Para organizar Webex Meetings sem um PIN em dispositivos nos locais, o Cisco Expressway-E deve oferecer certificados assinados de uma autoridade de certificação de raiz (RCA) confiável para conexões de TLS mútuo (mTLS). Você pode encontrar a lista de CAs raiz nas quais a Cisco confia este artigo . Somente permitimos conexões que tenham certificados assinados válidos.


 
Se você usar o Expressway-E para o Webex for Government, você deverá ativar o mTLS.

Verificar se um certificado de servidor está instalado

1

Ir para Manutenção > Segurança > Certificado do servidor .

2

Verifique se o certificado atual do Expressway existe e está correto.

3

Se o certificado estiver instalado, verifique a data de validade do certificado para ver se ele é válido ou não e substitua-o por um certificado válido.

4

Verifique qual CA raiz assinou este certificado e certifique-se de que o nome está listado no Guia de implantação corporativa .


 

Para obter mais informações, consulte Quais autoridades de certificação de raiz são compatíveis com chamadas para as plataformas de áudio e vídeo Cisco Webex .

5

Verifique se o certificado tem a SAN correta (Nome alternativo do assunto da entidade) configurada que corresponde às configurações da organização.

6

Usando um dispositivo de vídeo, ligue para sua sala pessoal. Se você conseguir se conectar, a conexão será bem-sucedida.

7

Depois de concluir as configurações, passe para a próxima seção.

Verificar se o certificado do servidor Expressway não existe ou expira

Se alguma das seguintes afirmações for verdadeira, gere um CSR.

  • Se você não tiver um certificado de servidor Expressway

  • Se o certificado tiver expirado

  • Se a SAN precisar ser atualizada, isso significa que o nome da SAN não corresponde ao Nome de usuário SIP

1

Gere o processo CSR (solicitação de assinatura de certificado).

2

Certifique-se de que a SAN necessária no certificado está listada na Nome alternativo adicional campo.

3

Envie seu CSR para a CA raiz de sua escolha. Escolha uma CA da lista suportada. Consulte o Gerar solicitação de autenticação de certificado seção no Guia de implantação empresarial do Cisco Webex Meetings para reuniões habilitadas para dispositivos de vídeo .

4

Obtenha o certificado assinado da CA raiz.

5

Se você usou um sistema externo para gerar o CSR, você também deve carregar o arquivo PEM de chave privada do servidor que foi usado para criptografar o certificado de servidor. (O arquivo de chave privada terá sido gerado e armazenado automaticamente mais cedo se o Expressway tiver sido usado para produzir o CSR para este certificado de servidor.)

  • O chave privada do servidor O arquivo PEM não deve ser protegido por senha.

  • Não é possível carregar uma chave privada de servidor se uma solicitação de assinatura de certificado estiver Em andamento.

6

Clique Carregar dados do certificado de servidor .

7

Depois de concluir as configurações, passe para a próxima seção.

Adicionar o certificado Webex à minha lista de certificados confiáveis

1

Certifique-se de que a autoridade de certificação emissora do certificado do Webex está listada na lista de certificado CA confiáveis. Ir para Manutenção > Segurança > Certificado de CA confiável .


 

Para serviços ininterruptos, instale as CAs de raiz primária e secundária. A Quovadis Root CA é atual e a DSTx3 Root CA está reservada para uso futuro. Esses dois certificados precisam estar presentes.

2

A lista de certificado CA confiáveis contém o certificado QuoVadis. Para verificar se é o certificado mais atual, consulte o Guia de implantação empresarial do Cisco Webex Meetings para reuniões habilitadas para dispositivos de vídeo .

3

Clique no certificado CA confiável, localize o certificado QuoVadis e clique no Visualizar decodificada botão na extrema direita.

4

Verifique os atributos (SHA256) do certificado.

