Ek

XSP Kimlik Doğrulaması Hizmetini Yapılandırma (mTLS ile)

mTLS kimlik doğrulamasını kullanmak üzere BroadWorks'te Kimlik Doğrulama Hizmetini yapılandırmak için bu Ekteki prosedürleri tamamların. AŞAĞıDAKI örnekler de dahil olmak üzere CI Jetonu Doğrulaması (TLS ile) destekleyen örneklerde mTLS kimlik doğrulaması zorunludur:

  • R21SP1 çalıştırıyorsanız

  • R22 veya daha yüksek bir sayıda çalıştırıyorsanız ve birden çok Webex kuruluş aynı XSP sunucusuyla çalışıyorsa


R22 veya daha yüksek bir sayıda çalıştırıyorsanız ve aynı XSP sunucusuyla çalışan birden Webex kuruluş yoksa Auth Hizmeti için CI Belirteç Doğrulaması (TLS ile) önerilir. Ayrıntılar için BroadWorks için Hizmeti Dağıtma bölümünde Kimlik Doğrulaması Hizmetini Yapılandırma (CI Jetonu Doğrulamasıyla) Webex bakın.

Kimlik Doğrulama Hizmetini Yükle

BroadWorks 21SP1'de kimlik doğrulama hizmeti, kontrolsiz bir uygulamadır. Aşağıdaki adımları tamamlayarak yükleyin:

  1. Xchange authenticationService_1.0.war (web uygulaması kaynağı) dosyasınıhttps://xchange.broadsoft.com/node/499012indirin.

    Her bir XSP'de her Webex, şunları yapın:

  2. .war dosyasını XSP'de şu gibi geçici bir konuma kopyalayın: /tmp/

  3. Aşağıdaki CLI bağlam ve komut ile kimlik doğrulama hizmeti uygulamasını yükleyin:

    XSP_CLI/Maintenance/ManagedObjects> install application /tmp/authenticationService_1.0.war

Kimlik Doğrulama Hizmetini Yapılandırma

BroadWorks uzun belirteçleri, XSPs'lerde barındırılan kimlik doğrulaması hizmeti tarafından oluşturulur ve doğrulanır.

Gereksinimler

  • Kimlik Doğrulama Hizmetini barındıran XSP sunucularında, yapılandırılmış bir mTLS arayüzü olması gerekir.

  • XSPs'in, BroadWorks uzun jetonları şifrelemek/şifresini çözmek için aynı anahtarları paylaşması gerekir. Bu anahtarların her XSP'ye kopya kopyası manuel bir işlemdir.

  • XSPs'in NTP ile senkronize olması gerekir.

Yapılandırmaya Genel Bakış

XSPs'inizin temel yapılandırması şunları içerir:

  • Kimlik doğrulama hizmetini dağıtın.

  • Jeton süresini en az 60 gün olarak yapılandır (sertifikayı sertifikayı BroadWorks olarak bırakın).

  • XSPs arasında RSA anahtarları oluştur ve paylaş.

  • Web kapsayıcısı için authService URL'sini girin.

XSP'de Kimlik Doğrulama Hizmetini Dağıtma

Her bir XSP'de şu Webex:

  1. Yol üzerinde kimlik doğrulaması hizmeti uygulamasını etkinleştirin /authService(bu yolu kullan gerekir):

    XSP_CLI/Maintenance/ManagedObjects> activate application authenticationService <version> /authService

    (burada <version> şu şekildedir: 1.0 21SP1'de belirlenemeyen uygulama için).

  2. Uygulamayı dağıtın:

    XSP_CLI/Maintenance/ManagedObjects> deploy application /authService

Jeton Süresini Yapılandır

  1. Mevcut jeton yapılandırmasını kontrol edin (saat):

    21SP1'de: XSP_CLI/Applications/authenticationService_1.0/TokenManagement> get

  2. Süreyi 60 gün olarak ayarla (maksimum 180 gündür):

    21SP1'de: XSP_CLI/Applications/authenticationService_1.0/TokenManagement> set tokenDuration 1440

RSA Anahtarları Oluşturma ve Paylaşma

  • Kimlik doğrulama hizmetinin tüm örnekleri arasında jeton şifreleme/şifre çözme için aynı genel/özel anahtar çiftlerini kullanabilirsiniz.

