Dziękujemy za opinię.
Skonfiguruj Expressway do wzajemnego uwierzytelniania TLS
Opinia?Aby organizować spotkania Webex bez kodu PIN na urządzeniach lokalnych, urządzenie Cisco Expressway-E musi oferować podpisane certyfikaty od zaufanych głównych urzędów certyfikacji (RCA) dla połączeń wzajemnych TLS (mTLS). Listę głównych urzędów certyfikacji, którym Cisco ufa, można znaleźć w tym artykule. Zezwalamy tylko na połączenia, które mają ważne podpisane certyfikaty.
| 1 |
Przejdź do .
 |
| 2 |
Sprawdź, czy aktualny certyfikat Expressway istnieje i jest prawidłowy.
 |
| 3 |
Jeśli certyfikat jest zainstalowany, sprawdź datę ważności certyfikatu, aby sprawdzić, czy jest ważny, czy nie i zastąp go ważnym certyfikatem.
 |
| 4 |
Sprawdź, który główny urząd certyfikacji podpisał ten certyfikat i upewnij się, że nazwa jest wymieniona w Przewodniku wdrażania w przedsiębiorstwie.  Aby uzyskać więcej informacji, zobacz Jakie główne urzędy certyfikacji są obsługiwane w przypadku połączeń z platformami audio i wideo Cisco Webex. |
| 5 |
Sprawdź, czy certyfikat ma skonfigurowaną prawidłową SAN (alternatywną nazwę podmiotu), która jest zgodna z ustawieniami organizacji.
 |
| 6 |
Za pomocą urządzenia wideo zadzwoń do swojego pokoju osobistego. Jeśli możesz się połączyć, oznacza to, że połączenie się powiodło. |
| 7 |
Po zakończeniu konfiguracji przejdź do następnej sekcji. |
Jeśli którekolwiek z poniższych jest prawdziwe, wygeneruj CSR.
-
Jeśli nie masz certyfikatu serwera Expressway
-
Jeśli certyfikat wygasł
-
Jeśli sieć SAN wymaga aktualizacji, to znaczy, że nazwa SAN nie jest zgodna z nazwą użytkownika SIP
| 1 |
Wygeneruj proces CSR (żądanie podpisania certyfikatu).
 |
| 2 |
Upewnij się, że sieć SAN, której potrzebujesz w certyfikacie, jest wymieniona w polu Dodatkowa alternatywna nazwa.
 |
| 3 |
Prześlij swój CSR do wybranego przez siebie głównego urzędu certyfikacji. Wybierz urząd certyfikacji z obsługiwanej listy. Zapoznaj się z sekcją Generowanie żądania podpisania certyfikatu w Podręczniku wdrażania Cisco Webex Meetings Enterprise dla spotkań z użyciem urządzeń wideo. |
| 4 |
Uzyskaj certyfikat podpisany z głównego urzędu certyfikacji. |
| 5 |
Jeśli do wygenerowania CSR użyto systemu zewnętrznego, należy również przesłać plik PEM klucza prywatnego serwera, który został użyty do zaszyfrowania certyfikatu serwera. (Plik klucza prywatnego zostanie automatycznie wygenerowany i zapisany wcześniej, jeśli do wygenerowania CSR dla tego certyfikatu serwera użyto Expressway).
|
| 6 |
Kliknij opcję Prześlij dane certyfikatu serwera.
 |
| 7 |
Po zakończeniu konfiguracji przejdź do następnej sekcji. |
| 1 |
Upewnij się, że urząd wydający certyfikat firmy Webex jest wymieniony na liście certyfikatów Trusted CA. Przejdź do . Aby zapewnić nieprzerwane działanie usług, zainstaluj główny i pomocniczy główny urząd certyfikacji. Główny urząd certyfikacji Quovadis jest aktualny, a główny urząd certyfikacji DSTx3 jest zarezerwowany do wykorzystania w przyszłości. Oba te certyfikaty muszą być obecne.  |
| 2 |
Lista zaufanych certyfikatów CA zawiera certyfikat QuoVadis. Aby sprawdzić, czy jest to najbardziej aktualny certyfikat, zapoznaj się z Podręcznikiem wdrażania Cisco Webex Meetings Enterprise dla spotkań obsługujących urządzenia wideo.
