In dem Dokumentationssatz für dieses Produkt wird die Verwendung inklusiver Sprache angestrebt. Für die Zwecke dieses Dokumentationssatzes wird Sprache als „inklusiv“ verstanden, wenn sie keine Diskriminierung aufgrund von Alter, körperlicher und/oder geistiger Behinderung, Geschlechtszugehörigkeit und -identität, ethnischer Identität, sexueller Orientierung, sozioökonomischem Status und Intersektionalität impliziert. Dennoch können in der Dokumentation stilistische Abweichungen von diesem Bemühen auftreten, wenn Text verwendet wird, der in Benutzeroberflächen der Produktsoftware fest codiert ist, auf RFP-Dokumentation basiert oder von einem genannten Drittanbieterprodukt verwendet wird. Hier erfahren Sie mehr darüber, wie Cisco inklusive Sprache verwendet.
Cisco hat dieses Dokument maschinell übersetzen und von einem menschlichen Übersetzer editieren und korrigieren lassen, um unseren Benutzern auf der ganzen Welt Support-Inhalte in ihrer eigenen Sprache zu bieten. Bitte beachten Sie, dass selbst die beste maschinelle Übersetzung nicht so genau ist wie eine von einem professionellen Übersetzer angefertigte. Cisco Systems, Inc. übernimmt keine Haftung für die Richtigkeit dieser Übersetzungen und empfiehlt, immer das englische Originaldokument (siehe bereitgestellter Link) heranzuziehen.
In diesem Dokument wird beschrieben, wie die SIP-Signalisierung (Session Initiation Protocol) in Contact Center Enterprise (CCE) für einen umfassenden Anruffluss gesichert wird.
Die Erstellung und der Import von Zertifikaten werden in diesem Dokument nicht behandelt. Daher müssen Zertifikate für Cisco Unified Communication Manager (CUCM), Customer Voice Portal (CVP)-Anrufserver, Cisco Virtual Voice Browser (CVB) und Cisco Unified Border Element (CUBE) erstellt und in die entsprechenden Komponenten importiert werden. Wenn Sie selbstsignierte Zertifikate verwenden, muss der Zertifikataustausch zwischen verschiedenen Komponenten erfolgen.
Cisco empfiehlt, dass Sie über Kenntnisse in folgenden Bereichen verfügen:
Die Informationen in diesem Dokument basieren auf Package Contact Center Enterprise (PCCE), CVP, CVVB und CUCM Version 12.6. Sie gelten jedoch auch für frühere Versionen.
Die Informationen in diesem Dokument beziehen sich auf Geräte in einer speziell eingerichteten Testumgebung. Alle Geräte, die in diesem Dokument benutzt wurden, begannen mit einer gelöschten (Nichterfüllungs) Konfiguration. Wenn Ihr Netzwerk in Betrieb ist, stellen Sie sicher, dass Sie die möglichen Auswirkungen aller Befehle kennen.
Das nächste Diagramm zeigt die Komponenten, die an der SIP-Signalisierung im Contact Center beteiligt sind, und einen umfassenden Anrufablauf. Wenn ein Sprachanruf beim System eingeht, erfolgt er zuerst über das Eingangs-Gateway oder CUBE. Starten Sie also sichere SIP-Konfigurationen für CUBE. Konfigurieren Sie anschließend CVP, CVVB und CUCM.
Konfigurieren Sie in dieser Aufgabe CUBE, um die SIP-Protokollnachrichten zu sichern.
Erforderliche Konfigurationen:
Schritte:
conf t
sip-ua
transport tcp tls v1.2
crypto signaling remote-addr 198.18.133.3 255.255.255.255 trustpoint ms-ca-name
crypto signaling remote-addr 198.18.133.13 255.255.255.255 trustpoint ms-ca-name
exit
Conf t
dial-peer voice 6000 voip
session target ipv4:198.18.133.13:5061
session transport tcp tls
exit
Konfigurieren Sie bei dieser Aufgabe den CVP-Anrufserver zum Sichern der SIP-Protokollnachrichten (SIP TLS).
Schritte:
UCCE Web Administration
an.Call Settings > Route Settings > SIP Server Group
.
