Щоб проводити зустрічі Webex без PIN-КОДУ на локальних пристроях, ваш Cisco Expressway-E повинен пропонувати підписані сертифікати від надійних кореневих сертифікаційних центрів (RCA) для взаємних з 'єднань TLS (mTLS). У цій статті ви можете знайти список кореневих ЦС, яким довіряє Cisco. Ми дозволяємо лише ті з 'єднання, які мають дійсні підписані сертифікати.

Якщо ви використовуєте Expressway-E для Webex для уряду, ви повинні увімкнути mTLS.
Перевірте, чи встановлено сертифікат сервера
1

Перейдіть до розділу Технічне обслуговування > Безпека > Сертифікат сервера.

2

Перевірте, чи існує поточний сертифікат швидкісної дороги і чи є він точним.

3

Якщо сертифікат встановлено, перевірте дату закінчення терміну дії сертифіката, щоб перевірити, чи дійсний він чи ні, і замініть його дійсним сертифікатом.

4

Перевірте, який кореневий ЦС підписав цей сертифікат, і переконайтеся, що назва вказана в Посібнику з розгортання підприємства.

Докладніші відомості див. у розділі "Які центри кореневих сертифікатів підтримуються для дзвінків на аудіо- та відеоплатформи Cisco Webex".

5

Перевірте, чи сертифікат має належну налаштовану САН (альтернативну назву суб 'єкта), яка відповідає налаштуванням організації.

6

Використовуючи відеопристрій, зателефонуйте до особистої кімнати. Якщо ви можете підключитися, то з 'єднання буде успішним.

7

Після завершення налаштувань перейдіть до наступного розділу.

Перевірте, чи не існує сертифікат сервера швидкісних автомагістралей або чи термін його дії закінчився

Якщо будь-яка з наведених нижче істинна, створіть КСВ.

  • Якщо у вас немає сертифіката сервера Expressway

  • Якщо термін дії сертифіката закінчився

  • Якщо потрібно оновити SAN, тобто ім 'я SAN не збігається з ім' ям користувача SIP

1

Створити процес запиту на підписання сертифіката (CSR).

2

Переконайтеся, що в полі Додаткова альтернативна назва вказано САН, який вам потрібен у сертифікаті.

3

Надішліть свій КСВ до кореневого ЦС на ваш вибір. Виберіть ЦС зі списку, який підтримується. Див. розділ «Створення запиту на підписання сертифікатів» посібника з розгортання Cisco Webex Meetings Enterprise для зустрічей з використанням відеопристроїв.

4

Отримати сертифікат, підписаний з кореневого ЦС.

5

Якщо ви використовували зовнішню систему для створення CSR, ви також повинні завантажити файл PEM закритого ключа сервера, який використовувався для шифрування сертифіката сервера. (Файл закритого ключа буде автоматично створено та збережено раніше, якщо для створення CSR для цього сертифіката сервера використовувалася швидкісна дорога.)

  • Файл PEM закритого ключа сервера не повинен бути захищений паролем.

  • Не можна завантажити приватний ключ сервера, якщо виконується запит на підписання сертифіката.

6

Натисніть Завантажити дані сертифіката сервера.

7

Після завершення налаштувань перейдіть до наступного розділу.

Додати сертифікат Webex до мого списку довірчих сертифікатів
1

Переконайтеся, що центр видачі сертифікатів для сертифіката Webex вказано в списку довірених сертифікатів CA. Перейдіть до розділу Технічне обслуговування > Безпека > Сертифікат надійного ЦС.

Для безперебійного обслуговування встановіть первинні та вторинні кореневі ЦС. Quovadis Root CA є поточним, а DSTx3 Root CA зарезервований для майбутнього використання. Обидва ці сертифікати повинні бути присутніми.

2

Список довірених сертифікатів ЦС містить сертифікат QuoVadis. Щоб перевірити, чи це найсвіжіший сертифікат, див. посібник з розгортання Cisco Webex Meetings Enterprise для зустрічей з використанням відеопристроїв.

3

Клацніть довірений сертифікат ЦС, знайдіть сертифікат QuoVadis і натисніть кнопку View decoded (Перегляд декодованого) в крайньому правому куті.

4

Перевірте атрибути (SHA256) сертифіката.

