Um Gastgeber - Webex Meetings ohne PIN auf lokalen Geräten abzuhalten, muss Cisco Expressway-E signierte Zertifikate von vertrauenswürdigen Stammzertifizierungsstellen für mTLS-Verbindungen (Mutual TLS ) anbieten. Hier finden Sie die Liste der Stammzertifizierungsstellen, denen Cisco vertraut. dieser Artikel . Wir lassen nur Verbindungen mit gültigen signierten Zertifikaten zu.


 
Wenn Sie Expressway-E für Webex for Government verwenden, müssen Sie mTLS aktivieren.
1

Gehen Sie zu Wartung > Sicherheit > Serverzertifikat .

2

Überprüfen Sie, ob das aktuelle Expressway-Zertifikat vorhanden und korrekt ist.

3

Wenn das Zertifikat installiert ist, überprüfen Sie das Ablaufdatum des Zertifikats, um festzustellen, ob es gültig ist, und ersetzen Sie es durch ein gültiges Zertifikat.

4

Überprüfen Sie, welche Stammzertifizierungsstelle dieses Zertifikat signiert hat, und vergewissern Sie sich, dass der Name im Anwendungsleitfaden für Unternehmen aufgeführt ist.

5

Überprüfen Sie, ob für das Zertifikat der richtige SAN (Betreff für alternativen Namen) konfiguriert ist, der den Organisationseinstellungen entspricht.

6

Wählen Sie sich mit einem Videogerät in Ihren persönlichen Raum ein. Wenn Sie eine Verbindung herstellen können, ist die Verbindung erfolgreich.

7

Nachdem Sie die Konfigurationen abgeschlossen haben, fahren Sie mit dem nächsten Abschnitt fort.

Wenn eine der folgenden Aussagen zutrifft, generieren Sie eine CSR.

  • Wenn Sie kein Expressway Serverzertifikat

  • Wenn das Zertifikat abgelaufen ist

  • Wenn der SAN aktualisiert werden muss, d. h. der SAN-Name nicht mit dem SIP Benutzername übereinstimmt

1

Generieren Sie den CSR -Prozess (Certificate Signing Request).

2

Stellen Sie sicher, dass die SAN, die Sie im Zertifikat benötigen, im Zertifikat aufgeführt ist Zusätzlicher alternativer Name ein.

3

Senden Sie Ihre CSR an die Stammzertifizierungsstelle Ihrer Wahl. Wählen Sie eine Zertifizierungsstelle aus der Liste der unterstützten Zertifikate aus. Weitere Informationen finden Sie im Zertifikatsignieranforderung erstellen im Abschnitt Cisco Webex Meetings Enterprise- Anwendungsleitfaden für videogerätefähige Meetings .

4

Rufen Sie das signierte Zertifikat von der Stammzertifizierungsstelle ab.

5

Wenn Sie ein externes System zum Generieren der CSR verwendet haben, müssen Sie auch die PEM-Datei mit dem privaten Schlüssel des Servers hochladen, die zum Verschlüsseln des Serverzertifikat. (Die Datei mit dem privaten Schlüssel wurde zuvor automatisch generiert und gespeichert, wenn Expressway zum Erstellen der CSR für dieses Serverzertifikat.)

  • Das privater Serverschlüssel Die PEM-Datei darf nicht passwortgeschützt sein.

  • Sie können keinen privaten Schlüssel für den Server hochladen, wenn eine Zertifikatsignieranforderung In Bearbeitung ist.

6

Klicken Sie auf Serverzertifikat .

7

Nachdem Sie die Konfigurationen abgeschlossen haben, fahren Sie mit dem nächsten Abschnitt fort.

1

Stellen Sie sicher, dass die ausstellende Zertifizierungsstelle für das Webex-Zertifikat unter der Liste der vertrauenswürdigen CA-Zertifikat aufgeführt ist. Gehen Sie zu Wartung > Sicherheit > Vertrauenswürdiges CA-Zertifikat .


 

Installieren Sie für einen unterbrechungsfreien Dienst die primären und sekundären Stammzertifizierungsstellen. Die Quovadis-Stammzertifizierungsstelle ist die aktuelle und die DSTx3-Stammzertifizierungsstelle ist für die zukünftige Verwendung reserviert. Beide Zertifikate müssen vorhanden sein.

2

Die Liste der vertrauenswürdigen CA-Zertifikat enthält das QuoVadis-Zertifikat. Um zu überprüfen, ob es sich um das aktuellste Zertifikat handelt, lesen Sie den Cisco Webex Meetings Enterprise- Anwendungsleitfaden für videogerätefähige Meetings .

3

Klicken Sie auf das vertrauenswürdige CA-Zertifikat, suchen Sie das QuoVadis-Zertifikat und klicken Sie auf die Schaltfläche Entschlüsselt anzeigen ganz rechts.

4

Überprüfen Sie die Attribute (SHA256) des Zertifikats.

