相互TLS認証用の Expressway の設定

オンプレミスのデバイスでPINを使用せずにWebex Meetingsを主催者するには、 Cisco Expressway-E は相互TLS (mTLS) 接続に対して、信頼されたルート認証局 (RCA) からの署名済み証明書を提供する必要があります。 Ciscoが信頼しているルート CA のリストは、この記事を選択します。有効な署名済み証明書がある接続のみが許可されます。

政府Webexの Expressway-E を使用する場合、mTLS を有効にする必要があります。

サーバ証明書がインストールされているかどうかの確認

このリンクを選択します:メンテナンス次のページにアクセスしてください:セキュリティ次のページにアクセスしてください:サーバ証明書を選択します。

現在の Expressway 証明書が存在し、正確であるかどうかを確認します。

証明書がインストールされている場合は、証明書の有効期限を確認して、が有効かどうかを確認し、有効な証明書と置き換えます。

この証明書に署名したルート CA を確認し、その名前が『企業導入ガイド』に記載されていることを確認します。

詳細については、次のサイトを参照してください。 Cisco Webex音声とビデオプラットフォームへのコールをサポートするルート証明書機関を選択します。

証明書に組織設定に適合する適切な SAN (サブジェクト代替名) が設定されているかどうかを確認します。

ビデオデバイスを使用して、パーソナル会議室に発信します。接続可能な場合は、接続が成功します。

設定が完了したら、次のセクションに進みます。

サーバ証明書が存在しないか、有効期限が切れているかどうかを確認します

次のいずれかに該当する場合は、 CSRを生成します。

Expressway サーバ証明書が内場合
証明書の期限が切れています。
SAN を更新する必要がある場合、SAN 名は SIPユーザー名と一致しません。

1	CSR （証明書署名要求）を生成します。
2	証明書に必要な SAN がガイドにリストされていることを確認します追加の代行名を入力します。
3	任意の CA にCSRを送信します。サポートされている CA をこのリストから選択します。ブランディングキットの Resource フォルダーの branding.xml ファイルにある証明書署名要求の生成セクションに表示されます。ビデオデバイス対応ミーティング向けのCisco Webex Meetingsエンタープライズ版導入ガイドをしてくださいを選択します。
4	ルート CA から署名された証明書を取得します。
5	外部システムを使用してCSRを生成する場合は、サーバ証明書を暗号化するために使用したサーバ秘密キー PEM ファイルもアップロードする必要があります。（Expressway がこのサーバ証明書用のCSRを生成するために使用された場合、秘密キーファイルがすでに自動的に生成され保存されています。）このサーバのプライベートキーPEM ファイルはパスワードで保護されていてはなりません。証明書署名要求が進行中の場合、サーバー秘密鍵をアップロードできません。
6	クリックサーバー証明書データのアップロードを選択します。
7	設定が完了したら、次のセクションに進みます。

自分の信頼された証明書リストにWebex証明書を追加する

Webex の証明書の発行認証局が、信頼されたCA 証明書リストの下に表示されていることを確認します。このリンクを選択します:メンテナンス次のページにアクセスしてください:セキュリティ次のページにアクセスしてください:信頼できる CA 証明書を選択します。

サービスを中断しないよう、プライマリルート CA とセカンダリルート CA をインストールします。 Quovadis ルート CA は最新であり、DSTx3 ルート ca は将来の使用のために予約されています。両方の証明書が存在している必要があります。

信頼されたCA 証明書リストには、QuoVadis 証明書が含まれています。最新の証明書かどうかを確認するには、ビデオデバイス対応ミーティング向けのCisco Webex Meetingsエンタープライズ版導入ガイドをしてくださいを選択します。

信頼できるCA 証明書をクリックし、QuoVadis 証明書をクリックして、デコードされたファイルを表示を選択します。

証明書の属性 (SHA256) を確認します。

X509v3 Authority キー

Identifier:keyid:1A:84:62:BC:48:4C:33:25:04:D4:EE:D0:F6:03:C4:19:46:D1:94:6BDirName:/C=BM/O=QuoVadis Limited/CN=QuoVadis Root CA 2serial:05:09

