オンプレミス デバイスで PIN なしで Webex Meetings をホストするには、Cisco Expressway-E は相互 TLS (mTLS) 接続の信頼されたルート証明機関 (RCA) からの署名付き証明書を提供する必要があります。Cisco が信頼するルート CA のリストは、この記事で確認できます。有効な署名付き証明書を持つ接続のみを許可します。

政府版 Webex に Expressway-E を使用する場合は、mTLS を有効にする必要があります。
サーバ証明書がインストールされているかどうかを確認します。
1

[メンテナンス] > [セキュリティ] > [サーバー証明書] の順に選択します。

2

現在の Expressway 証明書が存在し、正確かどうかを確認します。

3

証明書がインストールされている場合は、証明書の有効期限を確認して有効かどうかを確認し、有効な証明書に置き換えます。

4

この証明書に署名したルート CA を確認し、名前が「エンタープライズ展開ガイド」にリストされていることを確認します。

詳細については、「Cisco Webex 音声およびビデオ プラットフォームへのコールでサポートされているルート証明機関」を参照してください。

5

証明書に組織の設定に一致する適切な SAN (サブジェクト代替名) が設定されているかどうかを確認します。

6

ビデオデバイスを使用して、パーソナル会議室に発信します。接続できる場合、接続は成功します。

7

設定が完了したら、次のセクションに移動します。

Expressway サーバー証明書が存在しないか、有効期限が切れているか確認します。

次のいずれかが正しい場合は、CSR を生成します。

  • Expressway サーバー証明書を持っていない場合

  • 証明書の有効期限が切れている場合

  • SAN を更新する必要がある場合は、SAN 名が SIP ユーザー名と一致しません

1

CSR(証明書署名リクエスト)プロセスを生成します。

2

証明書に必要な SAN が [追加の代替名 ] フィールドにリストされていることを確認します。

3

選択したルート CA に CSR を送信します。サポートされているリストから CA を選択します。「ビデオ デバイス対応ミーティングの Cisco Webex Meetings エンタープライズ展開ガイド 」の「証明書署名要求の生成」セクションを参照してください。

4

ルート CA から署名された証明書を取得します。

5

外部システムを使用して CSR を生成した場合は、サーバ証明書を暗号化するために使用されたサーバ秘密キー PEM ファイルもアップロードする必要があります。(Expressway がこのサーバ証明書の CSR を生成するために使用された場合、秘密鍵ファイルは自動的に生成され、以前に保存されます。)

  • サーバー秘密キー の PEM ファイルはパスワードで保護されていません。

  • 証明書署名要求が進行中の場合は、サーバーの秘密キーをアップロードできません。

6

[サーバー証明書データのアップロード] をクリックします。

7

設定が完了したら、次のセクションに移動します。

自分の信頼できる証明書リストに Webex 証明書を追加する
1

Webex の証明書の発行証明機関が、信頼できる CA 証明書リストの下にリストされていることを確認してください。[メンテナンス] > [セキュリティ] > [信頼できる CA 証明書] の順に選択します。

中断のないサービスについては、プライマリとセカンダリルート CA をインストールします。Quovadis ルート CA は最新であり、DSTx3 ルート CA は将来の使用のために予約されています。これらの証明書は両方とも存在する必要があります。

2

信頼できる CA 証明書リストには、QuoVadis 証明書が含まれています。最新の証明書であるかどうかを確認するには、『ビデオ デバイス対応ミーティングの Cisco Webex Meetings エンタープライズ展開ガイド』を参照してください。

3

信頼できる CA 証明書をクリックし、QuoVadis 証明書を見つけ、右端にある [デコードされた表示] ボタンをクリックします。

4

証明書の属性 (SHA256) を確認します。

X509v3 権限キー

識別子:keyid:1A:84:62:BC:48:4C:33:25:04:D4:EE:D0:F6:03:C4:19:46:D1:94:6BDirName:/C=BM/O=QuoVadis Limited/CN=QuoVadis ルート CA 2serial:05:09

DSTx3 ルート CA

O=Digital Signature Trust Co./CN=DST ルート CA X3 フィンガープリント (SHA1) dac9024f54d8f6df94935fb1732638ca6ad77c13C=BM/O=QuoVadis Limited/CN=QuoVadis ルート CA 2 フィンガープリント (SHA1) ca3afbcf1240364b44b216208880483919937cf7

5

[信頼できる CA] をクリックします。

権限キーは、キーをローテーションする際に変更される場合があります。

6

CA 証明書が存在しない場合は、『ビデオ デバイス対応ミーティングの Cisco Webex Meetings エンタープライズ展開ガイド 』の「信頼できる CA リストの設定」を参照してください。

DNS ゾーンが正しく設定されていることを確認してください

  • システムでドメインネームシステム (DNS) ゾーンが設定されていることを確認Expressway。

  • DNS を使用する 2 種類の通話は、B2B (既存) および Webex 通話です。B2B 通話がすでに設定されている場合、mTLS を使用することを強制する Webex 通話には一意の DNS ゾーンを推奨します。

バージョン Expressway X8.10 以上で、ステップを使用して、 と DNS ゾーンを変更し、作成します。

Expressway 設定を先に進む前に、既存の設定をバックアップしてください。そうすると、いつでも設定を元に戻して、稼働状態に戻ります。

1

[構成] > [ゾーン] > [ゾーン] の順に選択します。

2

DNS ゾーンが既存の場合、ゾーンを選択して編集します。

3

DNS ゾーンが存在しない場合、以下の手順を実行します。

  1. [構成] > [ゾーン] > [ゾーン] > [デフォルトのゾーンアクセスルール] の順に選択します。

  2. サブジェクト名に新しい DNS ゾーンを設定します。sip.webex.com.

  3. 通話を新しい DNS ルートにルーティングするために、新しい検索ルールを追加します。

    すでにトラフィックを Webex にルーティングするための検索ルールがある場合は、新しいルールを作成する代わりに編集してください。

4

通話が検証され、B2B 通話が影響を受けずにしてください。

DNS 解決の問題を回避するには、 ここをクリック してください

5

設定が完了したら、次のセクションに移動します。

Expressway のファイアウォール構成と許可リストを確認する

コンピューター、モバイル デバイス、ビデオ デバイスで最高品質の Webex エクスペリエンスを得られるように、ネットワーク コンポーネントのファイアウォールを構成します。

  1. ビデオ デバイスで使用されるメディアポート範囲を確認します。

    これらのポートは参照として提供されます。詳細については、展開ガイドとメーカーの推奨事項を参照してください。

    表1。 ビデオ コラボレーション デバイスで使用されるデフォルトのポート

    プロトコル

    ポート番号

    説明

    アクセス タイプ

    コメント

    TCP

    5060-5070

    発信

    SIP 信号

    Webex メディア エッジは、5060~5070 でリッスンします。詳細については、使用する特定のサービスの設定ガイドを参照してください。ビデオ デバイス対応ミーティングの Cisco Webex Meetings エンタープライズ展開ガイド

    TCP

    5060、5061、および 5062

    受信

    SIP 信号

    Cisco Webex クラウドからのインバウンド SIP シグナリング トラフィック

    TCP / UDP

    一時的ポート 36000 ~ 59999

    受信および発信

    メディア ポート

    Cisco Expressway をご利用の場合、 メディア範囲は 36000~59999 に設定する必要があります。サードパーティのビデオデバイスまたは通話コントロールを使用している場合は、この範囲を使用するように設定する必要があります。

ファイアウォール設定の詳細については、「自分のネットワークで Webex Meetings トラフィックを許可する方法」を参照してください。