Contact Center EnterpriseでのセキュアSIPシグナリングの設定

ダウンロード オプション

  • PDF     (1.8 MB)
    Adobe Reader を使ってさまざまなデバイスで表示
  • ePub     (1.6 MB)
    iPhone、iPad、Android、ソニーの Reader、または Windows Phone 上で、さまざまなアプリを使って表示
  • Mobi (Kindle)     (2.5 MB)
    Kindle デバイスで、または Kindle アプリを使って複数のデバイスで表示
Updated: 2022 年 11 月 22 日
Document ID:218434

偏向のない言語

この製品のドキュメントセットは、偏向のない言語を使用するように配慮されています。このドキュメントセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブ ランゲージの取り組みの詳細は、こちらをご覧ください。

翻訳について

シスコは世界中のユーザにそれぞれの言語でサポート コンテンツを提供するために、機械と人による翻訳を組み合わせて、本ドキュメントを翻訳しています。ただし、最高度の機械翻訳であっても、専門家による翻訳のような正確性は確保されません。シスコは、これら翻訳の正確性について法的責任を負いません。原典である英語版(リンクからアクセス可能)もあわせて参照することを推奨します。

    はじめに

    このドキュメントでは、Contact Center Enterprise(CCE)の包括的なコールフローでSession Initiation Protocol(SIP)シグナリングを保護する方法について説明します。

    前提条件

    証明書の生成とインポートについては、このドキュメントでは扱いません。そのため、Cisco Unified Communication Manager(CUCM)、Customer Voice Portal(CVP)コールサーバ、Cisco Virtual Voice Browser(CVVB)、およびCisco Unified Border Element(CUBE)の証明書を作成し、それぞれのコンポーネントにインポートする必要があります。自己署名証明書を使用する場合は、異なるコンポーネント間で証明書を交換する必要があります。

    要件

    次の項目に関する知識があることが推奨されます。

    • CCE
    • CVP
    • CUBE
    • CUCM
    • CVVB

    使用するコンポーネント

    このドキュメントの情報は、Package Contact Center Enterprise(PCCE)、CVP、CVVB、およびCUCMバージョン12.6に基づいていますが、以前のバージョンにも適用できます。

    このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されました。このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。本稼働中のネットワークでは、各コマンドによって起こる可能性がある影響を十分確認してください。

    設定

    次の図は、コンタクトセンターの包括的なコールフローでSIPシグナリングに関与するコンポーネントを示しています。音声コールがシステムに着信すると、最初に入力ゲートウェイまたはCUBE経由で着信するため、CUBEでセキュアSIP設定を開始します。次に、CVP、CVVB、およびCUCMを設定します。

    Inbound SIP Call Flow

    タスク 1.CUBEセキュア設定

    この作業では、SIPプロトコルメッセージを保護するようにCUBEを設定します。

    必要な設定:

    • SIPユーザエージェント(UA)のデフォルトのトラストポイントを設定します。
    • Transport Layer Security(TLS)を使用するためのダイヤルピアの変更

    手順:

    1. CUBEへのセキュアシェル(SSH)セッションを開きます。
    2. 次のコマンドを実行して、CUBEの認証局(CA)証明書をSIPスタックで使用するようにします。CUBEは、CUCM(198.18.133.3)とCVP(198.18.133.13)との間でSIP TLS接続を確立します。

    conf t sip-ua transport tcp tls v1.2 crypto signaling remote-addr 198.18.133.3 255.255.255.255 trustpoint ms-ca-name crypto signaling remote-addr 198.18.133.13 255.255.255.255 trustpoint ms-ca-name exit

    CUBE SSH Console

    1. CVPへの発信ダイヤルピアでTLSを有効にするには、次のコマンドを実行します。この例では、CVPにコールをルーティングするためにダイヤルピアタグ6000が使用されます。

    Conf t dial-peer voice 6000 voip session target ipv4:198.18.133.13:5061 session transport tcp tls exit

    CUBE SSH Console

    タスク 2.CVPセキュア設定

    この作業では、SIPプロトコルメッセージ(SIP TLS)を保護するようにCVPコールサーバを設定します。

    手順:

    1. にログインします。UCCE Web Administration
    2. 移動先:   Call Settings > Route Settings > SIP Server Group.

