Dieses Dokument beschreibt die Konfiguration, die Verifizierung und die Fehlerbehebung der sicheren Verbindung zwischen dem Cisco Unified Communication Manager (CUCM)- und dem Cisco Unity Connection (CUC)-Server.
Cisco empfiehlt, dass Sie über Kenntnisse von CUCM verfügen.
Weitere Informationen finden Sie im Cisco Unified Communications Manager-Sicherheitshandbuch.
Die Verschlüsselung muss für Unity Connection 11.5(1) SU3 und höher aktiviert werden.
CLI-Befehl "utils cuc encryption <enable/disable>"
Die Informationen in diesem Dokument basierend auf folgenden Software- und Hardware-Versionen:
Die Informationen in diesem Dokument beziehen sich auf Geräte in einer speziell eingerichteten Testumgebung. Alle Geräte, die in diesem Dokument benutzt wurden, begannen mit einer gelöschten (Nichterfüllungs) Konfiguration. Wenn Ihr Netzwerk in Betrieb ist, stellen Sie sicher, dass Sie die möglichen Auswirkungen aller Befehle kennen.
In diesem Diagramm wird der Prozess zum Herstellen einer sicheren Verbindung zwischen CUCM und CUC kurz erläutert:

1. Der Call Manager richtet eine sichere Transport Layer Security (TLS)-Verbindung zum CUC-Server entweder auf Port 2443 Skinny Call Control Protocol (SCCP) oder 5061 Session Initiation Protocol-basiert (SIP) auf dem für die Integration verwendeten Protokoll ein.
2. Der CUC-Server lädt die CTL-Datei (Certificate Trust List) vom TFTP-Server herunter (einmaliger Vorgang), extrahiert das Zertifikat "CallManager.pem" und speichert es.
3. Der CUCM-Server stellt das Zertifikat "Callmanager.pem" bereit, das anhand des im vorherigen Schritt erhaltenen Zertifikats "CallManager.pem" verifiziert wird. Darüber hinaus wird das CUC-Zertifikat mit einem in CUCM gespeicherten CUC-Root-Zertifikat verglichen. Beachten Sie, dass das Stammzertifikat vom Administrator in CUCM hochgeladen werden muss.
4. Wenn die Überprüfung der Zertifikate erfolgreich ist, wird eine sichere TLS-Verbindung hergestellt. Diese Verbindung wird für den Austausch verschlüsselter SCCP- oder SIP-Signalisierungen verwendet.
5. Audio-Datenverkehr kann entweder als Real-time Transport Protocol (RTP) oder SRTP ausgetauscht werden.
Navigieren Sie zu CUC Administration > Telefony Integrations > Security > SIP Certificate > Add new

Navigieren Sie zu Telefonie-Integration > Telefonsystem. Sie können das bereits vorhandene Telefonsystem verwenden oder ein neues erstellen.

Wählen Sie auf der Seite "Telefonsystemgrundlagen" im Dropdown-Feld "Verwandte Links" die Option Portgruppe hinzufügen und dann Los aus. Geben Sie im Konfigurationsfenster die folgenden Informationen ein:
Drücken Sie Speich.

Navigieren Sie zu Bearbeiten > Server, und fügen Sie den TFTP-Server aus dem CUCM-Cluster hinzu, wie in diesem Bild gezeigt.

Kehren Sie zu Port Group Basics (Port-Gruppen-Grundlagen) zurück, und setzen Sie die Port-Gruppe zurück, wie in diesem Bild vom System aufgefordert.

Wählen Sie auf der Seite Port Group Basics (Port-Gruppen-Grundlagen) im Dropdown-Feld Related Links (Zugehörige Links) die Option Add Ports (Ports hinzufügen) und wählen Sie Go (Gehe zu). Geben Sie im Konfigurationsfenster die folgenden Informationen ein:

Navigieren Sie zu Telefonieintegrationen > Sicherheit > Stammzertifikat, klicken Sie mit der rechten Maustaste auf die URL, um das Zertifikat als Datei mit dem Namen <Dateiname>.0 zu speichern (die Dateierweiterung muss .0 anstatt .htm sein), und drücken Sie speich, wie in diesem Bild dargestellt.

Navigieren Sie zu CUCM Administration > System > Security > SIP Trunk Security Profile > Add new.
Stellen Sie sicher, dass diese Felder ordnungsgemäß ausgefüllt sind:

Navigieren Sie zu Device > Device Settings > SIP Profile (Gerät > Geräteeinstellungen > SIP-Profil), wenn Sie bestimmte Einstellungen übernehmen möchten. Andernfalls können Sie das Standard-SIP-Profil verwenden.
Gehen Sie zu Device > Trunk > Add new.Erstellen Sie einen SIP-Trunk, der für die sichere Integration in Unity Connection verwendet wird, wie in diesem Bild gezeigt.

