Abys mohl/a hostit Webex Meetingy bez ŠPENDLÍKU na zařízeních v areálu, musí tvoje Cisco Expressway-E nabízet podepsané certifikáty od důvěryhodných autorit pro root certifikáty (RCA) pro vzájemné TLS (mTLS) připojení. Seznam kořenových CA, kterým Cisco důvěřuje, naleznete v tomto článku. Povolujeme pouze připojení, která mají platné podepsané certifikáty.

Pokud používáte dálnici E pro Webex pro státní správu, musíte povolit mTLS.
Zkontrolujte, zda je nainstalován certifikát serveru
1

Přejděte do části Údržba > Zabezpečení > Certifikát serveru.

2

Zkontrolujte, zda aktuální certifikát dálnice existuje a je přesný.

3

Pokud je certifikát nainstalován, zkontrolujte datum vypršení platnosti certifikátu, abyste zjistili, zda je či není platný, a nahraďte jej platným certifikátem.

4

Zkontrolujte, který kořen CA podepsal tento certifikát, a ujistěte se, že název je uveden v Průvodci nasazením v podniku.

Další informace naleznete v tématu Co jsou podporovány kořenové certifikační autority pro hovory do audio a video platforem Cisco Webex.

5

Zkontrolujte, zda je v certifikátu nakonfigurován správný SAN (Subject Alternative Name), který odpovídá nastavení organizace.

6

Pomocí videozařízení zavolejte do svého osobního pokoje. Pokud jste schopni se připojit, pak je spojení úspěšné.

7

Po dokončení konfigurace přejděte k další části.

Zkontrolujte, zda certifikát serveru dálnice neexistuje nebo vypršel

Pokud je některá z následujících skutečností pravdivá, pak vygenerujte CSR.

  • Pokud nemáte certifikát serveru Expressway

  • Pokud platnost certifikátu vypršela

  • Pokud je třeba SAN aktualizovat, pak se název SAN neshoduje s uživatelským jménem SIP

1

Generovat CSR (žádost o podpis certifikátu) proces.

2

Ujisti se, že SAN, který potřebuješ v certifikátu, je uveden v poli Další alternativní název.

3

Odeslat CSR do kořenové CA dle vašeho výběru. Vyberte CA z podporovaného seznamu. Viz část Generate Certificate Signing Request v Cisco Webex Meetings Enterprise Deployment Guide for Video Device-Enabled Meetings.

4

Získejte certifikát podepsaný od kořenového CA.

5

Pokud jste pro generování CSR použili externí systém, musíte také nahrát soukromý PEM soubor serveru, který byl použit pro šifrování certifikátu serveru. (Soubor soukromého klíče bude automaticky generován a uložen dříve, pokud byla pro vytvoření CSR pro tento certifikát serveru použita dálnice.)

  • Soukromý klíč serveru PEM soubor nesmí být chráněn heslem.

  • Soukromý klíč serveru nelze nahrát, pokud probíhá požadavek na podpis certifikátu.

6

Klikněte na tlačítko Nahrát data certifikátu serveru.

7

Po dokončení konfigurace přejděte k další části.

Přidat certifikát Webex do mého seznamu důvěryhodných certifikátů
1

Ujistěte se, že vydávající certifikační autorita pro certifikát Webex je uvedena v seznamu důvěryhodných certifikátů CA. Přejděte do části Údržba > Zabezpečení > Důvěryhodný certifikát CA.

Pro nepřerušované služby nainstalujte primární a sekundární kořenové CA. Quovadis Root CA je aktuální a DSTx3 Root CA je vyhrazen pro budoucí použití. Obě tato osvědčení musí být přítomna.

2

Seznam důvěryhodných certifikátů CA obsahuje certifikát QuoVadis. Chcete-li zjistit, zda se jedná o nejaktuálnější certifikát, přečtěte si příručku Cisco Webex Meetings Enterprise Deployment Guide for Video Device-Enabled Meetings.

3

Klikněte na důvěryhodný certifikát CA, najděte certifikát QuoVadis a klikněte na tlačítko Zobrazit dekódované na pravé straně.

4

Zkontrolujte atributy (SHA256) certifikátu.

