Sıfır Güveni Olmayan Toplantıları Dağıtma
Webex'dan Sıfır Güven Güvenliği, planlanan ve planlanan toplantılarda son kişisel toplantı odası sağlar.
Kullanıcılar toplantı planlarken toplantı türünü seçer. Toplantı sahibi, toplantı sırasında olduğu gibi lobiden katılımcıları kabul ederken her bir katılımcının kimlik doğrulama durumunu görebilir. Ayrıca, toplantıdaki tüm mevcut katılımcılar için ortak olan ve toplantılarının istenmeyen bir üçüncü taraf Meddler In the Middle (MITM) saldırısı tarafından engellenmediğini doğrulamak için kullanabilecekleri bir toplantı kodu da vardır.
Aşağıdaki bilgileri toplantı sahipleriyle paylaşın:
-
Bitiş Webex Meeting ile Toplantıya Katılma
Kimliği doğrula
Kimlik doğrulamalı uçtan uca şifreleme, uçtan uca şifrelenmiş bir toplantıya ek güvenlik sağlar.
Katılımcılar veya cihazlar paylaşılan bir MLS (Mesajlaşma Katmanı Güvenliği) grubuna katıldıklarında sertifikalarını diğer grup üyelerine sunar ve bu üyeler sertifikaları düzenleyen Sertifika Yetkilileri (CA) aleyhine doğrular. Sertifikaların geçerli olduğunu onaylayarak, CA katılımcıların kimliğini doğrular ve toplantı katılımcıları/cihazları doğrulanmış olarak gösterir.
Webex Uygulaması kullanıcıları, kimlik doğrulaması başarılı olduğunda kendilerine bir erişim belirteci veren Webex kimlik mağazasına karşı kimlik doğrulaması yapar. Uçtan uca şifrelenmiş bir toplantıda kimliklerini doğrulamak için bir sertifikaya ihtiyaç duyarlarsa Webex CA onlara erişim belirtecine göre bir sertifika hazırlar. Şu anda, Webex Meetings kullanıcıları için üçüncü taraf/harici bir CA tarafından verilen bir sertifika alma yolu sağlamıyoruz.
Cihazlar, dahili (sertifika yetkilisi) CA'sı veya harici CA Webex tarafından verilen bir sertifikayı kullanarak kimliklerini kendi kendilerine doğrular:
-
Dahili CA—Webex, cihazın makine hesabının erişim belirtecine göre dahili bir sertifika hazırlar. Sertifika, sertifika yetkilisi Webex imzalanmıştır. Cihazlarda kullanıcıların kimlikleri olduğu gibi kullanıcı kimlikleri yoktur, bu nedenle Webex cihaz sertifikasının kimliğini (Ortak Ad (CN)) yazarken kuruluşunuzun etki alanlarını kullanır.
-
Harici CA—Cihaz sertifikalarını doğrudan seçtiğiniz ihraççıdan talep edin ve satın alın. Yalnızca size bilinen bir gizli anahtar kullanarak sertifikaları şifrelemeli, doğrudan yüklemeli ve yetkilendirmelisiniz.
Cisco bu konuyla ilgili değildir. Bu nedenle, gerçek uçtan uca şifreleme ve doğrulanmış kimliği garanti eder ve Cisco'nun toplantınızı gizlice dinleyebileceği/ortamınızın şifresini çözebileceği teorik olasılığı önler.
Dahili olarak verilen cihaz sertifikası
Webex başladıktan sonra kaydolan cihaza bir sertifika verir ve gerektiğinde yeniler. Cihazlar için sertifika hesap kimliğini ve etki alanını içerir.
Kurumda bir etki alanı yoksa sertifika yetkilisi Webex sertifikayı etki alanı olmadan sorunlar.
Organizasyonlarında birden fazla etki alanı varsa Control Hub'ı kullanarak cihazın Webex hangi etki alanını kullanabileceğini kontrol edebilirsiniz. API xConfiguration Conference EndToEndEncryption Identity PreferredDomain: "example.com" seçeneğini de kullanabilirsiniz
.
Birden fazla etki alanınız varsa ve cihaz için tercih edilen etki alanını ayarlasanız Webex sizin için bir etki alanı seçer.
Harici olarak verilen cihaz sertifikası
Yönetici, genel CA'lardan biri ile imzalanmış kendi sertifikası olan bir cihaz sağlanmıştır.
Sertifika, bir ECDSA P-256 anahtar çiftini temel alarak imzalansa da bir RSA anahtarı tarafından imzalanmış olabilir.
Sertifika daki değerler, kuruluşun kararına bağlıdır. Ortak Ad (CN) ve Konu Alternatif Adı (SAN), Webex Meetings için kimlik doğrulaması ile Uçtan uca şifrelemede açıklandığı şekilde Webex toplantı kullanıcı arabiriminde görüntülenir.
Cihaz başına ayrı bir sertifika kullanmanızı ve cihaz başına benzersiz bir CN’ye sahip olmanız önerilir. Örneğin, “example.com” etki alanının sahibi olan kuruluş için “meeting-room-1.example.com”.
Harici sertifikayı izinsiz girişe karşı tam olarak korumak için çeşitli xcommands'leri şifrelemek ve imzalamak için istemci gizli özelliği kullanılır.
Istemci gizliliğini kullanırken, harici Webex kimlik sertifikasını xAPI aracılığıyla güvenli bir şekilde yönetmek mümkündür. Bu, şu anda çevrimiçi cihazlarla sınırlıdır.
Webex şu anda bunu yönetmek için API komutları sağlamaktadır.
