A Webex találkozók helyszíni eszközökön PIN-KÓD nélküli lebonyolításához a Cisco Expressway-E-nek egy megbízható Root Certificate Authority (RCA) által aláírt tanúsítványokat kell kínálnia a kölcsönös TLS (mTLS) kapcsolatokhoz. A cikkben megtalálhatja a Cisco által megbízhatónak tartott gyökér CA-k listáját. Csak olyan kapcsolatokat engedélyezünk, amelyek érvényes aláírt tanúsítványokkal rendelkeznek.

Ha az Expressway-E-t a Webex-hez használja a kormányhoz, akkor engedélyeznie kell az mTLS-t.
Ellenőrizze, hogy telepítve van-e a kiszolgálótanúsítvány
1

Válassza a Karbantartás > Biztonság > Kiszolgáló tanúsítvány menüpontot.

2

Ellenőrizze, hogy az aktuális gyorsforgalmi út tanúsítványa létezik-e és pontos-e.

3

Ha a tanúsítvány telepítve van, ellenőrizze a tanúsítvány érvényességének lejárati dátumát, és cserélje ki egy érvényes tanúsítvánnyal.

4

Ellenőrizze, hogy melyik gyökérkiszolgáló írta alá ezt a tanúsítványt, és győződjön meg arról, hogy a név szerepel a vállalati telepítési útmutatóban.

További információért tekintse meg a Milyen gyökértanúsítvány-hatóságok támogatják a Cisco Webex Audio és Video Platformokra irányuló hívásokat.

5

Ellenőrizze, hogy a tanúsítvány SAN (Subject Alternative Name) konfigurációja megfelel-e a szervezeti beállításoknak.

6

Videokészülék segítségével hívjon a személyes szobájába. Ha képesek vagyunk csatlakozni, akkor a kapcsolat sikeres.

7

A konfigurációk befejezése után lépjen a következő szakaszra.

Ellenőrizze, hogy az autópálya-kiszolgáló tanúsítványa nem létezik-e, vagy lejárt-e

Ha az alábbiak bármelyike igaz, akkor generáljon CSR-t.

  • Ha nincs autópályaszerver-tanúsítványa

  • Ha a tanúsítvány lejárt

  • Ha a SAN frissítésre szorul, azaz a SAN név nem egyezik a SIP felhasználónévvel

1

CSR (tanúsítványaláírási kérelem) folyamat generálása.

2

Győződjön meg arról, hogy a tanúsítványban szükséges SAN szerepel a További alternatív név mezőben.

3

Küldje el a CSR-t az Ön által választott gyökér CA-nak. Válasszon egy hitelesítésszolgáltatót a támogatott listából. Lásd a Cisco Webex Meetings Enterprise Deployment Guide for Video Device-Enabled Meetings (A tanúsítványaláírási kérelem generálása) című részt.

4

A tanúsítvány aláírása a CA gyökérkönyvtárból.

5

Ha külső rendszert használt a CSR generálásához, akkor fel kell töltenie a szerver privát kulcsának PEM-fájlját is, amelyet a szerver tanúsítványának titkosítására használtak. (A privát kulcsfájlt korábban automatikusan generálták és tárolták, ha az autópályát használták a kiszolgáló tanúsítványához tartozó CSR előállításához.)

  • A szerver privát kulcsának PEM fájlja nem lehet jelszóval védett.

  • Tanúsítványaláírási kérelem esetén nem tölthető fel privát szerverkulcs.

6

Kattintson a Szerver tanúsítványadatainak feltöltése lehetőségre.

7

A konfigurációk befejezése után lépjen a következő szakaszra.

Webex-tanúsítvány hozzáadása a megbízható tanúsítványok listájához
1

Töltse le az IdenTrust Commercial Root CA 1 csomagot, és mentse el helyben a következő fájlnévvel: identrust_RootCA1.pem.

