- このマニュアルについて
- セキュリティの概要
- HTTP over SSL(HTTPS)の使用方法
- Cisco CTL クライアントの設定
- 電話機のセキュリティの概要
- 電話機セキュリティ プロファイルの 設定
- Certificate Authority Proxy Function の使用方法
- 暗号化された電話機設定ファイルの設 定
- SIP 電話機のダイジェスト認証の設定
- 電話機のセキュリティ強化
- ボイス メッセージング ポートのセ キュリティ設定
- CTI、JTAPI、および TAPI の認証およ び暗号化の設定
- Survivable Remote Site Telephony (SRST)リファレンスのセキュリティ 設定
- ゲートウェイおよびトランクの暗号化 の設定
- SIP トランク セキュリティ プロファイ ルの設定
- SIP トランクのダイジェスト認証の 設定
- トラブルシューティング
- 索引
Cisco CallManager セキュリティ ガイド Release 5.0(1)
偏向のない言語
この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
翻訳について
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
- Updated:
- 2017年5月27日
章のタイトル: Certificate Authority Proxy Function の使用方法
- Certificate Authority Proxy Function の概要
- Cisco IP Phone と CAPF の対話
- CAPF システムの対話および要件
- Cisco CallManager Serviceability での CAPF の設定
- CAPF の設定用チェックリスト
- Certificate Authority Proxy Function サービスのアクティブ化
- CAPF サービス パラメータの更新
- CAPF による電話機の証明書のインストール、アップグレード、トラブルシューティング、または削除
- Phone Configuration ウィンドウの CAPF 設定
- LSC ステータスまたは認証文字列に基づく電話機の検索
- CAPF レポートの生成
- 電話機での認証文字列の入力
- その他の情報
Certificate Authority Proxy Function の使用方法
•
「Certificate Authority Proxy Function の概要」
• 「Cisco CallManager Serviceability での CAPF の設定」
• 「Certificate Authority Proxy Function サービスのアクティブ化」
• 「CAPF による電話機の証明書のインストール、アップグレード、トラブルシューティング、または削除」
• 「Phone Configuration ウィンドウの CAPF 設定」
• 「LSC ステータスまたは認証文字列に基づく電話機の検索」
• 「その他の情報」
Certificate Authority Proxy Function の概要
Certificate Authority Proxy Function (CAPF)は Cisco CallManager と共に自動的にインストールされ、設定に応じて次のタスクを実行します。
• 既存の Manufacturing Installed Certificate(MIC; 製造元でインストールされる証明書)、Locally Significant Certificate(LSC; ローカルで有効な証明書)、ランダム生成された認証文字列、または安全性の低いオプションの「null」認証によって認証する。
• ローカルで有効な証明書を、サポートされている Cisco IP Phone モデルに対して発行する。
• 電話機にある既存のローカルで有効な証明書をアップグレードする。
• 電話機の証明書を表示およびトラブルシューティングするために取得する。
Cisco Certificate Authority Proxy Function サービスをアクティブにすると、CAPF に固有な鍵のペアおよび証明書が CAPF によって自動生成されます。CAPF 証明書は Cisco CTL クライアントによってクラスタ内のすべてのサーバにコピーされ、拡張子 .0 を使用します。CAPF 証明書が存在することを確認するには、Cisco IPT Platform GUI で、CAPF 証明書を表示します。
Cisco IP Phone と CAPF の対話
CAPF と対話するとき、電話機は認証文字列、既存の MIC または LAC 証明書、または「null」を使用して CAPF に対して自分を認証し、公開鍵と秘密鍵のペアを生成し、署名付きメッセージで公開鍵を CAPF サーバに転送します。秘密鍵はそのまま電話機に残り、外部に公開されることはありません。CAPF は、電話機証明書に署名し、その証明書を署名付きメッセージで電話機に返送します。
次の情報は、通信または電源の障害が発生した場合に適用されます。
• 電話機で証明書をインストールしているときに通信障害が発生すると、電話機は 30 秒間隔であと 3 回、証明書を取得しようとします。これらの値は設定することができません。
