Einleitung
In diesem Dokument wird beschrieben, wie der SRTP-Datenverkehr (Real-time Transport Protocol) in Contact Center Enterprise (CCE) abgesichert wird.
Voraussetzungen
Die Erstellung und der Import von Zertifikaten werden in diesem Dokument nicht behandelt. Daher müssen Zertifikate für Cisco Unified Communication Manager (CUCM), Customer Voice Portal (CVP) Call Server, Cisco Virtual Voice Browser (CVVB) und Cisco Unified Border Element (CUBE) erstellt und in die entsprechenden Komponenten importiert werden. Wenn Sie selbstsignierte Zertifikate verwenden, muss der Zertifikataustausch zwischen verschiedenen Komponenten erfolgen.
Anforderungen
Cisco empfiehlt, dass Sie über Kenntnisse in folgenden Bereichen verfügen:
Verwendete Komponenten
Die Informationen in diesem Dokument basieren auf Package Contact Center Enterprise (PCCE), CVP, CVVB und CUCM Version 12.6, gelten jedoch auch für die Vorgängerversionen.
Die Informationen in diesem Dokument beziehen sich auf Geräte in einer speziell eingerichteten Testumgebung. Alle Geräte, die in diesem Dokument benutzt wurden, begannen mit einer gelöschten (Nichterfüllungs) Konfiguration. Wenn Ihr Netzwerk in Betrieb ist, stellen Sie sicher, dass Sie die möglichen Auswirkungen aller Befehle kennen.
Konfigurieren
Anmerkung: Im Contact Center ist ein umfassender Anruffluss erforderlich. Um sicheres RTP zu aktivieren, müssen sichere SIP-Signale aktiviert sein. Aus diesem Grund ermöglichen die Konfigurationen in diesem Dokument sowohl sicheres SIP als auch SRTP.
Das nächste Diagramm zeigt die Komponenten, die SIP-Signale und RTP im Contact Center nutzen, sowie einen umfassenden Anrufablauf. Wenn ein Sprachanruf beim System eingeht, erfolgt er zuerst über das Eingangs-Gateway oder CUBE. Starten Sie also die Konfigurationen für CUBE. Konfigurieren Sie anschließend CVP, CVVB und CUCM.

Aufgabe 1: Sichere CUBE-Konfiguration
Bei dieser Aufgabe konfigurieren Sie CUBE zum Sichern von SIP-Protokollnachrichten und RTP.
Erforderliche Konfigurationen:
- Konfigurieren eines Standard-Vertrauenspunkts für SIP UA
- Ändern der DFÜ-Peers zur Verwendung von TLS und SRTP
Schritte:
- Öffnen einer SSH-Sitzung für CUBE
- Führen Sie diese Befehle aus, damit der SIP-Stack das CA-Zertifikat des CUBE verwendet. CUBE stellt eine SIP-TLS-Verbindung vom/zum CUCM (198.18.133.3) und CVP (198.18.133.13) her:
Conf t
Sip-ua
Transport tcp tls v1.2
crypto signaling remote-addr 198.18.133.3 255.255.255.255 trustpoint ms-ca-name
crypto signaling remote-addr 198.18.133.13 255.255.255.255 trustpoint ms-ca-name
exit

- Führen Sie diese Befehle aus, um TLS auf dem ausgehenden DFÜ-Peer für das CVP zu aktivieren. In diesem Beispiel wird das Dial-Peer-Tag 6000 verwendet, um Anrufe an CVP weiterzuleiten:
Conf t
dial-peer voice 6000 voip
session target ipv4:198.18.133.13:5061
session transport tcp tls
srtp
exit

Aufgabe 2: Sichere CVP-Konfiguration
Konfigurieren Sie bei dieser Aufgabe den CVP-Anrufserver zum Sichern der SIP-Protokollnachrichten (SIP TLS).
Schritte:
- Melden Sie sich beim
UCCE Web Administration
an.
- Navigieren Sie zu .
Call Settings > Route Settings > SIP Server Group

Basierend auf Ihren Konfigurationen haben Sie SIP-Servergruppen für CUCM, CVVB und CUBE konfiguriert. Sie müssen für alle SIP-Ports den Wert 5061 festlegen. In diesem Beispiel werden folgende SIP-Servergruppen verwendet:
cucm1.dcloud.cisco.com
für CUCM
vvb1.dcloud.cisco.com
für CVVB
cube1.dcloud.cisco.com
für CUBE
- Klicken Sie auf
cucm1.dcloud.cisco.com
, und klicken Sie dann auf dieMembers
Registerkarte, auf der die Details der SIP-Servergruppenkonfigurationen angezeigt werden. Legen SieSecurePort
fest,5061
und klicken Sie auf
Save
.

