Contact Center EnterpriseでのセキュアRTPの設定

ダウンロード オプション

  • PDF     (1.7 MB)
    Adobe Reader を使ってさまざまなデバイスで表示
  • ePub     (1.3 MB)
    iPhone、iPad、Android、ソニーの Reader、または Windows Phone 上で、さまざまなアプリを使って表示
  • Mobi (Kindle)     (2.2 MB)
    Kindle デバイスで、または Kindle アプリを使って複数のデバイスで表示
Updated: 2022 年 12 月 21 日
Document ID:220123

偏向のない言語

この製品のドキュメントセットは、偏向のない言語を使用するように配慮されています。このドキュメントセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブ ランゲージの取り組みの詳細は、こちらをご覧ください。

翻訳について

シスコは世界中のユーザにそれぞれの言語でサポート コンテンツを提供するために、機械と人による翻訳を組み合わせて、本ドキュメントを翻訳しています。ただし、最高度の機械翻訳であっても、専門家による翻訳のような正確性は確保されません。シスコは、これら翻訳の正確性について法的責任を負いません。原典である英語版(リンクからアクセス可能)もあわせて参照することを推奨します。

    概要

    このドキュメントでは、Contact Center Enterprise(CCE)の包括的なコールフローでReal-time Transport Protocol(SRTP)トラフィックを保護する方法について説明します。

    前提条件

    証明書の生成とインポートについては、このドキュメントでは扱いません。そのため、Cisco Unified Communication Manager(CUCM)、Customer Voice Portal(CVP)Call Server、Cisco Virtual Voice Browser(CVVB)、およびCisco Unified Border Element(CUBE)の証明書を作成し、各コンポーネントにインポートする必要があります。自己署名証明書を使用する場合は、異なるコンポーネント間で証明書を交換する必要があります。

    要件

    次の項目に関する知識があることが推奨されます。

    • CCE
    • CVP
    • CUBE
    • CUCM
    • CVVB

    使用するコンポーネント

    このドキュメントの情報は、Package Contact Center Enterprise(PCCE)、CVP、CVVB、およびCUCMバージョン12.6に基づいていますが、以前のバージョンにも適用できます。

    このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されました。このドキュメントで使用するすべてのデバイスは、初期(デフォルト)設定の状態から起動しています。本稼働中のネットワークでは、各コマンドによって起こる可能性がある影響を十分確認してください。

    設定

    :コンタクトセンターの包括的なコールフローでは、セキュアRTPを有効にするには、セキュアSIP信号を有効にする必要があります。したがって、このドキュメントの設定では、セキュアSIPとSRTPの両方が有効になっています。

    次の図は、コンタクトセンターの包括的なコールフローでSIP信号とRTPに関与するコンポーネントを示しています。システムに音声コールが着信すると、最初に入力ゲートウェイまたはCUBE経由で着信するため、CUBEで設定を開始します。次に、CVP、CVVB、およびCUCMを設定します。

    Inbound SIP and RTP Call Flow

    タスク1:CUBEのセキュアな設定

    この作業では、SIPプロトコルメッセージとRTPを保護するようにCUBEを設定します。

    必要な設定:

    • SIP UA のデフォルトのトラストポイントを設定します。
    • TLSおよびSRTPを使用するためのダイヤルピアの変更

    手順:

    1. CUBEへのSSHセッションを開きます。
    1. SIPスタックでCUBEのCA証明書を使用するには、次のコマンドを実行します。CUBEは、CUCM(198.18.133.3)およびCVP(198.18.133.13)との間でSIP TLS接続を確立します。

    Conf t Sip-ua Transport tcp tls v1.2 crypto signaling remote-addr 198.18.133.3 255.255.255.255 trustpoint ms-ca-name crypto signaling remote-addr 198.18.133.13 255.255.255.255 trustpoint ms-ca-name exit

    CUBE SSH Console

    1. CVPへの発信ダイヤルピアでTLSを有効にするには、次のコマンドを実行します。この例では、ダイヤルピアタグ6000を使用してコールをCVPにルーティングします。

    Conf t dial-peer voice 6000 voip session target ipv4:198.18.133.13:5061 session transport tcp tls srtp exit

    CUBE SSH Console

    タスク2:CVPセキュア設定

    この作業では、SIPプロトコルメッセージ(SIP TLS)を保護するようにCVPコールサーバを設定します。

    手順:

    1. Cisco Unified Communications Managerにログインし、  UCCE Web Administration.
    2. 移動先  Call Settings > Route Settings > SIP Server Group.

