За да хоствате Webex Meetings без PIN на локални устройства, вашият Cisco Expressway-E трябва да предлага подписани сертификати от доверени главни сертифициращи органи (RCA) за взаимни TLS (mTLS) връзки. В тази статия можете да намерите списъка с главни сертифициращи центрове, на които Cisco има доверие. Разрешаваме само връзки, които имат валидни подписани сертификати.

Ако използвате своя Expressway-E за Webex for Government, трябва да активирате mTLS.
Проверете дали е инсталиран сървърен сертификат
1

Отидете на Поддръжка > Сигурност > Сертификат на сървъра.

2

Проверете дали текущият сертификат за скоростна магистрала съществува и дали е точен.

3

Ако сертификатът е инсталиран, проверете датата на изтичане на сертификата, за да видите дали е валиден или не, и го заменете с валиден сертификат.

4

Проверете кой основен CA е подписал този сертификат и се уверете, че името е посочено в Ръководството за корпоративно внедряване.

За повече информация вижте Кои центрове за главни сертификати се поддържат за повиквания към аудио и видео платформи на Cisco Webex.

5

Проверете дали сертификатът има правилно конфигуриран SAN (алтернативно име на субект), който съответства на настройките на организацията.

6

С помощта на видео устройство се обадете в личната си стая. Ако можете да се свържете, тогава връзката е успешна.

7

След като завършите конфигурациите, преминете към следващия раздел.

Проверете дали сертификатът на сървъра на Expressway не съществува или е изтекъл

Ако някое от следните е вярно, генерирайте CSR.

  • Ако нямате сертификат за сървър на Expressway

  • Ако сертификатът е изтекъл

  • Ако SAN трябва да се актуализира, това означава, че SAN името не съвпада с SIP потребителското име

1

Генерирайте процеса на CSR (заявка за подписване на сертификат).

2

Уверете се, че SAN, който ви е необходим в сертификата, е посочен в полето Допълнително алтернативно име.

3

Изпратете вашия CSR на основния CA по ваш избор. Изберете CA от поддържания списък. Обърнете се към секцията Генериране на заявка за подписване на сертификат в Ръководство за внедряване на Cisco Webex Meetings Enterprise за срещи с активирано видео устройство.

4

Вземете сертификата, подписан от основния CA.

5

Ако сте използвали външна система за генериране на CSR, трябва също да качите PEM файла на частния ключ на сървъра, който е бил използван за шифроване на сертификата на сървъра. (Файлът с частен ключ ще бъде автоматично генериран и съхранен по-рано, ако Expressway е бил използван за създаване на CSR за този сървърен сертификат.)

  • PEM файлът на частния ключ на сървъра не трябва да е защитен с парола.

  • Не можете да качите частен ключ на сървъра, ако се изпълнява заявка за подписване на сертификат.

6

Кликнете върху Качване на данни за сертификат на сървър.

7

След като завършите конфигурациите, преминете към следващия раздел.

Добавете сертификата Webex в моя списък с надеждни сертификати
1

Уверете се, че издаващият сертифициращ орган за сертификата на Webex е посочен в списъка със сертификати за доверен CA. Отидете на Поддръжка > Сигурност > Доверен CA сертификат.

За услуги без прекъсване инсталирайте основния и вторичния Root CA. Quovadis Root CA е текущ и DSTx3 Root CA е запазен за бъдеща употреба. Трябва да присъстват и двата сертификата.

2

Списъкът със сертификати за доверен CA съдържа сертификата QuoVadis. За да проверите дали това е най-актуалният сертификат, вижте Ръководството за разполагане на Cisco Webex Meetings Enterprise за срещи с активирано видео устройство.

3

Щракнете върху доверения CA сертификат, намерете сертификата QuoVadis и щракнете върху бутона Преглед на декодирания най-вдясно.

4

Проверете атрибутите (SHA256) на сертификата.

