Ús de SSL per assegurar les connexions client/servidor
Guia d'usuari
- Ús de SSL per protegir les connexions client/servidor, a la pàgina 1
Introducció
Aquest capítol conté informació sobre com crear una sol·licitud de signatura de certificat, emetre un certificat SSL (o fer-lo emetre per una autoritat de certificació externa) i instal·lar el certificat al servidor Cisco Unity Connection per protegir el correu electrònic IMAP de Cisco Personal Communications Assistant (Cisco PCA) i IMAP. accés del client a Cisco Unity Connection.
El Cisco PCA weblloc proporciona accés a web eines que fan servir els usuaris per gestionar missatges i preferències personals amb Unity Connection. Tingueu en compte que l'accés del client IMAP als missatges de veu d'Unity Connection és una funció amb llicència.
Documentació relacionada
Aquest capítol conté diversos casos en què un usuari necessita crear, generar, descarregar i carregar la sol·licitud de signatura de certificat (CSR) mitjançant certificats multiservidor o certificat d'un sol servidor. Per a més informació consulteu el capítol 'Seguretat' de Cisco Unified Communications Operating System Administration Guide for Cisco Unity Connection Release 14 disponible a https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/connection/14/os_administration/guide/b_14cucosagx.html.
Decidir la instal·lació d'un certificat SSL per assegurar l'accés del client de correu electrònic de Cisco PCA, Unity Connection SRSV i IMAP a Unity Connection
Quan instal·leu Unity Connection, es crea i s'instal·la automàticament un certificat autofirmat local per assegurar la comunicació entre Cisco PCA i Unity Connection, la comunicació entre clients de correu electrònic IMAP i Unity Connection i la comunicació entre Unity Connection SRSV i el servidor central de Unity Connection. Això significa que tot el trànsit de xarxa (inclosos noms d'usuari, contrasenyes, altres dades de text i missatges de veu) entre Cisco PCA i Unity Connection s'encripta automàticament, el trànsit de xarxa entre els clients de correu electrònic IMAP i Unity Connection s'encripta automàticament si activeu el xifratge a els clients IMAP i el trànsit de xarxa entre Unity Connection SRSV i el servidor central d'Unity Connection s'encripta automàticament. Tanmateix, si voleu reduir el risc d'atacs d'home-in-the-middle, feu els procediments d'aquest capítol.
Si decidiu instal·lar un certificat SSL, us recomanem que també considereu afegir el certificat de confiança de l'autoritat de certificació a Trusted Root Store a les estacions de treball dels usuaris. Sense l'addició, el web El navegador mostra alertes de seguretat per als usuaris que accedeixen a Cisco PCA i per als usuaris que accedeixen als missatges de veu d'Unity Connection amb alguns clients de correu electrònic IMAP.
Per obtenir informació sobre com gestionar les alertes de seguretat, consulteu la secció “Gestionar les alertes de seguretat quan s'utilitzen certificats autofirmats amb connexions SSL” al capítol “Configuració de l'accés a Cisco Personal Communications Assistant” de la Guia de configuració de l'estació de treball d'usuari per a Cisco Unity Connection Release 14 disponible a https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/connection/14/user_setup/guide/b_14cucuwsx.html.
Per obtenir més informació sobre el certificat autofirmat, consulteu el "Seguretat a Cisco Unity Connection Survivable Remote Site Voicemail”, capítol de la Guia de referència completa per a Cisco Unity Connection Survivable Remote Site Voicemail (SRSV), versió 14 disponible a https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/connection/14/srsv/guide/b_14cucsrsvx.html.
Seguretat de l'administració de connexió, Cisco PCA, Unity Connection SRSV i l'accés del client de correu electrònic IMAP a Unity Connection
Feu les tasques següents per crear i instal·lar un certificat de servidor SSL per assegurar l'accés de Cisco Unity Connection Administration, Cisco Personal Communications Assistant, Unity Connection SRSV i l'accés del client de correu IMAP a Cisco Unity Connection:
- Si utilitzeu els serveis de certificats de Microsoft per emetre certificats, instal·leu els serveis de certificats de Microsoft.
- Si utilitzeu una altra aplicació per emetre certificats, instal·leu l'aplicació. Consulteu la documentació del fabricant per obtenir instruccions d'instal·lació. A continuació, passeu a la tasca 3.
