Este documento describe la configuración, verificación y solución de problemas de la conexión segura entre Cisco Unified Communication Manager (CUCM) y el servidor de Cisco Unity Connection (CUC).
Cisco recomienda que tenga conocimientos de CUCM.
Consulte la Guía de seguridad de Cisco Unified Communications Manager para obtener más información.
El cifrado debe estar habilitado para Unity Connection 11.5(1) SU3 y versiones posteriores.
Comando CLI "utils cuc encryption <enable/disable>"
La información que contiene este documento se basa en las siguientes versiones de software y hardware.
La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). Si tiene una red en vivo, asegúrese de entender el posible impacto de cualquier comando.
Este diagrama explica brevemente el proceso que ayuda a establecer una conexión segura entre CUCM y CUC:

1. Call Manager configura una conexión segura de seguridad de la capa de transporte (TLS) al servidor CUC en el puerto 2443 Skinny Call Control Protocol (SCCP) o 5061 Session Initiation Protocol (SIP) en el protocolo utilizado para la integración.
2. El servidor CUC descarga el archivo de lista de confianza de certificados (CTL) del servidor TFTP (proceso único), extrae el certificado CallManager.pem y lo almacena.
3. El servidor CUCM ofrece el certificado Callmanager.pem que se verifica con el certificado CallManager.pem obtenido en el paso anterior. Además, el certificado de CUC se está comprobando con un certificado raíz de CUC almacenado en CUCM. Tenga en cuenta que el administrador debe cargar el certificado raíz en CUCM.
4. Si la verificación de los certificados es satisfactoria, se establece una conexión TLS segura. Esta conexión se utiliza para intercambiar señales SCCP o SIP cifradas.
5. El tráfico de audio se puede intercambiar como protocolo de transporte en tiempo real (RTP) o SRTP.
Vaya a CUC Administration > Telephony Integrations > Security > SIP Certificate > Add new .

Vaya a Integración de telefonía > Sistema telefónico. Puede utilizar el sistema telefónico que ya existe o crear uno nuevo.

En la página Phone System Basics (Conceptos básicos del sistema telefónico), en el cuadro desplegable Related Links (Enlaces relacionados), seleccione Add Port Group (Agregar grupo de puertos) y seleccione Go (Ir). En la ventana de configuración, introduzca esta información:
Pulse Guardar.

Vaya a Edit > Servers y agregue el servidor TFTP desde el clúster de CUCM como se muestra en esta imagen.

Vuelva a Fundamentos del Grupo de Puertos y reinicie el grupo de puertos como lo indica el sistema, como se muestra en esta imagen.

En la página Fundamentos del Grupo de Puertos, en el recuadro desplegable Enlaces Relacionados, seleccione Agregar Puertos y seleccione Ir. En la ventana de configuración, introduzca esta información:

Navegue hasta Telephony Integrations > Security > Root Certificate, haga clic derecho en la URL para guardar el certificado como un archivo llamado <filename>.0 (la extensión de archivo debe ser .0 en lugar de .htm)' y presione save como se muestra en esta imagen.

Vaya a CUCM Administration > System > Security > SIP Trunk Security Profile > Add new .
Asegúrese de que estos campos se han rellenado correctamente:

Navegue hasta Device > Device Settings > SIP Profile si necesita aplicar alguna configuración específica. De lo contrario, puede utilizar Standard SIP Profile.
Vaya a Device > Trunk > Add new. Cree un troncal SIP que se utilice para la integración segura con Unity Connection, como se muestra en esta imagen.

