Primena sastanaka sa nultim poverenjem

Korisničko iskustvo

Korisnici biraju tip sastanka kada zakazati sastanak. Prilikom prijema učesnika iz čekaonice, kao i tokom sastanka, organizator može da vidi status provere identiteta svakog učesnika. Postoji i kôd sastanka koji je zajednički svim trenutnim učesnicima sastanka, koji mogu da koriste da bi potvrdili da njihov sastanak nije presretao neželjeni napada meddler treće strane u sredini (MITM).

Delite sledeće informacije sa domaćinima sastanka:

Planiranje Webex sastanka sa end-to-end šifrovanjem
Pridruživanje Webex sastanku sa end-to-end šifrovanjem

Potvrda identiteta sa internim ili spoljnim CA

Potvrdi identitet

Potpuno šifrovanje sa potvrdom identiteta pruža dodatnu bezbednost sastanku sa potpunim šifrovanjem.

Kada se učesnici ili uređaji pridruže deljenoj MLS (Security sloju razmene poruka), oni prezentuju svoje sertifikate drugim članovima grupe, koji zatim potvrđuju sertifikate protiv izdavanja autoriteta za izdavanje sertifikata (CA). Potvrdom da su sertifikati važeći, CA potvrđuje identitet učesnika, a sastanak prikazuje učesnike/uređaje kao verifikovane.

Korisnici aplikacije Webex potvrđuju svoj identitet prema Webex skladištu identiteta, koji im daje token za pristup kada potvrda identiteta uspe. Ako im je potreban sertifikat za potvrdu identiteta u sastanku sa potpunim šifrovanjem, Webex CA im izda sertifikat na osnovu njihovih tokena za pristup. U ovom trenutku ne pružamo način da Webex Meetings korisnike da dobiju sertifikat koji je izdao treći proizvođač/spoljni CA.

Uređaji mogu da potvrde verodostojnost pomoću certifikata izdatog od strane internog (Webex) CA ili certifikata izdatog od strane eksternog CA:

Interni CA – Webex ima problema sa internim sertifikatu na osnovu tokena za pristup mašinskog naloga uređaja. Webex CA potpisuje certifikat. Uređaji nemaju korisničke ID-ove na isti način kao korisnici, pa Webex koristi (jedan od) domena vaše organizacije prilikom pisanja identiteta sertifikata uređaja (zajedničko ime (CN)).
Spoljni CA – zatražite i kupite sertifikate uređaja direktno od izabranog izdaoca. Morate šifrovati, direktno otpremiti i ovlastiti certifikate koristeći tajnu poznatu samo vama.

Kompanija Cisco nije umešana, što čini način da se garantuje potpuno šifrovanje i verifikovani identitet i sprečava teoretska mogućnost da Cisco može da prisluškuje vaš sastanak/dešifrovanje medija.

Interno izdat certifikat uređaja

Webex izdaje certifikat uređaju kada se registruje nakon pokretanja i obnavlja ga kada je to potrebno. Za uređaje, certifikat uključuje ID naloga i domen.

Ako vaša organizacija nema domen, Webex CA izdaje certifikat bez domena.

Ako vaša organizacija ima više domena, možete da koristite kontrolno čvorište da biste webexu rekli koji domen uređaj da koristite za njegov identitet. Takođe možete da koristite API xConfiguration Conference EndToEndEncryption Identity PreferredDomain: "example.com".

Ako imate više domena i ne postavite željeni domen za uređaj, Webex će odabrati jedan za vas.

Certifikat spoljno izdatog uređaja

Administrator može da obezbedi uređaj sa sopstvenim certifikatom koji je potpisan jednim od javnih OA.

Certifikat mora biti zasnovan na ECDSA P-256 ključnom paru, iako ga može potpisati RSA ključ.

Vrednosti u certifikatu su po nahođenju organizacije. Zajedničko ime (CN) i alternativno ime subjekta (SAN) će biti prikazani u Webex sastanak korisnički interfejs, kao što je opisano u end-to-end šifrovanju sa potvrdom identiteta za Webex Meetings.

Preporučujemo da koristite zasebni sertifikat po uređaju i da imate jedinstveni CN po uređaju. Na primer, "meeting-room-1.example.com" za organizaciju koja je vlasništvo nad domenom "example.com".

Da bi se spoljni certifikat u potpunosti zaštitio od neovlašćenog menjanja, funkcija klijent-tajna se koristi za šifrovanje i potpisivanje različitih xcommandova.

Kada koristite tajnu klijenta, moguće je bezbedno upravljati spoljnim Webex sertifikatu identiteta putem xAPI-ja. Ovo je trenutno ograničeno na uređaje na mreži.

Webex trenutno obezbeđuje API za upravljanje ovim.

Funkcije i ograničenja

Uređaji

Sledeće Webex Room serije registrovane u oblaku i uređaji serije Webex Desk mogu da se pridruže E2EE sastancima:

Webex Board
Webex Desk Pro
Webex Desk
Webex Komplet soba
Webex Room Kit Mini

Sledeći uređaji ne mogu da se pridruže E2EE sastancima:

Webex C serija
Webex DX Series
Webex EX grupa
Webex MX Series
SIP uređaji nezavisnih proizvođača

Softverski klijenti

Aplikacija Webex za klijente za radnu površinu i mobilne uređaje može da se pridruži E2EE sastancima.
Webex veb-klijent ne može da se pridruži E2EE sastancima.
Softverski klijenti nezavisnih SIP mogu da se pridruže E2EE sastancima.

Identitet

Dizajnom ne obezbeđujemo opcije platforme Control Hub za upravljanje identitetom uređaja koji je spoljno potvrđen. Za potpuno šifrovanje, samo vi treba da znate/pristupite tajnama i ključevima. Ako smo uveli uslugu u oblaku za upravljanje tim ključevima, postoji šansa da budu presretnuti.
Trenutno vam pružamo "recep" za dizajn sopstvenih alatki, na osnovu standardnih tehnika šifrovanja u industriji, kako bismo vam pomogli u traženju ili šifrovanju sertifikata identiteta uređaja i njihovih privatnih ključeva. Ne želimo da imamo bilo kakav stvarni ili percipiran pristup vašim tajnama ili ključevima.

Sastanci

E2EE sastanci trenutno podržavaju najviše 1000 učesnika.
Nove bele table možete da delite na E2EE sastancima. Postoje neke razlike od belih tabli na redovnim sastancima:
- Na sastancima u E2EE, korisnici ne mogu da pristupe belim tablama kreiranim van sastanka, uključujući privatne bele table, bele table koje drugi dele i bele table iz Webex prostora.
- Bele table kreirane u E2EE sastancima dostupne su samo tokom sastanka. One se ne čuvaju i nisu dostupne nakon završetka sastanka.
- Ako neko deli sadržaj na E2EE sastanku, možete da hvatate beleške. Više informacija o beleškama potražite u članku Aplikacija Webex | Označavanje deljenog sadržaja sa beleškama.

Interfejs upravljanja

Preporučujemo da koristite Control Hub za upravljanje sajtom za sastanke, jer su organizacije Kontrolnog čvorišta centralizovale identitet za celu organizaciju.

Dodatni resursi

Srodne informacije

Zero-Trust Security za Webex (tehnički dokument za bezbednost)
Cisco prezentacije uživo
JSON veb-šifrovanje (JWE) (nacrt IETF standarda)
Dokumentacija okrenuta korisniku

Preduslovi

Webex sastanci 41.7.
Uređaji serije Webex Room i Webex Desk registrovani u oblaku koji rade sa verzijom 10.6.1-RoomOS_August_2021.
Administrativni pristup za lokacija sastanka na portalu Control Hub.
Neki od proverenih domena u organizaciji "Kontrolno čvorište" (ako koristite Webex CA za izdavanje certifikata uređaja za provereni identitet).
Sale za sastanke o saradnji moraju biti uključene tako da se osobe mogu pridružiti njihovom video sistemu. Više informacija potražite u članku Dozvoljavanje video sistemima da se pridružuju sastancima i događajima na Webex sajt.

Nabavi sertifikate uređaja

Ovaj korak možete preskočiti ako vam nisu potrebni identiteti sa spoljne lokacije.

Za najviši nivo bezbednosti i za potvrdu identiteta, svaki uređaj treba da ima jedinstveni sertifikat koji izdaje pouzdani javni Certificate Authority (CA).

