Para celebrar reuniones de Webex sin un PIN en un dispositivo en las instalaciones, es necesario que su Cisco Expressway-E proporcione certificados firmados de la lista de autoridades de certificación raíz (RCA) de confianza para las conexiones de TLS mutuo (mTLS). Haga clic aquí para obtener una lista de las CA raíz en las que Cisco confía. Los certificados firmados por las autoridades que figuran en esta lista se consideran válidos y se permitirá la conexión.

1

Vaya a Maintenance (Mantenimiento) > Security (Seguridad) > Server Certificate (Certificado del servidor).

2

Compruebe si el certificado actual de Expressway existe y es exacto.

3

Si el certificado está instalado, verifique la fecha de caducidad del mismo para comprobar si es válido o no, y reemplazarlo por un certificado válido.

4

Compruebe qué CA raíz firmó este certificado y asegúrese de que el nombre aparece en la guía de implementación empresarial.


 

Para obtener más información, consulte What Root Certificate Authorities are Supported for Calls to Cisco Webex Audio and Video Platforms (Qué autoridades de certificado raíz se admiten para las llamadas a las plataformas de audio y video de Cisco Webex).

5

Compruebe si el certificado tiene configurado el SAN (nombre alternativo del firmante) correcto que coincide con la configuración de la organización.

6

Con un dispositivo de video, llama a su sala personal. Si puede conectarse, la conexión es correcta.

7

Después de completar las configuraciones, pase a la siguiente sección.

Si se cumple alguna de las siguientes situaciones, genere un CSR.

  • Si no tiene un certificado de servidor de Expressway

  • Si el certificado ha caducado

  • Si se debe actualizar la SAN, que el nombre de la SAN no coincide con el nombre de usuario SIP

1

Genere el proceso CSR (solicitud de firma de certificado).

2

Asegúrese de que el SAN que necesita en el certificado se enumere en el campo Additional alternate name (Nombre alternativo adicional).

3

Envíe la CSR a la CA raíz de su elección. Elija una CA de la lista de compatibles. Consulte la sección Generate Certificate Signing Request (Generar la solicitud de firma de certificados) en la Guía de implementación empresarial de Cisco Webex Meetings para reuniones habilitadas para dispositivos de video.

4

Obtenga el certificado firmado de la CA raíz.

5

Si utilizó un sistema externo para generar la CSR, también debe cargar el archivo PEM de la clave privada del servidor que se utilizó para cifrar el certificado del servidor. (El archivo de clave privada se habrá generado de forma automática y se habrá almacenado antes si se utilizó Expressway para producir la CSR de este certificado del servidor).

  • El archivo PEM de la clave privada del servidor no debe estar protegido por una contraseña.

  • No se puede subir una clave privada de servidor si está en curso una solicitud de firma de certificado.

6

Haga clic en Upload server certificate data (Cargar los datos del certificado del servidor).

7

Después de completar las configuraciones, pase a la siguiente sección.

1

Asegúrese de que la entidad emisora del certificado de Webex aparezca en la lista de certificados de CA de confianza. Vaya a Maintenance (Mantenimiento) > Security (Seguridad) > Trusted CA Certificate (Certificado de la CA de confianza).


 

Para los servicios ininterrumpidos, instale las CA raíz principales y secundarias. La CA raíz de Quovadis es actual y la CA raíz de DSTx3 está reservada para un uso futuro. Ambos certificados deben estar presentes.

2

La lista de certificados de CA de confianza contiene el certificado de QuoVadis. Para verificar si es el certificado más reciente, consulte la Guía de implementación empresarial de Cisco Webex Meetings para reuniones habilitadas para dispositivos de video.

3

Haga clic en el certificado de la CA de confianza, busque el certificado de QuoVadis y haga clic en el botón View decoded (Ver descodificado) en el extremo derecho.

4

Compruebe los atributos (SHA256) del certificado.