Chave de autoridade X509v3

Identifier:keyid:1A:84:62:BC:48:4C:33:25:04:D4:EE:D0:F6:03:C4:19:46:D1:94:6BDirName:/C=BM/O=QuoVadis Limited/CN=QuoVadis Root CA 2serial:05:09

CA raiz DSTx3

O=Digital Signature Trust Co./CN=DST Root CA X3 Fingerprint (SHA1) dac9024f54d8f6df94935fb1732638ca6ad77c13C=BM/O=QuoVadis Limited/CN=QuoVadis Root CA 2 Fingerprint (SHA1) ca3afbcf1240364b44b216208880483919937cf7

5

Clique CA confiável .


 

A Chave de autoridade está sujeita a alterações à medida que as chaves são rotacionadas.

6

Se o certificado CA não estiver presente, consulte o Configurar a lista de CAs confiáveis no Guia de implantação empresarial do Cisco Webex Meetings para reuniões habilitadas para dispositivos de vídeo .

Verifique se a sua zona DNS está configurada corretamente

  • Verifique se você tem uma zona de sistema de nome de domínio (DNS) configurada no Expressway.

  • Dois tipos de chamadas que usam DNS são chamadas B2B (existentes) e Webex . Se as chamadas B2B já estiverem configurar, recomendamos uma zona DNS exclusiva para chamadas Webex que o forcem a usar mTLS.

No Expressway versões X 8.10 e posteriores, use as etapas para modificar e criar uma zona DNS.


 

Antes de prosseguir com as configurações da via expressa, faça um backup das configurações existentes para poder sempre reverter as configurações e voltar a um estado operacional.

1

Ir para Configuração > Zonas > Zonas

2

Se você tiver uma zona DNS existente, selecione a zona e edite-a.

3

Se uma zona DNS não existir, execute as etapas abaixo:

  1. Ir para Configuração > Zonas > Zonas > Regras de acesso à zona padrão .

  2. Configure uma nova zona DNS para o nome da entidade: sip.webex. com.

  3. Adicione a nova regra de pesquisa para encaminhar a chamada em uma nova rota DNS.


     

    Se você já tiver uma regra de pesquisa para encaminhar o tráfego para o Webex, edite-a em vez de criar uma nova regra.

4

Certifique-se de que as chamadas sejam validadas e as chamadas B2B não sejam afetadas.


 

Para evitar problemas de resolução de DNS, clique em aqui .

5

Depois de concluir as configurações, passe para a próxima seção.

Verificar a configuração do firewall e a lista de permissões para o Expressway

Configure o firewall para os componentes de rede para que você tenha a mais alta qualidade de experiência Webex em seus computadores, dispositivos móveis e dispositivos de vídeo.

  1. Verifique os intervalos de porta de mídia usados pelos dispositivos de vídeo.


     

    Essas portas são fornecidas como referência. Consulte o guia de implantação e a recomendação do fabricante para obter detalhes completos.

    Tabela 1. Portas padrão usadas por dispositivos de colaboração de vídeo

    Protocolo

    Números de portas

    Direção

    Tipo de acesso

    Comentários

    TCP

    5060-5070

    Saída

    Sinalização SIP

    O edge de mídia Webex escuta em 5060 - 5070. Para obter mais informações, consulte o guia de configuração sobre o serviço específico usado: Guia de implantação empresarial do Cisco Webex Meetings para reuniões habilitadas para dispositivos de vídeo .

    TCP

    5060, 5061 e 5062

    Entrada

    Sinalização SIP

    Tráfego de Sinalização de SIP de entrada da nuvem Cisco Webex

    TCP/UDP

    Portas efêmeras 36000-59999

    Entrada e Saída

    Portas de mídia

    Se você estiver usando um Cisco Expressway, os intervalos de mídia precisarão ser definidos como 36000-59999. Se você estiver usando um dispositivo de vídeo ou controle de chamadas de terceiros , eles precisarão ser configurados para usar esse intervalo.

Para obter mais informações sobre as configurações do firewall, consulte Como faço para permitir o tráfego do Webex Meetings na minha rede .