Inleiding
In dit document wordt beschreven hoe u het Real-time Transport Protocol (SRTP)-verkeer kunt beveiligen in de uitgebreide oproepstroom van het Contact Center Enterprise (CCE).
Voorwaarden
Het genereren en importeren van certificaten valt buiten het bereik van dit document, dus certificaten voor Cisco Unified Communication Manager (CUCM), Customer Voice Portal (CVP) Call Server, Cisco Virtual Voice Browser (CVVB) en Cisco Unified Border Element (CUBE) moeten worden gemaakt en geïmporteerd in de respectieve componenten. Als u zelf ondertekende certificaten gebruikt, moet certificaatuitwisseling tussen verschillende componenten worden uitgevoerd.
Vereisten
Cisco raadt kennis van de volgende onderwerpen aan:
Gebruikte componenten
De informatie in dit document is gebaseerd op Package Contact Center Enterprise (PCCE), CVP, CVVB en CUCM versie 12.6, maar is ook van toepassing op de vorige versies.
De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u zorgen dat u de potentiële impact van elke opdracht begrijpt.
Configureren
Opmerking: In het contactcenter moet een uitgebreide gespreksstroom zijn ingeschakeld om veilige RTP-signalen mogelijk te maken. Configuraties in dit document maken daarom zowel beveiligde SIP als SRTP mogelijk.
Het volgende diagram toont de componenten die betrokken zijn bij SIP-signalen en RTP in de uitgebreide oproepstroom van het contactcentrum. Wanneer een spraakoproep naar het systeem komt, komt deze eerst via de ingangsgateway of CUBE, dus start de configuraties op CUBE. Configureer vervolgens CVP, CVVB en CUCM.

Taak 1: CUBE Secure Configuration
In deze taak configureert u CUBE om SIP-protocolberichten en RTP te beveiligen.
Vereiste configuraties:
- Een standaard Trustpoint configureren voor de SIP UA
- Wijzig de inbelpeers om TLS en SRTP te gebruiken
Stappen:
- Open een SSH-sessie naar CUBE.
- Voer deze opdrachten uit zodat de SIP-stapel het CA-certificaat van de CUBE gebruikt. CUBE legt SIP TLS-verbinding van/naar CUCM (198.18.133.3) en CVP (198.18.133.13):
Conf t
Sip-ua
Transport tcp tls v1.2
crypto signaling remote-addr 198.18.133.3 255.255.255.255 trustpoint ms-ca-name
crypto signaling remote-addr 198.18.133.13 255.255.255.255 trustpoint ms-ca-name
exit

- Voer deze opdrachten uit om TLS in te schakelen op de uitgaande kiesschijf peer to CVP. In dit voorbeeld wordt dial-peer tag 6000 gebruikt om oproepen naar CVP te routeren:
Conf t
dial-peer voice 6000 voip
session target ipv4:198.18.133.13:5061
session transport tcp tls
srtp
exit

Taak 2: CVP Secure Configuration
Configureer in deze taak de CVP-oproepserver om de SIP-protocolberichten (SIP TLS) te beveiligen.
Stappen:
- Log in op de
UCCE Web Administration
website.
- Navigeer naar
Call Settings > Route Settings > SIP Server Group
Europa.

Op basis van uw configuraties hebt u SIP-servergroepen geconfigureerd voor CUCM, CVVB en CUBE. U moet voor alle SIP-poorten 5061 instellen. In dit voorbeeld worden deze SIP-servergroepen gebruikt:
cucm1.dcloud.cisco.com
voor CUCM
vvb1.dcloud.cisco.com
voor CVVB
cube1.dcloud.cisco.com
voor CUBE
- Klik op
cucm1.dcloud.cisco.com
en vervolgens op hetMembers
tabblad dat de details van de groepsconfiguraties van de SIP-server weergeeft. StelSecurePort
in op5061
en klik
Save
op.

- Klik op en vervolgens
vvb1.dcloud.cisco.com
op hetMembers
tabblad, stel hetSecurePort
in op5061
en klik opSave
.

Taak 3: CVVB Secure Configuration
In deze taak configureert u CVVB om de SIP-protocolberichten (SIP TLS) en SRTP te beveiligen.
Stappen:
- Open de
Cisco VVB Admin
pagina.
- Navigeer naar
System > System Parameters
Europa.

- Kies in het
Security Parameters
gedeelte voorEnable
TLS (SIP)
. Bewaar deSupported TLS(SIP) version as TLSv1.2
tijd en kiesEnable
voorSRTP
jezelf.

- Klik op de knop .
Update
KlikOk
wanneer u wordt gevraagd de CVVB-engine opnieuw te starten.

- Deze veranderingen vereisen een herstart van de Cisco VVB-engine. Om de VVB-engine opnieuw te starten, navigeert u naar de
Cisco VVB Serviceability
, en klikt u opGo
.

- Navigeer naar
Tools > Control Center – Network Services
Europa.

