A Cisco traduziu este documento com a ajuda de tecnologias de tradução automática e humana para oferecer conteúdo de suporte aos seus usuários no seu próprio idioma, independentemente da localização. Observe que mesmo a melhor tradução automática não será tão precisa quanto as realizadas por um tradutor profissional. A Cisco Systems, Inc. não se responsabiliza pela precisão destas traduções e recomenda que o documento original em inglês (link fornecido) seja sempre consultado.
Este original descreve a configuração e a verificação da conexão segura do SORVO entre o server unificado Cisco do gerente (CUCM) e do Cisco Unity Connection de uma comunicação (CUC) usando a criptografia da próxima geração.
A Segurança da próxima geração sobre a relação do SORVO restringe a relação do SORVO para usar as cifras da série B baseadas nos protocolos TLS 1.2, SHA-2 e AES256. Permite as várias combinações de cifras baseadas na ordem da prioridade de cifras RSA ou ECDSA. Durante a comunicação entre a conexão de unidade e o Cisco unificou o CM, cifras e os Certificados da terceira parte são verificados em ambas as extremidades. Está abaixo a configuração para o suporte de criptografia da próxima geração.
Se você planeia se usar os Certificados assinados pela autoridade de certificação da terceira parte a seguir começam com o certificado que assina na extremidade da seção de configuração (configurar - assinando os Certificados baseados chave EC pela terceira parte CA)
As informações neste documento são baseadas nestas versões de software e hardware:
Versão 11.0 e mais recente CUCM em modo misturado
Versão 11.0 e mais recente CUC
As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a sua rede estiver ativa, certifique-se de que entende o impacto potencial de qualquer comando.
Este diagrama explica momentaneamente o processo que as ajudas estabelecem uma conexão segura entre CUCM e CUC o suporte de criptografia da próxima geração é permitido uma vez que:
Estas são as exigências da troca do certificado uma vez que o suporte de criptografia da próxima geração é permitido no Cisco Unity Connection.
Certificado CUCM usado |
Certificado CUC usado | Certs a transferir arquivos pela rede a CUCM | Certs a transferir arquivos pela rede a CUC |
CallManager.pem (auto-assinado) | Tomcat.pem (auto-assinado) | Tomcat.pem a ser transferido arquivos pela rede em CUCM > CallManger-confiança | Nenhum. |
CallManager.pem (CA assinou) | Tomcat.pem (CA assinou) | Raiz CUC & certificado de CA*1 do intermediário a ser transferido arquivos pela rede em CUCM > CallManager-confiança | Raiz CUCM & certificado de CA*2 do intermediário a ser transferido arquivos pela rede em CUC > CallManager-confiança. |
CallManager.pem (CA assinou) | Tomcat.pem (auto-assinados) | Tomcat.pem a ser transferido arquivos pela rede em CUCM > CallManger-confiança | Raiz CUCM & certificado de CA do intermediário a ser transferido arquivos pela rede em CUC > CallManager-confiança. |
CallManager.pem (auto-assinado) | Tomcat.pem (CA assinou) | Raiz CUC & certificado de CA do intermediário a ser transferido arquivos pela rede em CUCM > CallManager-confiança | Nenhum. |
a raiz *1CUC & o certificado de CA do intermediário referem o certificado de CA que assinou o certificado de Tomcat da conexão de unidade (Tomcat.pem).
a raiz *2CUCM & o certificado de CA do intermediário referem o certificado de CA que assinou o certificado do CallManager CUCM (Callmanager.pem).
Certificado CUCM usado | Certificado CUC usado | Certs a transferir arquivos pela rede a CUCM | Certs a transferir arquivos pela rede a CUC |
CallManager-ECDSA.pem (auto-assinado) | Tomcat-ECDSA.pem (auto-assinado) | Tomcat-ECDSA.pem a ser transferido arquivos pela rede em CUCM > CallManger-confiança | Nenhum. |
CallManager-ECDSA.pem (CA assinou) | Tomcat-ECDSA.pem (CA assinou) | Raiz CUC & certificado de CA*1 do intermediário a ser transferido arquivos pela rede em CUCM > CallManager-confiança | Raiz CUCM & certificado de CA*2 do intermediário a ser transferido arquivos pela rede em CUC > CallManager-confiança. |
CallManager-ECDSA.pem (CA assinou) | Tomcat-ECDSA.pem (auto-assinados) | Tomcat-ECDSA.pem a ser transferido arquivos pela rede em CUCM > CallManger-confiança. | Raiz CUCM & certificado de CA do intermediário a ser transferido arquivos pela rede em CUC > CallManager-confiança. |
CallManager-ECDSA.pem (auto-assinado) | Tomcat-ECDSA.pem (CA assinou) | Raiz CUC & certificado de CA do intermediário a ser transferido arquivos pela rede em CUCM > CallManager-confiança | Nenhum. |
A raiz *1 CUC & o certificado de CA do intermediário referem o certificado de CA que assinou o certificado baseado EC de Tomcat da conexão de unidade (Tomcat-ECDSA.pem).
A raiz *2 CUCM & o certificado de CA do intermediário referem o certificado de CA que assinou o certificado do CallManager CUCM (CallManager-ECDSA.pem).
Navegue à página de administração > à integração de telefonia > ao grupo de porta do Cisco Unity Connection e clique adicionam sobre novo. Certifique-se verificar a caixa de seleção da criptografia da próxima geração da possibilidade.
No grupo de porta que os princípios paginam, navegam para editar > server e para adicionar o FQDN do servidor TFTP de seu conjunto CUCM. FQDN/Hostname do servidor TFTP deve combinar o Common Name (CN) do certificado do CallManager. O endereço IP de Um ou Mais Servidores Cisco ICM NT do server não trabalhará e conduzirá à falha transferir o arquivo ITL. O nome de DNS deve ser consequentemente pode ser resolvido através do servidor DNS configurado.