Cihazlar
Aşağıdaki buluta kayıtlı Webex Room serisi ve Webex Desk serisi cihazları, E2EE toplantılarına katılabilir:
-
Webex Board
-
Webex Desk Pro
-
Webex Masa
-
Webex Room Kit
-
Webex Room Kit Mini
Aşağıdaki cihazlar E2EE toplantılarına katılamıyor:
-
Webex C Serisi
-
Webex DX Serisi
-
Webex EX Serisi
-
Webex MX Serisi
-
Üçüncü taraf SIP cihazları
Yazılım istemcileri
-
Masaüstü ve mobil istemciler için Webex Uygulaması, E2EE toplantılarına katılabilir.
-
Webex web istemcisi E2EE toplantılarına katılamıyor.
-
Üçüncü taraf SIP yazılım istemcileri E2EE toplantılarına katılamaz.
Kimlik
-
Tasarım gereği, harici olarak doğrulanmış cihaz kimliğini yönetmeniz için Control Hub seçenekleri sağlamayız. Gerçek uçtan uca şifreleme için yalnızca sırları ve anahtarları bilmeniz/bunlara erişmeniz gerekir. Bu anahtarları yönetmek için bir bulut hizmeti sunarsanız engel olma ihtimali vardır.
-
Şu anda, cihaz kimlik sertifikalarınızı ve özel anahtarlarınızı talep etmeye veya şifrelemeye yardımcı olmak için endüstri standardı şifreleme tekniklerine dayalı kendi araçlarınızı tasarlamanız için bir 'reçete' sunuyoruz. Sizin veya anahtarlarınızı gerçekten bir şekilde erişmek istemiyoruz.
Meetings
-
E2EE toplantıları şu anda en fazla 1000 katılımcıyı desteklemektedir.
- E2EE toplantılarında yeni beyaz tahtalar paylaşabilirsiniz. Normal toplantılarda beyaz tahtalardan bazı farklılıklar vardır:
- E2EE toplantılarında, kullanıcılar özel beyaz tahtalar, başkaları tarafından paylaşılan beyaz tahtalar ve Webex alanlarındaki beyaz tahtalar dahil toplantı dışında oluşturulan beyaz tahtalara erişemez.
- E2EE toplantılarında oluşturulan beyaz tahtalar yalnızca toplantı sırasında kullanılabilir. Bunlar kaydedilmez ve toplantı sona erdikten sonra erişilemez.
- Bir kişi E2EE toplantısında içerik paylaşırsa açıklama ekleyebilirsiniz. Ek açıklama hakkında daha fazla bilgi için bkz. Webex Uygulaması | Açıklamalarla paylaşılan içeriği işaretle.
Yönetim arayüzü
Control Hub kuruluşları tüm kuruluşun merkezi kimliğine sahip olduğundan, Meetings sitenizi yönetmek için Control Hub’ı kullanmanızı önemle tavsiye ederiz.
İlgili bilgiler
-
Webex için Zero-Trust Security (güvenlik teknik belgesi)
-
JSON Web Şifrelemesi (JWE) (Taslak IETF standardı)
-
Webex Meetings 41.7'den sonra.
-
10.6.1-RoomOS_August_2021
çalıştıran buluta kayıtlı Webex Room ve Webex Desk serisi cihazlar. -
Control Hub'daki toplantı sitesine yönetimsel erişim.
-
Control Hub organizasyonlarında bir veya daha fazla doğrulanmış etki alanı (doğrulanmış kimlik için cihaz sertifikalarını Webex CA'sını kullanıyorsanız).
-
İş Birliği Toplantı Odaları, kişilerin video sisteminden katıyanaları için açık olmalı. Daha fazla bilgi için bkz. Video sistemlerinin Webex sitenizdeki toplantılara ve etkinliklere katılmasına izin ver.
Harici olarak doğrulanmış kimliklere ihtiyacınız yoksa bu adımı atlayabilirsiniz.
En yüksek güvenlik seviyesi ve kimlik doğrulaması için her cihazın güvenilir bir genel Sertifika Yetkilisi (CA) tarafından verilen benzersiz bir sertifikaya sahip olması gerekir.
Dijital sertifikaları talep etmek, satın almak ve almak ve ilişkili özel anahtarları oluşturmak için Sertifika Yetkilisi ile etkileşim kurmanız gerekir. Sertifika istenirken şu parametreleri kullanın:
-
Sertifikanın verilen ve iyi bilinen bir ortak sertifika yetkilisi tarafından imzalanmış olması gerekir.
-
Benzer -siz: Her cihaz için benzersiz bir sertifikanın kullanılması şiddetle tavsiye edilir. Tüm cihazlar için bir sertifika kullanırsanız, güvenliğinizi onaylarsanız.
-
Genel Ad (CN) ve Konu Alternatif Adı/Adı (SAN/s): Bunlar, yeni Webex önemli değildir, ancak her zaman cihazın okunarak ilişkilendirmesi gereken değerlerdir. CN, diğer toplantı katılımcılarına cihazın birincil doğrulanmış kimliği olarak gösterir ve kullanıcılar sertifikayı toplantı kullanıcı arayüzü üzerinden incelerse SAN/s'yi görebilirler.
name.model@ornek.com
gibi adları kullanmak isteyebilirsiniz. -
Dosya biçimi: Sertifikalar ve anahtarlar
.pem biçiminde
olmalıdır. -
Amaç: Sertifikanın amacı, Kimlik Webex olmalı.
-
Anahtar oluşturma: Sertifikalar, ECDSA P-256 anahtar çiftlerini (P-256 eğrisini kullanan Eliptik Eğri Dijital İmza Algoritması) temel alsa gerektirmektedir.
