Përmbajtja fshehin
1 Cisco TLS 1.2 për Vendosjet e Bashkëpunimit në Vend
2 Specifikimet
3 HYRJE
4 Çaktivizimi i TLS 1.0/1.1
5 Kufizime gjatë çaktivizimit të TLS 1.011.1
6 Udhëzimet e përdorimit të produktit
7 Pyetjet e bëra më shpesh
8 Dokumentet / Burimet
8.1 Referencat

Cisco-logoja

Cisco TLS 1.2 për Vendosjet e Bashkëpunimit në Vend

Cisco-TLS-1-2-për-Zhvendosjet-e-Bashkëpunimit-Në-Lokal-PRODUKT

Specifikimet

  • Emri i Produktit: Menaxher i Komunikimeve të Unifikuara
  • Karakteristikë: Konfigurimi i Sigurisë së Shtresës së Transportit (TLS)
  • Versionet e mbështetura të TLS: 1.0, 1.1, 1.2
  • Pajisjet e Mbështetura: Ura Konferencash, Pika e Terminimit të Medias (MTP), Xcoder, Sigurimi i Bashkëpunimit Prime, Provisionimi i Bashkëpunimit Prime, Lidhja Cisco Unity, Serveri i Takimeve Cisco, Telefonat IP të Cisco, Pajisjet e Dhomës Cisco, Shërbimet e Cloud si Shërbimi i Onboarding Fusion (FOS), Shërbimi i Identitetit të Përbashkët, Menaxheri i Licencës Smart (SLM), shërbimi Push REST, Cisco Jabber dhe Webklientët e mëparshëm të aplikacionit, aplikacionet e palëve të treta

HYRJE

  • Siguria e Shtresës së Transportit (TLS) dhe paraardhësi i saj, Shtresa e Sigurt e Socket-it (SSL), janë protokolle kriptografike që ofrojnë siguri komunikimi në një rrjet. Megjithatë, SSL, TLS 1.0 dhe ndonjëherë TLS 1.1 mund të mos ofrojnë nivelin e sigurisë së kërkuar nga një organizatë. Shumë organizata mund të kërkojnë TLS 1.2.
  • Ky dokument ofron informacion mbi mbështetjen e TLS 1.2 dhe mbi mundësinë e çaktivizimit të versioneve më të ulëta të TLS për implementimet Cisco Collaboration në ambientet e tyre. Ai gjithashtu diskuton implikimet kur çaktivizohen TLS 1.0 dhe 1.1. Megjithatë, nuk diskuton mbështetjen e suitës së shifrave me TLS 1.2.

Ky dokument plotëson gjithashtu:

Terminologjia
Në një lidhje TLS, pajisja që inicion kërkesën TLS njihet si klienti TLS, dhe ndërfaqja e saj njihet si ndërfaqja dalëse ose ndërfaqja e klientit. Në anën tjetër të lidhjes, pajisja që merr kërkesën TLS njihet si serveri TLS, dhe ndërfaqja e saj njihet si ndërfaqja hyrëse ose ndërfaqja e serverit. Figura 1 ofron një ilustrim të kësaj terminologjie.

Figura 1: Klienti TLS dhe Serveri TLS

Cisco-TLS-1-2-për-Vendosjet-e-Bashkëpunimit-në-Lokal-fig-1

Në një zgjidhje bashkëpunimi, pikat fundore ose telefonat konsiderohen klientë. Aplikacione të tilla si Cisco Unified Communications Manager (Unified CM) konsiderohen serverë bazuar në funksionin e tyre kryesor brenda vendosjes së Cisco Collaboration. Megjithatë, nga pikëpamja e lidhjes TLS, përkufizimi i një klienti dhe serveri është i ndryshëm. Një pajisje mund të ketë si ndërfaqe klienti ashtu edhe ndërfaqe serveri. Për shembullample të themi, një pikë fundore ka një ndërfaqe për sinjalizimin e thirrjeve (SIP ose SCCP) që mund të jetë e enkriptuar dhe vepron si një klient TLS për CM të Unifikuar. Një pikë fundore ka gjithashtu një web ndërfaqe për pikën fundore të brendshme web server që mund të jetë i enkriptuar (HTTPS), duke bërë që pika fundore të veprojë si një server TLS. Figura 2 ofron një shembullample të ndërfaqes së serverit TLS dhe ndërfaqeve të klientit TLS në një pikë fundore. Në mënyrë të ngjashme, CM i Unifikuar ka ndërfaqe të klientit TLS siç është ndërfaqja e sigurt LDAP dhe ka ndërfaqe të serverit TLS siç është web ndërfaqe. Ndërfaqja SIP e CM të Unifikuar vepron gjithashtu si një klient TLS dhe një ndërfaqe serveri TLS. Figura 3 tregon disa nga ndërfaqet e CM të Unifikuar.

