要在本地Webex Meetings无 PIN 的情况下主持会议,您的 Cisco Expressway-E 必须提供受信任的根证书颁发机构 (RCA) 提供的签名证书,以用于相互 TLS (mTLS) 连接。您可以在本文中找到 Cisco 信任的 根 CA 列表。我们仅允许具有有效签名证书的连接。

如果您将 Expressway-E Webex,则必须启用 mTLS。
检查是否安装了服务器证书
1

转至维护 > 安全> 服务器证书。

2

检查当前证书Expressway并且准确无误。

3

如果已安装证书,请检查证书的有效期,查看其是否有效,并替换为有效的证书。

4

检查签署该证书的根 CA,确保名称在“企业部署指南”中列出。

有关详细信息,请参阅在 音频和视频平台上进行呼叫时Cisco Webex根证书颁发机构

5

检查证书是否配置了与组织使用者备用名称 SAN (使用者备用名称)匹配。

6

使用视频设备呼入您的个人会议室。如果能够连接,则连接成功。

7

完成配置后,将移至下一部分。

检查 Expressway 服务器证书不存在或已过期

如果以下内容为 true,请生成 CSR。

  • 如果您没有安全服务器Expressway证书

  • 如果证书已过期

  • 如果 SAN 需要更新,则 SAN 名称与 SIP 地址用户名

1

生成 CSR(证书签名请求)过程。

2

确保证书中所需的 SAN 列在了 附加备用名称字段 上。

3

将 CSR 提交给您所选择的根 CA。从受支持的列表中选择一个 CA。请参阅生成 证书签名请求节(Cisco Webex Meetings视频设备会议的企业部署指南)。

4

获取从根 CA 签名的证书。

5

如果您使用外部系统生成 CSR,还必须上传用于加密服务器证书的服务器私钥 PEM 文件。(如果之前使用私钥生成并存储私钥Expressway生成该服务器证书的 CSR,该文件就会被自动生成并存储。)

  • 服务器 私钥 PEM 文件不能受密码保护。

  • 如果证书签名请求正在进行中,则不能上传服务器私钥。

6

单击 上传服务器证书数据

7

完成配置后,将移至下一部分。

在我的Webex证书列表中添加证书
1

确保证书颁发机构Webex受信任的 CA 证书列表下列出。转至维护 > 安全> 受信任的 CA 证书。

要不间断地使用服务,请安装主和辅助根证书库。Quovadis Root CA 为当前版本,DSTx3 根 CA 已保留,供将来使用。这两个证书都需要存在。

2

受信任的 CA 证书列表中包含 QuoVadis 证书。要检查该证书是否最新, 请参阅《Cisco Webex Meetings视频设备会议企业部署指南》。

3

单击受信任的 CA 证书,查找 QuoVadis 证书,然后单击 最右边的查看解码按钮。

4

检查证书的属性 (SHA256)。

X509v3 机构密钥

标识符:keyid:1A:84:62:BC:48:4C:33:25:04:D4:EE:D0:F6:03:C4:19:46:D1:94:6BDirName:/C=BM/O=QuoVadis Limited/CN=QuoVadis Root CA 2serial:05:09

DSTx3 根 CA

O=Digital Signature Trust Co./CN=DST Root CA X3指纹(SHA1) dac9024f54d8f6df94935fb1732638ca6ad77c13c=bm/o=QuoVadis Limited/CN=QuoVadis Root CA 2指纹(SHA1) ca3afbcf1240364b44b216208880483919937cf7

5

单击 受信任的 CA

机构密钥在旋转密钥时可能会发生变化。

6

如果 CA 证书不存在, 请参阅配置受信任的 CA 列表(Cisco Webex Meetings视频设备会议企业部署指南)。

检查 DNS 区域配置是否正确

  • 检查您的计算机上是否配置了域名系统 (DNS) Expressway。

  • 使用 DNS 的两种类型的呼叫是 B2B(现有)和 Webex呼叫。如果 B2B 呼叫已经设置,我们建议为强制其使用 mTLS Webex一个唯一的 DNS 区域。

在Expressway X8.10 及更新版本上,使用步骤修改和创建 DNS 区域。

在继续 Expressway 配置之前,请备份现有设置,这样您始终可以恢复设置并返回到运行状态。

1

转至配置 > 区域 > 区域

2

如果您有现有的 DNS 区域,请选择该区域并编辑它。

3

如果 DNS 区域不存在,请执行以下步骤:

  1. 转至配置 区域 > 区域> 缺省 >区域访问规则。

  2. 为主题名称配置新的 DNS 区域:sip.webex.com.

  3. 添加新搜索规则以将呼叫路由到新的 DNS 路由。

    如果您已有将流量路由到该Webex,请编辑该规则,而不是创建新规则。

4

确保呼叫已验证并且 B2B 呼叫不受影响。

为避免发生 DNS 解析问题,请单击此处

5

完成配置后,将移至下一部分。

检查防火墙配置并允许列出Expressway

配置网络组件的防火墙,使Webex、移动设备和视频设备上获得最高质量的会议体验。

  1. 检查视频设备使用的媒体端口范围。

    提供这些端口作为参考。请参阅部署指南和制造商建议获得完整的详细信息。

    表1。 视频协作设备使用的缺省端口

    协议

    端口号码

    指导

    登录时间

    意见、评论

    TCP

    5060-5070

    出站

    SIP 信令

    Webex 媒体 edge 在 5060-5070 上侦听。有关详细信息,请参阅有关使用的特定服务的配置指南:支持视频设备会议的Cisco Webex Meetings企业部署指南

    TCP

    5060、5061 和 5062

    入站

    SIP 信令

    来自云的入站 SIP Cisco Webex流量

    TCP / UDP

    临时端口 36000-59999

    入站和出站

    媒体端口

    如果您使用 Cisco Expressway,则媒体范围需要设为 36000-59999。如果您使用第三方视频设备或呼叫控制,则需要配置它们以使用此范围。

有关防火墙设置的信息,请参阅 如何允许Webex Meetings流量。