- このマニュアルについて
- セキュリティの概要
- HTTP over SSL(HTTPS)の使用方法
- Cisco CTL クライアントの設定
- 電話機のセキュリティの概要
- 電話機セキュリティ プロファイルの 設定
- Certificate Authority Proxy Function の使用方法
- 暗号化された電話機設定ファイルの 設定
- SIP 電話機のダイジェスト認証の設定
- 電話機のセキュリティ強化
- セキュアな会議リソースの設定
- ボイスメール ポートのセキュリティ 設定
- CTI、JTAPI、および TAPI の認証 および暗号化の設定
- Survivable Remote Site Telephony (SRST)リファレンスのセキュリティ 設定
- ゲートウェイおよびトランクの暗号化 の設定
- SIPトランク セキュリティ プロファイル の設定
- SIPトランクのダイジェスト認証の設定
- 索引
Cisco Unified Communications Manager セキュリティ ガイド Release 6.1(1)
偏向のない言語
この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
翻訳について
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
- Updated:
- 2017年5月25日
章のタイトル: Survivable Remote Site Telephony (SRST)リファレンスのセキュリティ 設定
Survivable Remote Site Telephony(SRST)リファレンスのセキュリティ設定
•
「その他の情報」
SRST のセキュリティの概要
SRST 対応ゲートウェイは、Cisco Unified Communications Manager がコールを完了できない場合に、制限付きのコール処理タスクを提供します。
保護された SRST 対応ゲートウェイには、自己署名証明書が含まれています。Cisco Unified Communications Manager の管理ページで SRST 設定作業を実行した後、Cisco Unified Communications Manager は TLS 接続を使用して SRST 対応ゲートウェイで証明書プロバイダー サービスを認証します。Cisco Unified Communications Manager は SRST 対応ゲートウェイから証明書を取得して、その証明書を Cisco Unified Communications Manager データベースに追加します。
Cisco Unified Communications Manager の管理ページで従属デバイスをリセットすると、TFTP サーバは SRST 対応ゲートウェイの証明書を電話機の cnf.xml ファイルに追加してファイルを電話機に送信します。これで、保護された電話機は TLS 接続を使用して SRST 対応ゲートウェイと対話します。
ヒント 電話機設定ファイルには、単一の発行者からの証明書だけが含まれます。そのため、HSRP はサポートされません。
SRST セキュリティの設定のヒント
次の基準が満たされることを確認します。この基準を満たすと、保護された電話機と SRST 対応ゲートウェイとの間で接続の安全が保障されます。
• Cisco CTL クライアントを介して混合モードを設定した。
• Cisco Unified Communications Manager の管理ページで SRST リファレンスを設定した。
• SRST の設定後に、SRST 対応ゲートウェイおよび従属する電話機をリセットした。
(注) Cisco Unified Communications Manager は、SRST 対応ゲートウェイ向けに、電話機の証明書情報を含む PEM 形式のファイルを提供します。
LSC 認証では、CAPF ルート証明書(CAPF.der)をダウンロードしてください。このルート証明書では、セキュアな SRST が TLS ハンドシェイク中に電話機の LSC を確認できます。
• クラスタ セキュリティ モードが非セキュアになっている場合は、Cisco Unified Communications Manager の管理ページでデバイス セキュリティ モードが認証済みまたは暗号化済みと示されていても、電話機の設定ファイルのデバイス セキュリティ モードは非セキュアのままです。このような場合、電話機は、クラスタ内で SRST 対応ゲートウェイおよび Cisco Unified Communications Manager サーバとの非セキュア接続を試行します。
(注) クラスタ セキュリティ モードは、スタンドアロン サーバまたはクラスタのセキュリティ機能を設定します。
• クラスタ セキュリティ モードが非セキュアになっている場合は、デバイス セキュリティ モードや[セキュアSRST(Is SRST Secure?)]チェックボックスなど、セキュリティ関連の設定が無視されます。設定がデータベースから削除されることはありませんが、セキュリティは提供されません。
• 電話機が SRST 対応ゲートウェイへのセキュア接続を試行するのは、クラスタ セキュリティ モードが混合モードで、電話機設定ファイル内のデバイス セキュリティ モードが認証済みまたは暗号化済みに設定されており、[SRST参照先の設定(SRST Reference Configuration)]ウィンドウで[セキュアSRST(Is SRST Secure?)]チェックボックスがオンになっていて、電話機の設定ファイル内に有効な SRST 証明書が存在する場合だけです。
• 前のリリースの Cisco Unified Communications Manager でセキュアな SRST 参照先のセキュリティを設定した場合は、アップグレード時にその設定が自動的に移行されます。
• 暗号化済みまたは認証済みモードの電話機が SRST にフェールオーバーし、SRST での接続中にクラスタ セキュリティ モードが混合モードから非セキュア モードに切り替わった場合、これらの電話機は自動的には Cisco Unified Communications Manager にフォールバックされません。SRST ルータの電源を切り、強制的にこれらの電話機を Cisco Unified Communications Manager に再登録する必要があります。電話機が Cisco Unified Communications Manager にフォールバックした後、管理者は SRST の電源を投入でき、フェールオーバーおよびフォールバックが再び自動になります。
SRST のセキュリティ設定用チェックリスト
表13-1 を使用して、SRST のセキュリティ設定手順を進めます。
|
|
|
|
|---|---|---|
