- Cisco Unified Communications Manager セキュリティ ガイド
- はじめに
- セキュリティの基礎
- セキュリティの概要
- HTTP over SSL(HTTPS)の使用方法
- デフォルトのセキュリティ
- Cisco CTL クライアントの設定
- 証明書の設定
- Cisco Unified IP Phone および Cisco ボイスメール ポートのセキュリティ
- 電話機のセキュリティの概要
- 電話機セキュリティ プロファイルの設定
- セキュア インディケーション トーンの設定
- Certificate Authority Proxy Function の 使用方法
- 暗号化された電話機設定ファイルの設定
- SIP 電話機のダイジェスト認証の設定
- 電話機のセキュリティ強化
- セキュアな会議リソースの設定
- ボイスメール ポートのセキュリティ設定
- セキュア コールのモニタリングと録音の設定
- Cisco Unified IP Phone のバーチャル プライベート ネットワーク
- バーチャル プライベート ネットワークの設定
- VPN ゲートウェイの設定
- VPN グループの設定
- VPN プロファイルの設定
- VPN 機能設定
- Cisco CTI、JTAPI、および TAPI アプリケーションのセ キュリティ
- CTI、JTAPI、および TAPI の認証と暗号化の 設定
- SRST 参照先、トランク、およびゲートウェイのセキュ リティ
- セキュア SRST(Survivable Remote Site Telephony)参照先の設定
- ゲートウェイおよびトランクの暗号化の設定
- SIP トランク セキュリティ プロファイルの設定
- SIP トランクのダイジェスト認証の設定
- Cisco Unified Mobility Advantage サーバ セキュリティ プロファイルの設定
- 索引
Cisco Unified Communications Manager セキュリティ ガイド リリース 8.0(2)
偏向のない言語
この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
翻訳について
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
- Updated:
- 2012年5月30日
章のタイトル: Certificate Authority Proxy Function の 使用方法
- Certificate Authority Proxy Function の概要
- と CAPF の相互作用
- IPv6 アドレッシングとの CAPF の相互作用
- CAPF システムの相互作用および要件
- での CAPF の設定
- CAPF の設定用チェックリスト
- Certificate Authority Proxy Function サービスのアクティブ化
- CAPF サービス パラメータの更新
- CAPF による電話機の証明書のインストール、アップグレード、トラブルシューティング、または削除
- [電話の設定(Phone Configuration)] ウィンドウの CAPF 設定
- LSC ステータスまたは認証文字列に基づく電話機の検索
- CAPF レポートの生成
- 電話機での認証文字列の入力
- 電話機での認証文字列の確認
- 参考情報
Certificate Authority Proxy Function の使用方法
•
「Certificate Authority Proxy Function の概要」
• 「Cisco Unified IP Phone と CAPF の相互作用」
• 「Cisco Unified サービスアビリティでの CAPF の設定」
• 「Certificate Authority Proxy Function サービスのアクティブ化」
• 「CAPF による電話機の証明書のインストール、アップグレード、トラブルシューティング、または削除」
• 「[電話の設定(Phone Configuration)] ウィンドウの CAPF 設定」
• 「LSC ステータスまたは認証文字列に基づく電話機の検索」
• 「参考情報」
Certificate Authority Proxy Function の概要
Certificate Authority Proxy Function(CAPF)は Cisco Unified Communications Manager とともに自動的にインストールされ、設定に応じて次のタスクを実行します。
• 既存の Manufacturing Installed Certificate(MIC; 製造元でインストールされる証明書)、Locally Significant Certificate(LSC; ローカルで有効な証明書)、ランダム生成された認証文字列、または安全性の低いオプションの「null」認証によって認証する。
• ローカルで有効な証明書を、サポートされている Cisco Unified IP Phone に対して発行する。
• 電話機にある既存のローカルで有効な証明書をアップグレードする。
• 電話機の証明書を表示およびトラブルシューティングするために取得する。
インストール中に、CAPF に固有の証明書が生成されます。CAPF 証明書は Cisco CTL クライアントによってクラスタ内のすべての Cisco Unified Communications Manager サーバにコピーされ、拡張子 .0 を使用します。CAPF 証明書が存在することを確認するには、Cisco Unified Communications オペレーティング システムの GUI で、CAPF 証明書を表示します。
Cisco Unified IP Phone と CAPF の相互作用
