Інтерфейс CTI і пов'язана конфігурація

Нижче наведено порядок конфігурації "від максимуму до максимуму". Дотримання цього наказу не є обов'язковим.

  1. Настроювання сервера додатків для підписок CTI

  2. Налаштування XSP|ADP для підписок CTI з автентифікацією mTLS

  3. Відкриття вхідних портів для безпечного інтерфейсу CTI

  4. Підпишіть свою організацію Webex на події CTI BroadWorks

Настроювання сервера додатків для підписок CTI

Оновіть клієнтідентитет на сервері додатків загальною назвою (CN) сертифіката клієнта CTI від Cisco BroadWorks.

Для кожного Сервера додатків, який ви використовуєте з Webex, додайте посвідчення сертифіката до ClientIdentity наступним чином:

AS_CLI/System/ClientIdentity> add bwcticlient.webex.com

Загальна назва клієнтського сертифіката Webex для Cisco BroadWorks — bwcticlient.webex.com.

Налаштування TLS і шифрів на інтерфейсі CTI

Рівні налаштування інтерфейсу XSP|ADP CTI такі:

Найбільш загальні = Системні > Транспортні > інтерфейси CTI > інтерфейс CTI = Найбільш специфічні

Контексти CLI, які використовуються для перегляду або зміни різних параметрів SSL:

Специфіка

Контекст CLI

Системні (глобальні)

(R22 і пізніші версії)

XSP|ADP_CLI/System/SSLCommonSettings/JSSE/Ciphers>

XSP|ADP_CLI/System/SSLCommonSettings/JSSE/Protocols>

Транспортні протоколи для даної системи

(R22 і пізніші версії)

XSP|ADP_CLI/System/SSLCommonSettings/OpenSSL/Ciphers>

XSP|ADP_CLI/System/SSLCommonSettings/OpenSSL/Protocols>

Всі інтерфейси CTI в даній системі

(R22 і пізніші версії)

XSP|ADP_CLI/Interface/CTI/SSLCommonSettings/Ciphers>

XSP|ADP_CLI/Interface/CTI/SSLCommonSettings/Protocols>

Специфічний інтерфейс CTI в даній системі

(R22 і пізніші версії)

XSP|ADP_CLI/Interface/CTI/CTIServer/SSLSettings/Ciphers>

XSP|ADP_CLI/Interface/CTI/CTIServerSSLSettings/Protocols>

При свіжій установці за замовчуванням на системному рівні встановлені наступні шифри. Якщо нічого не налаштовано на рівні інтерфейсу (наприклад, на інтерфейсі CTI або ІНТЕРФЕЙСІ HTTP), застосовується цей список шифрів. Зверніть увагу, що цей список може змінюватися з часом:

  • TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256

  • TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256

  • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256

  • TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256

  • TLS_DHE_DSS_WITH_AES_128_GCM_SHA256

  • TLS_DHE_RSA_WITH_AES_128_GCM_SHA256

  • TLS_DHE_RSA_WITH_AES_128_CBC_SHA256

  • TLS_DHE_DSS_WITH_AES_128_CBC_SHA256

  • TLS_ECDH_RSA_WITH_AES_128_GCM_SHA256

  • TLS_ECDH_ECDSA_WITH_AES_128_GCM_SHA256

  • TLS_ECDH_RSA_WITH_AES_128_CBC_SHA256

  • TLS_ECDH_ECDSA_WITH_AES_128_CBC_SHA256

Зчитування конфігурації інтерфейсу CTI TLS на XSP|ADP

  1. Увійдіть до XSP|ADP та перейдіть до XSP|ADP_CLI/Interface/CTI/CTIServer>

  2. Введіть команду get та прочитайте результати. Ви повинні побачити інтерфейси (IP-адреси) і для кожного, чи потрібні вони сертифікат сервера і чи вимагають вони аутентифікації клієнта.

    XSP|ADP_CLI/Interface/CTI/CTIServer> get
  Interface IP  Port  Secure  Server Certificate  Client Auth Req
=================================================================
  10.155.6.175  8012    true                true             true

Додавання протоколу TLS 1.2 до інтерфейсу CTI

Інтерфейс XSP|ADP CTI, який взаємодіє з хмарою Webex, має бути налаштований для TLS версії 1.2. Хмара не веде переговори про більш ранні версії протоколу TLS.

Для настройки протоколу TLSv1.2 на інтерфейсі CTI:

  1. Увійдіть до XSP|ADP та перейдіть до XSP|ADP_CLI/Interface/CTI/CTIServer/SSLSettings/Protocols>

  2. Введіть команду get , щоб побачити, які протоколи вже використовуються на цьому інтерфейсі.

  3. Введіть команду add TLSv1.2, щоб переконатися, що інтерфейс може використовувати TLS 1.2 під час зв'язку з хмарою.

Редагування конфігурації шифрів TLS в інтерфейсі CTI

Для настройки необхідних шифрів на інтерфейсі CTI:

  1. Увійдіть до XSP|ADP та перейдіть до XSP|ADP_CLI/Interface/CTI/CTIServer/SSLSettings/Ciphers>

  2. Введіть команду get, щоб побачити, які шифри вже використовуються на цьому інтерфейсі. Повинен бути принаймні один із рекомендованих пакетів Cisco (див. XSP|Вимоги до ідентифікації та безпеки ADP у розділі «Огляд»).

  3. Введіть команду add , щоб додати шифр до інтерфейсу CTI.