Clave de autoridad X509v3

Identifier:keyid:1A:84:62:BC:48:4C:33:25:04:D4:EE:D0:F6:03:C4:19:46:D1:94:6BDirName:/C=BM/O=QuoVadis Limited/CN=QuoVadis Root CA 2serial:05:09

CA raíz DSTx3

O=Digital Signature Trust Co./CN=DST Root CA X3 Fingerprint (SHA1) dac9024f54d8f6df94935fb1732638ca6ad77c13C=BM/O=QuoVadis Limited/CN=QuoVadis Root CA 2 Fingerprint (SHA1) ca3afbcf1240364b44b216208880483919937cf7

5

Haga clic en Trusted CA (CA de confianza).


 

La clave de autoridad está sujeta a cambios cuando rotan las claves.

6

Si el certificado de la CA no está presente, consulte la sección Configure the Trusted CA list (Configurar la lista de la CA de confianza) en la Guía de implementación empresarial de Cisco Webex Meetings para reuniones habilitadas para dispositivos de video.

  • Compruebe si tiene configurada una zona de sistema de nombres de dominio (DNS) en Expressway.

  • Los dos tipos de llamadas que usan DNS son las llamadas B2B (existentes) y las llamadas Webex. Si las llamadas B2B ya están configuradas, recomendamos utilizar una única zona de DNS para las llamadas de Webex que fuercen el uso de mTLS.

En las versiones X8.10 y superiores de Expressway, use los pasos para modificar y crear una zona DNS.


Antes de continuar con la configuración de Expressway, haga una copia de seguridad de su configuración existente, para que siempre pueda revertir los cambios y volver a un estado operativo.

1

Vaya a Configuration (Configuración) > Zones (Zonas) > Zones (Zonas).

2

Si ya tiene una zona DNS, selecciónela y edítela.

3

Si no existe una zona DNS, realice los pasos que se indican a continuación:

  1. Vaya a Configuration (Configuración) > Zones (Zonas) > Zones (Zonas) > Default Zone access rules (Reglas de acceso a la zona predeterminada).

  2. Configure una zona DNS nueva para el nombre de asunto: sip.webex.com.

  3. Agregue la nueva regla de búsqueda para enrutar la llamada en una nueva ruta DNS.


     

    Si ya tiene una regla de búsqueda para enrutar el tráfico a Webex, edítela en lugar de crear una nueva.

4

Asegúrese de que las llamadas se validan y que las llamadas B2B no se vean afectadas.


 

Para evitar problemas de resolución de DNS, haga clic aquí.

5

Después de completar las configuraciones, pase a la siguiente sección.

Configure el cortafuegos de los componentes de red para obtener una experiencia Webex de la más alta calidad en sus computadoras, dispositivos móviles y dispositivos de video.

  1. Compruebe los rangos de puertos de medios que usan los dispositivos de video.


    Estos puertos se proporcionan como referencia. Consulte la guía de implementación y la recomendación del fabricante para obtener todos los detalles.

    Tabla 1. Puertos predeterminados que usan los dispositivos de colaboración de video

    Protocolo

    Números de puerto

    Dirección

    Tipo de acceso

    Comentarios

    TPC

    5060-5070

    Salida

    Señalización SIP

    El perímetro de medios de Webex escucha en 5060 - 5070. Para obtener más información, consulte la guía de configuración en el servicio específico utilizado: la guía de implementación empresarial de Cisco Webex Meetings para reuniones habilitadas para dispositivos de video.

    TPC

    5060, 5061 y 5062

    Entrada

    Señalización SIP

    Tráfico de señalización SIP entrante desde la nube de Cisco Webex

    TCP/UDP

    Puertos efímeros 36000-59999

    Entrada y salida

    Puertos de medios

    Si usa Cisco Expressway, los rangos de medios tienen que estar definidos entre 36000 y 59999. Si utiliza un dispositivo de video o un control de llamadas de terceros, deben estar configurados para utilizar este rango.

Para obtener más información sobre la configuración del cortafuegos, consulte la sección How Do I Allow Webex Meetings Traffic on My Network (Cómo permitir el tráfico de Webex Meetings en mi red).