Als u Webex Meetings wilt hosten zonder Pincode op apparaten op locatie , moet uw Cisco Expressway-E ondertekende certificaten aanbieden van een vertrouwde basiscertificeringsinstantie (RCA) voor wederzijdse TLS -verbindingen (mTLS). U vindt de lijst met basis-CA's die door Cisco worden vertrouwd dit artikel . We staan alleen verbindingen toe die geldige ondertekende certificaten hebben.


 
Als u uw Expressway-E voor Webex voor de overheid gebruikt, moet u mTLS inschakelen.
1

Ga naar Onderhoud > Beveiliging > Servercertificaat .

2

Controleer of het huidige Expressway-certificaat bestaat en juist is.

3

Als het certificaat is geïnstalleerd, controleert u de vervaldatum van het certificaat om te zien of het geldig is of niet en vervangt u het door een geldig certificaat.

4

Controleer welke basis-CA dit certificaat heeft ondertekend en zorg ervoor dat de naam wordt vermeld in de Enterprise Implementatiehandleiding.

5

Controleer of voor het certificaat het juiste SAN (Onderwerp alternatieve naam) is geconfigureerd dat overeenkomt met de instellingen van de organisatie.

6

Bel in uw persoonlijke ruimte met een videoapparaat . Als u verbinding kunt maken, is de verbinding tot stand gebracht.

7

Nadat u de configuraties hebt voltooid, gaat u naar het volgende gedeelte.

Als een van de volgende situaties waar is, genereert u een CSR.

  • Als u geen Expressway servercertificaat hebt:

  • Als het certificaat is verlopen

  • Als het SAN moet worden bijgewerkt, komt de SAN-naam niet overeen met de SIP gebruikersnaam

1

Genereer het CSR -proces (Certificate Signing Request).

2

Zorg ervoor dat het SAN dat u in het certificaat nodig hebt, wordt vermeld op de: Aanvullende alternatieve naam veld.

3

Dien uw CSR in bij de basis-CA van uw keuze. Kies een CA in de ondersteunde lijst. Raadpleeg de Ondertekeningsverzoek voor certificaat genereren sectie in de Implementatiehandleiding voor Cisco Webex Meetings Enterprise voor vergaderingen waarvoor videoapparaten zijn ingeschakeld .

4

Het certificaat laten ondertekenen door de basis-CA.

5

Als u een extern systeem hebt gebruikt om de CSR te genereren, moet u ook het PEM-bestand met de persoonlijke serversleutel uploaden dat is gebruikt om het servercertificaat te coderen. (Het bestand met de persoonlijke sleutel is automatisch eerder gegenereerd en opgeslagen als de Expressway is gebruikt om de CSR voor dit servercertificaat te maken.)

  • De persoonlijke sleutel van server Het PEM-bestand mag niet met een wachtwoord zijn beveiligd.

  • U kunt geen persoonlijke serversleutel uploaden als er een certificaatondertekeningsverzoek wordt bezig.

6

Klik op servercertificaat uploaden .

7

Nadat u de configuraties hebt voltooid, gaat u naar het volgende gedeelte.

1

Zorg ervoor dat de uitgevende certificeringsinstantie voor het Webex-certificaat wordt vermeld onder de lijst met vertrouwde CA-certificaat . Ga naar Onderhoud > Beveiliging > Vertrouwd CA-certificaat .


 

Voor ononderbroken services installeert u de primaire en secundaire basis-CA's. De basis-CA van Quovadis is actueel en de basis-CA van DSTx3 is gereserveerd voor toekomstig gebruik. Beide certificaten moeten aanwezig zijn.

2

De lijst met vertrouwde CA-certificaat bevat het QuoVadis-certificaat. Als u wilt controleren of dit het meest recente certificaat is, raadpleegt u de Implementatiehandleiding voor Cisco Webex Meetings Enterprise voor vergaderingen waarvoor videoapparaten zijn ingeschakeld .

3

Klik op het vertrouwde CA-certificaat, zoek het QuoVadis-certificaat en klik op de Gedecodeerd weergeven knop helemaal rechts.

4

Controleer de kenmerken (SHA256) van het certificaat.

