Konfigurieren von sicherem RTP in Contact Center Enterprise

Download-Optionen

  • PDF     (1.6 MB)
    Mit Adobe Reader auf verschiedenen Geräten anzeigen
  • ePub     (1.3 MB)
    In verschiedenen Apps auf iPhone, iPad, Android, Sony Reader oder Windows Phone anzeigen
  • Mobi (Kindle)     (2.2 MB)
    Auf einem Kindle-Gerät oder einer Kindle-App auf mehreren Geräten anzeigen
Aktualisiert:21. Dezember 2022
Dokument-ID:220123

Inklusive Sprache

In dem Dokumentationssatz für dieses Produkt wird die Verwendung inklusiver Sprache angestrebt. Für die Zwecke dieses Dokumentationssatzes wird Sprache als „inklusiv“ verstanden, wenn sie keine Diskriminierung aufgrund von Alter, körperlicher und/oder geistiger Behinderung, Geschlechtszugehörigkeit und -identität, ethnischer Identität, sexueller Orientierung, sozioökonomischem Status und Intersektionalität impliziert. Dennoch können in der Dokumentation stilistische Abweichungen von diesem Bemühen auftreten, wenn Text verwendet wird, der in Benutzeroberflächen der Produktsoftware fest codiert ist, auf RFP-Dokumentation basiert oder von einem genannten Drittanbieterprodukt verwendet wird. Hier erfahren Sie mehr darüber, wie Cisco inklusive Sprache verwendet.

Informationen zu dieser Übersetzung

Cisco hat dieses Dokument maschinell übersetzen und von einem menschlichen Übersetzer editieren und korrigieren lassen, um unseren Benutzern auf der ganzen Welt Support-Inhalte in ihrer eigenen Sprache zu bieten. Bitte beachten Sie, dass selbst die beste maschinelle Übersetzung nicht so genau ist wie eine von einem professionellen Übersetzer angefertigte. Cisco Systems, Inc. übernimmt keine Haftung für die Richtigkeit dieser Übersetzungen und empfiehlt, immer das englische Originaldokument (siehe bereitgestellter Link) heranzuziehen.

    Einleitung

    In diesem Dokument wird beschrieben, wie der SRTP-Datenverkehr (Real-time Transport Protocol) in Contact Center Enterprise (CCE) abgesichert wird.

    Voraussetzungen

    Die Erstellung und der Import von Zertifikaten werden in diesem Dokument nicht behandelt. Daher müssen Zertifikate für Cisco Unified Communication Manager (CUCM), Customer Voice Portal (CVP) Call Server, Cisco Virtual Voice Browser (CVVB) und Cisco Unified Border Element (CUBE) erstellt und in die entsprechenden Komponenten importiert werden. Wenn Sie selbstsignierte Zertifikate verwenden, muss der Zertifikataustausch zwischen verschiedenen Komponenten erfolgen.

    Anforderungen

    Cisco empfiehlt, dass Sie über Kenntnisse in folgenden Bereichen verfügen:

    • CCE
    • CVP
    • WÜRFEL
    • CUCM
    • CVB

    Verwendete Komponenten

    Die Informationen in diesem Dokument basieren auf Package Contact Center Enterprise (PCCE), CVP, CVVB und CUCM Version 12.6, gelten jedoch auch für die Vorgängerversionen.

    Die Informationen in diesem Dokument beziehen sich auf Geräte in einer speziell eingerichteten Testumgebung. Alle Geräte, die in diesem Dokument benutzt wurden, begannen mit einer gelöschten (Nichterfüllungs) Konfiguration. Wenn Ihr Netzwerk in Betrieb ist, stellen Sie sicher, dass Sie die möglichen Auswirkungen aller Befehle verstehen.

    Konfigurieren

    Hinweis: Im Contact Center ist ein umfassender Anruffluss erforderlich. Um sicheres RTP zu aktivieren, müssen sichere SIP-Signale aktiviert sein. Aus diesem Grund ermöglichen die Konfigurationen in diesem Dokument sowohl sicheres SIP als auch SRTP.

    Das nächste Diagramm zeigt die Komponenten, die SIP-Signale und RTP im Contact Center nutzen, sowie einen umfassenden Anrufablauf. Wenn ein Sprachanruf beim System eingeht, erfolgt er zuerst über das Eingangs-Gateway oder CUBE. Starten Sie also die Konfigurationen für CUBE. Konfigurieren Sie anschließend CVP, CVVB und CUCM.