    SIP Server Group Configuration on CCE Admin Portal

    設定に基づいて、CUCMCVVB、およびCUBEに対してSIPサーバグループが設定されていま。これらすべてに対して、セキュアSIPポートを5061に設定する必要があります。 この例では、次のSIPサーバグループが使用されます。

    • cucm1.dcloud.cisco.com CUCMの場合
    • vvb1.dcloud.cisco.com CVVBの場合
    • cube1.dcloud.cisco.com  CUBE用
    1. クリック  cucm1.dcloud.cisco.comその後、  Members  SIPサーバグループ設定の詳細を表示するタブ。Set SecurePort から  5061 をクリックし、 Save.

    Setting secure SIP Port for CUCM Server Group

    1. クリック vvb1.dcloud.cisco.com その後、  Members  タブをクリックし、  SecurePort から 5061  をクリックし、  Save.

    Setting secure SIP Port for VVB Server Group

    タスク3:CVVBセキュア設定

    この作業では、SIPプロトコルメッセージ(SIP TLS)とSRTPを保護するようにCVVBを設定します。

    手順:

    1. を開きます。 Cisco VVB Admin  ページを使用します。
    2. 移動先  System > System Parameters.

    VVB System Parameters

    1. Cisco Unified Communications Manager  Security Parameters セクション、選択 Enable を参照  TLS (SIP) .IPv6アドレスを Supported TLS(SIP) version as TLSv1.2  を選択し、  Enable  を参照  SRTP.

    VVB Security Parameters

    1. クリック  Update.クリック  Ok cvvbエンジンの再起動を求めるプロンプトが表示されます。

    Update Security Parameters

    1. これらの変更を行うには、Cisco VVBエンジンを再起動する必要があります。VVBエンジンを再起動するには、  Cisco VVB Serviceability をクリックし、  Go.

    Cisco VVB Serviceability

    1. 移動先  Tools > Control Center – Network Services.

    Control Center - Network Services

    1. 選択  Engine をクリックし、  Restart.

    Restarting CVVB Engine Services

    タスク4:CUCMセキュア設定

    CUCMでSIPメッセージとRTPを保護するには、次の設定を実行します。

    • CUCMセキュリティモードを混合モードに設定する
    • CUBEおよびCVPのSIPトランクセキュリティプロファイルの設定
    • SIPトランクセキュリティプロファイルをそれぞれのSIPトランクに関連付け、SRTPを有効にする
    • CUCMとのセキュアエージェントのデバイス通信

    CUCMセキュリティモードを混合モードに設定する

    CUCMは、次の2つのセキュリティモードをサポートしています。

    • 非セキュアモード(デフォルトモード)
    • 混合モード(セキュアモード)

    手順:

    1. CUCM管理インターフェイスにログインします。

    CUCM Administration Interface

    1. CUCMにログインすると、  System > Enterprise Parameters.

    CUCM Enterprise Parameters

    1. 下に  Security Parameters セクションを参照して、 Cluster Security Mode に設定されている  0.

    CUCM Security Parameters

    1. [クラスタセキュリティモード(Cluster Security Mode)]が0に設定されている場合は、クラスタセキュリティモードが非セキュアに設定されていることを意味します。CLIから混合モードを有効にする必要があります。
    2. CUCMへのSSHセッションを開きます。
    3. SSH経由でCUCMに正常にログインしたら、次のコマンドを実行します。

    utils ctl set-cluster mixed-mode

    1. Type y をクリックし、 Enter プロンプトが表示されます。このコマンドは、クラスタセキュリティモードを混合モードに設定します。

    CUCM SSH Console

    1. 変更を有効にするには、 Cisco CallManager および  Cisco CTIManager サービス.
    2. サービスを再起動するには、に移動してログインします  Cisco Unified Serviceability.

    Cisco Unified Serviceability

    1. ログインに成功したら、に移動します。  Tools > Control Center – Feature Services.

    Control Center - Feature Services

    1. サーバを選択し、  Go.

