Kullanıcılar yeni toplantı türü toplantı planlatırken seçen. Lobiden katılımcıları kabul etme ve toplantı sırasında toplantı sahibi, her katılımcının kimlik doğrulama durumunu görebilir. Toplantının mevcut tüm katılımcıları için ortak olan ve birbirini doğrulamak için kullanabileceği bir toplantı kodu da vardır.

Aşağıdaki bilgileri toplantı sahipleriyle paylaşın:

Kimlik doğru kimliğinizi doğrulama

uçtan uca doğrulama, toplantıyı toplantıyı takip etmek için ek güvenlik sağlar.

Katılımcılar veya cihazlar paylaşılan bir (Mesajlaşma Katmanı Güvenliği) grubuna katılamazsa sertifikalarını, sertifikalarını veren Sertifika Yetkilisi/ies'e (CA) göre sertifikaları doğrulayan diğer grup üyelerine sunarlar. Sertifika yetkilisi, sertifikaların geçerli olduğunu onaylar ve katılımcıların kimliğini doğrular ve toplantı katılımcılara/cihazlara doğrulanmış olarak gösterir.

3. Webex Toplantıları uygulaması kimliklerini, başarılı Webex onlara bir erişim belirteci sorun sorun kimlik mağazası karşı ile kimliklerini doğrular. Kimliklerini doğrulamak için bir sertifikaya ihtiyaçları varsa (toplantıyı bitiren) Webex CA, onlara erişim belirteçlerine göre bir sertifika sorunlar. Henüz kullanıcılarının bir üçüncü taraf /harici Webex Meetings sertifikasını almak için bir yol sağlanmadı.

Cihazlar, dahili (sertifika yetkilisi) CA'sı veya harici CA Webex tarafından verilen bir sertifikayı kullanarak kimliklerini kendi kendilerine doğrular:

  • Dahili Sertifika Yetkilisi sorunu Webex, cihazın makine hesabının erişim belirtecine göre dahili bir sertifika sorunlarıyla ilgili olabilir. Sertifika, sertifika yetkilisi Webex imzalanmıştır. Cihazlarda kullanıcıların kullanıcı kimlikleri kullanıcıların kimliğiyle aynı değildir; bu nedenle Webex sertifikanın kimliğini (Ortak Ad (CN) yazarken kurumnizin etki alanını (adlarından biri) kullanır.

  • Harici CA sorunu için doğrudan seçtiğiniz sertifika yetkilisine bağlı cihaz sertifikalarını talep ediyor ve satın alaabilirsiniz. Yalnızca size bilinen bir gizli anahtar kullanarak sertifikaları şifrelemeli, doğrudan yüklemeli ve yetkilendirmelisiniz.

    Cisco ilgili değildir. Bu, gerçek toplantıyı garanti etme ve doğrulanmış kimliği garanti etme ve Cisco'nun toplantınızı gizlice dinleme / medyanın şifresini çözme olasılığını önleme olanağını sağlar.

Dahili olarak verilen cihaz sertifikası

Webex başladıktan sonra kaydolan cihaza bir sertifika verir ve gerektiğinde yeniler. Cihazlar için sertifika hesap kimliğini ve etki alanını içerir.

Kurumda bir etki alanı yoksa sertifika yetkilisi Webex sertifikayı etki alanı olmadan sorunlar.

Organizasyonlarında birden fazla etki alanı varsa Control Hub'ı kullanarak cihazın Webex hangi etki alanını kullanabileceğini kontrol edebilirsiniz. API'yi de kullanabilirsiniz xConfiguration Conference EndToEndEncryption Identity PreferredDomain: "example.com".

Birden fazla etki alanınız varsa ve cihaz için tercih edilen etki alanını ayarlasanız Webex sizin için bir etki alanı seçer.

Harici olarak verilen cihaz sertifikası

Yönetici, genel CA'lardan biri ile imzalanmış kendi sertifikası olan bir cihaz sağlanmıştır.

Sertifika, bir ECDSA P-256 anahtar çiftini temel alarak imzalansa da bir RSA anahtarı tarafından imzalanmış olabilir.

Sertifika daki değerler, kuruluşun kararına bağlıdır. Ortak Ad (CN) ve konu diğer adı (SAN), hızlı erişim Webex için Kimlik Doğrulama ile Toplantıyı Bitiş Şifrelemede açıklandığı gibi Webex Meetings.

Cihaz başına ayrı bir sertifika kullanılması ve cihaz başına benzersiz bir CN'nin olması önerilir. Bu, örneğin "meeting-room-1.example.com" etki alanına sahip kuruluş için "yeni example.com" olabilir.

Harici sertifikayı izinsiz girişe karşı tam olarak korumak için çeşitli xcommands'leri şifrelemek ve imzalamak için istemci gizli özelliği kullanılır.

İstemci gizli bilgisini kullanırken, xAPI aracılığıyla harici webex kimlik sertifikasını güvenli bir şekilde yönetmek mümkündür. Bu, şu anda çevrimiçi cihazlarla sınırlıdır.

Şu anda Webex yönetmeye uygun api komutları sağlar.

Cihazlar

Buluta kayıtlı Webex Room ve Webex Desk serisi cihazları, şunları da içeren 2013-2018-2018-2018-2018 -14:00

  • Webex Board

  • Webex Desk Pro

  • Webex Masa

  • Webex Room Kit

  • Webex Room Kit Mini

Aşağıdaki cihazlar, şifreli toplantıları sona erdiren cihazlara kat değildir:

  • Webex C Serisi

  • Webex DX Serisi

  • Webex EX Serisi

  • Webex MX Serisi

  • Üçüncü taraf SIP cihazları

Yazılım istemcileri

  • 41.6'dan itibaren, Webex Meetings masaüstü istemcisi, 2013-2012 arasında şifreli toplantılara katılabilir.

  • Eğer kuruluş Webex Meetings masaüstü uygulamasını başlatarak toplantılara katılmasını sağlarsa bu seçeneği kullanarak sona kadar şifreli toplantılara katılabilirsiniz.

  • Webex web istemcisi, 2013-2013 şifreli toplantılarına kat değildir.

  • Üçüncü taraf SIP yazılım istemcileri, sona eren şifreli toplantılara kat değildir.

