コメントありがとうございます。
Expresswayを相互TLS認証用に設定する
フィードバックがある場合オンプレミスデバイスでPINなしでWebex Meetingsをホストするには、Cisco Expressway-Eが相互TLS(mTLS)接続用の信頼できるルート認証局(RCA)からの署名付き証明書を提供する必要があります。Ciscoが信頼するルートCAのリストは、この記事に記載されています。有効な署名付き証明書を持つ接続のみを許可します。
| 1 |
。
 |
| 2 |
現在有効な高速道路証明書が存在し、内容が正確であることを確認してください。
 |
| 3 |
証明書がインストールされている場合は、証明書の有効期限を確認して有効かどうかを判断し、有効な証明書に置き換えてください。
 |
| 4 |
この証明書に署名したルート認証局を確認し、その名前がエンタープライズ展開ガイドに記載されていることを確認してください。  詳細については、 Cisco Webex オーディオおよびビデオ プラットフォームへの呼び出しでサポートされているルート証明機関を参照してください。 |
| 5 |
証明書に、組織の設定と一致する適切なSAN(サブジェクト代替名)が設定されているかどうかを確認してください。
 |
| 6 |
ビデオ機器を使って、自分の個室に電話をかけてください。接続できれば、接続は成功です。 |
| 7 |
設定が完了したら、次のセクションに移動します。 |
以下のいずれかに該当する場合は、CSRを生成します。
-
Expresswayサーバー証明書をお持ちでない場合
-
証明書の有効期限が切れている場合
-
SANを更新する必要がある場合、つまりSAN名がSIPユーザー名と一致しない場合
| 1 |
CSR(証明書署名要求)プロセスを生成します。
 |
| 2 |
証明書に必要なSANが 追加の代替名 フィールドに記載されていることを確認してください。
 |
| 3 |
CSRを、選択したルートCAに送信してください。サポートされている認証局(CA)リストから選択してください。ビデオ デバイス対応ミーティング向けの Cisco Webex Meetings Enterprise 導入ガイドの 証明書署名要求の生成セクションを参照してください。 |
| 4 |
ルート認証局から証明書に署名してもらってください。 |
| 5 |
CSRの生成に外部システムを使用した場合は、サーバー証明書の暗号化に使用したサーバー秘密鍵のPEMファイルもアップロードする必要があります。(このサーバー証明書のCSRを作成する際にExpresswayが使用された場合、秘密鍵ファイルは既に自動的に生成され、保存されています。)
|
| 6 |
サーバー証明書データをアップロードをクリックします。
 |
| 7 |
設定が完了したら、次のセクションに移動します。 |
| 1 |
IdenTrust Commercial Root CA 1 をダウンロードし、ファイル名 |
| 2 |
ハイブリッドサービスに使用されているすべてのエクスプレスウェイで、 。 |
| 3 |
参照に移動し、 |
| 4 |
証明書が正常にアップロードされ、Expressway Trust Storeに存在することを確認してください。 |
-
システムでドメインネームシステム (DNS) ゾーンが設定されていることを確認Expressway。
-
DNS を使用する 2 種類の通話は、B2B (既存) および Webex 通話です。B2B 通話がすでに設定されている場合、mTLS を使用することを強制する Webex 通話には一意の DNS ゾーンを推奨します。
バージョン Expressway X8.10 以上で、ステップを使用して、 と DNS ゾーンを変更し、作成します。
Expressway 設定を先に進む前に、既存の設定をバックアップしてください。そうすると、いつでも設定を元に戻して、稼働状態に戻ります。
| 1 |
 |
| 2 |
DNS ゾーンが既存の場合、ゾーンを選択して編集します。
 |
| 3 |
DNS ゾーンが存在しない場合、以下の手順を実行します。
|
| 4 |
通話が検証され、B2B 通話が影響を受けずにしてください。 DNS 解決の問題を回避するには、 ここをクリック してください。 |
| 5 |
設定が完了したら、次のセクションに移動します。 |
コンピューター、モバイルデバイス、ビデオデバイスで最高品質のWebex体験が得られるように、ネットワークコンポーネントのファイアウォールを設定してください。
-
映像機器が使用するメディアポートの範囲を確認してください。
これらのポートは参考として提供されています。詳細については、導入ガイドおよび製造元の推奨事項を参照してください。
表1. ビデオコラボレーションデバイスで使用されるデフォルトポート プロトコル
ポート番号
説明
アクセス タイプ
コメント
TCP
5060-5070
発信
SIP 信号
Webex メディア エッジは、5060~5070 でリッスンします。詳細については、使用する特定のサービスの設定ガイドを参照してください。Cisco Webex Meetings Enterprise 導入ガイド(ビデオ デバイス対応会議向け)。
TCP
5060、5061、および5062
受信
SIP 信号
Cisco WebexクラウドからのSIPシグナリングトラフィック
TCP / UDP
一時的ポート 36000 ~ 59999
受信および発信
メディア ポート
Cisco Expressway をご利用の場合、 メディア範囲は 36000~59999 に設定する必要があります。サードパーティ製のビデオ機器や通話制御システムを使用している場合は、それらがこの範囲を使用するように設定する必要があります。
ファイアウォール設定の詳細については、 Webex Meetings のトラフィックをネットワーク上で許可する方法を参照してください。
