はじめに
このドキュメントでは、Contact Center Enterprise(CCE)の包括的なコールフローでReal-time Transport Protocol(SRTP)トラフィックを保護する方法について説明します。
前提条件
証明書の生成とインポートについては、このドキュメントでは扱いません。そのため、Cisco Unified Communication Manager(CUCM)、Customer Voice Portal(CVP)Call Server、Cisco Virtual Voice Browser(CVVB)、およびCisco Unified Border Element(CUBE)の証明書を作成し、それぞれのコンポーネントにインポートする必要があります。自己署名証明書を使用する場合は、異なるコンポーネント間で証明書を交換する必要があります。
要件
次の項目に関する知識があることが推奨されます。
使用するコンポーネント
このドキュメントの情報は、Package Contact Center Enterprise(PCCE)、CVP、CVVB、およびCUCMバージョン12.6に基づいていますが、以前のバージョンにも適用できます。
このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されました。このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。本稼働中のネットワークでは、各コマンドによって起こる可能性がある影響を十分確認してください。
設定
注:コンタクトセンターの包括的なコールフローでは、セキュアRTPを有効にするには、セキュアSIP信号を有効にする必要があります。したがって、このドキュメントの設定では、セキュアSIPとSRTPの両方がイネーブルにされています。
次の図は、コンタクトセンターの包括的なコールフローでSIP信号とRTPに関与するコンポーネントを示しています。音声コールがシステムに着信すると、最初に入力ゲートウェイまたはCUBE経由で着信するため、CUBEで設定を開始します。次に、CVP、CVVB、およびCUCMを設定します。

作業1:CUBEセキュア設定
この作業では、CUBEを設定して、SIPプロトコルメッセージとRTPを保護します。
必要な設定:
- SIP UA のデフォルトのトラストポイントを設定します。
- TLSおよびSRTPを使用するためのダイヤルピアの変更
手順:
- CUBEへのSSHセッションを開きます。
- CUBEのCA証明書をSIPスタックで使用するには、次のコマンドを実行します。CUBEは、CUCM(198.18.133.3)とCVP(198.18.133.13)との間でSIP TLS接続を確立します。
Conf t
Sip-ua
Transport tcp tls v1.2
crypto signaling remote-addr 198.18.133.3 255.255.255.255 trustpoint ms-ca-name
crypto signaling remote-addr 198.18.133.13 255.255.255.255 trustpoint ms-ca-name
exit

- CVPへの発信ダイヤルピアでTLSを有効にするには、次のコマンドを実行します。次の例では、CVPへのコールのルーティングにダイヤルピアタグ6000が使用されています。
Conf t
dial-peer voice 6000 voip
session target ipv4:198.18.133.13:5061
session transport tcp tls
srtp
exit

タスク2:CVPセキュア設定
この作業では、SIPプロトコルメッセージ(SIP TLS)を保護するようにCVPコールサーバを設定します。
手順:
UCCE Web Administration
にログインします。
- に移動します。
Call Settings > Route Settings > SIP Server Group

設定に基づいて、CUCM、CVVB、およびCUBEに対してSIPサーバグループが設定されています。これらすべてについて、セキュアSIPポートを5061に設定する必要があります。 この例では、次のSIPサーバグループが使用されます。
cucm1.dcloud.cisco.com
CUCMの場合
vvb1.dcloud.cisco.com
(CVVB向け)
cube1.dcloud.cisco.com
CUBEの
cucm1.dcloud.cisco.com
をクリックし、SIPサーバグループ設定の詳細を表示するMembers
タブをクリックします。SecurePort
を設定し、5061
Save
をクリックします。

vvb1.dcloud.cisco.com
をクリックし、次にMembers
タブでSecurePort
5061
をに設定し、Save
をクリックします。

タスク3:CVVBセキュア設定
この作業では、SIPプロトコルメッセージ(SIP TLS)とSRTPを保護するようにCVVBを設定します。
手順:
Cisco VVB Admin
ページを開きます。
- に移動します。
System > System Parameters

Security Parameters
のセクションで、Enable
TLS (SIP)
を選択します。Supported TLS(SIP) version as TLSv1.2
を保持し、Enable
for SRTP
を選択します。

- をクリックします。
Update
CVVBエンジンの再起動を求めるプロンプトが表示されたら、Ok
をクリックします。

- これらの変更には、Cisco VVBエンジンの再起動が必要です。VVBエンジンを再起動するには、
Cisco VVB Serviceability
に移動して、Go
をクリックします。

