Для размещения совещаний Webex без PIN-кода на локальном устройстве требуется, чтобы сервер Cisco Expressway-E предлагал подписанные сертификаты из списка доверенных корневых центров сертификации (RCA) для взаимных TLS-соединений (mTLS). Щелкните здесь, чтобы получить список корневых центров сертификации, которым доверяет Cisco. Сертификаты, подписанные центрами из этого списка, считаются допустимыми и подключение будет разрешено.

1

Выполните переход: Обслуживание > Безопасность > Сертификат сервера.

2

Убедитесь, что текущий сертификат Expressway существует и является точным.

3

Если сертификат установлен, проверьте дату окончания срока действия сертификата, чтобы узнать, допустим ли сертификат, или замените его допустимым сертификатом.

4

Узнайте, какой корневой центр сертификации подписал этот сертификат, и убедитесь, что имя указано в руководстве по развертыванию предприятия.

5

Убедитесь, что в сертификате настроено соответствующее SAN (альтернативное имя субъекта), которое соответствует настройкам организации.

6

Используя видеоустройство, сделайте вызов в персональную комнату. Если удалось подключиться — соединение успешно.

7

После завершения настройки перейдите к следующему разделу.

Если выполняется одно из следующих условий — сгенерируете CSR.

  • Если у вас нет сертификата сервера Expressway

  • Если истек срок действия сертификата

  • Если необходимо обновить сеть хранения данных (SAN), это имя не соответствует имени пользователя SIP

1

Создайте запрос на подпись сертификата (CSR).

2

Убедитесь, что сеть SAN, необходимая для данного сертификата, указана в поле Дополнительное альтернативное имя.

3

Отправьте CSR в корневой центр сертификации по своему выбору. Выберите центр сертификации в списке поддерживаемых. См. раздел Создание запроса на подпись сертификата в Руководстве Cisco Webex Meetings по корпоративному развертыванию для совещаний с поддержкой видеоустройств.

4

Получите подписанной сертификат от корневого центра сертификации.

5

Если для создания CSR используется внешняя система, необходимо также выгрузить PEM-файл частного ключа сервера, который использовался для шифрования сертификата сервера. (Файл закрытого ключа был автоматически сгенерирован и сохранен ранее, если сервер Expressway использовался для получения CSR для данного сертификата сервера.)

  • PEM-файл частного ключа сервера не должен быть защищен паролем.

  • Если обрабатывается запрос на подпись сертификата, отправить закрытый ключ сервера невозможно.

6

Нажмите Выгрузить данные сертификата сервера.

7

После завершения настройки перейдите к следующему разделу.

1

Убедитесь, что центр сертификации, выдавший сертификат Webex, указан в списке сертификатов доверенного центра сертификации. Выполните переход: Обслуживание > Безопасность > Сертификат доверенного центра сертификации.


 

Для бесперебойного обслуживания установите основной и дополнительный корневые центры сертификации. Корневой центр сертификации Quovadis — текущий, а корневой центр сертификации DSTx3 зарезервирован для использования в будущем. Должны присутствовать оба сертификата.

2

Список сертификатов доверенного центра сертификации содержит сертификат QuoVadis. Чтобы проверить актуальность текущего сертификата, обратитесь к Руководству по развертыванию Cisco Webex Meetings Enterprise для совещаний с поддержкой видеоустройств.

3

Щелкните сертификат доверенного центра сертификации, найдите сертификат QuoVadis и нажмите кнопку Декодированный вид на дальнем правом крае.

4

Проверьте атрибуты (SHA256) данного сертификата.

Ключ центра сертификации X509v3

Identifier:keyid:1A:84:62:BC:48:4C:33:25:04:D4:EE:D0:F6:03:C4:19:46:D1:94:6BDirName:/C=BM/O=QuoVadis Limited/CN=QuoVadis Root CA 2serial:05:09

Корневой центр сертификации DSTx3

O=Digital Signature Trust Co./CN=DST Root CA X3 Fingerprint (SHA1) dac9024f54d8f6df94935fb1732638ca6ad77c13C=BM/O=QuoVadis Limited/CN=QuoVadis Root CA 2 Fingerprint (SHA1) ca3afbcf1240364b44b216208880483919937cf7

5

Нажмите Доверенный центр сертификации.


 

Ключ центра сертификации может изменяться по мере ротации ключей.

6

Если сертификат центра сертификации отсутствует, обратитесь к разделу Настройка списка доверенных центров сертификации в Руководстве по развертыванию Cisco Webex Meetings Enterprise для совещаний с поддержкой видеоустройств.

  • Убедитесь, что на вашем сервере Expressway настроена зона DNS (Domain Name System).

  • Вызовы, использующие DNS, бывают двух типов: B2B (существующие) и вызовы Webex. Если вызовы B2B уже настроены, мы рекомендуем уникальную зону DNS для вызовов Webex, которые принудительно применяют ее для использования mTLS.

В Expressway версии X8.10 и выше используйте эти шаги для изменения и создания зон DNS.


Прежде чем перейти к конфигурациям Expressway, выполните резервное копирование существующих настроек, чтобы всегда можно было откатить настройки и вернуть их в рабочее состояние.

1

Выполните переход: Конфигурация > Зоны > Зоны

2

Если у вас есть зона DNS, выберите и отредактируйте ее.

3

Если зоны DNS нет, выполните указанные ниже действия.

  1. Выполните переход: Конфигурация > Зоны > Зоны > Правила доступа к зоне по умолчанию.

  2. Настройте новую зону DNS для следующего имени субъекта: sip.webex.com.

  3. Добавьте новое правило поиска для маршрутизации вызова по новому маршруту DNS.


     

    Если правило поиска для маршрутизации трафика к Webex уже существует, измените его вместо создания нового правила.

4

Убедитесь, что вызовы проверены, а вызовы B2B не затронуты.


 

Чтобы избежать проблем с разрешением DNS, щелкните здесь.

5

После завершения настройки перейдите к следующему разделу.

Настройте брандмауэр для сетевых компонентов так, чтобы добиться наилучшего взаимодействия с Webex на своих компьютерах, мобильных устройствах и видеоустройствах.

  1. Проверьте диапазоны портов мультимедиа, используемых видеоустройствами.


    Здесь порты представлены в качестве справки. Подробные сведения см. в руководстве по развертыванию и рекомендациях производителя.

    Табл. 1. Порты по умолчанию, используемые устройствами для совместной работы с помощью видеосвязи

    Протокол

    Номера портов

    Направление

    Тип доступа

    Комментарии

    TCP

    5060-5070

    Исходящие

    Сигнализация SIP

    Пограничные медиаустройства Webex прослушивают диапазон 5060–5070. Дополнительную информацию см. в руководстве по настройке конкретной используемой службы: Руководство по развертыванию Cisco Webex Meetings Enterprise для совещаний с поддержкой видеоустройств.

    TCP

    5060, 5061 и 5062

    Входящий

    Сигнализация SIP

    Входящий сигнальный трафик SIP от облака Cisco Webex

    TCP/UDP

    Эфемерные порты 36000–59999

    Входящие и исходящие

    Медиапорты

    При использовании Cisco Expressway необходимо задать диапазон медиапортов 36000–59999. Если используется видеоустройство или система управления вызовами стороннего производителя, их необходимо настроить на использование данного диапазона.

Дополнительные сведения о настройках брандмауэра см. в статье Как разрешить трафик Webex Meetings в моей сети?