Configurez la caractéristique de sécurité voix avec le CUBE et le CUCM
Contenu
Introduction
Ce document décrit comment configurer la Sécurité entre le Logiciel Cisco Unified Border Element (CUBE) et le Cisco Unified Communications Manager (CUCM).
Conditions préalables
Conditions requises
Cisco vous recommande de prendre connaissance des rubriques suivantes :
- Cisco Unified Communications Manager (CUCM)
- Logiciel Cisco Unified Border Element (CUBE)
- Transport Layer Security (TLS)
- Real-Time Transport Protocol sécurisé (SRTP)
- Protocole RTP (Real-Time Transport Protocol)
- Protocole SIP (Session Initiation Protocol)
- Protocole UDP (User Datagram Protocol)
- Fournisseur de service téléphonique Internet (ITSP)
Composants utilisés
Ce document n'est pas limité à des versions de matériel et de logiciel spécifiques.
Les informations contenues dans ce document ont été créées à partir des périphériques d'un environnement de laboratoire spécifique. Tous les périphériques utilisés dans ce document ont démarré avec une configuration effacée (par défaut). Si votre réseau est vivant, assurez-vous que vous comprenez l'impact potentiel de n'importe quelle commande.
Informations générales
Comment configurer le TLS et le SRTP au RTP sur le CUBE avec CUCM
Avant cette configuration, le CUCM doit être accordé dans le mode de mélange avec l'enable de Sécurité.
Le CUBE agit en tant qu'Autorité de certification (CA) du système d'exploitation d'interconnexion de réseaux (IOS), les Certificats CUCM sont individu signé.
Écoulement d'appel de laboratoire
Téléphone CP-8945 > CUCM- (SIP/TLS) - CUBE > (SIP/UDP) - le reste du monde simulent ITSP (RTP) > téléphone
SRTP est entre le téléphone CP-8945 et le CUBE
CP-8945 le numéro de téléphone 2088, la commande show est basé sur l'appel d'ITSP vers 2088.
Configurez
Étape 1. Afin de configurer l'horloge, exécutez la commande de clock set ou configurez le ntp.
Set clock 8:00:00 01 JAN 2012 Or Ntp server x.x.x.x ntp source FastEthernet0/0 clock timezone AEST +10 Configure gateway to act as http server: “ip http server”
Étape 2. Configurez le serveur de PKI IOS et les points de confiance (le routeur local comme CA)
crypto pki server iosca database level complete database url nvram: grant auto lifetime certificate 1800 crypto pki trustpoint iosca enrollment url http://10.66.75.246:80 (local Giga Ethernet ip address) revocation-check none rsakeypair iosca Wait 30 seconds before issuing "no shutdown" on iosca server crypto pki server iosca no shutdown ########################### MS-3945(cs-server)#no shut %Some server settings cannot be changed after CA certificate generation. % Please enter a passphrase to protect the private key % or type Return to exit Password:Ciscotac123 Re-enter password:Ciscotac123 % Generating 1024 bit RSA keys, keys will be non-exportable... [OK] (elapsed time was 3 seconds) Jan 7 06:30:15.825: %SSH-5-ENABLED: SSH 1.99 has been enabled% Exporting Certificate Server signing certificate and keys... % Certificate Server enabled. Jan 7 06:30:25.384: %PKI-6-CS_ENABLED: Certificate server now enabled. MS-3945(cs-server)# ###########################
Étape 3. Configurez les points de confiance (pour le SIP et sécurisez le transcodeur)
crypto pki trustpoint cube3945
enrollment url http://10.66.75.246:80 (local Giga Ethernet 0/1)
serial-number none
fqdn none
subject-name CN=MS-3945.eim.com (needs to match the X.509 subject name in CUCM’s secure SIP trunk profile)
ip-address none
revocation-check none
crypto pki authenticate cube3945
###################
MS-3945(config)#crypto pki authenticate cube3945
Certificate has the following attributes:
Fingerprint MD5: 2F2D61A4 EACCC730 141B2966 7370A9AA
Fingerprint SHA1: E6B86D4F C84B5453 8F63F019 773E1E0C 0DE5B883
% Do you accept this certificate? [yes/no]: yes
Trustpoint CA certificate accepted.
MS-3945(config)#
###################
crypto pki enroll cube3945
##################
MS-3945(config)#crypto pki enr cube3945
%
% Start certificate enrollment ..
% Create a challenge password. You will need to verbally provide this
password to the CA Administrator in order to revoke your certificate.
For security reasons your password will not be saved in the configuration.
Please make a note of it.