Kimlik

  • Harici olarak doğrulanmış cihaz kimliğini yönetmeniz için herhangi bir Control Hub seçeneği sağlanmadı. Bu karar tasarıma göredir; gerçek 20-24 şifreleme için sadece anahtarlara ve anahtarlara erişmeyi biliyor/erişmelisiniz. Bu anahtarları yönetmek için bir bulut hizmeti sunarsanız engel olma ihtimali vardır.

  • Şu anda cihaz kimlik sertifikalarınızı ve özel anahtarlarını talep etme veya şifreleme konusunda size yardım etmek için herhangi bir araç sağlamamız gerekmektedir. Şu anda, bu süreçlere yardımcı olmak için sektör standardı şifreleme tekniklerini temel alan kendi araçlarınızı tasarlamanız için bir 'tarif' sağlaruz. Sizin veya anahtarlarınızı gerçekten bir şekilde erişmek istemiyoruz.

Meetings

  • uçtan uca şifreli toplantılar şu anda en fazla 200 katılımcıyı destekliyor.

  • Bu 200 katılımcıdan maksimum 25 dışarıdan doğrulanmış cihaz katılabilir ve toplantıya katılan ilk katılımcılar olmasıgerekir.

    Bir toplantıya daha fazla cihaz kat olduğunda, arka uç ortam hizmetlerimiz ortam akışlarını kodlamaya çalışır. Ortamın şifresini çözemezsek, başka kodla işlem başarısız olur ."

    Bu sınırlamayı azaltmak için cihazlar için daha küçük toplantılar veya cihazlar ve Meetings istemcileri arasındaki davetleri kademeli olarak öneririz.

Yönetim arayüzü

Toplantı sitenizi yönetmek için Control Hub'ı kesinlikle öneririz.

Bunun temel nedeni, Control Hub ile kimliği yönetme yolu site yönetimi arasındaki farktır. Control Hub kuruluşları, kuruluşun tamamı için merkezi kimliğe sahip olurken, site yönetimi site bazında kontrol edilir.

Bu, web sitelerinden yönetilen kullanıcılar için Cisco tarafından doğrulanmış kimlik seçeneğine sahip site yönetimi. Bu kullanıcılara, toplantıyı takip etmek için isimsiz bir sertifika verilecek ve bu kullanıcılar, toplantı sahibi kimlik sağlamak istediği toplantılardan hariç tutulabilirsiniz.

İlgili bilgiler

Türeterek örnek JWE ile ilgili

Verilen parametrelere (ek) göre doğru şekilde şifrelenmiş JWE örneği

  • Webex Meetings 41.7'den sonra.

  • Çalışan buluta Webex Room ve Webex Desk serisi cihazları 10.6.1-RoomOS_August_2021.

  • Kullanıcılar için yeni toplantıyı etkinleştirmek için Control Hub'oturum türü yönetim erişimi.

  • Control Hub organizasyonlarında bir veya daha fazla doğrulanmış etki alanı (doğrulanmış kimlik için cihaz sertifikalarını Webex CA'sını kullanıyorsanız).

  • İş Birliği Toplantı Odaları, kişilerin video sisteminden katıyanaları için açık olmalı. Daha fazla bilgi için bkz. Video Sistemlerinin Siteniz üzerinde Webex Meetings ve Etkinliklere Katılmasına İzin Verme Webex.

Harici olarak doğrulanmış kimliğe ihtiyacınız yoksa bu adımı atlayabilirsiniz.

En yüksek güvenlik seviyesi ve kimlik doğrulaması için her cihazın, güvenilir bir ortak Sertifika Yetkilisi tarafından verilen benzersiz bir sertifikası olmalıdır.

Dijital sertifikaları talep etmek, satın almak ve almak ve ilişkili özel anahtarları oluşturmak için Sertifika Yetkilisi ile etkileşim kurmanız gerekir. Sertifika talep etmekteyken şu parametreleri kullanabilirsiniz:

  • Sertifikanın verilen ve iyi bilinen bir ortak sertifika yetkilisi tarafından imzalanmış olması gerekir.

  • Benzer -siz: Her cihaz için benzersiz bir sertifikanın kullanılması şiddetle tavsiye edilir. Tüm cihazlar için bir sertifika kullanırsanız, güvenliğinizi onaylarsanız.

  • Genel Ad (CN) ve Konu Alternatif Adı/Adı (SAN/s): Bunlar, yeni Webex önemli değildir, ancak her zaman cihazın okunarak ilişkilendirmesi gereken değerlerdir. CN, diğer toplantı katılımcılarına cihazın birincil doğrulanmış kimliği olarak gösterir ve kullanıcılar sertifikayı toplantı kullanıcı arayüzü üzerinden incelerse SAN/s'yi görebilirler. Aşağıdakiler gibi adlar kullanabilirsiniz: name.model@example.com Fakat bu sizin seçiminizdir.

  • Dosya biçimi: Sertifikalar ve anahtarlar .pem biçiminde olmalıdır.

  • Amaç: Sertifikanın amacı, Kimlik Webex olmalı.

  • Anahtar oluşturma: Sertifikalar, ECDSA P-256 anahtar çiftlerini (P-256 eğrisini kullanan Eliptik Eğri Dijital İmza Algoritması) temel alsa gerektirmektedir.

    Bu gereksinim, imzalama anahtarına uzatılamaz. Ca, sertifikayı imzalamak için RSA anahtarı kullanabilir.

Cihazlarınız ile harici olarak doğrulanmış kimliği kullanmak istemiyorsanız bu adımı atlayabilirsiniz.

Yeni cihazlar kullanıyorsanız devam etmek için kaydolmayın Webex. Henüz bunları ağa bile bağlamamanız güvenlidir.

Harici olarak doğrulanmış kimliği kullanmak için yükseltmek istediğiniz mevcut cihazlarınız varsa cihazları fabrika ayarlarına sıfırlamanız gerekir.

  • Mevcut yapılandırmayı kaydetmek istemiyorsanız kaydedin.

  • Cihazlar kullanılmamışsa bir pencere plan edin veya aşamalı bir yaklaşım kullanın. Kullanıcılara bekley değişikliği bildir.

