Pentru a găzdui Webex Meetings fără un PIN pe dispozitivele în rețeaua corporatistă , Cisco Expressway-E trebuie să ofere certificate semnate de la o autoritate de certificare rădăcină (RCA) de încredere pentru conexiuni Mutual TLS (mTLS). Puteți găsi lista CA-urilor rădăcină în care Cisco are încredere acest articol . Permitem numai conexiuni care au certificate valide semnate.


 
Dacă utilizați Expressway-E pentru Webex for Government, trebuie să activați mTLS.

Verificați dacă este instalat un certificat de server

1

Accesați Întreținere > Securitate > Certificat server .

2

Verificați dacă certificatul Expressway actual există și dacă este corect.

3

Dacă certificatul este instalat, verificați data de expirare a certificatului pentru a vedea dacă este valabil sau nu și înlocuiți-o cu un certificat valabil.

4

Verificați ce CA rădăcină a semnat acest certificat și asigurați-vă că numele este listat în Ghid de implementare pentru companii.


 

Pentru mai multe informații, consultați Ce autorități de certificare rădăcină sunt acceptate pentru apelurile către platformele audio și video Cisco Webex .

5

Verificați dacă certificatul are configurat SAN-ul (Subject Alternative Name) adecvat, care corespunde setărilor organizației.

6

Utilizând un dispozitiv video, apelați în cameră personală. Dacă reușiți să vă conectați, atunci conexiunea a reușit.

7

După ce ați finalizat configurațiile, treceți la secțiunea următoare.

Verificați dacă certificatul de server Expressway nu există sau a expirat

Dacă oricare dintre următoarele este adevărată, atunci generați un CSR.

  • Dacă nu aveți un certificat de server Expressway

  • Dacă certificatul a expirat

  • Dacă SAN trebuie actualizat, atunci numele SAN nu corespunde numelui de utilizator SIP

1

Generați procesul CSR (cerere de semnare certificat).

2

Asigurați-vă că SAN-ul de care aveți nevoie în certificat este afișat în Nume alternativ suplimentar câmp.

3

Trimiteți CSR -ul la CA rădăcină la alegere. Alegeți un CA din lista acceptată. Consultați Generare cerere de semnare certificat secțiunea din Cisco Webex Meetings Enterprise Ghid de implementare pentru întâlniri cu dispozitive video .

4

Obțineți certificatul semnat de la CA rădăcină.

5

Dacă ați utilizat un sistem extern pentru a genera CSR, trebuie să încărcați și fișierul PEM cu cheia privată a serverului care a fost utilizat pentru a cripta certificat de server. (Fișierul cu cheie privată va fi fost generat și stocat automat mai devreme dacă Expressway a fost utilizat pentru a produce CSR pentru acest certificat de server.)

  • Elementul cheia privată a serverului Fișierul PEM nu trebuie să fie protejat prin parolă.

  • Nu puteți încărca o cheie privată a serverului dacă este în curs o solicitare de semnare a certificatului.

6

Faceți clic Încărcați datele certificat de server .

7

După ce ați finalizat configurațiile, treceți la secțiunea următoare.

Adăugați certificatul Webex în lista mea de certificate de încredere

1

Asigurați-vă că autoritatea de certificare care emite certificatul Webex este listată în lista de Certificat CA Accesați Întreținere > Securitate > Certificat CA de încredere .


 

Pentru servicii neîntrerupte, instalați CA-ul rădăcină principal și secundar. Quovadis Root CA este curent, iar DSTx3 Root CA este rezervat pentru utilizare ulterioară. Aceste două certificate trebuie să fie prezente.

2

Lista de Certificat CA încredere conține certificatul QuoVadis. Pentru a verifica dacă este cel mai recent certificat, consultați Cisco Webex Meetings Enterprise Ghid de implementare pentru întâlniri cu dispozitive video .

3

Faceți clic pe Certificat CA de încredere , găsiți certificatul QuoVadis și faceți clic pe Vizualizare decodificată butonul din extrema dreapta.

4

Verificați atributele (SHA256) ale certificatului.

