يصف هذا المستند تكوين الاتصال الآمن بين خادم Cisco Unified Communications Manager (CUCM) و Cisco Unity Connection (CUC) والتحقق منه واستكشاف أخطائه وإصلاحها.
cisco يوصي أن يتلقى أنت معرفة من CUCM.
ارجع إلى دليل أمان مدير الاتصالات الموحدة من Cisco للحصول على مزيد من التفاصيل.
يجب تمكين التشفير ل Unity Connection 11.5(1) SU3 والإصدارات الأحدث.
أمر CLI "utils cuc encryption <enable/disable>"
تستند المعلومات الواردة في هذا المستند إلى إصدارات البرامج والمكونات المادية التالية:
تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك قيد التشغيل، فتأكد من فهمك للتأثير المحتمل لأي أمر.
يشرح هذا المخطط بإيجاز العملية التي تساعد في إنشاء اتصال آمن بين CUCM و CUC:

1. يقوم مدير المكالمات بإعداد اتصال أمان طبقة النقل (TLS) إلى خادم CUC إما على بروتوكول التحكم في المكالمات النحيلة (SCCP) للمنفذ 2443 أو بروتوكول بدء جلسة عمل 5061 المستند إلى (SIP) على البروتوكول المستخدم للتكامل.
2. يقوم خادم CUC بتنزيل ملف قائمة الشهادات الموثوق بها (CTL) من خادم TFTP (عملية زمنية واحدة)، واستخلاص شهادة CallManager.pem وتخزينها.
3. يقدم خادم CUCM شهادة CallManager.pem التي تم التحقق منها مقابل شهادة CallManager.pem التي تم الحصول عليها في الخطوة السابقة. وبالإضافة إلى ذلك، يجري التحقق من شهادة CUC مقابل شهادة جذر CUC مخزنة في CUCM. لاحظ أنه يجب على المسؤول تحميل الشهادة الجذر إلى CUCM.
4. إذا نجح التحقق من الشهادات، يتم إنشاء اتصال TLS آمن. يتم إستخدام هذا الاتصال لتبادل إشارات SCCP أو SIP المشفرة.
5. يمكن تبادل حركة المرور الصوتية إما كبروتوكول نقل الوقت الفعلي (RTP) أو SRTP.
انتقل إلى إدارة CUC > عمليات التكامل الهاتفية > الأمان > شهادة SIP > إضافة جديد

انتقل إلى دمج الخدمات الهاتفية > نظام الهاتف. يمكنك إستخدام نظام الهاتف الموجود بالفعل أو إنشاء نظام جديد.

في صفحة "أساسيات النظام الهاتفي"، في المربع المنسدل "الارتباطات" ذات الصلة، حدد إضافة مجموعات منافذ وحدد "انتقال". دخلت في التشكيل نافذة، هذا معلومة:
ضربة حفظ.

انتقل إلى Edit (تحرير) > Servers (الخوادم) وأضف خادم TFTP من مجموعة CUCM كما هو موضح في هذه الصورة.

ارجع إلى أساسيات مجموعة المنافذ وأعد ضبط مجموعة المنافذ كما يطلب النظام كما هو موضح في هذه الصورة.

في صفحة "أساسيات مجموعة المنافذ"، في المربع المنسدل "الارتباطات ذات الصلة"، حدد إضافة منافذ وحدد Go. في نافذة التكوين، أدخل هذه المعلومات:

انتقل إلى عمليات التكامل الهاتفية > الأمان > شهادة الجذر، انقر بزر الماوس الأيمن فوق عنوان URL لحفظ الشهادة كملف باسم <filename>.0 (يجب أن يكون امتداد الملف هو .0 بدلا من .htm) واضغط حفظ كما هو موضح في هذه الصورة.

انتقل إلى إدارة CUCM > النظام > الأمان > ملف تعريف أمان خط اتصال SIP > إضافة جديد
تأكد من تعبئة هذه الحقول بشكل صحيح في:

انتقل إلى جهاز > إعدادات الجهاز > ملف تعريف SIP إذا احتجت إلى تطبيق أي إعدادات معينة. وإلا، يمكنك إستخدام ملف تعريف SIP القياسي.
انتقل إلى الجهاز > Trunk > إضافة جديد.أنشئ خط اتصال SIP الذي يتم إستخدامه للتكامل الآمن مع Unity Connection كما هو موضح في هذه الصورة.

