För att vara värd för Webex Meetings utan PIN-kod på en enhet på plats måste du ha Cisco Expressway-E för att erbjuda signerade certifikat från listan över betrodda rotcertifikatutfärdare (RCA) för ömsesidiga TLS-anslutningar (mTLS). Klicka här för att komma till en lista över rotcertifikatutfärdare som är betrodda av Cisco. Certifikat som är signerade av utfärdare i den här listan anses giltiga och anslutningen kommer att tillåtas.

1

Gå till Underhåll > Säkerhet > Servercertifikat.

2

Kontrollera att det aktuella Expressway-certifikatet finns och är korrekt.

3

Om certifikatet har installerats kontrollerar du certifikatets utgångsdatum, om det är giltigt eller inte, och ersätter det vid behov med ett giltigt certifikat.

4

Kontrollera vilken rotcertifikatutfärdare som signerade certifikatet och se till att namnet finns i Enterprise implementeringsguide.

5

Kontrollera om certifikatet har rätt SAN (Subject Alternative Name) som har konfigurerats för att stämma med organisationens inställningar.

6

Använd en videoenhet och ring till ditt personliga rum. Om du kan ansluta fungerar anslutningen.

7

När du har slutfört konfigurationerna går du vidare till nästa avsnitt.

Om något av följande stämmer ska du generera en CSR.

  • Om du inte har ett Expressway-servercertifikat

  • Om certifikatet har upphört att gälla

  • Om SAN behöver uppdateras, det vill säga att SAN-namnet inte stämmer med SIP-användarnamnet

1

Generera CSR-processen (Certificate Signing Request).

2

Se till att det SAN som du behöver i certifikatet finns med i fältet Ytterligare alternativt namn.

3

Skicka CSR till önskad rotcertifikatutfärdare. Välj certifikatutfärdare i listan med de som stöds. Mer information finns i avsnittet Generera CSR (Certificate Signing Request) i Cisco Webex Meetings Enterprise implementeringsguide för videoenhetsaktiverade möten.

4

Hämta det signerade certifikatet från rotcertifikatutfärdaren.

5

Om du använde ett externt system för att skapa CSR måste du även ladda upp PEM-filen för serverns privata nyckel som användes för att kryptera servercertifikatet. (Den privata nyckelfilen har tidigare genererats automatiskt och sparats om Expressway har använts för att skapa CSR för detta servercertifikat.)

  • PEM-filen för serverns privata nyckel får inte vara lösenordsskyddad.

  • Du kan inte ladda upp en servers privata nyckel om en förfrågan om certifikatsignering pågår.

6

Klicka på Ladda upp servercertifikatdata.

7

När du har slutfört konfigurationerna går du vidare till nästa avsnitt.

1

Se till att den utfärdande certifikatutfärdaren för Webexs certifikat finns med i listan över betrodda certifikatsutfärdare. Gå till Underhåll > Säkerhet > Betrodda CA-certifikat.


 

För att tjänsterna ska fungera utan avbrott ska du installera primära och sekundära rotcertifikatutfärdare. QuoVadis Root CA är aktuellt och DSTx3 Root CA är reserverat för framtida bruk. Båda dessa certifikat måste finnas.

2

Listan med betrodda CA-certifikat innehåller QuoVadis-certifikatet. För att kontrollera att det är det mest aktuella certifikatet, se Cisco Webex Meetings Enterprise implementeringsguide för videoenhetsaktiverade möten.

3

Klicka på det betrodda CA-certifikatet, leta reda på QuoVadis-certifikatet och klicka på Visa avkodad längst till höger.

4

Kontrollera attributen (SHA256) för certifikatet.

X509v3 behörighetsnyckel

Identifier:keyid:1A:84:62:BC:48:4C:33:25:04:D4:EE:D0:F6:03:C4:19:46:D1:94:6BDirName:/C=BM/O=QuoVadis Limited/CN=QuoVadis Root CA 2serial:05:09

DSTx3 rot-CA

O=Digital Signature Trust Co./CN=DST Root CA X3 Fingerprint (SHA1) dac9024f54d8f6df94935fb1732638ca6ad77c13C=BM/O=QuoVadis Limited/CN=QuoVadis Root CA 2 Fingerprint (SHA1) ca3afbcf1240364b44b216208880483919937cf7

5

Klicka på Betrodd CA.


 

Behörighetsnyckeln kan ändras när de roterar nycklarna.

6

Om CA-certifikatet inte finns ska du se Konfigurera listan med betrodda CA i Cisco Webex Meetings Enterprise implementeringsguide för videoenhetsaktiverade möten.

  • Kontrollera att du har en DNS-zon (Domain Name System) konfigurerad i din Expressway.

  • Två typer av samtal som använder DNS är B2B (befintliga) och Webex-samtal. Om B2B-samtal redan har konfigurerats rekommenderar vi en unik DNS-zon för Webex-samtal som gör användning av mTLS till tvång.

Använd Expressway-versioner X8.10 eller högre, följ stegen för att modifiera och skapa en DNS-zon.


Innan du börjar arbeta med Expressway-konfigurationerna bör du göra en säkerhetskopia av dina befintliga inställningar så att du kan återställa till dem och gå tillbaka till drifttillstånd.

1

Gå till Konfiguration > Zoner > Zoner

2

Om du har en befintlig DNS-zon ska du välja zonen och redigera den.

3

Om det inte finns någon DNS-zon följer du stegen nedan:

  1. Gå till Konfiguration > Zoner > Zoner > Åtkomstregler för standardzon.

  2. Konfigurera en ny DNS-zon för ämnesnamn: sip.webex.com.

  3. Lägg till den nya sökregeln för att dirigera samtal till en ny DNS-routning.


     

    Om du redan har en sökregel för att dirigera trafik till Webex kan du redigera den i stället för att skapa en ny regel.

4

Kontrollera att samtalen valideras och att B2B-samtal inte påverkas.


 

Klicka här för att undvika problem med DNS-matchning.

5

När du har slutfört konfigurationerna går du vidare till nästa avsnitt.

Konfigurera brandväggen för dina nätverkskomponenter så att du får högsta kvaliteten på Webex-upplevelsen på datorer, mobila enheter och videoenheter.

  1. Markera de medieportintervall som används av videoenheter.


    Dessa portar tillhandahålls som referens. Komplett information finns i implementeringsguiden och tillverkarens rekommendationer.

    Tabell 1. Standardportar som används av enheter för videosamarbete

    Protokoll

    Portnummer

    Riktning

    Åtkomsttyp

    Kommentarer

    TCP

    5060–5070

    Utgående

    SIP-signalering

    Mediaedge för Webex lyssnar på 5060–5070. Mer information finns i konfigurationsguiden för den specifika tjänst som används: Cisco Webex Meetings Enterprise implementeringsguide för videoenhetsaktiverade möten.

    TCP

    5060, 5061 och 5062

    Inkommande

    SIP-signalering

    Inkommande SIP-signaltrafik från Cisco Webex-molnet

    TCP/UDP

    Tillfälliga portar 36000–59999

    Inkommande och utgående

    Mediaportar

    Om du använder Cisco Expressway måste medieintervallen ställas in som 36000–59999. Om du använder videoenhet från tredje part eller en samtalskontroll måste den konfigureras för att använda det här intervallet.

Mer information om brandväggsinställningar finns i Hur tillåter jag Webex Meetings-trafik i nätverket.