Konfigurieren von sicherem RTP in Contact Center Enterprise

Download-Optionen

  • PDF     (1.6 MB)
    Mit Adobe Reader auf verschiedenen Geräten anzeigen
  • ePub     (1.4 MB)
    In verschiedenen Apps auf iPhone, iPad, Android, Sony Reader oder Windows Phone anzeigen
  • Mobi (Kindle)     (2.2 MB)
    Auf einem Kindle-Gerät oder einer Kindle-App auf mehreren Geräten anzeigen
Aktualisiert:21. Dezember 2022
Dokument-ID:220123

Inklusive Sprache

In dem Dokumentationssatz für dieses Produkt wird die Verwendung inklusiver Sprache angestrebt. Für die Zwecke dieses Dokumentationssatzes wird Sprache als „inklusiv“ verstanden, wenn sie keine Diskriminierung aufgrund von Alter, körperlicher und/oder geistiger Behinderung, Geschlechtszugehörigkeit und -identität, ethnischer Identität, sexueller Orientierung, sozioökonomischem Status und Intersektionalität impliziert. Dennoch können in der Dokumentation stilistische Abweichungen von diesem Bemühen auftreten, wenn Text verwendet wird, der in Benutzeroberflächen der Produktsoftware fest codiert ist, auf RFP-Dokumentation basiert oder von einem genannten Drittanbieterprodukt verwendet wird. Hier erfahren Sie mehr darüber, wie Cisco inklusive Sprache verwendet.

Informationen zu dieser Übersetzung

Cisco hat dieses Dokument maschinell übersetzen und von einem menschlichen Übersetzer editieren und korrigieren lassen, um unseren Benutzern auf der ganzen Welt Support-Inhalte in ihrer eigenen Sprache zu bieten. Bitte beachten Sie, dass selbst die beste maschinelle Übersetzung nicht so genau ist wie eine von einem professionellen Übersetzer angefertigte. Cisco Systems, Inc. übernimmt keine Haftung für die Richtigkeit dieser Übersetzungen und empfiehlt, immer das englische Originaldokument (siehe bereitgestellter Link) heranzuziehen.

    Einleitung

    In diesem Dokument wird beschrieben, wie der SRTP-Datenverkehr (Real-time Transport Protocol) in Contact Center Enterprise (CCE) abgesichert wird.

    Voraussetzungen

    Die Erstellung und der Import von Zertifikaten werden in diesem Dokument nicht behandelt. Daher müssen Zertifikate für Cisco Unified Communication Manager (CUCM), Customer Voice Portal (CVP) Call Server, Cisco Virtual Voice Browser (CVVB) und Cisco Unified Border Element (CUBE) erstellt und in die entsprechenden Komponenten importiert werden. Wenn Sie selbstsignierte Zertifikate verwenden, muss der Zertifikataustausch zwischen verschiedenen Komponenten erfolgen.

    Anforderungen

    Cisco empfiehlt, dass Sie über Kenntnisse in folgenden Bereichen verfügen:

    • CCE
    • CVP
    • WÜRFEL
    • CUCM
    • CVB

    Verwendete Komponenten

    Die Informationen in diesem Dokument basieren auf Package Contact Center Enterprise (PCCE), CVP, CVVB und CUCM Version 12.6, gelten jedoch auch für die Vorgängerversionen.

    Die Informationen in diesem Dokument beziehen sich auf Geräte in einer speziell eingerichteten Testumgebung. Alle Geräte, die in diesem Dokument benutzt wurden, begannen mit einer gelöschten (Nichterfüllungs) Konfiguration. Wenn Ihr Netzwerk in Betrieb ist, stellen Sie sicher, dass Sie die möglichen Auswirkungen aller Befehle kennen.

    Konfigurieren

    Anmerkung: Im Contact Center ist ein umfassender Anruffluss erforderlich. Um sicheres RTP zu aktivieren, müssen sichere SIP-Signale aktiviert sein. Aus diesem Grund ermöglichen die Konfigurationen in diesem Dokument sowohl sicheres SIP als auch SRTP.

    Das nächste Diagramm zeigt die Komponenten, die SIP-Signale und RTP im Contact Center nutzen, sowie einen umfassenden Anrufablauf. Wenn ein Sprachanruf beim System eingeht, erfolgt er zuerst über das Eingangs-Gateway oder CUBE. Starten Sie also die Konfigurationen für CUBE. Konfigurieren Sie anschließend CVP, CVVB und CUCM.

