Este documento combina vários recursos da Cisco em um guia de instruções completo e unificado que é usado para implementar todos os requisitos para validação de certificado no Cisco Jabber. Isso é necessário porque o Cisco Jabber agora exige o uso da validação de certificado para estabelecer conexões seguras com servidores. Esse requisito envolve muitas alterações que podem ser necessárias para ambientes de usuário.
Esta é uma tabela que lista todos os clientes que implementam validação de certificado:
Tabela 1
Clientes de desktop | Clientes móveis e tablet |
---|---|
Jabber para Macintosh versão 9.2 (setembro de 2013) | Jabber para iPhone versão 9.5 (outubro de 2013) |
Jabber para Microsoft (MS) Windows versão 9.2.5 (setembro de 2013) | Jabber para iPhone e iPad versão 9.6 (novembro de 2013) |
Jabber para Android versão 9.6 (dezembro de 2013) |
Quando você instala ou atualiza para qualquer cliente listado na Tabela 1, a validação de certificado obrigatória com servidores é usada para conexões seguras. Essencialmente, quando os clientes Jabber tentam fazer uma conexão segura agora, os servidores apresentam o Cisco Jabber com certificados. Em seguida, o Cisco Jabber tenta validar esses certificados no repositório de certificados do dispositivo. Se o cliente não puder validar o certificado, ele solicitará que você confirme se deseja aceitar o certificado e o coloque em seu repositório do Enterprise Trust.
Aqui está uma lista de servidores no local e os certificados que eles apresentam ao Cisco Jabber para estabelecer uma conexão segura:
Tabela 2
Servidor | Certificado |
---|---|
Cisco Unified Presence | HTTP (Tomcat) XMPP |
Mensagens instantâneas e presença do Cisco Unified Communications Manager | HTTP (Tomcat) XMPP |
Cisco Unified Communications Manager | HTTP (Tomcat) |
Cisco Unity Connection | HTTP (Tomcat) |
Servidor de reuniões Cisco WebEx | HTTP (Tomcat) |
Aqui estão alguns pontos importantes a serem observados:
Atualmente, há vários métodos de validação de certificação que podem ser usados.
Método 1: Os usuários simplesmente clicam em Aceitar para todos os pop-ups de certificado. Essa pode ser a solução mais ideal para ambientes menores. Se você clicar em Aceitar, os certificados serão colocados no repositório do Enterprise Trust no dispositivo. Depois que os certificados são colocados no repositório do Enterprise Trust, os usuários não são mais solicitados quando fazem login no cliente Jabber nesse dispositivo local.
Método 2: Os certificados necessários (Tabela 2) são baixados dos servidores individuais (por padrão, são certificados autoassinados) e instalados no repositório Enterprise Trust do dispositivo do usuário. Essa pode ser a solução ideal se o ambiente não tiver acesso a uma CA privada ou pública para assinatura de certificado.
Vários métodos podem ser usados para enviar esses certificados aos usuários, mas um método rápido é empregar o uso do Registro do Microsoft Windows:
Isso conclui a instalação dos certificados de confiança empresarial para Jabber e os usuários não são mais solicitados.
Método 3: Uma AC pública ou privada (quadro 2) assina todos os certificados exigidos. Este é o método recomendado pela Cisco. Este método exige que uma Solicitação de Assinatura de Certificado (CSR - Certificate Signing Request) seja gerada para cada um dos certificados, seja assinada, carregada novamente no servidor e, em seguida, importada para o Repositório de Autoridades de Certificação de Raiz Confiável em dispositivos de usuário. Consulte Gerar um CSR e Como obter certificados para armazenamentos de certificados de dispositivos de usuário? deste documento para obter mais informações.
É importante lembrar que CAs públicas normalmente exigem CSRs para se adequarem a formatos específicos. Por exemplo, uma CA pública pode aceitar apenas CSRs que:
Da mesma forma, se você enviar CSRs de vários nós, as CAs públicas podem exigir que as informações sejam consistentes em todos os CSRs.
Para evitar problemas com seus CSRs, analise os requisitos de formato da CA pública para a qual você planeja enviar os CSRs. Em seguida, certifique-se de que as informações digitadas ao configurar o servidor estejam em conformidade com o formato exigido pela CA pública.
Este é um possível requisito que você pode encontrar:
Um certificado por FQDN: Algumas CAs públicas assinam apenas um certificado por FQDN (nome de domínio totalmente qualificado).