Bu gereksinim, imzalama anahtarına uzatılamaz. Ca, sertifikayı imzalamak için RSA anahtarı kullanabilir.
Cihazlarınızla harici olarak doğrulanmış kimlik kullanmak istemiyorsanız bu adımı atlayabilirsiniz.
Yeni cihazlar kullanıyorsanız devam etmek için kaydolmayın Webex. Güvenli olmak için bu noktada onları ağa bağlamayın.
Harici olarak doğrulanmış kimliği kullanmak üzere yükseltmek istediğiniz mevcut cihazlarınız varsa cihazları fabrika ayarlarına sıfırlamanız gerekir.
-
Yapılandırmayı saklamak istiyorsanız mevcut yapılandırmayı kaydedin.
-
Cihazlar kullanılmamışsa bir pencere plan edin veya aşamalı bir yaklaşım kullanın. Kullanıcılara bekley değişikliği bildir.
-
Cihazlara fiziksel erişimden emin olun. Ağ üzerinden cihazlara erişmeniz gerekirse, bu durumun düz metinle seyahat halinde olduğunu ve güvenliğinizi kontrol altında olduğunu fark edin.
Bu adımları tamamladıktan sonra video sistemlerinin Webex sitenizdeki toplantılara ve etkinliklere katılmasına izin verin.
Cihaz medyanizin cihaz dışında hiç kimse tarafından şifrelenmey olduğundan emin olmak için cihazda özel anahtarı şifrelemeniz gerekir. JSON Web Şifrelemesi (JWE) kullanarak şifreli anahtarın ve sertifikanın yönetilmesini sağlamak için cihaz için API'ler tasarladık.
Bulut aracılığıyla gerçek bitişi şifrelemeyi sağlamak için sertifikayı ve anahtarı şifreleme ve yüklemeyle ilgili olamaziz. Bu güvenlik seviyesine ihtiyacınız varsa:
-
Sertifikalarınızı talepin.
-
Sertifikaların anahtar çiftleri oluştur.
-
Her cihaz için bir başlangıç gizli anahtarı oluşturun (ve koruyun) cihazın şifreleme becerisine sahip olmak için.
-
JWE standardını kullanarak dosyaları şifrelemek için kendi aracınızı geliştirin ve sürdürün.
Ihtiyaç duyacağınız süreç ve (gizli olmayan) parametrelerin yanı sıra, tercih ettiğiniz geliştirme araçlarında takip edilecek bir reçete aşağıda açıklanmıştır. Ayrıca sürecinizi doğrulamanıza yardımcı olmak için beklenilen bazı test verilerini ve elde edilen JWE olaylarını da sağlarız.
talep üzerine Cisco'dan Ekleyebilirsiniz3 ve JWCrypto kütüphanesini kullanan desteklenmeyen bir referans uygulaması mevcuttur.
-
Aracınızı ve cihazın ilk gizli anahtarını kullanarak sertifikayı ve anahtarı kısan ve şifrele.
-
Elde edilen JWE ile ilgili dosyayı cihaza yükleyin.
-
Kurumsal kimlik için kullanılacak şifreli sertifikanın Webex ve sertifikayı etkinleştirin.
-
(Önerilir) Cihaz kullanıcılarının ilk gizliliği değiştirmesini ve ortamlarını sizden korumasını sağlamak için aracınız için bir arayüz sağlayın (veya dağıtın).
JWE biçimini nasıl kullanırız?
Bu bölümde, sertifikalarınız ve anahtarlarınızı oluşturmak için kendi aracınızı oluşturarak JWE'nin cihazlara giriş olarak oluşturulmasını nasıl beklediğiniz açıkmektedir.
JSON Web Şifrelemesi (JWE) https://datatracker.ietf.org/doc/html/rfc7516 ve JSON Web Imzası (JWS) bölümüne bakın https://datatracker.ietf.org/doc/html/rfc7515.
JWE blokları oluşturmak için bir JSON belgesinin Kompakt Serialize özelliğini kullanıyoruz. JWE damlalarını oluştururken dahil etmeniz gereken parametreler şunlardır:
-
JOSE Başlığı (korumalı). JSON Nesne İmzalama ve Şifreleme üst bilgisinde, aşağıdaki anahtar değeri çiftlerini dahil edersiniz:
-
"alg":"dir"
Doğrudan algoritma, yükü şifrelemeyi destekleyen tek kişidir ve cihazın ilk istemci gizli algoritmasını kullanabilirsiniz.
-
"enc":"A128GCM"
veya"enc":"A256GCM"
Bu iki şifreleme algoritmasını destekliyoruz.
-
"cisco-action": "ekle"
veya"cisco-action": "doldurun"
veya"cisco-action": "etkinleştir"
veya"cisco-action": "devre dışı bırak"
Bu, özel bir anahtar ve dört değeri bu değerdir. Bu anahtarı, hedef cihaza şifreli verilerin amacını sinyal etmek için kullandık. Değerler, şifrelenmiş verileri kullanmakta olduğunuz cihazda xAPI komutlarının ardından adlandırılmıştır.
Gelecekteki JWE uzantılarıyla olası çatışmaları azaltmak için bunu
cisco-action
olarak adlandırdık. -
"cisco-kdf": { "sürüm": "1", "tuz": "baz64URLEnkodlanmışRastgele4+Bayt" }
Başka bir özel anahtar. Cihazda anahtar türlevasyonu için girdi olarak sağlayan değerleri kullanıruz.
sürümü
1
olmalıdır (anahtar türetme fonksiyonumuzun sürümü).tuz
değeri, rastgele seçmeniz gereken en az 4 baytlık bir base64 URL ile kodlanmış dizilimi olmalıdır.
