNd3V9Te68tkpWD.Ustvarite glavo JOSE s kompaktno serializacijo (upoštevajte isti vrstni red parametrov, kot ga uporabljamo tukaj) in jo nato kodirajte z base64url:
{"alg":"dir","cisco-action":"add","cisco-kdf":{"salt":"5eZTCAP4M_Y","version":"1"},"enc":"A128GCM"}Base64url kodirana glava JOSE je
eyJhbGciOiJkaXIiLCJjaXNjby1hY3Rpb24iOiJhZGQiLCJjaXNjby1rZGYiOnsic2FsdCI6IjVlWlRDQVA0TV9ZIiwidmVyc2lvbiI6IjEifSwiZW5jIjoiQTEyOEdDTSJ9To bo prvi element bloba JWE.
Drugi element bloba JWE je prazen, ker ne posredujemo ključa za šifriranje JWE.
Tretji element bloba JWE je inicializacijski vektor
NLNd3V9Te68tkpWD.- Uporabite svoje orodje za šifriranje JWE, da ustvarite šifriran tovor in oznako. V tem primeru bo nešifrirana koristna vsebina ponarejena blob PEM
this is a PEM fileParametri šifriranja, ki jih morate uporabiti, so:
Tovor je
this is a PEM fileŠifrirana šifra je AES 128 GCM
Base64url kodirana glava JOSE kot dodatni overjeni podatki (AAD)
Base64url kodira šifrirano koristno vsebino, kar bi moralo povzročiti
f5lLVuWNfKfmzYCo1YJfODhQTo je četrti element (šifrirano besedilo JWE) v blobu JWE.
Base64url kodira oznako, ki ste jo izdelali v 8. koraku, rezultat pa bi moral biti
PE-wDFWGXFFBeo928cfZ1QTo je peti element v blobu JWE.
Združite pet elementov bloba JWE s pikami (JOSEheader..IV.Ciphertext.Tag), da dobite:
eyJhbGciOiJkaXIiLCJjaXNjby1hY3Rpb24iOiJhZGQiLCJjaXNjby1rZGYiOnsic2FsdCI6IjVlWlRDQVA0TV9ZIiwidmVyc2lvbiI6IjEifSwiZW5jIjoiQTEyOEdDTSJ..9NLNd3V9Te68tkpWD.f5lLVuWNfKfmzYCo1YJfODhQ.PE-wDFWGXFFBeo928cfZ1QČe ste z lastnimi orodji izpeljali iste kodirane vrednosti base64url, kot jih prikazujemo tukaj, ste jih pripravljeni uporabiti za zaščito šifriranja E2E in preverjene identitete vaših naprav.
Ta primer dejansko ne bo deloval, vendar bi bil načeloma vaš naslednji korak uporaba bloba JWE, ki ste ga ustvarili zgoraj, kot vnos v ukaz x v napravi, ki dodaja potrdilo:
xCommand Security Certificates AddeyJhbGciOiJkaXIiLCJjaXNjby1hY3Rpb24iOiJhZGQiLCJjaXNjby1rZGYiOnsic2FsdCI6IjVlWlRDQVA0TV9ZIiwidmVyc2lvbiI6IjEifSwiZW5jIjoiQTEyOEdDTSJ..9NLNd3V9Te68tkpWD.f5lLVuWNfKfmzYCo1YJfODhQ.PE-wDFWGXFFBeo928cfZ1Q
Vrste sej za sestanke brez zaupanja so na voljo vsem mestom za sestanke brez dodatnih stroškov. Ena od teh vrst sej se imenuje Pro-End to End Encryption_VOIPonly. To je Ime javne službe, kar bomo morda v prihodnosti spremenili. Za trenutna imena vrst sej glejte ID-ji vrste seje v Referenca razdelek tega članka.
