Pour organiser des Webex Meetings sans pin sur les périphériques sur site, votre Cisco Expressway-E doit offrir des certificats signés à partir d’une autorités de certification racines de confiance (RCA) pour les connexions TLS mutuelles (mTLS). Vous pouvez trouver la liste des CA racines de confiance de Cisco dans cet article. Nous permettons uniquement les connexions qui ont des certificats signés valides.

Si vous utilisez votre Expressway-E pour Webex pour le Gouvernement, vous devez activer mTLS.
Vérifier si un certificat de serveur est installé
1

Allez dans Maintenance > certificat du >'équipe.

2

Vérifiez si le certificat de Expressway’enregistrement existe et est précis.

3

Si le certificat est installé, vérifiez la date d’expiration du certificat pour voir si est valide ou non et remplacez-le par un certificat valide.

4

Vérifiez quelle ac racine a signé ce certificat et vérifiez que le nom est listé dans le Guide de déploiement d’entreprise.

Pour plus d’informations, voir Quelles sont les autorités de certification racines supportées pour les appels vers Cisco Webex plateformes audio et vidéo.

5

Vérifiez si le certificat a le BON SAN (Nom alternatif de l'objet) configuré qui correspond aux paramètres de l’organisation.

6

En utilisant un périphérique vidéo, appelez votre salle personnelle. Si vous pouvez vous connecter, alors la connexion est réussie.

7

Après avoir terminé les configurations, déplacez-vous dans la section suivante.

Vérifiez si le certificat Expressway server n’existe pas ou a expiré

Si l’un des cas suivants sont vrais, alors générons un CSR.

  • Si vous n’avez pas de certificat Expressway serveur

  • Si le certificat a expiré

  • Si le SAN doit être mis à jour, c’est que le nom SAN ne correspond pas au nom DU SIP nom d'utilisateur

1

Générer le processus CSR (demande de signature de certificat).

2

Assurez-vous que le SAN dont vous avez besoin dans le certificat est listé sur le champ Autre nom supplémentaire.

3

Envoyez votre CSR à l’AC racine de votre choix. Choisissez une AC dans la liste prise en charge. Reportez-vous à la section Générer une demande de signature de certificat dans Cisco Webex Meetings De déploiement entreprise pour les réunions avec périphériques vidéo.

4

Obtenez le certificat signé de l’AC racine.

5

Si vous avez utilisé un système externe pour générer le CSR, vous devez également télécharger le fichier PEM de la clé privée du serveur qui a été utilisé pour chiffrer le certificat du serveur. (Le fichier de clé privée aura été automatiquement généré et stocké précédemment si le Expressway a été utilisé pour produire le CSR pour le certificat de ce serveur.)

  • Le fichier PEM de la clé privée du serveur ne doit pas être protégé par mot de passe.

  • Vous ne pouvez pas charger une clé privée de serveur si une demande de signature de certificat est en cours.

6

Cliquez sur Charger les données du certificat du serveur.

7

Après avoir terminé les configurations, déplacez-vous dans la section suivante.

Ajouter le certificat Webex dans ma liste de certificats de confiance
1

Assurez-vous que l’autorité de certification émettrice pour le certificat de Webex est listée sous la liste des certificats des AC de confiance. Allez dans Maintenance et > et certificat > confiance de l’AC.

Pour des services ininterrompus, installez les CAs racines primaire et secondaire. L’AC racine Quovadis est actuelle et l’AC racine DSTx3 est réservée pour une utilisation ultérieure. Ces deux certificats doivent être présents.

2

La liste des certificats des AC de confiance contient le certificat QuoVadis. Pour vérifier s’il s’agit du certificat le plus actuel, reportez-vous au Guide Cisco Webex Meetings de déploiement Entreprise pour les réunions avec périphériques vidéo.

3

Cliquez sur le certificat de confiance de l’AC, recherchez le certificat QuoVadis, puis cliquez sur le bouton Afficher décodé à droite.

4

Vérifiez les attributs (SHA256) du certificat.

