In dem Dokumentationssatz für dieses Produkt wird die Verwendung inklusiver Sprache angestrebt. Für die Zwecke dieses Dokumentationssatzes wird Sprache als „inklusiv“ verstanden, wenn sie keine Diskriminierung aufgrund von Alter, körperlicher und/oder geistiger Behinderung, Geschlechtszugehörigkeit und -identität, ethnischer Identität, sexueller Orientierung, sozioökonomischem Status und Intersektionalität impliziert. Dennoch können in der Dokumentation stilistische Abweichungen von diesem Bemühen auftreten, wenn Text verwendet wird, der in Benutzeroberflächen der Produktsoftware fest codiert ist, auf RFP-Dokumentation basiert oder von einem genannten Drittanbieterprodukt verwendet wird. Hier erfahren Sie mehr darüber, wie Cisco inklusive Sprache verwendet.
Cisco hat dieses Dokument maschinell übersetzen und von einem menschlichen Übersetzer editieren und korrigieren lassen, um unseren Benutzern auf der ganzen Welt Support-Inhalte in ihrer eigenen Sprache zu bieten. Bitte beachten Sie, dass selbst die beste maschinelle Übersetzung nicht so genau ist wie eine von einem professionellen Übersetzer angefertigte. Cisco Systems, Inc. übernimmt keine Haftung für die Richtigkeit dieser Übersetzungen und empfiehlt, immer das englische Originaldokument (siehe bereitgestellter Link) heranzuziehen.
In diesem Dokument wird beschrieben, wie die SIP-Signalisierung (Session Initiation Protocol) in Contact Center Enterprise (CCE) für einen umfassenden Anruffluss gesichert wird.
Die Erstellung und der Import von Zertifikaten werden in diesem Dokument nicht behandelt. Daher müssen Zertifikate für Cisco Unified Communication Manager (CUCM), Customer Voice Portal (CVP)-Anrufserver, Cisco Virtual Voice Browser (CVB) und Cisco Unified Border Element (CUBE) erstellt und in die entsprechenden Komponenten importiert werden. Wenn Sie selbstsignierte Zertifikate verwenden, muss der Zertifikataustausch zwischen verschiedenen Komponenten erfolgen.
Cisco empfiehlt, dass Sie über Kenntnisse in folgenden Bereichen verfügen:
Die Informationen in diesem Dokument basieren auf Package Contact Center Enterprise (PCCE), CVP, CVVB und CUCM Version 12.6. Sie gelten jedoch auch für frühere Versionen.
Die Informationen in diesem Dokument beziehen sich auf Geräte in einer speziell eingerichteten Testumgebung. Alle Geräte, die in diesem Dokument benutzt wurden, begannen mit einer gelöschten (Nichterfüllungs) Konfiguration. Wenn Ihr Netzwerk in Betrieb ist, stellen Sie sicher, dass Sie die möglichen Auswirkungen aller Befehle verstehen.
Das nächste Diagramm zeigt die Komponenten, die an der SIP-Signalisierung im Contact Center beteiligt sind, und einen umfassenden Anrufablauf. Wenn ein Sprachanruf beim System eingeht, erfolgt er zuerst über das Eingangs-Gateway oder CUBE. Starten Sie also sichere SIP-Konfigurationen für CUBE. Konfigurieren Sie anschließend CVP, CVVB und CUCM.
Konfigurieren Sie in dieser Aufgabe CUBE, um die SIP-Protokollnachrichten zu sichern.
Erforderliche Konfigurationen:
Schritte:
conf t sip-ua transport tcp tls v1.2 crypto signaling remote-addr 198.18.133.3 255.255.255.255 trustpoint ms-ca-name crypto signaling remote-addr 198.18.133.13 255.255.255.255 trustpoint ms-ca-name exit
Conf t dial-peer voice 6000 voip session target ipv4:198.18.133.13:5061 session transport tcp tls exit
Konfigurieren Sie bei dieser Aufgabe den CVP-Anrufserver zum Sichern der SIP-Protokollnachrichten (SIP TLS).
Schritte:
UCCE Web Administration
.Call Settings > Route Settings > SIP Server Group
.
Basierend auf Ihren Konfigurationen sind für CUCM, CVB und CUBE SIP-Servergruppen konfiguriert. Sie müssen für alle SIP-Ports 5061 als sichere Ports festlegen. In diesem Beispiel werden die folgenden SIP-Servergruppen verwendet:
cucm1.dcloud.cisco.com
für CUCMvvb1.dcloud.cisco.com
für CVVBcube1.dcloud.cisco.com
für CUBEcucm1.dcloud.cisco.com
und dann im Members
Registerkarte, die die Details der Konfiguration der SIP-Servergruppe anzeigt. Festlegen SecurePort
zu 5061
und klicke auf Save
.
vvb1.dcloud.cisco.com
und dann im Members
aus. Festlegen von SecurePort auf 5061
und klicke auf Save
.
