Para hospedar reuniões Webex sem um PIN em um dispositivo local, é necessário que o Cisco Expressway-E ofereça certificados assinados a partir da lista de autoridades de certificação raiz confiáveis (RCA) para conexões de TLS (mTLS) mútuos. Clique aqui para obter uma lista de CA raiz que a Cisco confia. Os certificados assinados por autoridades nessa lista são considerados válidos e a conexão será permitida.

1

Vá até Manutenção > Segurança > Certificado de servidor.

This image 444800.jpg is not available in preview/cisco.com

2

Verifique se o certificado atual do Expressway existe e se é preciso.

This image 445264.jpg is not available in preview/cisco.com

3

Se o certificado estiver instalado, verifique a data de validade do certificado para ver se ele é válido ou não e substitua-o por um certificado válido.

This image 444801.jpg is not available in preview/cisco.com

This image 445262.jpg is not available in preview/cisco.com

4

Verifique qual CA raiz assinou este certificado e assegure-se de que o nome esteja listado no guia de implantação da empresa.

This image 446350.jpg is not available in preview/cisco.com


 
5

Verifique se o certificado tem a SAN (nome alternativo de assunto) apropriada configurada que corresponde às definições da organização.

This image 444802.jpg is not available in preview/cisco.com

6

Usando um dispositivo de vídeo, ligue para a sua sala pessoal. Se você puder se conectar, a conexão será bem-sucedida.

7

Depois de concluir as configurações, vá para a próxima seção.

Se uma das seguintes opções for verdadeira, gere um CSR.

  • Se você não tiver um certificado do servidor Expressway

  • Se o certificado tiver expirado

  • Se a SAN precisar ser atualizada, ou seja, o nome da SAN não corresponderá ao nome do usuário SIP

1

Gere o processo CSR (solicitação de assinatura de certificado).

This image 444803.jpg is not available in preview/cisco.com

2

Certifique-se de que a SAN que você precisa no certificado está listada no campo nome alternativo adicional.

This image 445265.jpg is not available in preview/cisco.com

3

Envie seu CSR para a CA raiz de sua escolha. Escolha uma autoridade de certificação na lista com suporte. Consulte a seção gerar solicitação de assinatura de certificado no Guia de implantação corporativa do Cisco WebEx encontros para reuniões ativadas por dispositivo de vídeo.

4

Obtenha o certificado assinado da CA raiz.

5

Se você usou um sistema externo para gerar o CSR, também deverá fazer o upload do arquivo PEM de chave privada do servidor que foi usado para criptografar o certificado do servidor. (O arquivo de chave privada será gerado automaticamente e armazenado anteriormente se o Expressway tiver sido usado para produzir o CSR para esse certificado do servidor.)

  • O arquivo PEM de chave privada do servidor não deve ser protegido por senha.

  • Não é possível carregar uma chave privada do servidor se uma solicitação de assinatura de certificado estiver em andamento.

6

Clique em Fazer o upload de dados do certificado de servidor.

This image 445269.jpg is not available in preview/cisco.com

7

Depois de concluir as configurações, vá para a próxima seção.

1

Assegure-se de que a autoridade de certificação emissora do certificado do Webex esteja listada sob a lista de certificados da autoridade de certificação confiável. Vá até Manutenção > Segurança > Certificado da CA confiável.


 

Para serviços sem interrupção, instale as autoridades de certificação raiz principal e secundária. A autoridade de certificação raiz do Quovadis é atual e a autoridade de certificação raiz DSTx3 está reservada para uso futuro. Os dois certificados precisam estar presentes.

This image 444805.jpg is not available in preview/cisco.com

2

A lista de certificados da autoridade de certificação confiável contém o certificado do QuoVadis. Para verificar se esse é o certificado mais atual, consulte o Guia de implantação corporativa do Cisco WebEx para reuniões ativadas por dispositivo de vídeo.

This image 444806.jpg is not available in preview/cisco.com

3

Clique no certificado de autoridade de certificação confiável, localize o certificado QuoVadis e clique no botão Exibir decodificado na extrema direita.

This image 445266.jpg is not available in preview/cisco.com

4

Verifique os atributos (SHA256) do certificado.

