Щоб проводити зустрічі Webex без PIN-КОДУ на локальних пристроях, ваша Cisco Expressway-E повинна пропонувати підписані сертифікати від надійних кореневих центрів сертифікації (RCA) для з 'єднань Mutual TLS (mTLS). Список кореневих ЦС, яким довіряє Cisco, можна знайти в цій статті. Ми дозволяємо тільки з 'єднання, які мають дійсні підписані сертифікати.


 
Якщо ви використовуєте Expressway-E для Webex для уряду, ви повинні увімкнути mTLS.

Перевірте, чи встановлено сертифікат сервера

1.

Перейдіть у розділ Обслуговування > Безпека > Сертифікат сервера.

2.

Перевірте, чи існує поточний сертифікат швидкісної автомагістралі та чи є він точним.

3.

Якщо сертифікат встановлено, перевірте дату закінчення терміну дії сертифіката, щоб побачити, чи є він дійсним чи ні, і замініть його дійсним сертифікатом.

4.

Перевірте, який кореневий ЦС підписав цей сертифікат, і переконайтеся, що ім 'я вказано в посібнику з розгортання підприємства.


 

Для отримання додаткової інформації див. розділ Які кореневі центри сертифікації підтримуються для дзвінків до аудіо- та відеоплатформ Cisco Webex.

5.

Перевірте, чи сертифікат має належну конфігурацію SAN (альтернативної назви суб 'єкта), яка відповідає налаштуванням організації.

6

Використовуючи відеопристрій, зателефонуйте в особисту кімнату. Якщо ви зможете підключитися, то підключення буде успішним.

7

Після завершення конфігурації перейдіть до наступного розділу.

Перевірте, чи сертифікат сервера Expressway не існує або закінчився

Якщо будь-яке з наведених нижче тверджень є істинним, то генерується КСВ.

  • Якщо у вас немає сертифіката сервера Expressway

  • Якщо термін дії сертифіката закінчився

  • Якщо SAN потрібно оновити, то це ім 'я SAN не збігається з ім' ям користувача SIP

1.

Створіть процес КСВ (запит на підписання сертифіката).

2.

Переконайтеся, що в полі Додаткове альтернативне ім 'я вказано потрібний вам SAN в сертифікаті.

3.

Надішліть свою КСВ до кореневого ЦС за вашим вибором. Виберіть ЦС зі списку, що підтримується. Див. розділ Створити запит на підписання сертифіката в посібнику Cisco Webex Meetings Enterprise Deployment Guide for Video Device-Enabled Meetings.

4.

Отримайте сертифікат, підписаний з кореневого ЦС.

5.

Якщо ви використовували зовнішню систему для створення CSR, ви також повинні завантажити файл PEM з закритим ключем сервера, який використовувався для шифрування сертифіката сервера. (Файл приватного ключа буде автоматично створений і збережений раніше, якщо Expressway був використаний для створення CSR для цього сертифіката сервера.)

  • Файл PEM з закритим ключем сервера не повинен бути захищений паролем.

  • Ви не можете завантажити закритий ключ сервера, якщо виконується запит на підписання сертифіката.

6

Натисніть Завантажити дані сертифіката сервера.

7

Після завершення конфігурації перейдіть до наступного розділу.

Додати сертифікат Webex до мого списку довірених сертифікатів

1.

Переконайтеся, що центр видачі сертифікатів для сертифіката Webex вказаний у списку сертифікатів Trusted CA. Перейдіть до розділу Технічне обслуговування > Безпека > Довірений сертифікат ЦС.


 

Для безперебійного обслуговування встановіть первинні та вторинні кореневі ЦС. Quovadis Root CA є поточним, а DSTx3 Root CA зарезервований для майбутнього використання. Обидва сертифікати повинні бути присутніми.

2.

Список довіреного сертифіката CA містить сертифікат QuoVadis. Щоб перевірити, чи є це найновішим сертифікатом, зверніться до посібника Cisco Webex Meetings Enterprise Deployment Guide for Video Device-Enabled Meetings.

3.

Клацніть на довіреному сертифікаті CA, знайдіть сертифікат QuoVadis та натисніть кнопку Переглянути декодоване праворуч.

4.

Перевірте атрибути (SHA256) сертифіката.

