在Contact Center Enterprise中配置安全RTP

简介

本文档介绍如何保护联系中心企业版(CCE)综合呼叫流中的实时传输协议(SRTP)流量。

先决条件

证书生成和导入不在本文档的讨论范围之内，因此必须创建思科统一通信管理器(CUCM)、客户语音门户(CVP)呼叫服务器、思科虚拟语音浏览器(CVVB)和思科统一边界元素(CUBE)的证书并将其导入到各自的组件中。如果使用自签名证书，则必须在不同组件之间执行证书交换。

要求

Cisco 建议您了解以下主题：

• CCE
• CVP
• CUBE
• CUCM
• CVVB

使用的组件

本文档中的信息基于Package Contact Center Enterprise(PCCE)、CVP、CVVB和CUCM版本12.6，但它也适用于以前的版本。

本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始（默认）配置。如果您的网络处于活动状态，请确保您了解所有命令的潜在影响。

配置

注意：在联系中心综合呼叫流程中，为了启用安全RTP，必须启用安全SIP信号。因此，本文档中的配置同时启用安全SIP和SRTP。

下图显示了联系中心综合呼叫流程中涉及SIP信号和RTP的组件。当语音呼叫进入系统时，首先通过入口网关或CUBE，因此在CUBE上开始配置。接下来，配置CVP、CVVB和CUCM。

任务 1：CUBE安全配置

在本任务中，您将配置CUBE以保护SIP协议消息和RTP。

所需的配置：

• 为SIP UA配置默认信任点
• 修改拨号对等体以使用TLS和SRTP

步骤:

1. 打开到CUBE的SSH会话。

2. 运行这些命令以使SIP堆栈使用CUBE的CA证书。CUBE建立从/到CUCM(198.18.133.3)和CVP(198.18.133.13)的SIP TLS连接：

Conf t Sip-ua Transport tcp tls v1.2 crypto signaling remote-addr 198.18.133.3 255.255.255.255 trustpoint ms-ca-name crypto signaling remote-addr 198.18.133.13 255.255.255.255 trustpoint ms-ca-name exit

3. 运行这些命令以启用对CVP的传出拨号对等体上的TLS。在本示例中，拨号对等体标记6000用于将呼叫路由到CVP:

Conf t dial-peer voice 6000 voip session target ipv4:198.18.133.13:5061 session transport tcp tls srtp exit

任务 2：CVP安全配置

在本任务中，配置CVP呼叫服务器以保护SIP协议消息(SIP TLS)。

步骤:

1. 登录至UCCE Web Administration。
2. 导航至Call Settings > Route Settings > SIP Server Group。
   
   

根据您的配置，您已为CUCM、CVVB和CUBE配置了SIP服务器组。您需要将所有安全SIP端口设置为5061。在本示例中，使用以下SIP服务器组：

• cucm1.dcloud.cisco.com 对于CUCM
• vvb1.dcloud.cisco.com 适用于CVVB
• cube1.dcloud.cisco.com  对于CUBE

3. 单击cucm1.dcloud.cisco.com，然后在显示MembersSIP服务器组配置详细信息的选项卡中单击。设置SecurePort为5061，然后单Save击。
   
   

4. 单击vvb1.dcloud.cisco.com，然后在选Members项卡中将设置SecurePort,5061然后单Save。
   
   

任务 3：CVVB安全配置

在本任务中，配置CVVB以保护SIP协议消息(SIP TLS)和SRTP。

步骤:

1. 打开页Cisco VVB Admin面。
2. 导航至System > System Parameters。
   
   

3. 在部分Security Parameters，选择Enable用于TLS (SIP) 。保留Supported TLS(SIP) version as TLSv1.2并选Enable择SRTP。
   
   

4. 单击。Update当系统提示重新启动CVVB引擎时Ok，单击。
   
   

5. 这些更改需要重新启动Cisco VVB引擎。要重新启动VVB引擎，请导航至Cisco VVB Serviceability，然后点击Go。
   
   

6. 导航至Tools > Control Center – Network Services。
   
   

7. 选择Engine，然后单击Restart。
   
   

任务 4：CUCM安全配置

要保护CUCM上的SIP消息和RTP，请执行以下配置：

• 将CUCM安全模式设置为混合模式
• 为CUBE和CVP配置SIP中继安全配置文件
• 将SIP中继安全配置文件关联到各自的SIP中继并启用SRTP
• 安全代理与CUCM的设备通信

将CUCM安全模式设置为混合模式

CUCM支持两种安全模式：

• 非安全模式（默认模式）
• 混合模式（安全模式）

步骤:

1. 登录到CUCM管理界面。
   
   

2. 登录到CUCM时，可以导航至System > Enterprise Parameters。
   
   

3. 在Security Parameters部分，检查是否Cluster Security Mode设置为0。
   
   

4. 如果Cluster Security Mode设置为0，则表示集群安全模式设置为non-secure。您需要从CLI启用混合模式。
5. 打开到CUCM的SSH会话。
6. 成功通过SSH登录CUCM后，请运行以下命令：

utils ctl set-cluster mixed-mode

7. 键入y，并在出现提示Enter时单击。此命令将集群安全模式设置为混合模式。
   
   

8. 要使更改生效，请重新启动Cisco CallManager和服务Cisco CTIManager。
9. 要重新启动服务，请导航并登录Cisco Unified Serviceability。
   
   

10. 成功登录后，导航至Tools > Control Center – Feature Services。
    
    

11. 选择服务器，然后单击Go。
    
    

12. 在CM服务下，选择Cisco CallManager，然后Restart点击页面顶部的按钮。
    
    

13. 确认弹出消息，然后点击OK。等待服务成功重新启动。
    
    

