Щоб проводити вебекс-зустрічі без PIN-коду на локальному пристрої, потрібно, щоб cisco Expressway-E пропонувала підписані сертифікати зі списку довірених кореневих центрів сертифікації (RCA) для взаємних TLS (mTLS) з'єднань. Натисніть тут , щоб перейти до списку кореневих ЦС, яким довіряє Cisco. Сертифікати, підписані органами влади в цьому списку, вважаються дійсними, і підключення буде дозволено.

1.

Перейдіть до розділу Обслуговування > сертифіката> сервера безпеки.

2.

Перевірте, чи існує поточний сертифікат швидкісної дороги та чи є він точним.

3.

Якщо сертифікат установлено, перевірте дату закінчення терміну дії сертифіката, щоб дізнатися, дійсний він чи ні, і замініть його дійсним сертифікатом.

4.

Перевірте, який кореневий ЦС підписав цей сертифікат, і переконайтеся, що ім'я зазначено в Посібнику з корпоративного розгортання.

5.

Перевірте, чи настроєно в сертифікаті належний SAN (альтернативне ім'я суб'єкта), який відповідає параметрам організації.

6

За допомогою відеопристрою зателефонуйте в особисту кімнату. Якщо у вас є можливість підключитися, значить, з'єднання проходить успішно.

7

Після завершення конфігурацій перейдіть до наступного розділу.

Якщо щось із наведеного нижче відповідає дійсності, створіть КСВ.

  • Якщо у вас немає сертифіката сервера Expressway

  • Якщо термін дії сертифіката закінчився

  • Якщо SAN потрібно оновити, тобто ім'я SAN не збігається з іменем користувача SIP

1.

Створіть процес CSR (запит на підписання сертифіката).

2.

Переконайтеся, що потрібний SAN у сертифікаті вказано в полі Додаткове альтернативне ім'я .

3.

Подайте свою КСВ в кореневий ЦС на ваш вибір. Виберіть ЦС зі списку, що підтримується. Зверніться до розділу «Створити запит на підписання сертифіката» в Посібнику з розгортання cisco Webex Meetings Enterprise для нарад із підтримкою відеопристроїв.

4.

Отримайте підписаний сертифікат з кореневого ЦС.

5.

Якщо ви використовували зовнішню систему для генерації CSR, ви також повинні завантажити файл PEM приватного ключа сервера, який використовувався для шифрування сертифіката сервера. (Файл закритого ключа буде автоматично згенеровано та збережено раніше, якщо expressway використовувався для створення сертифіката CSR для цього сервера.)

  • Файл PEM приватного ключа сервера не повинен бути захищений паролем.

  • Ви не можете завантажити закритий ключ сервера, якщо виконується запит на підписання сертифіката.

6

Виберіть пункт Передати данісертифіката сервера.

7

Після завершення конфігурацій перейдіть до наступного розділу.

1.

Переконайтеся, що центр видачі сертифіката Webex міститься у списку довірених сертифікатів ЦС. Перейдіть до розділу Обслуговування > > надійного сертифіката ЦС.


 

Для безперебійних послуг встановіть первинні та вторинні кореневі CAs. Quovadis Root CA є поточним, а DSTx3 Root CA зарезервований для подальшого використання. Обидва ці сертифікати повинні бути присутніми.

2.

Список надійних сертифікатів ЦС містить сертифікат QuoVadis. Щоб перевірити, чи це найактуальніший сертифікат, зверніться до Посібника з розгортання Cisco Webex Meetings Enterprise для нарад із підтримкою відеопристрою.

3.

Клацніть довірений сертифікат ЦС, знайдіть сертифікат QuoVadis і натисніть кнопку Переглянути розшифрований у крайньому правому куті.

4.

Перевірте атрибути (SHA256) сертифіката.

