Cisco Unified Communications Manager セキュリティ ガイド Release 7.0(1)

相互作用

ここでは、シスコのセキュリティ機能が Cisco Unified Communications Manager アプリケーションと相互に作用する方法について説明します。

プレゼンス

SIP を実行する電話機およびトランクにプレゼンス グループ許可を追加するには、プレゼンス要求を許可ユーザに制限するプレゼンス グループを設定します。

（注） プレゼンス グループの設定の詳細については、『Cisco Unified Communications Manager 機能およびサービス ガイド』を参照してください。

SIP トランクでプレゼンス要求を許可するには、Cisco Unified Communications Manager で SIP トランクでのプレゼンス要求を受け入れるように設定します。また、必要に応じて、Cisco Unified Communications Manager でリモート デバイスおよびアプリケーションからの着信プレゼンス要求を受け入れて認証できるように設定します。

SIP トランク

SIP 発信転送機能、および Web Transfer やクリック ツー ダイヤルなどの高度な転送関連機能を SIP トランクで使用するには、Cisco Unified Communications Manager で着信アウトオブダイアログ REFER 要求を受け付けるように設定する必要があります。

イベント レポートをサポートし（MWI サポートなど）、1 コールあたりの MTP 割り当て（ボイスメール サーバからなど）を削減するには、Cisco Unified Communications Manager で未承諾 NOTIFY SIP 要求を受け付けるように設定する必要があります。

Cisco Unified Communications Manager が、SIP トランクの外部コールを外部デバイスまたはパーティに転送できるようにするには（有人転送など）、Cisco Unified Communications Manager で REFER およびインバイトの REPLACE ヘッダー付き SIP 要求を受け付けるように設定します。

エクステンション モビリティ

エクステンション モビリティでは、エンド ユーザごとに異なるクレデンシャルが設定されるため、ユーザがログインまたはログアウトしたときに、SIP ダイジェスト信用証明書が変更されます。

CTI

Cisco Unified Communications Manager Assistant は、CAPF プロファイルを設定（Cisco Unified Communications Manager Assistant ノードごとに 1 つ）している場合に CTI（トランスポート層セキュリティ接続）へのセキュア接続をサポートします。

CTI/JTAPI/TAPI アプリケーションの複数のインスタンスが実行中の場合、CTI TLS をサポートするには、管理者が、アプリケーション インスタンスごとに一意のインスタンス ID（IID）を設定し、CTI Manager と JTAPI/TSP/CTI アプリケーションとの間のシグナリングおよびメディア通信ストリームを保護する必要があります。

デバイス セキュリティ モードが認証済みまたは暗号化済みになっている場合、Cisco Unity-CM TSP は Cisco Unified Communications Manager TLS ポートを介して Cisco Unified Communications Manager に接続します。セキュリティ モードが非セキュアになっている場合は、Cisco Unity TSP は、Cisco Unified Communications Manager ポートを介して Cisco Unified Communications Manager に接続します。

制限

次の項で、シスコのセキュリティ機能に適用される制限について説明します。

• 「認証と暗号化」

• 「割り込みと暗号化」

• 「ワイドバンド コーデックと暗号化」

• 「メディア リソースと暗号化」

• 「電話機のサポートと暗号化」

• 「電話機のサポートおよび暗号化された設定ファイル」

• 「セキュリティ アイコンと暗号化」

• 「クラスタおよびデバイス セキュリティ モード」

• 「ダイジェスト認証と暗号化」

• 「パケット キャプチャと暗号化」

認証と暗号化

認証および暗号化機能をインストールして設定する前に、次の制限を考慮してください。

• 混合モードに設定すると、自動登録機能は動作しません。

• デバイス認証がないとシグナリング暗号化またはメディア暗号化を実装できません。デバイス認証をインストールするには、Cisco CTL Provider サービスを有効にし、Cisco CTL クライアントをインストールして設定してください。

• 混合モードに設定している場合、Cisco Unified Communications Manager は Network Address Translation（NAT; ネットワーク アドレス変換）をサポートしません。

ファイアウォールで UDP を有効にすると、メディア ストリームによるファイアウォールの通過が許可されます。UDP を有効にすると、ファイアウォールの信頼できる側にあるメディア ソースが、ファイアウォールを介してメディア パケットを送信することにより、ファイアウォールを通過する双方向のメディア フローを開くことができます。

ヒント ハードウェア DSP リソースはこのタイプの接続を開始できないため、ファイアウォールの外側に置く必要があります。

シグナリング暗号化では NAT トラバーサルをサポートしません。NAT を使用する代わりに、LAN 拡張 VPN の使用を検討してください。

• SRTP は、音声パケットのみを暗号化します。

割り込みと暗号化

割り込みと暗号化には、次の制限が適用されます。

• 帯域幅要件のため、Cisco Unified IP Phone 7940G および 7960G は、アクティブな暗号化済みコールへの暗号化済みデバイスからの割り込みをサポートしません。割り込みを試みると失敗します。割り込みが失敗したことを示すトーンが発信者の電話機で再生されます。

• リリース 8.2 またはそれ以前を実行している暗号化が設定されている Cisco Unified IP Phone は、認証済みまたは非セキュアの参加者としてのみ、アクティブなコールに割り込むことができます。

• 発信者がセキュアな SCCP コールに割り込むと、システムは割り込み先のデバイスで内部のトーン再生メカニズムを使用し、ステータスはセキュアなままとなります。

• 発信者がセキュアな SIP コールに割り込むと、システムは保留音を再生し、Cisco Unified Communications Manager は再生中にこのコールを非セキュアと分類します。

（注） リリース 8.3 以降を実行している非セキュアまたは認証済みの Cisco Unified IP Phone は、暗号化済みコールに割り込むことができます。セキュリティ アイコンによって会議のセキュリティ ステータスが示されます。詳細については、「セキュアな会議のアイコン」を参照してください。

ワイドバンド コーデックと暗号化

次の情報は、暗号化が設定されていて、ワイドバンドのコーデック リージョンに関連付けられた Cisco Unified IP Phone 7960G または 7940G に適用されます。これは、TLS/SRTP 用に設定された Cisco Unified IP Phone 7960G または 7940G にのみ適用されます。

