概要
このドキュメントでは、Contact Center Enterprise(CCE)の包括的なコールフローでReal-time Transport Protocol(SRTP)トラフィックを保護する方法について説明します。
前提条件
証明書の生成とインポートについては、このドキュメントでは扱いません。そのため、Cisco Unified Communication Manager(CUCM)、Customer Voice Portal(CVP)Call Server、Cisco Virtual Voice Browser(CVVB)、およびCisco Unified Border Element(CUBE)の証明書を作成し、各コンポーネントにインポートする必要があります。自己署名証明書を使用する場合は、異なるコンポーネント間で証明書を交換する必要があります。
要件
次の項目に関する知識があることが推奨されます。
使用するコンポーネント
このドキュメントの情報は、Package Contact Center Enterprise(PCCE)、CVP、CVVB、およびCUCMバージョン12.6に基づいていますが、以前のバージョンにも適用できます。
このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されました。このドキュメントで使用するすべてのデバイスは、初期(デフォルト)設定の状態から起動しています。本稼働中のネットワークでは、各コマンドによって起こる可能性がある影響を十分確認してください。
設定
注:コンタクトセンターの包括的なコールフローでは、セキュアRTPを有効にするには、セキュアSIP信号を有効にする必要があります。したがって、このドキュメントの設定では、セキュアSIPとSRTPの両方が有効になっています。
次の図は、コンタクトセンターの包括的なコールフローでSIP信号とRTPに関与するコンポーネントを示しています。システムに音声コールが着信すると、最初に入力ゲートウェイまたはCUBE経由で着信するため、CUBEで設定を開始します。次に、CVP、CVVB、およびCUCMを設定します。
![Inbound SIP and RTP Call Flow](/c/dam/en/us/support/docs/contact-center/unified-contact-center-enterprise/220123-configure-secure-rtp-in-contact-center-e-00.png)
タスク1:CUBEのセキュアな設定
この作業では、SIPプロトコルメッセージとRTPを保護するようにCUBEを設定します。
必要な設定:
- SIP UA のデフォルトのトラストポイントを設定します。
- TLSおよびSRTPを使用するためのダイヤルピアの変更
手順:
- CUBEへのSSHセッションを開きます。
- SIPスタックでCUBEのCA証明書を使用するには、次のコマンドを実行します。CUBEは、CUCM(198.18.133.3)およびCVP(198.18.133.13)との間でSIP TLS接続を確立します。
Conf t Sip-ua Transport tcp tls v1.2 crypto signaling remote-addr 198.18.133.3 255.255.255.255 trustpoint ms-ca-name crypto signaling remote-addr 198.18.133.13 255.255.255.255 trustpoint ms-ca-name exit
![CUBE SSH Console](/c/dam/en/us/support/docs/contact-center/unified-contact-center-enterprise/220123-configure-secure-rtp-in-contact-center-e-01.png)
- CVPへの発信ダイヤルピアでTLSを有効にするには、次のコマンドを実行します。この例では、ダイヤルピアタグ6000を使用してコールをCVPにルーティングします。
Conf t dial-peer voice 6000 voip session target ipv4:198.18.133.13:5061 session transport tcp tls srtp exit
![CUBE SSH Console](/c/dam/en/us/support/docs/contact-center/unified-contact-center-enterprise/220123-configure-secure-rtp-in-contact-center-e-02.png)
タスク2:CVPセキュア設定
この作業では、SIPプロトコルメッセージ(SIP TLS)を保護するようにCVPコールサーバを設定します。
手順:
- Cisco Unified Communications Managerにログインし、
UCCE Web Administration
.
- 移動先
Call Settings > Route Settings > SIP Server Group
.
