Konfigurieren der sicheren SIP-Signalisierung in Contact Center Enterprise

Download-Optionen

  • PDF     (1.7 MB)
    Mit Adobe Reader auf verschiedenen Geräten anzeigen
  • ePub     (1.6 MB)
    In verschiedenen Apps auf iPhone, iPad, Android, Sony Reader oder Windows Phone anzeigen
  • Mobi (Kindle)     (2.5 MB)
    Auf einem Kindle-Gerät oder einer Kindle-App auf mehreren Geräten anzeigen
Aktualisiert:22. November 2022
Dokument-ID:218434

Inklusive Sprache

In dem Dokumentationssatz für dieses Produkt wird die Verwendung inklusiver Sprache angestrebt. Für die Zwecke dieses Dokumentationssatzes wird Sprache als „inklusiv“ verstanden, wenn sie keine Diskriminierung aufgrund von Alter, körperlicher und/oder geistiger Behinderung, Geschlechtszugehörigkeit und -identität, ethnischer Identität, sexueller Orientierung, sozioökonomischem Status und Intersektionalität impliziert. Dennoch können in der Dokumentation stilistische Abweichungen von diesem Bemühen auftreten, wenn Text verwendet wird, der in Benutzeroberflächen der Produktsoftware fest codiert ist, auf RFP-Dokumentation basiert oder von einem genannten Drittanbieterprodukt verwendet wird. Hier erfahren Sie mehr darüber, wie Cisco inklusive Sprache verwendet.

Informationen zu dieser Übersetzung

Cisco hat dieses Dokument maschinell übersetzen und von einem menschlichen Übersetzer editieren und korrigieren lassen, um unseren Benutzern auf der ganzen Welt Support-Inhalte in ihrer eigenen Sprache zu bieten. Bitte beachten Sie, dass selbst die beste maschinelle Übersetzung nicht so genau ist wie eine von einem professionellen Übersetzer angefertigte. Cisco Systems, Inc. übernimmt keine Haftung für die Richtigkeit dieser Übersetzungen und empfiehlt, immer das englische Originaldokument (siehe bereitgestellter Link) heranzuziehen.

    Einleitung

    In diesem Dokument wird beschrieben, wie die SIP-Signalisierung (Session Initiation Protocol) in Contact Center Enterprise (CCE) für einen umfassenden Anruffluss gesichert wird.

    Voraussetzungen

    Die Erstellung und der Import von Zertifikaten werden in diesem Dokument nicht behandelt. Daher müssen Zertifikate für Cisco Unified Communication Manager (CUCM), Customer Voice Portal (CVP)-Anrufserver, Cisco Virtual Voice Browser (CVB) und Cisco Unified Border Element (CUBE) erstellt und in die entsprechenden Komponenten importiert werden. Wenn Sie selbstsignierte Zertifikate verwenden, muss der Zertifikataustausch zwischen verschiedenen Komponenten erfolgen.

    Anforderungen

    Cisco empfiehlt, dass Sie über Kenntnisse in folgenden Bereichen verfügen:

    • CCE
    • CVP
    • WÜRFEL
    • CUCM
    • CVB

    Verwendete Komponenten

    Die Informationen in diesem Dokument basieren auf Package Contact Center Enterprise (PCCE), CVP, CVVB und CUCM Version 12.6. Sie gelten jedoch auch für frühere Versionen.

    Die Informationen in diesem Dokument beziehen sich auf Geräte in einer speziell eingerichteten Testumgebung. Alle Geräte, die in diesem Dokument benutzt wurden, begannen mit einer gelöschten (Nichterfüllungs) Konfiguration. Wenn Ihr Netzwerk in Betrieb ist, stellen Sie sicher, dass Sie die möglichen Auswirkungen aller Befehle kennen.

    Konfigurieren

    Das nächste Diagramm zeigt die Komponenten, die an der SIP-Signalisierung im Contact Center beteiligt sind, und einen umfassenden Anrufablauf. Wenn ein Sprachanruf beim System eingeht, erfolgt er zuerst über das Eingangs-Gateway oder CUBE. Starten Sie also sichere SIP-Konfigurationen für CUBE. Konfigurieren Sie anschließend CVP, CVVB und CUCM.