Password:Ciscotac123
Jan 7 06:31:06.884: %CRYPTO-6-AUTOGEN: Generated new 512 bit key pair
Re-enter password:Ciscotac123
% The fully-qualified domain name will not be included in the certificate
Request certificate from CA? [yes/no]: yes
% Certificate request sent to Certificate Authority
% The 'show crypto pki certificate verbose cube3945' commandwill show the fingerprint.
Jan 7 06:31:24.088: CRYPTO_PKI: Certificate Request Fingerprint MD5: 9A128490 01A60E1D 9F3C3253 48706E5F
Jan 7 06:31:24.088: CRYPTO_PKI: Certificate Request Fingerprint SHA1: 733EE8B1 DBB0F25C 595D48E3 0830047C 50DEFB16
MS-3945(config)#
Jan 7 06:31:29.156: %PKI-6-CERTRET: Certificate received from Certificate Authority
#################
crypto pki trustpoint secdsp
enrollment url http://10.66.75.246:80
serial-number
revocation-check none
rsakeypair iosca
crypto pki authenticate secdsp (same procedure as other trustpoints)
crypto pki enroll secdsp (same procedure as other trustpoints)
sccp local GigabitEthernet0/1
sccp ccm 10.66.75.246 identifier 10 version 7.0
sccp
!
!
sccp ccm group 20
associate ccm 10 priority 1
associate profile 20 register XCODER_IOS
!
dspfarm profile 20 transcode universal security
trustpoint secdsp
codec g711ulaw
codec g711alaw
codec g729ar8
codec g729abr8
maximum sessions 10
associate application SCCP
!
telephony-service
secure-signaling trustpoint secdsp
tftp-server-credentials trustpoint scme
sdspfarm units 10
sdspfarm transcode sessions 128
sdspfarm tag 1 XCODER_IOS
max-ephones 50
max-dn 300
ip source-address 10.66.75.246 port 2000
The Secure transcoder must be showing up and action by following command,
MS-3945#sh sccp
SCCP Admin State: UP
Gateway Local Interface: GigabitEthernet0/1
IPv4 Address: 10.66.75.246
Port Number: 2000
IP Precedence: 5
User Masked Codec list: None
Call Manager: 10.66.75.246, Port Number: 2000
Priority: N/A, Version: 7.0, Identifier: 10
Trustpoint: N/A
Transcoding Oper State: ACTIVE - Cause Code: NONE
Active Call Manager: 10.66.75.246, Port Number: 2443
TCP Link Status: CONNECTED, Profile Identifier: 20
Security
Signaling Security: ENCRYPTED TLS
Media Security: SRTP
Supported crypto suites :AES_CM_128_HMAC_SHA1_32
Reported Max Streams: 20, Reported Max OOS Streams: 0
Supported Codec: g711ulaw, Maximum Packetization Period: 30
Supported Codec: g711alaw, Maximum Packetization Period: 30
Supported Codec: g729ar8, Maximum Packetization Period: 60
Supported Codec: g729abr8, Maximum Packetization Period: 60
Supported Codec: rfc2833 dtmf, Maximum Packetization Period: 30
Supported Codec: rfc2833 pass-thru, Maximum Packetization Period: 30
Supported Codec: inband-dtmf to rfc2833 conversion, Maximum Packetization Period: 30
TLS : ENABLED
Étape 4. Configurez le point de confiance pour CUCM et inscrivez-vous le certificat CUCM sur le CUBE.
MS-3945(config)#crypto pki trustpoint cucm50 MS-3945(ca-trustpoint)# enrollment terminal MS-3945(ca-trustpoint)# revocation-check none
- Ouvrez une session maintenant à la page de gestion de SYSTÈME D'EXPLOITATION CUCM (système d'exploitation) :
- Sécurité > Gestion > découverte de certificat
- CallManager.pem choisi
- Sélectionnez le téléchargement le certificat et l'sauvegardez comme fichier .pem
- Ouvrez le fichier .pem en Notepad
- Copie de « -----COMMENCEZ LE CERTIFICAT-----« jusqu'à « -----CERTIFICAT D'EXTRÉMITÉ-----"
- Copiez le certificat dans cube3945 comme exemple
crypto pki authenticate cucm50
After entering the command paste the certificate and press two times enter after END CERTIFICATE.
###########################
MS-3945(config)#crypto pki authenticate cucm-pub
Enter the base 64 encoded CA certificate.