暗号化されたコールを確立するため、Cisco Unified Communications Manager はワイドバンド コーデックを無視して、サポートされる別のコーデックを電話機が提示するコーデック リストから選択します。コールのもう一方のデバイスで暗号化が設定されていない場合、Cisco Unified Communications Manager はワイドバンド コーデックを使用して認証済みおよび非セキュア コールを確立できます。

メディア リソースと暗号化

Cisco Unified Communications Manager はメディア リソースを使用しないセキュア Cisco Unified IP Phone（SCCP または SIP）、セキュア CTI デバイス/ルート ポイント、セキュア Cisco MGCP IOS ゲートウェイ、セキュア SIP トランク、セキュア H.323 ゲートウェイ、セキュア会議ブリッジ、およびセキュア H.323/H.245/H.225 トランク間で、認証および暗号化されたコールをサポートします。Cisco Unified Communications Manager では、次の場合にメディア暗号化を使用できません。

• トランスコーダに関連するコール

• メディア ターミネーション ポイントに関連するコール

• 保留音に関連するコール（セキュア会議ブリッジのコールを除く）

電話機のサポートと暗号化

一部の Cisco Unified IP Phone（Cisco Unified IP Phone 7912G など）は、暗号化コールをサポートしません。暗号化はサポートしても、証明書の署名の検証はサポートしない電話機もあります。暗号化とこのバージョンの Cisco Unified Communications Manager をサポートする Cisco Unified IP Phone の詳細については、Cisco Unified IP Phone のアドミニストレーション ガイドを参照してください。

SCCP を実行する Cisco Unified IP Phone 7906G、7911G、7931G、7940G、7941G、7941G-GE、7942G、7945G、7960G、7961G、7961G-GE、7962G、7965G、7970G、7971G、7971G-GE、および 7975G は、暗号化をサポートします。SIP を実行する Cisco Unified IP Phone 7906G、7911G、7941G、7941G-GE、7942G、7961G、7961G-GE、7962G、7965G、7970G、7971G、7971G-GE、および 7975G は、暗号化をサポートします。

警告 セキュリティ機能を最大限に活用するには、Cisco Unified IP Phone をリリース 8.3 にアップグレードすることをお勧めします。リリース 8.3 は、今回のリリースの Cisco Unified Communications Manager で暗号化機能をサポートします。それより前のリリースを実行している暗号化済みの電話機では、これらの新機能が完全にはサポートされません。これらの電話機は、セキュアな会議コールおよび割り込みコールに対し、認証済みか非セキュアな参加者として参加できます。

Cisco Unified Communications Manager の以前のリリースとともにリリース 8.3 を実行している Cisco Unified IP Phone では、会議コールまたは割り込みコール中に会議のセキュリティ ステータスではなく接続のセキュリティ ステータスが表示されます。また、会議リストなどのセキュアな会議機能はサポートされません。

電話機のサポートおよび暗号化された設定ファイル

暗号化された設定ファイルをサポートしない電話機もあります。また、暗号化された設定ファイルはサポートするが、署名の検証をサポートしない電話機もあります。Cisco Unified IP Phone 7905G および 7912G を除き、暗号化された設定ファイルをサポートする電話機にはすべて、完全に暗号化された設定ファイルを受信するために、Cisco Unified Communications Manager Release 5.0 以降と互換性のあるファームウェアが必要です。Cisco Unified IP Phone 7905G および 7912G は、既存のセキュリティ メカニズムを使用します。このメカニズムはこの機能のために新しいファームウェアを必要としません。暗号化された設定ファイルの電話機でのサポートについては、「サポートされる電話機のモデル」を参照してください。

セキュリティ アイコンと暗号化

セキュリティ アイコンと暗号化には、次の制限が適用されます。

• コールの転送またはコールの保留などのタスクを実行するときに、暗号化ロック アイコンが電話機に表示されないことがあります。MOH など、こうしたタスクに関連付けられたメディア ストリームが暗号化されていない場合、ステータスは暗号化済みから非セキュアに変化します。

• Cisco Unified Communications Manager は、H.323 トランクおよび SIP トランクで転送されるコールに対してはシールド アイコンを表示しません。

• PSTN に関連するコールの場合、セキュリティ アイコンで表示されるセキュリティ ステータスはコールの IP ドメイン部分についてのみです。

• 転送タイプに TLS が使用されている場合、SIP トランクからレポートされるセキュリティ ステータスは、暗号化済みまたは非認証になります。SRTP がネゴシエートされると、セキュリティ ステータスは暗号化済みになります。ネゴシエートされない場合は非認証のままです。これによって、Cisco Unified Communications Manager のコール制御は、SIP トランクに関連するコールの全体的なセキュリティ レベルを特定できます。

SIP トランクは、ミートミー会議や C 割り込みなどのイベント中に参加者が認証された場合、認証済みステータスをトランク経由でレポートします（SIP トランクは引き続き TLS または SRTP を使用します）。

• セキュアなモニタリングおよび録音のため、SIP トランクは、SIP トランク経由でセキュリティ アイコン ステータスを送信するときに、SIP 回線で現在使用されているように、既存の Call Info ヘッダー メカニズムを使用します。その結果、コールの全体的なセキュリティ ステータスを SIP トランク ピアから監視できます。

• 暗号化済み電話機からの SIP トランク経由のコールが、そのクラスタ内の暗号化済み電話機に転送された場合、コールは暗号化されず、それらの暗号化済み電話機が同じセキュア クラスタ内に存在してもロック アイコンは表示されません。

セキュアな会議でのセキュリティ アイコンの表示の詳細については、「セキュアな会議のアイコン」を参照してください。

クラスタおよびデバイス セキュリティ モード

（注） デバイス セキュリティ モードは、Cisco Unified IP Phone または SIP トランクのセキュリティ機能を設定します。クラスタ セキュリティ モードは、スタンドアロン サーバまたはクラスタのセキュリティ機能を設定します。

