Hvis du vil være vert for Webex Meetings uten PIN-kode på lokale enheter, må Cisco Expressway-E ha signerte sertifikater fra klarerte rotsertifikatinstanser (RCA) for mTLS-tilkoblinger (mutual TLS). Du finner listen over rotsertifiseringsinstanser som Cisco klarerer denne artikkelen . Vi tillater bare tilkoblinger som har gyldige signerte sertifikater.


 
Hvis du bruker Expressway-E for Webex for Government, må du aktivere mTLS.

Kontroller om et serversertifikat er installert

1

Gå til Vedlikehold > Sikkerhet > Serversertifikat .

2

Kontroller om det gjeldende Expressway-sertifikatet finnes og er nøyaktig.

3

Hvis sertifikatet er installert, kontrollerer du utløpsdatoen for sertifikatet for å se om det er gyldig eller ikke, og erstatter det med et gyldig sertifikat.

4

Kontroller hvilken rot-CA som har signert dette sertifikatet, og kontroller at navnet er oppført i Enterprise Distribusjonsveiledning.


 

Hvis du vil ha mer informasjon, se Hvilke rotsertifikatinstanser som støttes for anrop til Cisco Webex lyd- og videoplattformer .

5

Kontroller om sertifikatet har riktig SAN (alternativt emnenavn) konfigurert som samsvarer med organisasjonsinnstillingene.

6

Bruk en videoenhet til å ringe inn til ditt personlig rom. Hvis du kan koble til, er tilkoblingen vellykket.

7

Når du har fullført konfigurasjonene, går du til neste del.

Kontroller om Expressway-serversertifikatet ikke finnes eller er utløpt

Hvis noe av følgende er sant, genererer du en CSR.

  • Hvis du ikke har et Expressway serversertifikat

  • Hvis sertifikatet er utløpt

  • Hvis SAN-et må oppdateres, vil det si at SAN-navnet ikke samsvarer med SIP-brukernavnet

1

Generer CSR-prosessen (Certificate Signing request)-prosessen.

2

Kontroller at SAN-et du trenger i sertifikatet, er oppført på Ekstra alternativt navn felt.

3

Send inn CSR-en til den rot-sertifiseringsinstansen du ønsker. Velg en sertifiseringsinstans fra listen som støttes. Se Generer forespørsel om sertifikatsignering delen i Distribusjonsveiledning for Cisco Webex Meetings Enterprise for videoenhetsaktiverte møter .

4

Få sertifikatet signert fra rot-sertifiseringsinstansen.

5

Hvis du brukte et eksternt system til å generere CSR-en, må du også laste opp PEM-filen for serverens private nøkkel som ble brukt til å kryptere serversertifikat. (Den private nøkkelfilen vil ha blitt automatisk generert og lagret tidligere hvis Expressway ble brukt til å produsere CSR-en for dette serversertifikat.)

  • Den privat nøkkel for serveren PEM-filen kan ikke være passordbeskyttet.

  • Du kan ikke laste opp en privat servernøkkel hvis en forespørsel om sertifikatsignering pågår.

6

Klikk på Last opp serversertifikat .

7

Når du har fullført konfigurasjonene, går du til neste del.

Legg til Webex-sertifikatet i listen over klarerte sertifikater

1

Kontroller at den utstedende sertifikatinstansen for Webex sitt sertifikat er oppført under Klarerte CA-sertifikat . Gå til Vedlikehold > Sikkerhet > Klarert CA-sertifikat .


 

Hvis du vil ha tjenester uten avbrudd, installerer du den primære og den sekundære rotserviseren. Quovadis rot-CA er nåværende, og DSTx3 rot-CA er reservert for fremtidig bruk. Begge disse sertifikatene må være til stede.

2

Listen over klarerte CA-sertifikat inneholder QuoVadis-sertifikatet. Hvis du vil kontrollere om det er det nyeste sertifikatet, kan du se Distribusjonsveiledning for Cisco Webex Meetings Enterprise for videoenhetsaktiverte møter .

3

Klikk på det klarerte CA-sertifikat, finn QuoVadis-sertifikatet, og klikk på Vis dekodet -knappen helt til høyre.

4

Kontroller attributtene (SHA256) til sertifikatet.