Figura 2: Shembample të ndërfaqeve të serverit TLS dhe klientit TLS me pikën fundore

Cisco-TLS-1-2-për-Vendosjet-e-Bashkëpunimit-në-Lokal-fig-2

Figura 3: Shembample të ndërfaqeve të serverit TLS dhe klientit TLS me CM të unifikuar

Cisco-TLS-1-2-për-Vendosjet-e-Bashkëpunimit-në-Lokal-fig-3

Negocimi i Versionit TLS vendoset si parazgjedhje në TLS 1.2

  • Nëse një klient TLS dhe një server TLS mbështesin të dy TLS 1.2, atëherë si parazgjedhje negociohet versioni 1.2 i TLS, edhe nëse ato mbështesin gjithashtu TLS 1.0 dhe TLS 1.1.
  • Një lidhje TLS fillon një lidhje TLS. Në fillim të lidhjes TLS, klienti TLS dërgon një ClientHello që përfshin versionin TLS. Nëse klienti TLS mbështet TLS 1.0, 1.1 dhe 1.2, si parazgjedhje ai së pari dërgon ClientHello me një version TLS të vendosur në 1.2. Nëse serveri TLS mbështet gjithashtu TLS 1.2, atëherë ai përgjigjet me një ServerHello me versionin TLS të vendosur në 1.2. Negocimi i versionit TLS përfundon në këtë pikë, edhe nëse klienti ose serveri mbështet gjithashtu TLS 1.0/1.1.
  • Megjithatë, nëse do të kishte ndonjë problem me shtrëngimin e parë të duarve TLS 1.2, klienti TLS do të tregonte TLS 1.0 ose 1.1 në mesazhet pasuese ClientHello. Një negocim normal TLS ilustrohet në Figurën 3.

Figura 3: TLS 1.2 i negociuar kur klienti dhe serveri TLS mbështesin si TLS 1.2 ashtu edhe versionet e mëparshme të TLS

Cisco-TLS-1-2-për-Vendosjet-e-Bashkëpunimit-në-Lokal-fig-4

Shumica e komponentëve në Cisco Collaboration Systems Release 12.0 mbështesin TLS 1.2. Për një listë të produkteve Cisco Collaboration që mbështesin TLS 1.2, referojuni Matrica e Përputhshmërisë TLS 1.2 për Produktet e Bashkëpunimit Cisco at https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/uc_system/unified/communications/system/Compatibility/TLS/TLS1-2-Compatibility-Matrix.html.

  • Shënim: SSL është hequr nga shumica e produkteve Cisco Collaboration dhe nga të gjitha produktet e listuara në Matrica e Përputhshmërisë TLS 1.2 për Produktet e Bashkëpunimit Cisco.