  • Anahtar çifti, kimlik doğrulaması hizmeti tarafından ilk olarak bir belirteç oluşturmak gerektiğinde oluşturulur.

Bu iki nedenden dolayı bir XSP üzerinde anahtar oluşturmanız ve ardından bunları diğer tüm XSPs'lere kopyalamanız gerekir.


Anahtarları döngüsünde veya anahtar uzunluğunu değiştirirsiniz, aşağıdaki yapılandırmayı tekrarlamanız ve tüm XSPs'i yeniden başlatmanız gerekir.

  1. Bir anahtar çifti oluşturmak için kullanmak istediğiniz bir XSP seçin.

  2. İstemcinin tarayıcısında aşağıdaki URL'yi talep etmek üzere XSP'den şifreli bir belirteç talep etmek için istemci kullanın:

    https://<XSP-IPAddress>/authService/token?key=BASE64URL(clientPublicKey)

    (Böyle bir anahtar zaten yoksa XSP'de özel/genel anahtar çifti oluşturmakta)

  3. (Yalnızca 21SP1) Aşağıdaki komutu kullanarak yapılandırılabilir anahtar konumunu kontrol edin:

    XSP_CLI/Applications/authenticationService_1.0/KeyManagement> get

  4. (Yalnızca 21SP1) Geri dönenleri not al fileLocation parametresini kullanabilirler.

  5. (Yalnızca 21SP1) Tamamını kopyala fileLocation dizinde bulunan public ve private tüm diğer XSPs'lere alt dizinler.

Web kapsayıcısı için authService URL'sini girin

XSP'nin web kapsayıcısı, belirteçleri doğrulanması için authService URL'sini gerekir.

XSPs'lerin her biri üzerinde:

  1. BroadWorks Communications Yardımcı Programı için kimlik doğrulama hizmeti URL'sini harici kimlik doğrulaması hizmeti olarak ekleyin:

    XSP_CLI/System/CommunicationUtility/DefaultSettings/ExternalAuthentication/AuthService> set url http://127.0.0.1/authService

  2. Kapsayıcıya kimlik doğrulaması hizmeti URL'sini ekleyin:

    XSP_CLI/Maintenance/ContainerOptions> add tomcat bw.authservice.authServiceUrl http://127.0.0.1/authService

    Bu, Webex bilgileri olarak sunulan belirteçleri doğrulamak için Kimlik Doğrulaması Hizmetini kullanmalarını sağlar.

  3. Parametreyi şu şekilde kontrol edin: get.

  4. XSP'yi yeniden başlatın.

Kimlik Doğrulaması Hizmeti için Güveni Yapılandırma (mTLS ile)

Güveni Yapılandırma (R21 SP1)
  1. Partner Hub'da oturum açma.

  2. BroadWorks Çağrısı'> Ayarlar'a gidin ve almak için Webex CA Sertifikasını İndir'e tıklayın CombinedCertChain.txt yerel bilgisayarınızda kullanılır.


    Bu dosya iki sertifika içeriyor. Dosyayı XSPs'e yüklemeden önce bölmek gerekir.
  3. Sertifika zincirini iki sertifikaya bölün:

    1. combinedcertchain.txt metin düzenleyicide.

    2. Satırlar dahil olmak üzere metnin ilk bloklarını seç ve kes -----BEGIN CERTIFICATE----- ve -----END CERTIFICATE----- ve metin blokunu yeni bir dosyaya yapıştırın.

    3. Yeni dosyayı farklı kaydet broadcloudroot.txt.

    4. Orijinal dosyayı farklı kaydet broadcloudissuing.txt.

      Orijinal dosyada artık satırlarla çevrelenmiş yalnızca bir metin bloğu olması gerekir -----BEGIN CERTIFICATE----- ve -----END CERTIFICATE-----.

