在Webex for Broadworks中更新CTI接口的信任关系

已更新: 2024 年 2 月 14 日

文档 ID:221674

非歧视性语言

此产品的文档集力求使用非歧视性语言。在本文档集中，非歧视性语言是指不隐含针对年龄、残障、性别、种族身份、族群身份、性取向、社会经济地位和交叉性的歧视的语言。由于产品软件的用户界面中使用的硬编码语言、基于 RFP 文档使用的语言或引用的第三方产品使用的语言，文档中可能无法确保完全使用非歧视性语言。深入了解思科如何使用包容性语言。

关于此翻译

思科采用人工翻译与机器翻译相结合的方式将此文档翻译成不同语言，希望全球的用户都能通过各自的语言得到支持性的内容。请注意：即使是最好的机器翻译，其准确度也不及专业翻译人员的水平。 Cisco Systems, Inc. 对于翻译的准确性不承担任何责任，并建议您总是参考英文原始文档（已提供链接）。

简介

本文档介绍在Webex for Broadworks中更新CTI接口的信任锚点的过程。

先决条件

要求

Cisco 建议您了解以下主题：

熟悉在控制中心中配置设置
了解如何配置和导航Broadworks命令行界面(CLI)。
基本了解SSL/TLS协议和证书身份验证

使用的组件

本文档中的信息基于Broadworks R22及更高版本。

本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始（默认）配置。如果您的网络处于活动状态，请确保您了解所有命令的潜在影响。

背景信息

本文档假设Broadworks XSP/ADP主机面向互联网。

配置

此过程包括下载特定证书文件、将其拆分、将其复制到XSP上的特定位置，然后将这些证书作为新的信任锚点上传。这是一项重要任务，有助于确保XSP和Webex之间的安全可靠通信。

本文档介绍首次为CTI接口安装信任锚点的步骤。当您需要更新它们时，此过程也相同。本指南概述了获取必要的证书文件、将其拆分为单个证书，然后将其上传到XSP|ADP上的新信任锚点的步骤。

设置和续订信任锚点

初始设置和后续更新过程相同。首次添加信任时，请完成这些步骤并确认已添加信任。

更新时，您可以添加新信任，并在安装新信任后删除旧信任，或者同时保留这两个信任。旧信任和新信任可以并行工作，因为W4B服务支持提供相关证书以匹配两个信任中的任何一个。

综述：

新的思科信任证书可在旧信任到期之前随时添加。
旧信任可以在添加新信任的同时删除，如果操作团队更喜欢该方法，则可以在以后删除旧信任。

流程概述

以下是对流程的概述，适用于初始安装和对Trust Anchor的更新：

下载Webex CA证书：从Settings > BroadWorks Calling下的Partner Hub获取CombinedCertChain2023.txt文件。
拆分证书链：使用文本编辑器将合并的证书链文件拆分为两个单独的证书文件：root2023.txt和issuing2023.txt。
复制文件：将两个证书文件传输到XSP|ADP上的临时位置。
更新信任锚点：在XSP|ADP命令行界面中使用updateTrust命令将证书文件上传到新的信任锚点。
确认更新：验证信任锚点是否已成功更新。

下载Webex CA证书

1.登录Partner Hub。

Webex Partner Hub

注意:Partner Hub与Control Hub不同。在Partner Hub中，您可以在左侧窗格中看到Customers，在标题窗格中看到Partner Hub。

2.转到组织设置> BroadWorks呼叫，然后单击下载Webex CA。

Organization Setting Page Showing Certificate Download Link 显示证书下载链接的组织设置页面

注意：选择最新的选项。在此屏幕截图中，您可以看到最新的下载Webex CA证书(2023)

3.此处显示的证书。出于安全原因，图像模糊不清。

Redacted Combined Certificate 已编辑的组合证书

拆分证书链

下载的文件由两个证书组成。在将文件上传到XSP之前，必须将其拆分。要将证书链分割为单个证书，请完成以下步骤。此过程显示将合并的证书文件分离为根证书和颁发证书的步骤。

合并的证书文件被拆分为2个单独的证书。
- root2023.txt
- issuing2023.txt
识别各个证书。
- 该文件包含由标记-----BEGIN CERTIFICATE -和-----END CERTIFICATE -描绘的多个证书。每个块代表一个证书。
拆分证书
- 要拆分链，必须为所标识的每个证书块创建新的文本文件。

对于第一个证书（根证书）：

选择第一个文本块，包括-----BEGIN CERTIFICATE -和-----END CERTIFICATE -行。
复制所选文本。
打开一个新文本文件并将复制的文本粘贴到此文件中。
将新文件另存为root2023.txt

对于第二个证书（颁发证书）：

返回到原始的组合证书链文件。
选择第二个文本块（链中的下一个证书），包括-----BEGIN CERTIFICATE -和-----END CERTIFICATE -行。
重复复制选定文本、将其粘贴到新文本文件，然后将该文件保存为issuing2023.txt的过程

已编辑的拆分证书

注：比较好的做法是验证每个新文件仅包含一个证书，并且正确包括BEGIN和END标记。

复制文件

复制两者 root2023.txt 和 issuing2023.txt 到XSP/ADP上的临时目录，例如 /var/broadworks/tmp/.这可以使用WinSCP或任何其他类似应用程序来完成。

bwadmin@tac-ucaas.cisco.com$ ls -l /var/broadworks/tmp/
-rwxrwxrwx 1 bwadmin bwadmin 2324 Jul 21 2023 issuing2023.txt
-rwxrwxrwx 1 bwadmin bwadmin 1894 Jul 21 2023 root2023.txt

更新信任锚点

上传证书文件以建立新的信任锚点。从CTI XSP/ADP BWCLI中，发出以下命令：

XSP|ADP_CLI/Interface/CTI/SSLCommonSettings/ClientAuthentication/Trusts> updateTrust webexclientroot2023 /var/broadworks/tmp/root2023.txt
XSP|ADP_CLI/Interface/CTI/SSLCommonSettings/ClientAuthentication/Trusts> updateTrust webexclientissuing2023 /var/broadworks/tmp/issuing2023.txt

注意：每个别名都必须唯一。例如，webexclientroot2023和webexclientsusing2023用作信任锚点的示例别名。请随意创建自定义别名，确保每个别名都是不同的。

确认更新

通过发出以下命令确认锚点已更新

XSP|ADP_CLI/Interface/CTI/SSLCommonSettings/ClientAuthentication/Trusts> get
Alias Owner Issuer
=============================================================================
webexclientissuing2023 Internal Private TLS SubCA Internal Private Root
webexclientroot2023 Internal Private Root Internal Private Root[self-signed]

您的CTI接口已使用最新证书更新。

检查TLS握手

请注意，需要以FieldDebug严重性启用Tomcat TLS日志才能查看SSL握手。

ADP_CLI/Applications/WebContainer/Tomcat/Logging/InputChannels> get
Name Enabled Severity
============================================
TLS true FieldDebug

TLS调试仅在ADP 2022.10及更高版本中。请参阅Cisco BroadWorks Log Cryptographic Connection Setup and Teardown。