配置与SIP/TLS (签字的CA的UCCE 11.6全面的呼叫流)

简介

本文描述配置过程部署在传输层安全(TLS)的会话初始化协议(SIP)在与Certificate Authority (CA)签字的certficates的Cisco Unified Contact Center Enterprise (UCCE)全面的呼叫流。

先决条件

要求

Cisco 建议您了解以下主题：

• 在对CVP 11.6的升级以后，请保证Unified CVP属性完成手动配置。 

• UCCE 11.6使用TLS 1.2，保证入口网关支持TLS V1.2。

     从IOS 15.6(1) T和IOS XE 3.17S，支持TLS 1.2，上一个IOS使用了TLS 1.0。

SIP TLS在多维数据集的版本1.2支持

Cisco IOS 15.6(1)T Cisco IOS XE 3.17S

支持为SIP对SIP呼叫带有传输层安全(TLS)版本1.2。 以下密码器套件为版本Cisco IOS 15.6(1)T介绍： •  TLS_DHE_RSA_WITH_AES_128_CBC_SHA1 •  TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 •

• Securityk9许可证功能需要启用在入口网关。
• VVB需要升级到11.6。 

使用的组件

此本文档中的信息根据这些软件和硬件版本：

• 思科3945路由器 
• CVP 11.6
• 思科虚拟化语音Broswer (VVB) 11.6 
• ICM 11.6

 本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始（默认）配置。如果您的网络实际，请保证您了解所有命令潜在影响

Backgroud信息

从UCCE 11.6， SIP/TLS介绍。

这是UCCE全面的呼叫流：公共交换telepone网络(PSTN) >入口网关>思科统一客户语音门户(CVP) >智能联络管理(ICM) (回归代理程序标签) > CVP > Cisco Unified Communications Manager (CUCM) >代理程序IP电话。

在本文中， CUCM用于模拟在PSTN和入口网关SIP之间的PSTN旁拉在传输控制协议(TCP)是usedBetween代理程序CUCM，并且使用代理程序IP电话SIP/TCP其他SIP段使用SIP/TLS (签字的CA)

配置

配置包括四部分。

部分A.入口网关  

部分B. CVP 

部分C. VVB 

部分D. CUCM  

网络图

部分A.入口网关TLS配置

一般步骤：

步骤1.创建RSA密钥。

步骤2.创建托拉斯点。

步骤3.创建证书请求。 

步骤4.提交请求对CA并且签署了请求。 

步骤5.安装根证明。

步骤6.安装CA签名证书。

配置细节：

1. 生成在路由器(1024的RSA密钥-位RSA密钥)。

crypto key generate rsa modulus 1024 label INGW

2.Create信任点(A信任点代表委托CA)。

crypto pki trustpoint col115ca
revocation-check none 
serial-number none
ip-address none
fqdn none 
rsakeypair INGW 
subject-name cn=INGRESSGW, ou=TAC, o=CISCO

 
crypto pki trustpoint col115ca

enrollment terminal 

3. 创建证书请求(将发送对CA)的CSR。

crypto ski enroll col115ca 

4. CA烧焦了证书(base64位CA CERT)。

5. 安装根证明。

crypto pki authenticate col115ca

6. 安装CA签名证书(base64 cert)。

crypto pki import col115ca certificate 

7. 验证证书正确地安装。

show crypto pki certificates 

8. 配置在网关的TLS版本。

sip-ua
transport tcp tls v1.2

9.sepecify信任点使用了根据终点站。

sip-ua

crypto signaling remote-addr 10.66.75.49 255.255.255.255 trustpoint col115ca

10. 调节指向CVP使用TLS的dial-peer

dial-peer voice 7205 voip
  description to CVP
  destination-pattern 700.$
  session protocol sipv2
  session target ipv4:10.66.75.49
  session transport tcp tls
  dtmf-relay rtp-nte
  codec g711ulaw