- Klicken Sie auf
vvb1.dcloud.cisco.com
, und legen Sie dann auf derMembers
Registerkarte den WertSecurePort
auf fest,5061
und klicken Sie aufSave
.

Aufgabe 3: Sichere CVVB-Konfiguration
Konfigurieren Sie bei dieser Aufgabe CVB zum Sichern der SIP-Protokollnachrichten (SIP TLS) und SRTP.
Schritte:
- Öffnen Sie die
Cisco VVB Admin
Seite.
- Navigieren Sie zu .
System > System Parameters

- Wählen Sie im
Security Parameters
AbschnittEnable
fürTLS (SIP)
aus. Behalten Sie dieSupported TLS(SIP) version as TLSv1.2
und wählen SieEnable
fürSRTP
.

- Klicken Sie auf .
Update
Klicken Sie aufOk
, wenn Sie aufgefordert werden, das CVVB-Modul neu zu starten.

- Diese Änderungen erfordern einen Neustart der Cisco VB-Engine. Um die VVB-Engine neu zu starten, navigieren Sie zu
Cisco VVB Serviceability
, und klicken Sie dann aufGo
.

- Navigieren Sie zu .
Tools > Control Center – Network Services

- Wählen Sie
Engine
und klicken Sie aufRestart
.

Aufgabe 4: Sichere CUCM-Konfiguration
Um SIP-Nachrichten und RTP auf dem CUCM zu sichern, führen Sie die folgenden Konfigurationen durch:
- CUCM-Sicherheitsmodus auf "Gemischt" setzen
- Konfigurieren von SIP-Trunk-Sicherheitsprofilen für CUBE und CVP
- Zuordnen von SIP-Trunk-Sicherheitsprofilen zu den entsprechenden SIP-Trunks und Aktivieren von SRTP
- Sichere Gerätekommunikation der Agenten mit CUCM
CUCM-Sicherheitsmodus auf "Gemischt" setzen
CUCM unterstützt zwei Sicherheitsmodi:
- Nicht sicherer Modus (Standardmodus)
- Gemischter Modus (sicherer Modus)
Schritte:
- Melden Sie sich bei der CUCM-Verwaltungsschnittstelle an.

- Wenn Sie sich beim CUCM anmelden, können Sie zu navigieren
System > Enterprise Parameters
.

- Überprüfen Sie im
Security Parameters
Abschnitt, ob dieCluster Security Mode
auf0
eingestellt ist.

- Wenn der Clustersicherheitsmodus auf 0 festgelegt ist, bedeutet dies, dass der Clustersicherheitsmodus auf "nicht sicher" festgelegt ist. Sie müssen den gemischten Modus über die CLI aktivieren.
- Öffnen Sie eine SSH-Sitzung mit dem CUCM.
- Nach erfolgreicher Anmeldung bei CUCM über SSH führen Sie den folgenden Befehl aus:
utils ctl set-cluster mixed-mode
- Geben Sie
y
ein, und klicken Sie bei Aufforderung aufEnter
. Mit diesem Befehl wird der Cluster-Sicherheitsmodus auf den gemischten Modus festgelegt.

- Damit die Änderungen wirksam werden, starten Sie den
Cisco CallManager
und dieCisco CTIManager
Dienste neu.
- Um die Dienste neu zu starten, navigieren Sie zu , und melden Sie sich an
Cisco Unified Serviceability
.

- Navigieren Sie nach der erfolgreichen Anmeldung zu
Tools > Control Center – Feature Services
.

- Wählen Sie den Server aus, und klicken Sie dann auf
Go
.

- Wählen Sie unter CM services (CM-Dienste) die Option
Cisco CallManager
aus, und klicken Sie dann oben auf der Seite auf dieRestart
Schaltfläche.

- Bestätigen Sie die Popup-Meldung, und klicken Sie auf
OK
. Warten Sie, bis der Dienst erfolgreich neu gestartet wurde.

- Nach dem erfolgreichen Neustart von
Cisco CallManager
, wählen Sie dieCisco CTIManager
und klicken Sie auf die SchaltflächeRestart
neu starten Cisco CTIManager
Services.

