SIP-TLS Trunk configureren op Unified Communications Manager met een CA-ondertekend certificaat

Downloadopties

  • PDF     (2.1 MB)
    Met Adobe Reader op diverse apparaten bekijken
  • ePub     (1.8 MB)
    Bekijken in diverse apps op iPhone, iPad, Android, Sony Reader of Windows Phone
  • Mobi (Kindle)     (2.8 MB)
    Op Kindle-apparaat of via Kindle-app op meerdere apparaten bekijken
Bijgewerkt:8 mei 2018
Document-id:200180

Inclusief taalgebruik

De documentatie van dit product is waar mogelijk geschreven met inclusief taalgebruik. Inclusief taalgebruik wordt in deze documentatie gedefinieerd als taal die geen discriminatie op basis van leeftijd, handicap, gender, etniciteit, seksuele oriëntatie, sociaaleconomische status of combinaties hiervan weerspiegelt. In deze documentatie kunnen uitzonderingen voorkomen vanwege bewoordingen die in de gebruikersinterfaces van de productsoftware zijn gecodeerd, die op het taalgebruik in de RFP-documentatie zijn gebaseerd of die worden gebruikt in een product van een externe partij waarnaar wordt verwezen. Lees meer over hoe Cisco gebruikmaakt van inclusief taalgebruik.

Over deze vertaling

Cisco heeft dit document vertaald via een combinatie van machine- en menselijke technologie om onze gebruikers wereldwijd ondersteuningscontent te bieden in hun eigen taal. Houd er rekening mee dat zelfs de beste machinevertaling niet net zo nauwkeurig is als die van een professionele vertaler. Cisco Systems, Inc. is niet aansprakelijk voor de nauwkeurigheid van deze vertalingen en raadt aan altijd het oorspronkelijke Engelstalige document (link) te raadplegen.

    Inleiding

    Dit document beschrijft een stap voor stap proces om de door een certificeringsinstantie (CA) ondertekende Session Initiation Protocol (SIP) Transport Layer Security (TLS) Trunk op Communications Manager te configureren.

    Na het volgen van dit document worden SIP-berichten tussen twee clusters versleuteld met het TLS.

    Voorwaarden

    Vereisten

    Cisco raadt u aan kennis te hebben van:

    • Cisco Unified Communications Manager (CUCM)  
    • SIP

    Gebruikte componenten

    De informatie in dit document is gebaseerd op deze softwareversies:

    • UCM versie 9.1(2)
    • UCM versie 10.5(2)
    • Microsoft Windows Server 2003 als CA

    De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u de potentiële impact van elke opdracht begrijpen.

    Achtergrondinformatie

     Zoals in deze afbeelding wordt getoond, SSL Handshake met certificaten.

    200180-Configure-SIP-TLS-Trunk-on-the-Communica-00.png


    Configureren

    Stap 1. Gebruik de openbare CA of de optie CA instellen op Windows Server 2003

    Raadpleeg de link: Stel CA in op Windows 2003-server

    Stap 2. Controleer uw naam en instellingen

    Certificaten zijn gebaseerd op namen. Zorg ervoor dat de namen juist zijn voor u begint.

    From SSH CLI
admin:show cert own CallManager
SignatureAlgorithm: SHA1withRSA (1.2.840.113549.1.1.5)
Issuer Name: CN=CUCMA, OU=cisco, O=cisco, L=cisco, ST=cisco, C=IN
Subject Name: CN=CUCMA, OU=cisco, O=cisco, L=cisco, ST=cisco, C=IN

    Raadpleeg de link om de hostname te wijzigen: Hostnaam wijzigen op CUCM

    Stap 3. Generate en Download de certificaataanvraag (CSR)

    CUCM 9.1(2)

    Om de CSR te genereren, navigeer dan naar OS-beheerder > Beveiliging > certificaatbeheer > CSR genereren

    Selecteer in het veld certificaatnaam de optie CallManager in de vervolgkeuzelijst.

    200180-Configure-SIP-TLS-Trunk-on-the-Communica-01.png

    U kunt CSR downloaden via OS Admin > Security > certificaatbeheer > CSR downloaden

     Selecteer in het veld certificaatnaam de optie CallManager in de vervolgkeuzelijst.

