Kullanıcılar bir toplantı planla Toplantı türü seçerler. Toplantı sahibi, lobiden katılımcı kabul ederken ve toplantı sırasında her katılımcının kimlik doğrulama durumunu görebilir. Ayrıca, toplantıdaki tüm mevcut katılımcılar için ortak olan ve birbirlerini doğrulamak için kullanabilecekleri bir toplantı kodu vardır.
Aşağıdaki bilgileri toplantı sahiplerinizle paylaşın:
Uçtan Uca Şifreleme ile Webex Toplantısına Katılın
Kimliği doğrula
Kimlik doğrulamalı uçtan uca şifreleme, uçtan uca şifrelenmiş bir toplantıya ek güvenlik sağlar.
Katılımcılar veya cihazlar paylaşılan bir MLS (Mesajlaşma Katmanı Güvenliği) grubuna katıldığında, sertifikalarını diğer grup üyelerine sunarlar ve bu üyeler daha sonra sertifikaları veren Sertifika Yetkililerine (CA) karşı doğrular. Sertifikaların geçerli olduğunu onaylayarak CA, katılımcıların kimliğini doğrular ve toplantı, katılımcıları/cihazları doğrulanmış olarak gösterir.
Webex Uygulaması kullanıcıları, kimlik doğrulama başarılı olduğunda onlara bir erişim belirteci veren Webex kimlik deposuna karşı kimliklerini doğrular. Uçtan uca şifreli bir toplantıda kimliklerini doğrulamak için bir sertifikaya ihtiyaçları varsa Webex CA, erişim belirtecine dayalı olarak onlara bir sertifika verir. Şu anda, Webex Meetings kullanıcılarının bir üçüncü taraf/harici CA tarafından verilen bir sertifika almaları için bir yol sağlamıyoruz.
Cihazlar, dahili (Webex) CA tarafından verilen bir sertifikayı veya harici bir CA tarafından verilen bir sertifikayı kullanarak kimliklerini doğrulayabilir:
Dahili CA— Webex , cihazın makine hesabının erişim belirtecini temel alan bir dahili sertifika yayınlar. Sertifika, Webex CA tarafından imzalanır. Cihazların, kullanıcılarla aynı şekilde kullanıcı kimlikleri yoktur, bu nedenle Webex , cihaz sertifikasının kimliğini (Ortak Ad (CN)) yazarken kuruluşunuzun etki alanlarından (birini) kullanır.
Harici CA—Cihaz sertifikalarını doğrudan seçtiğiniz yayıncıdan isteyin ve satın alın. Yalnızca sizin tarafınızdan bilinen bir sırrı kullanarak sertifikaları şifrelemeli, doğrudan yüklemeli ve yetkilendirmelisiniz.
Cisco dahil değildir, bu da bunu gerçek uçtan uca şifrelemeyi ve doğrulanmış kimliği garanti etmenin ve Cisco toplantınızı gizlice dinlemesi/ortamınızın şifresini çözmesinin teorik olasılığını önlemenin yolu haline getirir.
Dahili olarak verilen cihaz sertifikası
Webex , başlatmadan sonra kaydolduğunda cihaza bir sertifika verir ve gerektiğinde yeniler. Cihazlar için sertifika, hesap Kimlik ve bir etki alanını içerir.
Kuruluşunuzun bir etki alanı yoksa Webex CA, sertifikayı etki alanı olmadan verir.
Kuruluşunuzun birden çok etki alanı varsa, Webex cihazın kimliği için hangi etki alanını kullanacağını söylemek için Control Hub'ı kullanabilirsiniz. API de kullanabilirsiniz xConfiguration Conference EndToEndEncryption Identity PreferredDomain: "example.com".
Birden çok etki alanınız varsa ve cihaz için tercih edilen etki alanını ayarlamadıysanız Webex sizin için birini seçer.
Harici olarak verilen cihaz sertifikası
Bir yönetici, genel CA'lardan biriyle imzalanmış kendi sertifikasına sahip bir cihaz sağlayabilir.
Sertifika, bir RSA anahtarıyla imzalanabilmesine rağmen, bir ECDSA P-256 anahtar çiftini temel almalıdır.
Sertifikadaki değerler kuruluşun takdirindedir. Ortak Ad (CN) ve Konu Diğer Adı (SAN), içinde açıklandığı gibi Webex toplantısı kullanıcı arabirimi görüntülenecektir. Webex Meetings için kimlik doğrulama ile uçtan uca şifreleme .
Cihaz başına ayrı bir sertifika kullanmanızı ve cihaz başına benzersiz bir CN'ye sahip olmanızı öneririz. Örneğin, "example.com" alan adının sahibi olan kuruluş için "meeting-room-1.example.com".
Harici sertifikayı kurcalamaya karşı tam olarak korumak için, çeşitli x komutlarını şifrelemek ve imzalamak için bir istemci gizli özelliği kullanılır.
İstemci sırrını kullanırken, xAPI aracılığıyla harici Webex kimlik sertifikasını güvenli bir şekilde yönetmek mümkündür. Bu, şu anda çevrimiçi cihazlarla sınırlıdır.
Webex şu anda bunu yönetmek için API komutları sağlamaktadır.
Cihazlar
Aşağıdaki buluta kayıtlı Webex Room serisi ve Webex Desk serisi cihazlar, uçtan uca şifreli toplantılara katılabilir:
Webex Board
Webex Desk Pro
Webex Masa
Webex Room Kit
Webex Room Kit Mini
Aşağıdaki cihazlar uçtan uca şifrelenmiş toplantılara katılamaz:
Webex C Serisi
Webex DX Serisi
Webex EX Serisi
Webex MX Serisi
Üçüncü taraf SIP cihazları
yazılım istemcileri
41.6 sürümünden itibaren Webex Meetings masaüstü istemcisi, uçtan uca şifreli toplantılara katılabilir.
