このドキュメントでは、Cisco IOS® ゲートウェイと Cisco Unified CallManager の間の SIP シグナリングの暗号化(SIP over Transport Layer Security)の設定例を紹介します。
このドキュメントに関しては個別の要件はありません。
このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づくものです。
Cisco IOS ゲートウェイ: Cisco 2821、高度なエンタープライズ サービス機能が設定された Cisco IOS ソフトウェア リリース 12.4(15) T1
Cisco CallManager 5.1.2
本書の情報は、特定のラボ環境にあるデバイスに基づいて作成されたものです。 このドキュメントで使用するすべてのデバイスは、初期(デフォルト)設定の状態から起動しています。 稼働中のネットワークで作業を行う場合、コマンドの影響について十分に理解したうえで作業してください。
ドキュメント表記の詳細は、『シスコ テクニカル ティップスの表記法』を参照してください。
この項では、このドキュメントで説明する機能の設定に必要な情報を提供します。
注: このセクションで使用されているコマンドの詳細を調べるには、Command Lookup Tool(登録ユーザ専用)を使用してください。
このドキュメントでは、次のネットワーク構成を使用しています。
このドキュメントでは、次の設定を使用します。
次の手順を実行します。
https://<ccm ip address>/platform_gui/ で Cisco CallManager の Cisco Unified OS 管理ページにログインし、[Security] > [Certificate Management] > [Download Certificate/CTL] を選択します。
[Download Own Cert] をクリックします。
既存の証明書タイプとして [CallManager] をクリックします。
[Certificate Name] をクリックします。
[Continue] をクリックします。
[CallManager.pem link] を右クリックし、[Savelink] を選択して証明書をダウンロードします。
IOS SIP ゲートウェイの設定 |
---|
maui-soho-01# !--- Enable IP TCP MTU Path Discovery. ip tcp path-mtu-discovery !--- Configure NTP Server. ntp server 172.18.108.15 !--- Upload the CCM Certificate to Cisco IOS Gateway. crypto pki trustpoint CCM-Cert enrollment terminal revocation-check none !--- Download the Cisco CallManager certificate, and paste !--- the contents of the certificate, pem format. Router(config)#crypto ca authenticate CCM-Cert Enter the base 64 encoded CA certificate. End with a blank line or the word "quit" on a line by itself -----BEGIN CERTIFICATE----- MIICIjCCAYugAwIBAgIIS4xQN3bIZUowDQYJKoZIhvcNAQEFBQAwFzEVMBMGA1UE AxMMUlRQTVMtQ0NNLTUxMB4XDTA3MDcyMzIzMjI0OVoXDTEyMDcyMzIzMjI0OVow FzEVMBMGA1UEAxMMUlRQTVMtQ0NNLTUxMIGfMA0GCSqGSIb3DQEBAQUAA4GNADCB iQKBgQD6HIRcgDXQmO/EWosnaMBaoqjzARIR0erx31uR9WOiaZqsgRY+Am5/E3FG n1nJ/4NVmA45z1Q54vK0WULXgMBGANGHnBZFCNiJOiNeBfiEh1LGGMreVTLFqKB/ lNAMtTppc0AVyYFjAAcJtZfUGxolZCanY5TWfmlwGBMIDhnqQQIDAQABo3cwdTAL BgNVHQ8EBAMCArwwJwYDVR0lBCAwHgYIKwYBBQUHAwEGCCsGAQUFBwMCBggrBgEF BQcDBTAeBgNVHREEFzAVhhNzaXA6Q049UlRQTVMtQ0NNLTUxMB0GA1UdDgQWBBQr pCXbwcRZ09AkO7V0HgHihiKpZzANBgkqhkiG9w0BAQUFAAOBgQAvNQqaVKKoZxUD HCBIA292qZSsOht859FY3UJkWfGD+kjlGhjgjlxEQcaJOa7pDlorzH+HQIjFpcv6 1cl0tOdOrs2L6IAGd9e5DQ3qDwWxaB7TIsBPTkv9FLVURnKtJtVHbqjMd+AAtsDl /DV5TbDUdre6Org1mn4uaMdrYzt1kQ== -----END CERTIFICATE----- Certificate has the following attributes: Fingerprint MD5: 1EF154E3 70E40379 1C7003B9 B29E111B Fingerprint SHA1: CAFA0F83 B04B2E65 71104B73 64BF6AEB ABE9EED9 % Do you accept this certificate? [yes/no]: yes Trustpoint CA certificate accepted. % Certificate successfully imported !