  • Cihazlara fiziksel erişimden emin olun. Ağ üzerinden cihazlara erişmeniz gerekirse, bu durumun düz metinle seyahat halinde olduğunu ve güvenliğinizi kontrol altında olduğunu fark edin.

Bu adımları tamamlandıktan sonra, video sistemlerinin siteniz üzerinde Meetings ve Events'e katılmasına Webexedin.

Cihaz medyanizin cihaz dışında hiç kimse tarafından şifrelenmey olduğundan emin olmak için cihazda özel anahtarı şifrelemeniz gerekir. JSON Web Şifreleme (JWE) kullanılarak şifrelenmiş anahtarın ve sertifikanın yönetimini etkinleştirmek için cihaz için API'ler tasarlandık.

Bulut aracılığıyla gerçek bitişi şifrelemeyi sağlamak için sertifikayı ve anahtarı şifreleme ve yüklemeyle ilgili olamaziz. Bu düzey bir güvenlik seviyesine ihtiyacınız varsa bunu sizindir.

  • Sertifikalarınızı talepin.

  • Sertifikaların anahtar çiftleri oluştur.

  • Her cihaz için bir başlangıç gizli anahtarı oluşturun (ve koruyun) cihazın şifreleme becerisine sahip olmak için.

  • JWE standardını kullanarak dosyaları şifrelemek için kendi aracınızı geliştirin ve sürdürün.

    Aşağıda ihtiyacınız olacak süreci ve (gizli olmayan) parametreleri ve seçim geliştirme araçlarınızı takip etmek için bir tarif açıklarız. Ayrıca sürecinizi doğrulamanıza yardımcı olmak için beklenilen bazı test verilerini ve elde edilen JWE olaylarını da sağlarız.

    talep üzerine Cisco'dan Ekleyebilirsiniz3 ve JWCrypto kütüphanesini kullanan desteklenmeyen bir referans uygulaması mevcuttur.

  • Aracınızı ve cihazın ilk gizli anahtarını kullanarak sertifikayı ve anahtarı kısan ve şifrele.

  • Elde edilen JWE ile ilgili dosyayı cihaza yükleyin.

  • Kurumsal kimlik için kullanılacak şifreli sertifikanın Webex ve sertifikayı etkinleştirin.

  • (Önerilir) Cihaz kullanıcılarının başlangıç gizli sini değiştirmesini (medyalarını sizin medyalarınızı korumak için!) değiştirmesini sağlamak için aracınıza bir arayüz etkinleştirin (veya dağıtın).).

JWE biçimini nasıl kullanırız?

Bu bölümde, sertifikalarınız ve anahtarlarınızı oluşturmak için kendi aracınızı oluşturarak JWE'nin cihazlara giriş olarak oluşturulmasını nasıl beklediğiniz açıkmektedir.

JSON Web Şifreleme (JWE) vehttps://datatracker.ietf.org/doc/html/rfc7516JSON Web İmzası (JWS) için başvurularhttps://datatracker.ietf.org/doc/html/rfc7515gerekir.

Bir JSON belgesinin Kompakt Seri Hale getirilerini, JWE tercihleri oluşturmak üzere kullanmayı seçtik. JWE ile ilgili parametreleri oluştururken dahil etmek için ihtiyacınız olacak parametreler şunlardır:

  • JOSE Üstbilgisi (korumalı). JSON Nesne İmzalama ve Şifreleme üst bilgisinde, aşağıdaki anahtar değeri çiftlerini dahil edersiniz:

    • "alg":"dir"

      Doğrudan algoritma, yükü şifrelemeyi destekleyen tek kişidir ve cihazın ilk istemci gizli algoritmasını kullanabilirsiniz.

    • "enc":"A128GCM" veya "enc":"A256GCM"

      Bu iki şifreleme algoritmasını destekliyoruz.

    • "cisco-action": "add" veya "cisco-action": "populate" veya "cisco-action": "activate" veya "cisco-action": "deactivate"

      Bu, özel bir anahtar ve dört değeri bu değerdir. Bu anahtarı, hedef cihaza şifreli verilerin amacını sinyal etmek için kullandık. Değerler, şifrelenmiş verileri kullanmakta olduğunuz cihazda xAPI komutlarının ardından adlandırılmıştır.

      Adını biz verildi cisco-action gelecekteki JWE uzantılarına sahip potansiyel esnafları azaltmak için.

    • "cisco-kdf": { "version": "1", "salt": "base64URLEncodedRandom4+Bytes" }

      Başka bir özel anahtar. Cihazda anahtar türlevasyonu için girdi olarak sağlayan değerleri kullanıruz. Bu işaret version Olmalıdır 1(anahtar türetizasyon işlevimizin sürümü). Değeri salt en az 4 bayt olan base64 URL ile kodlanmış bir dizi olmalıdır. Bu diziyi rastgele seçmeniz gerekir.

  • JWE Şifreli Anahtarı. Bu alan boş. Cihaz, cihazın baş harfinden türer ClientSecret.

  • JWE BaşlatmaVektörü. Yük şifresini çözmek için base64url kodlanmış başlatma vektörü kaynağında olması gerekir. IV, rastgele 12 baytlı bir değer olmalıdır (AES-GCM şifre ailesi kullanıyoruz, IV'in 12 bayt uzunluğunda olması gerekir).

  • JWE AAD (ek kimlik doğrulaması verileri). Kompakt SeriLeştirmede desteklenmey olduğundan, bu alanı yoklamalısiniz.

  • JWE Şifremetni: Bu, gizli tutmak istediğiniz şifrelenmiş yüktir.

    Yük boş OLABILIR (Örneğin, istemci gizli şablonunu sıfırlamak için boş bir değerle üzerine yazmanız gerekir).

