はじめに
このドキュメントでは、Contact Center Enterprise(CCE)の包括的なコールフローでSession Initiation Protocol(SIP)シグナリングを保護する方法について説明します。
前提条件
証明書の生成とインポートについては、このドキュメントでは扱いません。そのため、Cisco Unified Communication Manager(CUCM)、Customer Voice Portal(CVP)コールサーバ、Cisco Virtual Voice Browser(CVVB)、およびCisco Unified Border Element(CUBE)の証明書を作成し、それぞれのコンポーネントにインポートする必要があります。自己署名証明書を使用する場合は、異なるコンポーネント間で証明書を交換する必要があります。
要件
次の項目に関する知識があることが推奨されます。
使用するコンポーネント
このドキュメントの情報は、Package Contact Center Enterprise(PCCE)、CVP、CVVB、およびCUCMバージョン12.6に基づいていますが、以前のバージョンにも適用できます。
このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されました。このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。本稼働中のネットワークでは、各コマンドによって起こる可能性がある影響を十分確認してください。
設定
次の図は、コンタクトセンターの包括的なコールフローでSIPシグナリングに関与するコンポーネントを示しています。音声コールがシステムに着信すると、最初に入力ゲートウェイまたはCUBE経由で着信するため、CUBEでセキュアSIP設定を開始します。次に、CVP、CVVB、およびCUCMを設定します。

タスク 1.CUBEセキュア設定
この作業では、SIPプロトコルメッセージを保護するようにCUBEを設定します。
必要な設定:
- SIPユーザエージェント(UA)のデフォルトのトラストポイントを設定します。
- Transport Layer Security(TLS)を使用するためのダイヤルピアの変更
手順:
- CUBEへのセキュアシェル(SSH)セッションを開きます。
- 次のコマンドを実行して、CUBEの認証局(CA)証明書をSIPスタックで使用するようにします。CUBEは、CUCM(198.18.133.3)とCVP(198.18.133.13)との間でSIP TLS接続を確立します。
conf t
sip-ua
transport tcp tls v1.2
crypto signaling remote-addr 198.18.133.3 255.255.255.255 trustpoint ms-ca-name
crypto signaling remote-addr 198.18.133.13 255.255.255.255 trustpoint ms-ca-name
exit

- CVPへの発信ダイヤルピアでTLSを有効にするには、次のコマンドを実行します。この例では、CVPにコールをルーティングするためにダイヤルピアタグ6000が使用されます。
Conf t
dial-peer voice 6000 voip
session target ipv4:198.18.133.13:5061
session transport tcp tls
exit

タスク 2.CVPセキュア設定
この作業では、SIPプロトコルメッセージ(SIP TLS)を保護するようにCVPコールサーバを設定します。
手順:
- にログインします。
UCCE Web Administration
- 移動先:
Call Settings > Route Settings > SIP Server Group
.

設定に基づいて、CUCM、CVVB、およびCUBEに対してSIPサーバグループが設定されています。これらすべてについて、セキュアSIPポートを5061に設定する必要があります。この例では、次のSIPサーバグループが使用されます。
cucm1.dcloud.cisco.com
CUCMの場合
vvb1.dcloud.cisco.com
(CVVB向け)
cube1.dcloud.cisco.com
CUBEの
cucm1.dcloud.cisco.com
をクリックし、Members
タブでSIPサーバグループ設定の詳細を表示します。SecurePort
を設定し、5061
をクリックします。 Save
.

- タブで
vvb1.dcloud.cisco.com
をクリックし、次にMembers
をクリックします。SecurePortをに設定し、5061
をクリックしますSave
。

タスク 3.CVVBセキュア設定
この作業では、SIPプロトコルメッセージ(SIP TLS)を保護するようにCVVBを設定します。
手順:
- ページにログインし
Cisco VVB Administration
ます。
- に移動します。
System > System Parameters

Security Parameters
セクションで、Enable
for TLS(SIP)
を選択します。 Supported TLS(SIP) version
をTLSv1.2
として保持します。

- [Update] をクリックします。CVVBエンジンを再起動するように求められたら、
Ok
をクリックします。

- これらの変更には、Cisco VVBエンジンの再起動が必要です。VVBエンジンを再起動するには、
Cisco VVB Serviceability
に移動してGo
をクリックします。

- 移動先:
Tools > Control Center – Network Services
.

