Korisnici biraju novi tip sastanka kada zakazu sastanak. Prilikom prijema učesnika iz hola, kao i tokom sastanka, domaćin može da vidi status provere identiteta svakog učesnika. Postoji i kôd sastanka koji je zajednički svim trenutnim učesnicima sastanka, a koji mogu da koriste za međusobno verifikaciju.

Delite sledeće informacije sa domaćinima sastanka:

Verifikacija identiteta

Provera identiteta od kraja do kraja obezbeđuje dodatnu bezbednost za end-to-end šifrovani sastanak.

Kada se učesnici ili uređaji pridruže deljenoj MLS (Messaging Layer Security) grupi, oni predstavljaju svoje certifikate ostalim članovima grupe koji potom proveravaju valjanost certifikata u odnosu na autoritet za izdavanje certifikata/ies (CA). Potvrdom da su certifikati važeći, CA proverava identitet učesnika, a sastanak prikazuje učesnike / uređaje kao proverene.

Korisnici webex aplikacije "Sastanci" potvrdili su verodostojnost u odnosu na Webex skladište identiteta koje im izdaje oznaku za pristup kada uspeju. Ako im je potreban certifikat za verifikaciju identiteta - na end-to-end šifrovanom sastanku - Webex CA im izdaje certifikat zasnovan na oznaki za pristup. Još uvek ne obezbeđujemo način da korisnici Webex sastanaka dobiju certifikat izdat od strane nezavisnog proizvođača / spoljnog CA.

Uređaji mogu da potvrde verodostojnost pomoću certifikata izdatog od strane internog (Webex) CA ili certifikata izdatog od strane eksternog CA:

  • Za interni CA slučaj, Webex izdaje interni certifikat zasnovan na oznaki pristupa nalogu računara uređaja. Webex CA potpisuje certifikat. Uređaji nemaju korisničke ID-ove na isti način kao korisnici, tako da Webex koristi (jedan od) domena vaše organizacije prilikom upisivanja identiteta certifikata uređaja (Zajedničko ime (CN)).

  • Za eksterni CA predmet zahtevate i kupujete certifikate uređaja direktno od odabranog izdavača. Morate šifrovati, direktno otpremiti i ovlastiti certifikate koristeći tajnu poznatu samo vama.

    Cisco nije uključen, što ovo čini načinom da se garantuje istinsko end-to-end šifrovanje i provereni identitet, i spreči teoretska mogućnost da Cisco prisluškuje vaš sastanak / dešifruje vaše medije.

Interno izdat certifikat uređaja

Webex izdaje certifikat uređaju kada se registruje nakon pokretanja i obnavlja ga kada je to potrebno. Za uređaje, certifikat uključuje ID naloga i domen.

Ako vaša organizacija nema domen, Webex CA izdaje certifikat bez domena.

Ako vaša organizacija ima više domena, možete da koristite kontrolno čvorište da biste webexu rekli koji domen uređaj da koristite za njegov identitet. Mogao bi da koristiš i API xConfiguration Conference EndToEndEncryption Identity PreferredDomain: "example.com".

Ako imate više domena i ne postavite željeni domen za uređaj, Webex će odabrati jedan za vas.

Certifikat spoljno izdatog uređaja

Administrator može da obezbedi uređaj sa sopstvenim certifikatom koji je potpisan jednim od javnih OA.

Certifikat mora biti zasnovan na ECDSA P-256 ključnom paru, iako ga može potpisati RSA ključ.

Vrednosti u certifikatu su po nahođenju organizacije. Zajedničko ime (CN) i alternativno ime teme (SAN) biće prikazani u korisničkom interfejsu Webex sastanka, kao što je opisano u end-to-end šifrovanju sa verifikacijom identiteta za Webex sastanke.

Preporučuje se korišćenje posebnog certifikata po uređaju i da imate jedinstveni CN po uređaju. Ovo bi, na primer, moglo da bude "meeting-room-1.example.com", za organizaciju koja je vlasnik domena "example.com".

Da bi se spoljni certifikat u potpunosti zaštitio od neovlašćenog menjanja, funkcija klijent-tajna se koristi za šifrovanje i potpisivanje različitih xcommandova.

Kada koristite tajnu klijenta, moguće je bezbedno upravljati spoljnim webex certifikatom identiteta putem xAPI-ja. Ovo je trenutno ograničeno na uređaje na mreži.

Webex trenutno obezbeđuje API komande za upravljanje ovim.

Uređaji

Webex Room serije registrovane u oblaku i uređaji Webex Desk serije mogu da se pridruže end-to-end šifrovanim sastancima, uključujući:

  • Webex Board

  • Webex Desk Pro

  • Webex Desk

  • Webex Komplet soba

  • Webex Room Kit Mini

Sledeći uređaji ne mogu da se pridruže kraju da bi se okončali šifrovani sastanci:

  • Webex C serija

  • Webex DX Series

  • Webex EX grupa

  • Webex MX Series

  • SIP uređaji nezavisnih proizvođača

Softverski klijenti

  • Od 41.6, klijent radne površine Webex sastanaka može da se pridruži end-to-end šifrovanim sastancima.

  • Ako vaša organizacija omogućava aplikaciji Webex da se pridruži sastancima pokretanjem aplikacije "Sastanci na radnoj površini", tu opciju možete da koristite da biste se pridružili end-to-end šifrovanim sastancima.

  • Webex Web klijent ne može da se pridruži end-to-end šifrovanim sastancima.

  • Nezavisni SIP meki klijenti ne mogu da se pridruže end-to-end šifrovanim sastancima.