Kuruluşunuz, Toplantılar masaüstü uygulamasını başlatarak Webex uygulaması toplantılara katılmasını sağlıyorsa, uçtan uca şifreli toplantılara katılmak için bu seçeneği kullanabilirsiniz.
Webex web istemcisi, uçtan uca şifreli toplantılara katılamaz.
Üçüncü taraf SIP yazılım istemcileri, uçtan uca şifreli toplantılara katılamaz.
Kimlik
Tasarım gereği, harici olarak doğrulanmış cihaz kimliğini yönetmeniz için Control Hub seçenekleri sağlamıyoruz. Gerçek uçtan uca şifreleme için sırları ve anahtarları yalnızca siz bilmelisiniz/erişmelisiniz. Bu anahtarları yönetmek için bir bulut hizmeti sunduysak, ele geçirilme ihtimalleri var.
Şu anda, cihaz kimlik sertifikalarınızı ve özel anahtarlarınızı istemeye veya şifrelemeye yardımcı olmak için endüstri standardı şifreleme tekniklerine dayalı kendi araçlarınızı tasarlamanız için bir "tarif" sunuyoruz. Sırlarınıza veya anahtarlarınıza gerçek veya algılanan herhangi bir erişime sahip olmak istemiyoruz.
Toplantılar
Uçtan uca şifreli toplantılar şu anda maksimum 200 katılımcıyı desteklemektedir.
Bu 200 katılımcıdan en fazla 25'i harici olarak doğrulanmış cihaz katılabilir ve toplantıya katılan ilk katılımcılar olmalıdır .
Bir toplantıya daha fazla sayıda cihaz katıldığında, arka uç medya hizmetlerimiz medya akışlarını dönüştürmeye çalışır. Ortamın şifresini çözemez, kodunu dönüştüremez ve yeniden şifreleyemezsek (cihazların şifreleme anahtarlarına sahip olmadığımız ve almamamız gerektiği için), kod dönüştürme başarısız olur.
Bu sınırlamayı azaltmak için cihazlar için daha küçük toplantılar veya davetleri cihazlar ile Toplantı istemcileri arasında kademelendirmenizi öneririz.
Yönetim arayüzü
Control Hub kuruluşları tüm kuruluş için merkezi bir kimliğe sahipken, Site Yönetimi kimlik site bazında kontrol edildiğinden, Toplantı sitenizi yönetmek için Control Hub'ı kullanmanızı kesinlikle öneririz.
Site Yönetimi yönetilen kullanıcılar, Cisco tarafından doğrulanmış kimlik seçeneğine sahip olamaz. Bu kullanıcılara uçtan uca şifreli bir toplantıya katılmaları için anonim bir sertifika verilir ve toplantı sahibinin kimlik doğrulamasını sağlamak istediği toplantılardan hariç tutulabilirler.
İlgili bilgiler
Webex için Sıfır Güven Güvenliği (güvenlik teknik belgesi): https://www.cisco.com/c/en/us/solutions/collateral/collaboration/white-paper-c11-744553.html
Cisco Live 2021 sunumu (Cisco Live kaydı gereklidir): https://www.ciscolive.com/2021/learn/session-catalog.html?tab.digitalbundle=Anytime21&search.sessiontype=BRK&search.learningmap=1614364767910003wzD6#/session/16106298425360015zrh
JSON Web Şifrelemesi (JWE) (Taslak IETF standardı): https://datatracker.ietf.org/doc/html/rfc7516
Kullanıcıya yönelik belgeler: https://help.webex.com/5h5d8ab
Webex Meetings 41.7.
Bulutta kayıtlı Webex Room ve Webex Desk serisi cihazlar, çalışıyor
10.6.1-RoomOS_August_2021.Kullanıcılar için yeni Oturum türü etkinleştirmek için Control Hub'daki toplantı sitesi yönetici erişimi.
Control Hub kuruluşunuzdaki bir veya daha fazla doğrulanmış etki alanı (doğrulanmış kimlik için cihaz sertifikaları vermek üzere Webex CA kullanıyorsanız).
İnsanların video sistemlerinden katılabilmeleri için İşbirliği Toplantı Odaları açık olmalıdır. Daha fazla bilgi için bkz. Video sistemlerinin Webex sitesi toplantılara ve etkinliklere katılmasına izin verin .
Harici olarak doğrulanmış kimliklere ihtiyacınız yoksa bu adımı atlayabilirsiniz.
En yüksek güvenlik düzeyi ve kimlik doğrulaması için her cihazın güvenilir bir genel Sertifika Yetkilisi (CA) tarafından verilen benzersiz bir sertifikası olmalıdır.
Dijital sertifikaları istemek, satın almak ve almak ve ilişkili özel anahtarları oluşturmak için CA ile etkileşim kurmanız gerekir. Sertifikayı talep ederken şu parametreleri kullanın:
Sertifika, tanınmış bir kamu CA'sı tarafından verilmeli ve imzalanmalıdır.
benzersiz: Her cihaz için benzersiz bir sertifika kullanmanızı şiddetle öneririz. Tüm cihazlar için tek bir sertifika kullanırsanız, güvenliğinizden ödün vermiş olursunuz.
