感谢您的反馈。
配置Expressway进行相互 TLS 验证的用户
反馈?要在本地Webex Meetings无 PIN 的情况下主持会议,您的 Cisco Expressway-E 必须提供受信任的根证书颁发机构 (RCA) 提供的签名证书,以用于相互 TLS (mTLS) 连接。您可以在本文中找到 Cisco 信任的 根 CA 列表。我们仅允许具有有效签名证书的连接。
| 1 |
转至维护
 |
| 2 |
检查当前证书Expressway并且准确无误。
 |
| 3 |
如果已安装证书,请检查证书的有效期,查看其是否有效,并替换为有效的证书。
 |
| 4 |
检查签署该证书的根 CA,确保名称在“企业部署指南”中列出。  有关详细信息,请参阅在 音频和视频平台上进行呼叫时Cisco Webex根证书颁发机构。 |
| 5 |
检查证书是否配置了与组织使用者备用名称 SAN (使用者备用名称)匹配。
 |
| 6 |
使用视频设备呼入您的个人会议室。如果能够连接,则连接成功。 |
| 7 |
完成配置后,将移至下一部分。 |
如果以下内容为 true,请生成 CSR。
-
如果您没有安全服务器Expressway证书
-
如果证书已过期
-
如果 SAN 需要更新,则 SAN 名称与 SIP 地址用户名
| 1 |
生成 CSR(证书签名请求)过程。
 |
| 2 |
确保证书中所需的 SAN 列在了 附加备用名称字段 上。
 |
| 3 |
将 CSR 提交给您所选择的根 CA。从受支持的列表中选择一个 CA。请参阅生成 证书签名请求 一 节(Cisco Webex Meetings视频设备会议的企业部署指南)。 |
| 4 |
获取从根 CA 签名的证书。 |
| 5 |
如果您使用外部系统生成 CSR,还必须上传用于加密服务器证书的服务器私钥 PEM 文件。(如果之前使用私钥生成并存储私钥Expressway生成该服务器证书的 CSR,该文件就会被自动生成并存储。)
|
| 6 |
单击 上传服务器证书数据。
 |
| 7 |
完成配置后,将移至下一部分。 |
| 1 |
下载 IdenTrust 商业根 CA 1 并将其保存在本地,文件名为 |
| 2 |
在所有用于混合服务的高速公路上,导航至 。 |
| 3 |
转到 浏览,上传 |
| 4 |
验证证书是否已成功上传并存在于 Expressway 信任库中。 |
-
检查您的计算机上是否配置了域名系统 (DNS) Expressway。
-
使用 DNS 的两种类型的呼叫是 B2B(现有)和 Webex呼叫。如果 B2B 呼叫已经设置,我们建议为强制其使用 mTLS Webex一个唯一的 DNS 区域。
在Expressway X8.10 及更新版本上,使用步骤修改和创建 DNS 区域。
在继续 Expressway 配置之前,请备份现有设置,这样您始终可以恢复设置并返回到运行状态。
| 1 |
转到
 |
| 2 |
如果您有现有的 DNS 区域,请选择该区域并编辑它。
 |
| 3 |
如果 DNS 区域不存在,请执行以下步骤:
|
| 4 |
确保呼叫已验证并且 B2B 呼叫不受影响。 |
| 5 |
完成配置后,将移至下一部分。 |
配置网络组件的防火墙,使Webex、移动设备和视频设备上获得最高质量的会议体验。
-
检查视频设备使用的媒体端口范围。
提供这些端口作为参考。请参阅部署指南和制造商建议获得完整的详细信息。
表 1. 视频协作设备使用的缺省端口 协议
端口号码
指导
登录时间
意见、评论
TCP
5060-5070
出站
SIP 信令
Webex 媒体 edge 在 5060-5070 上侦听。有关详细信息,请参阅有关使用的特定服务的配置指南:Cisco Webex Meetings 企业部署指南(适用于支持视频设备的会议) 。
TCP
5060、5061 和 5062
入站
SIP 信令
来自云的入站 SIP Cisco Webex流量
TCP / UDP
临时端口 36000-59999
入站和出站
媒体端口
如果您使用 Cisco Expressway,则媒体范围需要设为 36000-59999。如果您使用第三方视频设备或呼叫控制,则需要配置它们以使用此范围。
有关防火墙设置的信息,请参阅 如何允许Webex Meetings流量。
