Ce document décrit la configuration, la vérification et le dépannage de la connexion sécurisée entre Cisco Unified Communication Manager (CUCM) et le serveur Cisco Unity Connection (CUC).
Cisco recommande que vous ayez connaissance de CUCM.
Référez-vous au Guide de sécurité de Cisco Unified Communications Manager pour plus de détails.
Le chiffrement doit être activé pour Unity Connection 11.5(1) SU3 et versions ultérieures.
Commande CLI « utils cuc encryption <enable/disable> »
Les informations contenues dans ce document sont basées sur les versions de matériel et de logiciel suivantes :
The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. Si votre réseau est en ligne, assurez-vous de bien comprendre l’incidence possible des commandes.
Ce schéma explique brièvement le processus qui permet d'établir une connexion sécurisée entre CUCM et CUC :

1. Call Manager établit une connexion TLS (Transport Layer Security) sécurisée au serveur CUC sur le port 2443 SCCP (Skinny Call Control Protocol) ou 5061 SIP (Session Initiation Protocol) sur le protocole utilisé pour l’intégration.
2. Le serveur CUC télécharge le fichier CTL (Certificate Trust List) à partir du serveur TFTP (processus unique), extrait le certificat CallManager.pem et le stocke.
3. Le serveur CUCM offre le certificat Callmanager.pem qui est vérifié par rapport au certificat CallManager.pem obtenu à l'étape précédente. En outre, le certificat CUC est vérifié par rapport à un certificat racine CUC stocké dans CUCM. Notez que le certificat racine doit être téléchargé dans CUCM par l'administrateur.
4. Si la vérification des certificats réussit, une connexion TLS sécurisée est établie. Cette connexion est utilisée pour échanger des signaux SCCP ou SIP chiffrés.
5. Le trafic audio peut être échangé en tant que Real-time Transport Protocol (RTP) ou SRTP.
Accédez à CUC Administration > Telephony Integrations > Security > SIP Certificate > Add new

Accédez à Telephony Integration > Phone System. Vous pouvez utiliser le système téléphonique existant ou en créer un nouveau.

Sur la page Phone System Basics, dans la zone déroulante Related Links, sélectionnez Add Port Group et cliquez sur Go. Dans la fenêtre de configuration, saisissez les informations suivantes :
Appuyez sur Enregistrer.

Naviguez jusqu'à Edit > Servers et ajoutez le serveur TFTP à partir du cluster CUCM comme illustré dans cette image.

Revenez à Notions de base sur les groupes de ports et réinitialisez le groupe de ports en fonction des invites du système, comme illustré dans cette image.

Sur la page Notions de base sur les groupes de ports, dans la liste déroulante Liens associés, sélectionnez Ajouter des ports et sélectionnez Exécuter. Dans la fenêtre de configuration, entrez les informations suivantes :

Accédez à Telephony Integrations > Security > Root Certificate, cliquez avec le bouton droit sur l'URL pour enregistrer le certificat en tant que fichier nommé <filename>.0 (l'extension de fichier doit être .0 plutôt que .htm)' et cliquez sur save comme illustré dans cette image.

Accédez à CUCM Administration > System > Security > SIP Trunk Security Profile > Add new
Assurez-vous que ces champs sont correctement remplis :

Accédez à Device > Device Settings > SIP Profile si vous devez appliquer des paramètres spécifiques. Sinon, vous pouvez utiliser le profil SIP standard.
Accédez à Device > Trunk > Add new.Créez une ligne principale SIP qui est utilisée pour l'intégration sécurisée avec Unity Connection comme illustré dans cette image.

