De documentatie van dit product is waar mogelijk geschreven met inclusief taalgebruik. Inclusief taalgebruik wordt in deze documentatie gedefinieerd als taal die geen discriminatie op basis van leeftijd, handicap, gender, etniciteit, seksuele oriëntatie, sociaaleconomische status of combinaties hiervan weerspiegelt. In deze documentatie kunnen uitzonderingen voorkomen vanwege bewoordingen die in de gebruikersinterfaces van de productsoftware zijn gecodeerd, die op het taalgebruik in de RFP-documentatie zijn gebaseerd of die worden gebruikt in een product van een externe partij waarnaar wordt verwezen. Lees meer over hoe Cisco gebruikmaakt van inclusief taalgebruik.
Cisco heeft dit document vertaald via een combinatie van machine- en menselijke technologie om onze gebruikers wereldwijd ondersteuningscontent te bieden in hun eigen taal. Houd er rekening mee dat zelfs de beste machinevertaling niet net zo nauwkeurig is als die van een professionele vertaler. Cisco Systems, Inc. is niet aansprakelijk voor de nauwkeurigheid van deze vertalingen en raadt aan altijd het oorspronkelijke Engelstalige document (link) te raadplegen.
Dit document beschrijft het configuratieproces om Session Initiation Protocol (SIP) via Transport Layer Security (TLS) in Cisco Unified Contact Center Enterprise (UCCE) uitgebreide gespreksstroom met door certificaatautoriteit (CA) ondertekende certificaten te implementeren.
Cisco raadt kennis van de volgende onderwerpen aan:
Deze informatie in dit document is gebaseerd op deze software- en hardwareversies:
De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk levend is, zorg er dan voor dat u de mogelijke impact van om het even welke opdracht begrijpt.
In dit document wordt Cisco Unified Communications Manager (CUCM) gebruikt om PSTN-kant tussen PSTN en ingangsgateway te simuleren. SIP over Transmission Control Protocol (TCP) wordt gebruikt tussen Agent CUCM en Agent IP-telefoon. Alle andere SIP-poten gebruiken SIP via TLS (CA ondertekend).
De uitgebreide UCCE Call Flow is PSTN-netwerk (Public Switched Phone) > Ingress Gateway > Cisco Unified Customer Voice Portal (CVP) > Intelligent Contact Management (ICM) (return Agent Label) > CVP > Cisco Unified Communications Manager (CUCM) > Agent IP-telefoon.
SIP/TLS wordt toegevoegd aan UCCE versie 11.6. Na een upgrade naar CVP 11.6 moet u zorgen voor de volledige handmatige configuratie van Unified CVP-eigenschappen.
UCCE 11.6 gebruikt TLS 1.2 en zorgt ervoor dat de ingangsgateway TLS 1.2 ondersteunt.
IOS 15.6(1) T en IOS XE 3.17S ondersteunen TLS 1.2. Voorgaande IOS-versies ondersteunen alleen TLS 1.0.
De volgende formaten van het algoritme worden geïntroduceerd voor release Cisco IOS 15.6(1)T:
・ TLS_DHE_RSA_MET_AES_128_CBC_SHA1
・ TLS_ECDHE_RSA_MET_AES_128_GCM_SHA256
Security9 licentie functie moet ingeschakeld worden in de ingangsgateway.
VVB moet worden bijgewerkt naar 11.6.
De configuratie omvat vier delen.
Deel A. Configuratie van TLS-ingangsgateway
Deel B. Configuratie van CVP-TLS
Deel C. VB-configuratie
Deel D. Configuratie van CUCM
Stap 1. Generate RSA key op de router (1024-bits RSA Key).
crypto key generate rsa modulus 1024 label INGW
Stap 2. Maak een betrouwbaar punt (een betrouwbaar punt vertegenwoordigt een vertrouwde CA).
crypto pki trustpoint col115ca revocation-check none serial-number none ip-address none fqdn none rsakeypair INGW subject-name cn=INGRESSGW, ou=TAC, o=CISCO crypto pki trustpoint col115ca enrollment terminal
Stap 3. Maak een certificaataanvraag (CSR) die naar de CA wordt verzonden.
crypto ski enroll col115ca
Stap 4. CA-ondertekend certificaat (basis 64-bits CA-CERT).
