Jabber: volledige Hoe-te-gids voor certificaatvalidatie

Inleiding

Dit document combineert verschillende Cisco-bronnen in een volledige, uniforme hoe-te-gids die wordt gebruikt om alle vereisten voor certificatie in Cisco Jabber te implementeren. Dit is nodig omdat Cisco Jabber nu het gebruik van certificatie vereist om veilige verbindingen met servers te kunnen maken. Dit vereiste brengt vele veranderingen met zich mee die voor de gebruikersomgevingen nodig zouden kunnen zijn.

Opmerking: Deze handleiding is alleen voor implementaties op locatie. Er is momenteel geen wijziging vereist voor cloudservice-implementaties, omdat deze worden gevalideerd tegen de autoriteit van het overheidscertificaat (CA).

Welke Clients heeft deze wijziging betrekking op Jabber?

Hier is een tabel met alle klanten die certificatie implementeren:

Tabel 1

Desktopclients	Clients voor mobiel gebruik en tabletten
Jabber voor Macintosh versie 9.2 (september 2013)	Jabber voor iPhone versie 9.5 (oktober 2013)
Jabber voor Microsoft (MS) Windows versie 9.2.5 (september 2013)	Jabber voor iPhone en iPad versie 9.6 (november 2013)
	Jabber voor Android versie 9.6 (december 2013)

Wat betekent dit voor de Jabber-omgeving?

Wanneer u een in tabel 1 opgesomde client installeert of aanpast, wordt verplichte certificatie met servers gebruikt voor beveiligde verbindingen. In wezen, wanneer Jabber Clients nu proberen een veilige verbinding te maken, presenteren servers Cisco Jabber met certificaten. Cisco Jabber probeert dan deze certificaten te valideren tegen de opslag van het certificaat van het apparaat. Als de client het certificaat niet kan valideren, wordt u gevraagd te bevestigen dat u het certificaat wilt accepteren en in de Enterprise Trust store te zetten.

Welke certificaten zijn vereist?

Hier is een lijst van onervaren servers en de certificaten die zij aan Cisco Jabber voorleggen om een veilige verbinding tot stand te brengen:

Tabel 2

Server	Certificaat
Cisco Unified Presence	HTTP (Tomcat) XMPP
Cisco Unified Communications Manager IM and Presence	HTTP (Tomcat) XMPP
Cisco Unified Communications Manager	HTTP (Tomcat)
Cisco Unity Connection-encryptie	HTTP (Tomcat)
Cisco Webex Meetings Server	HTTP (Tomcat)

Hier volgen enkele belangrijke opmerkingen:

• Pas de meest recente Service Update (SU) voor Cisco Unified Presence (CUP) of Cisco Unified Communications Manager (CUCM) IM and Presence toe voordat u het proces voor het tekenen van het certificaat start.
• De vereiste certificaten zijn van toepassing op alle serverversies. Bijvoorbeeld, zowel CUP versie 8.x en CUCM IM and Presence versie 9.x en presenteer later de client met Extensible Messaging and Presence Protocol (XMPP) en HTTP-certificaten.
• Elk knooppunt in een cluster, abonnees en uitgevers, voert een Tomcat-service uit en kan de client een HTTP-certificaat aanbieden. Plan om de certificaten voor elk knooppunt in het cluster te ondertekenen.
• Om Session Initiation Protocol (SIP)-signalering tussen de client en CUCM te beveiligen, gebruikt u CAPF-inschrijving (Certified Authority Proxy Functie).

Welke methoden zijn beschikbaar voor de validering van certificaten?

Er zijn momenteel verschillende methoden voor certificatie-validatie die kunnen worden gebruikt.

Methode 1: De gebruikers klik eenvoudig op Aanvaarden om alle certificatenpopups te ontvangen. Dit zou de meest ideale oplossing kunnen zijn voor kleinere omgevingen. Als u op Aanvaarden klikt, worden de certificaten in de winkel van het Vertrouwen van de onderneming op het apparaat geplaatst. Nadat de certificaten in de winkel van het Vertrouwen van de Enterprise worden geplaatst, worden de gebruikers niet meer gevraagd wanneer zij in de client van Jabber op dat lokale apparaat loggen.

