Configurer la signalisation SIP sécurisée dans Contact Center Enterprise

Options de téléchargement

  • PDF     (1.7 MB)
    Consulter à l'aide d'Adobe Reader sur un grand nombre d'appareils
  • ePub     (1.6 MB)
    Consulter à l’aide de différentes applications sur iPhone, iPad, Android ou Windows Phone
  • Mobi (Kindle)     (2.5 MB)
    Consulter sur un appareil Kindle ou à l’aide d’une application Kindle sur plusieurs appareils
Mis à jour:22 novembre 2022
ID du document:218434

Langage exempt de préjugés

Dans le cadre de la documentation associée à ce produit, nous nous efforçons d’utiliser un langage exempt de préjugés. Dans cet ensemble de documents, le langage exempt de discrimination renvoie à une langue qui exclut la discrimination en fonction de l’âge, des handicaps, du genre, de l’appartenance raciale de l’identité ethnique, de l’orientation sexuelle, de la situation socio-économique et de l’intersectionnalité. Des exceptions peuvent s’appliquer dans les documents si le langage est codé en dur dans les interfaces utilisateurs du produit logiciel, si le langage utilisé est basé sur la documentation RFP ou si le langage utilisé provient d’un produit tiers référencé. Découvrez comment Cisco utilise le langage inclusif.

À propos de cette traduction

Cisco a traduit ce document en traduction automatisée vérifiée par une personne dans le cadre d’un service mondial permettant à nos utilisateurs d’obtenir le contenu d’assistance dans leur propre langue. Il convient cependant de noter que même la meilleure traduction automatisée ne sera pas aussi précise que celle fournie par un traducteur professionnel.

    Introduction

    Ce document décrit comment sécuriser la signalisation SIP (Session Initiation Protocol) dans le flux d'appels complet de Contact Center Enterprise (CCE).

    Conditions préalables

    La génération et l'importation de certificats n'étant pas couvertes par ce document, les certificats pour Cisco Unified Communication Manager (CUCM), le serveur d'appels Customer Voice Portal (CVP), Cisco Virtual Voice Browser (CVVB) et Cisco Unified Border Element (CUBE) doivent être créés et importés dans les composants respectifs. Si vous utilisez des certificats auto-signés, l'échange de certificats doit être effectué entre différents composants.

    Exigences

    Cisco vous recommande de prendre connaissance des rubriques suivantes :

    • CCE
    • CVP
    • CUBE
    • CUCM
    • CVVB

    Composants utilisés

    Les informations contenues dans ce document sont basées sur Package Contact Center Enterprise (PCCE), CVP, CVVB et CUCM version 12.6, mais elles s'appliquent également aux versions antérieures.

    The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. Si votre réseau est en ligne, assurez-vous de bien comprendre l’incidence possible des commandes.

    Configurer

    Le schéma suivant montre les composants impliqués dans la signalisation SIP dans le flux d'appels complet du centre de contact. Lorsqu'un appel vocal arrive sur le système, il arrive d'abord via la passerelle d'entrée ou CUBE. Par conséquent, démarrez les configurations SIP sécurisées sur CUBE. Configurez ensuite CVP, CVVB et CUCM.

    Inbound SIP Call Flow

    Tâche 1. Configuration sécurisée CUBE

    Dans cette tâche, configurez CUBE pour sécuriser les messages du protocole SIP.

    Configurations requises :

    • Configuration d'un point de confiance par défaut pour l'agent utilisateur SIP
    • Modifier les terminaux de numérotation dial-peer pour utiliser TLS (Transport Layer Security)

    Étapes :

    1. Ouvrez une session Secure Shell (SSH) vers CUBE.
    2. Exécutez ces commandes pour que la pile SIP utilise le certificat de l'autorité de certification du CUBE. CUBE établit une connexion SIP TLS de/vers CUCM (198.18.133.3) et CVP (198.18.133.13).

    conf t sip-ua transport tcp tls v1.2 crypto signaling remote-addr 198.18.133.3 255.255.255.255 trustpoint ms-ca-name crypto signaling remote-addr 198.18.133.13 255.255.255.255 trustpoint ms-ca-name exit

    CUBE SSH Console

    1. Exécutez ces commandes pour activer TLS sur le terminal de numérotation dial-peer sortant vers CVP. Dans cet exemple, la balise dial-peer 6000 est utilisée pour acheminer les appels vers CVP.