Potrebno je da komunicirate sa CA da biste zahtevali, kupili i primili digitalne certifikate i kreirali povezane privatne ključeve. Kada zahtevate sertifikat, koristite ove parametre:

Certifikat mora biti izdat i potpisan od strane poznatog javnog CA.
Jedinstveni: Preporučujemo da koristite jedinstveni certifikat za svaki uređaj. Ako koristite jedan certifikat za sve uređaje, ugrožavate svoju bezbednost.
Zajedničko ime (CN) i alternativno ime teme/s (SAN/s): To webexu nije važno, ali bi trebalo da budu vrednosti koje ljudi mogu da pročitaju i povežu sa uređajem. CN će drugim učesnicima sastanka pokazati kao primarni provereni identitet uređaja, a ako korisnici pregledaju certifikat putem UI sastanka, videće SAN/s. Možda ćete želeti da koristite imena kao što su name.model@example.com.
Format datoteke: Certifikati i ključevi moraju biti u .pem formatu.
Svrhu: Svrha certifikata mora biti Webex Identitet.
Generisanje ključeva: Certifikati moraju biti zasnovani na ECDSA P-256 ključnim parovima (Elliptical Curve Digital Signature Algorithm using the P-256 curve).

Ovaj zahtev se ne proširuje na ključ za potpisivanje. CA može da koristi RSA ključ za potpisivanje certifikata.

Pripremite se za priključivanje uređaja

Ovaj korak možete da preskočite ako ne želite da koristite eksterno potvrđen identitet sa uređajima.

Ako koristite nove uređaje, nemojte ih još registrovati na Webex. Da biste mogli da budete bezbedni, nemojte ih povezivati sa mrežom u ovom trenutku.

Ako imate postojeće uređaje koje želite da nadogradite da biste koristili spoljno potvrđen identitet, morate da resetujete uređaje.

Sačuvajte postojeću konfiguraciju ako želite da je zadržite.
Planirajte prozor kada se uređaji ne koriste ili koristite fazni pristup. Obavestite korisnike o promenama koje mogu da očekuju.
Obezbedite fizički pristup uređajima. Ako morate da pristupite uređajima preko mreže, imajte na umu da tajne putuju čistim tekstom i da ugrožavate svoju bezbednost.

Kada dovršite ove korake, dozvolite video sistemima da se pridružuju sastancima i događajima na Webex sajt.

Shvatite proces spoljnog identiteta za uređaje

Da biste se uverili da medijum uređaja ne može da šifruje niko osim uređaja, morate šifrovati privatni ključ na uređaju. Osmislili smo API-je za uređaj kako bismo omogućili upravljanje šifrovanim ključem i sertifikatu koristeći JSON Veb šifrovanje (JWE).

Da bismo obezbedili istinsko end-to-end šifrovanje kroz naš oblak, ne možemo biti uključeni u šifrovanje i otpremanje certifikata i ključa. Ako vam je potreban ovaj nivo zaštite, morate:

Zahtevajte svoje certifikate.
Generišite parove ključeva certifikata.
Kreirajte (i zaštitite) početnu tajnu za svaki uređaj, kako biste zasejali mogućnost šifrovanja uređaja.
Razvijte i održavajte sopstvenu alatku za šifrovanje datoteka pomoću JWE standarda.

U nastavku su objašnjeni proces i (netačni) parametri koji vam nisu potrebni, kao i recept za praćenje u razvojnim alatkama po izboru. Takođe obezbeđujemo neke podatke o testiranju i dobijene JWE grudvice kao što očekujemo, kako bismo vam pomogli da proverite svoj proces.

Nepodržana referentna implementacija pomoću Python3 i JWCrypto biblioteke dostupna je od Cisco-a na zahtev.
Spajanje i šifrovanje certifikata i ključa pomoću alatke i početne tajne uređaja.
Otpremite dobijenu JWE grudvicu na uređaj.
Podesite svrhu šifrovanog certifikata koji će se koristiti za Webex identitet i aktivirajte certifikat.
(Preporučeno) Navedite interfejs za (ili distribuirajte) alatku kako biste omogućili korisnicima uređaja da promene početnu tajnu i zaštite svoje medije od vas.

Kako koristimo JWE format

Ovaj odeljak opisuje kako očekujemo da JWE bude kreiran kao ulaz na uređaje, tako da možete da napravite sopstvenu alatku za kreiranje grudvica iz vaših certifikata i ključeva.

Pogledajte JSON veb-šifrovanje (JWE) https://datatracker.ietf.org/doc/html/rfc7516 i JSON veb-potpis (JWS) https://datatracker.ietf.org/doc/html/rfc7515.

Kompaktan serijski prikaz JSON dokumenta koristimo za kreiranje JWE blob-a. Parametri koje treba da uključite prilikom kreiranja JWE blob su:

HOZE zaglavlje (zaštićeno). U zaglavlje JSON potpisivanja i šifrovanja objekata morate da uključite sledeće parove vrednosti ključa:
- "alg":"dir"
  
  Direktan algoritam je jedini koji podržavamo za šifrovanje tovara i morate da koristite početnu klijentsku tajnu uređaja.
- "enc":"A128GCM"ili "enc":"A256GCM"
  
  Podržavamo ova dva algoritma šifrovanja.
- "cisco-action": "add"ili "cisco-action": "populati"ili "cisco-action": "aktiviraj" ili "cisco-action": "deaktiviraj"
  
  Ovo je vlasnički ključ i četiri vrednosti koje može da uzme. Uveli smo ovaj ključ da bismo signalizirali svrhu šifrovanih podataka ciljnom uređaju. Vrednosti su nazvane po xAPI komandama na uređaju na kojem koristite šifrovane podatke.
  
  Nazvali smo ga cisco akcija radi ublaženja potencijalnih sukoba sa budućim JWE lokalima.
- "cisco-kdf": { "verzija": "1", "so": "base64URLEncodedRandom4+Bytes" }
  
  Još jedan vlasnički ključ. Koristimo vrednosti koje navedete kao unose za ključnu derivaciju na uređaju. Verzija mora da bude 1 (verzija naše funkcije za odvođenje ključa). Vrednost soli mora biti baza 64 URL kodirani niz od najmanje 4 bajta, koje morate nasumično odabrati.
JWE šifrovani ključ. Ovo polje je prazno. Uređaj ga izvedeno iz početnog ClientSecret-a.
JWE vektor pokretanja. Morate da obezbedite base64url kodirani vektor za pokretanje za dešifrovanje tovara. IV mora biti nasumična vrednost od 12 bajtova (koristimo AES-GCM šifru porodice, koja zahteva da infuzija bude dugačka 12 bajtova).
JWE AAD (dodatni podaci sa potvrdom identiteta). Ovo polje morate izostaviti jer ono nije podržano u sažetoj serijalizaciji.
JWE šifrovanje: Ovo je šifrovani tovar koji želite da držite u tajnosti.

Korisni teret MOŽE biti prazan. Na primer, da biste resetovali tajnu klijenta, potrebno je da je zamenite praznom vrednošću.

Postoje različiti tipovi tovara, u zavisnosti od toga šta pokušavate da uradite na uređaju. Različite xAPI komande očekuju različite korisne tovare, a vi morate navesti svrhu tovara sa ključem za radnju kompanije Cisco , na sledeći način:
- Sa "cisco-action":"popunjavanje" šifrovanje je novi ClientSecret.
- Sa "cisco-action":"add" šifrovanje je PEM blob koji nosi sertifikat i njegov privatni ključ (usaglasan).
- Uz "cisco-action":"aktiviraj" šifrovani otisak je otisak prsta (heksadecimalni prikaz sha-1) sertifikata koji aktiviramo za potvrdu identiteta uređaja.
- Uz "cisco-action":"deaktivirajte" šifrovani otisak prsta (heksadecimalni prikaz sha-1) sertifikata koji deaktivirate iz upotrebe za potvrdu identiteta uređaja.
Oznaka JWE potvrde identiteta: Ovo polje sadrži oznaku potvrde identiteta da bi se utvrdio integritet cele JWE sažeto serijalizovane grudvice

Kako izviremo ključ za šifrovanje klijentaSecret

Posle prve populacije tajne, ne prihvatamo ili prenosimo tajnu kao čisti tekst. Ovo je da biste sprečili potencijalne napade rečnika od strane nekoga ko bi mogao da pristupi uređaju.