Identitet

  • Ne pružamo vam nikakve opcije kontrolnog čvorišta za upravljanje spoljno proverenim identitetom uređaja. Ova odluka je po dizajnu, jer za istinsko end-to-end šifrovanje, samo vi treba da znate/pristupite tajnama i ključevima. Ako smo uveli uslugu u oblaku za upravljanje tim ključevima, postoji šansa da budu presretnuti.

  • Trenutno ne obezbeđujemo nikakve alatke koje bi vam pomogle u zahtevanju ili šifrovanju certifikata identiteta uređaja i njihovih privatnih ključeva. Trenutno vam pružamo 'recept' za dizajniranje sopstvenih alata, zasnovanih na tehnikama šifrovanja standarda industrije, kako biste pomogli u ovim procesima. Ne želimo da imamo bilo kakav stvarni ili percipiran pristup vašim tajnama ili ključevima.

Sastanci

  • End-to-end šifrovani sastanci trenutno podržavaju najviše 200 učesnika.

  • Od tih 200 učesnika, najviše 25 spoljno proverenih uređaja može da se pridruži i oni moraju biti prvi učesnici koji će se pridružiti sastanku.

    Kada se veći broj uređaja pridruži sastanku, naše backend medijske usluge pokušavaju da kodiraju tokove medija. Ako ne možemo da dešifrujemo, transkodiramo i ponovo šifrujemo medije (jer nemamo i ne bi trebalo da imamo ključeve za šifrovanje uređaja), transkodiranje ne uspe.

    Da bismo ublažili ovo ograničenje, preporučujemo manje sastanke za uređaje ili zateturamo pozivnice između uređaja i klijenata sastanaka.

Interfejs upravljanja

Preporučujemo da koristite kontrolno čvorište za upravljanje lokacijom za sastanke.

Glavni razlog za to je razlika između načina na koji kontrolno čvorište i administracija lokacije upravljaju identitetom. Organizacije kontrolnog čvorišta imaju centralizovan identitet za celu organizaciju, dok se u administraciji lokacije identitet kontroliše na lokaciji po lokaciji.

To znači da ne možete da imate opciju Cisco verifikovanog identiteta za korisnike kojima se upravlja iz administracije lokacije. Tim korisnicima se izdaje anonimni certifikat za pridruživanje end-to-end šifrovanom sastanku i oni mogu biti isključeni sa sastanaka na kojima domaćin želi da obezbedi identitet.

Srodne informacije

Uzorak JWE blobs

Uzorak ispravno šifrovanog JWE na osnovu datih parametara (aneksa)

  • Webex sastanci 41.7.

  • Webex Room i Webex Desk uređaji serije registrovani u oblaku, koji rade 10.6.1-RoomOS_August_2021.

  • Administrativni pristup lokaciji za sastanke u kontrolnom čvorištu da bi se omogućio novi tip sesije za korisnike.

  • Neki od proverenih domena u organizaciji "Kontrolno čvorište" (ako koristite Webex CA za izdavanje certifikata uređaja za provereni identitet).

  • Sale za sastanke o saradnji moraju biti uključene tako da se osobe mogu pridružiti njihovom video sistemu. Više informacija potražite u članku Dozvoli video sistemima da se pridruže Webex sastancima i događajima na Vašoj Webex lokaciji.

Ovaj korak možete preskočiti ako vam nije potreban spoljno provereni identitet.

Za najviši nivo bezbednosti i proveru identiteta, svaki uređaj treba da ima jedinstveni certifikat koji izdaje pouzdani javni autoritet za izdavanje certifikata.

Potrebno je da komunicirate sa CA da biste zahtevali, kupili i primili digitalne certifikate i kreirali povezane privatne ključeve. Kada zahtevate certifikat, ovo su parametri koje treba koristiti:

  • Certifikat mora biti izdat i potpisan od strane poznatog javnog CA.

  • Jedinstveni: Preporučujemo da koristite jedinstveni certifikat za svaki uređaj. Ako koristite jedan certifikat za sve uređaje, ugrožavate svoju bezbednost.

  • Zajedničko ime (CN) i alternativno ime teme/s (SAN/s): To webexu nije važno, ali bi trebalo da budu vrednosti koje ljudi mogu da pročitaju i povežu sa uređajem. CN će drugim učesnicima sastanka pokazati kao primarni provereni identitet uređaja, a ako korisnici pregledaju certifikat putem UI sastanka, videće SAN/s. Možda ćete želeti da koristite imena kao što su name.model@example.com Ali to je tvoj izbor.

  • Format datoteke: Certifikati i ključevi moraju biti u .pem formatu.

  • Svrhu: Svrha certifikata mora biti Webex Identitet.

  • Generisanje ključeva: Certifikati moraju biti zasnovani na ECDSA P-256 ključnim parovima (Elliptical Curve Digital Signature Algorithm using the P-256 curve).

    Ovaj zahtev se ne proširuje na ključ za potpisivanje. CA može da koristi RSA ključ za potpisivanje certifikata.

Ovaj korak možete preskočiti ako ne želite da koristite spoljno provereni identitet sa uređajima.

Ako koristite nove uređaje, nemojte ih još registrovati na Webex. Najsigurnije je da ih još uvek ne povezujete sa mrežom.

Ako imate postojeće uređaje koje želite da nadogradite da biste koristili spoljno provereni identitet, moraćete da fabrički uspostavite početne vrednosti uređaja.

  • Sačuvajte postojeću konfiguraciju ako želite da je zadržite.

  • Planirajte prozor kada se uređaji ne koriste ili koristite fazni pristup. Obavestite korisnike o promenama koje mogu da očekuju.

  • Obezbedite fizički pristup uređajima. Ako morate da pristupite uređajima preko mreže, imajte na umu da tajne putuju čistim tekstom i da ugrožavate svoju bezbednost.