Geben Sie im Abschnitt "Device Information" (Geräteinformationen) der Trunk-Konfiguration folgende Informationen ein:

Geben Sie im Abschnitt "Eingehende Anrufe" der Trunk-Konfiguration folgende Informationen ein:

Geben Sie im Abschnitt "Ausgehende Anrufe" der Trunk-Konfiguration folgende Informationen ein:

Geben Sie im Abschnitt SIP Information (SIP-Informationen) der Trunk-Konfiguration folgende Informationen ein:

Passen Sie andere Einstellungen entsprechend Ihren Anforderungen an.
Erstellen Sie ein Routenmuster, das auf den konfigurierten Trunk verweist (Anrufweiterleitung > Route/Hunt > Routenmuster). Die als Weiterleitungsmuster eingegebene Durchwahl kann als Voicemail-Pilot verwendet werden. Geben Sie folgende Informationen ein:

Erstellen Sie ein Voicemail-Pilotprogramm für die Integration (Erweiterte Funktionen > Voicemail > Voicemail-Pilotprogramm). Geben Sie folgende Werte ein:

Erstellen Sie ein Voicemail-Profil, um alle Einstellungen miteinander zu verknüpfen (Erweiterte Funktionen > Voicemail > Voicemail-Profil). Geben Sie folgende Informationen ein:

Weisen Sie das Voicemail-Profil den Verzeichnisnummern zu, die eine sichere Integration verwenden sollen. Vergessen Sie nicht, auf die Schaltfläche "Konfiguration übernehmen" zu klicken, nachdem Sie die DN-Einstellungen geändert haben:
Navigieren Sie zu: Anrufweiterleitung > Verzeichnisnummer und Änderung:

Navigieren Sie zu OS Administration > Security > Certificate Management > Upload Certificate/Certificate Chain, und laden Sie das CUC-Stammzertifikat als CallManager-trust auf alle Knoten hoch, die für die Kommunikation mit dem CUC-Server konfiguriert sind.

Navigieren Sie zu CUC Administration > Telefony Integration > Security > Root Certificate. Klicken Sie mit der rechten Maustaste auf die URL, um das Zertifikat als Datei mit dem Namen <Dateiname>.0 zu speichern (die Dateierweiterung muss .0 anstatt .htm sein), und drücken Sie Speichern:

Navigieren Sie zu Telefonieintegration > Phone system (Telefoniesystem). Sie können das bereits vorhandene Telefonsystem verwenden oder ein neues erstellen.

Wählen Sie auf der Seite "Telefonsystemgrundlagen" im Dropdown-Feld "Verwandte Links" die Option Portgruppe hinzufügen und dann Los. Geben Sie im Konfigurationsfenster die folgenden Informationen ein:

Navigieren Sie zu Bearbeiten > Server, und fügen Sie einen TFTP-Server aus dem CUCM-Cluster hinzu.

Wählen Sie auf der Seite Port Group Basics (Port-Gruppen-Grundlagen) im Dropdown-Feld Related Links (Zugehörige Links) die Option Add Ports (Ports hinzufügen) und wählen Sie Go (Gehe zu). Geben Sie im Konfigurationsfenster die folgenden Informationen ein:

Navigieren Sie zu CUCM-Verwaltung > Erweiterte Funktionen > Konfiguration des Voicemail-Ports > Neu hinzufügen.
Konfigurieren Sie die SCCP-Voicemail-Ports wie gewohnt. Der einzige Unterschied besteht im Gerätesicherheitsmodus unter der Portkonfiguration, in dem die Option für den verschlüsselten Voicemail-Port ausgewählt werden muss.

Navigieren Sie zu OS Administration > Security > Certificate Management > Upload Certificate/Certificate Chain, und laden Sie das CUC-Stammzertifikat als CallManager-trust auf alle Knoten hoch, die für die Kommunikation mit dem CUC-Server konfiguriert sind.

Navigieren Sie zu CUCM Administration > Advanced Features > Voicemail Port Configuration, und konfigurieren Sie MWI On/Off Extensions. Die MWI-Nummern müssen mit der CUC-Konfiguration übereinstimmen.


Erstellen Sie ein Voicemail-Pilotprogramm für die Integration (Erweiterte Funktionen > Voicemail > Voicemail-Pilotprogramm). Geben Sie folgende Werte ein:

Erstellen Sie ein Voicemail-Profil, um alle Einstellungen miteinander zu verknüpfen (Erweiterte Funktionen > Voicemail > Voicemail-Profil). Geben Sie folgende Informationen ein:

Weisen Sie das Voicemail-Profil den DNs zu, die eine sichere Integration nutzen möchten. Klicken Sie auf Apply Config (Konfiguration übernehmen), nachdem die DN-Einstellungen geändert wurden:
Navigieren Sie zu Call Routing > Directory number (Rufumleitung > Verzeichnisnummer), und ändern Sie den Wert in:

a) Fügen Sie eine neue Leitungsgruppe hinzu (Anrufweiterleitung > Route/Hunt > Leitungsgruppe)

b) Fügen Sie eine neue Voicemail-Sammelanschlussliste hinzu (Anrufweiterleitung > Route/Hunt > Sammelanschlussliste)

c) Einen neuen Hunt-Pilot hinzufügen (Anrufweiterleitung > Route/Hunt > Hunt-Pilot)

Navigieren Sie zu CUCM Administration > Advanced Features > Voice Mail > Voice Mail Ports, und überprüfen Sie die Portregistrierung.