Si utilitzeu una autoritat de certificació externa per emetre certificats, passeu a la tasca 3.
Nota
Si ja teniu instal·lat els serveis de certificats de Microsoft o una altra aplicació que pugui crear sol·licituds de signatura de certificats, aneu a la tasca 3. - Si s'ha configurat un clúster Unity Connection, executeu el conjunt web-security CLI o genereu un certificat SAN multiservidor (només per a la integració SIP) per als dos servidors Unity Connection del clúster i assigneu als dos servidors el mateix nom alternatiu. El nom alternatiu s'inclou automàticament a la sol·licitud de signatura del certificat i al certificat. Per a informació sobre el conjunt web-security CLI, consulteu la Guia de referència de la interfície de línia d'ordres aplicable per a les solucions de comunicacions unificades de Cisco a https://www.cisco.com/c/en/us/support/unified-communications/unified-communications-manager-callmanager/products-maintenance-guides-list.html.
- Si es configura un clúster Unity Connection, configureu un registre DNS A que contingui el nom alternatiu que heu assignat a la tasca 3. Enumereu primer el servidor de l'editor. Això permet que totes les aplicacions de correu electrònic IMAP, Cisco Personal Communications Assistant i Unity Connection SRSV accedeixin als missatges de veu de l'Unity Connection utilitzant el mateix nom de servidor d'Unity Connection.
- Creeu una sol·licitud de signatura de certificat. A continuació, baixeu la sol·licitud de signatura de certificat al servidor on heu instal·lat els serveis de certificats de Microsoft o una altra aplicació que emet certificats, o descarregueu la sol·licitud a un servidor que podeu utilitzar per enviar la sol·licitud de signatura de certificat a una CA externa.
Si un clúster Unity Connection està configurat amb una sol·licitud de signatura de certificat d'un sol servidor, feu aquesta tasca per
tots dos servidors del clúster Unity Connection. - Si utilitzeu Microsoft Certificate Services per exportar el certificat arrel i per emetre el certificat del servidor, consulteu Si utilitzeu una altra aplicació per emetre el certificat, consulteu la documentació de l'aplicació per obtenir informació sobre l'emissió de certificats.
Si utilitzeu una CA externa per emetre el certificat, envieu la sol·licitud de signatura del certificat a la CA externa. Quan la CA externa retorni el certificat, continueu amb la tasca 7.
Només els certificats amb format PEM (també coneguts com a DER codificat en Base-64) es poden penjar a Unity Connection. El certificat ha de tenir un .pem fileextensió de nom. Si el certificat no està en aquest format, normalment podeu convertir el que teniu al format PEM mitjançant utilitats disponibles gratuïtament com OpenSSL.
Si un clúster Unity Connection està configurat amb una sol·licitud de signatura de certificat d'un sol servidor, feu aquesta tasca per als dos servidors del clúster Unity Connection - Carregueu el certificat arrel i el certificat del servidor al servidor Unity Connection.
Si un clúster Unity Connection està configurat amb una sol·licitud de signatura de certificat d'un sol servidor, feu aquesta tasca per als dos servidors del clúster Unity Connection. - Reinicieu el servei del servidor IMAP de l'Unity Connection perquè l'Unity Connection i els clients de correu electrònic IMAP utilitzin els nous certificats SSL. Feu el Reinici del servei del servidor IMAP de connexió.
Si s'ha configurat un clúster Unity Connection, feu aquesta tasca per als dos servidors del clúster Unity Connection. - Per evitar que els usuaris vegin una alerta de seguretat sempre que accedeixin a Unity Connection mitjançant Connection Administration, Cisco PCA o un client de correu electrònic IMAP, feu les tasques següents a tots els ordinadors des dels quals els usuaris accedeixen a Unity Connection:
Importeu el certificat del servidor que heu penjat al servidor Unity Connection a la tasca 7 al magatzem de certificats. El procediment difereix segons el navegador o el client de correu electrònic IMAP. Per obtenir més informació, consulteu la documentació del navegador o del client de correu electrònic IMAP.
Importeu el certificat del servidor que heu penjat al servidor Unity Connection a la tasca 7 a la botiga Java. El procediment difereix segons el sistema operatiu que s'executa a l'ordinador client. Per obtenir més informació, consulteu la documentació del sistema operatiu i la documentació de Java Runtime Environment.