Konfigurieren Sie bei dieser Aufgabe CVB zum Sichern der SIP-Protokollnachrichten (SIP TLS).
Schritte:
Cisco VVB Administration
Seite.System > System Parameters
.
Security Parameters
Abschnitt auswählen Enable
für TLS(SIP)
. Beibehalten Supported TLS(SIP) version
als TLSv1.2
.
Ok
wenn Sie dazu aufgefordert werden, das CVVB-Modul neu zu starten.Cisco VVB Serviceability
dann klicken Go
.
Tools > Control Center – Network Services
.
Engine
und klicke auf Restart
.
Führen Sie die folgenden Konfigurationen durch, um SIP-Nachrichten auf dem CUCM zu sichern:
CUCM unterstützt zwei Sicherheitsmodi:
Schritte:
Cisco Unified CM Administration
Schnittstelle.
System > Enterprise Parameters
.
Security Parameters
Abschnitt, prüfen, ob Cluster Security Mode
ist auf 0
.utils ctl set-cluster mixed-mode
y
und klicke auf Eingabe, wenn du dazu aufgefordert wirst. Mit diesem Befehl wird der Cluster-Sicherheitsmodus auf den gemischten Modus festgelegt.Cisco CallManager
und Cisco CTIManager
services.Cisco Unified Serviceability
.
Tools > Control Center – Feature Services
.
Go
.Cisco CallManager
dann klicken Restart
-Taste oben auf der Seite.
OK
. Warten Sie, bis der Dienst erfolgreich neu gestartet wurde.
Cisco CallManager
, wählen Sie Cisco CTIManager
dann klicken Restart
Taste zum Neustarten Cisco CTIManager
Services.
OK
. Warten Sie, bis der Dienst erfolgreich neu gestartet wurde.
Cluster Security Mode
. Jetzt muss sie auf 1
.
Schritte:
CUCM administration
Schnittstelle.System > Security > SIP Trunk Security Profile
um ein Gerätesicherheitsprofil für CUBE zu erstellen.
Add New
um ein neues Profil hinzuzufügen.SIP Trunk Security Profile
wie in diesem Bild dargestellt, und klicken Sie dann auf Save
unten links auf der Seite Save
IT.
5. Stellen Sie sicher, dass die Secure Certificate Subject or Subject Alternate Name
auf den Common Name (CN) des CUBE-Zertifikats, da dieser übereinstimmen muss.
6. Klicken Sie Copy
und ändern Sie die Name
zu SecureSipTLSforCVP
und Secure Certificate Subject
auf die CN des CVP-Anrufserverzertifikats, da es übereinstimmen muss. Klicken Sie auf
-Taste.Save
Schritte:
Device > Trunk
.
vCube
. Klicken Sie auf Find
.
SIP Information
und ändern Sie den Destination Port
zu 5061
.SIP Trunk Security Profile
zu SecureSIPTLSForCube
.
Save
dann Rest
um Save
und Änderungen anwenden.
Device > Trunk
, und suchen Sie nach CVP-Trunk. In diesem Beispiel lautet der Name des CVP-Trunks cvp-SIP-Trunk
. Klicken Sie auf Find
.
CVP-SIP-Trunk
, um die Konfigurationsseite für CVP-Trunks zu öffnen.SIP Information
Abschnitt und Änderungen Destination Port
zu 5061
.SIP Trunk Security Profile
zu SecureSIPTLSForCvp
.
Save
dann Rest
um save
und Änderungen anwenden.
Um Sicherheitsfunktionen für ein Gerät zu aktivieren, müssen Sie ein LSC (Locally Significant Certificate) installieren und diesem Gerät ein Sicherheitsprofil zuweisen. Das LSC verfügt über den öffentlichen Schlüssel für den Endpunkt, der durch den privaten CAPF-Schlüssel (Certificate Authority Proxy Function) signiert wird. Es ist nicht standardmäßig auf Telefonen installiert.
Schritte:
Cisco Unified Serviceability Interface
.Tools > Service Activation
.
Go
.
Cisco Certificate Authority Proxy Function
und klicke auf Save
um den Service zu aktivieren. Klicken Sie auf Ok
zur Bestätigung.
