このドキュメントでは、Cisco Unified Communication Manager(CUCM)サーバと Cisco Unity Connection(CUC)サーバの間でのセキュアな接続の設定、検証、およびトラブルシューティングについて説明します。
CUCM について十分に理解しておくことをお勧めします。
詳細については、『Cisco Unified Communications Manager セキュリティ ガイド』を参照してください。
Unity Connection 11.5(1) SU3以降では、暗号化を有効にする必要があります。
CLIコマンド「utils cuc encryption <enable/disable>」
このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づいています。
このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されたものです。このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。本稼働中のネットワークでは、各コマンドによって起こる可能性がある影響を十分確認してください。
次の図で、CUCM と CUC の間でセキュアな接続を確立するプロセスについて簡単に説明します。

1. Call Managerは、統合に使用されるプロトコルに基づいて、ポート2443 Skinny Call Control Protocol(SCCP)または5061 Session Initiation Protocol(SIP)のいずれかで、CUCサーバへのセキュアなTransport Layer Security(TLS)接続を設定します。
2. CUCサーバは、証明書信頼リスト(CTL)ファイルをTFTPサーバからダウンロードし(1回限りのプロセス)、CallManager.pem証明書を抽出して保存します。
3. CUCMサーバは、前の手順で取得したCallManager.pem証明書に対して検証されるCallmanager.pem証明書を提供します。また、CUC 証明書は CUCM に保存されている CUC ルート証明書に対して検証されています。管理者がルート証明書を CUCM にアップロードする必要があります。
4. 証明書の検証に成功すると、セキュアなTLS接続が確立されます。この接続は、暗号化された SCCP シグナリングまたは SIP シグナリングの交換に使用されます。
5. 音声トラフィックは、Real-time Transport Protocol(RTP)またはSRTPのいずれかとして交換できます。
[CUC Administration] > [Telephony Integrations] > [Security] > [SIP Certificate] > [Add new]に移動します。

[Telephony Integration] > [Phone System]に移動します。既存の電話システムを使用するか、新しい電話システムを作成することができます。

[Phone System Basics] ページの [Related Links] ドロップダウン ボックスで、[Add Port Group] を選択して、[Go] を選択します。設定ウィンドウで、次の情報を入力します。
[Save] をクリックします。

次の図に示すように、[Edit] > [Servers]に移動して、CUCM クラスタから TFTP サーバを追加します。

次の図に示すように、[Port Group Basics]に戻り、システムによって促されるとおりにポート グループをリセットします。

[Port Group Basics] ページの [Related Links] ドロップダウン ボックスで、[Add Ports] を選択して、[Go] を選択します。 設定ウィンドウで、次の情報を入力します。

次の図に示すように、[Telephony Integrations] > [Security] > [Root Certificate]に移動し、証明書を <filename>.0 という名前のファイルとして保存するために、URL を右クリックして [save] をクリックします(ファイル拡張子は .htm ではなく .0 にする必要があります)。

[CUCM Administration] > [System] > [Security] > [SIP Trunk Security Profile] > [Add new]に移動します。
次のフィールドを適切に入力してください。

特定の設定を適用する必要がある場合は、[Device] > [Device Settings] > [SIP Profile]に移動します。そうでない場合は、標準の SIP プロファイルを使用できます。
Device > Trunk > Add newの順に選択します。次の図に示すように、Unity Connectionとのセキュアな統合に使用されるSIPトランクを作成します。

トランク設定の [Device Information] セクションで、次の情報を入力します。

トランク設定の[Inbound Calls] セクションで、次の情報を入力します。

トランク設定の [Oubound Calls] セクションで、次の情報を入力します。

トランク設定の [SIP Information] セクションで、次の情報を入力します。

必要に応じて、その他の設定を調整します。
設定済みトランクを示すルート パターンを作成します([Call Routing] > [Route/Hunt] > [Route Pattern] )。 ルート パターン番号として入力された内線番号は、ボイスメール パイロットとして使用できます。次の情報を入力します。

統合用のボイス メール パイロットを作成します([Advanced Features] > [Voice Mail] >[Voice Mail Pilot])。 次の値を入力してください。

ボイス メール プロファイルを作成して、すべての設定をリンクさせます([Advanced Features] > [Voice Mail] > [Voice Mail Profile])。 次の情報を入力します。

セキュアな統合を使用するよう意図されている DN にボイスメール プロファイルを割り当てます。DN 設定を変更したら、忘れずに [Apply Config] ボタンをクリックします。
コールルーティング>電話番号に移動し、次のように変更します。

[OS Administration] > [Security] > [Certificate Management] > [Upload Certificate/Certificate Chain]に移動し、設定済みのすべてのノードで CUC ルート証明書を CallManager-trust としてアップロードして、CUC サーバと通信します。

[CUC Administration] > [Telephony Integration] > [Security] > [Root Certificate]に移動します。証明書を <filename>.0 という名前のファイルとして保存するために、URL を右クリックして [Save] をクリックします(ファイル拡張子は .htm ではなく .0 にする必要があります)。

[Telephony Integration] > [Phone System]に移動します。既存の電話システムを使用するか、新しい電話システムを作成することができます。

[Phone System Basics] ページの [Related Links] ドロップダウン ボックスで、[Add Port Group] を選択して、[Go] を選択します。設定ウィンドウで、次の情報を入力します。

[Edit] > [Servers]に移動して、CUCM クラスタから TFTP サーバを追加します。

[Port Group Basics] ページの [Related Links] ドロップダウン ボックスで、[Add Ports] を選択して、[Go] を選択します。 設定ウィンドウで、次の情報を入力します。

