Ahhoz, hogy a Webex megbeszéléseket PIN-kód nélkül lehessen üzemeltetni egy telephelyi készüléken, a Cisco Expressway-E alkalmazásnak a megbízható Root Certificate Authority (RCA) hatóságok listáján szereplő szervezet által kibocsátott, aláírt tanúsítványokkal kell rendelkeznie a kölcsönös TLS (mTLS) kapcsolatokhoz. Azoknak a főtanúsítványt kibocsátó CA-kank a listáját, amelyekben a Cisco megbízik, ide kattintva szerezheti be. A listában szereplő hatóságok által aláírt tanúsítványok érvényesnek tekintendők, és a rendszer engedélyezni fogja a kapcsolatot.

1

Válassza a következőket: Karbantartás > Biztonság > Kiszolgálótanúsítvány.

2

Ellenőrizze, hogy a jelenlegi Expressway-tanúsítvány létezik-e, és hogy pontos-e.

3

Ha telepítve van a tanúsítvány, akkor nézze meg a tanúsítvány lejárati dátumát, hogy lássa, érvényes-e vagy sem, és cserélje le egy érvényes tanúsítványra

4

Nézze meg, melyik főtanúsítványt kibocsátó CA írta alá a tanúsítványt, és győződjön meg arról, hogy a neve szerepel a vállalati üzembe helyezési útmutatóban.

5

Ellenőrizze, hogy a tanúsítvány rendelkezik-e a szervezeti beállításokkal megegyezően konfigurált, megfelelő SAN (Subject Alternative Name – tulajdonos alternatív neve) alternatív névvel.

6

Egy videoeszköz használatával kezdeményezzen hívást a személyes szobájába. Ha tud csatlakozni, akkor a kapcsolat sikeresen létrejött.

7

A konfigurálás befejezése után lépjen tovább a következő szakaszra.

Ha az alábbiak bármelyike igaz, akkor elő kell állítani egy CSR-t.

  • Ha nincs Expressway-kiszolgálótanúsítvány

  • Ha lejárt a tanúsítvány

  • Ha frissíteni kell a SAN-t, azaz ha a SAN-név nem egyezik meg a SIP-felhasználónévvel

1

A CSR (tanúsítvány-aláírási kérés) folyamatának előállítása.

2

Győződjön meg arról, hogy a tanúsítványban szükséges SAN szerepel a További alternatív név mezőben.

3

Küldje el a CSR-t az Ön által kiválasztott, főtanúsítványt kibocsátó CA-nak. Válasszon egy CA-t a támogatottak listájáról. Lásd a Cisco Webex Meetings vállalati üzembe helyezési útmutatója videoeszközt használni képes megbeszélések esetén dokumentum Tanúsítvány-aláírási kérés előállítása című szakaszát.

4

Szerezze be az aláírt tanúsítványt a főtanúsítványt kibocsátó CA-tól.

5

Ha külső rendszert használt a CSR előállításához, akkor fel kell töltenie a kiszolgálótanúsítvány titkosításához használt kiszolgálói titkos kulcs PEM-fájlját is . (A titkos kulcs fájlját a rendszer már korábban automatikusan előállította és tárolta, ha az Expresswayt használták a kiszolgálótanúsítványra vonatkozó CSR előállításához.)

  • A kiszolgáló titkos kulcsának PEM-fájlját nem szabad jelszóval védeni.

  • Ha folyamatban van egy tanúsítvány aláírása, akkor nem lehet feltölteni a kiszolgáló titkos kulcsát.

6

Kattintson a Kiszolgálótanúsítvány adatainak feltöltése elemre.

7

A konfigurálás befejezése után lépjen tovább a következő szakaszra.

1

Ellenőrizze, hogy a Webex tanúsítványát kiállító Certificate Authority szervezet rajta van-e megbízható CA-tanúsítványok listáján. Válassza a következőket: Karbantartás > Biztonság > Megbízható CA-tanúsítvány.


 

A megszakítás nélküli szolgáltatások biztosítása érdekében telepítse az elsődleges és másodlagos CA főtanúsítványt is. A Quovadis fő CA tanúsítvány az aktuális, és a DSTx3 fő CA tanúsítvány pedig későbbi használatra van fenntartva. Mindkét tanúsítványnak jelen kell lennie.

2

A megbízható CA-tanúsítványok listája tartalmazza a QuoVadis tanúsítványt. Annak ellenőrzéséhez, hogy ez-e a legfrissebb tanúsítvány, lapozza fel a Cisco Webex Meetings vállalati üzembe helyezési útmutatója videoeszközt használni képes megbeszélések esetén dokumentumot.