Softver uređaja koristi tajnu klijenta kao ulaz u funkciju derivata ključa (kdf) i zatim koristi izvedeni ključ za dešifrovanje/šifrovanje sadržaja na uređaju.

Ono što ovo znači za vas je da vaš alat za proizvodnju JWE blobs mora da sledi istu proceduru da bi proizveo isti ključ za šifrovanje/dešifrovanje iz tajne klijenta.

Uređaji koriste scrypt za ključnu derivaciju (pogledajte https://en.wikipedia.org/wiki/Scrypt), sa sledećim parametrima:

CostFactor (N) je 32768
BlockSizeFactor (r) je 8
ParallelizationFactor (p) je 1
So je nasumično niz od najmanje 4 bajta; morate da obezbedite istu so kada navedete parametar Cisco-kdf .
Dužine ključa su ili 16 bajtova (ako izaberete algoritam AES-GCM 128) ili 32 bajta (ako izaberete algoritam AES-GCM 256)
Maksimalna memorijska kapa je 64MB

Ovaj skup parametara je jedina konfiguracija skripta koja je kompatibilna sa funkcijom derivata ključa na uređajima. Ovaj kdf na uređajima se naziva "verzija":"1", koja je jedina verzija koju trenutno uzima parametar cisco-kdf .

Radila je na primeru

Evo primera koji možete slediti da biste proverili da li vaš proces JWE šifrovanja funkcioniše isto kao i proces koji smo kreirali na uređajima.

Primer scenarija je dodavanje PEM bloba uređaju (imitira dodavanje certifikata, sa veoma kratkom niskom umesto punim certifikatom + ključem). Tajna klijenta u primeru je ossifre.

Odaberite šifru šifrovanja. Ovaj primer koristi A128GCM (AES 128-bitne tastere u kontra režimu Galois). Alatka može da koristi A256GCM ako želite.
Odaberite so (mora biti nasumična sekvenca od najmanje 4 bajta). Ovaj primer koristi (heksabajti)E5 E6 53 08 03 F8 33 F6. Baza64url kodira sekvencu da bi dobili 5eZTCAP4M_Y (uklonite osnovno64 punjenje).
Evo primera poziva na skript da biste kreirali listu ključ za šifrovanje (cek): cek=scrypt(lozinka="ossifrage", salt=4-bajte-sekvenca, N=32768, r=8, p=1, keylength=16) Izvedeni ključ treba da bude 16 bajtova (heksa) na sledeći način:95 9e ba 6d d1 22 01 05 78 fe 6a 9d 78 ff ac koji base64url kodira za LZ66bdEiAQV4_mqdInj_rA.
Odaberite nasumičnu sekvencu od 12 bajtova koju ćete koristiti kao vektor pokretanja. Ovaj primer koristi (hex) 34 b3 5d dd 5f 53 7b af 2d 92 95 83 koji base64url šifruje na NLNd3V9Te68tkpWD.
Kreirajte JOSE zaglavlje sa kompaktnom serijalizacijom (pratite isti redosled parametara koje ovde koristimo) i zatim ga base64url kodira: {"alg":"dir","cisco-action":"add","cisco-kdf":{"salt":"5eZTCAP4M_Y","verzija":"1"},"enc":"A128GCM"} Osnovno64url kodirano JOSE zaglavlje je eyJhbGciOiJkaXILCJjaXNjby1hY3Rpb24iOiOiJhZGQiLCJjaXNjby1rZGYiOnsic2FsdCI6IjVlWlRDQVA0TV9ZIwidmVyc2lvbii6IifSwizW5jIjoiQTEyOEdTSJ9 Ovo će biti prvi element JWE bloba.
Drugi element JWE bloba je prazan, jer ne snabdevamo JWE ključ za šifrovanje.
Treći element JWE blob je vektor pokretanja NLNd3V9Te68tkpWD.
Koristite alatku za JWE šifrovanje da biste proizveli šifrovani tovar i oznaku. Na ovaj primer, nešifrisani korisni teret će biti lažni PEM blob ovo je PEM datotekaParametri šifrovanja koje bi trebalo da koristite su: Korisni teret je ovo je PEM datoteka Šifrovanje šifre je AES 128 GCM Baza64url kodirala je JOSE zaglavlje kao dodatne potvrđene podatke (AAD) Base64url kodira šifrovano opterećenje, što bi trebalo da rezultira f5lVuWNfKfMzYCo1YfODhQ Ovo je četvrti element (JWE Ciphertext) u JWE blob-u.
Baza64url kodira oznaku koju ste proizveli u koraku 8, što bi trebalo da rezultira PE-wDFXXXBeo928cfZ1Q Ovo je peti element u JWE blob- u.
Spajanje pet elemenata JWE bloba sa tačkicama (JOSEheader.. IV.Ciphertext.Tag) da biste dobili: eyJhbgciOiJkaXILCJjaXjaXY3Rpb24iOiJhZGQiLCJby1rZGYyOnsic2FsdCI6IjVlWlRDQVA00TVV9ZIwidmVyc2lvbiIjJEifSwiZW5jjoiQTEyOedDJTS.. 9NLNd3V9Te68tkpWD.f5lVuWNfNfKfmzYCo1YJfODhQ.PE-wDFWGXXBeo928cfZ1Q
Ako ste izvedeni iste osnovne64url kodirane vrednosti kao što pokazujemo ovde, koristeći sopstvene alatke, spremni ste da ih koristite za obezbeđivanje E2E šifrovanja i proverenog identiteta vaših uređaja.
Ovaj primer zapravo neće funkcionisati, ali u principu vaš sledeći korak bi bio da koristite JWE blob koji ste gore kreirali kao unos u xcommand na uređaju koji dodaje certifikat: xCommand bezbednosni sertifikati Dodaj eyJhbGciOiJkaXILCJjaXJaXBy1hY3Rpb24iOiJhZGQiLCJjaXNjby1rZGY Jononsic2FsdCI6IjVlWlRDQVA0TV9ZIwidmVyc2lvbiI6IjEifSwiZW5jIjoiQTEyOEdDTSJ.. 9NLNd3V9Te68tkpWD.f5lVuWNfNfKfmzYCo1YJfODhQ.PE-wDFWGXXBeo928cfZ1Q


          Tipovi sesija za sastanke sa nultim poverenjem dostupni su svim lokacijama za sastanke bez dodatnih troškova. Jedan od ovih tipova sesija se naziva Pro-End to End Encryption_VOIPonly. Ovo je ime javnog servisa koje možemo promeniti u budućnosti. Trenutna imena tipova sesija pogledajte odeljak ID-ova tipa sesije u odeljku  "Referenca" ovog članka.
          Ne morate ništa da uradite da biste dobili ovu mogućnost za svoju lokaciju; potrebno je da dodelite novi tip sesije (takođe pod nazivom Privilegija sastanka) korisnicima. To možete da uradite pojedinačno preko stranice za konfiguraciju korisnika ili na veliko sa CSV izvozom/uvozom.

Potvrdi novi tip sesije


              
                1 
                  Prijavite se na portal Control Hub, a zatim pristupite stavci Usluge >  Sastanak.
                
                2 
                  Kliknite na dugme Lokacije, odaberite Webex lokaciju za koju želite da promenite podešavanja, a zatim izaberite stavku Podešavanja.
                
                3 
                  U okviru Uobičajene postavkeizaberite stavku Tipovi sesija.
                
                4 
                  Trebalo bi da vidite jedan ili više tipova sesija potpunog šifrovanja. Pogledajte listu ID-ova tipa sesije u odeljku  "Referenca" ovog članka. Na primer, možda ćete videti pro-End to End Encryption_VOIPonly.Postoji stariji tip sesije sa veoma sličnim imenom: Pro-End-End do End šifrovanje. Ovaj tip sesije uključuje PSTN pristup sastancima koji nisu šifrovani. Uverite se da imate verziju _VOIPonly da biste osigurali end-to-end šifrovanje. Možete da proverite tako što ćete zaviriti preko PRO veze u koloni sa kodom sesije; za ovaj primer, cilj veze treba da bude javascript:ShowFeature(652).
Ubuduće ćemo možda promeniti imena javnih usluga za ove tipove sesija.
                
                5 
                  Ako još uvek nemate novi tip sesije, obratite se predstavniku Webexa.
                
              
              Šta dalje
      Omogućite ovu privilegiju sesije / sastanka nekim ili svim korisnicima.