• 電話機で CAPF とのセッションを試行しているときに電源障害が発生すると、電話機はフラッシュに保存されている認証モードを使用します。これは、電話機がリブート後に TFTP サーバから新しい設定ファイルをロードできない場合に当たります。証明書の操作が完了すると、フラッシュ内の値はシステムによってクリアされます。
ヒント 電話機ユーザが電話機で証明書操作を中断したり、操作ステータスを確認できることに注意してください。
ヒント 鍵生成を低いプライオリティで設定すると、アクションの実行中も電話機の機能を利用できます。鍵生成の完了には 30 分以上かかります。
証明書生成中も電話機は機能しますが、TLS トラフィックが増えることにより、最小限の範囲ですがコール処理が中断される場合があります。たとえば、インストールの終了時に証明書がフラッシュに書き込まれる際に音声が乱れることがあります。
証明書用に 2048 ビットの鍵を選択すると、電話機の起動およびフェールオーバー中に電話機、Cisco CallManager、および保護された SRST 対応ゲートウェイとの間で接続を確立するのに 60 秒以上かかる場合があります。最高のセキュリティ レベルを必要としている場合を除き、2048 ビットの鍵は設定しないでください。
次に、ユーザまたは Cisco CallManager によって電話機がリセットされたときに CAPF が Cisco IP Phone 7960 および 7940 とどのように相互対話するかについて説明します。
(注) 次の例では、LSC が電話機内にまだ存在しない場合や、CAPF Authentication Mode に By Existing Certificate が選択されている場合に、CAPF 証明書操作が失敗します。
例:ノンセキュアの Device Security Mode
この例では、Device Security Mode を Nonsecure に、CAPF Authentication Mode を By Null String または By Existing Certificate (Precedence...) に設定した後に電話機がリセットされます。電話機は、リセット後すぐにプライマリ Cisco CallManager に登録し、設定ファイルを受け取ります。次に、電話機は自動的に CAPF とのセッションを開始し、LSC をダウンロードします。LSC のインストール後、電話機は Device Support Mode を Authenticated または Encrypted に設定します。
例:認証済みまたは暗号化済みの Device Security Mode
この例では、Device Security Mode を Authenticated または Encrypted に、CAPF Authentication Mode を By Null String または By Existing Certificate (Precedence...) に設定した後に電話機がリセットされます。CAPF セッションが終了して電話機が LSC をインストールするまで、電話機はプライマリ Cisco CallManager に登録しません。セッションが終了すると、電話機は登録を行い、すぐに認証済みまたは暗号化済みモードで動作します。
この例では、電話機は CAPF サーバに自動的に接続しないので、By Authentication String を設定することはできません。電話機に有効な LSC がない場合、登録は失敗します。
CAPF システムの対話および要件
• CAPF を使用する前に、Cisco CTL クライアントのインストールおよび設定に必要なすべての作業を実行したことを確認します。CAPF を使用するには、最初のノードで Cisco Certificate Authority Proxy Function サービスをアクティブにする必要があります。
• このリリースの Cisco CallManager は、SCEP または Microsoft CA や Keon CA などサードパーティの CA 署名付き LSC 証明書をサポートしません。サードパーティ証明書のサポートは、将来のリリースで予定されています。現在、サードパーティ CA を使用している場合は、5.0 に移行する前に、有効期間が長い(6 か月以上の)証明書を再発行し、サードパーティ証明書がサポートされる前に失効しないようにしてください。
• 証明書のアップグレードまたはインストール操作で、電話機に対して CAPF 認証方式を By Authentication String にした場合、操作後に同じ認証文字列を電話機に入力する必要があります。入力しなかった場合、操作が失敗します。TFTP Encrypted Configuration エンタープライズ パラメータが有効で、認証文字列を入力しなかった場合、電話機に障害が発生し、電話機に入力された認証文字列が一致するまで復帰しないことがあります。
• スケジューリングされたメンテナンス画面で CAPF を使用することを強く推奨します。これは、同時に多数の証明書が生成されると、コール処理が中断される場合があるためです。
• Cisco CallManager 5.0(1) クラスタ内のすべてのサーバで、同じ管理者ユーザ名とパスワードを使用する必要があります。これで、CAPF はクラスタ内のすべてのサーバに認証を受けることができます。
