若要在內部部署裝置上主持Webex Meetings的無需PIN,您的Cisco Expressway-E 必須為雙向TLS (mTLS) 連線提供來自受信任的根憑證授權機構 (RCA) 的簽署憑證。 您可以找到Cisco信任的根 CA 清單這篇文章。 我們僅允許具有有效簽署憑證的連線。


 
如果您使用 Expressway-E for Webex for Government,則必須啟用 mTLS。
1

轉至維護>安全性>伺服器憑證

2

檢查目前的 Expressway 憑證是否存在且是否準確。

3

如果憑證已安裝,請檢查憑證的到期日期以查看是否有效,並將其替換為有效的憑證。

4

檢查哪個根 CA 簽署了此憑證並確保該名稱在《企業部署指南》中列出。

5

檢查憑證是否已設定與組織設定相符的正確 SAN(主體別名)。

6

使用視訊裝置撥入您的個人會議室。 如果您能夠連線,則說明連線成功。

7

完成設定後,請移至下一部分。

如果以下任何情況發生,則產生CSR。

  • 如果您沒有 Expressway伺服器憑證

  • 若憑證已過期

  • 如果需要更新 SAN,即 SAN 名稱與SIP使用者名稱不相符

1

產生CSR (憑證簽署請求)程序。

2

確保您在憑證中所需的 SAN 列於其他別名欄位。

3

將您的CSR提交給您選擇的根 CA。 從支援的清單中選擇 CA。 請參閱產生憑證簽署請求區段中的適用於啟用視訊裝置的會議的Cisco Webex Meetings企業部署指南

4

取得從根 CA 簽署的憑證。

5

如果您使用外部系統來產生CSR,則您還必須上傳用於加密伺服器憑證的伺服器私密金鑰 PEM 檔案。 (若 Expressway 曾用於為此伺服器憑證產生CSR ,則先前已自動產生並儲存私密金鑰檔案。)

  • 伺服器私密金鑰PEM 檔案不能受密碼保護。

  • 如果憑證簽署請求進行中,則您無法上傳伺服器私密金鑰。

6

按一下上傳伺服器憑證資料

7

完成設定後,請移至下一部分。

1

請確保 Webex 憑證的發行憑證授權單位列於受信任的CA 憑證清單下。 轉至維護>安全性>信任的 CA 憑證


 

為了獲得不間斷的服務,請安裝主要和次要 Root CA。 Quovadis 根 CA 是最新的,而 DSTx3 根 CA 則保留以供將來使用。 這兩個憑證都必須在場。

2

信任的CA 憑證清單包含 QuoVadis 憑證。 若要檢查該憑證是否為最新憑證,請參閱適用於啟用視訊裝置的會議的Cisco Webex Meetings企業部署指南

3

按一下信任的CA 憑證,找到 QuoVadis 憑證,然後按一下檢視已解碼按鈕。

4

檢查憑證的屬性 (SHA256)。

X509v3 授權金鑰

Identifier:keyid:1A:84:62:BC:48:4C:33:25:04:D4:EE:D0:F6:03:C4:19:46:D1:94:6BDirName:/C=BM/O=QuoVadis Limited/CN=QuoVadis Root CA 2serial:05:09

DSTx3 根 CA

O=Digital Signature Trust Co./CN=DST Root CA X3 Fingerprint (SHA1) dac9024f54d8f6df94935fb1732638ca6ad77c13C=BM/O=QuoVadis Limited/CN=QuoVadis Root CA 2 Fingerprint (SHA1) ca3afbcf1240364b44b216208880483919937cf7

5

按一下信任的 CA


 

授權金鑰在輪用金鑰時可能會變更。

6

如果CA 憑證不存在,請參閱設定受信任的 CA 清單適用於啟用視訊裝置的會議的Cisco Webex Meetings企業部署指南

  • 檢查您是否已在 Expressway 上設定了域名系統 (DNS) 區域。

  • 使用DNS的兩種通話類型是 B2B(現有)和Webex通話。 如果已"安裝;設定"B2B 通話,我們建議為Webex通話使用唯一DNS區域,強制其使用 mTLS。

在 Expressway X8.10 及以上版本上,使用 步驟來修改和建立DNS區域。


 

在繼續使用 Expressway 設定之前,請備份現有設定,以便您始終可以回復設定並回到操作狀態。

1

轉至設定>區域>區域

2

如果您有現有的DNS區域,請選取該區域並進行編輯。

3

如果DNS區域不存在,請執行下列步驟:

  1. 轉至設定>區域>區域>預設區域存取規則

  2. 主旨名稱中配置一個新的DNS區域: sip.webex.com。

  3. 新增新的搜尋規則以在新的DNS路由上路由通話。


     

    如果您已經具有用於將流量路由至Webex的搜尋規則,請編輯它,而不要建立新規則。

4

確保通話經過驗證,而且 B2B 通話不受影響。


 

若要避免DNS解析問題,請按一下在這裡

5

完成設定後,請移至下一部分。

設定網路元件的防火牆,以便在電腦、行動裝置和視訊裝置上獲得最高品質的Webex體驗。

  1. 檢查視訊裝置使用的媒體埠範圍。


     

    這些通訊埠是作為參考提供的。 如需完整詳細資料,請參閱部署指南和製造商建議。

    表格 1. 視訊協作裝置使用的預設連接埠

    通訊協定

    連接埠號碼

    方向

    存取類型

    個意見

    TCP

    5060-5070

    出站

    SIP 訊號

    Webex Media Edge 會在 5060 - 5070 上接聽。 如需相關資訊,請參閱所使用的特定服務的設定組態指南: 適用於啟用視訊裝置的會議的Cisco Webex Meetings企業部署指南

    TCP

    5060、5061 和 5062

    輸入

    SIP 訊號

    來自Cisco Webex雲端的入埠SIP 信號流量

    TCP / UDP

    暫時連接埠 36000-59999

    輸入和輸出

    媒體連接埠

    如果是使用 Cisco Expressway,則媒體範圍需要設為 36000-59999。 如果您使用的是第三方視訊裝置或通話控制,則需要將其設定為使用此範圍。

如需有關防火牆設定的更多資訊,請參閱如何在我的網路上允許Webex Meetings流量通過