Reiniciant el servei del servidor IMAP
| Pas 1 | Inicieu la sessió a Cisco Unity Connection Serviceability. |
| Pas 2 | Al menú Eines, seleccioneu Gestió de serveis. |
| Pas 3 | A la secció Serveis opcionals, per al servei Connection IMAP Server, seleccioneu Atura. |
| Pas 4 | Quan l'àrea d'estat mostri un missatge que indica que el servei Connection IMAP Server s'ha aturat correctament, seleccioneu Inicia per al servei. |
Garantir l'accés a Cisco Unified MeetingPlace
Per assegurar l'accés a MeetingPlace, feu les tasques següents.
- Configura SSL per a MeetingPlace. Per obtenir més informació, consulteu el capítol "Configuració de SSL per al servidor d'aplicacions de Cisco Unified MeetingPlace" de la documentació d'administració per a la versió 8.0 de Cisco Unified MeetingPlace a
https://www.cisco.com/c/en/us/support/conferencing/unified-meetingplace/products-maintenance-guides-list.html. - Integrar Unity Connection amb MeetingPlace. Quan configureu Unity Connection per a la integració del calendari de MeetingPlace, especifiqueu SSL per al transport de seguretat.
- Al servidor Unity Connection, carregueu el certificat arrel de l'autoritat de certificació de la qual heu obtingut el certificat de servidor que heu instal·lat al servidor de MeetingPlace a la tasca 1. Tingueu en compte el següent:
- El certificat arrel no és el mateix que el certificat instal·lat al servidor del MeetingPlace.
El certificat arrel de l'autoritat de certificació conté una clau pública que es pot utilitzar per verificar l'autenticitat del certificat penjat al servidor de MeetingPlace.
• El certificat arrel no és el mateix que el certificat instal·lat al servidor del MeetingPlace.
El certificat arrel de l'autoritat de certificació conté una clau pública que es pot utilitzar per verificar l'autenticitat del certificat penjat al servidor de MeetingPlace.
• Només els certificats amb format PEM (també coneguts com a DER codificat en Base-64) es poden penjar a Unity Connection. El certificat ha de tenir un .pem fileextensió de nom. Si el certificat no està en aquest format, normalment podeu convertir el que teniu al format PEM mitjançant utilitats disponibles gratuïtament com OpenSSL.
• El certificat arrel fileel nom no ha de contenir espais.
Assegurar la comunicació entre Unity Connection i els servidors Cisco Unity Gateway
Feu les tasques següents per crear i instal·lar un certificat de servidor SSL per assegurar l'accés de l'Administració de connexió, l'Assistent de comunicacions personals de Cisco i l'accés del client de correu IMAP a Unity Connection quan la xarxa estigui configurada a Unity Connection:
- Si utilitzeu els serveis de certificats de Microsoft per emetre certificats, instal·leu els serveis de certificats de Microsoft.
Per obtenir informació sobre com instal·lar els serveis de certificats de Microsoft en un servidor amb una versió posterior de Windows Server, consulteu la documentació de Microsoft.
Si utilitzeu una altra aplicació per emetre certificats, instal·leu l'aplicació. Consulteu la documentació del fabricant per obtenir instruccions d'instal·lació. A continuació, passeu a la tasca 2.
Si utilitzeu una autoritat de certificació externa per emetre certificats, passeu a la tasca 2.
Nota
Si ja teniu instal·lat els serveis de certificats de Microsoft o una altra aplicació que pugui crear sol·licituds de signatura de certificats, aneu a la tasca 2. - Si s'ha configurat un clúster Unity Connection per al servidor de passarel·la de Unity Connection, executeu el conjunt web-security CLI als dos servidors Unity Connection del clúster i assigneu als dos servidors el mateix nom alternatiu. El nom alternatiu s'inclou automàticament a la sol·licitud de signatura del certificat i al certificat. Per a informació sobre el conjunt web-security CLI, consulteu la Guia de referència de la interfície de línia d'ordres aplicable per a les solucions de comunicacions unificades de Cisco a http://www.cisco.com/c/en/us/support/unified-communications/unity-connection/products-maintenance-guides-list.html.