Basierend auf Ihren Konfigurationen sind für CUCM, CVB und CUBE SIP-Servergruppen konfiguriert. Sie müssen für alle SIP-Ports 5061 als sichere Ports festlegen. In diesem Beispiel werden die folgenden SIP-Servergruppen verwendet:
cucm1.dcloud.cisco.com
für CUCMvvb1.dcloud.cisco.com
für CVVBcube1.dcloud.cisco.com
für CUBEcucm1.dcloud.cisco.com
und dann auf dieMembers
Registerkarte, auf der die Details der SIP-Servergruppenkonfiguration angezeigt werden. Wählen SieSecurePort
und klicken Sie auf5061
. Save
.vvb1.dcloud.cisco.com
und dann auf dieMembers
Registerkarte. Legen Sie SecurePort auf fest,5061
und klicken Sie aufSave
.Konfigurieren Sie bei dieser Aufgabe CVB zum Sichern der SIP-Protokollnachrichten (SIP TLS).
Schritte:
Cisco VVB Administration
an.System > System Parameters
Security Parameters
die OptionEnable
für TLS(SIP)
aus. BehaltenSupported TLS(SIP) version
alsTLSv1.2
.Ok
Klicken Sie auf, wenn Sie aufgefordert werden, das CVVB-Modul neu zu starten.Cisco VVB Serviceability
, und klicken Sie dann aufGo
.Tools > Control Center – Network Services
.
Engine
und klicken Sie aufRestart
.Führen Sie die folgenden Konfigurationen durch, um SIP-Nachrichten auf dem CUCM zu sichern:
CUCM unterstützt zwei Sicherheitsmodi:
Schritte:
Cisco Unified CM Administration
Schnittstelle an.System > Enterprise Parameters
.Security Parameters
Abschnitt, obCluster Security Mode
auf eingestellt ist0
.utils ctl set-cluster mixed-mode
y
, und klicken Sie bei Aufforderung auf Enter. Mit diesem Befehl wird der Cluster-Sicherheitsmodus auf den gemischten Modus festgelegt.Cisco CallManager
undCisco CTIManager
Dienste durchführen.Cisco Unified Serviceability
.Tools > Control Center – Feature Services
.Go
.Cisco CallManager
dann oben auf der Seite auf dieRestart
Schaltfläche.OK
. Warten Sie, bis der Dienst erfolgreich neu gestartet wurde.Cisco CallManager
wählen Sie Cisco,CTIManager
und klicken Sie dann aufRestart
button, um denCisco CTIManager
Service neu zu starten.OK
. Warten Sie, bis der Dienst erfolgreich neu gestartet wurde.Cluster Security Mode
. Jetzt muss sie auf1
gesetzt werden.Schritte:
CUCM administration
Schnittstelle an.System > Security > SIP Trunk Security Profile
ein Gerätesicherheitsprofil für CUBE zu erstellen.Add New
hinzuzufügen.SIP Trunk Security Profile
, wie in diesem Bild dargestellt, und klicken Sie dannSave
unten links auf der Seite, umSave
es.5. Stellen Sie sicher, dass SieSecure Certificate Subject or Subject Alternate Name
auf den Common Name (CN) des CUBE-Zertifikats setzen, da dieses übereinstimmen muss.
6. Klicken Sie auf dieCopy
Schaltfläche, und ändern SieName
die zuSecureSipTLSforCVP
und Secure Certificate Subject
die zu der CN des CVP-Anrufserverzertifikats, da dieses übereinstimmen muss. Klicken Sie auf
.Save
Schritte:
Device > Trunk
.vCube
. Klicken Sie aufFind
.SIP Information
Abschnitt, und ändern SieDestination Port
zu 5061
.SIP Trunk Security Profile
inSecureSIPTLSForCube
.Save
dannRest
, um die Änderungen zu übernehmen und zu übernehmenSave
.Device > Trunk
, und suchen Sie nach CVP-Trunk. In diesem Beispiel lautet der Name des CVP-Trunks cvp-SIP-Trunk
. Klicken Sie aufFind
.CVP-SIP-Trunk
auf , um die Konfigurationsseite für CVP-Trunks zu öffnen.SIP Information
Abschnitt, und wechseln SieDestination Port
zu 5061
.SIP Trunk Security Profile
den Wert inSecureSIPTLSForCvp
.Save
dannRest
, um die Änderungen zu übernehmen save
und sie anzuwenden.Um Sicherheitsfunktionen für ein Gerät zu aktivieren, müssen Sie ein LSC (Locally Significant Certificate) installieren und diesem Gerät ein Sicherheitsprofil zuweisen. Das LSC verfügt über den öffentlichen Schlüssel für den Endpunkt, der durch den privaten CAPF-Schlüssel (Certificate Authority Proxy Function) signiert wird. Es ist nicht standardmäßig auf Telefonen installiert.