CAPF と相互に作用するとき、電話機は認証文字列、既存の MIC または LSC 証明書、または「null」を使用して CAPF に対して自分を認証し、公開鍵と秘密鍵のペアを生成し、署名付きメッセージで公開鍵を CAPF サーバに転送します。秘密鍵はそのまま電話機に残り、外部に公開されることはありません。CAPF は、電話機証明書に署名し、その証明書を署名付きメッセージで電話機に返送します。
次の情報は、通信または電源の障害が発生した場合に適用されます。
• 電話機で証明書をインストールしているときに通信障害が発生すると、電話機は 30 秒間隔であと 3 回、証明書を取得しようとします。これらの値は設定することができません。
• 電話機で CAPF とのセッションを試行しているときに電源障害が発生すると、電話機はフラッシュに保存されている認証モードを使用します。これは、電話機がリブート後に TFTP サーバから新しい設定ファイルをロードできない場合にあたります。証明書の操作が完了すると、フラッシュ内の値はシステムによってクリアされます。
ヒント 電話機ユーザが電話機で証明書操作を中断したり、操作ステータスを確認できることに注意してください。
ヒント 鍵生成を低いプライオリティで設定すると、アクションの実行中も電話機の機能を利用できます。鍵生成の完了には 30 分以上かかります。
証明書生成中も電話機は機能しますが、TLS トラフィックが増えることにより、最小限の範囲ですがコール処理が中断される場合があります。たとえば、インストールの終了時に証明書がフラッシュに書き込まれる際に音声が乱れることがあります。
証明書用に 2048 ビットの鍵を選択すると、電話機の起動およびフェールオーバー中に電話機、Cisco Unified Communications Manager、およびセキュア SRST 対応ゲートウェイとの間で接続を確立するのに 60 秒以上かかる場合があります。最高のセキュリティ レベルを必要としている場合を除き、2048 ビットの鍵は設定しないでください。
次に、ユーザまたは Cisco Unified Communications Manager によって電話機がリセットされたときに CAPF が Cisco Unified IP Phone 7960G および 7940G とどのように相互に作用するかについて説明します。
(注) 次の例では、LSC が電話機内にまだ存在しない場合や、CAPF情報の [認証モード(Authentication Mode)] に [既存の証明書(By Existing Certificate)] が選択されている場合に、CAPF 証明書操作が失敗します。
この例では、[デバイスセキュリティモード(Device Security Mode)] を [非セキュア(Nonsecure)] に、CAPF情報の [認証モード(Authentication Mode)] を [Null ストリング(By Null String)] または [既存の証明書(...の優先)(By Existing Certificate (Precedence...))] に設定した後に電話機がリセットされます。電話機は、リセット後すぐにプライマリ Cisco Unified Communications Manager に登録し、設定ファイルを受け取ります。次に、電話機は自動的に CAPF とのセッションを開始し、LSC をダウンロードします。LSC のインストール後、電話機は [デバイスセキュリティモード(Device Security Mode)] を [認証のみ(Authenticated)] または [暗号化(Encrypted)] に設定します。
この例では、[デバイスセキュリティモード(Device Security Mode)] を [認証のみ(Authenticated)] または [暗号化(Encrypted)] に、CAPF情報の [認証モード(Authentication Mode)] を [Nullストリング(By Null String)] または [既存の証明書(...の優先)(By Existing Certificate (Precedence...))] に設定した後に電話機がリセットされます。CAPF セッションが終了して電話機が LSC をインストールするまで、電話機はプライマリ Cisco Unified Communications Manager に登録しません。セッションが終了すると、電話機は登録を行い、すぐに認証済みまたは暗号化済みモードで動作します。
この例では、電話機は CAPF サーバに自動的に接続しないので、[認証ストリング(By Authentication String)] を設定することはできません。電話機に有効な LSC がない場合、登録は失敗します。
IPv6 アドレッシングとの CAPF の相互作用
CAPF は、IPv4、IPv6、またはその両方のタイプのアドレスを使用する電話機に証明書を発行したり、アップグレードすることができます。IPv6 アドレスを使用する SCCP が実行されている電話機に対して証明書を発行またはアップグレードするにはCisco Unified Communications Manager の管理で Enable IPv6 サービス パラメータを True に設定する必要があります。
電話機が CAPF に接続して証明書を取得すると、CAPF は Enable IPv6 エンタープライズ パラメータの設定を使用して、電話機に対して証明書を発行するか、アップグレードするかを決定します。このエンタープライズ パラメータが False に設定されると、CAPF は、IPv6 アドレスを使用する電話機からの接続を無視または拒否し、電話機は証明書を受信しません。
表 9-1 で、IPv4、IPv6、またはその両方のタイプのアドレスを使用する電話機で CAPF に接続する方法を説明します。
