כדי לארח מפגשים של Webex ללא מספר זיהוי אישי של מכשירים, סיסקו Expressway - E שלך חייב להציע אישורים חתומים מרשויות אישורי שורש מהימנות (RCA) עבור חיבורי TLS (mTLS) הדדיים. במאמר זה תוכל למצוא את רשימת ה - root CAs שסיסקו בוטחת בה. אנחנו מאפשרים רק חיבורים שיש להם אישורים חתומים תקפים.

אם אתה משתמש בכביש המהיר E עבור Webex for Government, עליך להפעיל את mTLS.
בדוק אם מותקנת תעודת שרת
1

נכנסים לקטע תחזוקה > אבטחה > אישור שרת.

2

יש לבדוק אם אישור הכביש המהיר הנוכחי קיים ומדויק.

3

אם האישור מותקן, יש לבדוק את תאריך התפוגה של האישור כדי לראות אם הוא תקף או לא ולהחליפו באישור תקף.

4

בדוק איזה שורש CA חתם על אישור זה וודא שהשם רשום במדריך פריסה ארגונית.

לקבלת מידע נוסף, ראה אילו רשויות אישורי שורש נתמכות עבור שיחות לפלטפורמות האודיו והווידאו של סיסקו וובקס.

5

בדוק אם לתעודה יש תצורת SAN (שם חלופי לנבדק) המתאימה להגדרות הארגון.

6

באמצעות מכשיר וידאו, התקשרו לחדר האישי שלכם. אם הצלחת להתחבר, החיבור הצליח.

7

לאחר שתשלים את ההגדרות, תעבור לחלק הבא.

בדוק אם אישור שרת הכביש המהיר אינו קיים או שפג תוקפו

אם אחד מהדברים הבאים נכון, יש ליצור CSR.

  • אם אין לך אישור שרת של כביש מהיר

  • אם פג תוקפו של האישור

  • אם צריך לעדכן את סן, כלומר שם סן אינו תואם את שם המשתמש SIP

1

צור את תהליך ה - CSR (בקשה לחתימה על תעודה).

2

ודא כי סן שאתה צריך באישור רשום בשדה שם חלופי נוסף.

3

שלח את ה - CSR שלך לשורש CA לפי בחירתך. בחר CA מהרשימה הנתמכת. עיין בסעיף בקשת חתימה על אישור יצירת תוכן במדריך פריסה ארגונית של פגישות Cisco Webex למפגשים המופעלים באמצעות מכשירי וידאו.

4

קבל את האישור חתום מהשורש CA.

5

אם השתמשת במערכת חיצונית כדי ליצור את ה - CSR, עליך גם להעלות את קובץ PEM של המפתח הפרטי של השרת ששימש להצפנת אישור השרת. (קובץ המפתח הפרטי ייווצר באופן אוטומטי ויאוחסן קודם לכן אם הכביש המהיר שימש לייצור ה - CSR עבור אישור שרת זה.)

  • אין להגן על קובץ PEM של המפתח הפרטי של השרת.

  • לא ניתן להעלות מפתח פרטי של שרת אם מתבצעת בקשה לחתימה על אישור.

6

לחץ על העלה נתוני אישור שרת.

7

לאחר שתשלים את ההגדרות, תעבור לחלק הבא.

הוסף את תעודת ה - Webex לרשימת התעודות האמינות שלי
1

ודא שרשות ההנפקה של התעודה עבור האישור של Webex רשומה תחת רשימת תעודות ה - Trusted CA. עבור אל תחזוקה > אבטחה > אישור CA מהימן.

עבור שירותים ללא הפרעה, התקן את ה - Root CAs הראשי והמשני. Quovadis Root CA הוא נוכחי ו - DSTx3 Root CA שמור לשימוש עתידי. שתי התעודות האלה צריכות להיות נוכחות.

2

רשימת תעודות ה - CA המהימנות מכילה את אישור ה - QuoVadis. כדי לבדוק אם זו התעודה העדכנית ביותר, עיין במדריך פריסה ארגונית של פגישות Cisco Webex למפגשים המופעלים באמצעות מכשירי וידאו.

3

לחץ על אישור ה - CA המהימן, מצא את אישור ה - QuoVadis ולחץ על הלחצן הצג מפוענח בצד ימין הקיצוני.

4

בדוק את התכונות (SHA256) של התעודה.