![SIP Server Group Configuration on CCE Admin Portal](/c/dam/en/us/support/docs/contact-center/unified-contact-center-enterprise/220123-configure-secure-rtp-in-contact-center-e-03.png)
設定に基づいて、CUCM、CVVB、およびCUBEに対してSIPサーバグループが設定されています。これらすべてに対して、セキュアSIPポートを5061に設定する必要があります。 この例では、次のSIPサーバグループが使用されます。
cucm1.dcloud.cisco.com
CUCMの場合
vvb1.dcloud.cisco.com
CVVBの場合
cube1.dcloud.cisco.com
CUBE用
- クリック
cucm1.dcloud.cisco.com
その後、 Members
SIPサーバグループ設定の詳細を表示するタブ。Set SecurePort
から 5061
をクリックし、
Save
.
![Setting secure SIP Port for CUCM Server Group](/c/dam/en/us/support/docs/contact-center/unified-contact-center-enterprise/220123-configure-secure-rtp-in-contact-center-e-04.png)
- クリック
vvb1.dcloud.cisco.com
その後、 Members
タブをクリックし、 SecurePort
から 5061
をクリックし、 Save
.
![Setting secure SIP Port for VVB Server Group](/c/dam/en/us/support/docs/contact-center/unified-contact-center-enterprise/220123-configure-secure-rtp-in-contact-center-e-05.png)
タスク3:CVVBセキュア設定
この作業では、SIPプロトコルメッセージ(SIP TLS)とSRTPを保護するようにCVVBを設定します。
手順:
- を開きます。
Cisco VVB Admin
ページを使用します。
- 移動先
System > System Parameters
.
![VVB System Parameters](/c/dam/en/us/support/docs/contact-center/unified-contact-center-enterprise/220123-configure-secure-rtp-in-contact-center-e-06.png)
- Cisco Unified Communications Manager
Security Parameters
セクション、選択 Enable
を参照 TLS (SIP)
.IPv6アドレスを Supported TLS(SIP) version as TLSv1.2
を選択し、 Enable
を参照 SRTP
.
![VVB Security Parameters](/c/dam/en/us/support/docs/contact-center/unified-contact-center-enterprise/220123-configure-secure-rtp-in-contact-center-e-07.png)
- クリック
Update
.クリック Ok
cvvbエンジンの再起動を求めるプロンプトが表示されます。
![Update Security Parameters](/c/dam/en/us/support/docs/contact-center/unified-contact-center-enterprise/220123-configure-secure-rtp-in-contact-center-e-08.png)
- これらの変更を行うには、Cisco VVBエンジンを再起動する必要があります。VVBエンジンを再起動するには、
Cisco VVB Serviceability
をクリックし、 Go
.
![Cisco VVB Serviceability](/c/dam/en/us/support/docs/contact-center/unified-contact-center-enterprise/220123-configure-secure-rtp-in-contact-center-e-09.png)
- 移動先
Tools > Control Center – Network Services
.
![Control Center - Network Services](/c/dam/en/us/support/docs/contact-center/unified-contact-center-enterprise/220123-configure-secure-rtp-in-contact-center-e-10.png)
- 選択
Engine
をクリックし、 Restart
.
![Restarting CVVB Engine Services](/c/dam/en/us/support/docs/contact-center/unified-contact-center-enterprise/220123-configure-secure-rtp-in-contact-center-e-11.png)
タスク4:CUCMセキュア設定
CUCMでSIPメッセージとRTPを保護するには、次の設定を実行します。
- CUCMセキュリティモードを混合モードに設定する
- CUBEおよびCVPのSIPトランクセキュリティプロファイルの設定
- SIPトランクセキュリティプロファイルをそれぞれのSIPトランクに関連付け、SRTPを有効にする
- CUCMとのセキュアエージェントのデバイス通信
CUCMセキュリティモードを混合モードに設定する
CUCMは、次の2つのセキュリティモードをサポートしています。
- 非セキュアモード(デフォルトモード)
- 混合モード(セキュアモード)
手順:
- CUCM管理インターフェイスにログインします。
![CUCM Administration Interface](/c/dam/en/us/support/docs/contact-center/unified-contact-center-enterprise/220123-configure-secure-rtp-in-contact-center-e-12.png)
- CUCMにログインすると、
System > Enterprise Parameters
.