    Inbound SIP and RTP Call Flow

    Aufgabe 1: Sichere CUBE-Konfiguration

    Bei dieser Aufgabe konfigurieren Sie CUBE zum Sichern von SIP-Protokollnachrichten und RTP.

    Erforderliche Konfigurationen:

    • Konfigurieren eines Standard-Vertrauenspunkts für SIP UA
    • Ändern der DFÜ-Peers zur Verwendung von TLS und SRTP

    Schritte:

    1. Öffnen einer SSH-Sitzung für CUBE
    1. Führen Sie diese Befehle aus, damit der SIP-Stack das CA-Zertifikat des CUBE verwendet. CUBE stellt eine SIP-TLS-Verbindung vom/zum CUCM (198.18.133.3) und CVP (198.18.133.13) her:

    Conf t Sip-ua Transport tcp tls v1.2 crypto signaling remote-addr 198.18.133.3 255.255.255.255 trustpoint ms-ca-name crypto signaling remote-addr 198.18.133.13 255.255.255.255 trustpoint ms-ca-name exit

    CUBE SSH Console

    1. Führen Sie diese Befehle aus, um TLS auf dem ausgehenden DFÜ-Peer für das CVP zu aktivieren. In diesem Beispiel wird das Dial-Peer-Tag 6000 verwendet, um Anrufe an CVP weiterzuleiten:

    Conf t dial-peer voice 6000 voip session target ipv4:198.18.133.13:5061 session transport tcp tls srtp exit

    CUBE SSH Console

    Aufgabe 2: Sichere CVP-Konfiguration

    Konfigurieren Sie bei dieser Aufgabe den CVP-Anrufserver zum Sichern der SIP-Protokollnachrichten (SIP TLS).

    Schritte:

    1. Melden Sie sich beimUCCE Web Administrationan.
    2. Navigieren Sie zu .Call Settings > Route Settings > SIP Server Group

    SIP Server Group Configuration on CCE Admin Portal

    Basierend auf Ihren Konfigurationen haben Sie SIP-Servergruppen für CUCM, CVVB und CUBE konfiguriert. Sie müssen für alle SIP-Ports den Wert 5061 festlegen. In diesem Beispiel werden folgende SIP-Servergruppen verwendet:

    • cucm1.dcloud.cisco.com für CUCM
    • vvb1.dcloud.cisco.com für CVVB
    • cube1.dcloud.cisco.com  für CUBE
    1. Klicken Sie aufcucm1.dcloud.cisco.com, und klicken Sie dann auf dieMembersRegisterkarte, auf der die Details der SIP-Servergruppenkonfigurationen angezeigt werden. Legen SieSecurePortfest,5061und klicken Sie aufSave.

    Setting secure SIP Port for CUCM Server Group

    1. Klicken Sie aufvvb1.dcloud.cisco.com, und legen Sie dann auf derMembersRegisterkarte den WertSecurePortauf fest,5061und klicken Sie aufSave.

    Setting secure SIP Port for VVB Server Group

    Aufgabe 3: Sichere CVVB-Konfiguration

    Konfigurieren Sie bei dieser Aufgabe CVB zum Sichern der SIP-Protokollnachrichten (SIP TLS) und SRTP.

    Schritte:

    1. Öffnen Sie dieCisco VVB AdminSeite.
    2. Navigieren Sie zu .System > System Parameters

    VVB System Parameters

    1. Wählen Sie imSecurity ParametersAbschnittEnablefürTLS (SIP) aus. Behalten Sie dieSupported TLS(SIP) version as TLSv1.2und wählen SieEnablefürSRTP.

    VVB Security Parameters

    1. Klicken Sie auf .Update Klicken Sie aufOk, wenn Sie aufgefordert werden, das CVVB-Modul neu zu starten.

    Update Security Parameters

    1. Diese Änderungen erfordern einen Neustart der Cisco VB-Engine. Um die VVB-Engine neu zu starten, navigieren Sie zuCisco VVB Serviceability, und klicken Sie dann aufGo.