Methode 2: De vereiste certificaten (tabel 2) worden gedownload van de afzonderlijke servers (standaard zijn dit zelfondertekende certificaten) en geïnstalleerd in de Enterprise Trust Store of the user device. Dit zou de ideale oplossing kunnen zijn als uw omgeving geen toegang heeft tot een Private of Public CA voor het tekenen van certificaten.

Er kunnen verschillende methoden worden gebruikt om deze certificaten aan gebruikers te sturen, maar één snelle methode is het gebruik van de Microsoft Windows-registratie:

1. Accepteer alle certificaten die aan Jabber zijn overgelegd in de Enterprise Trust Store op basis van een van de machines.
2. Om te controleren of de certificaten aanwezig zijn, voert u de opdracht Certmgr.msc in en navigeer naar Enterprise Trust > Certificates.
3. Open Regedit met de opdracht uitvoeren en navigeer naar HKCU > Software > Microsoft > SystemCertificates > trust > Certificaten.
4. Klik met de rechtermuisknop op de map Certifates in de registratie als een .reg-bestand.
5. Duw dit bestand via Group Policy Object (GPO) naar alle gebruikers (of een andere voorkeursmethode).

Hiermee wordt de installatie van Enterprise Trust Certificates voor Jabber voltooid, en gebruikers worden niet langer gevraagd.

Methode 3: Een openbare of particuliere CA (Tabel 2) tekent alle vereiste certificaten. Dit is de door Cisco aanbevolen methode. Deze methode vereist dat er een certificaataanvraag (CSR) wordt gegenereerd voor elk certificaat, wordt getekend, opnieuw geüpload op de server en vervolgens wordt geïmporteerd in de Trusted Root certificaatwinkel op gebruikersapparaten. Zie Generate a CSR en de Hoe krijg ik certificaten aan de opslagplaatsen van gebruikerapparaten? delen van dit document voor meer informatie .

Opmerking: In het geval van een openbare CA, zou het basiscertificaat al in de cliënt trust store moeten zijn.

Het is belangrijk te onthouden dat openbare CA's doorgaans CSR's vereisen om in overeenstemming te zijn met specifieke formaten. Een publiek CA zou bijvoorbeeld alleen CSR's accepteren die:

• zijn Base64-gecodeerd
• Bevat geen bepaalde tekens, zoals @&!, in de Organisatie, Organisatorische Eenheid (OU) of andere velden.
• Gebruik specifieke bit lengtes in de openbare sleutel voor de server

Evenzo, als u CSRs vanuit meerdere knooppunten voorlegt, kunnen openbare CAs vereisen dat de informatie in alle CSRs consistent is.

Om problemen met uw CSR's te voorkomen, herziet u de formatvereisten van de openbare CA waaraan u de CSR's wilt voorleggen. Zorg er vervolgens voor dat de informatie die u invoert wanneer u de server aanpast, overeenkomt met de notatie die het openbare CA nodig heeft.

Hier is een mogelijk vereiste dat u zou kunnen tegenkomen:

Eén certificaat per FQDN: Sommige openbare CA's ondertekenen slechts één certificaat per volledig gekwalificeerde domeinnaam (FQDN).

Om bijvoorbeeld de HTTP- en XMPP-certificaten te ondertekenen voor één CUCM IM and Presence-knooppunt, moet u elke CSR mogelijk aan verschillende openbare CA’s verzenden.

Controleer of een certificaat zelfondertekend is of een CA-ondertekend is

Opmerking: Dit voorbeeld is voor CUCM versie 8.x. Het proces kan per server verschillen.

1. Navigeer naar Cisco Unified OS-beheer.
2. Kies Beveiliging > certificaatbeheer.
3. Zoek en klik op het Tomcat-Trust Certificate .pem-bestand.
4. Klik op Download, en Opslaan.
5. Navigeer naar het bestand en geef het een andere naam met de extensie .cer.
6. Open en bekijk dit bestand (MS Windows-gebruikers).
7. Controleer de uitgifte per veld. Als het overeenkomt met de optie Opgegeven aan veld, is het certificaat zelfondertekend (zie het voorbeeld).

