Configuratie van UCCE 11.6 Comprehensive Call Flow met SIP/TLS (CA ondertekend)

Inleiding

Dit document beschrijft het configuratieproces om Session Initiation Protocol (SIP) via Transport Layer Security (TLS) in Cisco Unified Contact Center Enterprise (UCCE) uitgebreide gespreksstroom met door certificaatautoriteit (CA) ondertekende certificaten te implementeren.

Voorwaarden

Vereisten

Cisco raadt kennis van de volgende onderwerpen aan:

• KUCCES 
• Public Switched Telephone Network (PSTN)
• SIP-protocol
• PKI-infrastructuur
• TLS 

Gebruikte componenten

Deze informatie in dit document is gebaseerd op deze software- en hardwareversies:

• Cisco 3945 router 
• Cisco Customer Voice Portal (CVP) 11.6
• Cisco Gevirtualiseerde Voice-browser (VVB) 11.6 
• Cisco Intelligent Contact Management (ICM) 11.6

De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk levend is, zorg er dan voor dat u de mogelijke impact van om het even welke opdracht begrijpt.

Achtergrondinformatie

In dit document wordt Cisco Unified Communications Manager (CUCM) gebruikt om PSTN-kant tussen PSTN en ingangsgateway te simuleren. SIP over Transmission Control Protocol (TCP) wordt gebruikt tussen Agent CUCM en Agent IP-telefoon. Alle andere SIP-poten gebruiken SIP via TLS (CA ondertekend).

De uitgebreide UCCE Call Flow is PSTN-netwerk (Public Switched Phone) > Ingress Gateway > Cisco Unified Customer Voice Portal (CVP) > Intelligent Contact Management (ICM) (return Agent Label) > CVP > Cisco Unified Communications Manager (CUCM) > Agent IP-telefoon.

SIP/TLS wordt toegevoegd aan UCCE versie 11.6. Na een upgrade naar CVP 11.6 moet u zorgen voor de volledige handmatige configuratie van Unified CVP-eigenschappen. 

UCCE 11.6 gebruikt TLS 1.2 en zorgt ervoor dat de ingangsgateway TLS 1.2 ondersteunt.

IOS 15.6(1) T en IOS XE 3.17S ondersteunen TLS 1.2. Voorgaande IOS-versies ondersteunen alleen TLS 1.0.

De volgende formaten van het algoritme worden geïntroduceerd voor release Cisco IOS 15.6(1)T:

・ TLS_DHE_RSA_MET_AES_128_CBC_SHA1 



・ TLS_ECDHE_RSA_MET_AES_128_GCM_SHA256 



Security9 licentie functie moet ingeschakeld worden in de ingangsgateway.

VVB moet worden bijgewerkt naar 11.6. 

Configuratie

Netwerkdiagram

De configuratie omvat vier delen.

Deel A. Configuratie van TLS-ingangsgateway

Deel B. Configuratie van CVP-TLS

Deel C. VB-configuratie

Deel D. Configuratie van CUCM

Deel A.  Configuratie van Ingress Gateway

Configuratie-werkstroom

Configuratiegegevens

Stap 1. Generate RSA key op de router (1024-bits RSA Key).

crypto key generate rsa modulus 1024 label INGW

Stap 2. Maak een betrouwbaar punt (een betrouwbaar punt vertegenwoordigt een vertrouwde CA).

crypto pki trustpoint col115ca
revocation-check none 
serial-number none
ip-address none
fqdn none 
rsakeypair INGW 
subject-name cn=INGRESSGW, ou=TAC, o=CISCO

crypto pki trustpoint col115ca

enrollment terminal 

Stap 3. Maak een certificaataanvraag (CSR) die naar de CA wordt verzonden.

crypto ski enroll col115ca 

Stap 4. CA-ondertekend certificaat (basis 64-bits CA-CERT).

Stap 5. Installeer het basiscertificaat.

crypto pki authenticate col115ca

Stap 6. Installeer een CA-ondertekend certificaat (basis 64 cert).

crypto pki import col115ca certificate 

Stap 7. Controleer dat de certificaten zijn geïnstalleerd.

show crypto pki certificates 

Stap 8. Configureer de TLS-versie met de gateway.

sip-ua
transport tcp tls v1.2

Stap 9. Specificeer het vertrouwde punt op basis van de bestemming.

sip-ua

crypto signaling remote-addr 10.66.75.49 255.255.255.255 trustpoint col115ca

Stap 10. Pas de dial-peers aan die op CVP wijzen om TLS te gebruiken.

dial-peer voice 7205 voip
  description to CVP
  destination-pattern 700.$
  session protocol sipv2
  session target ipv4:10.66.75.49
  session transport tcp tls
  dtmf-relay rtp-nte
  codec g711ulaw

Deel B.  CVP-TLS-configuratie

Configuratie-werkstroom

CVP heeft twee belangrijke winkels op c:\Cisco\CVP\conf\security.   

