配置CUCM和CUC之間的安全整合並排除故障

下載選項

  • PDF     (1.2 MB)
    在多種裝置上使用 Adobe Reader 檢視
  • ePub     (883.0 KB)
    在 iPhone、iPad、Android、Sony Reader 或 Windows Phone 上的各種應用程式中檢視
  • Mobi (Kindle)     (898.0 KB)
    在 Kindle 裝置或多部裝置的 Kindle 應用程式上檢視
已更新: 2021 年 7 月 26 日
文件 ID:200504

無偏見用語

本產品的文件集力求使用無偏見用語。針對本文件集的目的,無偏見係定義為未根據年齡、身心障礙、性別、種族身分、民族身分、性別傾向、社會經濟地位及交織性表示歧視的用語。由於本產品軟體使用者介面中硬式編碼的語言、根據 RFP 文件使用的語言,或引用第三方產品的語言,因此本文件中可能會出現例外狀況。深入瞭解思科如何使用包容性用語。

關於此翻譯

思科已使用電腦和人工技術翻譯本文件,讓全世界的使用者能夠以自己的語言理解支援內容。請注意,即使是最佳機器翻譯,也不如專業譯者翻譯的內容準確。Cisco Systems, Inc. 對這些翻譯的準確度概不負責,並建議一律查看原始英文文件(提供連結)。

簡介

本檔案介紹Cisco Unified Communication Manager(CUCM)與Cisco Unity Connection(CUC)伺服器之間安全連線的配置、驗證和故障排除。

必要條件

需求

思科建議您瞭解CUCM。

有關詳細資訊,請參閱思科統一通訊管理器安全指南。 

附註:必須將其設定為混合模式,才能使安全整合正常工作。

必須為Unity Connection 11.5(1)SU3及更高版本啟用加密。

CLI命令「utils cuc encryption <enable/disable>」

採用元件

本文中的資訊係根據以下軟體和硬體版本:

  • CUCM版本10.5.2.11900-3。
  • CUC版本10.5.2.11900-3。

本文中的資訊是根據特定實驗室環境內的裝置所建立。文中使用到的所有裝置皆從已清除(預設)的組態來啟動。如果您的網路正在作用,請確保您已瞭解任何指令可能造成的影響。

圖表

此圖簡要說明了幫助在CUCM和CUC之間建立安全連線的過程:

1.呼叫管理器在用於整合的協定上,通過埠2443精簡型呼叫控制協定(SCCP)或基於5061會話初始協定(SIP)建立與CUC伺服器的安全傳輸層安全(TLS)連線。

2. CUC伺服器從TFTP伺服器下載證書信任清單(CTL)檔案(一次性進程),提取CallManager.pem證書並儲存它。

3. CUCM伺服器提供Callmanager.pem證書,該證書根據上一步獲得的CallManager.pem證書進行驗證。此外,正在根據CUCM中儲存的CUC根證書驗證CUC證書。請注意,根證書必須由管理員上傳到CUCM。

4.如果證書驗證成功,則建立安全的TLS連線。此連線用於交換加密的SCCP或SIP信令。

5.音訊流量可以交換為即時傳輸協定(RTP)或SRTP。

附註:建立TLS通訊時,CUCM和CUC使用TLS相互驗證。如需詳細資訊,請參閱RFC5630。

配置 — 安全SIP中繼

配置CUC

1.新增SIP證書

導覽至CUC Administration > Telephony Integrations > Security > SIP Certificate > Add new

  • 顯示名稱:<任何有意義的名稱>
  • 使用者名稱:<任意名稱,例如SecureConnection>

注意:主題名稱必須與SIP中繼安全配置檔案中的X.509主題名稱相匹配(本文檔後面的CUCM配置步驟1中進行了配置)。

附註:證書由CUC根證書生成並簽名。

2.建立新電話系統或修改預設電話系統

導覽至Telephony Integration > Phone System。您可以使用已經存在的電話系統或建立一個新系統。

3.新增新埠組

在Phone System Basics頁面的Related Links下拉框中,選擇Add Port Group並選擇Go。在組態視窗中,輸入以下資訊:

  • 電話系統:                       
  • 建立源:                           埠組型別SIP
  • SIP安全配置檔案:                 5061/TLS
  • SIP證書:                        
  • 安全模式:                         已加密
  • 安全RTP:                            已檢查
  • IPv4地址或主機名:  

按儲存。

4.編輯伺服器

導覽至Edit > Servers,然後從CUCM群集中新增TFTP伺服器,如下圖所示。

附註:提供正確的TFTP地址非常重要。CUC伺服器按說明從此TFTP下載CTL檔案。

5.重置埠組

按照系統提示返回Port Group Basics,重置埠組,如下圖所示。

6.新增語音郵件埠

在「埠組基本資訊」頁的「相關連結」下拉框中,選擇Add Ports並選擇Go。在配置視窗中,輸入以下資訊:

  • 已啟用:已檢查
  • 連線埠數量: 
  • 電話系統:    
  • 埠組:          
  • 伺服器:                 
  • 埠行為:       

7.下載CUC根證書

導覽至Telephony Integrations > Security > Root Certificate,按一下右鍵URL以將憑證儲存為名為<filename>.0(檔案副檔名必須是。0而不是.htm)'的檔案,然後按下save,如下圖所示。

配置CUCM

1.為指向CUC的中繼配置SIP中繼安全配置檔案

導航至CUCM Administration > System > Security > SIP Trunk Security Profile > Add new

確保正確填寫以下欄位:

  • 裝置安全模式:              已加密
  • X.509使用者名稱:                SecureConnection>
  • 接受對話之外的內容請參閱:         已檢查
  • 接受未經請求的通知:  已檢查
  • 接受替換報頭:           已檢查

附註:X.509使用者名稱必須與Cisco Unity Connection伺服器(在CUC配置步驟1中配置)上SIP證書中的Subject Name欄位匹配。

2.配置SIP配置檔案

如果您需要應用任何特定設定,請導航到Device > Device Settings > SIP Profile。否則,您可以使用標準SIP配置檔案。

3.建立SIP中繼

轉至Device > Trunk > Add new。建立將用於與Unity Connection安全整合的SIP中繼,如下圖所示。

在Trunk配置的Device Information部分中,輸入以下資訊:

  • 裝置名稱:            
  • 裝置池:              
  • 允許的SRTP:           已檢查

附註:確保CallManager組(在裝置池配置中)包含在CUC中配置的所有伺服器(埠組>編輯>伺服器)。

在TRUNK配置的Inbound Calls部分,輸入以下資訊:

  • 呼叫搜尋空間:                                            
  • 重定向轉接轉接標頭傳送 — 傳入:   已檢查

《外界》 Calls(呼叫)部分,輸入以下資訊:

  • 重定向轉接轉接標頭傳送 — 出站:已檢查

在中繼配置的SIP資訊部分,輸入以下資訊:

  • 目的地位址:                                    
  • SIP中繼安全配置檔案:                           
  • 重新路由呼叫搜尋空間:                
  • 對話中斷引用呼叫搜尋空間: 
  • SIP配置檔案:                                                    

根據您的要求調整其他設定。

4.建立路由模式

建立指向已配置中繼的路由模式(Call Routing > Route/Hunt > Route Pattern)。 作為路由模式編號輸入的分機可用作語音郵件引導。輸入以下資訊:

  • 路由模式:                        
  • 網關/路由清單:               

5.建立語音郵件引導

為整合建立語音郵件引導(高級功能>語音郵件>語音郵件引導)。 輸入以下值:

  • 語音郵件引導號碼:   
  • 呼叫搜尋空間:        其中包括包含用作引導的路由模式的分割槽>

6.建立語音郵件配置檔案

建立語音郵件配置檔案以將所有設定連結在一起(「高級功能」>「語音郵件」>「語音郵件配置檔案」)。 輸入以下資訊:

  • 語音郵件引導:                   
  • 語音信箱掩碼:           

7.將語音郵件配置檔案分配給DN

將語音郵件配置檔案分配給使用安全整合的DN。更改DN設定後不要忘記按一下「Apply Config」按鈕:

導覽至:呼叫Routing > Directory number並更改以下內容:

  • 語音郵件配置檔案:  Secure_SIP_Integration

8.將CUC根證書上傳為CallManager-trust

導航到OS Administration > Security > Certificate Management > Upload Certificate/Certificate Chain,然後以CallManager-trust方式上傳所有配置為與CUC伺服器通訊的節點上的CUC根證書。

意:上傳證書後,需要重新啟動Cisco CallManager服務以使證書生效。

配置安全SCCP埠

配置CUC

1.下載CUC根證書

導航到CUC管理>電話整合>安全>根證書。按一下右鍵URL以將證書另存為名為<filename>.0(副檔名必須是。0而不是.htm)'的檔案,然後按下Save:

2.建立電話系統/修改現有的電話系統。

導航到電話整合>電話系統。您可以使用已經存在的電話系統或建立一個新系統。

3.新增新的SCCP埠組

在Phone System Basics頁面的Related Links下拉框中,選擇Add Port Group並選擇Go在組態視窗中,輸入以下資訊:

  • 電話系統:           
  • 埠組型別:           SCCP
  • 裝置名稱字首*:   CiscoUM1-VI
  • MWI On分機:      
  • MWI關閉分機:      

