Kullanıcılar, yeni toplantı türü toplantı planlatırken seçen. Lobiden katılımcıları kabul etme ve toplantı sırasında toplantı sahibi, her katılımcının kimlik doğrulama durumunu görebilir. Toplantının mevcut tüm katılımcıları için ortak olan ve birbirini doğrulamak için kullanabileceği bir toplantı kodu da vardır.

Aşağıdaki bilgileri toplantı sahipleriyle paylaşın:

Kimlik doğru mu doğru mu?

uçtan uca kimlik doğrulaması, toplantıyı toplantıyı takip etmek için ek güvenlik sağlar.

Katılımcılar veya cihazlar paylaşılan bir (Mesajlaşma Katmanı Güvenliği) grubuna katılamazsa sertifikalarını, sertifikalarını veren Sertifika Yetkilisi/ies'e (CA) göre sertifikaları doğrulayan diğer grup üyelerine sunarlar. Sertifika yetkilisi, sertifikaların geçerli olduğunu onaylar ve katılımcıların kimliğini doğrular ve toplantı katılımcılara/cihazlara doğrulanmış olarak gösterir.

Sertifika sahibi Webex Toplantıları uygulaması kimliklerini, başarılı Webex onlara bir erişim belirteci sorun sorun olan kimlik mağazasına karşı kimliklerini kendi kendilerine doğrular. Kimliklerini doğrulamak için bir sertifikaya ihtiyaçları varsa (toplantıyı bitiren) Webex CA, onlara erişim belirteçlerine göre bir sertifika sorunlar. Henüz kullanıcılarının bir üçüncü taraf /Webex Meetings CA tarafından verilen bir sertifikayı aldırmalarını sağlayacak bir yol sağlanmadı.

Cihazlar, dahili (depolama alanı) CA'sı veya harici CA Webex tarafından verilen bir sertifikayı kullanarak kimliklerini kendi kendilerine doğrular:

  • Dahili CA sorunu için Webex makine hesabının erişim belirtecine bağlı olarak dahili bir sertifika sorunları sorunları. Sertifika, sertifika yetkilisi Webex imzalanmıştır. Cihazlarda kullanıcıların kimlikleri kullanıcıların kimliğiyle aynı değildir, bu nedenle Webex sertifikanın kimliğini (Ortak Ad (CN) yazarken kurumnizin etki alanını(lar) kullanır (bunlardan biri).

  • Harici CA sorunu için doğrudan seçtiğiniz sertifika yetkilisine bağlı cihaz sertifikalarını talep ediyor ve satın alın. Yalnızca size bilinen bir gizli anahtar kullanarak sertifikaları şifrelemeli, doğrudan yüklemeli ve yetkilendirmelisiniz.

    Cisco ilgili değildir. Bu, gerçek toplantıyı garanti etme ve doğrulanmış kimliği garanti etme ve Cisco'nun toplantınızı gizlice dinleme / medyanın şifresini çözme olasılığını önleme olanağını sağlar.

Dahili olarak verilen cihaz sertifikası

Webex başladıktan sonra kaydolan cihaza bir sertifika verir ve gerektiğinde yeniler. Cihazlar için sertifika hesap kimliğini ve etki alanını içerir.

Kurumda bir etki alanı yoksa sertifika yetkilisi Webex sertifikayı etki alanı olmadan sorunlar.

Eğer kuruluşta birden fazla etki alanı varsa Control Hub'ı kullanarak cihazın Webex etki alanını kullanabilirsiniz. API'yi de kullanabilirsiniz xConfiguration Conference EndToEndEncryption Identity PreferredDomain: "example.com".

Birden fazla etki alanınız varsa ve cihaz için tercih edilen etki alanını ayarlasanız Webex etki alanı seçebilirsiniz.

Harici olarak verilen cihaz sertifikası

Yönetici, genel CA'lardan biri ile imzalanmış kendi sertifikası olan bir cihaz sağlanmıştır.

Sertifika, bir ECDSA P-256 anahtar çiftini temel alarak, her ne kadar bir RSA anahtarı tarafından imzalanmış olabilir.

Sertifika daki değerler, kuruluşun kararına bağlıdır. Ortak Ad (CN) ve konu diğer adı (SAN), Webex için Kimlik Doğrulama ile Toplantıyı Bitiş Şifrelemede açıklandığı gibi Webex Meetings.

Cihaz başına ayrı bir sertifika kullanılması ve cihaz başına benzersiz bir CN'nin olması önerilir. Bu, örneğin "meeting-room-1.example.com" etki alanına sahip kuruluş için "yeni example.com" olabilir.

Harici sertifikayı izinsiz girişe karşı tam olarak korumak için çeşitli xcommands'leri şifrelemek ve imzalamak için istemci gizli özelliği kullanılır.

İstemci gizli bilgisini kullanırken, xAPI aracılığıyla harici webex kimlik sertifikasını güvenli bir şekilde yönetmek mümkündür. Bu, şu anda çevrimiçi cihazlarla sınırlıdır.

Şu anda Webex yönetmeye uygun api komutları sağlar.

Cihazlar

Buluta kayıtlı Webex Room ve Webex Desk serisi cihazları, şunları içeren 2013-2018-2018-2018-2018-2013-2018 -14:00

  • Webex Board

  • Webex Desk Pro

  • Webex Masa

  • Webex Room Kit

  • Webex Room Kit Mini

Aşağıdaki cihazlar, şifreli toplantıları sona erdiren cihazlara kat değildir:

  • Webex C Serisi

  • Webex DX Serisi

  • Webex EX Serisi

  • Webex MX Serisi

  • Üçüncü taraf SIP cihazları

Yazılım istemcileri

  • 41.7'den itibaren, Webex Meetings masaüstü istemcisi 2013-2012 şifreli toplantılara katılabilir.

  • Yeni Webex, 2013-2013 şifreli toplantılarına kat değildir.

    Eğer kuruluş Webex Meetings masaüstü uygulamasını başlatarak toplantılara katılmasını sağlarsa bu seçeneği kullanarak sona kadar şifreli toplantılara katılabilirsiniz.

  • Webex web istemcisi, 2013-2013 şifreli toplantılarına kat değildir.

  • Üçüncü taraf SIP yazılım istemcileri, sona eren şifreli toplantılara kat değildir.

