要在内部设备上无需 PIN 托管Webex Meetings, Cisco Expressway-E 必须提供受信任的根证书颁发机构 (RCA) 的签名证书,以用于 MTLS 连接。 您可以找到Cisco信任的根 CA 列表这篇文章。 我们只允许具有有效签名证书的连接。


 
如果您使用 Expressway-E for Webex for Government,则必须启用 mTLS。

检查是否已安装服务器证书

1

转至维护>安全性>服务器证书

2

检查当前的 Expressway 证书是否存在且是否准确。

3

如果已安装证书,请检查证书的到期日期以确认其是否有效,然后使用有效的证书替换它。

4

检查签署此证书的根 CA 的名称,并确保其名称列在《企业部署指南》中。


 

有关更多信息,请参阅对Cisco Webex音频和视频平台的呼叫支持哪些根证书颁发机构

5

检查证书是否配置了与组织设置匹配的正确 SAN(使用者备用名称)。

6

使用视频设备呼入您的个人会议室。 如果能够连接,则连接成功。

7

完成配置后,转至下一部分。

检查 Expressway 服务器证书是否不存在或已过期

如果以下任一情况为真,则生成客户支持代表。

  • 如果您没有 Expressway服务器证书

  • 如果证书已过期

  • 如果需要更新 SAN,即 SAN 名称与 SIP用户名不匹配

1

生成 CSR(证书签名请求)流程。

2

确保证书中所需的 SAN 列在其他备用名称字段。

3

将您的 CSR 提交给所选的根 CA。 从支持的列表中选择 CA。 请参阅生成证书签名请求中的部分针对启用视频设备的会议的Cisco Webex Meetings企业版部署指南

4

获取从根 CA 签名的证书。

5

如果使用外部系统生成 CSR,则还必须上传用于加密服务器证书的服务器私钥 PEM 文件。 (如果使用 Expressway 生成此服务器证书的 CSR,之前将自动生成并存储私钥文件。)

  • 服务器私钥PEM 文件不得设置密码保护。

  • 如果证书签名请求进行中,则无法上传服务器私钥。

6

单击上传服务器证书数据

7

完成配置后,转至下一部分。

将 Webex 证书添加到我的受信任证书列表中

1

确保 Webex 证书的颁发证书颁发机构列在受信任的CA 证书列表中。 转至维护>安全性>受信任的 CA 证书


 

对于不间断的服务,安装主要和辅助 根 CA。 Quovadis 根 CA 是最新的,DSTx3 根 CA 保留以备将来使用。 这两个证书都需要存在。

2

受信任的CA 证书列表包含 QuoVadis 证书。 要检查证书是否为最新证书,请参阅针对启用视频设备的会议的Cisco Webex Meetings企业版部署指南

3

单击受信任的CA 证书,找到 QuoVadis 证书,然后单击查看已解码按钮。

4

检查证书的属性 (SHA256)。

X509v3 权限密钥

Identifier:keyid:1A:84:62:BC:48:4C:33:25:04:D4:EE:D0:F6:03:C4:19:46:D1:94:6BDirName:/C=BM/O=QuoVadis Limited/CN=QuoVadis Root CA 2serial:05:09

DSTx3 根 CA

O=Digital Signature Trust Co./CN=DST Root CA X3 Fingerprint (SHA1) dac9024f54d8f6df94935fb1732638ca6ad77c13C=BM/O=QuoVadis Limited/CN=QuoVadis Root CA 2 Fingerprint (SHA1) ca3afbcf1240364b44b216208880483919937cf7

5

单击受信任的 CA


 

权限密钥在轮换密钥时可能会发生变化。

6

如果CA 证书不存在,请参阅配置受信任的 CA 列表针对启用视频设备的会议的Cisco Webex Meetings企业版部署指南

检查您的 DNS 区域配置是否正确

  • 检查您的 Expressway 上是否配置了域名系统 (DNS) 区域。

  • 使用 DNS 的呼叫有两种类型:B2B(现有)呼叫和 Webex 呼叫。 如果已设置 B2B 呼叫,我们建议 Webex 呼叫使用唯一的 DNS 区域,强制其使用 mTLS。

在 Expressway X8.10 及更高版本上,使用步骤修改和创建 DNS 区域。


 

在继续进行 Expressway 配置之前,请备份现有设置,以便始终可以还原设置并返回到运行状态。

1

转至配置>区域>区域

2

如果您已存在 DNS 区域,请选择该区域并进行编辑。

3

如果 DNS 区域不存在,请执行以下步骤:

  1. 转至配置>区域>区域>缺省区域访问规则

  2. 为主题名称配置新的 DNS 区域: sip.webex.com。

  3. 添加新的搜索规则,以通过新的 DNS 路由路由呼叫。


     

    如果您已有用于将流量路由到 Webex 的搜索规则,请进行编辑,而不是创建新规则。

4

确保呼叫已经过验证,并且 B2B 呼叫不受影响。


 

要避免出现 DNS 解析问题,请单击在这里

5

完成配置后,转至下一部分。

检查 Expressway 的防火墙配置和允许列表

为您的网络组件配置防火墙,以便在您的计算机、移动设备和视频设备上获得最高质量的 Webex 体验。

  1. 检查视频设备使用的媒体端口范围。


     

    这些端口仅供参考。 请参阅部署指南和制造商建议获取完整详细信息。

    表 1. 视频协作设备使用的默认端口

    协议

    端口号码

    指导

    访问类型

    条评论

    TCP

    5060-5070

    出站

    SIP 信令

    Webex 媒体 edge 在 5060-5070 上侦听。 有关更多信息,请参阅所用特定服务的配置指南: 针对启用视频设备的会议的Cisco Webex Meetings企业版部署指南

    TCP

    5060、5061 和 5062

    入站

    SIP 信令

    来自Cisco Webex云的入站SIP 信令流量

    TCP / UDP

    临时端口 36000-59999

    入站和出站

    媒体端口

    如果您使用 Cisco Expressway,则媒体范围需要设为 36000-59999。 如果您使用的是第三方视频设备或呼叫控制,则需要对其进行配置以使用此范围。

有关防火墙设置的更多信息,请参阅如何在我的网络上允许Webex Meetings流量