Hvis du skal være vert for WebEx-møter uten en PIN-kode på en lokal enhet, krever Cisco Expressway-E for å tilby signerte sertifikater fra listen over klarerte rot sertifiserings instanser (RCA) for tilkoblinger for gjensidig TLS (mTLS). Klikk her for å få en liste over rot sertifiserings instanser som Cisco klarer å stole på. Sertifikater som er signert av myndighetene i denne listen, regnes som gyldige og tilkoblingen vil bli tillatt.

1

Gå til vedlikeholds > sikkerhet > -serversertifikatet .

2

Kontroller om det gjeldende Expressway-sertifikatet finnes og er nøyaktig.

3

Hvis sertifikatet er installert, må du kontrollere utløps datoen for sertifikatet for å se om det er gyldig eller ikke, og erstatte det med et gyldig sertifikat.

4

Kontroller hvilken rot sertifiserings instans som signerte dette sertifikatet, og forsikre deg om at navnet er oppført i distribusjons veiledningen for bedrifter.

5

Kontroller om sertifikatet har riktig SAN (alternativt navn for Subject) som Sams varer med organisasjons innstillingene.

6

Bruk en video enhet, ring inn til ditt personlige rom. Hvis du kan koble til, vil tilkoblingen fungere.

7

Når du har fullført konfigurasjonene, går du til neste del.

Hvis noen av følgende er sanne, genererer du en CSR.

  • Hvis du ikke har et Expressway-serversertifikat

  • Hvis sertifikatet er utløpt

  • Hvis SAN må oppdateres, betyr det at SAN-navnet ikke Sams varer med SIP-brukernavnet

1

Generer behandlings prosessen for CSR (sertifikat signerings forespørsel).

2

Sørg for at SAN som du trenger i sertifikatet, er oppført i feltet ekstra alternative navn .

3

Send din kunde-representant til den rot sertifiserings instansen du ønsker. Velg en sertifiserings instans fra listen som støttes. Se delen generere sertifikat signerings forespørsel i Cisco Webex møter Enterprise Deployment Guide for møter som er aktivert for video enhet .

4

Hente sertifikatet som er signert fra rot sertifiserings instansen.

5

Hvis du brukte et eksternt system til å generere kunde service representanten, må du også laste opp PEM-filen for privat-nøkkelen som ble brukt til å kryptere serversertifikatet. (Privat nøkkel filen blir automatisk generert og lagret tidligere hvis Expressway ble brukt til å produsere kunde-CSR for dette serversertifikatet.)

  • PEM-filen for privat nøkkel for Server må ikke være passordbeskyttet.

  • Du kan ikke laste opp en privat-nøkkel for en server hvis en sertifikat signerings forespørsel pågår.

6

Klikk på Last opp sertifikat data for Server .

7

Når du har fullført konfigurasjonene, går du til neste del.

1

Sørg for at sertifiserings instansen for Webexs sertifikat er oppført under sertifikat listen for klarerte SERTIFISERINGs instanser. Gå til vedlikeholds > sikkerhet > klarert ca-sertifikat .


 

For ikke avbrutte tjenester installerer du den primære og sekundære rot sertifiserings instansen. Quovadis-rot sertifiserings instans er gjeldende, og DSTx3 rot sertifiserings instans er reservert for fremtidig bruk. Begge disse sertifikatene må finnes.

2

Sertifikat listen for klarerte sertifiserings instanser inneholder QuoVadis-sertifikatet. Hvis du vil kontrollere om det er det nyeste sertifikatet, kan du se Cisco Webex-møter bedrifts distribusjons håndbok for møter som er aktivert for video enhet .

3

Klikk på sertifikatet for den klarerte sertifiserings instansen, Finn QuoVadis-sertifikatet, og klikk på knappen Vis dekodet lengst til høyre.

4

Merk av for attributtene (SHA256) for sertifikatet.