-
-
JWE Şifreli Anahtar. Bu alan boş. Cihaz bunu ilk
ClientSecret'tan alır
. -
JWE Başlatma Vektörü. Yük şifresini çözmek için base64url kodlanmış başlatma vektörü kaynağında olması gerekir. IV, rastgele 12 baytlı bir değer olmalıdır (AES-GCM şifre ailesi kullanıyoruz, IV'in 12 bayt uzunluğunda olması gerekir).
-
JWE AAD (kimliği doğrulanmış ek veriler). Kompakt SeriLeştirmede desteklenmey olduğundan, bu alanı yoklamalısiniz.
-
JWE Şifreli Metin: Bu, gizli tutmak istediğiniz şifrelenmiş yüktir.
Yük boş OLABILIR. Örneğin, istemci gizliliğini sıfırlamak için boş bir değerle üzerine yazmanız gerekir.
Cihazda yapmaya çalıştığınıza bağlı olarak farklı yük türleri vardır. Farklı xAPI komutları farklı yük yükleri bekler ve aşağıdaki
cisco-action
anahtarıyla yük yükünün amacını belirtmeniz gerekir:-
"cisco-action":"populate"
ile şifreli metin yeniClientSecret'tır
. -
"
"cisco-action":"add"
ile şifreli metin, sertifikayı ve özel anahtarını (birleştirilmiş) taşıyan bir PEM blob'dur. -
"
"cisco-action":"activate"
ile şifreli metin, cihaz kimliğinin doğrulanması için etkinleştirdiğimiz sertifikanın parmak izidir (sha-1'in onaltılık gösterimi). -
"
"cisco-action":"deactivate"
ile şifreli metin, cihaz kimlik doğrulaması için kullanılmasını devre dışı bıraktığımız sertifikanın parmak izidir (sha-1'in onaltılık gösterimi).
-
-
JWE kimlik doğrulama etiketi: Bu alan, tüm JWE kompakt olarak seri hale getirilecek ile ilgili bütünlüğü tespit etmek için kimlik doğrulama etiketini içerir
Şifreleme anahtarını ClientSecret'tan nasıl türetiyoruz
Gizli gizlinin ilk nüfusu sonra, gizli gizli gizli metni kabul etmez veya çıktısını düz metin olarak kabul etmeziz. Bu, cihaza erişen herhangi bir kişi tarafından potansiyel sözlük saldırısının önlenmesidir.
Cihaz yazılımı, anahtar türetilen işlevine (kdf) giriş olarak istemci gizli anahtarını ve ardından cihazın içerik şifre çözme/şifreleme için türetilen anahtarı kullanır.
Bunun anlamı, JWE bilgisayarlarını üretmek için aracının, istemci gizli anahtarıyla aynı şifreleme/şifre çözme anahtarını türetilen prosedüre uyması gerektiğidir.
Cihazlar, aşağıdaki parametrelerle anahtar türetasyonu (bkz. https://en.wikipedia.org/wiki/Scrypt) için şifre kullanır:
-
CostSever (N) şu şekildedir: 32768
-
BlockSizeA (r) 8'tir
-
ParalelleştirmeDele (p) 1'tir
-
Tuz değeri en az 4 baytlık rastgele dizilerdir;
cisco- kdf
parametresini belirtirken aynıtuzu
vermelisiniz. -
Anahtar uzunlukları ya 16 bayttır (AES-GCM 128 algoritması seçin), veya 32 bayt (AES-GCM 256 algoritmasını seçersiniz)
-
Maksimum bellek cap değeri, 64 MB'tır
Bu parametre kümesi, cihazlardaki anahtar türetasyonu işleviyle uyumlu tek şifre yapılandırmasıdır. Aygıtlar üzerindeki kdf "sürüm":"1"
olarak adlandırılır, cisco-kdf
parametresi tarafından alınmış tek sürümüdür.
Çalışan örnek
JWE şifreleme işleminizin cihazlarda oluşturduğunuz işlemlerle aynı şekilde çalıştığını doğrulamak için aşağıdakini izleyin.
Örnek senaryo, cihaza PEM ile ekler (tam bir cert + anahtarı yerine çok kısa bir dizeyle sertifika eklemeyi taklittir). Örnekteki müşteri sırrı ossifrage
.
-
Bir şifreleme şifresi seçin. Bu örnekte
A128GCM
(Galois Sayaç Modunda 128 bit anahtarlı AES) kullanılmıştır. Isterseniz aracınızA256GCM
kullanabilir. -
Bir salt (en az 4 baytlık rastgele bir dizi olmalıdır) seçin. Bu örnekte (onaltılık bayt)
E5 E6 53 08 03 F8 33 F6 kullanılır
. Base64url,5eZTCAP4M_Y
elde etmek için diziyi kodlar (base64 doldurgucu kaldırın). -
Içerik şifreleme anahtarını (cek) oluşturmak için örnek bir
scrypt
çağrısı:cek=scrypt(password="ossifrage", salt=4-byte-sequence, N=32768, r=8, p=1, keylength=16)
Türetilen anahtar şu şekilde 16 bayt (hex) olmalıdır:
95 9e ba 6d d1 22 01 05 78 fe 6a 9d 22 78 ff ac
hangi base64url kodlarlZ66bdEiAQV4_mqdInj_rA
. -
Başlatma vektörü olarak kullanmak için rastgele 12 baytlık bir dizi seçin. Bu örnekte (hex)
34 b3 5d dd 5f 53 7b af 2d 92 95 83
.NLNd3V9Te68tkpWD
-
Kompakt serileştirme ile JOSE üstbilgisi oluşturun (burada kullanmakta olduğu parametrelerin aynı sıralarını takip edin) ve ardından base64url bunu kodlar:
{"alg":"dir","cisco-action":"add","cisco-kdf":{"salt":"5eZTCAP4M_Y","version":"1"},"enc":"A128GCM"}
Base64url kodlanmış JOSE başlığı
eyJhbGciOiJkaXIiLCJjaXNjby1hY3Rpb24iOiJhZGQiLCJjaXNjby1rZGYiOnsic2FsdCI6IjVlWlRDQVA0TV9ZIiwidmVyc2lvbiI6IjEifSwiZW5jIjoiQTEyOEdDTSJ9
Bu, JWE ile ilgili ilk öğe olacak.
