Este documento descreve a configuração, a verificação e a solução de problemas da conexão segura entre o Cisco Unified Communication Manager (CUCM) e o servidor Cisco Unity Connection (CUC).
A Cisco recomenda que você tenha conhecimento do CUCM.
Consulte o Guia de Segurança do Cisco Unified Communications Manager para obter mais detalhes.
A criptografia deve ser ativada para o Unity Connection 11.5(1) SU3 e posterior.
Comando CLI "utils cuc encryption <enable/disable>"
As informações neste documento são baseadas nestas versões de software e hardware:
As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a rede estiver ativa, certifique-se de que você entenda o impacto potencial de qualquer comando.
Este diagrama explica brevemente o processo que ajuda a estabelecer uma conexão segura entre CUCM e CUC:

1. O Call Manager configura uma conexão segura TLS (Transport Layer Security) para o servidor CUC na porta 2443 Skinny Call Control Protocol (SCCP) ou na porta 5061 Session Initiation Protocol (SIP) com base no protocolo usado para integração.
2. O servidor CUC baixa o arquivo CTL (Certificate Trust List) do servidor TFTP (processo único), extrai o certificado CallManager.pem e o armazena.
3. O servidor CUCM oferece o certificado Callmanager.pem que é verificado em relação ao certificado CallManager.pem obtido na etapa anterior. Além disso, o certificado CUC está sendo verificado em relação a um certificado raiz CUC armazenado no CUCM. Observe que o certificado raiz deve ser carregado no CUCM pelo administrador.
4. Se a verificação dos certificados for bem-sucedida, a conexão TLS segura será estabelecida. Essa conexão é usada para trocar o SCCP criptografado ou a sinalização SIP.
5. O tráfego de áudio pode ser trocado como Real-time Transport Protocol (RTP) ou SRTP.
Navegue até CUC Administration > Telephony Integrations > Security > SIP Certificate > Add new

Navegue até Integração de telefonia > Sistema de telefone. Você pode usar o sistema telefônico que já existe ou criar um novo.

Na página Opções Básicas do Sistema de Telefone, na caixa suspensa Links Relacionados, selecione Adicionar Grupo de Portas e selecione Ir. Na janela de configuração, digite estas informações:
Pressione Salvar.

Navegue para Editar > Servidores e adicione o servidor TFTP do cluster CUCM como mostrado nesta imagem.

Volte para Port Group Basics e redefina o grupo de portas conforme solicitado pelo sistema, conforme mostrado nesta imagem.

Na página Fundamentos do grupo de portas, na caixa suspensa Links relacionados, selecione Adicionar portas e selecione Ir. Na janela de configuração, digite estas informações:

Navegue até Telephony Integrations > Security > Root Certificate, clique com o botão direito do mouse no URL para salvar o certificado como um arquivo chamado <filename>.0 (a extensão do arquivo deve ser .0 em vez de .htm)' e clique em save conforme mostrado nesta imagem.

Navegue até CUCM Administration > System > Security > SIP Trunk Security Profile > Add new
Verifique se estes campos estão preenchidos corretamente:

Navegue até Device > Device Settings > SIP Profile se precisar aplicar configurações específicas. Caso contrário, você poderá usar o Perfil SIP Padrão.
Vá para Device > Trunk > Add new.Crie um tronco SIP que seja usado para integração segura com o Unity Connection, como mostrado nesta imagem.

Na seção Informações do dispositivo da configuração do tronco, digite estas informações:

Na seção Chamadas de entrada da configuração de tronco, insira estas informações:

Na seção Chamadas de Saída da configuração de tronco, insira estas informações:

Na seção Informações de SIP da configuração de tronco, insira estas informações:

Ajuste outras configurações de acordo com seus requisitos.
Crie um padrão de rota que aponte para o tronco configurado (Roteamento de chamada > Rota/busca > Padrão de rota). O ramal inserido como um número de padrão de rota pode ser usado como um piloto de correio de voz. Insira esta informação:

Crie um piloto de correio de voz para a integração (Recursos avançados > Correio de voz > Piloto de correio de voz). Insira estes valores:

Crie um perfil de correio de voz para vincular todas as configurações (Recursos avançados > Correio de voz > Perfil de correio de voz). Insira esta informação:

Atribua o perfil de correio de voz aos DNs destinados a usar uma integração segura. Não se esqueça de clicar no botão "Aplicar configuração" após alterar as configurações de DN:
Navegue até: Roteamento de chamadas > Número do diretório e alteração:

Navegue para OS Administration > Security > Certificate Management > Upload Certificate/Certificate Chain e carregue o certificado raiz de CUC como CallManager-trust em todos os nós configurados para se comunicar com o servidor CUC.

Navegue até CUC Administration > Telephony Integration > Security > Root Certificate. Clique com o botão direito do mouse na URL para salvar o certificado como um arquivo chamado <nome do arquivo>.0 (a extensão do arquivo deve ser .0 em vez de .htm)' e pressione Salvar:

Navegue até Integração de telefonia > Sistema de telefone. Você pode usar o sistema telefônico que já existe ou criar um novo.

Na página Phone System Basics, na caixa suspensa Related Links, selecione Add Port Group e selecione Go. Na janela de configuração, digite estas informações:

Navegue para Editar > Servidores e adicione o servidor TFTP do cluster CUCM.

Na página Fundamentos do grupo de portas, na caixa suspensa Links relacionados, selecione Adicionar portas e selecione Ir. Na janela de configuração, digite estas informações:

Navegue até Administração do CUCM > Recursos avançados > Configuração de porta de correio de voz > Adicionar novo.
Configure as portas de correio de voz SCCP normalmente. A única diferença está no Modo de segurança do dispositivo na configuração de porta em que a opção Porta de correio de voz criptografado precisa ser selecionada.