Voorbeeld: Zelfgetekende vs privé-certificaat met CA-handtekening

                                      zelfgetekend                                                                                               Private CA-ondertekend

Een CSR genereren

Opmerking: Dit voorbeeld is voor CUCM versie 8.x. Het proces kan per server verschillen.

1. Navigeer naar Cisco Unified OS-beheer.
2. Kies Beveiliging > certificaatbeheer.
3. Klik op Generate CSR en kies Tomcat in de vervolgkeuzelijst.
4. Klik op Generate CSR en klik op Sluiten.
5. Klik op CSR downloaden en kies de knop in de vervolgkeuzelijst.
6. Klik op CSR downloaden en het bestand opslaan.
7. Verzend het .csr bestand dat door uw Private CA Server of een openbare CA wordt ondertekend.
   

   Opmerking: Nadat u dit CSR-bestand hebt, varieert het proces afhankelijk van uw omgeving.

8. Klik op Upload Certificate/certificaatketen onder Security > certificaatbeheer om de nieuwe ondertekende certificaten die aan uw server zijn afgegeven, opnieuw te uploaden.

Hoe importeer ik certificaten in de handel in certificaten voor gebruikersapparaten?

Elk servercertificaat moet een gekoppeld wortelcertificaat hebben dat in de trust store op het gebruikersapparaat aanwezig is. Cisco Jabber bevestigt de certificaten die servers tegenoverstellen aan de basis certificaten in de trust store.

Importeer wortelcertificaten in de MS Windows-certificaatwinkel als:

• De certificaten worden ondertekend door CA die niet reeds in de trustwinkel, zoals een privé CA bestaat. Als dit het geval is, moet u het privé CA-certificaat importeren naar de winkel Trusted Root-certificeringsinstantie.
• De certificaten zijn zelfgetekend. Als dit zo is, moet u zelfgetekende certificaten in de Enterprise Trust store importeren.

U kunt gebruikmaken van elke geschikte methode om certificaten in de MS Windows-certificaatwinkel te importeren, zoals:

• Gebruik de Wizard Document importeren om de certificaten afzonderlijk te importeren.
• Hiermee implementeert u certificaten in aan gebruikers met het opdrachtregelgereedschap CertMgr.exe op de Windows-server van MS Windows. (Voor deze optie moet u het programma certificaatbeheer, het programma CertMgr.exe, gebruiken en niet de beheerconsole van Certificaten, CertMgr.msc.)
• Stel certificaten in aan gebruikers met een GPO op MS Windows Server.

Opmerking: Raadpleeg voor gedetailleerde instructies over het invoeren van certificaten de desbetreffende documentatie van de lidstaat.

Serveridentiteit in certificaten

Als deel van het ondertekeningsproces, specificeert CA de serveridentiteit in het certificaat. Wanneer de client dat certificaat valideert, controleert hij of:

• Een betrouwbare autoriteit heeft het certificaat afgegeven.
• De identiteit van de server die het certificaat presenteert komt overeen met de identiteit van de server die in het certificaat is gespecificeerd.

Opmerking: Openbare CA's vereisen over het algemeen een FQDN als de serveridentiteit, niet een IP adres.

Identificatievelden

De client controleert deze identificatievelden in de servercertificaten voor een identiteitsbewijs:

XMPP-certificaten

• SubjectAltName\OtherName\xmppAddr
• SubjectAltName\OtherName\srvName
• BetreftAltName\dnsNames
• Betreft

HTTP-certificaten

• BetreftAltName\dnsNames
• Betreft

Opmerking: Het onderwerp GN-veld kan een wildkaart (*) als de meest linkse aard bevatten; bijvoorbeeld *.cisco.com. Uw CUCM-, CUP- en Cisco Unity Connection-servers ondersteunen mogelijk geen jokercertificaten. (Raadpleeg verbetering van Cisco bug-ID CSCta14114).

Identiteitsverschil voorkomen

Wanneer een client met Jabber probeert verbinding te maken met een server met een IP-adres en het servercertificaat de server identificeert met een FQDN, kan de client de server niet als betrouwbaar identificeren en de gebruiker vraagt. Dus als uw servercertificaten de servers met FQDN's identificeren, moet u de servernaam als FQDN op vele plaatsen op uw servers specificeren.