CAPF システムの相互作用および要件
• CAPF を使用する前に、Cisco CTL クライアントのインストールおよび設定に必要なすべての作業を実行したことを確認します。CAPF を使用するには、最初のノードで Cisco Certificate Authority Proxy Function サービスをアクティブにする必要があります。
• 証明書のアップグレードまたはインストール操作で、電話機に対して CAPF 認証方式を [認証ストリング(By Authentication String)] にした場合、操作後に同じ認証文字列を電話機に入力する必要があります。入力しなかった場合、操作が失敗します。TFTP Encrypted Configuration エンタープライズ パラメータが有効で、認証文字列を入力しなかった場合、電話機に障害が発生し、電話機に入力された認証文字列が一致するまで復帰しないことがあります。
• スケジューリングされたメンテナンス画面で CAPF を使用することを強く推奨します。これは、同時に多数の証明書が生成されると、コール処理が中断される場合があるためです。
• Cisco Unified Communications Manager クラスタ内のすべてのサーバで、同じ管理者ユーザ名とパスワードを使用する必要があります。これで、CAPF はクラスタ内のすべてのサーバに認証を受けることができます。
• 証明書操作の間、最初のノードが実行中で正しく機能していることを確認します。
• 証明書操作の間、電話機が正しく機能していることを確認します。
• 保護された電話機が別のクラスタに移動された場合、Cisco Unified Communications Manager はその電話機が送信する LSC 証明書を信頼しません。これは、その LSC 証明書が別の CAPF によって発行されたものであり、その CAPF の証明書が CTL ファイルに存在しないためです。保護された電話機が登録できるようにするには、「Cisco Unified IP Phone 上の CTL ファイルの削除」に従って、既存の CTL ファイルを削除します。その後、[インストール/アップグレード(Install/Upgrade)] オプションを使用して、新しい CAPF で新しい LSC 証明書をインストールし、新しい CTL ファイルのために電話機をリセットできます(または MIC を使用できます)。 電話機を移動する前に既存の LSC を削除するには、[電話の設定(Phone Configuration)] ウィンドウの CAPF セクションで [削除(Delete)] オプションを使用します。
ヒント Cisco IP Telephony Backup and Restore System (BARS)を使用して、CAPF データおよびレポートをバックアップすることができます。これは Cisco Unified Communications Manager によって情報が Cisco Unified Communications Manager データベースに格納されるためです。
Cisco Unified サービスアビリティでの CAPF の設定
次の作業を Cisco Unified サービスアビリティで実行します。
• Cisco Certificate Authority Proxy Function サービスをアクティブにする。
詳細については、『 Cisco Unified Serviceability Administration Guide 』を参照してください。
CAPF の設定用チェックリスト
表 9-2 に、ローカルで有効な証明書をインストール、アップグレード、またはトラブルシューティングする場合に実行する作業のリストを示します。
|
|
|
|
|---|---|---|
ローカルで有効な証明書が電話機に存在するかどうかを確認します。 CAPF データを Cisco Unified Communications Manager パブリッシャ データベース サーバにコピーする必要があるかどうかを確認します。 ヒント Cisco Unified Communications Manager 4.0 で CAPF ユーティリティを使用していて、CAPF データが Cisco Unified Communications Manager データベースに存在することを確認した場合は、Cisco Unified Communications Manager 4.0 で使用していた CAPF ユーティリティを削除できます。 |
• • |
|
Cisco Certificate Authority Proxy Function サービスが実行されていることを確認します。 ヒント このサービスは、すべての CAPF 操作時に実行されている必要があります。またこのサービスは、CTL ファイルに CAPF 証明書を組み込むために、Cisco CTL クライアントでも実行されている必要があります。 |
||
Cisco CTL クライアントのインストールおよび設定に必要なすべての作業を実行したことを確認します。CAPF 証明書が Cisco CTL ファイル内に存在することを確認します。 |
||
電話機のローカルで有効な証明書をインストール、アップグレード、またはトラブルシューティングするには、Cisco Unified Communications Manager の管理ページを使用します。 |
• |
|
Certificate Authority Proxy Function サービスのアクティブ化
Cisco Unified Communications Manager は、Cisco Unified サービスアビリティで Certificate Authority Proxy Function サービスを自動的にはアクティブ化しません。
