A Webex találkozók helyszíni eszközökön PIN-KÓD nélküli lebonyolításához a Cisco Expressway-E-nek egy megbízható Root Certificate Authority (RCA) által aláírt tanúsítványokat kell kínálnia a kölcsönös TLS (mTLS) kapcsolatokhoz. A cikkben megtalálhatja a Cisco által megbízhatónak tartott gyökér CA-k listáját. Csak olyan kapcsolatokat engedélyezünk, amelyek érvényes aláírt tanúsítványokkal rendelkeznek.

Ha az Expressway-E-t a Webex-hez használja a kormányhoz, akkor engedélyeznie kell az mTLS-t.
Ellenőrizze, hogy telepítve van-e a kiszolgálótanúsítvány
1

Válassza a Karbantartás > Biztonság > Kiszolgáló tanúsítvány menüpontot.

2

Ellenőrizze, hogy az aktuális gyorsforgalmi út tanúsítványa létezik-e és pontos-e.

3

Ha a tanúsítvány telepítve van, ellenőrizze a tanúsítvány érvényességének lejárati dátumát, és cserélje ki egy érvényes tanúsítvánnyal.

4

Ellenőrizze, hogy melyik gyökérkiszolgáló írta alá ezt a tanúsítványt, és győződjön meg arról, hogy a név szerepel a vállalati telepítési útmutatóban.

További információért tekintse meg a Milyen gyökértanúsítvány-hatóságok támogatják a Cisco Webex Audio és Video Platformokra irányuló hívásokat.

5

Ellenőrizze, hogy a tanúsítvány SAN (Subject Alternative Name) konfigurációja megfelel-e a szervezeti beállításoknak.

6

Videokészülék segítségével hívjon a személyes szobájába. Ha képesek vagyunk csatlakozni, akkor a kapcsolat sikeres.

7

A konfigurációk befejezése után lépjen a következő szakaszra.

Ellenőrizze, hogy az autópálya-kiszolgáló tanúsítványa nem létezik-e, vagy lejárt-e

Ha az alábbiak bármelyike igaz, akkor generáljon CSR-t.

  • Ha nincs autópályaszerver-tanúsítványa

  • Ha a tanúsítvány lejárt

  • Ha a SAN frissítésre szorul, azaz a SAN név nem egyezik a SIP felhasználónévvel

1

CSR (tanúsítványaláírási kérelem) folyamat generálása.

2

Győződjön meg arról, hogy a tanúsítványban szükséges SAN szerepel a További alternatív név mezőben.

3

Küldje el a CSR-t az Ön által választott gyökér CA-nak. Válasszon egy hitelesítésszolgáltatót a támogatott listából. Lásd a Cisco Webex Meetings Enterprise Deployment Guide for Video Device-Enabled Meetings (A tanúsítványaláírási kérelem generálása) című részt.

4

A tanúsítvány aláírása a CA gyökérkönyvtárból.

5

Ha külső rendszert használt a CSR generálásához, akkor fel kell töltenie a szerver privát kulcsának PEM-fájlját is, amelyet a szerver tanúsítványának titkosítására használtak. (A privát kulcsfájlt korábban automatikusan generálták és tárolták, ha az autópályát használták a kiszolgáló tanúsítványához tartozó CSR előállításához.)

  • A szerver privát kulcsának PEM fájlja nem lehet jelszóval védett.

  • Tanúsítványaláírási kérelem esetén nem tölthető fel privát szerverkulcs.

6

Kattintson a Szerver tanúsítványadatainak feltöltése lehetőségre.

7

A konfigurációk befejezése után lépjen a következő szakaszra.

Webex-tanúsítvány hozzáadása a megbízható tanúsítványok listájához
1

Győződjön meg arról, hogy a Webex tanúsítványát kiállító hatóság szerepel a megbízható hitelesítésszolgáltatók tanúsítványlistáján. Válassza a Karbantartás > Biztonság > Megbízható CA-tanúsítvány menüpontot.

A megszakítás nélküli szolgáltatásokhoz telepítse az elsődleges és másodlagos gyökérkiszolgálókat. A Quovadis Root CA jelenlegi, a DSTx3 Root CA pedig későbbi használatra van fenntartva. Mindkét igazolásnak jelen kell lennie.

2

A megbízható CA-tanúsítványlista tartalmazza a QuoVadis-tanúsítványt. Annak ellenőrzéséhez, hogy ez-e a legújabb tanúsítvány, olvassa el a Cisco Webex Meetings Enterprise Deployment Guide for Video Device Enabled Meetings (Útmutató a Cisco Webex Meetings Enterprise telepítéséhez) című dokumentumot.

3

Kattintson a megbízható CA-tanúsítványra, keresse meg a QuoVadis-tanúsítványt, majd kattintson a Nézet dekódolt gombra a jobb szélen.