Ortak Ad (CN) ve Konu Alternatif Adları (SAN/lar): Bunlar Webex için önemli değildir, ancak insanların okuyabileceği ve cihazla ilişkilendirebileceği değerler olmalıdır. CN, diğer toplantı katılımcılarına cihazın doğrulanmış birincil kimliği olarak gösterilir ve kullanıcılar, toplantı kullanıcı arabirimi aracılığıyla sertifikayı incelerse SAN/s'yi görürler. gibi isimler kullanmak isteyebilirsiniz.
name.model@example.com.Dosya biçimi: Sertifikalar ve anahtarlar,
.pembiçim.Amaç: Sertifika amacı Webex Identity olmalıdır.
Anahtar oluşturma: Sertifikalar, ECDSA P-256 anahtar çiftlerini temel almalıdır (P-256 eğrisini kullanan Eliptik Eğri Dijital İmza Algoritması).
Bu gereksinim, imzalama anahtarını kapsamaz. CA, sertifikayı imzalamak için bir RSA anahtarı kullanabilir.
Cihazlarınızda harici olarak doğrulanmış kimlik kullanmak istemiyorsanız bu adımı atlayabilirsiniz.
Yeni cihazlar kullanıyorsanız, bunları henüz Webex kaydetmeyin. Güvende olmak için, onları bu noktada ağa bağlamayın.
Harici olarak doğrulanmış kimliği kullanmak için yükseltmek istediğiniz mevcut cihazlarınız varsa, cihazları fabrika ayarlarına sıfırlamanız gerekir.
Mevcut yapılandırmayı saklamak istiyorsanız kaydedin.
Cihazlar kullanılmadığında bir pencere planlayın veya aşamalı bir yaklaşım kullanın. Kullanıcıları bekleyebilecekleri değişiklikler konusunda bilgilendirin.
Cihazlara fiziksel erişim sağlayın. Cihazlara ağ üzerinden erişmeniz gerekiyorsa, sırların düz metin olarak dolaştığını ve güvenliğinizden ödün verdiğinizi unutmayın.
Bu adımları tamamladıktan sonra, video sistemlerinin Webex sitesi toplantılara ve etkinliklere katılmasına izin verin .
Cihaz medyanızın cihaz dışında hiç kimse tarafından şifrelenmemesini sağlamak için cihazdaki özel anahtarı şifrelemeniz gerekir. JSON Web Encryption (JWE) kullanarak şifrelenmiş anahtarın ve sertifikanın yönetimini sağlamak için cihaz için API'ler tasarladık.
Bulutumuz aracılığıyla gerçek uçtan uca şifreleme sağlamak için sertifika ve anahtarı şifrelemeye ve yüklemeye dahil olamayız. Bu güvenlik düzeyine ihtiyacınız varsa, şunları yapmalısınız:
Sertifikalarınızı isteyin.
Sertifikalarınızın anahtar çiftlerini oluşturun.
Cihazın şifreleme kabiliyetini tohumlamak için her cihaz için bir başlangıç sırrı oluşturun (ve koruyun).
JWE standardını kullanarak dosyaları şifrelemek için kendi aracınızı geliştirin ve bakımını yapın.
İhtiyaç duyacağınız süreç ve (gizli olmayan) parametreler ve ayrıca seçtiğiniz geliştirme araçlarında takip etmeniz gereken bir tarif aşağıda açıklanmıştır. Ayrıca, sürecinizi doğrulamanıza yardımcı olmak için, beklediğimiz gibi bazı test verilerini ve ortaya çıkan JWE bloblarını da sağlarız.
Python3 ve JWCrypto kitaplığını kullanan desteklenmeyen bir referans uygulaması, istek üzerine Cisco sağlanabilir.
Aracınızı ve cihazın ilk sırrını kullanarak sertifikayı ve anahtarı birleştirin ve şifreleyin.
Ortaya çıkan JWE bloğunu cihaza yükleyin.
Webex kimliği için kullanılacak şifreli sertifikanın amacını ayarlayın ve sertifikayı etkinleştirin.
(Önerilen) Cihaz kullanıcılarının ilk sırrı değiştirmelerini ve medyalarını sizden korumalarını sağlamak için aracınıza bir arayüz sağlayın (veya dağıtın).
JWE formatını nasıl kullanıyoruz
Bu bölüm, sertifikalarınızdan ve anahtarlarınızdan blobları oluşturmak için kendi aracınızı oluşturabilmeniz için JWE'nin cihazlara girdi olarak nasıl oluşturulmasını beklediğimizi açıklamaktadır.
bkz. JSON Web Şifrelemesi (JWE)https://datatracker.ietf.org/doc/html/rfc7516ve JSON Web İmzası (JWS)https://datatracker.ietf.org/doc/html/rfc7515.
kullanıyoruz Kompakt Serileştirme JWE blobları oluşturmak için bir JSON belgesinin JWE blob'larını oluştururken eklemeniz gereken parametreler şunlardır:
JOSE Başlık (korumalı). JSON Nesne İmzalama ve Şifreleme başlığında, aşağıdaki anahtar/değer çiftlerini eklemeniz ZORUNLUDUR:
"alg":"dir"Doğrudan algoritma, yükü şifrelemek için desteklediğimiz tek algoritmadır ve cihazın ilk istemci sırrını kullanmanız gerekir.
"enc":"A128GCM"veya"enc":"A256GCM"Bu iki şifreleme algoritmasını destekliyoruz.
