CUCM, IP Phone 및 CUBE 간 SIP TLS 및 SRTP용 엔터프라이즈 CA(서드파티 CA) 서명 인증서 구성 및 문제 해결
소개
이 문서에서는 Cisco CUCM(Unified Communications Manager), IP 전화 및 Cisco CUBE(Unified Border Element) 간 SIP(Session Initiation Protocol) TLS(Transport Layer Security) 및 SRTP(Secure Real-time Transport Protocol)의 컨피그레이션 예와 Enterprise CA(Certificate Authority)(서드파티 CA) 서명 인증서를 사용하는 공통 엔터프라이즈 CA(Network) 네트워크 구성 요소에 대해 설명합니다. 에는 IP 전화, CUCM, 게이트웨이 및 CUBE와 같은 Cisco Communications 디바이스가 포함됩니다.
사전 요구 사항
요구 사항
다음 주제에 대한 지식을 보유하고 있으면 유용합니다.
- 엔터프라이즈 CA 서버가 구성됨
- CUCM 클러스터가 혼합 모드로 구성되고 IP Phone이 보안 모드(암호화)에 등록됨
- CUBE 기본 음성 서비스 VoIP 및 다이얼 피어 구성이 완료되었습니다.
사용되는 구성 요소
이 문서의 정보는 다음 소프트웨어 및 하드웨어 버전을 기반으로 합니다.
- Windows 2008 서버 - 인증 기관
- CUCM 10.5
- CUBE - 3925E(Cisco IOS® 15.3(3) M3 포함)
- CIPC
이 문서의 정보는 특정 랩 환경의 디바이스를 토대로 작성되었습니다.이 문서에 사용된 모든 디바이스는 초기화된(기본) 컨피그레이션으로 시작되었습니다.현재 네트워크가 작동 중인 경우, 모든 명령어의 잠재적인 영향을 미리 숙지하시기 바랍니다.
배경 정보
CUBE를 통한 보안 음성 통신은 두 부분으로 나눌 수 있습니다.
- Secure Signaling - CUBE는 H.323을 통한 안전한 신호 처리를 위해 TLS를 사용하여 SIP 및 IPSec(Internet Protocol Security)을 통한 신호 처리를 보호합니다.
- 보안 미디어 - SRTP(Secure Real-Time Transport Protocol)
CAPF(CUCM Certificate Authority Proxy Function)는 전화기에 LSC(Locally Significant Certificate)를 제공합니다.따라서 CAPF가 외부 CA에 의해 서명되면 전화기에 대해 하위 CA로 작동합니다.
CA 서명 CAPF를 가져오는 방법을 알아보려면 다음을 참조하십시오.
구성
네트워크 다이어그램
이 설정에서는 루트 CA 및 하나의 하위 CA가 사용됩니다.모든 CUCM 및 CUBE 인증서는 하위 CA에 의해 서명됩니다.
CUBE 구성
RSA 키 쌍을 생성합니다.
이 단계에서는 프라이빗 및 공개 키를 생성합니다.
이 예에서는 CUBE가 레이블일 뿐이며, 모든 것이 될 수 있습니다.
CUBE-2(config)#crypto key generate rsa general-keys label CUBE modulus 2048
The name for the keys will be: CUBE
% The key modulus size is 2048 bits
% Generating 2048 bit RSA keys, keys will be non-exportable...
[OK] (elapsed time was 12 seconds)
CUBE-2(config)#
2. 하위 CA 및 루트 CA에 대한 신뢰 지점을 생성합니다. 하위 CA 신뢰 지점은 SIP TLS 통신에 사용됩니다.
이 예에서 하위 CA의 신뢰 지점 이름은 SUBCA1이고 루트 CA의 경우 ROOT입니다.
enrollment terminal pem allow manual cut-and-paste certificate enrollment. pem keyword is used to issue certificate requests or receive issued certificates in PEM-formatted files through the console terminal.
이 단계에서 사용되는 주체 이름은 CUCM SIP 트렁크 보안 프로필의 X.509 주체 이름과 일치해야 합니다.도메인 이름과 함께 host-name을 사용하는 것이 좋습니다(도메인 이름이 활성화된 경우).