Zoals in de afbeelding wordt aangegeven, bevatten deze twee belangrijke winkels verschillende certificaten.

Configuratiegegevens

Stap 1. Navigeer naar c:\Cisco\CVP\conf\security.propertiesin CVP-callserver om dit wachtwoord te vinden.Dit bestand bevat het wachtwoord voor de belangrijkste winkel, die nodig is bij het gebruik van de belangrijkste winkel.

Stap 2. Verwijdert de standaardinstelling van het systeem CallServer_certificaat.

C:\Cisco\CVP\jre\bin>keytool.exe -delete -alias orm_certificate -storetype JCEKS -keystore c:\Cisco\CVP\conf\security\.keystore

Stap 3. Generate the keypair.

C:\Cisco\CVP\jre\bin>keytool.exe -genkeypair -alias callserver_certificate -v -k eysize 1024 -keyalg RSA -storetype JCEKS -keystore c:\Cisco\CVP\conf\security\.keystore

 Stap 4. Maak een CSR en bewaar dit in C: Routemap voor stuurprogramma's (c:\callcsr.csr).

C:\Cisco\CVP\jre\bin>keytool.exe -certreq  -alias callserver_certificate -file c:\callcsr.csr  -storetype JCEKS
-keystore c:\Cisco\CVP\conf\security\.keystore

  

Stap 5.  Teken het verzoek en leg het verzoek aan CA voor (wanneer u de cert downloaden, kies Base 64 gecodeerd).

Stap 6. Installeer het wortelcertificaat (cert opgeslagen op C:\DC-Root.cer). 

C:\Cisco\CVP\jre\bin>keytool.exe -import -v -trustcacerts -alias root -file  C:\ DC-Root.cer   -storetype JCEKS -keystore C:\Cisco\CVP\conf\security\.Keystore

Stap 7. Installeer een CA-ondertekend certificaat (cert opgeslagen op c:\95callserver.cer).

C:\Cisco\CVP\jre\bin>keytool.exe -import -v -trustcacerts  -alias callserver_certificate -file c:\95callserver.cer  -sto retype JCEKS -keystore c:\Cisco\CVP\conf\security\.keystore

Stap 8. Controleer de certificaatgegevens in de hoofdwinkel.

C:\Cisco\CVP\jre\bin>keytool.exe -list -v -storetype JCEKS -keystore c:\Cisco\CV P\conf\security\.keystore

Deel C.  VVB-configuratie

Configuratiegegevens 

Stap 1. Schakel TLS uit van systeemparameter 

Dit voorbeeld gebruikt RTP, zodat SRTP op VB niet wordt geactiveerd.

Stap 2: CA-ondertekend certificaat genereren en importeren voor VVB , Dit deel is hetzelfde als het CUCM Tomcat-certificaat 

• CSR genereren en ondertekend door CA.
• Importeer Tomcat Trust (CA root Cert).
• Importeer Tomcat (CA-ondertekend).

Deel D. Configuratie van CUCM

Configuratiegegevens

Stap 1. Upload CA ondertekend CallManager certificaat in CUCM server. CUCM gebruikt CallManager-certificaat voor SIP/TLS.

Stap 2. Generate CSR voor callmanager certificaat, zorg ervoor dat de sleutellengte 1024 is. 

Stap 3. Typ de CSR aan de CA en haal het CallManager-certificaat terug.

Stap 4. Importeer basiscertificaat en het onlangs ondertekende callManager-certificaat. 

Stap 5. Start de callmanager en TFTP-diensten opnieuw. 

  

Stap 6.  Configuratie van SIP Trunk veiligheidsprofiel. Navigatie naar systeem > security > SIP Trunk-beveiligingsprofiel

Verzeker u ervan dat de X.509 Onderwerp Naam dezelfde is als die gebruikt wordt op het CVP Call Server certificaat, zoals getoond in de beelden.

Stap 7. Maak de SIP-romp en wijs deze toe aan een beveiligingsprofiel.

Verifiëren

Controleer certificaten die in ingangsgateway zijn geïnstalleerd.

show crypto pki certificates

Controleer de certificaatgegevens in de CVP-sleutelwinkel.

C:\Cisco\CVP\jre\bin>keytool.exe -list -v -storetype JCEKS -keystore c:\Cisco\CV P\conf\security\.keystore

Problemen oplossen

Debug opdrachten gerelateerd aan TLS.

debug ssl openssl errors

debug ssl openssl msg

debug ssl openssl states 

Gerelateerde informatie

• https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/cust_contact/contact_center/customer_voice_portal/cvp11_6/configuration/guide/ccvp_b_configuration-guide-for-cisco-unified.pdf
  
  
• Technische ondersteuning en documentatie – Cisco Systems