Um Webex-Meetings ohne PIN auf einem lokalen Gerät abzuhalten, muss Cisco Expressway-E signierte Zertifikate aus der Liste der vertrauenswürdigen Stammzertifizierungsstellen (Root Certificate Authorities, RCA) für mTLS-Verbindungen (Mutual TLS) bereitstellen. Klicken Sie hier, um eine Liste der Stammzertifizierungsstellen zu erhalten, die Cisco als vertrauenswürdig einstuft. Zertifikate, die von einer Zertifizierungsstelle aus dieser Liste signiert wurden, werden als gültig angesehen und die Verbindung wird zugelassen.

Prüfen, ob ein Serverzertifikat installiert ist

1

Navigieren Sie zu Wartung > Sicherheit > Serverzertifikat.

2

Überprüfen Sie, ob das aktuelle Expressway-Zertifikat vorhanden und korrekt ist.
3

Wenn das Zertifikat installiert ist, überprüfen Sie das Ablaufdatum des Zertifikats, um dessen Gültigkeit zu ermitteln. Falls es nicht gültig ist, ersetzen Sie es durch ein gültiges Zertifikat.

4

Überprüfen Sie, ob die Stammzertifizierungsstelle dieses Zertifikat signiert hat, und vergewissern Sie sich, dass der Name im Bereitstellungsleitfaden für Unternehmen aufgeführt ist.


 

Weitere Informationen finden Sie unter Welche Stammzertifizierungsstellen (Root Certificate Authorities) werden für Anrufe an Cisco Webex-Audioplattformen und -Videoplattformen unterstützt?.

5

Überprüfen Sie, ob der SAN (Subject Alternative Name) für das Zertifikat ordnungsgemäß konfiguriert wurde und den Organisationseinstellungen entspricht.
6

Wenn Sie ein Videogerät verwenden, wählen Sie sich in Ihren persönlichen Raum ein. Wenn Sie eine Verbindung herstellen können, ist die Verbindung erfolgreich.

7

Wechseln Sie nach Abschluss der Konfigurationen zum nächsten Abschnitt.

Prüfen, ob das Expressway-Serverzertifikat nicht vorhanden oder abgelaufen ist

Wenn eine der folgenden Aussagen zutrifft, generieren Sie eine Zertifikatsignierungsanfrage.

  • Sie haben kein Expressway-Serverzertifikat.

  • Das Zertifikat ist abgelaufen.

  • Der SAN muss aktualisiert werden, d. h. der SAN-Name entspricht nicht dem SIP-Benutzernamen.

1

Erstellen Sie die Zertifikatsignierungsanfrage (Certificate Signing Request, CSR).
2

Stellen Sie sicher, dass der für das Zertifikat benötigte SAN im Feld Zusätzlicher alternativer Name aufgeführt ist.

3

Senden Sie Ihre Zertifikatsignierungsanfrage an die Stammzertifizierungsstelle Ihrer Wahl. Wählen Sie eine Stammzertifizierungsstelle aus der Liste der unterstützten Stammzertifizierungsstellen aus. Weitere Informationen finden Sie im Abschnitt Zertifikatsignierungsanfrage generieren im Bereitstellungsleitfaden für Unternehmen: Cisco Webex Meetings für videogerätefähige Meetings.

4

Rufen Sie das signierte Zertifikat von der Stammzertifizierungsstelle ab.

5

Wenn Sie zum Generieren der Zertifikatsignierungsanfrage ein externes System verwendet haben, müssen Sie auch die PEM-Datei mit dem privaten Schlüssel für den Server hochladen, die zum Verschlüsseln des Serverzertifikats verwendet wurde. (Die Datei mit dem privaten Schlüssel wurde zuvor automatisch generiert und gespeichert, wenn für die Erstellung der Zertifikatsignierungsanfrage zu diesem Serverzertifikat Expressway verwendet wurde.)

  • Die PEM-Datei mit dem privaten Schlüssel für den Server darf nicht kennwortgeschützt sein.

  • Sie können den privaten Schlüssel für den Server nicht hochladen, wenn aktuell eine Zertifikatsignierungsanfrage durchgeführt wird.

6

Klicken Sie auf Serverzertifikatsdatei hochladen.

7

Wechseln Sie nach Abschluss der Konfigurationen zum nächsten Abschnitt.

Webex-Zertifikat zur persönlichen Liste der vertrauenswürdigen Zertifikate hinzufügen

1

Vergewissern Sie sich, dass die ausstellende Zertifizierungsstelle für das Webex-Zertifikat in der Liste der vertrauenswürdigen Zertifikate der Zertifizierungsstelle aufgeführt ist. Navigieren Sie zu Wartung > Sicherheit > Vertrauenswürdiges Zertifizierungsstellenzertifikat.


 

Um einen unterbrechungsfreien Betrieb zu gewährleisten, installieren Sie die primären und sekundären Zertifizierungsstellenzertifikate. Das QuoVadis-Stammzertifikat ist das aktuelle Zertifikat und das DSTx3-Stammzertifikat ist für die spätere Verwendung reserviert. Beide Zertifikate müssen vorhanden sein.

2

Die Zertifikatsliste der vertrauenswürdigen Zertifikate enthält das QuoVadis-Zertifikat. Informationen über die Vorgehensweise zur Überprüfung des aktuellen Zertifikats finden Sie im Bereitstellungsleitfaden für Unternehmen: Cisco Webex Meetings für videogerätefähige Meetings.