Kimlik

  • Harici olarak doğrulanmış cihaz kimliğini yönetmeniz için herhangi bir Control Hub seçeneği sağlanmadı. Bu karar tasarıma göredir; gerçek 20-24 şifreleme için sadece anahtarlara ve anahtarlara erişmeyi biliyor/erişmelisiniz. Bu anahtarları yönetmek için bir bulut hizmeti sunarsanız engel olma ihtimali vardır.

  • Şu anda cihaz kimlik sertifikalarınızı ve özel anahtarlarını talep etme veya şifreleme konusunda size yardım etmek için herhangi bir araç sağlamamız gerekmektedir. Şu anda, bu süreçlere yardımcı olmak için sektör standardı şifreleme tekniklerini temel alan kendi araçlarınızı tasarlamanız için bir 'tarif' sağlaruz. Sizin veya anahtarlarınızı gerçekten bir şekilde erişmek istemiyoruz.

Meetings

  • uçtan uca şifreli toplantılar şu anda en fazla 200 katılımcıyı destekliyor.

  • Bu 200 katılımcıdan maksimum 25 dışarıdan doğrulanmış cihaz katılabilir ve toplantıya katılan ilk katılımcılar olmasıgerekir.

    Bir toplantıya daha fazla cihaz kat olduğunda, arka uç ortam hizmetlerimiz ortam akışlarını kodlamaya çalışır. Ortamın şifresini çözemezsek, başka kodla işlem başarısız olur ."

    Bu sınırlamayı azaltmak için cihazlar için daha küçük toplantılar veya cihazlar ve Meetings istemcileri arasındaki davetleri kademeli olarak öneririz.

Yönetim arayüzü

Toplantı sitenizi yönetmek için Control Hub'ı kesinlikle öneririz.

Bunun temel nedeni, Control Hub ile kimliği yönetme arasındaki site yönetimi dir. Control Hub kuruluşları, kuruluşun tamamı için merkezi kimliğe sahip olurken, site yönetimi site bazında kontrol edilir.

Bu, web sitelerinden yönetilen kullanıcılar için Cisco tarafından doğrulanmış kimlik seçeneğine sahip site yönetimi. Bu kullanıcılara, toplantıyı takip etmek için isimsiz bir sertifika verilecek ve bu kullanıcılar, toplantı sahibi tarafından kimlik sağlamak istediği toplantılardan hariç tutulabilirsiniz.

İlgili bilgiler

Türeterek örnek JWE ile ilgili

Verilen parametrelere (ek) göre doğru şekilde şifrelenmiş JWE örneği

  • Webex Meetings 41.7'den sonra.

  • Çalışan buluta Webex Room ve Webex Desk serisi cihazları 10.6.1-RoomOS_August_2021.

  • Kullanıcılar için yeni toplantıyı etkinleştirmek için Control Hub'oturum türü yönetim erişimi.

  • Control Hub organizasyonlarında bir veya daha fazla doğrulanmış etki alanı (doğrulanmış kimlik için cihaz sertifikalarını Webex ca'sını kullanıyorsanız).

Harici olarak doğrulanmış kimliğe ihtiyacınız yoksa bu adımı atlayabilirsiniz.

En yüksek güvenlik seviyesi ve kimlik doğrulaması için her cihazın, güvenilir bir ortak Sertifika Yetkilisi tarafından verilen benzersiz bir sertifikası olmalıdır.

Dijital sertifikaları talep etmek, satın almak ve almak ve ilişkili özel anahtarları oluşturmak için Sertifika Yetkilisi ile etkileşim kurmanız gerekir. Sertifika talep etmekteyken şu parametreleri kullanabilirsiniz:

  • Sertifikanın verilen ve iyi bilinen bir ortak sertifika yetkilisi tarafından imzalanmış olması gerekir.

  • Benzer -siz: Her cihaz için benzersiz bir sertifikanın kullanılması şiddetle tavsiye edilir. Tüm cihazlar için bir sertifika kullanırsanız, güvenliğinizi onaylarsanız.

  • Genel Ad (CN) ve Konu Alternatif Adı/Adı (SAN/s): Bunlar, yeni Webex önemli değildir, ancak her zaman cihazın okunarak ilişkilendirmesi gereken değerlerdir. CN, diğer toplantı katılımcılarına cihazın birincil doğrulanmış kimliği olarak gösterir ve kullanıcılar sertifikayı toplantı kullanıcı arayüzü üzerinden incelerse SAN/s'yi görebilirler. Aşağıdakiler gibi adlar kullanabilirsiniz: name.model@example.com Fakat bu sizin seçiminizdir.

  • Dosya biçimi: Sertifikalar ve anahtarlar .pem biçiminde olmalıdır.

  • Amaç: Sertifikanın amacı, Kimlik Webex gerekir.

  • Anahtarları oluşturma: Sertifikalar, ECDSA P-256 anahtar çiftlerini (P-256 eğrisini kullanan Eliptik Eğri Dijital İmza Algoritması) temel alsa gerektirmektedir.

    Bu gereksinim, imzalama anahtarına uzatılamaz. Ca, sertifikayı imzalamak için RSA anahtarı kullanabilir.

Cihazlarınız ile harici olarak doğrulanmış kimliği kullanmak istemiyorsanız bu adımı atlayabilirsiniz.

Yeni cihazlar kullanıyorsanız bu cihazları henüz kaydolmayın ve Webex. Henüz bunları ağa bile bağlamamanız güvenlidir.

Harici olarak doğrulanmış kimliği kullanmak için yükseltmek istediğiniz mevcut cihazlarınız varsa cihazları fabrika ayarlarına sıfırlamanız gerekir.

  • Mevcut yapılandırmayı kaydetmek istemiyorsanız kaydedin.

  • Cihazlar kullanılmamışsa bir pencere plan edin veya aşamalı bir yaklaşım kullanın. Kullanıcılara bekley değişikliği bildir.

  • Cihazlara fiziksel erişimden emin olun. Ağ üzerinden cihazlara erişmeniz gerekirse, bu durumun düz metinle seyahat halinde olduğunu ve güvenliğinizi kontrol altında olduğunu fark edin.

Cihaz medyanizin cihaz dışında hiç kimse tarafından şifrelenmey olduğundan emin olmak için cihazda özel anahtarı şifrelemeniz gerekir. JSON Web Şifreleme (JWE) kullanılarak şifrelenmiş anahtarın ve sertifikanın yönetimini etkinleştirmek için cihaz için API'ler tasarlandık.

