Contact Center EnterpriseでのセキュアSIPシグナリングの設定

ダウンロード オプション

  • PDF     (1.8 MB)
    Adobe Reader を使ってさまざまなデバイスで表示
  • ePub     (1.6 MB)
    iPhone、iPad、Android、ソニーの Reader、または Windows Phone 上で、さまざまなアプリを使って表示
  • Mobi (Kindle)     (2.5 MB)
    Kindle デバイスで、または Kindle アプリを使って複数のデバイスで表示
Updated: 2022 年 11 月 22 日
Document ID:218434

偏向のない言語

この製品のドキュメントセットは、偏向のない言語を使用するように配慮されています。このドキュメントセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブ ランゲージの取り組みの詳細は、こちらをご覧ください。

翻訳について

シスコは世界中のユーザにそれぞれの言語でサポート コンテンツを提供するために、機械と人による翻訳を組み合わせて、本ドキュメントを翻訳しています。ただし、最高度の機械翻訳であっても、専門家による翻訳のような正確性は確保されません。シスコは、これら翻訳の正確性について法的責任を負いません。原典である英語版(リンクからアクセス可能)もあわせて参照することを推奨します。

    概要

    このドキュメントでは、Contact Center Enterprise(CCE)の包括的なコールフローでSession Initiation Protocol(SIP)シグナリングを保護する方法について説明します。

    前提条件

    証明書の生成とインポートについては、このドキュメントでは扱いません。そのため、Cisco Unified Communication Manager(CUCM)、Customer Voice Portal(CVP)コールサーバ、Cisco Virtual Voice Browser(CVVB)、およびCisco Unified Border Element(CUBE)の証明書を作成し、各コンポーネントにインポートする必要があります。自己署名証明書を使用する場合は、異なるコンポーネント間で証明書を交換する必要があります。

    要件

    次の項目に関する知識があることが推奨されます。

    • CCE
    • CVP
    • CUBE
    • CUCM
    • CVVB

    使用するコンポーネント

    このドキュメントの情報は、Package Contact Center Enterprise(PCCE)、CVP、CVVB、およびCUCMバージョン12.6に基づいていますが、それ以前のバージョンにも適用できます。

    このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されました。このドキュメントで使用するすべてのデバイスは、初期(デフォルト)設定の状態から起動しています。本稼働中のネットワークでは、各コマンドによって起こる可能性がある影響を十分確認してください。

    設定

    次の図は、コンタクトセンターの包括的なコールフローでSIPシグナリングに関与するコンポーネントを示しています。システムに音声コールが着信すると、最初に入力ゲートウェイまたはCUBE経由で着信するため、CUBEでセキュアSIP設定を開始します。次に、CVP、CVVB、およびCUCMを設定します。

    Inbound SIP Call Flow

    タスク 1.CUBEセキュア設定

    この作業では、SIPプロトコルメッセージを保護するようにCUBEを設定します。

    必要な設定:

    • SIPユーザエージェント(UA)のデフォルトのトラストポイントの設定
    • Transport Layer Security(TLS)を使用するためのダイヤルピアの変更

    手順:

    1. CUBEへのセキュアシェル(SSH)セッションを開きます。
    2. SIPスタックでCUBEの認証局(CA)証明書を使用するには、次のコマンドを実行します。CUBEは、CUCM(198.18.133.3)およびCVP(198.18.133.13)との間でSIP TLS接続を確立します。

    conf t sip-ua transport tcp tls v1.2 crypto signaling remote-addr 198.18.133.3 255.255.255.255 trustpoint ms-ca-name crypto signaling remote-addr 198.18.133.13 255.255.255.255 trustpoint ms-ca-name exit

    CUBE SSH Console

    1. CVPへの発信ダイヤルピアでTLSを有効にするには、次のコマンドを実行します。この例では、ダイヤルピアタグ6000を使用してコールをCVPにルーティングします。

    Conf t dial-peer voice 6000 voip session target ipv4:198.18.133.13:5061 session transport tcp tls exit

    CUBE SSH Console

    タスク 2.CVPセキュア設定

    この作業では、SIPプロトコルメッセージ(SIP TLS)を保護するようにCVPコールサーバを設定します。

    手順:

    1. ログイン先UCCE Web Administration.
    2. 移動先  Call Settings > Route Settings > SIP Server Group.