    Cisco VVB Serviceability

    1. Navigieren Sie zu .Tools > Control Center – Network Services

    Control Center - Network Services

    1. Wählen SieEngineund klicken Sie aufRestart.

    Restarting CVVB Engine Services

    Aufgabe 4: Sichere CUCM-Konfiguration

    Um SIP-Nachrichten und RTP auf dem CUCM zu sichern, führen Sie die folgenden Konfigurationen durch:

    • CUCM-Sicherheitsmodus auf "Gemischt" setzen
    • Konfigurieren von SIP-Trunk-Sicherheitsprofilen für CUBE und CVP
    • Zuordnen von SIP-Trunk-Sicherheitsprofilen zu den entsprechenden SIP-Trunks und Aktivieren von SRTP
    • Sichere Gerätekommunikation der Agenten mit CUCM

    CUCM-Sicherheitsmodus auf "Gemischt" setzen

    CUCM unterstützt zwei Sicherheitsmodi:

    • Nicht sicherer Modus (Standardmodus)
    • Gemischter Modus (sicherer Modus)

    Schritte:

    1. Melden Sie sich bei der CUCM-Verwaltungsschnittstelle an.

    CUCM Administration Interface

    1. Wenn Sie sich beim CUCM anmelden, können Sie zu navigierenSystem > Enterprise Parameters.

    CUCM Enterprise Parameters

    1. Überprüfen Sie imSecurity ParametersAbschnitt, ob dieCluster Security Modeauf0eingestellt ist.

    CUCM Security Parameters

    1. Wenn der Clustersicherheitsmodus auf 0 festgelegt ist, bedeutet dies, dass der Clustersicherheitsmodus auf "nicht sicher" festgelegt ist. Sie müssen den gemischten Modus über die CLI aktivieren.
    2. Öffnen Sie eine SSH-Sitzung mit dem CUCM.
    3. Nach erfolgreicher Anmeldung bei CUCM über SSH führen Sie den folgenden Befehl aus:

    utils ctl set-cluster mixed-mode

    1. Geben Sieyein, und klicken Sie bei Aufforderung aufEnter. Mit diesem Befehl wird der Cluster-Sicherheitsmodus auf den gemischten Modus festgelegt.

    CUCM SSH Console

    1. Damit die Änderungen wirksam werden, starten Sie denCisco CallManagerund dieCisco CTIManagerDienste neu.
    2. Um die Dienste neu zu starten, navigieren Sie zu , und melden Sie sich anCisco Unified Serviceability.

    Cisco Unified Serviceability

    1. Navigieren Sie nach der erfolgreichen Anmeldung zuTools > Control Center – Feature Services.

    Control Center - Feature Services

    1. Wählen Sie den Server aus, und klicken Sie dann aufGo.

    Select Server

    1. Wählen Sie unter CM services (CM-Dienste) die OptionCisco CallManageraus, und klicken Sie dann oben auf der Seite auf dieRestartSchaltfläche.

    Restarting Cisco CallManager Service

    1. Bestätigen Sie die Popup-Meldung, und klicken Sie aufOK. Warten Sie, bis der Dienst erfolgreich neu gestartet wurde.

    Info Message

    1. Nach dem erfolgreichen Neustart vonCisco CallManager, wählen Sie dieCisco CTIManagerund klicken Sie auf die SchaltflächeRestartneu starten  Cisco CTIManager Services.

    Restarting Cisco CTI Manager Service

    1. Bestätigen Sie die Popup-Meldung, und klicken Sie aufOK. Warten Sie, bis der Dienst erfolgreich neu gestartet wurde.

    Info Message

    1. Wenn die Dienste erfolgreich neu gestartet wurden, können Sie überprüfen, ob der Cluster-Sicherheitsmodus auf den gemischten Modus gesetzt wurde. Navigieren Sie dazu zu CUCM-Verwaltung, wie in Schritt 5 beschrieben, und überprüfen Sie dann dieCluster Security Mode. Jetzt muss sie auf1gesetzt werden.

    Cluster Security Mode is to the Value of '1'

    Konfigurieren von SIP-Trunk-Sicherheitsprofilen für CUBE und CVP

    Schritte:

    1. Melden Sie sich bei der CUCM-Verwaltungsschnittstelle an.
    2. Navigieren Sie nach der erfolgreichen Anmeldung bei CUCM zu,System > Security > SIP Trunk Security Profileum ein Gerätesicherheitsprofil für CUBE zu erstellen.

    CUCM SIP Trunk Security Profile

    1. Klicken Sie oben links auf Add New (Neu hinzufügen), um ein neues Profil hinzuzufügen.

    Add a New CUCM SIP Trunk Security Profile

    1. Konfigurieren Sie das BildSIP Trunk Security Profileund klicken Sie dannSaveunten links auf der Seite.

    Add CUCM SIP Trunk Security Profile for CUBE

    5. Stellen Sie sicher, dass SieSecure Certificate Subject or Subject Alternate Nameauf den Common Name (CN) des CUBE-Zertifikats setzen, da dieses übereinstimmen muss.