"cisco-action": "add"veya"cisco-action": "populate"veya"cisco-action": "activate"veya"cisco-action": "deactivate"Bu özel bir anahtar ve alabileceği dört değerdir. Bu anahtarı, şifrelenmiş verilerin amacını hedef cihaza bildirmek için tanıttık. Değerler, şifrelenmiş verileri kullandığınız cihazdaki xAPI komutlarından sonra adlandırılır.
adını biz koyduk
cisco-actiongelecekteki JWE uzantılarıyla olası çakışmaları azaltmak için."cisco-kdf": { "version": "1", "salt": "base64URLEncodedRandom4+Bytes" }Başka bir özel anahtar. Cihazda anahtar türetme için girdiğiniz değerleri girdi olarak kullanırız. Dosya
versionolmalı1(anahtar türetme fonksiyonumuzun versiyonu). değerisalten az 4 baytlık bir base64 URL kodlu dizisi olmalıdır. gerekir rastgele seçin.
JWE Şifreli Anahtar . Bu alan boş. Cihaz, bunu başlangıçtaki
ClientSecret.JWE Başlatma Vektörü . Yükün şifresini çözmek için bir base64url kodlu başlatma vektörü sağlamalısınız. IV ZORUNLU rastgele 12 baytlık bir değer olsun (IV'nin 12 bayt uzunluğunda olmasını gerektiren AES-GCM şifre ailesini kullanıyoruz).
JWE AAD (kimliği doğrulanmış ek veriler). Kompakt Serileştirme'de desteklenmediğinden bu alanı atlamanız gerekir.
JWE Şifreli Metin : Bu, gizli tutmak istediğiniz şifreli yüktür.
Yük boş olabilir. Örneğin, istemci sırrını sıfırlamak için üzerine boş bir değer yazmanız gerekir.
Cihazda ne yapmaya çalıştığınıza bağlı olarak farklı yük türleri vardır. Farklı xAPI komutları farklı yükler bekler ve yükün amacını
cisco-actionanahtar, aşağıdaki gibi:ile
"cisco-action":"populate"şifreli metin yeniClientSecret.ile "
"cisco-action":"add"şifreli metin, sertifikayı ve onun özel anahtarını (birleştirilmiş) taşıyan bir PEM bloğudur.ile "
"cisco-action":"activate"şifreli metin, cihaz kimlik doğrulaması için etkinleştirdiğimiz sertifikanın parmak izidir (sha-1'in onaltılık gösterimi).ile "
"cisco-action":"deactivate"şifreli metin, cihaz kimliği doğrulaması için kullanılmasını devre dışı bıraktığımız sertifikanın parmak izidir (sha-1'in onaltılık gösterimi).
JWE kimlik doğrulama etiketi: Bu alan, tüm JWE kompakt serileştirilmiş bloğun bütünlüğünü tespit etmek için kimlik doğrulama etiketini içerir.
kripto anahtarı aşağıdakilerden nasıl türetiyoruz? ClientSecret
Sırrın ilk popülasyonundan sonra, sırrı düz metin olarak kabul etmiyoruz veya çıkarmıyoruz. Bu, cihaza erişebilen birinin olası sözlük saldırılarını önlemek içindir.
Aygıt yazılımı, istemci sırrını bir anahtar türetme işlevine (kdf) bir girdi olarak kullanır ve ardından aygıtta içerik şifresinin çözülmesi/şifrelenmesi için türetilmiş anahtarı kullanır.
Bunun sizin için anlamı, JWE blobları üretme aracınızın istemci sırrından aynı şifreleme/şifre çözme anahtarını türetmek için aynı prosedürü izlemesi gerektiğidir.
Cihazların kullandığı şifrelemek anahtar türetme için (bkz.https://en.wikipedia.org/wiki/Scrypt ), aşağıdaki parametrelerle:
Maliyet Faktörü (N) 32768'dir
BlockSizeFactor (r) 8'dir
Paralelleştirme Faktörü (p) 1'dir
Tuz, en az 4 baytlık rastgele bir dizidir; bunu aynı şekilde tedarik etmelisin
saltbelirtirkencisco-kdfparametresini kullanabilirler.Anahtar uzunlukları 16 bayt ( AES-GCM 128 algoritmasını seçerseniz) veya 32 bayttır ( AES-GCM 256 algoritmasını seçerseniz)
Maksimum bellek sınırı 64MB
Bu parametre seti tek yapılandırmadır. şifrelemek cihazlardaki anahtar türetme işleviyle uyumludur. Cihazlarda bu kdf denir "version":"1" tarafından şu anda alınan tek sürüm olan cisco-kdf parametresini kullanabilirler.
Çalışılan örnek
JWE şifreleme işleminizin cihazlarda oluşturduğumuz işlemle aynı şekilde çalıştığını doğrulamak için izleyebileceğiniz bir örnek.
Örnek senaryo, cihaza bir PEM bloğu eklemektir (tam sertifika + anahtarı yerine çok kısa bir dizeyle sertifika eklemeyi taklit eder). Örnekteki istemci sırrı şudur: ossifrage.