دخلت في الأداة معلومة قسم من شنطة تشكيل، هذا معلومة:

في قسم المكالمات الواردة من تكوين خط الاتصال، أدخل هذه المعلومات:

دخلت في ال خارج يدعو قسم من شنطة تشكيل، هذا معلومة:

دخلت في ال SIP معلومة قسم من شنطة تشكيل، هذا معلومة:

اضبط الإعدادات الأخرى طبقا لمتطلباتك.
قم بإنشاء نمط مسار يشير إلى خط الاتصال الذي تم تكوينه (توجيه المكالمات > توجيه المسار/الصيد > نمط المسار). يمكن إستخدام الملحق الذي تم إدخاله كرقم لنمط المسار كدليل للبريد الصوتي. أدخل هذه المعلومات:

قم بإنشاء برنامج تجريبي للبريد الصوتي الخاص بالتكامل (ميزات متقدمة > البريد الصوتي > برنامج تجريبي للبريد الصوتي). قم بإدخال القيم التالية:

قم بإنشاء ملف تعريف للبريد الصوتي لربط كافة الإعدادات معا (ميزات متقدمة > البريد الصوتي > ملف تعريف البريد الصوتي). أدخل هذه المعلومات:

قم بتعيين ملف تعريف البريد الصوتي إلى DNs المراد منها إستخدام تكامل آمن. لا تنس النقر على زر "تطبيق التكوين" بعد تغيير إعدادات DN:
انتقل إلى: توجيه المكالمات > رقم الدليل وتغييره:

انتقل إلى إدارة نظام التشغيل > الأمان > إدارة الشهادات > تحميل الشهادة/سلسلة الشهادات وتحميل شهادة جذر CUC ك CallManager-trust على جميع العقد التي تم تكوينها للاتصال بخادم CUC.

انتقل إلى إدارة CUC > الدمج الهاتفي > الأمان > شهادة الجذر. انقر بزر الماوس الأيمن على عنوان URL لحفظ الشهادة كملف باسم <filename>.0 (يجب أن يكون امتداد الملف هو .0 بدلا من .htm) واضغط على حفظ:

انتقل إلى دمج الخدمات الهاتفية > نظام الهاتف. يمكنك إستخدام نظام الهاتف الموجود بالفعل أو إنشاء نظام جديد.

في صفحة "أساسيات النظام الهاتفي"، في المربع المنسدل "الارتباطات" ذات الصلة، حدد إضافة مجموعة منافذ وحدد انتقال. دخلت في التشكيل نافذة، هذا معلومة:

انتقل إلى تحرير > خوادم وأضف خادم TFTP من مجموعة CUCM.

في صفحة "أساسيات مجموعة المنافذ"، في المربع المنسدل "الارتباطات ذات الصلة"، حدد إضافة منافذ وحدد Go. في نافذة التكوين، أدخل هذه المعلومات:

انتقل إلى إدارة CUCM > الميزات المتقدمة > تكوين منفذ البريد الصوتي > إضافة جديد.
قم بتكوين منافذ SCCP للبريد الصوتي كالمعتاد. يكمن الاختلاف الوحيد في وضع أمان الجهاز ضمن تكوين المنفذ حيث يلزم تحديد خيار منفذ البريد الصوتي المشفر.

انتقل إلى إدارة نظام التشغيل > الأمان > إدارة الشهادات > تحميل الشهادة/سلسلة الشهادات وتحميل شهادة جذر CUC ك CallManager-trust على جميع العقد التي تم تكوينها للاتصال بخادم CUC.

انتقل إلى إدارة CUCM > ميزات متقدمة > تكوين منفذ البريد الصوتي وتكوين امتدادات تشغيل/إيقاف MWI. يجب أن تتطابق أرقام MWI مع تكوين CUC.


قم بإنشاء برنامج تجريبي للبريد الصوتي الخاص بالتكامل (ميزات متقدمة > البريد الصوتي > برنامج تجريبي للبريد الصوتي). قم بإدخال القيم التالية:

قم بإنشاء ملف تعريف للبريد الصوتي لربط كافة الإعدادات معا (ميزات متقدمة > البريد الصوتي > ملف تعريف البريد الصوتي). أدخل هذه المعلومات:

قم بتعيين ملف تعريف البريد الصوتي إلى DNs التي ترغب في إستخدام تكامل آمن. انقر على زر تطبيق التكوين بعد تغيير إعدادات DN:
انتقل إلى توجيه المكالمات > رقم الدليل وتغيير إلى:

أ) إضافة مجموعة خطوط جديدة (توجيه المكالمات > المسار/الصيد > مجموعة الخطوط)

ب) إضافة قائمة جديدة باصطياد البريد الصوتي (توجيه المكالمات > المسار/الصيد > قائمة مطاردة)

ج) إضافة طيار توجيه مكالمات جديد (توجيه المكالمات > المسار/الصيد > طيار الصيد)

انتقل إلى إدارة CUCM > ميزات متقدمة > البريد الصوتي > منافذ البريد الصوتي وتحقق من تسجيل المنفذ.

