Tillägg

Konfigurera XSP-autentiseringstjänst (med mTLS)

Slutför procedurerna i denna bilaga för att konfigurera autentiseringstjänsten på BroadWorks för att använda mTLS-autentisering. I fall där CI-tokenvalidering (med TLS) inte stöds är mTLS-autentisering obligatorisk, inklusive följande instanser:

  • Om du kör R21SP1

  • Om du kör R22 eller senare och har flera Webex-organisationer som kör av samma XSP-server
Om du kör R22 eller senare och inte har flera Webex-organisationer som kör på samma XSP-server, rekommenderas CI-tokenvalidering (med TLS) för autentiseringstjänsten.

Installera autentiseringstjänst

På BroadWorks 21SP1 är verifieringstjänsten ett icke-hanteringsprogram. Installera den genom att slutföra följande steg:

  1. Hämta authenticationService_1.0.war-fil (webbprogramresurs) från Xchange (https://xchange.broadsoft.com/node/499012).

    Gör följande för alla XSP som används med Webex:

  2. Kopiera .war-filen till en tillfällig plats på XSP:en, t.ex. /tmp/

  3. Installera ett verifieringstjänstprogram med följande CLI-kontext och -kommando:

    XSP_CLI/Maintenance/ManagedObjects> install application /tmp/authenticationService_1.0.war

Konfigurera autentiseringstjänst

BroadWorks tokens som länge är av den här andet har genererats och validerats av den verifieringstjänst som dina XSP:er är värd för.

Krav

  • XSP-servrarna som är värd för autentiseringstjänsten måste ha ett mTLS-gränssnitt konfigurerat.

  • XSP:er måste dela samma nycklar för kryptering/dekryptering av BroadWorks long med tokens. Att kopiera dessa nycklar till varje XSP är en manuell process.

  • XSPs måste synkroniseras med NTP.

Konfigurationsöversikt

Den grundläggande konfigurationen för din XSPs inkluderar:

  • Distribuera autentiseringstjänsten.

  • Konfigurera tokenlängden till minst 60 dagar (lämna utfärdaren som BroadWorks).

  • Generera och dela RSA-nycklar mellan XSPs.

  • Ange authService-URL:en till webbbehållaren.

Distribuera autentiseringstjänsten på XSP

På varje XSP som används med Webex:

  1. Aktivera autentiseringstjänstens program på sökvägen /authService(du måste använda den här sökvägen):

    XSP_CLI/Maintenance/ManagedObjects> activate application authenticationService <version> /authService

    (där <version> Är 1.0 för det omanagerat programmet med 21SP1).

  2. Distribuera programmet:

    XSP_CLI/Maintenance/ManagedObjects> deploy application /authService

Konfigurera tokenlängd

  1. Kontrollera befintlig tokenkonfiguration (timmar):

    Med 21SP1: XSP_CLI/Applications/authenticationService_1.0/TokenManagement> get

  2. Ange varaktigheten till 60 dagar (max 180 dagar):

    Med 21SP1: XSP_CLI/Applications/authenticationService_1.0/TokenManagement> set tokenDuration 1440

Generera och dela RSA-nycklar

  • Du måste använda samma offentliga/privata nyckelpar för tokenkryptering/dekryptering mellan alla instanser av autentiseringstjänsten.

  • Nyckelparet skapas av autentiseringstjänsten när det först måste utfärda en token.

På grund av dessa två faktorer behöver du generera nycklar på ett XSP och sedan kopiera dem till alla andra XSP:er.

Om du växlar mellan nycklarna eller ändrar nyckellängden måste du upprepa följande konfiguration och starta om alla XSP:er.

  1. Välj ett XSP som ska användas för att skapa ett nyckelpar.

  2. Använd en klient för att begära en krypterad token från det XSP genom att begära följande URL från klientens webbläsare:

    https://<XSP-IPAddress>/authService/token?key=BASE64URL(clientPublicKey)

    (Detta genererar ett privat/offentligt nyckelpar på XSP om det inte redan finns en sådan)

  3. (endast 21SP1) Kontrollera den konfigurerbara nyckelns plats med följande kommando:

    XSP_CLI/Applications/authenticationService_1.0/KeyManagement> get

  4. (endast 21SP1) Anteckna det returnerade fileLocation parametern.

