SIP-TELEFOONS configureren tussen CUCM-CUBE/CUBE-SBC met CA-ondertekende certificaten
Inhoud
Inleiding
Dit document beschrijft hoe u SIP Transport Layer Security (TLS) kunt configureren tussen Cisco Unified Communications Manager (CUCM) en Cisco Unified Border Element (CUBE) met door certificeringsinstanties (CA) ondertekende certificaten.
Voorwaarden
Cisco adviseert om kennis van deze onderwerpen te hebben
- SIP-protocol
- Security certificaten
Vereisten
- Datum en tijd moeten op de eindpunten overeenkomen (aanbevolen wordt om dezelfde NTP-bron te hebben).
- CUCM moet in gemengde modus worden geplaatst.
- TCP-connectiviteit is vereist (Open poort 5061 op elke transitfirewall).
- De CUBE moet de security en Unified Communications K9 (UCK9) licenties hebben geïnstalleerd.
Gebruikte componenten
- SIP
- Certificaten van certificeringsinstanties
-
Cisco IOS en IOS-XE gateways
2900 / 3900 / 4300 / 4400 / CSR1000v / ASR100X versies: 15,4+
-
Cisco Unified Communications Manager (CUCM)
Versies: 10,5+
Configureren
Netwerkdiagram
Configuratie
Stap 1. U gaat met behulp van deze opdracht een RSA-toets definiëren die overeenkomt met de certificaatlengte van het wortelcertificaat:
Crypto key generate rsa label TestRSAkey exportable modulus 2048
Deze opdracht maakt een RSA-toets met een lengte van 2048 bits (het maximum is 4096).
Stap 2. Maak een betrouwbaar punt om ons CA-ondertekend certificaat te houden met opdrachten:
Crypto pki trustpoint CUBE_CA_CERT serial-number none fqdn none ip-address none subject-name cn=ISR4451-B.cisco.lab !(this has to match the router’s hostname [hostname.domain.name]) revocation-check none rsakeypair TestRSAkey !(this has to match the RSA key you just created)
Stap 3. Nu u ons vertrouwde punt hebt, zult u ons CSR-verzoek met de onderstaande opdrachten genereren:
Crypto pki enroll CUBE_CA_CERT
Beantwoord de vragen op het scherm en kopieer vervolgens het CSR-verzoek, bewaar het in een bestand en verstuur het naar de CA.
Stap 4. U moet weten of de keten van het wortelcertificaat tussentijdse certificaten heeft; indien er geen intermediaire certificeringsinstanties zijn , stap 7 , anders , voort in stap 6 .
Stap 5. Maak een trust punt om het certificaat van de Opstarten te houden, plus, om een trust point te maken om een intermediaire CA te houden tot het punt dat ons CUBE-certificaat ondertekend heeft (zie afbeelding hieronder).
In dit voorbeeld, het 1ste niveau is de Root CA, het 2e niveau is onze eerste intermediaire CA, het 3rd niveau is de CA die ons CUBE certificaat ondertekenen, en dus moet u een betrouwbaar punt creëren om de eerste 2 certificaten met deze opdrachten te bezitten.
Crypto pki trustpoint Root_CA_CERT
Enrollment terminal pem
Revocation-check none
Crypto pki authenticate Root_CA_CERT
Paste the X.64 based certificate here
Crypto pki trustpoint Intermediate_CA
Enrollment terminal
Revocation-check none
Crypto pki authenticate Intermediate_CA
Stap 6. Nadat u ons door CA ondertekend certificaat hebt ontvangen, gaat u het vertrouwenspunt echt maken, dan moet de trustpoint het certificaat van de CA vlak voor het CUBE-certificaat in zijn bezit hebben. de opdracht die invoer van het certificaat mogelijk maakt, is:
Crypto pki authenticate CUBE_CA_CERT
Stap 7. Nadat u ons certificaat hebt geïnstalleerd, moet u deze opdracht uitvoeren om uw CUBE-certificaat te importeren
Crypto pki import CUBE_CA_CERT cert
Stap 8. Configureer de SIP-UA met het door u aangelegde betrouwbaar punt
sip-ua crypto signaling default trustpoint CUBE_CA_CERT
Stap 9. Configureer kiestoon zoals hieronder wordt weergegeven:
dial-peer voice 9999 voip answer-address 35.. destination-pattern 9999 session protocol sipv2 session target dns:cucm10-5 session transport tcp tls voice-class sip options-keepalive srtp
Hierdoor is de CUBE-configuratie voltooid.
Stap 10. U gaat nu onze CUCM CSR genereren, volgt u de onderstaande instructies
- Inloggen op CUCM OS-beheerder
- Klik op beveiliging
- Klik op certificaatbeheer.
- Klik op om CSR te genereren
Het CSR-verzoek moet hieronder worden weergegeven:
Stap 11. Download de CSR en stuur het naar de CA.
Stap 12. Upload de door CA ondertekende certificeringsketen naar CUCM, stappen zijn:
- Klik op beveiliging en vervolgens op certificaatbeheer.
- Klik op het uploaden van certificaat/certificeringsketen.
- Selecteer in het vervolgkeuzemenu voor de certificaatfunctie de optie Call Manager.
- Bladeren naar je bestand.
- Klik op het uploaden.
Stap 13. Meld u aan bij de CUCM CLI en voer deze opdracht uit
utils ctl update CTLFile
Stap 14. Configuratie van een CUCM SIP-routerbeveiligingsprofiel
- Klik op het systeem, dan veiligheid en dan sloop het veiligheidsprofiel van de boomstam
- Het profiel configureren zoals in de afbeelding wordt getoond,
Stap 15. Configureer een SIP-stam zoals u normaal met CUCM zou doen
- Zorg ervoor dat het selectieknop SRTP is ingeschakeld.
- Configureer het juiste doeladres en zorg ervoor dat u poort 5060 door poort 5061 vervangt.
- Zorg ervoor dat in het SIP stam veiligheidsprofiel de SIP profielnaam die op stap 14 is gemaakt, selecteert.
Verifiëren
Als alle configuratie nu goed is,
Op CUCM toont de status van de SIP-stam de volledige service, zoals in de afbeelding wordt getoond.
Op CUBE toont de dial-peer deze status:
TAG TYPE MIN OPER PREFIX DEST-PATTERN FER THRU SESS-TARGET STAT PORT KEEPALIVE 9999 voip up up 9999 0 syst dns:cucm10-5 active
Dit zelfde proces is van toepassing op andere routers, het enige verschil is dat in plaats van stappen te ondernemen om het CUCM-certificaat te uploaden, het certificaat dat door derden is geleverd te uploaden.
Problemen oplossen
Schakel deze apparaten op CUBE in
debug crypto pki api debug crypto pki callbacks debug crypto pki messages debug crypto pki transactions debug ssl openssl errors debug ssl openssl msg debug ssl openssl states debug ip tcp transactions
FeedbackContact Cisco
- Een ondersteuningscase openen
- (Vereist een Cisco-servicecontract)