    Inbound SIP and RTP Call Flow

    Schritt 1: Sichere CUBE-Konfiguration

    Bei dieser Aufgabe konfigurieren Sie CUBE zum Sichern von SIP-Protokollnachrichten und RTP.

    Erforderliche Konfigurationen:

    • Konfigurieren eines Standard-Vertrauenspunkts für SIP UA
    • Ändern der DFÜ-Peers zur Verwendung von TLS und SRTP

    Schritte:

    1. Öffnen einer SSH-Sitzung für CUBE
    1. Führen Sie diese Befehle aus, damit der SIP-Stack das CA-Zertifikat des CUBE verwendet. CUBE stellt eine SIP-TLS-Verbindung vom/zum CUCM (198.18.133.3) und CVP (198.18.133.13) her:

    Conf t Sip-ua Transport tcp tls v1.2 crypto signaling remote-addr 198.18.133.3 255.255.255.255 trustpoint ms-ca-name crypto signaling remote-addr 198.18.133.13 255.255.255.255 trustpoint ms-ca-name exit

    CUBE SSH Console

    1. Führen Sie diese Befehle aus, um TLS auf dem ausgehenden DFÜ-Peer für das CVP zu aktivieren. In diesem Beispiel wird das Dial-Peer-Tag 6000 verwendet, um Anrufe an CVP weiterzuleiten:

    Conf t dial-peer voice 6000 voip session target ipv4:198.18.133.13:5061 session transport tcp tls srtp exit

    CUBE SSH Console

    Schritt 2: Sichere CVP-Konfiguration

    Konfigurieren Sie bei dieser Aufgabe den CVP-Anrufserver zum Sichern der SIP-Protokollnachrichten (SIP TLS).

    Schritte:

    1. Melden Sie sich beim  UCCE Web Administration.
    2. Navigieren Sie zu  Call Settings > Route Settings > SIP Server Group.

    SIP Server Group Configuration on CCE Admin Portal

    Basierend auf Ihren Konfigurationen haben Sie SIP-Servergruppen für CUCM, CVVB und CUBE konfiguriert. Sie müssen für alle SIP-Ports 5061 als sichere Ports festlegen. In diesem Beispiel werden die folgenden SIP-Servergruppen verwendet:

    • cucm1.dcloud.cisco.com für CUCM
    • vvb1.dcloud.cisco.com für CVVB
    • cube1.dcloud.cisco.com  für CUBE
    1. Klicken Sie auf   cucm1.dcloud.cisco.comund dann im  Members  um die Details der SIP-Servergruppenkonfigurationen anzuzeigen. Festlegen SecurePort zu  5061 und klicke auf Save.

    Setting secure SIP Port for CUCM Server Group

    1. Klicken Sie auf  vvb1.dcloud.cisco.com und dann im  Members  Registerkarte, legen Sie  SecurePort zu 5061  und klicke auf  Save.

    Setting secure SIP Port for VVB Server Group

    Schritt 3: Sichere CVVB-Konfiguration

    Konfigurieren Sie bei dieser Aufgabe CVB zum Sichern der SIP-Protokollnachrichten (SIP TLS) und SRTP.

    Schritte:

    1. Öffnen Sie Cisco VVB Admin  Seite.
    2. Navigieren Sie zu  System > System Parameters.

    VVB System Parameters

    1. Auf dem  Security Parameters Abschnitt auswählen Enable für  TLS (SIP) . Behalten Sie Supported TLS(SIP) version as TLSv1.2  und wählen  Enable  für  SRTP.

    VVB Security Parameters

    1. Klicken Sie auf   Update. Klicken Sie auf   Ok wenn Sie aufgefordert werden, das CVVB-Modul neu zu starten.

    Update Security Parameters

    1. Diese Änderungen erfordern einen Neustart der Cisco VB-Engine. Um das VVB-Modul neu zu starten, navigieren Sie zum  Cisco VVB Serviceability , und klicken Sie dann auf  Go.