End with a blank line or the word "quit" on a line by itself
-----BEGIN CERTIFICATE-----
MIICszCCAhygAwIBAgIIFOPHFlcCUbcwDQYJKoZIhvcNAQEFBQAwXzEWMBQGA1UE
AwwNQ1VDTS1QLVNSVjE1MzEMMAoGA1UECwwDVEFDMQ4wDAYDVQQKDAVDSVNDTzEM
MAoGA1UEBwwDQkFOMQwwCgYDVQQIDANLQVIxCzAJBgNVBAYTAklOMB4XDTExMTEx
NjEyMDUwMloXDTE2MTExNjEyMDUwMlowXzEWMBQGA1UEAwwNQ1VDTS1QLVNSVjE1
MzEMMAoGA1UECwwDVEFDMQ4wDAYDVQQKDAVDSVNDTzEMMAoGA1UEBwwDQkFOMQww
CgYDVQQIDANLQVIxCzAJBgNVBAYTAklOMIGfMA0GCSqGSIb3DQEBAQUAA4GNADCB
iQKBgQCRt2YXfOMgQueva16tyMCwQw0fKCDw3bqq/63atNUhSqFpswk+04GhPqxh
Pesx6bMW3E22AGWoTjsrqYTRY7TA/p2u03yPcgd0OPMoxNk6VN88/FLW6YNd3rOK
TmABim1UEMVMYDFQoGhtzUxya7ZFe3vpqBnDlUrgy0q01zQzJwIDAQABo3gwdjAL
BgNVHQ8EBAMCArwwJwYDVR0lBCAwHgYIKwYBBQUHAwEGCCsGAQUFBwMCBggrBgEF
BQcDBTAfBgNVHREEGDAWhhRodHRwOi8vQ1VDTS1QLVNSVjE1MzAdBgNVHQ4EFgQU
ZIiGXzZQV0phnLrsY8Bby3jM9S0wDQYJKoZIhvcNAQEFBQADgYEAQzIvbQm8EOSU
v+bm9oykvHLmrQXjvSgSylO8mC5koUurYa/a0yf0AjMwDMc8F/NArTktsDyjddmw
Oq0GlYMuMh1oyPeb41/bbc+AJxI/d/xprOJSt1qwFI3CJjCvsWm3azC4wflItZNo
4gaCwzzY2UoedUA/rHrWcYod6Vl6Adw=
-----END CERTIFICATE-----
Certificate has the following attributes:
Fingerprint MD5: 05813269 C50FD13F 20D65A7C 0C4CD73E
Fingerprint SHA1: 8BE549A5 FB3A856F A6B3CC8B 7C30F0DF C9280288
% Do you accept this certificate? [yes/no]: yes
Trustpoint CA certificate accepted.
% Certificate successfully imported
MS-3945(config)#
###########################
- Si vous avez plus d'un CallManager dans CCM le groupe, configurez le point de confiance pour tous les Noeuds et importez les Certificats du CallManager car les étapes précédentes, autrement, Basculement ne se produit pas.
Étape 5. Certificat IOS d'exportation afin d'installer sur le CallManager de gestionnaire d'appel
############################## MS-3945(config)#crypto pki export cube3945 pem terminal % CA certificate: -----BEGIN CERTIFICATE----- MIIB+TCCAWKgAwIBAgIBATANBgkqhkiG9w0BAQQFADAQMQ4wDAYDVQQDEwVpb3Ny YTAeFw0xMjAxMDcwNjMwMTVaFw0xNTAxMDYwNjMwMTVaMBAxDjAMBgNVBAMTBWlv c3JhMIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQDDrZwLgx7LSPwS0iAgv6Zq 1AMzikR36zGH7Cai0/Mf0nZ9nmNRVskpSBhDgbjvj43/TzqcJLSricIkBnSHSVme SXxo+gz2sGhgzBABBvjtJ86/kaVOSD9/rFJjPNdrxgA5Jdc64qUC2SKUHYGTs0Xx a1TQid2ylUOnAwpJKx8LTQIDAQABo2MwYTAPBgNVHRMBAf8EBTADAQH/MA4GA1Ud DwEB/wQEAwIBhjAfBgNVHSMEGDAWgBQf+4wpeDVM3rkjL5LoZkjr4n4j+DAdBgNV