Sie müssen Cisco Expressway für Mutual TLS (MTLS) konfigurieren, um Benutzern das Abhalten und Beitreten zu geplanten Meetings und Meetings in persönlichen Räumen über lokale Cisco Webex-Videogeräte innerhalb Ihrer Organisation zu ermöglichen.
Um Webex-Meetings ohne PIN auf einem lokalen Gerät abzuhalten, muss Cisco Expressway-E signierte Zertifikate aus der Liste der vertrauenswürdigen Stammzertifizierungsstellen (Root Certificate Authorities, RCA) für mTLS-Verbindungen (Mutual TLS) bereitstellen. Klicken Sie hier, um eine Liste der Stammzertifizierungsstellen zu erhalten, die Cisco als vertrauenswürdig einstuft. Zertifikate, die von einer Zertifizierungsstelle aus dieser Liste signiert wurden, werden als gültig angesehen und die Verbindung wird zugelassen.
1 |
Navigieren Sie zu .![]() |
||
2 |
Überprüfen Sie, ob das aktuelle Expressway-Zertifikat vorhanden und korrekt ist. ![]() |
||
3 |
Wenn das Zertifikat installiert ist, überprüfen Sie das Ablaufdatum des Zertifikats, um dessen Gültigkeit zu ermitteln. Falls es nicht gültig ist, ersetzen Sie es durch ein gültiges Zertifikat. ![]() ![]() |
||
4 |
Überprüfen Sie, ob die Stammzertifizierungsstelle dieses Zertifikat signiert hat, und vergewissern Sie sich, dass der Name im Bereitstellungsleitfaden für Unternehmen aufgeführt ist. ![]()
|
||
5 |
Überprüfen Sie, ob der SAN (Subject Alternative Name) für das Zertifikat ordnungsgemäß konfiguriert wurde und den Organisationseinstellungen entspricht. ![]() |
||
6 |
Wenn Sie ein Videogerät verwenden, wählen Sie sich in Ihren persönlichen Raum ein. Wenn Sie eine Verbindung herstellen können, ist die Verbindung erfolgreich. |
||
7 |
Wechseln Sie nach Abschluss der Konfigurationen zum nächsten Abschnitt. |
Wenn eine der folgenden Aussagen zutrifft, generieren Sie eine Zertifikatsignierungsanfrage.
-
Sie haben kein Expressway-Serverzertifikat.
-
Das Zertifikat ist abgelaufen.
-
Der SAN muss aktualisiert werden, d. h. der SAN-Name entspricht nicht dem SIP-Benutzernamen.
1 |
Erstellen Sie die Zertifikatsignierungsanfrage (Certificate Signing Request, CSR). ![]() |
2 |
Stellen Sie sicher, dass der für das Zertifikat benötigte SAN im Feld Zusätzlicher alternativer Name aufgeführt ist. ![]() |
3 |
Senden Sie Ihre Zertifikatsignierungsanfrage an die Stammzertifizierungsstelle Ihrer Wahl. Wählen Sie eine Stammzertifizierungsstelle aus der Liste der unterstützten Stammzertifizierungsstellen aus. Weitere Informationen finden Sie im Abschnitt Zertifikatsignierungsanfrage generieren im Bereitstellungsleitfaden für Unternehmen: Cisco Webex Meetings für videogerätefähige Meetings. |
4 |
Rufen Sie das signierte Zertifikat von der Stammzertifizierungsstelle ab. |
5 |
Wenn Sie zum Generieren der Zertifikatsignierungsanfrage ein externes System verwendet haben, müssen Sie auch die PEM-Datei mit dem privaten Schlüssel für den Server hochladen, die zum Verschlüsseln des Serverzertifikats verwendet wurde. (Die Datei mit dem privaten Schlüssel wurde zuvor automatisch generiert und gespeichert, wenn für die Erstellung der Zertifikatsignierungsanfrage zu diesem Serverzertifikat Expressway verwendet wurde.)
|
6 |
Klicken Sie auf Serverzertifikatsdatei hochladen. ![]() |
7 |
Wechseln Sie nach Abschluss der Konfigurationen zum nächsten Abschnitt. |
1 |
Vergewissern Sie sich, dass die ausstellende Zertifizierungsstelle für das Webex-Zertifikat in der Liste der vertrauenswürdigen Zertifikate der Zertifizierungsstelle aufgeführt ist. Navigieren Sie zu .
