ハイブリッドサービスCisco Webex Calling for Branch Offices を動作させるには、Expressway-C コネクタホストを Cisco Webex に登録する必要があります。
Expressway-C は内部ネットワークに展開されており、クラウドへの登録は発信 HTTPS 接続を通じて実行します。これは、Web サーバに接続するブラウザに使用する方法と同じです。
Cisco Webex クラウドへの登録と通信には TLS が使用されます。Expressway-C は TLS クライアントで、 Cisco Webex クラウドは TLS サーバです。そのため、Expressway-C がサーバ証明書を確認します。
認証局は、独自の秘密キーを使用してサーバ証明書に署名します。公開キーを持つ任意のユーザは、その署名を復号化し、同じ認証局がその証明書に署名したことを証明できます。
Expressway-C はクラウドから提供された証明書を検証する必要がある場合、その証明書に署名した認証局の公開キーを使用して署名を復号化する必要があります。公開キーは、認証局の証明書に含まれています。クラウドで使用されている認証局との信頼を構築するには、これらの信頼された認証局の証明書のリストを
Expressway の信頼ストアに格納する必要があります。こうすることで、Expressway はコールが本当に Cisco Webex クラウドから着信したことを確認できます。
手動アップロードを使用すると、関連するすべての認証局の証明書を Expressway-C の信頼ストアにアップロードできます。
自動アップロードでは、クラウド自体が Expressway-C の信頼ストアにそれらの証明書をアップロードします。自動アップロードを使用することをお勧めします。証明書リストは変更されることがあるため、自動アップロードにより、最新のリストの入手が保証されます。
認証局の証明書の自動インストールを許可すると、https://admin.webex.com(管理ポータル)にリダイレクトされます。このリダイレクトは、ユーザが操作することなく、Expressway-C 自体によって実行されます。 Cisco Webex の管理者は、HTTPS 接続を介して認証する必要があります。その後すぐに、クラウドが CA 証明書を Expressway-C にプッシュします。
証明書が Expressway-C の信頼ストアにアップロードされるまで、HTTPS 接続は確立できません。
この問題を回避するには、 Cisco Webex の信頼された CA 証明書を使用して Expressway-C を事前にインストールしておきます。これらの証明書は、最初の HTTPS 接続をセットアップして検証するためにのみ使用され、Expressway-C の信頼リストには表示されません。信頼された認証局の証明書がこの最初の
HTTPS 接続を介してクラウドからプルされると、それらの証明書はプラットフォーム全体で使用できるようになり、Expressway-C の信頼リストに表示されます。
次に、 Cisco Webex Cloud が現在使用している証明書認証局を示します。このリストは今後、変更される場合があります。
-
C=IE, O=Baltimore, OU=CyberTrust, CN=Baltimore CyberTrust Root
-
C=US, O=GTE Corporation, OU=GTE CyberTrust Solutions, Inc., CN=GTE CyberTrust Global Root
-
C=US, O=The Go Daddy Group, Inc., OU=Go Daddy Class 2 Certificate Authority
-
C=US, ST=Arizona, L=Scottsdale, O=GoDaddy.com, Inc., CN=Go Daddy Root Certificate Authority - G2
-
C=BM, O=QuoVadis Limited, CN=QuoVadis Root CA 2
-
C=US, O=thawte, Inc., OU=Certification Services Division, OU=(c) 2006 thawte, Inc. - For authorized use only, CN=thawte Primary
Root CA
-
C=US, O=VeriSign, Inc., OU=Class 3 Public Primary Certificate Authority
トラバーサルペアの Expressway-E には、認証局の証明書のリストも必要です。Expressway-E は、相互認証によって適用された SIP と TLS を使用して Cisco Webex Cloud と通信します。Expressway-E は、TLS 接続設定時にクラウドによって提示された証明書の CN または SAN が Expressway-E の DNS ゾーンに設定されたサブジェクト名(「callservice.webex.com」)と一致する場合にのみ、クラウドに対して発着信するコールを信頼します。認証局は、アイデンティティ確認が終了してから、証明書をリリースします。証明書に署名を得るには、callservice.webex.com ドメインの所有権を証明する必要があります。シスコはそのドメインを所有しているため、リモートピアが本当に Cisco Webex であることを DNS 名の「callservice.webex.com」が直接証明します。