En la sección Información del dispositivo de la configuración troncal, ingrese esta información:

En la sección Llamadas entrantes de la configuración del troncal, introduzca esta información:

En la sección Llamadas salientes de la configuración del troncal, ingrese esta información:

En la sección Información SIP de la configuración troncal, ingrese esta información:

Ajuste otros parámetros según sus requisitos.
Cree un patrón de ruta que apunte al enlace troncal configurado (Enrutamiento de llamada > Ruta/Búsqueda > Patrón de ruta). La extensión introducida como número de patrón de ruta se puede utilizar como cabecera de buzón de voz. Ingresar esta información

Cree un programa piloto de buzón de voz para la integración (Funciones avanzadas > Buzón de voz > Buzón de voz piloto). Introduzca estos valores:

Cree un perfil de correo de voz para vincular todos los ajustes (Funciones avanzadas > Correo de voz > Perfil de correo de voz). Ingresar esta información

Asigne el perfil de buzón de voz a los DN que se van a utilizar para utilizar una integración segura. No olvide hacer clic en el botón "Aplicar configuración" después de cambiar la configuración de DN:
Navegue hasta: Call Routing > Directory number y cambiar:

Navegue hasta OS Administration > Security > Certificate Management > Upload Certificate/Certificate Chain y cargue el certificado raíz de CUC como CallManager-trust en todos los nodos configurados para comunicarse con el servidor CUC.

Vaya a Administración de CUC > Integración de telefonía > Seguridad > Certificado raíz. Haga clic con el botón derecho del ratón en la URL para guardar el certificado como un archivo denominado <filename>.0 (la extensión del archivo debe ser .0 en lugar de .htm)' y haga clic en Guardar:

Vaya a Integración de telefonía > sistema telefónico. Puede utilizar el sistema telefónico que ya existe o crear uno nuevo.

En la página Phone System Basics, en el cuadro desplegable Related Links, seleccione Add Port Group y seleccione Go. En la ventana de configuración, introduzca esta información:

Vaya a Edit > Servers y agregue el servidor TFTP desde el clúster de CUCM.

En la página Fundamentos del Grupo de Puertos, en el recuadro desplegable Enlaces Relacionados, seleccione Agregar Puertos y seleccione Ir. En la ventana de configuración, introduzca esta información:

Vaya a CUCM Administration > Advanced features > Voice Mail Port Configuration > Add New.
Configure los puertos de correo de voz SCCP de la forma habitual. La única diferencia está en el Modo de seguridad del dispositivo en la configuración del puerto donde debe seleccionarse la opción Puerto de correo de voz cifrado.

Navegue hasta OS Administration > Security > Certificate Management > Upload Certificate/Certificate Chain y cargue el certificado raíz de CUC como CallManager-trust en todos los nodos configurados para comunicarse con el servidor de CUC.

Vaya a CUCM Administration > Advanced Features > Voice Mail Port Configuration y configure MWI On/Off Extensions. Los números de MWI deben coincidir con la configuración de CUC.


Cree un programa piloto de buzón de voz para la integración (Funciones avanzadas > Buzón de voz > Buzón de voz piloto). Introduzca estos valores:

Cree un perfil de correo de voz para vincular todos los ajustes (Funciones avanzadas > Correo de voz > Perfil de correo de voz). Ingresar esta información

Asigne el perfil de buzón de voz a los DN que pretendan utilizar una integración segura. Haga clic en el botón Apply Config después de cambiar la configuración de DN:
Navegue hasta Call Routing > Directory number y cambie a:

a) Agregar un nuevo grupo de línea (Enrutamiento de llamadas > Enrutamiento/captura > Grupo de línea)

b) Agregar una nueva lista de búsqueda de correo de voz (Enrutamiento de llamadas > Enrutamiento/Búsqueda > Lista de captura)

c) Agregar un nuevo cabecera de grupo de salto (Enrutamiento de llamada > Ruta/grupo de salto > Cabecera de grupo de salto)

Vaya a CUCM Administration > Advance Features > Voice Mail > Voice Mail Ports y verifique el registro del puerto.

