Jos haluat isännöidä Webex-kokouksia ilman PIN-koodia tiloissa olevissa laitteissa, Cisco Expressway-E:n on tarjottava luotettavan juurivarmentajan (RCA) allekirjoittamia varmenteita keskinäisiä TLS (mTLS) -yhteyksiä varten. Löydät luettelon juurivarmentajista, joihin Cisco luottaa, osoitteesta . Tämä artikkeli. Sallimme vain yhteydet, joilla on voimassa olevat allekirjoitetut varmenteet.

Jos käytät Expressway-E:tä Webex for Government -palvelua varten, sinun on otettava käyttöön mTLS.
Tarkista, onko palvelinvarmenne asennettu
1

Siirry osoitteeseen Ylläpito > Suojaus > Palvelinvarmenne.

2

Tarkista, onko nykyinen pikaraitiotietodistus olemassa ja onko se tarkka.

3

Jos varmenne on asennettu, tarkista varmenteen viimeinen voimassaolopäivä ja vaihda se voimassa olevaan varmenteeseen.

4

Tarkista, mikä juurivarmentaja on allekirjoittanut tämän varmenteen, ja varmista, että nimi on lueteltu Enterprise Deployment Guide -oppaassa.

Lisätietoja on osoitteessa . Mitä juurivarmenteiden myöntäjiä tuetaan puheluissa Cisco Webexin audio- ja videoalustoille.

5

Tarkista, onko varmenteeseen määritetty oikea SAN (Subject Alternative Name), joka vastaa organisaation asetuksia.

6

Soita videolaitteen avulla omaan huoneeseesi. Jos voit muodostaa yhteyden, yhteys on muodostettu onnistuneesti.

7

Kun olet saanut kokoonpanot valmiiksi, siirry seuraavaan osioon.

Tarkista, onko Expressway-palvelimen sertifikaattia ei ole olemassa tai onko se vanhentunut.

Jos jokin seuraavista on totta, luo CSR.

  • Jos sinulla ei ole Expressway-palvelinvarmentetta

  • Jos varmenne on vanhentunut

  • Jos SAN on päivitettävä, eli SAN-nimi ei vastaa SIP-käyttäjänimeä.

1

Luo CSR (Certificate signing request) -prosessi.

2

Varmista, että varmenteessa tarvitsemasi SAN on lueteltu Toinen vaihtoehtoinen nimi -kentässä.

3

Toimita CSR valitsemallesi pääkäyttäjän varmentajalle. Valitse CA tuetusta luettelosta. Katso Cisco Webex Meetings Enterprise -käyttöönottoopas videolaitteita käyttäville kokouksille -oppaan kohta Generate Certificate Signing Request .

4

Hanki varmenne allekirjoitettuna päävarmentajalta.

5

Jos olet käyttänyt ulkoista järjestelmää CSR:n luomiseen, sinun on ladattava myös palvelimen yksityinen avain PEM-tiedosto, jota käytettiin palvelinvarmenteen salaamiseen. (Yksityisen avaimen tiedosto on luotu ja tallennettu automaattisesti aiemmin, jos Expresswayta käytettiin tämän palvelinvarmenteen CSR:n tuottamiseen.)

  • palvelimen yksityistä avainta PEM-tiedostoa ei saa suojata salasanalla.

  • Et voi ladata palvelimen yksityistä avainta, jos varmenteen allekirjoituspyyntö on käynnissä.

6

Napsauta Upload server certificate data.

7

Kun olet saanut kokoonpanot valmiiksi, siirry seuraavaan osioon.

Lisää Webex-varmenne luotettavien varmenteiden luetteloon.
1

Varmista, että Webexin varmenteen myöntävä varmentaja on luettelossa Luottamuksellisten varmentajien varmentajaluettelossa. Siirry osoitteeseen Ylläpito > Suojaus > Trusted CA Certificate.

Asenna ensisijainen ja toissijainen juurivarmentaja, jotta palvelut toimivat keskeytyksettä. Quovadis Root CA on nykyinen ja DSTx3 Root CA on varattu tulevaa käyttöä varten. Molempien todistusten on oltava mukana.

2

Luotettujen varmentajien varmenteluettelo sisältää QuoVadisin varmenteen. Voit tarkistaa, onko kyseessä uusin varmenne, osoitteesta Cisco Webex Meetings Enterprise -käyttöönottoopas videolaitteita käyttäville kokouksille.

3

Napsauta luotetun varmentajan varmenteen kohdalla QuoVadis-sertifikaattia ja napsauta View decoded -painiketta aivan oikealla.