1단계에서 생성한 RSA 키 쌍을 연결합니다.
crypto pki trustpoint SUBCA1
enrollment terminal pem
serial-number none
ip-address none
subject-name CN=CUBE-2
revocation-check none
rsakeypair CUBE
crypto pki trustpoint ROOT
enrollment terminal
revocation-check none
3. CSR(CUBE Certificate Signing Request)을 생성합니다.
crypto pki enroll 명령은 서명된 인증서를 가져오기 위해 엔터프라이즈 CA에 제공되는 CSR을 생성합니다.
CUBE-2(config)#crypto pki enroll SUBCA1
% Start certificate enrollment ..
% The subject name in the certificate will include: CN=CUBE-2
% The subject name in the certificate will include: CUBE-2
Display Certificate Request to terminal? [yes/no]: yes
Certificate Request follows:
-----BEGIN CERTIFICATE REQUEST-----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-----END CERTIFICATE REQUEST-----
---End - This line not part of the certificate request---
Redisplay enrollment request? [yes/no]: no
CUBE-2(config)#
BEGIN CERTIFICATE REQUEST(인증서 요청 시작)를 END CERTIFICATE REQUEST(인증서 요청 종료)에 복사하고 메모장 파일에 저장합니다.
CUBE CSR에는 다음과 같은 키 특성이 있습니다.
Attributes:
Requested Extensions:
X509v3 Key Usage: critical
Digital Signature, Key Encipherment
4 . 하위 CA에서 CA 인증서 루트 CA, CA 인증서 및 서명된 CUBE 인증서를 가져옵니다.
서명된 CUBE 인증서를 가져오려면 3단계에서 생성된 CSR을 사용합니다. 이미지는 Microsoft CA 웹 서버에서 가져온 것입니다.
5. 루트 CA 및 하위 CA의 CA 인증서를 가져옵니다.
메모장에서 Certificate(인증서)를 열고 BEGIN CERTIFICATE REQUEST(인증서 요청 시작)에서 END CERTIFICATE REQUEST(인증서 요청 종료)로 내용을 복사하여 붙여넣습니다.
CUBE-2(config)#crypto pki authenticate SUBCA1
Enter the base 64 encoded CA certificate.
End with a blank line or the word "quit" on a line by itself
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----
Trustpoint 'SUBCA1' is a subordinate CA and holds a non self signed cert
Certificate has the following attributes:
Fingerprint MD5: C420B7BB 88A2545F E26B0875 37D9EB45
Fingerprint SHA1: 110AF87E 53E6D1C2 19404BA5 0149C5CA 2CF2BE1C
% Do you accept this certificate? [yes/no]: yes
Trustpoint CA certificate accepted.
% Certificate successfully imported
CUBE-2(config)#
CUBE-2(config)#crypto pki authenticate ROOT
Enter the base 64 encoded CA certificate.
End with a blank line or the word "quit" on a line by itself
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----
Certificate has the following attributes:
Fingerprint MD5: 511E1008 6D315E03 4B748601 7EE1A0E5
Fingerprint SHA1: 8C35D9FA 8F7A00AC 0AA2FCA8 AAC22D5F D08790BB
% Do you accept this certificate? [yes/no]: yes
Trustpoint CA certificate accepted.
% Certificate successfully imported
CUBE-2(config)#
6. CUBE 서명 인증서를 가져옵니다.
메모장에서 Certificate(인증서)를 열고 BEGIN CERTIFICATE REQUEST(인증서 요청 시작)에서 END CERTIFICATE REQUEST(인증서 요청 종료)로 내용을 복사하여 붙여넣습니다.
CUBE-2(config)#crypto pki import SUBCA1 certificate
Enter the base 64 encoded certificate.
End with a blank line or the word "quit" on a line by itself
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----
% Router Certificate successfully imported
CUBE-2(config)#
7. TCP TLS를 전송 프로토콜로 구성합니다.
이 작업은 전역 또는 다이얼 피어 수준에서 수행할 수 있습니다.
voice service voip
sip
session transport tcp tls
8. sip-ua에 신뢰 지점을 할당합니다. 이 신뢰 지점은 CUBE와 CUCM 간의 모든 sip 신호 처리에 사용됩니다.
sip-ua
crypto signaling remote-addr <cucm pub ip address> 255.255.255.255 trustpoint SUBCA1
crypto signaling remote-addr <cucm sub ip address> 255.255.255.255 trustpoint SUBCA1
또는 큐브의 모든 sip 신호 처리에 대해 기본 신뢰 지점을 구성할 수 있습니다.
sip-ua
crypto signaling default trustpoint SUBCA1
9. SRTP를 활성화합니다.
이 작업은 전역 또는 다이얼 피어 수준에서 수행할 수 있습니다.
