Hvis du vil være vert for Webex Meetings uten PIN-kode på lokale enheter, må Cisco Expressway-E tilby signerte sertifikater fra en klarert rotsertifiseringsinstans (RCA) for Felles TLS-tilkoblinger (mTLS). Du finner listen over rotsertifiseringsinstanser som Cisco stoler på i denne artikkelen. Vi tillater kun tilkoblinger som har gyldige signerte sertifikater.

Hvis du bruker Expressway-E for Webex for Government, må du aktivere mTLS.
Sjekk om et serversertifikat er installert
1

Gå til Vedlikehold > Sikkerhet > Serversertifikat.

2

Kontroller om det gjeldende Expressway-sertifikatet finnes og er nøyaktig.

3

Hvis sertifikatet er installert, må du sjekke utløpsdatoen for sertifikatet for å se om det er gyldig eller ikke, og erstatte det med et gyldig sertifikat.

4

Kontroller hvilken rotsertifiseringsinstans som signerte dette sertifikatet, og kontroller at navnet er oppført i Enterprise Deployment Guide.

Hvis du vil ha mer informasjon, kan du se Hvilke rotsertifiseringsinstanser som støttes for samtaler til Cisco Webex lyd- og videoplattformer.

5

Kontroller at sertifikatet har riktig SAN (Subject Alternative Name) konfigurert som samsvarer med organisasjonsinnstillingene.

6

Ring inn i ditt personlige rom ved hjelp av en videoenhet. Hvis du kan koble til, er tilkoblingen vellykket.

7

Når du har fullført konfigurasjonene, går du til neste del.

Kontroller om Expressway-serversertifikatet ikke finnes eller har utløpt

Hvis noe av det følgende er sant, må du generere en kundeservicerepresentant.

  • Hvis du ikke har et Expressway-serversertifikat

  • Hvis sertifikatet er utløpt

  • Hvis SAN må oppdateres, er det at SAN-navnet ikke samsvarer med SIP-brukernavnet

1

Generer prosessen for sertifikatsigneringsforespørsel (CSR).

2

Kontroller at SAN-nummeret du trenger i sertifikatet er oppført i feltet Ekstra alternativt navn .

3

Send din kundeservicerepresentant til den valgte rotsertifiseringsinstansen. Velg en sertifiseringsinstans fra listen som støttes. Se delen Generer forespørsel om sertifikatsignering i Distribusjonsveiledning for møter med videoenhet aktivert i Cisco Webex Meetings Enterprise.

4

Få sertifikatet signert fra rotsertifiseringsinstansen.

5

Hvis du brukte et eksternt system til å generere CSR, må du også laste opp serverens private nøkkel PEM-fil som ble brukt til å kryptere serversertifikatet. (Den private nøkkelfilen blir automatisk generert og lagret tidligere hvis Expressway ble brukt til å produsere CSR for dette serversertifikatet.)

  • PEM-filen for serverens private nøkkel må ikke være passordbeskyttet.

  • Du kan ikke laste opp en serverprivat nøkkel hvis en sertifikatsigneringsforespørsel pågår.

6

Klikk på Last opp serversertifikatdata.

7

Når du har fullført konfigurasjonene, går du til neste del.

Legg til Webex-sertifikatet i listen over klarerte sertifikater
1

Sørg for at den utstedende sertifiseringsinstansen for Webex-sertifikatet er oppført under listen Trusted CA-sertifikat. Gå til Vedlikehold > Sikkerhet > Klarert CA-sertifikat.

Installer de primære og sekundære rotsertifiseringsinstansene for uavbrutte tjenester. Quovadis Root CA er gjeldende og DSTx3 Root CA er reservert for fremtidig bruk. Begge disse sertifikatene må være til stede.

2

Listen over klarerte CA-sertifikater inneholder QuoVadis-sertifikatet. Hvis du vil kontrollere om det er det nyeste sertifikatet, kan du se Distribusjonsveiledning for møter med videoenhet aktivert i Cisco Webex Meetings Enterprise.

3

Klikk på det klarerte CA-sertifikatet, finn QuoVadis-sertifikatet, og klikk på knappen Vis dekodet helt til høyre.

4

Kontroller sertifikatets attributter (SHA256).