    200180-Configure-SIP-TLS-Trunk-on-the-Communica-02.png

    CUCM 10.5(2)

    Om de CSR te genereren, navigeer naar OS-beheerder > Beveiliging > certificaatbeheer > CSR genereren

                   

    1. Selecteer in het veld certificaatdoel de optie CallManager in de vervolgkeuzelijst.

    2. Selecteer 1024 in het veld Key Length van de vervolgkeuzelijst.
    3. Selecteer SHA1 in het veld Hash Algorithm in de vervolgkeuzelijst.

    200180-Configure-SIP-TLS-Trunk-on-the-Communica-03.png

    U kunt CSR downloaden via OS Admin > Security > certificaatbeheer > CSR downloaden

    Selecteer in het veld certificaatdoel de optie CallManager in de vervolgkeuzelijst.

    200180-Configure-SIP-TLS-Trunk-on-the-Communica-04.png

    Opmerking: CallManager CSR wordt gegenereerd met de 1024 bit Rivest-Shamir-Add (RSA) toetsen.

    Stap 4. Teken de CSR met de Microsoft Windows 2003 certificaatautoriteit

    Dit is een optionele informatie om de CSR te ondertekenen met Microsoft Windows 2003 CA.

    1. Open de certificeringsinstantie.

    200180-Configure-SIP-TLS-Trunk-on-the-Communica-05.jpeg

    2. Klik met de rechtermuisknop op het pictogram CA en navigeer naar Alle taken > Nieuwe aanvraag indienen

    200180-Configure-SIP-TLS-Trunk-on-the-Communica-06.png

    3. Selecteer de CSR en klik op de optie Openen (van toepassing in zowel de CSR als CUCM 9.1(2) en CUCM 10.5(2))

    200180-Configure-SIP-TLS-Trunk-on-the-Communica-07.png

    4. Alle geopende CSR's worden weergegeven in de map Aanvragen. Klik met de rechtermuisknop op elke CSR en navigeer naar Alle taken > Uitgeven om de certificaten uit te geven. (Van toepassing in zowel de CSR’s (CUCM 9.1(2) als CUCM 10.5(2))

    200180-Configure-SIP-TLS-Trunk-on-the-Communica-08.png

     5. Selecteer de map Gegeven certificaten om het certificaat te kunnen downloaden.

    Klik met de rechtermuisknop op het certificaat en klik op de optie Openen.

    200180-Configure-SIP-TLS-Trunk-on-the-Communica-09.png

    6. De certificaatgegevens worden weergegeven. Wilt u het certificaat downloaden, dan selecteert u het tabblad Details en klikt u vervolgens op de knop Kopie naar bestand...

    200180-Configure-SIP-TLS-Trunk-on-the-Communica-10.png

    7. Klik in het venster certificaatwizard op de knop Base-64 met de code X.509 (.CER).

    200180-Configure-SIP-TLS-Trunk-on-the-Communica-11.png

    8. Geef het bestand een nauwkeurige naam. Dit voorbeeld gebruikt het CUCM1052.cer-formaat.

    200180-Configure-SIP-TLS-Trunk-on-the-Communica-12.png

      Volg dezelfde procedure voor CUCM 9.1(2).

    Stap 5. Ontvang het wortelcertificaat van de CA

    Open het venster van de certificeringsinstantie.

     Om de root-CA te downloaden

    1. Klik met de rechtermuisknop op het CA-pictogram en klik op de optie Eigenschappen.

    2. Klik in het algemeen op Certificaat bekijken.

    3. Klik in het venster Certificaat op het tabblad Details.

    4. Klik op Kopie naar bestand...

    200180-Configure-SIP-TLS-Trunk-on-the-Communica-13.png

    Stap 6. CA-basiscertificaat uploaden als CallManager Trust

    Om het CA Root Certificate te uploaden, inlogt u in op OS Admin > Security > certificaatbeheer > Upload Certificate/certificaatketen

    200180-Configure-SIP-TLS-Trunk-on-the-Communica-14.png

    Opmerking: Voer deze stappen uit op zowel CUCM’s (CUCM 9.1(2) als CUCM 10.5(2))

    Stap 7. CA-teken uploaden via CallManager CSR-certificaat als CallManager-certificaat.

