- はじめに
- セキュリティの概要
- HTTP over SSL(HTTPS)の使用方法
- Cisco CTL クライアントの設定
- 電話機のセキュリティの概要
- 電話機 セキュリティ プロファイルの 設定
- セキュア インディケーション トーンの 設定
- Certificate Authority Proxy Function の使用方法
- 暗号化された電話機設定ファイルの設定
- SIP 電話機のダイジェスト認証の設定
- 電話機のセキュリティ強化
- セキュアな会議リソースの設定
- ボイスメール ポートのセキュリティ 設定
- CTI、JTAPI、および TAPI の認証および 暗号化の設定
- Survivable Remote Site Telephony (SRST)参照先のセキュリティ設定
- ゲートウェイおよびトランクの暗号化 の設定
- SIP トランク セキュリティ プロファイル の設定
- SIP トランクのダイジェスト認証の設定
- Cisco Unified Mobility Advantage の セキュリティ プロファイルの設定
- 索引
Cisco Unified Communications Manager セキュリティ ガイド Release 7.0(1)
偏向のない言語
この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
翻訳について
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
- Updated:
- 2012年2月22日
章のタイトル: Survivable Remote Site Telephony (SRST)参照先のセキュリティ設定
Survivable Remote Site Telephony(SRST)参照先のセキュリティ設定
•
「その他の情報」
SRST のセキュリティの概要
SRST 対応ゲートウェイは、Cisco Unified Communications Manager がコールを完了できない場合に、制限付きのコール処理タスクを提供します。
保護された SRST 対応ゲートウェイには、自己署名証明書が含まれています。Cisco Unified Communications Manager の管理ページで SRST 設定作業を実行した後、Cisco Unified Communications Manager は TLS 接続を使用して SRST 対応ゲートウェイで証明書プロバイダー サービスを認証します。Cisco Unified Communications Manager は SRST 対応ゲートウェイから証明書を取得して、その証明書を Cisco Unified Communications Manager データベースに追加します。
Cisco Unified Communications Manager の管理ページで従属デバイスをリセットすると、TFTP サーバは SRST 対応ゲートウェイの証明書を電話機の cnf.xml ファイルに追加してファイルを電話機に送信します。これで、保護された電話機は TLS 接続を使用して SRST 対応ゲートウェイと対話します。
ヒント 電話機設定ファイルには、単一の発行者からの証明書だけが含まれます。そのため、HSRP はサポートされません。
SRST セキュリティの設定のヒント
次の基準が満たされることを確認します。この基準を満たすと、保護された電話機と SRST 対応ゲートウェイとの間で接続の安全が保障されます。
• Cisco CTL クライアントを介して混合モードを設定した。
• Cisco Unified Communications Manager の管理ページで SRST 参照先を設定した。
• SRST の設定後に、SRST 対応ゲートウェイおよび従属する電話機をリセットした。
(注) Cisco Unified Communications Manager は、SRST 対応ゲートウェイ向けに、電話機の証明書情報を含む PEM 形式のファイルを提供します。
LSC 認証では、CAPF ルート証明書(CAPF.der)をダウンロードしてください。このルート証明書では、セキュアな SRST が TLS ハンドシェイク中に電話機の LSC を確認できます。
• クラスタ セキュリティ モードが非セキュアになっている場合は、Cisco Unified Communications Manager の管理ページでデバイス セキュリティ モードが認証済みまたは暗号化済みと示されていても、電話機の設定ファイルのデバイス セキュリティ モードは非セキュアのままです。このような場合、電話機は、クラスタ内で SRST 対応ゲートウェイおよび Cisco Unified Communications Manager サーバとの非セキュア接続を試行します。
(注) クラスタ セキュリティ モードは、スタンドアロン サーバまたはクラスタのセキュリティ機能を設定します。
• クラスタ セキュリティ モードが非セキュアになっている場合は、デバイス セキュリティ モードや[セキュアSRST(Is SRST Secure?)]チェックボックスなど、セキュリティ関連の設定が無視されます。設定がデータベースから削除されることはありませんが、セキュリティは提供されません。
• 電話機が SRST 対応ゲートウェイへのセキュア接続を試行するのは、クラスタ セキュリティ モードが混合モードで、電話機設定ファイル内のデバイス セキュリティ モードが認証済みまたは暗号化済みに設定されており、[SRST参照先の設定(SRST Reference Configuration)]ウィンドウで[セキュアSRST(Is SRST Secure?)]チェックボックスがオンになっていて、電話機の設定ファイル内に有効な SRST 証明書が存在する場合だけです。
• 前のリリースの Cisco Unified Communications Manager でセキュアな SRST 参照先のセキュリティを設定した場合は、アップグレード時にその設定が自動的に移行されます。
• 暗号化済みまたは認証済みモードの電話機が SRST にフェールオーバーし、SRST での接続中にクラスタ セキュリティ モードが混合モードから非セキュア モードに切り替わった場合、これらの電話機は自動的には Cisco Unified Communications Manager にフォールバックされません。SRST ルータの電源を切り、強制的にこれらの電話機を Cisco Unified Communications Manager に再登録する必要があります。電話機が Cisco Unified Communications Manager にフォールバックした後、管理者は SRST の電源を投入でき、フェールオーバーおよびフォールバックが再び自動になります。
SRST のセキュリティ設定用チェックリスト
表14-1 を使用して、SRST のセキュリティ設定手順を進めます。
|
|
|
|
|---|---|---|
