要在本地裝置上主持不帶 PIN 的 Webex 會議,您的 Cisco Expressway-E 需為相互 TLS(mTLS)連線提供受信任的根憑證頒發機構(RCA)列表中的已簽署憑證。請點按此處進入思科信任的 RCA 清單。清單中的權威機構所簽署的憑證視為有效,連線將被允許。

1

移至維護 > 安全 > 伺服器憑證

2

檢查當前的 Expressway 憑證是否存在且正確。

3

如果已安裝伺服器憑證,請檢查憑證的到期日期以查看其是否有效,然後將其替換為有效的伺服器憑證。

4

檢查哪個根 CA 對此伺服器憑證進行了簽,並確保名稱在《企業部署指南》中列出。

5

檢查伺服器憑證是否配置了與組織設定匹配的正確 SAN(主題備用名稱)。

6

使用視訊裝置,撥至您的個人會議室,如果可以連線,則連線成功。

7

完成配置後請移至下一部分。

如果滿足以下任一條件,則應產生一 CSR。

  • 如果您沒有 Expressway 伺服器憑證

  • 若憑證已逾期

  • 如果需要更新 SAN,則 SAN 名稱與 SIP 使用者名不匹配

1

產生憑證簽署請求 (CSR) 流程。

2

確保伺服器憑證中所需的 SAN 列在附加別名欄位。

3

將您的 CSR 遞交到您選擇的根 CA。自支援清單中選擇支援的 LDAP 伺服器。請參閱啟用視訊裝置的會議的 Cisco Webex Meetings Enterprise 部署指南產生憑證簽署請求的段落。

4

獲取根憑證頒發機構簽署的憑證。

5

如果使用外部系統產生CSR,則還必須上傳用於加密伺服器憑證的伺服器私鑰 PEM 檔案。(如果使用 Expressway 為該伺服器憑證產生 CSR,則私鑰檔案會較早自動產生並存儲。)

  • 伺服器私鑰 PEM 檔案不得使用密碼保護。

  • 如果正在進行憑證簽署請求則無法上傳伺服器私鑰。

6

點按 上傳伺服器憑證資料

7

完成配置後請移至下一部分。

1

確保受信任憑證頒發機構憑證清單中有列出 Webex 憑證的頒發機構。移至維護 > 安全 > 受信任頒發機構憑證


 

若要服務不間斷,請安裝主要和輔助根憑證頒發機構。Quovadis 根憑證頒發機構為最新版本,DSTx3 根 CA 保留供未來使用,兩個憑證都必須存在。

2

受信任憑證頒發機構憑證清單包含 QuoVadis 憑證若要檢查是否為最新的憑證,請參閱啟用視訊裝置的會議的 Cisco Webex Meetings Enterprise 部署指南

3

點按受信任的憑證頒發機構憑證,找到 QuoVadis 憑證,然後點按最右邊的查看已解碼按鈕。

4

檢查憑證的屬性(SHA256)。

X509v3 授權密鑰

標識符:keyid:1A:84:62:BC:48:4C:33:25:04:D4:EE:D0:F6:03:C4:19:46:D1:94:6BDirName:/ C = BM / O = QuoVadis Limited / CN = QuoVadis Root CA 2 序列號:05:09

DSTx3 根憑證頒發機構

O = Digital Signature Trust Co./CN = DST 根 CA X3 指紋(SHA1)dac9024f54d8f6df94935fb1732638ca6ad77c13C = BM / O = QuoVadis Limited / CN = QuoVadis 根 CA 2 指紋(SHA1)ca3afbcf1240364b44bp7945

5

按一下受信任的憑證頒發機構


 

授權密鑰會隨密鑰的輪用而變更。

6

如果憑證頒發機構的憑證不存在,請參閱啟用視訊裝置的會議的 Cisco Webex Meetings Enterprise 部署指南中的配置受信任的憑證頒發機構清單

  • 檢查您的 Expressway 上是否配置了網域名稱系統(DNS)區域。

  • B2B(現有)通話和 Webex 通話為使用 DNS 的兩種通話。如果已經設定了 B2B 通話,強制通話使用 mTLS 的 Webex 通話,我們建議使用唯一的 DNS 區域。

在 Expressway 版本 X8.10 及更高版本上,使用以下步驟修改和創建 DNS 區域。


在繼續進行 Expressway 配置之前,請將現有設定備份,以便您始終可以還原設定並返回到操作狀態。

1

移至組態 > 區域 > 區域

2

如果您已有 DNS 區域,請選擇區域並進行編輯。

3

如果 DNS 區域不存在,請執行以下步驟:

  1. 移至組態 > 區域 > 區域 > 預設區域存取規則

  2. 為主題名稱配置一個新的 DNS 區域:sip.webex.com。

  3. 新增新的搜尋規則,以在新的 DNS 路由上路由通話。


     

    如果您已經具有用於將流量路由到 Webex 的搜尋規則,請編輯該規則而不是創建新規則。

4

確保通話已驗證且 B2B 通話不受影響。


 

為避免 DNS 解析問題,請點按此處

5

完成配置後,請移至下一部分。

為網路組件配置防火牆,以便在電腦,行動裝置和視訊裝置上獲得最高品質的 Webex 體驗。

  1. 檢查視訊裝置使用的媒體通訊埠範圍。


    這些通訊埠僅供參考。有關完整的詳細資訊,請參考部署指南和製造商的建議。

    表 1. 視訊協作裝置使用的預設通訊埠

    通訊協定

    通訊埠號碼

    方向

    存取類型

    意見

    TCP

    5060-5070

    外撥

    SIP 信號

    Webex 媒體偵測的為 5060 - 5070。有關更多資訊,請參閱所使用的服務的配置指南:啟用視訊裝置的會議的 Cisco Webex Meetings Enterprise 部署指南

    TCP

    5060、5061 和 5062

    入埠

    SIP 信號

    來自 Cisco Webex 雲端的內傳 SIP 信令流量

    TCP/UDP

    臨時通訊埠 36000-59999

    內傳和外傳

    媒體通訊埠

    如果您使用的是 Cisco Expressway,則需要將媒體範圍設定為 36000-59999。如果您使用的是第三方視訊裝置或通話控件,則需將其配置為使用此範圍。

有關防火牆設定的更多資訊,請參閱如何允許網路上的 Webex Meetings 流量