Voice service voip
srtp fallback
10. SRTP 및 RTP(Real-time Transport Protocol) 인터네트워킹의 경우 보안 트랜스코더가 필요합니다.
Cisco IOS® 버전이 15.2.2T(CUBE 9.0) 이상이면 LTI(Local Transcoding Interface) 트랜스코더를 구성하여 컨피그레이션을 최소화할 수 있습니다.
LTI 트랜스코더는 SRTP-RTP 통화에 대한 PKI(Public Key Infrastructure) 신뢰 지점 구성이 필요하지 않습니다.
dspfarm profile 1 transcode universal security
codec g711ulaw
codec g711alaw
codec g729ar8
codec g729abr8
maximum sessions 10
associate application CUBE
Cisco IOS®가 15.2.2T 미만인 경우 SCCP 트랜스코더를 구성합니다.
SCCP 트랜스코더는 신호처리를 위해 신뢰 지점이 필요하지만, 트랜스코더를 호스팅하기 위해 동일한 라우터를 사용하는 경우 CUBE 및 트랜스코더에 동일한 신뢰 지점(SUBCA1)을 사용할 수 있습니다.
sccp local GigabitEthernet0/2
sccp ccm 10.106.95.153 identifier 1 priority 1 version 7.0
sccp
!
sccp ccm group 1
bind interface GigabitEthernet0/0
associate ccm 1 priority 1
associate profile 2 register secxcode
!
dspfarm profile 2 transcode universal security
trustpoint SUBCA1
codec g711ulaw
codec g711alaw
codec g729ar8
codec g729abr8
maximum sessions 10
associate application SCCP
telephony-service
secure-signaling trustpoint SUBCA1
sdspfarm units 1
sdspfarm transcode sessions 10
sdspfarm tag 1 secxcode
max-ephones 1
max-dn 1
ip source-address 10.106.95.153 port 2000
max-conferences 8 gain -6
transfer-system full-consult
CUCM 구성
1. 모든 CUCM 노드에서 CallManager CSR을 생성합니다.
이미지에 표시된 대로 CM OS Administration(CM OS 관리) > Security(보안) > Certificate Management(인증서 관리) > Generate Certificate Signing Request(인증서 서명 요청 생성)로 이동합니다.
CallManager CSR에는 다음과 같은 주요 특성이 있습니다.
Requested Extensions:
X509v3 Extended Key Usage:
TLS Web Server Authentication, TLS Web Client Authentication, IPSec End System
X509v3 Key Usage:
Digital Signature, Key Encipherment, Data Encipherment, Key Agreement
2. 하위 CA에서 서명한 모든 CM 노드에 대한 CallManager 인증서를 가져옵니다.
1단계에서 생성된 CSR을 사용합니다. 모든 웹 서버 인증서 템플릿이 작동하려면, 서명된 인증서에 다음과 같은 키 사용 특성이 있어야 합니다.이미지에 표시된 디지털 서명, 키 암호화, 데이터 암호화
3. 루트 CA 및 하위 CA에서 CallManager-Trust로 CA 인증서를 업로드합니다.
이미지에 표시된 대로 CM OS Administration > Security > Certificate Management > Upload Certificate/Certificate chain으로 이동합니다.
4. 이미지에 표시된 대로 CallManager 서명 인증서를 CallManager로 업로드합니다.
5. Publisher(CLI를 통해)에서 CTL(Certificate Trust List) 파일을 업데이트합니다.
admin:utils ctl update CTLFile
This operation will update the CTLFile. Do you want to continue? (y/n):
Updating CTL file
CTL file Updated
Please Restart the TFTP and Cisco CallManager services on all nodes in the cluster that run these services
admin:
6 . 모든 노드에서 CallManager 및 TFTP 서비스를 다시 시작하고 게시자에서 CAPF 서비스를 다시 시작합니다.
7. 새 SIP 트렁크 보안 프로필을 만듭니다.
