A Cisco Expressway-t előbb konfigurálni kell a kölcsönös TLS-hez (mTLS), hogy megengedhesse a felhasználóknak, hogy ütemezett és személyes szobában folyó megbeszéléseket tartsanak vagy ilyenekhez csatlakozzanak Cisco Webex munkahelyi videoeszközökről a szervezeten belül.
Ahhoz, hogy a Webex megbeszéléseket PIN-kód nélkül lehessen üzemeltetni egy telephelyi készüléken, a Cisco Expressway-E alkalmazásnak a megbízható Root Certificate Authority (RCA) hatóságok listáján szereplő szervezet által kibocsátott, aláírt tanúsítványokkal kell rendelkeznie a kölcsönös TLS (mTLS) kapcsolatokhoz. Azoknak a főtanúsítványt kibocsátó CA-kank a listáját, amelyekben a Cisco megbízik, ide kattintva szerezheti be. A listában szereplő hatóságok által aláírt tanúsítványok érvényesnek tekintendők, és a rendszer engedélyezni fogja a kapcsolatot.
1 |
Válassza a következőket: .![]() |
2 |
Ellenőrizze, hogy a jelenlegi Expressway-tanúsítvány létezik-e, és hogy pontos-e. ![]() |
3 |
Ha telepítve van a tanúsítvány, akkor nézze meg a tanúsítvány lejárati dátumát, hogy lássa, érvényes-e vagy sem, és cserélje le egy érvényes tanúsítványra ![]() ![]() |
4 |
Nézze meg, melyik főtanúsítványt kibocsátó CA írta alá a tanúsítványt, és győződjön meg arról, hogy a neve szerepel a vállalati üzembe helyezési útmutatóban. |
5 |
Ellenőrizze, hogy a tanúsítvány rendelkezik-e a szervezeti beállításokkal megegyezően konfigurált, megfelelő SAN (Subject Alternative Name – tulajdonos alternatív neve) alternatív névvel. ![]() |
6 |
Egy videoeszköz használatával kezdeményezzen hívást a személyes szobájába. Ha tud csatlakozni, akkor a kapcsolat sikeresen létrejött. |
7 |
A konfigurálás befejezése után lépjen tovább a következő szakaszra. |
Ha az alábbiak bármelyike igaz, akkor elő kell állítani egy CSR-t.
-
Ha nincs Expressway-kiszolgálótanúsítvány
-
Ha lejárt a tanúsítvány
-
Ha frissíteni kell a SAN-t, azaz ha a SAN-név nem egyezik meg a SIP-felhasználónévvel
1 |
A CSR (tanúsítvány-aláírási kérés) folyamatának előállítása. ![]() |
2 |
Győződjön meg arról, hogy a tanúsítványban szükséges SAN szerepel a További alternatív név mezőben. ![]() |
3 |
Küldje el a CSR-t az Ön által kiválasztott, főtanúsítványt kibocsátó CA-nak. Válasszon egy CA-t a támogatottak listájáról. Lásd a Cisco Webex Meetings vállalati üzembe helyezési útmutatója videoeszközt használni képes megbeszélések esetén dokumentum Tanúsítvány-aláírási kérés előállítása című szakaszát. |
4 |
Szerezze be az aláírt tanúsítványt a főtanúsítványt kibocsátó CA-tól. |
5 |
Ha külső rendszert használt a CSR előállításához, akkor fel kell töltenie a kiszolgálótanúsítvány titkosításához használt kiszolgálói titkos kulcs PEM-fájlját is . (A titkos kulcs fájlját a rendszer már korábban automatikusan előállította és tárolta, ha az Expresswayt használták a kiszolgálótanúsítványra vonatkozó CSR előállításához.)
|
6 |
Kattintson a Kiszolgálótanúsítvány adatainak feltöltése elemre. ![]() |
7 |
A konfigurálás befejezése után lépjen tovább a következő szakaszra. |
1 |
Ellenőrizze, hogy a Webex tanúsítványát kiállító Certificate Authority szervezet rajta van-e megbízható CA-tanúsítványok listáján. Válassza a következőket: .