クラスタ セキュリティ モードが非セキュアと示される場合、デバイス セキュリティ モードは電話機の設定ファイルで非セキュアになっています。この場合、電話機は、デバイス セキュリティ モードが認証済みまたは暗号化済みになっていても、SRST 対応のゲートウェイおよび Cisco Unified Communications Manager と非セキュア接続を確立します。デバイス セキュリティ モード以外のセキュリティ関連設定（［SRST Allowed］チェックボックスなど）も無視されます。セキュリティ設定は Cisco Unified Communications Manager の管理ページで削除されませんが、セキュリティは提供されません。

電話機が SRST 対応ゲートウェイへのセキュア接続を試行するのは、クラスタ セキュリティ モードがセキュアで、電話機設定ファイル内のデバイス セキュリティ モードが認証済みまたは暗号化済みに設定されており、［トランクの設定(Trunk Configuration)］ウィンドウで［SRTPを許可(SRTP Allowed)］チェックボックスがオンになっていて、電話機の設定ファイル内に有効な SRST 証明書が存在する場合だけです。

ダイジェスト認証と暗号化

Cisco Unified Communications Manager は、複数の異なるコール レッグを持つコールとして、SIP コールを定義します。通常、2 つの SIP デバイスで 2 者が通話するとき、2 つの異なるコール レッグが存在します。1 つは、発信 SIP ユーザ エージェントと Cisco Unified Communications Manager の間（発信コール レッグ）で、もう 1 つは Cisco Unified Communications Manager と宛先 SIP ユーザ エージェントの間（着信コール レッグ）です。各コール レッグは、別のダイアログを表します。ダイジェスト認証は、ポイントツーポイント プロセスなので、各コール レッグの認証は別のコール レッグから独立しています。SRTP 機能は、ユーザ エージェント間でネゴシエーションされる機能に応じて、コール レッグごとに変更できます。

パケット キャプチャと暗号化

SRTP 暗号化が実装されている場合、サードパーティのスニファは動作しません。適切な認証で許可された管理者は、Cisco Unified Communications Manager の管理ページで設定を変更してパケット キャプチャを開始できます（パケット キャプチャをサポートするデバイスの場合）。Cisco Unified Communications Manager でのパケット キャプチャの設定については、今回のリリースをサポートする『 Cisco Unified Communications Manager トラブルシューティング ガイド 』を参照してください。

デバイスのリセット、サービスの再起動またはリブート

ここでは、デバイスのリセット、Cisco Unified Serviceability でのサービスの再起動、あるいはサーバまたはクラスタのリブートが必要になる場合について説明します。

次のガイドラインを考慮します。

• Cisco Unified Communications Manager の管理ページで別のセキュリティ プロファイルを適用した後、1 台のデバイスをリセットする。

• 電話機のセキュリティ強化作業を実行した場合は、デバイスをリセットする。

• クラスタ セキュリティ モードを混合モードから非セキュア モード（またはその逆）に変更した後は、デバイスをリセットする。

• Cisco CTL クライアントの設定後、または CTL ファイルの更新後は、すべてのデバイスを再起動する。

• CAPF エンタープライズ パラメータを更新した後は、デバイスをリセットする。

• TLS 接続用のポートを更新した後は、Cisco CTL Provider サービスを再起動する。

• クラスタ セキュリティ モードを混合モードから非セキュア モード（またはその逆）に変更した後は、Cisco CallManager サービスを再起動する。

• Cisco Certificate Authority Proxy Function サービスに関連する CAPF サービス パラメータを更新した後は、このサービスを再起動する。

• Cisco CTL クライアントの設定後、または CTL ファイルの更新後は、Cisco Unified Serviceability で Cisco CallManager サービスおよび Cisco TFTP サービスをすべて再起動する。この作業は、これらのサービスを実行するクラスタ内のすべてのサーバで実行します。

• CTL Provider サービスを開始または停止した後は、Cisco CallManager サービスおよび Cisco TFTP サービスをすべて再起動する。

• SRST 参照先のセキュリティ設定後は、従属デバイスをリセットする。

• Smart Card サービスを「開始」および「自動」に設定した場合は、Cisco CTL クライアントをインストールした PC をリブートする。

• アプリケーション ユーザ CAPF プロファイルに関連付けられているセキュリティ関連のサービス パラメータを設定した後は、Cisco IP Manager Assistant サービス、Cisco Web Dialer Web サービス、および Cisco Extended Functions サービスを再起動する。

Cisco CallManager サービスの再起動については、『 Cisco Unified Serviceability アドミニストレーション ガイド 』を参照してください。

電話機設定の更新後に単一のデバイスをリセットするには、「電話機セキュリティ プロファイルの適用」を参照してください。

クラスタ内のデバイスをすべてリセットするには、次の手順を実行します。

手順

ステップ 1 Cisco Unified Communications Manager の管理ページで［ システム(System) ］>［ Cisco Unified CM ］の順に選択します。

検索と一覧表示ウィンドウが表示されます。

ステップ 2 ［ 検索(Find) ］をクリックします。

設定済みの Cisco Unified Communications Manager サーバのリストが表示されます。

ステップ 3 デバイスをリセットする Cisco Unified Communications Manager を選択します。

ステップ 4 ［ リセット(Reset) ］をクリックします。

ステップ 5 クラスタ内のサーバごとに、ステップ 2 とステップ 4 を実行します。

メディア暗号化の設定と割り込み

「割り込みと暗号化」に加えて、次の情報も参照してください。

暗号化が設定されている Cisco Unified IP Phone 7960G および 7940G に対して割り込みを設定しようとすると、次のメッセージが表示されます。

If you configure encryption for Cisco Unified IP Phone models 7960 and 7940, those encrypted devices cannot accept a barge request when they are participating in an encrypted call. When the call is encrypted, the barge attempt fails.