  5. (endast 21SP1) Kopiera hela fileLocation katalog som innehåller public och private underdirekt, till alla andra XSP:er.

Tillhandahåll authService-URL:en till webbbehållaren

XSP-webbbehållaren behöver AUTHService-URL så att den kan validera tokens.

På var och en av XSPs:

  1. Lägg till URL för verifieringstjänsten som en extern verifieringstjänst för BroadWorks Communications-verktyget:

    XSP_CLI/System/CommunicationUtility/DefaultSettings/ExternalAuthentication/AuthService> set url http://127.0.0.1/authService

  2. Lägg till URL för verifieringstjänsten till behållaren:

    XSP_CLI/Maintenance/ContainerOptions> add tomcat bw.authservice.authServiceUrl http://127.0.0.1/authService

    Detta gör det Cisco Webex att använda autentiseringstjänsten för att validera token som presenteras som inloggningsuppgifter.

  3. Kontrollera parametern med get.

  4. Starta om XSP:

Konfigurera förtroende för autentiseringstjänsten (med mTLS)

Konfigurera förtroende (R21 SP1)

  1. Logga in på Partner Hub.

  2. Gå till Inställningar > BroadWorks-samtal och klicka på Hämta Webex CA-certifikat för att fåCombinedCertChain.txt på din lokala dator.


    Denna fil innehåller två certifikat. Du måste dela filen innan du överför den till XSP:erna.

  3. Dela certifikatkedjan i två certifikat:

    1. Öppna combinedcertchain.txt i en textredigerare.

    2. Välj och klipp ut det första textblocket, inklusive linjerna -----BEGIN CERTIFICATE----- och -----END CERTIFICATE----- och klistra in textblockering i en ny fil.

    3. Spara den nya filen som broadcloudroot.txt.

    4. Spara originalfilen som broadcloudissuing.txt.

      Originalfilen får nu endast ha ett textblock, som omges av linjerna -----BEGIN CERTIFICATE----- och -----END CERTIFICATE-----.

  4. Kopiera båda textfilerna till en tillfällig plats på det XSP-system som du säkrar, t.ex. /tmp/broadcloudroot.txt och /tmp/broadcloudissuing.txt.

  5. Logga in på XSP och navigera till /XSP_CLI/Interface/Http/ClientAuthentication>

  6. Kör get kommandot och läsa chainDepth parametern.

    (chainDepth är 1 som standard, vilket är för låg för Webex-kedjan som har två certifikat)

  7. Om kedjanDepth inte redan är större än 2 ska du köra set chainDepth 2.

  8. (Valfritt) Köra help updateTrust för att se parametrarna och kommandoformatet.

  9. Överför certifikatfilerna till nya betrodda ankare:

    XSP_CLI/Interface/Http/ClientAuthentication/Trusts> updateTrust webexclientroot /tmp/broadcloudroot.txt

    XSP_CLI/Interface/Http/ClientAuthentication/Trusts> updateTrust webexclientissuing /tmp/broadcloudissuing.txt
    webexclientroot och webexclientissuing är exempelalias för betrodda ankare. kan du använda dina egna.

  10. Bekräfta att båda certifikaten har överförts:

    /XSP_CLI/Interface/Http/ClientAuthentication/Trusts> get

Konfigurera förtroende (R22 och senare)

  1. Logga in i Control Hub med ditt partneradministratörskonto.

  2. Gå till Inställningar > BroadWorks-samtal och klicka på Hämta Webex CA-certifikat för att fåCombinedCertChain.txt på din lokala dator.


    Denna fil innehåller två certifikat. Du måste dela filen innan du överför den till XSP:erna.

  3. Dela certifikatkedjan i två certifikat:

    1. Öppna combinedcertchain.txt i en textredigerare.

    2. Välj och klipp ut det första textblocket, inklusive linjerna -----BEGIN CERTIFICATE----- och -----END CERTIFICATE----- och klistra in textblockering i en ny fil.

