Per ospitare Webex Meetings senza un PIN sui dispositivi locali, il Cisco Expressway-E deve offrire certificati firmati da un'autorità di certificazione radice attendibili (RCA) per le connessioni TLS reciproche (mTLS). È possibile trovare l'elenco delle CA radice attendibili da Cisco in questo articolo. Sono consentite solo le connessioni con certificati firmati validi.

Se si utilizza il Expressway-E per Webex per il Governo, è necessario abilitare mTLS.
Verifica dell'installazione di un certificato del server
1

Andare a Manutenzione > Sicurezza > certificato server.

2

Verificare che il certificato Expressway registrazione sia esistente ed corretto.

3

Se il certificato è installato, verificare la data di scadenza del certificato per verificare se è valido o meno e sostituirlo con un certificato valido.

4

Controllare quale CA radice ha firmato questo certificato e assicurarsi che il nome sia riportato nella Guida alla distribuzione Enterprise.

Per ulteriori informazioni, vedere Quali autorità di certificazione radice sono supportate per le chiamate Cisco Webex piattaforme audio e video.

5

Controllare se per il certificato è configurata una SAN (nome alternativo oggetto) corrispondente alle impostazioni dell'organizzazione.

6

Utilizzando un dispositivo video, chiamare il numero di sala riunioni personale. Se si riesce a eseguire la connessione, la connessione viene eseguita correttamente.

7

Al termine delle configurazioni, passare alla sezione successiva.

Controllare se il certificato Expressway Server di verifica non esiste o è scaduto

Se uno dei seguenti è vero, generare un CSR.

  • Se non si dispone di un certificato Expressway server

  • Se il certificato è scaduto

  • Se la SAN deve essere aggiornata, il nome SAN non corrisponde alla porta SIP nome utente

1

Generare il processo CSR (Certificate Signing Request).

2

Accertarsi che la SAN necessaria nel certificato sia riportata nel campo Nome alternativo aggiuntivo.

3

Inviare il CSR all'Autorità di certificazione principale desiderata. Scegliere una CA dall'elenco supportato. Fare riferimento alla sezione Genera richiesta di firma certificato nella Guida alla distribuzione Enterprise Cisco Webex Meetings per le riunioni abilitate per dispositivi video.

4

Ottenere il certificato firmato dalla CA radice.

5

Se è stato utilizzato un sistema esterno per generare il CSR, è necessario anche caricare il file PEM della chiave privata del server utilizzato per crittografare il certificato server. (Il file della chiave privata verrà generato automaticamente e memorizzato in precedenza se il Expressway è stato utilizzato per produrre il CSR per questo certificato server).

  • Il file PEM della chiave privata del server non deve essere protetto da password.

  • Non è possibile caricare una chiave privata del server se è in corso una richiesta di firma del certificato.

6

Fare clic su Carica dati certificato server.

7

Al termine delle configurazioni, passare alla sezione successiva.

Aggiunta del certificato Webex nell'elenco dei certificati attendibili
1

Accertarsi che l'autorità di certificazione che emette il certificato di Webex sia riportata nell'elenco di certificati CA attendibili. Andare a Manutenzione e > sicurezza > certificato CA attendibile.

Per i servizi ininterrotta, installare le CA radice principali e secondarie. Quovadis Root CA è corrente e la CA radice DSTx3 è riservata per uso futuro. Entrambi questi certificati devono essere presenti.

2

L'elenco di certificati CA affidabili contiene il certificato QuoVadis. Per verificare se è il certificato più corrente, fare riferimento alla guida alla distribuzione Enterprise Cisco Webex Meetings per le riunioni abilitate per dispositivi video.

3

Fare clic sul certificato CA attendibile, individuare il certificato QuoVadis e fare clic sul pulsante Visualizza decodificato all'estrema destra.

4

Controllare gli attributi (SHA256) del certificato.