![CUCM Enterprise Parameters](/c/dam/en/us/support/docs/contact-center/unified-contact-center-enterprise/220123-configure-secure-rtp-in-contact-center-e-13.png)
- 下に
Security Parameters
セクションを参照して、 Cluster Security Mode
に設定されている 0
.
![CUCM Security Parameters](/c/dam/en/us/support/docs/contact-center/unified-contact-center-enterprise/220123-configure-secure-rtp-in-contact-center-e-14.png)
- [クラスタセキュリティモード(Cluster Security Mode)]が0に設定されている場合は、クラスタセキュリティモードが非セキュアに設定されていることを意味します。CLIから混合モードを有効にする必要があります。
- CUCMへのSSHセッションを開きます。
- SSH経由でCUCMに正常にログインしたら、次のコマンドを実行します。
utils ctl set-cluster mixed-mode
- Type
y
をクリックし、 Enter
プロンプトが表示されます。このコマンドは、クラスタセキュリティモードを混合モードに設定します。
![CUCM SSH Console](/c/dam/en/us/support/docs/contact-center/unified-contact-center-enterprise/220123-configure-secure-rtp-in-contact-center-e-15.png)
- 変更を有効にするには、
Cisco CallManager
および Cisco CTIManager
サービス.
- サービスを再起動するには、に移動してログインします
Cisco Unified Serviceability
.
![Cisco Unified Serviceability](/c/dam/en/us/support/docs/contact-center/unified-contact-center-enterprise/220123-configure-secure-rtp-in-contact-center-e-16.png)
- ログインに成功したら、に移動します。
Tools > Control Center – Feature Services
.
![Control Center - Feature Services](/c/dam/en/us/support/docs/contact-center/unified-contact-center-enterprise/220123-configure-secure-rtp-in-contact-center-e-17.png)
- サーバを選択し、
Go
.
![Select Server](/c/dam/en/us/support/docs/contact-center/unified-contact-center-enterprise/220123-configure-secure-rtp-in-contact-center-e-18.png)
- CMサービスの下で、
Cisco CallManager
をクリックし、 Restart
ボタンをクリックします。
![Restarting Cisco CallManager Service](/c/dam/en/us/support/docs/contact-center/unified-contact-center-enterprise/220123-configure-secure-rtp-in-contact-center-e-19.png)
- ポップアップメッセージを確認し、
OK
.サービスが正常に再起動するまで待ちます。
![Info Message](/c/dam/en/us/support/docs/contact-center/unified-contact-center-enterprise/220123-configure-secure-rtp-in-contact-center-e-20.png)
- の再起動が成功した後
Cisco CallManager
を選択し、 Cisco CTIManager
次に、 Restart
再起動するボタン Cisco CTIManager
service .
![Restarting Cisco CTI Manager Service](/c/dam/en/us/support/docs/contact-center/unified-contact-center-enterprise/220123-configure-secure-rtp-in-contact-center-e-21.png)
- ポップアップメッセージを確認し、
OK
.サービスが正常に再起動するまで待ちます。
![Info Message](/c/dam/en/us/support/docs/contact-center/unified-contact-center-enterprise/220123-configure-secure-rtp-in-contact-center-e-22.png)
- サービスが正常に再起動した後、クラスタセキュリティモードが混合モードに設定されていることを確認するには、ステップ5で説明されているようにCUCM管理に移動し、
Cluster Security Mode
.次に設定する必要があります。 1
.
