Dit document combineert verschillende Cisco-bronnen in een volledige, uniforme hoe-te-gids die wordt gebruikt om alle vereisten voor certificatie in Cisco Jabber te implementeren. Dit is nodig omdat Cisco Jabber nu het gebruik van certificatie vereist om veilige verbindingen met servers te kunnen maken. Dit vereiste brengt vele veranderingen met zich mee die voor de gebruikersomgevingen nodig zouden kunnen zijn.
Hier is een tabel met alle klanten die certificatie implementeren:
Tabel 1
Desktopclients | Clients voor mobiel gebruik en tabletten |
---|---|
Jabber voor Macintosh versie 9.2 (september 2013) | Jabber voor iPhone versie 9.5 (oktober 2013) |
Jabber voor Microsoft (MS) Windows versie 9.2.5 (september 2013) | Jabber voor iPhone en iPad versie 9.6 (november 2013) |
Jabber voor Android versie 9.6 (december 2013) |
Wanneer u een in tabel 1 opgesomde client installeert of aanpast, wordt verplichte certificatie met servers gebruikt voor beveiligde verbindingen. In wezen, wanneer Jabber Clients nu proberen een veilige verbinding te maken, presenteren servers Cisco Jabber met certificaten. Cisco Jabber probeert dan deze certificaten te valideren tegen de opslag van het certificaat van het apparaat. Als de client het certificaat niet kan valideren, wordt u gevraagd te bevestigen dat u het certificaat wilt accepteren en in de Enterprise Trust store te zetten.
Hier is een lijst van onervaren servers en de certificaten die zij aan Cisco Jabber voorleggen om een veilige verbinding tot stand te brengen:
Tabel 2
Server | Certificaat |
---|---|
Cisco Unified Presence | HTTP (Tomcat) XMPP |
Cisco Unified Communications Manager IM and Presence | HTTP (Tomcat) XMPP |
Cisco Unified Communications Manager | HTTP (Tomcat) |
Cisco Unity Connection-encryptie | HTTP (Tomcat) |
Cisco Webex Meetings Server | HTTP (Tomcat) |
Hier volgen enkele belangrijke opmerkingen:
Er zijn momenteel verschillende methoden voor certificatie-validatie die kunnen worden gebruikt.
Methode 1: De gebruikers klik eenvoudig op Aanvaarden om alle certificatenpopups te ontvangen. Dit zou de meest ideale oplossing kunnen zijn voor kleinere omgevingen. Als u op Aanvaarden klikt, worden de certificaten in de winkel van het Vertrouwen van de onderneming op het apparaat geplaatst. Nadat de certificaten in de winkel van het Vertrouwen van de Enterprise worden geplaatst, worden de gebruikers niet meer gevraagd wanneer zij in de client van Jabber op dat lokale apparaat loggen.
Methode 2: De vereiste certificaten (tabel 2) worden gedownload van de afzonderlijke servers (standaard zijn dit zelfondertekende certificaten) en geïnstalleerd in de Enterprise Trust Store of the user device. Dit zou de ideale oplossing kunnen zijn als uw omgeving geen toegang heeft tot een Private of Public CA voor het tekenen van certificaten.
Er kunnen verschillende methoden worden gebruikt om deze certificaten aan gebruikers te sturen, maar één snelle methode is het gebruik van de Microsoft Windows-registratie:
Hiermee wordt de installatie van Enterprise Trust Certificates voor Jabber voltooid, en gebruikers worden niet langer gevraagd.
Methode 3: Een openbare of particuliere CA (Tabel 2) tekent alle vereiste certificaten. Dit is de door Cisco aanbevolen methode. Deze methode vereist dat er een certificaataanvraag (CSR) wordt gegenereerd voor elk certificaat, wordt getekend, opnieuw geüpload op de server en vervolgens wordt geïmporteerd in de Trusted Root certificaatwinkel op gebruikersapparaten. Zie Generate a CSR en de Hoe krijg ik certificaten aan de opslagplaatsen van gebruikerapparaten? delen van dit document voor meer informatie .
Het is belangrijk te onthouden dat openbare CA's doorgaans CSR's vereisen om in overeenstemming te zijn met specifieke formaten. Een publiek CA zou bijvoorbeeld alleen CSR's accepteren die:
Evenzo, als u CSRs vanuit meerdere knooppunten voorlegt, kunnen openbare CAs vereisen dat de informatie in alle CSRs consistent is.
Om problemen met uw CSR's te voorkomen, herziet u de formatvereisten van de openbare CA waaraan u de CSR's wilt voorleggen. Zorg er vervolgens voor dat de informatie die u invoert wanneer u de server aanpast, overeenkomt met de notatie die het openbare CA nodig heeft.