    Інтерфейс командного рядка XSP|ADP вимагає стандартної назви набору шифрів IANA, а не назви набору шифрів openSSL. Наприклад, щоб додати шифр openSSL ECDHE-ECDSA-CHACHA20-POLY1305 до інтерфейсу CTI, потрібно використовувати: XSP|ADP_CLI/Interface/CTI/CTIServer/SSLSettings/Ciphers> add 192.0.2.7 TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305

    Перегляньте https://ciphersuite.info/ , щоб знайти пакет під будь-яким ім'ям.

Довірчі якорі для інтерфейсу CTI (R22 та пізніші версії)

Ця процедура припускає, що ADP XSP|або підключені до Інтернету, або підключені до Інтернету через наскрізний проксі-сервер. Конфігурація сертифіката відрізняється для проксі-сервера моста (див. Вимоги до сертифіката TLS для проксі-сервера TLS-моста).

Для кожного XSP|ADP у вашій інфраструктурі, який публікує події CTI до Webex, виконайте такі дії:

  1. Увійдіть у партнерський центр.

  2. Перейти до Послуги > Додаткові посилання та натисніть Завантажити сертифікат CA Webex, щоб отримати CombinedCertChain2023.txt на свій локальний комп’ютер.

    Ці файли містять два набори по два сертифікати. Вам потрібно розділити файли, перш ніж завантажувати їх до XSP|ADP. Усі файли обов'язкові.

  3. Розділити ланцюжок сертифікатів на два сертифікати - combinedcertchain2023.txt

    1. Відкрийте combinedcertchain2023.txt у текстовому редакторі.

    2. Виділіть та виріжте перший блок тексту, включаючи рядки -----BEGIN CERTIFICATE----- та -----END CERTIFICATE-----, і вставте текстовий блок у новий файл.

    3. Збережіть новий файл як root2023.txt.

    4. Збережіть оригінальний файл як issuing2023.txt. Вихідний файл тепер має містити лише один блок тексту, оточений рядками -----BEGIN CERTIFICATE----- та -----END CERTIFICATE-----.

  4. Скопіюйте обидва текстові файли до тимчасового місця на XSP|ADP, який ви захищаєте, наприклад /var/broadworks/tmp/root2023.txt та /var/broadworks/tmp/issuing2023.txt

  5. Увійдіть до XSP|ADP та перейдіть до /XSP|ADP_CLI/Interface/CTI/SSLCommonSettings/ClientAuthentication/Trusts>

  6. (Необов'язково) Виконайте help updateTrust, щоб переглянути параметри та формат команди.

  7. Завантаження файлів сертифікатів до нових точок довіри – 2023

    XSP|ADP_CLI/Interface/CTI/SSLCommonSettings/ClientAuthentication/Trusts> updateTrust webexclientroot2023 /var/broadworks/tmp/root2023.txt

    XSP|ADP_CLI/Interface/CTI/SSLCommonSettings/ClientAuthentication/Trusts> updateTrust webexclientissuing2023 /var/broadworks/tmp/issuing2023.txt

    Усі псевдоніми повинні мати різні імена. webexclientroot2023та webexclientissuing2023 – це приклади псевдонімів для довірчих якорів; ви можете використовувати власні, якщо всі записи унікальні.

  8. Переконайтеся, що анкори оновлено:

    XSP|ADP_CLI/Interface/CTI/SSLCommonSettings/ClientAuthentication/Trusts> get

      Alias   Owner                                   Issuer
=============================================================================
webexclientissuing2023       Internal Private TLS SubCA      Internal Private Root
webexclientroot2023       Internal Private Root      Internal Private Root[self-signed]

  9. Дозволяють клієнтам аутентифікуватися за допомогою сертифікатів:

    XSP|ADP_CLI/System/CommunicationUtility/DefaultSettings/ExternalAuthentication/CertificateAuthentication> set allowClientApp true

Додавання інтерфейсу CTI і включення mTLS

  1. Додайте інтерфейс CTI SSL.

    Контекст CLI залежить від вашої версії BroadWorks. Команда створює самопідписаний сертифікат сервера на інтерфейсі, і змушує інтерфейс вимагати клієнтський сертифікат.

    • На BroadWorks R22 і R23:

      XSP|ADP_CLI/Interface/CTI/CTIServer> add 8012 true true true

  2. Замініть сертифікат і ключ сервера на інтерфейсах CTI XSP|ADP. Для цього вам потрібна IP-адреса інтерфейсу CTI; ви можете прочитати його з наступного контексту:

    • На BroadWorks R22 і R23:

      XSP|ADP_CLI/Interface/CTI/CTIServer> get

      Потім запустіть наступні команди для заміни самопідписаного сертифіката інтерфейсу на власний сертифікат і закритий ключ:

      XSP|ADP_CLI/Interface/CTI/CTIServer/SSLSettings/Certificates> sslUpdate keyFile certificateFile chainFile

  3. Перезапустіть ADP XSP|.

Увімкніть доступ до подій CTI BroadWorks на Webex

Вам потрібно додати та перевірити інтерфейс CTI під час налаштування кластерів у Partner Hub. Докладні інструкції дивіться в розділі Настроювання партнерської організації в Partner Hub .

  • Вкажіть адресу CTI, за якою Webex може підписатися на події BroadWorks CTI.

  • Підписки CTI здійснюються на основі кожного абонента і встановлюються та підтримуються лише тоді, коли цей передплатник надається для Webex для Cisco BroadWorks.