Pour pouvoir héberger des réunions Webex sans code PIN sur un périphérique sur site, votre Cisco Expressway-E doit vous proposer des certificats signés provenant de la liste des autorités de certification racines approuvées (RCA) pour les connexions de type authentification mutuelle TLS (mTLS). Cliquez iIci pour obtenir une liste d'autorités de certification racine que Cisco approuve. Les certificats qui sont signés par les autorités de cette liste sont considérés comme valides et la connexion est autorisée.

1

Accédez à Maintenance > Sécurité > Certificat de serveur.

2

Vérifiez que le certificat Expressway actuel existe et qu'il est valide.

3

Si le certificat est installé, vérifiez la date d'expiration du certificat pour voir si est valide ou non et remplacez-le par un certificat valide.

4

Vérifiez quelle autorité de certification racine a signé ce certificat et assurez-vous que le nom figure dans le Guide de déploiement d'entreprise.

5

Vérifiez si le SAN (autre nom de l'objet) configuré pour le certificat correspond aux paramètres de l'organisation.

6

Utilisation d'un périphérique vidéo, appel dans votre salle personnelle. Si vous parvenez à vous connecter, la connexion est établie.

7

Une fois les configurations terminées, passez à la section suivante.

Si l'une des conditions suivantes est vraie, générez un CSR.

  • Si vous ne disposez pas d'un certificat de serveur Expressway

  • Si le certificat a expiré.

  • Si le SAN doit être mis à jour, le nom du SAN ne correspond pas au nom d'utilisateur SIP

1

Processus Générer la demande CSR (Certificate Signing Request).

2

Assurez-vous que le SAN dont vous avez besoin dans le certificat figure dans le champ Autre nom.

3

Envoyez votre CSR à l'autorité de certification racine de votre choix. Choisissez une autorité de certification dans la liste de celles prises en charge. Reportez-vous à la section Générer une demande de signature de certificat du Guide de déploiement d'entreprise de Cisco Webex Meetings pour les réunions compatibles avec les périphériques vidéo.

4

Obtenez le certificat signé à partir de l'autorité de certification racine.

5

Si vous avez utilisé un système externe pour générer la CSR, vous devez également télécharger le fichier PEM de clé privée du serveur qui a été utilisé pour chiffrer le certificat du serveur. (Le fichier de clé privée a été automatiquement généré et stocké précédemment si Expressway a été utilisé pour produire la CSR pour ce certificat de serveur.)

  • Le fichier PEM de clé privée du serveur ne doit pas être protégé par un mot de passe.

  • Vous ne pouvez pas télécharger une clé privée de serveur si une demande de signature de certificat est en cours.

6

Cliquez sur Télécharger les données du certificat de serveur.

7

Une fois les configurations terminées, passez à la section suivante.

1

Assurez-vous que l'autorité de certification émettrice du certificat Webex figure dans la liste des certificats d'autorité de certification approuvées. Accédez à Maintenance > Sécurité > Certificat d'autorité de certification approuvée.


 

Pour les services ininterrompus, installez les AC racines principale et secondaire. L'autorité de certification racine Quovadis est l'actuelle et l'autorité de certification racine DSTx3 est réservée à une utilisation ultérieure. Ces deux certificats doivent être présents.

2

La liste des certificats d'autorité de certification approuvée contient le certificat QuoVadis. Pour savoir s'il s'agit du certificat le plus récent, consultez le Guide de déploiement d'entreprise de Cisco Webex Meetings pour les réunions compatibles avec les périphériques vidéo.

3

Cliquez sur le certificat de l'autorité de certification approuvée, recherchez le certificat QuoVadis et cliquez sur le Afficher décodé à l'extrême droite.

4

Vérifiez les attributs (SHA256) du certificat.