Reinicie o gerente da conversação da conexão em cada nó navegando à utilidade do Cisco Unity Connection > às ferramentas > ao Gerenciamento do serviço. Isto é imperativo para que a configuração tome o efeito.
Navegue de volta aos princípios página de configuração da integração de telefonia > do grupo de porta > do grupo de porta e restaure seu grupo de porta recentemente adicionado.
Navegue de volta à integração de telefonia > à porta e clique sobre Add novo para adicionar a porta a seu grupo de porta recém-criado.
Em caso dos Certificados da terceira parte, você deve transferir arquivos pela rede o certificado da raiz e do intermediário da autoridade de certificação da terceira parte na CallManager-confiança da conexão de unidade. Isto é precisado somente se a 3ª parte CA assinou seu certificado do gerenciador de chamada. Execute esta ação navegando a Cisco unificou o > gerenciamento de certificado do > segurança da administração do OS e clicam sobre o certificado da transferência de arquivo pela rede.
Navegue ao > segurança da administração > do sistema CUCM > ao perfil de segurança do tronco do SORVO e adicionar um perfil novo. O nome do sujeito X.509 deve combinar o FQDN do server CUC.
Navegue ao dispositivo > ao tronco > ao clique e adicionar novo e crie um tronco padrão do SORVO que seja usado para a integração segura com conexão de unidade.
A negociação entre a conexão de unidade e o gerente das comunicações unificadas de Cisco depende da configuração da cifra TLS com as seguintes circunstâncias:
Navegue a Cisco unificou CM > sistemas > parâmetros empresariais e selecionam a opção apropriada da cifra das cifras TLS e SRTP da lista de drop-down.
Reinicie o serviço do Cisco Call Manager em cada nó navegando a Cisco unificou a página da utilidade, as ferramentas > os serviços da Centro-característica do controle e Cisco Call Manager seleto sob serviços CM
Navegue à página de administração > às configurações de sistema > às configurações gerais do Cisco Unity Connection e selecione a opção apropriada da cifra das cifras TLS e SRTP da lista de drop-down.
Reinicie o gerente da conversação da conexão em cada nó navegando à utilidade do Cisco Unity Connection > às ferramentas > ao Gerenciamento do serviço.
O TLS calcula opções com ordem da prioridade
Opções da cifra TLS | Cifras TLS na ordem da prioridade |
O SHA-384 o mais forte do AES-256 somente: RSA preferido |
|
SHA-384 Strongest-AES-256 somente: ECDSA preferido |
|
AES-128 Medium-AES-256 somente: RSA preferido |
|
AES-128 Medium-AES-256 somente: ECDSA preferido |
|
Todas as cifras RSA preferidas (padrão) |
|
Todas as cifras ECDSA preferidas |
|
Opções da cifra SRTP na ordem da prioridade
Opção da cifra SRTP | SRTP na ordem da prioridade |
Todos apoiaram o AES-256, cifras do AES-128 |
|
O AES-256 AEAD, AES-28 GCM-baseou cifras |
|
AEAD AES256 GCM-baseou cifras somente |
|
Navegue ao > gerenciamento de certificado do > segurança da administração do OS e transfira arquivos pela rede ambos os Certificados CUC Tomcat (RSA & EC baseados) na loja da CallManager-confiança.
Em caso dos Certificados da terceira parte, você deve transferir arquivos pela rede a raiz e o certificado do intermediário da autoridade de certificação da terceira parte. Isto é precisado somente se a 3ª parte CA assinou seu certificado de Tomcat do Unity.
Reinicie o processo do Cisco Call Manager em todos os Nós para aplicar as mudanças.
Configurar uma rota padrão que pontos ao tronco configurado navegando ao roteamento de chamada > à rota/caça > à rota padrão. A extensão incorporada como um número da rota padrão pode ser usada como um piloto do correio de voz.
Crie um correio de voz piloto para a integração indo aos recursos avançados > ao correio de voz > ao correio de voz piloto.
Crie um perfil de correio de voz a fim ligar junto os todos os recursos avançados > correio de voz > perfil de correio de voz dos ajustes
Atribua o perfil de correio de voz recém-criado aos DN pretendidos usar a integração segura indo ao roteamento de chamada > ao número de diretório
Os Certificados puderam ser assinados por uma terceira parte CA antes de estabelecer a integração segura entre os sistemas. Siga as seguintes etapas para assinar os Certificados em ambos os sistemas.
Cisco Unity Connection
Cisco unificou o CM
O mesmo processo será usado para assinar os Certificados baseados chave RSA onde o CSR é gerado para o certificado CUC Tomcat e o certificado do CallManager e transferido arquivos pela rede TomCat na loja e na loja do callmanager respectivamente.
Use esta seção para confirmar se a sua configuração funciona corretamente.
Pressione o botão do correio de voz no telefone para chamar o correio de voz. Você deve ouvir a saudação inicial se a extensão do usuário não é configurada no sistema da conexão de unidade.
Alternativamente, você pode permitir o keepalive das opções do SORVO de monitorar o status de tronco do SORVO. Esta opção pode ser permitida no perfil do SORVO atribuído ao tronco do SORVO. Uma vez que isto é permitido você pode monitorar o status de tronco do sorvo através do dispositivo > do tronco como mostrado abaixo:
Verifique se o ícone do cadeado esta presente em atendimentos à conexão de unidade. Significa que córrego RTP está cifrado (o perfil de segurança do dispositivo deve ser seguro para que trabalhe) segundo as indicações desta imagem