Per Webex Meetings senza un PIN su dispositivi in sede , Cisco Expressway-E deve offrire certificati firmati da Autorità di certificazione radice (RCA) attendibili per le connessioni TLS (mTLS). È disponibile un elenco di CA radice attendibili da Cisco questo articolo . Sono consentite solo connessioni con certificati firmati validi.


 
Se si utilizza Expressway-E per Webex per il Settore pubblico, è necessario abilitare mTLS.
1

Vai a Manutenzione > Sicurezza > Certificato server .

2

Verificare che il certificato Expressway corrente esista e sia accurato.

3

Se il certificato è installato, controllare la data di scadenza per vedere se è valido o meno e sostituirlo con un certificato valido.

4

Controllare quale CA radice ha firmato questo certificato e assicurarsi che il nome sia elencato nella Guida alla distribuzione Enterprise .

5

Verificare che nel certificato sia configurata la SAN (nome alternativo oggetto) appropriata che corrisponda alle impostazioni dell'organizzazione.

6

Utilizzando un dispositivo video, chiamare nella sala riunioni personale. Se è possibile eseguire la connessione, la connessione è riuscita.

7

Dopo aver completato le configurazioni, passare alla sezione successiva.

Se una delle seguenti condizioni è vera, generare un CSR.

  • Se non si dispone di un certificato server Expressway

  • Se il certificato è scaduto

  • Se la SAN deve essere aggiornata, il nome della SAN non corrisponde al nome utente SIP

1

Generare il processo CSR (Richiesta di firma del certificato).

2

Accertarsi che la SAN necessaria nel certificato sia elencata nel file Nome alternativo aggiuntivo campo.

3

Inviare il CSR di certificazione radice di propria scelta. Scegliere una CA dall'elenco supportato. Fare riferimento a Genera richiesta firma certificato sezione nella Guida alla distribuzione di Cisco Webex Meetings Enterprise per le riunioni abilitate per dispositivi video .

4

Ottenere il certificato firmato dall'Autorità di certificazione radice.

5

Se per generare il CSR è stato utilizzato un sistema esterno, è necessario caricare anche il file PEM della chiave privata del server utilizzato per crittografare il certificato server. (Il file della chiave privata sarà stato generato automaticamente e memorizzato in precedenza se Expressway è stato utilizzato per produrre il CSR per questo certificato server).

  • Il chiave privata del server Il file PEM non deve essere protetto da password.

  • Non è possibile caricare una chiave privata del server se è In corso una richiesta di firma del certificato .

6

Fare clic su Caricare i dati certificato server .

7

Dopo aver completato le configurazioni, passare alla sezione successiva.

1

Accertarsi che l'autorità di certificazione emittente per il certificato Webex sia elencata nell'elenco dei certificato CA attendibili. Vai a Manutenzione > Sicurezza > Certificato CA attendibile .


 

Per servizi senza interruzioni, installare le CA radice primaria e secondaria. Il CA radice Quovadis è corrente mentre il CA radice DSTx3 è riservato per un uso futuro. Entrambi i certificati devono essere presenti.

2

L'elenco dei certificato CA attendibili contiene il certificato QuoVadis. Per verificare se è il certificato più recente, fare riferimento a Guida alla distribuzione di Cisco Webex Meetings Enterprise per le riunioni abilitate per dispositivi video .

3

Fare clic sul certificato CA attendibile , individuare il certificato QuoVadis e fare clic su Visualizzazione decodificata all'estrema destra.

4

Controllare gli attributi (SHA256) del certificato.

Chiave autorità X509v3

Identifier:keyid:1A:84:62:BC:48:4C:33:25:04:D4:EE:D0:F6:03:C4:19:46:D1:94:6BDirName:/C=BM/O=QuoVadis Limited/CN=QuoVadis Root CA 2serial:05:09

CA radice DSTx3

O=Digital Signature Trust Co./CN=DST Root CA X3 Fingerprint (SHA1) dac9024f54d8f6df94935fb1732638ca6ad77c13C=BM/O=QuoVadis Limited/CN=QuoVadis Root CA 2 Fingerprint (SHA1) ca3afbcf1240364b44b216208880483919937cf7

5

Fare clic su CA attendibile .


 

La chiave di autorizzazione è soggetta a modifica quando vengono ruotati i tasti.

6

Se il certificato CA non è presente, fare riferimento a Configurare l'elenco delle CA attendibili nel Guida alla distribuzione di Cisco Webex Meetings Enterprise per le riunioni abilitate per dispositivi video .

  • Controllare di avere una zona Domain Name System (DNS) configurata su Expressway.

  • Due tipi di chiamate che utilizzano il DNS sono le chiamate B2B (esistenti) e le chiamate Webex . Se le chiamate B2B sono già impostare, si consiglia di utilizzare una zona DNS univoca per le chiamate Webex che lo costringa a utilizzare mTLS.

Su Expressway versioni X8.10 e superiori, utilizzare la procedura per modificare e creare una zona DNS .


 

Prima di procedere con le configurazioni Expressway, eseguire un backup delle impostazioni esistenti in modo da poter sempre ripristinare le impostazioni e tornare a uno stato operativo.

1

Vai a Configurazione > Zone > Zone

2

Se si dispone di una zona DNS esistente, selezionare la zona e modificarla.

3

Se non esiste una zona DNS , completare la procedura seguente:

  1. Vai a Configurazione > Zone > Zone > Regole di accesso alla zona predefinita .

  2. Configurare una nuova zona DNS per il nome dell'oggetto: sip.webex.com.

  3. Aggiungere la nuova regola di ricerca per indirizzare la chiamata su un nuovo indirizzamento DNS .


     

    Se si dispone già di una regola di ricerca per indirizzare il traffico a Webex, modificarla anziché crearne una nuova.

4

Accertarsi che le chiamate siano convalidate e che le chiamate B2B non siano interessate.


 

Per evitare problemi di risoluzione DNS , fare clic su qui .

5

Dopo aver completato le configurazioni, passare alla sezione successiva.

Configurare il firewall per i componenti di rete in modo da ottenere la massima qualità Webex su computer, dispositivi mobili e dispositivi video.

  1. Selezionare gli intervalli porta Media utilizzati dai dispositivi video.


     

    Queste porte vengono fornite come riferimento. Per dettagli completi, fare riferimento alla guida alla distribuzione e alla raccomandazione del produttore.

    Tabella 1. Porte predefinite utilizzate dai dispositivi di collaborazione video

    Protocol

    Numeri porte

    Direzione

    Tipo di accesso

    Commenti

    TCP

    5060-5070

    In uscita

    Segnale SIP

    Il dispositivo periferico multimediale Webex è in ascolto su 5060-5070. Per ulteriori informazioni, vedere la guida alla configurazione del servizio specifico utilizzato: Guida alla distribuzione di Cisco Webex Meetings Enterprise per le riunioni abilitate per dispositivi video .

    TCP

    5060, 5061 e 5062

    In entrata

    Segnale SIP

    Traffico di segnalazione SIP in entrata dal cloud Cisco Webex

    TCP / UDP

    Porte temporanee 36000-59999

    In entrata e in uscita

    Porte multimediali

    Se stai utilizzando Cisco Expressway, devi impostare l'intervallo di porte multimediali su 36000-59999. Se utilizzi un dispositivo video di terze parti o controllo chiamata, è necessario configurarli per utilizzare questo intervallo.

Per ulteriori informazioni sulle impostazioni del firewall, vedere Come è possibile consentire il traffico di Webex Meetings sulla rete .