- このマニュアルについて
- セキュリティの概要
- HTTP over SSL(HTTPS)の使用方法
- Cisco CTL クライアントの設定
- 電話機のセキュリティの概要
- 電話機セキュリティ プロファイルの 設定
- Certificate Authority Proxy Function の使用方法
- 暗号化された電話機設定ファイルの 設定
- SIP 電話機のダイジェスト認証の設定
- 電話機のセキュリティ強化
- ボイスメール ポートのセキュリティ 設定
- CTI、JTAPI、および TAPI の認証 および暗号化の設定
- Survivable Remote Site Telephony (SRST)リファレンスのセキュリティ 設定
- ゲートウェイおよびトランクの暗号化 の設定
- SIPトランク セキュリティ プロファイル の設定
- SIPトランクのダイジェスト認証の設定
- 索引
Cisco Unified CallManager セキュリティ ガイド Release 5.1(3)
偏向のない言語
この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
翻訳について
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
- Updated:
- 2017年5月29日
章のタイトル: Certificate Authority Proxy Function の使用方法
- Certificate Authority Proxy Function の概要
- Cisco Unified IP Phone と CAPF の相互作用
- CAPF システムの相互作用および要件
- Cisco Unified CallManager Serviceability での CAPF の設定
- CAPF の設定用チェックリスト
- Certificate Authority Proxy Function サービスのアクティブ化
- CAPF サービス パラメータの更新
- CAPF による電話機の証明書のインストール、アップグレード、トラブルシューティング、または削除
- 電話の設定(Phone Configuration)ウィンドウの CAPF 設定
- LSC ステータスまたは認証文字列に基づく電話機の検索
- CAPF レポートの生成
- 電話機での認証文字列の入力
- 電話機での認証文字列の確認
- その他の情報
Certificate Authority Proxy Function の使用方法
•
「Certificate Authority Proxy Function の概要」
• 「Cisco Unified IP Phone と CAPF の相互作用」
• 「Cisco Unified CallManager Serviceability での CAPF の設定」
• 「Certificate Authority Proxy Function サービスのアクティブ化」
• 「CAPF による電話機の証明書のインストール、アップグレード、トラブルシューティング、または削除」
• 「電話の設定(Phone Configuration)ウィンドウの CAPF 設定」
• 「LSC ステータスまたは認証文字列に基づく電話機の検索」
• 「その他の情報」
Certificate Authority Proxy Function の概要
Certificate Authority Proxy Function(CAPF)は Cisco Unified CallManager と共に自動的にインストールされ、設定に応じて次のタスクを実行します。
• 既存の Manufacturing Installed Certificate(MIC; 製造元でインストールされる証明書)、Locally Significant Certificate(LSC; ローカルで有効な証明書)、ランダム生成された認証文字列、または安全性の低いオプションの「null」認証によって認証する。
• ローカルで有効な証明書を、サポートされている Cisco Unified IP Phone モデルに対して発行する。
• 電話機にある既存のローカルで有効な証明書をアップグレードする。
• 電話機の証明書を表示およびトラブルシューティングするために取得する。
Cisco Certificate Authority Proxy Function サービスをアクティブにすると、CAPF に固有な鍵ペアおよび証明書が CAPF によって自動生成されます。CAPF 証明書は Cisco CTL クライアントによってクラスタ内のすべてのサーバにコピーされ、拡張子 .0 を使用します。CAPF 証明書が存在することを確認するには、Cisco Unified Communications オペレーティング システム GUI で、CAPF 証明書を表示します。
Cisco Unified IP Phone と CAPF の相互作用