メッセージが表示されるのは、Cisco Unified Communications Manager の管理ページで次の作業を実行したときです。

• ［エンタープライズパラメータ設定(Enterprise Parameters Configuration)］ウィンドウで、Cluster Security Mode パラメータを更新する。

• ［サービスパラメータ設定(Service Parameter Configuration)］ウィンドウで、Builtin Bridge Enable パラメータを更新する。

Cisco Unified IP Phone 7960G および 7940G に暗号化されたセキュリティ プロファイルを設定し、［ビルトインブリッジ(Built In Bridge)］設定で［オン(On)］を選択した場合（デフォルト設定は［デフォルト(Default)］）、このメッセージは［電話の設定(Phone Configuration)］ウィンドウに表示されません。ただし同じ制限が適用されます。

ヒント 変更内容を有効にするには、従属する Cisco IP デバイスをリセットする必要があります。

電話機の証明書の種類

シスコでは次の種類の証明書を電話機で使用します。

• Manufacture-Installed Certificate（MIC; 製造元でインストールされる証明書）：この証明書は、サポートされている電話機にシスコの製造過程で自動的にインストールされます。製造元でインストールされる証明書は、LSC のインストールにおける Cisco Certificate Authority Proxy Function（CAPF）に対する認証を行います。MIC は上書きすることも削除することもできません。

• Locally Significant Certificate（LSC; ローカルで有効な証明書）：この種類の証明書は、Cisco Certificate Authority Proxy Function（CAPF）に関連する必要な作業を実行した後で、サポートされている電話機にインストールされます。設定の作業については、「設定用チェックリストの概要」を参照してください。LSC は、デバイス セキュリティ モードを認証または暗号化に設定すると、Cisco Unified Communications Manager と電話機間の接続のセキュリティを確保します。

ヒント 製造元でインストールされる証明書（MIC）は、LSC のインストールの場合にのみ使用することをお勧めします。シスコでは、Cisco Unified Communications Manager との TLS 接続の認証用に LSC をサポートしています。MIC ルート証明書は侵害される可能性があるため、TLS 認証用またはその他の目的のために MIC を使用するように電話機を設定するお客様は、ご自身の責任で行ってください。MIC が侵害されてもシスコは責任を負いかねます。

Cisco Unified Communications Manager との TLS 接続で LSC を使用するには Cisco Unified IP Phone 7906G、7911G、7931G（SCCP のみ）、7941G、7941G-GE、7942G、7945G、7961G、7961G-GE、7962G、7965G、7970G、7971G、7971G-GE、および 7975G をアップグレードし、CallManager 信頼ストアから MIC ルート証明書を削除して今後の互換性の問題を回避することをお勧めします。Cisco Unified Communications Manager への TLS 接続に MIC を使用する一部の電話機モデルは、登録できない場合があることに注意してください。

管理者は、CallManager 信頼ストアから次の MIC ルート証明書を削除する必要があります。
CAP-RTP-001
CAP-RTP-002
Cisco_Manufacturing_CA
Cisco_Root_CA_2048

CAPF 信頼ストアに格納されている MIC ルート証明書は、証明書のアップグレードに使用されます。CallManager 信頼ストアの更新と証明書の管理の詳細については、今回のリリースをサポートする『Cisco Unified Communications Operating System アドミニストレーション ガイド 』を参照してください。

サーバの証明書の種類

Cisco Unified Communications Manager サーバでは、次の種類の自己署名証明書を使用します。

• HTTPS 証明書（Tomcat）：この自己署名ルート証明書は、Cisco Unified Communications Manager をインストールするときに、HTTPS サーバに対して生成されます。Cisco Unity Connection は、この証明書を SMTP サービスおよび IMAP サービスに使用します。

• CallManager 証明書：この自己署名ルート証明書は、Cisco Unified Communications Manager サーバに Cisco Unified Communications Manager をインストールすると自動的にインストールされます。

• CAPF 証明書：このルート証明書は、Cisco Unified Communications Manager のインストール中に生成され、Cisco CTL クライアントの設定が完了した後で、ユーザのサーバまたはクラスタ内のすべてのサーバにコピーされます。

• IPSec 証明書（ipsec_cert）：この自己署名ルート証明書は、Cisco Unified Communications Manager のインストール中に、MGCP および H.323 ゲートウェイとの IPSec 接続に対して生成されます。

• SRST 対応ゲートウェイ証明書：Cisco Unified Communications Manager の管理ページのセキュアな SRST 参照先を設定するときに、Cisco Unified Communications Manager は、ゲートウェイから SRST 対応ゲートウェイ証明書を取得し、Cisco Unified Communications Manager データベースに格納します。デバイスをリセットすると、証明書は電話機設定ファイルに追加されます。証明書はデータベースに格納されるため、この証明書を証明書管理ツールで管理することはできません。

• Phone Certificates 信頼ストア（Phone-trust）：Cisco Unified Communications Manager は、電話機で HTTPS アクセスをサポートするためにこの証明書の種類を使用します。証明書は、Cisco Unified Communications オペレーティング システムの GUI を使用して、電話機の信頼ストアにアップロードできます。その後この証明書は、CTL ファイル メカニズムによって電話機にダウンロードされ、Cisco Unified IP Phone からのセキュアな Web アクセス（HTTPS）をサポートします。

Cisco Unified Communications Manager は、次の種類の証明書を CallManager 信頼ストアにインポートします。

• Cisco Unity サーバまたは Cisco Unity Connection 証明書：Cisco Unity および Cisco Unity Connection は、この自己署名証明書を使用して、Cisco Unity SCCP および Cisco Unity Connection SCCP デバイス証明書に署名します。Cisco Unity の場合、Cisco Unity Telephony Integration Manager（UTIM）がこの証明書を管理します。Cisco Unity Connection の場合は、Cisco Unity Connection の管理機能がこの証明書を管理します。

• Cisco Unity および Cisco Unity Connection SCCP デバイス証明書：Cisco Unity および Cisco Unity Connection SCCP デバイスはこの署名証明書を使用して、Cisco Unified Communications Manager との TLS 接続を確立します。

証明書名は、ボイスメール サーバ名に基づく証明書の件名のハッシュを表しています。すべてのデバイス（またはポート）が、ルート証明書をルートとする証明書を発行します。