Omogući E2EE sastanke za pojedinačne korisnike


              
                1 
                  Prijavite se u Control Hub i pristupite opciji "Upravljanje  > korisnicima ". 
                
                2 
                  Izaberite opciju korisnički nalog ažurirati, a zatim izaberite " Sastanci".
                
                3 
                  U okviru stavke Postavke se primenjuju na padajući meni, izaberite lokacija sastanka ažurirati.
                
                4 
                  Označite polje pored stavke Pro-End to End Encryption_VOIPonly.
                
                5 
                  Zatvorite korisničku tablu za konfiguraciju.
                
                6 
                  Ponovite to za druge korisnike ako je potrebno.
                  
          Da biste ovo dodelili većem broju korisnika, koristite sledeću opciju, omogućite E2EE sastanke za više korisnika.

Omogući E2EE sastanke za više korisnika


              
                1 
                  Prijavite se na portal Control Hub, a zatim pristupite stavci Usluge >  Sastanak.
                
                2 
                  Izaberite stavku Lokacije, odaberite Webex sajt za koju želite da promenite podešavanja.
                
                3 
                  U odeljku Licence i korisnici kliknite na dugme Masovno upravljanje.
                
                4 
                  Kliknite na "Generiši izveštaj" i sačekajte dok pripremimo datoteku.
                
                5 
                  Kada datoteka bude spremna, kliknite na dugme Izvezi rezultate, a zatim preuzmi. (Morate ručno da zatvorite taj iskačući prozor nakon što kliknete Preuzmi.)
                
                6 
                  Otvorite preuzetu CSV datoteku za uređivanje. 
                  
          Postoji red za svakog korisnika, a kolona MeetingPrivilege sadrži ID-ove tipa sesije kao listu razdvojenu zarezom.
        
                
                7 
                  Za svakog korisnika kom želite da dodelite novi tip sesije, dodajte 1561 kao novu vrednost na listi razdvojenih zarezima u ćeliji "Privilegije sastanaka".
                  
          Referenca za Webex CSV formata datoteka sadrži detalje o svrsi i sadržaju ove CSV datoteka.
        
                
                8 
                  Otvorite tablu za konfiguraciju lokacije za sastanke u kontrolnom čvorištu.
                  
                       Ako ste se već nalazili na stranici liste lokacija za sastanke, možda ćete morati da je osvežite.
          
        
                
                9 
                  U odeljku Licence i korisnici izaberite stavku Masovno upravljanje .
                
                10 
                  Kliknite na dugme Uvezi i izaberite uređeni CSV, a zatim kliknite na dugme Uvezi. Sačekajte dok se datoteka otpremi.
                
                11 
                  Kada se uvoz završi, možete kliknuti na dugme "Uvezi rezultate" da biste pregledali da li je bilo grešaka.
                
                12 
                  Idite na stranicu "Korisnici" i otvorite jednog od korisnika da biste proverili da li imaju novi tip sesije.

Dodajte audio vodeni žig zarad bezbednosti


              Vodeni žig možete dodati snimcima sastanaka pomoću tipa sesije Webex Meetings Pro-End to End Encryption_VOIPonly , koji vam omogućava da identifikujete izvorni klijent ili uređaj neovlašćenih snimaka poverljivih sastanaka.
              Kada je ova funkcija omogućena, zvuk sastanka sadrži jedinstveni identifikator za svakog klijenta ili uređaja koji učestvuje. Možete da otpremite audio snimke na Control Hub, koji zatim analiziraju snimak i traži jedinstvene identifikatore. Možete pogledati rezultate da biste videli koji izvorni klijent ili uređaj su snimili sastanak. 
              
                Da bi se analizirao, snimak mora da bude AAC, MP3, M4A, WAV, MP4, AVI ili MOV datoteka veća od 500 MB.
                Snimak mora da bude duži od 100 sekundi.
                Snimke možete da analizirate samo za sastanke koje organizatori u vašoj organizaciji organizatori.
                Informacije o vodenom žigu se zadržavaju iste dužine trajanja kao i informacije o sastanku organizacije.


      Dodaj zvučne vodene žigove u E2EE sastanke

Prijavite se u Control Hub, a zatim u okviru " Upravljanje" izaberite "Podešavanja organizacije".

U odeljku "Vodeni žig sastanka " uključite opciju " Dodaj zvučni vodeni žig".
Neko vreme nakon što se ova opcija uključi, korisnici koji zakazuju sastanke Webex Meetings pro-End to End E VOIPonlytip sesijencryption_vide opciju digitalnog vodenog žiga u odeljku Bezbednost.


              
      Otpremite i analizirajte vodeni sastanak
      U okviru platforme Control Hub, u okviru Stavke "Nadgledanje" izaberite opciju "Rešavanje problema".
Kliknite na analizu vodenog žiga.
Pretražite sastanak ili izaberite sastanak na listi, a zatim kliknite na " Analiziraj".
U prozoru "Analiziraj audio vodeni žig " unesite ime za analizu.
(Opcionalno) Unesite namenu za analizu.
Prevucite i otpustite audio datoteku koju treba analizirati ili kliknite na "Odaberite datoteku" da biste pregledali audio datoteku.
Kliknite na dugme Zatvori.Kada se analiza završi, prikazaće se u listi rezultata na stranici "Analiziraj vodeni žig ".
Izaberite sastanak sa liste da biste videli rezultate analize. Kliknite da  biste preuzeli rezultate.
    
              
      Funkcije i ograničenja
      Faktori uključeni u uspešno dekodiranje snimljenog vodenog žiga uključuju razdaljinu između uređaja za snimanje i zvučnika koji emituje zvuk, jačine zvuka, buke u okruženju itd. Naša tehnologija vodenog žiga ima dodatnu otpornost na šifrovanje više puta, kao što se može desiti kada se mediji dele. 
      Ova funkcija je dizajnirana da omogući uspešno dekodiranje identifikatora vodenog žiga u širokom ali razumnom skupu okolnosti. Naš cilj je da uređaj za snimanje, na primer mobilni telefon, koji leži na stolu u blizini lične krajnje tačke ili klijenta laptopa, uvek treba da kreira snimak koji za rezultat ima uspešnu analizu. Kako je uređaj sa snimkom uklonjen iz izvora ili je zaklonjen sluhom celog audio spektra, šanse za uspešnu analizu se smanjuju. 
      Da biste uspešno analizirali snimak, potreban je razuman snimak zvuka sastanka. Ako se zvuk sastanka snima na istom računaru koji hostuje klijent, ograničenja ne bi trebalo da se primenjuju.

Priključi uređaje (interni CA)


      Ako su uređaji već priključeni u vašu organizaciju Kontrolnog centra i želite da koristite Webex CA za automatsko generisanje njihovih identifikajućih sertifikata, ne morate da fabričko resetovanje uređaje.
      Ova procedura bira koji domen uređaj koristi za identifikaciju i potreban je samo ako imate više domena u organizaciji kontrolnog čvorišta. Ako imate više domena, preporučujemo da to uradite za sve uređaje koji će imati "Cisco-verified" identitet. Ako ne kažete Webex-u koji domen identifikuje uređaj, on se automatski bira i možda izgleda pogrešno drugim učesnicima sastanka.

Pre nego što počnete


      Ako vaši uređaji još uvek nisu priključeni, pratite "Registrujte uređaj" da biste Cisco Webex koristili API lokalni veb-interfejs  ili cloud priključivanje za serije Board, Desk i Room. Takođe bi trebalo da potvrdite domen/domene koje želite da koristite da biste identifikovali uređaje na platformi Upravljanje domenima.

1	Prijavite se u Control Hub, a zatim u okviru " Upravljanje" izaberite stavku " Uređaji".
2	Izaberite uređaj da biste otvorili njegovu tablu za konfiguraciju.
3	Izaberite domen koji želite da koristite za identifikaciju ovog uređaja.
4	Ponovite ovo za druge uređaje.

Priključi uređaje (spoljni CA)


              Pre nego što počnete
      
          Nabavite sertifikat sa potpisom CA i privatni ključ u .pem formatu, za svaki uređaj.
        

          U okviru kartice " Priprema" pročitajte temu "Razumevanje procesa spoljnog identiteta za uređaje", 
        

          Pripremite JWE alatku za šifrovanje u pogledu tamošnje informacije.
        