Cisco CTL クライアントをインストールして設定する前にこのサービスをアクティブにしなかった場合は、「CTL ファイルの更新」の説明に従って CTL ファイルを更新する必要があります。このサービスは、最初のノードでのみアクティブにします。
ステップ 1 Cisco Unified サービスアビリティで、[Tools] > [Service Activation] の順に選択します。
ステップ 2 [Server] ドロップダウン リスト ボックスから、Certificate Authority Proxy Function サービスをアクティブにするサーバを選択します。
ステップ 3 [Certificate Authority Proxy Function] チェックボックスをオンにします。
「関連項目」を参照してください。
CAPF サービス パラメータの更新
CAPF サービスのパラメータを設定するウィンドウには、証明書の有効年数、システムによる鍵生成の最大再試行回数、鍵のサイズなどの情報が表示されます。
CAPF サービス パラメータが、Cisco Unified Communications Manager の管理ページで アクティブのステータスとして表示されるようにするには、「Certificate Authority Proxy Function サービスのアクティブ化」の説明に従って Certificate Authority Proxy Function サービスをアクティブにする必要があります。
CAPF サービス パラメータを更新するには、次の手順を実行します。
ステップ 1 Cisco Unified Communications Manager の管理ページで、[システム(System)] > [サービスパラメータ(Service Parameters)] を選択します。
ステップ 2 [サーバ(Server)] ドロップダウン リスト ボックスから、サーバを選択します。
ステップ 3 [サービス(Service)] ドロップダウン リスト ボックスから、Cisco Certificate Authority Proxy Function サービスを選択します。
ステップ 4 パラメータごとに表示されるヘルプの説明に従い、CAPF サービス パラメータを更新します。
(注) CAPF サービス パラメータのヘルプを表示するには、疑問符またはパラメータ名リンクをクリックします。
ステップ 5 変更内容を有効にするには、Cisco Certificate Authority Proxy Function サービスを再起動する必要があります。
「関連項目」を参照してください。
CAPF による電話機の証明書のインストール、アップグレード、トラブルシューティング、または削除
CAPF を使用するときに、 表 9-3 を参照してください。
Certificate Authority Proxy Function を使用するには、次の手順を実行します。
ステップ 1 『 Cisco Unified Communications Manager アドミニストレーション ガイド 』の説明に従って、電話機を検索します。
ステップ 2 検索結果が表示された後、証明書をインストール、アップグレード、削除、またはトラブルシューティングする電話機を見つけて、その電話機の [デバイス名(Device Name、回線)] リンクをクリックします。
ステップ 3 表 9-3 の説明に従って、設定内容を入力します。
ステップ 5 [リセット(Reset)] をクリックします。
「関連項目」を参照してください。
[電話の設定(Phone Configuration)] ウィンドウの CAPF 設定
表 9-3 は、Cisco Unified Communications Manager の管理ページの [電話の設定(Phone Configuration)] ウィンドウにある CAPF 設定について説明しています。
• 設定のヒントについては、「CAPF システムの相互作用および要件」を参照してください。
• 関連する情報および手順については、「関連項目」を参照してください。
|
|
|
|---|---|
ドロップダウン リスト ボックスから、次のオプションのいずれかを選択します。 • • • • |
|
[認証ストリング(By Authentication String)] オプションを選択した場合に、このフィールドは適用されます。文字列を手動で入力するか、あるいは [文字列を生成(Generate String)] ボタンをクリックして文字列を生成します。文字列は 4 ~ 10 桁にしてください。 ローカルで有効な証明書をインストール、アップグレード、またはトラブルシューティングするには、電話機ユーザまたは管理者が電話機に認証文字列を入力する必要があります。詳細については、「電話機での認証文字列の入力」を参照してください。 |
|
CAPF で自動的に認証文字列を生成する場合は、このボタンをクリックします。4 ~ 10 桁の認証文字列が [認証文字列(Authentication String)] フィールドに表示されます。 |
|
このフィールドは証明書操作の進行状況を表示します。たとえば、<操作のタイプ> pending、failed、successful などです(操作のタイプには、インストール/アップグレード、削除、またはトラブルシューティングという証明書操作オプションが表示されます)。このフィールドに表示される情報は変更できません。 |
LSC ステータスまたは認証文字列に基づく電話機の検索
証明書操作ステータスまたは認証文字列に基づいて電話機を検索するには、次の手順を実行します。
ステップ 1 Cisco Unified Communications Manager の管理ページで、[デバイス(Device)] > [電話(Phone)] の順に選択します。