Chave da autoridade de X509v3

Identificador: keyid: 1A: 84:62: BC: 48:4C: 33: a 25:/O = QuoVadis Limited/CN = QuoVadis 6BDirName:/C = BM/O = f: 46: D1:94: de autoridade de certificação raiz: 05:09

CA raiz do DSTx3

O = confiança de assinatura digital co./CN = DST root AC X3 impressão digital (SHA1) dac9024f54d8f6df94935fb 1732638ca6ad77c13C = BM/O = QuoVadis Limited/CN = QuoVadis root CA 2 Fingerprint (SHA1) ca3afbcf 1240364b44b 216208880483919937cf7

5

Clique em CA confiável.


 

A chave da autoridade está sujeita a alterações quando elas giram as teclas.

6

Se o certificado da CA não estiver presente, consulte a lista configurar a autoridade de certificação confiável no Guia de implantação do Cisco WebEx encontros Enterprise para reuniões ativadas por dispositivos de vídeo.

  • Verifique se você tem uma zona do sistema de nome de domínio (DNS) configurada em seu Expressway.

  • Dois tipos de chamadas que usam DNS são chamadas B2B (existentes) e Webex. Se as chamadas B2B já estiverem configuradas, recomendamos uma zona DNS exclusiva para chamadas Webex que o forçam a usar mTLS.

No Expressway versões X 8.10 e posteriores, use as etapas para modificar e criar uma zona DNS.


Antes de prosseguir com as configurações do Expressway, faça um backup das configurações existentes, de modo que você sempre possa reverter suas configurações e voltar para um estado operacional.

1

Vá até Configuração > Zonas > Zonas

This image 445267.jpg is not available in preview/cisco.com

2

Se você tiver uma zona DNS existente, selecione a zona e edite-a.

This image 444807.jpg is not available in preview/cisco.com

3

Se não houver uma zona DNS, execute as etapas a seguir:

  1. Vá para zonas de zonas de configuração > regras de > > acesso à zona padrão.

  2. Configure uma nova zona DNS para o nome da entidade: sip.webex.com.

  3. Adicione a nova regra de pesquisa para rotear a chamada em uma nova rota DNS.

    This image 444303.jpg is not available in preview/cisco.com


     

    Se você já tiver uma regra de pesquisa para rotear o tráfego para o Webex, edite-o em vez de criar uma nova regra.

4

Certifique-se de que as chamadas sejam validadas e que as chamadas B2B não sejam afetadas.


 

Para evitar problemas de resolução DNS, clique aqui.

5

Depois de concluir as configurações, vá para a próxima seção.

Configure o firewall para seus componentes de rede de modo que você obtenha a experiência Webex de melhor qualidade em seus computadores, dispositivos móveis e dispositivos de vídeo.

  1. Verifique os intervalos de porta de mídia usados por dispositivos de vídeo.


    Essas portas são fornecidas como uma referência. Consulte o guia de implantação e recomendação do fabricante para obter detalhes completos.

    Tabela 1. Portas padrão usadas por dispositivos de colaboração de vídeo

    Protocolo

    Números de porta

    Direção

    Tipo de acesso

    Comentários

    TCP

    5060-5070

    Saída

    Sinalização de SIP

    O perímetro do Media Webex ouve-se no 5060 - 5070. Para obter mais informações, consulte o guia de configuração do serviço específico usado: Guia de implantação corporativa do Cisco WebEx para reuniões ativadas por dispositivo de vídeo.

    TCP

    5060, 5061 e 5062

    Inbound

    Sinalização de SIP

    Tráfego de sinalização SIP de entrada da nuvem Cisco Webex

    TCP/UDP

    Portas efêmeras 36000-59999

    Entrada e saída

    Portas de mídia

    Se você estiver usando um Cisco Expressway, os intervalos de mídia precisam ser definidos como 36000-59999. Se você estiver usando um dispositivo de vídeo ou controle de chamadas de terceiros, ele precisará ser configurado para usar esse intervalo.

Para obter mais informações sobre as configurações de firewall, consulte como permitir o tráfego de reuniões do WebEx na minha rede.