Hier is een mogelijk vereiste dat u zou kunnen tegenkomen:
Eén certificaat per FQDN: Sommige openbare CA's ondertekenen slechts één certificaat per volledig gekwalificeerde domeinnaam (FQDN).
Om bijvoorbeeld de HTTP- en XMPP-certificaten te ondertekenen voor één CUCM IM and Presence-knooppunt, moet u elke CSR mogelijk aan verschillende openbare CA’s verzenden.
Voorbeeld: Zelfgetekende vs privé-certificaat met CA-handtekening
zelfgetekend Private CA-ondertekend
Elk servercertificaat moet een gekoppeld wortelcertificaat hebben dat in de trust store op het gebruikersapparaat aanwezig is. Cisco Jabber bevestigt de certificaten die servers tegenoverstellen aan de basis certificaten in de trust store.
Importeer wortelcertificaten in de MS Windows-certificaatwinkel als:
U kunt gebruikmaken van elke geschikte methode om certificaten in de MS Windows-certificaatwinkel te importeren, zoals:
Als deel van het ondertekeningsproces, specificeert CA de serveridentiteit in het certificaat. Wanneer de client dat certificaat valideert, controleert hij of:
De client controleert deze identificatievelden in de servercertificaten voor een identiteitsbewijs:
Wanneer een client met Jabber probeert verbinding te maken met een server met een IP-adres en het servercertificaat de server identificeert met een FQDN, kan de client de server niet als betrouwbaar identificeren en de gebruiker vraagt. Dus als uw servercertificaten de servers met FQDN's identificeren, moet u de servernaam als FQDN op vele plaatsen op uw servers specificeren.
Tabel 3 beschrijft alle plaatsen die de servernaam moeten specificeren zoals deze in het certificaat voorkomt, of het nu een IP-adres of een FQDN is.
Tabel 3
Server | Plaats (de instelling moet overeenkomen met het certificaat) |
---|---|
Cisco Jabber-clients |
Aanmelden serveradres (verschilt voor klanten, normaal bij verbindingsinstellingen) |
CUP (versie 8.x en eerder) |
** Alle knooppunten (systeem > Cluster Topologie) **Voorzichtig: Zorg dat als u dit wijzigt in FQDN, u dit via DNS kunt oplossen of dat de servers in de startstaat blijven! TFTP-servers (toepassing > Cisco Jabber > Instellingen) Primaire en secundaire Cisco Call Manager Cisco IP-telefoon (CCMCIP) (toepassing > Cisco Jabber > CMCIP-profiel) Voice-mail Host Name (Application > Cisco Jabber > Voice-e-mailserver) Naam van postwinkel (toepassing > Cisco Jabber > Brievenwinkel) Conferencing Host Name (Application > Cisco Jabber > Conferencing Server) (alleen vergaderplaats) XMPP-domein (Zie het gedeelte XMPP-domein geven aan clients) |
CUCM IM and Presence (versie 9.x en hoger) |
**Alle knoopnamen (systeem > Cluster topologie) **Voorzichtig: Zorg dat als u dit wijzigt in FQDN, u dit via DNS kunt oplossen of dat de servers in de startstaat blijven! TFTP-servers (toepassing > Verouderde clients > Instellingen) Primaire en secundaire CCMCIP (toepassing > Verouderde clients > CMCIP-profiel) XMPP-domein (Zie het gedeelte XMPP-domein verstrekken aan clients) |
CUCM (versie 8.x en eerder) |
servernaam (systeem > server) |
CUCM (versie 9.x en hoger) |
servernaam (systeem > server) IM and Presence Server (gebruikersbeheer > gebruikersinstellingen > UC Service > IM and Presence) Voice-mail Host Name (User Management > User Settings > UC-service > voicemail) Naam postwinkel (gebruikersbeheer > gebruikersinstellingen > UC-service > postwinkel) Conferencing Host Name (gebruikersbeheer > gebruikersinstellingen > UCS Service > Conferencing) (alleen vergaderplaats) |
Cisco Unity Connection (alle versies) |
Geen wijzigingen nodig |
De client identificeert XMPP-certificaten met het XMPP-domein in plaats van met de FQDN. De XMPP-certificaten moeten het XMPP-domein in een identificatieveld bevatten.
Wanneer de client probeert verbinding te maken met de presentieserver, geeft de presentieserver het XMPP-domein aan de client. De client kan dan de identiteit van de presentieserver valideren aan de hand van het XMPP-certificaat.
Voltooi deze stappen om ervoor te zorgen dat de presentieserver het XMPP-domein aan de client geeft:
Certificaatvalidatie is nu voltooid!