Configuratie van UCCE 11.6 Comprehensive Call Flow met SIP/TLS (CA ondertekend)

Downloadopties

  • PDF     (687.9 KB)
    Met Adobe Reader op diverse apparaten bekijken
  • ePub     (680.9 KB)
    Bekijken in diverse apps op iPhone, iPad, Android, Sony Reader of Windows Phone
  • Mobi (Kindle)     (679.1 KB)
    Op Kindle-apparaat of via Kindle-app op meerdere apparaten bekijken
Bijgewerkt:25 april 2018
Document-id:212645

Inclusief taalgebruik

De documentatie van dit product is waar mogelijk geschreven met inclusief taalgebruik. Inclusief taalgebruik wordt in deze documentatie gedefinieerd als taal die geen discriminatie op basis van leeftijd, handicap, gender, etniciteit, seksuele oriëntatie, sociaaleconomische status of combinaties hiervan weerspiegelt. In deze documentatie kunnen uitzonderingen voorkomen vanwege bewoordingen die in de gebruikersinterfaces van de productsoftware zijn gecodeerd, die op het taalgebruik in de RFP-documentatie zijn gebaseerd of die worden gebruikt in een product van een externe partij waarnaar wordt verwezen. Lees meer over hoe Cisco gebruikmaakt van inclusief taalgebruik.

Over deze vertaling

Cisco heeft dit document vertaald via een combinatie van machine- en menselijke technologie om onze gebruikers wereldwijd ondersteuningscontent te bieden in hun eigen taal. Houd er rekening mee dat zelfs de beste machinevertaling niet net zo nauwkeurig is als die van een professionele vertaler. Cisco Systems, Inc. is niet aansprakelijk voor de nauwkeurigheid van deze vertalingen en raadt aan altijd het oorspronkelijke Engelstalige document (link) te raadplegen.

    Inleiding

    Dit document beschrijft het configuratieproces om Session Initiation Protocol (SIP) via Transport Layer Security (TLS) in Cisco Unified Contact Center Enterprise (UCCE) uitgebreide gespreksstroom met door certificaatautoriteit (CA) ondertekende certificaten te implementeren.

    Voorwaarden

    Vereisten

    Cisco raadt kennis van de volgende onderwerpen aan:

    • KUCCES 
    • Public Switched Telephone Network (PSTN)
    • SIP-protocol
    • PKI-infrastructuur
    • TLS 

    Gebruikte componenten

    Deze informatie in dit document is gebaseerd op deze software- en hardwareversies:

    • Cisco 3945 router 
    • Cisco Customer Voice Portal (CVP) 11.6
    • Cisco Gevirtualiseerde Voice-browser (VVB) 11.6 
    • Cisco Intelligent Contact Management (ICM) 11.6

    De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk levend is, zorg er dan voor dat u de mogelijke impact van om het even welke opdracht begrijpt.

    Achtergrondinformatie

    In dit document wordt Cisco Unified Communications Manager (CUCM) gebruikt om PSTN-kant tussen PSTN en ingangsgateway te simuleren. SIP over Transmission Control Protocol (TCP) wordt gebruikt tussen Agent CUCM en Agent IP-telefoon. Alle andere SIP-poten gebruiken SIP via TLS (CA ondertekend).

    De uitgebreide UCCE Call Flow is PSTN-netwerk (Public Switched Phone) > Ingress Gateway > Cisco Unified Customer Voice Portal (CVP) > Intelligent Contact Management (ICM) (return Agent Label) > CVP > Cisco Unified Communications Manager (CUCM) > Agent IP-telefoon.

    SIP/TLS wordt toegevoegd aan UCCE versie 11.6. Na een upgrade naar CVP 11.6 moet u zorgen voor de volledige handmatige configuratie van Unified CVP-eigenschappen. 

    UCCE 11.6 gebruikt TLS 1.2 en zorgt ervoor dat de ingangsgateway TLS 1.2 ondersteunt.

    IOS 15.6(1) T en IOS XE 3.17S ondersteunen TLS 1.2. Voorgaande IOS-versies ondersteunen alleen TLS 1.0.