    Inbound SIP Call Flow

    Schritt 1: Sichere CUBE-Konfiguration

    Konfigurieren Sie in dieser Aufgabe CUBE, um die SIP-Protokollnachrichten zu sichern.

    Erforderliche Konfigurationen:

    • Konfigurieren eines Standard-Vertrauenspunkts für den SIP-Benutzer-Agenten (UA)
    • Ändern der DFÜ-Peers zur Verwendung von TLS (Transport Layer Security)

    Schritte:

    1. Öffnen Sie eine Secure Shell (SSH)-Sitzung mit CUBE.
    2. Führen Sie diese Befehle aus, damit der SIP-Stack das CA-Zertifikat (Certificate Authority) des CUBE verwendet. CUBE stellt eine SIP-TLS-Verbindung vom/zum CUCM (198.18.133.3) und CVP (198.18.133.13) her.

    conf t sip-ua transport tcp tls v1.2 crypto signaling remote-addr 198.18.133.3 255.255.255.255 trustpoint ms-ca-name crypto signaling remote-addr 198.18.133.13 255.255.255.255 trustpoint ms-ca-name exit

    CUBE SSH Console

    1. Führen Sie diese Befehle aus, um TLS auf dem ausgehenden DFÜ-Peer für das CVP zu aktivieren. In diesem Beispiel wird das Dial-Peer-Tag 6000 verwendet, um Anrufe an das CVP weiterzuleiten.

    Conf t dial-peer voice 6000 voip session target ipv4:198.18.133.13:5061 session transport tcp tls exit

    CUBE SSH Console

    Schritt 2: Sichere CVP-Konfiguration

    Konfigurieren Sie bei dieser Aufgabe den CVP-Anrufserver zum Sichern der SIP-Protokollnachrichten (SIP TLS).

    Schritte:

    1. Melden Sie sich beiUCCE Web Administrationan.
    2. Navigieren Sie zu   Call Settings > Route Settings > SIP Server Group.

    SIP Server Group Configuration on CCE Admin Portal


    Basierend auf Ihren Konfigurationen sind für CUCM, CVB und CUBE SIP-Servergruppen konfiguriert. Sie müssen für alle SIP-Ports 5061 als sichere Ports festlegen. In diesem Beispiel werden die folgenden SIP-Servergruppen verwendet:

    • cucm1.dcloud.cisco.com für CUCM
    • vvb1.dcloud.cisco.com für CVVB
    • cube1.dcloud.cisco.com  für CUBE
    1. Klicken Sie aufcucm1.dcloud.cisco.comund dann auf dieMembersRegisterkarte, auf der die Details der SIP-Servergruppenkonfiguration angezeigt werden. Wählen SieSecurePortund klicken Sie auf5061.  Save .

    Setting Secure SIP Port for CUCM Server Group

    1. Klicken Sie aufvvb1.dcloud.cisco.comund dann auf dieMembersRegisterkarte. Legen Sie SecurePort auf fest,5061und klicken Sie aufSave.

    Setting Secure SIP Port for VVB Server Group

    Aufgabe 3: Sichere CVVB-Konfiguration

    Konfigurieren Sie bei dieser Aufgabe CVB zum Sichern der SIP-Protokollnachrichten (SIP TLS).

    Schritte:

    1. Melden Sie sich  Cisco VVB Administration  an.
    2. Navigieren Sie zu .System > System Parameters

    VVB System Parameters

    1. Wählen Sie im AbschnittSecurity Parametersdie OptionEnablefür TLS(SIP)aus. BehaltenSupported TLS(SIP) versionalsTLSv1.2.