![Cluster Security Mode is to the Value of '1'](/c/dam/en/us/support/docs/contact-center/unified-contact-center-enterprise/220123-configure-secure-rtp-in-contact-center-e-23.png)
CUBEおよびCVPのSIPトランクセキュリティプロファイルの設定
手順:
- CUCM管理インターフェイスにログインします。
- CUCMに正常にログインした後、
System > Security > SIP Trunk Security Profile
CUBEのデバイスセキュリティプロファイルを作成します。
![CUCM SIP Trunk Security Profile](/c/dam/en/us/support/docs/contact-center/unified-contact-center-enterprise/220123-configure-secure-rtp-in-contact-center-e-24.png)
- 左上の[Add New] をクリックして、新しいプロファイルを追加します。
![Add a New CUCM SIP Trunk Security Profile](/c/dam/en/us/support/docs/contact-center/unified-contact-center-enterprise/220123-configure-secure-rtp-in-contact-center-e-25.png)
- 設定
SIP Trunk Security Profile
次の図のように入力し、 Save
ページの左下。
![Add CUCM SIP Trunk Security Profile for CUBE](/c/dam/en/us/support/docs/contact-center/unified-contact-center-enterprise/220123-configure-secure-rtp-in-contact-center-e-26.png)
5. VLANの設定を Secure Certificate Subject or Subject Alternate Name
CUBE証明書の共通名(CN)に一致する必要があります。
6.クリック Copy
ボタンをクリックし、 Name
から SecureSipTLSforCVP
.Change Secure Certificate Subject
一致する必要があるCVPコールサーバ証明書のCNに送信します。クリック Save
をクリックして、クエリーを実行します。
![Add CUCM SIP Trunk Security Profile for CVP](/c/dam/en/us/support/docs/contact-center/unified-contact-center-enterprise/220123-configure-secure-rtp-in-contact-center-e-27.png)
SIPトランクセキュリティプロファイルをそれぞれのSIPトランクに関連付け、SRTPを有効にする
手順:
- [CUCM Administration]ページで、
Device > Trunk
.
![CUCM Trunk Configuration for CUBE](/c/dam/en/us/support/docs/contact-center/unified-contact-center-enterprise/220123-configure-secure-rtp-in-contact-center-e-28.png)
- CUBEトランクを検索します。この例では、CUBEトランク名は
vCube
をクリックし、 Find
.
![Find SIP Trunks on CUCM for CUBE](/c/dam/en/us/support/docs/contact-center/unified-contact-center-enterprise/220123-configure-secure-rtp-in-contact-center-e-29.png)
- クリック
vCUBE
をクリックして、vCUBEトランク設定ページを開きます。
- イン
Device Information
セクションを確認してください。 SRTP Allowed
SRTPを有効にします。
![Enable SRTP on SIP Trunk Configuration for CUBE](/c/dam/en/us/support/docs/contact-center/unified-contact-center-enterprise/220123-configure-secure-rtp-in-contact-center-e-30.png)
- 下にスクロールして、
SIP Information
セクションに移動し、 Destination Port
から 5061
.
- Change
SIP Trunk Security Profile
から SecureSIPTLSForCube
.
![Assign a Security Profile on SIP Trunk Configuration for CUBE](/c/dam/en/us/support/docs/contact-center/unified-contact-center-enterprise/220123-configure-secure-rtp-in-contact-center-e-31.png)
- クリック
Save
then Rest
から save
変更を適用します
![Save Configuration](/c/dam/en/us/support/docs/contact-center/unified-contact-center-enterprise/220123-configure-secure-rtp-in-contact-center-e-32.png)
![Info Message](/c/dam/en/us/support/docs/contact-center/unified-contact-center-enterprise/220123-configure-secure-rtp-in-contact-center-e-33.png)
- 移動先
Device > Trunk
CVPトランクを検索します。この例では、CVPトランク名は cvp-SIP-Trunk
.クリック Find
.