X509v3 Autorizační klíč

Identifikátor:keyid:1A:84:62:BC:48:4C:33:25:04:D4:EE:D0:F6:03:C4:19:46:D1:94:6BDirName:/C=BM/O=QuoVadis Limited/CN=QuoVadis Root CA 2sériové číslo:05:09

DSTx3 kořenové CA

O=Digitální podpis Trust Co./CN=DST kořenová certifikační autorita X3 otisk prstu (SHA1) dac9024f54d8f6df94935fb1732638ca6ad ⦅_ph_37⦆ c13C=BM/O=QuoVadis Limited/CN=QuoVadis Kořenová certifikační autorita 2 otisk prstu (SHA1) ca3afbcf1240364b91b216208880483919937cf7

5

Klikněte na důvěryhodné CA.

Klávesa Authority (Autorita) se může měnit při otáčení kláves.

6

Pokud certifikát CA není k dispozici, viz Konfigurace seznamu důvěryhodných CA v příručce Cisco Webex Meetings Enterprise Deployment Guide for Video Device-Enabled Meetings.

Zkontrolujte, zda je zóna DNS správně nakonfigurována

  • Zkontrolujte, zda máte na dálnici nakonfigurovanou zónu DNS (Domain Name System).

  • Dva typy volání, které používají DNS, jsou B2B (existující) a Webex volání. Pokud jsou volání B2B již nastavena, doporučujeme jedinečnou zónu DNS pro volání Webexu, která vynutí použití mTLS.

Na dálnici verze X8.10 a vyšší použijte postup úpravy a vytvoření zóny DNS.

Než budete pokračovat v konfiguraci rychlostních silnic, zálohujte stávající nastavení, abyste mohli vždy vrátit nastavení a vrátit se do provozního stavu.

1

Přejděte do nabídky Konfigurace > Zóny > Zóny.

2

Máte-li existující zónu DNS, vyberte zónu a upravte ji.

3

Pokud zóna DNS neexistuje, proveďte následující kroky:

  1. Přejděte do nabídky Konfigurace > Zóny > Zóny > Výchozí pravidla pro přístup do zóny.

  2. Konfigurace nové zóny DNS pro název subjektu: sip.webex.com.

  3. Přidejte nové pravidlo vyhledávání pro směrování volání na novou trasu DNS.

    Pokud již máte pravidlo vyhledávání pro směrování provozu do Webexu, upravte jej namísto vytváření nového pravidla.

4

Ujistěte se, že hovory jsou ověřené a hovory B2B nejsou ovlivněny.

Chcete-li se vyhnout problémům s překladem DNS, klikněte sem.

5

Po dokončení konfigurace přejděte k další části.

Zkontrolujte konfiguraci firewallu a povolte výpis pro dálnici

Nakonfigurujte bránu firewall pro své síťové komponenty tak, abyste na svých počítačích, mobilních zařízeních a video zařízeních získali nejvyšší kvalitu Webex.

  1. Zkontrolujte rozsahy portů médií používané videozařízeními.

    Tyto přístavy jsou poskytovány jako referenční. Podrobné informace naleznete v příručce pro nasazení a v doporučení výrobce.

    Tabulka 1. Výchozí porty používané zařízeními pro spolupráci s videem

    Protokol

    Čísla portů

    Směr

    Typ přístupu

    Komentáře

    TCP

    5060-5070

    Odchozí

    Signalizace SIP

    Zařízení médií Webex Edge naslouchá na portech 5060–5070. Více informací naleznete v konfigurační příručce o konkrétní použité službě: Průvodce nasazením aplikace Cisco Webex Meetings pro podniky pro schůzky s podporou videozařízení.

    TCP

    5060, 5061 a 5062

    Příchozí

    Signalizace SIP

    Příchozí SIP signalizace provozu z cloudu Cisco Webex

    TCP / UDP

    Efemérní porty 36000-59999

    Příchozí a odchozí

    Mediální porty

    Pokud používáte Cisco Expressway, je třeba nastavit rozsahy médií na 36000–59999. Pokud používáte video zařízení třetí strany nebo ovládání volání, musí být nakonfigurováno tak, aby používalo tento rozsah.

Další informace o nastavení brány firewall naleznete v části Jak povolím provoz schůzek Webex v síti.