相互 TLS 認証用の Expressway の設定

オンプレミスのデバイスで、ピンを使用せずに Webex ミーティングをホストするには、Cisco Expressway が相互 TLS (mTLS) 接続の信頼されたルート認証局 (RCA) のリストから署名された証明書を提供する必要があります。 Cisco の信頼されているルート CA の一覧を表示するには、ここをクリックします。このリストに記載されている証明書によって署名されている証明書は有効であると見なされ、接続が許可されます。

サーバ証明書がインストールされているかどうかを確認します。

[メンテナンス] > [セキュリティ] > [サーバ証明書] に移動します。

現在の Expressway 証明書が存在し、正確であるかどうかを確認します。

証明書がインストールされている場合は、証明書の有効期限を確認して、が有効かどうかを確認し、有効な証明書と置き換えます。

この証明書に署名したルート CA を確認し、その名前が『企業導入ガイド』に記載されていることを確認します。

詳細については、Cisco Webex Audio And Video プラットフォームへのコールでサポートされているルート認証局に関する説明を参照してください。

証明書に組織設定に適合する適切な SAN (サブジェクト別名) が設定されているかどうかを確認します。

ビデオデバイスを使用して、パーソナルルームに発信します。接続可能な場合は、接続が成功します。

設定が完了したら、次のセクションに進みます。

サーバ証明書が存在しないか、有効期限が切れているかどうかを確認します

次のいずれかに該当する場合は、CSR を生成します。

Expressway サーバ証明書が内場合
証明書の期限が切れています。
SAN を更新する必要がある場合、SAN 名は SIP ユーザ名と一致しません。

1	CSR（証明書署名要求）を生成します。
2	証明書に必要な SAN が [追加の代替名] フィールドにリストされていることを確認します。
3	任意の CA に CSR を送信します。サポートされている CA をこのリストから選択します。ビデオデバイス対応ミーティングについては、『Cisco Webex Meetings 企業導入ガイド』の「証明書署名要求の生成」セクションを参照してください。
4	ルート CA から署名された証明書を取得します。
5	外部システムを使用して CSR を生成する場合は、サーバ証明書を暗号化するために使用した、サーバ秘密キー PEM ファイルもアップロードする必要があります。（Expressway がこのサーバ証明書用の CSR を生成するために使用された場合、秘密キーファイルがすでに自動的に生成され保存されています。） PEM ファイルサーバ秘密鍵はパスワードで保護しないでください。証明書署名要求の進行中は、サーバ秘密キーをアップロードできません。
6	[サーバ証明書データのアップロード（Upload server certificate data）] をクリックします。
7	設定が完了したら、次のセクションに進みます。

自分の信頼された証明書リストに Webex 証明書を追加する

Webex の証明書の発行認証局が、信頼された CA 証明書リストの下に表示されていることを確認します。 [メンテナンス] > [セキュリティ] > [信頼済み CA 証明書] に移動します。

サービスを中断しないよう、プライマリルート CA とセカンダリルート CA をインストールします。Quovadis ルート CA は最新であり、DSTx3 ルート ca は将来の使用のために予約されています。両方の証明書が存在している必要があります。

信頼された CA 証明書リストには、QuoVadis 証明書が含まれています。最新の証明書であるかどうかを確認するには、ビデオデバイス対応ミーティングについて『Cisco Webex Meetings 企業導入ガイド』を参照してください。

信頼されている CA 証明書をクリックして、QuoVadis 証明書を見つけ、右端にある [デコードの表示] ボタンをクリックします。

証明書の属性 (SHA256) を確認します。

X509v3 Authority キー

Identifier:keyid:1A:84:62:BC:48:4C:33:25:04:D4:EE:D0:F6:03:C4:19:46:D1:94:6BDirName:/C=BM/O=QuoVadis Limited/CN=QuoVadis Root CA 2serial:05:09

DSTx3 ルート CA

O=Digital Signature Trust Co./CN=DST Root CA X3 Fingerprint (SHA1) dac9024f54d8f6df94935fb1732638ca6ad77c13C=BM/O=QuoVadis Limited/CN=QuoVadis Root CA 2 Fingerprint (SHA1) ca3afbcf1240364b44b216208880483919937cf7

[信頼済みの CA] をクリックします。

権限キーは、キーをローテーションすると変更されることがあります。

CA 証明書が存在しない場合は、ビデオデバイス対応ミーティングの『Cisco Webex Meetings 企業導入ガイド』の「信頼された CA の設定の構成」を参照してください。

DNS ゾーンが正しく設定されているかどうかを確認します。

ユーザのユーザは、ユーザのユーザが管理しているドメインネームシステム (DNS) ゾーンに設定されているかどうか確認してください。
DNS を使用するコールには、B2B (既存) と Webex コールの 2 つのタイプがあります。すでに B2B コールが設定されている場合は、Webex コールに対して強制的に mTLS を使用するように、一意の DNS ゾーンを作成することを推奨します。

表現 Sway バージョン X 8.10 以降では、以下の手順を使用して、変更と DNS ゾーンを作成します。

ユーザは、設定を元に戻して操作可能な状態に戻すことができるように、既存の設定のバックアップを作成する前に、既存の設定のバックアップを取っておいてください。

[設定] > [ゾーン] > [ゾーン] に移動します。

既存の DNS ゾーンがある場合は、ゾーンを選択して編集します。

DNS ゾーンが存在しない場合は、次の手順を実行します。

[設定] > [ゾーン] > [ゾーン] > [デフォルトゾーンアクセス規則] に移動します。
サブジェクト名: sip.webex.com.に対して新しい DNS ゾーンを設定します。

新しい検索ルールを追加して、新しい DNS ルートにコールをルーティングします。

トラフィックを Webex にルーティングするための検索ルールがすでに存在する場合は、新しいルールを作成するのではなく、そのルールを編集します。

コールが検証済みであり、B2B コールが影響を受けないことを確認します。

DNS 解決の問題を回避するには、ここをクリックします。

設定が完了したら、次のセクションに進みます。

Expressway のファイアーウォール設定と許可リストを確認してください。

使用しているコンピューター、モバイルデバイス、およびビデオデバイス上で最高品質の Webex エクスペリエンスを取得できるように、ネットワークコンポーネントのファイアウォールを設定します。

ビデオデバイスで使用されているメディアポートの範囲を確認します。

これらは参照のためだけに提供されています。導入ガイドおよびメーカーの推奨事項を参照してください。

表 1ビデオコラボレーションデバイスで使用されるデフォルトポート
プロトコル	ポート番号	Direction	アクセスタイプ（Access Type）	コメント
TCP	5060-5070	アウトバウンド	SIP シグナリング	Webex media edge は 5060 - 5070 上で待機します。詳細については、使用中の特定のサービスの設定ガイド、『ビデオデバイス対応ミーティングの Cisco Webex Meetings の企業導入ガイド』を参照してください。
TCP	5060、5061、および 5062	インバウンド（Inbound）	SIP シグナリング	Cisco Webex cloud からの着信 SIP シグナリングトラフィック
TCP/UDP	一時ポート 36000-59999	着信および発信（Inbound and Outbound）	メディアポート	Cisco の Expressway を使用している場合は、メディア範囲を 36000-59999 に設定する必要があります。サードパーティ製のビデオデバイスまたは通話制御を使用している場合は、この範囲を使用するように設定する必要があります。

ファイアウォールの設定の詳細については、「マイネットワークで Webex Meetings のトラフィックを許可する方法」を参照してください。