Cheie de autorizare X509v3

Identifier:keyid:1A:84:62:BC:48:4C:33:25:04:D4:EE:D0:F6:03:C4:19:46:D1:94:6BDirName:/C=BM/O=QuoVadis Limited/CN=QuoVadis Root CA 2serial:05:09

CA rădăcină DSTx3

O=Digital Signature Trust Co./CN=DST Root CA X3 Fingerprint (SHA1) dac9024f54d8f6df94935fb1732638ca6ad77c13C=BM/O=QuoVadis Limited/CN=QuoVadis Root CA 2 Fingerprint (SHA1) ca3afbcf1240364b44b216208880483919937cf7

5

Faceți clic CA de încredere .


 

Cheia de autorizare poate fi schimbată pe măsură ce acestea rotesc tastele.

6

Dacă Certificat CA nu este prezent, consultați Configurați lista CA de încredere în Cisco Webex Meetings Enterprise Ghid de implementare pentru întâlniri cu dispozitive video .

Verificați dacă zona DNS este configurată corect

  • Verificați dacă aveți o zonă DNS(Domain Name System) configurată pe Expressway.

  • Două tipuri de apeluri care utilizează DNS sunt apelurile B2B (existente) și apelurile Webex . Dacă apelurile B2B sunt deja configurate, vă recomandăm o zonă DNS unică pentru apelurile Webex care îl obligă să utilizeze mTLS.

Pe versiunile Expressway X8.10 și versiunile ulterioare, utilizați pașii pentru a modifica și crea o zonă DNS .


 

Înainte de a continua cu configurațiile Expressway, faceți o copie de rezervă a setărilor existente, astfel încât să puteți reveni oricând la setările și să reveniți la starea operațională.

1

Accesați Configurare > Zonele > Zonele

2

Dacă aveți o zonă DNS existentă, selectați zona și editați-o.

3

Dacă nu există o zonă DNS , efectuați pașii de mai jos:

  1. Accesați Configurare > Zonele > Zonele > Reguli implicite de acces la zonă .

  2. Configurați o nouă zonă DNS pentru numele subiectului: sip.webex.com.

  3. Adăugați noua regulă de căutare pentru a ruta apelul pe o nouă rută DNS .


     

    Dacă aveți deja o regulă de căutare pentru dirijarea traficului către Webex, editați-o în loc să creați o regulă nouă.

4

Asigurați-vă că apelurile sunt validate și apelurile B2B nu sunt afectate.


 

Pentru a evita problemele de rezoluție DNS , faceți clic aici .

5

După ce ați finalizat configurațiile, treceți la secțiunea următoare.

Verificați configurația paravanului de protecție și listarea permisiunilor pentru Expressway

Configurați firewall-ul pentru componentele rețelei dvs., astfel încât să beneficiați de cea mai bună calitate Webex pe computerele, dispozitivele mobile și dispozitivele video.

  1. Verificați intervalele de porturi media utilizate de dispozitivele video.


     

    Aceste porturi sunt furnizate ca referință. Consultați ghidul de implementare și recomandarea producătorului pentru detalii complete.

    Tabelul 1. Porturi implicite utilizate de dispozitivele de colaborare video

    Protocol

    Numărul (numerele) de port

    Direcție

    Tip de acces

    Comentarii

    TCP

    5060-5070

    De ieșire

    Semnalizare SIP

    Marginea media Webex ascultă pe 5060 - 5070. Pentru mai multe informații, consultați ghid configurare privind serviciul specific utilizat: Cisco Webex Meetings Enterprise Ghid de implementare pentru întâlniri cu dispozitive video .

    TCP

    5060, 5061 și 5062

    De intrare

    Semnalizare SIP

    Trafic de Semnalizare SIP de intrare din Cisco Webex

    TCP/UDP

    Porturi efemere 36000 - 59999

    De intrare și de ieșire

    Porturi media

    Dacă utilizați Cisco Expressway, intervalele media trebuie să fie setate la 36000 - 59999. Dacă utilizați un dispozitiv video terț sau un control apel, acestea trebuie să fie configurate pentru a utiliza acest interval.

Pentru mai multe informații despre setările paravanului de protecție, consultați Cum permit traficul Webex Meetings în rețeaua mea .