    Select Server

    1. CMサービスの下で、 Cisco CallManager をクリックし、  Restart  ボタンをクリックします。

    Restarting Cisco CallManager Service

    1. ポップアップメッセージを確認し、  OK.サービスが正常に再起動するまで待ちます。

    Info Message

    1. の再起動が成功した後  Cisco CallManagerを選択し、  Cisco CTIManager 次に、  Restart 再起動するボタン  Cisco CTIManager service .

    Restarting Cisco CTI Manager Service

    1. ポップアップメッセージを確認し、  OK.サービスが正常に再起動するまで待ちます。

    Info Message

    1. サービスが正常に再起動した後、クラスタセキュリティモードが混合モードに設定されていることを確認するには、ステップ5で説明されているようにCUCM管理に移動し、  Cluster Security Mode.次に設定する必要があります。  1.

    Cluster Security Mode is to the Value of '1'

    CUBEおよびCVPのSIPトランクセキュリティプロファイルの設定

    手順:

    1. CUCM管理インターフェイスにログインします。
    2. CUCMに正常にログインした後、  System > Security > SIP Trunk Security Profile CUBEのデバイスセキュリティプロファイルを作成します。

    CUCM SIP Trunk Security Profile

    1. 左上の[Add New] をクリックして、新しいプロファイルを追加します。

    Add a New CUCM SIP Trunk Security Profile

    1. 設定  SIP Trunk Security Profile  次の図のように入力し、  Save  ページの左下。

    Add CUCM SIP Trunk Security Profile for CUBE

    5. VLANの設定を  Secure Certificate Subject or Subject Alternate Name  CUBE証明書の共通名(CN)に一致する必要があります。

    6.クリック  Copy  ボタンをクリックし、  Name から  SecureSipTLSforCVP.Change  Secure Certificate Subject  一致する必要があるCVPコールサーバ証明書のCNに送信します。クリック  Save  をクリックして、クエリーを実行します。

    Add CUCM SIP Trunk Security Profile for CVP

    SIPトランクセキュリティプロファイルをそれぞれのSIPトランクに関連付け、SRTPを有効にする

    手順:

    1. [CUCM Administration]ページで、  Device > Trunk.

    CUCM Trunk Configuration for CUBE

    1. CUBEトランクを検索します。この例では、CUBEトランク名は  vCube をクリックし、  Find.

    Find SIP Trunks on CUCM for CUBE

    1. クリック  vCUBE をクリックして、vCUBEトランク設定ページを開きます。
    2. イン  Device Information セクションを確認してください。 SRTP Allowed SRTPを有効にします。

    Enable SRTP on SIP Trunk Configuration for CUBE

    1. 下にスクロールして、 SIP Information セクションに移動し、  Destination Port から  5061.
    2. Change  SIP Trunk Security Profile から  SecureSIPTLSForCube.

    Assign a Security Profile on SIP Trunk Configuration for CUBE

    1. クリック  Save then  Rest から save 変更を適用します

    Save Configuration

    Info Message

    1. 移動先  Device > TrunkCVPトランクを検索します。この例では、CVPトランク名は  cvp-SIP-Trunk.クリック  Find.

    Find SIP Trunks on CUCM for CVP

    1. クリック  CVP-SIP-Trunk CVPトランク設定ページを開きます。
    2. イン  Device Information セクション、チェック  SRTP Allowed SRTPを有効にします。

    Enable SRTP on SIP Trunk Configuration for CVP

    1. 下にスクロールして、  SIP Information セクションを変更し、  Destination Port から  5061.
    2. Change  SIP Trunk Security Profile から  SecureSIPTLSForCvp.

    Assign a Security Profile on SIP Trunk Configuration for CVP

    1. クリック  Save  then  Rest から save 変更を適用します

    Save Configuration Info Message

    CUCMとのセキュアエージェントのデバイス通信

    デバイスのセキュリティ機能を有効にするには、ローカルで有効な証明書(LSC)をインストールし、セキュリティプロファイルをそのデバイスに割り当てる必要があります。LSCは、CUCM CAPF秘密キーで署名されたエンドポイントの公開キーを保持します。デフォルトでは、電話機にはインストールされません。


    手順:

    1. ログイン先  Cisco Unified Serviceability サポートされていません。
    2. 移動先  Tools > Service Activation.