Kada dovršite ove korake, dozvolite video sistemima da se pridruže sastancima i događajima na Vašoj Webex lokaciji.

Da biste se uverili da medijum uređaja ne može da šifruje niko osim uređaja, morate šifrovati privatni ključ na uređaju. Dizajnirali smo API za uređaj da bismo omogućili upravljanje šifrovanim ključem i certifikatom, koristeći JSON Web šifrovanje (JWE).

Da bismo obezbedili istinsko end-to-end šifrovanje kroz naš oblak, ne možemo biti uključeni u šifrovanje i otpremanje certifikata i ključa. Ako vam je potreban ovaj nivo bezbednosti, onus je na vama da:

  • Zahtevajte svoje certifikate.

  • Generišite parove ključeva certifikata.

  • Kreirajte (i zaštitite) početnu tajnu za svaki uređaj, kako biste zasejali mogućnost šifrovanja uređaja.

  • Razvijte i održavajte sopstvenu alatku za šifrovanje datoteka pomoću JWE standarda.

    U nastavku objašnjavamo proces i (netajne) parametre koji će vam biti potrebni, kao i recept koji treba da pratite u svojim razvojnim alatima po izboru. Takođe obezbeđujemo neke podatke o testiranju i dobijene JWE grudvice kao što očekujemo, kako bismo vam pomogli da proverite svoj proces.

    Nepodržana referentna implementacija pomoću Python3 i JWCrypto biblioteke dostupna je od Cisco-a na zahtev.

  • Spajanje i šifrovanje certifikata i ključa pomoću alatke i početne tajne uređaja.

  • Otpremite dobijenu JWE grudvicu na uređaj.

  • Podesite svrhu šifrovanog certifikata koji će se koristiti za Webex identitet i aktivirajte certifikat.

  • (Preporučuje se) Obezbedite interfejs za (ili distribuiranje) alatke da biste omogućili korisnicima uređaja da promene početnu tajnu (da bi zaštitili svoje medije od vas!).

Kako koristimo JWE format

Ovaj odeljak opisuje kako očekujemo da JWE bude kreiran kao ulaz na uređaje, tako da možete da napravite sopstvenu alatku za kreiranje grudvica iz vaših certifikata i ključeva.

Moraćete da pogledate JSON Web Encryption (JWE)https://datatracker.ietf.org/doc/html/rfc7516 i JSON Web Signature (JWS)https://datatracker.ietf.org/doc/html/rfc7515.

Odabrali smo da koristimo Kompaktnu serijalizaciju JSON dokumenta za kreiranje JWE blobs. Parametri koje ćete morati da uključite prilikom kreiranja JWE grudvica su:

  • JOSE zaglavlje (zaštićeno). U zaglavlje JSON potpisivanja i šifrovanja objekata morate da uključite sledeće parove vrednosti ključa:

    • "alg":"dir"

      Direktan algoritam je jedini koji podržavamo za šifrovanje tovara i morate da koristite početnu klijentsku tajnu uređaja.

    • "enc":"A128GCM" ili "enc":"A256GCM"

      Podržavamo ova dva algoritma šifrovanja.

    • "cisco-action": "add" ili "cisco-action": "populate" ili "cisco-action": "activate" ili "cisco-action": "deactivate"

      Ovo je vlasnički ključ i četiri vrednosti koje može da uzme. Uveli smo ovaj ključ da bismo signalizirali svrhu šifrovanih podataka ciljnom uređaju. Vrednosti su nazvane po xAPI komandama na uređaju na kojem koristite šifrovane podatke.

      Nazvali smo ga cisco-action za ublažavanje potencijalnih sukoba sa budućim proširenjima JWE.

    • "cisco-kdf": { "version": "1", "salt": "base64URLEncodedRandom4+Bytes" }

      Još jedan vlasnički ključ. Koristimo vrednosti koje navedete kao unose za ključnu derivaciju na uređaju. The version mora biti 1(verzija naše ključne funkcije derivata). Vrednost salt mora biti sekvenca kodirana za URL adresu od najmanje 4 bajta, koju morate odabrati nasumično.

  • JWE šifrovani ključ. Ovo polje je prazno. Uređaj ga izvodi iz inicijala ClientSecret.

  • JWE Vector za inicijalizaciju. Morate da obezbedite base64url kodirani vektor za pokretanje za dešifrovanje tovara. IV mora biti nasumična vrednost od 12 bajtova (koristimo AES-GCM šifru porodice, koja zahteva da infuzija bude dugačka 12 bajtova).

  • JWE AAD (dodatni potvrđeni podaci). Ovo polje morate izostaviti jer ono nije podržano u sažetoj serijalizaciji.

  • JWE Ciphertext: Ovo je šifrovani tovar koji želite da držite u tajnosti.

    Tovar može biti prazan (Na primer, da biste uspostavili početne vrednosti u tajnosti klijenta, potrebno je da ga zamenite praznom vrednošću).

    Postoje različiti tipovi tovara, u zavisnosti od toga šta pokušavate da uradite na uređaju. Različite xAPI komande očekuju različita opterećenja i morate navesti svrhu tovara sa cisco-action ključ, na sledeći na sledeći:

    • Sa "cisco-action":"populate" šifretekst je novi ClientSecret

    • Sa » "cisco-action":"add" ciphertext je PEM blob koji nosi sertifikat i njegov privatni ključ (spajanje)

    • Sa » "cisco-action":"activate" ciphertext je otisak prsta (heksadecimalni prikaz ša-1) sertifikata koji aktiviramo za verifikaciju identitije uređaja

    • Sa » "cisco-action":"deactivate" šifratekst je otisak prsta (heksadecimalni prikaz ša-1) sertifikata koji deaktiviramo od upotrebe za proveru identiteta uređaja

  • Oznaka JWE potvrde identiteta: Ovo polje sadrži oznaku potvrde identiteta da bi se utvrdio integritet cele JWE sažeto serijalizovane grudvice

Kako izvodimo ključ za šifrovanje iz ClientSecret

Posle prve populacije tajne, ne prihvatamo ili prenosimo tajnu kao čisti tekst. Ovo je da biste sprečili potencijalne napade rečnika od strane nekoga ko bi mogao da pristupi uređaju.