Schritte:
Cisco Unified Serviceability Interface
.Tools > Service Activation
.Go
.Cisco Certificate Authority Proxy Function
, und klicken SieSave
auf, um den Service zu aktivieren. Klicken SieOk
zur Bestätigung.Cisco Unified CM Administration
.System > Security > Phone Security Profile
um ein Gerätesicherheitsprofil für das Agentengerät zu erstellen.Cisco Unified Client Services Framework - Standard SIP Non-Secure Profile
. Klicken Sie Copy
Cisco Unified Client Services Framework - Secure Profile
ändern Sie die Parameter, wie in diesem Bild dargestellt, und klicken Sie dann oben links auf der Seite auf klickenSave
.Device > Phone
.Find
auf, um alle verfügbaren Telefone aufzulisten, und klicken Sie dann auf Agententelefon.Certification Authority Proxy Function (CAPF) Information
. Um LSC zu installieren, setzen SieCertificate Operation
aufInstall/Upgrade
undOperation Completes by
ein beliebiges zukünftiges Datum.Protocol Specific Information
. Ändern SieDevice Security Profile
inCisco Unified Client Services Framework – Secure Profile
.Save
. Stellen Sie sicher, dass die Änderungen erfolgreich gespeichert wurden, und klicken Sie aufReset
.Reset
der Aktion auf .Certification Authority Proxy Function (CAPF) Information
sectionCertificate Operation
, muss aufNo Pending Operation
gesetzt sein, und istCertificate Operation Status
aufUpgrade Success
eingestellt.So prüfen Sie, ob die SIP-Signalisierung ordnungsgemäß gesichert ist:
show sip-ua connections tcp tls detail
aus, und stellen Sie sicher, dass derzeit keine TLS-Verbindung mit CVP (198.18.133.13) besteht.Anmerkung: Derzeit ist nur eine aktive TLS-Sitzung mit CUCM für SIP-Optionen auf CUCM aktiviert (198.18.133.3). Wenn keine SIP-Optionen aktiviert sind, besteht keine SIP-TLS-Verbindung.
ip.addr == 198.18.133.226 && tls && tcp.port==5061
Überprüfen: Ist eine SIP-over-TLS-Verbindung hergestellt? Falls ja, bestätigt der Ausgang, dass SIP-Signale zwischen CVP und CUBE gesichert sind.
5. Überprüfen Sie die SIP-TLS-Verbindung zwischen CVP und CVVB. Führen Sie in derselben Wireshark-Sitzung den folgenden Filter aus:
ip.addr == 198.18.133.143 && tls && tcp.port==5061
Überprüfen: Ist eine SIP-over-TLS-Verbindung hergestellt? Falls ja, bestätigt der Ausgang, dass SIP-Signale zwischen CVP und CVVB gesichert sind.
6. Sie können die SIP-TLS-Verbindung mit dem CVP auch von CUBE aus überprüfen. Navigieren Sie zur vCUBE SSH-Sitzung, und führen Sie diesen Befehl aus, um sichere SIP-Signale zu überprüfen:show sip-ua connections tcp tls detail
Überprüfen: Ist eine SIP-über-TLS-Verbindung mit dem CVP hergestellt? Falls ja, bestätigt der Ausgang, dass SIP-Signale zwischen CVP und CUBE gesichert sind.
7. Derzeit ist der Anruf aktiv, und Sie hören Warteschleifenmusik, da kein Agent verfügbar ist, um den Anruf zu beantworten.
8. Stellen Sie den Mitarbeiter zur Verfügung, um den Anruf anzunehmen.
.
9. Agent wird reserviert und der Anruf wird an ihn/sie weitergeleitet. Klicken SieAnswer
hier, um den Anruf anzunehmen.
10. Anruf verbindet sich mit dem Agenten.
11. Um SIP-Signale zwischen CVP und CUCM zu überprüfen, navigieren Sie zur CVP-Sitzung, und führen Sie diesen Filter in Wireshark aus:ip.addr == 198.18.133.3 && tls && tcp.port==5061
Überprüfen: Werden alle SIP-Kommunikationen mit CUCM (198.18.133.3) über TLS abgewickelt? Wenn ja, bestätigt der Ausgang, dass SIP-Signale zwischen CVP und CUCM gesichert sind.
Wenn TLS nicht eingerichtet ist, führen Sie die folgenden Befehle auf CUBE aus, um das Debuggen von TLS zur Fehlerbehebung zu aktivieren:
Debug ssl openssl errors
Debug ssl openssl msg
Debug ssl openssl states
Überarbeitung | Veröffentlichungsdatum | Kommentare |
---|---|---|
1.0 |
23-Nov-2022
|
Erstveröffentlichung |