- Kies
Engine
en klikRestart
op.

Taak 4: CUCM Secure Configuration
Voer de volgende configuraties uit om SIP-berichten en RTP op CUCM te beveiligen:
- CUCM-beveiligingsmodus instellen op Gemengde modus
- SIP Trunk-beveiligingsprofielen configureren voor CUBE en CVP
- Beveiligingsprofielen van SIP Trunk koppelen aan respectieve SIP-trunks en SRTP inschakelen
- Apparaat voor beveiligde agents Communicatie met CUCM
CUCM-beveiligingsmodus instellen op Gemengde modus
CUCM ondersteunt twee beveiligingsmodi:
- Niet-beveiligde modus (standaardmodus)
- Gemengde modus (veilige modus)
Stappen:
- Meld u aan bij de beheerinterface van de CUCM.

- Wanneer u zich aanmeldt bij de CUCM, kunt u navigeren naar
System > Enterprise Parameters
.

- Controleer onder het
Security Parameters
gedeelte of hetCluster Security Mode
item is ingesteld op0
.

- Als de beveiligingsmodus voor clusters is ingesteld op 0, betekent dit dat de beveiligingsmodus voor clusters is ingesteld op niet-beveiligd. U moet de gemengde modus van CLI inschakelen.
- Open een SSH-sessie naar de CUCM.
- Voer na het succesvol aanmelden bij CUCM via SSH deze opdracht uit:
CTL Set-Cluster mixed-mode gebruiken
- Typ
y
en klikEnter
wanneer u daarom wordt gevraagd. Met deze opdracht wordt de beveiligingsmodus voor het cluster ingesteld op de modus voor gemengd.

- Om de wijzigingen van kracht te laten worden, start u de service en de
Cisco CallManager
Cisco CTIManager
services opnieuw op.
- Om de services opnieuw op te starten, navigeert u en logt u in bij
Cisco Unified Serviceability
.

- Na het succesvol inloggen, navigeert u naar
Tools > Control Center – Feature Services
.

- Kies de server en klik vervolgens op
Go
.

- Kies onder CM-services de
Cisco CallManager
- en klik vervolgens op deRestart
knop boven aan de pagina.

- Bevestig het pop-upbericht en klik op
OK
. Wacht tot de service opnieuw is gestart.

- Nadat de computer opnieuw is opgestart,
Cisco CallManager
kiest u deCisco CTIManager
en klikt u opRestart
om opnieuw te starten Cisco CTIManager
service.

- Bevestig het pop-upbericht en klik op
OK
. Wacht tot de service opnieuw is gestart.

- Nadat de services opnieuw zijn opgestart, navigeert u naar CUCM-beheer zoals uitgelegd in stap 5 om te controleren of de clusterbeveiligingsmodus is ingesteld op de gemengde modus en controleert u vervolgens de
Cluster Security Mode
. Nu moet het op1
nul worden gezet.

SIP Trunk-beveiligingsprofielen configureren voor CUBE en CVP
Stappen:
- Meld u aan bij de beheerinterface van de CUCM.
- Nadat u zich succesvol hebt aangemeld bij CUCM, navigeert u naar
System > Security > SIP Trunk Security Profile
om een apparaatbeveiligingsprofiel voor CUBE te maken.

- Klik linksboven op Nieuw toevoegen om een nieuw profiel toe te voegen.

- Configureer
SIP Trunk Security Profile
als deze afbeelding en klik vervolgens linksonderSave
op de pagina.

5. Zorg ervoor dat deSecure Certificate Subject or Subject Alternate Name
naam wordt ingesteld op de gemeenschappelijke benaming (GN) van het certificaat CUBE, zoals deze moet overeenkomen.
6. Klik op deCopy
knop en wijzig deName
inSecureSipTLSforCVP
. Wijzig de CN van het CVP-callservercertificaatSecure Certificate Subject
naar mate dit moet overeenkomen. Klik op deSave
knop.

Beveiligingsprofielen van SIP Trunk koppelen aan respectieve SIP-trunks en SRTP inschakelen
Stappen:
- Navigeer op de pagina CUCM-beheer naar
Device > Trunk
.

- Zoeken naar CUBE trunk. In dit voorbeeld is de naam van de CUBE-stam
vCube
, klik vervolgens opFind
.

- Klik hierop
vCUBE
om de configuratiepagina van de vCUBE-trunk te openen.
- Schakel in dit
Device Information
gedeelte het selectievakjeSRTP Allowed
in om SRTP in te schakelen.

- Scroll naar beneden naar het
SIP Information
gedeelte en verander hetDestination Port
naar5061
.
- Veranderen
SIP Trunk Security Profile
naarSecureSIPTLSForCube
school.

- Klik
Save
vervolgensRest
op Wijzigingen save
toepassen.


