온-프레미스 장치에서 PIN 없이 Webex 미팅을 호스팅하려면 Cisco Expressway-E를 사용하여 상호 TLS(mTLS) 연결을 위한 신뢰할 수 있는 RCA(루트 인증 기관) 목록에서 서명된 인증서를 제공해야 합니다. Cisco에서 신뢰하는 루트 CA 목록을 보려면 여기를 클릭하십시오. 이 목록의 인증 기관에 의해 서명된 인증서는 유효한 것으로 간주되고 연결이 허용됩니다.

서버 인증서가 설치되어 있는지 확인

1

유지 관리 > 보안 > 서버 인증서로 이동합니다.

2

최신 Expressway 인증서가 있는지, 그리고 정확한 지 확인합니다.
3

인증서가 설치된 경우 인증서의 만료 날짜를 확인하여 유효한 지 여부를 확인하고 유효한 인증서로 대체합니다.

4

이 인증서에 서명한 루트 CA를 확인하고 해당 이름이 엔터프라이즈 배포 설명서에 나열되는지 확인합니다.


 

자세한 내용은 Cisco Webex Audio 및 Video 플랫폼에 대한 통화에 지원되는 루트 인증 기관을 참조하십시오.

5

인증서에 조직 설정과 일치하는 적절한 SAN(주체 대체 이름)이 구성되어 있는지 확인합니다.
6

비디오 장치를 사용하여 개인 룸에 전화를 겁니다. 연결할 수 있으면 연결이 성공적으로 수행된 것입니다.

7

구성이 완료되면 다음 섹션으로 이동합니다.

Expressway 서버 인증서가 존재하지 않거나 만료되었는지 확인

다음 중 하나라도 참이면 CSR을 생성합니다.

  • Expressway 서버 인증서가 없는 경우

  • 인증서가 만료된 경우

  • SAN을 업데이트해야 하는 경우 해당 SAN 이름이 SIP 사용자 이름과 일치하지 않음

1

CSR(Certificate Signing Request) 프로세스를 생성합니다.
2

인증서에 필요한 SAN이 추가 대체 이름 필드에 나열되어 있는지 확인합니다.

3

선택한 루트 CA에 CSR을 제출합니다. 지원되는 목록에서 CA를 선택합니다. 영상 장치 사용 미팅을 위한 Cisco Webex Meetings 엔터프라이즈 배포 설명서에서 인증서 서명 요청 생성 섹션을 참조하십시오.

4

루트 CA에서 서명된 인증서를 가져옵니다.

5

외부 시스템을 사용하여 CSR을 생성한 경우에는 서버 인증서를 암호화하는 데 사용된 서버 개인 키 PEM 파일도 업로드해야 합니다. (이 서버 인증서에 대한 CSR을 생성하는 데 Expressway가 사용된 경우 개인 키 파일이 자동으로 생성되 고 저장됩니다.)

  • 서버 개인 키 PEM 파일은 암호로 보호되지 않아야 합니다.

  • 인증서 서명 요청이 진행 중인 경우 서버 개인 키를 업로드할 수 없습니다.

6

서버 인증서 데이터 업로드를 클릭합니다.

7

구성이 완료되면 다음 섹션으로 이동합니다.

내 신뢰할 수 있는 인증서 목록에 Webex 인증서 추가

1

Webex의 인증서에 대한 발급 인증 기관이 신뢰할 수 있는 CA 인증서 목록에 나열되어 있는지 확인합니다. 유지 관리 > 보안 > 신뢰할 수 있는 CA 인증서로 이동합니다.


 

중단되지 않은 서비스의 경우 기본 및 보조 루트 CA를 설치합니다. Quovadis 루트 CA는 최신이며 DSTx3 루트 CA는 나중에 사용하기 위해 예약되어 있습니다. 이러한 두 인증서가 모두 있어야 합니다.

2

신뢰할 수 있는 CA 인증서 목록에는 QuoVadis 인증서가 포함되어 있습니다. 최신 인증서인지 확인하려면 영상 장치 사용 미팅을 위한 Cisco Webex Meetings 엔터프라이즈 배포 설명서를 참조하십시오.

3

신뢰할 수 있는 CA 인증서를 클릭하고 QuoVadis 인증서를 찾은 다음 맨 오른쪽에 있는 디코딩된 보기 단추를 클릭합니다.

4

인증서의 특성(SHA256)을 확인합니다.