    Cihazda yapmaya çalıştığınıza bağlı olarak farklı yük türleri vardır. Farklı xAPI komutları farklı yükler beklemektedir ve bu komutlarla birlikte yüklemenin amacını cisco-action aşağıdaki gibi önemli:

    • Şununla: "cisco-action":"populate" şifre metni, yeni ClientSecret

    • ile "cisco-action":"add" şifremetin, sertifikayı ve özel anahtarını (kısa) taşıyan bir PEM taşımadır

    • ile "cisco-action":"activate" şifre metni, cihaz kimlik doğrulaması için etkinleştiren sertifikanın parmak izi (sha-1'in onaltılık temsili)dır

    • ile "cisco-action":"deactivate" şifre metni, cihazın kimlik doğrulaması için kullanılan sertifikanın parmak izi (sha-1'in onaltılık temsili)dır

  • JWE kimlik doğrulama etiketi: Bu alan, tüm JWE kompakt olarak seri hale getirilecek ile ilgili bütünlüğü tespit etmek için kimlik doğrulama etiketini içerir

Nasıl türe ilgili şifreleme anahtarı ve ClientSecret

Gizli gizlinin ilk nüfusu sonra, gizli gizli gizli metni kabul etmez veya çıktısını düz metin olarak kabul etmeziz. Bu, cihaza erişen herhangi bir kişi tarafından potansiyel sözlük saldırısının önlenmesidir.

Cihaz yazılımı, anahtar türetilen işlevine (kdf) giriş olarak istemci gizli anahtarını ve ardından cihazın içerik şifre çözme/şifreleme için türetilen anahtarı kullanır.

Bunun anlamı, JWE bilgisayarlarını üretmek için aracının, istemci gizli anahtarıyla aynı şifreleme/şifre çözme anahtarını türetilen prosedüre uyması gerektiğidir.

Cihazlar, aşağıdaki parametrelerle anahtar türetasyonu (bkz. https://en.wikipedia.org/wiki/Scrypt) için şifre kullanır:

  • CostSever (N) şu şekildedir: 32768

  • BlockSizeA (r) 8'tir

  • ParalelleştirmeDele (p) 1'tir

  • Salt, en az 4 baytlık rastgele bir dizidir; bunu aynı anda sağlamak için salt zaman belirtme cisco-kdf parametresini kullanabilirler.

  • Anahtar uzunlukları ya 16 bayttır (AES-GCM 128 algoritması seçin), veya 32 bayt (AES-GCM 256 algoritmasını seçersiniz)

  • Maksimum bellek cap değeri, 64 MB'tır

Bu parametre kümesi, cihazlardaki anahtar türetasyonu işleviyle uyumlu tek şifre yapılandırmasıdır. Cihazlardaki bu kdf, "version":"1", şu anda tarafından alınan tek sürümdür cisco-kdf parametresini kullanabilirler.

Çalışan örnek

JWE şifreleme işleminizin cihazlarda oluşturduğunuz işlemlerle aynı şekilde çalıştığını doğrulamak için aşağıdakini izleyin.

Örnek senaryo, cihaza PEM ile ekler (tam bir cert + anahtarı yerine çok kısa bir dizeyle sertifika eklemeyi taklittir). Örnekteki istemci gizlidir: ossifrage.

  1. Bir şifreleme şifresi seçin. Bu örnek, A128GCM(128 bit anahtarlı AES, Biryani Sayacı Modunda). Aracınız, otomatik olarak A256GCM tercih ederseniz.

  2. Bir salt (en az 4 baytlık rastgele bir dizi olmalıdır) seçin. Bu örnek kullanır (altılık bayt) E5 E6 53 08 03 F8 33 F6. Base64url, şu diziyi kodla: 5eZTCAP4M_Y(base64 doldurmayı kaldırın).

  3. İşte bir örnek scrypt içerik içeriğini oluşturmak için şifreleme anahtarı ( aynı):

    cek=scrypt(password="ossifrage", salt=4-byte-sequence, N=32768, r=8, p=1, keylength=16)

    Türetilen anahtar şu şekilde 16 bayt (hex) olmalıdır: 95 9e ba 6d d1 22 01 05 78 fe 6a 9d 22 78 ff ac base64url'un kodlanan dili: lZ66bdEiAQV4_mqdInj_rA.

  4. Başlatma vektörü olarak kullanmak için rastgele 12 baytlık bir dizi seçin. Bu örnek (hex) kullanır 34 b3 5d dd 5f 53 7b af 2d 92 95 83 base64url'un kodlanan dili: NLNd3V9Te68tkpWD.

  5. Kompakt serileştirme ile JOSE üstbilgisi oluşturun (burada kullanmakta olduğu parametrelerin aynı sıralarını takip edin) ve ardından base64url bunu kodlar:

    {"alg":"dir","cisco-action":"add","cisco-kdf":{"salt":"5eZTCAP4M_Y","version":"1"},"enc":"A128GCM"}

    Base64url ile kodlanmış JOSE üstbilgisi: eyJhbGciOiJkaXIiLCJjaXNjby1hY3Rpb24iOiJhZGQiLCJjaXNjby1rZGYiOnsic2FsdCI6IjVlWlRDQVA0TV9ZIiwidmVyc2lvbiI6IjEifSwiZW5jIjoiQTEyOEdDTSJ9

    Bu, JWE ile ilgili ilk öğe olacak.

  6. Bir JWE verisi kaynağımız olmadığınız için JWE neden olan ikinci öğe şifreleme anahtarı.

  7. JWE neden olduğu üçüncü öğe, başlatma vektörü NLNd3V9Te68tkpWD.

  8. Şifrelenmiş bir yük ve etiket üretecek JWE şifreleme aracını kullanın. Bu örnekte şifrelenmemiş yük, sahte PEM ile yük olacak this is a PEM file

    Kullanman gereken şifreleme parametreleri:

    • Yük: this is a PEM file

    • Şifreleme şifresi AES 128 GCM'dir

    • base64url ile kodlanmış JOSE üstbilgisi Ek Kimlik Doğrulaması Verileri (AAD) olarak

    Base64url, şifrelenen yük ile kodlar ve bu da, f5lLVuWNfKfmzYCo1YJfODhQ

    Bu, JWE ile ilgili dördüncü öğedir (JWE Şifre metni).

  9. Base64url, 8. adımda ürettiğimiz etiketi kodlar ve bu etiketin PE-wDFWGXFFBeo928cfZ1Q

    Bu, JWE ile ilgili beş öğedir.