Bir şifreleme şifresi seçin. Bu örnek kullanır
A128GCM(Galois Sayaç Modunda 128 bit anahtarlı AES ). aracınız kullanabilirA256GCMtercih ederseniz.Bir tuz seçin (en az 4 baytlık rastgele bir dizi olmalıdır). Bu örnek (onaltılık bayt) kullanır
E5 E6 53 08 03 F8 33 F6. Base64url almak için diziyi kodlar5eZTCAP4M_Y(base64 dolgusunu çıkarın).İşte bir örnek
scryptiçerik kripto anahtarı (cek) oluşturmak için arayın:cek=scrypt(password="ossifrage", salt=4-byte-sequence, N=32768, r=8, p=1, keylength=16)Türetilmiş anahtar aşağıdaki gibi 16 bayt (hex) olmalıdır:
95 9e ba 6d d1 22 01 05 78 fe 6a 9d 22 78 ff achangi base64url'nin kodladığılZ66bdEiAQV4_mqdInj_rA.Başlatma vektörü olarak kullanmak için rastgele bir 12 bayt dizisi seçin. Bu örnek (hex) kullanır
34 b3 5d dd 5f 53 7b af 2d 92 95 83hangi base64url'nin kodladığıNLNd3V9Te68tkpWD.JOSE başlığını kompakt serileştirme ile oluşturun (burada kullandığımız parametrelerin aynı sırasını izleyin) ve ardından base64url kodlayın:
{"alg":"dir","cisco-action":"add","cisco-kdf":{"salt":"5eZTCAP4M_Y","version":"1"},"enc":"A128GCM"}base64url kodlu JOSE başlığı
eyJhbGciOiJkaXIiLCJjaXNjby1hY3Rpb24iOiJhZGQiLCJjaXNjby1rZGYiOnsic2FsdCI6IjVlWlRDQVA0TV9ZIiwidmVyc2lvbiI6IjEifSwiZW5jIjoiQTEyOEdDTSJ9Bu, JWE bloğunun ilk öğesi olacaktır.
JWE kripto anahtarı sağlamadığımız için JWE bloğunun ikinci öğesi boş.
JWE bloğunun üçüncü öğesi, başlatma vektörüdür.
NLNd3V9Te68tkpWD.- Şifrelenmiş bir yük ve etiket oluşturmak için JWE şifreleme aracınızı kullanın. Bu örnekte, şifrelenmemiş yük, sahte PEM blobu olacaktır.
this is a PEM fileKullanmanız gereken şifreleme parametreleri şunlardır:
Yük (şimdiki değeri)
this is a PEM fileŞifreleme şifresi AES 128 GCM'dir
Base64url, JOSE başlığını Ek Doğrulanmış Veri (AAD) olarak kodladı
Base64url, şifrelenmiş yükü kodlar, bu da sonuçlanması gereken
f5lLVuWNfKfmzYCo1YJfODhQBu, JWE bloğundaki dördüncü öğedir (JWE Şifreli Metin).
Base64url, 8. adımda oluşturduğunuz etiketi kodlar;
PE-wDFWGXFFBeo928cfZ1QBu, JWE bloğundaki beşinci öğedir.
JWE bloğunun beş öğesini noktalarla (JOSEheader..IV.Ciphertext.Tag) birleştirin ve şunu elde edin:
eyJhbGciOiJkaXIiLCJjaXNjby1hY3Rpb24iOiJhZGQiLCJjaXNjby1rZGYiOnsic2FsdCI6IjVlWlRDQVA0TV9ZIiwidmVyc2lvbiI6IjEifSwiZW5jIjoiQTEyOEdDTSJ..9NLNd3V9Te68tkpWD.f5lLVuWNfKfmzYCo1YJfODhQ.PE-wDFWGXFFBeo928cfZ1QBurada gösterdiğimiz gibi aynı base64url kodlu değerleri kendi araçlarınızı kullanarak türetdiyseniz, E2E şifrelemesini ve cihazlarınızın doğrulanmış kimliğini güvenceye almak için bunları kullanmaya hazırsınız.
Bu örnek aslında işe yaramayacak, ancak prensipte bir sonraki adımınız, sertifikayı ekleyen cihazdaki x komutuna giriş olarak yukarıda oluşturduğunuz JWE bloğunu kullanmak olacaktır:
xCommand Security Certificates AddeyJhbGciOiJkaXIiLCJjaXNjby1hY3Rpb24iOiJhZGQiLCJjaXNjby1rZGYiOnsic2FsdCI6IjVlWlRDQVA0TV9ZIiwidmVyc2lvbiI6IjEifSwiZW5jIjoiQTEyOEdDTSJ..9NLNd3V9Te68tkpWD.f5lLVuWNfKfmzYCo1YJfODhQ.PE-wDFWGXFFBeo928cfZ1Q
Sıfır güvenlikli toplantılar için oturum türleri, ek bir ücret ödemeden tüm toplantı sitelerinde kullanılabilir. Bu oturum türlerinden birinin adı Pro-End to End Encryption_VOIPonly. Bu, gelecekte değiştirebileceğimiz Kamu Hizmeti Adıdır. Oturum türlerinin mevcut adları için bkz. Oturum Türü Kimlikleri içinde referans bu makalenin bölümü.
Siteniz için bu özelliği elde etmek için yapmanız gereken hiçbir şey yoktur; kullanıcılara yeni oturum türünü (Toplantı Ayrıcalığı olarak da adlandırılır) vermeniz gerekir. Bunu, kullanıcının yapılandırma sayfası aracılığıyla tek tek veya bir CSV dışa aktarma/içe aktarma ile toplu olarak yapabilirsiniz.
| 1 | Control Hub'da oturum açın ve ardından seçeneğine gidin. | ||
| 2 | tıklayın siteler , ayarlarını değiştirmek istediğiniz Webex sitesi seçin ve ardından Ayarlar . | ||
| 3 | Ortak Ayarlar’ın altında Oturum Türleri’ni seçin. | ||
| 4 | Bir veya daha fazla uçtan uca şifreleme oturumu türü görmelisiniz. listesine bakın Oturum Türü Kimlikleri içinde referans bu makalenin bölümü. Örneğin, görebilirsiniz Pro-Uçtan Uca Encryption_ Yalnızca VOIP .
| ||
| 5 | Henüz yeni Oturum türü yoksa Webex temsilcinizle iletişime geçin. |
Sonraki işlemler
Bu Oturum türü / toplantı ayrıcalığını kullanıcılarınızın bir kısmı veya tamamı için etkinleştirin.