    VVB Security Parameters

    1. Klicken Sie auf Aktualisieren. OkKlicken Sie auf, wenn Sie aufgefordert werden, das CVVB-Modul neu zu starten.

    Update Security Parameters

    1. Diese Änderungen erfordern einen Neustart der Cisco VB-Engine. Um die VVB-Engine neu zu starten, navigieren Sie zu, und klicken Sie aufCisco VVB Serviceability, und klicken Sie dann aufGo.

    Cisco VVB Serviceability

    1. Navigieren Sie zu   Tools > Control Center – Network Services.

    Control Center - Network Services

    1. Wählen SieEngineund klicken Sie aufRestart.

    Control Center - Network Services

    Schritt 4: Sichere CUCM-Konfiguration

    Führen Sie die folgenden Konfigurationen durch, um SIP-Nachrichten auf dem CUCM zu sichern:

    • CUCM-Sicherheitsmodus auf "Gemischt" setzen
    • Konfigurieren von SIP-Trunk-Sicherheitsprofilen für CUBE und CVP
    • Zuordnen von SIP-Trunk-Sicherheitsprofilen zu entsprechenden SIP-Trunks
    • Sichere Gerätekommunikation der Agenten mit CUCM

    CUCM-Sicherheitsmodus auf "Gemischt" setzen

    CUCM unterstützt zwei Sicherheitsmodi:

    • Nicht sicherer Modus (Standardmodus)
    • Gemischter Modus (sicherer Modus)

    Schritte:

    1. Um den Sicherheitsmodus auf "Mixed Mode" (Gemischter Modus) zu setzen, melden Sie sich bei derCisco Unified CM AdministrationSchnittstelle an.

    CUCM Administration Interface

    1. Nachdem Sie sich erfolgreich beim CUCM angemeldet haben, navigieren Sie zuSystem > Enterprise Parameters.

    CUCM Enterprise Parameters

    1. Überprüfen Sie unter dem Security Parameters Abschnitt, obCluster Security Modeauf eingestellt ist0.

    CUCM Security Parameters

    1. Wenn der Clustersicherheitsmodus auf 0 festgelegt ist, bedeutet dies, dass der Clustersicherheitsmodus auf "nicht sicher" festgelegt ist. Sie müssen den gemischten Modus über die CLI aktivieren.
    2. Öffnen Sie eine SSH-Sitzung mit dem CUCM.
    3. Nachdem Sie sich über SSH erfolgreich beim CUCM angemeldet haben, führen Sie den folgenden Befehl aus: utils ctl set-cluster mixed-mode
    1. Geben Sie einy, und klicken Sie bei Aufforderung auf Enter. Mit diesem Befehl wird der Cluster-Sicherheitsmodus auf den gemischten Modus festgelegt.

    CUCM SSH Console

    1. Damit die Änderungen wirksam werden, müssen Sie einen NeustartCisco CallManagerundCisco CTIManagerDienste durchführen.
    2. Um die Dienste neu zu starten, navigieren Sie zu , und melden Sie sich an unter Cisco Unified Serviceability.

    Cisco Unified Serviceability

    1. Nachdem Sie sich erfolgreich angemeldet haben, navigieren Sie zuTools > Control Center – Feature Services.

    Control Center - Feature Services

    1. Wählen Sie den Server aus, und klicken Sie aufGo.

    Select Server

    1. Wählen Sie unter den CM-Services die Option aus, und klicken Sie Cisco CallManager  dann oben auf der Seite auf dieRestartSchaltfläche.

    Restarting Cisco Call Manager Services

    1. Bestätigen Sie die Popup-Meldung, und klicken Sie aufOK. Warten Sie, bis der Dienst erfolgreich neu gestartet wurde.

    Info Message

    1. Nach einem erfolgreichen Neustart vonCisco CallManagerwählen Sie Cisco,CTIManagerund klicken Sie dann aufRestartbutton, um denCisco CTIManagerService neu zu starten.