• 証明書操作の間、最初のノードが実行中で正しく機能していることを確認します。
• 証明書操作の間、電話機が正しく機能していることを確認します。
ヒント Cisco IP Telephony Backup and Restore System (BARS)を使用して、CAPF データおよびレポートをバックアップすることができます。これは、Cisco CallManager によって情報が Cisco CallManager データベースに格納されるためです。
Cisco CallManager Serviceability での CAPF の設定
次の作業を Cisco CallManager Serviceability で実行します。
CAPF の設定用チェックリスト
表6-1 に、ローカルで有効な証明書をインストール、アップグレード、またはトラブルシューティングする場合に実行する作業のリストを示します。
|
|
|
|
|---|---|---|
ローカルで有効な証明書が電話機に存在するかどうかを判別します。 CAP 1.0(1) データを Cisco CallManager 4.0 パブリッシャ データベース サーバにコピーする必要があるかどうかを判別します。 
|
• • |
|
Cisco Certificate Authority Proxy Function サービスが実行されていることを確認します。
|
||
Cisco CTL クライアントのインストールおよび設定に必要なすべての作業を実行したことを確認します。CAPF 証明書が Cisco CTL ファイル内に存在することを確認します。 |
||
電話機のローカルで有効な証明書をインストール、アップグレード、またはトラブルシューティングするには、 |
• |
|
Certificate Authority Proxy Function サービスのアクティブ化
Cisco CallManager 5.0(1) では、Cisco CallManager Serviceability で Certificate Authority Proxy Function サービスが自動的にアクティブになりません。
このサービスは、最初のノードでのみアクティブにします。 Cisco CTL クライアントをインストールして設定する前にこのサービスをアクティブにしなかった場合は、 「CTL ファイルの更新」 の説明に従って CTL ファイルを更新する必要があります。
ステップ 1 Cisco CallManager Serviceability で Tools > Service Activation の順に選択します。
ステップ 2 Servers ドロップダウン リスト ボックスから、Certificate Authority Proxy Function サービスをアクティブにするサーバを選択します。
ステップ 3 Certificate Authority Proxy Function チェックボックスをオンにします。
詳細については、「関連項目」を参照してください。
CAPF サービス パラメータの更新
CAPF Service Parameter ウィンドウには、証明書の有効年数、システムによる鍵生成の最大再試行回数、鍵のサイズなどの情報が表示されます。
CAPF サービス パラメータが、Cisco CallManager Administration で Active ステータスとして表示されるようにするには、「Certificate Authority Proxy Function サービスのアクティブ化」の説明に従って Certificate Authority Proxy Function サービスをアクティブにする必要があります。
CAPF サービス パラメータを更新するには、次の手順を実行します。
ステップ 1 Cisco CallManager Administration で、 System > Service Parameters の順に選択します。
ステップ 2 Server ドロップダウン リスト ボックスから、最初のノードを選択します。
ステップ 3 Service ドロップダウン リスト ボックスから、Cisco Certificate Authority Proxy Function サービスを選択します。
ステップ 4 パラメータごとに表示されるヘルプの説明に従い、CAPF サービス パラメータを更新します。
(注) CAPF サービス パラメータのヘルプを表示するには、疑問符またはパラメータ名リンクをクリックします。
ステップ 5 変更内容を有効にするには、Cisco Certificate Authority Proxy Function サービスを再起動する必要があります。
詳細については、「関連項目」を参照してください。
CAPF による電話機の証明書のインストール、アップグレード、トラブルシューティング、または削除
CAPF を使用するときに、 表6-2 を参照してください。
Certificate Authority Proxy Function を使用するには、次の手順を実行します。
ステップ 1 『 Cisco CallManager アドミニストレーション ガイド 』の説明に従って、電話機を検索します。
ステップ 2 検索結果が表示された後、証明書をインストール、アップグレード、削除、またはトラブルシューティングする電話機を見つけて、その電話機の Device Name (Line) リンクをクリックします。