Çaktivizimi i TLS 1.0/1.1

  • Versioni 1.2 i TLS duhet të negociohet gjithmonë midis pajisjeve që mbështesin TLS 1.2, edhe nëse ato mbështesin gjithashtu TLS 1.0 dhe TLS 1.1. Megjithatë, mund të ketë sulme Man-in-the-Middle (MitM) që përpiqen të ndryshojnë lidhjen TLS dhe të negociojnë një version më të ulët të TLS ose edhe SSL. Për të parandaluar që kjo të ndodhë, çaktivizoni TLS 1.0 (dhe TLS 1.1), duke detyruar kështu që të gjitha komunikimet TLS të kufizohen vetëm në TLS 1.2 (dhe TLS 1.1). Matrica e Përputhshmërisë TLS 1.2 për Produktet e Bashkëpunimit Cisco tregon versionet minimale të produkteve Cisco Collaboration që mund të çaktivizojnë versionet TLS 1.0 dhe 1.1.
  • Çaktivizimi i TLS 1.0/1.1 në lidhjet TLS mund të bëhet në teori ose në ndërfaqet e klientit ose në ndërfaqet e serverit; nuk ka nevojë të bëhet në të dy llojet e ndërfaqeve. Me produktet Cisco Collaboration, kjo bëhet në ndërfaqen e serverit. Kur një administrator çaktivizon TLS 1.0/1.1, ndërfaqet e serverit TLS nuk e lejojnë më TLS 1.0/1.1. Në disa raste, përveç ndërfaqeve të serverit TLS, çaktivizimi i TLS 1.0/1.1 mund të zbatohet edhe për ndërfaqet e klientit TLS, për shembull.ample, me ndërfaqen e klientit LDAP ose ndërfaqen e klientit SIP në Unified CM.
  • Figura 4 tregon implementimin tipik ku konfigurimi për të çaktivizuar TLS 1.0 dhe 1.1 zbatohet në ndërfaqen e serverit dhe ku versioni për lidhjen TLS është për këtë arsye i kufizuar në 1.2. Kjo është ajo që Matrica e Përputhshmërisë TLS 1.2 për Produktet e Bashkëpunimit Cisco gjurmët. Ai konsideron se një produkt mund të çaktivizojë versionin 1.0/1.1 të TLS nëse të gjitha ndërfaqet e serverit TLS të atij produkti mund të çaktivizojnë versionin 1.0 dhe 1.1 të TLS. Ndërfaqet e klientit mund të lejojnë ende TLS 1.0 dhe 1.1. Matrica nuk gjurmon aftësinë për të çaktivizuar TLS 1.0/1.1 në ndërfaqet e klientit.

Figura 4: Konfigurimi për të çaktivizuar TLS 1.0/1.1. Zbatohet për Ndërfaqen e Serverit

Cisco-TLS-1-2-për-Vendosjet-e-Bashkëpunimit-në-Lokal-fig-5

Çaktivizimi i TLS 1.0/1.1 mund të rezultojë në probleme me pajtueshmërinë nëse disa komponentë nuk e mbështesin TLS 1.2. Përpara se të çaktivizoni TLS 1.0/1.1, verifikoni që të gjitha produktet në implementimet tuaja mbështesin TLS 1.2 dhe merrni në konsideratë kufizimet e përshkruara në seksionin vijues.

Kufizime gjatë çaktivizimit të TLS 1.011.1

  • Kur çaktivizoni një version (ose versione) të TLS në një produkt, sigurohuni që të ketë ende një version të përbashkët të TLS që mund të negociohet me produktet e tjera që lidhen me të. Për shembullampPër shembull, nëse çaktivizoni TLS 1.0 dhe TLS 1.1 në Unified CM, sigurohuni që të gjitha produktet që lidhen me Unified CM përmes një lidhjeje TLS mbështesin TLS 1.2. Nëse jo, mund të ketë probleme me ndërveprimin.
  • Për një listë të produkteve që mbështesin TLS 1.2, referojuni Matrica e Përputhshmërisë TLS 1.2 për Produktet e Bashkëpunimit Cisco.
  • Seksionet e mëposhtme përshkruajnë disa nga kufizimet kryesore të çaktivizimit të TLS 1.0/1.1.

Kufizime gjatë çaktivizimit të TLS 1.011.1 në CM të Unifikuar
Kur çaktivizoni TLS 1.0/1.1 në një nyje të Unifikuar CM, ai vendos versionin minimal të TLS dhe e zbaton këtë version në të gjitha ndërfaqet e serverit në nyjen e Unifikuar CM, siç është HTTPS. web ndërfaqja e serverit, ndërfaqja e serverit SIP dhe ndërfaqja e serverit të ofruesit të Listës së Besimit të Certifikatave (CTL). Gjithashtu zbaton versionin në disa ndërfaqe klientësh, të tilla si ndërfaqja e klientit SIP dhe ndërfaqja e klientit LDAP. Kufizimet e mëposhtme zbatohen kur konfiguroni versionin minimal TLS të Unifikuar CM në TLS 1.1 ose 1.2.