    SIP Server Group Configuration on CCE Admin Portal


    設定に基づいて、CUCM、CVVB、およびCUBEに対してSIPサーバグループが設定されています。これらすべてに対して、セキュアSIPポートを5061に設定する必要があります。この例では、次のSIPサーバグループが使用されます。

    • cucm1.dcloud.cisco.com CUCMの場合
    • vvb1.dcloud.cisco.com CVVBの場合
    • cube1.dcloud.cisco.com  CUBE用
    1. クリック  cucm1.dcloud.cisco.com  その後、  Members  SIPサーバグループ設定の詳細を表示します。Set SecurePort から 5061 をクリックし、  Save .

    Setting Secure SIP Port for CUCM Server Group

    1. クリック vvb1.dcloud.cisco.com その後、  Members  tab.SecurePortをに設定 5061 をクリックし、  Save.

    Setting Secure SIP Port for VVB Server Group

    タスク 3.CVVBセキュア設定

    この作業では、SIPプロトコルメッセージ(SIP TLS)を保護するようにCVVBを設定します。

    手順:

    1. ログイン先  Cisco VVB Administration  ページを使用します。
    2. 移動先  System > System Parameters.

    VVB System Parameters

    1. 内  Security Parameters  セクション、選択  Enable  を参照 TLS(SIP) . 保持  Supported TLS(SIP) version  as  TLSv1.2.

    VVB Security Parameters

    1. [Update] をクリックします。クリック Ok CVVBエンジンを再起動するように求めるプロンプトが表示されます。

    Update Security Parameters

    1. これらの変更を行うには、Cisco VVBエンジンを再起動する必要があります。VVBエンジンを再起動するには、 Cisco VVB Serviceability 次に、  Go.

    Cisco VVB Serviceability

    1. 移動先  Tools > Control Center – Network Services.

    Control Center - Network Services

    1. 選択 Engine をクリックし、  Restart.

    Control Center - Network Services

    タスク 4.CUCMセキュア設定

    CUCMでSIPメッセージを保護するには、次の設定を実行します。

    • CUCMセキュリティモードを混合モードに設定する
    • CUBEおよびCVPのSIPトランクセキュリティプロファイルの設定
    • 各SIPトランクへのSIPトランクセキュリティプロファイルの関連付け
    • CUCMとのセキュアエージェントのデバイス通信

    CUCMセキュリティモードを混合モードに設定する

    CUCMは、次の2つのセキュリティモードをサポートしています。

    • 非セキュアモード(デフォルトモード)
    • 混合モード(セキュアモード)

    手順:

    1. セキュリティモードを混合モードに設定するには、にログインします  Cisco Unified CM Administration  サポートされていません。

    CUCM Administration Interface

    1. CUCMに正常にログインした後、  System > Enterprise Parameters.

    CUCM Enterprise Parameters

    1. その下に Security Parameters セクションをチェックします。  Cluster Security Mode に設定されている  0.

    CUCM Security Parameters

    1. [クラスタセキュリティモード(Cluster Security Mode)]が0に設定されている場合は、クラスタセキュリティモードが非セキュアに設定されていることを意味します。CLIから混合モードを有効にする必要があります。
    2. CUCMへのSSHセッションを開きます。
    3. SSH経由でCUCMに正常にログインしたら、次のコマンドを実行します。 utils ctl set-cluster mixed-mode
    1. Type y プロンプトが表示されたら、Enterをクリックします。このコマンドは、クラスタセキュリティモードを混合モードに設定します。

    CUCM SSH Console

    1. 変更を有効にするには、  Cisco CallManager  と  Cisco CTIManager  サービス.
    2. サービスを再起動するには、に移動してログインします Cisco Unified Serviceability.

    Cisco Unified Serviceability

    1. 正常にログインしたら、に移動します。  Tools > Control Center – Feature Services.

    Control Center - Feature Services

    1. サーバを選択し、  Go.

    Select Server

    1. CMサービスの下で、 Cisco CallManager  次に、  Restart  ボタンをクリックします。

    Restarting Cisco Call Manager Services

    1. ポップアップメッセージを確認し、  OK.サービスが正常に再起動するまで待ちます。

    Info Message

    1. 再起動が成功した後  Cisco CallManager[Cisco]を選択します。  CTIManager  次に、 Restart 再起動するボタン  Cisco CTIManager  service .

    Restarting Cisco CTI Manager Service

    1. ポップアップメッセージを確認し、  OK.サービスが正常に再起動するまで待ちます。

    Info Message

    1. サービスが正常に再起動したら、クラスタセキュリティモードが混合モードに設定されていることを確認し、手順5で説明されているようにCUCM管理に移動します。次に、  Cluster Security Mode.次に設定する必要があります。  1.