HQ4EFgQUH/uMKXg1TN65Iy+S6GZI6+J+I/gwDQYJKoZIhvcNAQEEBQADgYEAcHvx 2hhF/eD2/mCgmcDWrh86OU5VV+0I3Eiphto6I8s+y2UhPMshF3sJ+OhDsT6T+C7U xi0g96lTxvdJDBsu7gDERioW3LuJuOKj7MNYDIbCMaoBlxCLtHsZvcnsVGrar3Jt dVh2dnKi/O6VEzCGrjBkn6RPPXXOB9aEeQ6ts2M= -----END CERTIFICATE----- % General Purpose Certificate: -----BEGIN CERTIFICATE----- MIIBrTCCARagAwIBAgIBAjANBgkqhkiG9w0BAQQFADAQMQ4wDAYDVQQDEwVpb3Ny YTAeFw0xMjAxMDcwNjMxMjRaFw0xNTAxMDYwNjMwMTVaMBwxGjAYBgNVBAMTETAw OjI0OjE0OkJCOjVCOkRGMFwwDQYJKoZIhvcNAQEBBQADSwAwSAJBALIxjJSbcgK3 6c4EnOs/FDrqKtwHXQhwncAh2N3k4LghdwAdsQFXGtHjeFJWA6TBm/fLibLD4fW8 eoacG7fpJJkCAwEAAaNPME0wCwYDVR0PBAQDAgWgMB8GA1UdIwQYMBaAFB/7jCl4 NUzeuSMvkuhmSOvifiP4MB0GA1UdDgQWBBSW11Md2rFbqZf0IuicijOJ15PnPDAN BgkqhkiG9w0BAQQFAAOBgQCZeTK4TeNrtoQ3/3eaCD7sL/RNic8aRbNOn2KcCxyO WmtH8xRs4Hm9lw4K4o93D3mgAP6JLAB6RN4LdzFm5S8O0YXTDYOeQ/kO9i9RrTFq ARbDZRUULb02tgRbJyHngQ5dV7C7hqwr4CfjJeQI1UQWSibiyKT0mN8o5n/1B37G GQ== -----END CERTIFICATE----- MS-3945(config)# #####################################
- Copiez le certificat et l'sauvegardez en Notepad comme fichier cube3945g.pem.
- Téléchargez le certificat de CA IOS comme CallManager-confiance.
- Naviguez vers la page de gestion de SYSTÈME D'EXPLOITATION CUCM
- Gestion de Sécurité > de certificat > certificat de téléchargement
Étape 6. Configurez Cube3945 et CUCM pour le téléphone CP-8945 Secure
Sur le CUBE
voice-card 0 dspfarm dsp services dspfarm ! ! ! voice service voip no ip address trusted authenticate address-hiding srtp fallback allow-connections h323 to h323 allow-connections h323 to sip allow-connections sip to h323 allow-connections sip to sip sip bind control source-interface GigabitEthernet0/1 bind media source-interface GigabitEthernet0/1 srtp negotiate cisco sip-ua crypto signaling default trustpoint cube3945 dial-peer voice 1006 voip destination-pattern 2088 session protocol sipv2 session target ipv4:10.66.90.50:5061 ( Secure CUCM ip address) session transport tcp tls dtmf-relay sip-kpml srtp codec g711ulaw ! dial-peer voice 2088 voip session protocol sipv2 incoming called-number 2088 codec g711ulaw
Sur CUCM
- Registre CP-8945 dans CUCM en mode sécurisé.
- Créez un profil sécurisé de SCCP pour CP-8945
- Sélectionnez le profil sécurisé sous la configuration dans CP-8945.
