Pentru a găzdui întâlniri Webex fără un cod PIN pe un dispozitiv de la locație trebuie ca Cisco Expressway-E să ofere certificate semnate din lista Autorităților de certificare rădăcină de încredere (RCA) pentru conexiuni TLS reciproce (mTLS). Faceți clic aici pentru a ajunge la o listă de Autorități de certificare rădăcină în care Cisco are încredere. Certificatele care sunt semnate de autorități din această listă sunt considerate valide și conexiunea va fi permisă.

1

Accesați Mentenanță > Securitate > Certificat de server.

2

Verificați dacă certificatul Expressway curent este există și este corect.

3

Dacă certificatul este instalat, verificați data de expirare a certificatului pentru a vedea dacă acesta este valabil sau nu și înlocuiți-l cu un certificat valid.

4

Verificați care Autoritate de certificare rădăcină a semnat acest certificat și asigurați-vă că numele se regăsește în Ghidul de implementare pentru companii.

5

Verificați dacă certificatul are SAN (nume alternativ subiect) corespunzător configurat, care se potrivește cu setările organizației.

6

Prin intermediul unui dispozitiv video, apelați sala dvs. personală. Dacă vă puteți conecta, atunci conexiunea este reușită.

7

După ce terminați configurările, treceți la secțiunea următoare.

Dacă oricare din următoarele sunt adevărate, generați o solicitare CSR.

  • Dacă nu aveți un certificat de server Expressway

  • Dacă certificatul a expirat

  • Dacă SAN trebuie să fie actualizat, adică numele SAN nu se potrivește cu numele de utilizator SIP

1

Generați procesul de CSR (solicitare de semnare certificat).

2

Asigurați-vă că SAN de care aveți nevoie în certificat se regăsește în câmpul Additional alternate name (Nume alternativ suplimentar).

3

Trimiteți solicitarea CSR la Autoritatea de certificare rădăcină aleasă de dvs. Selectați o Autoritate de certificare din lista acceptată. Consultați secțiunea Generare solicitare de semnare certificat din Ghidul de implementare Cisco Webex Meetings pentru companii pentru întâlnirile cu dispozitive video activate.

4

Obțineți certificatul semnat de la Autoritatea de certificare rădăcină.

5

Dacă ați utilizat un sistem extern pentru a genera CSR, trebuie să încărcați, de asemenea, fișierul PEM cu cheiea privată a serverului, care a fost utilizat pentru a cripta certificatul de server. (Fișierul cu cheie privată va fi generat și stocat automat în prealabil dacă s-a utilizat Expressway pentru a produce CSR pentru acest certificat de server.)

  • Fișierul PEM cu cheia privată a serverului nu trebuie protejat prin parolă.

  • Nu aveți posibilitatea să încărcați o cheie privată a serverului dacă este în desfășurare o solicitare de semnare a certificatului.

6

Faceți clic pe Upload server certificate data (Încărcare date certificat de server).

7

După ce terminați configurările, treceți la secțiunea următoare.

1

Asigurați-vă că autoritatea de certificare emitentă pentru certificatul Webex se regăsește în lista de certificate a Autorităților de certificare de încredere. Accesați Mentenanță > Securitate > Trusted CA Certificate (Certificat CA de încredere).


 

Pentru servicii neîntrerupte, instalați certificatele primar și secundar ale Autorităților de certificare rădăcină. Certificatul autorității de certificare rădăcină Quovadis este curent și certificatul autorității de certificare rădăcină DSTx3 este rezervat pentru utilizare viitoare. Ambele certificate trebuie să fie prezente.

2

Lista de certificate a autorităților de certificare de încredere conține certificatul QuoVadis. Pentru a verifica dacă acesta este cel mai curent certificat, consultați Ghidul de implementare Cisco Webex Meetings pentru companii pentru întâlnirile cu dispozitive video activate.

3

Faceți clic pe certificatul autorității de certificare de încredere, găsiți certificatul QuoVadis și faceți clic pe butonul View decoded (Vizualizare decodată) din extremitatea dreaptă.

4

Verificați atributele (SHA256) ale certificatului.