    De volgende formaten van het algoritme worden geïntroduceerd voor release Cisco IOS 15.6(1)T:

    ・ TLS_DHE_RSA_MET_AES_128_CBC_SHA1 



    ・ TLS_ECDHE_RSA_MET_AES_128_GCM_SHA256 



    Security9 licentie functie moet ingeschakeld worden in de ingangsgateway.

    VVB moet worden bijgewerkt naar 11.6. 

    Configuratie

    Netwerkdiagram

    212645-configure-ucce-11-6-comprehensive-call-f-00.png

    De configuratie omvat vier delen.

    Deel A. Configuratie van TLS-ingangsgateway

    Deel B. Configuratie van CVP-TLS

    Deel C. VB-configuratie

    Deel D. Configuratie van CUCM

    Deel A.  Configuratie van Ingress Gateway

    Configuratie-werkstroom

    212645-configure-ucce-11-6-comprehensive-call-f-01.png

    Configuratiegegevens

    Stap 1. Generate RSA key op de router (1024-bits RSA Key).

    crypto key generate rsa modulus 1024 label INGW

    Stap 2. Maak een betrouwbaar punt (een betrouwbaar punt vertegenwoordigt een vertrouwde CA).

    crypto pki trustpoint col115ca
revocation-check none 
serial-number none
ip-address none
fqdn none 
rsakeypair INGW 
subject-name cn=INGRESSGW, ou=TAC, o=CISCO

crypto pki trustpoint col115ca

enrollment terminal

    Stap 3. Maak een certificaataanvraag (CSR) die naar de CA wordt verzonden.

    crypto ski enroll col115ca

    Stap 4. CA-ondertekend certificaat (basis 64-bits CA-CERT).

    Stap 5. Installeer het basiscertificaat.

    crypto pki authenticate col115ca

    Stap 6. Installeer een CA-ondertekend certificaat (basis 64 cert).

    crypto pki import col115ca certificate

    Stap 7. Controleer dat de certificaten zijn geïnstalleerd.

    show crypto pki certificates

    Stap 8. Configureer de TLS-versie met de gateway.

    sip-ua
transport tcp tls v1.2

    Stap 9. Specificeer het vertrouwde punt op basis van de bestemming.

    sip-ua

crypto signaling remote-addr 10.66.75.49 255.255.255.255 trustpoint col115ca

    Stap 10. Pas de dial-peers aan die op CVP wijzen om TLS te gebruiken.

    dial-peer voice 7205 voip
  description to CVP
  destination-pattern 700.$
  session protocol sipv2
  session target ipv4:10.66.75.49
  session transport tcp tls
  dtmf-relay rtp-nte
  codec g711ulaw

    Deel B.  CVP-TLS-configuratie

    Configuratie-werkstroom

    CVP heeft twee belangrijke winkels op c:\Cisco\CVP\conf\security.   

    Zoals in de afbeelding wordt aangegeven, bevatten deze twee belangrijke winkels verschillende certificaten.

    212645-configure-ucce-11-6-comprehensive-call-f-02.png

    Configuratiegegevens

    Stap 1. Navigeer naar c:\Cisco\CVP\conf\security.propertiesin CVP-callserver om dit wachtwoord te vinden.Dit bestand bevat het wachtwoord voor de belangrijkste winkel, die nodig is bij het gebruik van de belangrijkste winkel.

    Stap 2. Verwijdert de standaardinstelling van het systeem CallServer_certificaat.

    C:\Cisco\CVP\jre\bin>keytool.exe -delete -alias orm_certificate -storetype JCEKS -keystore c:\Cisco\CVP\conf\security\.keystore

    Stap 3. Generate the keypair.

    C:\Cisco\CVP\jre\bin>keytool.exe -genkeypair -alias callserver_certificate -v -k eysize 1024 -keyalg RSA -storetype JCEKS -keystore c:\Cisco\CVP\conf\security\.keystore

     Stap 4. Maak een CSR en bewaar dit in C: Routemap voor stuurprogramma's (c:\callcsr.csr).

