Ak chcete organizovať schôdze Webex bez kódu PIN na lokálnych zariadeniach, váš Cisco Expressway-E musí ponúkať podpísané certifikáty od dôveryhodných koreňových certifikačných autorít (RCA) pre pripojenia Mutual TLS (mTLS). Môžete nájsť zoznam koreňových certifikačných autorít, ktorým Cisco dôveruje tento článok. Povoľujeme iba pripojenia, ktoré majú platné podpísané certifikáty.


 
Ak používate Expressway-E for Webex for Government, musíte povoliť mTLS.

Skontrolujte, či je nainštalovaný certifikát servera

1

Ísť do Údržba > Bezpečnosť > Certifikát servera.

2

Skontrolujte, či aktuálny certifikát Expressway existuje a či je presný.

3

Ak je certifikát nainštalovaný, skontrolujte dátum vypršania platnosti certifikátu, či je platný alebo nie, a nahraďte ho platným certifikátom.

4

Skontrolujte, ktorá koreňová CA podpísala tento certifikát a uistite sa, že názov je uvedený v príručke Enterprise Deployment Guide.


 

Ďalšie informácie nájdete v časti Aké koreňové certifikačné autority sú podporované pre volania na audio a video platformy Cisco Webex.

5

Skontrolujte, či má certifikát nakonfigurovaný správny SAN (alternatívny názov subjektu), ktorý zodpovedá nastaveniam organizácie.

6

Pomocou video zariadenia zavolajte do svojej osobnej miestnosti. Ak sa vám podarí pripojiť, pripojenie je úspešné.

7

Po dokončení konfigurácií prejdite na ďalšiu časť.

Skontrolujte, či certifikát servera Expressway neexistuje alebo či nevypršala platnosť

Ak platí čokoľvek z nasledujúceho, vygenerujte CSR.

  • Ak nemáte certifikát servera Expressway

  • Ak platnosť certifikátu vypršala

  • Ak je potrebné aktualizovať SAN, názov SAN sa nezhoduje s používateľským menom SIP

1

Vygenerujte proces CSR (žiadosť o podpis certifikátu).

2

Uistite sa, že sieť SAN, ktorú potrebujete v certifikáte, je uvedená na Ďalšie alternatívne meno lúka.

3

Odošlite svoju CSR koreňovej CA podľa vášho výberu. Vyberte CA z podporovaného zoznamu. Pozrite si Vygenerovať žiadosť o podpis certifikátu oddiel v Cisco Webex Meetings Enterprise Deployment Guide for Video Device-Enabled Meetings.

4

Získajte certifikát podpísaný od koreňovej CA.

5

Ak ste na generovanie CSR použili externý systém, musíte nahrať aj súbor PEM súkromného kľúča servera, ktorý sa použil na zašifrovanie certifikátu servera. (Súbor súkromného kľúča bude automaticky vygenerovaný a uložený skôr, ak sa na vytvorenie CSR pre tento certifikát servera použil Expressway.)

  • The súkromný kľúč servera Súbor PEM nesmie byť chránený heslom.

  • Ak prebieha žiadosť o podpis certifikátu, nemôžete nahrať súkromný kľúč servera.

6

Kliknite Nahrajte údaje certifikátu servera.

7

Po dokončení konfigurácií prejdite na ďalšiu časť.

Pridajte certifikát Webex do môjho zoznamu dôveryhodných certifikátov

1

Uistite sa, že certifikačná autorita, ktorá vydala certifikát Webex, je uvedená v zozname dôveryhodných CA certifikátov. Ísť do Údržba > Bezpečnosť > Certifikát dôveryhodnej CA.


 

Pre neprerušené služby nainštalujte primárnu a sekundárnu koreňovú certifikačnú autoritu. Quovadis Root CA je aktuálna a DSTx3 Root CA je rezervovaná na budúce použitie. Obidva tieto certifikáty musia byť prítomné.

2

Zoznam certifikátov dôveryhodných CA obsahuje certifikát QuoVadis. Ak chcete skontrolovať, či ide o najaktuálnejší certifikát, pozrite si stránku Cisco Webex Meetings Enterprise Deployment Guide for Video Device-Enabled Meetings.

3

Kliknite na certifikát dôveryhodnej CA, nájdite certifikát QuoVadis a kliknite na Zobraziť dekódované tlačidlo úplne vpravo.

4

Skontrolujte atribúty (SHA256) certifikátu.