Ničesar vam ni treba storiti, da bi pridobili to možnost za svoje spletno mesto; morate odobriti novo vrsto seje (imenovano tudi Privilegij srečanja) uporabnikom. To lahko storite posamezno na uporabniški konfiguracijski strani ali v velikem obsegu z izvozom/uvozom CSV.
| 1 | Prijavite se v Nadzorno središče, in pojdite na . | ||
| 2 | Kliknite Spletna mesta, izberite spletno mesto Webex, za katerega želite spremeniti nastavitve, in kliknite nastavitve. | ||
| 3 | Spodaj Skupne nastavitve, izberite Vrste sej. | ||
| 4 | Morali bi videti eno ali več vrst sej šifriranja od konca do konca. Oglejte si seznam ID-ji vrste seje v Referenca razdelek tega članka. Na primer, lahko vidite Pro-End to End Encryption_VOIPonly.
| ||
| 5 | Če še nimate nove vrste seje, se obrnite na predstavnika Webexa. |
Kaj storiti naprej
Omogočite to vrsto seje/privilegij srečanja nekaterim ali vsem svojim uporabnikom.
| 1 | Prijavite se v Nadzorno središče, in pojdite na . |
| 2 | Izberite uporabniški račun za posodobitev in nato izberite Srečanja. |
| 3 | Iz Nastavitve veljajo za spustnem meniju izberite mesto srečanja, ki ga želite posodobiti. |
| 4 | Potrdite polje zraven Pro-End to End Encryption_VOIPonly. |
| 5 | Zaprite uporabniško konfiguracijsko ploščo. |
| 6 | Po potrebi ponovite za druge uporabnike. Če želite to dodeliti več uporabnikom, uporabite naslednjo možnost, Omogočite srečanja E2EE za več uporabnikov. |
| 1 | Prijavite se v Nadzorno središče, in pojdite na . | ||
| 2 | Kliknite Spletna mesta, izberite spletno mesto Webex, za katerega želite spremeniti nastavitve. | ||
| 3 | V Licence in uporabniki kliknite Množično upravljanje. | ||
| 4 | Kliknite Ustvari poročilo, in počakajte, da pripravimo datoteko. | ||
| 5 | Ko je datoteka pripravljena, kliknite Izvozi rezultate in potem Prenesi. (Po kliku morate to pojavno okno zapreti ročno Prenesi.) | ||
| 6 | Odprite preneseno datoteko CSV za urejanje. Obstaja vrstica za vsakega uporabnika in | ||
| 7 | Za vsakega uporabnika, ki mu želite dodeliti novo vrsto seje, dodajte The Webex Referenca za format datoteke CSV vsebuje podrobnosti o namenu in vsebini datoteke CSV. | ||
| 8 | Odprite ploščo za konfiguracijo mesta srečanja v nadzornem središču.
| ||
| 9 | V Licence in uporabniki kliknite Množično upravljanje. | ||
| 10 | Kliknite Uvozi in izberite urejen CSV ter kliknite Uvozi. Počakajte, da se datoteka naloži. | ||
| 11 | Ko je uvoz končan, lahko kliknete Uvozi rezultate pregledati, če so bile kakšne napake. | ||
| 12 | Pojdi na Uporabniki in odprite enega od uporabnikov, da preverite, ali ima novo vrsto seje. |
Posnetkom sestankov lahko dodate vodni žig z Webex Meetings Pro-End to End Encryption_VOIPonly vrsto seje, ki omogoča identifikacijo izvornega odjemalca ali naprave nepooblaščenih posnetkov zaupnih sestankov.
Ko je ta funkcija omogočena, zvok sestanka vključuje edinstven identifikator za vsakega sodelujočega odjemalca ali napravo. Zvočne posnetke lahko naložite v Control Hub, ki nato analizira posnetek in poišče edinstvene identifikatorje. Ogledate si lahko rezultate, da vidite, kateri izvorni odjemalec ali naprava je posnela sestanek.
- Za analizo mora biti posnetek datoteka AAC, MP3, M4A, WAV, MP4, AVI ali MOV, ki ni večja od 500 MB.
- Posnetek mora biti daljši od 100 sekund.
- Posnetke lahko analizirate samo za sestanke, ki jih gostijo ljudje v vaši organizaciji.