    Om de CA-teken CallManager CSR te uploaden, inlogt u op OS Admin > Security > certificaatbeheer > Upload certificaatcertificaat/certificaatketen

    200180-Configure-SIP-TLS-Trunk-on-the-Communica-15.png

    Opmerking: Voer deze stappen uit op zowel CUCM’s (CUCM 9.1(2) als CUCM 10.5(2))

    Stap 8. Maak SIP Trunk-beveiligingsprofielen

    CUCM 9.1(2)

    Als u het SIP Trunk-beveiligingsprofiel wilt maken, navigeer dan naar systeembeveiliging > SIP Trunk-beveiligingsprofiel.

    Kopieert het bestaande niet-beveiligde SIP Trunk-profiel en geef het een nieuwe naam. In het voorbeeld is niet-Secure SIP Trunk Profile anders genoemd met Secure SIP Trunk Profile TLS.

    200180-Configure-SIP-TLS-Trunk-on-the-Communica-16.png

    Gebruik in X.509 Onderwerp de GN-benaming van CUCM 10.5(2) (met CA-ondertekend certificaat) zoals in deze afbeelding aangegeven.

    200180-Configure-SIP-TLS-Trunk-on-the-Communica-17.png

    CUCM 10.5(2)

    Navigeer naar systeem > security > SIP Trunk security profiel.

    Kopieert het bestaande niet-beveiligde SIP Trunk-profiel en geef het een nieuwe naam. In het voorbeeld werd het niet-beveiligde SIP Trunk-profiel omgedoopt met Secure SIP Trunk Profile TLS.

    200180-Configure-SIP-TLS-Trunk-on-the-Communica-18.png

    In X.509 gebruikt de GN van de CUCM 9.1(2) (door CA ondertekend certificaat) zoals aangegeven:

    200180-Configure-SIP-TLS-Trunk-on-the-Communica-19.png

    Zowel SIP Trunk Security Profiles stelden een inkomende poort van 5061 in, waarin elke cluster op de TCP poort 5061 luistert voor de nieuwe inkomende SIP TLS vraag.

    Stap 9. Maak SIP-trunks

    Nadat de Security profielen zijn gemaakt, kunt u de SIP-trunks maken en de onderstaande configuratieparameter in de SIP Trunk wijzigen.

    CUCM 9.1(2)

    1. Controleer in het venster Trunk Configuration het toegestane configuratieparameter SRTP.

    Dit waarborgt het Real-time Transport Protocol (RTP) dat voor de oproepen via deze stam wordt gebruikt. Dit vakje moet alleen worden gecontroleerd wanneer u SIP-TLS gebruikt, omdat de toetsen voor Secure Real-time Transport Protocol (SRTP) in de tekst van het SIP-bericht zijn uitgewisseld. De SIP-signalering moet door TLS zijn beveiligd, anders kan iedereen met de niet-beveiligde SIP-signalering de corresponderende SRTP-stream over de romp decrypteren.

    200180-Configure-SIP-TLS-Trunk-on-the-Communica-20.png

    1. Voeg in het gedeelte SIP-informatie van het venster Trunk-configuratie het doeladres, de doelpoort en SIP Trunk-beveiligingsprofiel toe.

    200180-Configure-SIP-TLS-Trunk-on-the-Communica-21.png

    CUCM 10.5(2)

    1. Controleer in het venster Trunk Configuration het toegestane configuratieparameter SRTP.

    Dit staat SRTP toe om voor vraag over deze kofferbak te worden gebruikt. Dit vakje moet alleen worden gecontroleerd bij gebruik van SIP-TLS, omdat de toetsen voor SRTP in de tekst van het SIP-bericht worden uitgewisseld. De SIP-signalering moet door het TLS worden beveiligd, omdat iedereen met een niet-beveiligd SIP-signalering de corresponderende Secure RTP-stroom via de romp kan decrypteren.

    200180-Configure-SIP-TLS-Trunk-on-the-Communica-22.png

    1. Voeg in het gedeelte SIP-informatie van het venster Trunk-configuratie het IP-adres, poort op bestemming en beveiligingsprofiel toe

    200180-Configure-SIP-TLS-Trunk-on-the-Communica-23.png

    Stap 10. Routepatronen maken

    De eenvoudigste methode is om een routepatroon op elke cluster te maken, waarbij u rechtstreeks naar de SIP-trunk wijst. Routegroepen en routekaarten zouden ook kunnen worden gebruikt.

