简介
本文描述配置过程部署在传输层安全(TLS)的会话初始化协议(SIP)在与Certificate Authority (CA)签字的certficates的Cisco Unified Contact Center Enterprise (UCCE)全面的呼叫流。
Cisco 建议您了解以下主题:
- 在对CVP 11.6的升级以后,请保证Unified CVP属性完成手动配置。
- UCCE 11.6使用TLS 1.2,保证入口网关支持TLS V1.2。
从IOS 15.6(1) T和IOS XE 3.17S,支持TLS 1.2,上一个IOS使用了TLS 1.0。
SIP TLS在多维数据集的版本1.2支持 |
Cisco IOS 15.6(1)T Cisco IOS XE 3.17S |
支持为SIP对SIP呼叫带有传输层安全(TLS)版本1.2。 以下密码器套件为版本Cisco IOS 15.6(1)T介绍: • TLS_DHE_RSA_WITH_AES_128_CBC_SHA1
• TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
•
|
- Securityk9许可证功能需要启用在入口网关。
- VVB需要升级到11.6。
使用的组件
此本文档中的信息根据这些软件和硬件版本:
- 思科3945路由器
- CVP 11.6
- 思科虚拟化语音Broswer (VVB) 11.6
- ICM 11.6
本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您的网络实际,请保证您了解所有命令潜在影响
Backgroud信息
从UCCE 11.6, SIP/TLS介绍。
这是UCCE全面的呼叫流:公共交换telepone网络(PSTN) >入口网关>思科统一客户语音门户(CVP) >智能联络管理(ICM) (回归代理程序标签) > CVP > Cisco Unified Communications Manager (CUCM) >代理程序IP电话。
在本文中, CUCM用于模拟在PSTN和入口网关SIP之间的PSTN旁拉在传输控制协议(TCP)是usedBetween代理程序CUCM,并且使用代理程序IP电话SIP/TCP其他SIP段使用SIP/TLS (签字的CA)
配置包括四部分。
部分A.入口网关
部分B. CVP
部分C. VVB
部分D. CUCM
网络图

部分A.入口网关TLS配置

一般步骤:
步骤1.创建RSA密钥。
步骤2.创建托拉斯点。
步骤3.创建证书请求。
步骤4.提交请求对CA并且签署了请求。
步骤5.安装根证明。
步骤6.安装CA签名证书。
配置细节:
1. 生成在路由器(1024的RSA密钥-位RSA密钥)。
crypto key generate rsa modulus 1024 label INGW
2.Create信任点(A信任点代表委托CA)。
crypto pki trustpoint col115ca
revocation-check none
serial-number none
ip-address none
fqdn none
rsakeypair INGW
subject-name cn=INGRESSGW, ou=TAC, o=CISCO
crypto pki trustpoint col115ca
enrollment terminal
- 创建证书请求(将发送对CA)的CSR。
crypto ski enroll col115ca
- CA烧焦了证书(base64位CA CERT)。
- 安装根证明。
crypto pki authenticate col115ca
- 安装CA签名证书(base64 cert)。
crypto pki import col115ca certificate
- 验证证书正确地安装。
show crypto pki certificates
- 配置在网关的TLS版本。
sip-ua
transport tcp tls v1.2
9.sepecify信任点使用了根据终点站。
sip-ua
crypto signaling remote-addr 10.66.75.49 255.255.255.255 trustpoint col115ca
- 调节指向CVP使用TLS的dial-peer
dial-peer voice 7205 voip
description to CVP
destination-pattern 700.$
session protocol sipv2
session target ipv4:10.66.75.49
session transport tcp tls
dtmf-relay rtp-nte
codec g711ulaw
部分B. CVP TLS配置
CVP有两keystores,查找在c:\Cisco\CVP\conf\security。
如镜像所显示,这两关键存储有另外证书。