• SIP Proxy サーバ証明書：CallManager 信頼ストアに SIP ユーザ エージェント証明書が含まれ、SIP ユーザ エージェントの信頼ストアに Cisco Unified Communications Manager 証明書が含まれている場合、SIP トランク経由で接続する SIP ユーザ エージェントは、Cisco Unified Communications Manager に対して認証されます。

追加の信頼ストアを次に示します。

• LDAP Corporate Directory 信頼ストア（directory-trust）：Cisco Unified Communications Manager は、この署名証明書を使用して、ディレクトリの同期化および LDAP 認証用に LDAP over SSL をサポートします。ディレクトリ信頼証明書は、社内ディレクトリ（Active Directory または Netscape Directory）から Directory 信頼ストアにアップロードされます。信頼する証明書のアップロード後は、Cisco Tomcat サービスおよび Cisco DirSync サービスを再起動する必要があります。

外部 CA からの証明書のサポート

Cisco Unified Communications Manager は、PKCS#10 Certificate Signing Request（CSR; 証明書署名要求）メカニズムを使用して、サードパーティの認証局（CA）との統合をサポートします。このメカニズムには、Cisco Unified Communications オペレーティング システムの［証明書の管理(Certificate Manager)］の GUI でアクセスできます。現在サードパーティの CA を使用しているお客様は、この CSR メカニズムを使用して、Cisco Unified Communications Manager、CAPF、IPSec、および Tomcat の証明書を発行する必要があります。

（注） 今回のリリースの Cisco Unified Communications Manager は、SCEP インターフェイス サポートを提供しません。

サードパーティの CA 署名付き証明書をプラットフォームにアップロードした後、CTL クライアントを実行して、CTL ファイルを更新してください。CTL クライアントを実行した後、該当するサービスを再起動して更新します。たとえば、Cisco Unified Communications Manager 証明書を更新する場合は Cisco CallManager サービスと Cisco TFTP サービスを再起動し、CAPF 証明書を更新する場合は CAPF を再起動します。更新の手順については、「Cisco CTL クライアントの設定」を参照してください。

プラットフォームでの証明書署名要求（CSR）の生成の詳細については、今回のリリースの Cisco Unified Communications Manager をサポートする『 Cisco Unified Communications Operating System アドミニストレーション ガイド 』を参照してください。

イメージ認証

このプロセスは、バイナリ イメージ（ファームウェア ロード）が電話機でロードされる前に改ざんされるのを防ぎます。イメージが改ざんされると、電話機は認証プロセスで失敗し、イメージを拒否します。イメージ認証は、Cisco Unified Communications Manager のインストール時に自動的にインストールされる署名付きバイナリ ファイルを使用して行われます。同様に、Web からダウンロードするファームウェア アップデートでも署名付きバイナリ イメージが提供されます。

デバイス認証

このプロセスでは、通信デバイスの ID を検証し、このエンティティが主張内容と一致することを確認します。サポートされるデバイスのリストについては、「サポートされる電話機のモデル」を参照してください。

デバイス認証は、Cisco Unified Communications Manager サーバとサポートされる Cisco Unified IP Phone、SIP トランク、または JTAPI/TAPI/CTI アプリケーション（サポートされる場合）の間で発生します。認証された接続は、各エンティティが他のエンティティの証明書を受け付けたときにのみ、これらのエンティティの間で発生します。この相互証明書交換プロセスが、相互認証と呼ばれるプロセスです。

デバイス認証は、「Cisco CTL クライアントの設定」で説明する Cisco CTL ファイルの作成（Cisco Unified Communications Manager サーバ ノードおよびアプリケーションの認証の場合）、および 「Certificate Authority Proxy Function の使用方法」で説明する Certificate Authority Proxy Function（電話機および JTAPI/TAPI/CTI アプリケーションの認証の場合）に依存します。

ヒント CallManager 信頼ストアに SIP ユーザ エージェント証明書が含まれ、SIP ユーザ エージェントの信頼ストアに Cisco Unified Communications Manager 証明書が含まれている場合、SIP トランク経由で接続する SIP ユーザ エージェントは、Cisco Unified Communications Manager に対して認証されます。CallManager 信頼ストアの更新の詳細については、今回のリリースの Cisco Unified Communications Manager をサポートする『Cisco Unified Communications Operating System アドミニストレーション ガイド』を参照してください。

ファイル認証

このプロセスでは、電話機でダウンロードするデジタル署名されたファイルを検証します。たとえば、設定、呼出音一覧、ロケール、CTL ファイルなどがあります。電話機は署名を検証して、ファイルが作成後に改ざんされていないことを確認します。サポートされるデバイスのリストについては、「サポートされる電話機のモデル」を参照してください。

クラスタを非セキュア モードに設定した場合、TFTP サーバはどのファイルにも署名しません。クラスタを混合モードに設定した場合、TFTP サーバは呼出音一覧、ローカライズ、デフォルトの .cnf.xml、呼出音一覧 wav ファイルなど、.sgn 形式のスタティック ファイルに署名します。TFTP サーバは、ファイルのデータが変更されたことを確認するたびに、<device name>.cnf.xml 形式のファイルに署名します。

キャッシングが無効になっている場合、TFTP サーバは署名付きファイルをディスクに書き込みます。TFTP サーバは、保存されたファイルが変更されたことを確認すると、再度そのファイルに署名します。ディスク上に新しいファイルを置くと、保存されていたファイルは上書きされて削除されます。電話機で新しいファイルをダウンロードするには、事前に、Cisco Unified Communications Manager の管理ページで、影響を受けるデバイスを再起動しておく必要があります。

電話機は、TFTP サーバからファイルを受信すると、ファイルのシグニチャを確認して、ファイルの整合性を検証します。電話機で認証された接続を確立するには、次の基準が満たされることを確認します。

• 証明書が電話機に存在する必要がある。

• CTL ファイルが電話機にあり、そのファイルに Cisco Unified Communications Manager エントリおよび証明書が存在する必要がある。

