Para organizar Webex Meetings sin un PIN en dispositivos en las instalaciones , su Cisco Expressway-E debe ofrecer certificados firmados de una autoridad de certificación raíz (RCA) de confianza para conexiones mutuas de TLS (mTLS). Puede encontrar la lista de CA raíz en las que confía Cisco este articulo . Solo permitimos conexiones que tengan certificados firmados válidos.


 
Si utiliza Expressway-E para Webex para el gobierno, debe habilitar mTLS.

Compruebe si hay un certificado de servidor instalado

1

Ir a Mantenimiento > Seguridad > Certificado de servidor .

2

Compruebe si el certificado actual de Expressway existe y es correcto.

3

Si el certificado está instalado, verifique la fecha de caducidad del certificado para ver si es válido o no y reemplácelo con un certificado válido.

4

Compruebe qué CA raíz firmó este certificado y asegúrese de que el nombre aparezca en la Guía de implementación empresarial.


 

Para obtener más información, consulte Qué autoridades de certificación raíz son compatibles con las llamadas a las plataformas de audio y vídeo de Cisco Webex .

5

Compruebe si el certificado tiene configurado el SAN (Nombre alternativo del sujeto) adecuado que coincida con la configuración de la organización.

6

Con un dispositivo de video, llame a su sala personal. Si puede conectarse, la conexión se realizó correctamente.

7

Después de completar las configuraciones, pase a la siguiente sección.

Compruebe si el certificado del servidor de Expressway no existe o ha caducado

Si se cumple alguna de las siguientes condiciones, genere una CSR.

  • Si no tiene un certificado de servidor de Expressway

  • Si el certificado ha caducado

  • Si es necesario actualizar la SAN, ese es el nombre de la SAN no coincide con el nombre de usuario de SIP

1

Genere el proceso de CSR (solicitud de firma de certificado).

2

Asegúrese de que la SAN que necesita en el certificado esté listada en la Nombre alternativo adicional campo.

3

Envíe su CSR a la CA raíz de su elección. Elija una CA de la lista admitida. Consulte el Generar solicitud de firma de certificado sección en el Guía de implementación empresarial de Cisco Webex Meetings para reuniones habilitadas para dispositivos de vídeo .

4

Obtenga el certificado firmado desde la CA raíz.

5

Si utilizó un sistema externo para generar la CSR, también debe cargar el archivo PEM de clave privada del servidor que se utilizó para cifrar el certificado de servidor. (El archivo de clave privada se habrá generado y almacenado automáticamente antes si se utilizó Expressway para producir la CSR para este certificado de servidor).

  • El clave privada del servidor El archivo PEM no debe estar protegido con contraseña.

  • No puede cargar una clave privada de servidor si hay una solicitud de firma de certificado en curso.

6

Haga clic en Cargar datos del certificado de servidor .

7

Después de completar las configuraciones, pase a la siguiente sección.

Agregar el certificado de Webex a mi lista de certificados de confianza

1

Asegúrese de que la autoridad de certificación que emite el certificado de Webex aparece en la lista de certificado CA de confianza. Ir a Mantenimiento > Seguridad > Certificado de CA de confianza .


 

Para servicios ininterrumpidos, instale las CA raíz primaria y secundaria. La CA raíz de Quovadis está actualizada y la CA raíz DSTx3 está reservada para uso futuro. Ambos certificados deben estar presentes.

2

La lista de certificado CA de confianza contiene el certificado de QuoVadis. Para comprobar si es el certificado más actual, consulte la Guía de implementación empresarial de Cisco Webex Meetings para reuniones habilitadas para dispositivos de vídeo .

3

Haga clic en el certificado CA de confianza, busque el certificado de QuoVadis y haga clic en el Ver decodificado botón en el extremo derecho.

4

Verifique los atributos (SHA256) del certificado.