SRST 対応ゲートウェイで必要なすべての作業を実行したことを確認します。すべてを実行すると、デバイスが Cisco Unified Communications Manager およびセキュリティをサポートします。 |
このバージョンの Cisco Unified Communications Manager をサポートする『 Cisco IOS SRST Version System Administrator Guide 』。これは、次の URL で入手できます。 http://www.cisco.com/univercd/cc/td/doc/product/voice/srst/srst33/srst33ad/index.htm |
|
SRST リファレンスにセキュリティを設定します。これには、[デバイスプール設定(Device Pool Configuration)]ウィンドウで SRST リファレンスを有効にする作業も含まれます。 |
||
SRST リファレンスのセキュリティ設定
Cisco Unified Communications Manager の管理ページで SRST リファレンスを追加、更新、または削除する前に、次の点を考慮してください。
• 保護された SRST リファレンスの追加:初めて SRST リファレンスにセキュリティを設定する場合、 表13-2 で説明するすべての項目を設定する必要があります。
• 保護された SRST リファレンスの更新:Cisco Unified Communications Manager の管理ページで SRST の更新を実行しても、SRST 対応ゲートウェイの証明書は自動的に更新されません。証明書を更新するには、[証明書の更新]ボタンをクリックする必要があります。クリックすると証明書の内容が表示され、証明書を受け入れるか拒否する必要があります。証明書を受け入れると、Cisco Unified Communications Manager は Cisco Unified Communications Manager サーバまたはクラスタ内の各 Cisco Unified Communications Manager サーバで、信頼できるフォルダにある SRST 対応ゲートウェイの証明書を置き換えます。
• 保護された SRST リファレンスの削除:保護された SRST リファレンスを削除すると、Cisco Unified Communications Manager データベースおよび電話機の cnf.xml ファイルから SRST 対応ゲートウェイの証明書が削除されます。
SRST リファレンスの削除方法は、『 Cisco Unified Communications Manager アドミニストレーション ガイド 』を参照してください。
SRST リファレンスのセキュリティを設定するには、次の手順を実行します。
ステップ 1 Cisco Unified Communications Manager の管理ページで、 [システム]>[SRST] を選択します。
• 新しい SRST 参照先を追加するには、検索ウィンドウで [新規追加] をクリックします(プロファイルを表示してから、 [新規追加] をクリックすることもできます)。設定ウィンドウが表示され、各フィールドのデフォルト設定が示されます。
• 既存の SRST 参照先をコピーするには、『 Cisco Unified Communications Manager アドミニストレーション ガイド 』の説明に従って適切な SRST 参照先を見つけ、[コピー(Copy)]列内にあるそのレコード用の [コピー(Copy)] アイコンをクリックします(プロファイルを表示してから、 [コピー] をクリックすることもできます)。設定ウィンドウが表示され、設定内容が示されます。
• 既存の SRST リファレンスを更新するには、『 Cisco Unified Communications Manager アドミニストレーション ガイド 』の説明に従って適切な SRST リファレンスを見つけます。設定ウィンドウが表示され、現在の設定が示されます。
ステップ 3 表13-2 の説明に従い、セキュリティ関連の設定を入力します。
その他のSRST リファレンス設定内容の説明については、『 Cisco Unified Communications Manager アドミニストレーション ガイド 』を参照してください。
ステップ 4 [セキュアSRST(Is SRST Secure?)]チェックボックスをオンにすると、[証明書の更新]ボタンをクリックして SRST 証明書をダウンロードする必要があるというメッセージがダイアログボックスに表示されます。 [OK] をクリックします。
ステップ 6 データベース内の SRST 対応ゲートウェイの証明書を更新するには、 [証明書の更新] ボタンをクリックします。
ヒント このボタンは、[セキュアSRST(Is SRST Secure?)]チェックボックスをオンにして[保存]をクリックした後にだけ表示されます。
ステップ 7 証明書のフィンガープリントが表示されます。証明書を受け入れるには、 [保存] をクリックします。
ステップ 9 [SRST参照先の設定(SRST Reference Configuration)]ウィンドウで、 [リセット] をクリックします。
[デバイスプール設定(Device Pool Configuration)]ウィンドウで SRST リファレンスが有効になったことを確認します。
詳細については、「関連項目」を参照してください。
SRST リファレンスのセキュリティの設定内容
表13-2 で、保護された SRST リファレンスに対して Cisco Unified Communications Manager の管理ページで使用できる設定について説明します。
• 設定のヒントについては、「SRST セキュリティの設定のヒント」を参照してください。
• 関連する情報および手順については、「関連項目」を参照してください。
SRST リファレンスからのセキュリティの削除
セキュリティの設定後に SRST リファレンスを非セキュアにするには、[SRST参照先の設定(SRST Reference Configuration)]ウィンドウで、[セキュアSRST(Is SRST Secure?)]チェックボックスをオフにします。ゲートウェイ上のクレデンシャル サービスを無効にする必要がある旨のメッセージが表示されます。
SRST 証明書がゲートウェイから削除された場合
SRST 証明書が SRST 対応のゲートウェイから削除されている場合は、その SRST 証明書を Cisco Unified Communications Manager データベースと IP Phone から削除する必要があります。
この作業を実行するには、[SRST参照先の設定(SRST Reference Configuration)]ウィンドウで、 [セキュアSRST(Is SRST Secure?)] チェックボックスをオフにして [保存] をクリックし、 [リセット] をクリックします。
フィードバック