    Cluster Security Mode is to the Value of '1'

    CUBEおよびCVPのSIPトランクセキュリティプロファイルの設定

    手順:

    1. ログイン先  CUCM administration  サポートされていません。
    2. CUCMに正常にログインした後、 System > Security > SIP Trunk Security Profile  CUBEのデバイスセキュリティプロファイルを作成します。

    CUCM SIP Trunk Security Profile

    1. 左上で、  Add New  新しいプロファイルを追加します。

    Add New CUCM SIP Trunk Security Profile

    1. 設定 SIP Trunk Security Profile 次の図に示すように、  Save  ページの左下で~する  Save  IT。

    Add CUCM SIP Trunk Security Profile for CUBE

    5. VLANの設定を  Secure Certificate Subject or Subject Alternate Name  CUBE証明書の共通名(CN)に一致する必要があります。

    6.クリック  Copy  ボタンをクリックし、 Name から  SecureSipTLSforCVP および Secure Certificate Subject 一致する必要があるCVPコールサーバ証明書のCNに送信します。クリック Save をクリックして、クエリーを実行します。

    Add CUCM SIP Trunk Security Profile for CVP

    各SIPトランクへのSIPトランクセキュリティプロファイルの関連付け

    手順:

    1. [CUCM Administration]ページで、  Device > Trunk.

    CUCM Trunk Configuration for CUBE

    1. CUBEトランクを検索します。この例では、CUBEトランク名は  vCube . クリック  Find.

    Find SIP Trunks on CUCM for CUBE

    1. [vCUBE]をクリックして、[vCUBEトランク設定(vCUBE trunk configuration)]ページを開きます。
    2. 下にスクロールして SIP Information セクションに移動し、  Destination Port  から  5061.
    3. Change SIP Trunk Security Profile から  SecureSIPTLSForCube.

    SIP Trunk Configuration for CUBE

    1. クリック Save then Rest ~するために  Save 変更を適用します

    Save Configuration


    Info Message

    1. 移動先  Device > Trunk、CVPトランクを検索します。この例では、CVPトランク名は  cvp-SIP-Trunk . クリック  Find.

    CUCM Trunk Configuration for CVP

    1. クリック CVP-SIP-Trunk CVPトランク設定ページを開きます。
    2. 下にスクロールして SIP Information セクション、および変更  Destination Port  から  5061 .
    3. Change  SIP Trunk Security Profile  から  SecureSIPTLSForCvp.

    Find SIP Trunks on CUCM for CVP

    1. クリック  Save then Rest ~するために save 変更を適用します

    SIP Trunk Configuration for CVP

    Save Configuration

    CUCMとのセキュアエージェントのデバイス通信

    デバイスのセキュリティ機能を有効にするには、ローカルで有効な証明書(LSC)をインストールし、セキュリティプロファイルをそのデバイスに割り当てる必要があります。LSCは、エンドポイントの公開キーを所有します。この公開キーは、Certificate Authority Proxy Function(CAPF)秘密キーによって署名されています。デフォルトでは、電話機にはインストールされません。

    手順:

    1. ログイン先 Cisco Unified Serviceability Interface.
    2. 移動先  Tools > Service Activation.

    Info Message

    1. CUCMサーバを選択し、  Go .

    CUCM Service Activation

    1. オン Cisco Certificate Authority Proxy Function をクリックし、  Save サービスをアクティブ化します。クリック Ok をクリックします。

    Select Server

    1. サービスがアクティブになっていることを確認してから、  Cisco Unified CM Administration.

    Activate Cisco Certificate Authority Proxy Function Service

    1. CUCM管理に正常にログインしたら、に移動します。  System > Security > Phone Security Profile  エージェントデバイスのデバイスセキュリティプロファイルを作成します。

    CUCM Administration

    1. 使用しているエージェントデバイスタイプに対応するセキュリティプロファイルを見つけます。この例では、ソフトフォンが使用されているため、  Cisco Unified Client Services Framework - Standard SIP Non-Secure Profile . クリック CopyPhone Security Profile このプロファイルをコピーします。

    Copy Existing Phone Security Profile

    1. プロファイルの名前をに変更  Cisco Unified Client Services Framework - Secure Profileをクリックし、次の図に示すようにパラメータを変更して、  Save ページの左上に表示されます。

    Add New Phone Security Profile

    1. 電話デバイスプロファイルの作成が正常に完了したら、に移動します。  Device > Phone.

    Phone Configuration

    1. クリック Find すべての使用可能な電話機を一覧表示するには、[agent phone]をクリックします。
    2. [エージェントの電話機設定(Agent phone configuration)]ページが開きます。検索 Certification Authority Proxy Function (CAPF) Information 。LSCをインストールするには、 Certificate Operation から Install/Upgrade と Operation Completes by 将来の任意の日付に変更します。

    Setting CAPF Parameters

    1. 検索 Protocol Specific Information 。Change Device Security Profile から  Cisco Unified Client Services Framework – Secure Profile.