• デバイスに認証または暗号化を設定した。

（注） ファイル認証は Certificate Trust List（CTL; 証明書信頼リスト）ファイルの作成に依存します。これについては、「Cisco CTL クライアントの設定」で説明します。

シグナリング認証

このプロセスはシグナリング整合性とも呼ばれ、TLS プロトコルを使用して、転送中のシグナリング パケットが改ざんされていないことを検証します。

シグナリング認証は Certificate Trust List（CTL; 証明書信頼リスト）ファイルの作成に依存します。これについては、「Cisco CTL クライアントの設定」で説明します。

ダイジェスト認証

この SIP トランクおよび電話機用のプロセスによって、Cisco Unified Communications Manager は、Cisco Unified Communications Manager に接続しているデバイスの ID でチャレンジができます。チャレンジが行われるときは、デバイスは自身のダイジェスト信用証明書（ユーザ名やパスワードのようなもの）を Cisco Unified Communications Manager に提示して検証を受けます。提示された信用証明書がそのデバイス用としてデータベースに設定済みの信用証明書と一致した場合、ダイジェスト認証は成功し、Cisco Unified Communications Manager は SIP 要求を処理します。

（注） クラスタのセキュリティ モードはダイジェスト認証に影響しないので、注意してください。

（注） デバイスでダイジェスト認証を有効にする場合、デバイスを登録するには一意のダイジェスト ユーザ ID およびパスワードが必要になります。

ユーザは Cisco Unified Communications Manager データベースに電話機ユーザまたはアプリケーションユーザの SIP ダイジェスト信用証明書を設定します。

• アプリケーションの場合は、［アプリケーションユーザの設定(Application User Configuration)］ウィンドウでダイジェスト信用証明書を指定します。

• SIP を実行する電話機の場合は、［エンドユーザの設定(End User Configuration)］ウィンドウで、ダイジェスト認証信用証明書を指定します。ユーザを設定した後でクレデンシャルを電話機に関連付けるには、［電話の設定(Phone Configuration)］ウィンドウで［ダイジェストユーザ(Digest User)］（エンド ユーザ）を選択します。電話機をリセットした後、クレデンシャルは、TFTP サーバが電話機に提供する電話機設定ファイルに存在するようになります。ダイジェスト信用証明書が TFTP ダウンロードで暗号化されずに送信されることがないようにする方法については、 「暗号化された電話機設定ファイルの設定」 を参照してください。

• ユーザは、チャレンジを SIP トランク上で受信するための SIP レルムを設定します。SIP レルムは、レルム、ユーザ名（デバイスまたはアプリケーション ユーザ）およびダイジェスト信用証明書を指定します。

SIP を実行する外部の電話機またはトランクのダイジェスト認証を有効にし、ダイジェスト信用証明書を設定した場合、Cisco Unified Communications Manager は、ユーザ名、パスワード、およびレルムのハッシュを含む信用証明書チェックサムを計算します。システムはナンス値（ランダムな数値）を使用して、MD5 ハッシュを計算します。Cisco Unified Communications Manager は値を暗号化し、ユーザ名とチェックサムをデータベースに格納します。

チャレンジを開始する場合、Cisco Unified Communications Manager は、ヘッダーにナンスとレルムを含む SIP 401（Unauthorized）メッセージを使用します。ユーザは、SIP デバイスのセキュリティ プロファイルで電話機またはトランクのナンス確認時間を設定します。ナンス確認時間は、ナンス値が有効な時間数（分単位）を指定するものです。この時間を超えると、Cisco Unified Communications Manager は外部デバイスを拒否して新しい番号を生成します。

（注） Cisco Unified Communications Manager は、回線側電話機またはデバイスから発信され、SIP トランク経由で到達した SIP コールのユーザ エージェント サーバ（UAS）、SIP トランクに向けて発信された SIP コールのユーザ エージェント クライアント（UAC）、または、回線対回線接続またはトランク対トランク接続のバックツーバック ユーザ エージェント（B2BUA）として機能します。ほとんどの環境では、Cisco Unified Communications Manager は主に、SCCP および SIP エンドポイントを接続する B2BUA として機能します（SIP ユーザ エージェントは、SIP メッセージを発信したデバイスまたはアプリケーションを表します）。

ヒント ダイジェスト認証は、整合性や信頼性を提供しません。デバイスの整合性および信頼性を保証するには、デバイスに TLS プロトコルを設定します（デバイスが TLS をサポートする場合）。デバイスが暗号化をサポートしている場合は、デバイス セキュリティ モードを暗号化に設定します。デバイスが暗号化された電話機設定ファイルをサポートする場合は、ファイルの暗号化を設定します。

電話機のダイジェスト認証

電話機に対してダイジェスト認証が有効になっている場合、Cisco Unified Communications Manager は、SIP を実行する電話機に対し、キープアライブ メッセージ以外のすべての要求でチャレンジを行います。Cisco Unified Communications Manager は回線側の電話機からのチャレンジには応答しません。

応答を受信した後、Cisco Unified Communications Manager は、データベースに格納されているユーザ名のチェックサムと、応答ヘッダーのクレデンシャルと比較して検証します。

SIP を実行する電話機は Cisco Unified Communications Manager のレルムに存在し、これは Cisco Unified Communications Manager の管理 機能のインストール時に定義されます。電話機のチャレンジ用の SIP レルムは、サービス パラメータ SIP Station Realm で設定します。各ダイジェスト ユーザは、レルムごとにダイジェスト信用証明書のセットを 1 つ持つことができます。詳細については、 「SIP 電話機のダイジェスト認証の設定」 を参照してください。

ヒント エンド ユーザのダイジェスト認証を有効にしたが、ダイジェスト信用証明書は設定しなかった場合、電話機は登録できません。クラスタ モードが非セキュアで、ダイジェスト認証を有効にし、ダイジェスト信用証明書を設定した場合、ダイジェスト信用証明書は電話機に送信されますが、Cisco Unified Communications Manager でもチャレンジが開始されます。