Stap 5. Installeer het basiscertificaat.
crypto pki authenticate col115ca
Stap 6. Installeer een CA-ondertekend certificaat (basis 64 cert).
crypto pki import col115ca certificate
Stap 7. Controleer dat de certificaten zijn geïnstalleerd.
show crypto pki certificates
Stap 8. Configureer de TLS-versie met de gateway.
sip-ua transport tcp tls v1.2
Stap 9. Specificeer het vertrouwde punt op basis van de bestemming.
sip-ua crypto signaling remote-addr 10.66.75.49 255.255.255.255 trustpoint col115ca
Stap 10. Pas de dial-peers aan die op CVP wijzen om TLS te gebruiken.
dial-peer voice 7205 voip description to CVP destination-pattern 700.$ session protocol sipv2 session target ipv4:10.66.75.49 session transport tcp tls dtmf-relay rtp-nte codec g711ulaw
CVP heeft twee belangrijke winkels op c:\Cisco\CVP\conf\security.
Zoals in de afbeelding wordt aangegeven, bevatten deze twee belangrijke winkels verschillende certificaten.
Stap 1. Navigeer naar c:\Cisco\CVP\conf\security.propertiesin CVP-callserver om dit wachtwoord te vinden.Dit bestand bevat het wachtwoord voor de belangrijkste winkel, die nodig is bij het gebruik van de belangrijkste winkel.
Stap 2. Verwijdert de standaardinstelling van het systeem CallServer_certificaat.
C:\Cisco\CVP\jre\bin>keytool.exe -delete -alias orm_certificate -storetype JCEKS -keystore c:\Cisco\CVP\conf\security\.keystore
Stap 3. Generate the keypair.
C:\Cisco\CVP\jre\bin>keytool.exe -genkeypair -alias callserver_certificate -v -k eysize 1024 -keyalg RSA -storetype JCEKS -keystore c:\Cisco\CVP\conf\security\.keystore
Stap 4. Maak een CSR en bewaar dit in C: Routemap voor stuurprogramma's (c:\callcsr.csr).
C:\Cisco\CVP\jre\bin>keytool.exe -certreq -alias callserver_certificate -file c:\callcsr.csr -storetype JCEKS
-keystore c:\Cisco\CVP\conf\security\.keystore
Stap 5. Teken het verzoek en leg het verzoek aan CA voor (wanneer u de cert downloaden, kies Base 64 gecodeerd).
Stap 6. Installeer het wortelcertificaat (cert opgeslagen op C:\DC-Root.cer).
C:\Cisco\CVP\jre\bin>keytool.exe -import -v -trustcacerts -alias root -file C:\ DC-Root.cer -storetype JCEKS -keystore C:\Cisco\CVP\conf\security\.Keystore
Stap 7. Installeer een CA-ondertekend certificaat (cert opgeslagen op c:\95callserver.cer).
C:\Cisco\CVP\jre\bin>keytool.exe -import -v -trustcacerts -alias callserver_certificate -file c:\95callserver.cer -sto retype JCEKS -keystore c:\Cisco\CVP\conf\security\.keystore
Stap 8. Controleer de certificaatgegevens in de hoofdwinkel.
C:\Cisco\CVP\jre\bin>keytool.exe -list -v -storetype JCEKS -keystore c:\Cisco\CV P\conf\security\.keystore
Stap 1. Schakel TLS uit van systeemparameter
Dit voorbeeld gebruikt RTP, zodat SRTP op VB niet wordt geactiveerd.
Stap 2: CA-ondertekend certificaat genereren en importeren voor VVB , Dit deel is hetzelfde als het CUCM Tomcat-certificaat
Stap 1. Upload CA ondertekend CallManager certificaat in CUCM server. CUCM gebruikt CallManager-certificaat voor SIP/TLS.
Stap 2. Generate CSR voor callmanager certificaat, zorg ervoor dat de sleutellengte 1024 is.
Stap 3. Typ de CSR aan de CA en haal het CallManager-certificaat terug.
Stap 4. Importeer basiscertificaat en het onlangs ondertekende callManager-certificaat.
Stap 5. Start de callmanager en TFTP-diensten opnieuw.
Stap 6. Configuratie van SIP Trunk veiligheidsprofiel. Navigatie naar systeem > security > SIP Trunk-beveiligingsprofiel
Verzeker u ervan dat de X.509 Onderwerp Naam dezelfde is als die gebruikt wordt op het CVP Call Server certificaat, zoals getoond in de beelden.
Stap 7. Maak de SIP-romp en wijs deze toe aan een beveiligingsprofiel.
Controleer certificaten die in ingangsgateway zijn geïnstalleerd.
show crypto pki certificates
Controleer de certificaatgegevens in de CVP-sleutelwinkel.
C:\Cisco\CVP\jre\bin>keytool.exe -list -v -storetype JCEKS -keystore c:\Cisco\CV P\conf\security\.keystore
Debug opdrachten gerelateerd aan TLS.
debug ssl openssl errors debug ssl openssl msg debug ssl openssl states