          Uverite se da imate alat za generisanje nasumičnih bajt sekvenci datih dužina.
        

          Uverite se da imate alatku za osnovne64url kodiranje bajta ili teksta.
        

          Pobrinite se za to da se obavi scrypt .
        

          Uverite se da imate tajnu reč ili frazu za svaki uređaj.
        
    
              
                1 
                  Popunjavajte klijentskisecret uređaja u tajnosti za čisti tekst:

                  
          Kada prvi put popunjavate tajnu , snabdevate je čistim tekstom. Zato preporučujemo da to uradite na konzoli fizičkog uređaja.
        
                  
                      Base64url kodira tajnu frazu za ovaj uređaj.
                    

                      Otvorite TShell na uređaju.
                    

                      Pokreni xcommand security ClientSecret popunjavanje tajne: "MDEyMzQ1Njc4OW2RLZg"
                      
              Primer komande iznad popunjava tajnu 0123456frazom 789abcdef. Moraš sam da izabereš.
            
                    
                  Uređaj ima početnu tajnu. Ne zaboravite ovo; ne možete da ga povratite i morate fabrički resetovati uređaj da biste ponovo pokrenuli. 
                
                2 
                  Spajanje certifikata i privatnog ključa:
                  
                      Pomoću uređivača teksta otvorite .pem datoteke, nalepite grudvicu certifikata i sačuvajte je kao novu .pem datoteku.
                      
                               Ovo je tekst korisnog tereta koji ćete šifrovati i staviti u JWE blob.
              
            
                    
                
                3 
                  Kreirajte JWE blob koji ćete koristiti kao unos u komandu za dodavanje certifikata:
                  
                      Kreirajte nasumičnu sekvencu od najmanje 4 bajta. Ovo je tvoja so.
                    

                      Proizvedi ključ za šifrovanje sadržaja pomoću alatke za šifrovanje. 
                      
              Za to vam je potrebna tajna, so i ključna dužina koja odgovara vašoj odabranoj šifriji šifrovanja. Postoje još neke fiksne vrednosti za nabavku (N=32768, r=8, p=1). Uređaj koristi isti proces i vrednosti da bi proizveo isti ključ za šifrovanje sadržaja.
            
                    

                      Kreirajte nasumičnu sekvencu od tačno 12 bajtova. Ovo je vektor za pokretanje.
                    

                      Kreirajte JOSE zaglavlje, alg, enc i cisco-kdf ključevekao što je opisano u "Razumevanje procesa spoljnog identiteta za uređaje". Podesite radnju "dodaj" koristeći ključ:vrednost "cisco-action":"add" u vašem HOSE zaglavlju (zato što dodajemo sertifikat uređaju).
                    

                      Base64url kodira JOSE zaglavlje.
                    

                      Koristite alatku za šifrovanje JWE sa odabranom šifrom i base64url kodiranim JOSE zaglavljem da biste šifrovali tekst iz sjetane pem datoteke.
                    

                      Base64url kodira vektor pokretanja, šifrovani PEM tovar i oznaku za potvrdu identiteta.
                    

                      Konstruiši JWE blob na sledeći način (sve vrednosti su kodirane u bazi64url):
                      
                               HoseHeader. InitVector.EncryptedPEM.AuthTag               
            
                    
                
                4 
                  Otvorite TShell na uređaju i pokrenite komandu (multiline) add: 
                             xcommand security certificates Services Add IsEncrypted: Istina vaљe. JWE.str.ing\n .\n
         
                
                5 
                  Proverite da li je sertifikat dodat pokretanjem usluge xcommand security Certificates Show
                  
          Kopirajte otisak prsta novog certifikata.
        
                
                6 
                  Aktivirajte sertifikat u svrhu WebexIdentity:
                  
                      Pročitajte otisak prsta sertifikata, bilo iz samog sertifikata ili iz prikazivanje xcommand bezbednosnih sertifikata Prikaži.
                    

                      Kreirajte nasumičnu sekvencu od najmanje 4 bajta i base64url kodirajte taj niz. Ovo je tvoja so.
                    

                      Proizvedi ključ za šifrovanje sadržaja pomoću alatke za šifrovanje. 
                      
              Za to vam je potrebna tajna, so i ključna dužina koja odgovara vašoj odabranoj šifriji šifrovanja. Postoje još neke fiksne vrednosti za nabavku (N=32768, r=8, p=1). Uređaj koristi isti proces i vrednosti da bi proizveo isti ključ za šifrovanje sadržaja.
            
                    

                      Kreirajte nasumičnu sekvencu od tačno 12 bajtova i base64url kodirajte taj niz. Ovo je vektor za pokretanje.
                    

                      Kreirajte JOSE zaglavlje, alg, enc i cisco-kdf ključevekao što je opisano u "Razumevanje procesa spoljnog identiteta za uređaje". Podesite radnju "aktiviraj" koristeći ključ: vrednost "cisco-action":"aktivirajte" u vašem HOSE zaglavlju (jer aktiviramo sertifikat na uređaju).
                    

                      Base64url kodira JOSE zaglavlje.
                    

                      Koristite alatku za šifrovanje JWE sa odabranom šifrom i base64url kodiranim JOSE zaglavljem da biste šifrovali otisak prsta certifikata.
                      
              Alatka bi trebalo da uvodi sekvencu od 16 ili 32 bajta, u zavisnosti od toga da li ste odabrali 128 ili 256 bita AES-GCM i oznaku za potvrdu identiteta.
            
                    

                      Base64urlencode šifrovani otisak prsta i oznaka za potvrdu identiteta.
                    

                      Konstruiši JWE blob na sledeći način (sve vrednosti su kodirane u bazi64url):
                      
                               HoseHeader. InitVector.EncryptedFingerprint.AuthTag               
            
                    

                      Otvorite TShell na uređaju i pokrenite sledeću komandu za aktiviranje:
                      
                               
 xcommand bezbednosne sertifikate namene za aktiviranje: Otisak prsta za WebexIdentity: "Vaš." JWE.šifrovani.otisak prsta" 
               
            
                    
                  Uređaj ima šifrovani, aktivni certifikat koji izdaje CA, spreman da se koristi za njegovu identifikaciju na end-to-end šifrovanim Webex sastancima.
                
                7 
                  Ukrcajte se na uređaj u organizaciju "Kontrolno čvorište".

Testiraj end-to-end šifrovanje sa potvrdom identiteta


              
                1 
                  Zakažite sastanak ispravnog tipa(Webex Meetings Pro-End to End Encryption_VOIPonly).
                  
          Pogledajte schedule a Webex Meeting with End-to-End Encryption.
        
                
                2 
                  Pridružite se sastanku kao domaćin, od klijenta Webex sastanaka.
                  
          Pogledajte pridruživanje Webex sastanku pomoću end-to-end šifrovanja.
        
                
                3 
                  Pridružite se sastanku sa uređaja koji ima svoj identitet verifikovan od strane Webex CA.
                
                4 
                  Kao domaćin, proverite da li se ovaj uređaj pojavljuje u holu sa ispravnom ikonom identiteta.
                  
          Pogledajte pridruživanje Webex sastanku pomoću end-to-end šifrovanja.
        
                
                5 
                  Pridružite se sastanku sa uređaja koji ima svoj identitet verifikovan od strane spoljnog CA.
                
                6 
                  Kao domaćin, proverite da li se ovaj uređaj pojavljuje u holu sa ispravnom ikonom identiteta.  Saznajte više o ikonama identiteta.
                
                7 
                  Pridružite se sastanku kao neautorizovani učesnik sastanaka.
                
                8 
                  Kao domaćin, proverite da li se ovaj učesnik pojavljuje u holu sa ispravnom ikonom identiteta.
                
                9 
                  Kao domaćin, priznajte ili odbacite ljude / uređaje.
                
                10 
                  Proverite identitete učesnika/uređaja tamo gde je to moguće proverom sertifikata.
                
                11 
                  Proverite da li svi na sastanku vide isti bezbednosni kôd sastanka.
                
                12 
                  Pridružite se sastanku sa novim učesnikom.
                
                13 
                  Proverite da li svi vide isti, novi bezbednosni kod za sastanak.

Postavi opseg i očekivanja


              
                
                Da li ćete end-to-end šifrovane sastanke učiniti podrazumevanom opcijom sastanka ili ćete je omogućiti samo nekim korisnicima ili ćete dozvoliti svim domaćinima da odluče? Kada odlučite kako ćete koristiti ovu funkciju, pripremite one korisnike koji će je koristiti, posebno u pogledu ograničenja i šta da očekujete na sastanku.
            