Cheie de autoritate X509v3

Identificator: id cheie:1A:84:62:BC:48:4C:33:25:04:D4:EE:D0:F6:03:C4:19:46:D1:94:6BNumeDir:/C=BM/O=QuoVadis limitat/CN=Autoritate de certificare rădăcină QuoVadis seria2:05:09

Autoritate de certificare rădăcină DSTx3

O=Semnătură digitlă de încredere Co./CN=DST Amprentă autoritate de certificare rădăcină X3 (SHA1) dac9024f54d8f6df94935fb1732638ca6ad77c13C=BM/O=QuoVadis Limitat/CN=Amprentă autoritate de certificare rădăcină QuoVadis 2 (SHA1) ca3afbcf1240364b44b216208880483919937cf7

5

Faceți clic pe autoritatea de certificare de încredere.


 

Cheia de autoritate este supusă modificării pe măsură ce cheile sunt rotite.

6

Dacă certificatul autorității de certificare nu este prezent, consultați Configurarea listei autorităților de certificare de încredere din Ghidul de implementare Cisco Webex Meetings pentru companii pentru întâlniri cu dispozitive video activate.

  • Verificați dacă aveți o zonă Sistem nume de domeniu (DNS) configurată pe Expressway.

  • Două tipuri de apeluri care utilizează DNS sunt apelurile B2B (existente) și apelurile Webex. Dacă apelurile B2B sunt deja configurate, vă recomandăm o zonă DNS unică pentru apelurile Webex care o forțează să utilizeze mTLS.

Pe versiunile Expressway X8.10 și ulterioare, urmați pașii pentru a modifica și crea și Zona DNS.


Înainte de a continua cu configurările Expressway, efectuați o copie de rezervă a setărilor existente, astfel încât să puteți reveni oricând la setările dvs. și să reveniți la o stare operațională.

1

Accesați Configurare > Zone > Zone

2

Dacă aveți o zonă DNS existentă, selectați zona și editați-o.

3

Dacă nu există o zonă DNS, efectuați pașii de mai jos:

  1. Accesați Configurare > Zone > Zone > Default Zone access rules (Reguli de acces zonă implicită).

  2. Configurați o nouă zonă DNS pentru numele de subiect: sip.webex.com.

  3. Adăugați noua regulă de căutare pentru a dirija apelul pe o nouă rută DNS.


     

    Dacă aveți deja o regulă de căutare pentru dirijarea traficului către Webex, editați-o în loc să creați o regulă nouă.

4

Asigurați-vă că apelurile sunt validate și apelurile B2B nu sunt afectate.


 

Pentru a evita problemele de rezoluție DNS, faceți clic aici.

5

După ce terminați configurările, treceți la secțiunea următoare.

Configurați firewallul pentru componentele de rețea, astfel încât să obțineți o experiență Webex de cea mai bună calitate pe computerele, dispozitivele mobile și dispozitivele dvs. video.

  1. Verificați intervalele porturilor media utilizate de dispozitivele video.


    Aceste porturi sunt furnizate ca referință. Consultați Ghidul de implementare și recomandarea producătorului pentru detalii complete.

    Tabelul 1. Porturi implicite utilizate de dispozitivele de colaborare video

    Protocol

    Număr port:

    Direcţie

    Tip de acces

    Comentarii

    TCP

    5060-5070

    Ieșire

    Semnalizare SIP

    Webex Media Edge se ascultă pe 5060 - 5070. Pentru mai multe informații, consultați Ghidul de configurare al serviciului specific utilizat: Ghidul de implementare Cisco Webex Meetings pentru companii pentru întâlniri cu dispozitive video activate.

    TCP

    5060, 5061 și 5062

    Intrare

    Semnalizare SIP

    Trafic de semnalizare SIP de intrare de la Cisco Webex Cloud

    TCP + UDP

    Porturi efemere 36000-59999

    Intrare și ieșire

    Porturi media

    Dacă utilizați Cisco Expressway, este necesar ca intervalele media să fie setate la 36000-59999. Dacă utilizați un dispozitiv video terț sau un control de apel, acesta trebuie să fie configurat pentru a utiliza acest interval.

Pentru mai multe informații despre setările firewallului, consultați Cum permit traficul pentru întâlniri Webex în rețeaua mea.