Bulut aracılığıyla gerçek bitişi şifrelemeyi sağlamak için sertifikayı ve anahtarı şifreleme ve yüklemeyle ilgili olamaziz. Bu düzey bir güvenlik seviyesine ihtiyacınız varsa bunu sizindir.

  • Sertifikalarınızı talepin.

  • Sertifikaların anahtar çiftleri oluştur.

  • Her cihaz için bir başlangıç gizli anahtarı oluşturun (ve koruyun) cihazın şifreleme becerisine sahip olmak için.

  • JWE standardını kullanarak dosyaları şifrelemek için kendi aracınızı geliştirin ve sürdürün.

    Aşağıda ihtiyacınız olacak süreci ve (gizli olmayan) parametreleri ve seçim geliştirme araçlarınızı takip etmek için bir tarif açıklarız. Ayrıca sürecinizi doğrulamanıza yardımcı olmak için beklenilen bazı test verilerini ve elde edilen JWE olaylarını da sağlarız.

    talep üzerine Cisco'dan Ekleyebilirsiniz3 ve JWCrypto kütüphanesini kullanan desteklenmeyen bir referans uygulaması mevcuttur.

  • Aracınızı ve cihazın ilk gizli anahtarını kullanarak sertifikayı ve anahtarı kısan ve şifrele.

  • Elde edilen JWE ile ilgili dosyayı cihaza yükleyin.

  • Kurumsal kimlik için kullanılacak şifreli sertifikanın Webex ve sertifikayı etkinleştirin.

  • (Önerilir) Cihaz kullanıcılarının başlangıç gizli sini değiştirmesini (medyalarını sizin medyalarınızı korumak için!) değiştirmesini sağlamak için aracınıza bir arayüz etkinleştirin (veya dağıtın).).

JWE biçimini nasıl kullanırız?

Bu bölümde, sertifikalarınız ve anahtarlarınızı oluşturmak için kendi aracınızı oluşturarak JWE'nin cihazlara giriş olarak oluşturulmasını nasıl beklediğiniz açıkmektedir.

JSON Web Şifreleme (JWE) vehttps://datatracker.ietf.org/doc/html/rfc7516JSON Web Signature (JWS) için başvurularhttps://datatracker.ietf.org/doc/html/rfc7515gerekir.

Bir JSON belgesinin Kompakt Seri Hale getirme noktasını, JWE tercihleri oluşturmak üzere kullanmayı seçtik. JWE ile ilgili parametreleri oluştururken dahil etmek için ihtiyacınız olacak parametreler şunlardır:

  • JOSE Üstbilgisi (korumalı). JSON Nesne İmzalama ve Şifreleme üst bilgisinde, aşağıdaki anahtar değeri çiftlerini dahil edersiniz:

    • "alg":"dir"

      Doğrudan algoritma, yükü şifrelemeyi destekleyen tek kişidir ve cihazın ilk istemci gizli algoritmasını kullanabilirsiniz.

    • "enc":"A128GCM" veya "enc":"A256GCM"

      Bu iki şifreleme algoritmasını destekliyoruz.

    • "cisco-action": "add" veya "cisco-action": "populate" veya "cisco-action": "activate" veya "cisco-action": "deactivate"

      Bu, özel bir anahtar ve dört değeri bu değerdir. Bu anahtarı, hedef cihaza şifreli verilerin amacını sinyal etmek için kullandık. Değerler, şifrelenmiş verileri kullanmakta olduğunuz cihazda xAPI komutlarının ardından adlandırılmıştır.

      Adını biz verildi cisco-action gelecekteki JWE uzantılarına sahip potansiyel esnafları azaltmak için.

    • "cisco-kdf": { "version": "1", "salt": "base64URLEncodedRandom4+Bytes" }

      Başka bir özel anahtar. Cihazda anahtar türlevasyonu için girdi olarak sağlamakta olduğu değerleri kullanıruz. Bu işaret version Olmalıdır 1(anahtar türetizasyon işlevimizin sürümü). Değeri salt en az 4 bayt olan base64 URL ile kodlanmış bir dizi olmalıdır. Bu diziyi rastgele seçmeniz gerekir.

  • JWE Şifreli Anahtarı. Bu alan boş. Cihaz, cihazın baş harfinden türer ClientSecret.

  • JWE BaşlatmaVektörü. Yük şifresini çözmek için base64url kodlanmış başlatma vektörü kaynağında olması gerekir. IV, rastgele 12 baytlı bir değer olmalıdır (AES-GCM şifre ailesi kullanıyoruz, IV'in 12 bayt uzunluğunda olması gerekir).

  • JWE AAD (ek kimlik doğrulaması verileri). Kompakt SeriLeştirmede desteklenmey olduğundan, bu alanı yoklamalısiniz.

  • JWE Şifremetni: Bu, gizli tutmak istediğiniz şifrelenmiş yüktir.

    Yük boş OLABILIR (Örneğin, istemci gizli şablonunu sıfırlamak için boş bir değerle üzerine yazmanız gerekir).

    Cihazda yapmaya çalıştığınıza bağlı olarak farklı yük türleri vardır. Farklı xAPI komutları farklı yükler bekler ve bu komutla birlikte yüklemenin amacını cisco-action aşağıdaki gibi önemli:

    • Şununla: "cisco-action":"populate" şifre metni, yeni ClientSecret

    • ile "cisco-action":"add" şifremetin, sertifikayı ve özel anahtarını (kısa bir) taşıyan PEM taşıması

    • ile "cisco-action":"activate" şifre metni, cihaz kimlik doğrulaması için etkinleştiren sertifikanın parmak izi (sha-1'in onaltılık temsili)dır

    • ile "cisco-action":"deactivate" şifre metni, cihaz kimliği doğrulama için kullanılan sertifikanın parmak izi (sha-1'in onaltılık temsili)dır

  • JWE kimlik doğrulama etiketi: Bu alan, tüm JWE kompakt olarak seri hale getirilecek ile ilgili bütünlüğü tespit etmek için kimlik doğrulama etiketini içerir

Şifreleme anahtarı nasıl ClientSecret

Gizli gizlinin ilk nüfusu sonra, gizli gizli gizli metni kabul etmez veya çıktısını düz metin olarak kabul etmeziz. Bu, cihaza erişen herhangi bir kişi tarafından potansiyel sözlük saldırısının önlenmesidir.

