Aby obsługiwać Webex Meetings bez kodu PIN na urządzeniach lokalnych, urządzenie Cisco Expressway-E musi oferować podpisane certyfikaty od zaufanych głównych urzędów certyfikacji (RCA) dla połączeń wzajemnego TLS (mTLS). Można znaleźć listę głównych urzędów certyfikacji, którym ufa firma Cisco ten artykuł . Zezwalamy tylko na połączenia, które mają ważne podpisane certyfikaty.


 
Jeśli używasz urządzenia Expressway-E for Webex dla instytucji rządowych, musisz włączyć mTLS.

Sprawdź, czy certyfikat serwera jest zainstalowany

1

Przejdź do Konserwacja > Bezpieczeństwo > Certyfikat serwera .

2

Sprawdź, czy bieżący certyfikat Expressway istnieje i jest prawidłowy.

3

Jeśli certyfikat jest zainstalowany, sprawdź datę wygaśnięcia certyfikatu, aby sprawdzić, czy jest ważny, i zastąp ją ważnym certyfikatem.

4

Sprawdź, który główny urząd certyfikacji podpisał ten certyfikat i upewnij się, że nazwa jest wymieniona w podręczniku Enterprise Deployment Guide.


 

Aby uzyskać więcej informacji, zobacz Jakie główne urzędy certyfikacji są obsługiwane w przypadku połączeń z platformami audio i wideo Cisco Webex .

5

Sprawdź, czy dla certyfikatu skonfigurowano prawidłową nazwę SAN (alternatywną nazwę podmiotu), zgodną z ustawieniami organizacji.

6

Za pomocą urządzenia wideo zadzwoń do swojego pokoju osobistego. Jeśli możesz się połączyć, oznacza to, że połączenie się powiodło.

7

Po zakończeniu konfiguracji przejdź do następnej sekcji.

Sprawdź, czy certyfikat serwera Expressway nie istnieje lub wygasł

Jeśli którekolwiek z poniższych warunków jest prawdziwe, wygeneruj CSR.

  • Jeśli nie masz certyfikatu serwera Expressway

  • Jeśli certyfikat wygasł

  • Jeśli sieć SAN wymaga aktualizacji, oznacza to, że nazwa sieci SAN nie jest zgodna z nazwą użytkownika SIP

1

Wygeneruj proces CSR (żądanie podpisania certyfikatu).

2

Upewnij się, że nazwa sieci SAN, której potrzebujesz w certyfikacie, jest wymieniona na Dodatkowa alternatywna nazwa pole.

3

Prześlij swoje CSR do wybranego głównego urzędu certyfikacji. Wybierz urząd certyfikacji z obsługiwanej listy. Zapoznaj się z Wygeneruj żądanie podpisania certyfikatu sekcja w Cisco Webex Meetings Enterprise Deployment Guide dla spotkań z włączoną obsługą urządzeń wideo .

4

Uzyskaj certyfikat podpisany z głównego urzędu certyfikacji.

5

Jeśli do wygenerowania CSR użyto systemu zewnętrznego, należy również przesłać plik PEM klucza prywatnego serwera, który został użyty do zaszyfrowania certyfikatu serwera. (Plik klucza prywatnego zostanie automatycznie wygenerowany i zapisany wcześniej, jeśli usługa Expressway została użyta do wygenerowania CSR dla tego certyfikatu serwera).

  • The klucz prywatny serwera Plik PEM nie może być chroniony hasłem.

  • Nie można przesłać klucza prywatnego serwera, jeśli trwa żądanie podpisania certyfikatu.

6

Kliknij Prześlij dane certyfikatu serwera .

7

Po zakończeniu konfiguracji przejdź do następnej sekcji.

Dodaj certyfikat Webex do listy zaufanych certyfikatów

1

Upewnij się, że urząd certyfikacji wystawiający certyfikat Webex jest wymieniony na liście certyfikatów zaufanych urzędów certyfikacji. Przejdź do Konserwacja > Bezpieczeństwo > Certyfikat zaufanego urzędu certyfikacji .


 

Aby zapewnić nieprzerwane działanie usług, zainstaluj główny i pomocniczy główny urząd certyfikacji. Główny urząd certyfikacji Quovadis jest aktualny, a główny urząd certyfikacji DSTx3 jest zarezerwowany do użytku w przyszłości. Oba te certyfikaty muszą być obecne.

2

Lista zaufanych certyfikatów urzędu certyfikacji zawiera certyfikat QuoVadis. Aby sprawdzić, czy jest to najnowszy certyfikat, zobacz Cisco Webex Meetings Enterprise Deployment Guide dla spotkań z włączoną obsługą urządzeń wideo .

3

Kliknij certyfikat zaufanego urzędu certyfikacji, znajdź certyfikat QuoVadis i kliknij przycisk Wyświetl dekodowane po prawej stronie.