Clé d’autorité X509v3

Identifiant :keyid:1A:84:62:BC:48:4C:33:25:04:D4:EE:D0:F6:03:C4:19:46:D1:94:6BDirName :/C=BM/O=QuoVadis Limited/CN=QuoVadis Root CA 2serial:05:09

AC racine DSTx3

O=Digital Signature Trust Co./CN=DST Root CA X3 Fingerprint (SHA1) dac9024f54d8f6df94935fb1732638ca6ad77c13C=BM/O=QuoVadis Limited/CN=QuoVadis Root CA 2 Fingerprint (SHA1) ca3afbcf1240364b44b216208880483919937cf7

5

Cliquez sur AC de confiance.

La clé d’autorité peut être changée au moment où elles pivotent les touches.

6

Si le certificat de l’AC n’est pas présent, reportez-vous à la liste Configurer l’AC de confiance dans le Guide de déploiement Cisco Webex Meetings Entreprise pour les réunions avec périphériques vidéo.

Vérifiez si votre zone DNS est correctement configurée

  • Vérifiez si vous avez une zone de système de noms de domaine (DNS) configurée sur votre Expressway.

  • Deux types d’appels qui utilisent DNS sont des appels B2B (existants) et Webex. Si les appels B2B sont déjà configurer, nous recommandons une zone DNS unique pour les appels Webex qui forcent l’utilisation de MTLS.

Sur Expressway versions X8.10 et plus récentes, utilisez les étapes pour modifier et créer la zone DNS.

Avant de continuer avec les configurations expressway, retentez vos paramètres existants pour toujours revenir à l’état opérationnel de vos paramètres.

1

Allez dans Configuration > Zones > Zones

2

Si vous avez une zone DNS existante, sélectionnez la zone et modifiez-la.

3

Si une zone DNS n’existe pas, effectuez les étapes ci-dessous :

  1. Allez dans Configuration > Zones > zones > règles d’accès de la zone par défaut.

  2. Configurer une nouvelle zone DNS pour le nom du sujet : sip.webex.com.

  3. Ajoutez la nouvelle règle de recherche pour router l’appel sur un nouveau chemin DNS.

    Si vous avez déjà une règle de recherche pour le routage du trafic vers Webex, modifiez-le au lieu de créer une nouvelle règle.

4

Assurez-vous que les appels sont validés et que les appels B2B ne sont pas affectés.

Pour éviter les problèmes de résolution DNS, cliquez ici.

5

Après avoir terminé les configurations, déplacez-vous dans la section suivante.

Vérifier la configuration du pare-feu et autoriser la liste des Expressway

Configurez le pare-feu pour les composants de votre réseau afin que vous obtenez la meilleure qualité expérience Webex sur vos ordinateurs, appareils mobiles et périphériques vidéo.

  1. Vérifiez les plages des ports Média utilisées par les périphériques vidéo.

    Ces ports sont fournis à titre de référence. Reportez-vous au guide de déploiement et aux recommandations du fabricant pour des détails complets.

    Tableau 1. Ports par défaut utilisés par les périphériques de collaboration vidéo

    Protocole

    Numéro(s) de port(s)

    Direction

    Type d'accès

    Commentaires

    TCP

    5060-5070

    Sortie

    Signalisation SIP

    Le bord média de Webex écoute sur 5060 - 5070. Pour plus d’informations, veuillez consulter le guide de configuration sur le service spécifique utilisé : Guide de déploiement Entreprise de Cisco Webex Meetings pour les réunions avec périphériques vidéo.

    TCP

    5060, 5061 et 5062

    Entrant

    Signalisation SIP

    Trafic de signalisation SIP entrant à partir du Cloud Cisco Webex cloud

    TCP / UDP

    Ports éphémères 36000-59999

    Entrants et sortants

    Ports média

    Si vous utilisez une passerelle Cisco Expressway, les plages média doivent être configurées sur 36000-59999. Si vous utilisez un périphérique vidéo tiers ou le contrôle d’appel, ils doivent être configurés pour utiliser cette plage.

Pour plus d’informations sur les paramètres du pare-feu, voir Comment puis-je Webex Meetings trafic local sur mon réseau.