--- Configure a trustpoint in order to generate the self-signed !--- certificate of the Gateway. crypto pki trustpoint CCM-SIP-1 enrollment selfsigned fqdn none subject-name CN=SIP-GW revocation-check none rsakeypair CCM-SIP-1 Router(config)#crypto ca enroll CCM-SIP-1 % The fully-qualified domain name will not be included in the certificate % Include the router serial number in the subject name? [yes/no]: no % Include an IP address in the subject name? [no]: no Generate Self Signed Router Certificate? [yes/no]: yes Router Self Signed Certificate successfully created !— View the certificate in PEM format, and copy the Self-signed CA certificate !--- (output starting from “----BEGIN” to “CERTIFICATE----“) to a file named SIP-GW.pem Router(config)#crypto pki export CCM-SIP-1 pem terminal % Self-signed CA certificate: -----BEGIN CERTIFICATE----- MIIBhDCCAS6gAwIBAgIBATANBgkqhkiG9w0BAQQFADARMQ8wDQYDVQQDEwZTSVAt R1cwHhcNMDcwOTA1MjAwMTA3WhcNMjAwMTAxMDAwMDAwWjARMQ8wDQYDVQQDEwZT SVAtR1cwXDANBgkqhkiG9w0BAQEFAANLADBIAkEAzgvQDbs9BgdrxxXW1S/h4CZC 6JcMbBrhyO/VWOLWVe6BCFG+baJjUdYtyyvaMnlyeeVEh0/MuqCfsDo8TvJJKwID AQABo3EwbzAPBgNVHRMBAf8EBTADAQH/MBwGA1UdEQQVMBOCEUYzNDAuMjguMjUt MjgwMC0yMB8GA1UdIwQYMBaAFF6gnOpo7VY8BHL4mbSvwNxCKi62MB0GA1UdDgQW BBReoJzqaO1WPARy+Jm0r8DcQioutjANBgkqhkiG9w0BAQQFAANBAHhnQS4EKcP6 IBVdtA4CM/74qCjhtsu/jciaIe90BXs56wrj7ZC4m1sIMzDAHfsl7dJlB2IOw9Sk s980Np7dLJU= -----END CERTIFICATE----- % General Purpose Certificate: -----BEGIN CERTIFICATE----- MIIBhDCCAS6gAwIBAgIBATANBgkqhkiG9w0BAQQFADARMQ8wDQYDVQQDEwZTSVAt R1cwHhcNMDcwOTA1MjAwMTA3WhcNMjAwMTAxMDAwMDAwWjARMQ8wDQYDVQQDEwZT SVAtR1cwXDANBgkqhkiG9w0BAQEFAANLADBIAkEAzgvQDbs9BgdrxxXW1S/h4CZC 6JcMbBrhyO/VWOLWVe6BCFG+baJjUdYtyyvaMnlyeeVEh0/MuqCfsDo8TvJJKwID AQABo3EwbzAPBgNVHRMBAf8EBTADAQH/MBwGA1UdEQQVMBOCEUYzNDAuMjguMjUt MjgwMC0yMB8GA1UdIwQYMBaAFF6gnOpo7VY8BHL4mbSvwNxCKi62MB0GA1UdDgQW BBReoJzqaO1WPARy+Jm0r8DcQioutjANBgkqhkiG9w0BAQQFAANBAHhnQS4EKcP6 IBVdtA4CM/74qCjhtsu/jciaIe90BXs56wrj7ZC4m1sIMzDAHfsl7dJlB2IOw9Sk s980Np7dLJU= -----END CERTIFICATE----- !--- Configure the SIP stack in the Cisco IOS GW to use the self-signed !--- certificate of the router in order to establish a SIP TLS connection from/to !--- Cisco CallManager. sip-ua crypto signaling remote-addr 172.18.110.84 255.255.255.255 trustpoint CCM-SIP-1 strict-cipher !--- Configure the T1 PRI. controller T1 1/0/0 framing esf linecode b8zs pri-group timeslots 1-24 !--- Configure the ISDN switch type and incoming-voice under the D-channel !--- interface. interface Serial1/0/0:23 no ip address encapsulation hdlc isdn switch-type primary-ni isdn incoming-voice voice no cdp enable !