За да хоствате Webex Meetings без PIN на в помещението устройства, вашият Cisco Expressway-E трябва да предлага подписани сертификати от доверени Root Certificate Authorities (RCA) за взаимни TLS (mTLS) връзки. Можете да намерите списъка с основни CA, на които Cisco се доверява тази статия . Разрешаваме само връзки, които имат валидни подписани сертификати.


 
Ако използвате своя Expressway-E за Webex for Government, трябва да активирате mTLS.
1

Отидете на Поддръжка > Сигурност > Сертификат за сървър .

2

Проверете дали текущият сертификат за скоростна магистрала съществува и е точен.

3

Ако сертификатът е инсталиран, проверете датата на изтичане на сертификата, за да видите дали е валиден или не и го заменете с валиден сертификат.

4

Проверете кой главен CA е подписал този сертификат и се уверете, че името е посочено в Ръководство за разгръщане на предприятието.

5

Проверете дали сертификатът има правилното конфигурирано SAN (алтернативно име на субекта), което съответства на настройките на организацията.

6

С помощта на видеоустройство се обадете в лична стая. Ако можете да се свържете, значи връзката е успешна.

7

След като завършите конфигурациите преминете към следващия раздел.

Ако някое от следните е вярно, генерирайте CSR.

  • Ако нямате сертификат на сървъра на Expressway

  • Ако сертификатът е изтекъл

  • Ако SAN трябва да бъде актуализиран, това е SAN името не съвпада с потребителското име на SIP

1

Генерирайте процеса на CSR (заявка за подписване на сертификат).

2

Уверете се, че SAN, който ви е необходим в сертификата, е посочен на Допълнително алтернативно име поле.

3

Изпратете своя CSR на основния CA по ваш избор. Изберете CA от поддържания списък. Обърнете се към Генериране на заявка за подписване на сертификат раздел в Ръководство за разгръщане на Cisco Webex Meetings Enterprise за срещи с активирано видео устройство .

4

Вземете сертификата, подписан от основния CA.

5

Ако сте използвали външна система за генериране на CSR, трябва също да качите PEM файла с частен ключ на сървъра, който е бил използван за криптиране на сертификат на сървъра. (Файлът с частен ключ ще бъде автоматично генериран и съхранен по-рано, ако Expressway е бил използван за създаване на CSR за този сертификат на сървъра.)

  • В частен ключ на сървъра PEM файлът не трябва да бъде защитен с парола.

  • Не можете да качите частен ключ на сървъра, ако е в ход заявка за подписване на сертификат.

6

Щракнете върху Качете сертификат на сървъра .

7

След като завършите конфигурациите преминете към следващия раздел.

1

Уверете се, че издаващият сертифициращ орган за сертификата на Webex е посочен в списъка със СА сертификат Отидете на Поддръжка > Сигурност > Доверен CA сертификат .


 

За непрекъснати услуги инсталирайте основния и вторичния Root CA. Quovadis Root CA е текущ и DSTx3 Root CA е запазен за бъдеща употреба. И двата сертификата трябва да присъстват.

2

Списъкът с доверени СА сертификат съдържа сертификата QuoVadis. За да проверите дали това е най-актуалният сертификат, вижте Ръководство за разгръщане на Cisco Webex Meetings Enterprise за срещи с активирано видео устройство .

3

Щракнете върху доверения СА сертификат, намерете сертификата QuoVadis и щракнете върху Изглед декодиран бутон най-вдясно.

4

Проверете атрибутите (SHA256) на сертификата.

X509v3 Упълномощен ключ

Identifier:keyid:1A:84:62:BC:48:4C:33:25:04:D4:EE:D0:F6:03:C4:19:46:D1:94:6BDirName:/C=BM/O=QuoVadis Limited/CN=QuoVadis Root CA 2serial:05:09

DSTx3 root CA

O=Digital Signature Trust Co./CN=DST Root CA X3 Fingerprint (SHA1) dac9024f54d8f6df94935fb1732638ca6ad77c13C=BM/O=QuoVadis Limited/CN=QuoVadis Root CA 2 Fingerprint (SHA1) ca3afbcf1240364b44b216208880483919937cf7

5

Щракнете върху доверен CA .


 

Упълномощаващият ключ подлежи на промяна при завъртане на клавишите.

6

Ако СА сертификат не присъства, вижте Конфигурирайте списъка с доверени CA в Ръководство за разгръщане на Cisco Webex Meetings Enterprise за срещи с активирано видео устройство .

  • Проверете дали имате конфигурирана зона за система за имена на домейни (DNS) на вашия Expressway.

  • Два типа повиквания, които използват DNS , са B2B (съществуващи) и Webex повиквания. Ако B2B повикванията вече са настройвам, препоръчваме уникална DNS зона за повиквания на Webex , които го принуждават да използва mTLS.

На Expressway версии X8.10 и по-нови, използвайте стъпките за промяна и създаване и DNS зона.


 

Преди да продължите с конфигурациите на скоростната магистрала, направете резервно копие на съществуващите си настройки, за да можете винаги да върнете настройките си и да се върнете в работно състояние.

1

Отидете на Конфигурация > Зони > Зони

2

Ако имате съществуваща DNS зона, изберете зоната и я редактирайте.

3

Ако DNS зона не съществува, изпълнете стъпките по-долу:

  1. Отидете на Конфигурация > Зони > Зони > Правила за достъп до зоната по подразбиране .

  2. Конфигурирайте нова DNS зона за име на тема: sip.webex.com.

  3. Добавете новото правило за търсене, за да насочите повикването към нов DNS маршрут.


     

    Ако вече имате правило за търсене за насочване на трафика към Webex, редактирайте го, вместо да създавате ново правило.

4

Уверете се, че обажданията са валидирани и B2B разговорите не са засегнати.


 

За да избегнете проблеми с разрешаването на DNS , щракнете тук .

5

След като завършите конфигурациите преминете към следващия раздел.

Конфигурирайте защитната стена за вашите мрежови компоненти, така че да получите най-високо качество на изживяването на Webex на вашите компютри, мобилни устройства и видео устройства.

  1. Проверете диапазоните на мултимедийните портове, използвани от видео устройствата.


     

    Тези портове са предоставени като справка. Вижте ръководството за внедряване и препоръката на производителя за пълни подробности.

    Таблица 1. Портове по подразбиране, използвани от устройства за видео сътрудничество

    Протокол

    Номер(а) на порт

    Посока

    Тип достъп

    Коментари

    TCP

    5060 – 5070

    Изходящи

    SIP сигнализиране

    Мултимедийният ръб на Webex слуша на 5060 – 5070. За повече информация, моля, вижте наръчник за конфигурация на конкретната използвана услуга: Ръководство за разгръщане на Cisco Webex Meetings Enterprise за срещи с активирано видео устройство .

    TCP

    5060, 5061 и 5062

    Входящи

    SIP сигнализиране

    Входящ SIP сигнализиране трафик от облака на Cisco Webex

    TCP/UDP

    Ефимерни портове 36000 – 59999

    Входящи и изходящи

    Мултимедийни портове

    Ако използвате Cisco Expressway, диапазоните за мултимедия медиите трябва да бъдат настроени на 36000 – 59999. Ако използвате видеоустройство на трета страна или контрол на повикванията, те трябва да бъдат конфигурирани да използват този диапазон.

За повече информация относно настройките на защитната стена вж Как да разреша трафик на Webex Meetings в моята мрежа .