Nøkkel for X509v3-instans

Identifikator: keyid: 1A: 84:62: BC: 48:4C: 33:25:04: D4: EE: D0: F6:03: C4:19:46: D1:94:6BDirName:/C = BM/O = QuoVadis begrenset/CN = QuoVadis rot sertifiserings instans 2serial: 05:09

DSTx3 rot sertifiserings instans

O = digital signatur Trust co./CN = sommer tids avtrykks finger (SHA1) dac9024f54d8f6df94935fb 1732638ca6ad77c13C = BM/O = QuoVadis begrenset/CN = QuoVadis rot CA 2 fingerprint (SHA1) ca3afbcf 1240364b44b 216208880483919937cf7

5

Klikk på klarert sertifiserings instans .


 

Sertifiserings nøkkelen er underlagt å endres når de roterer tastene.

6

Hvis CA-sertifikatet ikke finnes, kan du se i Konfigurer listen over klarerte sertifiserings instanser i Cisco Webex-møter Enterprise Deployment Guide for møter som er aktivert av video enheter .

  • Merk av for dette alternativet for å konfigurere en DNS-sone (Domain Name System) som er konfigurert på Expressway.

  • To typer anrop som bruker DNS, er B2B-anrop (eksisterende) og WebEx-anrop. Hvis B2B-anropene allerede er satt opp, anbefaler vi en unik DNS-sone for WebEx-anrop som tvinger den til å bruke mTLS.

På Expressway-versjoner X 8.10 og nyere bruker du trinnene til å endre og opprette og DNS-sone.


Før du går foran med Expressway-konfigurasjonene, må du ta en sikkerhets kopi av de eksisterende innstillingene dine, slik at du alltid kan tilbakestille innstillingene og gå tilbake til en drifts tilstand.

1

Gå til konfigurasjons > soner > soner

2

Hvis du har en eksisterende DNS-sone, velger du sonen og redigerer den.

3

Hvis en DNS-sone ikke finnes, gjør du følgende:

  1. Gå til konfigurasjons > soner > soner > standard regler for sone tilgang .

  2. Konfigurer en ny DNS-sone for subjekt navn: sip.webex.com.

  3. Legg til den nye søke regelen for å rute samtalen på en ny DNS-rute.


     

    Hvis du allerede har en søke regel for ruting av trafikk til WebEx, må du redigere den i stedet for å opprette en ny regel.

4

Sørg for at anropene Valide res, og B2B-anropene blir ikke påvirket.


 

Klikk her for å unngå problemer med DNS-løsing .

5

Når du har fullført konfigurasjonene, går du til neste del.

Konfigurer brann muren for nettverks komponentene slik at du får den høyeste kvaliteten på WebEx opplevelsen på data maskinene, mobil enhetene og video enhetene.

  1. Kontroller medie port områdene som brukes av video enheter.


    Disse portene vises som en referanse. Se distribusjons veiledningen og produsentens anbefaling for fullstendige detaljer.

    Tabell 1. Standard porter som brukes av video samarbeids enheter

    Protokoll

    Port numre

    Retning

    Tilgangs type

    Kommentarer

    TCP

    5060-5070

    Utgående

    SIP-signalisering

    WebEx medie kanten lytter på 5060 - 5070. Hvis du vil ha mer informasjon, kan du se konfigurasjons veiledningen for den bestemte tjenesten som brukes: Cisco Webex-møter bedrifts distribusjons veiledning for møter med aktivert video enhet.

    TCP

    5060, 5061 og 5062

    Inngående

    SIP-signalisering

    Inngående SIP-signaliserer trafikk fra Cisco Webex Cloud

    TCP/UDP

    Flyktige porter 36000-59999

    Inngående og utgående

    Medie porter

    Hvis du bruker en Cisco Expressway, må medie områdene settes til 36000-59999. Hvis du bruker en tredje parts video enhet eller anrops kontroll, må de konfigureres for å bruke dette området.

Hvis du vil ha mer informasjon om brann mur innstillinger, se hvordan tillater jeg WebEx-møte trafikk på nettverket.