Engine
を選択し、Restart
をクリックします。

タスク 4.CUCMセキュア設定
CUCMでSIPメッセージを保護するには、次の設定を実行します。
- CUCMセキュリティモードを混合モードに設定
- CUBEおよびCVPのSIPトランクセキュリティプロファイルの設定
- 各SIPトランクへのSIPトランクセキュリティプロファイルの関連付け
- セキュアエージェントのCUCMとのデバイス通信
CUCMセキュリティモードを混合モードに設定
CUCMは、次の2つのセキュリティモードをサポートしています。
- 非セキュアモード(デフォルトモード)
- 混合モード(セキュアモード)
手順:
- セキュリティモードを混合モードに設定するには、
Cisco Unified CM Administration
インターフェイスにログインします。

- CUCMに正常にログインした後、
System > Enterprise Parameters
に移動します。

Security Parameters
セクションの下で、Cluster Security Mode
が0
に設定されているかどうかを確認します。

- Cluster Security Modeが0に設定されている場合は、クラスタセキュリティモードが非セキュアに設定されていることを意味します。CLIから混合モードを有効にする必要があります。
- CUCMへのSSHセッションを開きます。
- SSH経由でCUCMに正常にログインした後、次のコマンドを実行します。
utils ctl set-cluster mixed-mode
y
と入力し、プロンプトが表示されたらEnterキーを押します。このコマンドは、クラスタセキュリティモードを混合モードに設定します。

- 変更を有効にするには、
Cisco CallManager
およびCisco CTIManager
サービスを再起動します。
- サービスを再起動するには、に移動してログインします。
Cisco Unified Serviceability
.

- 正常にログインした後、
Tools > Control Center – Feature Services
に移動します。

- サーバを選択し、
Go
をクリックします。

- CMサービスの下でを選択
Cisco CallManager
し、ページの上部にあるRestart
ボタンをクリックします。

- ポップアップメッセージを確認し、
OK
をクリックします。サービスが正常に再起動するまで待ちます。

- の再起動が正常に完了したら、
Cisco CallManager
を選択しCTIManager
、Restart
buttonをクリックしてサーCisco CTIManager
ビスを再起動します。

- ポップアップメッセージを確認し、
OK
をクリックします。サービスが正常に再起動するまで待ちます。

- サービスが正常に再起動したら、クラスタセキュリティモードが混合モードに設定されていることを確認し、手順5で説明されているようにCUCM administrationに移動します。次に、
Cluster Security Mode
を確認します。ここで、1
に設定する必要があります。

CUBEおよびCVPのSIPトランクセキュリティプロファイルの設定
手順:
- インターフェ
CUCM administration
イスにログインします。
- CUCMに正常にログインした後、
System > Security > SIP Trunk Security Profile
に移動して、CUBEのデバイスセキュリティプロファイルを作成します。

- 左上の
Add New
をクリックして、新しいプロファイルを追加します。

- 次の図に示すように
SIP Trunk Security Profile
を設定し、ページの左下にあるSave
をクリックしてそれをSave
します。

5. Secure Certificate Subject or Subject Alternate Name
は、CUBE証明書のCommon Name(CN;共通名)に必ず一致するように設定してください。
6. Copy
ボタンをクリックし、Name
をSecureSipTLSforCVP
に、Secure Certificate Subject
をCVPコールサーバ証明書のCNに変更します。一致している必要があります。Save
ボタンをクリックします。

各SIPトランクへのSIPトランクセキュリティプロファイルの関連付け
手順:
- CUCM Administrationページで、
Device > Trunk
に移動します。

- CUBEトランクを検索します。この例では、CUBEトランクの名前は
vCube
です。 をクリックします。Find

- vCUBEをクリックして、vCUBEトランク設定ページを開きます。
SIP Information
セクションまでスクロールし、Destination Port
を5061
に変更します。
SIP Trunk Security Profile
SecureSIPTLSForCube
に変更します。

Save
をクリックし、次にRest
をクリックしてSave
、変更を適用します。


Device > Trunk
に移動し、CVPトランクを検索します。この例では、CVPトランクの名前はcvp-SIP-Trunk
です。 をクリックします。Find

CVP-SIP-Trunk
をクリックして、CVPトランク設定ページを開きます。
- セクション
SIP Information
までスクロールし、Destination Port
を5061
に変更します。
SIP Trunk Security Profile
をSecureSIPTLSForCvp
に変更します。

- 変更を適用するには、
Save
Rest
をクリックし、save
をクリックします。


セキュアエージェントのCUCMとのデバイス通信
デバイスのセキュリティ機能を有効にするには、ローカルで有効な証明書(LSC)をインストールし、セキュリティプロファイルをそのデバイスに割り当てる必要があります。LSCは、エンドポイントの公開キーを所有します。公開キーは、Certificate Authority Proxy Function(CAPF)秘密キーで署名されています。デフォルトでは、電話機にはインストールされません。
手順:
- にログインします。
Cisco Unified Serviceability Interface
- 移動先:
Tools > Service Activation
.

- CUCMサーバを選択し、
Go
.