SRST 対応ゲートウェイで必要なすべての作業を実行したことを確認します。すべてを実行すると、デバイスが Cisco Unified Communications Manager およびセキュリティをサポートします。 |
このバージョンの Cisco Unified Communications Manager をサポートする『 Cisco IOS SRST Version System Administrator Guide 』。これは、次の URL で入手できます。 http://www.cisco.com/univercd/cc/td/doc/product/voice/srst/srst33/srst33ad/index.htm |
|
SRST 参照先にセキュリティを設定します。これには、[デバイスプール設定(Device Pool Configuration)]ウィンドウで SRST 参照先を有効にする作業も含まれます。 |
||
SRST 参照先のセキュリティ設定
Cisco Unified Communications Manager の管理ページで SRST 参照先を追加、更新、または削除する前に、次の点を考慮してください。
• 保護された SRST 参照先の追加:初めて SRST 参照先にセキュリティを設定する場合、 表14-2 で説明するすべての項目を設定する必要があります。
• 保護された SRST 参照先の更新:Cisco Unified Communications Manager の管理ページで SRST の更新を実行しても、SRST 対応ゲートウェイの証明書は自動的に更新されません。証明書を更新するには、[証明書の更新(Update Certificate)]ボタンをクリックする必要があります。クリックすると証明書の内容が表示され、証明書を受け入れるか拒否する必要があります。証明書を受け入れると、Cisco Unified Communications Manager は Cisco Unified Communications Manager サーバまたはクラスタ内の各 Cisco Unified Communications Manager サーバで、信頼できるフォルダにある SRST 対応ゲートウェイの証明書を置き換えます。
• 保護された SRST 参照先の削除:保護された SRST 参照先を削除すると、Cisco Unified Communications Manager データベースおよび電話機の cnf.xml ファイルから SRST 対応ゲートウェイの証明書が削除されます。
SRST 参照先の削除方法は、『 Cisco Unified Communications Manager アドミニストレーション ガイド 』を参照してください。
SRST 参照先のセキュリティを設定するには、次の手順を実行します。
ステップ 1 Cisco Unified Communications Manager の管理ページで、 [システム(System)]>[SRST] を選択します。
• 新しい SRST 参照先を追加するには、検索ウィンドウで [新規追加(Add New)] をクリックします(プロファイルを表示してから、 [新規追加(Add New)] をクリックすることもできます)。設定ウィンドウが表示され、各フィールドのデフォルト設定が示されます。
• 既存の SRST 参照先をコピーするには、『 Cisco Unified Communications Manager アドミニストレーション ガイド 』の説明に従って適切な SRST 参照先を見つけ、[コピー(Copy)]列内にあるそのレコード用の [コピー(Copy)] アイコンをクリックします(プロファイルを表示してから、 [コピー(Copy)] をクリックすることもできます)。設定ウィンドウが表示され、設定内容が示されます。
• 既存の SRST 参照先を更新するには、『 Cisco Unified Communications Manager アドミニストレーション ガイド 』の説明に従って適切な SRST 参照先を見つけます。設定ウィンドウが表示され、現在の設定が示されます。
ステップ 3 表14-2 の説明に従い、セキュリティ関連の設定を入力します。
その他の SRST 参照先設定内容の説明については、『 Cisco Unified Communications Manager アドミニストレーション ガイド 』を参照してください。
ステップ 4 [セキュアSRST(Is SRST Secure?)]チェックボックスをオンにすると、[証明書の更新(Update Certificate)]ボタンをクリックして SRST 証明書をダウンロードする必要があるというメッセージがダイアログボックスに表示されます。 [OK] をクリックします。
ステップ 6 データベース内の SRST 対応ゲートウェイの証明書を更新するには、 [証明書の更新(Update Certificate)] ボタンをクリックします。
ヒント このボタンは、[セキュアSRST(Is SRST Secure?)]チェックボックスをオンにして[保存(Save)]をクリックした後にだけ表示されます。
ステップ 7 証明書のフィンガープリントが表示されます。証明書を受け入れるには、 [保存(Save)] をクリックします。
ステップ 9 [SRST参照先の設定(SRST Reference Configuration)]ウィンドウで、 [リセット(Reset)] をクリックします。
[デバイスプール設定(Device Pool Configuration)]ウィンドウで SRST 参照先が有効になったことを確認します。
詳細については、「関連項目」を参照してください。
SRST 参照先のセキュリティの設定内容
表14-2 で、保護された SRST 参照先に対して Cisco Unified Communications Manager の管理ページで使用できる設定について説明します。
• 設定のヒントについては、「SRST セキュリティの設定のヒント」を参照してください。
• 関連する情報および手順については、「関連項目」を参照してください。
SRST 参照先からのセキュリティの削除
セキュリティの設定後に SRST 参照先を非セキュアにするには、[SRST参照先の設定(SRST Reference Configuration)]ウィンドウで、[セキュアSRST(Is SRST Secure?)]チェックボックスをオフにします。ゲートウェイ上のクレデンシャル サービスを無効にする必要がある旨のメッセージが表示されます。
SRST 証明書がゲートウェイから削除された場合
SRST 証明書が SRST 対応のゲートウェイから削除されている場合は、その SRST 証明書を Cisco Unified Communications Manager データベースと IP Phone から削除する必要があります。
この作業を実行するには、[SRST参照先の設定(SRST Reference Configuration)]ウィンドウで、 [セキュアSRST(Is SRST Secure?)] チェックボックスをオフにして [保存(Save)] をクリックし、 [リセット(Reset)] をクリックします。
フィードバック