Per organizzare riunioni Webex senza un PIN su un dispositivo locale, è necessario che Cisco Expressway-E offra i certificati firmati dall'elenco delle autorità di certificazione radice (RCA) attendibili per le connessioni Mutual TLS (mTLS). Fare clic qui per visualizzare un elenco delle autorità di certificazione radice considerate addendibili da Cisco. I certificati firmati dalle autorità in questo elenco sono considerati validi e la connessione sarà consentita.

1

Selezionare Manutenzione > Sicurezza > Certificato del server.

2

Controllare se il certificato Expressway corrente è presente ed è accurato.

3

Se il certificato è installato, controllare la data di scadenza per verificare se è valido o meno e sostituirlo con un certificato valido.

4

Verificare qual è la CA radice che ha firmato il certificato e assicurarsi che il nome sia elencato nella Guida alla disribuzione Enterprise.

5

Controllare se il certificato dispone del SAN (nome alternativo oggetto) appropriato configurato che corrisponde alle impostazioni dell'organizzazione.

6

Utilizzando un dispositivo video, effettuare una chiamata nella sala riunioni personale. Se ci si riesce a connettere, la connessione è stata stabilita correttamente.

7

Una volta completata la configurazione, passare alla sezione successiva.

Se una delle seguenti condizioni è vera, viene generata una CSR.

  • Se non si dispone di un certificato server Expressway

  • Se il certificato è scaduto

  • Se è necessario aggiornare il SAN, ovvero il nome SAN non corrisponde al nome utente SIP.

1

Generare una richiesta di firma del certificato (CSR, Certificate Signing Request).

2

Assicurarsi che il SAN necessario nel certificato sia elencato nel campo Additional alternate name (Altro nome alternativo).

3

Inviare la CSR alla CA radice preferita. Selezionare una CA dall'elenco supportato. Consultare la sezione Generazione della richiesta di firma del certificato nella Guida all'implementazione di Cisco Webex Meetings Enterprise per le riunioni tramite dispositivi video.

4

Ottenere il certificato firmato dalla CA radice.

5

Se è stato utilizzato un sistema esterno per generare la CSR, è necessario caricare anche il file PEM della chiave privata del server utilizzato per crittografare il certificato del server. Il file della chiave privata è stato automaticamente generato e memorizzato in precedenza se la Expressway è stata utilizzata per produrre la CSR per il certificato del server.

  • Il file PEM della chiave privata del server non deve essere protetto da password.

  • Non è possibile caricare una chiave privata del server se è in corso una richiesta di firma del certificato.

6

Fare clic su Carica dati del certificato del server.

7

Una volta completata la configurazione, passare alla sezione successiva.

1

Assicurarsi che l'autorità di certificazione di emissione del certificato Webex sia presente nell'elenco certificati CA attendibili. Selezionare Manutenzione > Sicurezza > Certificato CA attendibile.


 

Per garantire servizi senza interruzioni, installare le CA radice principale e secondaria. La CA radice QuoVadis è quella corrente e la CA radice DSTx3 è riservata per un utilizzo futuro. Entrambi questi certificati devono essere presenti.

2

L'elenco dei certificati CA attendibili contiene il certificato QuoVadis. Per verificare se si tratta del certificato più aggiornato, consultare la Guida alla distribuzione di Cisco Webex Meetings Enterprise per le riunioni tramite per dispositivi video.

3

Fare clic sul certificato CA attendibile, trovare il certificato QuoVadis e fare clic sul pulsante Visualizza decodificato all'estrema destra.

4

Selezionare gli attributi (SHA256) del certificato.