- に移動します。
Tools > Control Center – Network Services

Engine
を選択し、Restart
をクリックします。

タスク4:CUCMセキュア設定
CUCMでSIPメッセージとRTPを保護するには、次の設定を実行します。
- CUCMセキュリティモードを混合モードに設定
- CUBEおよびCVPのSIPトランクセキュリティプロファイルの設定
- SIPトランクセキュリティプロファイルをそれぞれのSIPトランクに関連付け、SRTPを有効にする
- Secure AgentsのCUCMとのデバイス通信
CUCMセキュリティモードを混合モードに設定
CUCMは、次の2つのセキュリティモードをサポートしています。
- 非セキュアモード(デフォルトモード)
- 混合モード(セキュアモード)
手順:
- CUCM管理インターフェイスにログインします。

- CUCMにログインすると、
System > Enterprise Parameters
に移動できます。

Security Parameters
セクションで、Cluster Security Mode
が0
に設定されているかどうかを確認します。

- Cluster Security Modeが0に設定されている場合は、クラスタセキュリティモードが非セキュアに設定されていることを意味します。CLIから混合モードを有効にする必要があります。
- CUCMへのSSHセッションを開きます。
- SSH経由でCUCMに正常にログインしたら、次のコマンドを実行します。
utils ctl set-cluster混合モード
y
と入力し、プロンプトが表示されたらEnter
をクリックします。このコマンドは、クラスタセキュリティモードを混合モードに設定します。

- 変更を有効にするには、
Cisco CallManager
とCisco CTIManager
サービスを再起動します。
- サービスを再起動するには、
Cisco Unified Serviceability
に移動してログインします。

- 正常にログインした後、
Tools > Control Center – Feature Services
に移動します。

- サーバを選択し、
Go
をクリックします。

- CM servicesの下で、
Cisco CallManager
を選択してから、ページ上部のRestart
ボタンをクリックします。

- ポップアップメッセージを確認し、
OK
をクリックします。サービスが正常に再起動するまで待ちます。

Cisco CallManager
が正常に再起動した後、Cisco CTIManager
を選択し、Restart
ボタンをクリックして再起動します Cisco CTIManager
service .

- ポップアップメッセージを確認し、
OK
をクリックします。サービスが正常に再起動するまで待ちます。

- サービスが正常に再起動した後、クラスタセキュリティモードが混合モードに設定されていることを確認するには、ステップ5で説明されているように、CUCM administrationに移動して、
Cluster Security Mode
を確認します。ここで、1
に設定する必要があります。

CUBEおよびCVPのSIPトランクセキュリティプロファイルの設定
手順:
- CUCM管理インターフェイスにログインします。
- CUCMに正常にログインした後、
System > Security > SIP Trunk Security Profile
に移動してCUBEのデバイスセキュリティプロファイルを作成します。

- 左上のAdd Newをクリックして、新しいプロファイルを追加します。

SIP Trunk Security Profile
をこのイメージとして設定し、ページの左下にあるSave
をクリックします。

5. Secure Certificate Subject or Subject Alternate Name
は、CUBE証明書のCommon Name(CN;共通名)に必ず一致するように設定してください。
6. 「Copy
」ボタンをクリックし、「Name
」を「SecureSipTLSforCVP
」に変更します。Secure Certificate Subject
をCVPコールサーバ証明書のCNに変更します。一致している必要があります。ボSave
タンをクリックします。

SIPトランクセキュリティプロファイルをそれぞれのSIPトランクに関連付け、SRTPを有効にする
手順:
- CUCM Administrationページで、
Device > Trunk
に移動します。

- CUBEトランクを検索します。この例では、CUBEトランクの名前は
vCube
であり、Find
をクリックします。

- [
vCUBE
]をクリックして、vCUBEトランク設定ページを開きます。
- SRTPを有効にするには、
Device Information
セクションのSRTP Allowed
チェックボックスをオンにします。

SIP Information
のセクションまでスクロールし、Destination Port
を5061
に変更します。
SIP Trunk Security Profile
SecureSIPTLSForCube
に変更します。

Save
、Rest
の順にクリックして、変更save
を適用します。


Device > Trunk
に移動し、CVPトランクを検索します。この例では、CVPトランクの名前はcvp-SIP-Trunk
です。をクリックします。Find

