Contact Center EnterpriseでのセキュアRTPの設定

ダウンロード オプション

  • PDF     (1.7 MB)
    Adobe Reader を使ってさまざまなデバイスで表示
  • ePub     (1.4 MB)
    iPhone、iPad、Android、ソニーの Reader、または Windows Phone 上で、さまざまなアプリを使って表示
  • Mobi (Kindle)     (2.2 MB)
    Kindle デバイスで、または Kindle アプリを使って複数のデバイスで表示
Updated: 2022 年 12 月 21 日
Document ID:220123

偏向のない言語

この製品のドキュメントセットは、偏向のない言語を使用するように配慮されています。このドキュメントセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブ ランゲージの取り組みの詳細は、こちらをご覧ください。

翻訳について

シスコは世界中のユーザにそれぞれの言語でサポート コンテンツを提供するために、機械と人による翻訳を組み合わせて、本ドキュメントを翻訳しています。ただし、最高度の機械翻訳であっても、専門家による翻訳のような正確性は確保されません。シスコは、これら翻訳の正確性について法的責任を負いません。原典である英語版(リンクからアクセス可能)もあわせて参照することを推奨します。

    はじめに

    このドキュメントでは、Contact Center Enterprise(CCE)の包括的なコールフローでReal-time Transport Protocol(SRTP)トラフィックを保護する方法について説明します。

    前提条件

    証明書の生成とインポートについては、このドキュメントでは扱いません。そのため、Cisco Unified Communication Manager(CUCM)、Customer Voice Portal(CVP)Call Server、Cisco Virtual Voice Browser(CVVB)、およびCisco Unified Border Element(CUBE)の証明書を作成し、それぞれのコンポーネントにインポートする必要があります。自己署名証明書を使用する場合は、異なるコンポーネント間で証明書を交換する必要があります。

    要件

    次の項目に関する知識があることが推奨されます。

    • CCE
    • CVP
    • CUBE
    • CUCM
    • CVVB

    使用するコンポーネント

    このドキュメントの情報は、Package Contact Center Enterprise(PCCE)、CVP、CVVB、およびCUCMバージョン12.6に基づいていますが、以前のバージョンにも適用できます。

    このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されました。このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。本稼働中のネットワークでは、各コマンドによって起こる可能性がある影響を十分確認してください。

    設定

    :コンタクトセンターの包括的なコールフローでは、セキュアRTPを有効にするには、セキュアSIP信号を有効にする必要があります。したがって、このドキュメントの設定では、セキュアSIPとSRTPの両方がイネーブルにされています。

    次の図は、コンタクトセンターの包括的なコールフローでSIP信号とRTPに関与するコンポーネントを示しています。音声コールがシステムに着信すると、最初に入力ゲートウェイまたはCUBE経由で着信するため、CUBEで設定を開始します。次に、CVP、CVVB、およびCUCMを設定します。

    Inbound SIP and RTP Call Flow

    作業1:CUBEセキュア設定

    この作業では、CUBEを設定して、SIPプロトコルメッセージとRTPを保護します。

    必要な設定:

    • SIP UA のデフォルトのトラストポイントを設定します。
    • TLSおよびSRTPを使用するためのダイヤルピアの変更

    手順:

    1. CUBEへのSSHセッションを開きます。
    1. CUBEのCA証明書をSIPスタックで使用するには、次のコマンドを実行します。CUBEは、CUCM(198.18.133.3)とCVP(198.18.133.13)との間でSIP TLS接続を確立します。

    Conf t Sip-ua Transport tcp tls v1.2 crypto signaling remote-addr 198.18.133.3 255.255.255.255 trustpoint ms-ca-name crypto signaling remote-addr 198.18.133.13 255.255.255.255 trustpoint ms-ca-name exit

    CUBE SSH Console

    1. CVPへの発信ダイヤルピアでTLSを有効にするには、次のコマンドを実行します。次の例では、CVPへのコールのルーティングにダイヤルピアタグ6000が使用されています。

    Conf t dial-peer voice 6000 voip session target ipv4:198.18.133.13:5061 session transport tcp tls srtp exit

    CUBE SSH Console

    タスク2:CVPセキュア設定

    この作業では、SIPプロトコルメッセージ(SIP TLS)を保護するようにCVPコールサーバを設定します。

    手順:

    1. UCCE Web Administrationにログインします。
    2.   に移動します。Call Settings > Route Settings > SIP Server Group

    SIP Server Group Configuration on CCE Admin Portal

    設定に基づいて、CUCM、CVVB、およびCUBEに対してSIPサーバグループが設定されています。これらすべてについて、セキュアSIPポートを5061に設定する必要があります。 この例では、次のSIPサーバグループが使用されます。

    • cucm1.dcloud.cisco.com CUCMの場合
    • vvb1.dcloud.cisco.com (CVVB向け)
    • cube1.dcloud.cisco.com  CUBEの
    1. cucm1.dcloud.cisco.comをクリックし、SIPサーバグループ設定の詳細を表示するMembersタブをクリックします。SecurePortを設定し、5061Save をクリックします。

    Setting secure SIP Port for CUCM Server Group

    1. vvb1.dcloud.cisco.comをクリックし、次にMembersタブでSecurePort5061 をに設定し、Saveをクリックします。

    Setting secure SIP Port for VVB Server Group

    タスク3:CVVBセキュア設定

    この作業では、SIPプロトコルメッセージ(SIP TLS)とSRTPを保護するようにCVVBを設定します。

    手順:

    1. Cisco VVB Adminページを開きます。
    2.   に移動します。System > System Parameters

    VVB System Parameters

    1. Security Parametersのセクションで、EnableTLS (SIP)  を選択します。Supported TLS(SIP) version as TLSv1.2を保持し、Enable for SRTPを選択します。

    VVB Security Parameters

    1. をクリックします。UpdateCVVBエンジンの再起動を求めるプロンプトが表示されたら、Okをクリックします。

    Update Security Parameters

    1. これらの変更には、Cisco VVBエンジンの再起動が必要です。VVBエンジンを再起動するには、Cisco VVB Serviceabilityに移動して、Goをクリックします。

    Cisco VVB Serviceability

    1.   に移動します。Tools > Control Center – Network Services

    Control Center - Network Services

    1. Engineを選択し、Restartをクリックします。

    Restarting CVVB Engine Services

    タスク4:CUCMセキュア設定

    CUCMでSIPメッセージとRTPを保護するには、次の設定を実行します。

    • CUCMセキュリティモードを混合モードに設定
    • CUBEおよびCVPのSIPトランクセキュリティプロファイルの設定
    • SIPトランクセキュリティプロファイルをそれぞれのSIPトランクに関連付け、SRTPを有効にする
    • Secure AgentsのCUCMとのデバイス通信

    CUCMセキュリティモードを混合モードに設定

    CUCMは、次の2つのセキュリティモードをサポートしています。

    • 非セキュアモード(デフォルトモード)
    • 混合モード(セキュアモード)

    手順:

    1. CUCM管理インターフェイスにログインします。

    CUCM Administration Interface

    1. CUCMにログインすると、System > Enterprise Parametersに移動できます。

    CUCM Enterprise Parameters

    1. Security Parametersセクションで、Cluster Security Mode0に設定されているかどうかを確認します。

    CUCM Security Parameters

    1. Cluster Security Modeが0に設定されている場合は、クラスタセキュリティモードが非セキュアに設定されていることを意味します。CLIから混合モードを有効にする必要があります。
    2. CUCMへのSSHセッションを開きます。
    3. SSH経由でCUCMに正常にログインしたら、次のコマンドを実行します。

    utils ctl set-cluster混合モード

    1. yと入力し、プロンプトが表示されたらEnterをクリックします。このコマンドは、クラスタセキュリティモードを混合モードに設定します。

    CUCM SSH Console

    1. 変更を有効にするには、Cisco CallManagerCisco CTIManagerサービスを再起動します。
    2. サービスを再起動するには、Cisco Unified Serviceabilityに移動してログインします。