  4. Her iki metin dosyalarını da, güvencesini istediğiniz XSP'de geçici bir konuma kopyalayın; ör. /tmp/broadcloudroot.txt ve /tmp/broadcloudissuing.txt.

  5. XSP'de oturum açma ve /XSP_CLI/Interface/Http/ClientAuthentication>

  6. Çalıştırma: get komutu ve oku chainDepth parametresini kullanabilirler.

    (chainDepth, varsayılan olarak 1'dir ve bu da iki sertifikası Webex zinciri için çok düşüktür)

  7. chainDepth 2'den büyük değilse, çalıştırın set chainDepth 2.

  8. (İsteğe bağlı) Çalıştırmak help updateTrust komut biçimini ve parametreleri görmek için.

  9. Sertifika dosyalarını yeni güven çıpalarına yükleyin:

    XSP_CLI/Interface/Http/ClientAuthentication/Trusts> updateTrust webexclientroot /tmp/broadcloudroot.txt

    XSP_CLI/Interface/Http/ClientAuthentication/Trusts> updateTrust webexclientissuing /tmp/broadcloudissuing.txt


    webexclientroot ve webexclientissuing güven çıpaları için örnek takma adlardır; kendi ifadenizi kullanabilirsiniz.
  10. Her iki sertifikanın da yük olduğunu onaylayın:

    /XSP_CLI/Interface/Http/ClientAuthentication/Trusts> get

Güveni Yapılandırma (R22 ve sonrası)

  1. İş ortağı yönetici hesabınızla Control Hub'da oturum açın.

  2. BroadWorks Çağrısı'> Ayarlar'a gidin ve almak için Webex CA Sertifikasını İndir'e tıklayın CombinedCertChain.txt yerel bilgisayarınızda kullanılır.


    Bu dosya iki sertifika içeriyor. Dosyayı XSPs'e yüklemeden önce bölmek gerekir.
  3. Sertifika zincirini iki sertifikaya bölün:

    1. combinedcertchain.txt metin düzenleyicide.

    2. Satırlar dahil olmak üzere metnin ilk bloklarını seç ve kes -----BEGIN CERTIFICATE----- ve -----END CERTIFICATE----- ve metin blokunu yeni bir dosyaya yapıştırın.

    3. Yeni dosyayı farklı kaydet broadcloudroot.txt.

    4. Orijinal dosyayı farklı kaydet broadcloudissuing.txt.

      Orijinal dosyada artık satırlarla çevrelenmiş yalnızca bir metin bloğu olması gerekir -----BEGIN CERTIFICATE----- ve -----END CERTIFICATE-----.

  4. Her iki metin dosyalarını da, güvencesini istediğiniz XSP'de geçici bir konuma kopyalayın; ör. /tmp/broadcloudroot.txt ve /tmp/broadcloudissuing.txt.

  5. (İsteğe bağlı) Çalıştırmak help UpdateTrust komut biçimini ve parametreleri görmek için.

  6. Sertifika dosyalarını yeni güven çıpalarına yükleyin:

    XSP_CLI/Interface/Http/SSLCommonSettings/ClientAuthentication/Trusts> updateTrust webexclientroot /tmp/broadcloudroot.txt

    XSP_CLI/Interface/Http/SSLCommonSettings/ClientAuthentication/Trusts> updateTrust webexclientissuing /tmp/broadcloudissuing.txt


    webexclientroot ve webexclientissuing güven çıpaları için örnek takma adlardır; kendi ifadenizi kullanabilirsiniz.
  7. Çıpaların güncellenmelerini onaylayın:

    XSP_CLI/Interface/Http/SSLCommonSettings/ClientAuthentication/Trusts> get

      Alias   Owner                                   Issuer
    =============================================================================
    webexclientissuing    BroadCloud Commercial Issuing CA – DA3     BroadCloud Commercial Trusted Root CA
    webexclientroot       BroadCloud Commercial Trusted Root CA      BroadCloud Commercial Trusted Root CA[self-signed]

(Seçenek) mTLS'yi HTTP arayüzü/bağlantı noktası seviyesinde yapılandır

mTLS'yi HTTP arayüzü/bağlantı noktası seviyesinde veya her web uygulaması için yapılandırabilirsiniz.

