要在本地设备上不使用 PIN 来主持 Webex 会议,您的 Cisco Expressway-E 必须为相互 TLS (mTLS) 连接提供来自可信根证书颁发机构 (RCA) 列表的签名证书。单击此处转至思科信任的根 CA 列表。由此列表中的机构签名的证书被视为有效,系统会允许连接。
| 1 |
转至。  |
| 2 |
检查最新的 Expressway 证书是否存在以及是否准确。  |
| 3 |
如果证书已安装,检查证书的到期日期以确认其是否有效,或者将其替换为有效证书。   |
| 4 |
检查签署此证书的根 CA,并确保其名称列于企业部署指南中。 |
| 5 |
检查证书是否配置了与组织设置匹配的正确 SAN(使用者备用名称)。  |
| 6 |
使用视频设备拨入个人会议室。如果可以连接,说明连接成功。 |
| 7 |
完成配置后,移至下一部分。 |
如果存在以下任一情况,生成 CSR。
-
没有 Expressway 服务器证书
-
证书已过期
-
需要更新 SAN,即 SAN 名称与 SIP 用户名不匹配
| 1 |
生成证书签名请求 (CSR) 流程。  |
| 2 |
确保证书中所需的 SAN 列于其他备用名称字段。  |
| 3 |
将 CSR 提交到所选的根 CA。从支持的列表中选择 CA。请参阅《适用于启用视频设备的会议的 Cisco Webex Meetings 企业部署指南》中的生成证书签名请求部分。 |
| 4 |
获取根 CA 签名的证书。 |
| 5 |
如果使用外部系统生成 CSR,还必须上传用于加密服务器证书的服务器私钥 PEM 文件。(如果使用 Expressway 为该服务器证书生成 CSR,则该私钥文件会更早自动生成并存储。)
|
| 6 |
单击上传服务器证书数据。  |
| 7 |
完成配置后,移至下一部分。 |
| 1 |
确保可信 CA 证书列表下列出了 Webex 证书的颁发机构。转至。
 |
||
| 2 |
可信 CA 证书列表中包含 QuoVadis 证书。要检查其是否为最新证书,请参阅《适用于启用视频设备的会议的 Cisco Webex Meetings 企业部署指南》。  |
||
| 3 |
单击可信 CA 证书,查找 QuoVadis 证书,然后单击最右侧的查看解码的证书按钮。
|
||
| 4 |
检查证书的属性 (SHA256)。 X509v3 机构密钥
DSTx3 根 CA
|
||
| 5 |
单击可信 CA。
|
||
| 6 |
如果未提供 CA 证书,请参阅《适用于启用视频设备的会议的 Cisco Webex Meetings 企业部署指南》中的配置可信 CA 列表。 |
-
检查您的 Expressway 上是否配置了域名系统 (DNS) 区域。
-
使用 DNS 的呼叫有两种类型:B2B(现有)和 Webex 呼叫。如果已设置 B2B 呼叫,我们建议为 Webex 呼叫设置唯一的 DNS 区域,以强制其使用 mTLS。
在 Expressway 版本 X8.10 及更高版本上,按照修改和创建 DNS 区域的步骤操作。
 |
在继续配置 Expressway 之前,请先备份现有的设置,以便始终可以恢复设置并返回到运行状态。 |
| 1 |
转至  |
||
| 2 |
如果有一个现有的 DNS 区域,选择该区域并进行编辑。  |
||
| 3 |
如果 DNS 区域不存在,请执行以下步骤:
|
||
| 4 |
确保呼叫经验证并且 B2B 呼叫不受影响。
|
||
| 5 |
完成配置后,移至下一部分。 |
为网络组件配置防火墙,以便在计算机、移动设备和视频设备上获得最高质量的 Webex 体验。
-
检查视频设备所用的媒体端口范围。
这些端口作为参考提供。有关完整的详细信息,请参阅部署指南和制造商建议。
表 1. 视频协作设备所用的默认端口 协议
端口号
方向
访问类型
备注
TCP
5060-5070
出站
SIP 信令
Webex 媒体边缘侦听 5060-5070。有关详细信息,请参阅所用特定服务的配置指南:《适用于启用视频设备的会议的 Cisco Webex Meetings 企业部署指南》。
TCP
5060、5061 和 5062
入站
SIP 信令
来自 Cisco Webex cloud 的入站 SIP 信令流量
TCP/UDP
临时端口 36000-59999
入站和出站
媒体端口
如果使用的是 Cisco Expressway,媒体范围需设置为 36000-59999。如果使用的是第三方视频设备或呼叫控制,则需要将其配置为使用此范围。
有关防火墙设置的详细信息,请参阅如何在我的网络上允许 Webex 会议流量。
