要在公司處所內裝置上主持無 PIN 的 Webex 會議,您的 Cisco Expressway-E 需為相互 TLS(mTLS)連線提供受信任的根憑證頒發機構(RCA)清單中的已簽署憑證 。請點按此處進入 Cisco 信任的 RCA 清單。清單中的權威機構所簽署的憑證視為有效 ,連線將被允許。

1

移至維護 > 安全性 > 伺服器憑證

2

檢查當前的 Expressway 憑證是否存在且正確。

3

如果已安裝伺服器憑證,請檢查憑證的至期日期以查看其是否有效,然後將其替換為 有效的伺服器憑證。

4

檢查哪個根 CA 對此伺服器憑證進行簽署並確保名稱有在《企業部署指南》中列出。

5

檢查伺服器憑證是否配置了與組織設定匹配的正確 SAN(主題備用名稱)。

6

使用視訊裝置,撥至您的個人會議室,如果可以連線,則連線成功。

7

完成配置後請移至下一部分。

如果滿足以下任一條件,則應產生一 CSR。

  • 如果您沒有 Expressway 伺服器憑證

  • 若憑證已逾期

  • 如果需要更新 SAN,則 SAN 名稱與 SIP 使用者名不匹配

1

產生憑證簽署請求 (CSR) 流程。

2

確保伺服器憑證中所需的 SAN 列於其他別名欄位中。

3

將您的 CSR 遞交至您選擇的根 CA。自支援清單中選擇支援的 LDAP 伺服器。請參閱啟用視訊裝置的會議的 Cisco Webex Meetings Enterprise 部署指南產生憑證簽署請求的段落。

4

獲取根憑證頒發機構簽署的憑證。

5

如果使用外部系統產生CSR,則還必須上傳用於 加密伺服器憑證的伺服器私鑰 PEM 檔案。(如果使用 Expressway 為該伺服器憑證產生 CSR,則私鑰檔案會較早自動產生並存儲。)

  • 伺服器私鑰 PEM 檔案不得使用密碼保護。

  • 如果正在進行憑證簽署請求則無法上傳伺服器私鑰。

6

點按 上傳伺服器憑證資料

7

完成配置後請移至下一部分。

1

確保受信任 CA 憑證清單中有列出發布 Webex 憑證的 CA。 移至維護 > 安全性 > 受信任 CA 憑證


 

若要服務不間斷,請安裝主要和輔助的根 CA。Quovadis 根 CA最新版本而 DSTx3 根 CA 保留供未來使用,兩個憑證都必須存在。

2

受信任 CA 憑證清單包含 QuoVadis 憑證若要檢查是否為最新的憑證,請參閱 啟用視訊裝置的會議的 Cisco Webex Meetings Enterprise 部署指南

3

點按受信任的 CA 憑證,找至 QuoVadis 憑證,然後點按最右邊的查看已解碼按鈕。

4

檢查憑證的屬性(SHA256)。

X509v3 授權密鑰

Identifier:keyid:1A:84:62:BC:48:4C:33:25:04:D4:EE:D0:F6:03:C4:19:46:D1:94:6BDirName:/C=BM/O=QuoVadis Limited/CN=QuoVadis Root CA 2serial:05:09

DSTx3 根 CA

O=Digital Signature Trust Co./CN=DST Root CA X3 Fingerprint (SHA1) dac9024f54d8f6df94935fb1732638ca6ad77c13C=BM/O=QuoVadis Limited/CN=QuoVadis Root CA 2 Fingerprint (SHA1) ca3afbcf1240364b44b216208880483919937cf7

5

按一下 受信任的 CA


 

授權密鑰會隨密鑰的輪用而變更。

6

若 CA 的憑證不存在,請參閱啟用視訊裝置的會議的 Cisco Webex Meetings Enterprise 部署指南中的配置受信任的 CA 清單

  • 檢查您的 Expressway 上是否配置了網域名稱系統(DNS)區域。

  • B2B(現有)通話和 Webex 通話為使用 DNS 的兩種通話。如果已經設定了 B2B 通話,強制通話使用 mTLS 的 Webex 通話,我們建議使用唯一的 DNS 區域。

在 Expressway 版本 X8.10 及更高版本上,使用以下步驟修改和創建 DNS 區域。


在進行 Expressway 的配置之前,請先備份現有設定以便您始終可以還原 設定並返回至操作狀態。

1

移至組態> 區域 > 區域

2

如果您已有 DNS 區域,請選擇區域並進行編輯。

3

如果 DNS 區域不存在,請執行以下步驟:

  1. 移至組態 > 區域 > 區域 > 預設區域存取規則

  2. 主旨名稱中配置一個新的 DNS 區域:sip.webex.com。

  3. 新增新的搜尋規則以在新的 DNS 路由上路由通話。


     

    如果您已經具有用於將流量路由至 Webex 的搜尋規則,請編輯該規則而不是創建新規則。

4

確保通話已驗證且 B2B 通話不受影響。


 

為避免 DNS 解析問題,請點按此處

5

完成配置後請移至下一個區段。

為網路組件配置防火牆,以便在電腦、 行動裝置、視訊裝置上獲得最高品質的 Webex 體驗。

  1. 檢查視訊裝置使用的媒體通訊埠範圍。


    這些通訊埠僅供參考。完整的詳細資訊請參閱部署指南和製造商的建議。

    表 1.視訊協作裝置使用的預設通訊埠

    通訊協定

    通訊埠號碼

    方向

    存取類型

    意見

    TCP

    5060-5070

    外撥

    SIP 訊號

    Webex 媒體偵測的為 5060 - 5070。更多相關資訊請參閱所使用的特定服務 的配置指南:啟用視訊裝置的會議的Cisco Webex Meetings Enterprise 部署指南.。

    TCP

    5060、5061 和 5062

    內傳

    SIP 訊號

    來自 Cisco Webex Cloud 的內傳 SIP 訊號流量

    TCP/UDP

    臨時通訊埠 36000-59999

    內傳和外傳

    媒體通訊埠

    若使用的為 Cisco Expressway,媒體範圍需設為 36000-59999。如果您使用的是第三方視訊裝置 或通話控件,則需將其配置為使用此範圍。

有關防火牆設定的更多資訊請參閱如何允許網路上的 Webex Meetings 流量