  10. JWE neden olan beş unsuru noktalarla birleştirin (JOSEheader.. IV.Şifremetin.Etiketi) şunları almak için:

    eyJhbGciOiJkaXIiLCJjaXNjby1hY3Rpb24iOiJhZGQiLCJjaXNjby1rZGYiOnsic2FsdCI6IjVlWlRDQVA0TV9ZIiwidmVyc2lvbiI6IjEifSwiZW5jIjoiQTEyOEdDTSJ..9NLNd3V9Te68tkpWD.f5lLVuWNfKfmzYCo1YJfODhQ.PE-wDFWGXFFBeo928cfZ1Q

  11. Burada göstermemiz ile aynı base64url kodlanmış değerlerini türetilen kendi araçlarınızı kullanarak, cihazlarınızı E2E şifrelemeyi ve doğrulanmış kimliğini güvenceye almak için bunları kullanmaya hazırsınız.

  12. Bu örnek aslında çalışmanıza yardımcı olmayacaktır ama bir sonraki adım, sertifikayı ekleyen cihazda xcommand'a giriş olarak oluşturduğunuz JWE ile aynı olur:

    xCommand Security Certificates Add eyJhbGciOiJkaXIiLCJjaXNjby1hY3Rpb24iOiJhZGQiLCJjaXNjby1rZGYiOnsic2FsdCI6IjVlWlRDQVA0TV9ZIiwidmVyc2lvbiI6IjEifSwiZW5jIjoiQTEyOEdDTSJ..9NLNd3V9Te68tkpWD.f5lLVuWNfKfmzYCo1YJfODhQ.PE-wDFWGXFFBeo928cfZ1Q

Sıfır güvenli toplantılar için, ek ücret ödemeden tüm toplantı sitelerinde kullanılabilen yeni oturum türleri vardır. Yeni oturum türlerinden biri Pro-End to End Encryption_VOIPonly. Bu, gelecekte değiştireceğiz Olan Genel Hizmet Adıdır. Oturum türlerinin geçerli adları için bu makalenin Referans bölümünde Oturum Türü Kimlikleri bölümüne bakın.

Siteniz için yeni özelliği almak için herhangi bir şey yapmanıza gerek yoktur, ancak yeni toplantı oturum türü (Ayrıcalığı da denir) kullanıcılarınıza vermek zorunda oluruz. Bu işlemi, kullanıcının yapılandırma sayfasından tek tek veya CSV dışa/içe aktarma işlemiyle toplu olarak yapabiliriz.

1

Control Hub'da oturum açın ve Toplantı sayfasını açın.

2

Sitenizin yapılandırma panelini açmak için site adınıza tıklayın.

3

Siteyi Yapılandır öğesinitıklayın.

4

Ortak Ayarlar alanında Oturum Türleri öğesinitıklatın.

Bu sayfada bir veya daha fazla sona şifreleme oturumu türü gerektiğini görebilirsiniz. Bu makalenin Referans bölümünde Oturum Türü Kimlikleri listesine bakın. Örneğin, Pro-End to End Encryption_VOIPonly 'ıgörebilir.

 

Çok benzer bir oturum türü daha eski bir model var: Pro- End Şifreleme. Bu oturum türü, toplantılara şifre PSTN olmayan erişim içerir. Şifrelemeyi sona _erdiren VOIPonly sürümünüz olduğundan emin olun. Oturum kodu sütununda PRO bağlantısının üzerine gelerek kontrol edin; bu örnekte bağlantının hedefi javascript:ShowFeature(652).

Gelecekte bu oturum türleri için Genel Hizmet Adlarını değiştirebiliriz, örneğin Pro-End'i Encryption_VOIPonly'den E2E Şifrelemeye + Kimlik olarakdeğiştirmeyiplanlıyoruz.

5

Henüz yeni oturum türü, müşteri Webex geçin.

Sonraki adım

Bu özelliği oturum türü / toplantı ayrıcalığını kullanıcılarınız için bire bir etkinleştirin.

1

Kullanıcılar'a tıklayın ve kullanıcının yapılandırma panelini açmak için bir kullanıcı seçin.

2

Hizmetler alanında, seçeneğini tıklatın Cisco Webex Meetings.

3

Siteyi seçin (kullanıcı birden fazla ise) ve Ana Bilgisayar öğesini tıklatın.

4

Pro-End to End E VOIPonly etiketli Webex Meetings yanındakincryption_kutuyuişaretleyin.

5

Kullanıcı yapılandırma panelini kapatın.

6

Gerekirse diğer kullanıcılar için tekrarlayın.

Bunu birçok kullanıcıya atamak için CSV toplu seçeneğini kullanın.

1

control Hub'da oturum https://admin.webex.com açın ve Toplantı sayfasını açın.

2

Site yapılandırma panelini açmak için site adınıza tıklayın.

3

Lisanslar ve Kullanıcılar bölümünde Toplu Yönet'etıklayın.

4

Dışa aktar'a tıklayın ve dosyayı hazırlarız sırada bekleyin.

5

Dosya hazır olduğunda Sonuçları Dışa Aktar'a ve ardından İndir'e tıklayın. (Bu açılır pencereyi tıklatmanın ardından manuel olarak kapatmanız gerekir İndir.)

6

Düzenlemek için indirilen CSV dosyasını açın.

Her kullanıcı için bir satır var ve MeetingPrivilege sütun, oturum türü kimliklerini virgülle ayrılmış liste olarak içerir.

7

Yeni izni vermek istediğiniz her kullanıcı için oturum türü ekleyin: 1561 virgülle ayrılmış listede yeni bir değer olarak MeetingPrivilege Hücre.

CSV Cisco Webex Biçimi Referansı, CSV dosyasının amacına ve içeriğine ilişkin ayrıntıları içerir.

8

Control Hub'da Meeting sitesi yapılandırma panelini açın.


 

Zaten Toplantı sitesi liste sayfasındaysanız bunu yenilemeniz gerekir.

9

Lisanslar ve Kullanıcılar bölümünde, Toplu Yönet’e tıklayın.

10

İçe Aktar'a tıklayın ve düzenlenen CSV'yi seçin, ardından İçe Aktar'atıklayın. Dosya karşıya yüklenen sırada bekleyin.

11

İçe aktarma işlemi tamamlandığında, herhangi bir hata olup bunu gözden geçirmek için İçe Aktarma Sonuçları'ne tıkabilirsiniz.

12

Kullanıcılar sayfasına gidin ve yeni e-postaya sahip olduklarını doğrulamak için kullanıcılardan oturum türü.