- Si s'ha configurat un clúster Unity Connection per al servidor de passarel·la de Unity Connection, configureu un registre DNS A que contingui el nom alternatiu que heu assignat a la tasca 2. Enumereu primer el servidor de l'editor. Això permet que Cisco Unity accedeixi als missatges de veu d'Unity Connection utilitzant el mateix nom de servidor de Unity Connection.
Nota
Al servidor de la passarel·la de la Unity Connection, creeu una sol·licitud de signatura de certificat. A continuació, baixeu la sol·licitud de signatura de certificat al servidor on heu instal·lat els serveis de certificats de Microsoft o una altra aplicació que emet certificats, o descarregueu la sol·licitud a un servidor que podeu utilitzar per enviar la sol·licitud de signatura de certificat a una CA externa. Si s'ha configurat un clúster Unity Connection, feu aquesta tasca per als dos servidors del clúster Unity Connection.
Nota
Al servidor de passarel·la de Cisco Unity, creeu una sol·licitud de signatura de certificat. A continuació, baixeu la sol·licitud de signatura de certificat al servidor on heu instal·lat els serveis de certificats de Microsoft o una altra aplicació que emet certificats, o descarregueu la sol·licitud a un servidor que podeu utilitzar per enviar la sol·licitud de signatura de certificat a una CA externa. Si la migració per error de Cisco Unity està configurada, feu aquesta tasca per als servidors primari i secundari. - Si utilitzeu els serveis de certificats de Microsoft per exportar els certificats arrel i per emetre els certificats del servidor, feu el procediment a "Exportació del certificat arrel i emissió del certificat del servidor (només serveis de certificats de Microsoft)".
Si utilitzeu una altra aplicació per emetre el certificat, consulteu la documentació de la sol·licitud per obtenir informació sobre l'emissió de certificats.
Si utilitzeu una CA externa per emetre certificats, envieu la sol·licitud de signatura de certificats a la CA externa. Quan la CA externa retorni els certificats, continueu amb la tasca 7.
Només els certificats amb format PEM (també coneguts com a DER codificat en Base-64) es poden penjar a Unity Connection. El certificat ha de tenir un pem fileextensió de nom. Si el certificat no està en aquest format, normalment podeu convertir el que teniu al format PEM mitjançant utilitats disponibles gratuïtament com OpenSSL.
Feu aquesta tasca per al servidor Unity Connection (ambdós servidors si s'ha configurat un clúster de Unity Connection) i per al servidor Cisco Unity (ambdós servidors si està configurat la migració per error). - Carregueu el certificat arrel i el certificat del servidor al servidor Unity Connection.
Nota
Si s'ha configurat un clúster Unity Connection, feu aquesta tasca per als dos servidors del clúster Unity Connection. - Reinicieu el servei del servidor IMAP de l'Unity Connection perquè l'Unity Connection i els clients de correu electrònic IMAP utilitzin els nous certificats SSL. Feu el "Reinici del servei del servidor IMAP".
Si s'ha configurat un clúster Unity Connection, feu aquesta tasca per als dos servidors del clúster Unity Connection. - Carregueu el certificat arrel i el certificat del servidor al servidor de Cisco Unity.
Nota
Si la migració per error està configurada, feu aquesta tasca per als servidors primari i secundari.