    Cisco VVB Serviceability

    1. Navigieren Sie zu  Tools > Control Center – Network Services.

    Control Center - Network Services

    1. Auswählen  Engine und klicke auf  Restart.

    Restarting CVVB Engine Services

    Schritt 4: Sichere CUCM-Konfiguration

    Um SIP-Nachrichten und RTP auf dem CUCM zu sichern, führen Sie die folgenden Konfigurationen durch:

    • CUCM-Sicherheitsmodus auf "Gemischt" setzen
    • Konfigurieren von SIP-Trunk-Sicherheitsprofilen für CUBE und CVP
    • Zuordnen von SIP-Trunk-Sicherheitsprofilen zu den entsprechenden SIP-Trunks und Aktivieren von SRTP
    • Sichere Gerätekommunikation der Agenten mit CUCM

    CUCM-Sicherheitsmodus auf "Gemischt" setzen

    CUCM unterstützt zwei Sicherheitsmodi:

    • Nicht sicherer Modus (Standardmodus)
    • Gemischter Modus (sicherer Modus)

    Schritte:

    1. Melden Sie sich bei der CUCM-Verwaltungsschnittstelle an.

    CUCM Administration Interface

    1. Wenn Sie sich beim CUCM anmelden, können Sie zu  System > Enterprise Parameters.

    CUCM Enterprise Parameters

    1. Im  Security Parameters Abschnitt überprüfen, ob die Cluster Security Mode ist auf  0.

    CUCM Security Parameters

    1. Wenn der Clustersicherheitsmodus auf 0 festgelegt ist, bedeutet dies, dass der Clustersicherheitsmodus auf "nicht sicher" festgelegt ist. Sie müssen den gemischten Modus über die CLI aktivieren.
    2. Öffnen Sie eine SSH-Sitzung mit dem CUCM.
    3. Nach erfolgreicher Anmeldung bei CUCM über SSH führen Sie den folgenden Befehl aus:

    utils ctl set-cluster mixed-mode

    1. Typ y und klicke auf Enter auf Aufforderung hin. Mit diesem Befehl wird der Cluster-Sicherheitsmodus auf den gemischten Modus festgelegt.

    CUCM SSH Console

    1. Damit die Änderungen wirksam werden, starten Sie das Cisco CallManager und  Cisco CTIManager services.
    2. Um die Dienste neu zu starten, navigieren Sie zu , und melden Sie sich an unter  Cisco Unified Serviceability.

    Cisco Unified Serviceability

    1. Navigieren Sie nach der erfolgreichen Anmeldung zu  Tools > Control Center – Feature Services.

    Control Center - Feature Services

    1. Wählen Sie den Server aus, und klicken Sie dann auf  Go.

    Select Server

    1. Wählen Sie unterhalb der CM-Services die Cisco CallManager , und klicken Sie dann auf  Restart  -Taste oben auf der Seite.

    Restarting Cisco CallManager Service

    1. Bestätigen Sie die Popup-Meldung, und klicken Sie auf  OK. Warten Sie, bis der Dienst erfolgreich neu gestartet wurde.

    Info Message

    1. Nach dem erfolgreichen Neustart von  Cisco CallManager, wählen Sie  Cisco CTIManager dann klicken  Restart Taste zum Neustarten  Cisco CTIManager Services.

    Restarting Cisco CTI Manager Service

    1. Bestätigen Sie die Popup-Meldung, und klicken Sie auf  OK. Warten Sie, bis der Dienst erfolgreich neu gestartet wurde.

    Info Message

    1. Wenn die Dienste erfolgreich neu gestartet wurden, müssen Sie, um zu überprüfen, ob der Cluster-Sicherheitsmodus auf den gemischten Modus gesetzt ist, zur CUCM-Verwaltung navigieren, wie in Schritt 5 beschrieben, und dann die  Cluster Security Mode. Jetzt muss sie auf  1.

    Cluster Security Mode is to the Value of '1'

    Konfigurieren von SIP-Trunk-Sicherheitsprofilen für CUBE und CVP

    Schritte:

    1. Melden Sie sich bei der CUCM-Verwaltungsschnittstelle an.
    2. Navigieren Sie nach der erfolgreichen Anmeldung bei CUCM zu  System > Security > SIP Trunk Security Profile um ein Gerätesicherheitsprofil für CUBE zu erstellen.

    CUCM SIP Trunk Security Profile

    1. Klicken Sie oben links auf Add New (Neu hinzufügen), um ein neues Profil hinzuzufügen.

    Add a New CUCM SIP Trunk Security Profile

    1. Konfigurieren  SIP Trunk Security Profile  um dieses Bild anzuzeigen, und klicken Sie dann auf  Save  unten links auf der Seite.

    Add CUCM SIP Trunk Security Profile for CUBE

    5. Stellen Sie sicher, dass die  Secure Certificate Subject or Subject Alternate Name  auf den Common Name (CN) des CUBE-Zertifikats, da dieser übereinstimmen muss.