                
                Da li je potrebno da se uverite da ni Cisco ni bilo ko drugi ne može da dešifruje vaš sadržaj ili da se predstavlja kao vaš uređaj? Ako je tako, potrebni su vam certifikati javnog CA. 
            
                
                Ako imate različite nivoe potvrde identiteta, osnažite korisnike da jedni druge potvrđuju identitetom uz podršku sertifikata. Iako postoje okolnosti u kojima učesnici mogu da se pojave kao nepotvrđeni, a učesnici bi trebalo da znaju kako da provere, nepotvrđeni ljudi možda nisu varalice.

Upravljanje identitetom


              Ako koristite eksterni CA za izdavanje certifikata uređaja, onus je na vama da nadgledate, osvežavate i ponovo primenite certifikate.
              Ako ste kreirali početnu tajnu, shvatite da će korisnici možda želeti da promene tajnu svog uređaja. Možda će biti potrebno da kreirate interfejs/distribuirate alatku da biste im to omogućili.

ID-ove tipa sesije


              
            Tabela 1. ID-ove tipa sesije za end-to-end šifrovane sastanke
                                ID tipa sesije
                            
                                Ime javnog servisa
                            

                                638
                            
                                Samo E2E šifrovanje+VoIP
                                
                            

                                652
                            
                                Pro-End to End EVOIPonlyncryption_
                                
                            

                                660
                            
                                Pro 3 Free-End to End EVOIPonlyncryption_
                                E2E šifrovanje + identitet
                            

                                672
                            
                                Pro 3 Free50-End to End EVOIPonlyncryption_
                                
                            

                                673
                            
                                Instruktor obrazovanja E2E EVOIPonlyncryption_
                                
                            

                                676
                            
                                Broadworks Standard plus kraj šifrovanja
                                
                            

                                677
                            
                                Broadworks Premium plus kraj enkripcije
                                
                            

                                681
                            
                                Schoology Free plus kraj enkripcije

Tabela 1. ID-ove tipa sesije za end-to-end šifrovane sastanke
ID tipa sesije	Ime javnog servisa
638	Samo E2E šifrovanje+VoIP
652	Pro-End to End EVOIPonlyncryption_
660	Pro 3 Free-End to End EVOIPonlyncryption_ E2E šifrovanje + identitet
672	Pro 3 Free50-End to End EVOIPonlyncryption_
673	Instruktor obrazovanja E2E EVOIPonlyncryption_
676	Broadworks Standard plus kraj šifrovanja
677	Broadworks Premium plus kraj enkripcije
681	Schoology Free plus kraj enkripcije

Srodne xAPI komande


              
            Ove tabele opisuju API komande Webex uređaja koje smo dodali za end-to-end šifrovane sastanke i provereni identitet. Više informacija o korišćenju API-ja potražite u članku Pristup API-u za Webex Room i Desk Devices i Webex Boards.
            Ove xAPI komande su dostupne samo na uređajima koji su:
            
                    Registrovan na Webex
                

                    Registrovan u prostorijama i povezan sa Webex-om sa Webex Edge za uređaje
                
            Sto 2. API-je na nivou sistema za end-to-end šifrovane sastanke i provereni identitet
                                API poziv
                            
                                Opis
                            

                                xConfiguration Conference EndToEndEncryption identitet željeni domen: "example.com"
                            
                                Ova konfiguracija se pravi kada administrator postavi željeni domen uređaja iz kontrolnog čvorišta. Neophodno samo ako organizacija ima više domena.
                                Uređaj koristi ovaj domen kada zahteva certifikat od Webex CA. Domen zatim identifikuje uređaj.
                                Ova konfiguracija nije primenljiva kada uređaj ima aktivan certifikat koji se izdaje spolja da bi se identifikovao.
                            

                                xStatus konferencija EndToEndEncryption dostupnost
                            
                                Označava da li uređaj može da se pridruži end-to-end šifrovanom sastanku. API u oblaku ga zove tako da uparena aplikacija zna da li može da koristi uređaj za pridruživanje.
                            

                                xStatus Konferencija EndToEndEncryption spoljna potvrda identiteta
                            
                                Označava da li uređaj koristi spoljnu  potvrdu (ima eksterni sertifikat koji je izdao).
                            

                                xStatus konferencija EndToEndEncryption spoljni identitet identiteta
                            
                                Identitet uređaja koji je pročitan iz zajedničkog imena certifikata koji izdaje spolja izdato.
                            

                                xStatus Konferencija EndToEndEncryption sertifikat spoljnog identiteta Sertifikat # specificinfo
                            
                                Čita određene informacije iz certifikata koji je izdat spolja izdat.
                                U prikazanoj komandi zamenite # brojem sertifikata. Zamenite specificinfo jednim od:
                                
                                        Otisaka prstiju
                                    

                                        Nakon isteka važenja datum prekida
                                    

                                        Pre nego što se potvrdi datum početka
                                    

                                        Primarno ime
                                    

                                        PublicKeyAlgorithm
                                    

                                        Serijski broj
                                    

                                        Algoritam potpisa
                                    

                                        Tema br . imena predmeta za sertifikat (npr. e-adresa ili naziv domena)
                                    

                                        Validnost daje status važenja ovog sertifikata (npr. važeći ili istekao)
                                    
                            

                                xStatus konferencija EndToEndEncryption spoljni identitet status
                            
                                Status spoljašnjeg identiteta uređaja (npr. važeće ili greške).
                            

                                xStatus Konferencija EndToEndEncryption interna potvrda identiteta
                            
                                Označava da li uređaj ima važeći certifikat koji izdaje Webex CA.
                            

                                xStatus Konferencija EndToEndEncryption Interni identitet identiteta
                            
                                Identitet uređaja koji je pročitan iz zajedničkog imena certifikata koji izdaje Webex.
                                Sadrži ime domena ako organizacija ima domen. 
                                Prazna je ako organizacija nema domen.
                                Ako se uređaj nalazi u organizaciji koja ima više domena, ovo je vrednost iz željenog domena.
                            

                                xStatus Konferencija EndToEndEncryption Interniidentity CertificateChain Sertifikat # specificinfo
                            
                                Čita određene informacije iz certifikata koji izdaje Webex.
                                U prikazanoj komandi zamenite # brojem sertifikata. Zamenite specificinfo jednim od:
                                
                                        Otisaka prstiju
                                    

                                        Nakon isteka važenja datum prekida
                                    

                                        Pre nego što se potvrdi datum početka
                                    

                                        Primarno ime
                                    

                                        PublicKeyAlgorithm
                                    

                                        Serijski broj
                                    

                                        Algoritam potpisa
                                    

                                        Tema br . imena predmeta za sertifikat (npr. e-adresa ili naziv domena)
                                    

                                        Validnost daje status važenja ovog sertifikata (npr. važeći ili istekao)
                                    
                            

            Sto 3. Pozivanje API-ja za end-to-end šifrovane sastanke i provereni identitet
                                API poziv
                            
                                Opis
                            
xEvent lista učesnika konferencije je ažuriran
                                xEvent lista učesnika konferencije je ažurirana
                                uključen je xEvent učesnik na listi učesnika konferencije Ova tri događaja sada uključuju EndToEndEncryptionStatus, EndToEndEncryptionIdentity i EndToEndEncryptionCertInfo za pogođenog učesnika.

            Sto 4. ClientSecret srodni API-jevi za end-to-end šifrovane sastanke i provereni identitet
                                API poziv
                            
                                Opis
                            
xCommand Security ClientSecret popunjava tajnu: "base64url-kodirani"                                 
                                ili
                                xCommand security ClientSecret popunjava tajnu: JWEblob Prihvata osnovnu 64url kodiranu vrednost čistog teksta za zasejavanje tajne klijenta na uređaju po prvi put.
                                Da biste ažurirali tajnu nakon tog prvog puta, morate da obezbedite JWE grudvicu koja sadrži novu tajnu šifrovanu starom tajnom.
xCommand usluge bezbednosnih sertifikata Dodaj JWEblob Dodaje certifikat (sa privatnim ključem).
                                Proširili smo ovu komandu da bismo prihvatili JWE blob koji sadrži šifrovane PEM podatke.
xCommand security Certificates Services Aktiviraj svrhu:WebexIdentity Otisak prsta: JWEblob Aktivira određeni certifikat za WebexIdentity. U tu svrhu, komanda zahteva da se otisak prsta šifrovan i serijski bude serijski u JWE blob-u.
xCommand usluge bezbednosnih sertifikata Deaktivirajte namenu:WebexIdentity Otisak prsta: JWEblob Deaktivira određeni certifikat za WebexIdentity. U tu svrhu, komanda zahteva da se otisak prsta šifrovan i serijski bude serijski u JWE blob-u.

