Översikt

Under TLS-handskakning kontrollerar En standard TLS-klient giltigheten för TLS-servercertifikatet. När Jabber distribueras via Internet kan denna konfiguration vara sårbar för en "man-in-the-middle" attack.

Om en hacker presenterar sin egen server med ett giltigt TLS-certifikat i stället för den förväntade Expressway kan Jabber acceptera certifikatet på grund av inga ytterligare kontroller, vilket kan resultera i att användaren ansluts till ett skadligt system. För att undvika det här problemet lägger Jabber till ett extra valideringssteg och kontrollerar att den domän som angavs under inloggning matchar ämnesalternativen (SAN) i certifikatet. Om det stämmer försöker Jabber ansluta till Expressway.

”Alla SAN-poster i certifikatet måste undertecknas av certifieringsmyndigheten (CA). Detta innebär att endast företaget som äger domänen kan få ett CA-signerat certifikat och CA validerar SAN-posterna. Därför blir det betydligt svårare att förfalska identiteten på Expressway."

I dedikerad instans hanterar Cisco certifikaten för UC-programmen och därför är certifikaten signerade med den Cisco-angivna domänen, till exempel customer.amer.wxc-di.webex.com. För en slutanvändare att logga in på Jabber-klienten med kundens e-postadress kan dock följande alternativ göras:

Alternativ 1 – Jabber första slutanvändarinloggning

Jabber första slutanvändarinloggning är det enklaste tillvägagångssättet och stegen anges i detalj:

  1. Ange den rösttjänstdomän som tillhandahålls av Cisco, till exempel user@customer.amer.wxc-di.webex.com på den första inloggningsskärmen för Jabber.

    Cisco delar kundens rösttjänstdomän för varje region efter aktivering av tjänsten Denna information är en del av dokumentet om åtkomstinformation som delas i Webex-apputrymmet. Mer information finns i Aktivering av tjänsten för dedikerad instans.

  2. Ange användarnamn eller e-post-ID för företag tillsammans med lösenordet för autentisering.

    Om SSO är aktiverat utför ID P samma åtgärd.

    Efterföljande inloggningar krävs inte för att utföra steg 1, såvida inte Jabber-klienten återställs.

Alternativ 2: Använd rösttjänstdomän

Med det här tillvägagångssättet kan Jabber-klienten skilja mellan kundens domän som anges av användaren och tjänstens identifieringsdomän. I installationsprogrammet om rösttjänstdomänen är inställd på customer.amer.wxc-di.webex.com kan användaren logga in på Jabber-klienten med företagets e-postadress och Jabber kan fortfarande göra tjänstens identifiering baserat på värdet som anges i rösttjänstdomänen. Detta tar bort behovet av att tillhandahålla rösttjänstdomän i den första jabber-inloggning enligt ovanstående alternativ.

För fönster:

Verktyg som Microsoft Orca kan användas för att skapa anpassade Jabber-installatörer, som kan inkludera rösttjänstdomänen. Användarna kan instrueras att använda dessa installatörer för Jabber-klienten.

För MAC, iOS, Android:

Verktyg som MDM kan användas för att skapa anpassade Jabber-installatörer som kan inkludera rösttjänstdomänen.

Alternativ: Använd konfigurations-URL

En konfigurations-URL används för att ställa in Jabber-parametrar före den första inloggningen, till exempel rösttjänstdomänen. Ett exempel på en konfigurations-URL: ciscojabber://provision?ServicesDomain=customer.com&VoiceServicesDomain=customer.amer.wxc-di.webex.com

Genom att klicka på länken ovan kan rösttjänstdomänen ställas in i Jabber-klienten som körs på MAC-, Android- eller iOS-enheter.

Den här konfigurationen är inte beständig. Användaren måste klicka på länken igen om Jabber-klienten återställs.

Webex-appen har inte ovanstående krav. Klienten utför domänkontrollen, men det är möjligt att tillhandahålla rösttjänstdomänen i Control Hub. När Webex-appen ansluter till Webex får den rösttjänstdomänen och registrerar samma. Mer information om konfiguration av samtal i appen för Webex-appen finns i Webex-programintegrering med dedikerad instans för samtal i appen.

Användbar länk: Lokal distribution för Cisco Jabber 14.0