X509v3-Autoritätsschlüssel

Identifier:keyid:1A:84:62:BC:48:4C:33:25:04:D4:EE:D0:F6:03:C4:19:46:D1:94:6BDirName:/C=BM/O=QuoVadis Limited/CN=QuoVadis Root CA 2serial:05:09

DSTx3-Stammzertifizierungsstelle

O=Digital Signature Trust Co./CN=DST Root CA X3 Fingerprint (SHA1) dac9024f54d8f6df94935fb1732638ca6ad77c13C=BM/O=QuoVadis Limited/CN=QuoVadis Root CA 2 Fingerprint (SHA1) ca3afbcf1240364b44b216208880483919937cf7

5

Klicken Sie auf vertrauenswürdige CA .


 

Der Zertifizierungsstellenschlüssel kann sich ändern, wenn die Schlüssel rotiert werden.

6

Wenn das CA-Zertifikat nicht vorhanden ist, lesen Sie den Liste der vertrauenswürdigen Zertifizierungsstellen konfigurieren im Cisco Webex Meetings Enterprise- Anwendungsleitfaden für videogerätefähige Meetings .

  • Überprüfen Sie, ob in Ihrem Expressway eine DNS-Zone (Domain Name System) konfiguriert ist.

  • Zwei Arten von Anrufen, die DNS verwenden, sind B2B-Anrufe (bestehende Anrufe) und Webex Anrufe. Wenn die B2B-Anrufe bereits eingerichtet sind, empfehlen wir eine eindeutige DNS -Zone für Webex -Anrufe, die die Verwendung von mTLS erzwingen.

Führen Sie auf Expressway-Versionen X8.10 und höher die Schritte zum Ändern und Erstellen einer DNS -Zone aus.


 

Bevor Sie mit den Expressway-Konfigurationen fortfahren, sollten Sie eine Sicherungskopie Ihrer vorhandenen Einstellungen erstellen, damit Sie Ihre Einstellungen jederzeit wiederherstellen und den Betriebsstatus wiederherstellen können.

1

Gehen Sie zu Konfiguration > Zonen > Zonen

2

Wenn Sie eine vorhandene DNS -Zone haben, wählen Sie die Zone aus, und bearbeiten Sie sie.

3

Wenn keine DNS -Zone vorhanden ist, führen Sie die folgenden Schritte aus:

  1. Gehen Sie zu Konfiguration > Zonen > Zonen > Standard-Zonen-Zugriffsregeln .

  2. Konfigurieren Sie eine neue DNS -Zone für den Antragstellernamen: sip.webex.com.

  3. Fügen Sie die neue Suchregel hinzu, um den Anruf auf einer neuen DNS -Route weiterzuleiten.


     

    Wenn Sie bereits eine Suchregel zum Weiterleiten des Datenverkehrs an Webex haben, bearbeiten Sie diese Regel, anstatt eine neue Regel zu erstellen.

4

Stellen Sie sicher, dass die Anrufe validiert und die B2B-Anrufe nicht betroffen sind.


 

Um Probleme mit der DNS Auflösung zu vermeiden, klicken Sie auf hier .

5

Nachdem Sie die Konfigurationen abgeschlossen haben, fahren Sie mit dem nächsten Abschnitt fort.

Konfigurieren Sie die Firewall für Ihre Netzwerkkomponenten so, dass Sie auf Ihren Computern, Mobilgeräten und Videogeräten die höchste Webex -Qualität erhalten.

  1. Überprüfen Sie die von Videogeräten verwendeten Medienport-Bereiche.


     

    Diese Ports werden als Referenz bereitgestellt. Ausführliche Informationen finden Sie im Bereitstellungsleitfaden und in den Empfehlungen des Herstellers.

    Tabelle 1: Von Geräten für die Videozusammenarbeit verwendete Standardports

    Protokoll

    Portnummer(n)

    Richtung

    Zugriffstyp

    Kommentare

    TCP

    5060-5070

    Ausgang

    SIP-Signalisierung

    Der Webex-Medien-Edge hört auf 5060 - 5070. Weitere Informationen finden Sie in der Konfigurationsleitfaden für den jeweils verwendeten Dienst: Cisco Webex Meetings Enterprise- Anwendungsleitfaden für videogerätefähige Meetings .

    TCP

    5060, 5061 und 5062

    Eingang

    SIP-Signalisierung

    Eingehender SIP-Signalisierung aus der Cisco Webex -Cloud

    TCP/UDP

    Kurzlebige Ports 36000-59999

    Eingehend und Ausgehend

    Medienports

    Wenn Sie einen Cisco Expressway verwenden, müssen die Medienbereiche auf 36000-59999 eingestellt sein. Wenn Sie ein Videogerät oder eine Anrufsteuerung eines Drittanbieters verwenden , muss das Gerät für die Verwendung dieses Bereichs konfiguriert werden.

Weitere Informationen zu den Firewall-Einstellungen finden Sie unter Wie kann ich Webex Meetings -Datenverkehr in meinem Netzwerk zulassen? .