    Conf t dial-peer voice 6000 voip session target ipv4:198.18.133.13:5061 session transport tcp tls exit

    CUBE SSH Console

    Tâche 2. Configuration sécurisée CVP

    Dans cette tâche, configurez le serveur d'appels CVP pour sécuriser les messages de protocole SIP (SIP TLS).

    Étapes :

    1. Se connecter àUCCE Web Administration.
    2. Naviguez jusqu'à  Call Settings > Route Settings > SIP Server Group.

    SIP Server Group Configuration on CCE Admin Portal


    Selon vos configurations, vous avez configuré des groupes de serveurs SIP pour CUCM, CVVB et CUBE. Vous devez définir les ports SIP sécurisés sur 5061 pour chacun d'entre eux. Dans cet exemple, les groupes de serveurs SIP suivants sont utilisés :

    • cucm1.dcloud.cisco.com pour CUCM
    • vvb1.dcloud.cisco.com pour CVVB
    • cube1.dcloud.cisco.com  pour CUBE
    1. Cliquer  cucm1.dcloud.cisco.com  et ensuite dans le  Members  , qui affiche les détails de la configuration du groupe de serveurs SIP. Jeu SecurePort par  5061 et cliquez sur  Save .

    Setting Secure SIP Port for CUCM Server Group

    1. Cliquer vvb1.dcloud.cisco.com et ensuite dans le  Members  s'affiche. Définissez SecurePort sur 5061 et cliquez sur  Save.

    Setting Secure SIP Port for VVB Server Group

    Tâche 3. Configuration sécurisée CVVB

    Dans cette tâche, configurez CVVB pour sécuriser les messages de protocole SIP (SIP TLS).

    Étapes :

    1. Se connecter à  Cisco VVB Administration  s'affiche.
    2. Naviguez jusqu'à  System > System Parameters.

    VVB System Parameters

    1. Dans la  Security Parameters  , sélectionnez  Enable  pour TLS(SIP) . Conserver  Supported TLS(SIP) version  comme  TLSv1.2.

    VVB Security Parameters

    1. Cliquez sur Update. Cliquer Ok lorsque vous êtes invité à redémarrer le moteur CVVB.

    Update Security Parameters

    1. Ces modifications nécessitent un redémarrage du moteur Cisco VVB. Pour redémarrer le moteur VVB, accédez à Cisco VVB Serviceability puis cliquez sur  Go.

    Cisco VVB Serviceability

    1. Naviguez jusqu'à  Tools > Control Center – Network Services.

    Control Center - Network Services

    1. Choisir Engine et cliquez sur  Restart.

    Control Center - Network Services

    Tâche 4. Configuration sécurisée CUCM

    Afin de sécuriser les messages SIP sur CUCM, effectuez les configurations suivantes :

    • Définir le mode de sécurité CUCM sur Mixed Mode
    • Configuration des profils de sécurité de la ligne principale SIP pour CUBE et CVP
    • Associer des profils de sécurité de liaison SIP aux liaisons SIP respectives
    • Communication sécurisée des périphériques des agents avec CUCM

    Définir le mode de sécurité CUCM sur Mixed Mode

    CUCM prend en charge deux modes de sécurité :

    • Mode non sécurisé (mode par défaut)
    • Mode mixte (mode sécurisé)

    Étapes :