Cihazlarınız zaten Control Hub organizasyona bağlı durumdasa ve kimlik belirleme sertifikalarını otomatik olarak oluşturmak için Webex CA'yı kullanmak istiyorsanız cihazları fabrika ayarlarına sıfırlamanız gerek değildir.

Bu prosedür, cihazın kendi kimliğini tanımlamak için kullandığı etki alanını seçer ve yalnızca Control Hub organizasyonlarında birden fazla etki alanınız varsa gereklidir. Birden fazla etki alanınız varsa, "Cisco tarafından doğrulanmış" kimliğe sahip olacak tüm cihazlarınız için bunu yapmanızı öneririz. Hangi etki alanının cihazı Webex, bu seçeneği seçecek ve bu özellik diğer toplantı katılımcıları tarafından doğrulanmayacaktır.

Başlamadan önce

Cihazlarınız henüz eklememişse, API veya Yerel Web Arayüzünü veya Cihazlar için Bulut Ekleme'yi Cisco Webex kullanmak için Cihaz Kaydetme'yi takipedebilirsiniz. Ayrıca, Cihazlarınızı Yönetme alanında cihazları tanımlamak için kullanmak istediğiniz etki alanını/etki alanını doğrulamanızgerekir.

1

Control Hub ( ) üzerindehttps://admin.webex.comoturum açın ve Cihazlar sayfasını açın.

2

Yapılandırma panelini açmak için bir cihaz seçin.

3

Bu cihazı tanımlamak için kullanmak istediğiniz etki alanını seçin.

4

Diğer cihazlar için bu işlemi tekrarlayın.

Başlamadan önce

İhtiyacın var:

  • CA imzalı bir sertifika ve özel anahtar almak için .pem formatında her cihaz için.

  • Bu makalenin Hazırlık bölümünde Cihazlar için Harici Kimlik İşlemleriniAnlama konu başlığı bölümünü okuyun.

  • Bir JWE şifreleme aracının bilgileriyle ilgili olarak hazırlanması için.

  • Verilen uzunluklardan rastgele byte dizileri oluşturmak için bir araç.

  • Base64url bayt veya metin kodlama aracı.

  • Bir scrypt Uygulama.

  • Her cihaz için gizli bir sözcük veya ifade.

1

Cihazın ClientSecret düz metin gizli mesajıyla:

İlk kez Secret, bunu düz metin olarak verirsiniz. Bu yüzden bunu fiziksel cihaz konsolunda öneriyoruz.

  1. Base64url, bu cihaz için gizli ifadeyi kodlar.

  2. Cihazda TShell'i açın.

  3. Çalıştır xcommand Security ClientSecret Populate Secret: "MDEyMzQ1Njc4OWFiY2RlZg"

    Yukarıdaki örnek komut, Secret ifadeyle 0123456789abcdef. Kendi sahibinizi seçmeniz gerekir.

Cihazın ilk gizli gizli gizlisi vardır. Bunu unutmayın, geri kurtarılamaz ve cihazı tekrar başlatmak için fabrika ayarlarına sıfırlamanız gerekir.
2

Sertifikanızı ve özel anahtarınızı kısan:

  1. Bir metin düzenleyici kullanarak .pem dosyalarını açın, sertifika sertifikasını sertifika sertifikasını seçin ve yeni bir .pem dosyası olarak kaydedin.

    (Bu, JWE ile bağlantınızı şifreleyyr ve üzerine attırarak yükleyebilirsiniz)

3

Sertifika ekleme komutunun girişi olarak kullanmak için bir JWE zaman ile oluşturun:

  1. En az 4 baytlık rastgele bir dizi oluşturun. Bu sizin saltındır.

  2. Bir içerik içeriğini şifreleme anahtarı şifre aracınız ile türetin.

    Bunun için gizli anahtara, gizli anahtara ve seçtiğiniz şifreleme şifreyle eşleşmesi için bir anahtara ihtiyacınız vardır. Sağlamak için başka sabit değerler de vardır (N=32768, r=8, p=1). Cihaz, aynı işlemi ve değerleri, aynı içeriğin türetilen içeriğini şifreleme anahtarı.

  3. Yalnızca 12 baytlık rastgele bir dizi oluşturun. Bu sizin başlatma vektörü.

  4. JOSE üstbilgisi oluştur, ayar alg, enc ve cisco-kdf cihazlar için Harici Kimlik İşlemlerini Anlama içinde açıklanan anahtarlar. Şu anahtarı kullanarak "ekle" eylemlerini ayarlayın:değer "cisco-action":"add" jose üst bilginize girin (sertifikayı cihaza eklemiz nedeniyle).

  5. Base64url, JOSE başlığını kodlar.

  6. Seçilen şifre ile JWE şifreleme aracınızı ve base64url ile kodlanmış JOSE üstbilgisini kullanarak, metni sonuçlanmış pem dosyasından şifreleebilirsiniz.

  7. Base64url başlatma vektörü, şifrelenmiş PEM yükünü ve kimlik doğrulama etiketini kodlar.

  8. JWE ile aşağıdaki gibi oluşturun (tüm değerler base64url ile kodlanmıştır):

    JOSEHeader..InitVector.EncryptedPEM.AuthTag

4

Cihazda TShell'i açın ve (çok satırlı) add komutunu çalıştırın:

xcommand Security Certificates Services Add IsEncrypted: True
your..JWE.str.ing\n
.\n
5

Çalıştırarak sertifikanın ek olduğunu doğrulayın xcommand Security Certificates Services Show

Yeni sertifikanın parmak izi kopyalayın.

6

Sertifikayı şu amaç için etkinleştirin: WebexIdentity:

  1. Sertifikanın kendisinde veya çıkıştan sertifikanın parmak izi okundu xcommand Security Certificates Services Show.

  2. En az 4 baytlık rastgele bir dizi oluşturun ve base64url bu sırayı kodlar. Bu sizin saltındır.

  3. Bir içerik içeriğini şifreleme anahtarı şifre aracınız ile türetin.

    Bunun için gizli anahtara, gizli anahtara ve seçtiğiniz şifreleme şifreyle eşleşmesi için bir anahtara ihtiyacınız vardır. Sağlamak için başka sabit değerler de vardır (N=32768, r=8, p=1). Cihaz, aynı işlemi ve değerleri, aynı içeriğin türetilen içeriğini şifreleme anahtarı.