CAPF と相互に作用するとき、電話機は認証文字列、既存の MIC または LAC 証明書、または「null」を使用して CAPF に対して自分を認証し、公開鍵と秘密鍵のペアを生成し、署名付きメッセージで公開鍵を CAPF サーバに転送します。秘密鍵はそのまま電話機に残り、外部に公開されることはありません。CAPF は、電話機証明書に署名し、その証明書を署名付きメッセージで電話機に返送します。
次の情報は、通信または電源の障害が発生した場合に適用されます。
• 電話機で証明書をインストールしているときに通信障害が発生すると、電話機は 30 秒間隔であと 3 回、証明書を取得しようとします。これらの値は設定することができません。
• 電話機で CAPF とのセッションを試行しているときに電源障害が発生すると、電話機はフラッシュに保存されている認証モードを使用します。これは、電話機がリブート後に TFTP サーバから新しい設定ファイルをロードできない場合に当たります。証明書の操作が完了すると、フラッシュ内の値はシステムによってクリアされます。
ヒント 電話機ユーザが電話機で証明書操作を中断したり、操作ステータスを確認できることに注意してください。
ヒント 鍵生成を低いプライオリティで設定すると、アクションの実行中も電話機の機能を利用できます。鍵生成の完了には 30 分以上かかります。
証明書生成中も電話機は機能しますが、TLS トラフィックが増えることにより、最小限の範囲ですがコール処理が中断される場合があります。たとえば、インストールの終了時に証明書がフラッシュに書き込まれる際に音声が乱れることがあります。
証明書用に 2048 ビットの鍵を選択すると、電話機の起動およびフェールオーバー中に電話機、Cisco Unified CallManager、および保護された SRST 対応ゲートウェイとの間で接続を確立するのに 60 秒以上かかる場合があります。最高のセキュリティ レベルを必要としている場合を除き、2048 ビットの鍵は設定しないでください。
次に、ユーザまたは Cisco Unified CallManager によって電話機がリセットされたときに CAPF が Cisco Unified IP Phone 7960 および 7940 とどのように相互対話するかについて説明します。
(注) 次の例では、LSC が電話機内にまだ存在しない場合や、CAPF情報 の[認証モード(Authentication Mode)]に[By Existing Certificate]が選択されている場合に、CAPF 証明書操作が失敗します。
この例では、[デバイスセキュリティモード(Device Security Mode)]を[Non Secure]に、CAPF情報 の[認証モード(Authentication Mode)]を[By Null String]または[By Existing Certificate(Precedence...)]に設定した後に電話機がリセットされます。電話機は、リセット後すぐにプライマリ Cisco Unified CallManager に登録し、設定ファイルを受け取ります。次に、電話機は自動的に CAPF とのセッションを開始し、LSC をダウンロードします。LSC のインストール後、電話機は[デバイスセキュリティモード(Device Security Mode)]を[Authenticated]または[Encrypted]に設定します。
この例では、[デバイスセキュリティモード(Device Security Mode)]を[Authenticated]または[Encrypted]に、CAPF情報 の[認証モード(Authentication Mode)]を[By Null String]または[By Existing Certificate(Precedence...)]に設定した後に電話機がリセットされます。CAPF セッションが終了して電話機が LSC をインストールするまで、電話機はプライマリ Cisco Unified CallManager に登録しません。セッションが終了すると、電話機は登録を行い、すぐに認証済みまたは暗号化済みモードで動作します。
この例では、電話機は CAPF サーバに自動的に接続しないので、[By Authentication String]を設定することはできません。電話機に有効な LSC がない場合、登録は失敗します。
CAPF システムの相互作用および要件
• CAPF を使用する前に、Cisco CTL クライアントのインストールおよび設定に必要なすべての作業を実行したことを確認します。CAPF を使用するには、最初のノードで Cisco Certificate Authority Proxy Function サービスをアクティブにする必要があります。
ヒント Cisco IP Telephony Backup and Restore System(BARS)を使用して、CAPF データおよびレポートをバックアップすることができます。これは、Cisco Unified CallManager によって情報が Cisco Unified CallManager データベースに格納されるためです。
