要在本地设备上不使用 PIN 来主持 Webex 会议,您的 Cisco Expressway-E 必须为相互 TLS (mTLS) 连接提供来自可信根证书颁发机构 (RCA) 列表的签名证书。单击此处转至思科信任的根 CA 列表。由此列表中的机构签名的证书被视为有效,系统会允许连接。

1

转至维护 > 安全 > 服务器证书

2

检查最新的 Expressway 证书是否存在以及是否准确。

3

如果证书已安装,检查证书的到期日期以确认其是否有效,或者将其替换为有效证书。

4

检查签署此证书的根 CA,并确保其名称列于企业部署指南中。

5

检查证书是否配置了与组织设置匹配的正确 SAN(使用者备用名称)。

6

使用视频设备拨入个人会议室。如果可以连接,说明连接成功。

7

完成配置后,移至下一部分。

如果存在以下任一情况,生成 CSR。

  • 没有 Expressway 服务器证书

  • 证书已过期

  • 需要更新 SAN,即 SAN 名称与 SIP 用户名不匹配

1

生成证书签名请求 (CSR) 流程。

2

确保证书中所需的 SAN 列于其他备用名称字段。

3

将 CSR 提交到所选的根 CA。从支持的列表中选择 CA。请参阅《适用于启用视频设备的会议的 Cisco Webex Meetings 企业部署指南》中的生成证书签名请求部分。

4

获取根 CA 签名的证书。

5

如果使用外部系统生成 CSR,还必须上传用于加密服务器证书的服务器私钥 PEM 文件。(如果使用 Expressway 为该服务器证书生成 CSR,则该私钥文件会更早自动生成并存储。)

  • 服务器私人密钥 PEM 文件不得使用密码保护。

  • 如果正在进行证书签名请求,则无法上传服务器私钥。

6

单击上传服务器证书数据

7

完成配置后,移至下一部分。

1

确保可信 CA 证书列表下列出了 Webex 证书的颁发机构。转至维护 > 安全 > 可信 CA 证书


 

为确保服务不间断,请安装主要和辅助根 CA。Quovadis 根 CA 为当前所用,DSTx3 根 CA 留作将来使用。两个证书都必须存在。

2

可信 CA 证书列表中包含 QuoVadis 证书。要检查其是否为最新证书,请参阅《适用于启用视频设备的会议的 Cisco Webex Meetings 企业部署指南》

3

单击可信 CA 证书,查找 QuoVadis 证书,然后单击最右侧的查看解码的证书按钮。

4

检查证书的属性 (SHA256)。

X509v3 机构密钥

Identifier:keyid:1A:84:62:BC:48:4C:33:25:04:D4:EE:D0:F6:03:C4:19:46:D1:94:6BDirName:/C=BM/O=QuoVadis Limited/CN=QuoVadis Root CA 2serial:05:09

DSTx3 根 CA

O=Digital Signature Trust Co./CN=DST Root CA X3 Fingerprint (SHA1) dac9024f54d8f6df94935fb1732638ca6ad77c13C=BM/O=QuoVadis Limited/CN=QuoVadis Root CA 2 Fingerprint (SHA1) ca3afbcf1240364b44b216208880483919937cf7

5

单击可信 CA


 

随着密钥的流转,机构密钥会发生变化。

6

如果未提供 CA 证书,请参阅《适用于启用视频设备的会议的 Cisco Webex Meetings 企业部署指南》中的配置可信 CA 列表

  • 检查您的 Expressway 上是否配置了域名系统 (DNS) 区域。

  • 使用 DNS 的呼叫有两种类型:B2B(现有)和 Webex 呼叫。如果已设置 B2B 呼叫,我们建议为 Webex 呼叫设置唯一的 DNS 区域,以强制其使用 mTLS。

在 Expressway 版本 X8.10 及更高版本上,按照修改和创建 DNS 区域的步骤操作。


在继续配置 Expressway 之前,请先备份现有的设置,以便始终可以恢复设置并返回到运行状态。

1

转至配置 > 区域 > 区域

2

如果有一个现有的 DNS 区域,选择该区域并进行编辑。

3

如果 DNS 区域不存在,请执行以下步骤:

  1. 转至配置 > 区域 > 区域 > 默认区域访问规则

  2. 为主题名称配置新的 DNS 区域:sip.webex.com。

  3. 添加新的搜索规则以在新的 DNS 路由上路由呼叫。


     

    如果已经有用于将流量路由到 Webex 的搜索规则,请编辑该规则而不是创建新的规则。

4

确保呼叫经验证并且 B2B 呼叫不受影响。


 

要避免 DNS 解析问题,请单击此处

5

完成配置后,移至下一部分。

为网络组件配置防火墙,以便在计算机、移动设备和视频设备上获得最高质量的 Webex 体验。

  1. 检查视频设备所用的媒体端口范围。


    这些端口作为参考提供。有关完整的详细信息,请参阅部署指南和制造商建议。

    表 1. 视频协作设备所用的默认端口

    协议

    端口号

    方向

    访问类型

    备注

    TCP

    5060-5070

    出站

    SIP 信令

    Webex 媒体边缘侦听 5060-5070。有关详细信息,请参阅所用特定服务的配置指南:《适用于启用视频设备的会议的 Cisco Webex Meetings 企业部署指南》

    TCP

    5060、5061 和 5062

    入站

    SIP 信令

    来自 Cisco Webex cloud 的入站 SIP 信令流量

    TCP/UDP

    临时端口 36000-59999

    入站和出站

    媒体端口

    如果使用的是 Cisco Expressway,媒体范围需设置为 36000-59999。如果使用的是第三方视频设备或呼叫控制,则需要将其配置为使用此范围。

有关防火墙设置的详细信息,请参阅如何在我的网络上允许 Webex 会议流量