Cisco Expressway необходимо настроить на взаимную аутентификацию TLS (mTLS), прежде чем разрешать пользователям размещать запланированные совещания и совещания в персональных комнатах и присоединяться к ним на локальных видеоустройствах Cisco Webex в своей организации.
Для размещения совещаний Webex без PIN-кода на локальном устройстве требуется, чтобы сервер Cisco Expressway-E предлагал подписанные сертификаты из списка доверенных корневых центров сертификации (RCA) для взаимных TLS-соединений (mTLS). Щелкните здесь, чтобы получить список корневых центров сертификации, которым доверяет Cisco. Сертификаты, подписанные центрами из этого списка, считаются допустимыми и подключение будет разрешено.
| 1 |
Выполните переход .  |
||
| 2 |
Убедитесь, что текущий сертификат Expressway существует и является точным.  |
||
| 3 |
Если сертификат установлен, проверьте дату окончания срока действия сертификата, чтобы узнать, допустим ли сертификат, или замените его допустимым сертификатом.   |
||
| 4 |
Узнайте, какой корневой центр сертификации подписал этот сертификат, и убедитесь, что имя указано в руководстве по развертыванию предприятия. 
|
||
| 5 |
Убедитесь, что в сертификате настроено соответствующее SAN (альтернативное имя субъекта), которое соответствует настройкам организации.  |
||
| 6 |
Используя видеоустройство, сделайте вызов в персональную комнату. Если удалось подключиться — соединение успешно. |
||
| 7 |
После завершения настройки перейдите к следующему разделу. |
Если выполняется одно из следующих условий — сгенерируете CSR.
-
Если у вас нет сертификата сервера Expressway
-
Если истек срок действия сертификата
-
Если необходимо обновить сеть хранения данных (SAN), это имя не соответствует имени пользователя SIP
| 1 |
Создайте запрос на подпись сертификата (CSR).  |
| 2 |
Убедитесь, что сеть SAN, необходимая для данного сертификата, указана в поле Дополнительное альтернативное имя.  |
| 3 |
Отправьте CSR в корневой центр сертификации по своему выбору. Выберите центр сертификации в списке поддерживаемых. См. раздел Создание запроса на подпись сертификата в Руководстве Cisco Webex Meetings по корпоративному развертыванию для совещаний с поддержкой видеоустройств. |
| 4 |
Получите подписанной сертификат от корневого центра сертификации. |
| 5 |
Если для создания CSR используется внешняя система, необходимо также выгрузить PEM-файл частного ключа сервера, который использовался для шифрования сертификата сервера. (Файл частного ключа был автоматически сгенерирован и сохранен ранее, если сервер Expressway использовался для получения CSR для данного сертификата сервера.)
|
| 6 |
Нажмите Выгрузить данные сертификата сервера.  |
| 7 |
После завершения настройки перейдите к следующему разделу. |
| 1 |
Убедитесь, что центр сертификации, выдавший сертификат Webex, указан в списке сертификатов доверенного центра сертификации. Выполните переход .
 |
||
| 2 |
Список сертификатов доверенного центра сертификации содержит сертификат QuoVadis. Чтобы проверить актуальность текущего сертификата, обратитесь к Руководству по развертыванию Cisco Webex Meetings Enterprise для совещаний с поддержкой видеоустройств.  |
||
| 3 |
Щелкните сертификат доверенного центра сертификации, найдите сертификат QuoVadis и нажмите кнопку Декодированный вид на дальнем правом крае.
|
||
| 4 |
Проверьте атрибуты (SHA256) данного сертификата. Ключ центра сертификации X509v3
Корневой центр сертификации DSTx3
|
||
| 5 |
Нажмите Доверенный центр сертификации.
|
||
| 6 |
Если сертификат центра сертификации отсутствует, обратитесь к разделу Настройка списка доверенных центров сертификации в Руководстве по развертыванию Cisco Webex Meetings Enterprise для совещаний с поддержкой видеоустройств. |
-
Убедитесь, что на вашем сервере Expressway настроена зона DNS (Domain Name System).
-
Вызовы, использующие DNS, бывают двух типов: B2B (существующие) и вызовы Webex. Если вызовы B2B уже настроены, мы рекомендуем уникальную зону DNS для вызовов Webex, которые принудительно применяют ее для использования mTLS.
В Expressway версии X8.10 и выше используйте эти шаги для изменения и создания зон DNS.
 |
Прежде чем перейти к конфигурациям Expressway, выполните резервное копирование существующих настроек, чтобы всегда можно было откатить настройки и вернуть их в рабочее состояние. |
| 1 |
Выполните переход  |
||
| 2 |
Если у вас есть зона DNS, выберите и отредактируйте ее.  |
||
| 3 |
Если зоны DNS нет, выполните указанные ниже действия.
|
||
| 4 |
Убедитесь, что вызовы проверены, а вызовы B2B не затронуты.
|
||
| 5 |
После завершения настройки перейдите к следующему разделу. |
Настройте брандмауэр для сетевых компонентов так, чтобы добиться наилучшего взаимодействия с Webex на своих компьютерах, мобильных устройствах и видеоустройствах.
-
Проверьте диапазоны портов мультимедиа, используемых видеоустройствами.
Здесь порты представлены в качестве справки. Подробные сведения см. в руководстве по развертыванию и рекомендациях производителя.
Таблица 1. Порты по умолчанию, используемые устройствами для совместной работы с помощью видеосвязи Протокол
Номера портов
Направление
Тип доступа
Комментарии
TCP
5060–5070
Исходящие
Сигнализация SIP
Пограничные медиаустройства Webex прослушивают диапазон 5060–5070. Дополнительную информацию см. в руководстве по настройке конкретного используемого сервиса в Руководстве по развертыванию Cisco Webex Meetings Enterprise для совещаний с поддержкой видеоустройств.
TCP
5060, 5061 и 5062
Входящий
Сигнализация SIP
Входящий сигнальный трафик SIP от облака Cisco Webex
TCP/UDP
Эфемерные порты 36000–59999
Входящие и исходящие
Медиапорты
При использовании Cisco Expressway необходимо задать диапазон медиапортов 36000–59999. Если используется видеоустройство или система управления вызовами стороннего производителя, их необходимо настроить на использование данного диапазона.
Дополнительные сведения о настройках брандмауэра см. в статье Как разрешить трафик Webex Meetings в моей сети?