    1. Afin de définir le mode de sécurité sur Mixed Mode, connectez-vous à  Cisco Unified CM Administration  interface.

    CUCM Administration Interface

    1. Une fois que vous êtes connecté à CUCM, accédez à  System > Enterprise Parameters.

    CUCM Enterprise Parameters

    1. Sous le Security Parameters Section, vérifiez si  Cluster Security Mode est défini sur  0.

    CUCM Security Parameters

    1. Si le mode de sécurité du cluster est défini sur 0, cela signifie que le mode de sécurité du cluster est défini sur non sécurisé. Vous devez activer le mode mixte à partir de l'interface de ligne de commande.
    2. Ouvrez une session SSH sur le CUCM.
    3. Après vous être connecté à CUCM via SSH, exécutez cette commande : utils ctl set-cluster mixed-mode
    1. Type y et cliquez sur Entrée lorsque vous y êtes invité. Cette commande définit le mode de sécurité du cluster sur le mode mixte.

    CUCM SSH Console

    1. Pour que les modifications prennent effet, redémarrez  Cisco CallManager  et  Cisco CTIManager  services.
    2. Afin de redémarrer les services, naviguez et connectez-vous à Cisco Unified Serviceability.

    Cisco Unified Serviceability

    1. Une fois que vous êtes connecté, accédez à  Tools > Control Center – Feature Services.

    Control Center - Feature Services

    1. Sélectionnez le serveur, puis cliquez sur  Go.

    Select Server

    1. Sous les services CM, sélectionnez Cisco CallManager  puis cliquez sur  Restart  en haut de la page.

    Restarting Cisco Call Manager Services

    1. Confirmez le message contextuel et cliquez sur  OK. Attendez que le service redémarre correctement.

    Info Message

    1. Après un redémarrage réussi de  Cisco CallManager, choisissez Cisco  CTIManager  puis cliquez sur Restart bouton de redémarrage  Cisco CTIManager  service.

    Restarting Cisco CTI Manager Service

    1. Confirmez le message contextuel et cliquez sur  OK. Attendez que le service redémarre correctement.

    Info Message

    1. Une fois les services redémarrés, vérifiez que le mode de sécurité du cluster est défini sur le mode mixte, accédez à l'administration de CUCM comme expliqué à l'étape 5. Vérifiez ensuite la  Cluster Security Mode. Maintenant, il doit être défini sur  1.

    Cluster Security Mode is to the Value of '1'

    Configuration des profils de sécurité de la ligne principale SIP pour CUBE et CVP

    Étapes :

    1. Se connecter à  CUCM administration  interface.
    2. Après vous être connecté à CUCM, accédez à System > Security > SIP Trunk Security Profile  afin de créer un profil de sécurité de périphérique pour CUBE.

    CUCM SIP Trunk Security Profile

    1. En haut à gauche, cliquez sur  Add New  afin d'ajouter un nouveau profil.

    Add New CUCM SIP Trunk Security Profile

    1. Configurer SIP Trunk Security Profile comme le montre cette image, puis cliquez sur  Save  en bas à gauche de la page pour  Save  le.

    Add CUCM SIP Trunk Security Profile for CUBE

    5. Assurez-vous de définir le  Secure Certificate Subject or Subject Alternate Name  au nom commun (CN) du certificat CUBE car il doit correspondre.

    6. Cliquez sur  Copy  et de modifier le Name par   SecureSipTLSforCVP et la Secure Certificate Subject au CN du certificat du serveur d'appels CVP car il doit correspondre. Cliquer Save s'affiche.

    Add CUCM SIP Trunk Security Profile for CVP

    Associer des profils de sécurité de liaison SIP aux liaisons SIP respectives

    Étapes :

    1. Sur la page CUCM Administration, accédez à  Device > Trunk.

    CUCM Trunk Configuration for CUBE

    1. Recherchez la ligne principale CUBE. Dans cet exemple, le nom de la liaison CUBE est  vCube . Cliquer  Find.

    Find SIP Trunks on CUCM for CUBE

    1. Cliquez sur vCUBE pour ouvrir la page de configuration de la liaison vCUBE.
    2. Faites défiler jusqu'à SIP Information , puis modifiez la  Destination Port  par   5061.
    3. Changement SIP Trunk Security Profile par   SecureSIPTLSForCube.