Uygulamanız için mTLS'yi etkinleştirmeniz, XSP'de sahiplik kullandığınız uygulamalara bağlıdır. mTLS gerektiren birden fazla uygulama barındırıyorsanız arayüzünde mTLS'yi etkinleştirmeniz gerekir. Aynı HTTP arayüzünü kullanan birkaç uygulamanın güvenliğini sağlamanız gerekirse uygulama seviyesinde mTLS'yi yapılandırabilirsiniz.

HTTP arayüzü/bağlantı noktası seviyesinde mTLS yapılandırilirken, bu arayüz/bağlantı noktası üzerinden erişilen tüm barındırılan web uygulamaları için mTLS gereklidir.

  1. Arayüzünü yapılandırarak XSP'de oturum açma.

  2. Şu sayfaya git: XSP_CLI/Interface/Http/HttpServer> ve çalıştırın: get komut kullanarak arayüzleri görebilirsiniz.

  3. Bir arayüz eklemek ve burada istemci kimlik doğrulamasını gerekli yapmak için (yani mTLS ile aynı şekilde):

    XSP_CLI/Interface/Http/HttpServer> add IPAddress Port Name true true

    Ayrıntılar için XSP CLI belgelerine bakın. Temel olarak true TLS ile arayüzü güvenli halelar (sunucu sertifikası oluşturulursa) ve ikinci true arayüzün istemci sertifika kimlik doğrulamasını gerekli olarak gerektirmek zorunda (birlikte mTLS vardır).

Örnek:

XSP_CLI/Interface/Http/HttpServer> get

Interface Port Name Secure Client Auth Req Cluster Fqdn
         =======================================================
         192.0.2.7 443 xsp01.collab.example.net true false 
         192.0.2.7 444 xsp01.collab.example.net true true

Bu örnekte mTLS (İstemci Auth Req = true) etkindir 192.0.2.7 port 444. TLS şunda etkinleştirildi: 192.0.2.7 port 443.

(Seçenek) Belirli web uygulamaları için mTLS'yi yapılandırma

mTLS'yi HTTP arayüzü/bağlantı noktası seviyesinde veya her web uygulaması için yapılandırabilirsiniz.

Uygulamanız için mTLS'yi etkinleştirmeniz, XSP'de sahiplik kullandığınız uygulamalara bağlıdır. mTLS gerektiren birden fazla uygulama barındırıyorsanız arayüzünde mTLS'yi etkinleştirmeniz gerekir. Aynı HTTP arayüzünü kullanan birkaç uygulamanın güvenliğini sağlamanız gerekirse uygulama seviyesinde mTLS'yi yapılandırabilirsiniz.

Uygulama seviyesinde mTLS yapılandırken, HTTP sunucusu arayüzü yapılandırmasına bakılmaksızın bu uygulama için mTLS gereklidir.

  1. Arayüzünü yapılandırarak XSP'de oturum açma.

  2. Şu sayfaya git: XSP_CLI/Interface/Http/SSLCommonSettings/ClientAuthentication/WebApps> ve çalıştırın: get komutuna bakarak hangi uygulamaların çalıştır olduğunu görebilir.

  3. Uygulama eklemek ve bunun için istemci kimlik doğrulamasını gerekli yapmak (mTLS ile aynı anlamına gelir):

    XSP_CLI/Interface/Http/SSLCommonSettings/ClientAuthentication/WebApps> add IPAddress Port ApplicationName true

    Ayrıntılar için XSP CLI belgelerine bakın. Uygulama adları burada numaralandı. Bu işaret true bu komutta mTLS'i sağlar.

Örnek:

XSP_CLI/Interface/Http/SSLCommonSettings/ClientAuthentication/WebApps> add 192.0.2.7 443 AuthenticationService true

Örnek komut, AuthenticationService uygulamasını 192.0.2.7:443'e ekler ve istemciden sertifikaları talep etmek ve kimlik doğrulaması yapmak için bunu gerektirir.

