若要在Webex Meetings裝置上託管無 PIN 碼的主機,則您的 Cisco Expressway-E 必須提供來自信任的根憑證授權單位單位 (RCA) 的簽署的憑證,以用於共同 TLS (mTLS) 連接。您可以找到 Cisco 在此文章中信任的根 CAS 清單。我們僅允許具有有效簽署憑證的連接。

如果您將 Expressway-E 用於政府,您必須啟用 mTLS。
檢查是否安裝伺服器憑證
1

轉至維護 > 安全> 伺服器憑證。

2

檢查現行憑證Expressway是否存在且正確。

3

如果已安裝憑證,請檢查憑證的到期日以查看其是否有效,並將其取代為有效的憑證。

4

檢查哪個根 CA 簽署此憑證,並確保名稱列于企業部署指南中。

更多資訊,請參閱 用於音訊和視Cisco Webex通話支援哪些根憑證授權單位單位

5

檢查憑證是否設定了適當的 SAN (主體別名)與組織設定符合。

6

使用視音訊裝置,呼叫您的個人會議室。如果您能夠連接,則連接成功。

7

完成組配置後,會移至下一個區段。

檢查Expressway伺服器憑證不存在或已過期

如果下列任何一項為 true,則生成 CSR。

  • 如果您沒有伺服器憑證Expressway憑證

  • 如果憑證已過期

  • 如果需要更新 SAN,即 SAN 名稱與 SIP 名稱消費者名稱

1

生成 CSR(憑證簽署請求)過程。

2

請確定憑證中所需的 SAN 列在 其他替代名稱欄位中。

3

將 CSR 提交至您所選擇的根 CA。從支援的清單中選擇 CA。請參閱適用于啟用 Cisco Webex Meetings的會議的企業部署指南中的產生憑證簽署請求一節

4

從根 CA 簽署憑證。

5

如果您使用外部系統來產生 CSR,您還必須上傳用於加密伺服器憑證的伺服器私密金鑰 PEM 檔案。(如果使用私密金鑰檔案來產生此伺服器憑證的 CSR,則Expressway金鑰檔案將會自動產生並儲存。)

  • 伺服器 私密金鑰 PEM 檔案不能受密碼保護。

  • 如果憑證簽署請求正在進行中,則無法上傳伺服器私密金鑰。

6

按一下 上傳伺服器憑證資料

7

完成組配置後,會移至下一個區段。

在我的信任憑證清單中新增 Webex 憑證
1

確保 Webex 憑證的簽發憑證授權單位機構列在受信任的 CA 憑證清單下。轉至維護 > 安全> 受信任的 CA 憑證。

對於不中斷的服務,請安裝主要與次要根 CAS。Quovadis Root CA 是最新的,並且 DSTx3 根 CA 已保留供將來使用。這兩個憑證都需要存在。

2

信任的 CA 憑證清單包含 QuoVadis 憑證。若要檢查它是最新的憑證, 請參閱適用于啟用Cisco Webex Meetings會議的企業部署指南

3

按一下信任的 CA 憑證,尋找 QuoVadis 憑證,然後按一下 最右邊的視圖解碼按鈕。

4

檢查憑證的屬性 (SHA256)。

X509v3 授權機構金鑰

標識符:keyid:1A:84:62:BC:48:4C:33:25:04:D4:EE:D0:F6:03:C4:19:46:D1:94:6BDirName:/C=BM/O =QuoVadis 限制/CN=QuoVadis 根 CA 2序列:05:09

DSTx3 根 CA

O=數位簽名信任公司/CN=DST 根 CA X3 指紋 (SHA1) dac9024f54d8f6df94935fb1732638ca6ad77c13C=BM/O=QuoVadis 根 CA 2 指紋 (SHA1) ca3afbcf12240364b44b2162088048391993cf7

5

按一下 受信任的 CA

在旋轉金鑰時,授權金鑰可能會變更。

6

如果 CA 憑證不存在 ,請參閱《適用于啟用視Cisco Webex Meetings的會議的企業部署指南》中的設定信任 CA 清單。

檢查您的 DNS 區域是否正確配置

  • 檢查您的電腦上是否配置了網域名稱系統 (DNS) Expressway。

  • 使用 DNS 的兩種類型的通話是 B2B(現有)和 Webex 通話。如果已設定 B2B 通話,我們建議為 Webex 通話設定唯一 DNS 區域,以強制其使用 mTLS。

在Expressway X8.10 及以上版本,使用步驟來修改和建立及 DNS 區域。

在繼續 Expressway 設定之前,請備份您的現有設定,這樣您總是可以恢復設定並回到運作中狀態。

1

轉至設定 >區域 >區域

2

如果您已有 DNS 區域,請選取區域並編輯它。

3

如果 DNS 區域不存在,請執行下列步驟:

  1. 轉至組 > 區域> 預設>區域 存取規則。

  2. 為主體名稱設定新的 DNS 區域:sip.webex.com.

  3. 新增搜尋規則以在新的 DNS 路由上路由傳遞通話。

    如果您已經有將流量路由至 Webex 的搜尋規則,請編輯它而不是建立新規則。

4

請確定通話已經過驗證,而且 B2B 通話不受影響。

若要避免 DNS 解析問題,請按一下 這裡

5

完成組配置後,會移至下一個區段。

檢查防火牆組和允許清單以Expressway

設定網路元件的防火牆,如此一來,您可以在電腦、行動裝置和視視裝置上獲得最高品質的 Webex 體驗。

  1. 檢查視音訊裝置使用的媒體埠範圍。

    這些埠會提供為參考。請參閱部署指南和製造商建議,以瞭解有關詳細資料。

    表 1. 視音訊協作裝置使用的預設埠

    通訊協定

    埠號碼

    Direction

    存取時間

    意見

    TCP

    5060-5070

    出站

    SIP 訊號

    Webex Media Edge 會在 5060 - 5070 上接聽。如需詳細資訊,請參閱使用之特定服務的組配置指南:適用於啟用視訊裝置的會議的Cisco Webex Meetings企業部署指南

    TCP

    5060、5061 和 5062

    輸入

    SIP 訊號

    來自雲端的入埠 SIP Cisco Webex流量

    TCP / UDP

    暫時埠 36000-59999

    輸入和輸出

    媒體連接埠

    如果是使用 Cisco Expressway,則媒體範圍需要設為 36000-59999。如果是使用協力廠商視音訊裝置或通話控制,則需要將裝置進行組程式控制,以使用此範圍。

有關防火牆設定的資訊,請參閱 如何在我的網路上Webex Meetings流量。