| 1 | Şurada oturum açın: Kontrol Merkezi , ve git . |
| 2 | Güncellemek için bir kullanıcı hesabı seçin, ardından Toplantılar . |
| 3 | Ayarlar açılır menüsünden güncellenecek toplantı sitesini seçin. |
| 4 | yanındaki kutucuğu işaretleyin Pro-Uçtan Uca Encryption_ Yalnızca VOIP . |
| 5 | kullanıcı yapılandırması panelini kapatın. |
| 6 | Gerekirse diğer kullanıcılar için tekrarlayın. Bunu birçok kullanıcıya atamak için sonraki seçeneği kullanın, Birden çok kullanıcı için E2EE toplantılarını etkinleştirin . |
| 1 | Control Hub'da oturum açın ve ardından seçeneğine gidin. | ||
| 2 | Siteler öğesine tıklayın, ayarlarını değiştirmek istediğiniz Webex sitesini seçin. | ||
| 3 | Lisanslar ve Kullanıcılar bölümünde, Toplu Yönet’e tıklayın. | ||
| 4 | Rapor Oluştur öğesine tıklayın ve dosyayı hazırlarken bekleyin. | ||
| 5 | Dosya hazır olduğunda, tıklayın. Sonuçları Dışa Aktar ve sonra İndir . (Bu açılır pencereyi tıkladıktan sonra manuel olarak kapatmanız gerekir. İndir .) | ||
| 6 | İndirilen CSV dosyası düzenlemek için açın. Her kullanıcı için bir satır vardır ve | ||
| 7 | Yeni Oturum türü vermek istediğiniz her kullanıcı için ekleyin. bu Webex CSV Dosya Biçimi Referansı CSV dosyası amacı ve içeriğiyle ilgili ayrıntıları içerir. | ||
| 8 | Control Hub'da Toplantı sitesi yapılandırma panelini açın.
| ||
| 9 | Lisanslar ve Kullanıcılar bölümünde, Toplu Yönet’e tıklayın. | ||
| 10 | tıklayın içe aktar ve düzenlenen CSV seçin, ardından içe aktar . Dosya yüklenirken bekleyin. | ||
| 11 | İçe aktarma bittiğinde, tıklayabilirsiniz. Sonuçları İçe Aktar Herhangi bir hata olup olmadığını incelemek için. | ||
| 12 | şuraya git Kullanıcılar sayfasını açın ve yeni Oturum türü sahip olduklarını doğrulamak için kullanıcılardan birini açın. |
Şunu kullanarak toplantı kayıtlarına filigran ekleyebilirsiniz: Webex Meetings Pro-End to End Encryption_VOIPonly gizli toplantıların yetkisiz kayıtlarının kaynak istemcisini veya cihazını tanımlamanızı sağlayan oturum türü.
Bu özellik etkinleştirildiğinde, toplantı sesi her katılımcı istemci veya cihaz için benzersiz bir tanımlayıcı içerir. Ses kayıtlarını Control Hub'a yükleyebilirsiniz. Bu kayıt analiz edilir ve benzersiz tanımlayıcıları arar. Toplantıyı hangi kaynak istemcisinin veya cihazın kaydettiğini görmek için sonuçlara bakabilirsiniz.
- Analiz edilebilmesi için, kaydın 500MB'den büyük olmayan bir AAC, MP3, M4A, WAV, MP4, AVI veya MOV dosyası olması gerekir.
- Kayıt 100 saniyeden uzun olmalıdır.
- Yalnızca kuruluşunuzdaki kişiler tarafından düzenlenen toplantıların kayıtlarını analiz edebilirsiniz.
- Filigran bilgileri, kuruluşun toplantı bilgileriyle aynı süre boyunca saklanır.
E2EE toplantılarına sesli filigran ekleyin
- Control Hub'da oturum açın, ardından Yönetim bölümünün altında Organizasyon Ayarları seçeneğini seçin.
- içinde Toplantı filigranları bölüm, aç Ses filigranı ekle .
Bu etkinleştirildikten bir süre sonra, toplantı planlayan kullanıcılar
Webex Meetings Pro-End to End Encryption_VOIPonlyoturum türü, Güvenlik bölümünde Dijital Filigran seçeneğini görür.
Filigranlı bir toplantıyı yükleyin ve analiz edin
- Control Hub'da, altında izleme , seç sorun giderme .
- tıklayın Filigran Analizi .
- Listede bir toplantı arayın veya seçin ve ardından Analyze düğmesine tıklayın.
- içinde Ses filigranını analiz edin penceresinde, analiziniz için bir ad girin.
- (İsteğe bağlı) Analiziniz için bir not girin.
- Analiz edilecek ses dosyasını sürükleyip bırakın veya Dosya seç Ses dosyasına göz atmak için
- ' I tıklatın Kapat.
Analiz tamamlandığında, sonuç listesinde gösterilecektir. Filigranı analiz et sayfa.
- Analiz sonuçlarını görmek için listeden toplantıyı seçin. tıklayın
Sonuçları indirmek için
Özellikler ve Kısıtlamalar
Kaydedilen bir filigranın başarıyla çözülmesinde yer alan faktörler arasında kayıt cihazı ve sesi çıkaran hoparlör, bu sesin hacmi, çevresel gürültü vb. Arasındaki mesafeyi içerir. Filigran teknolojimiz, medya paylaşıldığında olabileceği gibi, birden fazla kez kodlanmaya ek bir esnekliğe sahiptir.