DSTx3 ルート CA

O=Digital Signature Trust Co./CN=DST Root CA X3 Fingerprint (SHA1) dac9024f54d8f6df94935fb1732638ca6ad77c13C=BM/O=QuoVadis Limited/CN=QuoVadis Root CA 2 Fingerprint (SHA1) ca3afbcf1240364b44b216208880483919937cf7

クリック信頼される認証局を選択します。

権限キーは、キーをローテーションすると変更されることがあります。

CA 証明書が存在しない場合、以下を参照してください信頼できる CA リストを設定するサイト変換ツールからビデオデバイス対応ミーティング向けのCisco Webex Meetingsエンタープライズ版導入ガイドをしてくださいを選択します。

DNSゾーンが正しく設定されているかどうかを確認します。

ユーザのユーザは、ユーザのユーザが管理しているドメインネームシステム (DNS) ゾーンに設定されているかどうか確認してください。
DNSを使用するコールには、B2B (既存) とWebexコールの 2 つのタイプがあります。 B2B コールがすでにセットアップいる場合、 Webexコールに対して強制的に mTLS を使用するように、一意のDNSゾーンを作成することを推奨します。

表現 Sway バージョン X 8.10 以降では、以下の手順を使用して、変更とDNSゾーンを作成します。

ユーザは、設定を元に戻して操作可能な状態に戻すことができるように、既存の設定のバックアップを作成する前に、既存の設定のバックアップを取っておいてください。

このリンクを選択します:設定次のページにアクセスしてください: [ゾーン]次のページにアクセスしてください: [ゾーン]

既存のDNSゾーンがある場合は、ゾーンを選択して編集します。

DNSゾーンが存在しない場合、次の手順を実行します。

このリンクを選択します:設定次のページにアクセスしてください: [ゾーン]次のページにアクセスしてください: [ゾーン]次のページにアクセスしてください:デフォルトのゾーンアクセスルールを選択します。
サブジェクト名に新しいDNSゾーンを設定: sip.webex.com。

新しい検索ルールを追加して、新しいDNSルートにコールをルーティングします。

トラフィックをWebexにルーティングするための検索ルールがすでに存在する場合、新しいルールを作成するのではなく、そのルールを編集します。

コールが検証済みであり、B2B コールが影響を受けないことを確認します。

DNS解決の問題を回避するには、次をクリックします。リソースページを選択します。

設定が完了したら、次のセクションに進みます。

Expressway のファイアウォールと許可リストを確認する

使用しているコンピューター、モバイルデバイス、およびビデオデバイス上で最高品質のWebexエクスペリエンスを取得できるように、ネットワークコンポーネントのファイアウォールを設定します。

ビデオデバイスで使用されているメディアポートの範囲を確認します。

これらは参照のためだけに提供されています。導入ガイドおよびメーカーの推奨事項を参照してください。

表 1. ビデオコラボレーションデバイスで使用されるデフォルトのポート
プロトコル	ポート番号	説明	アクセスタイプ	件のコメント
TCP	5060-5070	発信	SIP シグナリング	Webex メディアエッジは、5060～5070 でリッスンします。詳しい情報については、使用する特定のサービスについての設定ガイドを参照してください: ビデオデバイス対応ミーティング向けのCisco Webex Meetingsエンタープライズ版導入ガイドをしてくださいを選択します。
TCP	5060、5061、および 5062	受信	SIP シグナリング	Cisco Webex cloud からの着信 SIP シグナリングトラフィック
TCP / UDP	一時的ポート 36000 ～ 59999	受信および発信	メディアポート	Cisco Expressway をご利用の場合、メディア範囲は 36000～59999 に設定する必要があります。サードパーティ製のビデオデバイスまたは通話制御を使用している場合は、この範囲を使用するように設定する必要があります。

ファイアウォール設定についての詳細は、次を参照してください。マイネットワークでWebex Meetingsトラフィックを許可するにはを選択します。