Chcete-li hostovat schůzky Webex bez kódu PIN na místním zařízení, řešení Cisco Expressway-E musí nabízet podepsané certifikáty ze seznamu důvěryhodných certifikačních autorit RCA pro připojení mTLS. Kliknutím sem získáte seznam certifikačních autorit RCA, které považuje společnost Cisco za důvěryhodné. Certifikáty podepsané autoritami na tomto seznamu jsou považovány za platné a připojení bude povoleno.

1

Přejděte do části Údržba > Zabezpečení > Certifikát serveru.

2

Zkontrolujte, zda aktuální certifikát Expressway existuje a je přesný.

3

Pokud je certifikát nainstalovaný, zkontrolujte platnost data vypršení platnosti certifikátu a v případě potřeby jej nahraďte platným certifikátem.

4

Zkontrolujte, který certifikační úřad RCA tento certifikát podepsal, a ujistěte se, že je uvedený v příručce k nasazení pro podniky.

5

Zkontrolujte, zda má certifikát správně nakonfigurovaný název alternativní název předmětu (SAN), který odpovídá nastavení organizace.

6

Zavolejte pomocí videozařízení do své soukromé místnosti. Pokud se můžete připojit, připojení bude úspěšně navázáno.

7

Po dokončení konfigurací přejděte do další části.

Pokud je kterýkoli z následujících bodů pravdivý, vygenerujte požadavek CSR.

  • Nemáte certifikát serveru Expressway.

  • Platnost certifikátu vypršela.

  • Je potřeba aktualizovat síť SAN (název sítě SAN se neshoduje s uživatelským jménem SIP).

1

Vygenerujte proces CSR (požadavek na podpis certifikátu).

2

Ujistěte se, že je síť SAN, která má v certifikátu být, uvedena v poli Additional alternate name (Další alternativní název).

3

Odešlete požadavek CSR vybrané certifikační autoritě RCA. Zvolte certifikační autoritu ze seznamu podporovaných autorit. Viz část Vytvoření požadavku na podepsání certifikátu v dokumentu Průvodce nasazením aplikace Cisco Webex Meetings pro podniky pro schůzky s podporou videozařízení.

4

Získejte certifikát podepsaný certifikační autoritou RCA.

5

Pokud jste k vygenerování požadavku CSR použili externí systém, musíte také nahrát soubor PEM soukromého klíče serveru použitý k šifrování certifikátu serveru. (Soubor soukromého klíče byl automaticky vygenerován a uložen dříve, pokud bylo řešení Expressway použito k vytvoření požadavku CSR pro tento certifikátu serveru.)

  • Soubor PEM soukromého klíče serveru nesmí být chráněný heslem.

  • Soukromý klíč serveru nelze nahrát, pokud probíhá zpracování požadavku na podepsání certifikátu.

6

Klikněte na možnost Upload server certificate data (Nahrát data certifikátu serveru).

7

Po dokončení konfigurací přejděte do další části.

1

Ujistěte se, že je certifikační autorita vydávající certifikát Webex uvedena na seznamu certifikátů důvěryhodných certifikačních autorit. Přejděte do části Údržba > Zabezpečení > Trusted CA Certificate (Certifikát důvěryhodné certifikační autority).


 

Aby nedošlo k přerušení služby, nainstalujte primární a sekundární certifikační autority RCA. Quovadis je aktuální certifikační autorita RCA a certifikační autorita RCA DSTx3 je vyhrazená pro budoucí použití. Oba tyto certifikáty musí být přítomny.

2

Seznam certifikátů důvěryhodné certifikační autority obsahuje certifikát QuoVadis. Chcete-li zkontrolovat, zda se jedná o nejaktuálnější certifikát, viz dokument Průvodce nasazením aplikace Cisco Webex Meetings pro podniky pro schůzky s podporou videozařízení.

3

Klikněte na certifikát důvěryhodné certifikační autority, vyhledejte certifikát QuoVadis a pak klikněte na tlačítko View decoded (Zobrazit dekódované) zcela vpravo.

4

Zkontrolujte atributy certifikátu (SHA256).