• 証明書のアップグレードまたはインストール操作で、電話機に対して CAPF 認証方式を[By Authentication String]にした場合、操作後に同じ認証文字列を電話機に入力する必要があります。入力しなかった場合、操作が失敗します。TFTP Encrypted Configuration エンタープライズ パラメータが有効で、認証文字列を入力しなかった場合、電話機に障害が発生し、電話機に入力された認証文字列が一致するまで復帰しないことがあります。
• スケジューリングされたメンテナンス画面で CAPF を使用することを強く推奨します。これは、同時に多数の証明書が生成されると、コール処理が中断される場合があるためです。
• Cisco Unified CallManager クラスタ内のすべてのサーバで、同じ管理者ユーザ名とパスワードを使用する必要があります。これで、CAPF はクラスタ内のすべてのサーバに認証を受けることができます。
• 証明書操作の間、最初のノードが実行中で正しく機能していることを確認します。
• 証明書操作の間、電話機が正しく機能していることを確認します。
• 保護された電話機が別のクラスタに移動された場合、その電話機が送信する LSC 証明書は別の CAPF によって発行されたものとなり、CTL ファイル内にあるものとは異なるため、Cisco Unified Call Manager はその証明書を信頼しません。保護された電話機を登録できるようにするには、「Cisco Unified IP Phone 上の CTL ファイルの削除」に従って既存の CTL ファイルを削除します。次に、[Install/Upgrade]オプションを使用して新規 CAPF で新規 LSC 証明書をインストールし、新規 CTL ファイル用に電話機をリセットします(あるいは MIC を使用します)。電話機を移動する前に既存の LSC を削除するには、[電話の設定(Phone Configuration)]ウィンドウの CAPF セクションで[Delete]オプションを使用します。
Cisco Unified CallManager Serviceability での CAPF の設定
次の作業を Cisco Unified CallManager Serviceability で実行します。
• Cisco Certificate Authority Proxy Function サービスをアクティブにする。
詳細については、Cisco Unified CallManager Serviceability のマニュアルを参照してください。
CAPF の設定用チェックリスト
表6-1 に、ローカルで有効な証明書をインストール、アップグレード、またはトラブルシューティングする場合に実行する作業のリストを示します。
|
|
|
|
|---|---|---|
ローカルで有効な証明書が電話機に存在するかどうかを判別します。 CAP 1.0(1) データを Cisco Unified CallManager 4.0 パブリッシャ データベース サーバにコピーする必要があるかどうかを判別します。 
|
• |
|
Cisco Certificate Authority Proxy Function サービスが実行されていることを確認します。
|
||
Cisco CTL クライアントのインストールおよび設定に必要なすべての作業を実行したことを確認します。CAPF 証明書が Cisco CTL ファイル内に存在することを確認します。 |
||
電話機のローカルで有効な証明書をインストール、アップグレード、またはトラブルシューティングするには、Cisco Unified CallManager の管理ページを使用します。 |
• |
|
Certificate Authority Proxy Function サービスのアクティブ化
Cisco Unified CallManager では、Cisco Unified CallManager Serviceability で Certificate Authority Proxy Function サービスが自動的にアクティブになりません。
このサービスは、最初のノードでのみアクティブにします。Cisco CTL クライアントをインストールして設定する前にこのサービスをアクティブにしなかった場合は、 「CTL ファイルの更新」 の説明に従って CTL ファイルを更新する必要があります。
ステップ 1 Cisco Unified CallManager Serviceability で [Tools]>[Service Activation] の順に選択します。
ステップ 2 [Server]ドロップダウン リスト ボックスから、Certificate Authority Proxy Function サービスをアクティブにするサーバを選択します。
ステップ 3 [Certificate Authority Proxy Function] チェックボックスをオンにします。