Pulse el botón Buzón de voz del teléfono para llamar al buzón de voz. Oirá el saludo inicial si la extensión del usuario no está configurada en el sistema Unity Connection.
Pulse el botón Buzón de voz del teléfono para llamar al buzón de voz. Oirá el saludo de apertura si la extensión del usuario no está configurada en el sistema Unity Connection.
Como alternativa, puede activar el keepalive de opciones SIP para supervisar el estado del troncal SIP. Esta opción se puede activar en el perfil SIP asignado al troncal SIP. Una vez habilitada, puede supervisar el estado del troncal SIP mediante Device > Trunk, como se muestra en esta imagen.

Verifique si el icono de candado está presente en las llamadas a Unity Connection. Significa que el flujo RTP está cifrado (el perfil de seguridad del dispositivo debe ser seguro para que funcione), como se muestra en esta imagen.

Utilice estos pasos para resolver problemas de la integración segura:
Recopile estos seguimientos para resolver problemas de la integración segura.
Consulte estos recursos para obtener información adicional sobre:
Cómo realizar una captura de paquetes en CUCM:
Cómo habilitar seguimientos en el servidor CUC:
Una vez que se recopila la captura de paquetes de cualquiera de los servidores, se establece la sesión TLS.

El cliente emitió una alerta con un error irrecuperable de CA desconocida al servidor, simplemente porque el cliente no pudo verificar el certificado enviado por el servidor.
Hay dos posibilidades:
1) CUCM envía la alerta CA desconocida
2) CUC envía la alerta CA desconocida
Este error se ve en los seguimientos del administrador de conversaciones:
MiuGeneral,25,FAILED Port group 'PhoneSystem-1' attempt set InService(true), error retrieving server certificates.
MiuGeneral,25,Error executing tftp command 'tftp://10.48.47.189:69/CTLFile.tlv' res=68 (file not found on server)
MiuGeneral,25,FAILED Port group 'PhoneSystem-1' attempt set InService(true), error retrieving server certificates.
Arbiter,-1,Created port PhoneSystem-1-001 objectId='7c2e86b8-2d86-4403-840e-16397b3c626b' as ID=1
MiuGeneral,25,Port group object 'b1c966e5-27fb-4eba-a362-56a5fe9c2be7' exists
MiuGeneral,25,FAILED SetInService=true parent port group is out of service:
Solución:
1. Verifique que el servidor TFTP sea correcto en la configuración del grupo de puertos > Editar > Servidores.
2. Compruebe que el clúster de CUCM está en modo seguro.
3. Verifique que el archivo CTL exista en el TFTP de CUCM.
Este error se ve en los seguimientos del administrador de conversaciones:
MiuSkinny,23,Failed to retrieve Certificate for CCM Server <CUCM IP Address>
MiuSkinny,23,Failed to extract any CCM Certificates - Registration cannot proceed. Starting retry timer -> 5000 msec
MiuGeneral,24,Found local CTL file [/tmp/aaaaaaaa-xxxx-xxxx-xxxx-xxxxxxxxxxxx.tlv]
MiuGeneral,25,CCMCertificateCache::RetrieveServerCertificates() failed to find CCM Server '<CUCM IP Address>' in CTL File
Solución:
1. Esto se debe probablemente a la falta de coincidencia en la suma de comprobación md5 del archivo CTL en CUCM y CUC como resultado de la regeneración de
certificados. Reinicie el servidor CUC para actualizar el archivo CTL.
CSCum48958 - CUCM 10.0 (la longitud de la dirección IP es incorrecta)
CSCtn87264 - La conexión TLS falla para los puertos SIP seguros
CSCur10758 - No se pueden purgar los certificados revocados de Unity Connection
CSCur10534 - CUCM redundante entre operaciones de Unity Connection 10.5 TLS/PKI
CSCve4775 - Solicitud de característica para un método para actualizar y revisar el CTLFile de CUCM en el CUC
| Revisión | Fecha de publicación | Comentarios |
|---|---|---|
1.0 |
02-Jun-2016
|
Versión inicial |