--- Configure a POTS dial-peer that is used as an inbound dial-peer for calls !--- that come in across the T1 PRI line. dial-peer voice 2 pots description PSTN PRI Circuit destination-pattern 9T incoming called-number . direct-inward-dial port 1/0/0:23 !--- Configure an outbound voip dial-peer in order to route calls to the !--- Cisco CallManager. dial-peer voice 3 voip destination-pattern 75... session protocol sipv2 session target ipv4:172.18.110.84:5061 session transport tcp tls dtmf-relay rtp-nte codec g711ulaw |
次の手順を実行します。
https://<ccm ip address>/platform_gui/ で Cisco CallManager の Cisco Unified OS 管理ページにログインし、[Security] > [Certificate Management] > [Upload Certificate/CTL] を選択します。
[Upload Trust Cert] をクリックします。
[CallManager-trust] をクリックします。
Cisco IOS 証明書、the.pem ファイルの場所を入力または参照し、[Upload] をクリックします。
アップロード結果を検証します。
次の手順を実行します。
https://<ccm ip address>/ccmadmin/ で CallManager の Cisco Unified OS 管理ページにログインします。 SIP トランク セキュリティ プロファイルを設定します。
[System] > [Security Profile] > [SIP Trunk Security Profile] を選択します。
次の図に示すパラメータの [Add New] ボタンをクリックします。
SIP トランクを設定します。
[Choose Device] > [Trunk]を選択します。
[Add New] ボタンをクリックします。
次に示すように、トランクタイプを SIP トランクにします。
ルート パターンを設定します。
[Call Routing] > [Route/Hunt] > [Route Pattern] を選択します。
次に示すように、[Add New] ボタンをクリックします。
この項では、Cisco IOS SIP ゲートウェイで設定が適切に機能するかどうかを確認できます。
Output Interpreter Tool(OIT)(登録ユーザ専用)では、特定の show コマンドがサポートされています。 OIT を使用して、show コマンド出力の解析を表示できます。
Show crypto pki certificate verbose CCM-SIP-1
Router Self-Signed Certificate Status: Available Version: 3 Certificate Serial Number: 0x1 Certificate Usage: General Purpose Issuer: cn=SIP-GW Subject: Name: SIP-GW cn=SIP-GW Validity Date: start date: 16:01:07 EST Sep 5 2007 end date: 20:00:00 EST Dec 31 2019 Subject Key Info: Public Key Algorithm: rsaEncryption RSA Public Key: (512 bit) Signature Algorithm: MD5 with RSA Encryption Fingerprint MD5: 3F9612FB C0E435F1 F445B5C4 0344E6A9 Fingerprint SHA1: E6520255 B799818F C1067042 1A7E2EE9 4DDFD0C8 X509v3 extensions: X509v3 Subject Key ID: 5EA09CEA 68ED563C 0472F899 B4AFC0DC 422A2EB6 X509v3 Basic Constraints: CA: TRUE X509v3 Subject Alternative Name: F340.28.25-2800-2 X509v3 Authority Key ID: 5EA09CEA 68ED563C 0472F899 B4AFC0DC 422A2EB6 Authority Info Access: Associated Trustpoints: CCM-SIP-1
Show crypto pki certificate verbose CCM-Cert