- サービスをアクティブにするには、
Cisco Certificate Authority Proxy Function
Save
にチェックマークを付けてクリックします。クリックして確認します。Ok

- サービスがアクティブになっていることを確認してから、
Cisco Unified CM Administration
に移動します。

- CUCM Administrationに正常にログインした後、
System > Security > Phone Security Profile
に移動して、エージェントデバイスのデバイスセキュリティプロファイルを作成します。

- 使用しているエージェントデバイスタイプに対応するセキュリティプロファイルを検索します。この例では、ソフトフォンが使用されているため、
Cisco Unified Client Services Framework - Standard SIP Non-Secure Profile
を選択します。 [保存( Copy
このプロファイルをコピーします。

Cisco Unified Client Services Framework - Secure Profile
プロファイルの名前をに変更し、次の図に示すようにパラメータを変更し、ページの左上にあるSave
をクリックします。

- 電話デバイスプロファイルが正常に作成されたら、
Device > Phone
に移動します。

Find
をクリックして使用可能な電話機をすべてリストし、次にエージェントの電話機をクリックします。
- エージェントの電話機設定ページが開きます。
Certification Authority Proxy Function (CAPF) Information
FindセクションLSCをインストールするには、Certificate Operation
を将来の任意の日付に設定します。また、Install/Upgrade
Operation Completes by
も設定します。

Protocol Specific Information
FindセクションDevice Security Profile
Cisco Unified Client Services Framework – Secure Profile
に変更します。

- ページの左上にある
Save
をクリックします。変更が正常に保存されたことを確認して、Reset
をクリックします。

- ポップアップウィンドウが開いたら、「
Reset
」をクリックしてアクションを確認します。

- エージェントデバイスがCUCMに再登録されたら、現在のページを更新し、LSCが正常にインストールされていることを確認します。
Certification Authority Proxy Function (CAPF) Information
Certificate Operation
セクションをチェックし、No Pending Operation
に設定し、Certificate Operation Status
にUpgrade Success
を設定します。

- 手順を参照してください。7-13 CUCMでSIPを保護するために使用する他のエージェントデバイスを保護します。
確認
SIPシグナリングが適切に保護されていることを検証するには、次の手順を実行します。
- vCUBEへのSSHセッションを開き、コマンド
show sip-ua connections tcp tls detail
を実行して、CVP(198.18.133.13)とのTLS接続が確立されていないことを確認します。

注:この時点では、CUCM(198.18.133.3)でSIPオプションに対して1つのアクティブなTLSセッションのみがCUCMで有効になっています。 SIPオプションが有効になっていない場合、SIP TLS接続は存在しません。
- CVPにログインし、Wiresharkを起動します。
- コンタクトセンターの番号にテストコールを発信します。
- CVPセッションに移動します。Wiresharkで、次のフィルタを実行してCUBEのSIPシグナリングを確認します。
ip.addr == 198.18.133.226 && tls && tcp.port==5061

確認:SIP over TLS接続が確立されているかどうかそうである場合、出力はCVPとCUBE間のSIP信号が保護されていることを確認します。
5. CVPとCVVB間のSIP TLS接続を確認します。同じWiresharkセッションで、次のフィルタを実行します。
ip.addr == 198.18.133.143 && tls && tcp.port==5061

確認:SIP over TLS接続が確立されているかどうかそうである場合、出力はCVPとCVVB間のSIP信号が保護されていることを確認します。
6. CUBEからCVPとのSIP TLS接続を確認することもできます。vCUBE SSHセッションに移動し、次のコマンドを実行してセキュアなsip信号を確認します。
show sip-ua connections tcp tls detail

確認:CVPとのSIP over TLS接続は確立されていますか。そうである場合、出力はCVPとCUBE間のSIP信号が保護されていることを確認します。
7. この時点で、コールはアクティブで、コールに応答できるエージェントがいないため、保留音(MOH)が聞こえます。
8. エージェントがコールに応答できるようにします。
.
9. エージェントが予約され、コールがエージェントにルーティングされます。Answer
をクリックしてコールに応答します。

10. コールがエージェントに接続します。
11. CVPとCUCMの間のSIP信号を確認するには、CVPセッションに移動して、Wiresharkで次のフィルタを実行します。
ip.addr == 198.18.133.3 && tls && tcp.port==5061

確認:CUCM(198.18.133.3)とのすべてのSIP通信はTLSを介していますか。はいの場合、出力はCVPとCUCM間のSIP信号が保護されていることを確認します。
トラブルシュート
TLSが確立されていない場合は、CUBEで次のコマンドを実行し、debug TLSを有効にしてトラブルシューティングを行います。
Debug ssl openssl errors
Debug ssl openssl msg
Debug ssl openssl states