Por exemplo, para assinar os certificados HTTP e XMPP para um único nó CUCM IM e Presence, você pode precisar enviar cada CSR para CAs públicas diferentes.
Exemplo: Certificado autoassinado vs certificado CA particular assinado
Autoassinado Assinado por CA privado
Cada certificado de servidor deve ter um certificado raiz associado presente no repositório de confiança no dispositivo do usuário. O Cisco Jabber valida os certificados que os servidores apresentam em relação aos certificados raiz no armazenamento confiável.
Importar certificados raiz para o repositório de certificados do MS Windows se:
Você pode usar qualquer método apropriado para importar certificados para o repositório de certificados do MS Windows, como:
Como parte do processo de assinatura, a CA especifica a identidade do servidor no certificado. Quando o cliente valida esse certificado, verifica se:
O cliente verifica estes campos de identificador nos certificados do servidor para uma correspondência de identidade:
Quando um cliente Jabber tenta se conectar a um servidor com um endereço IP e o certificado do servidor identifica o servidor com um FQDN, o cliente não pode identificar o servidor como confiável e solicita ao usuário. Portanto, se os certificados do servidor identificarem os servidores com FQDNs, você deve especificar o nome do servidor como FQDN em muitos locais nos servidores.
A Tabela 3 lista todos os locais que precisam especificar o nome do servidor conforme exibido no certificado, seja um endereço IP ou um FQDN.
Tabela 3
Servidor | Local (a configuração deve corresponder ao certificado) |
---|---|
Clientes Cisco Jabber |
Endereço do Servidor de Login (Difere para clientes, normalmente em Configurações de Conexão) |
CUP (versão 8.x e anterior) |
** Todos os Nomes de Nó (Sistema > Topologia de Cluster) **Cuidado: Se você alterar isso para FQDN, poderá resolver isso via DNS ou os servidores permanecerão no estado inicial! Servidores TFTP (Aplicativo > Cisco Jabber > Configurações) Cisco Call Manager Primário e Secundário Telefone IP da Cisco (CCMCIP) (Aplicativo > Cisco Jabber > Perfil CCMCIP) Nome do host do correio de voz (Aplicativo > Cisco Jabber > Servidor de correio de voz) Nome da loja de correio (Aplicativo > Cisco Jabber > Mailstore) Nome do Host de Conferência (Aplicativo > Cisco Jabber > Servidor de Conferência) (Apenas Meeting Place) Domínio XMPP (consulte a seção Fornecer Domínio XMPP aos Clientes) |
Mensagens instantâneas e presença do CUCM (versão 9.x e posterior) |
**Todos os Nomes de Nó (Sistema > Topologia de Cluster) **Cuidado: Se você alterar isso para FQDN, poderá resolver isso via DNS ou os servidores permanecerão no estado inicial! Servidores TFTP (Aplicativo > Clientes Legados > Configurações) CCMCIP primário e secundário (Aplicativo > Clientes herdados > Perfil CCMCIP) Domínio XMPP (consulte a seção Fornecer domínio XMPP aos clientes) |
CUCM (Versão 8.x e anterior) |
Nome do servidor (Sistema > Servidor) |
CUCM (versão 9.x e posterior) |
Nome do servidor (Sistema > Servidor) Servidor IM e Presence (Gerenciamento do usuário > Configurações do usuário > Serviço UC > IM e Presença) Nome do host do correio de voz (Gerenciamento do usuário > Configurações do usuário > Serviço UC > Correio de voz) Nome da loja de correio (Gerenciamento do usuário > Configurações do usuário > Serviço UC > Loja de correio) Nome do host de conferência ((Gerenciamento do usuário > Configurações do usuário > Serviço UC > Conferência) (Somente no Meeting Place) |
Cisco Unity Connection (Todas as versões) |
Nenhuma alteração necessária |
O cliente identifica certificados XMPP com o domínio XMPP, em vez de com o FQDN. Os certificados XMPP devem conter o domínio XMPP em um campo de identificador.
Quando o cliente tenta se conectar ao servidor de presença, o servidor de presença fornece o domínio XMPP ao cliente. O cliente pode então validar a identidade do servidor de presença em relação ao certificado XMPP.
Conclua estes passos para garantir que o servidor de presença forneça o domínio XMPP ao cliente:
A validação do certificado está concluída!