Bu özellik, filigran tanımlayıcısının geniş ancak makul koşullarda başarılı bir şekilde kodlanmasını sağlayacak şekilde tasarlanmıştır. Amacımız, cep telefonu gibi, kişisel bir uç nokta veya dizüstü bilgisayar istemcisinin yakınında bir masada duran bir kayıt cihazının her zaman başarılı bir analizle sonuçlanan bir kayıt oluşturmasıdır. Kayıt cihazı kaynaktan uzaklaştırıldığından veya tam ses spektrumunu duyması engellendiğinden, başarılı bir analiz şansı azalır.
Bir kaydı başarılı bir şekilde analiz etmek için toplantı sesinin makul bir şekilde yakalanması gereklidir. Bir toplantının sesi istemciyi barındıran aynı bilgisayara kaydedilirse sınırlamalar uygulanmamalıdır.
Cihazlarınız zaten Control Hub kuruluşunuzda yerleşikse ve tanımlayıcı sertifikalarını otomatik olarak oluşturmak için Webex CA'yı kullanmak istiyorsanız cihazları fabrika ayarlarına fabrika sıfırlaması gerekmez.
Bu prosedür, cihazın kendisini tanımlamak için hangi etki alanını kullanacağını seçer ve yalnızca Control Hub kuruluşunuzda birden çok etki alanınız varsa gereklidir. Birden fazla alan adınız varsa, bunu "Cisco onaylı" kimliğe sahip olacak tüm cihazlarınız için yapmanızı öneririz. Webex cihazı hangi etki alanının tanımladığını söylemezseniz, biri otomatik olarak seçilir ve diğer toplantı katılımcılarına yanlış görünebilir.
Başlamadan önce
Cihazlarınız henüz yerleşik değilse, şunları izleyin: API veya Yerel Web Arayüzü Kullanarak Bir Cihazı Cisco Webex Kaydetme veya Yönetim Kurulu, Masa ve Oda Serileri için Buluta Yerleştirme . Ayrıca, içindeki cihazları tanımlamak için kullanmak istediğiniz etki alanlarını da doğrulamanız gerekir. Alanlarınızı yönetin .
| 1 | Control Hub'da oturum açın , ve altında Yönetim , seç cihazlar . |
| 2 | Yapılandırma panelini açmak için bir cihaz seçin. |
| 3 | Bu cihazı tanımlamak için kullanmak istediğiniz alanı seçin. |
| 4 | Diğer cihazlar için tekrarlayın. |
Başlamadan önce
Şunlara ihtiyacınız var:
CA imzalı bir sertifika ve özel anahtar almak için
.pembiçim, her cihaz için.Konuyu okumak için Cihazlar için Dış Kimlik Sürecini Anlama , içinde hazırla bu makalenin bir parçası.
Oradaki bilgilere göre bir JWE şifreleme aracı hazırlamak.
Belirli uzunluklarda rastgele bayt dizileri oluşturmak için bir araç.
base64url bayt veya metin kodlamak için bir araç.
bir
scryptuygulama.Her cihaz için gizli bir kelime veya kelime öbeği.
| 1 | Cihazın İlk kez doldurduğunuzda Cihazın ilk sırrı vardır. Bunu unutma; kurtaramazsınız ve yeniden başlatmak için cihazı fabrika ayarlarına sıfırlamanız gerekir.
|
| 2 | Sertifikanızı ve özel anahtarınızı birleştirin: |
| 3 | Sertifika ekleme komutuna giriş olarak kullanmak için bir JWE blobu oluşturun: |
| 4 | Cihazda TShell'i açın ve (çok satırlı) add komutunu çalıştırın: |
| 5 | Çalıştırarak sertifikanın eklendiğini doğrulayın Yeni sertifikanın parmak izini kopyalayın. |
| 6 | Amaç için sertifikayı etkinleştirin Cihazın, uçtan uca şifrelenmiş Webex toplantılarında tanımlanması için kullanılmaya hazır, şifrelenmiş, etkin, CA tarafından verilmiş bir sertifikası vardır.
|
| 7 | Cihazı Control Hub kuruluşunuza ekleyin. |
| 1 | Doğru türde bir toplantı planlayın ( Webex Meetings Profesyonel Uçtan Uca Encryption_ Yalnızca VOIP ). |
| 2 | Toplantıya bir Webex Meetings istemcisinden toplantı sahibi olarak katılın. |
| 3 | Kimliği Webex CA tarafından doğrulanmış bir cihazdan toplantıya katılın. |
| 4 | Ev sahibi olarak, bu cihazın lobide doğru kimlik simgesiyle göründüğünü doğrulayın. |
| 5 | Kimliği harici bir CA tarafından doğrulanmış bir cihazdan toplantıya katılın. |
| 6 | Ev sahibi olarak, bu cihazın lobide doğru kimlik simgesiyle göründüğünü doğrulayın. Kimlik simgeleri hakkında daha fazla bilgi edinin . |
| 7 | Toplantıya kimliği doğrulanmamış toplantı katılımcısı olarak katılın. |
| 8 | Toplantı sahibi olarak, bu katılımcının lobide doğru kimlik simgesiyle göründüğünü doğrulayın. |
| 9 | Ev sahibi olarak kişileri/cihazları kabul edin veya reddedin. |
| 10 | Sertifikaları kontrol ederek mümkünse katılımcı/cihaz kimliklerini doğrulayın. |
| 11 | Toplantıdaki herkesin aynı toplantı güvenlik kodunu görüp görmediğini kontrol edin. |
| 12 | Toplantıya yeni bir katılımcıyla katılın. |
| 13 | Herkesin aynı, yeni toplantı güvenlik kodunu görüp görmediğini kontrol edin. |
Uçtan uca şifreli toplantıları varsayılan toplantı seçeneği yapacak mısınız, yoksa yalnızca bazı kullanıcılar için mi etkinleştireceksiniz yoksa tüm toplantı sahiplerinin karar vermesine izin mi vereceksiniz? Bu özelliği nasıl kullanacağınıza karar verdiğinizde, onu kullanacak kullanıcıları özellikle sınırlamalar ve toplantıda neler bekleyecekleri konusunda hazırlayın.