    SIP Trunk Configuration for CUBE

    1. Cliquer Save puis Rest afin de  Save et d'appliquer les modifications.

    Save Configuration


    Info Message

    1. Naviguez jusqu'à  Device > Trunket recherchez la ligne principale CVP. Dans cet exemple, le nom de la liaison CVP est  cvp-SIP-Trunk . Cliquer  Find.

    CUCM Trunk Configuration for CVP

    1. Cliquer CVP-SIP-Trunk afin d'ouvrir la page de configuration du trunk CVP.
    2. Faites défiler jusqu'à SIP Information et de modifier  Destination Port  par   5061 .
    3. Changement  SIP Trunk Security Profile  par   SecureSIPTLSForCvp.

    Find SIP Trunks on CUCM for CVP

    1. Cliquer  Save puis Rest afin de save et d'appliquer les modifications.

    SIP Trunk Configuration for CVP

    Save Configuration

    Communication sécurisée des périphériques des agents avec CUCM

    Afin d'activer les fonctions de sécurité pour un périphérique, vous devez installer un certificat LSC (Locally Significative Certificate) et attribuer un profil de sécurité à ce périphérique. Le LSC possède la clé publique pour le terminal, qui est signée par la clé privée CAPF (Certificate Authority Proxy Function). Il n'est pas installé sur les téléphones par défaut.

    Étapes :

    1. Se connecter à Cisco Unified Serviceability Interface.
    2. Naviguez jusqu'à  Tools > Service Activation.

    Info Message

    1. Sélectionnez le serveur CUCM et cliquez sur  Go .

    CUCM Service Activation

    1. Chèque Cisco Certificate Authority Proxy Function et cliquez sur  Save pour activer le service. Cliquer Ok pour confirmer.

    Select Server

    1. Assurez-vous que le service est activé, puis accédez à  Cisco Unified CM Administration.

    Activate Cisco Certificate Authority Proxy Function Service

    1. Une fois que vous êtes connecté à l'administration de CUCM, accédez à  System > Security > Phone Security Profile  afin de créer un profil de sécurité de périphérique pour le périphérique agent.

    CUCM Administration

    1. Recherchez les profils de sécurité correspondant au type de périphérique de votre agent. Dans cet exemple, un téléphone logiciel est utilisé, alors choisissez  Cisco Unified Client Services Framework - Standard SIP Non-Secure Profile . Cliquer CopyPhone Security Profile afin de copier ce profil.

    Copy Existing Phone Security Profile

    1. Renommer le profil en  Cisco Unified Client Services Framework - Secure Profile, modifiez les paramètres comme indiqué dans cette image, puis cliquez sur  Save en haut à gauche de la page.

    Add New Phone Security Profile

    1. Une fois le profil de périphérique téléphonique créé, accédez à  Device > Phone.

    Phone Configuration

    1. Cliquer Find pour afficher la liste de tous les téléphones disponibles, cliquez sur téléphone de l'agent.
    2. La page Agent phone configuration s'ouvre. Rechercher Certification Authority Proxy Function (CAPF) Information de l'Aide. Afin d'installer LSC, définissez Certificate Operation par  Install/Upgrade et Operation Completes by à une date ultérieure.

    Setting CAPF Parameters

    1. Rechercher Protocol Specific Information de l'Aide. Changement Device Security Profile par   Cisco Unified Client Services Framework – Secure Profile.

    Assigning Device Security Profile to IP Phone

    1. Cliquer  Save en haut à gauche de la page. Vérifiez que les modifications ont été enregistrées et cliquez sur  Reset.

    Save Configuration

    1. Une fenêtre contextuelle s'ouvre, cliquez sur  Reset  pour confirmer l'action.

    Phone Reset

    1. Une fois que le périphérique agent s'est à nouveau enregistré auprès de CUCM, actualisez la page en cours et vérifiez que le contrôleur LSC est correctement installé. Chèque Certification Authority Proxy Function (CAPF) Information section, Certificate Operation doit être défini sur  No Pending Operation,et Certificate Operation Status est défini sur  Upgrade Success .

