Pour héberger Webex Meetings sans code PIN sur les périphériques sur site, votre Cisco Expressway-E doit proposer des certificats signés provenant d'une autorité de certification racine (RCA) de confiance pour les connexions Mutual TLS (mTLS). Vous pouvez trouver la liste des autorités de certification racine auxquelles Cisco fait confiance cet article . Nous autorisons uniquement les connexions qui ont des certificats signés valides.


 
Si vous utilisez votre Expressway-E pour Webex for Government, vous devez activer mTLS.
1

Aller à Entretien > Sécurité > Certificat de serveur .

2

Vérifiez si le certificat Expressway actuel existe et est exact.

3

Si le certificat est installé, vérifiez la date d'expiration du certificat pour voir s'il est valide ou non et remplacez-le par un certificat valide.

4

Vérifiez quelle autorité de certification racine a signé ce certificat et assurez-vous que le nom est répertorié dans le Guide de déploiement en entreprise .

5

Vérifiez si le certificat a le bon SAN (nom alternatif de l'objet) configuré qui correspond aux paramètres de l’organisation.

6

À l'aide d'un périphérique vidéo, appelez dans votre salle personnelle. Si vous parvenez à vous connecter, la connexion est établie.

7

Une fois les configurations terminées, passez à la section suivante.

Si l'une des conditions suivantes est vraie, générez un CSR.

  • Si vous n'avez pas de certificat de serveur Expressway

  • Si le certificat a expiré

  • Si le SAN doit être mis à jour, c'est que le nom du SAN ne correspond pas au nom d'utilisateur SIP

1

Générez le processus CSR (Demande de signature de certificat).

2

Assurez-vous que le SAN dont vous avez besoin dans le certificat est répertorié sur le Autre nom supplémentaire champ.

3

Soumettez votre CSR à l'autorité de certification racine de votre choix. Choisissez une autorité de certification dans la liste prise en charge. Reportez-vous à la Générer une demande de signature de certificat dans la section Guide de déploiement de Cisco Webex Meetings Enterprise pour les réunions avec périphériques vidéo .

4

Faites signer le certificat à partir de l’autorité de certification racine.

5

Si vous avez utilisé un système externe pour générer la CSR, vous devez également télécharger le fichier PEM de clé privée du serveur qui a été utilisé pour chiffrer le certificat du serveur. (Le fichier de clé privée aura été généré automatiquement et stocké plus tôt si Expressway a été utilisé pour produire le CSR pour ce certificat de serveur.)

  • Le clé privée du serveur Le fichier PEM ne doit pas être protégé par un mot de passe.

  • Vous ne pouvez pas télécharger une clé privée de serveur si une demande de signature de certificat est en cours.

6

Cliquez sur Charger les données du certificat du serveur .

7

Une fois les configurations terminées, passez à la section suivante.

1

Assurez-vous que l'autorité de certification émettrice du certificat de Webex est répertoriée dans la liste des certificats de l'autorité de certification de confiance. Aller à Entretien > Sécurité > Certificat d'autorité de certification de confiance .


 

Pour les services ininterrompus, installez les autorités de certification racine principale et secondaire. L'autorité de certification racine Quovadis est actuelle et l'autorité de certification racine DSTx3 est réservée pour une utilisation future. Ces deux certificats doivent être présents.

2

La liste des certificats de l'autorité de certification de confiance contient le certificat QuoVadis. Pour vérifier s’il s’agit du certificat le plus récent, reportez-vous à la Guide de déploiement de Cisco Webex Meetings Enterprise pour les réunions avec périphériques vidéo .

3

Cliquez sur le certificat de l'autorité de certification de confiance, recherchez le certificat QuoVadis et cliquez sur le Affichage décodé bouton à l'extrême droite.

4

Vérifiez les attributs (SHA256) du certificat.