4

Tarkista varmenteen attribuutit (SHA256).

X509v3 Viranomaisavain

Tunniste:keyid:1A:84:62:BC:48:4C:33:25:04:D4:EE:D0:F6:03:C4:19:46:D1:94:6BDirName:/C=BM/O=QuoVadis Limited/CN=QuoVadis Root CA 2serial:05:09

DSTx3 root CA

O=Digital Signature Trust Co./CN=DST Root CA X3 Fingerprint (SHA1) dac9024f54d8f6df94935fb1732638ca6ad77c13C=BM/O=QuoVadis Limited/CN=QuoVadis Root CA 2 Fingerprint (SHA1) ca3afbcf1240364b44b216208880483919937cf7

5

Napsauta trusted CA.

Viranomaisavain voi muuttua, kun avaimet vaihtuvat.

6

Jos CA-varmentajaa ei ole, katso Määritä Luotettu CA -luettelo osoitteessa Cisco Webex Meetings Enterprise -käyttöönottoopas videolaitteita käyttäville kokouksille.

Tarkista, onko DNS-vyöhyke määritetty oikein

  • Tarkista, onko Expressway-verkkoon määritetty DNS-vyöhyke (Domain Name System).

  • Kaksi DNS:ää käyttävää puhelutyyppiä ovat B2B-puhelut (nykyiset) ja Webex-puhelut. Jos B2B-puhelut on jo määritetty, suosittelemme Webex-puheluille yksilöllistä DNS-vyöhykettä, joka pakottaa sen käyttämään mTLS:ää.

Expresswayn versioissa X8.10 ja sitä uudemmissa versioissa voit muokata ja luoda DNS-alueen seuraavasti.

Ennen kuin jatkat pikaraitiotien määritysten tekemistä, ota varmuuskopio nykyisistä asetuksista, jotta voit aina palauttaa asetukset ja palata toimintatilaan.

1

Siirry osoitteeseen Configuration > Zones > Zones.

2

Jos sinulla on olemassa oleva DNS-vyöhyke, valitse vyöhyke ja muokkaa sitä.

3

Jos DNS-vyöhykettä ei ole olemassa, suorita seuraavat vaiheet:

  1. Siirry osoitteeseen Configuration > Zones > Zones > Default Zone access rules.

  2. Määritä uusi DNS-vyöhyke aiheen nimelle: sip.webex.com.

  3. Lisää uusi hakusääntö puhelun reitittämiseksi uudella DNS-reitillä.

    Jos sinulla on jo olemassa hakusääntö, jonka avulla liikenne ohjataan Webexiin, muokkaa sitä uuden säännön luomisen sijaan.

4

Varmista, että puhelut validoidaan ja että B2B-puhelut eivät vaikuta niihin.

Välttääksesi DNS-resoluutio-ongelmat, napsauta täällä.

5

Kun olet saanut kokoonpanot valmiiksi, siirry seuraavaan osioon.

Tarkista palomuurin kokoonpano ja salli Expresswayn listaus.

Määritä verkkokomponenttien palomuuri, jotta saat mahdollisimman laadukkaan Webex-kokemuksen tietokoneilla, mobiililaitteilla ja videolaitteilla.

  1. Tarkista videolaitteiden käyttämät mediaporttialueet.

    Nämä portit ovat viitteellisiä. Katso tarkemmat tiedot käyttöönotto-oppaasta ja valmistajan suosituksesta.

    Taulukko 1. Videoyhteistyölaitteiden käyttämät oletusportit

    Protokolla

    Porttinumero(t)

    Suunta

    Pääsytyyppi

    Kommentit

    TCP

    5060-5070

    Lähtevä

    SIP-signalointi

    Webexin mediareuna kuuntelee numeroita 5060 - 5070. Lisätietoja on käytettävän palvelun määritysoppaassa: Cisco Webex Meetings Enterprise -käyttöönottoopas videolaitteita käyttäville kokouksille.

    TCP

    5060, 5061 ja 5062

    Saapuva

    SIP-signalointi

    Cisco Webexin pilvipalvelusta tuleva SIP-signalointiliikenne.

    TCP / UDP

    Ephemeral Ports 36000-59999

    Saapuvat ja lähtevät

    Mediaportit

    Jos käytät Ciscon Expresswayta, media-alueet on asetettava arvoihin 36000-59999. Jos käytät kolmannen osapuolen videolaitetta tai puhelunohjausta, ne on määritettävä käyttämään tätä aluetta.

Lisätietoja palomuuriasetuksista on osoitteessa Kuinka sallin Webex Meetings -liikenteen verkossani.