X509v3-myndighetsnøkkel

Identifikator:keyid:1A:84:62:BC:48:4C:33:25:04:D4:EE:D0:F6:03:C4:19:46:D1:94:6BDirName:/C=BM/O=QuoVadis Limited/CN=QuoVadis Root CA 2serie:05:09

DSTx3 rot CA

O=Digital Signature Trust Co./CN=DST Root CA X3 Fingeravtrykk (SHA1) dac9024f54d8f6df94935fb1732638ca6ad77c13C=BM/O=QuoVadis Limited/CN=QuoVadis Root CA 2 Fingeravtrykk (SHA1) ca3afbcf1240364b44b216208880483919937cf7

5

Klikk på klarert sertifiseringsinstans.

Autoritetsnøkkelen kan endres etter hvert som de roterer nøklene.

6

Hvis CA-sertifikatet ikke finnes, kan du se Konfigurere klarert CA-liste i Distribusjonsveiledning for møter med videoenhet aktivert i Cisco Webex Meetings Enterprise.

Sjekk om DNS-sonen er riktig konfigurert

  • Sjekk om du har en DNS-sone (Domain Name System) konfigurert på Expressway.

  • To typer samtaler som bruker DNS er B2B (eksisterende) og Webex-samtaler. Hvis B2B-anropene allerede er konfigurert, anbefaler vi en unik DNS-sone for Webex-anrop som tvinger den til å bruke mTLS.

På Expressway versjon X8.10 og nyere bruker du fremgangsmåten for å endre og opprette og DNS-sone.

Før du går videre med Expressway-konfigurasjonene, må du ta en sikkerhetskopi av de eksisterende innstillingene, slik at du alltid kan tilbakestille innstillingene og gå tilbake til driftstilstand.

1

Gå til Konfigurasjon > Soner > Soner

2

Hvis du har en eksisterende DNS-sone, velger du sonen og redigerer den.

3

Hvis det ikke finnes en DNS-sone, gjør du følgende:

  1. Gå til Konfigurasjon > Soner > Soner > Standard tilgangsregler for sone.

  2. Konfigurer en ny DNS-sone for emnenavn: sip.webex.com.

  3. Legg til den nye søkeregelen for å rute samtalen til en ny DNS-rute.

    Hvis du allerede har en søkeregel for å rute trafikken til Webex, redigerer du den i stedet for å opprette en ny regel.

4

Sørg for at anropene er validert og at B2B-anropene ikke påvirkes.

Klikk her for å unngå problemer med DNS-oppløsning.

5

Når du har fullført konfigurasjonene, går du til neste del.

Kontroller brannmurkonfigurasjonen og tillat oppføring for Expressway

Konfigurer brannmuren for nettverkskomponentene slik at du får Webex-opplevelsen av høyeste kvalitet på datamaskiner, mobile enheter og videoenheter.

  1. Kontroller medieportområdene som brukes av videoenheter.

    Disse portene er gitt som referanse. Se distribusjonsveiledningen og produsentens anbefaling for fullstendig informasjon.

    Tabell 1. Standardporter som brukes av enheter for videosamarbeid

    Protokoll

    Portnummer(er)

    Retning

    Tilgangstype

    Kommentarer

    tcp

    5060-5070

    Utgående

    SIP-signalering

    Webex-mediekanten lytter på 5060 - 5070. Hvis du vil ha mer informasjon, kan du se konfigurasjonsveiledningen for den spesifikke tjenesten som brukes: Distribusjonsveiledning for Cisco Webex Meetings Enterprise for møter med videoenhet aktivert.

    tcp

    5060, 5061 og 5062

    Innkommende

    SIP-signalering

    Innkommende SIP-signaliseringstrafikk fra Cisco Webex-skyen

    tcp / udp

    Flyktige porter 36000–59999

    Innkommende og utgående

    Medieporter

    Hvis du bruker en Cisco Expressway, må medieområdene angis til 36000–59999. Hvis du bruker en videoenhet eller samtalekontroll fra en tredjepart, må de konfigureres til å bruke dette området.

Hvis du vil ha mer informasjon om brannmurinnstillinger, kan du se Hvordan tillater jeg trafikk fra Webex Meetings på nettverket mitt.