    CUCM 9.1(2) punten naar routepatroon 9898 via het TLS SIP-trunk naar het CUCM 10.5(2)

    200180-Configure-SIP-TLS-Trunk-on-the-Communica-24.png

    CUCM 10.5(2) wijst naar routepatroon 1018 via de TLS SIP-trunk naar CUCM 9.1(2)

    200180-Configure-SIP-TLS-Trunk-on-the-Communica-25.png

    Verifiëren

    Er is momenteel geen verificatieprocedure beschikbaar voor deze configuratie.

    Problemen oplossen

    De vraag van SIP TLS kan met deze stappen worden gezuiverd.

    Verzamel pakketvastlegging op CUCM

    Om de connectiviteit tussen CUCM 9.1(2) en CUCM 10.5(2) te controleren, neemt u een pakketvastlegging op de CUCM-servers en kijkt u naar het SIP-TLS-verkeer.

    Het SIP TLS-verkeer wordt via de TCP-poort 5061 doorgegeven, gezien als stappen-toetsen.

    In het volgende voorbeeld is er een SSH CLI-sessie ingesteld op CUCM 9.1(2)

    1. CLI-pakketvastlegging op scherm

    Deze CLI drukt de uitvoer op het scherm af voor het SIP TLS-verkeer.

    admin:utils network capture host ip 10.106.95.200
Executing command with options:
interface=eth0
ip=10.106.95.200
19:04:13.410944 IP CUCMA.42387 > 10.106.95.200.sip-tls: P 790302485:790303631(1146) ack 3661485150 win 182 <nop,nop,timestamp 2864697196 5629758>
19:04:13.450507 IP 10.106.95.200.sip-tls > CUCMA.42387: . ack 1146 win 249 <nop,nop,timestamp 6072188 2864697196>
19:04:13.465388 IP 10.106.95.200.sip-tls > CUCMA.42387: P 1:427(426) ack 1146 win 249 <nop,nop,timestamp 6072201 2864697196>

    2. CLI-opname in bestand

    Deze CLI voert de pakketvastlegging uit op basis van de host en maakt een bestand met de naam van pakketten aan.

    admin:utils network capture eth0 file packets count 100000 size all host ip 10.106.95.200

    Start de SIP-stam op CUCM 9.1(2) opnieuw en dien de oproep in vanaf de verlenging 1018 (CUCM 9.1(2)) tot de verlenging 9898 (CUCM 10.5(2))

    U kunt het bestand vanuit de CLI downloaden op:

    admin:file get activelog platform/cli/packets.cap

    De opname wordt uitgevoerd in de standaard .cap-indeling. In dit voorbeeld wordt Wireshark gebruikt om pakketten.cap-bestand te openen, maar er kan elk programma voor de pakketvastlegging worden gebruikt.

    200180-Configure-SIP-TLS-Trunk-on-the-Communica-26.png

    1. The Transmission Control Protocol (TCP) Synchronize (SYN) om de TCP-communicatie tussen CUCM 9.1(2)(client) en CUCM 10.5(2)(server) in te stellen.
    2. De CUCM 9.1(2) stuurt de client naar Hallo om de TLS-sessie te starten.
    3. De CUCM 10.5(2) stuurt de server Hallo, Server certificaataanvraag en certificaataanvraag om het certificeringsproces te starten.
    4. Het certificaat dat de cliënt CUCM 9.1(2) verstuurt om de certificaatuitwisseling te voltooien.
    5. De toepassingsgegevens die gecodeerde SIP-signalering zijn, tonen aan dat de TLS-sessie is ingesteld.

     Verdere controle of de juiste certificaten worden uitgewisseld. Nadat Server Hallo, verstuurt de server CUCM 10.5(2) zijn certificaat naar de client CUCM 9.1(2).

    200180-Configure-SIP-TLS-Trunk-on-the-Communica-27.png

    Het serienummer en de onderwerpinformatie die de server CUCM 10.5(2) heeft ontvangen, worden aan de client aangeboden CUCM 9.1(2).Het serienummer, het onderwerp, de emittent en de validatiedata worden allemaal vergeleken met de informatie op de pagina van het OS Admin certificaatbeheer.