一般步骤:
步骤1.删除系统默认Callserver_certficate。
步骤2.生成密钥对。
步骤3.创建证书请求(CSR)。
步骤4.提交请求对CA并且签署了请求。
步骤5.安装根证明。
步骤6.安装CA签名证书。
配置细节:
当请操作keystore,系统请求输入密码
keystore的查找密码。
导航到c:\Cisco\CVP\conf\security.propertiesin CVP呼叫服务器为了查找此密码。
此文件包含keystore的密码,要求,当操作keystore时。
- 删除系统默认Callserver_certficate。
C:\Cisco\CVP\jre\bin >keytool.exe -删除-别名orm_certificate - storetype JCEKS - keystore c:\Cisco\CVP\conf\security\ .keystore
- 生成密钥对。
C:\Cisco\CVP\jre\bin >keytool.exe - genkeypair -别名callserver_certificate - v - k eysize 1024 - keyalg RSA - storetype JCEKS - keystore c:\Cisco\CVP\conf\security\ .keystore
步骤3.创建证书请求(CSR)并且保存在硬盘根文件夹(c:\callcsr.csr)。
C:\Cisco\CVP\jre\bin >keytool.exe - certreq -别名callserver_certificate -文件c:\callcsr.csr - storetype JCEKS
- keystore c:\Cisco\CVP\conf\security\ .keystore
步骤4.签署请求和aubmit请求对CA。
(当您下载cert,请选择编码的Base64)
步骤5.安装根证明(cert存储在C:\ DC-Root.cer)。
C:\Cisco\CVP\jre\bin >keytool.exe -导入- v - trustcacerts -别名根
-文件C:\ DC-Root.cer - storetype JCEKS
- keystore C:\Cisco\CVP\conf\security\。Keystore
步骤6.安装CA签名证书(cert存储在c:\95callserver.cer)。
C:\Cisco\CVP\jre\bin >keytool.exe -导入- v - trustcacerts -别名callserver_certificate -文件c:\95callserver.cer - sto重新代表JCEKS
- keystore c:\Cisco\CVP\conf\security\ .keystore
步骤7.在关键存储验证证书详细信息。
C:\Cisco\CVP\jre\bin >keytool.exe -列表- v - storetype JCEKS
- keystore c:\Cisco\CV P \ conf \安全\ .keystore
部分C. VVB Configuration
从系统参数的Enable (event) TLS
在此配置中,用途RTP,因此没有启用在VVB的SRTP。

VVB的CA签名证书,这部分是相同的象CUCM Tomcat证书
- 生成CSR和签字由CA。
- 导入Tomcat托拉斯(CA根Cert)。
- 导入Tomcat (CA签字的Cert)。
部分D. CUCM Configuration
一般步骤:
- 上传的CA签署了在CUCM服务器的CallManager证书。
- 创建SIP中继安全配置文件。
- 创建在CUCM和CVP服务器之间的SIP中继。
配置细节:
步骤1.上传的CA签署了在CUCM服务器的CallManager证书。
- CUCM用途SIP/TLS的CallManager证书。
- 生成CallManager证书的CSR,确保密钥长度是1024。
- 由CA签署了此CallManager证书。
- 导入CallManager托拉斯证书(根CA证书)。
- 导入CallManager证书(CA签名证书)。
- 重新启动CallManager服务和TFTP服务。



步骤2.配置SIP中继安全配置文件。
导航对系统> Security > SIP中继安全配置文件
如镜像所显示,保证X.509主题名称同一样在CVP呼叫服务器证书使用的。


步骤3.创建SIP中继并且分配SIP中继安全配置文件。

验证在入口网关安装的证书。
show crypto pki certificates
在CVP密钥存储验证证书详细信息。
C:\Cisco\CVP\jre\bin >keytool.exe -列表- v - storetype JCEKS
- keystore c:\Cisco\CV P \ conf \安全\ .keystore
与TLS涉及的调试指令。
debug ssl openssl errors
debug ssl openssl msg
debug ssl openssl states
相关信息