- Sauvegardez et remettez à l'état initial la configuration CP-8945, l'assurez qu'elle s'enregistre correct
- Appliquez le profil sécurisé de SIP sur le joncteur réseau de SIP vers le CUBE
- La configuration de joncteur réseau de SIP
-
Avec un appel d'essai, vous pouvez employer la commande show afin de vérifier l'appel est dans SRTP au RTP sur le CUBE, et l'image de casier sur l'écran CP-8945 confirme, il y a de SRTP entre le téléphone et le CUBE
MS-3945#sh sccp conn
sess_id conn_id stype mode codec sport rport ripaddr conn_id_tx
458757 20 s-xcode sendrecv g711u 16770 2000 10.66.75.246
458757 24 xcode sendrecv g711u 16768 2000 10.66.75.246
Total number of active session(s) 1, and connection(s) 2
MS-3945#sh call active voice brief
<ID>: <CallID> <start>ms.<index> (<start>) +<connect> pid:<peer_id> <dir> <addr> <state>
dur hh:mm:ss tx:<packets>/<bytes> rx:<packets>/<bytes> dscp:<packets violation> media:<packets violation> audio tos:<audio tos value> video tos:<video tos value>
IP <ip>:<udp> rtt:<time>ms pl:<play>/<gap>ms lost:<lost>/<early>/<late>
delay:<last>/<min>/<max>ms <codec> <textrelay> <transcoded
media inactive detected:<y/n> media cntrl rcvd:<y/n> timestamp:<time>
long duration call detected:<y/n> long duration call duration :<sec> timestamp:<time>
MODEMPASS <method> buf:<fills>/<drains> loss <overall%> <multipkt>/<corrected>
last <buf event time>s dur:<Min>/<Max>s
FR <protocol> [int dlci cid] vad:<y/n> dtmf:<y/n> seq:<y/n>
<codec> (payload size)
ATM <protocol> [int vpi/vci cid] vad:<y/n> dtmf:<y/n> seq:<y/n>
<codec> (payload size)
Tele <int> (callID) [channel_id] tx:<tot>/<v>/<fax>ms <codec> noise:<l> acom:<l> i/o:<l>/<l> dBm
MODEMRELAY info:<rcvd>/<sent>/<resent> xid:<rcvd>/<sent> total:<rcvd>/<sent>/<drops>
speeds(bps): local <rx>/<tx> remote <rx>/<tx>
Proxy <ip>:<audio udp>,<video udp>,<tcp0>,<tcp1>,<tcp2>,<tcp3> endpt: <type>/<manf>
bw: <req>/<act> codec: <audio>/<video>
tx: <audio pkts>/<audio bytes>,<video pkts>/<video bytes>,<t120 pkts>/<t120 bytes>
rx: <audio pkts>/<audio bytes>,<video pkts>/<video bytes>,<t120 pkts>/<t120 bytes>
Telephony call-legs: 0
SIP call-legs: 2
H323 call-legs: 0
Call agent controlled call-legs: 0
SCCP call-legs: 2
Multicast call-legs: 0
Total call-legs: 4
0 : 32138 423566780ms.1 (02:08:15.881 UTC Tue Feb 5 2013) +2270 pid:2088 Answer 1005 active
dur 00:00:35 tx:1761/281760 rx:1753/280480 dscp:0 media:0 audio tos:0xB8 video tos:0x0
IP 10.66.75.178:24714 SRTP: off rtt:0ms pl:0/0ms lost:0/0/0 delay:0/0/0ms g711ulaw TextRelay: off Transcoded: Yes
media inactive detected:n media contrl rcvd:n/a timestamp:n/a
long duration call detected:n long duration call duration:n/a timestamp:n/a
0 : 32139 423566790ms.1 (02:08:15.891 UTC Tue Feb 5 2013) +2250 pid:1006 Originate 2088 active
dur 00:00:35 tx:1753/287492 rx:1761/288804 dscp:0 media:0 audio tos:0xB8 video tos:0x0
IP 10.66.75.76:22512 SRTP: on rtt:0ms pl:0/0ms lost:0/0/0 delay:0/0/0ms g711ulaw TextRelay: off Transcoded: Yes
media inactive detected:n media contrl rcvd:n/a timestamp:n/a
long duration call detected:n long duration call duration:n/a timestamp:n/a
0 : 32142 423569050ms.1 (02:08:18.151 UTC Tue Feb 5 2013) +0 pid:0 Originate connecting
dur 00:00:35 tx:1761/281760 rx:1753/280480 dscp:0 media:0 audio tos:0x0 video tos:0x0
IP 10.66.75.246:2000 SRTP: off rtt:0ms pl:0/0ms lost:0/0/0 delay:0/0/0ms g711ulaw TextRelay: off Transcoded: No
media inactive detected:n media contrl rcvd:n/a timestamp:n/a
long duration call detected:n long duration call duration:n/a timestamp:n/a
0 : 32144 423569050ms.2 (02:08:18.151 UTC Tue Feb 5 2013) +0 pid:0 Originate connecting
dur 00:00:35 tx:1753/287492 rx:1761/288804 dscp:0 media:0 audio tos:0x0 video tos:0x0
IP 10.66.75.246:2000 SRTP: on rtt:0ms pl:0/0ms lost:0/0/0 delay:0/0/0ms g711ulaw TextRelay: off Transcoded: No
media inactive detected:n media contrl rcvd:n/a timestamp:n/a
long duration call detected:n long duration call duration:n/a timestamp:n/a
Telephony call-legs: 0
SIP call-legs: 2
H323 call-legs: 0
Call agent controlled call-legs: 0
SCCP call-legs: 2
Multicast call-legs: 0
Total call-legs: 4
Informations connexes
CommentairesContacter Cisco
- Ouvrir un dossier d’assistance
- (Un contrat de service de Cisco est requis)