Cihaz yazılımı, anahtar türetilen işlevine (kdf) giriş olarak istemci gizli anahtarını ve ardından cihazın içerik şifre çözme/şifreleme için türetilen anahtarı kullanır.

Bunun anlamı, JWE bilgisayarlarını üretmek için aracının, istemci gizli anahtarıyla aynı şifreleme/şifre çözme anahtarını türetilen prosedüre uyması gerektiğidir.

Cihazlar, aşağıdaki parametrelerle anahtar türetasyonu (bkz. https://en.wikipedia.org/wiki/Scrypt) için şifre kullanır:

  • CostSever (N) şu şekildedir: 32768

  • BlockSizeA (r) 8'tir

  • ParalelleştirmeDele (p) 1'tir

  • Salt, en az 4 baytlık rastgele bir dizidir; bunu aynı anda sağlamak için salt zaman belirtme cisco-kdf parametresini kullanabilirler.

  • Anahtar uzunlukları ya 16 bayttır (AES-GCM 128 algoritması seçin), veya 32 bayt (AES-GCM 256 algoritmasını seçersiniz)

  • Maksimum bellek cap değeri, 64 MB'tır

Bu parametre kümesi, cihazlardaki anahtar türetasyonu işleviyle uyumlu tek şifre yapılandırmasıdır. Cihazlardaki bu kdf, "version":"1", şu anda tarafından alınan tek sürümdür cisco-kdf parametresini kullanabilirler.

Çalışan örnek

JWE şifreleme işleminizin cihazlarda oluşturduğunuz işlemlerle aynı şekilde çalıştığını doğrulamak için aşağıdakini izleyin.

Örnek senaryo, cihaza PEM ile ekler (tam bir cert + anahtarı yerine çok kısa bir dizeyle sertifika eklemeyi taklittir). Örnekteki istemci gizlidir: ossifrage.

  1. Bir şifreleme şifresi seçin. Bu örnek, A128GCM(AES ve 128 bit tuşlarıyla, Ayrıcasla'nın Sayacı Modunda). Aracınız, otomatik olarak A256GCM tercih ederseniz.

  2. Bir salt (en az 4 baytlık rastgele bir dizi olmalıdır) seçin. Bu örnek kullanır (altılık bayt) E5 E6 53 08 03 F8 33 F6. Base64url, şu diziyi kodla: 5eZTCAP4M_Y(base64 doldurmayı kaldırın).

  3. İşte bir örnek scrypt içerik içeriğini oluşturmak için şu şifreleme anahtarı ( tüm çağrı):

    cek=scrypt(password="ossifrage", salt=4-byte-sequence, N=32768, r=8, p=1, keylength=16)

    Türetilen anahtar şu şekilde 16 bayt (hex) olmalıdır: 95 9e ba 6d d1 22 01 05 78 fe 6a 9d 22 78 ff ac base64url'un kodlanan dili: lZ66bdEiAQV4_mqdInj_rA.

  4. Başlatma vektörü olarak kullanmak için rastgele 12 baytlık bir dizi seçin. Bu örnek (hex) kullanır 34 b3 5d dd 5f 53 7b af 2d 92 95 83 base64url'un kodlanan dili: NLNd3V9Te68tkpWD.

  5. Kompakt serileştirme ile JOSE üstbilgisi oluşturun (burada kullanmakta olduğu parametrelerin aynı sıralarını takip edin) ve ardından base64url bunu kodlar:

    {"alg":"dir","cisco-action":"add","cisco-kdf":{"salt":"5eZTCAP4M_Y","version":"1"},"enc":"A128GCM"}

    Base64url ile kodlanmış JOSE üstbilgisi: eyJhbGciOiJkaXIiLCJjaXNjby1hY3Rpb24iOiJhZGQiLCJjaXNjby1rZGYiOnsic2FsdCI6IjVlWlRDQVA0TV9ZIiwidmVyc2lvbiI6IjEifSwiZW5jIjoiQTEyOEdDTSJ9

    Bu, JWE ile ilgili ilk öğe olacak.

  6. Bir JWE verisi kaynağımız olmadığınız için JWE neden olan ikinci öğe şifreleme anahtarı.

  7. JWE neden olduğu üçüncü öğe, başlatma vektörü NLNd3V9Te68tkpWD.

  8. Şifrelenmiş bir yük ve etiket üretecek JWE şifreleme aracını kullanın. Bu örnekte şifrelenmemiş yük, sahte PEM ile yük olacak this is a PEM file

    Kullanman gereken şifreleme parametreleri:

    • Yük: this is a PEM file

    • Şifreleme şifresi AES 128 GCM'tir

    • base64url ile kodlanmış JOSE üstbilgisi Ek Kimlik Doğrulaması Verileri (AAD) olarak

    Base64url, şifrelenen yük ile kodlar ve bu da, f5lLVuWNfKfmzYCo1YJfODhQ

    Bu, JWE ile ilgili dördüncü öğedir (JWE Şifre metni).

  9. Base64url, 8. adımda ürettiğimiz etiketi kodlar ve bu etiketin, PE-wDFWGXFFBeo928cfZ1Q

    Bu, JWE ile ilgili beş öğedir.

  10. JWE neden olan beş unsuru noktalarla birleştirin (JOSEheader.. IV.Şifremetin.Etiketi) şunları almak için:

    eyJhbGciOiJkaXIiLCJjaXNjby1hY3Rpb24iOiJhZGQiLCJjaXNjby1rZGYiOnsic2FsdCI6IjVlWlRDQVA0TV9ZIiwidmVyc2lvbiI6IjEifSwiZW5jIjoiQTEyOEdDTSJ..9NLNd3V9Te68tkpWD.f5lLVuWNfKfmzYCo1YJfODhQ.PE-wDFWGXFFBeo928cfZ1Q

  11. Burada göstermemiz ile aynı base64url kodlanmış değerlerini türetilen kendi araçlarınızı kullanarak, cihazlarınızı E2E şifrelemeyi ve doğrulanmış kimliğini güvenceye almak için bunları kullanmaya hazırsınız.