Cisco Unified CM Administration
.
System > Security > Phone Security Profile
um ein Gerätesicherheitsprofil für das Agentengerät zu erstellen.
Cisco Unified Client Services Framework - Standard SIP Non-Secure Profile
. Klicken Sie auf Copy
um dieses Profil zu kopieren.
Cisco Unified Client Services Framework - Secure Profile
, ändern Sie die Parameter wie in diesem Bild dargestellt, und klicken Sie dann auf Save
oben links auf der Seite.
Device > Phone
.
Find
um alle verfügbaren Telefone aufzulisten, und klicken Sie dann auf das Agententelefon.Certification Authority Proxy Function (CAPF) Information
Abschnitt. Um LSC zu installieren, stellen Sie Certificate Operation
zu Install/Upgrade
und Operation Completes by
auf einen beliebigen Zeitpunkt in der Zukunft ändern.
Protocol Specific Information
Abschnitt. Ändern Device Security Profile
zu Cisco Unified Client Services Framework – Secure Profile
.
Save
oben links auf der Seite. Stellen Sie sicher, dass die Änderungen erfolgreich gespeichert wurden, und klicken Sie auf Reset
.
Reset
um die Aktion zu bestätigen.
Certification Authority Proxy Function (CAPF) Information
Abschnitt, Certificate Operation
muss auf eingestellt sein No Pending Operation
und Certificate Operation Status
ist auf Upgrade Success
.
So prüfen Sie, ob die SIP-Signalisierung ordnungsgemäß gesichert ist:
show sip-ua connections tcp tls detail
, und bestätigen Sie, dass derzeit keine TLS-Verbindung mit CVP (198.18.133.13) besteht.Hinweis: Derzeit ist nur eine aktive TLS-Sitzung mit CUCM für SIP-Optionen auf CUCM aktiviert (198.18.133.3). Wenn keine SIP-Optionen aktiviert sind, besteht keine SIP-TLS-Verbindung.
ip.addr == 198.18.133.226 && tls && tcp.port==5061
Prüfen: Ist eine SIP-over-TLS-Verbindung hergestellt? Falls ja, bestätigt der Ausgang, dass SIP-Signale zwischen CVP und CUBE gesichert sind.
5. Überprüfen Sie die SIP-TLS-Verbindung zwischen CVP und CVVB. Führen Sie in derselben Wireshark-Sitzung den folgenden Filter aus:
ip.addr == 198.18.133.143 && tls && tcp.port==5061
Prüfen: Ist eine SIP-over-TLS-Verbindung hergestellt? Falls ja, bestätigt der Ausgang, dass SIP-Signale zwischen CVP und CVVB gesichert sind.
6. Sie können die SIP-TLS-Verbindung mit dem CVP auch von CUBE aus überprüfen. Navigieren Sie zur vCUBE SSH-Sitzung, und führen Sie diesen Befehl aus, um sichere SIP-Signale zu überprüfen:show sip-ua connections tcp tls detail
Prüfen: Wurde eine SIP-über-TLS-Verbindung mit dem CVP hergestellt? Falls ja, bestätigt der Ausgang, dass SIP-Signale zwischen CVP und CUBE gesichert sind.
7. Derzeit ist der Anruf aktiv, und Sie hören Warteschleifenmusik, da kein Agent verfügbar ist, um den Anruf zu beantworten.
8. Stellen Sie den Mitarbeiter zur Verfügung, um den Anruf anzunehmen.
.
9. Agent wird reserviert und der Anruf wird an ihn/sie weitergeleitet. Klicken Sie auf Answer
um den Anruf anzunehmen.
10. Anruf verbindet sich mit dem Agenten.
11. Um SIP-Signale zwischen CVP und CUCM zu überprüfen, navigieren Sie zur CVP-Sitzung, und führen Sie diesen Filter in Wireshark aus:ip.addr == 198.18.133.3 && tls && tcp.port==5061
Prüfen: Werden alle SIP-Kommunikationen mit CUCM (198.18.133.3) über TLS abgewickelt? Wenn ja, bestätigt der Ausgang, dass SIP-Signale zwischen CVP und CUCM gesichert sind.
Wenn TLS nicht eingerichtet ist, führen Sie die folgenden Befehle auf CUBE aus, um das Debuggen von TLS zur Fehlerbehebung zu aktivieren:
Debug ssl openssl errors
Debug ssl openssl msg
Debug ssl openssl states
Überarbeitung | Veröffentlichungsdatum | Kommentare |
---|---|---|
1.0 |
23-Nov-2022 |
Erstveröffentlichung |