Para celebrar efectuar reuniones de Webex sin un PIN en un dispositivo local, es necesario que su Cisco Expressway-E ofrezca certificados firmados de la lista de autoridades de certificación raíz (RCA) de confianza para conexiones TLS mutuo (mTLS). Haga clic aquí para obtener una lista de CA raíz en la que confía Cisco. Los certificados firmados por las autoridades que figuran en esta lista se consideran válidos y se permitirá la conexión.

1

Vaya a Maintenance > Security > Server Certificate (Mantenimiento > Seguridad > Certificado de servidor).

2

Compruebe si el certificado actual de Expressway existe y es exacto.

3

Si el certificado está instalado, compruebe la fecha de caducidad del mismo para ver si es válido o no y reemplácelo por un certificado válido.

4

Compruebe qué CA raíz firmó este certificado y asegúrese de que el nombre aparece en la guía de implementación empresarial.

5

Compruebe si el certificado tiene configurado el SAN (nombre alternativo del firmante) correcto que coincide con la configuración de la organización.

6

Con un dispositivo de video, llama a su sala personal. Si puede conectarse, la conexión es correcta.

7

Después de completar las configuraciones, pase a la siguiente sección.

Si se cumple alguna de las siguientes situaciones, genere un CSR.

  • Si no tiene un certificado de servidor de Expressway

  • Si el certificado ha caducado

  • Si se debe actualizar la SAN, que el nombre de la SAN no coincide con el nombre de usuario SIP

1

Genere el proceso CSR (solicitud de firma de certificado).

2

Asegúrese de que la SAN que necesita en el certificado se indica en el campo Additional alternate name (Nombre alternativo adicional).

3

Envíe la CSR a la CA raíz de su elección. Elija una CA de la lista de compatibles. Consulte la sección Generar la solicitud de firma de certificados en la Guía de implementación empresarial de Cisco Webex Meetings para reuniones habilitadas para dispositivo de video.

4

Obtenga el certificado firmado de la CA raíz.

5

Si utilizó un sistema externo para generar la CSR, también debe cargar el archivo PEM de clave privada del servidor que se utilizó para cifrar el certificado del servidor. (El archivo de clave privada se habrá generado automáticamente y se habrá almacenado antes si se utilizó Expressway para producir la CSR de este certificado de servidor).

  • El archivo PEM de clave privada del servidor no debe estar protegido por contraseña.

  • No se puede subir una clave privada de servidor si está en curso una solicitud de firma de certificado.

6

Haga clic en Upload server certificate data (Cargar datos de certificado de servidor).

7

Después de completar las configuraciones, pase a la siguiente sección.

1

Asegúrese de que la entidad emisora del certificado de Webex aparezca en la lista de certificados de CA de confianza. Vaya a Maintenance > Security > Trusted CA Certificate (Mantenimiento > Seguridad > Certificado de CA de confianza).


 

Para los servicios ininterrumpidos, instale las CA raíz principales y secundarias. La CA raíz Quovadis es actual y la CA raíz DSTx3 está reservada para un uso futuro. Ambos certificados deben estar presentes.

2

La lista de certificados de CA de confianza contiene el certificado de QuoVadis. Para comprobar si es el certificado más reciente, consulte la Guía de implementación empresarial de Cisco Webex Meetings para reuniones habilitadas para dispositivo de video.

3

Haga clic en el certificado de CA de confianza, busque el certificado QuoVadis y haga clic en el botón View decoded (Ver descodificado) en el extremo derecho.

4

Compruebe los atributos (SHA256) del certificado.

Clave de autoridad X509v3

Identifier:keyid:1A:84:62:BC:48:4C:33:25:04:D4:EE:D0:F6:03:C4:19:46:D1:94:6BDirName:/C=BM/O=QuoVadis Limited/CN=QuoVadis Root CA 2serial:05:09

CA raíz DSTx3

O=Digital Signature Trust Co./CN=DST Root CA X3 Fingerprint (SHA1) dac9024f54d8f6df94935fb1732638ca6ad77c13C=BM/O=QuoVadis Limited/CN=QuoVadis Root CA 2 Fingerprint (SHA1) ca3afbcf1240364b44b216208880483919937cf7

5

Haga clic en trusted CA (CA de confianza).


 

La clave de autoridad está sujeta a cambios cuando rotan las claves.

6

Si el certificado de la CA no está presente, consulte Configurar la lista de CA de confianza en la Guía de implementación empresarial de Cisco Webex Meetings para reuniones habilitadas para dispositivo de video.

  • Compruebe si tiene configurada una zona de sistema de nombres de dominio (DNS) en Expressway.

  • Los dos tipos de llamadas que usan DNS son las llamadas B2B (existentes) y las llamadas Webex. Si las llamadas B2B ya están configuradas, recomendamos una zona DNS única para las llamadas de Webex que fuerce mTLS.

En las versiones X8.10 y superiores de Expressway, use los pasos para modificar y crear una zona DNS.


Antes de continuar con las configuraciones de Expressway, haga una copia de seguridad de su configuración existente, para que siempre pueda revertir la configuración y volver a un estado operativo.

1

Vaya a to Configuration > Zones > Zones (Configuración > Zonas > Zonas)

2

Si ya tiene una zona DNS, selecciónela y edítela.

3

Si no existe una zona DNS, realice los pasos que se indican a continuación:

  1. Vaya a Configuration > Zones > Zones > Default Zone access rules (Configuración > Zonas > Zonas > Reglas de acceso a la zona predeterminada).

  2. Configure una zona DNS nueva para el nombre de asunto: sip.webex.com.

  3. Agregue la nueva regla de búsqueda para enrutar la llamada en una nueva ruta DNS.


     

    Si ya tiene una regla de búsqueda para enrutar el tráfico a Webex, edítela en lugar de crear una nueva.

4

Asegúrese de que las llamadas se validan y que las llamadas B2B no se vean afectadas.


 

Para evitar problemas de resolución de DNS, haga clic aquí.

5

Después de completar las configuraciones, pase a la siguiente sección.

Configure el firewall de sus componentes de red para obtener una experiencia Webex de la más alta calidad en sus computadoras, dispositivos móviles y dispositivos de video.

  1. Compruebe los rangos de puertos de medios que usan los dispositivos de video.


    Estos puertos se proporcionan como referencia. Consulte la guía de implementación y la recomendación del fabricante para obtener todos los detalles.

    Tabla 1. Puertos predeterminados que usan los dispositivos de colaboración de video

    Protocolo

    Números de puerto

    Dirección

    Tipo de acceso

    Comentarios

    TPC

    5060-5070

    Salida

    Señalización SIP

    El perímetro de medios de Webex escucha en 5060 - 5070. Para obtener más información, consulte la guía de configuración en el servicio específico usado: Guía de implementación empresarial de Cisco Webex Meetings para reuniones habilitadas para dispositivo de video.

    TPC

    5060, 5061 y 5062

    Entrada

    Señalización SIP

    Tráfico de señalización SIP entrante desde la nube de Cisco Webex

    TCP/UDP

    Puertos efímeros 36000-59999

    Entrada y salida

    Puertos de medios

    Si usa Cisco Expressway, los rangos de medios tienen que estar definidos entre 36000 y 59999. Si usa un dispositivo de video o control de llamadas de terceros, deben estar configurados para utilizar este rango.

Para obtener más información sobre la configuración del firewall, consulte Cómo permitir el tráfico de Webex Meetings en mi red.