-
Bir JWE verisi kaynağımız olmadığınız için JWE neden olan ikinci öğe şifreleme anahtarı.
-
JWE blob'un üçüncü öğesi başlatma vektörü
NLNd3V9Te68tkpWD'dir
. - Şifrelenmiş bir yük ve etiket üretecek JWE şifreleme aracını kullanın. Örneğin, şifrelenmemiş yük sahte PEM blob olacak
bu bir PEM dosyası
Kullanman gereken şifreleme parametreleri:
Yük
bu bir PEM dosyası
Şifreleme şifresi AES 128 GCM'dir
base64url ile kodlanmış JOSE üstbilgisi Ek Kimlik Doğrulaması Verileri (AAD) olarak
Base64url, f5lLVuWNfKfmzYCo1YJfODhQ ile sonuçlanması gereken şifrelenmiş yükü
kodlar
Bu, JWE ile ilgili dördüncü öğedir (JWE Şifre metni).
-
Base64url, 8. adımda ürettiğiniz etiketi kodlayın ve bu da
PE-wDFWGXFFBeo928cfZ1Q
Bu, JWE ile ilgili beş öğedir.
-
JWE neden olan beş unsuru noktalarla birleştirin (JOSEheader.. IV.Şifremetin.Etiketi) şunları almak için:
eyJhbGciOiJkaXIiLCJjaXNjby1hY3Rpb24iOiJhZGQiLCJjaXNjby1rZGYiOnsic2FsdCI6IjVlWlRDQVA0TV9ZIiwidmVyc2lvbiI6IjEifSwiZW5jIjoiQTEyOEdDTSJ..9NLNd3V9Te68tkpWD.f5lLVuWNfKfmzYCo1YJfODhQ.PE-wDFWGXFFBeo928cfZ1Q
-
Burada göstermemiz ile aynı base64url kodlanmış değerlerini türetilen kendi araçlarınızı kullanarak, cihazlarınızı E2E şifrelemeyi ve doğrulanmış kimliğini güvenceye almak için bunları kullanmaya hazırsınız.
-
Bu örnek aslında çalışmanıza yardımcı olmayacaktır ama bir sonraki adım, sertifikayı ekleyen cihazda xcommand'a giriş olarak oluşturduğunuz JWE ile aynı olur:
xCommand Güvenlik Sertifikaları
eyJhbGciOiJkaXIiLCJjaXNjby1hY3Rpb24iOiJhZGQiLCJjaXNjby1rZGYiOnsic2FsdCI6IjVlWlRDQVA0TV9ZIiwidmVyc2lvbiI6IjEifSwiZW5jIjoiQTEyOEdDTSJ..9NLNd3V9Te68tkpWD.f5lLVuWNfKfmzYCo1YJfODhQ.PE-wDFWGXFFBeo928cfZ1Q
Sıfır güvenlikli toplantılar için oturum türleri, ek bir ücret ödemeden tüm toplantı sitelerinde kullanılabilir. Bu oturum türlerinden birine Pro-End to End Encryption_VOIPonly
adı verilir. Bu, gelecekte değiştirebileceğimiz Kamu Hizmeti Adıdır. Oturum türlerinin geçerli adları için bu makalenin Referans bölümünde Oturum Türü Kimlikleri bölümüne bakın.
Siteniz için bu özelliği elde etmek için yapmanız gereken hiçbir şey yoktur; kullanıcılara yeni oturum türünü (Toplantı Ayrıcalığı olarak da adlandırılır) vermeniz gerekir. Bu işlemi, kullanıcının yapılandırma sayfasından tek tek veya CSV dışa/içe aktarma işlemiyle toplu olarak yapabiliriz.
1 |
Control Hub'da oturum açın ve ardından seçeneğine gidin. |
2 |
Siteler’e tıklayın, ayarlarını değiştirmek istediğiniz Webex sitesini seçin ve ardından Ayarlar’a tıklayın. |
3 |
Ortak Ayarlar’ın altında Oturum Türleri’ni seçin. |
4 |
Bir veya daha fazla uçtan uca şifreleme oturum türü görmeniz gerekir. Bu makalenin Referans bölümünde Oturum Türü Kimlikleri listesine bakın. Örneğin, Pro-End to End Encryption_VOIPonly 'ıgörebilir.
Çok benzer bir oturum türü daha eski bir model var: Pro-Uçtan Uca Şifreleme. Bu oturum türü, toplantılara şifre PSTN olmayan erişim içerir. Uçtan uca şifrelemeyi sağlamak için _VOIPonly sürümünün olduğundan emin olun. Oturum kodu sütunundaki PRO bağlantısının üzerine gelerek kontrol edebilirsiniz; bu örneğin, bağlantının hedefi Bu oturum türleri için Kamu Hizmeti Adlarını gelecekte değiştirebiliriz. |
5 |
Henüz yeni oturum türü, müşteri Webex geçin. |
Sonraki adım
Bu özelliği oturum türü / toplantı ayrıcalığını kullanıcılarınız için bire bir etkinleştirin.