מפתח רשות X509v3

מזהה:keyid:1A:84:62:BC:48:4C:33:25:04:D4:EE:D0:F6:03:C4:19:46:D1:94:6BDirName:/C=BM/O=QuoVadis Limited/CN=QuoVadis Root CA 2serial:05:09

‎ DSTx3 root CA ‎

O=Digital Signature Trust Co./CN=DST Root CA X3 טביעות אצבע (SHA1) dac9024f54d8f6df94935fb1732638ca6ad77c13c=bm/o=QuoVadis Limited/CN=QuoVadis Root CA 2 טביעות אצבע (SHA1) ca3afbcf1240364b44b216208880483919937cf7

5

לחץ על CA מהימן.

המפתח של הרשות כפוף לשינויים בזמן שהם מסובבים את המפתחות.

6

אם אישור ה - CA אינו קיים, עיין ברשימת ה - Trusted CA במדריך פריסה ארגונית של פגישות Cisco Webex למפגשים המופעלים באמצעות מכשירי וידאו.

בדוק אם אזור ה - DNS שלך מוגדר כראוי

  • יש לבדוק אם הוגדר אזור של שם הדומיין (DNS) בכביש המהיר.

  • שני סוגי שיחות המשתמשים ב - DNS הם שיחות B2B (קיימות) ושיחות Webex. אם קריאות ה - B2B כבר הוגדרו, אנו ממליצים על אזור DNS ייחודי עבור קריאות Webex המאלצות אותו להשתמש ב - mTLS.

בגרסאות הכביש המהיר X8.10 ומעלה, יש להשתמש בשלבים כדי לשנות וליצור את אזור DNS.

לפני שאתה ממשיך עם תצורות הכביש המהיר, קח גיבוי של ההגדרות הקיימות שלך, כך שתמיד תוכל לחזור להגדרות ולחזור למצב תפעולי.

1

עבור אל תצורה > אזורים > אזורים

2

אם יש לך אזור DNS קיים, בחר את האזור וערוך אותו.

3

אם אזור DNS אינו קיים, בצע את השלבים הבאים:

  1. נכנסים לקונפיגורציה > אזורים > אזורים > כללי גישה לאזור ברירת המחדל.

  2. הגדר אזור DNS חדש עבור שם הנושא: sip.webex.com.

  3. הוסף את כלל החיפוש החדש כדי לנתב את השיחה במסלול DNS חדש.

    אם כבר יש לך כלל חיפוש לניתוב התנועה ל - Webex, ערוך אותו במקום ליצור כלל חדש.

4

ודא שהשיחות מאומתות ושיחות B2B אינן מושפעות.

כדי להימנע מבעיות ברזולוציה של DNS, לחץ כאן.

5

לאחר שתשלים את ההגדרות, תעבור לחלק הבא.

בדוק את תצורת חומת האש ואפשר רישום לכביש המהיר

הגדר את חומת האש עבור רכיבי הרשת שלך כך שתקבל את חוויית ה - Webex האיכותית ביותר במחשבים, במכשירים הניידים ובמכשירי הווידאו שלך.

  1. בדוק את טווחי יציאות המדיה המשמשים את מכשירי הווידאו.

    יציאות אלה מסופקות כאסמכתא. עיין במדריך הפריסה ובהמלצת היצרן לקבלת פרטים מלאים.

    טבלה 1. יציאות ברירת מחדל המשמשות התקנים לשיתוף פעולה בווידאו

    פרוטוקול

    מספר יציאות

    כיוון

    סוג גישה

    הערות

    TCP

    5060-5070

    יוצא

    SIP signaling

    קצה המדיה של Webex מאזין ב-5060 - 5070. למידע נוסף, עיין במדריך ההגדרות של השירות הספציפי שבו נעשה שימוש: מדריך הפריסה הארגונית של Cisco Webex Meetings עבור פגישות התומכות במכשיר וידאו.

    TCP

    5060, 5061 ו -5062

    נכנס

    SIP signaling

    תנועת איתות SIP נכנסת מענן Cisco Webex

    TCP / UDP

    נמלי אפמרל 36000 -59999

    נכנסת ויוצאת

    יציאות מדיה

    אם אתה משתמש ב-Cisco Expressway, יש להגדיר את טווחי המדיה ל-36000-59999. אם אתה משתמש במכשיר וידאו של צד שלישי או בבקרת שיחה, יש להגדיר אותם כדי להשתמש בטווח זה.

למידע נוסף על הגדרות חומת אש, ראה כיצד אני מאפשר תנועת פגישות Webex ברשת שלי.