Softver uređaja koristi tajnu klijenta kao ulaz u funkciju derivata ključa (kdf) i zatim koristi izvedeni ključ za dešifrovanje/šifrovanje sadržaja na uređaju.

Ono što ovo znači za vas je da vaš alat za proizvodnju JWE blobs mora da sledi istu proceduru da bi proizveo isti ključ za šifrovanje/dešifrovanje iz tajne klijenta.

Uređaji koriste scrypt za ključnu derivaciju (pogledajte https://en.wikipedia.org/wiki/Scrypt), sa sledećim parametrima:

  • CostFactor (N) je 32768

  • BlockSizeFactor (r) je 8

  • ParallelizationFactor (p) je 1

  • So je nasumična sekvenca od najmanje 4 bajta; morate da obezbedite istu salt prilikom navođenja cisco-kdf Parametar.

  • Dužine ključa su ili 16 bajtova (ako izaberete algoritam AES-GCM 128) ili 32 bajta (ako izaberete algoritam AES-GCM 256)

  • Maksimalna memorijska kapa je 64MB

Ovaj skup parametara je jedina konfiguracija skripta koja je kompatibilna sa funkcijom derivata ključa na uređajima. Ovaj kdf na uređajima se zove "version":"1", što je jedina verzija koju trenutno uzima cisco-kdf Parametar.

Radila je na primeru

Evo primera koji možete slediti da biste proverili da li vaš proces JWE šifrovanja funkcioniše isto kao i proces koji smo kreirali na uređajima.

Primer scenarija je dodavanje PEM bloba uređaju (imitira dodavanje certifikata, sa veoma kratkom niskom umesto punim certifikatom + ključem). Klijentska tajna u primeru je ossifrage.

  1. Odaberite šifru šifrovanja. Ovaj primer se koristi A128GCM(AES sa 128 bit tastera u Galois Counter režimu). Tvoj alat bi mogao da koristi A256GCM ako više volite.

  2. Odaberite so (mora biti nasumična sekvenca od najmanje 4 bajta). Ovaj primer se koristi (heksa-bajt) E5 E6 53 08 03 F8 33 F6. Base64url kodira sekvencu da bi je dobio 5eZTCAP4M_Y(uklonite podlogu64).

  3. Evo uzorka scrypt poziv za kreiranje ključa za šifrovanje sadržaja (cek):

    cek=scrypt(password="ossifrage", salt=4-byte-sequence, N=32768, r=8, p=1, keylength=16)

    Izvedeni ključ treba da bude 16 bajtova (heksa) na sledeći način: 95 9e ba 6d d1 22 01 05 78 fe 6a 9d 22 78 ff ac koji base64url kodira lZ66bdEiAQV4_mqdInj_rA.

  4. Odaberite nasumičnu sekvencu od 12 bajtova koju ćete koristiti kao vektor pokretanja. Ovaj primer se koristi (heksax) 34 b3 5d dd 5f 53 7b af 2d 92 95 83 koji base64url kodira NLNd3V9Te68tkpWD.

  5. Kreirajte JOSE zaglavlje sa kompaktnom serijalizacijom (pratite isti redosled parametara koje ovde koristimo) i zatim ga base64url kodira:

    {"alg":"dir","cisco-action":"add","cisco-kdf":{"salt":"5eZTCAP4M_Y","version":"1"},"enc":"A128GCM"}

    Base64url kodirano JOSE zaglavlje je eyJhbGciOiJkaXIiLCJjaXNjby1hY3Rpb24iOiJhZGQiLCJjaXNjby1rZGYiOnsic2FsdCI6IjVlWlRDQVA0TV9ZIiwidmVyc2lvbiI6IjEifSwiZW5jIjoiQTEyOEdDTSJ9

    Ovo će biti prvi element JWE bloba.

  6. Drugi element JWE bloba je prazan, jer ne snabdevamo JWE ključ za šifrovanje.

  7. Treći element JWE bloba je vektor za inicijalizaciju NLNd3V9Te68tkpWD.

  8. Koristite alatku za JWE šifrovanje da biste proizveli šifrovani tovar i oznaku. Na ovom primeru, nešifrovana tovar će biti lažna PEM grudvica this is a PEM file

    Parametri šifrovanja koje bi trebalo da koristite su:

    • Tovar je this is a PEM file

    • Šifrovanje šifre je AES 128 GCM

    • Baza64url kodirala je JOSE zaglavlje kao dodatne potvrđene podatke (AAD)

    Base64url kodira šifrovani tovar, što bi trebalo da rezultira f5lLVuWNfKfmzYCo1YJfODhQ

    Ovo je četvrti element (JWE Ciphertext) u JWE blob-u.

  9. Base64url kodira oznaku koju ste proizveli u koraku 8, što bi trebalo da rezultira PE-wDFWGXFFBeo928cfZ1Q

    Ovo je peti element u JWE blob- u.

