Configurar TLS SIP entre CUCM-CUBE/CUBE-SBC com certificados assinados por CA
Contents
Introduction
Este documento descreve como configurar o SIP Transport Layer Security (TLS) entre o Cisco Unified Communication Manager (CUCM) e o Cisco Unified Border Element (CUBE) com certificados assinados pela autoridade de certificação (CA).
Prerequisites
A Cisco recomenda ter conhecimento desses assuntos
- Protocolo SIP
- Certificados de segurança
Requirements
- A data e a hora devem coincidir nos endpoints (recomenda-se ter a mesma origem NTP).
- O CUCM deve estar em modo misto.
- A conectividade TCP é necessária (porta aberta 5061 em qualquer firewall de trânsito).
- O CUBE deve ter as licenças de segurança e Unified Communication K9 (UCK9) instaladas.
Componentes Utilizados
- SIP
- Certificados assinados pela autoridade de certificação
-
Gateways Cisco IOS e IOS-XE
Versões 2900 / 3900 / 4300 / 4400 / CSR1000v / ASR100X: 15,4+
-
Cisco Unified Communications Manager (CUCM)
Versões: 10,5+
Configurar
Diagrama de Rede
Configuração
Etapa 1. Você criará uma chave RSA correspondente ao comprimento do certificado raiz usando o comando:
Crypto key generate rsa label TestRSAkey exportable modulus 2048
Esse comando cria uma chave RSA com um comprimento de 2048 bits (o máximo é 4096).
Etapa 2. Crie um ponto de confiança para manter nosso certificado assinado pela CA usando comandos:
Crypto pki trustpoint CUBE_CA_CERT serial-number none fqdn none ip-address none subject-name cn=ISR4451-B.cisco.lab !(this has to match the router’s hostname [hostname.domain.name]) revocation-check none rsakeypair TestRSAkey !(this has to match the RSA key you just created)
Etapa 3. Agora que você tem nosso ponto de confiança, você vai gerar nossa solicitação de CSR com os comandos abaixo:
Crypto pki enroll CUBE_CA_CERT
Responda às perguntas na tela, copie a solicitação CSR, salve-a em um arquivo e envie-a para a CA.
Etapa 4. Você precisa descobrir se a cadeia de certificados Raiz tem certificados intermediários; caso não haja autoridades de certificado intermediárias, vá para a etapa 7, caso contrário, continue na etapa 6.
Etapa 5. Crie um ponto de confiança para manter o certificado Raiz e, além disso, crie um ponto de confiança para manter qualquer AC intermediária até a que estiver assinando o certificado CUBE (veja a imagem abaixo).
Neste exemplo, o 1º nível é a CA raiz, o 2º nível é nossa primeira CA intermediária, o 3 º nível é a CA que está assinando nosso certificado CUBE e, portanto, você precisa criar um ponto de confiança para manter os 2 primeiros certificados com esses comandos.
Crypto pki trustpoint Root_CA_CERT
Enrollment terminal pem
Revocation-check none
Crypto pki authenticate Root_CA_CERT
Paste the X.64 based certificate here
Crypto pki trustpoint Intermediate_CA
Enrollment terminal
Revocation-check none
Crypto pki authenticate Intermediate_CA
Etapa 6. Depois de receber o nosso certificado assinado pela AC, irá autenticar o ponto de confiança, o ponto de confiança tem de manter o certificado da AC logo antes do certificado CUBE; o comando que permite importar o certificado é,
Crypto pki authenticate CUBE_CA_CERT
Passo 7. Depois que o nosso certificado estiver instalado, você precisará executar este comando para importar o certificado do CUBE
Crypto pki import CUBE_CA_CERT cert
Etapa 8. Configure SIP-UA para usar o ponto de confiança criado
sip-ua crypto signaling default trustpoint CUBE_CA_CERT
Etapa 9. Configure os peers de discagem conforme mostrado abaixo:
dial-peer voice 9999 voip answer-address 35.. destination-pattern 9999 session protocol sipv2 session target dns:cucm10-5 session transport tcp tls voice-class sip options-keepalive srtp
Com isso, a configuração do CUBE está concluída.
Etapa 10. Agora, você vai gerar nosso CUCM CSR, siga as instruções abaixo
- Fazer login no administrador do SO CUCM
- Clique em segurança
- Clique em gerenciamento de certificado.
- Clique em gerar CSR
A solicitação de CSR deve ser semelhante à seguinte:
Etapa 11. Baixe o CSR e envie para a CA.
Etapa 12. Carregue a cadeia de certificados com assinatura CA para o CUCM , as etapas são:
- Clique em segurança e em gerenciamento de certificados.
- Clique em carregar certificado/cadeia de certificados.
- No menu suspenso propósito do certificado, selecione gerenciador de chamadas.
- Navegue até o seu arquivo.
- Clique em upload.
Etapa 13. Faça login na CLI do CUCM e execute este comando
utils ctl update CTLFile
Etapa 14. Configurar um perfil de segurança de tronco SIP do CUCM
- Clique em sistema, segurança e, em seguida, perfil de segurança de tronco sip
- Configure o perfil como mostrado na imagem,
Etapa 15. Configure um tronco SIP como faria normalmente no CUCM
- Verifique se a caixa de seleção SRTP Permitido está marcada.
- Configure o endereço de destino apropriado e certifique-se de substituir a porta 5060 pela porta 5061.
- No perfil de segurança de tronco SIP, selecione o nome do perfil SIP criado na etapa 14.
Verificar
Neste momento, se toda a configuração estiver OK,
No CUCM, o status do tronco SIP mostra Full Service , como mostrado na imagem,
No CUBE, o correspondente de discagem mostra este status:
TAG TYPE MIN OPER PREFIX DEST-PATTERN FER THRU SESS-TARGET STAT PORT KEEPALIVE 9999 voip up up 9999 0 syst dns:cucm10-5 active
Esse mesmo processo se aplica a outros roteadores, a única diferença é que, em vez da etapa para carregar o certificado CUCM, carregue o certificado fornecido por terceiros.
Troubleshoot
Ative essas depurações no CUBE
debug crypto pki api debug crypto pki callbacks debug crypto pki messages debug crypto pki transactions debug ssl openssl errors debug ssl openssl msg debug ssl openssl states debug ip tcp transactions
FeedbackContate a Cisco
- Abrir um caso de suporte
- (É necessário um Contrato de Serviço da Cisco)