כדי לארח Webex Meetings ללא PIN במכשירים מקומי , Cisco Expressway-E שלך חייב להציע אישורים חתומים מ-Root Certificate Authority (RCA) מהימן עבור חיבורי TLS הדדיים (mTLS). תוכל למצוא את רשימת ה-CAs הבסיסיים ש- Cisco סומך עליהם מאמר זה . אנו מתירים רק חיבורים בעלי אישורים חתומים תקפים.


 
אם אתה משתמש ב-Expressway-E שלך עבור Webex for Government, עליך להפעיל את mTLS.

בדוק אם מותקן אישור שרת

1

עבור אל תחזוקה > אבטחה > תעודת שרת .

2

בדוק אם אישור הנתיב המהיר הנוכחי קיים ומדויק.

3

אם האישור מותקן, בדוק את תאריך התפוגה של האישור כדי לראות אם הוא תקף או לא והחלף אותו באישור תקף.

4

בדוק איזה CA שורש חתום על אישור זה וודא שהשם מופיע במדריך ה-Enterprise מדריך פריסה.


 

למידע נוסף, ראה אילו רשויות אישורי בסיס נתמכות עבור שיחות לפלטפורמות אודיו ווידאו של Cisco Webex .

5

בדוק אם לאישור הוגדר ה-SAN המתאים (שם חלופי נושא) התואם להגדרות הארגון.

6

באמצעות התקן וידאו, התקשר לחדר חדר אישי שלך. אם אתה מצליח להתחבר, החיבור הצליח.

7

לאחר שתשלים את התצורות, עבור לחלק הבא.

בדוק אם אישור שרת הכביש המהיר לא קיים או שפג תוקפו

אם אחד מהדברים הבאים נכון, צור CSR.

  • אם אין לך תעודת שרת Expressway

  • אם פג תוקף האישור

  • אם יש לעדכן את ה-SAN, כלומר שם ה-SAN אינו תואם לשם המשתמש של SIP

1

צור את תהליך ה- CSR (בקשת חתימת אישור).

2

ודא ש-SAN שאתה צריך באישור רשום ב- שם חלופי נוסף שדה.

3

שלח את ה- CSR שלך ל-CA השורש לפי בחירתך. בחר CA מהרשימה הנתמכת. עיין ב צור בקשת חתימה על אישור סעיף ב Cisco Webex Meetings Enterprise מדריך פריסה עבור פגישות התומכות במכשירי וידאו .

4

קבל את האישור חתום מ-CA השורש.

5

אם השתמשת במערכת חיצונית כדי ליצור את ה- CSR, עליך להעלות גם את קובץ המפתח הפרטי של השרת ששימש להצפנת תעודת שרת. (קובץ המפתח הפרטי ייווצר ויישמר באופן אוטומטי מוקדם יותר אם הנתיב המהיר שימש להפקת ה- CSR עבור תעודת שרת זה.)

  • ה מפתח פרטי לשרת קובץ PEM לא חייב להיות מוגן בסיסמה.

  • לא ניתן להעלות מפתח פרטי לשרת אם מתבצעת בקשת חתימה על אישור.

6

לחץ העלה נתוני תעודת שרת .

7

לאחר שתשלים את התצורות, עבור לחלק הבא.

הוסף את אישור Webex ברשימת האישורים המהימנים שלי

1

ודא שרשות האישורים המנפיקה עבור האישור של Webex רשומה תחת רשימת אישור CA מהימן. עבור אל תחזוקה > אבטחה > אישור CA מהימן .


 

לשירותים ללא הפרעה, התקן את אישורי ה-Root הראשיים והמשניים. Quovadis Root CA עדכני וה-DSTx3 Root CA שמור לשימוש עתידי. שני התעודות הללו צריכות להיות נוכחות.

2

רשימת אישור CA המהימנים מכילה את אישור QuoVadis. כדי לבדוק אם זה האישור העדכני ביותר, עיין ב- Cisco Webex Meetings Enterprise מדריך פריסה עבור פגישות התומכות במכשירי וידאו .

3

לחץ על אישור CA מהימן , מצא את אישור QuoVadis ולחץ על צפה בפענוח כפתור בצד ימין.

4

בדוק את התכונות (SHA256) של האישור.