    3. Spara den nya filen som broadcloudroot.txt.

    4. Spara originalfilen som broadcloudissuing.txt.

      Originalfilen får nu endast ha ett textblock, som omges av linjerna -----BEGIN CERTIFICATE----- och -----END CERTIFICATE-----.

  4. Kopiera båda textfilerna till en tillfällig plats på det XSP-system som du säkrar, t.ex. /tmp/broadcloudroot.txt och /tmp/broadcloudissuing.txt.

  5. (Valfritt) Köra help UpdateTrust för att se parametrarna och kommandoformatet.

  6. Överför certifikatfilerna till nya betrodda ankare:

    XSP_CLI/Interface/Http/SSLCommonSettings/ClientAuthentication/Trusts> updateTrust webexclientroot /tmp/broadcloudroot.txt

    XSP_CLI/Interface/Http/SSLCommonSettings/ClientAuthentication/Trusts> updateTrust webexclientissuing /tmp/broadcloudissuing.txt
    webexclientroot och webexclientissuing är exempelalias för betrodda ankare. kan du använda dina egna.

  7. Bekräfta att ankarna är uppdaterade:

    XSP_CLI/Interface/Http/SSLCommonSettings/ClientAuthentication/Trusts> get

      Alias   Owner                                   Issuer
=============================================================================
webexclientissuing    BroadCloud Commercial Issuing CA – DA3     BroadCloud Commercial Trusted Root CA
webexclientroot       BroadCloud Commercial Trusted Root CA      BroadCloud Commercial Trusted Root CA[self-signed]

(Alternativ) Konfigurera mTLS på HTTP-gränssnitts-/portnivå

Det går att konfigurera mTLS på HTTP-gränssnitts-/portnivå eller på programbasis per webb.

Hur du aktiverar mTLS för ditt program beror på vilka program du är värd för på XSP. Om du är värd för flera program som kräver mTLS ska du aktivera mTLS i gränssnittet. Om du bara behöver säkra ett av flera program som använder samma HTTP-gränssnitt, kan du konfigurera mTLS på programnivå.

När mTLS konfigureras på HTTP-gränssnitts-/portnivå krävs mTLS för alla värdbaserade webbprogram som nås via detta gränssnitt/port.

  1. Logga in på XSP-servern vars gränssnitt du konfigurerar.

  2. Navigera till XSP_CLI/Interface/Http/HttpServer> och kör get för att se gränssnitten.

  3. Lägga till ett gränssnitt och kräva klientautentisering där (vilket betyder samma som mTLS):

    XSP_CLI/Interface/Http/HttpServer> add IPAddress Port Name true true

    Se XSP CLI-dokumentationen för mer information. I praktiken, den första true säkrar gränssnittet till TLS (servercertifikat skapas om det behövs) och den andra true tvingar gränssnittet att kräva autentisering av klientcertifikat (tillsammans är de mTLS).

Till exempel:

XSP_CLI/Interface/Http/HttpServer> get

Interface Port Name Secure Client Auth Req Cluster Fqdn
         =======================================================
         192.0.2.7 443 xsp01.collab.example.net true false 
         192.0.2.7 444 xsp01.collab.example.net true true

I det här exemplet aktiveras mTLS (Client Auth Req = true) på 192.0.2.7 port 444. TLS är aktiverad på 192.0.2.7 port 443.

(Alternativ) Konfigurera mTLS för specifika webbprogram

Det går att konfigurera mTLS på HTTP-gränssnitts-/portnivå eller på programbasis per webb.

Hur du aktiverar mTLS för ditt program beror på vilka program du är värd för på XSP. Om du är värd för flera program som kräver mTLS ska du aktivera mTLS i gränssnittet. Om du bara behöver säkra ett av flera program som använder samma HTTP-gränssnitt, kan du konfigurera mTLS på programnivå.

När mTLS konfigureras på programnivå krävs mTLS för programmet oavsett HTTP-serverns gränssnittskonfiguration.