Navegue para OS Administration > Security > Certificate Management > Upload Certificate/Certificate Chain e carregue o certificado raiz de CUC como CallManager-trust em todos os nós configurados para se comunicar com o servidor CUC.

Navegue para CUCM Administration > Advanced Features > Voice Mail Port Configuration e configure as extensões MWI On/Off. Os números MWI devem corresponder à configuração CUC.


Crie um piloto de correio de voz para a integração (Recursos avançados > Correio de voz > Piloto de correio de voz). Insira estes valores:

Crie um perfil de correio de voz para vincular todas as configurações (Recursos avançados > Correio de voz > Perfil de correio de voz). Insira esta informação:

Atribua o perfil de correio de voz aos DNs que pretendem usar uma integração segura. Clique no botão Apply Config depois que as configurações de DN forem alteradas:
Navegue para Roteamento de chamadas > Número de diretório e altere para:

a) Adicionar um novo grupo de linhas (Roteamento de chamadas > Rota/busca > Grupo de linhas)

b) Adicionar uma nova lista de busca de correio de voz (Roteamento de chamadas > Rota/busca > Lista de busca)

c) Adicione um novo piloto de busca (Roteamento de chamada > Rota/busca > Piloto de busca)

Navegue até CUCM Administration > Advance Features > Voice Mail > Voice Mail Ports e verifique o registro da porta.

Pressione a tecla Correio de voz no telefone para chamar o correio de voz. Você ouvirá a saudação de abertura se o ramal do usuário não estiver configurado no sistema Unity Connection.
Pressione a tecla Correio de voz no telefone para chamar o correio de voz. Você ouvirá a saudação de abertura se o ramal do usuário não estiver configurado no sistema Unity Connection.
Como alternativa, você pode habilitar o keepalive das OPÇÕES SIP para monitorar o status do tronco SIP. Essa opção pode ser ativada no perfil SIP atribuído ao tronco SIP. Uma vez habilitado, você pode monitorar o status do tronco Sip via Device > Trunk como mostrado nesta imagem.

Verifique se o ícone de cadeado está presente nas chamadas para o Unity Connection. Isso significa que o fluxo RTP é criptografado (o perfil de segurança do dispositivo deve ser seguro para que funcione) como mostrado nesta imagem.

Use estas etapas para solucionar problemas da integração segura:
Colete esses rastreamentos para solucionar problemas da integração segura.
Consulte estes recursos para obter informações adicionais sobre:
Como fazer uma captura de pacote no CUCM:
Como habilitar rastreamentos no servidor CUC:
Após a captura do pacote ser coletada de qualquer um dos servidores, a sessão TLS é estabelecida.

O cliente emitiu um alerta com um erro fatal de CA Desconhecida para o servidor, simplesmente porque o cliente não pôde verificar o certificado enviado pelo servidor.
Há duas possibilidades:
1) O CUCM envia o alerta CA desconhecida
2) O CUC envia o alerta CA desconhecida
Esse erro é visto nos rastreamentos do Conversation Manager:
MiuGeneral,25,FAILED Port group 'PhoneSystem-1' attempt set InService(true), error retrieving server certificates.
MiuGeneral,25,Error executing tftp command 'tftp://10.48.47.189:69/CTLFile.tlv' res=68 (file not found on server)
MiuGeneral,25,FAILED Port group 'PhoneSystem-1' attempt set InService(true), error retrieving server certificates.
Arbiter,-1,Created port PhoneSystem-1-001 objectId='7c2e86b8-2d86-4403-840e-16397b3c626b' as ID=1
MiuGeneral,25,Port group object 'b1c966e5-27fb-4eba-a362-56a5fe9c2be7' exists
MiuGeneral,25,FAILED SetInService=true parent port group is out of service:
Solução:
1. Verifique novamente se o servidor TFTP está correto na configuração Port group > Edit > Servers.
2. Verifique se o cluster do CUCM está no modo seguro.
3. Verifique se o arquivo CTL existe no CUCM TFTP.
Esse erro é visto nos rastreamentos do Conversation Manager:
MiuSkinny,23,Failed to retrieve Certificate for CCM Server <CUCM IP Address>
MiuSkinny,23,Failed to extract any CCM Certificates - Registration cannot proceed. Starting retry timer -> 5000 msec
MiuGeneral,24,Found local CTL file [/tmp/aaaaaaaa-xxxx-xxxx-xxxx-xxxxxxxxxxxx.tlv]
MiuGeneral,25,CCMCertificateCache::RetrieveServerCertificates() failed to find CCM Server '<CUCM IP Address>' in CTL File
Solução:
1. Isso ocorre provavelmente devido à incompatibilidade na soma de verificação md5 do arquivo CTL no CUCM e no CUC como resultado da regeneração de
certificados. Reinicie o servidor CUC para atualizar o arquivo CTL.
CSCum48958 - CUCM 10.0 (comprimento do endereço ip incorreto)
CSCtn87264 - A conexão TLS falha para portas SIP seguras
CSCur10758 - Não é possível limpar certificados revogados do Unity Connection
CSCur10534 - CUCM redundante interoperável Unity Connection 10.5 TLS/PKI
CSCve4775 - Solicitação de recurso para um método para atualizar e revisar o arquivo CTLF do CUCM no CUC
| Revisão | Data de publicação | Comentários |
|---|---|---|
1.0 |
02-Jun-2016
|
Versão inicial |