- Bestätigen Sie die Popup-Meldung, und klicken Sie auf
OK
. Warten Sie, bis der Dienst erfolgreich neu gestartet wurde.

- Wenn die Dienste erfolgreich neu gestartet wurden, können Sie überprüfen, ob der Cluster-Sicherheitsmodus auf den gemischten Modus gesetzt wurde. Navigieren Sie dazu zu CUCM-Verwaltung, wie in Schritt 5 beschrieben, und überprüfen Sie dann die
Cluster Security Mode
. Jetzt muss sie auf1
gesetzt werden.

Konfigurieren von SIP-Trunk-Sicherheitsprofilen für CUBE und CVP
Schritte:
- Melden Sie sich bei der CUCM-Verwaltungsschnittstelle an.
- Navigieren Sie nach der erfolgreichen Anmeldung bei CUCM zu,
System > Security > SIP Trunk Security Profile
um ein Gerätesicherheitsprofil für CUBE zu erstellen.

- Klicken Sie oben links auf Add New (Neu hinzufügen), um ein neues Profil hinzuzufügen.

- Konfigurieren Sie das Bild
SIP Trunk Security Profile
und klicken Sie dannSave
unten links auf der Seite.

5. Stellen Sie sicher, dass SieSecure Certificate Subject or Subject Alternate Name
auf den Common Name (CN) des CUBE-Zertifikats setzen, da dieses übereinstimmen muss.
6. Klicken Sie aufCopy
die Schaltfläche, und ändern Sie dieName
inSecureSipTLSforCVP
. Ändern SieSecure Certificate Subject
die CN des CVP-Anrufserverzertifikats, da dieses übereinstimmen muss. Klicken Sie aufSave
die Schaltfläche.

Zuordnen von SIP-Trunk-Sicherheitsprofilen zu den entsprechenden SIP-Trunks und Aktivieren von SRTP
Schritte:
- Navigieren Sie auf der Seite "CUCM Administration" zu
Device > Trunk
.

- Suchen Sie nach CUBE-Trunk. In diesem Beispiel lautet der CUBE-Trunk-Name
vCube
, und klicken Sie dann aufFind
.

- Klicken Sie
vCUBE
hier, um die Konfigurationsseite für vCUBE-Trunks zu öffnen.
- Aktivieren Sie
Device Information
im Abschnitt dasSRTP Allowed
Kontrollkästchen, um SRTP zu aktivieren.

- Blättern Sie nach unten zum
SIP Information
Abschnitt, und ändern Sie denDestination Port
zu5061
.
- Ändern Sie
SIP Trunk Security Profile
inSecureSIPTLSForCube
.

- Klicken Sie
Save
Rest
dann auf , save
und wenden Sie die Änderungen an.


- Navigieren Sie zu,
Device > Trunk
suchen Sie nach CVP-Trunk, in diesem Beispiel lautet der Name des CVP-Trunkscvp-SIP-Trunk
. Klicken Sie auf .Find

- Klicken Sie hier
CVP-SIP-Trunk
, um die Konfigurationsseite für CVP-Trunks zu öffnen.
- Aktivieren Sie im
Device Information
Abschnitt das Kontrollkästchen, um SRTP zu aktivierenSRTP Allowed
.

- Blättern Sie nach unten zum
SIP Information
Abschnitt, und ändern Sie denDestination Port
zu5061
.
- Ändern Sie
SIP Trunk Security Profile
inSecureSIPTLSForCvp
.

- Klicken Sie
Save
dannRest
auf , save
und wenden Sie die Änderungen an.

Sichere Gerätekommunikation der Agenten mit CUCM
Um Sicherheitsfunktionen für ein Gerät zu aktivieren, müssen Sie ein LSC (Locally Signed Certificate) installieren und das Sicherheitsprofil diesem Gerät zuweisen. Das LSC verfügt über den öffentlichen Schlüssel für den Endpunkt, der vom privaten CUCM-CAPF-Schlüssel signiert wird. Es ist nicht standardmäßig auf Telefonen installiert.
Schritte:
- Melden Sie sich bei der Schnittstelle an
Cisco Unified Serviceability
.
- Navigieren Sie zu .
Tools > Service Activation

- Wählen Sie den CUCM-Server aus, und klicken Sie auf
Go
.

- Aktivieren Sie das Kontrollkästchen
Cisco Certificate Authority Proxy Function
, und klicken SieSave
auf, um den Service zu aktivieren. Klicken SieOk
zur Bestätigung.