4

Sprawdź atrybuty (SHA256) certyfikatu.

Klucz uprawnień X509v3

Identifier:keyid:1A:84:62:BC:48:4C:33:25:04:D4:EE:D0:F6:03:C4:19:46:D1:94:6BDirName:/C=BM/O=QuoVadis Limited/CN=QuoVadis Root CA 2serial:05:09

Główny urząd certyfikacji DSTx3

O=Digital Signature Trust Co./CN=DST Root CA X3 Fingerprint (SHA1) dac9024f54d8f6df94935fb1732638ca6ad77c13C=BM/O=QuoVadis Limited/CN=QuoVadis Root CA 2 Fingerprint (SHA1) ca3afbcf1240364b44b216208880483919937cf7

5

Kliknij zaufany urząd certyfikacji .


 

Klucz upoważnienia może ulec zmianie podczas rotacji kluczy.

6

Jeśli certyfikat CA nie jest obecny, zobacz Skonfiguruj listę zaufanych urzędów certyfikacji w Cisco Webex Meetings Enterprise Deployment Guide dla spotkań z włączoną obsługą urządzeń wideo .

Sprawdź, czy strefa DNS jest poprawnie skonfigurowana

  • Sprawdź, czy w usłudze Expressway została skonfigurowana strefa DNS(Domain Name System).

  • Dwa typy połączeń korzystających z DNS to połączenia B2B (istniejące) i połączenia Webex . Jeśli połączenia B2B są już skonfigurowane, zalecamy unikalną strefę DNS dla połączeń Webex , które wymuszają użycie mTLS.

W programie Expressway w wersji X8.10 i nowszych wykonaj poniższe czynności, aby zmodyfikować i utworzyć strefę DNS .


 

Przed kontynuowaniem konfiguracji drogi ekspresowej wykonaj kopię zapasową istniejących ustawień, aby zawsze móc przywrócić ustawienia i powrócić do stanu operacyjnego.

1

Przejdź do Konfiguracja > Strefy > Strefy

2

Jeśli masz istniejącą strefę DNS , wybierz strefę i edytuj ją.

3

Jeśli strefa DNS nie istnieje, wykonaj poniższe czynności:

  1. Przejdź do Konfiguracja > Strefy > Strefy > Reguły dostępu do strefy domyślnej .

  2. Skonfiguruj nową strefę DNS dla nazwy podmiotu: sip.webex.com.

  3. Dodaj nową regułę wyszukiwania, aby przekierować połączenie na nową trasę DNS .


     

    Jeśli masz już regułę wyszukiwania służącą do kierowania ruchu do Webex, edytuj ją zamiast tworzyć nową regułę.

4

Upewnij się, że połączenia zostały zweryfikowane i nie ma to wpływu na połączenia B2B.


 

Aby uniknąć problemów z rozpoznawaniem DNS , kliknij tutaj .

5

Po zakończeniu konfiguracji przejdź do następnej sekcji.

Sprawdź konfigurację zapory i Zezwól na wyświetlanie listy dla usługi Expressway

Skonfiguruj zaporę sieciową dla składników sieci, aby uzyskać najwyższą jakość korzystania z aplikacji Webex na komputerach, urządzeniach przenośnych i urządzeniach wideo.

  1. Sprawdź zakresy portów Media używane przez urządzenia wideo.


     

    Te porty są podawane jako odniesienie. Szczegółowe informacje można znaleźć w podręczniku wdrażania i zaleceniach producenta.

    Tabela 1. Domyślne porty używane przez urządzenia do współpracy wideo

    Protokół

    Numery portów

    Kierunek

    Typ dostępu

    Komentarze

    TCP

    5060–5070

    Wychodzące

    Sygnalizacja SIP

    Webex Media Edge nasłuchuje w portach 5060–5070. Aby uzyskać więcej informacji, zobacz przewodnik konfiguracji dotyczący używanej usługi: Cisco Webex Meetings Enterprise Deployment Guide dla spotkań z włączoną obsługą urządzeń wideo .

    TCP

    5060, 5061 i 5062

    Przychodzące

    Sygnalizacja SIP

    Przychodzący ruch sygnalizacyjny SIP z chmury Cisco Webex

    TCP / UDP

    Porty efemeryczne 36000–59999

    Przychodzące i wychodzące

    Porty sesji multimedialnej

    Jeśli używasz węzła Cisco Expressway, zakresy multimediów muszą być ustawione na 36000–59999. Jeśli używasz urządzenia wideo innej firmy lub funkcji sterowania połączeniami, należy je skonfigurować tak, aby korzystały z tego zakresu.

Aby uzyskać więcej informacji na temat ustawień zapory, zobacz Jak zezwolić na ruch Webex Meetings w mojej sieci? .