1 |
Control Hub’da oturum açın ve bölümüne gidin. |
2 |
Güncellenecek bir kullanıcı hesabı seçin ve ardından Meetings öğesini seçin. |
3 |
Ayarlar açılır menüsünden güncellenecek toplantı sitesini seçin. |
4 |
Pro-End to End Encryption_VOIPonly yanındaki kutuyu işaretleyin. |
5 |
Kullanıcı yapılandırma panelini kapatın. |
6 |
Gerekirse diğer kullanıcılar için tekrarlayın. Bunu birçok kullanıcıya atamak için sonraki seçeneği kullanın: Birden fazla kullanıcı için E2EE toplantılarını etkinleştir. |
1 |
Control Hub'da oturum açın ve ardından seçeneğine gidin. |
2 |
Siteler öğesine tıklayın, ayarlarını değiştirmek istediğiniz Webex sitesini seçin. |
3 |
Lisanslar ve Kullanıcılar bölümünde, Toplu Yönet’e tıklayın. |
4 |
Rapor Oluştur öğesine tıklayın ve dosyayı hazırlarken bekleyin. |
5 |
Dosya hazır olduğunda Sonuçları Dışa Aktar'a ve ardından İndir'e tıklayın. (Indir'e tıkladıktan sonra açılır pencereyi manuel olarak kapatmalısınız.) |
6 |
Düzenlemek için indirilen CSV dosyasını açın. Her kullanıcı için bir satır vardır ve |
7 |
Yeni oturum türü vermek istediğiniz her kullanıcı için, Webex CSV Dosya Biçimi Referansı , CSV dosyasının amacı ve içeriğine ilişkin ayrıntıları içerir. |
8 |
Control Hub'da Meeting sitesi yapılandırma panelini açın. Zaten Toplantı sitesi liste sayfasındaysanız bunu yenilemeniz gerekir. |
9 |
Lisanslar ve Kullanıcılar bölümünde, Toplu Yönet’e tıklayın. |
10 |
İçe Aktar'a tıklayın ve düzenlenen CSV'yi seçin, ardından İçe Aktar'atıklayın. Dosya karşıya yüklenen sırada bekleyin. |
11 |
İçe aktarma işlemi tamamlandığında, herhangi bir hata olup bunu gözden geçirmek için İçe Aktarma Sonuçları'ne tıkabilirsiniz. |
12 |
Kullanıcılar sayfasına gidin ve yeni e-postaya sahip olduklarını doğrulamak için kullanıcılardan oturum türü. |
Gizli toplantıların yetkisiz kayıtlarının kaynak istemcisini veya cihazını tanımlamanızı sağlayan Webex Meetings Pro-End to End Encryption_VOIPonly
oturum türüyle toplantı kayıtlarına bir filigran ekleyebilirsiniz.
Bu özellik etkinleştirildiğinde, toplantı sesi her katılımcı istemci veya cihaz için benzersiz bir tanımlayıcı içerir. Ses kayıtlarını Control Hub'a yükleyebilirsiniz. Bu kayıt analiz edilir ve benzersiz tanımlayıcıları arar. Toplantıyı hangi kaynak istemcisinin veya cihazın kaydettiğini görmek için sonuçlara bakabilirsiniz.
- Analiz edilebilmesi için kaydın 500 MB'den büyük olmayan AAC, MP3, M4A, WAV, MP4, AVI veya MOV dosyası olması gerekir.
- Kayıt 100 saniyeden uzun olmalıdır.
- Yalnızca kuruluşunuzdaki kişiler tarafından düzenlenen toplantıların kayıtlarını analiz edebilirsiniz.
- Filigran bilgileri, kuruluşun toplantı bilgileriyle aynı süre boyunca saklanır.
E2EE toplantılarına ses filigranları ekle
- Control Hub’da oturum açın ve Management altından Kuruluş Ayarları’nı seçin.
- Toplantı filigranları bölümünde, Ses filigranı ekle seçeneğini açın.
Bu işlem açıldıktan bir süre sonra,
Webex Meetings Pro-End to End Encryption_VOIPonly
oturum türüyle toplantı planlayan kullanıcılar Güvenlik bölümünde Dijital Filigran seçeneği görür.
Filigranlı bir toplantıyı yükleme ve analiz etme
- Control Hub'da Monitoring altında Sorun Giderme öğesini seçin.
- Watermark Analysis düğmesine tıklayın.
- Listede bir toplantı arayın veya seçin ve ardından Analyze düğmesine tıklayın.
- Ses filigranını analiz et penceresinde analiziniz için bir ad girin.
- (Isteğe bağlı) Analiziniz için bir not girin.
- Analiz edilecek ses dosyasını sürükleyip bırakın veya ses dosyasına gözatmak için Dosya seç düğmesine tıklayın.
- Kapat’a tıklayın.
Analiz tamamlandığında, Analiz filigran sayfasındaki sonuçların listesinde gösterilecektir.
- Analizin sonuçlarını görmek için listeden toplantıyı seçin. Sonuçları indirmek için tıklayın.
Özellikler ve Sınırlamalar
Kayıtlı bir filigranın başarıyla çözülmesinde rol oynayan faktörler arasında kayıt cihazı ve sesi çıkaran konuşmacı, bu sesin ses seviyesi, çevresel gürültü vb. yer alır. Filigran teknolojimiz, medya paylaşıldığında olabileceği gibi, birçok kez kodlanmaya karşı ek bir esnekliğe sahiptir.