  12. Bu örnek aslında çalışmanıza yardımcı olmayacaktır ama bir sonraki adım, sertifikayı ekleyen cihazda xcommand'a giriş olarak oluşturduğunuz JWE ile aynı olur:

    xCommand Security Certificates Add eyJhbGciOiJkaXIiLCJjaXNjby1hY3Rpb24iOiJhZGQiLCJjaXNjby1rZGYiOnsic2FsdCI6IjVlWlRDQVA0TV9ZIiwidmVyc2lvbiI6IjEifSwiZW5jIjoiQTEyOEdDTSJ..9NLNd3V9Te68tkpWD.f5lLVuWNfKfmzYCo1YJfODhQ.PE-wDFWGXFFBeo928cfZ1Q

Sıfır güvenli toplantılar için, ek ücret ödemeden tüm toplantı sitelerine devammız için yeni oturum türleri vardır. Yeni oturum türlerinden biri Pro-End to End Encryption_VOIPonly. Bu, gelecekte değiştireceğiz Olan Genel Hizmet Adıdır. Oturum türlerinin geçerli adları için bu makalenin Referans bölümünde Oturum Türü Kimlikleri bölümüne bakın.

Siteniz için yeni özelliği almak için hiçbir şey yapmanıza gerek yoktur, ancak kullanıcılara yeni toplantı oturum türü (Ayrıcalığı da denir) vermek zorunda oluruz. Bu işlemi, kullanıcının yapılandırma sayfasından tek tek veya CSV dışa/içe aktarma gidiş geliş ile toplu olarak yapabiliriz.

1

Control Hub'da oturum açın ve Toplantı sayfasını açın.

2

Sitenizin yapılandırma panelini açmak için site adınıza tıklayın.

3

Siteyi Yapılandır öğesinitıklayın.

4

Ortak Ayarlar alanında Oturum Türleri öğesinitıklatın.

Bu sayfada bir veya daha fazla sona şifreleme oturumu türü gerektiğini görebilirsiniz. Bu makalenin Referans bölümünde Oturum Türü Kimlikleri listesine bakın. Örneğin, Pro- End to End Encryption_VOIPonly.

 

Çok benzer bir oturum türü daha eski bir model var: Pro- End Şifreleme. Bu oturum türü, toplantılara şifre PSTN olmayan erişim içerir. Şifrelemeyi sona erdiren _VOIPonly için yeni sürüme sahip olduğundan emin olun. Oturum kodu sütununda PRO bağlantısının üzerine gelerek kontrol edin; bu örnekte bağlantının hedefi javascript:ShowFeature(652).

Gelecekte bu oturum türleri için Genel Hizmet Adlarını değiştirebiliriz, örneğin, Pro- End'i Bitiş Zamanlarını E2E Şifrelemesi + Kimlik olarak Encryption_VOIPonly şekilde değiştirmeyiplanlıyoruz.

5

Henüz yeni oturum türü yoksa müşteri temsilcinize Webex geçin.

Sonraki adım

Bu özelliği oturum türü / toplantı ayrıcalığını kullanıcılarınız için bire bir etkinleştirin.

1

Kullanıcılar'a tıklayın ve kullanıcının yapılandırma panelini açmak için bir kullanıcı seçin.

2

Hizmetler alanında, seçeneğini tıklatın Cisco Webex Meetings.

3

Siteyi seçin (kullanıcı birden fazla ise) ve Ana Bilgisayar öğesini tıklatın.

4

Pro- End (1 Webex Meetings dan Sonuna) etiketli girişin yanındakiEncryption_VOIPonly.

5

Kullanıcı yapılandırma panelini kapatın.

6

Gerekirse diğer kullanıcılar için tekrarlayın.

Bunu birçok kullanıcıya atamak için CSV toplu seçeneğini kullanın.

1

control Hub'da oturum https://admin.webex.com açın ve Toplantı sayfasını açın.

2

Site yapılandırma panelini açmak için site adınıza tıklayın.

3

Lisanslar ve Kullanıcılar bölümünde Toplu Yönet'etıklayın.

4

Dışa aktar'a tıklayın ve dosyayı hazırlarız sırada bekleyin.

5

Dosya hazır olduğunda Sonuçları Dışa Aktar'a ve ardından İndir'e tıklayın. (Bu açılır pencereyi tıklatmanın ardından manuel olarak kapatmanız gerekir İndir.)

6

Düzenlemek için indirilen CSV dosyasını açın.

Her kullanıcı için bir satır var ve MeetingPrivilege sütun, oturum türü kimliklerini virgülle ayrılmış liste olarak içerir.

7

Yeni izni vermek istediğiniz her kullanıcı için oturum türü ekleyin: 1561 virgülle ayrılmış listede yeni bir değer olarak MeetingPrivilege Hücre.

CSV dosya biçimi https://help.webex.com/en-us/5vox83 referansı, CSV dosyasının amacı ve içeriği hakkında bazı ayrıntılara içerir.

8

Control Hub'da Meeting sitesi yapılandırma panelini açın.

Zaten Toplantı sitesi listesi sayfasındaysanız bunu yenilemeniz gerekir.

9

Lisanslar ve Kullanıcılar bölümünde, Toplu Yönet’e tıklayın.

10

İçe Aktar'a tıklayın ve düzenlenen CSV'yi seçin, ardından İçe Aktar'atıklayın. Dosyayı yüklerken bekleyin.

11

İçe aktarma işlemi tamamlandığında, herhangi bir hata olup bunu gözden geçirmek için İçe Aktarma Sonuçları'ne tıkabilirsiniz.

12

Kullanıcılar sayfasına gidin ve yeni sayfaya sahip olduklarını doğrulamak için kullanıcılardan birini oturum türü.

Cihazlarınız zaten Control Hub organizasyona bağlı durumdasa ve kimlik belirleme sertifikalarını otomatik olarak oluşturmak için Webex CA'yı kullanmak istiyorsanız cihazları fabrika ayarlarına sıfırlamanız gerek değildir.

Bu prosedür, cihazın kendi kimliğini tanımlamak için kullandığı etki alanını seçer ve yalnızca Control Hub organizasyonlarında birden fazla etki alanınız varsa gereklidir. Birden fazla etki alanınız varsa, "Cisco tarafından doğrulanmış" kimliğe sahip olacak tüm cihazlarınız için bunu yapmanızı öneririz. Hangi etki alanının cihazı Webex, bu seçeneği seçecek ve bu sorun diğer toplantı katılımcıları tarafından doğrulanmayacaktır.