- Informacije o vodnem žigu se hranijo enako dolgo kot informacije o sestanku organizacije.
Sestankom E2EE dodajte zvočne vodne žige
- Prijavite se v Control Hub, nato pod Upravljanje, izberite Nastavitve organizacije.
- V Vodni žigi srečanja razdelek, vklopite Dodajte zvočni vodni žig.
Nekaj časa po tem, ko je to vklopljeno, uporabniki načrtujejo sestanke z
Webex Meetings Pro-End to End Encryption_VOIPonlyvrsta seje glej a Digitalni vodni žig možnost v razdelku Varnost.
Naložite in analizirajte srečanje z vodnim žigom
- V Control Hub, pod Spremljanje, izberite Odpravljanje težav.
- Kliknite Analiza vodnega žiga.
- Poiščite ali izberite srečanje na seznamu in kliknite Analizirajte.
- V Analizirajte zvočni vodni žig oknu vnesite ime za analizo.
- (Izbirno) Vnesite opombo za svojo analizo.
- Povlecite in spustite zvočno datoteko, ki jo želite analizirati, ali kliknite Izberite datoteko za brskanje do zvočne datoteke.
- Kliknite Zapri.
Ko je analiza končana, bo prikazana na seznamu rezultatov na Analizirajte vodni žig strani.
- Za ogled rezultatov analize izberite srečanje na seznamu. Kliknite
za prenos rezultatov.
Lastnosti in omejitve
Dejavniki, ki sodelujejo pri uspešnem dekodiranju posnetega vodnega žiga, vključujejo razdaljo med snemalno napravo in zvočnikom, ki oddaja zvok, glasnost tega zvoka, okoljski hrup itd. Naša tehnologija vodnih žigov ima dodatno odpornost na večkratno kodiranje, kar se lahko zgodi, ko mediji so v skupni rabi.
Ta funkcija je zasnovana tako, da omogoča uspešno dekodiranje identifikatorja vodnega žiga v širokem, a razumnem nizu okoliščin. Naš cilj je, da bi snemalna naprava, kot je mobilni telefon, ki leži na mizi blizu osebne končne točke ali odjemalca prenosnika, vedno ustvarila posnetek, ki ima za posledico uspešno analizo. Ko je snemalna naprava odmaknjena od vira ali je zakrita, da ne bi slišali celotnega zvočnega spektra, se možnosti za uspešno analizo zmanjšajo.
Za uspešno analizo posnetka je potreben primeren zajem zvoka sestanka. Če je zvok sestanka posnet na istem računalniku, ki gosti odjemalca, omejitve ne bi smele veljati.
Če so vaše naprave že vključene v vašo organizacijo Control Hub in želite uporabiti Webex CA za samodejno generiranje njihovih identifikacijskih potrdil, vam naprav ni treba ponastaviti na tovarniške nastavitve.
Ta postopek izbere, katero domeno naprava uporablja za identifikacijo, in je potreben samo, če imate v svoji organizaciji Control Hub več domen. Če imate več kot eno domeno, vam priporočamo, da to storite za vse svoje naprave, ki bodo imele identiteto "Cisco-verified". Če Webexu ne poveste, katera domena identificira napravo, se samodejno izbere ena in se lahko drugim udeležencem srečanja zdi napačna.
Preden začneš
Če vaše naprave še niso vgrajene, sledite Registrirajte napravo v Cisco Webex z uporabo API-ja ali lokalnega spletnega vmesnika oz Vključevanje v oblak za serije Board, Desk in Room. Prav tako morate preveriti domene, ki jih želite uporabiti za identifikacijo naprav Upravljajte svoje domene.
| 1 | Prijavite se v Control Hub, in pod Upravljanje, izberite Naprave. |
| 2 | Izberite napravo, da odprete njeno konfiguracijsko ploščo. |
| 3 | Izberite domeno, ki jo želite uporabiti za identifikacijo te naprave. |
| 4 | Ponovite za druge naprave. |
Preden začneš
Potrebujete:
Če želite pridobiti potrdilo in zasebni ključ s podpisom CA, v
.pemobliki, za vsako napravo.Da prebereš temo Razumevanje postopka zunanje identitete za naprave, v Pripravite se del tega članka.