CVP-SIP-Trunk
をクリックして、CVPトランク設定ページを開きます。
- SRTPを有効にするには、
Device Information
セクションのSRTP Allowed
チェックボックスをオンにします。

SIP Information
のセクションまでスクロールし、Destination Port
を5061
に変更します。
SIP Trunk Security Profile
SecureSIPTLSForCvp
に変更します。

Save
、Rest
の順にクリックして、変更save
を適用します。

セキュアエージェントのCUCMとのデバイス通信
デバイスのセキュリティ機能を有効にするには、ローカルで有効な証明書(LSC)をインストールし、セキュリティプロファイルをそのデバイスに割り当てる必要があります。LSCは、CUCM CAPF秘密キーで署名されたエンドポイントの公開キーを所有します。デフォルトでは、電話機にはインストールされません。
手順:
Cisco Unified Serviceability
インターフェイスにログインします。
- に移動します。
Tools > Service Activation

- CUCMサーバを選択し、
Go
をクリックします。

Cisco Certificate Authority Proxy Function
をチェックし、をクリックしてサービスSave
をアクティブにします。クリックして確認します。Ok

- サービスがアクティブになっていることを確認してから、CUCM administrationに移動します。

- CUCM管理へのログインが成功した後、
System > Security > Phone Security Profile
に移動して、エージェントデバイスのデバイスセキュリティプロファイルを作成します。

- 使用しているエージェントのデバイスタイプに対応するセキュリティプロファイルを検索します。この例では、ソフトフォンが使用されているため、
Cisco Unified Client Services Framework - Standard SIP Non-Secure Profile
を選択します。 コピーアイコンをクリックします
このプロファイルをコピーします。

- プロファイルの名前を
Cisco Unified Client Services Framework - Secure Profile
に変更します。次の図のようにパラメータを変更して、 Save
ページの左上にあります。

- 電話デバイスプロファイルが正常に作成されたら、
Device > Phone
に移動します。

Find
をクリックして使用可能なすべての電話機をリストし、次にエージェントの電話機をクリックします。
- エージェントの電話機設定ページが開きます。
Certification Authority Proxy Function (CAPF) Information
FindセクションLSCをインストールするには、Certificate Operation
を将来の任意の日付に設定します。また、Install/Upgrade
Operation Completes by
も設定します。

Protocol Specific Information
findセクションで、Device Security Profile
をCisco Unified Client Services Framework – Secure Profile
に変更します。

- ページの左上にある
Save
をクリックします。変更が正常に保存されたことを確認してから、Reset
をクリックします。

- ポップアップウィンドウが開いたら、「
Reset
」をクリックしてアクションを確認します。

- エージェントデバイスがCUCMに再登録されたら、現在のページを更新し、LSCが正常にインストールされていることを確認します。
Certification Authority Proxy Function (CAPF) Information
セクションをチェックします。Certificate Operation
No Pending Operation
はに設定する必要があり、Certificate Operation Status
はに設定します。 Upgrade Success
.

- 手順と同じ手順を参照します。7 ~ 13:CUCMでセキュアSIPおよびRTPを使用する他のエージェントのデバイスを保護します。
確認
RTPが適切に保護されていることを確認するには、次の手順を実行します。
- コンタクトセンターにテストコールを発信し、IVRプロンプトを聞きます。
- 同時に、vCUBEへのSSHセッションを開き、次のコマンドを実行します。
show call active voice brief

ヒント: SRTPがCUBEとVVB (198.18.133.143)の間にon
あるかどうかを確認します。 そうであれば、CUBEとVVB間のRTPトラフィックが安全であることを確認できます。
- エージェントがコールに応答できるようにします。
.
- エージェントが予約され、コールがエージェントにルーティングされます。通話に応答します。
- コールがエージェントに接続されます。vCUBE SSHセッションに戻り、次のコマンドを実行します。
show call active voice brief

ヒント: SRTPがCUBEとエージェントの電話(198.18.133.75)の間にon
あるかどうかを確認します。 はいの場合、CUBEとエージェント間のRTPトラフィックが安全であることを確認します。
- また、コールが接続されると、セキュリティロックがエージェントデバイスに表示されます.これにより、RTPトラフィックが安全であることも確認できます。

SIP信号が適切に保護されていることを検証するには、「セキュアSIPシグナリングの設定」を参照してください。