Ключ повноважень X509v3

Ідентифікатор:keyid:1A:84:62:BC:48:4C:33:25:04:D4:EE:D0:F6:03:C4:19:46:D1:94:6BDirName:/C=BM/O=QuoVadis Limited/CN=QuoVadis Root CA 2serial:05:09

Кореневий ЦС DSTx3

O=Digital Signature Trust Co./CN=DST Root CA X3 Fingerprint (SHA1) dac9024f54d8f6df94935fb1732638ca6ad77c13C=BM/O=QuoVadis Limited/CN=QuoVadis Root CA 2 Fingerprint (SHA1) ca3afbcf1240364b44b216208880483919937cf7

5

Натисніть Trusted CA (довірене ЦС).

Ключ повноважень може змінюватися під час обертання клавіш.

6

Якщо сертифікат ЦС відсутній, зверніться до списку Налаштування довірених ЦС у посібнику з розгортання зустрічей Cisco Webex для зустрічей з використанням відеопристроїв.

Перевірте правильність налаштування зони DNS

  • Перевірте, чи налаштовано зону DNS на вашій швидкісній автомагістралі.

  • Двома типами викликів, які використовують DNS, є виклики B2B (існуючі) та Webex. Якщо виклики B2B вже налаштовані, ми рекомендуємо унікальну зону DNS для викликів Webex, які змушують її використовувати mTLS.

У версіях Expressway X8.10 і вище, скористайтеся кроками для зміни та створення і DNS Zone.

Перш ніж перейти до налаштувань швидкісної дороги, виконайте резервне копіювання наявних налаштувань, щоб завжди можна було повернути налаштування та повернутися до робочого стану.

1

Перейдіть до меню Конфігурація > Зони > Зони

2

Якщо у вас існуюча зона DNS, виберіть її та відредагуйте.

3

Якщо зони DNS не існує, виконайте наведені нижче дії.

  1. Перейдіть до Configuration > Zones > Zones > Default Zone access rules (Налаштування > Зони > Зони > Правила доступу до зон за замовчуванням).

  2. Налаштуйте нову зону DNS для імені суб 'єкта: sip.webex.com.

  3. Додайте нове правило пошуку для маршрутизації дзвінка за новим маршрутом DNS.

    Якщо у вас вже є правило пошуку для маршрутизації трафіку до Webex, відредагуйте його, а не створюйте нове правило.

4

Переконайтеся, що дзвінки перевірені, і дзвінки B2B не впливають.

Щоб уникнути проблем з вирішенням DNS, натисніть тут.

5

Після завершення налаштувань перейдіть до наступного розділу.

Перевірте налаштування брандмауера та дозвіл для швидкісної дороги

Налаштуйте брандмауер для своїх мережевих компонентів, щоб отримати найвищу якість веб-експлуатації на своїх комп 'ютерах, мобільних пристроях і відеопристроях.

  1. Перевірте діапазони мультимедійних портів, які використовуються відеопристроями.

    Ці порти надаються в якості довідки. Повну інформацію див. у посібнику з розгортання та рекомендаціях виробника.

    Таблиця 1. Порти за замовчуванням, що використовуються пристроями відеоспільної роботи

    Протокол

    Номери портів

    Напрямок

    Тип доступу

    Коментарі

    TCP

    5060-5070

    Вихідний

    Сигнали SIP

    Медіавузол Webex приймає трафік портів у діапазоні 5060–5070. Для отримання додаткової інформації, будь ласка, дивіться посібник з конфігурації щодо конкретної служби, що використовується: Посібник із розгортання Cisco Webex Meetings для компаній для нарад із підтримкою відеопристроїв.

    TCP

    5060, 5061 та 5062

    Вхідний

    Сигнали SIP

    Вхідний трафік сигналізації SIP з хмари Cisco Webex

    TCP / UDP

    Ефемерні порти 36000-59999

    Вхідний і вихідний

    Медіапорти

    Якщо ви використовуєте Cisco Expressway, для медіапортів потрібно встановити діапазон 36000–59999. Якщо ви використовуєте сторонній відеопристрій або систему керування дзвінками, її потрібно налаштувати для використання цього діапазону.

Додаткову інформацію про налаштування брандмауера див. у розділі "Як дозволити трафік зустрічей Webex у моїй мережі".