Dans la section Device Information de la configuration d’agrégation, entrez les informations suivantes :

Dans la section Appels entrants de la configuration de jonction, entrez les informations suivantes :

Dans la section Appels sortants de la configuration de ligne réseau, entrez les informations suivantes :

Dans la section SIP Information de la configuration de la ligne principale, saisissez les informations suivantes :

Réglez les autres paramètres en fonction de vos besoins.
Créez un modèle de route qui pointe vers l’agrégation configurée (Routage des appels > Route/Hunt > Modèle de route). Le poste saisi comme numéro de modèle de routage peut être utilisé comme pilote de messagerie vocale. Saisissez les informations suivantes :

Créez un pilote de messagerie vocale pour l'intégration (Fonctionnalités avancées > Messagerie vocale > Pilote de messagerie vocale). Entrez les valeurs suivantes :

Créez un profil de messagerie vocale afin de lier tous les paramètres ensemble (Advanced Features > Voice Mail > Voice Mail Profile). Saisissez les informations suivantes :

Attribuez le profil de messagerie vocale aux DN destinés à utiliser une intégration sécurisée. N'oubliez pas de cliquer sur le bouton « Apply Config » après avoir modifié les paramètres DN :
Naviguez jusqu’à l’adresse : Routage des appels > Numéro et modification du répertoire :

Accédez à OS Administration > Security > Certificate Management > Upload Certificate/Certificate Chain et téléchargez le certificat racine CUC en tant que CallManager-trust sur tous les noeuds configurés pour communiquer avec le serveur CUC.

Accédez à CUC Administration > Telephony Integration > Security > Root Certificate. Cliquez avec le bouton droit sur l'URL pour enregistrer le certificat en tant que fichier nommé <nom du fichier>.0 (l'extension du fichier doit être .0 au lieu de .htm)' et cliquez sur Enregistrer :

Accédez à Telephony Integration > Phone system. Vous pouvez utiliser le système téléphonique existant ou en créer un nouveau.

Sur la page Phone System Basics, dans la zone déroulante Related Links, sélectionnez Add Port Group et sélectionnez Go. Dans la fenêtre de configuration, saisissez les informations suivantes :

Naviguez jusqu'à Edit > Servers et ajoutez le serveur TFTP à partir du cluster CUCM.

Sur la page Notions de base sur les groupes de ports, dans la liste déroulante Liens associés, sélectionnez Ajouter des ports et sélectionnez Exécuter. Dans la fenêtre de configuration, entrez les informations suivantes :

Naviguez jusqu'à CUCM Administration > Advanced features > Voice Mail Port Configuration > Add New.
Configurez les ports de messagerie vocale SCCP comme d'habitude. La seule différence est le mode de sécurité du périphérique dans la configuration du port où l'option Port de messagerie vocale chiffrée doit être sélectionnée.

Accédez à OS Administration > Security > Certificate Management > Upload Certificate/Certificate Chain et téléchargez le certificat racine CUC en tant que CallManager-trust sur tous les noeuds configurés pour communiquer avec le serveur CUC.

Accédez à CUCM Administration > Advanced Features > Voice Mail Port Configuration et configurez les extensions On/Off MWI. Les numéros MWI doivent correspondre à la configuration CUC.


Créez un pilote de messagerie vocale pour l'intégration (Fonctionnalités avancées > Messagerie vocale > Pilote de messagerie vocale). Entrez les valeurs suivantes :

Créez un profil de messagerie vocale afin de lier tous les paramètres ensemble (Advanced Features > Voice Mail > Voice Mail Profile). Saisissez les informations suivantes :

Attribuez le profil de messagerie vocale aux DN qui souhaitent utiliser une intégration sécurisée. Cliquez sur le bouton Apply Config après la modification des paramètres DN :
Accédez à Call Routing > Directory number et passez à :

a) Ajouter un nouveau groupe de lignes (Routage des appels > Route/Recherche > Groupe de lignes)

b) Ajouter une nouvelle liste de recherche de messagerie vocale (Routage d'appels > Routage/recherche > Liste de recherche)

c) Ajouter un nouveau pilote de recherche (Routage d'appels > Route/Recherche > Pilote de recherche)

Accédez à CUCM Administration > Advance Features > Voice Mail > Voice Mail Ports et vérifiez l'enregistrement du port.