  4. Yalnızca 12 baytlık rastgele bir dizi oluşturun ve base64url bu sırayı kodlar. Bu sizin başlatma vektörü.

  5. JOSE üstbilgisi oluştur, ayar alg, enc ve cisco-kdf cihazlar için Harici Kimlik İşlemlerini Anlama içinde açıklanan anahtarlar. Şu anahtarı kullanarak "etkinleştir" eylemlerini ayarlayın:değer "cisco-action":"activate" JOSE üst bilginize girin (cihazda sertifikayı etkinleştirdikten sonra).

  6. Base64url, JOSE başlığını kodlar.

  7. Sertifika parmak izi şifrelemek için JWE şifreleme aracını seçilen şifre ve base64url ile kodlanmış JOSE üstbilgisini kullanın.

    Araç, 128 veya 256 bit AES-GCM'yi ve kimlik doğrulama etiketini tercih ediyorsanız bağlı olarak 16 veya 32 byte sıralı çıkış gerekir.

  8. Base64urlencode şifreli parmak izi ve kimlik doğrulama etiketi.

  9. JWE ile aşağıdaki gibi oluşturun (tüm değerler base64url ile kodlanmıştır):

    JOSEHeader..InitVector.EncryptedFingerprint.AuthTag

  10. Cihazda TShell'i açın ve aşağıdaki etkinleştirme komutunu çalıştırın:

    xcommand Security Certificates Services Activate Purpose: WebexIdentity Fingerprint: "Your..JWE.encrypted.fingerprint"
Cihazın şifrelenmiş, etkin, SERTIFIKA yetkilisi tarafından verilen bir sertifikası vardır ve bu sertifikayı toplantıların bitiş uçlarında Webex hazır.
7

Cihazı Control Hub organizasyona bağlayın.

1

Doğru türe sahip bir toplantı planla (Webex Meetings Encryption_VOIPonly'yi Sona Ertir )seçin.

End Webex Meeting ile Dosya Planlama 'yabakın.

2

Yeni bir istemciden toplantıya toplantı sahibi Webex Meetings katılın.

3

Toplantıya, sertifika yetkilisi tarafından kimliği doğrulanmış bir cihazdan Webex katılın.

4

Kullanıcı sahibi olarak doğru kimlik simgesiyle birlikte lobide bu cihazın görüntülendiğinden emin olun.

5

Harici bir CA tarafından kimliği doğrulanmış bir cihazdan toplantıya katılın.

6

Kullanıcı sahibi olarak doğru kimlik simgesiyle birlikte lobide bu cihazın görüntülendiğinden emin olun. Kimlik simgeleri hakkında daha fazla bilgiöğrenin.

7

Toplantıya kimliği doğrulanmamış toplantılar katılımcısı olarak katılın.

8

Kullanıcı sahibi olarak bu katılımcının lobide doğru kimlik simgesiyle görüntülendiğinden emin olun.

9

Ev sahibi olarak insanları/cihazları kabul edin veya reddedin.

10

Sertifikaları kontrol ederek mümkün olduğu yere katılımcı/cihaz kimliklerini doğrula.

11

Toplantı daki herkesin aynı toplantı güvenlik kodunu gördüğünü kontrol edin.

12

Toplantıya yeni bir katılımcıyla katılın.

13

Herkesin aynı, yeni toplantı güvenlik kodunu gördüğünü kontrol edin.

Toplantıyı toplantıyı toplantıyı varsayılan toplantı seçeneği mi yapacak veya yalnızca bazı kullanıcılar için etkinleştiracak veya tüm toplantı sahiplerine izin vereceksiniz? Bu özelliği nasıl kullanmaya karar verdiklerinde, özellikle de toplantıda hangi sınırlamaları ve neyi beklediğinizi gözleriyle, bu özelliği kullanacak kullanıcıları hazırlayın.

Cisco veya başka herhangi birinin içeriğinizin şifresini çözemelerini veya cihazlarınızı kimliğe bürünmelerini sağlamaya ihtiyacınız var mı? Bu olursa, genel sertifika yetkilisinden sertifikalara ihtiyacınız vardır. Güvenli bir toplantıda en fazla 25 cihazınız olabilir. Bu düzeyde güvenlik seviyesine ihtiyacınız varsa toplantı istemcilerinin katılmasına izin vermeyin.

Güvenli cihazlarla katılan kullanıcılar için önce cihazların katılmasına izin verir ve geç katılacakları zaman katılabilecekleri kullanıcı beklentilerini ayarlayın.

Farklı kimlik doğrulama düzeylerine sahipler, kullanıcıları sertifikalı kimlik ve toplantı güvenlik koduyla doğrulamaya yetkili kının. Katılımcıların Doğrulanmamış olarak görünmesine ve katılımcıların nasıl kontrol etmek için gerektiğinin gerektiği durumlarda bile, doğrulanmamış kişiler dayatıcı olayabilir.

Cihaz sertifikalarınızı sorun için harici bir CA kullanıyorsanız sertifikaları izlemek, yenilemek ve yeniden kullanmak sizindir.

İlk gizli gizliyi oluşturduysanız kullanıcılarının cihaz gizlisini değiştirmek istemeyebilirsiniz. Bunu yapmalarını sağlamak için bir arayüz oluşturmanız/bir aracı dağıtmanız gerekir.

Tablo 1. 1 2013-2018 şifreli toplantılar için Oturum Türü Kimlikleri

Oturum Türü Kimliği

Genel Hizmet Adı

638

E2E Şifreleme+VoIP kullanın

652

Pro- Bitiş - Encryption_VOIPonly

660

Pro 3 Ücretsiz Sona Encryption_VOIPonly

E2E Şifreleme + Kimlik

672

Pro 3 Ücretsiz50- Bitiş Encryption_VOIPonly

673

Eğitim Eğitmeni E2E Encryption_VOIPonly

676

Broadworks Standart plus bitişi şifreleme

677

Broadworks Premium plus bitişi şifreleme

681

Eğitim Ücretsiz ve sona şifreleme

Bu tabloda, Webex bitişli şifreli toplantılar ve doğrulanmış kimlik için eklen yaptığımız cihaz API komutları açıklanmıştır. API'yi kullanma hakkında daha fazla bilgi için bkz. Masaüstü Cihazları ve Masaüstü Cihazları Webex Room için API'ye erişimWebex Boards.