Drücken Sie die Voicemail-Taste am Telefon, um Voicemail anzurufen. Sie hören die Begrüßung, wenn die Durchwahl des Benutzers nicht auf dem Unity Connection-System konfiguriert ist.
Drücken Sie die Voicemail-Taste am Telefon, um Voicemail anzurufen. Sie hören die Begrüßung, wenn die Durchwahl des Benutzers nicht auf dem Unity Connection-System konfiguriert ist.
Alternativ können Sie SIP OPTIONs keepalive aktivieren, um den Status des SIP-Trunks zu überwachen. Diese Option kann im SIP-Profil aktiviert werden, das dem SIP-Trunk zugewiesen ist. Sobald diese Funktion aktiviert ist, können Sie den SIP-Trunk-Status über Gerät > Trunk überwachen, wie in diesem Bild dargestellt.

Überprüfen Sie, ob das Schlosssymbol bei Anrufen an Unity Connection angezeigt wird. Dies bedeutet, dass der RTP-Stream verschlüsselt ist (das Gerätesicherheitsprofil muss sicher sein, damit er funktioniert), wie in diesem Bild gezeigt.

Führen Sie die folgenden Schritte aus, um eine Fehlerbehebung für die sichere Integration durchzuführen:
Sammeln Sie diese Spuren, um die sichere Integration zu beheben.
In diesen Ressourcen finden Sie weitere Informationen zu folgenden Themen:
So führen Sie eine Paketerfassung auf CUCM durch:
So aktivieren Sie Ablaufverfolgungen auf dem CUC-Server:
Nachdem die Paketerfassung von einem der Server erfasst wurde, wird die TLS-Sitzung eingerichtet.

Der Client gab eine Warnung mit dem schwerwiegenden Fehler "Unbekannte Zertifizierungsstelle" für den Server aus, nur weil der Client das vom Server gesendete Zertifikat nicht überprüfen konnte.
Es gibt zwei Möglichkeiten:
1) CUCM sendet die Warnung Unbekannte Zertifizierungsstelle
2) CUC sendet die Warnung Unbekannte CA
Dieser Fehler wird in den Conversation Manager-Ablaufverfolgungen angezeigt:
MiuGeneral,25,FAILED Port group 'PhoneSystem-1' attempt set InService(true), error retrieving server certificates.
MiuGeneral,25,Error executing tftp command 'tftp://10.48.47.189:69/CTLFile.tlv' res=68 (file not found on server)
MiuGeneral,25,FAILED Port group 'PhoneSystem-1' attempt set InService(true), error retrieving server certificates.
Arbiter,-1,Created port PhoneSystem-1-001 objectId='7c2e86b8-2d86-4403-840e-16397b3c626b' as ID=1
MiuGeneral,25,Port group object 'b1c966e5-27fb-4eba-a362-56a5fe9c2be7' exists
MiuGeneral,25,FAILED SetInService=true parent port group is out of service:
Lösung:
1. Überprüfen Sie unter Portgruppe > Bearbeiten > Serverkonfiguration, ob der TFTP-Server korrekt ist.
2. Überprüfen Sie, ob sich der CUCM-Cluster im gesicherten Modus befindet.
3. Stellen Sie sicher, dass die CTL-Datei auf dem CUCM-TFTP vorhanden ist.
Dieser Fehler wird in den Conversation Manager-Ablaufverfolgungen angezeigt:
MiuSkinny,23,Failed to retrieve Certificate for CCM Server <CUCM IP Address>
MiuSkinny,23,Failed to extract any CCM Certificates - Registration cannot proceed. Starting retry timer -> 5000 msec
MiuGeneral,24,Found local CTL file [/tmp/aaaaaaaa-xxxx-xxxx-xxxx-xxxxxxxxxxxx.tlv]
MiuGeneral,25,CCMCertificateCache::RetrieveServerCertificates() failed to find CCM Server '<CUCM IP Address>' in CTL File
Lösung:
1. Dies ist höchstwahrscheinlich auf eine Diskrepanz in der MD5-Prüfsumme der CTL-Datei auf dem CUCM und dem CUC als Ergebnis der Regeneration von
Zertifikate. Starten Sie den CUC-Server neu, um die CTL-Datei zu aktualisieren.
CSCum48958 - CUCM 10.0 (IP-Adresslänge ist falsch)
CSCtn87264 - TLS-Verbindung schlägt für sichere SIP-Ports fehl
CSCur10758 - Die gesperrten Zertifikate konnten nicht gelöscht werden. Unity Connection
CSCur10534 - Unity Connection 10,5 TLS/PKI interop redundant CUCM
CSCve4775 - Funktionsanforderung für eine Methode zum Aktualisieren und Überprüfen der CTLF-Datei von CUCM auf dem CUC
| Überarbeitung | Veröffentlichungsdatum | Kommentare |
|---|---|---|
1.0 |
02-Jun-2016
|
Erstveröffentlichung |