Clé d'autorité X509v3

Identifier:keyid:1A:84:62:BC:48:4C:33:25:04:D4:EE:D0:F6:03:C4:19:46:D1:94:6BDirName:/C=BM/O=QuoVadis Limited/CN=QuoVadis Root CA 2serial:05:09

Autorité de certification racine DSTx3

O=Digital Signature Trust Co./CN=DST Root CA X3 Fingerprint (SHA1) dac9024f54d8f6df94935fb1732638ca6ad77c13C=BM/O=QuoVadis Limited/CN=QuoVadis Root CA 2 Fingerprint (SHA1) ca3afbcf1240364b44b216208880483919937cf7

5

Cliquez sur autorité de certification de confiance .


 

La clé d'autorité est sujette à changement au fur et à mesure de la rotation des touches.

6

Si le certificat CA n'est pas présent, reportez-vous à la Configurer la liste des autorités de certification de confiance dans le Guide de déploiement de Cisco Webex Meetings Enterprise pour les réunions avec périphériques vidéo .

  • Vérifiez si vous avez une zone DNS (Domain Name System) configurée sur votre Expressway.

  • Deux types d'appels qui utilisent le DNS sont les appels B2B (existants) et Webex. Si les appels B2B sont déjà configurés, nous recommandons une zone DNS unique pour les appels Webex qui l'obligent à utiliser mTLS.

Sur les versions X8.10 et ultérieures d'Expressway, suivez les étapes pour modifier et créer une zone DNS.


 

Avant de poursuivre avec les configurations d'autoroute, effectuez une sauvegarde de vos paramètres existants, afin que vous puissiez toujours rétablir vos paramètres et revenir à un état opérationnel.

1

Aller à Configuration > Zones > Zones

2

Si vous avez une zone DNS existante, sélectionnez-la et modifiez-la.

3

S'il n'existe pas de zone DNS, procédez comme suit :

  1. Aller à Configuration > Zones > Zones > Règles d'accès à la zone par défaut .

  2. Configurez une nouvelle zone DNS pour le nom du sujet : sip.webex.com.

  3. Ajoutez la nouvelle règle de recherche pour acheminer l'appel sur une nouvelle route DNS.


     

    Si vous avez déjà une règle de recherche pour acheminer le trafic vers Webex, modifiez-la au lieu de créer une nouvelle règle.

4

Assurez-vous que les appels sont validés et que les appels B2B ne sont pas affectés.


 

Pour éviter les problèmes de résolution DNS, cliquez sur ici .

5

Une fois les configurations terminées, passez à la section suivante.

Configurez le pare-feu pour les composants de votre réseau afin que vous profitiez de l’expérience Webex de la plus haute qualité sur vos ordinateurs, périphériques mobiles et périphériques vidéo.

  1. Vérifiez les plages de ports média utilisées par les périphériques vidéo.


     

    Ces ports sont fournis à titre de référence. Reportez-vous au guide de déploiement et aux recommandations du fabricant pour plus de détails.

    Tableau 1. Ports par défaut utilisés par les périphériques de collaboration vidéo

    Protocole

    Numéro(s) de port(s)

    Direction

    Type d’accès

    Commentaires

    TCP

    5060-5070

    Sortie

    Signalisation SIP

    Le bord média de Webex écoute sur 5060 - 5070. Pour plus d’informations, veuillez consulter le guide de configuration sur le service spécifique utilisé : Guide de déploiement de Cisco Webex Meetings Enterprise pour les réunions avec périphériques vidéo .

    TCP

    5060, 5061 et 5062

    Entrant

    Signalisation SIP

    Trafic de signalisation SIP entrant à partir du cloud Cisco Webex

    TCP / UDP

    Ports éphémères 36000-59999

    Entrants et sortants

    Ports média

    Si vous utilisez une passerelle Cisco Expressway, les plages média doivent être configurées sur 36000-59999. Si vous utilisez un périphérique vidéo tiers ou un contrôle d'appel, ils doivent être configurés pour utiliser cette plage.

Pour plus d’informations sur les paramètres du pare-feu, voir Comment puis-je autoriser le trafic Webex Meetings sur mon réseau .