    6. Klicken Sie  Copy  und ändern Sie die  Name zu  SecureSipTLSforCVP. Ändern  Secure Certificate Subject  auf die CN des CVP-Anrufserverzertifikats, da es übereinstimmen muss. Klicken Sie auf   Save  -Taste.

    Add CUCM SIP Trunk Security Profile for CVP

    Zuordnen von SIP-Trunk-Sicherheitsprofilen zu den entsprechenden SIP-Trunks und Aktivieren von SRTP

    Schritte:

    1. Navigieren Sie auf der Seite "CUCM Administration" zu  Device > Trunk.

    CUCM Trunk Configuration for CUBE

    1. Suchen Sie nach CUBE-Trunk. In diesem Beispiel lautet der CUBE-Trunk-Name  vCube , und klicken Sie dann auf  Find.

    Find SIP Trunks on CUCM for CUBE

    1. Klicken Sie auf   vCUBE um die Konfigurationsseite für vCUBE-Trunks zu öffnen.
    2. In  Device Information Abschnitt überprüfen, SRTP Allowed Kontrollkästchen, um SRTP zu aktivieren.

    Enable SRTP on SIP Trunk Configuration for CUBE

    1. Blättern Sie nach unten zum SIP Information und ändern Sie den  Destination Port zu  5061.
    2. Ändern  SIP Trunk Security Profile zu  SecureSIPTLSForCube.

    Assign a Security Profile on SIP Trunk Configuration for CUBE

    1. Klicken Sie auf   Save dann  Rest zu save und Änderungen anwenden.

    Save Configuration

    Info Message

    1. Navigieren Sie zu  Device > Trunk, suchen Sie in diesem Beispiel nach CVP-Trunk-Name:  cvp-SIP-Trunk. Klicken Sie auf   Find.

    Find SIP Trunks on CUCM for CVP

    1. Klicken Sie auf   CVP-SIP-Trunk , um die Konfigurationsseite des CVP-Trunks zu öffnen.
    2. In  Device Information Abschnitt, überprüfen  SRTP Allowed Kontrollkästchen, um SRTP zu aktivieren.

    Enable SRTP on SIP Trunk Configuration for CVP

    1. Blättern Sie nach unten zum  SIP Information Abschnitt ändern,  Destination Port zu  5061.
    2. Ändern  SIP Trunk Security Profile zu  SecureSIPTLSForCvp.

    Assign a Security Profile on SIP Trunk Configuration for CVP

    1. Klicken Sie auf   Save  dann  Rest zu save und Änderungen anwenden.

    Save Configuration Info Message

    Sichere Gerätekommunikation der Agenten mit CUCM

    Um Sicherheitsfunktionen für ein Gerät zu aktivieren, müssen Sie ein LSC (Locally Significant Certificate) installieren und das Sicherheitsprofil diesem Gerät zuweisen. Das LSC verfügt über den öffentlichen Schlüssel für den Endpunkt, der vom privaten CUCM-CAPF-Schlüssel signiert wird. Es ist nicht standardmäßig auf Telefonen installiert.


    Schritte:

    1. Melden Sie sich an  Cisco Unified Serviceability Schnittstelle.
    2. Navigieren Sie zu  Tools > Service Activation.

    CUCM Service Activation

    1. Wählen Sie den CUCM-Server aus, und klicken Sie auf  Go.

    Select Server

    1. Überprüfen  Cisco Certificate Authority Proxy Function und klicke auf  Save  um den Service zu aktivieren. Klicken Sie auf   Ok zur Bestätigung.

    Activate Cisco Certificate Authority Proxy Function Service

    1. Stellen Sie sicher, dass der Service aktiviert ist, und navigieren Sie dann zur CUCM-Verwaltung.

    CUCM Administration

    1. Navigieren Sie nach der erfolgreichen Anmeldung bei der CUCM-Verwaltung zu  System > Security > Phone Security Profile um ein Gerätesicherheitsprofil für das Agentengerät zu erstellen.

    Phone Security Profile

    1. Suchen Sie das Sicherheitsprofil für den Gerätetyp Ihres Agenten. In diesem Beispiel wird ein Softphone verwendet. Wählen Sie deshalb  Cisco Unified Client Services Framework - Standard SIP Non-Secure ProfileKlicken Sie auf das KopiersymbolCopy Icon um dieses Profil zu kopieren.