Za pripravo orodja za šifriranje JWE glede na tamkajšnje informacije.
Orodje za ustvarjanje naključnih zaporedij bajtov danih dolžin.
Orodje za kodiranje bajtov ali besedila base64url.
An
scryptizvajanje.Skrivna beseda ali fraza za vsako napravo.
| 1 | Napolnite naprave Ko prvič zapolnite Naprava ima svojo prvotno skrivnost. Ne pozabi tega; ne morete ga obnoviti in morate napravo ponastaviti na tovarniške nastavitve, da začnete znova.
|
| 2 | Povežite svoje potrdilo in zasebni ključ: |
| 3 | Ustvarite blob JWE za uporabo kot vhod v ukaz za dodajanje potrdila: |
| 4 | Odprite TShell na napravi in zaženite (večvrstični) ukaz za dodajanje: |
| 5 | Z zagonom preverite, ali je potrdilo dodano Kopirajte prstni odtis novega potrdila. |
| 6 | Za ta namen aktivirajte potrdilo Naprava ima šifrirano, aktivno potrdilo, ki ga je izdal CA, pripravljeno za uporabo za identifikacijo v šifriranih sestankih Webex od konca do konca.
|
| 7 | Napravo vključite v svojo organizacijo Control Hub. |
| 1 | Načrtujte sestanek pravilne vrste (Webex Meetings Pro-End to End Encryption_VOIPonly). |
| 2 | Pridružite se srečanju kot gostitelj iz odjemalca Webex Meetings. |
| 3 | Pridružite se sestanku iz naprave, katere identiteto je potrdil Webex CA. |
| 4 | Kot gostitelj preverite, ali je ta naprava prikazana v preddverju s pravilno ikono identitete. |
| 5 | Pridružite se sestanku iz naprave, katere identiteto je preveril zunanji CA. |
| 6 | Kot gostitelj preverite, ali je ta naprava prikazana v preddverju s pravilno ikono identitete. Izvedite več o ikonah identitete. |
| 7 | Pridružite se sestanku kot nepreverjeni udeleženec sestanka. |
| 8 | Kot gostitelj preverite, ali se ta udeleženec pojavi v preddverju s pravilno ikono identitete. |
| 9 | Kot gostitelj sprejmete ali zavrnete ljudi/naprave. |
| 10 | Potrdite identitete udeležencev/naprav, kjer je to mogoče, tako da preverite potrdila. |
| 11 | Preverite, ali vsi udeleženci sestanka vidijo isto varnostno kodo sestanka. |
| 12 | Pridružite se srečanju z novim udeležencem. |
| 13 | Preverite, ali vsi vidijo isto, novo varnostno kodo sestanka. |
Ali boste šifrirana srečanja od konca do konca določili kot privzeto možnost srečanja ali jo omogočili le nekaterim uporabnikom ali dovolili vsem gostiteljem, da se odločijo? Ko se odločite, kako boste uporabljali to funkcijo, pripravite uporabnike, ki jo bodo uporabljali, predvsem glede omejitev in kaj lahko pričakujete na sestanku.
Ali morate zagotoviti, da niti Cisco niti kdo drug ne more dešifrirati vaše vsebine ali lažno predstavljati vaših naprav? Če je tako, potrebujete potrdila javnega CA. Na varnem sestanku lahko imate največ 25 naprav. Če potrebujete to raven varnosti, strankam sestankov ne smete dovoliti, da se pridružijo.
Za uporabnike, ki se pridružujejo z varnimi napravami, dovolite, da se naprave najprej pridružijo, in nastavite pričakovanja uporabnikov, da se morda ne bodo mogli pridružiti, če se pridružijo pozno.