詳細については、「関連項目」を参照してください。
CAPF サービス パラメータの更新
CAPF サービスのパラメータを設定するウィンドウには、証明書の有効年数、システムによる鍵生成の最大再試行回数、鍵のサイズなどの情報が表示されます。
CAPF サービス パラメータが、Cisco Unified CallManager の管理ページで Active ステータスとして表示されるようにするには、「Certificate Authority Proxy Function サービスのアクティブ化」の説明に従って Certificate Authority Proxy Function サービスをアクティブにする必要があります。
CAPF サービス パラメータを更新するには、次の手順を実行します。
ステップ 1 Cisco Unified CallManager の管理ページで [システム]>[サービスパラメータ] の順に選択します。
ステップ 2 [サーバ(Server)]ドロップダウン リスト ボックスから、最初のノードを選択します。
ステップ 3 [サービス(Service)]ドロップダウン リスト ボックスから、Cisco Certificate Authority Proxy Function サービスを選択します。
ステップ 4 パラメータごとに表示されるヘルプの説明に従い、CAPF サービス パラメータを更新します。
(注) CAPF サービス パラメータのヘルプを表示するには、疑問符またはパラメータ名リンクをクリックします。
ステップ 5 変更内容を有効にするには、Cisco Certificate Authority Proxy Function サービスを再起動する必要があります。
詳細については、「関連項目」を参照してください。
CAPF による電話機の証明書のインストール、アップグレード、トラブルシューティング、または削除
CAPF を使用するときに、 表6-2 を参照してください。
Certificate Authority Proxy Function を使用するには、次の手順を実行します。
ステップ 1 『 Cisco Unified CallManager アドミニストレーション ガイド 』の説明に従って、電話機を検索します。
ステップ 2 検索結果が表示された後、証明書をインストール、アップグレード、削除、またはトラブルシューティングする電話機を見つけて、その電話機の [デバイス名(Device Name、回線)] リンクをクリックします。
ステップ 3 表6-2 の説明に従って、設定内容を入力します。
詳細については、「関連項目」を参照してください。
電話の設定(Phone Configuration)ウィンドウの CAPF 設定
表6-2 は、Cisco Unified CallManager の管理ページの[電話の設定(Phone Configuration)]ウィンドウにある CAPF 設定について説明しています。
• 設定のヒントについては、「CAPF システムの相互作用および要件」を参照してください。
• 関連する情報および手順については、「関連項目」を参照してください。
LSC ステータスまたは認証文字列に基づく電話機の検索
証明書操作ステータスまたは認証文字列に基づいて電話機を検索するには、次の手順を実行します。
ステップ 1 Cisco Unified CallManager の管理ページで [デバイス]>[電話] の順に選択します。
ステップ 2 [検索対象: 電話 、検索条件]ドロップダウン リスト ボックスから、次のオプションのいずれか 1 つを選択します。
• [LSCステータス] :このオプションを選択すると、ローカルで有効な証明書のインストール、アップグレード、削除、またはトラブルシューティングに CAPF を使用する電話機のリストが表示されます。
• [認証文字列] :このオプションを選択すると、[認証文字列(Authentication String)]フィールドで指定された認証文字列を持つ電話機のリストが返されます。
ステップ 3 必要に応じて、[検索対象: 電話 、検索条件]ドロップダウン リスト ボックスの横に表示されているドロップダウン リスト ボックスのオプションを選択して LSC ステータスまたは認証文字列の追加の検索条件を指定し、特定の検索条件を入力します。
ステップ 4 検索条件を指定した後、 [検索] をクリックします。
ヒント 検索結果内の追加情報を検索するには、[絞り込み]チェックボックスをオンにして、検索条件を入力し、[検索]をクリックします。
詳細については、「関連項目」を参照してください。
CAPF レポートの生成
必要に応じて CAPF レポートを生成し、証明書操作のステータス、認証文字列、セキュリティ プロファイル、認証モードなどを表示できます。レポートには、デバイス名、デバイスの説明、セキュリティ プロファイル、認証文字列、認証モード、LSC ステータスなどが含まれます。