3

Klicken Sie auf das vertrauenswürdige Zertifikat der Zertifizierungsstelle, suchen Sie das QuoVadis-Zertifikat und klicken Sie rechts auf die Schaltfläche Dekodiert anzeigen.

4

Überprüfen Sie die Attribute (SHA256) des Zertifikats.

X509v3-Zertifizierungsstellenschlüssel

Identifier:keyid:1A:84:62:BC:48:4C:33:25:04:D4:EE:D0:F6:03:C4:19:46:D1:94:6BDirName:/C=BM/O=QuoVadis Limited/CN=QuoVadis Root CA 2serial:05:09

DSTx3-Stammzertifikat

O=Digital Signature Trust Co./CN=DST Root CA X3 Fingerprint (SHA1) dac9024f54d8f6df94935fb1732638ca6ad77c13C=BM/O=QuoVadis Limited/CN=QuoVadis Root CA 2 Fingerprint (SHA1) ca3afbcf1240364b44b216208880483919937cf7
5

Klicken Sie auf Vertrauenswürdiges Zertifizierungsstellenzertifikat.


 

Der Zertifizierungsstellenschlüssel kann sich aufgrund von Schlüsselrotationen ändern.
6

Wenn das Zertifizierungsstellenzertifikat nicht vorhanden ist, lesen Sie den Abschnitt Konfiguration der Liste der vertrauenswürdigen Zertifizierungsstellenzertifikate im Bereitstellungsleitfaden für Unternehmen: Cisco Webex Meetings für videogerätefähige Meetings.

Überprüfen, ob die DNS-Zone korrekt konfiguriert ist

  • Überprüfen Sie, ob in Expressway eine DNS-Zone (Domain Name System) konfiguriert ist.

  • Es gibt zwei Anruftypen, die DNS verwenden: B2B-Anrufe (bestehende Anrufe) und Webex-Anrufe. Wenn B2B-Anrufe bereits eingerichtet sind, sollten Sie für Webex-Anrufe eine eindeutige DNS-Zone verwenden, für die die Verwendung von mTLS erzwungen wird.

Befolgen Sie ab Expressway-Version X8.10 die Schritte zum Ändern und Erstellen einer DNS-Zone.


Sichern Sie vor der Expressway-Konfiguration Ihre vorhandenen Einstellungen, damit Sie die Einstellungen und den ursprünglichen Betriebsstatus jederzeit wiederherstellen können.

1

Navigieren Sie zu Konfiguration > Zonen > Zonen.
2

Wenn eine DNS-Zone vorhanden ist, wählen Sie die Zone aus und bearbeiten Sie sie.

3

Wenn keine DNS-Zone vorhanden ist, führen Sie die folgenden Schritte durch:

  1. Navigieren Sie zu Konfiguration > Zonen > Zonen > Standardzonen-Zugriffsregeln.

  2. Konfigurieren Sie eine neue DNS-Zone für folgenden Subjektnamen: sip.webex.com.

  3. Fügen Sie die neue Suchregel hinzu, um den Anruf an eine neue DNS-Route weiterzuleiten.


     

    Wenn Sie bereits eine Suchregel für die Weiterleitung des Datenverkehrs an Webex festgelegt haben, bearbeiten Sie diese Regel, anstatt eine neue Regel zu erstellen.
4

Vergewissern Sie sich, dass die Anrufe überprüft wurden und B2B-Anrufe nicht betroffen sind.


 

Um Probleme mit der DNS-Auflösung zu vermeiden, klicken Sie hier.

5

Wechseln Sie nach Abschluss der Konfigurationen zum nächsten Abschnitt.

Firewall-Konfiguration und „Zulassen“-Liste für Expressway prüfen

Konfigurieren Sie die Firewall für Ihre Netzwerkkomponenten so, dass auf Ihren Computern, Mobilgeräten und Videogeräten die höchste Webex-Qualität erzielt wird.

  1. Überprüfen Sie die Medienportbereiche, die von den Videogeräten verwendet werden.


    Diese Ports werden als Referenz bereitgestellt. Ausführliche Informationen finden Sie im Bereitstellungsleitfaden und in den Empfehlungen des Herstellers.
    Tabelle 1: Standardports, die von Videogeräten für die Zusammenarbeit verwendet werden

    Protokoll

    Portnummer(n)

    Richtung

    Art des Zugriffs

    Kommentare

    TCP

    5060-5070

    Ausgehend

    SIP-Signalisierung

    Webex Edge für Medien hört Port 5060 bis 5070 ab. Weitere Informationen finden Sie im Konfigurationsleitfaden zum verwendeten Dienst: Bereitstellungsleitfaden für Unternehmen: Cisco Webex Meetings für videogerätefähige Meetings.

    TCP

    5060, 5061 und 5062

    Eingehend

    SIP-Signalisierung

    Eingehender SIP-Signalisierungsverkehr über die Cisco Webex Cloud

    TCP/UDP

    Temporäre Ports 36000-59999

    Eingehend und Ausgehend

    Medienports

    Bei Verwendung von Cisco Expressway müssen die Medienbereiche auf 36000-59999 festgelegt werden. Wenn Sie ein Drittanbieter-Videogerät oder ein Drittanbieter-Anrufsteuerungssystem verwenden, müssen Sie diese Komponenten für die Verwendung dieses Bereichs konfigurieren.

Weitere Informationen zu Firewall-Einstellungen finden Sie unter Webex Meetings-Datenverkehr in meinem Netzwerk zulassen.