    SIP Server Group Configuration on CCE Admin Portal


    設定に基づいて、CUCM、CVVB、およびCUBEに対してSIPサーバグループが設定されています。これらすべてについて、セキュアSIPポートを5061に設定する必要があります。この例では、次のSIPサーバグループが使用されます。

    • cucm1.dcloud.cisco.com CUCMの場合
    • vvb1.dcloud.cisco.com (CVVB向け)
    • cube1.dcloud.cisco.com  CUBEの
    1. cucm1.dcloud.cisco.comをクリックし、MembersタブでSIPサーバグループ設定の詳細を表示します。SecurePortを設定し、5061をクリックします。  Save .

    Setting Secure SIP Port for CUCM Server Group

    1. タブでvvb1.dcloud.cisco.comをクリックし、次にMembersをクリックします。SecurePortをに設定し、5061をクリックしますSave

    Setting Secure SIP Port for VVB Server Group

    タスク 3.CVVBセキュア設定

    この作業では、SIPプロトコルメッセージ(SIP TLS)を保護するようにCVVBを設定します。

    手順:

    1. ページにログインし  Cisco VVB Administration  ます。
    2.   に移動します。System > System Parameters

    VVB System Parameters

    1. Security Parametersセクションで、Enable for TLS(SIP)を選択します。 Supported TLS(SIP) versionTLSv1.2として保持します。

    VVB Security Parameters

    1. [Update] をクリックします。CVVBエンジンを再起動するように求められたら、Okをクリックします。

    Update Security Parameters

    1. これらの変更には、Cisco VVBエンジンの再起動が必要です。VVBエンジンを再起動するには、Cisco VVB Serviceabilityに移動してGoをクリックします。

    Cisco VVB Serviceability

    1. 移動先:   Tools > Control Center – Network Services.

    Control Center - Network Services

    1. Engineを選択し、Restartをクリックします。

    Control Center - Network Services

    タスク 4.CUCMセキュア設定

    CUCMでSIPメッセージを保護するには、次の設定を実行します。

    • CUCMセキュリティモードを混合モードに設定
    • CUBEおよびCVPのSIPトランクセキュリティプロファイルの設定
    • 各SIPトランクへのSIPトランクセキュリティプロファイルの関連付け
    • セキュアエージェントのCUCMとのデバイス通信

    CUCMセキュリティモードを混合モードに設定

    CUCMは、次の2つのセキュリティモードをサポートしています。

    • 非セキュアモード(デフォルトモード)
    • 混合モード(セキュアモード)

    手順:

    1. セキュリティモードを混合モードに設定するには、Cisco Unified CM Administrationインターフェイスにログインします。

    CUCM Administration Interface

    1. CUCMに正常にログインした後、System > Enterprise Parametersに移動します。

    CUCM Enterprise Parameters

    1. Security Parametersセクションの下で、Cluster Security Mode0に設定されているかどうかを確認します。

    CUCM Security Parameters

    1. Cluster Security Modeが0に設定されている場合は、クラスタセキュリティモードが非セキュアに設定されていることを意味します。CLIから混合モードを有効にする必要があります。
    2. CUCMへのSSHセッションを開きます。
    3. SSH経由でCUCMに正常にログインした後、次のコマンドを実行します。 utils ctl set-cluster mixed-mode
    1. yと入力し、プロンプトが表示されたらEnterキーを押します。このコマンドは、クラスタセキュリティモードを混合モードに設定します。

    CUCM SSH Console

    1. 変更を有効にするには、Cisco CallManagerおよびCisco CTIManagerサービスを再起動します。
    2. サービスを再起動するには、に移動してログインします。 Cisco Unified Serviceability.

    Cisco Unified Serviceability

    1. 正常にログインした後、Tools > Control Center – Feature Servicesに移動します。

    Control Center - Feature Services

    1. サーバを選択し、Goをクリックします。

    Select Server

    1. CMサービスの下でを選択Cisco CallManager  し、ページの上部にあるRestartボタンをクリックします。

    Restarting Cisco Call Manager Services

    1. ポップアップメッセージを確認し、OKをクリックします。サービスが正常に再起動するまで待ちます。

    Info Message

    1. の再起動が正常に完了したら、Cisco CallManagerを選択しCTIManagerRestart buttonをクリックしてサーCisco CTIManagerビスを再起動します。

    Restarting Cisco CTI Manager Service

    1. ポップアップメッセージを確認し、OKをクリックします。サービスが正常に再起動するまで待ちます。

    Info Message

    1. サービスが正常に再起動したら、クラスタセキュリティモードが混合モードに設定されていることを確認し、手順5で説明されているようにCUCM administrationに移動します。次に、Cluster Security Modeを確認します。ここで、1に設定する必要があります。

    Cluster Security Mode is to the Value of '1'

    CUBEおよびCVPのSIPトランクセキュリティプロファイルの設定

    手順:

    1. インターフェCUCM administrationイスにログインします。
    2. CUCMに正常にログインした後、System > Security > SIP Trunk Security Profile  に移動して、CUBEのデバイスセキュリティプロファイルを作成します。

    CUCM SIP Trunk Security Profile

    1. 左上のAdd Newをクリックして、新しいプロファイルを追加します。

    Add New CUCM SIP Trunk Security Profile

    1. 次の図に示すようにSIP Trunk Security Profileを設定し、ページの左下にあるSaveをクリックしてそれをSaveします。

    Add CUCM SIP Trunk Security Profile for CUBE

    5. Secure Certificate Subject or Subject Alternate Nameは、CUBE証明書のCommon Name(CN;共通名)に必ず一致するように設定してください。

    6. Copyボタンをクリックし、NameSecureSipTLSforCVP に、Secure Certificate Subject をCVPコールサーバ証明書のCNに変更します。一致している必要があります。Saveボタンをクリックします。

    Add CUCM SIP Trunk Security Profile for CVP

    各SIPトランクへのSIPトランクセキュリティプロファイルの関連付け

    手順:

    1. CUCM Administrationページで、Device > Trunkに移動します。

    CUCM Trunk Configuration for CUBE

    1. CUBEトランクを検索します。この例では、CUBEトランクの名前はvCubeです。 をクリックします。Find

    Find SIP Trunks on CUCM for CUBE

    1. vCUBEをクリックして、vCUBEトランク設定ページを開きます。
    2. SIP Informationセクションまでスクロールし、Destination Port5061に変更します。
    3. SIP Trunk Security ProfileSecureSIPTLSForCube に変更します。

    SIP Trunk Configuration for CUBE

    1. Saveをクリックし、次にRestをクリックしてSave、変更を適用します。

    Save Configuration


    Info Message

    1. Device > Trunkに移動し、CVPトランクを検索します。この例では、CVPトランクの名前はcvp-SIP-Trunkです。 をクリックします。Find

    CUCM Trunk Configuration for CVP

    1. CVP-SIP-Trunkをクリックして、CVPトランク設定ページを開きます。
    2. セクションSIP Informationまでスクロールし、Destination Port5061に変更します。
    3. SIP Trunk Security ProfileSecureSIPTLSForCvpに変更します。

    Find SIP Trunks on CUCM for CVP

    1. 変更を適用するには、SaveRest をクリックし、saveをクリックします。

    SIP Trunk Configuration for CVP

    Save Configuration

    セキュアエージェントのCUCMとのデバイス通信

    デバイスのセキュリティ機能を有効にするには、ローカルで有効な証明書(LSC)をインストールし、セキュリティプロファイルをそのデバイスに割り当てる必要があります。LSCは、エンドポイントの公開キーを所有します。公開キーは、Certificate Authority Proxy Function(CAPF)秘密キーで署名されています。デフォルトでは、電話機にはインストールされません。

    手順:

    1. にログインします。Cisco Unified Serviceability Interface
    2. 移動先:   Tools > Service Activation.

    Info Message

    1. CUCMサーバを選択し、  Go .

    CUCM Service Activation

    1. サービスをアクティブにするには、Cisco Certificate Authority Proxy FunctionSave にチェックマークを付けてクリックします。クリックして確認します。Ok

    Select Server

    1. サービスがアクティブになっていることを確認してから、Cisco Unified CM Administrationに移動します。

    Activate Cisco Certificate Authority Proxy Function Service

    1. CUCM Administrationに正常にログインした後、System > Security > Phone Security Profileに移動して、エージェントデバイスのデバイスセキュリティプロファイルを作成します。

    CUCM Administration

    1. 使用しているエージェントデバイスタイプに対応するセキュリティプロファイルを検索します。この例では、ソフトフォンが使用されているため、Cisco Unified Client Services Framework - Standard SIP Non-Secure Profileを選択します。 [保存( CopyPhone Security Profile このプロファイルをコピーします。

    Copy Existing Phone Security Profile

    1. Cisco Unified Client Services Framework - Secure Profile プロファイルの名前をに変更し、次の図に示すようにパラメータを変更し、ページの左上にあるSaveをクリックします。

    Add New Phone Security Profile

    1. 電話デバイスプロファイルが正常に作成されたら、Device > Phoneに移動します。

    Phone Configuration

    1. Findをクリックして使用可能な電話機をすべてリストし、次にエージェントの電話機をクリックします。
    2. エージェントの電話機設定ページが開きます。Certification Authority Proxy Function (CAPF) Information FindセクションLSCをインストールするには、Certificate Operationを将来の任意の日付に設定します。また、Install/UpgradeOperation Completes by も設定します。