Ne Cisco ne de başka birinin içeriğinizin şifresini çözemeyeceğinden veya cihazlarınızın kimliğine bürünemeyeceğinden emin olmanız gerekiyor mu? Öyleyse, genel bir CA'dan sertifikalara ihtiyacınız vardır. Güvenli bir toplantıda en fazla 25 cihazınız olabilir. Bu güvenlik düzeyine ihtiyacınız varsa, toplantı istemcilerinin katılmasına izin vermemelisiniz.
Güvenli cihazlarla katılan kullanıcılar için, önce cihazların katılmasına izin verin ve geç katılırlarsa katılamayacakları konusunda kullanıcı beklentilerini belirleyin.
Farklı düzeylerde kimlik doğrulamanız varsa, kullanıcıların sertifika destekli kimlik ve toplantı güvenlik koduyla birbirlerini doğrulamalarını sağlayın. Katılımcıların Doğrulanmamış olarak görünebileceği durumlar olsa da ve katılımcıların nasıl kontrol edileceğini bilmeleri gerekse bile, doğrulanmamış kişiler sahtekar olmayabilir.
Cihaz sertifikalarınızı vermek için harici bir CA kullanıyorsanız, sertifikaları izleme, yenileme ve yeniden uygulama sorumluluğu size aittir.
İlk sırrı siz oluşturduysanız, kullanıcılarınızın cihazlarının sırrını değiştirmek isteyebileceğini anlayın. Bunu yapmalarını sağlamak için bir arayüz oluşturmanız/bir araç dağıtmanız gerekebilir.
Oturum Türü Kimlik | Kamu Hizmeti Adı |
|---|---|
638 | Yalnızca E2E Şifreleme+ VoIP |
652 | Pro-Uçtan Uca Encryption_ Yalnızca VOIP |
660 | Pro 3 Serbest Uçtan Uca Encryption_ Yalnızca VOIP E2E Şifreleme + Kimlik |
672 | Pro 3 Free50-Uçtan Uca Encryption_ Yalnızca VOIP |
673 | Eğitim Eğitmeni E2E Encryption_ Yalnızca VOIP |
676 | Broadworks Standard artı uçtan uca şifreleme |
677 | Broadworks Premium artı uçtan uca şifreleme |
681 | Schoology Ücretsiz artı uçtan uca şifreleme |
Bu tablolar, uçtan uca şifrelenmiş toplantılar ve doğrulanmış kimlik için eklediğimiz Webex cihazları API komutlarını açıklar. API nasıl kullanılacağı hakkında daha fazla bilgi için bkz. Webex Room ve Masa Cihazları ve Webex Board'ları için API erişin .
Bu xAPI komutları yalnızca şu cihazlardan birinde kullanılabilir:
Webex kayıtlı
Cihazlar için Webex Cihazlar İçin Webex Edge ile şirket içinde kayıtlı ve Webex'e bağlı
API çağrısı | Açıklama |
|---|---|
| Bu yapılandırma, yönetici cihazın tercih edilen etki alanını Control Hub'dan ayarladığında yapılır. Yalnızca kuruluşun birden fazla alanı varsa gereklidir. Cihaz, Webex CA'dan bir sertifika istediğinde bu etki alanını kullanır. Etki alanı daha sonra cihazı tanımlar. Bu yapılandırma, cihazın kendisini tanımlamak için harici olarak verilmiş etkin bir sertifikası olduğunda geçerli değildir. |
| Cihazın uçtan uca şifreli bir toplantıya katılıp katılamayacağını gösterir. Bulut API , eşleştirilmiş bir uygulamanın katılmak için cihazı kullanıp kullanamayacağını bilmesi için onu çağırır. |
| Cihazın kullanıp kullanmadığını gösterir |
| Harici olarak verilen sertifikanın Ortak Adından okunan cihazın kimliği. |
| Harici olarak verilen bir sertifikadan belirli bilgileri okur. Gösterilen komutta, değiştirin
|
| Cihazın harici kimliğinin durumu (örn. |
| Cihazın Webex CA tarafından verilen geçerli bir sertifikaya sahip olup olmadığını gösterir. |
| Webex tarafından verilen sertifikanın Ortak Adından okunan cihazın kimliği. Kuruluşun bir etki alanı varsa, bir etki alanı adı içerir. Kuruluşun bir etki alanı yoksa boştur. Cihaz, birden çok etki alanına sahip bir kuruluştaysa, bu, |
| Webex tarafından verilen sertifikadan belirli bilgileri okur. Gösterilen komutta, değiştirin
|
API çağrısı | Açıklama |
|---|---|
| Bu üç olay artık |
API çağrısı | Açıklama |
|---|---|
veya
| İstemci sırrını ilk kez cihaza yerleştirmek için base64url kodlu düz metin değerini kabul eder. Bu ilk seferden sonra sırrı güncellemek için, eski sır tarafından şifrelenen yeni sırrı içeren bir JWE bloğu sağlamalısınız. |
| Bir sertifika ekler (özel anahtarla). Bu komutu, şifrelenmiş PEM verilerini içeren bir JWE bloğunu kabul edecek şekilde genişlettik. |
| WebexIdentity için belirli bir sertifikayı etkinleştirir. Bunun için |
| WebexIdentity için belirli bir sertifikayı devre dışı bırakır. Bunun için |