Başlamadan önce

Cihazlarınız henüz eklememişse veya cihazlarını takip https://help.webex.com/n25jyr8https://help.webex.com/nutc0dyedin. Ayrıca cihazları tanımlamak için kullanmak istediğiniz etki alanını/etki alanını doğrulamanız gerekir (https://help.webex.com/cd6d84).

1

Control Hub (https://admin.webex.com) üzerinde oturum açın ve Cihazlar sayfasını açın.

2

Yapılandırma panelini açmak için bir cihaz seçin.

3

Bu cihazı tanımlamak için kullanmak istediğiniz etki alanını seçin.

4

Diğer cihazlar için bu işlemi tekrarlayın.

Başlamadan önce

İhtiyacın var:

  • HER cihaz için .pem formatında ca imzalı bir sertifika ve özel anahtar almak için.

  • Bu makalenin Hazırlık bölümünde Cihazlar için Harici Kimlik İşlemleriniAnlama konu başlığı bölümünü okuyun.

  • Bu bilgilerle ilgili bir JWE şifreleme aracı hazırlayın.

  • Verilen uzunluklardan rastgele byte dizileri oluşturmak için bir araç.

  • Base64url bayt veya metin kodlama aracı.

  • Bir scrypt Uygulama.

  • Her cihaz için gizli bir sözcük veya ifade.

1

Cihazın ClientSecret düz metin gizli mesajıyla:

İlk kez Secret, bunu düz metin olarak verirsiniz. Bu yüzden bunu fiziksel cihaz konsolunda öneriyoruz.

  1. Base64url, bu cihaz için gizli ifadeyi kodlar.

  2. Cihazda TShell'i açın.

  3. Çalıştır xcommand Security ClientSecret Populate Secret: "MDEyMzQ1Njc4OWFiY2RlZg"

    Yukarıdaki örnek komut, Secret ifadeyle 0123456789abcdef. Kendi sahibinizi seçmeniz gerekir.

Cihazın ilk gizli gizlisi vardır. Bunu unutmayın, geri kurtarılamaz ve cihazı tekrar başlatmak için fabrika ayarlarına sıfırlamanız gerekir.
2

Sertifikanızı ve özel anahtarınızı kısan:

  1. Bir metin düzenleyici kullanarak .pem dosyalarını açın, sertifika sertifikasını sertifika sertifikasını yapıştırarak yeni bir .pem dosyası olarak kaydedin.

    (Bu, JWE ile bağlantınızı şifreleyyr ve üzerine attırarak yükleyebilirsiniz)

3

Sertifika ekleme komutuna giriş olarak kullanmak için bir JWE zaman ile oluşturun:

  1. En az 4 baytlık rastgele bir dizi oluşturun. Bu sizin saltındır.

  2. Bir içerik içeriğini şifreleme anahtarı şifre aracınız ile türetin.

    Bunun için gizli anahtara, gizli anahtara ve seçtiğiniz şifreleme şifreyle eşleşmesi için bir anahtara ihtiyacınız vardır. Sağlamak için başka sabit değerler de vardır (N=32768, r=8, p=1). Cihaz, aynı işlemi ve değerleri, aynı içeriğin türeticisi için şifreleme anahtarı.

  3. Yalnızca 12 baytlık rastgele bir dizi oluşturun. Bu sizin başlatma vektörü.

  4. JOSE üstbilgisi oluştur, ayar alg, enc ve cisco-kdf cihazlar için Harici Kimlik İşlemlerini Anlama içinde açıklandığı gibi anahtarlar. Şu anahtarı kullanarak "ekle" eylemlerini ayarlayın:değer "cisco-action":"add" jose üst bilginize girin (sertifikayı cihaza eklemiz nedeniyle).

  5. Base64url, JOSE başlığını kodlar.

  6. Seçilen şifre ile JWE şifreleme aracınızı ve base64url ile kodlanmış JOSE üstbilgisini kullanarak, metni sonuçlanmış pem dosyasından şifreleebilirsiniz.

  7. Base64url başlatma vektörü, şifrelenmiş PEM yükünü ve kimlik doğrulama etiketini kodlar.

  8. JWE neden şu şekilde oluşturun (tüm değerler base64url ile kodlanmıştır):

    JOSEHeader..InitVector.EncryptedPEM.AuthTag

4

Cihazda TShell'i açın ve (çok satırlı) add komutunu çalıştırın:

xcommand Security Certificates Services Add IsEncrypted: True
your..JWE.str.ing\n
.\n
5

Çalıştırarak sertifikanın ek olduğunu doğrulayın xcommand Security Certificates Services Show

Yeni sertifikanın parmak izi kopyalayın.

6

Sertifikayı şu amaç için etkinleştirin: WebexIdentity:

  1. Sertifikanın kendisinde veya çıkıştan sertifikanın parmak izi okundu xcommand Security Certificates Services Show.

  2. En az 4 baytlık rastgele bir dizi oluşturun ve base64url bu sırayı kodlar. Bu sizin saltındır.

  3. Bir içerik içeriğini şifreleme anahtarı şifre aracınız ile türetin.

    Bunun için gizli anahtara, gizli anahtara ve seçtiğiniz şifreleme şifreyle eşleşmesi için bir anahtara ihtiyacınız vardır. Sağlamak için başka sabit değerler de vardır (N=32768, r=8, p=1). Cihaz, aynı işlemi ve değerleri, aynı içeriğin türeticisi için şifreleme anahtarı.

  4. Yalnızca 12 baytlık rastgele bir dizi oluşturun ve base64url bu sırayı kodlar. Bu sizin başlatma vektörü.

  5. JOSE üstbilgisi oluştur, ayar alg, enc ve cisco-kdf cihazlar için Harici Kimlik İşlemlerini Anlama içinde açıklandığı gibi anahtarlar. Şu anahtarı kullanarak "etkinleştir" eylemlerini ayarlayın:değer "cisco-action":"activate" JOSE üstbilginize girin (cihazda sertifikayı etkinleştirdikten sonra).

  6. Base64url, JOSE başlığını kodlar.

  7. Sertifika parmak izi şifrelemek için JWE şifreleme aracını seçilen şifre ve base64url ile kodlanmış JOSE üstbilgisini kullanın.

    Araç, 128 veya 256 bit AES-GCM'yi ve kimlik doğrulama etiketini tercih edernize bağlı olarak 16 veya 32 byte sıralı çıkış gerekir.