![Find SIP Trunks on CUCM for CVP](/c/dam/en/us/support/docs/contact-center/unified-contact-center-enterprise/220123-configure-secure-rtp-in-contact-center-e-34.png)
- クリック
CVP-SIP-Trunk
CVPトランク設定ページを開きます。
- イン
Device Information
セクション、チェック SRTP Allowed
SRTPを有効にします。
![Enable SRTP on SIP Trunk Configuration for CVP](/c/dam/en/us/support/docs/contact-center/unified-contact-center-enterprise/220123-configure-secure-rtp-in-contact-center-e-35.png)
- 下にスクロールして、
SIP Information
セクションを変更し、 Destination Port
から 5061
.
- Change
SIP Trunk Security Profile
から SecureSIPTLSForCvp
.
![Assign a Security Profile on SIP Trunk Configuration for CVP](/c/dam/en/us/support/docs/contact-center/unified-contact-center-enterprise/220123-configure-secure-rtp-in-contact-center-e-36.png)
- クリック
Save
then Rest
から save
変更を適用します
![Save Configuration Info Message](/c/dam/en/us/support/docs/contact-center/unified-contact-center-enterprise/220123-configure-secure-rtp-in-contact-center-e-37.png)
CUCMとのセキュアエージェントのデバイス通信
デバイスのセキュリティ機能を有効にするには、ローカルで有効な証明書(LSC)をインストールし、セキュリティプロファイルをそのデバイスに割り当てる必要があります。LSCは、CUCM CAPF秘密キーで署名されたエンドポイントの公開キーを保持します。デフォルトでは、電話機にはインストールされません。
手順:
- ログイン先
Cisco Unified Serviceability
サポートされていません。
- 移動先
Tools > Service Activation
.
![CUCM Service Activation](/c/dam/en/us/support/docs/contact-center/unified-contact-center-enterprise/220123-configure-secure-rtp-in-contact-center-e-38.png)
- CUCMサーバを選択し、
Go
.
![Select Server](/c/dam/en/us/support/docs/contact-center/unified-contact-center-enterprise/220123-configure-secure-rtp-in-contact-center-e-39.png)
- オン
Cisco Certificate Authority Proxy Function
をクリックし、 Save
サービスをアクティブ化します。クリック Ok
をクリックします。
![Activate Cisco Certificate Authority Proxy Function Service](/c/dam/en/us/support/docs/contact-center/unified-contact-center-enterprise/220123-configure-secure-rtp-in-contact-center-e-40.png)
- サービスがアクティブになっていることを確認し、CUCM administrationに移動します。
![CUCM Administration](/c/dam/en/us/support/docs/contact-center/unified-contact-center-enterprise/220123-configure-secure-rtp-in-contact-center-e-41.png)
- CUCM管理へのログインに成功したら、に移動します。
System > Security > Phone Security Profile
エージェントデバイスのデバイスセキュリティプロファイルを作成します。
![Phone Security Profile](/c/dam/en/us/support/docs/contact-center/unified-contact-center-enterprise/220123-configure-secure-rtp-in-contact-center-e-42.png)
- 使用しているエージェントデバイスタイプに対応するセキュリティプロファイルを見つけます。この例では、ソフトフォンが使用されているため、
Cisco Unified Client Services Framework - Standard SIP Non-Secure Profile
. コピーアイコンをクリックします
このプロファイルをコピーします。
![Copy Existing Phone Security Profile](/c/dam/en/us/support/docs/contact-center/unified-contact-center-enterprise/220123-configure-secure-rtp-in-contact-center-e-44.png)
- プロファイルの名前をに変更
Cisco Unified Client Services Framework - Secure Profile
. C次の図のようにパラメータを変更し、 Save
ページの左上に表示されます。
![Add a New Phone Security Profile](/c/dam/en/us/support/docs/contact-center/unified-contact-center-enterprise/220123-configure-secure-rtp-in-contact-center-e-45.png)
- 電話デバイスプロファイルの作成が正常に完了したら、に移動します。
Device > Phone
.