  10. Spajanje pet elemenata JWE bloba sa tačkicama (JOSEheader.. IV.Ciphertext.Tag) da biste dobili:

    eyJhbGciOiJkaXIiLCJjaXNjby1hY3Rpb24iOiJhZGQiLCJjaXNjby1rZGYiOnsic2FsdCI6IjVlWlRDQVA0TV9ZIiwidmVyc2lvbiI6IjEifSwiZW5jIjoiQTEyOEdDTSJ..9NLNd3V9Te68tkpWD.f5lLVuWNfKfmzYCo1YJfODhQ.PE-wDFWGXFFBeo928cfZ1Q

  11. Ako ste izvedeni iste osnovne64url kodirane vrednosti kao što pokazujemo ovde, koristeći sopstvene alatke, spremni ste da ih koristite za obezbeđivanje E2E šifrovanja i proverenog identiteta vaših uređaja.

  12. Ovaj primer zapravo neće funkcionisati, ali u principu vaš sledeći korak bi bio da koristite JWE blob koji ste gore kreirali kao unos u xcommand na uređaju koji dodaje certifikat:

    xCommand Security Certificates Add eyJhbGciOiJkaXIiLCJjaXNjby1hY3Rpb24iOiJhZGQiLCJjaXNjby1rZGYiOnsic2FsdCI6IjVlWlRDQVA0TV9ZIiwidmVyc2lvbiI6IjEifSwiZW5jIjoiQTEyOEdDTSJ..9NLNd3V9Te68tkpWD.f5lLVuWNfKfmzYCo1YJfODhQ.PE-wDFWGXFFBeo928cfZ1Q

Postoje novi tipovi sesija za sastanke sa nultim poverenjem, koji će biti dostupni svim lokacijama za sastanke bez dodatnih troškova. Jedan od novih tipova sesije je pozvan Pro-End to End Encryption_VOIPonly. Ovo je ime javnog servisa koje možemo da promenimo u budućnosti. Trenutna imena tipova sesija pogledajte odeljak ID-ova tipa sesije u odeljku "Referenca" ovog članka.

Ne postoji ništa što treba da uradite da biste dobili novu mogućnost za vaš sajt, ali ćete morati da odobrite novi tip sesije (koji se naziva i privilegijasastanka ) korisnicima. To možete da uradite pojedinačno preko stranice za konfiguraciju korisnika ili na veliko sa CSV izvozom/uvozom.

1

Prijavite se u kontrolno čvorište i otvorite stranicu "Sastanak".

2

Kliknite na ime lokacije da biste otvorili tablu za konfiguraciju lokacije.

3

Kliknite na dugme Konfigurišilokaciju .

4

U oblasti Zajedničke postavke izaberite stavku Tipovi sesija.

Na toj stranici bi trebalo da vidite jedan ili više tipova sesija šifrovanja od kraja do kraja. Pogledajte listu ID-ova tipa sesije u odeljku "Referenca" ovog članka. Na primer, možda ćete videti pro-End to End Encryption_VOIPonly.

 

Postoji stariji tip sesije sa veoma sličnim imenom: Pro-End to End šifrovanje. Ovaj tip sesije uključuje PSTN pristup sastancima koji nisu šifrovani. Uverite se da imate _VOIPonly verziju da biste se uverili da je kraj šifrovanja. Možete proveriti tako što ćete zadržati vezu PRO u koloni koda sesije; u ovom primeru, cilj veze bi trebalo da bude javascript:ShowFeature(652).

Ubuduće možemo da promenimo imena javnih servisa za ove tipove sesija, na primer, planiramo da promenimo Pro-End u End Encryption_VOIPonlyu E2E šifrovanje + identitet.

5

Ako još uvek nemate novi tip sesije, obratite se predstavniku Webexa.

Šta dalje

Omogućite ovu privilegiju sesije / sastanka nekim ili svim korisnicima.

1

Kliknite na dugme "Korisnici" i izaberite korisnika da biste otvorili korisničku tablu za konfiguraciju.

2

U oblasti Usluge izaberite stavku Cisco Webex sastanci.

3

Izaberite lokaciju (ako je korisnik u više) i kliknite na dugme Host.

4

Potvrdite izbor u polju za potvrdu pored stavke Webex sastanaka sa oznakom Pro-End to End Encryption_VOIPonly.

5

Zatvorite korisničku tablu za konfiguraciju.

6

Ponovite to za druge korisnike ako je potrebno.

Ako želite da dodelite ovo mnogim korisnicima, koristite CSV masovnu opciju.

1

Prijavite se u kontrolno čvorište https://admin.webex.com i otvorite stranicu "Sastanak".

2

Kliknite na ime lokacije da biste otvorili tablu za konfiguraciju lokacije.

3

U odeljku Licence i korisnici izaberite stavku Masovno upravljanje .

4

Kliknite nadugme Izvezi i sačekajte dok pripremimo datoteku.

5

Kada datoteka bude spremna, kliknite na dugme Izvezi rezultate, a zatim preuzmi. (Morate ručno da zatvorite taj iskačući prozor nakon što kliknete Preuzmi.)

6

Otvorite preuzetu CSV datoteku za uređivanje.

Postoji red za svakog korisnika i MeetingPrivilege kolona sadrži ID-ove tipa sesije kao listu razgraničenu zarezima.

7

Za svakog korisnika kojeg želite da odobrite novi tip sesije, dodajte 1561 kao novu vrednost na listi razgraničene zarezima u MeetingPrivilege Ćeliju.

Cisco Webex CSV referenca formata datoteke sadrži detalje o nameni i sadržaju CSV datoteke.

8

Otvorite tablu za konfiguraciju lokacije za sastanke u kontrolnom čvorištu.


 

Ako ste se već nalazili na stranici liste lokacija za sastanke, možda ćete morati da je osvežite.

9

U odeljku Licence i korisnici izaberite stavku Masovno upravljanje .