  8. Base64urlencode şifreli parmak izi ve kimlik doğrulama etiketi.

  9. JWE neden şu şekilde oluşturun (tüm değerler base64url ile kodlanmıştır):

    JOSEHeader..InitVector.EncryptedFingerprint.AuthTag

  10. Cihazda TShell'i açın ve aşağıdaki etkinleştirme komutunu çalıştırın:

    xcommand Security Certificates Services Activate Purpose: WebexIdentity Fingerprint: "Your..JWE.encrypted.fingerprint"
Cihazın şifrelenmiş, etkin, SERTIFIKA yetkilisi tarafından verilen bir sertifikası vardır ve bu sertifikayı toplantıların bitiş uçlarında Webex.
7

Cihazı Control Hub organizasyona bağlayın.

1

Doğru türe sahip bir toplantı planla (Webex Meetings Toplantıyı Toplantıyı Encryption_VOIPonly).

2

Yeni bir istemciden toplantıya toplantı sahibi Webex Meetings katılın.

3

Toplantıya, sertifika yetkilisi tarafından kimliği doğrulanmış bir cihazdan Webex katılın.

4

Kullanıcı sahibi olarak doğru kimlik simgesiyle birlikte lobide bu cihazın görüntülendiğinden emin olun.

5

Harici bir CA tarafından kimliği doğrulanmış bir cihazdan toplantıya katılın.

6

Kullanıcı sahibi olarak doğru kimlik simgesiyle birlikte lobide bu cihazın görüntülendiğinden emin olun.

7

Toplantıya kimliği doğrulanmamış toplantılar katılımcısı olarak katılın.

8

Ev sahibi olarak bu katılımcının, doğru kimlik simgesiyle birlikte lobide görüntülendiğinden emin olun.

9

Ev sahibi olarak insanları/cihazları kabul edin veya reddedin.

10

Sertifikaları kontrol ederek mümkün olduğu yere katılımcı/cihaz kimliklerini doğrula.

11

Toplantı daki herkesin aynı toplantı güvenlik kodunu gördüğünü kontrol edin.

12

Toplantıya yeni bir katılımcıyla katılın.

13

Herkesin aynı, yeni toplantı güvenlik kodunu gördüğünü kontrol edin.

Toplantıyı toplantıyı toplantıyı varsayılan toplantı seçeneği mi yapacak veya yalnızca bazı kullanıcılar için etkinleştiracak veya tüm toplantı sahiplerine izin vereceksiniz? Bu özelliği nasıl kullanmaya karar verdiklerinde, özellikle de toplantıda hangi sınırlamaları ve neyi beklediğinizi gözleriyle, bu özelliği kullanacak kullanıcıları hazırlayın.

Cisco veya başka herhangi birinin içeriğinizin şifresini çözemelerini veya cihazlarınızı kimliğe bürünmelerini sağlamaya ihtiyacınız var mı? Bu olursa, genel sertifika yetkilisinden sertifikalara ihtiyacınız vardır. Güvenli bir toplantıda en fazla 25 cihazınız olabilir. Bu düzeyde güvenlik seviyesine ihtiyacınız varsa toplantı istemcilerinin katılmasına izin vermeyin.

Güvenli cihazlarla katılan kullanıcılar için önce cihazların katılmasına izin verir ve geç katılacakları zaman katılamayabilecek kullanıcı beklentilerini ayarlayın.

Farklı kimlik doğrulama düzeylerine sahipler, kullanıcıları sertifikalı kimlik ve toplantı güvenlik koduyla doğrulamaya yetkili kının. Katılımcıların Doğrulanmamış olarak görünmesine ve katılımcıların nasıl kontrol etmek için gerektiğini gerektiği durumlarda bile, doğrulanmamış kişiler yersiz değil.

Cihaz sertifikalarınızı sorun için harici bir CA kullanıyorsanız sertifikaları izlemek, yenilemek ve yeniden kullanmak sizindir.

İlk gizli gizliyi oluşturduysanız kullanıcılarının cihaz gizlisini değiştirmek istemeyebilirsiniz. Bunu yapmalarını sağlamak için bir arayüz oluşturmanız/aracı dağıtmanız gerekir.

Tablo 1. 1 2013-2018 şifreli toplantılar için Oturum Türü Kimlikleri

Oturum Türü Kimliği

Genel Hizmet Adı

638

E2E Şifreleme+VoIP kullanın

652

Pro- Bitiş Bitişi Encryption_VOIPonly

660

Pro 3 Ücretsiz Bitiş Bitişi Encryption_VOIPonly

E2E Şifreleme + Kimlik

672

Pro 3 Ücretsiz50- Bitiş Encryption_VOIPonly

673

Eğitim Eğitmeni E2E Encryption_VOIPonly

676

Broadworks Standart plus bitişi şifreleme

677

Broadworks Premium plus bitişi şifreleme

681

Ücretsiz Eğitim ve sona şifreleme

Bu tabloda, Webex sona şifreli toplantılar ve doğrulanmış kimlik için eklenmiz cihazlar API komutları açıklanmıştır. API'nin nasıl kullanımı hakkında daha fazla bilgi için bkz. https://help.webex.com/nzwo1ok.

Tablo 2. Sona kadar şifreli toplantılar ve doğrulanmış kimlik için sistem seviyesi API'leri

API çağrısı

Açıklama

xConfiguration Conference EndToEndEncryption Mode: On

Sona kadar şifreleme modunu sonladır On veya Off.

xConfiguration Conference EndToEndEncryption Identity PreferredDomain: "example.com"

Bu yapılandırma, yönetici Control Hub'dan cihazın tercih ettiği etki alanını ayar olduğunda yapılır. Kuruluşun birden fazla etki alanına sahip olduğu için gereklidir.

Cihaz, sertifika yetkilisinden sertifika isteğinde bulundurarak bu etki Webex kullanır. Etki alanı cihazı tanımlar.