2

A hibrid szolgáltatásokhoz használt összes gyorsforgalmi úton navigáljon a Karbantartás menüpontra. > Biztonság > Megbízható CA tanúsítvány.

3

Lépjen a Tallózásmenüpontra, töltse fel a identrust_RootCA1.pem fájlt, majd kattintson a CA tanúsítvány hozzáfűzésegombra.

4

Ellenőrizze, hogy a tanúsítvány feltöltése sikeresen megtörtént-e, és hogy megtalálható-e az Expressway Trust Store-ban.

Annak ellenőrzése, hogy a DNS-zóna megfelelően van-e konfigurálva

  • Ellenőrizze, hogy van-e beállítva DNS-zóna a gyorsforgalmi úton.

  • A DNS-t használó hívások két típusa a B2B (meglévő) és a Webex-hívások. Ha a B2B-hívások már be vannak állítva, javasoljuk, hogy a Webex-hívásokhoz egyedi DNS-zónát használjon, amely az mTLS használatára kényszeríti.

Az X8.10-es és újabb gyorsforgalmi úton a lépésekkel módosíthatja és létrehozhatja a DNS-zónát.

Mielőtt folytatná a gyorsforgalmi út konfigurációit, készítsen biztonsági másolatot a meglévő beállításokról, így bármikor visszaállíthatja a beállításokat, és visszatérhet egy működési állapotba.

1

Lépjen a Konfiguráció menüpontra > Zónák > Zónák

2

Ha már van DNS-zóna, válassza ki és szerkessze azt.

3

Ha nincs DNS-zóna, hajtsa végre az alábbi lépéseket:

  1. Válassza a Konfiguráció > Zónák > Zónák > Alapértelmezett zónahozzáférési szabályok menüpontot.

  2. Állítson be egy új DNS-zónát a tulajdonosnévhez: sip.webex.com.

  3. Adja hozzá az új keresési szabályt a hívás új DNS-útvonalon való irányításához.

    Ha már rendelkezik keresési szabállyal a forgalom Webexre való átirányítására, szerkessze azt egy új szabály létrehozása helyett.

4

Győződjön meg arról, hogy a hívások érvényesítése megtörténik, és a B2B-hívások nincsenek hatással.

A DNS-feloldási problémák elkerülése érdekében kattintson ide.

5

A konfigurációk befejezése után lépjen a következő szakaszra.

Ellenőrizze a tűzfal konfigurációját, és engedélyezze az autópálya meghirdetését

Konfigurálja a hálózati összetevők tűzfalát, hogy a legjobb minőségű Webex-élményt érje el számítógépein, mobileszközein és videokészülékein.

  1. Ellenőrizze a videoeszközök által használt médiaport-tartományokat.

    Ezek a portok referenciaként szolgálnak. További részletekért olvassa el a telepítési útmutatót és a gyártó ajánlásait.

    1. táblázat. A videó-együttműködési eszközök által használt alapértelmezett portok

    Protokoll

    Portszám(ok)

    Irány

    Hozzáférés típusa

    Hozzászólások

    TCP

    5060-5070

    Kimenő

    SIP-jelzésátvitel

    A Webex-médiaperem 5060 és 5070 között hallgatható. További tudnivalókat az adott szolgáltatás konfigurációs kézikönyve tartalmaz: Cisco Webex Meetings vállalati telepítési útmutató videoeszköz-alapú megbeszélésekhez.

    TCP

    5060, 5061 és 5062

    Bejövő

    SIP-jelzésátvitel

    Bejövő SIP jelforgalom a Cisco Webex felhőből

    TCP / UDP

    Efemer portok 36000-59999

    Bejövő és kimenő

    Médiaportok

    Ha Cisco Expressway-t használ, a médiatartományt 36000–59999-re kell beállítani. Ha külső videokészüléket vagy hívásvezérlőt használ, a tartomány használatához konfigurálni kell őket.

További tudnivalók a tűzfal beállításairól: Hogyan engedélyezhetem a Webex találkozók forgalmát a hálózaton?