    Restarting Cisco CTI Manager Service

    1. Bestätigen Sie die Popup-Meldung, und klicken Sie aufOK. Warten Sie, bis der Dienst erfolgreich neu gestartet wurde.

    Info Message

    1. Überprüfen Sie nach dem erfolgreichen Neustart der Dienste, ob der Cluster-Sicherheitsmodus auf den gemischten Modus gesetzt ist, und navigieren Sie zur CUCM-Verwaltung, wie in Schritt 5 beschrieben. Überprüfen Sie dann dieCluster Security Mode. Jetzt muss sie auf1gesetzt werden.

    Cluster Security Mode is to the Value of '1'

    Konfigurieren von SIP-Trunk-Sicherheitsprofilen für CUBE und CVP

    Schritte:

    1. Melden Sie sich bei derCUCM administrationSchnittstelle an.
    2. Navigieren Sie nach der erfolgreichen Anmeldung bei CUCM zu , um System > Security > SIP Trunk Security Profile  ein Gerätesicherheitsprofil für CUBE zu erstellen.

    CUCM SIP Trunk Security Profile

    1. Klicken Sie oben links auf, um ein neues ProfilAdd Newhinzuzufügen.

    Add New CUCM SIP Trunk Security Profile

    1. Konfigurieren SieSIP Trunk Security Profile, wie in diesem Bild dargestellt, und klicken Sie dannSaveunten links auf der Seite, umSavees.

    Add CUCM SIP Trunk Security Profile for CUBE

    5. Stellen Sie sicher, dass SieSecure Certificate Subject or Subject Alternate Nameauf den Common Name (CN) des CUBE-Zertifikats setzen, da dieses übereinstimmen muss.

    6. Klicken Sie auf dieCopySchaltfläche, und ändern SieNamedie zuSecureSipTLSforCVP und Secure Certificate Subject die zu der CN des CVP-Anrufserverzertifikats, da dieses übereinstimmen muss. Klicken Sie aufSave.

    Add CUCM SIP Trunk Security Profile for CVP

    Zuordnen von SIP-Trunk-Sicherheitsprofilen zu entsprechenden SIP-Trunks

    Schritte:

    1. Navigieren Sie auf der Seite "CUCM Administration" zuDevice > Trunk.

    CUCM Trunk Configuration for CUBE

    1. Suchen Sie nach CUBE-Trunk. In diesem Beispiel lautet der CUBE-Trunk-Name vCube. Klicken Sie aufFind.

    Find SIP Trunks on CUCM for CUBE

    1. Klicken Sie auf vCUBE, um die Konfigurationsseite für vCUBE-Trunks zu öffnen.
    2. Blättern Sie nach unten zuSIP InformationAbschnitt, und ändern SieDestination Portzu 5061.
    3. Ändern SieSIP Trunk Security ProfileinSecureSIPTLSForCube.

    SIP Trunk Configuration for CUBE

    1. Klicken SieSavedannRest, um die Änderungen zu übernehmen und zu übernehmenSave.

    Save Configuration


    Info Message

    1. Navigieren Sie zuDevice > Trunk, und suchen Sie nach CVP-Trunk. In diesem Beispiel lautet der Name des CVP-Trunks cvp-SIP-Trunk. Klicken Sie aufFind.

    CUCM Trunk Configuration for CVP

    1. Klicken SieCVP-SIP-Trunkauf , um die Konfigurationsseite für CVP-Trunks zu öffnen.
    2. Blättern Sie nach unten zumSIP InformationAbschnitt, und wechseln SieDestination Portzu 5061.
    3. Ändern SieSIP Trunk Security Profileden Wert inSecureSIPTLSForCvp.

    Find SIP Trunks on CUCM for CVP

    1. Klicken SieSavedannRest, um die Änderungen zu übernehmen save und sie anzuwenden.

    SIP Trunk Configuration for CVP

    Save Configuration

    Sichere Gerätekommunikation der Agenten mit CUCM

    Um Sicherheitsfunktionen für ein Gerät zu aktivieren, müssen Sie ein LSC (Locally Significant Certificate) installieren und diesem Gerät ein Sicherheitsprofil zuweisen. Das LSC verfügt über den öffentlichen Schlüssel für den Endpunkt, der durch den privaten CAPF-Schlüssel (Certificate Authority Proxy Function) signiert wird. Es ist nicht standardmäßig auf Telefonen installiert.