Ключ повноважень X509v3

Identifier:keyid:1A:84:62:BC:48:4C:33:25:04:D4:EE:D0:F6:03:C4:19:46:D1:94:6BDirName:/C=BM/O=QuoVadis Limited/CN=QuoVadis Root CA 2serial:05:09

Кореневий ЦС DSTx3

O=Digital Signature Trust Co./CN=DST Root CA X3 Fingerprint (SHA1) dac9024f54d8f6df94935fb1732638ca6ad77c13C=BM/O=QuoVadis Limited/CN=QuoVadis Root CA 2 Fingerprint (SHA1) ca3afbcf1240364b44b216208880483919937cf7

5.

Натисніть надійний ЦС.


 

Ключ повноважень може змінюватися, коли вони обертають ключі.

6

Якщо сертифікат ЦС відсутній, зверніться до списку Configure the Trusted CA (Налаштувати довірений ЦС) в посібнику Cisco Webex Meetings Enterprise Deployment Guide for Video Device-Enabled Meetings (Посібник з корпоративного розгортання зустрічей з підтримкою відеопристроїв).

Перевірте, чи правильно налаштована ваша зона DNS

  • Перевірте, чи є у вас налаштована зона системи доменних імен (DNS) на вашому Expressway.

  • Два типи викликів, які використовують DNS, - це B2B (існуючі) та Webex. Якщо виклики B2B вже налаштовані, ми рекомендуємо унікальну зону DNS для викликів Webex, яка змушує його використовувати mTLS.

На Expressway версії X8.10 і вище, використовуйте кроки для зміни і створення і DNS зони.


 

Перш ніж перейти до конфігурацій швидкісних доріг, скопіюйте існуючі налаштування, щоб ви завжди могли повернути свої налаштування та повернутися до робочого стану.

1.

Перейдіть до Configuration > Zones > Zones (Налаштування > Зони > Зони).

2.

Якщо у вас є існуюча зона DNS, виберіть зону та відредагуйте її.

3.

Якщо DNS-зони не існує, виконайте наведені нижче дії.

  1. Перейдіть до Configuration > Zones > Zones > Default Zone access rules (Конфігурація > Зони > Зони > Правила доступу до зон за замовчуванням).

  2. Налаштуйте нову зону DNS для імені суб 'єкта: sip.webex.com.

  3. Додайте нове правило пошуку для маршрутизації виклику за новим маршрутом DNS.


     

    Якщо у вас вже є правило пошуку для маршрутизації трафіку до Webex, відредагуйте його замість створення нового правила.

4.

Переконайтеся, що дзвінки підтверджені, і дзвінки B2B не зачіпаються.


 

Щоб уникнути проблем з вирішенням DNS, натисніть тут.

5.

Після завершення конфігурації перейдіть до наступного розділу.

Перевірте конфігурацію брандмауера та дозволіть перелік для Expressway

Налаштуйте брандмауер для своїх мережевих компонентів, щоб ви отримували найвищу якість роботи Webex на своїх комп 'ютерах, мобільних пристроях та відеопристроях.

  1. Перевірте діапазони мультимедійних портів, які використовуються відеопристроями.


     

    Ці порти надаються як довідкові. Докладні відомості див. в посібнику з розгортання та рекомендаціях виробника.

    Таблиця 1. Порти за замовчуванням, що використовуються пристроями для спільної роботи з відео

    Протокол

    Номери портів

    Напрямок

    Тип доступу

    Коментарі

    TCP

    5060–5070

    Вихідний

    Сигнали SIP

    Медіавузол Webex приймає трафік портів у діапазоні 5060–5070. Для отримання додаткової інформації, будь ласка, перегляньте посібник з налаштування конкретної використовуваної послуги: Посібник Cisco Webex Meetings Enterprise Deployment Guide for Video Device-Enabled Meetings (Посібник Cisco Webex Meetings Enterprise Deployment Guide for Video Device-Enabled Meetings).

    TCP

    5060, 5061 і 5062

    Вхідний

    Сигнали SIP

    Вхідний SIP-сигнальний трафік з хмари Cisco Webex

    TCP або UDP

    Динамічні порти 36000–59999

    Вхідний і вихідний

    Медіапорти

    Якщо ви використовуєте Cisco Expressway, для медіапортів потрібно встановити діапазон 36000–59999. Якщо ви використовуєте сторонній відеопристрій або керування викликами, їх потрібно налаштувати для використання цього діапазону.

Для отримання додаткової інформації про налаштування брандмауера див. розділ Як дозволити трафік зустрічей Webex у моїй мережі.