配置与SIP/TLS (签字的CA的UCCE 11.6全面的呼叫流)
目录
简介
本文描述配置过程部署在传输层安全(TLS)的会话初始化协议(SIP)在与Certificate Authority (CA)签名证书的Cisco Unified Contact Center Enterprise (UCCE)全面的呼叫流。
先决条件
要求
Cisco 建议您了解以下主题:
- CUCCE
- 公共交换电话网络 (PSTN)
- SIP 协议
- 公用密钥基础结构 (PKI)
- TLS
使用的组件
此本文档中的信息根据这些软件和硬件版本:
- Cisco 3945 Router
- Cisco用户语音门户(CVP) 11.6
- 思科虚拟化语音浏览器(VVB) 11.6
- Cisco Intelligent Contact Management (ICM) 11.6
本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您的网络实际,请保证您了解所有命令潜在影响。
背景信息
在本文中, Cisco Unified Communications Manager (CUCM)用于在PSTN和入口网关之间的simulatePSTN侧。在传输控制协议(TCP)的SIP使用在代理程序CUCM和代理程序IP电话之间。其他SIP段使用在TLS (签字的CA的SIP)。
UCCE全面的呼叫流是公共交换电话网(PSTN) >入口网关>思科统一客户语音门户(CVP) >智能联络管理(ICM) (回归代理程序标签) > CVP > Cisco Unified Communications Manager (CUCM) >代理程序IP电话。
SIP/TLS在UCCE版本11.6介绍。在对CVP 11.6的升级以后,请保证Unified CVP属性完成手动配置。
UCCE 11.6使用TLS 1.2,保证入口网关支持TLS 1.2。
IOS 15.6(1) T和IOS XE 3.17S支持TLS 1.2。上一个IOS版本支持TLS 1.0仅。
以下密码器套件为版本Cisco IOS 15.6(1)T介绍:
• TLS_DHE_RSA_WITH_AES_128_CBC_SHA1
• TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
Securityk9在入口网关必须启用许可证功能。
VVB需要升级到11.6。
配置
网络图
配置包括四部分。
部分A.入口网关TLS配置
部分B. CVP TLS配置
部分C. VVB Configuration
部分D. CUCM Configuration
部分A.入口网关TLS配置
配置工作流
配置 细节
步骤1.生成在路由器(1024位RSA密钥)的RSA密钥。
crypto key generate rsa modulus 1024 label INGW
步骤2.创建信任点(信任点代表委托CA)。
crypto pki trustpoint col115ca revocation-check none serial-number none ip-address none fqdn none rsakeypair INGW subject-name cn=INGRESSGW, ou=TAC, o=CISCO crypto pki trustpoint col115ca enrollment terminal
步骤3.创建将发送对CA的证书请求(CSR)。
crypto ski enroll col115ca
步骤4. CA签名证书(base64位CA CERT)。
步骤5.安装根证明。
crypto pki authenticate col115ca
步骤6.安装CA签名证书(base64 cert)。
crypto pki import col115ca certificate
步骤7.验证证书安装。
show crypto pki certificates
步骤8.配置在网关的TLS版本。
sip-ua transport tcp tls v1.2
步骤9.指定信任点使用的根据终点站。
sip-ua crypto signaling remote-addr 10.66.75.49 255.255.255.255 trustpoint col115ca
步骤10.调节指向CVP使用TLS的dial-peer。
dial-peer voice 7205 voip description to CVP destination-pattern 700.$ session protocol sipv2 session target ipv4:10.66.75.49 session transport tcp tls dtmf-relay rtp-nte codec g711ulaw
部分B. CVP TLS配置
配置工作流
CVP有两关键存储,位于在c:\Cisco\CVP\conf\security。
如镜像所显示,这两关键存储有另外证书。
配置 细节
步骤1.导航到c:\Cisco\CVP\conf\security.propertiesin CVP呼叫服务器为了查找此密码。此文件包含关键存储的密码,要求,当操作关键存储时。
步骤2.删除系统默认Callserver_certificate。
C:\Cisco\CVP\jre\bin>keytool.exe -delete -alias orm_certificate -storetype JCEKS -keystore c:\Cisco\CVP\conf\security\.keystore
步骤3.生成密钥对。
C:\Cisco\CVP\jre\bin>keytool.exe -genkeypair -alias callserver_certificate -v -k eysize 1024 -keyalg RSA -storetype JCEKS -keystore c:\Cisco\CVP\conf\security\.keystore
步骤4.创建CSR并且保存它在硬盘根文件夹(c:\callcsr.csr)。
C:\Cisco\CVP\jre\bin>keytool.exe -certreq -alias callserver_certificate -file c:\callcsr.csr -storetype JCEKS
-keystore c:\Cisco\CVP\conf\security\.keystore
步骤5.请签署请求并且提交请求对CA (当您下载cert时,选择编码的Base64)。
步骤6.安装根证明(cert存储在C:\DC - Root.cer)。
C:\Cisco\CVP\jre\bin>keytool.exe -import -v -trustcacerts -alias root -file C:\ DC-Root.cer -storetype JCEKS -keystore C:\Cisco\CVP\conf\security\.Keystore
步骤7.安装CA签名证书(cert存储在c:\95callserver.cer)。
C:\Cisco\CVP\jre\bin>keytool.exe -import -v -trustcacerts -alias callserver_certificate -file c:\95callserver.cer -sto retype JCEKS -keystore c:\Cisco\CVP\conf\security\.keystore
步骤8.在关键存储验证证书详细信息。
C:\Cisco\CVP\jre\bin>keytool.exe -list -v -storetype JCEKS -keystore c:\Cisco\CV P\conf\security\.keystore
部分C. VVB Configuration
配置 细节
步骤1.从系统参数的Enable (event) TLS
此示例使用RTP,因此在VVB的SRTP没有启用。
步骤2.生成并且导入VVB的CA签名证书,这部分是同CUCM Tomcat证书一样
- 生成CSR和签字由CA。
- 导入Tomcat托拉斯(CA根Cert)。
- 导入Tomcat (CA签字的Cert)。
部分D. CUCM Configuration
配置细节
步骤1.上传CA在CUCM服务器的签字的CallManager证书。CUCM用途SIP/TLS的CallManager证书。
步骤2.生成CallManager证书的CSR,确保密钥长度是1024。
步骤3.提供CSR给CA并且获取CallManager证书。
步骤4.导入根CA证书和最近签字的CallManager证书。
步骤5.重新启动CallManager和TFTP服务。
步骤6.配置SIP中继安全配置文件。导航对系统> Security > SIP中继安全配置文件
如镜像所显示,保证X.509主题名称同一样在CVP呼叫服务器证书使用的。
步骤7.创建SIP中继并且分配它到安全配置文件。
验证
验证在入口网关安装的证书。
show crypto pki certificates
在CVP密钥存储验证证书详细信息。
C:\Cisco\CVP\jre\bin>keytool.exe -list -v -storetype JCEKS -keystore c:\Cisco\CV P\conf\security\.keystore
故障排除
与TLS涉及的调试指令。
debug ssl openssl errors debug ssl openssl msg debug ssl openssl states
反馈