תודה על המשוב.
הגדר כביש מהיר לאימות TLS הדדי
משוב?כדי לארח מפגשים של Webex ללא מספר זיהוי אישי של מכשירים, סיסקו Expressway - E שלך חייב להציע אישורים חתומים מרשויות אישורי שורש מהימנות (RCA) עבור חיבורי TLS (mTLS) הדדיים. במאמר זה תוכל למצוא את רשימת ה - root CAs שסיסקו בוטחת בה. אנחנו מאפשרים רק חיבורים שיש להם אישורים חתומים תקפים.
| 1 |
נכנסים לקטע .
 |
| 2 |
יש לבדוק אם אישור הכביש המהיר הנוכחי קיים ומדויק.
 |
| 3 |
אם האישור מותקן, יש לבדוק את תאריך התפוגה של האישור כדי לראות אם הוא תקף או לא ולהחליפו באישור תקף.
 |
| 4 |
בדוק איזה שורש CA חתם על אישור זה וודא שהשם רשום במדריך פריסה ארגונית.  לקבלת מידע נוסף, ראה אילו רשויות אישורי שורש נתמכות עבור שיחות לפלטפורמות האודיו והווידאו של סיסקו וובקס. |
| 5 |
בדוק אם לתעודה יש תצורת SAN (שם חלופי לנבדק) המתאימה להגדרות הארגון.
 |
| 6 |
באמצעות מכשיר וידאו, התקשרו לחדר האישי שלכם. אם הצלחת להתחבר, החיבור הצליח. |
| 7 |
לאחר שתשלים את ההגדרות, תעבור לחלק הבא. |
אם אחד מהדברים הבאים נכון, יש ליצור CSR.
-
אם אין לך אישור שרת של כביש מהיר
-
אם פג תוקפו של האישור
-
אם צריך לעדכן את סן, כלומר שם סן אינו תואם את שם המשתמש SIP
| 1 |
צור את תהליך ה - CSR (בקשה לחתימה על תעודה).
 |
| 2 |
ודא כי סן שאתה צריך באישור רשום בשדה שם חלופי נוסף.
 |
| 3 |
שלח את ה - CSR שלך לשורש CA לפי בחירתך. בחר CA מהרשימה הנתמכת. עיין בסעיף בקשת חתימה על אישור יצירת תוכן במדריך פריסה ארגונית של פגישות Cisco Webex למפגשים המופעלים באמצעות מכשירי וידאו. |
| 4 |
קבל את האישור חתום מהשורש CA. |
| 5 |
אם השתמשת במערכת חיצונית כדי ליצור את ה - CSR, עליך גם להעלות את קובץ PEM של המפתח הפרטי של השרת ששימש להצפנת אישור השרת. (קובץ המפתח הפרטי ייווצר באופן אוטומטי ויאוחסן קודם לכן אם הכביש המהיר שימש לייצור ה - CSR עבור אישור שרת זה.)
|
| 6 |
לחץ על העלה נתוני אישור שרת.
 |
| 7 |
לאחר שתשלים את ההגדרות, תעבור לחלק הבא. |
| 1 |
הורד את קובץ ה-CA המסחרי של IdenTrust Root 1 ושמור אותו באופן מקומי בשם הקובץ |
| 2 |
בכל הכבישים המהירים המשמשים לשירותים היברידיים, נווט אל . |
| 3 |
עבור אל עיון, העלה את הקובץ |
| 4 |
ודא שהאישור הועלה בהצלחה ונמצא בחנות הנאמנות של הכביש המהיר. |
-
יש לבדוק אם הוגדר אזור של שם הדומיין (DNS) בכביש המהיר.
-
שני סוגי שיחות המשתמשים ב - DNS הם שיחות B2B (קיימות) ושיחות Webex. אם קריאות ה - B2B כבר הוגדרו, אנו ממליצים על אזור DNS ייחודי עבור קריאות Webex המאלצות אותו להשתמש ב - mTLS.
בגרסאות הכביש המהיר X8.10 ומעלה, יש להשתמש בשלבים כדי לשנות וליצור את אזור DNS.
לפני שאתה ממשיך עם תצורות הכביש המהיר, קח גיבוי של ההגדרות הקיימות שלך, כך שתמיד תוכל לחזור להגדרות ולחזור למצב תפעולי.
| 1 |
עבור אל
 |
| 2 |
אם יש לך אזור DNS קיים, בחר את האזור וערוך אותו.
 |
| 3 |
אם אזור DNS אינו קיים, בצע את השלבים הבאים:
|
| 4 |
ודא שהשיחות מאומתות ושיחות B2B אינן מושפעות. כדי להימנע מבעיות ברזולוציה של DNS, לחץ כאן. |
| 5 |
לאחר שתשלים את ההגדרות, תעבור לחלק הבא. |
הגדר את חומת האש עבור רכיבי הרשת שלך כך שתקבל את חוויית ה - Webex האיכותית ביותר במחשבים, במכשירים הניידים ובמכשירי הווידאו שלך.
-
בדוק את טווחי יציאות המדיה המשמשים את מכשירי הווידאו.
יציאות אלה מסופקות כאסמכתא. עיין במדריך הפריסה ובהמלצת היצרן לקבלת פרטים מלאים.
טבלה 1. יציאות ברירת מחדל המשמשות התקנים לשיתוף פעולה בווידאו פרוטוקול
מספר יציאות
כיוון
סוג גישה
הערות
TCP
5060-5070
יוצא
SIP signaling
קצה המדיה של Webex מאזין ב-5060 - 5070. למידע נוסף, עיין במדריך ההגדרות של השירות הספציפי שבו נעשה שימוש: מדריך פריסה לארגונים של Cisco Webex Meetings עבור פגישות התומכות במכשירי וידאו.
TCP
5060, 5061 ו -5062
נכנס
SIP signaling
תנועת איתות SIP נכנסת מענן Cisco Webex
TCP / UDP
נמלי אפמרל 36000 -59999
נכנסת ויוצאת
יציאות מדיה
אם אתה משתמש ב-Cisco Expressway, יש להגדיר את טווחי המדיה ל-36000-59999. אם אתה משתמש במכשיר וידאו של צד שלישי או בבקרת שיחה, יש להגדיר אותם כדי להשתמש בטווח זה.
למידע נוסף על הגדרות חומת אש, ראה כיצד אני מאפשר תנועת פגישות Webex ברשת שלי.
