Для Webex Meetings без ПИН на локальном устройстве ваш Cisco Expressway-E должен предложить подписанные сертификаты из доверенного корневого сертификата (RCA) для соединений Mutual TLS (mTLS). В этой статье можно найти список корневых ЦС, которые доверяет Cisco. Мы допускаем только соединения с действительными подписанными сертификатами.

При использовании своего Expressway-E для Webex для правительства необходимо включить mTLS.
Проверьте, установлен ли сертификат сервера
1

Перейдите в службу технического обслуживания > сертификат > сервера.

2

Проверьте, существует ли текущий Expressway сертификат и является ли он точным.

3

Если сертификат установлен, проверьте дату истечения срока действия сертификата, чтобы проверить его действительность или нет, и заменит его действительным сертификатом.

4

Проверьте, какой корневой ЦС подписан этот сертификат, и убедитесь, что имя указано в руководстве по развертыванию предприятия.

Чтобы получить более подробную информацию, см. В каких корневых сертификатах поддерживается поддержка вызовов на Cisco Webex платформ аудио и видео.

5

Проверьте, имеет ли сертификат соответствующие настройки SAN (альтернативное имя субъекта), которые совпадают с настройками организации.

6

С помощью видео устройства позвоните на персональная комната. Если вы можете подключиться, соединение будет успешным.

7

По завершению настройки переходить к следующему разделу.

Проверьте, не Expressway сертификат сервера Expressway сервера, или срок его действия истек.

Если что-либо из этого верно, сгенерировать CSR.

  • Если у вас нет сертификата Expressway сервера

  • Если срок действия сертификата истек

  • Если необходимо обновить SAN, т. е. имя SAN не соответствует SIP-имя пользователя

1

Создать процесс CSR (запрос на подпись сертификата).

2

Убедитесь в том, что необходимое в сертификате SAN указано в поле Дополнительное альтернативное имя .

3

Отправьте CSR в центр корневого ЦС по вашему выбору. Выберите ca из списка поддерживаемых. Для совещаний с поддержкой видео устройств обратитесь к разделу Создать запрос на подпись сертификата Cisco Webex Meetings корпоративном руководстве по развертыванию.

4

Получите сертификат, подписанный корневым ЦС.

5

Если для создания CSR использовалась внешняя система, необходимо также загрузить файл PEM с закрытым ключом сервера, который использовался для шифрования сертификата сервера. (Файл закрытого ключа будет автоматически создан и сохранен ранее, если Expressway были использованы для создания CSR для этого сертификата сервера.)

  • Файл PEM с закрытым ключом сервера не должен быть защищен паролем.

  • Вы не можете загрузить закрытый ключ сервера, если идет запрос на подпись сертификата.

6

Щелкните Загрузить данные сертификата сервера.

7

По завершению настройки переходить к следующему разделу.

Добавить сертификат Webex в список доверенных сертификатов
1

Убедитесь в том, что в списке сертификатов доверенного ЦС имеется список органов сертификации, который выдает сертификаты Webex. Перейдите к > Служба > сертификата доверенного ЦС.

Для бесперебойного обслуживания установите основное и дополнительное корневые ЦС. Quovadis Root CA является текущим, корневой ЦС DSTx3 зарезервирован для дальнейшего использования. Должен присутствовать оба этих сертификата.

2

Список сертификатов доверенного ЦС содержит сертификат QuoVadis. Чтобы проверить, является ли этот сертификат самым текущим, Cisco Webex Meetings корпоративном руководстве по развертыванию совещаний с поддержкой видео устройств.

3

Щелкните сертификат доверенного ЦС, найдите сертификат QuoVadis и щелкните кнопку Просмотр расшифровки справа.

4

Проверьте атрибуты сертификата (SHA256).

Ключ полномочия X509v3

Идентификатор:keyid:1A:84:62:BC:48:4C:33:25:04:D4:EE:D0:F6:03:C4:19:46:D1:94:6BDirName:/C=BM/O=QuoVadis Limited/CN=QuoVadis Root CA 2serial:05:09

Корневой ЦС DSTx3

O=Digital Signature Trust Co./CN=DST Root CA X3 (SHA1) dac9024f54d8f6df94935fb1732638ca6ad77c13C=BM/O=QuoVadis Limited/CN=QuoVadis Root CA 2 Fingerprint (SHA1) ca3afbcf1240364b44b216208880483919937cf7

5

Щелкните доверенный ЦС.

Ключ полномочия может изменяться при повороте ключей.

6

Если сертификат ca не существует, обратитесь к списку Настройка доверенного ЦС в руководстве по корпоративному развертыванию Cisco Webex Meetings совещаний с поддержкой видео устройств.

Проверьте правильность настройки зоны DNS

  • Проверьте, настроена ли на вашей системе доменных имен (DNS) зона Expressway.

  • При использовании DNS используются два типа вызовов: B2B (существующие) и вызовы Webex. Если вызовы B2B уже настроены, рекомендуется использовать уникальную зону DNS для вызовов Webex, которая принудительно использует mTLS.

В Expressway X8.10 и более новых версиях воспользуйтесь шагами для изменения и создания и зоны DNS.

Прежде чем перейти к более новой конфигурации Expressway, созвоните свои существующие настройки, чтобы всегда можно было вернуть настройки и вернуться в операционное состояние.

1

Перейдите к меню Конфигурация > Зоны > Зоны

2

Если у вас есть существующая зона DNS, выберите зону и отредактируете ее.

3

Если зона DNS не существует, выполните следующие действия:

  1. Перейдите к конфигурации > Zones > Zones > правилах доступа к зоне по умолчанию.

  2. Настройте новую зону DNS для имени субъекта. sip.webex.com.

  3. Добавьте новое правило поиска, чтобы маршрутизовать вызов по новому маршруту DNS.

    Если у вас уже есть правило поиска для маршрутной обработки трафика в Webex, отредактируете его вместо создания нового правила.

4

Убедитесь в проверке вызовов и в том, что вызовы B2B не затронуты.

Чтобы избежать проблем с разрешением DNS, щелкните здесь.

5

По завершению настройки переходить к следующему разделу.

Проверьте конфигурацию брандмауэра и разрешим внесение в Expressway

Настройте брандмауэр для сетевых компонентов, чтобы повысить качество работы Webex на компьютерах, мобильных устройствах и видео устройствах.

  1. Проверьте диапазоны портов мультимедиа, используемые видео устройствами.

    Эти порты являются справочной точкой. Подробные сведения можно найти в руководстве по развертыванию и рекомендациях производителя.

    Таблица 1. Порты по умолчанию, используемые устройствами для совместной работы с видео

    Protocol

    Номера портов

    Направление

    Тип доступа

    Комментарии

    TCP

    5060-5070

    Исходящий

    Сигналы SIP

    Узел мультимедиа Webex принимает трафик портов в диапазоне 5060–5070. Более подробную информацию см. в руководстве по настройке конкретной используемой службы. Руководство по корпоративному развертыванию Cisco Webex Meetings для совещаний с поддержкой видеоустройств.

    TCP

    5060, 5061 и 5062

    Входящий

    Сигналы SIP

    Входящий трафик сигналов SIP из Cisco Webex сети

    TCP/UDP

    Динамические порты 36000-59999

    Входящий и исходящий

    Порты мультимедиа

    При использовании Cisco Expressway для портов мультимедиа необходимо установить диапазон 36000–59999. При использовании сторонних видео устройств или управления вызовами они должны быть настроены для использования этого диапазона.

Чтобы получить более подробную информацию о параметрах брандмауэра, см. как разрешить Webex Meetings трафика в моей сети.