    6. Klicken Sie aufCopydie Schaltfläche, und ändern Sie dieNameinSecureSipTLSforCVP. Ändern SieSecure Certificate Subjectdie CN des CVP-Anrufserverzertifikats, da dieses übereinstimmen muss. Klicken Sie aufSave  die Schaltfläche.

    Add CUCM SIP Trunk Security Profile for CVP

    Zuordnen von SIP-Trunk-Sicherheitsprofilen zu den entsprechenden SIP-Trunks und Aktivieren von SRTP

    Schritte:

    1. Navigieren Sie auf der Seite "CUCM Administration" zuDevice > Trunk.

    CUCM Trunk Configuration for CUBE

    1. Suchen Sie nach CUBE-Trunk. In diesem Beispiel lautet der CUBE-Trunk-NamevCube, und klicken Sie dann aufFind.

    Find SIP Trunks on CUCM for CUBE

    1. Klicken SievCUBEhier, um die Konfigurationsseite für vCUBE-Trunks zu öffnen.
    2. Aktivieren SieDevice Informationim Abschnitt dasSRTP AllowedKontrollkästchen, um SRTP zu aktivieren.

    Enable SRTP on SIP Trunk Configuration for CUBE

    1. Blättern Sie nach unten zumSIP InformationAbschnitt, und ändern Sie denDestination Portzu5061.
    2. Ändern SieSIP Trunk Security ProfileinSecureSIPTLSForCube.

    Assign a Security Profile on SIP Trunk Configuration for CUBE

    1. Klicken SieSaveRestdann auf , save und wenden Sie die Änderungen an.

    Save Configuration

    Info Message

    1. Navigieren Sie zu,Device > Trunksuchen Sie nach CVP-Trunk, in diesem Beispiel lautet der Name des CVP-Trunkscvp-SIP-Trunk. Klicken Sie auf .Find

    Find SIP Trunks on CUCM for CVP

    1. Klicken Sie hierCVP-SIP-Trunk, um die Konfigurationsseite für CVP-Trunks zu öffnen.
    2. Aktivieren Sie imDevice InformationAbschnitt das Kontrollkästchen, um SRTP zu aktivierenSRTP Allowed.

    Enable SRTP on SIP Trunk Configuration for CVP

    1. Blättern Sie nach unten zumSIP InformationAbschnitt, und ändern Sie denDestination Portzu5061.
    2. Ändern SieSIP Trunk Security ProfileinSecureSIPTLSForCvp.

    Assign a Security Profile on SIP Trunk Configuration for CVP

    1. Klicken SieSavedannRestauf , save und wenden Sie die Änderungen an.

    Save Configuration Info Message

    Sichere Gerätekommunikation der Agenten mit CUCM

    Um Sicherheitsfunktionen für ein Gerät zu aktivieren, müssen Sie ein LSC (Locally Signed Certificate) installieren und das Sicherheitsprofil diesem Gerät zuweisen. Das LSC verfügt über den öffentlichen Schlüssel für den Endpunkt, der vom privaten CUCM-CAPF-Schlüssel signiert wird. Es ist nicht standardmäßig auf Telefonen installiert.


    Schritte:

    1. Melden Sie sich bei der Schnittstelle anCisco Unified Serviceability.
    2. Navigieren Sie zu .Tools > Service Activation

    CUCM Service Activation

    1. Wählen Sie den CUCM-Server aus, und klicken Sie aufGo.

    Select Server

    1. Aktivieren Sie das KontrollkästchenCisco Certificate Authority Proxy Function, und klicken SieSave  auf, um den Service zu aktivieren. Klicken SieOkzur Bestätigung.

    Activate Cisco Certificate Authority Proxy Function Service

    1. Stellen Sie sicher, dass der Service aktiviert ist, und navigieren Sie dann zur CUCM-Verwaltung.

    CUCM Administration

    1. Navigieren Sie nach der erfolgreichen Anmeldung bei der CUCM-Verwaltung zu ,System > Security > Phone Security Profileum ein Gerätesicherheitsprofil für das Agent-Gerät zu erstellen.

    Phone Security Profile

    1. Suchen Sie das Sicherheitsprofil für den Gerätetyp Ihres Agenten. In diesem Beispiel wird ein Softphone verwendet. Wählen SieCisco Unified Client Services Framework - Standard SIP Non-Secure Profilediese Option aus. Klicken Sie auf das KopiersymbolCopy Icon um dieses Profil zu kopieren.