Chiave dell'autorità X509v3

Identificatore: keyId: 1A: 84:62: BC: 48:4C: 33:25:04: D4: EE: D0: F6:03: C4:19:46: D1:94:6BDirName:/C = BM/O = QuoVadis Limited/CN = QuoVadis root CA 2serial: 05:09

CA radice DSTx3

O=Digital Signature Trust Co./CN=DST Root CA X3 Fingerprint (SHA1) dac9024f54d8f6df94935fb1732638ca6ad77c13C=BM/O=QuoVadis Limited/CN=QuoVadis Root CA 2 Fingerprint (SHA1) ca3afbcf1240364b44b216208880483919937cf7

5

Fare clic su CA attendibile.


 

La chiave dell'autorità è soggetta a modifiche durante la rotazione delle chiavi.

6

Se il certificato CA non è presente, fare riferimento alla sezione Configurazione dell'elenco delle CA attendibili nella Guida alla distribuzione di Cisco Webex Meetings Enterprise per le riunioni tramite dispositivi video.

  • Controllare se è stata configurata una zona DNS (Domain Name System) sulla Expressway.

  • Due tipi di chiamate che utilizzano il DNS sono le chiamate B2B (esistenti) e Webex. Se le chiamate B2B sono già configurate, si consiglia di predisporre una zona DNS univoca per le chiamate Webex che forzano l'utilizzo di mTLS.

Nelle versioni X8.10 e successive di Expressway, utilizzare questa procedura per modificare e creare e la zona DNS.


Prima di procedere con le configurazioni di Expressway, eseguire una copia di backup delle impostazioni esistenti, in modo da poter sempre ripristinare le impostazioni per tornare a uno stato operativo.

1

Selezionare Configurazione > Zone > Zone

2

Se si dispone di una zona DNS esistente, selezionare la zona e modificarla.

3

Se una zona DNS non esiste, attenersi alla procedura riportata di seguito:

  1. Selezionare Configurazione > Zone > Zone > Regole di accesso zona predefinita.

  2. Configurare una nuova zona DNS per il nome oggetto: sip.webex.com.

  3. Aggiungere la nuova regola di ricerca per indirizzare la chiamata su un nuovo indirizzamento DNS.


     

    Se è già presente una regola di ricerca per l'instradamento del traffico verso Webex, modificarla anziché crearne una nuova.

4

Verificare che le chiamate vengano convalidate e che le chiamate B2B non vengano interessate.


 

Per evitare problemi di risoluzione del DNS, fare clic qui.

5

Una volta completata la configurazione, passare alla sezione successiva.

Configurare il firewall per i componenti della rete in modo da ottimizzare l'esperienza Webex su computer, dispositivi mobili e dispositivi video.

  1. Selezionare gli intervalli di porte multimediali utilizzati dai dispositivi video.


    Queste porte vengono fornite come riferimento. Per informazioni dettagliate, consultare la guida alla distribuzione e la raccomandazione del produttore.

    Tabella 1. Porte predefinite utilizzate dai dispositivi di collaborazione video

    Protocollo

    Numeri di porta

    Direzione

    Tipo accesso

    Commenti

    TCP

    5060-5070

    In uscita

    Trasmissione di segnali SIP

    Il media edge Webex è in ascolto su 5060 - 5070. Per ulteriori informazioni, consultare la guida alla configurazione relativa al servizio specifico utilizzato: Guida alla distribuzione di Cisco Webex Meetings Enterprise per le riunioni tramite per dispositivi video.

    TCP

    5060, 5061 e 5062

    In ingresso

    Trasmissione di segnali SIP

    Traffico di segnalazione SIP in entrata dal cloud di Cisco Webex

    TCP/UDP

    Porte effimere 36000-59999

    In ingresso e in uscita

    Porte multimediali

    Se si utilizza Cisco Expressway, è necessario impostare gli intervalli delle porte multimediali su 36000-59999. Se si utilizza un dispositivo video o un controllo delle chiamate di terze parti, è necessario configurarli per utilizzare questo intervallo.

Per ulteriori informazioni sulle impostazioni del firewall, vedere Come consentire il traffico di Webex Meetings sulla rete.