Chiave di autorità X509v3

Identificativo:keyid:1A:84:62:BC:48:4C:33:25:04:D4:EE:D0:F6:03:C4:19:46:D1:94:6BDirName:/C=BM/O=QuoVadis Limited/CN=QuoVadis Root CA 2serial:05:09

CA radice DSTx3

O=Firma digitale Trust Co./CN=impronta digitale CA radice DST X3 (SHA1) dac9024f54d8f6df94935fb1732638ca6ad77c13C=BM/O=QuoVadis Limited/CN=QuoVadis Root CA 2 Impronta digitale (SHA1) ca3afbcf1240364b44b216208880483919937cf7

5

Fare clic su CA attendibile.

La chiave dell'autorità è soggetto a modifica quando ruotano le chiavi.

6

Se il certificato CA non è presente, fare riferimento alla sezione configurazione delle CA affidabili nella Guida alla distribuzione Enterprise Cisco Webex Meetings per le riunioni abilitate per dispositivi video.

Controllare se la zona DNS è configurata correttamente

  • Controllare se si dispone di una zona DNS (Domain Name System) configurata sul Expressway.

  • Due tipi di chiamate che utilizzano DNS sono B2B (esistente) e chiamate Webex. Se le chiamate B2B sono già impostate, si consiglia una zona DNS univoca per le chiamate Webex che forza l'uso di mTLS.

Su Expressway X8.10 e superiori, utilizzare la procedura per modificare e creare una zona DNS.

Prima di procedere con le configurazioni Expressway, eseguire un backup delle impostazioni esistenti in modo da poter sempre ripristinare le impostazioni e tornare allo stato operativo.

1

Andare a Configurazione > Zone > Zone

2

Se si dispone di una zona DNS esistente, selezionare la zona e modificarla.

3

Se non esiste una zona DNS, effettuare le seguenti operazioni:

  1. Andare a Configurazione > zone > zone > di accesso predefinite.

  2. Configurare una nuova zona DNS per il nome dell'oggetto: sip.webex.com.

  3. Aggiungere la nuova regola di ricerca per indirizzare la chiamata su un nuovo percorso DNS.

    Se si dispone già di una regola di ricerca per l'indirizzamento del traffico a Webex, modificarla anziché creare una nuova regola.

4

Accertarsi che le chiamate siano convalidate e che le chiamate B2B non siano interessate.

Per evitare problemi di risoluzione DNS, fare clic qui.

5

Al termine delle configurazioni, passare alla sezione successiva.

Controllare la configurazione del firewall e consentire l'elenco per le Expressway

Configurare il firewall per i componenti di rete in modo da ottenere la massima qualità webex su computer, dispositivi mobili e dispositivi video.

  1. Selezionare gli intervalli di porte multimediali utilizzati dai dispositivi video.

    Queste porte sono specificate come riferimento. Fare riferimento alla guida alla distribuzione e ai consigli del produttore per informazioni complete.

    Tabella 1. Porte predefinite utilizzate dai dispositivi di collaborazione video

    Protocol

    Numeri porte

    Direzione

    Tipo di accesso

    Commenti

    TCP

    5060-5070

    In uscita

    Segnale SIP

    Il dispositivo periferico multimediale Webex è in ascolto su 5060-5070. Per ulteriori informazioni, vedere la guida alla configurazione del servizio specifico utilizzato: Guida alla distribuzione Enterprise di Cisco Webex Meetings per le riunioni abilitate per dispositivi video.

    TCP

    5060, 5061 e 5062

    In entrata

    Segnale SIP

    Traffico dei segnali SIP in entrata dal cloud Cisco Webex ingresso

    TCP / UDP

    Porte predefinite 36000-59999

    In entrata e in uscita

    Porte multimediali

    Se stai utilizzando Cisco Expressway, devi impostare l'intervallo di porte multimediali su 36000-59999. Se si sta utilizzando un dispositivo video di terze parti o il controllo delle chiamate, è necessario configura tali dispositivi per l'uso di questo intervallo.

Per ulteriori informazioni sulle impostazioni del firewall, vedere Come consentire il traffico Webex Meetings sulla rete.