このセクションでは、Cisco Webex ハイブリッド サービス に関連する主要な設定項目に関する追加のコンテキストについて説明します。

これらのポイントは、ハイブリッド コール やハイブリッド カレンダー サービスなどの、Expressway ホスト型 Cisco Webex ハイブリッド サービス を正常に展開する場合に重要です。特にこれらの項目に焦点を当てる理由は次のとおりです。

• ハイブリッド展開での各項目の役割を理解して確信が得られるように説明します。

• これらは、クラウドとオンプレミス環境間の安全な展開を保証する必須の前提条件です。

• 稼働前に行う必要があるアクティビティとみなしてください。ユーザインターフェイスでの通常の設定よりも、完了までにかかる時間が若干長くなるため、これらの項目が整うまでの時間を考慮する必要があります。

• これらの項目が環境内で対処されれば、残りの Cisco Webex ハイブリッド サービス の設定はスムーズに進行します。

ハイブリッドサービスCisco Webex Calling for Branch Offices を動作させるには、Expressway-C コネクタホストを Cisco Webex に登録する必要があります。

Expressway-C は内部ネットワークに展開されており、クラウドへの登録は発信 HTTPS 接続を通じて実行します。これは、Web サーバに接続するブラウザに使用する方法と同じです。

Cisco Webex クラウドへの登録と通信には TLS が使用されます。Expressway-C は TLS クライアントで、 Cisco Webex クラウドは TLS サーバです。そのため、Expressway-C がサーバ証明書を確認します。

認証局は、独自の秘密キーを使用してサーバ証明書に署名します。公開キーを持つ任意のユーザは、その署名を復号化し、同じ認証局がその証明書に署名したことを証明できます。

Expressway-C はクラウドから提供された証明書を検証する必要がある場合、その証明書に署名した認証局の公開キーを使用して署名を復号化する必要があります。公開キーは、認証局の証明書に含まれています。クラウドで使用されている認証局との信頼を構築するには、これらの信頼された認証局の証明書のリストを Expressway の信頼ストアに格納する必要があります。こうすることで、Expressway はコールが本当に Cisco Webex クラウドから着信したことを確認できます。

手動アップロードを使用すると、関連するすべての認証局の証明書を Expressway-C の信頼ストアにアップロードできます。

自動アップロードでは、クラウド自体が Expressway-C の信頼ストアにそれらの証明書をアップロードします。自動アップロードを使用することをお勧めします。証明書リストは変更されることがあるため、自動アップロードにより、最新のリストの入手が保証されます。

認証局の証明書の自動インストールを許可すると、https://admin.webex.com（管理ポータル）にリダイレクトされます。このリダイレクトは、ユーザが操作することなく、Expressway-C 自体によって実行されます。 Cisco Webex の管理者は、HTTPS 接続を介して認証する必要があります。その後すぐに、クラウドが CA 証明書を Expressway-C にプッシュします。

証明書が Expressway-C の信頼ストアにアップロードされるまで、HTTPS 接続は確立できません。

この問題を回避するには、 Cisco Webex の信頼された CA 証明書を使用して Expressway-C を事前にインストールしておきます。これらの証明書は、最初の HTTPS 接続をセットアップして検証するためにのみ使用され、Expressway-C の信頼リストには表示されません。信頼された認証局の証明書がこの最初の HTTPS 接続を介してクラウドからプルされると、それらの証明書はプラットフォーム全体で使用できるようになり、Expressway-C の信頼リストに表示されます。

次に、 Cisco Webex Cloud が現在使用している証明書認証局を示します。このリストは今後、変更される場合があります。

• C=IE, O=Baltimore, OU=CyberTrust, CN=Baltimore CyberTrust Root

• C=US, O=GTE Corporation, OU=GTE CyberTrust Solutions, Inc., CN=GTE CyberTrust Global Root

• C=US, O=The Go Daddy Group, Inc., OU=Go Daddy Class 2 Certificate Authority

• C=US, ST=Arizona, L=Scottsdale, O=GoDaddy.com, Inc., CN=Go Daddy Root Certificate Authority - G2

• C=BM, O=QuoVadis Limited, CN=QuoVadis Root CA 2

• C=US, O=thawte, Inc., OU=Certification Services Division, OU=(c) 2006 thawte, Inc. - For authorized use only, CN=thawte Primary Root CA

• C=US, O=VeriSign, Inc., OU=Class 3 Public Primary Certificate Authority

トラバーサルペアの Expressway-E には、認証局の証明書のリストも必要です。Expressway-E は、相互認証によって適用された SIP と TLS を使用して Cisco Webex Cloud と通信します。Expressway-E は、TLS 接続設定時にクラウドによって提示された証明書の CN または SAN が Expressway-E の DNS ゾーンに設定されたサブジェクト名（「callservice.webex.com」）と一致する場合にのみ、クラウドに対して発着信するコールを信頼します。認証局は、アイデンティティ確認が終了してから、証明書をリリースします。証明書に署名を得るには、callservice.webex.com ドメインの所有権を証明する必要があります。シスコはそのドメインを所有しているため、リモートピアが本当に Cisco Webex であることを DNS 名の「callservice.webex.com」が直接証明します。

カレンダー コネクタ は、偽装アカウントを通じて、 Cisco Webexと Microsoft Exchange 2013、2016、2019、または Office 365 を統合します。Exchange のアプリケーション偽装管理ロールにより、アプリケーションは組織内のユーザを偽装してユーザの代わりにタスクを実行できます。アプリケーション偽装ロールは、Exchange で設定する必要があり、Expressway-C インターフェイスで行う Exchange の設定の一部として カレンダー コネクタ で使用されます。

Exchange の偽装アカウントは、このタスクで Microsoft が推奨する方法です 。パスワードは Exchange の管理者によって Expressway-C インターフェイスに入力することができるため、Expressway-C の管理者がパスワードを知る必要はありません。パスワードは、Expressway-C 管理者が Expressway-C ボックスへのルートアクセス権がある場合でも、明示されません。パスワードは、Expressway-C 上の他のパスワードと同じログイン情報暗号化メカニズムを使用して暗号化され、保存されます。

セキュリティを強化するには、Microsoft Exchange 向けの Expressway カレンダーコネクタの展開の手順に従って、回線上で EWS 接続を保護するために TLS を有効にします。