מפתח סמכות X509v3

Identifier:keyid:1A:84:62:BC:48:4C:33:25:04:D4:EE:D0:F6:03:C4:19:46:D1:94:6BDirName:/C=BM/O=QuoVadis Limited/CN=QuoVadis Root CA 2serial:05:09

DSTx3 שורש CA

O=Digital Signature Trust Co./CN=DST Root CA X3 Fingerprint (SHA1) dac9024f54d8f6df94935fb1732638ca6ad77c13C=BM/O=QuoVadis Limited/CN=QuoVadis Root CA 2 Fingerprint (SHA1) ca3afbcf1240364b44b216208880483919937cf7

5

לחץ CA מהימן .


 

מפתח הסמכות נתון לשינויים כאשר הם מסובבים את המפתחות.

6

אם אישור CA אינו קיים, עיין ב- הגדר את רשימת ה-CA מהימן ב Cisco Webex Meetings Enterprise מדריך פריסה עבור פגישות התומכות במכשירי וידאו .

בדוק אם אזור DNS שלך מוגדר כהלכה

  • בדוק אם יש לך אזור של מערכת שמות דומיין (DNS) המוגדר בכביש המהיר שלך.

  • שני סוגי שיחות המשתמשות ב- DNS הם שיחות B2B (קיימות) ו- Webex . אם שיחות B2B כבר להגדיר, אנו ממליצים על אזור DNS ייחודי עבור שיחות Webex שמאלצות אותו להשתמש ב-mTLS.

ב-Expressway גרסאות X8.10 ומעלה, השתמש בשלבים כדי לשנות וליצור ו- DNS Zone.


 

לפני שתמשיך עם תצורות הכביש המהיר, גבה את ההגדרות הקיימות שלך, כך שאתה תמיד יכול להחזיר את ההגדרות ולחזור למצב תפעולי.

1

עבור אל תצורה > אזורים > אזורים

2

אם יש לך אזור DNS קיים, בחר את האזור וערוך אותו.

3

אם לא קיים אזור DNS , בצע את השלבים הבאים:

  1. עבור אל תצורה > אזורים > אזורים > כללי גישה לאזור ברירת מחדל .

  2. הגדר אזור DNS חדש עבור שם הנושא: sip.webex.com.

  3. הוסף את כלל החיפוש החדש כדי לנתב את השיחה בנתיב DNS חדש.


     

    אם כבר יש לך כלל חיפוש לניתוב התעבורה אל Webex, ערוך אותו במקום ליצור כלל חדש.

4

ודא שהשיחות מאומתות וששיחות B2B אינן מושפעות.


 

כדי להימנע מבעיות פתרון DNS , לחץ כאן .

5

לאחר שתשלים את התצורות, עבור לחלק הבא.

בדוק את תצורת חומת האש ואפשר רישום עבור כביש מהיר

הגדר את חומת האש עבור רכיבי הרשת שלך כך שתקבל את חוויית Webex באיכות הגבוהה ביותר במחשבים, במכשירים הניידים ובמכשירי הווידאו שלך.

  1. בדוק את טווחי יציאות המדיה המשמשים מכשירי וידאו.


     

    יציאות אלה מסופקות כהפניה. עיין במדריך הפריסה ובהמלצת היצרן לקבלת פרטים מלאים.

    טבלה 1. יציאות ברירת מחדל בשימוש על ידי התקני שיתוף פעולה בווידאו

    פרוטוקול

    מספר יציאות

    כיוון

    סוג גישה

    הערות

    TCP

    5060-5070

    יוצא

    SIP signaling

    קצה המדיה של Webex מאזין ב-5060 - 5070. למידע נוסף, עיין מדריך תצורה על השירות הספציפי שבו נעשה שימוש: Cisco Webex Meetings Enterprise מדריך פריסה עבור פגישות התומכות במכשירי וידאו .

    TCP

    5060, 5061 ו-5062

    נכנס

    SIP signaling

    תעבורת SIP signaling נכנסת מהענן של Cisco Webex

    TCP / UDP

    יציאות ארעיות36000 - 59999

    נכנסת ויוצאת

    יציאות מדיה

    אם אתה משתמש ב-Cisco Expressway, יש להגדיר את טווחי המדיה ל-36000-59999. אם אתה משתמש התקן וידאו של צד שלישי או בקרת שיחות, יש להגדיר אותם לשימוש בטווח זה.

למידע נוסף על הגדרות חומת אש, ראה כיצד אוכל לאפשר תנועה של Webex Meetings ברשת שלי .