  1. Logga in på XSP-servern vars gränssnitt du konfigurerar.

  2. Navigera till XSP_CLI/Interface/Http/SSLCommonSettings/ClientAuthentication/WebApps> och kör get för att se vilka program som körs.

  3. Lägga till ett program och kräva klientautentisering för det (vilket betyder samma som mTLS):

    XSP_CLI/Interface/Http/SSLCommonSettings/ClientAuthentication/WebApps> add IPAddress Port ApplicationName true

    Se XSP CLI-dokumentationen för mer information. Där visas programnamnen. Symbolen true i det här kommandot aktiveras mTLS.

Till exempel:

XSP_CLI/Interface/Http/SSLCommonSettings/ClientAuthentication/WebApps> add 192.0.2.7 443 AuthenticationService true

Exempelkommandot lägger till Programmet AuthenticationService till 192.0.2.7:443 och kräver att programmet begär och autentiserar certifikat från klienten.

Kontrollera med get:

XSP_CLI/Interface/Http/SSLCommonSettings/ClientAuthentication/WebApps> get

Interface Ip Port Application Name Client Auth Req
         ===================================================
         192.0.2.7 443 AuthenticationService      true

Ytterligare certifikatkrav för ömsesidig TLS-autentisering mot AuthService

Cisco Webex med autentiseringstjänsten via en ömsesidig TLS autentiserad anslutning. Det innebär att Webex presenterar ett klientcertifikat och XSP måste validera det. För att kunna lita på det här certifikatet ska du använda Webex CA-certifikatkedjan för att skapa en betrodd ankare på XSP (eller proxy). Certifikatkedjan kan hämtas via Partner Hub:

  1. Gå till Inställningar > BroadWorks-samtal.

  2. Klicka på länken hämta certifikat.

Du kan även hämta certifikatkedjan från https://bwks-uap.webex.com/assets/public/CombinedCertChain.txt.

De exakta kraven för distribution av den här Webex CA-certifikatkedjan beror på hur dina offentliga XSPs distribueras:

  • Via en TLS-bryggsproxy

  • Via en TLS-passer-through proxy

  • Direkt till XSP

Följande diagram sammanfattar där Webex CA-certifikatkedjan måste distribueras i dessa tre fall.

Certifikatkrav för ömsesidig TLS-certifiering för TLS-bryggproxy

  • Webex visar ett Webex CA-signerat klientcertifikat för proxyn.

  • Webex CA-certifikatkedjan distribueras på den betrodda proxylagringen så att proxyn litar på klientcertifikatet.

  • Det offentligt signerade XSP-servercertifikatet läses också in i proxyn.

  • Proxyn visar ett offentligt signerat servercertifikat för Webex.

  • Webex litar på den allmänna CA:en som signerade proxyns servercertifikat.

  • Proxyn visar ett internt signerat klientcertifikat för XSP:erna.

    Det här certifikatet måste ha tilläggsfältet x509.v3 för utökad nyckel ifylld med BroadWorks OID 1.3.6.1.4.1.6431.1.1.8.2.1.3 ochTLS-klientenAuth-syfte. E.g.:

    X509v3 extensions:

    X509v3 Extended Key Usage: 

    1.3.6.1.4.1.6431.1.1.8.2.1.3, TLS Web Client
              Authentication

    När du genererar interna klientcertifikat för proxyn ska du observera att SAN-certifikat inte stöds. Interna servercertifikat för XSP kan vara SAN.

  • XSP:erna litar på den interna CA:en.

  • XSP:erna presenterar ett internt signerat servercertifikat.

  • Proxyn litar på den interna CA:en.

Gemensamma TLS-certifikatkrav för TLS-passoxy eller XSP i DMZ

  • Webex visar ett Webex CA-signerat klientcertifikat för XSP:erna.

  • Webex CA-certifikatkedjan distribueras på XSPs betrodda lagring så att XSPs litar på klientcertifikatet.

  • Det offentligt signerade XSP-servercertifikatet laddas också i XSP:erna.

  • XSPs presenterar offentligt signerade servercertifikat för Webex.

  • Webex litar på den allmänna CA:en som signerade XSPs-servercertifikaten.