10

Kliknite na dugme Uvezi i izaberite uređeni CSV, a zatim kliknite na dugme Uvezi. Sačekajte dok se datoteka otpremi.

11

Kada se uvoz završi, možete kliknuti na dugme "Uvezi rezultate" da biste pregledali da li je bilo grešaka.

12

Idite na stranicu "Korisnici" i otvorite jednog od korisnika da biste proverili da li imaju novi tip sesije.

Ako su uređaji već ukrcani u vašu organizaciju "Kontrolno čvorište" i želite da koristite Webex CA za automatsko generisanje njihovih identifikacionih certifikata, nije potrebno da fabrički uspostavite početne vrednosti uređaja.

Ova procedura bira koji domen uređaj koristi za identifikaciju i potreban je samo ako imate više domena u organizaciji kontrolnog čvorišta. Ako imate više domena, preporučujemo da to uradite za sve uređaje koji će imati "Cisco-verified" identitet. Ako ne kažete Webexu koji domen identifikuje uređaj, odabraćemo jedan i možda će izgledati pogrešno drugim učesnicima sastanka.

Pre nego što počneš

Ako uređaji još uvek nisu ukrcani, možete pratiti registraciju uređaja na Cisco Webex koristeći API ili Lokalni Web Interface ili Cloud Onboarding za uređaje. Takođe bi trebalo da proverite domen/s koji želite da koristite za identifikaciju uređaja u upravljanju uređajima.

1

Prijavite se u kontrolno čvorište (https://admin.webex.com) i otvorite stranicu "Uređaji".

2

Izaberite uređaj da biste otvorili njegovu tablu za konfiguraciju.

3

Izaberite domen koji želite da koristite za identifikaciju ovog uređaja.

4

Ponovite ovo za druge uređaje.

Pre nego što počneš

Ti trebaš:

  • Da biste dobili CA potpisani certifikat i privatni ključ, u .pem formatu, za svaki uređaj.

  • Da biste pročitali temu Razumevanje procesa spoljnog identiteta zauređaje , u pripremi dela ovog članka.

  • Da biste pripremili alatku za šifrovanje JWE u odnosu na informacije koje postoje.

  • Alatka za generisanje nasumičnih sekvenci bajta datih dužina.

  • Alatka za zasnivanje64url kodiranja bajta ili teksta.

  • An scrypt Implementaciju.

  • Tajna reč ili fraza za svaki uređaj.

1

Popunite uređaje ClientSecret sa tajnom čistog teksta:

Kada prvi put popunite Secret, snabdevate ga čistim tekstom. Zato vam preporučujemo da to uradite na konzoli fizičkog uređaja.

  1. Base64url kodira tajnu frazu za ovaj uređaj.

  2. Otvorite TShell na uređaju.

  3. Trčati xcommand Security ClientSecret Populate Secret: "MDEyMzQ1Njc4OWFiY2RlZg"

    Gorenavedena komanda primera popunjava Secret sa frazom 0123456789abcdef. Moraš sam da izabereš.

Uređaj ima početnu tajnu. Ne zaboravite ovo, ne možete ga oporaviti i morate fabrički resetovati uređaj da bi se ponovo pokrenuli.
2

Spajanje certifikata i privatnog ključa:

  1. Pomoću uređivača teksta otvorite .pem datoteke, nalepite grudvicu certifikata i sačuvajte je kao novu .pem datoteku.

    (Ovo je tekst o opterećenju koji ćete šifrovati i staviti u svoj JWE blob)

3

Kreirajte JWE blob koji ćete koristiti kao unos u komandu za dodavanje certifikata:

  1. Kreirajte nasumičnu sekvencu od najmanje 4 bajta. Ovo je tvoja so.

  2. Proizvedi ključ za šifrovanje sadržaja pomoću alatke za šifrovanje.

    Za to vam je potrebna tajna, so i ključna dužina koja odgovara vašoj odabranoj šifriji šifrovanja. Postoje još neke fiksne vrednosti za nabavku (N=32768, r=8, p=1). Uređaj koristi isti proces i vrednosti da bi proizveo isti ključ za šifrovanje sadržaja.

  3. Kreirajte nasumičnu sekvencu od tačno 12 bajtova. Ovo je vektor za pokretanje.

  4. Kreiranje JOSE zaglavlja, postavka alg, enc I cisco-kdf kao što je opisano u procesu razumevanja spoljnog identiteta za uređaje. Podešavanje radnje "dodaj" pomoću ključa:value "cisco-action":"add" u vašem JOSE zaglavlju (zato što dodajemo certifikat uređaju).

  5. Base64url kodira JOSE zaglavlje.

  6. Koristite alatku za šifrovanje JWE sa odabranom šifrom i base64url kodiranim JOSE zaglavljem da biste šifrovali tekst iz sjetane pem datoteke.

  7. Base64url kodira vektor pokretanja, šifrovani PEM tovar i oznaku za potvrdu identiteta.

  8. Konstruiši JWE blob na sledeći način (sve vrednosti su kodirane u bazi64url):

    JOSEHeader..InitVector.EncryptedPEM.AuthTag

4

Otvorite TShell na uređaju i pokrenite komandu (multiline) add:

xcommand Security Certificates Services Add IsEncrypted: True
your..JWE.str.ing\n
.\n
5

Proverite da li je certifikat dodat pokretanjem xcommand Security Certificates Services Show

Kopirajte otisak prsta novog certifikata.

6

Aktiviranje certifikata u svrhu WebexIdentity:

  1. Pročitajte otisak prsta certifikata, bilo iz samog certifikata ili iz izlaza xcommand Security Certificates Services Show.

