Для размещения Webex Meetings без ПИН локальный устройствах Cisco Expressway-E должна предлагать подписанные сертификаты от доверенных корневых центров сертификации (RCA) для подключений Mutual TLS (mTLS). Вы можете найти список корневых центров сертификации, которым доверяет Cisco . эта статья . Мы разрешаем только подключения с действительными подписанными сертификатами.


 
Если вы используете Expressway-E для Webex для государственных организаций, необходимо включить mTLS.
1

Перейти к Техническое обслуживание > Безопасность > Сертификат сервера .

2

Проверьте, существует ли текущий сертификат Expressway и является ли он точным.

3

Если сертификат установлен, проверьте дату истечения срока действия сертификата, чтобы узнать, действителен он или нет, и замените его действительным сертификатом.

4

Проверьте, какой корневой ЦС подписал этот сертификат, и убедитесь, что имя указано в руководстве по руководство по развертыванию предприятия.

5

Убедитесь, что в сертификате настроено правильное SAN (альтернативное имя субъекта), которое соответствует настройкам организации.

6

Используя видеоустройство, позвоните в персональная комната. Если вы можете подключиться, значит, подключение выполнено успешно.

7

После завершения настройки переходите к следующему разделу.

Если любое из перечисленных ниже утверждений верно, создайте CSR.

  • Если у вас нет сертификат сервера Expressway

  • Если срок действия сертификата истек

  • Если необходимо обновить SAN, это значит, что имя SAN не совпадает с имя пользователя SIP .

1

Сгенерируйте процесс CSR (запрос на подпись сертификата).

2

Убедитесь, что SAN, который вам нужен в сертификате, указан на Дополнительное альтернативное имя поле.

3

Отправьте CSR в выбранный вами корневой центр сертификации. Выберите ЦС из поддерживаемого списка. Обратитесь к Создать запрос на подпись сертификата раздел в руководство по развертыванию Cisco Webex Meetings для совещаний с использованием видеоустройств .

4

Получите сертификат, подписанный корневым центром сертификации.

5

Если вы использовали внешнюю систему для создания CSR, необходимо также загрузить файл PEM с закрытым ключом сервера, который использовался для шифрования сертификат сервера. (Файл закрытого ключа будет автоматически сгенерирован и сохранен ранее, если для создания CSR для этого сертификат сервера использовалась Expressway.)

  • В закрытый ключ сервера Файл PEM не должен быть защищен паролем.

  • Вы не можете загрузить закрытый ключ сервера, если выполняется запрос на подпись сертификата.

6

Щелкните Загрузить данные сертификат сервера .

7

После завершения настройки переходите к следующему разделу.

1

Убедитесь, что центр сертификации, выдающий сертификат Webex, указан в списке доверенных сертификат ЦС . Перейти к Техническое обслуживание > Безопасность > Сертификат доверенного центра сертификации .


 

Для обеспечения бесперебойной работы установите первичный и вторичный корневые центры сертификации. Корневой ЦС Quovadis является текущим, а корневой ЦС DSTx3 зарезервирован для использования в будущем. Оба эти сертификата должны присутствовать.

2

Список доверенных сертификат ЦС содержит сертификат QuoVadis. Чтобы проверить, является ли это самым последним сертификатом, см. руководство по развертыванию Cisco Webex Meetings для совещаний с использованием видеоустройств .

3

Щелкните сертификат доверенного сертификат ЦС, найдите сертификат QuoVadis и щелкните значок Просмотр в декодированном виде кнопка в крайнем правом углу.

4

Проверьте атрибуты (SHA256) сертификата.

Ключ авторизации X509v3

Identifier:keyid:1A:84:62:BC:48:4C:33:25:04:D4:EE:D0:F6:03:C4:19:46:D1:94:6BDirName:/C=BM/O=QuoVadis Limited/CN=QuoVadis Root CA 2serial:05:09

Корневой ЦС DSTx3

O=Digital Signature Trust Co./CN=DST Root CA X3 Fingerprint (SHA1) dac9024f54d8f6df94935fb1732638ca6ad77c13C=BM/O=QuoVadis Limited/CN=QuoVadis Root CA 2 Fingerprint (SHA1) ca3afbcf1240364b44b216208880483919937cf7

5

Щелкните доверенный центр сертификации .


 

Ключ авторизации может изменяться по мере поворота ключей.

6

Если сертификат ЦС отсутствует, см. Настройка списка доверенных центров сертификации в руководство по развертыванию Cisco Webex Meetings для совещаний с использованием видеоустройств .

  • Убедитесь, что на Expressway настроена зона системы доменных имен (DNS).

  • Два типа вызовов, использующих DNS , - это вызовы B2B (существующие) и Webex . Если вызовы B2B уже настройка, мы рекомендуем уникальную зону DNS для вызовов Webex , которые заставляют его использовать mTLS.

В версиях Expressway X8.10 и более поздних используйте шаги для изменения и создания зоны DNS .


 

Прежде чем продолжить настройку скоростной автомагистрали, сделайте резервную копию существующих настроек, чтобы всегда можно было отменить настройки и вернуться в рабочее состояние.

1

Перейти к Конфигурация > Зоны > Зоны

2

Если у вас есть зона DNS , выберите зону и отредактируйте ее.

3

Если зона DNS не существует, выполните следующие действия:

  1. Перейти к Конфигурация > Зоны > Зоны > Правила доступа к зоне по умолчанию .

  2. Настройте новую зону DNS для имени субъекта: sip.webex.com.

  3. Добавьте новое правило поиска, чтобы направить вызов по новому DNS -маршруту.


     

    Если у вас уже есть правило поиска для маршрутизации трафика в Webex, отредактируйте его, а не создавайте новое правило.

4

Убедитесь, что вызовы подтверждены и не затронуты вызовы B2B.


 

Чтобы избежать проблем с разрешением DNS , щелкните здесь .

5

После завершения настройки переходите к следующему разделу.

Настройте брандмауэр для сетевых компонентов, чтобы обеспечить максимальное качество работы с Webex на компьютерах, мобильных устройствах и видеоустройствах.

  1. Проверьте диапазоны портов мультимедиа, используемые видеоустройствами.


     

    Эти порты предоставляются для справки. Подробную информацию см. В руководстве по развертыванию и рекомендациях производителя.

    Таблица 1. Порты по умолчанию, используемые устройствами для совместной работы с видео

    Protocol

    Номера портов

    Направление

    Тип доступа

    Комментарии

    TCP

    5060&'96;5070

    Исходящий

    Сигналы SIP

    Узел мультимедиа Webex принимает трафик портов в диапазоне 5060–5070. Дополнительную информацию см. В руководство по настройке конкретной используемой службы: руководство по развертыванию Cisco Webex Meetings для совещаний с использованием видеоустройств .

    TCP

    5060, 5061 и 5062

    Входящий

    Сигналы SIP

    Входящий трафик передача сигналов SIP из облака Cisco Webex

    TCP/UDP

    Динамические порты 36000-59999

    Входящий и исходящий

    Порты мультимедиа

    При использовании Cisco Expressway для портов мультимедиа необходимо установить диапазон 36000–59999. Если вы используете стороннее видеоустройство или систему управление вызовами, их необходимо настроить для использования этого диапазона.

Дополнительную информацию о настройках брандмауэра см. В разделе Как разрешить трафик Webex Meetings в моей сети .