Ключ за пълномощия X509v3

Идентификатор:keyid:1A:84:62:BC:48:4C:33:25:04:D4:EE:D0:F6:03:C4:19:46:D1:94:6BDirName:/C=BM/O=QuoVadis Limited/CN=QuoVadis Root CA 2serial:05:09

DSTx3 root CA

O=Digital Signature Trust Co./CN=DST Root CA X3 пръстов отпечатък (SHA1) dac9024f54d8f6df94935fb1732638ca6ad77c13c=bm/o=QuoVadis Limited/CN=QuoVadis Root CA 2 пръстов отпечатък (SHA1) ca3afbcf1240364b44b216208880483919937cf7

5

Кликнете върху доверен CA.

Ключът за пълномощия подлежи на промяна, докато се въртят ключовете.

6

Ако CA сертификатът не е наличен, вижте Конфигуриране на списъка Trusted CA в Ръководството за разполагане на Cisco Webex Meetings Enterprise за срещи с активирано видео устройство.

Проверете дали вашата DNS зона е конфигурирана правилно

  • Проверете дали имате конфигурирана зона на системата за имена на домейни (DNS) на вашата скоростна магистрала.

  • Два типа повиквания, които използват DNS, са B2B (съществуващи) и Webex повиквания. Ако B2B повикванията вече са настроени, препоръчваме уникална DNS зона за Webex повиквания, които го принуждават да използва mTLS.

На Expressway версии X8.10 и по-нови, използвайте стъпките за промяна и създаване на DNS зона.

Преди да продължите с конфигурациите на скоростния път, направете резервно копие на вашите съществуващи настройки, така че винаги да можете да върнете настройките си обратно и да се върнете към работно състояние.

1

Отидете на Конфигурация > Зони > Зони

2

Ако имате съществуваща DNS зона, изберете зоната и я редактирайте.

3

Ако DNS зона не съществува, изпълнете стъпките по-долу:

  1. Отидете на Конфигурация > Зони > Зони > Правила за достъп до зона по подразбиране.

  2. Конфигурирайте нова DNS зона за име на субект: sip.webex.com.

  3. Добавете новото правило за търсене, за да насочите повикването по нов DNS маршрут.

    Ако вече имате правило за търсене за насочване на трафика към Webex, редактирайте го, вместо да създавате ново правило.

4

Уверете се, че повикванията са валидирани и B2B повикванията не са засегнати.

За да избегнете проблеми с разрешаването на DNS, щракнете тук.

5

След като завършите конфигурациите, преминете към следващия раздел.

Проверете конфигурацията на защитната стена и списъка с разрешения за Expressway

Конфигурирайте защитната стена за вашите мрежови компоненти, така че да получите най-високо качество на Webex изживяване на вашите компютри, мобилни устройства и видео устройства.

  1. Проверете диапазоните на медийните портове, използвани от видео устройствата.

    Тези портове са предоставени като справка. Обърнете се към ръководството за внедряване и препоръките на производителя за пълни подробности.

    Таблица 1. Портове по подразбиране, използвани от устройства за видео сътрудничество

    Протокол

    Номер(а) на порт

    Посока

    Тип достъп

    Коментари

    TCP

    5060-5070

    Изходящи

    SIP сигнализиране

    Мултимедийният ръб на Webex слуша на 5060 – 5070. За повече информация, моля, вижте ръководството за конфигуриране на конкретната използвана услуга: Ръководство за внедряване на Cisco Webex Meetings Enterprise Deployment за срещи с активирано видео устройство.

    TCP

    5060, 5061 и 5062

    Входящи

    SIP сигнализиране

    Входящ SIP сигнализиращ трафик от облака Cisco Webex

    TCP / UDP

    Ефемерни портове 36000-59999

    Входящи и изходящи

    Мултимедийни портове

    Ако използвате Cisco Expressway, диапазоните за мултимедия медиите трябва да бъдат настроени на 36000 – 59999. Ако използвате видеоустройство или контрол на повикванията на трета страна, те трябва да бъдат конфигурирани да използват този диапазон.

За повече информация относно настройките на защитната стена вижте Как да разреша трафик на Webex Meetings в моята мрежа.