    De server CUCM 10.5(2) dient zijn eigen verificatiecertificaat in en nu controleert het certificaat van de client CUCM 9.1(2). De verificatie gebeurt in beide richtingen.

    200180-Configure-SIP-TLS-Trunk-on-the-Communica-28.png

    Als er een verschil is tussen de certificaten in de pakketvastlegging en de certificaten in de webpagina OS Admin, worden de juiste certificaten niet geüpload.

    De juiste certificaten moeten op de pagina OS Admin Cert worden geüpload.

    CUCM-sporen verzamelen

    De CUCM-sporen kunnen ook helpen bepalen welke berichten worden uitgewisseld tussen de CUCM 9.1(2) en de CUCM 10.5(2)-servers en of de SSL-sessie al dan niet goed is ingesteld.

    In het voorbeeld zijn de sporen van CUCM 9.1(2) verzameld.

    Call Flow:

    EXT 1018 > CUCM 9.1(2) > SIP-TLS TRUNK > CUCM 10.5(2) > Ext 9898

    ++ Digitale analyse

    04530161.009 |19:59:21.185 |AppInfo |Digit analysis: match(pi="2", fqcn="1018", cn="1018",plv="5", pss="", TodFilteredPss="", dd="9898",dac="0")
04530161.010 |19:59:21.185 |AppInfo |Digit analysis: analysis results
04530161.011 |19:59:21.185 |AppInfo ||PretransformCallingPartyNumber=1018
|CallingPartyNumber=1018
|DialingPartition=
|DialingPattern=9898
|FullyQualifiedCalledPartyNumber=9898

    ++ SIP-TLS wordt op poort 5061 voor deze oproep gebruikt.

    04530191.034 |19:59:21.189 |AppInfo |//SIP/SIPHandler/ccbId=0/scbId=0/SIP_PROCESS_ENQUEUE: createConnMsg tls_security=3
04530204.002 |19:59:21.224 |AppInfo |//SIP/Stack/Transport/0x0/sipConnectionManagerProcessConnCreated: gConnTab=0xb444c150, addr=10.106.95.200, port=5061, connid=12, transport=TLS Over TCP
04530208.001 |19:59:21.224 |AppInfo |SIPTcp - wait_SdlSPISignal: Outgoing SIP TCP message to 10.106.95.200 on port 5061 index 12
[131,NET]
INVITE sip:9898@10.106.95.200:5061 SIP/2.0
Via: SIP/2.0/TLS 10.106.95.203:5061;branch=z9hG4bK144f49a43a
From: <sip:1018@10.106.95.203>;tag=34~4bd244e4-0988-4929-9df2-2824063695f5-19024196
To: <sip:9898@10.106.95.200>
Call-ID: 94fffc00-57415541-7-cb5f6a0a@10.106.95.203
User-Agent: Cisco-CUCM9.1

    ++ SDL-bericht (Signal Distribution Layer) SIPCertificaatInd bevat informatie over Onderwerp GN en verbindingsinformatie.

    04530218.000 |19:59:21.323 |SdlSig   |SIPCertificateInd                     |wait                          |SIPHandler(1,100,72,1)           |SIPTcp(1,100,64,1)               |1,100,17,11.3^*^*                       |[T:N-H:0,N:1,L:0,V:0,Z:0,D:0] connIdx= 12 --remoteIP=10.106.95.200 --remotePort = 5061 --X509SubjectName /C=IN/ST=cisco/L=cisco/O=cisco/OU=cisco/CN=CUCM10 --Cipher AES128-SHA --SubjectAltname =
04530219.000 |19:59:21.324 |SdlSig   |SIPCertificateInd                     |restart0                       |SIPD(1,100,74,16)               |SIPHandler(1,100,72,1)           |1,100,17,11.3^*^*                       |[R:N-H:0,N:0,L:0,V:0,Z:0,D:0] connIdx= 12 --remoteIP=10.106.95.200 --remotePort = 5061 --X509SubjectName /C=IN/ST=cisco/L=cisco/O=cisco/OU=cisco/CN=CUCM10 --Cipher AES128-SHA --SubjectAltname =
    TAC Authored

    Bijgedragen door Cisco-engineers

    • Bharat P Kondekar
      Cisco TAC-ingenieur

    Was dit document nuttig?

    FeedbackFeedback

    Contact Cisco

    Dit document is van toepassing op deze producten