部分B. CVP TLS配置

CVP有两keystores，查找在c:\Cisco\CVP\conf\security。   

如镜像所显示，这两关键存储有另外证书。

一般步骤：

步骤1.删除系统默认Callserver_certficate。

步骤2.生成密钥对。

步骤3.创建证书请求(CSR)。

步骤4.提交请求对CA并且签署了请求。 

步骤5.安装根证明。

步骤6.安装CA签名证书。

配置细节：

当请操作keystore，系统请求输入密码 

keystore的查找密码。

导航到c:\Cisco\CVP\conf\security.propertiesin CVP呼叫服务器为了查找此密码。

此文件包含keystore的密码，要求，当操作keystore时。

1. 删除系统默认Callserver_certficate。

C:\Cisco\CVP\jre\bin >keytool.exe -删除-别名orm_certificate - storetype JCEKS - keystore c:\Cisco\CVP\conf\security\ .keystore

2. 生成密钥对。

C:\Cisco\CVP\jre\bin >keytool.exe - genkeypair -别名callserver_certificate - v - k eysize 1024 - keyalg RSA - storetype JCEKS - keystore c:\Cisco\CVP\conf\security\ .keystore

步骤3.创建证书请求(CSR)并且保存在硬盘根文件夹(c:\callcsr.csr)。

C:\Cisco\CVP\jre\bin >keytool.exe - certreq -别名callserver_certificate -文件c:\callcsr.csr - storetype JCEKS

- keystore c:\Cisco\CVP\conf\security\ .keystore

步骤4.签署请求和aubmit请求对CA。 

(当您下载cert，请选择编码的Base64)

步骤5.安装根证明(cert存储在C:\ DC-Root.cer)。 

C:\Cisco\CVP\jre\bin >keytool.exe -导入- v - trustcacerts -别名根

-文件C:\ DC-Root.cer - storetype JCEKS

- keystore C:\Cisco\CVP\conf\security\。Keystore 

步骤6.安装CA签名证书(cert存储在c:\95callserver.cer)。

C:\Cisco\CVP\jre\bin >keytool.exe -导入- v - trustcacerts -别名callserver_certificate -文件c:\95callserver.cer - sto重新代表JCEKS

- keystore c:\Cisco\CVP\conf\security\ .keystore

步骤7.在关键存储验证证书详细信息。

C:\Cisco\CVP\jre\bin >keytool.exe -列表- v - storetype JCEKS

- keystore c:\Cisco\CV P \ conf \安全\ .keystore

部分C. VVB Configuration

从系统参数的Enable (event) TLS 

在此配置中，用途RTP，因此没有启用在VVB的SRTP。

VVB的CA签名证书，这部分是相同的象CUCM Tomcat证书 

• 生成CSR和签字由CA。
• 导入Tomcat托拉斯(CA根Cert)。
• 导入Tomcat (CA签字的Cert)。

部分D. CUCM Configuration

一般步骤：

1. 上传的CA签署了在CUCM服务器的CallManager证书。
2. 创建SIP中继安全配置文件。
3. 创建在CUCM和CVP服务器之间的SIP中继。

配置细节：

步骤1.上传的CA签署了在CUCM服务器的CallManager证书。

1. CUCM用途SIP/TLS的CallManager证书。
2. 生成CallManager证书的CSR，确保密钥长度是1024。
3. 由CA签署了此CallManager证书。
4. 导入CallManager托拉斯证书(根CA证书)。
5. 导入CallManager证书(CA签名证书)。
6. 重新启动CallManager服务和TFTP服务。

步骤2.配置SIP中继安全配置文件。

导航对系统> Security > SIP中继安全配置文件

如镜像所显示，保证X.509主题名称同一样在CVP呼叫服务器证书使用的。

步骤3.创建SIP中继并且分配SIP中继安全配置文件。

验证

验证在入口网关安装的证书。

show crypto pki certificates

在CVP密钥存储验证证书详细信息。

C:\Cisco\CVP\jre\bin >keytool.exe -列表- v - storetype JCEKS

- keystore c:\Cisco\CV P \ conf \安全\ .keystore

故障排除

与TLS涉及的调试指令。

debug ssl openssl errors

debug ssl openssl msg

debug ssl openssl states 

相关信息

• https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/cust_contact/contact_center/customer_voice_portal/cvp11_6/configuration/guide/ccvp_b_configuration-guide-for-cisco-unified.pdf
  
  
• 技术支持和文档 - Cisco Systems