    Schritte:

    1. Melden Sie sich bei anCisco Unified Serviceability Interface.
    2. Navigieren Sie zu   Tools > Service Activation.

    Info Message

    1. Wählen Sie den CUCM-Server aus, und klicken Sie auf  Go .

    CUCM Service Activation

    1. Aktivieren Sie das KontrollkästchenCisco Certificate Authority Proxy Function, und klicken SieSaveauf, um den Service zu aktivieren. Klicken SieOkzur Bestätigung.

    Select Server

    1. Stellen Sie sicher, dass der Dienst aktiviert ist, und navigieren Sie zuCisco Unified CM Administration.

    Activate Cisco Certificate Authority Proxy Function Service

    1. Nachdem Sie sich erfolgreich bei der CUCM-Verwaltung angemeldet haben, navigieren Sie zu,System > Security > Phone Security Profileum ein Gerätesicherheitsprofil für das Agentengerät zu erstellen.

    CUCM Administration

    1. Suchen Sie nach den Sicherheitsprofilen für den Gerätetyp Ihres Agenten. In diesem Beispiel wird ein Softphone verwendet. Wählen Sie deshalb Cisco Unified Client Services Framework - Standard SIP Non-Secure Profile. Klicken Sie CopyPhone Security Profile um dieses Profil zu kopieren.

    Copy Existing Phone Security Profile

    1. Benennen Sie das Profil in um,Cisco Unified Client Services Framework - Secure Profileändern Sie die Parameter, wie in diesem Bild dargestellt, und klicken Sie dann oben links auf der Seite auf klickenSave.

    Add New Phone Security Profile

    1. Navigieren Sie nach der erfolgreichen Erstellung des Telefongeräteprofils zuDevice > Phone.

    Phone Configuration

    1. Klicken SieFindauf, um alle verfügbaren Telefone aufzulisten, und klicken Sie dann auf Agententelefon.
    2. Die Konfigurationsseite für Agententelefone wird geöffnet. Abschnitt suchenCertification Authority Proxy Function (CAPF) Information. Um LSC zu installieren, setzen SieCertificate OperationaufInstall/UpgradeundOperation Completes byein beliebiges zukünftiges Datum.

    Setting CAPF Parameters

    1. Abschnitt suchenProtocol Specific Information. Ändern SieDevice Security ProfileinCisco Unified Client Services Framework – Secure Profile.

    Assigning Device Security Profile to IP Phone

    1. Klicken Sie links oben auf der Seite aufSave. Stellen Sie sicher, dass die Änderungen erfolgreich gespeichert wurden, und klicken Sie aufReset.

    Save Configuration

    1. Wenn ein Popup-Fenster geöffnet wird, klicken Sie zur BestätigungResetder Aktion auf .

    Phone Reset

    1. Nachdem sich das Agent-Gerät erneut beim CUCM registriert hat, aktualisieren Sie die aktuelle Seite, und überprüfen Sie, ob das LSC erfolgreich installiert wurde. Aktivieren SieCertification Authority Proxy Function (CAPF) InformationsectionCertificate Operation, muss aufNo Pending Operationgesetzt sein, und istCertificate Operation StatusaufUpgrade Successeingestellt.

    CAPF Information is Updated

    1. Siehe Schritte. 7-13, um andere Agenten und Geräte zu schützen, die Sie zum Sichern von SIP mit CUCM verwenden möchten.

    Überprüfung

    So prüfen Sie, ob die SIP-Signalisierung ordnungsgemäß gesichert ist:

    1. Öffnen Sie eine SSH-Sitzung mit vCUBE, führen Sie den Befehlshow sip-ua connections tcp tls detailaus, und stellen Sie sicher, dass derzeit keine TLS-Verbindung mit CVP (198.18.133.13) besteht.

    show sip-ua connections tcp tls detail Output on CUBE SSH Console

    Anmerkung: Derzeit ist nur eine aktive TLS-Sitzung mit CUCM für SIP-Optionen auf CUCM aktiviert (198.18.133.3). Wenn keine SIP-Optionen aktiviert sind, besteht keine SIP-TLS-Verbindung.

