För att kunna vara värd för Webex Meetings utan PIN-kod på lokala enheter måste din Cisco Expressway-E ha signerade certifikat från en betrodd rotcertifikatutfärdare (RCA) för ömsesidig TLS -anslutningar (mTLS). Du hittar listan över rotcertifikatutfärdare som Cisco litar på den här artikeln . Vi tillåter endast anslutningar som har giltiga signerade certifikat.


 
Om du använder Expressway-E för Webex för Government måste du aktivera mTLS.
1

Gå till Underhåll > Säkerhet > Servercertifikat .

2

Kontrollera om det aktuella Expressway-certifikatet finns och är korrekt.

3

Om certifikatet har installerats ska du kontrollera certifikatets utgångsdatum för att se om det är giltigt eller inte och ersätta det med ett giltigt certifikat.

4

Kontrollera vilken rotcertifikatutfärdare som signerade certifikatet och se till att namnet finns med i Enterprise Distributionsguide.

5

Kontrollera att certifikatet har rätt SAN (Alternativt ämnesnamn) konfigurerat som matchar organisationsinställningarna.

6

Använd en videoenhet för att ringa in i ditt personliga rum. Om du kan ansluta har anslutningen lyckats.

7

När du har slutfört konfigurationerna går du till nästa avsnitt.

Om något av följande stämmer ska du skapa en CSR.

  • Om du inte har ett Expressway servercertifikat

  • Om certifikatet har gått ut

  • Om SAN behöver uppdateras betyder det att SAN-namnet inte stämmer överens med SIP- användarnamn

1

Generera CSR-processen (Certificate Signing request).

2

Kontrollera att det SAN som du behöver i certifikatet finns med i listan Ytterligare alternativt namn fältet.

3

Skicka in din CSR till valfri rotcertifikatutfärdare. Välj en certifikatutfärdare från listan som stöds. Se Skapa begäran om certifikatsignering avsnittet i Cisco Webex Meetings Enterprise Distributionsguide för videoenhetsaktiverade möten .

4

Få certifikatet signerat från rotcertifikatutfärdaren.

5

Om du använde ett externt system för att generera CSR måste du också överföra den privata serverns PEM-fil som användes för att kryptera servercertifikat. (Den privata nyckelfilen kommer att ha genererats och lagrats automatiskt tidigare om Expressway användes för att skapa CSR för detta servercertifikat.)

  • Den serverns privata nyckel PEM-filen får inte vara lösenordsskyddad.

  • Du kan inte överföra en privat servernyckel om en begäran om certifikatsignering pågår.

6

Klicka på Överför servercertifikat .

7

När du har slutfört konfigurationerna går du till nästa avsnitt.

1

Kontrollera att den utfärdande certifikatutfärdaren för Webex certifikat finns med i listan över betrodda CA-certifikat -certifikat. Gå till Underhåll > Säkerhet > Betrodda CA-certifikat .


 

För avbrottsfria tjänster installerar du den primära och sekundära rotcertifikatutfärdaren. Quovadis rotcertifikatutfärdare är aktuellt och rotcertifikatutfärdaren DSTx3 är reserverad för framtida bruk. Båda dessa certifikat måste finnas.

2

Listan över betrodda CA-certifikat innehåller QuoVadis-certifikatet. För att kontrollera om det är det senaste certifikatet, se Cisco Webex Meetings Enterprise Distributionsguide för videoenhetsaktiverade möten .

3

Klicka på det betrodda CA-certifikat, leta upp QuoVadis-certifikatet och klicka på Visa avkodad knappen längst till höger.

4

Kontrollera certifikatets attribut (SHA256).

X509v3 behörighetsnyckel

Identifier:keyid:1A:84:62:BC:48:4C:33:25:04:D4:EE:D0:F6:03:C4:19:46:D1:94:6BDirName:/C=BM/O=QuoVadis Limited/CN=QuoVadis Root CA 2serial:05:09

DSTx3 rot-CA

O=Digital Signature Trust Co./CN=DST Root CA X3 Fingerprint (SHA1) dac9024f54d8f6df94935fb1732638ca6ad77c13C=BM/O=QuoVadis Limited/CN=QuoVadis Root CA 2 Fingerprint (SHA1) ca3afbcf1240364b44b216208880483919937cf7

5

Klicka på betrodd CA .


 

Behörighetsnyckeln kan ändras när de vrider på knapparna.

6

Om CA-certifikat inte finns, se Konfigurera listan över betrodda certifikatutfärdare i Cisco Webex Meetings Enterprise Distributionsguide för videoenhetsaktiverade möten .

  • Kontrollera om du har en DNS-zon (Domain Name System) konfigurerad på din Expressway.

  • Två typer av samtal som använder DNS är B2B (befintliga) och Webex-samtal. Om B2B-samtal redan har konfigurerats rekommenderar vi en unik DNS-zon för Webex-samtal som tvingar den att använda mTLS.

På Expressway-versioner X8.10 och senare följer du stegen för att ändra och skapa en DNS-zon.


 

Innan du går vidare med motorvägskonfigurationerna måste du säkerhetskopiera dina befintliga inställningar så att du alltid kan återställa inställningarna och återgå till driftläget.

1

Gå till Konfiguration > Zoner > Zoner

2

Om du har en befintlig DNS-zon väljer du zonen och redigerar den.

3

Om det inte finns någon DNS-zon utför du stegen nedan:

  1. Gå till Konfiguration > Zoner > Zoner > Standard åtkomstregler för zon .

  2. Konfigurera en ny DNS-zon för ämnesnamn: sip.webex.com.

  3. Lägg till den nya sökregeln för att dirigera samtalet till en ny DNS-rutt.


     

    Om du redan har en sökregel för att dirigera trafik till Webex ska du redigera den istället för att skapa en ny regel.

4

Kontrollera att samtalen är validerade och att B2B-samtalen inte påverkas.


 

För att undvika problem med DNS-lösning klickar du på här .

5

När du har slutfört konfigurationerna går du till nästa avsnitt.

Konfigurera brandväggen för dina nätverkskomponenter så att du får bästa möjliga Webex-upplevelse på dina datorer, mobila enheter och videoenheter.

  1. Kontrollera de mediaportintervall som används av videoenheter.


     

    Dessa portar tillhandahålls som referens. Se distributionsguiden och tillverkarens rekommendationer för fullständig information.

    Tabell 1. Standardportar som används av videosamarbetesenheter

    Protokoll

    Portnummer

    Riktning

    Åtkomsttyp

    Kommentarer

    TCP

    5060&'96;5070

    Utgående

    SIP-signalering

    Webex mediegräns lyssnar på 5060–5070. Mer information finns i konfigurationsguide för den specifika tjänst som används: Cisco Webex Meetings Enterprise Distributionsguide för videoenhetsaktiverade möten .

    TCP

    5060, 5061 och 5062

    Inkommande

    SIP-signalering

    Inkommande SIP-signaleringstrafik från Cisco Webex molnet

    TCP/UDP

    Tillfälliga portar 36000–59999

    Ingående och utgående

    Medieportar

    Om du använder en Cisco Expressway måste medieintervallen ställas in på 36000–59999. Om du använder en videoenhet från tredje part eller samtalskontroll måste de konfigureras för att använda detta intervall.

Mer information om brandväggsinställningar finns i Hur tillåter jag Webex Meetings trafik i mitt nätverk .