Bu özellik, filigran tanımlayıcısının geniş ancak makul koşullarda başarılı bir şekilde kodlanmasını sağlayacak şekilde tasarlanmıştır. Hedefimiz, cep telefonu gibi bir kişisel uç nokta veya dizüstü bilgisayar istemcisinin yakınında bir masada duran bir kayıt cihazının her zaman başarılı bir analizle sonuçlanan bir kayıt oluşturmasıdır. Kayıt cihazı kaynaktan uzaklaştırıldığından veya tam ses spektrumunu duyması engellendiğinden, başarılı bir analiz şansı azalır.
Bir kaydı başarılı bir şekilde analiz etmek için toplantı sesinin makul bir şekilde yakalanması gereklidir. Bir toplantının sesi istemciyi barındıran aynı bilgisayara kaydedilirse sınırlamalar uygulanmamalıdır.
Cihazlarınız zaten Control Hub kuruluşunuza kayıtlıysa ve tanımlama sertifikalarını otomatik olarak oluşturmak için Webex CA'yı kullanmak istiyorsanız cihazları fabrika ayarlarına sıfırlamanız gerekmez.
Bu prosedür, cihazın kendi kimliğini tanımlamak için kullandığı etki alanını seçer ve yalnızca Control Hub organizasyonlarında birden fazla etki alanınız varsa gereklidir. Birden fazla etki alanınız varsa, "Cisco tarafından doğrulanmış" kimliğe sahip olacak tüm cihazlarınız için bunu yapmanızı öneririz. Webex'e cihazı hangi etki alanının tanımladığını söylemezseniz biri otomatik olarak seçilir ve diğer toplantı katılımcıları için yanlış görünebilir.
Başlamadan önce
Cihazlarınız henüz eklenmemişse, Board, Desk ve Room Serisi için API veya Yerel Web Arabirimi veya Bulut Eklemeyi Kullanarak Cihazı Cisco Webex'e kaydedin. Etki alanlarınızı yönetin'de cihazları tanımlamak için kullanmak istediğiniz etki alanlarını doğrulamanız gerekir.
1 |
Control Hub'da oturum açın ve Management altından Devices öğesini seçin. |
2 |
Yapılandırma panelini açmak için bir cihaz seçin. |
3 |
Bu cihazı tanımlamak için kullanmak istediğiniz etki alanını seçin. |
4 |
Diğer cihazlar için bu işlemi tekrarlayın. |
Başlamadan önce
-
Her cihaz için CA imzalı bir sertifika ve
.pem
biçiminde özel anahtar alın. -
Hazırla sekmesi altında, Cihazlar için Harici Kimlik Sürecini Anlama başlığını okuyun,
-
Buradaki bilgilerle ilgili olarak bir JWE şifreleme aracı hazırlayın.
-
Verilen uzunluklarda rastgele bayt dizileri oluşturmak için bir aracınız olduğundan emin olun.
-
64url tabanlı baytları veya metni kodlamak için bir aracınız olduğundan emin olun.
-
Bir scrypt
uygulamanız olduğundan
emin olun. -
Her cihaz için gizli bir kelime veya ifade kullandığınızdan emin olun.
1 |
Cihazın
Cihazın ilk gizli gizli gizlisi vardır. Bunu unutmayın; geri yükleyemezsiniz ve yeniden başlatmak için cihazı fabrika ayarlarına sıfırlamanız gerekir.
|
2 |
Sertifikanızı ve özel anahtarınızı kısan: |
3 |
Sertifika ekleme komutunun girişi olarak kullanmak için bir JWE zaman ile oluşturun: |
4 |
Cihazda TShell'i açın ve (çok satırlı) add komutunu çalıştırın: |
5 |
xcommand Security Certificates Services Show çalıştırılarak sertifikanın eklendiğini Yeni sertifikanın parmak izi kopyalayın. |
6 |
Sertifikayı Cihazın şifrelenmiş, etkin, SERTIFIKA yetkilisi tarafından verilen bir sertifikası vardır ve bu sertifikayı toplantıların bitiş uçlarında Webex hazır.
|
7 |
Cihazı Control Hub organizasyona bağlayın. |
1 |
Doğru türe sahip bir toplantı planla (Webex Meetings Encryption_VOIPonly'yi Sona Ertir )seçin. End Webex Meeting ile Dosya Planlama 'yabakın. |
2 |
Yeni bir istemciden toplantıya toplantı sahibi Webex Meetings katılın. |
3 |
Toplantıya, sertifika yetkilisi tarafından kimliği doğrulanmış bir cihazdan Webex katılın. |
4 |
Kullanıcı sahibi olarak doğru kimlik simgesiyle birlikte lobide bu cihazın görüntülendiğinden emin olun. |
5 |
Harici bir CA tarafından kimliği doğrulanmış bir cihazdan toplantıya katılın. |
6 |
Kullanıcı sahibi olarak doğru kimlik simgesiyle birlikte lobide bu cihazın görüntülendiğinden emin olun. Kimlik simgeleri hakkında daha fazla bilgi edinin. |
7 |
Toplantıya kimliği doğrulanmamış toplantılar katılımcısı olarak katılın. |
8 |
Kullanıcı sahibi olarak bu katılımcının lobide doğru kimlik simgesiyle görüntülendiğinden emin olun. |
9 |
Ev sahibi olarak insanları/cihazları kabul edin veya reddedin. |
10 |
Sertifikaları kontrol ederek mümkün olan durumlarda katılımcı/cihaz kimliklerini doğrulayın. |
11 |
Toplantı daki herkesin aynı toplantı güvenlik kodunu gördüğünü kontrol edin. |
12 |
Toplantıya yeni bir katılımcıyla katılın. |
13 |
Herkesin aynı, yeni toplantı güvenlik kodunu gördüğünü kontrol edin. |
-
Toplantıyı toplantıyı toplantıyı varsayılan toplantı seçeneği mi yapacak veya yalnızca bazı kullanıcılar için etkinleştiracak veya tüm toplantı sahiplerine izin vereceksiniz? Bu özelliği nasıl kullanmaya karar verdiklerinde, özellikle de toplantıda hangi sınırlamaları ve neyi beklediğinizi gözleriyle, bu özelliği kullanacak kullanıcıları hazırlayın.