Bu yapılandırma, cihazın kendi kimliğini tanımlamak için etkin, harici olarak verilen bir sertifikaya sahip olduğunda geçerli değildir.

xStatus Conference EndToEndEncryption Availability

Cihazın toplantıyı toplantıyı toplantıyı takip etmek için katılanı gösterir. Bulut API'si çağrıyı arar, böylece eşleştirilmiş bir uygulama katılmak için cihazı kullanıp kullana bilir.

xStatus Conference EndToEndEncryption ExternalIdentity Valid

Cihazın harici olarak verilen geçerli bir sertifikası olup olmadığını gösterir.

xStatus Conference EndToEndEncryption ExternalIdentity Identity

Cihazın, harici olarak verilen sertifikanın Ortak Ad'ını oku şekilde kimliği.

xStatus Conference EndToEndEncryption ExternalIdentity CertInfo

Harici olarak verilen sertifikadan sertifika bilgilerini okunur ve JSON olarak çıkar.

xStatus Conference EndToEndEncryption InternalIdentity Valid

Cihazın sertifika yetkilisi tarafından verilen geçerli bir sertifikaya sahip olup olmadığını Webex gösterir.

xStatus Conference EndToEndEncryption InternalIdentity Identity

Verilen sertifikanın Ortak Ad'Webex cihazın kimliği.

Kuruluşun etki alanı varsa etki alanı adı içerir.

Kuruluşun etki alanı yoksa boştur.

Cihaz, birden fazla etki alanına sahip bir kuruluşta ise bu, PreferredDomain.

xStatus Conference EndToEndEncryption InternalIdentity CertInfo

Verilen sertifikadan sertifika bilgilerini Webex ve bunu JSON olarak çıkartır.

Tablo 3. Sona kadar şifreli toplantılar ve doğrulanmış kimlik için çağrı API'leri

API çağrısı

Açıklama

xStatus Call # ServerEncryption Type

Dosya açmak için HTTPS bağlantısında kullanılan şifreleme şifre Webex. Bu, kullanıcıya görüntülenir.

xStatus Conference Call # EndToEndEncryption Status

Çağrıları sona kadar şifreleme durumunu okur. Kullanıcıya asma kilit simgesinin iletişim durumu (veya yokluğu) olarak görüntülenir.

xStatus Conference Call # EndToEndEncryption SecurityCode

Toplantının güvenlik kodunu okur. Bu, kullanıcıya gösterilir ve katılımcılar katlendiğinde değişir.

xStatus Conference Call # EndToEndEncryption MediaEncryption Type

Ortam bağlantısında kullanılan şifreleme şifreni okuyabilir. Bu, kullanıcıya görüntülenir.

xStatus Conference Call # EndToEndEncryption GroupEncryption Type

Mesajlaşma Katmanı Güvenliği (AYAS) için kullanılan şifreleme şifresi okunur.

xStatus Conference Call # EndToEndEncryption Roster Participant

Bu toplantıda, BENİS grup durumuna katkıda bulunan katılımcıları listeler. Liste, tam olarak değil, SİSS tarafından Webex.

xStatus Conference Call # EndToEndEncryption Roster Participant # Id

Belirtilen katılımcının WDM URL'si.

xStatus Conference Call # EndToEndEncryption Roster Participant # Status:

Belirtilen katılımcının doğrulama durumu.

xStatus Conference Call # EndToEndEncryption Roster Participant # Identity:

Belirtilen katılımcının birincil kimliği, genellikle bir etki alanı (cihaz) veya e-posta adresi (kullanıcı).

xStatus Conference Call # EndToEndEncryption Roster Participant # DisplayName:

Belirtilen katılımcının görünen adı. Katılımcı/cihaz tarafından imzalanmış.

xStatus Conference Call # EndToEndEncryption Roster Participant # CertInfo:

Belirtilen katılımcının sertifikasından JSON olarak sertifika bilgileri.

xCommand Conference ParticipantList Search

Bu komutu, katılımcılar için sona şifreleme bilgilerini içerecek şekilde uzattık.

xCommand Conference ParticipantList Search

Katılımcı listesi araması artık şunları içerir: EndToEndEncryptionStatus, katılımcının kimlik doğrulama durumu. Bu değer, kullanıcı arayüzünde görüntülenir.

xCommand Conference ParticipantList Search

Katılımcı listesi araması artık şunları içerir: EndToEndEncryptionIdentity, katılımcının birincil kimliği. Bu, genellikle bir etki alanı veya e-posta adresidir. Bu değer, kullanıcı arayüzünde görüntülenir.

xCommand Conference ParticipantList Search

Katılımcı listesi araması artık şunları içerir: EndToEndEncryptionCertInfo, katılımcının sertifikasını içeren JSON ile. Bu değer, kullanıcı arayüzünde görüntülenir.

xEvent Conference ParticipantList Participant(Added)

xEvent Conference ParticipantList Participant(Updated)

xEvent Conference ParticipantList Participant(Deleted)

Bu üç etkinlik artık şunları içerir: EndToEndEncryptionStatus, EndToEndEncryptionIdentity ve EndToEndEncryptionCertInfo katılımcı için.

Tablo 4. 1 güncel şifreli toplantılar ve doğrulanmış kimlik için ClientSecret ile ilgili API'ler

API çağrısı

Açıklama

xCommand Security ClientSecret Populate Secret: "base64url-encoded" veya xCommand Security ClientSecret Populate Secret: JWEblob

İlk kez cihaz üzerinde istemci gizli şifresini biçimlendirmek için base64url ile kodlanmış düz metin değeri kabul eder.

Gizli anahtarı ilk defa bundan sonra güncellemek için, eski gizli anahtar tarafından şifrelenen yeni gizli anahtarı içeren bir JWE neden kaynağı olarak bunu güncelleştirmeniz gerekir.

xCommand Security Certificates Services Add JWEblob

Bir sertifika ekler (özel anahtarla).

Bu komutu, şifrelenmiş PEM verilerini içeren bir JWE sadece kabul etmek için uzattık.

xCommand Security Certificates Services Activate Purpose:WebexIdentity FingerPrint: JWEblob

WebexIdentity için belirli bir sertifikayı etkinleştirir. Bunun için Purpose, komut, kimlik tanımlama parmak izi tanımlamanın bir JWE ile şifrelenmiş ve seri numarası olarak seri hale getir gerektirir.

xCommand Security Certificates Services Deactivate Purpose:WebexIdentity FingerPrint: JWEblob

WebexIdentity için belirli bir sertifikayı devre dışı bırakılır. Bunun için Purpose, komut, kimlik tanımlama parmak izi tanımlamanın bir JWE ile şifrelenmiş ve seri numarası olarak seri hale getir gerektirir.