  2. Kreirajte nasumičnu sekvencu od najmanje 4 bajta i base64url kodirajte taj niz. Ovo je tvoja so.

  3. Proizvedi ključ za šifrovanje sadržaja pomoću alatke za šifrovanje.

    Za to vam je potrebna tajna, so i ključna dužina koja odgovara vašoj odabranoj šifriji šifrovanja. Postoje još neke fiksne vrednosti za nabavku (N=32768, r=8, p=1). Uređaj koristi isti proces i vrednosti da bi proizveo isti ključ za šifrovanje sadržaja.

  4. Kreirajte nasumičnu sekvencu od tačno 12 bajtova i base64url kodirajte taj niz. Ovo je vektor za pokretanje.

  5. Kreiranje JOSE zaglavlja, postavka alg, enc I cisco-kdf kao što je opisano u procesu razumevanja spoljnog identiteta za uređaje. Podešavanje radnje "aktiviraj" pomoću ključa:value "cisco-action":"activate" u vašem JOSE zaglavlju (jer aktiviramo sertifikat na uređaju).

  6. Base64url kodira JOSE zaglavlje.

  7. Koristite alatku za šifrovanje JWE sa odabranom šifrom i base64url kodiranim JOSE zaglavljem da biste šifrovali otisak prsta certifikata.

    Alatka bi trebalo da uvodi sekvencu od 16 ili 32 bajta, u zavisnosti od toga da li ste odabrali 128 ili 256 bita AES-GCM i oznaku za potvrdu identiteta.

  8. Base64urlencode šifrovani otisak prsta i oznaka za potvrdu identiteta.

  9. Konstruiši JWE blob na sledeći način (sve vrednosti su kodirane u bazi64url):

    JOSEHeader..InitVector.EncryptedFingerprint.AuthTag

  10. Otvorite TShell na uređaju i pokrenite sledeću komandu za aktiviranje:

    xcommand Security Certificates Services Activate Purpose: WebexIdentity Fingerprint: "Your..JWE.encrypted.fingerprint"
Uređaj ima šifrovani, aktivni certifikat koji izdaje CA, spreman da se koristi za njegovu identifikaciju na end-to-end šifrovanim Webex sastancima.
7

Ukrcajte se na uređaj u organizaciju "Kontrolno čvorište".

1

Zakažite sastanak ispravnog tipa(Webex Meetings Pro-End to End Encryption_VOIPonly).

2

Pridružite se sastanku kao domaćin, od klijenta Webex sastanaka.

3

Pridružite se sastanku sa uređaja koji ima svoj identitet verifikovan od strane Webex CA.

4

Kao domaćin, proverite da li se ovaj uređaj pojavljuje u holu sa ispravnom ikonom identiteta.

5

Pridružite se sastanku sa uređaja koji ima svoj identitet verifikovan od strane spoljnog CA.

6

Kao domaćin, proverite da li se ovaj uređaj pojavljuje u holu sa ispravnom ikonom identiteta. Saznajte više o ikonama identiteta.

7

Pridružite se sastanku kao neautorizovani učesnik sastanaka.

8

Kao domaćin, proverite da li se ovaj učesnik pojavljuje u holu sa ispravnom ikonom identiteta.

9

Kao domaćin, priznajte ili odbacite ljude / uređaje.

10

Proverite identitete učesnika/uređaja tamo gde je to moguće, proverom certifikata.

11

Proverite da li svi na sastanku vide isti bezbednosni kôd sastanka.

12

Pridružite se sastanku sa novim učesnikom.

13

Proverite da li svi vide isti, novi bezbednosni kod za sastanak.

Da li ćete end-to-end šifrovane sastanke učiniti podrazumevanom opcijom sastanka ili ćete je omogućiti samo nekim korisnicima ili ćete dozvoliti svim domaćinima da odluče? Kada odlučite kako ćete koristiti ovu funkciju, pripremite one korisnike koji će je koristiti, posebno u pogledu ograničenja i šta da očekujete na sastanku.

Da li je potrebno da se uverite da ni Cisco ni bilo ko drugi ne može da dešifruje vaš sadržaj ili da se predstavlja kao vaš uređaj? Ako je tako, potrebni su vam certifikati javnog CA. Možda imate samo do 25 uređaja na bezbednom sastanku. Ako vam je potreban ovaj nivo bezbednosti, ne bi trebalo da dozvolite pridruživanje klijenata sastancima.

Za korisnike koji se pridružuju bezbednim uređajima, neka se uređaji prvo pridruže i postavite očekivanja korisnika da možda neće moći da se pridruže ako se pridruže kasno.

Ako imate različite nivoe provere identiteta, osnažite korisnike da verifikuju jedni druge identitetom koji podržava certifikat i bezbednosnim kodom za sastanak. Iako postoje okolnosti u kojima učesnici mogu da se pojave kao nepotvrđeni, a učesnici bi trebalo da znaju kako da provere, nepotvrđeni ljudi možda nisu varalice.

Ako koristite eksterni CA za izdavanje certifikata uređaja, onus je na vama da nadgledate, osvežavate i ponovo primenite certifikate.

Ako ste kreirali početnu tajnu, shvatite da će korisnici možda želeti da promene tajnu svog uređaja. Možda će biti potrebno da kreirate interfejs/distribuirate alatku da biste im to omogućili.