X509v3 Ключ авторитету

Identifier:keyid:1A:84:62:BC:48:4C:33:25:04:D4:EE:D0:F6:03:C4:19:46:D1:94:6BDirName:/C=BM/O=QuoVadis Limited/CN=QuoVadis Root CA 2serial:05:09

Корінь DSTx3 CA

O=Digital Signature Trust Co./CN=DST Root CA X3 Fingerprint (SHA1) dac9024f54d8f6df94935fb1732638ca6ad77c13C=BM/O=QuoVadis Limited/CN=QuoVadis Root CA 2 Fingerprint (SHA1) ca3afbcf1240364b44b216208880483919937cf7

5.

Виберіть надійний ЦС.


 

Ключ авторитету може бути змінений під час обертання ключів.

6

Якщо сертифікат ЦС відсутній, зверніться до списку Настроювання надійного ЦС у Посібнику з розгортання корпоративних нарад Cisco Webex для нарад із підтримкою відеопристроїв.

  • Перевірте, чи настроєно зону доменної системи іменування (DNS) на швидкісній дорозі.

  • Два типи викликів, для яких використовується служба DNS: B2B (наявний) і Webex-виклики. Якщо B2B-виклики вже настроєно, ми рекомендуємо унікальну зону DNS для викликів Webex, яка змушує його використовувати mTLS.

На швидкісній автомагістралі версії X8.10 і вище виконайте кроки, щоб змінити і створити зону DNS.


Перш ніж продовжити роботу з конфігураціями швидкісної дороги, зробіть резервну копію наявних настройок, щоб ви завжди могли повернути настройки та повернутися до робочого стану.

1.

Перейдіть до розділу Конфігурація > зон > зон

2.

Якщо у вас є існуюча зона DNS, виберіть її та відредагуйте.

3.

Якщо зони DNS не існує, виконайте наведені нижче дії.

  1. Перейдіть до розділу Налаштування > Зони > Зони > Правиладоступу до зони за замовчуванням.

  2. Настроювання нової зони DNS для імені суб'єкта: sip.webex.com.

  3. Додайте нове правило пошуку, щоб маршрутизувати виклик за новим маршрутом DNS.


     

    Якщо у вас уже є правило пошуку для маршрутизації трафіку до Webex, відредагуйте його замість створення нового правила.

4.

Переконайтеся, що виклики перевірено, а B2B-виклики не зачіпаються.


 

Щоб уникнути проблем із вирішенням служби DNS, натисніть тут.

5.

Після завершення конфігурацій перейдіть до наступного розділу.

Налаштуйте брандмауер для своїх мережевих компонентів, щоб ви отримували найвищу якість Webex на своїх комп'ютерах, мобільних пристроях і відеопристроїв.

  1. Перевірте діапазони медіапортів, які використовуються відеопристроями.


    Ці порти надаються в якості довідкового. Для отримання повної інформації зверніться до посібника з розгортання та рекомендації виробника.

    Таблиця 1. Порти за замовчуванням, які використовуються пристроями для спільної роботи з відео

    Протокол

    Номер(и) порту

    Напрямок

    Тип доступу

    Коментарі

    TCP

    5060-5070

    Вихідних

    SIP сигналізація

    Webex media edge слухає на 5060 - 5070. Для отримання додаткової інформації, будь ласка, перегляньте посібник із налаштування конкретної служби, що використовується: Посібник із розгортання корпоративних нарад Cisco Webex для нарад із підтримкою відеопристрою.

    TCP

    5060, 5061 та 5062

    Вхідні

    SIP сигналізація

    Вхідний SIP-сигнальний трафік з хмари Cisco Webex

    TCP / UDP

    Ефемерні порти 36000-59999

    Вхідні та вихідні

    Медіапорти

    Якщо ви використовуєте швидкісну автомагістраль Cisco, діапазони медіасигналів мають бути встановлені на 36000-59999. Якщо ви використовуєте сторонній відеопристрій або керування викликами, їх потрібно настроїти на використання цього діапазону.

Щоб отримати додаткові відомості про налаштування брандмауера, перегляньте статтю Як дозволити трафік вебекс-зустрічей у моїй мережі.