Klienti i Listës së Besimit të Certifikatave
Kufizimi kryesor me Unified CM është me Klientin e Listës së Besimit të Certifikatave (CTL). Klienti CTL që përdoret me eToken-et USB për të aktivizuar modalitetin e përzier të Unified CM nuk mbështet TLS 1.2, madje as me Unified CM 12.0.

  • ZgjidhjeAktivizoni përkohësisht TLS 1.0 në CM të Unifikuar kur aktivizoni modalitetin e përzier ose kur përditësoni CTL-në. file.
  • ZgjidhjeMigro në CTL pa shenja (bazuar në CLI).
  • Sinkronizuesi i Librit të Adresave të Telefonit IP Cisco
    Sinkronizuesi i Librit të Adresave të Telefonave IP Cisco u mundëson përdoruesve të sinkronizojnë Librin e tyre të Adresave të Microsoft Windows me Librin Personal të Adresave të Cisco. Ky klient mbështet vetëm TLS 1.0.

ZgjidhjeNuk ka zgjidhje alternative.

  • Ndërlidhshmëria me grupet e Unifikuara të CM që ekzekutojnë një version më të vjetër
    Versionet para Unified CM 10.5(2) nuk e mbështesin TLS 1.2. Prandaj, ndërlidhja me ato grupe më të vjetra mund të jetë e kufizuar nëse kufizoni versionin TLS në grupin tuaj lokal Unified CM. Për shembullample, trunk-et e sigurta SIP, Menaxhimi i sigurt i Gjerësisë së Brezit të Vendndodhjes (LBM), Shërbimi i Kërkimit Ndërgrupues (ILS) dhe shërbimi i zbulimit të grupeve në distancë i përdorur me Zgjerimin e Lëvizshmërisë Ndërgrupuese (EMCC) mund të mos jenë funksionalë.

ZgjidhjeCM 10.5(2) i unifikuar prezantoi mbështetjen e TLS 1.2 për shumë ndërfaqe, përfshirë SIP, por për mbështetjen e TLS 1.2 në të gjitha ndërfaqet e CM të unifikuar, vendosni Unified CM 11.5(1)SU3 ose më të ri.

  • Ndërlidhje me produktet e vjetra përmes trunk-eve SIP
    Çaktivizimi i TLS 1.0/1.1 vlen për ndërfaqet e serverit SIP dhe ndërfaqet e klientit SIP.

ZgjidhjeSigurohuni që produktet me të cilat lidhen nyjet tuaja të Unifikuara CM përmes një trunku SIP mbështesin gjithashtu TLS 1.2. Për shembullample të themi, nëse është vendosur Cisco Unified Border Element (CUBE), sigurohuni që të jetë duke ekzekutuar një version që mbështet TLS 1.2.

Ndërveprimi me telefonat e vjetër
Ky kufizim diskutohet në seksionin vijues.

Kufizimet 

  • Çaktivizimi i TLS 1.0/1.1 në Unified CM mund të ketë gjithashtu implikime të rëndësishme në telefonat më të vjetër, siç janë Cisco Unified IP Phone 8961, Cisco Unified IP Phone 9900, 7900, 6900, Seria 3900 dhe Cisco IP Communicator.
  • Ato telefona të vjetër nuk mbështesin TLS 1.1 dhe TLS 1.2. Prandaj, nëse Unified CM është konfiguruar me versionin minimal të TLS të vendosur në 1.1 ose 1.2, lidhjet TLS nuk do të jenë në gjendje të vendosen. Me SIP dhe HTTP për Shërbimet Telefonike IP, një zgjidhje alternative është të përdoren lidhje jo të enkriptuara, por kjo mund të jetë një problem sigurie.
  • Ndërfaqe të tjera të Unifikuara të CM si Shërbimi i Verifikimit të Besimit (TVS) dhe Funksioni i Proxy-t të Autoritetit të Certifikimit (CAPF) lejojnë vetëm TLS, dhe lidhjet e paenkriptuara nuk janë të disponueshme; prandaj, shërbimet përkatëse nuk do të jenë fare të disponueshme me telefonat e vjetër.
  • Shih figurën 5 për një shembullampnjë nga ato lidhje kur vendosni versionin minimal të TLS në Unified CM në 1.1 ose 1.2. Disa lidhje mund të jenë ende të mundshme nëse mund të mos jenë të enkriptuara. Disa lidhje të tjera që mbështesin vetëm TLS do të ndërpriten.