トランクのダイジェスト認証

トランクに対してダイジェスト認証が有効になっている場合、Cisco Unified Communications Manager は、SIP トランク経由で接続する SIP デバイスおよびアプリケーションからの SIP トランク要求でチャレンジを行います。システムはチャレンジ メッセージで Cluster ID エンタープライズ パラメータを使用します。SIP トランクを通じて接続する SIP ユーザ エージェントは、Cisco Unified Communications Manager の管理ページで設定したデバイスまたはアプリケーション用の一意のダイジェスト信用証明書で応答します。

Cisco Unified Communications Manager が SIP トランク要求を開始すると、SIP トランクを介して接続する SIP ユーザ エージェントは Cisco Unified Communications Manager の ID をチャレンジできます。これらの着信するチャレンジに対して、管理者は SIP レルムを設定して要求されたクレデンシャルをユーザに提供します。Cisco Unified Communications Manager が SIP 401（Unauthorized）メッセージまたは SIP 407（Proxy Authentication Required）メッセージを受信すると、Cisco Unified Communications Manager は、トランク経由で接続するレルムおよびチャレンジ メッセージで指定されているユーザ名の暗号化されたパスワードをルックアップします。Cisco Unified Communications Manager は、パスワードを復号化し、ダイジェストを計算し、これを応答メッセージで表します。

ヒント レルムは SIP トランク経由で接続するドメイン（xyz.com など）を表し、要求の発信元の識別に役立ちます。

SIP レルムの設定方法の詳細については、「SIP トランクのダイジェスト認証の設定」を参照してください。SIP レルムとユーザ名およびパスワードは、Cisco Unified Communications Manager に対してチャレンジができる SIP トランク ユーザ エージェントごとに Cisco Unified Communications Manager で設定する必要があります。各ユーザは、レルムごとにダイジェスト信用証明書のセットを 1 つ持つことができます。

許可

Cisco Unified Communications Manager は、許可プロセスを使用して、SIP を実行する電話機、SIP トランク、および SIP トランクの SIP アプリケーション要求からのメッセージについて、一定のカテゴリを制限します。

• SIP インバイト メッセージと in-dialog メッセージ、および SIP を実行する電話機の場合、Cisco Unified Communications Manager はコーリング サーチ スペースおよびパーティションを通じて許可を与えます。

• 電話機からの SIP SUBSCRIBE 要求の場合、Cisco Unified Communications Manager は、プレゼンス グループへのユーザ アクセスに許可を与えます。

• SIP トランクの場合、Cisco Unified Communications Manager はプレゼンス サブスクリプションおよび非インバイト SIP メッセージ（アウトオブダイアログ REFER、未承諾 NOTIFY、REPLACE ヘッダー付き SIP 要求など）の許可を与えます。［SIPトランクセキュリティプロファイルの設定(SIP Trunk Security Profile Configuration)］ウィンドウで、許可する SIP 要求のチェックボックスをオンにして、許可を指定します。

SIP トランクのアプリケーションの許可を有効にするには、［SIPトランクセキュリティプロファイルの設定(SIP Trunk Security Profile Configuration)］ウィンドウで［アプリケーションレベル認証を有効化(Enable Application Level Authorization)］チェックボックスと［ダイジェスト認証を有効化(Enable Digest Authentication)］チェックボックスをオンにしてから、［アプリケーションユーザの設定(Application User Configuration)］ウィンドウで許可する SIP 要求のチェックボックスをオンにします。

SIP トランクの許可とアプリケーション レベルの許可の両方を有効にすると、最初に SIP トランクの許可が発生し、次に SIP アプリケーション ユーザの許可が発生します。トランクの場合、Cisco Unified Communications Manager はトランク ACL 情報をダウンロードしてキャッシュします。ACL 情報は、着信 SIP 要求に適用されます。ACL が SIP 要求を許可しない場合、コールは 403 Forbidden メッセージで失敗します。

ACL が SIP 要求を許可する場合、Cisco Unified Communications Manager は、［SIPトランクセキュリティプロファイルの設定(SIP Trunk Security Profile Configuration)］でダイジェスト認証が有効かどうかを確認します。ダイジェスト認証が有効でなく、アプリケーションレベルの許可が有効でない場合、Cisco Unified Communications Manager は要求を処理します。ダイジェスト認証が有効な場合、Cisco Unified Communications Manager は着信要求に認証ヘッダーが存在することを確認してから、ダイジェスト認証を使用して、発信元アプリケーションを識別します。ヘッダーが存在しない場合、Cisco Unified Communications Manager は 401 メッセージでデバイスに対するチャレンジを行います。

アプリケーションレベルの ACL を適用する前に、Cisco Unified Communications Manager は、ダイジェスト認証で SIP トランク ユーザ エージェントを認証します。そのため、アプリケーションレベルの許可を発生させるには、事前に［SIPトランクセキュリティプロファイルの設定(SIP Trunk Security Profile Configuration)］でダイジェスト認証を有効にする必要があります。

シグナリング暗号化

シグナリング暗号化により、デバイスと Cisco Unified Communications Manager サーバとの間で送信されるすべての SIP および SCCP シグナリング メッセージが確実に暗号化されます。

シグナリング暗号化は、各側に関連する情報、各側で入力された DTMF 番号、コール ステータス、メディア暗号鍵などについて、予期しないアクセスや不正アクセスから保護します。

クラスタを混合モードに設定した場合、Cisco Unified Communications Manager による Network Address Translation（NAT; ネットワーク アドレス変換）はサポートされません。NAT はシグナリング暗号化では動作しません。

ファイアウォールで UDP ALG を有効にすると、メディア ストリームによるファイアウォールの通過が許可されます。UDP ALG を有効にすると、ファイアウォールの信頼できる側にあるメディア ソースが、ファイアウォールを介してメディア パケットを送信することにより、ファイアウォールを通過する双方向のメディア フローを開くことができます。