    Copy Existing Phone Security Profile

    1. Profil umbenennen in  Cisco Unified Client Services Framework - Secure Profile.  CÄndern Sie die Parameter wie in diesem Bild und klicken Sie dann auf  Save  oben links auf der Seite.

    Add a New Phone Security Profile

    1. Navigieren Sie nach der erfolgreichen Erstellung des Telefongeräteprofils zu  Device > Phone.

    Phone Configuration

    1. Klicken Sie auf   Find um alle verfügbaren Telefone aufzulisten, und klicken Sie dann auf Agententelefon.
    2. Die Konfigurationsseite für Agententelefone wird geöffnet. Suchen  Certification Authority Proxy Function (CAPF) Information Abschnitt. Um LSC zu installieren, stellen Sie  Certificate Operation zu  Install/Upgrade und  Operation Completes by auf einen beliebigen Zeitpunkt in der Zukunft ändern.

    Setting CAPF Parameters

    1. Suchen  Protocol Specific Information Abschnitt und ändern Sie  Device Security Profile zu  Cisco Unified Client Services Framework – Secure Profile.

    Assigning Device Security Profile to IP Phone

    1. Klicken Sie auf   Save oben links auf der Seite. Stellen Sie sicher, dass die Änderungen erfolgreich gespeichert wurden, und klicken Sie auf  Reset.

    Save Configuration

    1. Ein Popup-Fenster wird geöffnet, und klicken Sie auf  Reset  um die Aktion zu bestätigen.

    Phone Reset

    1. Nachdem sich das Agent-Gerät erneut beim CUCM registriert hat, aktualisieren Sie die aktuelle Seite, und überprüfen Sie, ob das LSC erfolgreich installiert wurde. Überprüfen  Certification Authority Proxy Function (CAPF) Information Abschnitt,  Certificate Operation muss auf eingestellt sein  No Pending Operation und  Certificate Operation Status ist auf  Upgrade Success.

    CAPF Information is Updated

    1. Gehen Sie zu den gleichen Schritten wie in Schritt . 7 - 13 zum Sichern der Geräte anderer Agenten, die Sie mit CUCM sicheres SIP und RTP verwenden möchten.

    Überprüfung

    Führen Sie folgende Schritte durch, um zu überprüfen, ob das RTP ordnungsgemäß gesichert ist:

    1. Führen Sie einen Testanruf beim Contact Center aus, und hören Sie sich die IVR-Aufforderung an.
    2. Öffnen Sie gleichzeitig die SSH-Sitzung zu vCUBE, und führen Sie den folgenden Befehl aus:
      show call active voice brief

    show call active voice brief Command Output on CUBE SSH Console

    Tipp: Überprüfen Sie, ob das SRTP on zwischen CUBE und VVB (198.18.133.143) Wenn dies der Fall ist, wird bestätigt, dass der RTP-Verkehr zwischen CUBE und VVB sicher ist.

    1. Stellen Sie einen Mitarbeiter zur Verfügung, um den Anruf entgegenzunehmen.
      .Make Agent Ready on Finesse Agent Desktop
    2. Der Agent wird reserviert, und der Anruf wird an den Agent weitergeleitet. Nehmen Sie den Anruf an.
    3. Der Anruf wird mit dem Mitarbeiter verbunden. Kehren Sie zur vCUBE SSH-Sitzung zurück, und führen Sie den folgenden Befehl aus:
      show call active voice brief

    show call active voice brief Command Output on CUBE SSH Console

    Tipp: Überprüfen Sie, ob das SRTP on zwischen CUBE und den Telefonen der Agenten (198.18.133.75). Wenn ja, wird bestätigt, dass der RTP-Verkehr zwischen CUBE und Agent sicher ist.

    1. Sobald der Anruf verbunden ist, wird auf dem Agentengerät eine Sicherheitssperre angezeigt.. Dies bestätigt auch, dass der RTP-Verkehr sicher ist.

    Secure Lock Appears, Confirm SRTP is Established

    Weitere Informationen zum Überprüfen der ordnungsgemäßen Sicherung der SIP-Signale finden Sie im Artikel Configure Secure SIP Signaling.

    Revisionsverlauf

    Überarbeitung Veröffentlichungsdatum Kommentare
    1.0
    21-Dec-2022
    Erstveröffentlichung
    TAC Authored

    Beiträge von Cisco Ingenieuren

    • Mohamed Mohasseb
      Technical Consulting Engineer

    War dieses Dokument hilfreich?

    FeedbackFeedback

    Cisco kontaktieren

    Dieses Dokument gilt für folgende Produkte.