- Navigeer naar
Device > Trunk
, zoek naar CVP trunk, in dit voorbeeld is de naam van de CVP trunkcvp-SIP-Trunk
. Klik op de knop .Find

- Klik hierop
CVP-SIP-Trunk
om de configuratiepagina van de CVP-trunk te openen.
- Schakel in dit
Device Information
gedeelte het selectievakjeSRTP Allowed
in om SRTP in te schakelen.

- Scroll naar beneden naar het
SIP Information
gedeelte en verander deDestination Port
naar5061
boven.
- Veranderen
SIP Trunk Security Profile
naarSecureSIPTLSForCvp
school.

- Klik
Save
vervolgensRest
om de wijzigingen toe te passen save
en.

Apparaatcommunicatie van beveiligde agents met CUCM
Om beveiligingsfuncties voor een apparaat in te schakelen, moet u een lokaal significant certificaat (LSC) installeren en het beveiligingsprofiel aan dat apparaat toewijzen. De LSC beschikt over de publieke sleutel voor het eindpunt, die is ondertekend door de CUCM CAPF private sleutel. Het is standaard niet geïnstalleerd op telefoons.
Stappen:
- Log in op de
Cisco Unified Serviceability
interface.
- Navigeer naar
Tools > Service Activation
Europa.

- Kies de CUCM-server en klik op
Go
.

- Controleer
Cisco Certificate Authority Proxy Function
en klikSave
om de service te activeren. KlikOk
om te bevestigen.

- Zorg ervoor dat de service is geactiveerd en navigeer vervolgens naar CUCM-beheer.

- Nadat u zich hebt aangemeld bij het CUCM-beheer, navigeert u naar
System > Security > Phone Security Profile
om een apparaatbeveiligingsprofiel voor het agentapparaat te maken.

- Zoek het beveiligingsprofiel dat overeenkomt met het apparaattype van uw agent. In dit voorbeeld wordt een zachte telefoon gebruikt, dus kies
Cisco Unified Client Services Framework - Standard SIP Non-Secure Profile
. Klik op kopieerpictogram
om dit profiel te kopiëren.

- Wijzig de naam van het profiel in
Cisco Unified Client Services Framework - Secure Profile
. Wijzig de parameters zoals in deze afbeelding en klik op Save
linksboven op de pagina.

- Nadat het profiel van het telefoonapparaat is gemaakt, navigeert u naar
Device > Phone
.

- Klik
Find
om alle beschikbare telefoons weer te geven en klik vervolgens op Telefoon agent.
- De configuratiepagina van de telefoonagent wordt geopend. Zoeken naar
Certification Authority Proxy Function (CAPF) Information
sectie. Om LSC te installeren, moet u dezeCertificate Operation
opInstall/Upgrade
en op een toekomstige datumOperation Completes by
instellen.

- Zoek een
Protocol Specific Information
sectie en wijzig deDevice Security Profile
naarCisco Unified Client Services Framework – Secure Profile
.

- Klik linksboven
Save
op de pagina. Controleer of de wijzigingen zijn opgeslagen en klik opReset
.

- Er wordt een pop-upvenster geopend. Klik hierop om
Reset
de actie te bevestigen.

- Nadat het agentapparaat zich opnieuw heeft geregistreerd bij CUCM, moet u de huidige pagina vernieuwen en controleren of de LSC is geïnstalleerd. Selecteer het
Certification Authority Proxy Function (CAPF) Information
gedeelte,Certificate Operation
moet zijn ingesteld opNo Pending Operation
en is ingesteldCertificate Operation Status
op Upgrade Success
.

- Zie dezelfde stappen uit Stap. 7 - 13 om apparaten van andere agenten te beveiligen die u wilt gebruiken beveiligde SIP en RTP met CUCM.
Verifiëren
Voer de volgende stappen uit om te controleren of RTP goed is beveiligd:
- Maak een testgesprek met het contactcentrum en luister naar de IVR-prompt.
- Open tegelijkertijd de SSH-sessie naar vCUBE en voer deze opdracht uit:
show call active voice brief

Tip: Controleer of de SRTP tussen CUBE en VVB ligton
(198.18.133.143). Zo ja, dan bevestigt dit dat RTP-verkeer tussen CUBE en VVB veilig is.
- Maak een agent beschikbaar om de oproep te beantwoorden.
.
- De agent wordt gereserveerd en het gesprek wordt naar de agent geleid. Beantwoord de oproep.
- De oproep wordt verbonden met de agent. Ga terug naar de vCUBE SSH-sessie en voer deze opdracht uit:
show call active voice brief

Tip: Controleer of de SRTP zichon
tussen CUBE en de telefoons van de agenten bevindt (198.18.133.75). Zo ja, dan bevestigt dit dat RTP-verkeer tussen CUBE en Agent veilig is.
- Zodra de oproep is verbonden, wordt ook een veiligheidsslot weergegeven op het agentapparaat. Dit bevestigt ook dat het RTP-verkeer veilig is.

Raadpleeg het artikel Beveiligde SIP-signalering configureren om te controleren of de SIP-signalen goed zijn beveiligd.