Tabela 1. ID-ove tipa sesije za end-to-end šifrovane sastanke

ID tipa sesije

Ime javnog servisa

638

Samo E2E šifrovanje+VoIP

652

Pro-End to End Encryption_VOIPonly

660

Pro 3 Free-End to End Encryption_VOIPonly

E2E šifrovanje + identitet

672

Pro 3 Free50-End to End Encryption_VOIPonly

673

Instruktor obrazovanja E2E Encryption_VOIPonly

676

Broadworks Standard plus kraj šifrovanja

677

Broadworks Premium plus kraj enkripcije

681

Schoology Free plus kraj enkripcije

Ove tabele opisuju API komande Webex uređaja koje smo dodali za end-to-end šifrovane sastanke i provereni identitet. Više informacija o korišćenju API-ja potražite u članku Pristup API-u za Webex Room i Desk Devices i Webex Boards.

Ove xAPI komande su dostupne samo na uređajima koji su:

  • Registrovan na Webex

  • Registrovan u prostorijama i povezan sa Webex-om sa Webex Edge za uređaje

Sto 2. API-je na nivou sistema za end-to-end šifrovane sastanke i provereni identitet

API poziv

Opis

xConfiguration Conference EndToEndEncryption Identity PreferredDomain: "example.com"

Ova konfiguracija se pravi kada administrator postavi željeni domen uređaja iz kontrolnog čvorišta. Neophodno samo ako organizacija ima više domena.

Uređaj koristi ovaj domen kada zahteva certifikat od Webex CA. Domen zatim identifikuje uređaj.

Ova konfiguracija nije primenljiva kada uređaj ima aktivan certifikat koji se izdaje spolja da bi se identifikovao.

xStatus Conference EndToEndEncryption Availability

Označava da li uređaj može da se pridruži end-to-end šifrovanom sastanku. API u oblaku ga zove tako da uparena aplikacija zna da li može da koristi uređaj za pridruživanje.

xStatus Conference EndToEndEncryption ExternalIdentity Verification

Označava da li uređaj koristi External verifikacija (ima certifikat koji se izdaje spolja).

xStatus Conference EndToEndEncryption ExternalIdentity Identity

Identitet uređaja koji je pročitan iz zajedničkog imena certifikata koji izdaje spolja izdato.

xStatus Conference EndToEndEncryption ExternalIdentity CertificateChain Certificate # specificinfo

Čita određene informacije iz certifikata koji je izdat spolja izdat.

U prikazanoj komandi zameni # sa brojem certifikata. Zameni specificinfo sa jednim od:

  • Fingerprint

  • NotAfter Datum završetka važenja

  • NotBefore Datum početka važenja

  • PrimaryName

  • PublicKeyAlgorithm

  • SerialNumber

  • SignatureAlgorithm

  • Subject # Name Lista subjekata za certifikat (npr. e-adresa ili ime domena)

  • Validity Daje status valjanosti ovog certifikata (npr. valid ili expired)

xStatus Conference EndToEndEncryption ExternalIdentity Status

Status spoljašnjeg identiteta uređaja (npr. valid ili error).

xStatus Conference EndToEndEncryption InternalIdentity Verification

Označava da li uređaj ima važeći certifikat koji izdaje Webex CA.

xStatus Conference EndToEndEncryption InternalIdentity Identity

Identitet uređaja koji je pročitan iz zajedničkog imena certifikata koji izdaje Webex.

Sadrži ime domena ako organizacija ima domen.

Prazna je ako organizacija nema domen.

Ako se uređaj nalazi u organizaciji koja ima više domena, ovo je vrednost iz PreferredDomain.

xStatus Conference EndToEndEncryption InternalIdentity CertificateChain Certificate # specificinfo

Čita određene informacije iz certifikata koji izdaje Webex.

U prikazanoj komandi zameni # sa brojem certifikata. Zameni specificinfo sa jednim od:

  • Fingerprint

  • NotAfter Datum završetka važenja

  • NotBefore Datum početka važenja

  • PrimaryName

  • PublicKeyAlgorithm

  • SerialNumber

  • SignatureAlgorithm

  • Subject # Name Lista subjekata za certifikat (npr. e-adresa ili ime domena)

  • Validity Daje status valjanosti ovog certifikata (npr. valid ili expired)

Sto 3. Pozivanje API-ja za end-to-end šifrovane sastanke i provereni identitet

API poziv

Opis

xEvent Conference ParticipantList ParticipantAdded

xEvent Conference ParticipantList ParticipantUpdated

xEvent Conference ParticipantList ParticipantDeleted

Ova tri događaja sada uključuju EndToEndEncryptionStatus, EndToEndEncryptionIdentity I EndToEndEncryptionCertInfo za pogođenog učesnika.

Sto 4. ClientSecret srodni API-jevi za end-to-end šifrovane sastanke i provereni identitet

API poziv

Opis

xCommand Security ClientSecret Populate Secret: "base64url-encoded"

ili

xCommand Security ClientSecret Populate Secret: JWEblob

Prihvata osnovnu 64url kodiranu vrednost čistog teksta za zasejavanje tajne klijenta na uređaju po prvi put.

Da biste ažurirali tajnu nakon tog prvog puta, morate da obezbedite JWE grudvicu koja sadrži novu tajnu šifrovanu starom tajnom.

xCommand Security Certificates Services Add JWEblob

Dodaje certifikat (sa privatnim ključem).

Proširili smo ovu komandu da bismo prihvatili JWE blob koji sadrži šifrovane PEM podatke.

xCommand Security Certificates Services Activate Purpose:WebexIdentity FingerPrint: JWEblob

Aktivira određeni certifikat za WebexIdentity. Za ovo Purpose, komanda zahteva da identifikacioni otisak prsta bude šifrovan i serijalizovan u JWE blob- u.

xCommand Security Certificates Services Deactivate Purpose:WebexIdentity FingerPrint: JWEblob

Deaktivira određeni certifikat za WebexIdentity. Za ovo Purpose, komanda zahteva da identifikacioni otisak prsta bude šifrovan i serijalizovan u JWE blob- u.