3

Kattintson a megbízható CA-tanúsítványra, keresse meg a QuoVadis tanúsítványt, majd kattintson a jobb szélen található Megtekintés dekódolva gombra.

4

Ellenőrizze a tanúsítvány attribútumait (SHA256).

X509v3 hatósági kulcs

Identifier:keyid:1A:84:62:BC:48:4C:33:25:04:D4:EE:D0:F6:03:C4:19:46:D1:94:6BDirName:/C=BM/O=QuoVadis Limited/CN=QuoVadis Root CA 2serial:05:09

DSTx3 fő CA

O=Digital Signature Trust Co./CN=DST Root CA X3 Fingerprint (SHA1) dac9024f54d8f6df94935fb1732638ca6ad77c13C=BM/O=QuoVadis Limited/CN=QuoVadis Root CA 2 Fingerprint (SHA1) ca3afbcf1240364b44b216208880483919937cf7

5

Kattintson a megbízható CA-ra.


 

A hatósági kulcsa megváltozhat, mert ciklikusan használják kulcsokat.

6

Ha nincs meg a CA-tanúsítvány, akkor tanulmányozza át a Cisco Webex Meetings vállalati üzembe helyezési útmutatója videoeszközt használni képes megbeszélések esetén dokumentum A megbízható CA-k listájának konfigurálása című szakaszát,

  • Ellenőrizze, hogy van-e az Ön Expressway-példányára konfigurálva DNS-zóna.

  • A DNS-t kétféle hívás használja: a B2B- (meglévő) és Webex-hívások. Ha már be vannak állítva a B2B-hívások, akkor egy olyan egyedi DNS-zóna használatát ajánlunk a Webex-hívások számára, amely kikényszeríti az mTLS használatát.

Az Expressway X8.10-es és újabb verziói esetében a fenti lépésekkel módosíthat és létrehozhat DNS-zónát.


Mielőtt nekilátna az Expressway konfigurálásnak, készítsen biztonsági másolatot a jelenlegi beállításokról, így bármikor visszaállíthatja őket, és visszatérhet egy működőképes állapothoz.

1

Válassza a következőket: Konfigurálás > Zónák > Zónák

2

Ha van meglévő DNS-zóna, válassza ki a zónát, és szerkessze.

3

Ha nincs DNS-zóna, hajtsa végre az alábbi lépéseket:

  1. Válassza a következőket: Konfigurálás > Zónák > Zónák > Alapértelmezett zónahozzáférési szabályok.

  2. Konfiguráljon egy új DNS-zónát a következő tulajdonosnévhez: sip.webex.com.

  3. Adja hozzá az új keresési szabályt a hívásnak egy új DNS-útvonalon történő irányításához.


     

    Ha már rendelkezik keresési szabállyal a forgalom Webexhez történő irányításához, új szabály létrehozása helyett azt szerkessze.

4

Győződjön meg arról, hogy megtörtént a hívások ellenőrzése, és hogy a B2B-hívások nem érintettek.


 

Ha el szeretné kerülni a DNS-feloldási problémákat, kattintson ide.

5

A konfigurálás befejezése után lépjen tovább a következő szakaszra.

A hálózati összetevőkhöz tartozó tűzfalat úgy állítsa be, hogy a lehető legmagasabb szintű Webex-élményt kapja a számítógépeken, a mobileszközökön és a videoeszközökön.

  1. Ellenőrizze a videoeszközök által használt médiaport-tartományokat.


    Ezek a portok referenciául szolgálnak. Részleteket a telepítési útmutató és a gyártó ajánlása tartalmazza.

    1. táblázat: A videós együttműködési eszközök által használt alapértelmezett portok

    Protokoll

    Portszám

    Irány

    Hozzáférés típusa

    Megjegyzések

    TCP

    5060-5070

    Outbound

    SIP jelzés

    A Webex media edge az 5060–5070 portokon figyel. További információt a használt konkrét szolgáltatás konfigurálási útmutatója tartalmaz: Cisco Webex Meetings vállalati üzembe helyezési útmutatója videoeszközt használni képes megbeszélések esetén.

    TCP

    5060, 5061 és 5062

    Inbound

    SIP jelzés

    Bejövő SIP-jelzési forgalom a Cisco Webex felhőből

    TCP / UDP

    Ideiglenes portok 36000-59999

    Bejövő és kimenő

    Médiaportok

    Ha Cisco Expresswayt használ, akkor a médiatartományt a következőre kell beállítani: 36000–59999. Ha külső gyártó videoeszközét vagy hívásvezérlőjét használja, azokat úgy kell konfigurálni, hogy ezt a tartományt használják.

További információ a tűzfal beállításaival kapcsolatban: Hogyan engedhetek meg Webex Meetings-forgalmat a hálózatomon?.