X509v3-autorisatiesleutel

Identifier:keyid:1A:84:62:BC:48:4C:33:25:04:D4:EE:D0:F6:03:C4:19:46:D1:94:6BDirName:/C=BM/O=QuoVadis Limited/CN=QuoVadis Root CA 2serial:05:09

DSTx3-hoofd-CA

O=Digital Signature Trust Co./CN=DST Root CA X3 Fingerprint (SHA1) dac9024f54d8f6df94935fb1732638ca6ad77c13C=BM/O=QuoVadis Limited/CN=QuoVadis Root CA 2 Fingerprint (SHA1) ca3afbcf1240364b44b216208880483919937cf7

5

Klik op vertrouwde CA .


 

De autoriteitssleutel kan worden gewijzigd wanneer de sleutels worden gedraaid.

6

Als het CA-certificaat niet aanwezig is, raadpleegt u de De lijst met vertrouwde CA configureren in de Implementatiehandleiding voor Cisco Webex Meetings Enterprise voor vergaderingen waarvoor videoapparaten zijn ingeschakeld .

  • Controleer of er een DNS-zone (Domain Name System) is geconfigureerd op uw Expressway.

  • Twee typen gesprekken die gebruikmaken van DNS zijn B2B-gesprekken (bestaand) en Webex gesprekken. Als de B2B-gesprekken al zijn ingesteld, raden we een unieke DNS -zone aan voor Webex -gesprekken die het gebruik van mTLS forceren.

Gebruik in Expressway-versies X8.10 en hoger de stappen voor het wijzigen en maken van een DNS -zone.


 

Voordat u doorgaat met de snelwegconfiguraties, maakt u een back-up van uw bestaande instellingen, zodat u uw instellingen altijd kunt terugzetten en terug kunt gaan naar een operationele status.

1

Ga naar Configuratie > Zones > Zones

2

Als u een bestaande DNS -zone hebt, selecteert u de zone en bewerkt u deze.

3

Als er geen DNS -zone bestaat, voert u de onderstaande stappen uit:

  1. Ga naar Configuratie > Zones > Zones > Standaard toegangsregels voor zones .

  2. Configureer een nieuwe DNS -zone voor de onderwerpnaam: sip.webex.com.

  3. Voeg de nieuwe zoekregel toe om het gesprek via een nieuwe DNS -route te routeren.


     

    Als u al een zoekregel hebt voor het routeren van het verkeer naar Webex, bewerkt u deze in plaats van een nieuwe regel te maken.

4

Zorg ervoor dat de gesprekken worden gevalideerd en dat dit geen invloed heeft op de B2B-gesprekken.


 

Als u problemen met de DNS resolutie wilt voorkomen, klikt u op hier .

5

Nadat u de configuraties hebt voltooid, gaat u naar het volgende gedeelte.

Configureer de firewall voor uw netwerkonderdelen zodat u de hoogste kwaliteit Webex -ervaring krijgt op uw computers, mobiele apparaten en videoapparaten.

  1. Controleer de mediapoortbereiken die worden gebruikt door videoapparaten.


     

    Deze poorten zijn bedoeld als referentie. Raadpleeg de implementatiehandleiding en de aanbevelingen van de fabrikant voor meer informatie.

    Tabel 1. Standaardpoorten die worden gebruikt door apparaten voor videosamenwerking

    Protocol

    Poortnummer(s)

    Richting

    Toegangstype

    Opmerkingen

    TCP

    5060-5070

    Uitgaand

    SIP-signalering

    De media-edge van Webex luistert op 5060-5070. Raadpleeg de configuratiehandleiding voor de specifieke service die wordt gebruikt voor meer informatie: Implementatiehandleiding voor Cisco Webex Meetings Enterprise voor vergaderingen waarvoor videoapparaten zijn ingeschakeld .

    TCP

    5060, 5061 en 5062

    Inkomend

    SIP-signalering

    Inkomend SIP-signalering vanuit de Cisco Webex cloud

    TCP/UDP

    Tijdelijke poorten 36000-59999

    Inkomend en uitgaand

    Mediapoorten

    Als u gebruikmaakt van een Cisco Expressway, moeten de mediabereiken worden ingesteld op 36000-59999. Als u een videoapparaat of gespreksbeheer, moeten deze worden geconfigureerd om dit bereik te gebruiken.

Zie voor meer informatie over firewallinstellingen: Hoe sta ik Webex Meetings -verkeer toe op mijn netwerk? .