    Cisco Unified Serviceability

    1. 正常にログインした後、Tools > Control Center – Feature Servicesに移動します。

    Control Center - Feature Services

    1. サーバを選択し、Goをクリックします。

    Select Server

    1. CM servicesの下で、Cisco CallManagerを選択してから、ページ上部のRestartボタンをクリックします。

    Restarting Cisco CallManager Service

    1. ポップアップメッセージを確認し、OKをクリックします。サービスが正常に再起動するまで待ちます。

    Info Message

    1. Cisco CallManagerが正常に再起動した後、Cisco CTIManagerを選択し、Restartボタンをクリックして再起動します  Cisco CTIManager service .

    Restarting Cisco CTI Manager Service

    1. ポップアップメッセージを確認し、OKをクリックします。サービスが正常に再起動するまで待ちます。

    Info Message

    1. サービスが正常に再起動した後、クラスタセキュリティモードが混合モードに設定されていることを確認するには、ステップ5で説明されているように、CUCM administrationに移動して、Cluster Security Modeを確認します。ここで、1に設定する必要があります。

    Cluster Security Mode is to the Value of '1'

    CUBEおよびCVPのSIPトランクセキュリティプロファイルの設定

    手順:

    1. CUCM管理インターフェイスにログインします。
    2. CUCMに正常にログインした後、System > Security > SIP Trunk Security Profileに移動してCUBEのデバイスセキュリティプロファイルを作成します。

    CUCM SIP Trunk Security Profile

    1. 左上のAdd Newをクリックして、新しいプロファイルを追加します。

    Add a New CUCM SIP Trunk Security Profile

    1. SIP Trunk Security Profileをこのイメージとして設定し、ページの左下にあるSaveをクリックします。

    Add CUCM SIP Trunk Security Profile for CUBE

    5. Secure Certificate Subject or Subject Alternate Nameは、CUBE証明書のCommon Name(CN;共通名)に必ず一致するように設定してください。

    6. 「Copy」ボタンをクリックし、「Name」を「SecureSipTLSforCVP」に変更します。Secure Certificate Subject をCVPコールサーバ証明書のCNに変更します。一致している必要があります。ボSave  タンをクリックします。

    Add CUCM SIP Trunk Security Profile for CVP

    SIPトランクセキュリティプロファイルをそれぞれのSIPトランクに関連付け、SRTPを有効にする

    手順:

    1. CUCM Administrationページで、Device > Trunkに移動します。

    CUCM Trunk Configuration for CUBE

    1. CUBEトランクを検索します。この例では、CUBEトランクの名前はvCubeであり、Findをクリックします。

    Find SIP Trunks on CUCM for CUBE

    1. [vCUBE]をクリックして、vCUBEトランク設定ページを開きます。
    2. SRTPを有効にするには、Device InformationセクションのSRTP Allowedチェックボックスをオンにします。

    Enable SRTP on SIP Trunk Configuration for CUBE

    1. SIP Informationのセクションまでスクロールし、Destination Port5061に変更します。
    2. SIP Trunk Security ProfileSecureSIPTLSForCube に変更します。

    Assign a Security Profile on SIP Trunk Configuration for CUBE

    1. SaveRestの順にクリックして、変更save を適用します。

    Save Configuration

    Info Message

    1. Device > Trunkに移動し、CVPトランクを検索します。この例では、CVPトランクの名前はcvp-SIP-Trunkです。をクリックします。Find

    Find SIP Trunks on CUCM for CVP

    1. CVP-SIP-Trunkをクリックして、CVPトランク設定ページを開きます。
    2. SRTPを有効にするには、Device InformationセクションのSRTP Allowedチェックボックスをオンにします。

    Enable SRTP on SIP Trunk Configuration for CVP

    1. SIP Informationのセクションまでスクロールし、Destination Port5061に変更します。
    2. SIP Trunk Security ProfileSecureSIPTLSForCvp に変更します。

    Assign a Security Profile on SIP Trunk Configuration for CVP

    1. SaveRestの順にクリックして、変更save を適用します。

    Save Configuration Info Message

    セキュアエージェントのCUCMとのデバイス通信

    デバイスのセキュリティ機能を有効にするには、ローカルで有効な証明書(LSC)をインストールし、セキュリティプロファイルをそのデバイスに割り当てる必要があります。LSCは、CUCM CAPF秘密キーで署名されたエンドポイントの公開キーを所有します。デフォルトでは、電話機にはインストールされません。


    手順:

    1. Cisco Unified Serviceabilityインターフェイスにログインします。
    2.   に移動します。Tools > Service Activation

    CUCM Service Activation

    1. CUCMサーバを選択し、Goをクリックします。

    Select Server

    1. Cisco Certificate Authority Proxy Functionをチェックし、をクリックしてサービスSave  をアクティブにします。クリックして確認します。Ok

    Activate Cisco Certificate Authority Proxy Function Service

    1. サービスがアクティブになっていることを確認してから、CUCM administrationに移動します。

    CUCM Administration

    1. CUCM管理へのログインが成功した後、System > Security > Phone Security Profileに移動して、エージェントデバイスのデバイスセキュリティプロファイルを作成します。

    Phone Security Profile

    1. 使用しているエージェントのデバイスタイプに対応するセキュリティプロファイルを検索します。この例では、ソフトフォンが使用されているため、Cisco Unified Client Services Framework - Standard SIP Non-Secure Profileを選択します。 コピーアイコンをクリックしますCopy Icon このプロファイルをコピーします。

    Copy Existing Phone Security Profile

    1. プロファイルの名前をCisco Unified Client Services Framework - Secure Profileに変更します。次の図のようにパラメータを変更して、  Save  ページの左上にあります。

    Add a New Phone Security Profile

    1. 電話デバイスプロファイルが正常に作成されたら、Device > Phoneに移動します。

    Phone Configuration

    1. Findをクリックして使用可能なすべての電話機をリストし、次にエージェントの電話機をクリックします。
    2. エージェントの電話機設定ページが開きます。Certification Authority Proxy Function (CAPF) Information FindセクションLSCをインストールするには、Certificate Operationを将来の任意の日付に設定します。また、Install/UpgradeOperation Completes by も設定します。

    Setting CAPF Parameters

    1. Protocol Specific Information findセクションで、Device Security ProfileCisco Unified Client Services Framework – Secure Profileに変更します。

    Assigning Device Security Profile to IP Phone

    1. ページの左上にあるSaveをクリックします。変更が正常に保存されたことを確認してから、Resetをクリックします。

    Save Configuration

    1. ポップアップウィンドウが開いたら、「Reset」をクリックしてアクションを確認します。

    Phone Reset

    1. エージェントデバイスがCUCMに再登録されたら、現在のページを更新し、LSCが正常にインストールされていることを確認します。Certification Authority Proxy Function (CAPF) Informationセクションをチェックします。Certificate OperationNo Pending Operation はに設定する必要があり、Certificate Operation Statusはに設定します。  Upgrade Success.

    CAPF Information is Updated

    1. 手順と同じ手順を参照します。7 ~ 13:CUCMでセキュアSIPおよびRTPを使用する他のエージェントのデバイスを保護します。

    確認

    RTPが適切に保護されていることを確認するには、次の手順を実行します。

    1. コンタクトセンターにテストコールを発信し、IVRプロンプトを聞きます。
    2. 同時に、vCUBEへのSSHセッションを開き、次のコマンドを実行します。
      show call active voice brief

    show call active voice brief Command Output on CUBE SSH Console

    ヒント: SRTPがCUBEとVVB (198.18.133.143)の間にonあるかどうかを確認します。 そうであれば、CUBEとVVB間のRTPトラフィックが安全であることを確認できます。

    1. エージェントがコールに応答できるようにします。
      .Make Agent Ready on Finesse Agent Desktop
    2. エージェントが予約され、コールがエージェントにルーティングされます。通話に応答します。
    3. コールがエージェントに接続されます。vCUBE SSHセッションに戻り、次のコマンドを実行します。
      show call active voice brief

    show call active voice brief Command Output on CUBE SSH Console

    ヒント: SRTPがCUBEとエージェントの電話(198.18.133.75)の間にonあるかどうかを確認します。 はいの場合、CUBEとエージェント間のRTPトラフィックが安全であることを確認します。

    1. また、コールが接続されると、セキュリティロックがエージェントデバイスに表示されます.これにより、RTPトラフィックが安全であることも確認できます。

    Secure Lock Appears, Confirm SRTP is Established

    SIP信号が適切に保護されていることを検証するには、「セキュアSIPシグナリングの設定」を参照してください。

    更新履歴

    改定 発行日 コメント
    1.0
    21-Dec-2022
    初版
    TAC Authored

    シスコ エンジニア提供

    • モハメド・モハセブ
      テクニカルコンサルティングエンジニア

    このドキュメントは役に立ちましたか?

    Feedbackフィードバック

    シスコに問い合わせ

    このドキュメントは次の製品に対応しています