X509v3 인증 기관 키

Identifier:keyid:1A:84:62:BC:48:4C:33:25:04:D4:EE:D0:F6:03:C4:19:46:D1:94:6BDirName:/C=BM/O=QuoVadis Limited/CN=QuoVadis Root CA 2serial:05:09

DSTx3 루트 CA

O=Digital Signature Trust Co./CN=DST Root CA X3 Fingerprint (SHA1) dac9024f54d8f6df94935fb1732638ca6ad77c13C=BM/O=QuoVadis Limited/CN=QuoVadis Root CA 2 Fingerprint (SHA1) ca3afbcf1240364b44b216208880483919937cf7
5

신뢰할 수 있는 CA를 클릭합니다.


 

키를 회전할 때 인증 기관 키가 변경될 수 있습니다.
6

CA 인증서가 없는 경우 영상 장치 사용 미팅을 위한 Cisco Webex Meetings 엔터프라이즈 배포 설명서에서 신뢰할 수 있는 CA 목록 구성을 참조하십시오.

DNS 영역이 올바르게 구성되었는지 확인

  • Expressway에 DNS(Domain Name System) 영역이 구성되어 있는지 확인합니다.

  • DNS를 사용하는 두 가지 유형의 통화는 B2B(기존) 및 Webex 통화입니다. B2B 통화가 이미 설정된 경우, mTLS를 사용하도록 강제하는 Webex 통화에는 고유한 DNS 영역을 사용하는 것이 좋습니다.

Expressway 버전 X 8.10 이상에서 DNS 영역을 수정하고 생성하는 단계를 사용합니다.


Expressway 구성으로 이동하기 전에 기존 설정을 백업하여 항상 설정을 되돌리고 작동 상태로 돌아갈 수 있습니다.

1

구성 > 영역 > 영역으로 이동합니다.
2

기존 DNS 영역이 있는 경우 해당 영역을 선택하고 편집합니다.

3

DNS 영역이 없는 경우 다음 단계를 수행하십시오.

  1. 구성 > 영역 > 영역 > 기본 영역 액세스 규칙으로 이동합니다.

  2. 주체 이름에 대한 새 DNS 영역(sip.webex.com)을 구성합니다.

  3. 새 DNS 경로에서 통화를 라우팅하기 위해 새 검색 규칙을 추가합니다.


     

    해당 트래픽을 Webex로 라우팅하기 위한 검색 규칙이 이미 있는 경우 새 규칙을 작성하는 대신 편집합니다.
4

통화의 유효성을 확인하고 B2B 통화가 영향을 받지 않았는지 확인합니다.


 

DNS 확인 문제가 발생하지 않도록 하려면 여기를 클릭합니다.

5

구성이 완료되면 다음 섹션으로 이동합니다.

Expressway용 방화벽 구성 및 허용 목록 확인

네트워크 구성 요소에 대한 방화벽을 구성하여 컴퓨터, 모바일 장치 및 비디오 장치에서 최고 품질의 Webex 경험을 얻을 수 있도록 합니다.

  1. 비디오 장치에서 사용하는 미디어 포트 범위를 확인합니다.


    이러한 포트는 참조로 제공됩니다. 전체 세부 정보에 대해서는 배포 설명서 및 제조업체 권장 사항을 참조하십시오.
    표 1. 비디오 협업 장치에서 사용하는 기본 포트

    프로토콜

    포트 번호

    방향

    Access Type(액세스 유형)

    의견

    TCP

    5060-5070

    아웃바운드

    SIP 시그널링

    Webex 미디어 에지는 5060 - 5070에서 수신 대기합니다. 자세한 내용은 사용된 특정 서비스에 대한 구성 설명서를 참조하십시오. 비디오 장치 사용 미팅을 위한 Cisco Webex Meetings 엔터프라이즈 배포 설명서

    TCP

    5060, 5061 및 5062

    Inbound

    SIP 시그널링

    Cisco Webex 클라우드의 인바운드 SIP 신호 처리 트래픽

    TCP/UDP

    임시 포트 36000-59999

    인바운드 및 아웃바운드

    미디어 포트

    Cisco Expressway를 사용하는 경우에는 미디어 범위를 36000-59999로 설정해야 합니다. 타사 비디오 장치 또는 통화 제어를 사용 중인 경우 이 범위를 사용하도록 구성해야 합니다.

방화벽 설정에 대한 자세한 내용은 내 네트워크에서 Webex Meetings 트래픽을 허용하는 방법을 참조하십시오.