ヒント ハードウェア DSP リソースはこのタイプの接続を開始できないため、ファイアウォールの外側に置く必要があります。

シグナリング暗号化では NAT トラバーサルをサポートしません。NAT を使用する代わりに、LAN 拡張 VPN の使用を検討してください。

SIP トランクは、シグナリング暗号化をサポートしますが、メディア暗号化はサポートしません。

メディア暗号化

メディア暗号化は SRTP を使用し、対象とする受信者だけが、サポートされるデバイス間のメディア ストリームを解釈できるようになります。サポートには、オーディオ ストリームだけが含まれます。メディア暗号化には、デバイス用のメディア マスター鍵ペアの作成、デバイスへの鍵配送、鍵転送中の配送の保護が含まれます。Cisco Unified Communications Manager は主に、IOS ゲートウェイ用、およびゲートキーパー制御トランクと非ゲートキーパー制御トランクの Cisco Unified Communications Manager H.323 トランク用に、また SIP トランクにおいて、SRTP をサポートします。

（注） Cisco Unified Communications Manager は、デバイスおよびプロトコルに応じてメディア暗号鍵を異なる方法で処理します。SCCP を実行する電話機はすべて、Cisco Unified Communications Manager からメディア暗号鍵を取得します。この場合、メディア暗号鍵は、TLS で暗号化されたシグナリング チャネルによって電話機に安全にダウンロードされます。SIP を実行する電話機は、自身のメディア暗号鍵を生成して保存します。Cisco Unified Communications Manager システムで導出されたメディア暗号鍵は、暗号化されたシグナリング パス経由で、H.323 および MGCP では IPSec で保護されたリンクを通じて、SCCP および SIP は暗号化された TLS リンクを通じてゲートウェイに安全に送出されます。

デバイスが SRTP をサポートする場合、システムは SRTP 接続を使用します。少なくとも 1 つのデバイスが SRTP をサポートしていない場合、システムは RTP 接続を使用します。SRTP から RTP へのフォールバックは、セキュア デバイスから非セキュア デバイスへの転送、トランスコーディング、保留音などで発生する場合があります。

セキュリティがサポートされているほとんどのデバイスで、認証およびシグナリング暗号化は、メディア暗号化の最小要件となります。つまり、デバイスがシグナリング暗号化および認証をサポートしていない場合、メディア暗号化を行うことができません。Cisco IOS ゲートウェイおよびトランクは、認証なしのメディア暗号化をサポートします。SRTP 機能（メディア暗号化）を有効にする場合は、Cisco IOS ゲートウェイおよびトランクに対して IPSec を設定する必要があります。

警告 Cisco IOS MGCP ゲートウェイ、H.323 ゲートウェイ、および H.323/H.245/H.225 トランクでセキュリティ関連情報が暗号化されずに送信されないようにするには、IPSec 設定に依存します。したがって、ゲートウェイおよびトランクに SRTP またはシグナリング暗号化を設定する前に、IPSec を設定することを強く推奨します。Cisco Unified Communications Manager は、IPSec が正しく設定されていることを確認しません。IPSec を正しく設定しないと、セキュリティ関連情報が公開される可能性があります。

SIP トランクは、TLS を使用して、セキュリティ関連情報が暗号化されずに送信されることを防ぎます。

次の例で、SCCP および MGCP コールのメディア暗号化を示します。

1. メディア暗号化および認証をサポートするデバイス A とデバイス B があり、Cisco Unified Communications Manager に登録されています。

2. デバイス A がデバイス B に対してコールを行うと、Cisco Unified Communications Manager はキー マネージャ機能からメディア セッション マスター値のセットを 2 つ要求します。

3. 両方のデバイスで 2 つのセットを受信します。1 つはデバイス A からデバイス B へのメディア ストリーム用、もう 1 つはデバイス B からデバイス A へのメディア ストリーム用です。

4. デバイス A は最初のマスター値セットを使用して、デバイス A からデバイス B へのメディア ストリームを暗号化して認証する鍵を取得します。

5. デバイス A は 2 番目のマスター値セットを使用して、デバイス B からデバイス A へのメディア ストリームを認証して復号化する鍵を取得します。

6. これとは反対の操作手順で、デバイス B がこれらのセットを使用します。

7. 両方のデバイスは、鍵を受信した後に必要な鍵導出を実行し、SRTP パケット処理が行われます。

（注） SIP を実行する電話機および H.323 トランク/ゲートウェイは、独自の暗号パラメータを生成し、Cisco Unified Communications Manager に送信します。

会議コールのメディア暗号化の詳細については、「セキュアな会議リソースの設定」を参照してください。

設定ファイルの暗号化

Cisco Unified Communications Manager は、TFTP サーバからの設定ファイルのダウンロードで、機密データ（ダイジェスト信用証明書や管理者パスワードなど）を電話機に送出します。

Cisco Unified Communications Manager は、可逆暗号化を使用して、データベース内でこれらのクレデンシャルを保護します。ダウンロード プロセス中にこのデータを保護するため、このオプションをサポートするすべての Cisco Unified IP Phone（「サポートされる電話機のモデル」を参照）で、暗号化された設定ファイルを設定することをお勧めします。このオプションが有効になっていると、デバイス設定ファイルだけがダウンロード用に暗号化されます。

（注） 状況によっては（たとえば、電話機のトラブルシューティングを行う場合や、自動登録中など）、機密データを電話機にクリアでダウンロードすることを選択することもできます。

Cisco Unified Communications Manager は、暗号鍵を符号化し、データベースに格納します。TFTP サーバは、対称暗号鍵を使用して、設定ファイルを暗号化および復号化します。

• 電話機に PKI 機能が備わっている場合、Cisco Unified Communications Managerは、電話機の公開鍵を使用して、電話機設定ファイルを暗号化できます。

• 電話機に PKI 機能が備わっていない場合は、Cisco Unified Communications Manager および電話機で一意の対称キーを設定する必要があります。

Cisco Unified Communications Manager の管理ページの［電話セキュリティプロファイルの設定(Phone Security Profile Configuration)］ウィンドウで、暗号化された設定ファイルの設定を有効にします。その後、［電話の設定(Phone Configuration)］ウィンドウで、この設定を電話機に適用します。

詳細については、「電話機設定ファイルの暗号化について」を参照してください。