Autorizačný kľúč X509v3

Identifier:keyid:1A:84:62:BC:48:4C:33:25:04:D4:EE:D0:F6:03:C4:19:46:D1:94:6BDirName:/C=BM/O=QuoVadis Limited/CN=QuoVadis Root CA 2serial:05:09

DSTx3 koreňová CA

O=Digital Signature Trust Co./CN=DST Root CA X3 Fingerprint (SHA1) dac9024f54d8f6df94935fb1732638ca6ad77c13C=BM/O=QuoVadis Limited/CN=QuoVadis Root CA 2 Fingerprint (SHA1) ca3afbcf1240364b44b216208880483919937cf7

5

Kliknite dôveryhodná CA.


 

Autorizačný kľúč sa môže zmeniť, keď sa kľúče otáčajú.

6

Ak certifikát CA neexistuje, pozrite si časť Nakonfigurujte zoznam dôveryhodných CA v Cisco Webex Meetings Enterprise Deployment Guide for Video Device-Enabled Meetings.

Skontrolujte, či je vaša zóna DNS správne nakonfigurovaná

  • Skontrolujte, či máte na Expressway nakonfigurovanú zónu DNS (Domain Name System).

  • Dva typy hovorov, ktoré používajú DNS, sú B2B (existujúce) a Webex hovory. Ak sú už B2B hovory nastavené, odporúčame jedinečnú DNS zónu pre Webex hovory, ktorá ho núti používať mTLS.

Na Expressway verziách X8.10 a novších použite kroky na úpravu a vytvorenie zóny DNS.


 

Predtým, ako budete pokračovať s konfiguráciami rýchlostnej cesty, zálohujte si svoje existujúce nastavenia, aby ste ich mohli kedykoľvek vrátiť a vrátiť sa do prevádzkového stavu.

1

Ísť do Konfigurácia > Zóny > Zóny

2

Ak máte existujúcu zónu DNS, vyberte zónu a upravte ju.

3

Ak zóna DNS neexistuje, vykonajte nasledujúce kroky:

  1. Ísť do Konfigurácia > Zóny > Zóny > Predvolené pravidlá prístupu k zóne.

  2. Nakonfigurujte novú zónu DNS pre názov predmetu: sip.webex.com.

  3. Pridajte nové pravidlo vyhľadávania na smerovanie hovoru na novú trasu DNS.


     

    Ak už máte pravidlo vyhľadávania na smerovanie návštevnosti na Webex, namiesto vytvárania nového pravidla ho upravte.

4

Uistite sa, že hovory sú overené a že nie sú ovplyvnené hovory B2B.


 

Ak sa chcete vyhnúť problémom s rozlíšením DNS, kliknite tu.

5

Po dokončení konfigurácií prejdite na ďalšiu časť.

Skontrolujte konfiguráciu brány firewall a položku Allow Listing for Expressway

Nakonfigurujte bránu firewall pre svoje sieťové komponenty tak, aby ste na svojich počítačoch, mobilných zariadeniach a videozariadeniach získali čo najvyššiu kvalitu Webexu.

  1. Skontrolujte rozsahy portov médií, ktoré používajú video zariadenia.


     

    Tieto porty sú uvedené ako referenčné. Úplné podrobnosti nájdete v príručke nasadenia a odporúčaní výrobcu.

    Stôl 1. Predvolené porty používané zariadeniami Video Collaboration Devices

    Protokol

    čísla portov

    Smer

    Typ prístupu

    Komentáre

    TCP

    5060-5070

    Odchádzajúci

    SIP signalizácia

    Webex media edge počúva na 5060 - 5070. Ďalšie informácie nájdete v sprievodcovi konfiguráciou konkrétnej použitej služby: Cisco Webex Meetings Enterprise Deployment Guide for Video Device-Enabled Meetings.

    TCP

    5060, 5061 a 5062

    Prichádzajúce

    SIP signalizácia

    Prichádzajúca signalizácia SIP z cloudu Cisco Webex

    TCP / UDP

    Ephemeral Ports 36000-59999

    Prichádzajúce a odchádzajúce

    Mediálne porty

    Ak používate Cisco Expressway, rozsahy médií je potrebné nastaviť na 36000-59999. Ak používate videozariadenie alebo ovládanie hovorov tretej strany, je potrebné ich nakonfigurovať na používanie tohto rozsahu.

Ďalšie informácie o nastaveniach brány firewall nájdete v časti Ako povolím návštevnosť schôdzí Webex v mojej sieti.