Tabel 3 beschrijft alle plaatsen die de servernaam moeten specificeren zoals deze in het certificaat voorkomt, of het nu een IP-adres of een FQDN is. 

Tabel 3

Server	Plaats (de instelling moet overeenkomen met het certificaat)
Cisco Jabber-clients	Aanmelden serveradres (verschilt voor klanten, normaal bij verbindingsinstellingen)
CUP (versie 8.x en eerder)	** Alle knooppunten (systeem > Cluster Topologie) **Voorzichtig: Zorg dat als u dit wijzigt in FQDN, u dit via DNS kunt oplossen of dat de servers in de startstaat blijven! TFTP-servers (toepassing > Cisco Jabber > Instellingen) Primaire en secundaire Cisco Call Manager Cisco IP-telefoon (CCMCIP) (toepassing > Cisco Jabber > CMCIP-profiel) Voice-mail Host Name (Application > Cisco Jabber > Voice-e-mailserver) Naam van postwinkel (toepassing > Cisco Jabber > Brievenwinkel) Conferencing Host Name (Application > Cisco Jabber > Conferencing Server) (alleen vergaderplaats) XMPP-domein (Zie het gedeelte XMPP-domein geven aan clients)
CUCM IM and Presence (versie 9.x en hoger)	**Alle knoopnamen (systeem > Cluster topologie) **Voorzichtig: Zorg dat als u dit wijzigt in FQDN, u dit via DNS kunt oplossen of dat de servers in de startstaat blijven! TFTP-servers (toepassing > Verouderde clients > Instellingen) Primaire en secundaire CCMCIP (toepassing > Verouderde clients > CMCIP-profiel) XMPP-domein (Zie het gedeelte XMPP-domein verstrekken aan clients)
CUCM (versie 8.x en eerder)	servernaam (systeem > server)
CUCM (versie 9.x en hoger)	servernaam (systeem > server) IM and Presence Server (gebruikersbeheer > gebruikersinstellingen > UC Service > IM and Presence) Voice-mail Host Name (User Management > User Settings > UC-service > voicemail) Naam postwinkel (gebruikersbeheer > gebruikersinstellingen > UC-service > postwinkel) Conferencing Host Name (gebruikersbeheer > gebruikersinstellingen > UCS Service > Conferencing) (alleen vergaderplaats)
Cisco Unity Connection (alle versies)	Geen wijzigingen nodig

Clients voorzien van XMPP-domein

De client identificeert XMPP-certificaten met het XMPP-domein in plaats van met de FQDN. De XMPP-certificaten moeten het XMPP-domein in een identificatieveld bevatten.

Wanneer de client probeert verbinding te maken met de presentieserver, geeft de presentieserver het XMPP-domein aan de client. De client kan dan de identiteit van de presentieserver valideren aan de hand van het XMPP-certificaat.

Voltooi deze stappen om ervoor te zorgen dat de presentieserver het XMPP-domein aan de client geeft:

1. Open de beheerinterface voor uw presentieserver, of de Cisco Unified CM IM and Presence Management-interface of de Cisco Unified Presence Management-interface.
2. Blader naar Systeem > Beveiliging > Instellingen.
3. Zoek het gedeelte XMPP-certificaatinstellingen.
   
4. Specificeer het presentieserverdomein in de Domeinnaam voor XMPP Server-to-Server certificaatsubtype Alternatieve Naam.
5. Controleer de Use Domain Name voor XMPP certificaatnummer toegekend Onderwerp Alternative Name check.
6. Klik op Opslaan.
7. Nadat u deze verandering hebt opgeslagen, moet u het beker-XP certificaat op de server regenereren.
8. Start XCP router opnieuw om de wijziging van kracht te laten worden.
   
   

   Voorzichtig: Een herstart van de XCP-routerbotsingsservice.

Certificaatvalidatie is nu voltooid!

Gerelateerde informatie

• Opmerkingen van Cisco Jabber 9.2.5 release
• Cisco Jabber: TechNotes over verplichte servercertificaten
• Technische ondersteuning en documentatie – Cisco Systems