移動先: CUCM Administration > Advanced features > Voice Mail Port Configuration > Add New。
従来どおり SCCP ボイス メール ポートを設定します。唯一の違いは、ポート設定の [Device Security Mode] で [Encrypted Voice Mail Port] オプションを選択する必要があることです。

[OS Administration] > [Security] > [Certificate Management] > [Upload Certificate/Certificate Chain]に移動し、設定済みのすべてのノードで CUC ルート証明書を CallManager-trust としてアップロードして、CUC サーバと通信します。

[CUCM Administration] > [Advanced Features] > [Voice Mail Port Configuration]に移動して、[MWI On/Off Extensions] を設定します。MWI 番号は、CUC 設定と一致している必要があります。


統合用のボイス メール パイロットを作成します([Advanced Features] > [Voice Mail] >[Voice Mail Pilot])。 次の値を入力してください。

ボイス メール プロファイルを作成して、すべての設定をリンクさせます([Advanced Features] > [Voice Mail] > [Voice Mail Profile])。 次の情報を入力します。

セキュアな統合を使用するよう意図されている DN にボイス メール プロファイルを割り当てます。DN 設定を変更したら、[Apply Config]ボタンをクリックします。
[Call Routing] > [Directory number]に移動して、次の項目を変更します。

a)新しい回線グループを追加します(コールルーティング>ルート/ハント>回線グループ)。

b)新しいボイスメールハントリストを追加します(コールルーティング>ルート/ハント>ハントリスト)

c)新しいハントパイロットの追加(コールルーティング>ルート/ハント>ハントパイロット)

[CUCM Administration] > [Advance Features] > [Voice Mail] > [Voice Mail Ports]に移動して、ポート登録を検証します。

電話の [Voice Mail]ボタンを押して、ボイス メールを送信します。Unity Connectionシステムでユーザの内線番号が設定されていない場合は、オープニンググリーティングが再生されます。
電話の [Voice Mail]ボタンを押して、ボイス メールを送信します。Unity Connectionシステムでユーザの内線番号が設定されていない場合は、オープニンググリーティングが再生されます。
または、SIP OPTION のキープアライブを有効にして、SIP トランクのステータスをモニタすることができます。このオプションは、SIP トランクに割り当てられた SIP プロファイルで有効にできます。このオプションを有効にすると、次の図に示すように、[Device] > [Trunk]経由で SIP トランクのステータスをモニタできます。

鍵マークのアイコンが Unity Connection へのコールに表示されるかどうか検証します。これは、次の図に示すように、RTP ストリームが暗号化されていることを意味します(機能させるには、デバイス セキュリティ プロファイルがセキュアである必要があります)。

セキュアな統合のトラブルシューティングを行うには、次の手順を使用します。
次のトレースを収集して、セキュアな統合をトラブルシューティングします。
詳細については、次の関連資料を参照してください。
CUCM でパケット キャプチャを実行する方法:
CUC サーバでトレースを有効にする方法:
いずれかのサーバからパケット キャプチャを収集すると、TLS セッションが確立されます。

クライアントは、サーバから送信された証明書を検証できなかったため、不明な CA の致命的なエラーでサーバにアラートを発行しました。
次の 2 つの可能性があります。
1) CUCMがUnknown CAアラートを送信している
2) CUCが不明なCAのアラートを送信している
このエラーは、Conversation Manager のトレースで見られます。
MiuGeneral,25,FAILED Port group 'PhoneSystem-1' attempt set InService(true), error retrieving server certificates.
MiuGeneral,25,Error executing tftp command 'tftp://10.48.47.189:69/CTLFile.tlv' res=68 (file not found on server)
MiuGeneral,25,FAILED Port group 'PhoneSystem-1' attempt set InService(true), error retrieving server certificates.
Arbiter,-1,Created port PhoneSystem-1-001 objectId='7c2e86b8-2d86-4403-840e-16397b3c626b' as ID=1
MiuGeneral,25,Port group object 'b1c966e5-27fb-4eba-a362-56a5fe9c2be7' exists
MiuGeneral,25,FAILED SetInService=true parent port group is out of service:
ソリューション:
1. Port group > Edit > Serversの設定で、TFTPサーバが正しいことを再確認します。
2. CUCMクラスタがセキュアモードであることを確認します。
3. CTLファイルがCUCM TFTP上に存在することを確認します。
このエラーは、Conversation Manager のトレースで見られます。
MiuSkinny,23,Failed to retrieve Certificate for CCM Server <CUCM IP Address>
MiuSkinny,23,Failed to extract any CCM Certificates - Registration cannot proceed. Starting retry timer -> 5000 msec
MiuGeneral,24,Found local CTL file [/tmp/aaaaaaaa-xxxx-xxxx-xxxx-xxxxxxxxxxxx.tlv]
MiuGeneral,25,CCMCertificateCache::RetrieveServerCertificates() failed to find CCM Server '<CUCM IP Address>' in CTL File
ソリューション:
1. この原因として最も可能性が高いのは、の再生成の結果としてCUCMとCUCでCTLファイルのmd5チェックサムが一致しないことです。
証明書。CTLファイルを更新するためにCUCサーバを再起動します。
CSCum48958:CUCM 10.0(IP アドレスの長さが正しくない)
CSCtn87264:セキュア SIP ポートの TLS 接続が失敗する
CSCur10758:取り消された証明書を Unity Connection で消去できない
CSCur10534 :Unity Connection 10.5 TLS/PKI の相互運用における冗長な CUCM
CSCve47775:CUC上のCUCMのCTLFileを更新およびレビューする方法の機能要求
| 改定 | 発行日 | コメント |
|---|---|---|
1.0 |
02-Jun-2016
|
初版 |