Este documento describe el proceso de configuración para desplegar el Session Initiation Protocol (SIP) sobre Transport Layer Security (TLS) en el flujo de llamada completo del Cisco Unified Contact Center Enterprise (UCCE) con los certificados firmados del Certificate Authority (CA).

Prerrequisitos

Requisitos

Cisco recomienda que tenga conocimiento sobre estos temas:

CUCCE
Public Switched Telephone Network (PSTN)
Protocolo SIP
Public Key Infrastructure (PKI)
TLS

Componentes Utilizados

Esta información en este documento se basa en estas versiones de software y hardware:

Cisco 3945 Router
Portal de la Voz de cliente de Cisco (CVP) 11.6
Cisco virtualizó al buscador de voz (VVB) 11.6
Cisco Intelligent Contact Management (ICM) 11.6

La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). Si su red está viva, asegúrese de que usted entienda el impacto potencial del comando any.

Antecedentes

En este documento, utilizan al administrador de las Comunicaciones unificadas de Cisco (CUCM) al lado del simulatePSTN entre el PSTN y el gateway de ingreso. El SORBO sobre el Transmission Control Protocol (TCP) se utiliza entre el agente CUCM y el teléfono del IP del agente. El resto del SORBO del uso de las piernas del SORBO sobre TLS (CA firmado).

El flujo de llamada completo UCCE es el Public Switched Telephone Network (PSTN) > gateway de ingreso > Cisco Unified Customer Voice Portal (CVP) > el Intelligent Contact Management (ICM) (escritura de la etiqueta de vuelta del agente) > CVP > el administrador de las Comunicaciones unificadas de Cisco (CUCM) > teléfono del IP del agente.

SIP/TLS se introduce en la versión 11.6 UCCE. Después de la actualización al CVP 11.6, asegure la configuración manual del final de las propiedades unificadas del CVP.

UCCE 11.6 utiliza TLS 1.2, asegura los soportes TLS 1.2 del gateway de ingreso.

El IOS 15.6(1) T y el IOS XE 3.17S soportan TLS 1.2. Soportes anteriores TLS1.0 de las versiones de IOS solamente.

Las habitaciones siguientes de la cifra se introducen para el Cisco IOS 15.6(1)T de la versión:

•   del   TLS_DHE_RSA_WITH_AES_128_CBC_SHA1

•   del   TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256

La característica de la licencia Securityk9 se debe habilitar en el gateway de ingreso.

VVB necesita ser actualizado a 11.6.

Configuración

Diagrama de la red

La configuración incluye cuatro porciones.

Configuración de TLS del gateway de ingreso de la parte A.

Configuración de B. CVP TLS de la parte

Parte C. VVB Configuration

Parte D. CUCM Configuration

Configuración de TLS del gateway de ingreso de la parte A.

Flujo de trabajo de la configuración

Detalles de la configuración

Paso 1. Genere la clave RSA en el router (clave 1024-bit RSA).

crypto key generate rsa modulus 1024 label INGW

Paso 2. Cree un trustpoint (un trustpoint representa CA de confianza).

crypto pki trustpoint col115ca
revocation-check none 
serial-number none
ip-address none
fqdn none 
rsakeypair INGW 
subject-name cn=INGRESSGW, ou=TAC, o=CISCO

crypto pki trustpoint col115ca

enrollment terminal

Paso 3. Cree un pedido de certificado (CSR) que sea enviado a CA.

crypto ski enroll col115ca

Paso 4. Certificado firmado de CA (bit CA CERT del base 64).

Paso 5. Instale el certificado raíz.

crypto pki authenticate col115ca

Paso 6. Instale el certificado firmado de CA (CERT del base 64).

crypto pki import col115ca certificate

Paso 7. Verifique los Certificados han estado instalados.

show crypto pki certificates

Paso 8. TLS versión de la configuración en el gateway.

sip-ua
transport tcp tls v1.2

Paso 9. Especifique el según destino usado trustpoint.

sip-ua

crypto signaling remote-addr 10.66.75.49 255.255.255.255 trustpoint col115ca

Paso 10. Ajuste el dial-peer que señalan al CVP para utilizar TLS.

dial-peer voice 7205 voip
  description to CVP
  destination-pattern 700.$
  session protocol sipv2
  session target ipv4:10.66.75.49
  session transport tcp tls
  dtmf-relay rtp-nte
  codec g711ulaw

Pieza la configuración de B. CVP TLS

Flujo de trabajo de la configuración

El CVP tiene dos almacenes dominantes, situados en c:\Cisco\CVP\conf\security.