Clave de autoridad X509v3

Identifier:keyid:1A:84:62:BC:48:4C:33:25:04:D4:EE:D0:F6:03:C4:19:46:D1:94:6BDirName:/C=BM/O=QuoVadis Limited/CN=QuoVadis Root CA 2serial:05:09

CA raíz DSTx3

O=Digital Signature Trust Co./CN=DST Root CA X3 Fingerprint (SHA1) dac9024f54d8f6df94935fb1732638ca6ad77c13C=BM/O=QuoVadis Limited/CN=QuoVadis Root CA 2 Fingerprint (SHA1) ca3afbcf1240364b44b216208880483919937cf7

5

Haga clic en CA de confianza .


 

La clave de autoridad está sujeta a cambios a medida que rotan las claves.

6

Si el certificado CA no está presente, consulte la Configurar la lista de CA de confianza en el Guía de implementación empresarial de Cisco Webex Meetings para reuniones habilitadas para dispositivos de vídeo .

Compruebe si su zona DNS está configurada correctamente

  • Compruebe si tiene una zona de Sistema de nombres de dominio (DNS) configurada en su Expressway.

  • Dos tipos de llamadas que utilizan DNS son las llamadas B2B (existentes) y las llamadas de Webex . Si las llamadas B2B ya están configurar, recomendamos una zona DNS única para las llamadas de Webex que lo obliguen a utilizar mTLS.

En las versiones X8.10 y superiores de Expressway, siga los pasos para modificar y crear una Zona DNS .


 

Antes de continuar con las configuraciones de la autopista, haga una copia de seguridad de su configuración existente, para que siempre pueda revertir su configuración y volver a un estado operativo.

1

Ir a Configuracion > Zonas > Zonas

2

Si tiene una zona DNS existente, seleccione la zona y edítela.

3

Si no existe una zona DNS , realice los pasos a continuación:

  1. Ir a Configuracion > Zonas > Zonas > Reglas de acceso predeterminadas a la zona .

  2. Configure una nueva zona DNS para el nombre del sujeto: sip.webex.com.

  3. Agregue la nueva regla de búsqueda para enrutar la llamada en una nueva ruta DNS .


     

    Si ya tiene una regla de búsqueda para enrutar el tráfico a Webex, edítela en lugar de crear una nueva regla.

4

Asegúrese de que las llamadas estén validadas y que las llamadas B2B no se vean afectadas.


 

Para evitar problemas de resolución de DNS , haga clic en aqui .

5

Después de completar las configuraciones, pase a la siguiente sección.

Compruebe la configuración del cortafuegos y la lista de permisos para Expressway

Configure el firewall para sus componentes de red para que obtenga la experiencia de Webex de la más alta calidad en sus computadoras, dispositivos móviles y dispositivos de video.

  1. Compruebe los rangos de puertos de medios utilizados por los dispositivos de vídeo.


     

    Estos puertos se proporcionan como referencia. Consulte la guía de implementación y la recomendación del fabricante para obtener todos los detalles.

    Tabla 1. Puertos predeterminados utilizados por los dispositivos de colaboración de vídeo

    Protocolo

    Número(s) de puerto

    Dirección

    Tipo de acceso

    Comentarios

    TCP

    5060-5070

    Salida

    Señales SIP

    El perímetro de medios de Webex escucha en 5060 - 5070. Para obtener más información, consulte la guía de configuración del servicio específico utilizado: Guía de implementación empresarial de Cisco Webex Meetings para reuniones habilitadas para dispositivos de vídeo .

    TCP

    5060, 5061 y 5062

    De entrada

    Señales SIP

    Tráfico de señalización SIP entrante desde la nube de Cisco Webex

    TCP/UDP

    Puertos efímeros 36000 a 59999

    Entrada y salida

    Puertos de medios

    Si está utilizando una solución de Cisco Expressway, los rangos de medios deben establecerse en 36000-59999. Si está utilizando un dispositivo de video o control de llamada de terceros, es necesario configurarlos para utilizar este rango.

Para obtener más información sobre la configuración del firewall, consulte ¿Cómo puedo permitir el tráfico de Webex Meetings en mi red? .