1	Popunjavajte klijentskisecret uređaja u `tajnosti za čisti tekst:` Kada prvi put popunjavate tajnu , snabdevate je čistim tekstom. Zato preporučujemo da to uradite na konzoli fizičkog uređaja. Base64url kodira tajnu frazu za ovaj uređaj. Otvorite TShell na uređaju. Pokreni xcommand security ClientSecret popunjavanje tajne: "MDEyMzQ1Njc4OW2RLZg" Primer komande iznad popunjava tajnu 0123456frazom 789abcdef. Moraš sam da izabereš. Uređaj ima početnu tajnu. Ne zaboravite ovo; ne možete da ga povratite i morate fabrički resetovati uređaj da biste ponovo pokrenuli.
2	Spajanje certifikata i privatnog ključa: Pomoću uređivača teksta otvorite .pem datoteke, nalepite grudvicu certifikata i sačuvajte je kao novu .pem datoteku. Ovo je tekst korisnog tereta koji ćete šifrovati i staviti u JWE blob.
3	Kreirajte JWE blob koji ćete koristiti kao unos u komandu za dodavanje certifikata: Kreirajte nasumičnu sekvencu od najmanje 4 bajta. Ovo je tvoja so. Proizvedi ključ za šifrovanje sadržaja pomoću alatke za šifrovanje. Za to vam je potrebna tajna, so i ključna dužina koja odgovara vašoj odabranoj šifriji šifrovanja. Postoje još neke fiksne vrednosti za nabavku (N=32768, r=8, p=1). Uređaj koristi isti proces i vrednosti da bi proizveo isti ključ za šifrovanje sadržaja. Kreirajte nasumičnu sekvencu od tačno 12 bajtova. Ovo je vektor za pokretanje. Kreirajte JOSE zaglavlje, `alg`, `enc` `i cisco-kdf ključeve`kao što je opisano u "Razumevanje procesa spoljnog identiteta za uređaje". Podesite radnju "dodaj" koristeći ključ:vrednost `"cisco-action":"add"` u vašem HOSE zaglavlju (zato što dodajemo sertifikat uređaju). Base64url kodira JOSE zaglavlje. Koristite alatku za šifrovanje JWE sa odabranom šifrom i base64url kodiranim JOSE zaglavljem da biste šifrovali tekst iz sjetane pem datoteke. Base64url kodira vektor pokretanja, šifrovani PEM tovar i oznaku za potvrdu identiteta. Konstruiši JWE blob na sledeći način (sve vrednosti su kodirane u bazi64url): `HoseHeader. InitVector.EncryptedPEM.AuthTag`
4	Otvorite TShell na uređaju i pokrenite komandu (multiline) add: `xcommand security certificates Services Add IsEncrypted: Istina vaљe. JWE.str.ing\n .\n`
5	Proverite da li je sertifikat dodat pokretanjem `usluge xcommand security Certificates Show` Kopirajte otisak prsta novog certifikata.
6	Aktivirajte sertifikat u svrhu `WebexIdentity`: Pročitajte otisak prsta sertifikata, `bilo iz samog sertifikata ili iz prikazivanje xcommand bezbednosnih sertifikata Prikaži`. Kreirajte nasumičnu sekvencu od najmanje 4 bajta i base64url kodirajte taj niz. Ovo je tvoja so. Proizvedi ključ za šifrovanje sadržaja pomoću alatke za šifrovanje. Za to vam je potrebna tajna, so i ključna dužina koja odgovara vašoj odabranoj šifriji šifrovanja. Postoje još neke fiksne vrednosti za nabavku (N=32768, r=8, p=1). Uređaj koristi isti proces i vrednosti da bi proizveo isti ključ za šifrovanje sadržaja. Kreirajte nasumičnu sekvencu od tačno 12 bajtova i base64url kodirajte taj niz. Ovo je vektor za pokretanje. Kreirajte JOSE zaglavlje, `alg`, `enc` `i cisco-kdf ključeve`kao što je opisano u "Razumevanje procesa spoljnog identiteta za uređaje". Podesite radnju "aktiviraj" koristeći ključ: `vrednost "cisco-action":"aktivirajte"` u vašem HOSE zaglavlju (jer aktiviramo sertifikat na uređaju). Base64url kodira JOSE zaglavlje. Koristite alatku za šifrovanje JWE sa odabranom šifrom i base64url kodiranim JOSE zaglavljem da biste šifrovali otisak prsta certifikata. Alatka bi trebalo da uvodi sekvencu od 16 ili 32 bajta, u zavisnosti od toga da li ste odabrali 128 ili 256 bita AES-GCM i oznaku za potvrdu identiteta. Base64urlencode šifrovani otisak prsta i oznaka za potvrdu identiteta. Konstruiši JWE blob na sledeći način (sve vrednosti su kodirane u bazi64url): `HoseHeader. InitVector.EncryptedFingerprint.AuthTag` Otvorite TShell na uređaju i pokrenite sledeću komandu za aktiviranje: `xcommand bezbednosne sertifikate namene za aktiviranje: Otisak prsta za WebexIdentity: "Vaš." JWE.šifrovani.otisak prsta"` Uređaj ima šifrovani, aktivni certifikat koji izdaje CA, spreman da se koristi za njegovu identifikaciju na end-to-end šifrovanim Webex sastancima.
7	Ukrcajte se na uređaj u organizaciju "Kontrolno čvorište".

API poziv	Opis
`xConfiguration Conference EndToEndEncryption identitet željeni domen: "example.com"`	Ova konfiguracija se pravi kada administrator postavi željeni domen uređaja iz kontrolnog čvorišta. Neophodno samo ako organizacija ima više domena. Uređaj koristi ovaj domen kada zahteva certifikat od Webex CA. Domen zatim identifikuje uređaj. Ova konfiguracija nije primenljiva kada uređaj ima aktivan certifikat koji se izdaje spolja da bi se identifikovao.
`xStatus konferencija EndToEndEncryption dostupnost`	Označava da li uređaj može da se pridruži end-to-end šifrovanom sastanku. API u oblaku ga zove tako da uparena aplikacija zna da li može da koristi uređaj za pridruživanje.
`xStatus Konferencija EndToEndEncryption spoljna potvrda identiteta`	Označava da li uređaj koristi spoljnu potvrdu (ima eksterni sertifikat koji je izdao).
`xStatus konferencija EndToEndEncryption spoljni identitet identiteta`	Identitet uređaja koji je pročitan iz zajedničkog imena certifikata koji izdaje spolja izdato.
`xStatus Konferencija EndToEndEncryption sertifikat spoljnog identiteta Sertifikat # specificinfo`	Čita određene informacije iz certifikata koji je izdat spolja izdat. U prikazanoj komandi zamenite `#` brojem sertifikata. Zamenite `specificinfo` jednim od: `Otisaka prstiju` `Nakon isteka važenja` datum prekida `Pre nego što se` potvrdi datum početka `Primarno ime` `PublicKeyAlgorithm` `Serijski broj` `Algoritam potpisa` `Tema br` . imena predmeta za sertifikat (npr. e-adresa ili naziv domena) `Validnost` daje status važenja ovog sertifikata (npr. `važeći` ili `istekao`)
`xStatus konferencija EndToEndEncryption spoljni identitet status`	Status spoljašnjeg identiteta uređaja (npr. `važeće` ili `greške`).
`xStatus Konferencija EndToEndEncryption interna potvrda identiteta`	Označava da li uređaj ima važeći certifikat koji izdaje Webex CA.
`xStatus Konferencija EndToEndEncryption Interni identitet identiteta`	Identitet uređaja koji je pročitan iz zajedničkog imena certifikata koji izdaje Webex. Sadrži ime domena ako organizacija ima domen. Prazna je ako organizacija nema domen. Ako se uređaj nalazi u organizaciji koja ima više domena, ovo `je vrednost iz željenog domena`.
`xStatus Konferencija EndToEndEncryption Interniidentity CertificateChain Sertifikat # specificinfo`	Čita određene informacije iz certifikata koji izdaje Webex. U prikazanoj komandi zamenite `#` brojem sertifikata. Zamenite `specificinfo` jednim od: `Otisaka prstiju` `Nakon isteka važenja` datum prekida `Pre nego što se` potvrdi datum početka `Primarno ime` `PublicKeyAlgorithm` `Serijski broj` `Algoritam potpisa` `Tema br` . imena predmeta za sertifikat (npr. e-adresa ili naziv domena) `Validnost` daje status važenja ovog sertifikata (npr. `važeći` ili `istekao`)