- Stellen Sie sicher, dass der Service aktiviert ist, und navigieren Sie dann zur CUCM-Verwaltung.

- Navigieren Sie nach der erfolgreichen Anmeldung bei der CUCM-Verwaltung zu ,
System > Security > Phone Security Profile
um ein Gerätesicherheitsprofil für das Agent-Gerät zu erstellen.

- Suchen Sie das Sicherheitsprofil für den Gerätetyp Ihres Agenten. In diesem Beispiel wird ein Softphone verwendet. Wählen Sie
Cisco Unified Client Services Framework - Standard SIP Non-Secure Profile
diese Option aus. Klicken Sie auf das Kopiersymbol
um dieses Profil zu kopieren.

- Benennen Sie das Profil in um
Cisco Unified Client Services Framework - Secure Profile
. Ändern Sie die Parameter wie in diesem Bild, und klicken Sie dann auf Save
oben links auf der Seite.

- Navigieren Sie nach der erfolgreichen Erstellung des Telefongeräteprofils zu
Device > Phone
.

- Klicken Sie
Find
auf, um alle verfügbaren Telefone aufzulisten, und klicken Sie dann auf Agententelefon.
- Die Konfigurationsseite für Agententelefone wird geöffnet. Abschnitt suchen
Certification Authority Proxy Function (CAPF) Information
. Um LSC zu installieren, setzen SieCertificate Operation
aufInstall/Upgrade
undOperation Completes by
ein beliebiges zukünftiges Datum.

- Suchen
Protocol Specific Information
Sie Abschnitt, und ändern Sie denDevice Security Profile
inCisco Unified Client Services Framework – Secure Profile
.

- Klicken Sie links oben auf der Seite auf
Save
. Stellen Sie sicher, dass die Änderungen erfolgreich gespeichert wurden, und klicken Sie aufReset
.

- Wenn ein Popup-Fenster geöffnet wird, klicken Sie zur Bestätigung
Reset
der Aktion auf .

- Nachdem sich das Agent-Gerät erneut beim CUCM registriert hat, aktualisieren Sie die aktuelle Seite, und überprüfen Sie, ob das LSC erfolgreich installiert wurde. Abschnitt aktivieren
Certification Authority Proxy Function (CAPF) Information
, mussCertificate Operation
auf eingestellt seinNo Pending Operation
, undCertificate Operation Status
ist auf eingestellt Upgrade Success
.

- Gehen Sie zu den gleichen Schritten wie in Schritt . 7 - 13 zum Sichern der Geräte anderer Agenten, die Sie mit CUCM sicheres SIP und RTP verwenden möchten.
Überprüfung
Führen Sie folgende Schritte durch, um zu überprüfen, ob das RTP ordnungsgemäß gesichert ist:
- Führen Sie einen Testanruf beim Contact Center aus, und hören Sie sich die IVR-Aufforderung an.
- Öffnen Sie gleichzeitig die SSH-Sitzung zu vCUBE, und führen Sie den folgenden Befehl aus:
show call active voice brief

Tipp: Überprüfen Sie, ob sich das SRTP zwischen CUBE und VVB (198.18.133.143) befindeton
. Wenn dies der Fall ist, wird bestätigt, dass der RTP-Verkehr zwischen CUBE und VVB sicher ist.
- Stellen Sie einen Mitarbeiter zur Verfügung, um den Anruf entgegenzunehmen.
.
- Der Agent wird reserviert, und der Anruf wird an den Agent weitergeleitet. Nehmen Sie den Anruf an.
- Der Anruf wird mit dem Mitarbeiter verbunden. Kehren Sie zur vCUBE SSH-Sitzung zurück, und führen Sie den folgenden Befehl aus:
show call active voice brief

Tipp: Überprüfen Sie, ob sich das SRTP zwischen CUBE und den Telefonen der Agenten befindeton
(198.18.133.75). Wenn ja, wird bestätigt, dass der RTP-Verkehr zwischen CUBE und Agent sicher ist.
- Sobald der Anruf verbunden ist, wird auf dem Agentengerät eine Sicherheitssperre angezeigt.. Dies bestätigt auch, dass der RTP-Verkehr sicher ist.

Weitere Informationen zum Überprüfen der ordnungsgemäßen Sicherung der SIP-Signale finden Sie im Artikel Configure Secure SIP Signaling.