    CAPF Information is Updated

    1. Reportez-vous aux étapes. 7-13 afin de sécuriser les autres agents et les périphériques que vous souhaitez utiliser pour sécuriser SIP avec CUCM.

    Vérifier

    Afin de valider que la signalisation SIP est correctement sécurisée, effectuez ces étapes :

    1. Ouvrez une session SSH sur vCUBE, exécutez la commande show sip-ua connections tcp tls detail , et vérifiez qu'aucune connexion TLS n'est établie avec CVP (198.18.133.13).

    show sip-ua connections tcp tls detail Output on CUBE SSH Console

    Remarque : actuellement, une seule session TLS active avec CUCM, pour les options SIP, est activée sur CUCM (198.18.133.3). Si aucune option SIP n'est activée, aucune connexion SIP TLS n'existe.

    1. Connectez-vous à CVP et démarrez Wireshark.
    2. Effectuez un test d'appel vers le numéro du centre de contact.
    3. Accédez à la session CVP ; sur Wireshark, exécutez ce filtre afin de vérifier la signalisation SIP avec CUBE :
      ip.addr == 198.18.133.226 && tls && tcp.port==5061

    Packet Capture Filtering CVP Secure SIP Signals Between CVP and CUBE

    Vérification : la connexion SIP sur TLS est-elle établie ? Si oui, la sortie confirme que les signaux SIP entre CVP et CUBE sont sécurisés.

    5. Vérifiez la connexion SIP TLS entre CVP et CVVB. Dans la même session Wireshark, exécutez ce filtre :

    ip.addr == 198.18.133.143 && tls && tcp.port==5061

    Packet Capture Filtering CVP Secure SIP Signals Between CVP and VVB

    Vérification : la connexion SIP sur TLS est-elle établie ? Si oui, la sortie confirme que les signaux SIP entre CVP et CVVB sont sécurisés.

    6. Vous pouvez également vérifier la connexion SIP TLS avec CVP depuis CUBE. Accédez à la session SSH vCUBE et exécutez cette commande pour vérifier les signaux SIP sécurisés :
    show sip-ua connections tcp tls detail


    SIP TLS Connection Between CVP and CUBE from CUBE SSH Console

    Vérification : la connexion SIP sur TLS est-elle établie avec CVP ? Si oui, la sortie confirme que les signaux SIP entre CVP et CUBE sont sécurisés.

    7. À ce moment, l'appel est actif et vous entendez MUSIQUE D'ATTENTE (MOH) car aucun agent n'est disponible pour répondre à l'appel.

    8. Rendre l'agent disponible pour répondre à l'appel.

    .Make Agent Ready on Finesse Agent Desktop

    9. L'agent est réservé et l'appel lui est acheminé. Cliquer Answer pour répondre à l'appel.

    Answer Incoming Call on Finesse Desktop


    10. L'appel se connecte à l'agent.

    11. Afin de vérifier les signaux SIP entre CVP et CUCM, accédez à la session CVP et exécutez ce filtre dans Wireshark :
    ip.addr == 198.18.133.3 && tls && tcp.port==5061

    Packet Capture Filtering Secure SIP Signals between CVP and CUCM

    Vérification : toutes les communications SIP avec CUCM (198.18.133.3) sont-elles effectuées via TLS ? Si oui, la sortie confirme que les signaux SIP entre CVP et CUCM sont sécurisés.

    Dépannage

    Si TLS n'est pas établi, exécutez ces commandes sur CUBE pour activer la commande debug TLS pour le dépannage :

    • Debug ssl openssl errors
    • Debug ssl openssl msg
    • Debug ssl openssl states

    Historique de révision

    Révision Date de publication Commentaires
    1.0
    23-Nov-2022
    Première publication
    TAC Authored

    Contribution d’experts de Cisco

    • Mohamed Mohasseb
      Ingénieur-conseil technique

    Ce document vous est-il utile?

    FeedbackCommentaires

    Contacter Cisco

    Ce document s’applique à ces produits