ステップ 3 表6-2 の説明に従って、設定内容を入力します。
詳細については、「関連項目」を参照してください。
Phone Configuration ウィンドウの CAPF 設定
表6-2 は、Cisco CallManager Administration の Phone Configuration ウィンドウにある CAPF 設定について説明しています。関連する手順については、「関連項目」を参照してください。
LSC ステータスまたは認証文字列に基づく電話機の検索
証明書操作ステータスまたは認証文字列に基づいて電話機を検索するには、次の手順を実行します。
ステップ 1 Cisco CallManager Administration で Device > Phone の順に選択します。
ステップ 2 Find Phone where ドロップダウン リスト ボックスから、次のオプションのいずれか 1 つを選択します。
• LSC Status :このオプションを選択すると、ローカルで有効な証明書のインストール、アップグレード、削除、またはトラブルシューティングに CAPF を使用する電話機のリストが表示されます。
• Authentication String :このオプションを選択すると、Authentication String フィールドで指定された認証文字列を持つ電話機のリストが返されます。
ステップ 3 必要に応じて、Find Phone Where ドロップダウン リスト ボックスの横に表示されているドロップダウン リスト ボックスのオプションを選択して LSC ステータスまたは認証文字列の追加の検索基準を指定し、特定の検索基準を入力します。
ステップ 4 検索基準を指定した後、 Find をクリックします。
ヒント 検索結果内の追加情報を検索するには、Search Within Results チェックボックスをオンにして、検索基準を入力し、Find をクリックします。
詳細については、「関連項目」を参照してください。
CAPF レポートの生成
必要に応じて CAPF レポートを生成し、証明書操作のステータス、認証文字列、セキュリティ プロファイル、認証モードなどを表示できます。レポートには、デバイス名、デバイスの説明、セキュリティ プロファイル、認証文字列、認証モード、LSC ステータスなどが含まれます。
ステップ 1 Cisco CallManager Administration で Device > Phone の順に選択します。
ステップ 2 Find Phone Where ドロップダウン リスト ボックスで、次のオプションのいずれか 1 つを選択します。
ヒント 必要に応じて、Find Phone Where ドロップダウン リスト ボックスの横に表示されているドロップダウン リスト ボックスのオプションを選択して追加の検索基準を指定し、特定の検索基準を入力します。
ヒント 検索結果内の追加情報を検索するには、Search Within Results チェックボックスをオンにして、検索基準を入力し、Find をクリックします。
ステップ 3 Related Links ドロップダウン リスト ボックスで、 CAPF Report in File を選択し、 Go をクリックします。
ステップ 5 Microsoft Excel を使用して .csv ファイルを開きます。
詳細については、「関連項目」を参照してください。
電話機での認証文字列の入力
By Authentication String モードを選択して Cisco CallManager で認証文字列を生成した場合、ローカルで有効な証明書をインストールする前に、電話機に認証文字列を入力する必要があります。
ヒント 認証文字列は 1 回の使用に限って適用されます。Phone Configuration ウィンドウまたは CAPF レポートに表示される認証文字列を入手します。電話機に認証文字列を入力する方法の詳細については、使用している電話機モデルおよびこのバージョンの Cisco CallManager をサポートする電話機のマニュアルを参照してください。
電話機に認証文字列を入力する前に、次の条件を満たしていることを確認します。
• 「Certificate Authority Proxy Function サービスのアクティブ化」の説明に従って、Cisco Certificate Authority Proxy Function サービスをアクティブにした。
• 最初のノードが実行中で、機能している。証明書のインストールごとにサーバが実行していることを確認します。
• 署名付きイメージが電話機に存在する。使用している電話機モデルをサポートする Cisco IP Phone の管理マニュアルを参照してください。
詳細については、「関連項目」を参照してください。
その他の情報
• 「Certificate Authority Proxy Function の概要」
• 「Cisco CallManager Serviceability での CAPF の設定」
• 「Certificate Authority Proxy Function サービスのアクティブ化」
• 「CAPF による電話機の証明書のインストール、アップグレード、トラブルシューティング、または削除」
• 「Phone Configuration ウィンドウの CAPF 設定」
• 「LSC ステータスまたは認証文字列に基づく電話機の検索」
フィードバック