    Assigning Device Security Profile to IP Phone

    1. クリック  Save ページの左上に表示されます。変更が正常に保存されたことを確認し、  Reset.

    Save Configuration

    1. ポップアップウィンドウが開き、  Reset  をクリックしてアクションを確認します。

    Phone Reset

    1. エージェントデバイスがCUCMに再登録されたら、現在のページを更新し、LSCが正常にインストールされていることを確認します。オン Certification Authority Proxy Function (CAPF) Information section, Certificate Operation に設定する必要があります。  No Pending Operation,と Certificate Operation Status に設定されている  Upgrade Success .

    CAPF Information is Updated

    1. 手順を参照してください。7-13:CUCMでSIPを保護するために使用する他のエージェントデバイスを保護するため。

    確認

    SIPシグナリングが適切に保護されていることを確認するには、次の手順を実行します。

    1. vCUBEへのSSHセッションを開き、コマンドを実行します。 show sip-ua connections tcp tls detail 、CVP(198.18.133.13)とのTLS接続が現在確立されていないことを確認します。

    show sip-ua connections tcp tls detail Output on CUBE SSH Console

    :現時点では、CUCM(198.18.133.3)でSIPオプション用にCUCMとのアクティブなTLSセッションが1つだけ有効になっています。有効なSIPオプションがない場合、SIP TLS接続は存在しません。

    1. CVPにログインし、Wiresharkを起動します。
    2. コンタクトセンター番号にテストコールを発信します。
    3. CVPセッションに移動します。Wiresharkで、CUBEを使用したSIPシグナリングを確認するには、次のフィルタを実行します。
      ip.addr == 198.18.133.226 && tls && tcp.port==5061

    Packet Capture Filtering CVP Secure SIP Signals Between CVP and CUBE

    チェック:SIP over TLS接続は確立されていますか。この場合、出力はCVPとCUBE間のSIP信号がセキュアであることを確認します。

    5. CVPとCVVBの間のSIP TLS接続を確認します。同じWiresharkセッションで、次のフィルタを実行します。

    ip.addr == 198.18.133.143 && tls && tcp.port==5061

    Packet Capture Filtering CVP Secure SIP Signals Between CVP and VVB

    チェック:SIP over TLS接続は確立されていますか。この場合、出力はCVPとCVVBの間のSIP信号が保護されていることを確認します。

    6. CUBEからCVPとのSIP TLS接続を確認することもできます。vCUBE SSHセッションに移動し、次のコマンドを実行してセキュアなsip信号を確認します。
    show sip-ua connections tcp tls detail


    SIP TLS Connection Between CVP and CUBE from CUBE SSH Console

    チェック:SIP over TLS接続はCVPと確立されていますか。この場合、出力はCVPとCUBE間のSIP信号がセキュアであることを確認します。

    7.この時点では、コールはアクティブで、コールに応答できるエージェントがないため、保留音(MOH)が聞こえます。

    8.エージェントがコールに応答できるようにします。

    .Make Agent Ready on Finesse Agent Desktop

    9.エージェントが予約され、コールがエージェントにルーティングされます。クリック Answer コールに応答します。

    Answer Incoming Call on Finesse Desktop


    10.コールがエージェントに接続します。

    11. CVPとCUCMの間のSIP信号を確認するには、CVPセッションに移動し、Wiresharkで次のフィルタを実行します。
    ip.addr == 198.18.133.3 && tls && tcp.port==5061

    Packet Capture Filtering Secure SIP Signals between CVP and CUCM

    チェック:CUCM(198.18.133.3)とのSIP通信はすべてTLSを介して行われますか。この場合、出力はCVPとCUCM間のSIP信号がセキュアであることを確認します。

    トラブルシュート

    TLSが確立されていない場合は、CUBEで次のコマンドを実行し、debug TLSを有効にしてトラブルシューティングを行います。

    • Debug ssl openssl errors
    • Debug ssl openssl msg
    • Debug ssl openssl states

    更新履歴

    改定 発行日 コメント
    1.0
    23-Nov-2022
    初版
    TAC Authored

    シスコ エンジニア提供

    • Mohamed Mohasseb
      テクニカルコンサルティングエンジニア

    このドキュメントは役に立ちましたか?

    Feedbackフィードバック

    シスコに問い合わせ

    このドキュメントは次の製品に対応しています