4

Ellenőrizze a tanúsítvány attribútumait (SHA256).

X509v3 hitelesítési kulcs

Azonosító:keyid:1A:84:62:BC:48:4C:33:25:04:D4:EE:D0:F6:03:C4:19:46:D1:94:6BDirName:/C=BM/O=QuoVadis Limited/CN=QuoVadis legfelső szintű hitelesítésszolgáltató 2serial:05:09

DSTx3 root CA

O=Digital Signature Trust Co./CN=DST legfelső szintű hitelesítésszolgáltató x3 ujjlenyomat (SHA1) dac9024f54d8f6df94935fb1732638ca6ad55c13C=BM/O=QuoVadis Limited/CN=QuoVadis legfelső szintű hitelesítésszolgáltató 2 ujjlenyomat (SHA1) ca3afbcf1240364b44b216208880483919937cf7

5

Kattintson a megbízható CA-ra.

A kulcsok elforgatása során a Hatósági kulcs változhat.

6

Ha a CA-tanúsítvány nincs jelen, olvassa el a Cisco Webex Meetings Enterprise Deployment Guide for Video Device-Enabled Meetings (A Cisco Webex találkozók vállalati telepítési kézikönyve videokészülékkel engedélyezhető találkozókhoz) című kézikönyvben található Configure the Trusted CA list (Megbízható tanúsítványok konfigurálása) listát.

Annak ellenőrzése, hogy a DNS-zóna megfelelően van-e konfigurálva

  • Ellenőrizze, hogy van-e beállítva DNS-zóna a gyorsforgalmi úton.

  • A DNS-t használó hívások két típusa a B2B (meglévő) és a Webex-hívások. Ha a B2B-hívások már be vannak állítva, javasoljuk, hogy a Webex-hívásokhoz egyedi DNS-zónát használjon, amely az mTLS használatára kényszeríti.

Az X8.10-es és újabb gyorsforgalmi úton a lépésekkel módosíthatja és létrehozhatja a DNS-zónát.

Mielőtt folytatná a gyorsforgalmi út konfigurációit, készítsen biztonsági másolatot a meglévő beállításokról, így bármikor visszaállíthatja a beállításokat, és visszatérhet egy működési állapotba.

1

Lépjen a Konfiguráció > Zónák > Zónák menüpontra

2

Ha már van DNS-zóna, válassza ki és szerkessze azt.

3

Ha nincs DNS-zóna, hajtsa végre az alábbi lépéseket:

  1. Válassza a Konfiguráció > Zónák > Zónák > Alapértelmezett zónahozzáférési szabályok menüpontot.

  2. Állítson be egy új DNS-zónát a tulajdonosnévhez: sip.webex.com.

  3. Adja hozzá az új keresési szabályt a hívás új DNS-útvonalon való irányításához.

    Ha már rendelkezik keresési szabállyal a forgalom Webexre való átirányítására, szerkessze azt egy új szabály létrehozása helyett.

4

Győződjön meg arról, hogy a hívások érvényesítése megtörténik, és a B2B-hívások nincsenek hatással.

A DNS-feloldási problémák elkerülése érdekében kattintson ide.

5

A konfigurációk befejezése után lépjen a következő szakaszra.

Ellenőrizze a tűzfal konfigurációját, és engedélyezze az autópálya meghirdetését

Konfigurálja a hálózati összetevők tűzfalát, hogy a legjobb minőségű Webex-élményt érje el számítógépein, mobileszközein és videokészülékein.

  1. Ellenőrizze a videoeszközök által használt médiaport-tartományokat.

    Ezek a portok referenciaként szolgálnak. További részletekért olvassa el a telepítési útmutatót és a gyártó ajánlásait.

    1. táblázat A videó-együttműködési eszközök által használt alapértelmezett portok

    Protokoll

    Portszám(ok)

    Irány

    Hozzáférés típusa

    Hozzászólások

    TCP

    5060-5070

    Kimenő

    SIP-jelzésátvitel

    A Webex-médiaperem 5060 és 5070 között hallgatható. További tudnivalókat az adott szolgáltatás konfigurációs kézikönyve tartalmaz: A Cisco Webex Meetings vállalati üzembe helyezési útmutatója videoeszközt használni képes értekezletekhez.

    TCP

    5060, 5061 és 5062

    Bejövő

    SIP-jelzésátvitel

    Bejövő SIP jelforgalom a Cisco Webex felhőből

    TCP / UDP

    Efemer portok 36000-59999

    Bejövő és kimenő

    Médiaportok

    Ha Cisco Expressway-t használ, a médiatartományt 36000–59999-re kell beállítani. Ha külső videokészüléket vagy hívásvezérlőt használ, a tartomány használatához konfigurálni kell őket.

További tudnivalók a tűzfal beállításairól: Hogyan engedélyezhetem a Webex találkozók forgalmát a hálózaton?