Appuyez sur le bouton Messagerie vocale du téléphone pour appeler la messagerie vocale. Vous entendez le message d'accueil si le poste de l'utilisateur n'est pas configuré sur le système Unity Connection.
Appuyez sur le bouton Messagerie vocale du téléphone pour appeler la messagerie vocale. Vous entendez le message d'accueil si le poste de l'utilisateur n'est pas configuré sur le système Unity Connection.
Vous pouvez également activer les options SIP keepalive pour surveiller l'état de la ligne principale SIP. Cette option peut être activée dans le profil SIP attribué à la ligne principale SIP. Une fois que ceci est activé, vous pouvez surveiller l'état de la ligne principale Sip via Device > Trunk comme montré dans cette image.

Vérifiez si l'icône de cadenas est présente sur les appels vers Unity Connection. Cela signifie que le flux RTP est chiffré (le profil de sécurité du périphérique doit être sécurisé pour qu'il fonctionne), comme illustré dans cette image.

Suivez ces étapes afin de dépanner l'intégration sécurisée :
Collectez ces traces pour dépanner l'intégration sécurisée.
Reportez-vous à ces ressources pour plus d'informations sur :
Comment effectuer une capture de paquets sur CUCM :
Comment activer les suivis sur le serveur CUC :
Une fois que la capture de paquets est collectée à partir de l'un des serveurs, la session TLS est établie.

Le client a émis une alerte avec une erreur irrécupérable Unknown CA au serveur, simplement parce que le client n'a pas pu vérifier le certificat envoyé par le serveur.
Il existe deux possibilités :
1) CUCM envoie l'alerte CA inconnue
2) CUC envoie l'alerte CA inconnue
Cette erreur apparaît dans les traces de Conversation Manager :
MiuGeneral,25,FAILED Port group 'PhoneSystem-1' attempt set InService(true), error retrieving server certificates.
MiuGeneral,25,Error executing tftp command 'tftp://10.48.47.189:69/CTLFile.tlv' res=68 (file not found on server)
MiuGeneral,25,FAILED Port group 'PhoneSystem-1' attempt set InService(true), error retrieving server certificates.
Arbiter,-1,Created port PhoneSystem-1-001 objectId='7c2e86b8-2d86-4403-840e-16397b3c626b' as ID=1
MiuGeneral,25,Port group object 'b1c966e5-27fb-4eba-a362-56a5fe9c2be7' exists
MiuGeneral,25,FAILED SetInService=true parent port group is out of service:
Solution :
1. Vérifiez à nouveau que le serveur TFTP est correct dans le groupe Port > Edit > Servers configuration.
2. Vérifiez que le cluster CUCM est en mode sécurisé.
3. Vérifiez que le fichier CTL existe sur le serveur TFTP CUCM.
Cette erreur apparaît dans les traces de Conversation Manager :
MiuSkinny,23,Failed to retrieve Certificate for CCM Server <CUCM IP Address>
MiuSkinny,23,Failed to extract any CCM Certificates - Registration cannot proceed. Starting retry timer -> 5000 msec
MiuGeneral,24,Found local CTL file [/tmp/aaaaaaaa-xxxx-xxxx-xxxx-xxxxxxxxxxxx.tlv]
MiuGeneral,25,CCMCertificateCache::RetrieveServerCertificates() failed to find CCM Server '<CUCM IP Address>' in CTL File
Solution :
1. Cela est probablement dû à une incohérence dans la somme de contrôle md5 du fichier CTL sur CUCM et CUC à la suite de la régénération de
certificats. Redémarrez le serveur CUC pour actualiser le fichier CTL.
CSCum48958 - CUCM 10.0 (la longueur de l'adresse IP est incorrecte)
CSCtn87264 - La connexion TLS échoue pour les ports SIP sécurisés
CSCur10758 - Impossible de purger les certificats révoqués Unity Connection
CSCur10534 - CUCM redondant entre opérations TLS/PKI Unity Connection 10.5
CSCve4775 - Demande de fonctionnalité pour une méthode de mise à jour et de révision du fichier CTLF du CUCM sur le CUC
| Révision | Date de publication | Commentaires |
|---|---|---|
1.0 |
02-Jun-2016
|
Première publication |