Chcete-li hostovat Webex Meetings bez PIN na místní zařízeních, musí zařízení Cisco Expressway-E nabízet certifikáty podepsané důvěryhodnou kořenovou certifikační autoritou (RCA) pro připojení Mutual TLS (mTLS). Udává seznam kořenových certifikačních autorit, kterým společnost Cisco důvěřuje tento článek . Povolujeme pouze připojení, která mají platné podepsané certifikáty.


 
Pokud používáte zařízení Expressway-E for Webex pro státní správu, musíte povolit mTLS.
1

Přejít na Údržba > Zabezpečení > Certifikát serveru .

2

Zkontrolujte, zda aktuální certifikát Expressway existuje a je správný.

3

Pokud je certifikát nainstalovaný, zkontrolujte datum vypršení certifikátu, abyste zjistili, zda je platné, a nahraďte jej platným certifikátem.

4

Zkontrolujte, který certifikační úřad RCA tento certifikát podepsal, a ujistěte se, že je uvedený v návod k nastavení pro podniky.

5

Zkontrolujte, zda má certifikát nakonfigurovanou správnou SAN (alternativní název předmětu) odpovídající nastavení organizace.

6

Pro volání do své osobní místnost pomocí videozařízení . Pokud se můžete připojit, připojení bylo úspěšné.

7

Po dokončení konfigurací přejděte na další část.

Pokud platí jedna z následujícího, vygenerujte oddělení služeb zákazníkům.

  • Pokud nemáte certifikát serveru Expressway

  • Pokud certifikátu vypršela

  • Pokud je nutné síť SAN aktualizovat, název SAN se neshoduje s uživatelské jméno protokol SIP

1

Vygenerujte proces oddělení služeb zákazníkům (žádost o podepsání certifikátů).

2

Ujistěte se, že síť SAN, kterou potřebujete pro certifikát, je uvedena na Další alternativní název pole.

3

Odešlete svůj oddělení služeb zákazníkům vámi vybrané kořenové certifikační autoritě. Vyberte certifikační autoritu z podporovaného seznamu. Viz Generování žádosti o podepsání certifikátu části v souboru návod k nastavení Cisco Webex Meetings Enterprise pro schůzky s videozařízením .

4

Získejte certifikát podepsaný certifikační autoritou RCA.

5

Pokud jste k vygenerování oddělení služeb zákazníkům použili externí systém, je nutné také nahrát soubor PEM se soukromým klíčem serveru, který byl použit k zašifrování certifikát serveru. (Soubor se soukromým klíčem by byl automaticky vygenerován a uložen dříve, pokud bylo k vytvoření požadavku oddělení služeb zákazníkům pro tento certifikát serveru použito řešení Expressway.)

  • Stránka privátní klíč serveru Soubor PEM nesmí být chráněn heslem.

  • Pokud probíhá žádost o podepsání certifikátu, nemůžete nahrát soukromý klíč serveru.

6

Klikněte Nahrát data certifikát serveru .

7

Po dokončení konfigurací přejděte na další část.

1

Ujistěte se, že certifikační autorita vystavující certifikát Webex je uvedena v seznamu certifikátů Důvěryhodná certifikát certifikační autority . Přejít na Údržba > Zabezpečení > Certifikát důvěryhodné certifikační autority .


 

Aby byly služby nepřerušeny, nainstalujte primární a sekundární kořenovou certifikační autoritu. Kořenová certifikační autorita Quovadis je aktuální a kořenová certifikační autorita DSTx3 je vyhrazena pro budoucí použití. Je třeba, aby byly přítomny oba tyto certifikáty.

2

Seznam certifikátů důvěryhodné certifikát certifikační autority obsahuje certifikát QuoVadis. Chcete-li zkontrolovat, zda se jedná o nejnovější certifikát, naleznete v části návod k nastavení Cisco Webex Meetings Enterprise pro schůzky s videozařízením .

3

Klikněte na certifikát důvěryhodné certifikát certifikační autority, najděte certifikát QuoVadis a klikněte na Zobrazení bylo dekódováno zcela vpravo.

4

Zkontrolujte atributy (SHA256) certifikátu.