![Phone Configuration](/c/dam/en/us/support/docs/contact-center/unified-contact-center-enterprise/220123-configure-secure-rtp-in-contact-center-e-46.png)
- クリック
Find
使用可能なすべての電話機を一覧表示するには、[エージェントの電話機(agent phone)]をクリックします。
- [エージェントの電話機設定(Agent phone configuration)]ページが開きます。検索
Certification Authority Proxy Function (CAPF) Information
。LSCをインストールするには、 Certificate Operation
から Install/Upgrade
と Operation Completes by
将来の任意の日付に変更します。
![Setting CAPF Parameters](/c/dam/en/us/support/docs/contact-center/unified-contact-center-enterprise/220123-configure-secure-rtp-in-contact-center-e-47.png)
- 検索
Protocol Specific Information
セクションに移動し、 Device Security Profile
から Cisco Unified Client Services Framework – Secure Profile
.
![Assigning Device Security Profile to IP Phone](/c/dam/en/us/support/docs/contact-center/unified-contact-center-enterprise/220123-configure-secure-rtp-in-contact-center-e-48.png)
- クリック
Save
ページの左上に表示されます。変更が正常に保存されたことを確認し、 Reset
.
![Save Configuration](/c/dam/en/us/support/docs/contact-center/unified-contact-center-enterprise/220123-configure-secure-rtp-in-contact-center-e-49.png)
- ポップアップウィンドウが開き、
Reset
をクリックしてアクションを確認します。
![Phone Reset](/c/dam/en/us/support/docs/contact-center/unified-contact-center-enterprise/220123-configure-secure-rtp-in-contact-center-e-50.png)
- エージェントデバイスがCUCMに再登録されたら、現在のページを更新し、LSCが正常にインストールされていることを確認します。オン
Certification Authority Proxy Function (CAPF) Information
section, Certificate Operation
に設定する必要があります。 No Pending Operation
と Certificate Operation Status
に設定されている Upgrade Success
.
![CAPF Information is Updated](/c/dam/en/us/support/docs/contact-center/unified-contact-center-enterprise/220123-configure-secure-rtp-in-contact-center-e-51.png)
- 手順と同じ手順を参照してください。7 ~ 13:CUCMでセキュアSIPおよびRTPを使用する他のエージェントのデバイスを保護します。
確認
RTPが適切に保護されていることを確認するには、次の手順を実行します。
- コンタクトセンターにテストコールを発信し、IVRプロンプトを聞きます。
- 同時に、vCUBEへのSSHセッションを開き、次のコマンドを実行します。
show call active voice brief
![show call active voice brief Command Output on CUBE SSH Console](/c/dam/en/us/support/docs/contact-center/unified-contact-center-enterprise/220123-configure-secure-rtp-in-contact-center-e-52.png)
ヒント:SRTPが on
CUBEとVVB間(198.18.133.143)。この場合、CUBEとVVBの間のRTPトラフィックが安全であることを確認します。
- エージェントがコールに応答できるようにします。
.
- エージェントが予約され、コールがエージェントにルーティングされます。通話に応答します。
- コールがエージェントに接続されます。vCUBE SSHセッションに戻り、次のコマンドを実行します。
show call active voice brief
![show call active voice brief Command Output on CUBE SSH Console](/c/dam/en/us/support/docs/contact-center/unified-contact-center-enterprise/220123-configure-secure-rtp-in-contact-center-e-54.png)
ヒント:SRTPが on
CUBEとエージェントの電話(198.18.133.75)の間で行われます。「はい」の場合、CUBEとエージェント間のRTPトラフィックが安全であることを確認します。
- また、コールが接続されると、エージェントデバイスにセキュリティロックが表示されます.これにより、RTPトラフィックが安全であることも確認できます。
![Secure Lock Appears, Confirm SRTP is Established](/c/dam/en/us/support/docs/contact-center/unified-contact-center-enterprise/220123-configure-secure-rtp-in-contact-center-e-55.png)
SIP信号が適切に保護されていることを検証するには、「セキュアSIPシグナリングの設定」の記事を参照してください。