 |
| 3 |
Kliknij certyfikat zaufanego urzędu certyfikacji, znajdź certyfikat QuoVadis i kliknij przycisk Wyświetl dekodowane po prawej stronie. |
| 4 |
Sprawdź atrybuty (SHA256) certyfikatu. Klucz uprawnień X509v3 Główny urząd certyfikacji DSTx3 |
| 5 |
Kliknij zaufany urząd certyfikacji. Klucz autoryzacji może ulec zmianie podczas rotacji kluczy. |
| 6 |
Jeśli certyfikat CA nie jest obecny, zapoznaj się z sekcją Konfigurowanie listy zaufanych urzędów certyfikacji w Przewodniku wdrażania Cisco Webex Meetings Enterprise for Video Devices Enabled Meetings. |
-
Sprawdź, czy masz skonfigurowaną strefę systemu nazw domen (DNS) na swojej drodze ekspresowej.
-
Dwa rodzaje połączeń korzystających z DNS to połączenia B2B (istniejące) i połączenia Webex. Jeśli połączenia B2B są już skonfigurowane, zalecamy unikalną strefę DNS dla połączeń Webex, które wymuszają użycie mTLS.
W wersji Expressway X8.10 i nowszych wykonaj kroki, aby zmodyfikować i utworzyć strefę DNS.
Zanim zaczniesz konfigurować drogi ekspresowe, wykonaj kopię zapasową istniejących ustawień, aby zawsze móc przywrócić ustawienia i wrócić do stanu operacyjnego.
| 1 |
Przejdź do
 |
| 2 |
Jeśli masz istniejącą strefę DNS, wybierz strefę i edytuj ją.
 |
| 3 |
Jeśli strefa DNS nie istnieje, wykonaj poniższe czynności:
|
| 4 |
Upewnij się, że połączenia są zweryfikowane i nie ma to wpływu na połączenia B2B. Aby uniknąć problemów z rozpoznawaniem DNS, kliknij tutaj. |
| 5 |
Po zakończeniu konfiguracji przejdź do następnej sekcji. |
Skonfiguruj zaporę sieciową dla składników sieci, aby uzyskać najwyższą jakość korzystania z Webex na komputerach, urządzeniach mobilnych i urządzeniach wideo.
-
Sprawdź zakresy portów Media używane przez urządzenia wideo.
Te porty są dostarczane jako odniesienie. Aby uzyskać szczegółowe informacje, zapoznaj się z przewodnikiem wdrażania i zaleceniami producenta.
Tabela 1. Domyślne porty używane przez urządzenia do współpracy wideo Protokół
Numery portów
Kierunek
Typ dostępu
Komentarze
TCP
5060-5070
Wychodzące
Sygnalizacja SIP
Webex Media Edge nasłuchuje w portach 5060–5070. Aby uzyskać więcej informacji, zapoznaj się z przewodnikiem konfiguracji dotyczącym używanej usługi: Przewodnik Cisco Webex Meetings Enterprise Deployment dla spotkań z obsługą urządzeń wideo.
TCP
5060, 5061 i 5062
Przychodzące
Sygnalizacja SIP
Przychodzący ruch sygnalizacyjny SIP z chmury Cisco Webex
TCP / UDP
Porty efemeryczne 36000-59999
Przychodzące i wychodzące
Porty sesji multimedialnej
Jeśli używasz węzła Cisco Expressway, zakresy multimediów muszą być ustawione na 36000–59999. Jeśli używasz urządzenia wideo innej firmy lub funkcji sterowania połączeniami, muszą one być skonfigurowane do korzystania z tego zakresu.
Aby uzyskać więcej informacji na temat ustawień zapory, zobacz Jak zezwolić na ruch spotkań Webex w mojej sieci.