Klíč autorizace X509v3

Identifier:keyid:1A:84:62:BC:48:4C:33:25:04:D4:EE:D0:F6:03:C4:19:46:D1:94:6BDirName:/C=BM/O=QuoVadis Limited/CN=QuoVadis Root CA 2serial:05:09

Kořenová certifikační autorita DSTx3

O=Digital Signature Trust Co./CN=DST Root CA X3 Fingerprint (SHA1) dac9024f54d8f6df94935fb1732638ca6ad77c13C=BM/O=QuoVadis Limited/CN=QuoVadis Root CA 2 Fingerprint (SHA1) ca3afbcf1240364b44b216208880483919937cf7

5

Klikněte důvěryhodné certifikační autority .


 

Autorizační klíč se může změnit v závislosti na rotaci tlačítek.

6

Pokud certifikát certifikační autority neexistuje, postupujte podle pokynů Nakonfigurujte seznam Důvěryhodných CA v návod k nastavení Cisco Webex Meetings Enterprise pro schůzky s videozařízením .

  • Zkontrolujte, zda máte v zařízení Expressway zónu DNS( Domain Name System ).

  • Dva typy hovorů, které používají DNS , jsou B2B (stávající) a Webex hovory. Pokud jsou hovory B2B již nastavit, doporučujeme vytvořit jedinečnou zónu DNS pro volání služby Webex , při kterých je vynuceno použití mTLS.

U řešení Expressway verze X8.10 a novějších použijte kroky k úpravě a vytvoření zóny DNS .


 

Než budete pokračovat s konfiguracemi služby Expressway, zazálohujte si stávající nastavení, abyste mohli svá nastavení vždy vrátit a přejít zpět do funkčního stavu.

1

Přejít na Konfigurace > Zóny > Zóny

2

Pokud již máte zónu DNS , vyberte zónu a upravte ji.

3

Pokud zóna DNS neexistuje, postupujte takto:

  1. Přejít na Konfigurace > Zóny > Zóny > Výchozí pravidla přístupu k zóně .

  2. Nakonfigurujte novou zónu DNS pro název předmětu: sip.webex.com.

  3. Přidejte nové pravidlo hledání, aby byl hovor směrován na nové směrování DNS .


     

    Pokud již máte pravidlo hledání pro směrování provozu do služby Webex, nevytvářejte nové pravidlo, upravte je.

4

Ujistěte se, že volání jsou ověřena a že volání B2B nejsou ovlivněna.


 

Chcete-li se vyhnout problémům s překladem DNS , klepněte na tlačítko Ano zde .

5

Po dokončení konfigurací přejděte na další část.

Nakonfigurujte bránu firewall pro síťové součásti tak, abyste získali nejkvalitnější prostředí Webex na svých počítačích, mobilních zařízeních a videozařízeních.

  1. Zkontrolujte rozsahy portů médií používaných videozařízeními.


     

    Tyto porty jsou poskytovány jako reference. Úplné podrobnosti naleznete v příručce pro nasazení a doporučení výrobce.

    Tabulka 1. Výchozí porty používané zařízeními Video Collaboration Devices

    Protokol

    Čísla portů

    Směr

    Typ přístupu

    Komentáře

    TCP

    5060–5070

    Odchozí

    Signalizace SIP

    Zařízení médií Webex Edge naslouchá na portech 5060–5070. Další informace naleznete v průvodce konfigurací konkrétní použité služby: návod k nastavení Cisco Webex Meetings Enterprise pro schůzky s videozařízením .

    TCP

    5060, 5061 a 5062

    Příchozí

    Signalizace SIP

    Příchozí provoz signalizace SIP z cloudu Cisco Webex

    TCP/UDP

    Dočasné porty 36000–59999

    Příchozí a odchozí

    Mediální porty

    Pokud používáte Cisco Expressway, je třeba nastavit rozsahy médií na 36000–59999. Pokud používáte videozařízení nebo řízení hovorů třetí strany, je třeba je nakonfigurovat pro použití tohoto rozsahu.

Další informace o nastavení brány firewall naleznete zde Jak povolím provoz služby Webex Meetings v své síti .