Bu xAPI komutları, yalnızca şu cihazlarda kullanılabilir:

  • Webex'e kayıtlı

  • Şirket içi kayıtlı ve Cihazlar için Webex Edge Webex ile bağlantılı

Tablo 2. Sona kadar şifreli toplantılar ve doğrulanmış kimlik için sistem seviyesi API'leri

API çağrısı

Açıklama

xConfiguration Conference EndToEndEncryption Identity PreferredDomain: "example.com"

Bu yapılandırma, yönetici Control Hub'dan cihazın tercih ettiği etki alanını ayar olduğunda yapılır. Kuruluşun birden fazla etki alanına sahip olduğu için gereklidir.

Cihaz, sertifika yetkilisinden sertifika isteğinde bulundurarak bu etki Webex kullanır. Etki alanı cihazı tanımlar.

Bu yapılandırma, cihazın kendi kimliğini tanımlamak için etkin, harici olarak verilen bir sertifikaya sahip olduğunda geçerli değildir.

xStatus Conference EndToEndEncryption Availability

Cihazın toplantıyı toplantıyı toplantıyı takip etmek için katılanı gösterir. Bulut API'si çağrıyı arar, böylece eşleştirilmiş bir uygulama katılmak için cihazı kullanıp kullana bilir.

xStatus Conference EndToEndEncryption ExternalIdentity Verification

Cihazın cihaza bağlı olarak External doğrulama (harici olarak verilen bir sertifikaya sahip).

xStatus Conference EndToEndEncryption ExternalIdentity Identity

Cihazın, harici olarak verilen sertifikanın Ortak Ad'ını oku şekilde kimliği.

xStatus Conference EndToEndEncryption ExternalIdentity CertificateChain Certificate # specificinfo

Harici olarak verilen bir sertifikadan gelen belirli bilgileri okuyabilir.

Gösterilen komutta, # ve sertifikanın sayısı ile birlikte. Replace specificinfo birini:

  • Fingerprint

  • NotAfter Geçerlilik bitiş tarihi

  • NotBefore Geçerlilik başlangıç tarihi

  • PrimaryName

  • PublicKeyAlgorithm

  • SerialNumber

  • SignatureAlgorithm

  • Subject # Name Sertifikaya yönelik konu listesini (ör. e-posta adresi veya etki alanı adı)

  • Validity Bu sertifikanın geçerlilik durumunu verir (ör. valid veya expired)

xStatus Conference EndToEndEncryption ExternalIdentity Status

Cihazın harici kimliğinin durumu (ör. valid veya error).

xStatus Conference EndToEndEncryption InternalIdentity Verification

Cihazın sertifika yetkilisi tarafından verilen geçerli bir sertifikaya sahip olup olmadığını Webex gösterir.

xStatus Conference EndToEndEncryption InternalIdentity Identity

Verilen sertifikanın Ortak Ad'Webex cihazın kimliği okundu.

Kuruluşun etki alanı varsa etki alanı adı içerir.

Kuruluşun etki alanı yoksa boştur.

Cihaz, birden fazla etki alanına sahip bir kuruluşta ise bu, PreferredDomain.

xStatus Conference EndToEndEncryption InternalIdentity CertificateChain Certificate # specificinfo

Verilen sertifikadan belirli Webex okuyabilir.

Gösterilen komutta, # ve sertifikanın sayısı ile birlikte. Replace specificinfo birini:

  • Fingerprint

  • NotAfter Geçerlilik bitiş tarihi

  • NotBefore Geçerlilik başlangıç tarihi

  • PrimaryName

  • PublicKeyAlgorithm

  • SerialNumber

  • SignatureAlgorithm

  • Subject # Name Sertifikaya yönelik konu listesini (ör. e-posta adresi veya etki alanı adı)

  • Validity Bu sertifikanın geçerlilik durumunu verir (ör. valid veya expired)

Tablo 3. Sona kadar şifreli toplantılar ve doğrulanmış kimlik için çağrı API'leri

API çağrısı

Açıklama

xEvent Conference ParticipantList ParticipantAdded

xEvent Conference ParticipantList ParticipantUpdated

xEvent Conference ParticipantList ParticipantDeleted

Bu üç etkinlik artık şunları içerir: EndToEndEncryptionStatus, EndToEndEncryptionIdentity ve EndToEndEncryptionCertInfo katılımcı için.

Tablo 4. 1 güncel şifreli toplantılar ve doğrulanmış kimlik için ClientSecret ile ilgili API'ler

API çağrısı

Açıklama

xCommand Security ClientSecret Populate Secret: "base64url-encoded"

veya

xCommand Security ClientSecret Populate Secret: JWEblob

İlk kez cihaz üzerinde istemci gizli şifresini biçimlendirmek için base64url ile kodlanmış düz metin değeri kabul eder.

Gizli anahtarı ilk kez bundan sonra güncellemek için, eski gizli anahtar tarafından şifrelenen yeni gizli anahtarı içeren bir JWE neden kaynağı olarak bunu güncelleştirmeniz gerekir.

xCommand Security Certificates Services Add JWEblob

Bir sertifika ekler (özel anahtarla).

Bu komutu, şifrelenmiş PEM verilerini içeren bir JWE sadece kabul etmek için uzattık.

xCommand Security Certificates Services Activate Purpose:WebexIdentity FingerPrint: JWEblob

WebexIdentity için belirli bir sertifikayı etkinleştirir. Bunun için Purpose, komut, kimlik tanımlama parmak izi tanımlamanın bir JWE ile şifrelenmiş ve seri numarası olarak seri hale getir gerektirir.

xCommand Security Certificates Services Deactivate Purpose:WebexIdentity FingerPrint: JWEblob

WebexIdentity için belirli bir sertifikayı devre dışı bırakılır. Bunun için Purpose, komut, kimlik tanımlama parmak izi tanımlamanın bir JWE ile şifrelenmiş ve seri numarası olarak seri hale getir gerektirir.