Översikt

Under TLS-handskakning kontrollerar en standard TLS-klient giltigheten för TLS-servercertifikatet. Den här implementeringen kan dock potentiellt öppna för "man-in-the-middle"-attack när Jabber distribueras via internet. Om en hackare presenterar en egen server med ett giltigt TLS-certifikat i stället för Expressway under inloggningen, och Jabber inte har någon ytterligare kontroll, accepteras certifikatet och användaren kan anslutas till ett skadligt system. För att undvika det här problemet utför Jabber ett ytterligare verifieringssteg som inte ingår i standard-TLS. det kontrollerar att den domän som angavs under inloggningsprocessen för användaren matchar SAN (Subject Alternative Names) som finns i certifikatet. Det är bara om det matchar som Jabber försöker ansluta till Expressway. Alla SAN-poster som har skapats i certifikatet måste signeras av certifikatutfärdaren (CA), vilket innebär att endast det företag som äger domänen kan få ett CA-signerat certifikat.

Alla SAN som anges i certifikatet valideras av certifikatutfärdaren (CA) så att endast det företag som äger domänen kan få ett CA-signerat certifikat. Det gör det mycket svårare att stjäla Expressway-identiteten.

I Dedikerad instans hanterar Cisco certifikaten för UC-programmen, och därför är certifikaten enbart signerade med Cisco-domänen, exempelvis customer.amer.wxc-di.webex.com. En slutanvändare kan dock logga in på Jabber-klienten med kundens e-postadress enligt följande alternativ:

Alternativ 1 – Initial inloggning på Jabber för slutanvändare

Användarna kan meddelas för att deras initiala inloggning på Jabber-klienten ska lyckas måste de använda Ciscos rösttjänstdomän user@customer.amer.wxc-di.webex.com på den första skärmen följt av sitt användarnamn eller företagets e-postadress samt lösenord på nästa skärm. Eftersom det här är det enklaste sättet visas stegen i detalj:

  1. Användaren måste ange Cisco-rösttjänstdomänen, exempelvis user@customer.amer.wxc-di.webex.com på den första inloggningsskärmen för Jabber som visas i bilden nedan.


    Kundens rösttjänstdomän delas av Cisco för alla regioner när tjänstaktiveringen har slutförts. Den här informationen ingår i dokumentet med åtkomstinformation som delas i Webex-appens utrymme. Mer information finns i Tjänstaktivering för dedikerad instans.

  2. Användaren uppmanas att ange användarnamn eller företagets e-post-ID tillsammans med lösenord för autentisering enligt bilden nedan.


    Om SSO aktiveras utförs liknande åtgärder av IdP.

    För påföljande inloggningar krävs inte att användaren utför steg 1, såvida inte Jabber-klienten återställts.

Alternativ 2 – Använd rösttjänstdomänen

Med den här metoden kan Jabber-klienten skilja mellan kundens domän som anges av användaren och domänen för tjänstidentifiering. I installationsprogrammet, om rösttjänstdomänen är inställd på customer.amer.wxc-di.webex.com kan användaren logga in på Jabber-klienten med företagets e-postadress och Jabber kan ändå identifiera tjänsten baserat på värdet som anges i rösttjänstdomänen. Det tar bort behovet att ange rösttjänstdomänen i den initiala Jabber-inloggningen enligt ovanstående alternativ.

För Windows:

Verktyg som Microsoft Orca kan användas för att skapa anpassade Jabber-installationsprogram som kan innehålla rösttjänstdomänen. Användarna kan instrueras att använda dessa installationsprogram för Jabber-klienten.

För MAC, iOS, Android:

Verktyg som MDM kan användas för att skapa anpassade Jabber-installationsprogram som kan innehålla rösttjänstdomänen.

Alternativ 3 – Använda konfigurations-URL

En konfigurations-URL kan användas för att ange Jabber-parametrar, som rösttjänstdomänen, före den initiala inloggningen. Ett exempel på konfigurations-URL: ciscojabber://provision?ServicesDomain=customer.com&VoiceServicesDomain=customer.amer.wxc-di.webex.com

Genom att klicka på länken ovan kan rösttjänstdomänen anges i Jabber-klient som körs på MAC-, Android- eller iOS-enheter.


Konfigurationen är inte beständig, användaren måste klicka på länken på nytt om Jabber-klienten återställs.

Observera att Webex-appen inte har ovanstående krav. Klienten utför domänkontrollen, men det går att etablera rösttjänstdomänen i Control Hub. När Webex-appen ansluter till Webex får den rösttjänstdomänen och registrerar den. Mer information om konfiguration av Webex-appens uppringning i appen finns i Webex-programmets integration med dedikerad instans för uppringning i appen.

Praktisk länk: Driftsättning på företaget av Cisco Jabber 14.0