-
Cisco veya başka herhangi birinin içeriğinizin şifresini çözemelerini veya cihazlarınızı kimliğe bürünmelerini sağlamaya ihtiyacınız var mı? Bu olursa, genel sertifika yetkilisinden sertifikalara ihtiyacınız vardır.
-
Farklı düzeylerde kimlik doğrulamanız varsa, kullanıcıların birbirlerini sertifika destekli kimlikle doğrulamasını sağlayın. Katılımcıların Doğrulanmamış olarak görünmesine ve katılımcıların nasıl kontrol etmek için gerektiğinin gerektiği durumlarda bile, doğrulanmamış kişiler dayatıcı olayabilir.
Cihaz sertifikalarınızı sorun için harici bir CA kullanıyorsanız sertifikaları izlemek, yenilemek ve yeniden kullanmak sizindir.
İlk gizli gizliyi oluşturduysanız kullanıcılarının cihaz gizlisini değiştirmek istemeyebilirsiniz. Bunu yapmalarını sağlamak için bir arayüz oluşturmanız/bir aracı dağıtmanız gerekir.
Oturum Türü Kimliği |
Genel Hizmet Adı |
---|---|
638 |
Yalnızca E2E Şifreleme+VoIP |
652 |
EVOIPonly'ı Sonancryption_Pro-Bitiş |
660 |
Pro 3 Ücretsiz EVOIPonly'ıncryption_Sona Erdir E2E Şifreleme + Kimlik |
672 |
Pro 3 Ücretsiz50-Bitiş EVOIPonlyncryption_ |
673 |
Eğitim Eğitmeni E2E EVOIPonlyncryption_ |
676 |
Broadworks Standart plus bitişi şifreleme |
677 |
Broadworks Premium plus bitişi şifreleme |
681 |
Eğitim Ücretsiz ve sona şifreleme |
Bu tabloda, Webex bitişli şifreli toplantılar ve doğrulanmış kimlik için eklen yaptığımız cihaz API komutları açıklanmıştır. API'yi kullanma hakkında daha fazla bilgi için bkz. Masaüstü Cihazları ve Masaüstü Cihazları Webex Room için API'ye erişimWebex Boards.
Bu xAPI komutları, yalnızca şu cihazlarda kullanılabilir:
-
Webex'e kayıtlı
-
Şirket içi kayıtlı ve Cihazlar için Webex Edge Webex ile bağlantılı
API çağrısı |
Açıklama |
---|---|
|
Bu yapılandırma, yönetici Control Hub'dan cihazın tercih ettiği etki alanını ayar olduğunda yapılır. Kuruluşun birden fazla etki alanına sahip olduğu için gereklidir. Cihaz, sertifika yetkilisinden sertifika isteğinde bulundurarak bu etki Webex kullanır. Etki alanı cihazı tanımlar. Bu yapılandırma, cihazın kendi kimliğini tanımlamak için etkin, harici olarak verilen bir sertifikaya sahip olduğunda geçerli değildir. |
|
Cihazın toplantıyı toplantıyı toplantıyı takip etmek için katılanı gösterir. Bulut API'si çağrıyı arar, böylece eşleştirilmiş bir uygulama katılmak için cihazı kullanıp kullana bilir. |
|
Cihazın |
|
Cihazın, harici olarak verilen sertifikanın Ortak Ad'ını oku şekilde kimliği. |
|
Harici olarak verilen bir sertifikadan gelen belirli bilgileri okuyabilir. Gösterilen komutta,
|
|
Cihazın harici kimliğinin durumu (ör. |
|
Cihazın sertifika yetkilisi tarafından verilen geçerli bir sertifikaya sahip olup olmadığını Webex gösterir. |
|
Verilen sertifikanın Ortak Ad'Webex cihazın kimliği okundu. Kuruluşun etki alanı varsa etki alanı adı içerir. Kuruluşun etki alanı yoksa boştur. Cihaz birden fazla etki alanına sahip bir kuruluşta ise, |
|
Verilen sertifikadan belirli Webex okuyabilir. Gösterilen komutta,
|
API çağrısı |
Açıklama |
---|---|
| Bu üç etkinlik artık etkilenen katılımcı için |
API çağrısı |
Açıklama |
---|---|
veya
| İlk kez cihaz üzerinde istemci gizli şifresini biçimlendirmek için base64url ile kodlanmış düz metin değeri kabul eder. Gizli anahtarı ilk kez bundan sonra güncellemek için, eski gizli anahtar tarafından şifrelenen yeni gizli anahtarı içeren bir JWE neden kaynağı olarak bunu güncelleştirmeniz gerekir. |
| Bir sertifika ekler (özel anahtarla). Bu komutu, şifrelenmiş PEM verilerini içeren bir JWE sadece kabul etmek için uzattık. |
| WebexIdentity için belirli bir sertifikayı etkinleştirir. Bu |
| WebexIdentity için belirli bir sertifikayı devre dışı bırakılır. Bu |