![]() |
||
2 |
A megbízható CA-tanúsítványok listája tartalmazza a QuoVadis tanúsítványt. Annak ellenőrzéséhez, hogy ez-e a legfrissebb tanúsítvány, lapozza fel a Cisco Webex Meetings vállalati üzembe helyezési útmutatója videoeszközt használni képes megbeszélések esetén dokumentumot. ![]() |
||
3 |
Kattintson a megbízható CA-tanúsítványra, keresse meg a QuoVadis tanúsítványt, majd kattintson a jobb szélen található Megtekintés dekódolva gombra. |
||
4 |
Ellenőrizze a tanúsítvány attribútumait (SHA256). X509v3 hatósági kulcs
DSTx3 fő CA
|
||
5 |
Kattintson a megbízható CA-ra.
|
||
6 |
Ha nincs meg a CA-tanúsítvány, akkor tanulmányozza át a Cisco Webex Meetings vállalati üzembe helyezési útmutatója videoeszközt használni képes megbeszélések esetén dokumentum A megbízható CA-k listájának konfigurálása című szakaszát, |
-
Ellenőrizze, hogy van-e az Ön Expressway-példányára konfigurálva DNS-zóna.
-
A DNS-t kétféle hívás használja: a B2B- (meglévő) és Webex-hívások. Ha már be vannak állítva a B2B-hívások, akkor egy olyan egyedi DNS-zóna használatát ajánlunk a Webex-hívások számára, amely kikényszeríti az mTLS használatát.
Az Expressway X8.10-es és újabb verziói esetében a fenti lépésekkel módosíthat és létrehozhat DNS-zónát.
Mielőtt nekilátna az Expressway konfigurálásnak, készítsen biztonsági másolatot a jelenlegi beállításokról, így bármikor visszaállíthatja őket, és visszatérhet egy működőképes állapothoz. |
1 |
Válassza a következőket: ![]() |
||
2 |
Ha van meglévő DNS-zóna, válassza ki a zónát, és szerkessze. ![]() |
||
3 |
Ha nincs DNS-zóna, hajtsa végre az alábbi lépéseket:
|
||
4 |
Győződjön meg arról, hogy megtörtént a hívások ellenőrzése, és hogy a B2B-hívások nem érintettek.
|
||
5 |
A konfigurálás befejezése után lépjen tovább a következő szakaszra. |
A hálózati összetevőkhöz tartozó tűzfalat úgy állítsa be, hogy a lehető legmagasabb szintű Webex-élményt kapja a számítógépeken, a mobileszközökön és a videoeszközökön.
-
Ellenőrizze a videoeszközök által használt médiaport-tartományokat.
Ezek a portok referenciául szolgálnak. Részleteket a telepítési útmutató és a gyártó ajánlása tartalmazza.
1. táblázat: A videós együttműködési eszközök által használt alapértelmezett portok Protokoll
Portszám
Irány
Hozzáférés típusa
Megjegyzések
TCP
5060-5070
Outbound
SIP jelzés
A Webex media edge az 5060–5070 portokon figyel. További információt a használt konkrét szolgáltatás konfigurálási útmutatója tartalmaz: Cisco Webex Meetings vállalati üzembe helyezési útmutatója videoeszközt használni képes megbeszélések esetén.
TCP
5060, 5061 és 5062
Inbound
SIP jelzés
Bejövő SIP-jelzési forgalom a Cisco Webex felhőből
TCP / UDP
Ideiglenes portok 36000-59999
Bejövő és kimenő
Médiaportok
Ha Cisco Expresswayt használ, akkor a médiatartományt a következőre kell beállítani: 36000–59999. Ha külső gyártó videoeszközét vagy hívásvezérlőjét használja, azokat úgy kell konfigurálni, hogy ezt a tartományt használják.
További információ a tűzfal beállításaival kapcsolatban: Hogyan engedhetek meg Webex Meetings-forgalmat a hálózatomon?.