14. 成功重新启动后Cisco CallManager，选择Cisco CTIManager，然后单Restart击按钮重启  Cisco CTIManager 服务。
    
    

15. 确认弹出消息，然后点击OK。等待服务成功重新启动。
    
    

16. 成功重新启动服务后，为了验证集群安全模式是否设置为混合模式，请按照步骤5中的说明导航到CUCM管理，然后检Cluster Security Mode查。现在，必须将其设置为1。
    
    

为CUBE和CVP配置SIP中继安全配置文件

步骤:

1. 登录到CUCM管理界面。
2. 成功登录CUCM后，导航至System > Security > SIP Trunk Security Profile，以便为CUBE创建设备安全配置文件。
   
   

3. 在左上角，单击Add New添加新配置文件。
   
   

4. 配SIP Trunk Security Profile置为此图像，然Save后点击页面左下角。
   
   

5.确保将CUBE证Secure Certificate Subject or Subject Alternate Name书的公用名(CN)设置为，因为它必须匹配。

6.单击Copy按钮，然后将Name更改为SecureSipTLSforCVP。更Secure Certificate Subject改为CVP呼叫服务器证书的CN，因为它必须匹配。单击Save  按钮。

将SIP中继安全配置文件关联到各自的SIP中继并启用SRTP

步骤:

1. 在CUCM Administration页面上，导航至Device > Trunk。
   
   

2. 搜索CUBE中继。在本示例中，CUBE中继名称为vCube，然后点击Find。
   
   

3. 单击vCUBE，打开vCUBE中继配置页面。
4. 在Device Information部分，选中SRTP Allowed复选框以启用SRTP。
   
   

5. 向下滚动到SIP Information部分，然后将Destination Port更改为5061。
6. 更SIP Trunk Security Profile改为SecureSIPTLSForCube。
   
   

7. 单击Save，然后单击Restsave 并应用更改。
   
   

8. 导航到Device > Trunk，搜索CVP中继，在本例中，CVP中继名称为cvp-SIP-Trunk。单击。Find
   
   

9. 单击CVP-SIP-Trunk，打开CVP中继配置页面。
10. 在Device Information部分，选中SRTP Allowed复选框以启用SRTP。
    
    

11. 向下滚动到SIP Information部分，将更Destination Port改为5061。
12. 更SIP Trunk Security Profile改为SecureSIPTLSForCvp。
    
    

13. 单击Save然后Rest,save 应用更改。
    
    

安全代理与CUCM的设备通信

要启用设备的安全功能，必须安装本地重要证书(LSC)并将安全配置文件分配给该设备。LSC拥有终端的公钥，该公钥由CUCM CAPF私钥签名。默认情况下，它不会安装在电话上。

步骤:

1. 登录接口Cisco Unified Serviceability。
2. 导航至Tools > Service Activation。
   
   

3. 选择CUCM服务器并单击Go。
   
   

4. 选中Cisco Certificate Authority Proxy Function，然后单Save  击以激活服务。点击Ok，确认。
   
   

5. 确保服务已激活，然后导航至CUCM管理。
   
   

6. 成功登录CUCM管理后，导航至System > Security > Phone Security Profile，为代理设备创建设备安全配置文件。
   
   

7. 查找与您的座席设备类型对应的安全配置文件。在本例中，使用软件电话，因此选择Cisco Unified Client Services Framework - Standard SIP Non-Secure Profile。单击复制图标 以便复制此配置文件。
   
   

8. 将配置文件重命名为Cisco Unified Client Services Framework - Secure Profile。按照此图像中的内容更改参数，然后单击  Save  在页面左上角。
   
   

9. 成功创建电话设备配置文件后，导航至Device > Phone。
   
   

10. 点击Find，列出所有可用电话，然后点击“座席电话”。
11. 座席电话配置页面打开。查找Certification Authority Proxy Function (CAPF) Information部分。要安装LSC，请将Certificate Operation设置为Install/Upgrade，并Operation Completes by设置为未来的任何日期。
    
    

12. 查Protocol Specific Information找部分并将Device Security Profile更改为Cisco Unified Client Services Framework – Secure Profile。
    
    

13. 单击页面左上角的Save。确保更改已成功保存，然后单击Reset。
    
    

14. 此时将打开一个弹出窗口，单击Reset以确认此操作。
    
    

15. 代理设备再次向CUCM注册后，刷新当前页面并验证LSC是否安装成功。CheckCertification Authority Proxy Function (CAPF) Information section，必Certificate Operation须设置为No Pending Operation,Certificate Operation Status设置为  Upgrade Success.
    
    

16. 请参阅第步中的相同步骤。7 - 13，用于保护您想通过CUCM使用安全SIP和RTP的其他代理的设备。

验证

要验证RTP是否受到适当保护，请执行以下步骤：

1. 向联系中心发出测试呼叫，并监听IVR提示。
2. 同时，打开到vCUBE的SSH会话，并运行以下命令：
   show call active voice brief
   
   

提示：检查SRTP是否on在CUBE和VVB(198.18.133.143)之间。 如果是，这可以确认CUBE和VVB之间的RTP流量是安全的。

3. 让座席可以应答呼叫。
   .
4. 座席将被保留，呼叫将被路由至座席。应答呼叫。
5. 呼叫连接到座席。返回vCUBE SSH会话，并运行以下命令：
   show call active voice brief
   
   

提示：检查SRTP是否在CUBE和座席的电话(198.18.133.75)之间on。 如果是，这可以确认CUBE和代理之间的RTP流量是安全的。

6. 此外，一旦呼叫连接，座席设备上会显示安全锁.这还证实RTP流量是安全的。
   
   

要验证SIP信号是否正确安全，请参阅配置安全SIP信令文章。