    1. Melden Sie sich bei CVP an, und starten Sie Wireshark.
    2. Tätigen Sie einen Testanruf an die Contact Center-Nummer.
    3. Navigieren Sie zur CVP-Sitzung. Führen Sie in Wireshark diesen Filter aus, um die SIP-Signalisierung mit CUBE zu überprüfen:
      ip.addr == 198.18.133.226 && tls && tcp.port==5061

    Packet Capture Filtering CVP Secure SIP Signals Between CVP and CUBE

    Überprüfen: Ist eine SIP-over-TLS-Verbindung hergestellt? Falls ja, bestätigt der Ausgang, dass SIP-Signale zwischen CVP und CUBE gesichert sind.

    5. Überprüfen Sie die SIP-TLS-Verbindung zwischen CVP und CVVB. Führen Sie in derselben Wireshark-Sitzung den folgenden Filter aus:

    ip.addr == 198.18.133.143 && tls && tcp.port==5061

    Packet Capture Filtering CVP Secure SIP Signals Between CVP and VVB

    Überprüfen: Ist eine SIP-over-TLS-Verbindung hergestellt? Falls ja, bestätigt der Ausgang, dass SIP-Signale zwischen CVP und CVVB gesichert sind.

    6. Sie können die SIP-TLS-Verbindung mit dem CVP auch von CUBE aus überprüfen. Navigieren Sie zur vCUBE SSH-Sitzung, und führen Sie diesen Befehl aus, um sichere SIP-Signale zu überprüfen:
    show sip-ua connections tcp tls detail


    SIP TLS Connection Between CVP and CUBE from CUBE SSH Console

    Überprüfen: Ist eine SIP-über-TLS-Verbindung mit dem CVP hergestellt? Falls ja, bestätigt der Ausgang, dass SIP-Signale zwischen CVP und CUBE gesichert sind.

    7. Derzeit ist der Anruf aktiv, und Sie hören Warteschleifenmusik, da kein Agent verfügbar ist, um den Anruf zu beantworten.

    8. Stellen Sie den Mitarbeiter zur Verfügung, um den Anruf anzunehmen.

    .Make Agent Ready on Finesse Agent Desktop

    9. Agent wird reserviert und der Anruf wird an ihn/sie weitergeleitet. Klicken SieAnswerhier, um den Anruf anzunehmen.

    Answer Incoming Call on Finesse Desktop


    10. Anruf verbindet sich mit dem Agenten.

    11. Um SIP-Signale zwischen CVP und CUCM zu überprüfen, navigieren Sie zur CVP-Sitzung, und führen Sie diesen Filter in Wireshark aus:
    ip.addr == 198.18.133.3 && tls && tcp.port==5061

    Packet Capture Filtering Secure SIP Signals between CVP and CUCM

    Überprüfen: Werden alle SIP-Kommunikationen mit CUCM (198.18.133.3) über TLS abgewickelt? Wenn ja, bestätigt der Ausgang, dass SIP-Signale zwischen CVP und CUCM gesichert sind.

    Fehlerbehebung

    Wenn TLS nicht eingerichtet ist, führen Sie die folgenden Befehle auf CUBE aus, um das Debuggen von TLS zur Fehlerbehebung zu aktivieren:

    • Debug ssl openssl errors
    • Debug ssl openssl msg
    • Debug ssl openssl states

    Revisionsverlauf

    Überarbeitung Veröffentlichungsdatum Kommentare
    1.0
    23-Nov-2022
    Erstveröffentlichung
    TAC Authored

    Beiträge von Cisco Ingenieuren

    • Mohamed Mohasseb
      Technical Consulting Engineer

    War dieses Dokument hilfreich?

    FeedbackFeedback

    Cisco kontaktieren

    Dieses Dokument gilt für folgende Produkte.