    CUCM Service Activation

    1. CUCMサーバを選択し、  Go.

    Select Server

    1. オン  Cisco Certificate Authority Proxy Function をクリックし、  Save  サービスをアクティブ化します。クリック  Ok をクリックします。

    Activate Cisco Certificate Authority Proxy Function Service

    1. サービスがアクティブになっていることを確認し、CUCM administrationに移動します。

    CUCM Administration

    1. CUCM管理へのログインに成功したら、に移動します。  System > Security > Phone Security Profile エージェントデバイスのデバイスセキュリティプロファイルを作成します。

    Phone Security Profile

    1. 使用しているエージェントデバイスタイプに対応するセキュリティプロファイルを見つけます。この例では、ソフトフォンが使用されているため、  Cisco Unified Client Services Framework - Standard SIP Non-Secure ProfileコピーアイコンをクリックしますCopy Icon このプロファイルをコピーします。

    Copy Existing Phone Security Profile

    1. プロファイルの名前をに変更  Cisco Unified Client Services Framework - Secure Profile.  C次の図のようにパラメータを変更し、  Save  ページの左上に表示されます。

    Add a New Phone Security Profile

    1. 電話デバイスプロファイルの作成が正常に完了したら、に移動します。  Device > Phone.

    Phone Configuration

    1. クリック  Find 使用可能なすべての電話機を一覧表示するには、[エージェントの電話機(agent phone)]をクリックします。
    2. [エージェントの電話機設定(Agent phone configuration)]ページが開きます。検索  Certification Authority Proxy Function (CAPF) Information 。LSCをインストールするには、  Certificate Operation から  Install/Upgrade と  Operation Completes by 将来の任意の日付に変更します。

    Setting CAPF Parameters

    1. 検索  Protocol Specific Information セクションに移動し、  Device Security Profile から  Cisco Unified Client Services Framework – Secure Profile.

    Assigning Device Security Profile to IP Phone

    1. クリック  Save ページの左上に表示されます。変更が正常に保存されたことを確認し、  Reset.

    Save Configuration

    1. ポップアップウィンドウが開き、  Reset  をクリックしてアクションを確認します。

    Phone Reset

    1. エージェントデバイスがCUCMに再登録されたら、現在のページを更新し、LSCが正常にインストールされていることを確認します。オン  Certification Authority Proxy Function (CAPF) Information section,  Certificate Operation に設定する必要があります。  No Pending Operation と  Certificate Operation Status に設定されている  Upgrade Success.

    CAPF Information is Updated

    1. 手順と同じ手順を参照してください。7 ~ 13:CUCMでセキュアSIPおよびRTPを使用する他のエージェントのデバイスを保護します。

    確認

    RTPが適切に保護されていることを確認するには、次の手順を実行します。

    1. コンタクトセンターにテストコールを発信し、IVRプロンプトを聞きます。
    2. 同時に、vCUBEへのSSHセッションを開き、次のコマンドを実行します。
      show call active voice brief

    show call active voice brief Command Output on CUBE SSH Console

    ヒント:SRTPが on CUBEとVVB間(198.18.133.143)。この場合、CUBEとVVBの間のRTPトラフィックが安全であることを確認します。

    1. エージェントがコールに応答できるようにします。
      .Make Agent Ready on Finesse Agent Desktop
    2. エージェントが予約され、コールがエージェントにルーティングされます。通話に応答します。
    3. コールがエージェントに接続されます。vCUBE SSHセッションに戻り、次のコマンドを実行します。
      show call active voice brief

    show call active voice brief Command Output on CUBE SSH Console

    ヒント:SRTPが on CUBEとエージェントの電話(198.18.133.75)の間で行われます。「はい」の場合、CUBEとエージェント間のRTPトラフィックが安全であることを確認します。

    1. また、コールが接続されると、エージェントデバイスにセキュリティロックが表示されます.これにより、RTPトラフィックが安全であることも確認できます。

    Secure Lock Appears, Confirm SRTP is Established

    SIP信号が適切に保護されていることを検証するには、「セキュアSIPシグナリングの設定」の記事を参照してください。

    更新履歴

    改定 発行日 コメント
    1.0
    21-Dec-2022
    初版
    TAC Authored

    シスコ エンジニア提供

    • Mohamed Mohasseb
      テクニカルコンサルティングエンジニア

    このドキュメントは役に立ちましたか?

    Feedbackフィードバック

    シスコに問い合わせ

    このドキュメントは次の製品に対応しています