简介
本文档介绍在Webex for Broadworks中更新CTI接口的信任锚点的过程。
先决条件
要求
Cisco 建议您了解以下主题:
- 熟悉在控制中心中配置设置
- 了解如何配置和导航Broadworks命令行界面(CLI)。
- 基本了解SSL/TLS协议和证书身份验证
使用的组件
本文档中的信息基于Broadworks R22及更高版本。
本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您的网络处于活动状态,请确保您了解所有命令的潜在影响。
背景信息
本文档假设Broadworks XSP/ADP主机面向互联网。
配置
此过程包括下载特定证书文件、将其拆分、将其复制到XSP上的特定位置,然后将这些证书作为新的信任锚点上传。这是一项重要任务,有助于确保XSP和Webex之间的安全可靠通信。
本文档介绍首次为CTI接口安装信任锚点的步骤。当您需要更新它们时,此过程也相同。本指南概述了获取必要的证书文件、将其拆分为单个证书,然后将其上传到XSP|ADP上的新信任锚点的步骤。
设置和续订信任锚点
初始设置和后续更新过程相同。首次添加信任时,请完成这些步骤并确认已添加信任。
更新时,您可以添加新信任,并在安装新信任后删除旧信任,或者同时保留这两个信任。旧信任和新信任可以并行工作,因为W4B服务支持提供相关证书以匹配两个信任中的任何一个。
综述:
- 新的思科信任证书可在旧信任到期之前随时添加。
- 旧信任可以在添加新信任的同时删除,如果操作团队更喜欢该方法,则可以在以后删除旧信任。
流程概述
以下是对流程的概述,适用于初始安装和对Trust Anchor的更新:
- 下载Webex CA证书:从Settings > BroadWorks Calling下的Partner Hub获取CombinedCertChain2023.txt文件。
- 拆分证书链:使用文本编辑器将合并的证书链文件拆分为两个单独的证书文件:root2023.txt和issuing2023.txt。
- 复制文件:将两个证书文件传输到XSP|ADP上的临时位置。
- 更新信任锚点:在XSP|ADP命令行界面中使用updateTrust命令将证书文件上传到新的信任锚点。
- 确认更新:验证信任锚点是否已成功更新。
下载Webex CA证书
1.登录Partner Hub。
Webex Partner Hub
注意:Partner Hub与Control Hub不同。在Partner Hub中,您可以在左侧窗格中看到Customers,在标题窗格中看到Partner Hub。
2.转到组织设置> BroadWorks呼叫,然后单击下载Webex CA。
显示证书下载链接的组织设置页面
注意:选择最新的选项。在此屏幕截图中,您可以看到最新的下载Webex CA证书(2023)
3.此处显示的证书。出于安全原因,图像模糊不清。
已编辑的组合证书
拆分证书链
下载的文件由两个证书组成。在将文件上传到XSP之前,必须将其拆分。 要将证书链分割为单个证书,请完成以下步骤。此过程显示将合并的证书文件分离为根证书和颁发证书的步骤。
- 合并的证书文件被拆分为2个单独的证书。
- root2023.txt
- issuing2023.txt
- 识别各个证书。
- 该文件包含由标记-----BEGIN CERTIFICATE -和-----END CERTIFICATE -描绘的多个证书。每个块代表一个证书。
- 拆分证书
- 要拆分链,必须为所标识的每个证书块创建新的文本文件。
对于第一个证书(根证书):
- 选择第一个文本块,包括-----BEGIN CERTIFICATE -和-----END CERTIFICATE -行。
- 复制所选文本。
- 打开一个新文本文件并将复制的文本粘贴到此文件中。
- 将新文件另存为root2023.txt
对于第二个证书(颁发证书):
- 返回到原始的组合证书链文件。
- 选择第二个文本块(链中的下一个证书),包括-----BEGIN CERTIFICATE -和-----END CERTIFICATE -行。
- 重复复制选定文本、将其粘贴到新文本文件,然后将该文件保存为issuing2023.txt的过程
已编辑的拆分证书
注:比较好的做法是验证每个新文件仅包含一个证书,并且正确包括BEGIN和END标记。
复制文件
复制两者 root2023.txt 和 issuing2023.txt 到XSP/ADP上的临时目录,例如 /var/broadworks/tmp/.这可以使用WinSCP或任何其他类似应用程序来完成。
bwadmin@tac-ucaas.cisco.com$ ls -l /var/broadworks/tmp/
-rwxrwxrwx 1 bwadmin bwadmin 2324 Jul 21 2023 issuing2023.txt
-rwxrwxrwx 1 bwadmin bwadmin 1894 Jul 21 2023 root2023.txt
更新信任锚点
上传证书文件以建立新的信任锚点。从CTI XSP/ADP BWCLI中,发出以下命令:
XSP|ADP_CLI/Interface/CTI/SSLCommonSettings/ClientAuthentication/Trusts> updateTrust webexclientroot2023 /var/broadworks/tmp/root2023.txt
XSP|ADP_CLI/Interface/CTI/SSLCommonSettings/ClientAuthentication/Trusts> updateTrust webexclientissuing2023 /var/broadworks/tmp/issuing2023.txt
注意:每个别名都必须唯一。例如,webexclientroot2023和webexclientsusing2023用作信任锚点的示例别名。请随意创建自定义别名,确保每个别名都是不同的。
确认更新
通过发出以下命令确认锚点已更新
XSP|ADP_CLI/Interface/CTI/SSLCommonSettings/ClientAuthentication/Trusts> get
Alias Owner Issuer
=============================================================================
webexclientissuing2023 Internal Private TLS SubCA Internal Private Root
webexclientroot2023 Internal Private Root Internal Private Root[self-signed]
您的CTI接口已使用最新证书更新。
检查TLS握手
请注意,需要以FieldDebug严重性启用Tomcat TLS日志才能查看SSL握手。
ADP_CLI/Applications/WebContainer/Tomcat/Logging/InputChannels> get
Name Enabled Severity
============================================
TLS true FieldDebug
TLS调试仅在ADP 2022.10及更高版本中。请参阅Cisco BroadWorks Log Cryptographic Connection Setup and Teardown。
相关信息