CM Administration(CM 관리)에서 System(시스템) > Security(보안) > SIP Trunk Security Profiles(SIP 트렁크 보안 프로파일) > Find(찾기)로 이동합니다.
이 이미지에 표시된 대로 기존 비보안 SIP 트렁크 프로필을 복사하여 새 보안 프로필을 생성합니다.
8 . CUBE에 SIP 트렁크를 생성합니다.
이미지에 표시된 대로 SIP 트렁크에서 SRTP 허용을 활성화합니다.
대상 포트 5061(TLS)을 구성하고 이미지에 표시된 대로 SIP 트렁크에 새 보안 SIP 트렁크 보안 프로필을 적용합니다.
다음을 확인합니다.
이 섹션을 사용하여 컨피그레이션이 제대로 작동하는지 확인합니다.
show sip-ua connections tcp tls detail
show call active voice brief
e.g.
Secure-CUBE#show sip-ua connections tcp tls detail
Total active connections : 2
No. of send failures : 0
No. of remote closures : 13
No. of conn. failures : 0
No. of inactive conn. ageouts : 0
TLS client handshake failures : 0
TLS server handshake failures : 0
---------Printing Detailed Connection Report---------
Note:
** Tuples with no matching socket entry
- Do 'clear sip <tcp[tls]/udp> conn t ipv4:<addr>:<port>'
to overcome this error condition
++ Tuples with mismatched address/port entry
- Do 'clear sip <tcp[tls]/udp> conn t ipv4:<addr>:<port> id <connid>'
to overcome this error condition
Remote-Agent:10.106.95.151, Connections-Count:2
Remote-Port Conn-Id Conn-State WriteQ-Size Local-Address
=========== ======= =========== =========== ===========
5061 16 Established 0 10.106.95.153
57396 17 Established 0 10.106.95.153
-------------- SIP Transport Layer Listen Sockets ---------------
Conn-Id Local-Address
=========== =============================
2 [10.106.95.153]:5061
show call active voice brief 명령의 출력은 LTI 트랜스코더를 사용할 때 캡처됩니다.
Telephony call-legs: 0
SIP call-legs: 2
H323 call-legs: 0
Call agent controlled call-legs: 0
SCCP call-legs: 0
Multicast call-legs: 0
Total call-legs: 2
1283 : 33 357052840ms.1 (23:57:23.929 IST Sun Feb 15 2015) +2270 pid:3 Answer 3001 active
dur 00:00:08 tx:383/61280 rx:371/59360 dscp:0 media:0 audio tos:0xB8 video tos:0x0
IP 10.106.95.132:17172 SRTP: off rtt:0ms pl:0/0ms lost:0/0/0 delay:0/0/0ms g711ulaw TextRelay: off Transcoded: Yes
media inactive detected:n media contrl rcvd:n/a timestamp:n/a
long duration call detected:n long duration call duration:n/a timestamp:n/a
LostPacketRate:0.00 OutOfOrderRate:0.00
1283 : 34 357052840ms.2 (23:57:23.929 IST Sun Feb 15 2015) +2270 pid:1 Originate 2001 active
dur 00:00:08 tx:371/60844 rx:383/62812 dscp:0 media:0 audio tos:0xB8 video tos:0x0
IP 10.65.58.24:24584 SRTP: on rtt:0ms pl:0/0ms lost:0/0/0 delay:0/0/0ms g711ulaw TextRelay: off Transcoded: Yes
media inactive detected:n media contrl rcvd:n/a timestamp:n/a
long duration call detected:n long duration call duration:n/a timestamp:n/a
LostPacketRate:0.00 OutOfOrderRate:0.00
또한 Cisco IP Phone과 CUBE 또는 Gateway 간에 SRTP 암호화 통화가 이루어지면 IP 전화기에 잠금 아이콘이 표시됩니다.
문제 해결
이 섹션에서는 컨피그레이션 문제를 해결하는 데 사용할 수 있는 정보를 제공합니다.
이러한 디버그는 PKI/TLS/SIP/SRTP 문제를 해결하는 데 유용합니다.
debug crypto pki{ API | callbacks | messages | scep | server | transactions | validation }
debug ssl openssl { errors | ext | msg | states }
debug srtp {api | events }
debug ccsip {messages | error | events | states | all }
debug voip ccapi inout
피드백