Tal y como se muestra en de la imagen, estos dos almacenes dominantes sostienen diversos Certificados.

Detalles de la configuración

Paso 1. Navegue al servidor de la llamada del CVP de c:\Cisco\CVP\conf\security.propertiesin para encontrar esta contraseña. Este archivo contiene la contraseña para el almacén dominante, se requiere que al actuar el almacén dominante.

Paso 2. Valor predeterminado del sistema Callserver_certificate de la cancelación.

C:\Cisco\CVP\jre\bin>keytool.exe -delete -alias orm_certificate -storetype JCEKS -keystore c:\Cisco\CVP\conf\security\.keystore

Paso 3. Genere el keypair.

C:\Cisco\CVP\jre\bin>keytool.exe -genkeypair -alias callserver_certificate -v -k eysize 1024 -keyalg RSA -storetype JCEKS -keystore c:\Cisco\CVP\conf\security\.keystore

Paso 4. Cree un CSR y sálvelo en el C: conduzca la carpeta raíz (c:\callcsr.csr).

C:\Cisco\CVP\jre\bin>keytool.exe -certreq  -alias callserver_certificate -file c:\callcsr.csr  -storetype JCEKS
-keystore c:\Cisco\CVP\conf\security\.keystore

Paso 5. Firme la petición y someta la petición a CA (cuando usted descarga el CERT, elige el base 64 codificado).

Paso 6. Instale el certificado raíz (CERT salvado en C:\DC - Root.cer).

C:\Cisco\CVP\jre\bin>keytool.exe -import -v -trustcacerts -alias root -file  C:\ DC-Root.cer   -storetype JCEKS -keystore C:\Cisco\CVP\conf\security\.Keystore

Paso 7. Instale el certificado firmado de CA (CERT salvado en c:\95callserver.cer).

C:\Cisco\CVP\jre\bin>keytool.exe -import -v -trustcacerts  -alias callserver_certificate -file c:\95callserver.cer  -sto retype JCEKS -keystore c:\Cisco\CVP\conf\security\.keystore

Paso 8. Verifique a los detalles del certificado en el almacén dominante.

C:\Cisco\CVP\jre\bin>keytool.exe -list -v -storetype JCEKS -keystore c:\Cisco\CV P\conf\security\.keystore

Pieza a C. VVB Configuration

Detalles de la configuración

Paso 1. Permiso TLS del parámetro del sistema

Este ejemplo utiliza el RTP, así que el SRTP en VVB no se habilita.

Paso 2. Genere e importe el certificado firmado de CA para VVB, esta parte es lo mismo que certificado del tomcat CUCM

Genere el CSR y firmado por CA.
Importe la confianza de Tomcat (CERT de la raíz de CA).
Importe Tomcat (CERT firmado CA).

Pieza a D. CUCM Configuration

Detalles de la configuración

Paso 1. Cargue el certificado firmado CA del callmanager en el servidor CUCM. CUCM utiliza el certificado del callmanager para SIP/TLS.

Paso 2. Genere el CSR para el certificado del callmanager, aseegurese la longitud de clave es 1024.

Paso 3. Proporcione el CSR a CA y extraiga el certificado del callmanager.

Paso 4. Importación certificado raíz CA y el certificado recientemente firmado del callmanager.

Paso 5. Callmanager del reinicio y servicios TFTP.

Paso 6. Perfil de seguridad del trunk del SORBO de la configuración. Navegue al > Security (Seguridad) del sistema > al perfil de seguridad del trunk del SORBO

Asegúrese que el asunto X.509 sea lo mismo que se utiliza en el certificado de servidor de la llamada del CVP, tal y como se muestra en de las imágenes.

Paso 7. Cree el trunk del SORBO y aféctelo un aparato a un perfil de seguridad.

Verificación

Verifique los Certificados instalados en el gateway de ingreso.

show crypto pki certificates

Verifique a los detalles del certificado en el almacén de la clave del CVP.

C:\Cisco\CVP\jre\bin>keytool.exe -list -v -storetype JCEKS -keystore c:\Cisco\CV P\conf\security\.keystore

Troubleshooting

Comandos Debug relacionados con TLS.

debug ssl openssl errors

debug ssl openssl msg

debug ssl openssl states