ステップ 1 Cisco Unified CallManager の管理ページで [デバイス]>[電話] の順に選択します。
[電話の検索と一覧表示(Find and List Phones)]ウィンドウが表示されます。
ステップ 2 [検索対象: 電話 、検索条件]ドロップダウン リスト ボックスで、次のオプションのいずれか 1 つを選択します。
ヒント 必要に応じて、[検索対象: 電話 、検索条件]ドロップダウン リスト ボックスの横に表示されているドロップダウン リスト ボックスのオプションを選択して追加の検索条件を指定し、特定の検索条件を入力します。
ヒント 検索結果内の追加情報を検索するには、[絞り込み]チェックボックスをオンにして、検索条件を入力し、[検索]をクリックします。
ステップ 3 [関連リンク]ドロップダウン リスト ボックスで、 [ファイルでのCAPFレポート] を選択し、 [移動] をクリックします。
ステップ 5 Microsoft Excel を使用して .csv ファイルを開きます。
詳細については、「関連項目」を参照してください。
電話機での認証文字列の入力
認証ストリング モードを選択して認証文字列を生成した場合、ローカルで有効な証明書をインストールするには、電話機に認証文字列を入力する必要があります。
ヒント 認証文字列は 1 回の使用に限って適用されます。[電話の設定(Phone Configuration)]ウィンドウまたは CAPF レポートに表示される認証文字列を入手します。
電話機に認証文字列を入力する前に、次の条件を満たしていることを確認します。
• 「Certificate Authority Proxy Function サービスのアクティブ化」の説明に従って、Cisco Certificate Authority Proxy Function サービスをアクティブにした。
• 最初のノードが実行中で、機能している。証明書のインストールごとにサーバが実行していることを確認します。
• 署名付きイメージが電話機に存在する。使用している電話機モデルをサポートする Cisco Unified IP Phone の管理マニュアルを参照してください。
ステップ 2 設定がロックされている場合は、**#(アスタリスク、アスタリスク、シャープ記号)を押してアンロックします。
ステップ 3 [Settings(設定)]メニューへスクロール ダウンします。「Security Configuration(セキュリティ設定)」を強調表示して [Select(選択)] ソフトキーを押します。
ステップ 4 [Security Configuration(セキュリティ設定)]メニューへスクロール ダウンします。「LSC」を強調表示して [Update(更新)] ソフトキーを押します。
ステップ 5 認証文字列の入力を求めるプロンプトが表示されたら、システムが提供した文字列を入力し、 [Submit(送信)] ソフトキーを押します。
電話機は現在の CAPF 設定に応じて、証明書をインストール、更新、削除、または取得します。
電話機に表示されたメッセージを確認することで、証明書操作の進行状況を監視できます。[Submit(送信)]を押すと、「Pending(処理中)」というメッセージが LSC オプションの下に表示されます。電話機は公開鍵と秘密鍵のペアを生成し、電話機に関する情報を表示します。電話機が処理を正常に完了すると、成功を示すメッセージが表示されます。失敗を示すメッセージが電話機に表示された場合は、入力した認証文字列が間違っているか、電話機でアップグレードが有効になっていません。
[Stop(中止)]オプションを選択すれば、いつでもプロセスを停止できます。
詳細については、「関連項目」を参照してください。
電話機での認証文字列の確認
電話機に証明書がインストールされたことを確認するには、 [Settings(設定)]>[Model Information(モデル情報)] を選択し、LSC 設定を表示します。この設定に、「Installed(インストール済み)」または「Not Installed(未インストール)」と示されます。
詳細については、「関連項目」を参照してください。
その他の情報
• 「Certificate Authority Proxy Function の概要」
• 「Cisco Unified IP Phone と CAPF の相互作用」
• 「Cisco Unified CallManager Serviceability での CAPF の設定」
• 「Certificate Authority Proxy Function サービスのアクティブ化」
• 「CAPF による電話機の証明書のインストール、アップグレード、トラブルシューティング、または削除」
• 「電話の設定(Phone Configuration)ウィンドウの CAPF 設定」
• 「LSC ステータスまたは認証文字列に基づく電話機の検索」
Cisco Unified IP Phone アドミニストレーション ガイド for Cisco Unified CallManager
フィードバック