    C:\Cisco\CVP\jre\bin>keytool.exe -certreq  -alias callserver_certificate -file c:\callcsr.csr  -storetype JCEKS
    -keystore c:\Cisco\CVP\conf\security\.keystore

      

    Stap 5.  Teken het verzoek en leg het verzoek aan CA voor (wanneer u de cert downloaden, kies Base 64 gecodeerd).

    Stap 6. Installeer het wortelcertificaat (cert opgeslagen op C:\DC-Root.cer). 

    C:\Cisco\CVP\jre\bin>keytool.exe -import -v -trustcacerts -alias root -file  C:\ DC-Root.cer   -storetype JCEKS -keystore C:\Cisco\CVP\conf\security\.Keystore

    Stap 7. Installeer een CA-ondertekend certificaat (cert opgeslagen op c:\95callserver.cer).

    C:\Cisco\CVP\jre\bin>keytool.exe -import -v -trustcacerts  -alias callserver_certificate -file c:\95callserver.cer  -sto retype JCEKS -keystore c:\Cisco\CVP\conf\security\.keystore

    Stap 8. Controleer de certificaatgegevens in de hoofdwinkel.

    C:\Cisco\CVP\jre\bin>keytool.exe -list -v -storetype JCEKS -keystore c:\Cisco\CV P\conf\security\.keystore

    Deel C.  VVB-configuratie

    Configuratiegegevens 

    Stap 1. Schakel TLS uit van systeemparameter 

    Dit voorbeeld gebruikt RTP, zodat SRTP op VB niet wordt geactiveerd.

    212645-configure-ucce-11-6-comprehensive-call-f-03.png

    Stap 2: CA-ondertekend certificaat genereren en importeren voor VVB , Dit deel is hetzelfde als het CUCM Tomcat-certificaat 

    • CSR genereren en ondertekend door CA.
    • Importeer Tomcat Trust (CA root Cert).
    • Importeer Tomcat (CA-ondertekend).

    Deel D. Configuratie van CUCM

    Configuratiegegevens

    Stap 1. Upload CA ondertekend CallManager certificaat in CUCM server. CUCM gebruikt CallManager-certificaat voor SIP/TLS.

    Stap 2. Generate CSR voor callmanager certificaat, zorg ervoor dat de sleutellengte 1024 is. 

    212645-configure-ucce-11-6-comprehensive-call-f-04.png

    Stap 3. Typ de CSR aan de CA en haal het CallManager-certificaat terug.

    Stap 4. Importeer basiscertificaat en het onlangs ondertekende callManager-certificaat. 

    Stap 5. Start de callmanager en TFTP-diensten opnieuw. 

      

    Stap 6.  Configuratie van SIP Trunk veiligheidsprofiel. Navigatie naar systeem > security > SIP Trunk-beveiligingsprofiel

    Verzeker u ervan dat de X.509 Onderwerp Naam dezelfde is als die gebruikt wordt op het CVP Call Server certificaat, zoals getoond in de beelden.

    212645-configure-ucce-11-6-comprehensive-call-f-05.png

    212645-configure-ucce-11-6-comprehensive-call-f-06.png

    Stap 7. Maak de SIP-romp en wijs deze toe aan een beveiligingsprofiel.

    212645-configure-ucce-11-6-comprehensive-call-f-07.png

    Verifiëren

    Controleer certificaten die in ingangsgateway zijn geïnstalleerd.

    show crypto pki certificates

    Controleer de certificaatgegevens in de CVP-sleutelwinkel.

    C:\Cisco\CVP\jre\bin>keytool.exe -list -v -storetype JCEKS -keystore c:\Cisco\CV P\conf\security\.keystore

    Problemen oplossen

    Debug opdrachten gerelateerd aan TLS.

    debug ssl openssl errors

debug ssl openssl msg

debug ssl openssl states

    Gerelateerde informatie

    TAC Authored

    Bijgedragen door Cisco-engineers

    • MIngze Yan
      Cisco TAC-ingenieur

    Was dit document nuttig?

    FeedbackFeedback

    Contact Cisco