Autorisasjonsnøkkel for X509v3

Identifier:keyid:1A:84:62:BC:48:4C:33:25:04:D4:EE:D0:F6:03:C4:19:46:D1:94:6BDirName:/C=BM/O=QuoVadis Limited/CN=QuoVadis Root CA 2serial:05:09

DSTx3 rot-CA

O=Digital Signature Trust Co./CN=DST Root CA X3 Fingerprint (SHA1) dac9024f54d8f6df94935fb1732638ca6ad77c13C=BM/O=QuoVadis Limited/CN=QuoVadis Root CA 2 Fingerprint (SHA1) ca3afbcf1240364b44b216208880483919937cf7

5

Klikk på klarert CA .


 

Autorisasjonsnøkkelen kan endres etter hvert som de roterer tastene.

6

Hvis CA-sertifikat ikke finnes, kan du se Konfigurer listen Klarerte CA i Distribusjonsveiledning for Cisco Webex Meetings Enterprise for videoenhetsaktiverte møter .

Kontroller om DNS-sonen er riktig konfigurert

  • Kontroller om du har konfigurert en DNS-sone (Domain Name System) på Expressway.

  • To typer samtaler som bruker DNS, er B2B (eksisterende) og Webex-samtaler. Hvis B2B-samtalene allerede er konfigurert, anbefaler vi en unik DNS-sone for Webex-anrop som tvinger den til å bruke mTLS.

På Expressway-versjoner X8.10 og nyere bruker du fremgangsmåten for å endre og opprette og DNS-sone.


 

Før du fortsetter med expressway-konfigurasjonene, må du ta en sikkerhetskopi av de eksisterende innstillingene, slik at du alltid kan tilbakestille innstillingene og gå tilbake til driftstilstand.

1

Gå til Konfigurasjon > Soner > Soner

2

Hvis du har en eksisterende DNS-sone, velger du sonen og redigerer den.

3

Hvis en DNS-sone ikke finnes, utfører du trinnene nedenfor:

  1. Gå til Konfigurasjon > Soner > Soner > Standard tilgangsregler for sonen .

  2. Konfigurer en ny DNS-sone for emnenavn: sip.webex.com.

  3. Legg til den nye søkeregelen for å rute anropet på en ny DNS-rute.


     

    Hvis du allerede har en søkeregel for å rute trafikken til Webex, må du redigere den i stedet for å opprette en ny regel.

4

Kontroller at samtalene er validert og at B2B-samtalene ikke påvirkes.


 

Hvis du vil unngå problemer med DNS-oppløsning, klikker du på her .

5

Når du har fullført konfigurasjonene, går du til neste del.

Kontroller brannmurkonfigurasjon og Tillat oppføring for Expressway

Konfigurer brannmuren for nettverkskomponentene dine slik at du får den beste Webex-opplevelsen på datamaskinene, mobile enhetene og videoenhetene dine.

  1. Kontroller medieportområdene som brukes av videoenheter.


     

    Disse portene er gitt som referanse. Se distribusjonsveiledningen og produsentens anbefaling for fullstendig informasjon.

    Tabell 1. Standardporter som brukes av videosamarbeidsenheter

    Protokoll

    Portnumre

    Retning

    Tilgangstype

    Kommentarer

    TCP

    5060-5070

    Utgående

    SIP-signalisering

    Webex-mediet edge lytter på 5060 – 5070. Hvis du vil ha mer informasjon, kan du se konfigurasjonsveiledning for den spesifikke tjenesten som brukes: Distribusjonsveiledning for Cisco Webex Meetings Enterprise for videoenhetsaktiverte møter .

    TCP

    5060, 5061 og 5062

    Innkommende

    SIP-signalisering

    Innkommende SIP-signalisering fra Cisco Webex skyen

    TCP/UDP

    Flyktige porter 36000–59999

    Innkommende og utgående

    Medieporter

    Hvis du bruker en Cisco Expressway, må medieområdene angis til 36000–59999. Hvis du bruker en tredjeparts videoenhet eller samtalekontroll, må de konfigureres til å bruke dette området.

Hvis du vil ha mer informasjon om brannmurinnstillinger, se Hvordan tillater jeg trafikk for Webex Meetings på nettverket mitt .