Figura 5: Lidhjet me telefonat e vjetër kur TLS 1.1 ose 1.2 është versioni minimal i unifikuar i CM

Cisco-TLS-1-2-për-Vendosjet-e-Bashkëpunimit-në-Lokal-fig-6

Udhëzimet e përdorimit të produktit

Fluksi i Detyrave të Konfigurimit TLS

Hapi 1: Vendosni versionin minimal të TLS-së
Qëllimi: Si parazgjedhje, Unified Communications Manager mbështet një version minimal TLS prej 1.0. Nëse nevojat tuaja të sigurisë kërkojnë një version më të lartë të TLS, rikonfiguroni sistemin për të përdorur TLS 1.1 ose 1.2.

Hapi 2: Vendosni shifrat TLS
Konfiguroni opsionet e shifrës TLS që mbështet Unified Communications Manager.

Hapi 3: Konfiguroni TLS në një SIP Trunk Security Profile
Caktoni lidhje TLS në një SIP Trunk. Trunqet që përdorin këtë profile Përdorni TLS për sinjalizim. Gjithashtu mund të përdorni trunk-un e sigurt për të shtuar lidhje TLS në pajisje, siç janë urat e konferencës.

Hapi 4: Shtoni Secure Profile në një SIP Trunk
Cakto një pro sigurie të trungut SIP të aktivizuar me TLSfile në një trunk SIP për të lejuar që trunk të mbështesë TLS. Ju mund të përdorni trunk-un e sigurt për të lidhur burime, të tilla si urat e konferencës.

Hapi 5: Konfiguroni TLS në një Phone Security Profile
Caktoni lidhje TLS për një profesionist të sigurisë së telefonitfileTelefonat që përdorin këtë profile Përdorni TLS për sinjalizim.

Hapi 6: Shtoni Secure Phone Profile në një telefon
Cakto profesionistin e aktivizuar me TLSfile që keni krijuar në një telefon.

Hapi 7: Shtoni Secure Phone Profile në një shabllon pajisjeje universale
Cakto një profesionist sigurie telefoni të aktivizuar me TLSfile në një shabllon universal pajisjeje. Nëse keni sinkronizim të direktorisë LDAP të konfiguruar me këtë shabllon, mund t'u siguroni telefonave siguri përmes sinkronizimit LDAP.

Pyetjet e bëra më shpesh

Cilat produkte duhet të përmbushin kërkesën minimale TLS kur konfigurohet Unified Communications Manager?

Produkte të tilla si urat e konferencave, Media Termination Point (MTP), Xcoder, Prime Collaboration Assurance, Prime Collaboration Provisioning, Cisco Unity Connection, Cisco Meeting Server, Cisco IP Phones, Cisco Room Devices, shërbime cloud si Fusion Onboarding Service (FOS), Common Identity Service, Smart License Manager (SLM), shërbimi Push REST, Cisco Jabber dhe WebKlientët ex App, së bashku me aplikacionet e tjera të palëve të treta, duhet të përmbushin kërkesën minimale TLS kur konfigurojnë Unified Communications Manager.

Dokumentet / Burimet

Cisco TLS 1.2 për Vendosjet e Bashkëpunimit në Vend [pdfUdhëzuesi i përdoruesit
TLS 1.2 për Vendosjet e Bashkëpunimit në Vend, TLS 1.2, për Vendosjet e Bashkëpunimit në Vend, Vendosjet e Bashkëpunimit, Vendosjet e Bashkëpunimit, Vendosjet

Referencat

Lini një koment

Adresa juaj e emailit nuk do të publikohet. Fushat e kërkuara janë shënuar *