Klíč autority X509v3

Identifier:keyid:1A:84:62:BC:48:4C:33:25:04:D4:EE:D0:F6:03:C4:19:46:D1:94:6BDirName:/C=BM/O=QuoVadis Limited/CN=QuoVadis Root CA 2serial:05:09

Certifikační autorita RCA DSTx3

O=Digital Signature Trust Co./CN=DST Root CA X3 Fingerprint (SHA1) dac9024f54d8f6df94935fb1732638ca6ad77c13C=BM/O=QuoVadis Limited/CN=QuoVadis Root CA 2 Fingerprint (SHA1) ca3afbcf1240364b44b216208880483919937cf7

5

Klikněte na důvěryhodnou certifikační autoritu.


 

Klíč autority může být změněn, protože klíče se pravidelně mění.

6

Pokud certifikát certifikační autority není přítomen, viz část Konfigurace seznamu důvěryhodných certifikačních autorit v dokumentu Průvodce nasazením aplikace Cisco Webex Meetings pro podniky pro schůzky s podporou videozařízení.

  • Zkontrolujte zónu DNS nakonfigurovanou v řešení Expressway.

  • Hovory B2B (stávající) a Webex jsou dva typy hovorů používající systém DNS. Pokud byly hovory B2B již nastaveny, pro hovory Webex doporučujeme jedinečnou zónu DNS, která ji vynutí použití protokolu mTLS.

V řešení Expressway verze X8.10 a vyšší použijte postup pro úpravu a vytvoření zóny DNS.


Než přejdete ke konfiguracím řešení Expressway, zazálohujte stávající nastavení, abyste mohli obnovit tato nastavení a funkční stav.

1

Přejděte do části Konfigurace > Zones > Zóny.

2

Pokud máte stávající zónu DNS, vyberte ji a pak ji upravte.

3

Pokud zóna DNS neexistuje, proveďte následující kroky:

  1. Přejděte do části Konfigurace > Zóny > Zóny > Default Zone access rules (Výchozí pravidla přístupu do zóny).

  2. Nakonfigurujte novou zónu DNS pro název předmětu: sip.webex.com.

  3. Přidejte nové pravidlo vyhledávání pro směrování hovoru na novou trasu DNS.


     

    Pokud již pravidlo vyhledávání pro směrování provozu na službu Webex máte, namísto vytvoření nového pravidla upravte stávající pravidlo.

4

Ujistěte se, že jsou hovory ověřené a nebyly ovlivněny hovory B2B.


 

Chcete-li předejít potížím s překladem DNS, klikněte sem.

5

Po dokončení konfigurací přejděte do další části.

Nakonfigurujte bránu firewall pro síťové komponenty, aby byla kvalita služby Webex v počítačích, mobilních zařízeních a videozařízeních co nejvyšší.

  1. Zkontrolujte rozsahy mediálních portů používané videozařízeními.


    Tyto porty jsou poskytovány jako reference. Podrobné informace naleznete v příručce pro nasazení a v doporučení od výrobce.

    Tabulka 1. Výchozí porty používané videozařízeními pro spolupráci

    Protokol

    Čísla portu

    Směr

    Typ přístupu

    Komentáře

    TCP

    5060-5070

    Odchozí

    Signalizace SIP

    Zařízení edge Webex pro média naslouchá na portech 5060–5070. Další informace naleznete v příručce ke konfiguraci konkrétní použité služby: Průvodce nasazením aplikace Cisco Webex Meetings pro podniky pro schůzky s podporou videozařízení.

    TCP

    5060, 5061 a 5062

    Příchozí

    Signalizace SIP

    Příchozí provoz signalizace SIP z cloudu Cisco Webex

    TCP/UDP

    Krátkodobé porty 36000–59999

    Příchozí a odchozí

    Mediální porty

    Pokud používáte řešení Cisco Expressway, je nutno nastavit rozsahy pro média 36000–59999. Pokud používáte videozařízení nebo řízení hovorů třetích stran, je nutno je nakonfigurovat pro použití tohoto rozsahu.

Další informace o nastavení brány firewall naleznete v části Jak povolit provoz pro schůzky Webex v mé síti.