Şuyla kontrol edin: get:

XSP_CLI/Interface/Http/SSLCommonSettings/ClientAuthentication/WebApps> get

Interface Ip Port Application Name Client Auth Req
         ===================================================
         192.0.2.7 443 AuthenticationService      true          

AuthService ile Karşılıklı TLS Kimlik Doğrulaması için Ek Sertifika Gereksinimleri

Webex, kimliği doğrulanmış bir bağlantı karşılıklı TLS Kimlik Doğrulaması Hizmeti ile etkileşim kurmaz. Bu, Webex bir istemci sertifikası sunar ve XSP'nin bunu doğrulaması gerekir. Bu sertifikaya güven etmek için XSP (Webex proxy) üzerinde güven çıpası oluşturmak için CA sertifika zincirini kullanın. Sertifika zinciri, Partner Hub üzerinden indirilebilir:

  1. Ayarlar ve BroadWorks >gidin.

  2. Sertifikayı indir bağlantısına tıklayın.


Sertifika zincirini de buradan https://bwks-uap.webex.com/assets/public/CombinedCertChain.txteldesiniz.

Bu sertifika yetkilisi sertifika zincirini Webex gereksinimleri, halka açık XSPs'nizin nasıl dağıtılacağına bağlıdır:

  • TLS köprü proxy'si aracılığıyla

  • TLS geçiş proxy'si aracılığıyla

  • Doğrudan XSP'ye

Aşağıdaki diyagram, bu Webex ca sertifika zincirinin dağıtılması gereken özetler.

TLS köprüsü Proxy'si için Karşılıklı TLS Sertifika Gereksinimleri

  • Webex, proxy'Webex SERTIFIKA yetkilisi imzalı bir istemci sertifikası sunar.

  • Sertifika Webex sertifika zinciri, proxy güven deposuna dağıtılır, böylece proxy istemci sertifikasına güvenir.

  • Herkese açık imzalı XSP sunucu sertifikası da proxy'de yüklenir.

  • Proxy, otomatik olarak imzalanan bir sunucu sertifikası Webex.

  • Webex, proxy'nin sunucu sertifikasını imzalayan ortak sertifika yetkilisine güvener.

  • Proxy, XSPs'e dahili olarak imzalanan bir istemci sertifikası sunar.

    Bu sertifikada, BroadWorks OID 1.3.6.1.4.1.6431.1.1.8.2.1.3 ve TLS istemci Yetkilendirme amacı ile doldurulmuş x509.v3 uzantı alanı Genişletilmiş Anahtar Kullanımı yer almaktadır. Örneğin.:

    X509v3 extensions:

    X509v3 Extended Key Usage:

    1.3.6.1.4.1.6431.1.1.8.2.1.3, TLS Web Client
                  Authentication 

    Proxy için dahili istemci sertifikalarını oluşturmaktayken, SAN sertifikalarının destek olmadığını unutmayın. XSP için dahili sunucu sertifikaları SAN olabilir.

  • XSPs'ler dahili CA'ya güvenebilir.

  • XSP'ler dahili olarak imzalanan bir sunucu sertifikası gösterir.

  • Proxy, dahili ca'ya güvenir.

DMZ'de TLS geçişli Proxy veya XSP için Karşılıklı TLS Sertifika Gereksinimleri

  • Webex, XSPs Webex sertifika yetkilisi imzalı bir istemci sertifikası sunar.

  • Sertifika Webex CA sertifika zinciri, XSPs'in güven deposuna dağıtılır, böylece XSPs istemci sertifikasına güvenebilir.

  • Herkese açık imzalı XSP sunucu sertifikası da XSPs'e yüklenir.

  • XSPs sunucuya ait genel olarak imzalanan sunucu sertifikalarını Webex.

  • Webex, XSPs sunucu sertifikalarını imzalayan genel sertifika yetkilisine güvener.