![]() |
||
2 |
Die Zertifikatsliste der vertrauenswürdigen Zertifikate enthält das QuoVadis-Zertifikat. Informationen über die Vorgehensweise zur Überprüfung des aktuellen Zertifikats finden Sie im Bereitstellungsleitfaden für Unternehmen: Cisco Webex Meetings für videogerätefähige Meetings. ![]() |
||
3 |
Klicken Sie auf das vertrauenswürdige Zertifikat der Zertifizierungsstelle, suchen Sie das QuoVadis-Zertifikat und klicken Sie rechts auf die Schaltfläche Dekodiert anzeigen. |
||
4 |
Überprüfen Sie die Attribute (SHA256) des Zertifikats. X509v3-Zertifizierungsstellenschlüssel
DSTx3-Stammzertifikat
|
||
5 |
Klicken Sie auf Vertrauenswürdiges Zertifizierungsstellenzertifikat.
|
||
6 |
Wenn das Zertifizierungsstellenzertifikat nicht vorhanden ist, lesen Sie den Abschnitt Konfiguration der Liste der vertrauenswürdigen Zertifizierungsstellenzertifikate im Bereitstellungsleitfaden für Unternehmen: Cisco Webex Meetings für videogerätefähige Meetings. |
-
Überprüfen Sie, ob in Expressway eine DNS-Zone (Domain Name System) konfiguriert ist.
-
Es gibt zwei Anruftypen, die DNS verwenden: B2B-Anrufe (bestehende Anrufe) und Webex-Anrufe. Wenn B2B-Anrufe bereits eingerichtet sind, sollten Sie für Webex-Anrufe eine eindeutige DNS-Zone verwenden, für die die Verwendung von mTLS erzwungen wird.
Befolgen Sie ab Expressway-Version X8.10 die Schritte zum Ändern und Erstellen einer DNS-Zone.
Sichern Sie vor der Expressway-Konfiguration Ihre vorhandenen Einstellungen, damit Sie die Einstellungen und den ursprünglichen Betriebsstatus jederzeit wiederherstellen können. |
1 |
Navigieren Sie zu .![]() |
||
2 |
Wenn eine DNS-Zone vorhanden ist, wählen Sie die Zone aus und bearbeiten Sie sie. ![]() |
||
3 |
Wenn keine DNS-Zone vorhanden ist, führen Sie die folgenden Schritte durch:
|
||
4 |
Vergewissern Sie sich, dass die Anrufe überprüft wurden und B2B-Anrufe nicht betroffen sind.
|
||
5 |
Wechseln Sie nach Abschluss der Konfigurationen zum nächsten Abschnitt. |
Konfigurieren Sie die Firewall für Ihre Netzwerkkomponenten so, dass auf Ihren Computern, Mobilgeräten und Videogeräten die höchste Webex-Qualität erzielt wird.
-
Überprüfen Sie die Medienportbereiche, die von den Videogeräten verwendet werden.
Diese Ports werden als Referenz bereitgestellt. Ausführliche Informationen finden Sie im Bereitstellungsleitfaden und in den Empfehlungen des Herstellers.
Tabelle 1: Standardports, die von Videogeräten für die Zusammenarbeit verwendet werden Protokoll
Portnummer(n)
Richtung
Art des Zugriffs
Kommentare
TCP
5060-5070
Ausgehend
SIP-Signalisierung
Webex Edge für Medien hört Port 5060 bis 5070 ab. Weitere Informationen finden Sie im Konfigurationsleitfaden zum verwendeten Dienst: Bereitstellungsleitfaden für Unternehmen: Cisco Webex Meetings für videogerätefähige Meetings.
TCP
5060, 5061 und 5062
Eingehend
SIP-Signalisierung
Eingehender SIP-Signalisierungsverkehr über die Cisco Webex Cloud
TCP/UDP
Temporäre Ports 36000-59999
Eingehend und Ausgehend
Medienports
Bei Verwendung von Cisco Expressway müssen die Medienbereiche auf 36000-59999 festgelegt werden. Wenn Sie ein Drittanbieter-Videogerät oder ein Drittanbieter-Anrufsteuerungssystem verwenden, müssen Sie diese Komponenten für die Verwendung dieses Bereichs konfigurieren.
Weitere Informationen zu Firewall-Einstellungen finden Sie unter Webex Meetings-Datenverkehr in meinem Netzwerk zulassen.