اضغط على زر البريد الصوتي على الهاتف للاتصال بالبريد الصوتي. يمكنك سماع رسالة الترحيب الافتتاحية إذا لم يتم تكوين ملحق المستخدم على نظام Unity Connection.
اضغط على زر البريد الصوتي على الهاتف للاتصال بالبريد الصوتي. يمكنك سماع الترحيب الافتتاحي إذا لم يتم تكوين ملحق المستخدم على نظام Unity Connection.
بدلا من ذلك، يمكنك تمكين خيار SIP keepalive لمراقبة حالة خط اتصال SIP. يمكن تمكين هذا الخيار في ملف تعريف SIP الذي تم تعيينه على خط اتصال SIP. بمجرد تمكين هذا الخيار، يمكنك مراقبة حالة خط اتصال SIP عبر الجهاز > خط الاتصال كما هو موضح في هذه الصورة.

تحقق مما إذا كان رمز القفل موجودا في مكالمات Unity Connection. وهذا يعني أن تدفق RTP مشفر (يجب أن يكون ملف تعريف أمان الجهاز آمنا لكي يعمل هو) كما هو موضح في هذه الصورة.

أستخدم هذه الخطوات لاستكشاف أخطاء التكامل الآمن وإصلاحها:
قم بتجميع هذه المسارات لاستكشاف أخطاء التكامل الآمن وإصلاحها.
ارجع إلى هذه الموارد للحصول على معلومات إضافية حول:
كيفية التقاط حزمة على CUCM:
كيفية تمكين التتبع على خادم CUC:
بعد تجميع التقاط الحزمة من أي من الخادم، يتم إنشاء جلسة TLS.

أصدر العميل تنبيه بخطأ فادح من CA غير معروف للخادم، فقط لأن العميل لم يتمكن من التحقق من الشهادة المرسلة من الخادم.
هناك احتمالان:
1) يرسل CUCM إنذار CA غير معروف
2) يرسل CUC التنبيه مرجع مصدق غير معروف
يظهر هذا الخطأ في عمليات تعقب إدارة المحادثات:
MiuGeneral,25,FAILED Port group 'PhoneSystem-1' attempt set InService(true), error retrieving server certificates.
MiuGeneral,25,Error executing tftp command 'tftp://10.48.47.189:69/CTLFile.tlv' res=68 (file not found on server)
MiuGeneral,25,FAILED Port group 'PhoneSystem-1' attempt set InService(true), error retrieving server certificates.
Arbiter,-1,Created port PhoneSystem-1-001 objectId='7c2e86b8-2d86-4403-840e-16397b3c626b' as ID=1
MiuGeneral,25,Port group object 'b1c966e5-27fb-4eba-a362-56a5fe9c2be7' exists
MiuGeneral,25,FAILED SetInService=true parent port group is out of service:
الحل:
1. تحقق مرة أخرى من صحة خادم TFTP في مجموعة المنافذ > تحرير > تكوين الخوادم.
2. تأكد من أن مجموعة CUCM في وضع آمن.
3. تحقق من وجود ملف CTL على CUCM TFTP.
يظهر هذا الخطأ في عمليات تعقب إدارة المحادثات:
MiuSkinny,23,Failed to retrieve Certificate for CCM Server <CUCM IP Address>
MiuSkinny,23,Failed to extract any CCM Certificates - Registration cannot proceed. Starting retry timer -> 5000 msec
MiuGeneral,24,Found local CTL file [/tmp/aaaaaaaa-xxxx-xxxx-xxxx-xxxxxxxxxxxx.tlv]
MiuGeneral,25,CCMCertificateCache::RetrieveServerCertificates() failed to find CCM Server '<CUCM IP Address>' in CTL File
الحل:
1. من المحتمل أن يكون هذا بسبب عدم التطابق في المجموع الاختباري MD5 لملف CTL على CUCM و CUC نتيجة لإعادة إنشاء
الشهادات. قم بإعادة تشغيل خادم CUC لتحديث ملف CTL.
CSCum48958 - CUCM 10.0 (طول عنوان IP غير صحيح)
CSCtn87264 - يفشل اتصال TLS لمنافذ SIP الآمنة
CSCur10758 - يعجز أن يزيل شهادات ملغاة توصيل وحدة
CSCur10534 - Unity Connection 10.5 TLS/PKI Inter-op redundant CUCM
CSCve47775 - طلب ميزة لطريقة لتحديث ومراجعة CTLFile ل CUCM على CUC
| المراجعة | تاريخ النشر | التعليقات |
|---|---|---|
1.0 |
02-Jun-2016
|
الإصدار الأولي |