概述

在 TLS 握手期间,标准 TLS 客户端会检查 TLS 服务器证书的有效性。 但是,当 Jabber 在互联网上部署时,此实施可能会带来“中间人”攻击。 在登录期间,如果黑客通过有效的 TLS 证书而不是 Expressway 来向 Jabber 提供自己的服务器,则 Jabber 不会进一步控制,而是接受该证书,然后用户就会连接到恶意系统。 为避免此问题,Jabber 会执行一个不属于标准 TLS 的附加验证步骤,它会检查用户在登录过程中输入的域与证书中包含的使用者备用名称 (SAN) 是否一致。 只有在一致时,Jabber 才会尝试连接到 Expressway。 证书中的任何 SAN 条目都需要由证书颁发机构 (CA) 签名,这意味着只有拥有该域名的公司才能获得 CA 签名证书。

在证书中输入的任何 SAN 都要经过证书颁发机构 (CA) 的验证,所以只有拥有该域名的公司才能获得 CA 签名证书。 这使得窃取 Expressway 的身份变得更加困难。

在专用实例中,Cisco 会管理 UC 应用程序的证书,因此证书只会使用 Cisco 提供的域签名,例如 customer.amer.wxc-di.webex.com。 然而,对于最终用户而言,可以通过以下选项来使用客户的电子邮件地址登录 Jabber 客户端:

选项 1 - Jabber 初始最终用户登录

可以告诉用户,在初次登录 Jabber 客户端时,他们需要在初始屏幕上使用 Cisco 的语音服务域 user@customer.amer.wxc-di.webex.com,然后在下一个屏幕上使用他们的用户名或公司的电子邮件地址和密码。 由于这是最简单的方法,所以对其步骤进行了更详细的说明:

  1. 用户需要在初始 Jabber 登录界面中输入 Cisco 提供的语音服务域,例如 user@customer.amer.wxc-di.webex.com,如下图所示。


    当服务激活完成后,客户的语音服务域由 Cisco 在每个区域共享。 这些信息是 Webex 应用程序空间中共享的访问详细信息文件的一部分。 有关详细信息,请参阅专用实例服务激活

  2. 系统将提示用户输入用户名或公司的电子邮件 ID 以及用于验证的密码,如下图所示。


    如果启用了 SSO,则 IdP 将执行类似的操作。

    除非 Jabber 客户端重设,此后的登录不要求用户执行步骤 1。

选项 2:使用语音服务域

通过这种方法,Jabber 客户端可以区分用户输入的客户域与服务发现域。 在安装程序中,如果语音服务域设置为 customer.amer.wxc-di.webex.com,则用户可以使用公司的电子邮件地址登录到 Jabber 客户端,并且 Jabber 仍可基于语音服务域中设置的值来执行服务发现。 这样就不必在初始 Jabber 登录时按上述选项提供语音服务域。

对于 Windows:

Microsoft Orca 之类的工具可用于创建自定义的 Jabber 安装程序,其中可包括语音服务域。 可以指示用户使用这些安装程序来安装 Jabber 客户端。

对于 MAC、iOS、Android:

MDM 之类的工具可用于创建自定义的 Jabber 安装程序,其中可包括语音服务域。

选项 3:使用配置 URL

配置 URL 可用于在初始登录之前设置 Jabber 参数,如语音服务域。 配置 URL 的示例:ciscojabber://provision?ServicesDomain=customer.com&VoiceServicesDomain=customer.amer.wxc-di.webex.com

通过单击上面的链接,可以在 MAC、Android 或 iOS 设备上运行的 Jabber 客户端中设置语音服务域。


此配置并不是永久性的,如果 Jabber 客户端被重设,则用户需要再次单击该链接。

值得注意的是,Webex 应用程序没有上述要求;客户端会执行域检查,但可以在 Control Hub 中预配置语音服务域。 当 Webex 应用程序连接到 Webex 时,它将获取语音服务域并注册相同的域。 有关 Webex 应用程序应用内呼叫安装的详细信息,请参阅 Webex 应用程序集成与应用内呼叫的专用实例

有用链接:Cisco Jabber 14.0 的内部部署