Creació i descàrrega d'una sol·licitud de signatura de certificat en un servidor Cisco Unity Gateway
| Pas 1 | Al menú Inici de Windows, seleccioneu Programes > Eines administratives > Gestor de serveis d'informació d'Internet (IIS). |
| Pas 2 | Amplieu el nom del servidor de Cisco Unity. |
| Pas 3 | Expandir Web Llocs. |
| Pas 4 | Feu clic amb el botó dret del ratolí Per defecte Web Lloc i seleccioneu Propietats. |
| Pas 5 | A l'opció per defecte Web Al quadre de diàleg Propietats del lloc, seleccioneu la pestanya Seguretat del directori. |
| Pas 6 | A Comunicacions segures, seleccioneu Certificat del servidor. |
| Pas 7 | En el Web Assistent per a certificats de servidor: a) Seleccioneu Següent. b) Seleccioneu Crea un certificat nou i seleccioneu Següent. c) Seleccioneu Prepara la sol·licitud ara, però envia-la més tard i selecciona Següent. d) Introduïu un nom i una longitud de bits per al certificat. Us recomanem que trieu una longitud de bits de 512. Les longituds de bits més grans poden disminuir el rendiment. e) Seleccioneu Següent. f) Introduïu la informació de l'organització i seleccioneu Següent. g) Per al nom comú del lloc, introduïu el nom del sistema del servidor de Cisco Unity o el nom de domini complet. Precaució El nom ha de coincidir exactament amb el nom que fa servir el servidor de passarel·la del lloc d'Unity Connection per construir a URL per accedir al servidor de Cisco Unity. Aquest nom és el valor del camp Nom d'amfitrió a Administració de connexió a la pàgina Xarxes > Enllaços > Enllaços entre llocs. h) Seleccioneu Següent. i) Introduïu la informació geogràfica i seleccioneu Següent. j) Especifiqueu la sol·licitud de certificat filenom i ubicació, i escriu el filenom i ubicació perquè necessiteu la informació en el procediment següent. k) Deseu el file a un disc o a un directori al qual pot accedir el servidor de l'autoritat de certificació (CA). l) Seleccioneu Següent. m) Verificar la sol·licitud file informació i seleccioneu Següent. n) Seleccioneu Finalitzar per sortir de Web Assistent de certificat de servidor. |
| Pas 8 | Seleccioneu D'acord per tancar el valor per defecte Web Quadre de diàleg Propietats del lloc. |
| Pas 9 | Tanqueu la finestra del Gestor de serveis d'informació d'Internet. |
Reiniciant el servei del servidor IMAP de connexió
| Pas 1 | Inicieu la sessió a Cisco Unity Connection Serviceability. |
| Pas 2 | Al menú Eines, seleccioneu Gestió de serveis. |
| Pas 3 | A la secció Serveis opcionals, per al servei Connection IMAP Server, seleccioneu Atura. |
| Pas 4 | Quan l'àrea d'estat mostri un missatge que indica que el servei Connection IMAP Server s'ha aturat correctament, seleccioneu Inicia per al servei. |
Càrrega del certificat arrel i del servidor al servidor de Cisco Unity
| Pas 1 | Al servidor de Cisco Unity, instal·leu el Certificates MMC per al compte de l'ordinador. |
| Pas 2 | Carregueu els certificats. Per obtenir més informació, consulteu la documentació de Microsoft. |
Instal·lació dels serveis de certificats de Microsoft (Windows Server 2008)
Si voleu utilitzar una autoritat de certificació de tercers per emetre certificats SSL, o si els serveis de certificats de Microsoft ja estan instal·lats, ometeu aquesta secció.
| Pas 1 | Obriu el Gestor de servidors, feu clic a Afegeix rols, feu clic a Següent i feu clic a Serveis de certificats d'Active Directory. Feu clic a Següents dos vegades. |
| Pas 2 | A la pàgina Seleccioneu els serveis de rol, feu clic a Autoritat de certificació. Feu clic a Següent. |
| Pas 3 | A la pàgina Especifica el tipus de configuració, fes clic a Autònom o Empresa. Feu clic a Següent. Nota Heu de tenir una connexió de xarxa a un controlador de domini per instal·lar una CA empresarial. |
| Pas 4 | A la pàgina Especifica el tipus de CA, feu clic a CA arrel. Feu clic a Següent. |
| Pas 5 | A la pàgina Configura la clau privada, feu clic a Crea una clau privada nova. Feu clic a Següent. |
| Pas 6 | A la pàgina Configura la criptografia, seleccioneu un proveïdor de serveis criptogràfics, una longitud de clau i un algorisme hash. Feu clic A continuació. |
| Pas 7 | A la pàgina Configura el nom de la CA, creeu un nom únic per identificar la CA. Feu clic a Següent. |
| Pas 8 | A la pàgina Estableix el període de validesa, especifiqueu el nombre d'anys o mesos que el certificat CA arrel és vàlid. Feu clic a Següent. |