Če imate različne ravni preverjanja identitete, omogočite uporabnikom, da se medsebojno preverjajo z identiteto, podprto s potrdilom, in varnostno kodo srečanja. Čeprav obstajajo okoliščine, v katerih se lahko udeleženci prikažejo kot nepreverjeni in bi morali udeleženci vedeti, kako preveriti, nepreverjeni ljudje morda niso sleparji.
Če za izdajo potrdil vaše naprave uporabljate zunanjo CA, ste sami odgovorni za spremljanje, osveževanje in ponovno uporabo potrdil.
Če ste ustvarili prvotno skrivnost, upoštevajte, da bodo vaši uporabniki morda želeli spremeniti skrivnost svoje naprave. Morda boste morali ustvariti vmesnik/distribuirati orodje, ki jim bo omogočilo to.
ID vrste seje | Ime javne službe |
|---|---|
638 | Samo šifriranje E2E + VoIP |
652 | Pro-End to End Encryption_VOIPonly |
660 | Pro 3 Free-End to End Encryption_VOIPonly Šifriranje E2E + identiteta |
672 | Pro 3 Free50-od konca do konca Encryption_VOIPonly |
673 | Inštruktor izobraževanja E2E Encryption_VOIPonly |
676 | Broadworks Standard plus šifriranje od konca do konca |
677 | Broadworks Premium plus šifriranje od konca do konca |
681 | Schoology Free plus šifriranje od konca do konca |
Te tabele opisujejo ukaze API-ja za naprave Webex, ki smo jih dodali za šifrirana srečanja od konca do konca in preverjeno identiteto. Za več informacij o uporabi API-ja glejte Dostopajte do API-ja za sobne in namizne naprave Webex ter plošče Webex.
Ti ukazi xAPI so na voljo samo v napravah, ki so:
Registriran na Webex
Registriran na mestu uporabe in povezan z Webexom z Webex Edge for Devices
API klic | Opis |
|---|---|
| Ta konfiguracija se izvede, ko skrbnik nastavi prednostno domeno naprave iz Control Huba. Potrebno le, če ima organizacija več kot eno domeno. Naprava uporablja to domeno, ko zahteva potrdilo od Webex CA. Domena nato identificira napravo. Ta konfiguracija ni uporabna, če ima naprava aktivno, zunanje izdano potrdilo za identifikacijo. |
| Označuje, ali se naprava lahko pridruži šifriranemu sestanku od konca do konca. API za oblak ga pokliče, tako da seznanjena aplikacija ve, ali lahko uporabi napravo za pridružitev. |
| Označuje, ali naprava uporablja |
| Identiteta naprave, kot je prebrana iz splošnega imena zunanjega izdanega potrdila. |
| Prebere določene informacije iz zunanjega izdanega potrdila. V prikazanem ukazu zamenjajte
|
| Stanje zunanje identitete naprave (npr |
| Označuje, ali ima naprava veljavno potrdilo, ki ga je izdal Webex CA. |
| Identiteta naprave, kot je prebrana iz splošnega imena potrdila, ki ga je izdal Webex. Vsebuje ime domene, če ima organizacija domeno. Je prazno, če organizacija nima domene. Če je naprava v organizaciji, ki ima več domen, je to vrednost iz |
| Prebere določene informacije iz potrdila, ki ga je izdal Webex. V prikazanem ukazu zamenjajte
|
API klic | Opis |
|---|---|
| Ti trije dogodki zdaj vključujejo |
API klic | Opis |
|---|---|
oz
| Sprejema vrednost navadnega besedila, kodiranega z base64url, za prvo sejanje skrivnosti odjemalca v napravi. Če želite posodobiti skrivnost po tem prvem času, morate zagotoviti blob JWE, ki vsebuje novo skrivnost, šifrirano s staro skrivnostjo. |
| Doda potrdilo (z zasebnim ključem). Ta ukaz smo razširili, da sprejme blob JWE, ki vsebuje šifrirane podatke PEM. |
| Aktivira določeno potrdilo za WebexIdentity. Za to |
| Deaktivira določeno potrdilo za WebexIdentity. Za to |