    Setting CAPF Parameters

    1. Protocol Specific Information FindセクションDevice Security ProfileCisco Unified Client Services Framework – Secure Profile に変更します。

    Assigning Device Security Profile to IP Phone

    1. ページの左上にあるSaveをクリックします。変更が正常に保存されたことを確認して、Resetをクリックします。

    Save Configuration

    1. ポップアップウィンドウが開いたら、「Reset」をクリックしてアクションを確認します。

    Phone Reset

    1. エージェントデバイスがCUCMに再登録されたら、現在のページを更新し、LSCが正常にインストールされていることを確認します。Certification Authority Proxy Function (CAPF) InformationCertificate Operation セクションをチェックし、No Pending Operationに設定し、Certificate Operation StatusUpgrade Successを設定します。

    CAPF Information is Updated

    1. 手順を参照してください。7-13 CUCMでSIPを保護するために使用する他のエージェントデバイスを保護します。

    確認

    SIPシグナリングが適切に保護されていることを検証するには、次の手順を実行します。

    1. vCUBEへのSSHセッションを開き、コマンドshow sip-ua connections tcp tls detailを実行して、CVP(198.18.133.13)とのTLS接続が確立されていないことを確認します。

    show sip-ua connections tcp tls detail Output on CUBE SSH Console

    :この時点では、CUCM(198.18.133.3)でSIPオプションに対して1つのアクティブなTLSセッションのみがCUCMで有効になっています。 SIPオプションが有効になっていない場合、SIP TLS接続は存在しません。

    1. CVPにログインし、Wiresharkを起動します。
    2. コンタクトセンターの番号にテストコールを発信します。
    3. CVPセッションに移動します。Wiresharkで、次のフィルタを実行してCUBEのSIPシグナリングを確認します。
      ip.addr == 198.18.133.226 && tls && tcp.port==5061

    Packet Capture Filtering CVP Secure SIP Signals Between CVP and CUBE

    確認:SIP over TLS接続が確立されているかどうかそうである場合、出力はCVPとCUBE間のSIP信号が保護されていることを確認します。

    5. CVPとCVVB間のSIP TLS接続を確認します。同じWiresharkセッションで、次のフィルタを実行します。

    ip.addr == 198.18.133.143 && tls && tcp.port==5061

    Packet Capture Filtering CVP Secure SIP Signals Between CVP and VVB

    確認:SIP over TLS接続が確立されているかどうかそうである場合、出力はCVPとCVVB間のSIP信号が保護されていることを確認します。

    6. CUBEからCVPとのSIP TLS接続を確認することもできます。vCUBE SSHセッションに移動し、次のコマンドを実行してセキュアなsip信号を確認します。
    show sip-ua connections tcp tls detail


    SIP TLS Connection Between CVP and CUBE from CUBE SSH Console

    確認:CVPとのSIP over TLS接続は確立されていますか。そうである場合、出力はCVPとCUBE間のSIP信号が保護されていることを確認します。

    7. この時点で、コールはアクティブで、コールに応答できるエージェントがいないため、保留音(MOH)が聞こえます。

    8. エージェントがコールに応答できるようにします。

    .Make Agent Ready on Finesse Agent Desktop

    9. エージェントが予約され、コールがエージェントにルーティングされます。Answerをクリックしてコールに応答します。

    Answer Incoming Call on Finesse Desktop


    10. コールがエージェントに接続します。

    11. CVPとCUCMの間のSIP信号を確認するには、CVPセッションに移動して、Wiresharkで次のフィルタを実行します。
    ip.addr == 198.18.133.3 && tls && tcp.port==5061

    Packet Capture Filtering Secure SIP Signals between CVP and CUCM

    確認:CUCM(198.18.133.3)とのすべてのSIP通信はTLSを介していますか。はいの場合、出力はCVPとCUCM間のSIP信号が保護されていることを確認します。

    トラブルシュート

    TLSが確立されていない場合は、CUBEで次のコマンドを実行し、debug TLSを有効にしてトラブルシューティングを行います。

    • Debug ssl openssl errors
    • Debug ssl openssl msg
    • Debug ssl openssl states

    更新履歴

    改定 発行日 コメント
    1.0
    23-Nov-2022
    初版
    TAC Authored

    シスコ エンジニア提供

    • モハメド・モハセブ
      テクニカルコンサルティングエンジニア

    このドキュメントは役に立ちましたか?

    Feedbackフィードバック

    シスコに問い合わせ

    このドキュメントは次の製品に対応しています