Clé de l'autorité X509v3

Identifier:keyid:1A:84:62:BC:48:4C:33:25:04:D4:EE:D0:F6:03:C4:19:46:D1:94:6BDirName:/C=BM/O=QuoVadis Limited/CN=QuoVadis Root CA 2serial:05:09

Autorité de certification racine DSTx3

O=Digital Signature Trust Co./CN=DST Root CA X3 Fingerprint (SHA1) dac9024f54d8f6df94935fb1732638ca6ad77c13C=BM/O=QuoVadis Limited/CN=QuoVadis Root CA 2 Fingerprint (SHA1) ca3afbcf1240364b44b216208880483919937cf7

5

Cliquez sur Autorité de certification approuvée.


 

La clé d'autorité est susceptible d'être modifiée au fur et à mesure de la rotation des clés.

6

Si le certificat de l'autorité de certification n'est pas présent, reportez-vous à Configurer la liste d'autorités de certification approuvées dans le Guide de déploiement d'entreprise de Cisco Webex Meetings pour les réunions compatibles avec les périphériques vidéo.

  • Vérifiez si une zone DNS (Domain Name System) est configurée sur votre Expressway.

  • Les appels B2B (existant) et Webex sont deux types d'appels qui utilisent le système DNS. Si les appels B2B sont déjà configurés, nous vous recommandons une zone DNS unique pour les appels Webex qui obligent à utiliser mTLS.

Sur les versions X 8.10 et ultérieures d'Expressway, suivez les étapes ci-dessous pour modifier et créer une zone DNS.


Avant de poursuivre les configurations Expressway, effectuez une sauvegarde de vos paramètres existants, afin de pouvoir toujours récupérer vos paramètres et revenir à un état opérationnel.

1

Accédez à Configuration > Zones > Zones

2

Si vous avez une zone DNS existante, sélectionnez la zone et modifiez-la.

3

S'il n'existe pas de zone DNS, procédez comme suit :

  1. Accédez à Configuration > Zones > Zones > Règles d'accès à la zone par défaut.

  2. Configurez une nouvelle zone DNS pour le nom de sujet : sip.webex.com.

  3. Ajoutez la nouvelle règle de recherche pour router l'appel sur un nouveau routage DNS.


     

    Si vous avez déjà une règle de recherche pour router le trafic vers Webex, modifiez-la au lieu de créer une nouvelle règle.

4

Assurez-vous que les appels sont validés et que les appels B2B ne sont pas affectés.


 

Pour éviter les problèmes de résolution DNS, cliquez Ici.

5

Une fois les configurations terminées, passez à la section suivante.

Configurez le pare-feu de vos composants réseau afin d'obtenir une expérience Webex de la plus haute qualité sur vos ordinateurs, vos périphériques mobiles et vos appareils vidéo.

  1. Vérifiez les plages de ports multimédias utilisées par les périphériques vidéo.


    Ces ports sont fournis à titre de référence. Pour plus de détails, reportez-vous au Guide de déploiement et à la recommandation du fabricant.

    Tableau 1. Ports par défaut utilisés par les périphériques de collaboration vidéo

    Protocole

    Numéro(s) de port

    Direction

    Type d'accès

    Commentaires

    TCP

    5060 à 5070

    Sortant

    Sgnalisation SIP

    Le bord multimédia Webex est à l'écoute sur 5060 à 5070. Pour plus d'informations, reportez-vous au Guide de configuration du service utilisé : Guide de déploiement d'entreprise de Cisco Webex Meetings pour les réunions compatibles avec les périphériques vidéo.

    TCP

    5060, 5061 et 5062

    Entrant

    Sgnalisation SIP

    Trafic de signalisation SIP entrant provenant de Cisco Webex Cloud

    TCP / UDP

    36000-59999  : ports éphémères

    Entrants et sortants

    Ports multimédia

    Si vous utilisez un Cisco Expressway, les plages multimédias doivent être définies sur 36000 à 59999. Si vous utilisez un périphérique vidéo ou un contrôle d'appel tiers, elles doivent être configurées pour utiliser cette plage.

Pour plus d'informations sur les paramètres du pare-feu, consultez Comment autoriser le trafic Webex Meetings sur mon réseau.