    Copy Existing Phone Security Profile

    1. Benennen Sie das Profil in umCisco Unified Client Services Framework - Secure Profile. Ändern Sie die Parameter wie in diesem Bild, und klicken Sie dann auf  Save  oben links auf der Seite.

    Add a New Phone Security Profile

    1. Navigieren Sie nach der erfolgreichen Erstellung des Telefongeräteprofils zuDevice > Phone.

    Phone Configuration

    1. Klicken SieFindauf, um alle verfügbaren Telefone aufzulisten, und klicken Sie dann auf Agententelefon.
    2. Die Konfigurationsseite für Agententelefone wird geöffnet. Abschnitt suchenCertification Authority Proxy Function (CAPF) Information. Um LSC zu installieren, setzen SieCertificate OperationaufInstall/UpgradeundOperation Completes byein beliebiges zukünftiges Datum.

    Setting CAPF Parameters

    1. SuchenProtocol Specific InformationSie Abschnitt, und ändern Sie denDevice Security ProfileinCisco Unified Client Services Framework – Secure Profile.

    Assigning Device Security Profile to IP Phone

    1. Klicken Sie links oben auf der Seite aufSave. Stellen Sie sicher, dass die Änderungen erfolgreich gespeichert wurden, und klicken Sie aufReset.

    Save Configuration

    1. Wenn ein Popup-Fenster geöffnet wird, klicken Sie zur BestätigungResetder Aktion auf .

    Phone Reset

    1. Nachdem sich das Agent-Gerät erneut beim CUCM registriert hat, aktualisieren Sie die aktuelle Seite, und überprüfen Sie, ob das LSC erfolgreich installiert wurde. Abschnitt aktivierenCertification Authority Proxy Function (CAPF) Information, mussCertificate Operationauf eingestellt seinNo Pending Operation, undCertificate Operation Statusist auf eingestellt  Upgrade Success.

    CAPF Information is Updated

    1. Gehen Sie zu den gleichen Schritten wie in Schritt . 7 - 13 zum Sichern der Geräte anderer Agenten, die Sie mit CUCM sicheres SIP und RTP verwenden möchten.

    Überprüfung

    Führen Sie folgende Schritte durch, um zu überprüfen, ob das RTP ordnungsgemäß gesichert ist:

    1. Führen Sie einen Testanruf beim Contact Center aus, und hören Sie sich die IVR-Aufforderung an.
    2. Öffnen Sie gleichzeitig die SSH-Sitzung zu vCUBE, und führen Sie den folgenden Befehl aus:
      show call active voice brief

    show call active voice brief Command Output on CUBE SSH Console

    Tipp: Überprüfen Sie, ob sich das SRTP zwischen CUBE und VVB (198.18.133.143) befindeton. Wenn dies der Fall ist, wird bestätigt, dass der RTP-Verkehr zwischen CUBE und VVB sicher ist.

    1. Stellen Sie einen Mitarbeiter zur Verfügung, um den Anruf entgegenzunehmen.
      .Make Agent Ready on Finesse Agent Desktop
    2. Der Agent wird reserviert, und der Anruf wird an den Agent weitergeleitet. Nehmen Sie den Anruf an.
    3. Der Anruf wird mit dem Mitarbeiter verbunden. Kehren Sie zur vCUBE SSH-Sitzung zurück, und führen Sie den folgenden Befehl aus:
      show call active voice brief

    show call active voice brief Command Output on CUBE SSH Console

    Tipp: Überprüfen Sie, ob sich das SRTP zwischen CUBE und den Telefonen der Agenten befindeton(198.18.133.75). Wenn ja, wird bestätigt, dass der RTP-Verkehr zwischen CUBE und Agent sicher ist.

    1. Sobald der Anruf verbunden ist, wird auf dem Agentengerät eine Sicherheitssperre angezeigt.. Dies bestätigt auch, dass der RTP-Verkehr sicher ist.

    Secure Lock Appears, Confirm SRTP is Established

    Weitere Informationen zum Überprüfen der ordnungsgemäßen Sicherung der SIP-Signale finden Sie im Artikel Configure Secure SIP Signaling.

    Revisionsverlauf

    Überarbeitung Veröffentlichungsdatum Kommentare
    1.0
    21-Dec-2022
    Erstveröffentlichung
    TAC Authored

    Beiträge von Cisco Ingenieuren

    • Mohamed Mohasseb
      Technical Consulting Engineer

    War dieses Dokument hilfreich?

    FeedbackFeedback

    Cisco kontaktieren

    Dieses Dokument gilt für folgende Produkte.