API poziv	Opis
`xCommand Security ClientSecret popunjava tajnu: "base64url-kodirani"` ili `xCommand security ClientSecret popunjava tajnu: JWEblob`	Prihvata osnovnu 64url kodiranu vrednost čistog teksta za zasejavanje tajne klijenta na uređaju po prvi put. Da biste ažurirali tajnu nakon tog prvog puta, morate da obezbedite JWE grudvicu koja sadrži novu tajnu šifrovanu starom tajnom.
`xCommand usluge bezbednosnih sertifikata Dodaj JWEblob`	Dodaje certifikat (sa privatnim ključem). Proširili smo ovu komandu da bismo prihvatili JWE blob koji sadrži šifrovane PEM podatke.
`xCommand security Certificates Services Aktiviraj svrhu:WebexIdentity Otisak prsta: JWEblob`	Aktivira određeni certifikat za WebexIdentity. U tu `svrhu`, komanda zahteva da se otisak prsta šifrovan i serijski bude serijski u JWE blob-u.
`xCommand usluge bezbednosnih sertifikata Deaktivirajte namenu:WebexIdentity Otisak prsta: JWEblob`	Deaktivira određeni certifikat za WebexIdentity. U tu `svrhu`, komanda zahteva da se otisak prsta šifrovan i serijski bude serijski u JWE blob-u.

Primena sastanaka sa nultim poverenjem

Potvrdi identitet

Interno izdat certifikat uređaja

Certifikat spoljno izdatog uređaja

Uređaji

Softverski klijenti

Identitet

Sastanci

Interfejs upravljanja

Srodne informacije

Kako koristimo JWE format

Kako izviremo ključ za šifrovanje klijentaSecret

Radila je na primeru

Dodaj zvučne vodene žigove u E2EE sastanke

Otpremite i analizirajte vodeni sastanak

Funkcije i ograničenja

Mala preduzeća

Velika preduzeća

Uređaji

Rešenja za

Resursi

Kompanija

1	Prijavite se na portal Control Hub, a zatim pristupite stavci Usluge > Sastanak.
2	Kliknite na dugme Lokacije, odaberite Webex lokaciju za koju želite da promenite podešavanja, a zatim izaberite stavku Podešavanja.
3	U okviru Uobičajene postavkeizaberite stavku Tipovi sesija.
4	Trebalo bi da vidite jedan ili više tipova sesija potpunog šifrovanja. Pogledajte listu ID-ova tipa sesije u odeljku "Referenca" ovog članka. Na primer, možda ćete videti pro-End to End Encryption_VOIPonly. Postoji stariji tip sesije sa veoma sličnim imenom: Pro-End-End do End šifrovanje. Ovaj tip sesije uključuje PSTN pristup sastancima koji nisu šifrovani. Uverite se da imate verziju _VOIPonly da biste osigurali end-to-end šifrovanje. Možete da proverite tako što ćete zaviriti preko PRO veze u koloni sa kodom sesije; za ovaj primer, `cilj veze treba da bude javascript:ShowFeature(652)`. Ubuduće ćemo možda promeniti imena javnih usluga za ove tipove sesija.
5	Ako još uvek nemate novi tip sesije, obratite se predstavniku Webexa.

1	Prijavite se u Control Hub i pristupite opciji "Upravljanje > korisnicima ".
2	Izaberite opciju korisnički nalog ažurirati, a zatim izaberite " Sastanci".
3	U okviru stavke Postavke se primenjuju na padajući meni, izaberite lokacija sastanka ažurirati.
4	Označite polje pored stavke Pro-End to End Encryption_VOIPonly.
5	Zatvorite korisničku tablu za konfiguraciju.
6	Ponovite to za druge korisnike ako je potrebno. Da biste ovo dodelili većem broju korisnika, koristite sledeću opciju, omogućite E2EE sastanke za više korisnika.

1	Prijavite se na portal Control Hub, a zatim pristupite stavci Usluge > Sastanak.
2	Izaberite stavku Lokacije, odaberite Webex sajt za koju želite da promenite podešavanja.
3	U odeljku Licence i korisnici kliknite na dugme Masovno upravljanje.
4	Kliknite na "Generiši izveštaj" i sačekajte dok pripremimo datoteku.
5	Kada datoteka bude spremna, kliknite na dugme Izvezi rezultate, a zatim preuzmi. (Morate ručno da zatvorite taj iskačući prozor nakon što kliknete Preuzmi.)
6	Otvorite preuzetu CSV datoteku za uređivanje. Postoji red za svakog korisnika, `a kolona MeetingPrivilege sadrži ID-ove tipa sesije` kao listu razdvojenu zarezom.
7	Za svakog korisnika kom želite da dodelite novi tip sesije, `dodajte 1561` kao novu vrednost na listi razdvojenih zarezima u ćeliji `"Privilegije` sastanaka". Referenca za Webex CSV formata datoteka sadrži detalje o svrsi i sadržaju ove CSV datoteka.
8	Otvorite tablu za konfiguraciju lokacije za sastanke u kontrolnom čvorištu. Ako ste se već nalazili na stranici liste lokacija za sastanke, možda ćete morati da je osvežite.
9	U odeljku Licence i korisnici izaberite stavku Masovno upravljanje .
10	Kliknite na dugme Uvezi i izaberite uređeni CSV, a zatim kliknite na dugme Uvezi. Sačekajte dok se datoteka otpremi.
11	Kada se uvoz završi, možete kliknuti na dugme "Uvezi rezultate" da biste pregledali da li je bilo grešaka.
12	Idite na stranicu "Korisnici" i otvorite jednog od korisnika da biste proverili da li imaju novi tip sesije.

1	Zakažite sastanak ispravnog tipa(Webex Meetings Pro-End to End Encryption_VOIPonly). Pogledajte schedule a Webex Meeting with End-to-End Encryption.
2	Pridružite se sastanku kao domaćin, od klijenta Webex sastanaka. Pogledajte pridruživanje Webex sastanku pomoću end-to-end šifrovanja.
3	Pridružite se sastanku sa uređaja koji ima svoj identitet verifikovan od strane Webex CA.
4	Kao domaćin, proverite da li se ovaj uređaj pojavljuje u holu sa ispravnom ikonom identiteta. Pogledajte pridruživanje Webex sastanku pomoću end-to-end šifrovanja.
5	Pridružite se sastanku sa uređaja koji ima svoj identitet verifikovan od strane spoljnog CA.
6	Kao domaćin, proverite da li se ovaj uređaj pojavljuje u holu sa ispravnom ikonom identiteta. Saznajte više o ikonama identiteta.
7	Pridružite se sastanku kao neautorizovani učesnik sastanaka.
8	Kao domaćin, proverite da li se ovaj učesnik pojavljuje u holu sa ispravnom ikonom identiteta.
9	Kao domaćin, priznajte ili odbacite ljude / uređaje.
10	Proverite identitete učesnika/uređaja tamo gde je to moguće proverom sertifikata.
11	Proverite da li svi na sastanku vide isti bezbednosni kôd sastanka.
12	Pridružite se sastanku sa novim učesnikom.
13	Proverite da li svi vide isti, novi bezbednosni kod za sastanak.

API poziv	Opis
`xEvent lista učesnika konferencije je ažuriran` `xEvent lista učesnika konferencije je ažurirana` `uključen je xEvent učesnik na listi učesnika konferencije`	Ova tri `događaja sada uključuju EndToEndEncryptionStatus`, `EndToEndEncryptionIdentity` `i EndToEndEncryptionCertInfo` za pogođenog učesnika.