附註:此配置必須與CUCM上的配置匹配。

4.編輯伺服器

導航到Edit > Servers,然後從CUCM群集新增TFTP伺服器。

附註:提供正確的TFTP地址非常重要。CUC伺服器按說明從此TFTP下載CTL檔案。

5.新增安全SCCP埠

在「埠組基本資訊」頁的「相關連結」下拉框中,選擇Add Ports,然後選擇Go。在配置視窗中,輸入以下資訊:

  • 已啟用:已檢查
  • 連線埠數量: 
  • 電話系統:    
  • 埠組:          
  • 伺服器:                 
  • 埠行為:       
  • 安全模式:       已加密

配置CUCM

1.新增埠

導航至 CUCM管理>高級功能>語音郵件埠配置>新增新。

照常配置SCCP語音郵件埠。唯一的區別是裝置安全模式下的埠配置需要選擇Encrypted Voice Mail Port選項。

2.將CUC根證書上傳為CallManager-trust

導航到OS Administration > Security > Certificate Management > Upload Certificate/Certificate Chain,然後以CallManager-trust在配置為與CUC伺服器通訊的所有節點上上上傳CUC根證書。

意:上傳證書後,需要重新啟動Cisco CallManager服務以使證書生效。

3. 配置消息等待資訊(MWI)開/關擴展

導航到CUCM Administration > Advanced Features > Voice Mail Port Configuration,然後配置MWI開/關擴展。MWI編號必須與CUC配置匹配。

4.創建語音郵件引導

為整合建立語音郵件引導(高級功能>語音郵件>語音郵件引導)。 輸入以下值:

  • 語音郵件引導號碼:   
  • 呼叫搜尋空間:        其中包括包含用作引導的路由模式的分割槽>

5.建立語音郵件配置檔案

建立語音郵件配置檔案以將所有設定連結在一起(「高級功能」>「語音郵件」>「語音郵件配置檔案」)。 輸入以下資訊:

  • 語音郵件引導:                   
  • 語音信箱掩碼:           

6.將語音郵件配置檔案分配給DN

將語音郵件配置檔案分配到打算使用安全整合的DN。更改DN設定後,按一下Apply Config按鈕:

導航到Call Routing > Directory number,然後更改為:

  • 語音郵件配置檔案:  Voicemail-profile-8000

7. 建立語音郵件搜尋組

a)新增新的線路組(呼叫路由>路由/尋線>線路組)

b)新增新的語音郵件尋線清單(呼叫路由>路由/尋線>尋線清單)

c)新增新的尋線引導(呼叫路由>路由/尋線>尋線引導)

驗證

SCCP連線埠驗證

導航到CUCM Administration > Advanced Features > Voice Mail > Voice Mail Ports,然後驗證埠註冊。

按電話上的Voice Mail按鍵以呼叫語音郵件。如果使用者的分機未在Unity Connection系統上配置,您應該聽到開場問候語。

安全SIP中繼驗證

按電話上的Voice Mail按鍵以呼叫語音郵件。如果未在Unity Connection系統上配置使用者分機,您應該會聽到開始問候語。

或者,您可以啟用SIP OPTION保持連線以監控SIP中繼狀態。可以在分配給SIP中繼的SIP配置檔案中啟用此選項。啟用此功能後,您可以透過Device > Trunk監控Sip中繼狀態,如下圖所示。

安全RTP呼叫驗證

驗證對Unity Connection的呼叫中是否出現掛鎖圖示。它表示RTP流已加密(裝置安全配置檔案必須安全才能運行),如下圖所示。

疑難排解

1.一般故障排除提示

 請按照以下步驟操作,對安全整合進行故障排除:

  • 驗證設定.
  • 確保所有相關服務都在運行。(CUCM - CallManager、TFTP、CUC — 對話管理器)
  • 確保在網路中開啟伺服器間安全通訊所需的埠(TCP埠2443用於SCCP整合,TCP 5061用於SIP整合)。
  • 如果所有這些都是正確的,則繼續收集跟蹤。

2.要收集的跟蹤

收集這些跟蹤以排除安全整合故障。

  • 從CUCM和CUC捕獲資料包
  • CallManager跟蹤
  • 思科對話管理器跟蹤


請參閱以下資源以瞭解其他資訊:

如何在CUCM上執行資料包捕獲:

http://www.cisco.com/c/en/us/support/docs/voice-unified-communications/unified-communications-manager-version-50/112040-packet-capture-cucm-00.html


如何在CUC伺服器上啟用跟蹤:

    

http://www.cisco.com/c/en/us/td/docs/voice_ip_comm/connection/10x/troubleshooting/guide/10xcuctsgx/10xcuctsg010.html

常見問題

案例1:無法建立安全連線(未知CA警報)

從任一伺服器收集資料包捕獲後,建立TLS會話。

客戶端向伺服器發出警報,通知中含有未知的CA錯誤,原因僅僅是客戶端無法驗證伺服器傳送的證書。

可能發生兩種情況:

1)CUCM傳送警報 未知CA

  • 驗證當前CUC根證書是否上載到與CUC伺服器通訊的伺服器上。
  • 確保在相應的伺服器上重新啟動CallManager服務。

2)CUC傳送警報Unknown CA

  • 驗證CUC伺服器上的Port Group > Edit > Servers 配置中是否正確輸入了TFTP IP地址。
  • 驗證是否可從連線伺服器訪問CUCM TFTP伺服器。
  • 確保CUCM TFTP上的CTL檔案為當前檔案(將「show ctl」的輸出與OS Admin頁面上顯示的證書進行比較)。 如果沒有運行,請重新運行CTLClient。
  • 重新啟動CUC伺服器,或者刪除並重新建立埠組,以便從CUCM TFTP重新下載CTL檔案。

案例2:無法從CUCM TFTP下載CTL檔案

在對話管理器跟蹤中出現此錯誤:

MiuGeneral,25,FAILED Port group 'PhoneSystem-1' attempt set InService(true), error retrieving server certificates.
MiuGeneral,25,Error executing tftp command 'tftp://10.48.47.189:69/CTLFile.tlv' res=68 (file not found on server)
MiuGeneral,25,FAILED Port group 'PhoneSystem-1' attempt set InService(true), error retrieving server certificates.
Arbiter,-1,Created port PhoneSystem-1-001 objectId='7c2e86b8-2d86-4403-840e-16397b3c626b' as ID=1
MiuGeneral,25,Port group object 'b1c966e5-27fb-4eba-a362-56a5fe9c2be7' exists
MiuGeneral,25,FAILED SetInService=true parent port group is out of service:

解決方案:

  1.在Port group > Edit > Servers配置中再次檢查TFTP伺服器是否正確。

  2.驗證CUCM群集是否處於安全模式。

  3.檢驗CUCM TFTP上是否存在CTL檔案。

案例3:連線埠未註冊

在對話管理器跟蹤中出現此錯誤:

MiuSkinny,23,Failed to retrieve Certificate for CCM Server <CUCM IP Address>
MiuSkinny,23,Failed to extract any CCM Certificates - Registration cannot proceed. Starting retry timer -> 5000 msec
MiuGeneral,24,Found local CTL file [/tmp/aaaaaaaa-xxxx-xxxx-xxxx-xxxxxxxxxxxx.tlv]
MiuGeneral,25,CCMCertificateCache::RetrieveServerCertificates() failed to find CCM Server '<CUCM IP Address>' in CTL File

解決方案:

  1.這很可能是由於CUCM和CUC上的CTL檔案的md5校驗和不匹配,這是由於  

   憑證。重新啟動CUC伺服器以刷新CTL檔案。

思科內部資訊

   或者,也可以按如下方式從根目錄刪除CTL檔案:

   從/tmp/資料夾中刪除CTL檔案並重置埠組。您可以對檔案執行md5總和檢查碼

   並在刪除之前進行比較:

       CUCM:   [root@vfrscucm1 trust-certs]# md5sum /usr/local/cm/tftp/CTLFile.tlv

                     e5bf2ab934a42f4d8e6547dfd8cc82e8 /usr/local/cm/tftp/CTLFile.tlv

       CUC:      [root@vstscuc1 tmp]# cd /tmp

                     [root@vstscuc1 tmp]# ls -al *tlv

                      -rw-rw-r— 1 cucsmgr customervice 6120 2月5日15:29 a31cefe5-9359-4cbc-a0f3-52eb870d976c.tlv

                     [root@vstscuc1 tmp]# md5sum a31cefe5-9359-4cbc-a0f3-52eb870d976c.tlv

                     e5bf2ab934a42f4d8e6547dfd8cc82e8 a31cefe5-9359-4cbc-a0f3-52eb870d976c.tlv

此外,您還可以參閱本故障排除指南:

缺陷

CSCum48958 - CUCM 10.0(IP地址長度不正確)

CSCtn87264 — 安全SIP埠的TLS連線失敗

CSCur10758 -無法清除吊銷的證書Unity Connection

CSCur10534 - Unity Connection 10.5 TLS/PKI互操作冗餘CUCM

CSCve47775 -用於更新和檢查CUC上的CUCM CTLFile方法的功能請求

修訂記錄

修訂 發佈日期 意見
1.0
02-Jun-2016
初始版本
TAC Authored

由思科工程師貢獻

  • Radoslav Drabik
    Cisco TAC工程師
  • Marek Leus
    Cisco TAC工程師
  • Michal Myszor
    Cisco TAC工程師

這份文件是否有所幫助?

Feedback意見

讓思科協助您

本文件適用於這些產品