| Pas 9 | A la pàgina Configura la base de dades de certificats, accepteu les ubicacions predeterminades tret que vulgueu especificar una ubicació personalitzada per a la base de dades de certificats i el registre de la base de dades de certificats. Feu clic a Següent. |
| Pas 10 | A la pàgina Confirmar les opcions d'instal·lació, review tots els paràmetres de configuració que heu seleccionat. Si vols per acceptar totes aquestes opcions, feu clic a Instal·la i espereu fins que finalitzi el procés de configuració. |
| Pas 11 | Feu clic amb el botó dret a l'Autoritat de certificació d'Active Directory. Seleccioneu Afegeix serveis de rol i marqueu la casella de selecció per a Autoritat de certificació Web Inscripció, resposta en línia, servei d'inscripció de dispositius de xarxa i instal·leu aquests serveis. |
| Pas 12 | Aneu a Administrador del servidor -> Afegeix un rol -> Següent-> comproveu Web Servidor (IIS) i instal·leu-lo. |
| Pas 13 | Feu clic dret a Web Servidor (IIS). Seleccioneu Afegeix serveis de rol i comproveu tots els serveis de rol i instal·leu-los. |
Exportació del certificat arrel i emissió del certificat del servidor (només serveis de certificats de Microsoft)
| Pas 1 | Al servidor on heu instal·lat els serveis de certificats de Microsoft, inicieu la sessió a Windows amb un compte que sigui membre del grup Administradors de domini. |
| Pas 2 | Al menú Inici de Windows, seleccioneu Programes > Eines administratives > Autoritat de certificació. |
| Pas 3 | Al panell esquerre, expandiu Autoritat de certificació (local) > és el nom que vau donar a l'autoritat de certificació quan vau instal·lar Microsoft Certificate Services a la instal·lació de Microsoft Certificate Services (Windows Server 2008). |
| Pas 4 | Exporteu el certificat arrel: a) Feu clic amb el botó dret al nom de l'autoritat de certificació i seleccioneu Propietats. b) A la pestanya General, seleccioneu View Certificat. c) Seleccioneu la pestanya Detalls. d) Seleccioneu Copia a File. e) A la pàgina Benvingut a l'assistent d'exportació de certificats, seleccioneu Següent. f) Sobre l'Exportació File Format de la pàgina, seleccioneu Següent per acceptar el valor predeterminat de DER Encoded Binary X.509 (.CER). g) A la File a Exportar la pàgina, introduïu un camí i filenom per al .cer file. Seleccioneu una ubicació de xarxa a la qual pugueu accedir des del servidor Unity Connection. Escriu el camí i filenom. Ho necessiteu en un procediment posterior. h) Seguiu les indicacions de la pantalla fins que l'assistent hagi acabat l'exportació. i) Seleccioneu D'acord per tancar el quadre de diàleg Certificat i torneu a seleccionar D'acord per tancar el quadre de diàleg Propietats. |
| Pas 5 | Emet el certificat del servidor: a) Feu clic amb el botó dret al nom de l'autoritat de certificació i seleccioneu Totes les tasques > Envia una nova sol·licitud. b) Navegueu fins a la ubicació de la sol·licitud de signatura del certificat file que heu creat i feu doble clic a file. c) Al panell esquerre d'Autoritat de certificació, seleccioneu Sol·licituds pendents. d) Feu clic amb el botó dret a la sol·licitud pendent que heu enviat a b. i seleccioneu Totes les tasques > Problema. e) Al panell esquerre d'Autoritat de certificació, seleccioneu Certificats emesos. f) Feu clic amb el botó dret al certificat nou i seleccioneu Totes les tasques > Exporta dades binàries. g) Al quadre de diàleg Exporta dades binàries, a la llista Columnes que contenen dades binàries, seleccioneu Certificat binari. h) Seleccioneu Desa dades binàries a a File. i) Seleccioneu D'acord. j) Al quadre de diàleg Desa dades binàries, introduïu un camí i filenom. Seleccioneu una ubicació de xarxa a la qual pugueu accedir des del servidor Cisco Unity Connection. Escriu el camí i filenom. Ho necessiteu en un procediment posterior. k) Seleccioneu D'acord. |
| Pas 6 | Tanca l'autoritat de certificació. |
Documents/Recursos
 |
CISCO utilitza SSL per assegurar les connexions client/servidor [pdfGuia de l'usuari Ús de SSL per assegurar connexions de servidor de client, SSL per assegurar connexions de servidor de client, connexions de servidor de client segur, connexions de servidor de client, connexions de servidor, connexions |