CA Certificate Status: Available Version: 3 Certificate Serial Number: 0x4B8C503776C8654A Certificate Usage: General Purpose Issuer: cn=RTPMS-CCM-51 Subject: cn=RTPMS-CCM-51 Validity Date: start date: 19:22:49 EST Jul 23 2007 end date: 19:22:49 EST Jul 23 2012 Subject Key Info: Public Key Algorithm: rsaEncryption RSA Public Key: (1024 bit) Signature Algorithm: SHA1 with RSA Encryption Fingerprint MD5: 1EF154E3 70E40379 1C7003B9 B29E111B Fingerprint SHA1: CAFA0F83 B04B2E65 71104B73 64BF6AEB ABE9EED9 X509v3 extensions: X509v3 Key Usage: BC000000 Digital Signature Key Encipherment Data Encipherment Key Agreement Key Cert Sign X509v3 Subject Key ID: 2BA425DB C1C459D3 D0243BB5 741E01E2 8622A967 X509v3 Subject Alternative Name: Authority Info Access: Associated Trustpoints: CCM-Cert
Show sip-ua connection tcp tls detail
Total active connections : 2 No. of send failures : 0 No. of remote closures : 0 No. of conn. failures : 2 No. of inactive conn. ageouts : 0 Max. tls send msg queue size of 0, recorded for 0.0.0.0:0 TLS client handshake failures : 2 TLS server handshake failures : 0 ---------Printing Detailed Connection Report--------- Note: ** Tuples with no matching socket entry - Do 'clear sip <tcp[tls]/udp> conn t ipv4:<addr>:<port>' to overcome this error condition ++ Tuples with mismatched address/port entry - Do 'clear sip <tcp[tls]/udp> conn t ipv4:<addr>:<port> id <connid>' to overcome this error condition Remote-Agent:172.18.110.84, Connections-Count:2 Remote-Port Conn-Id Conn-State WriteQ-Size =========== ======= =========== =========== 5061 1 Established 0 51180 2 Established 0
11F0 : 7 8990160ms.1 +2670 pid:20001 Answer 7960 active dur 00:00:10 tx:483/83076 rx:510/81600 Tele 1/0/0:23 (228) [1/0/0.1] tx:9660/9660/0ms g711ulaw noise:0 acom:0 i/0:0/0 dBm 11F0 : 8 8990980ms.1 +1840 pid:3 Originate 75001 active dur 00:00:10 tx:483/1246360336 rx:513/82080 IP 14.50.202.26:28232 SRTP: off rtt:0ms pl:4720/1ms lost:0/0/0 delay:0/0/0ms g711ulaw TextRelay: off media inactive detected:n media contrl rcvd:n/a timestamp:n/a long duration call detected:n long duration call duration:n/a timestamp:n/a Telephony call-legs: 1 SIP call-legs: 1 H323 call-legs: 0 Call agent controlled call-legs: 0 SCCP call-legs: 0 Multicast call-legs: 0 Media call-legs: 0 Total call-legs: 2
このセクションでは、設定のトラブルシューティングに役立つ情報を提供します。
Output Interpreter Tool(OIT)(登録ユーザ専用)では、特定の show コマンドがサポートされています。 OIT を使用して、show コマンド出力の解析を表示できます。
Cisco IOS ゲートウェイを設定して、ロギング バッファにデバッグ情報を記録し、logging console を無効にするようにします。
注: debug コマンドを使用する前に、『debug コマンドの重要な情報』を参照してください。
ゲートウェイがロギング バッファにデバッグを格納するよう設定するには、次のコマンドを使用します。
service timestamps debug datetime msec
service sequence
no logging console
logging buffered 5000000 debug
clear log
このドキュメントの設定をデバッグするには、次のコマンドを使用します。
debug isdn q931
debug voip ccapi inout
debug ccsip all
debug ssl openssl errors
debug ssl openssl msg
debug ssl openssl states