検索と一覧表示ウィンドウが表示されます。アクティブな(前の)クエリーのレコードもウィンドウに表示される場合があります。
ステップ 2 最初のドロップダウン リスト ボックスから、次のオプションのいずれかを選択します。
• [LSCステータス(LSC Status)]:このオプションを選択すると、ローカルで有効な証明書のインストール、アップグレード、削除、またはトラブルシューティングに CAPF を使用する電話機のリストが表示されます。
• [認証文字列(Authentication String)]:このオプションを選択すると、[認証文字列(Authentication String)] フィールドで指定された認証文字列を持つ電話機のリストが返されます。
ステップ 3 2 番目のドロップダウン リスト ボックスから、検索パターンを選択します。
(注) 検索条件を追加するには、[+] ボタンをクリックします。条件を追加すると、指定したすべての条件に一致するレコードが検索されます。条件を削除するには、[-] ボタンをクリックして最後に追加した条件を削除するか、[フィルタのクリア(Clear Filter)] ボタンをクリックして追加したすべての検索条件を削除します。
一致するすべてのレコードが表示されます。[ページあたりの行数(Rows per Page)] ドロップダウン リスト ボックスから異なる値を選択すると各ページに表示される項目数を変更できます。
ステップ 6 レコードのリストで、表示するレコードのリンクをクリックします。
(注) リストの見出しに上向きまたは下向きの矢印がある場合は、その矢印をクリックして、ソート順序を逆にします。
「関連項目」を参照してください。
CAPF レポートの生成
必要に応じて CAPF レポートを生成し、証明書操作のステータス、認証文字列、セキュリティ プロファイル、認証モードなどを表示できます。レポートには、デバイス名、デバイスの説明、セキュリティ プロファイル、認証文字列、認証モード、LSC ステータスなどが含まれます。
ステップ 1 Cisco Unified Communications Manager の管理ページで、[デバイス(Device)] > [電話(Phone)] の順に選択します。
検索と一覧表示ウィンドウが表示されます。アクティブな(前の)クエリーのレコードもウィンドウに表示される場合があります。
ステップ 2 データベースのすべてのレコードを検索するには、ダイアログボックスが空であることを確認して、ステップ 3 に進みます。
レコードをフィルタリングまたは検索するには、次の手順を実行します。
• 最初のドロップダウン リスト ボックスから、検索パラメータを選択します。
• 2 番目のドロップダウン リスト ボックスから、検索パターンを選択します。
(注) 検索条件を追加するには、[+] ボタンをクリックします。条件を追加すると、指定したすべての条件に一致するレコードが検索されます。条件を削除するには、[-] ボタンをクリックして最後に追加した条件を削除するか、[フィルタのクリア(Clear Filter)] ボタンをクリックして追加したすべての検索条件を削除します。
一致するすべてのレコードが表示されます。[ページあたりの行数(Rows per Page)] ドロップダウン リスト ボックスから異なる値を選択すると各ページに表示される項目数を変更できます。
ステップ 4 [関連リンク(Related Links)] ドロップダウン リスト ボックスで、[ファイルでのCAPFレポート(CAPF Report in File)] を選択し、[移動(Go)] をクリックします。
ステップ 6 Microsoft Excel を使用して .csv ファイルを開きます。
「関連項目」を参照してください。
電話機での認証文字列の入力
認証ストリング モードを選択して認証文字列を生成した場合、ローカルで有効な証明書をインストールするには、電話機に認証文字列を入力する必要があります。
ヒント 認証文字列は 1 回の使用に限って適用されます。[電話の設定(Phone Configuration)] ウィンドウまたは CAPF レポートに表示される認証文字列を入手します。
電話機に認証文字列を入力する前に、次の条件を満たしていることを確認します。
• 「Certificate Authority Proxy Function サービスのアクティブ化」の説明に従って、Cisco Certificate Authority Proxy Function サービスをアクティブにした。
• 最初のノードが機能していて、実行中である。証明書のインストールごとにサーバが実行していることを確認する。
• 署名付きイメージが電話機に存在する(使用している電話機モデルをサポートする Cisco Unified IP Phone の管理マニュアルを参照してください)。
ステップ 2 設定がロックされている場合は、**#(アスタリスク、アスタリスク、シャープ記号)を押してロックを解除します。
ステップ 3 下方にスクロールして [設定] メニューに移動します。[セキュリティ設定] を強調表示し、[選択] ソフトキーを押します。
ステップ 4 下方にスクロールして [セキュリティ設定] メニューに移動します。[LSC] を強調表示し、[更新] ソフトキーを押します。
ステップ 5 認証文字列の入力を要求するプロンプトが表示された場合、システムから提供された文字列を入力して [送信] ソフトキーを押します。
電話機は現在の CAPF の設定に応じて、証明書をインストール、更新、削除、または取得します。
電話機に表示されるメッセージを確認すると、証明書の操作の進捗を監視することができます。[送信] を押すと、LSC オプションの下に「処理中」というメッセージが表示されます。電話機は、公開鍵と秘密鍵のペアを生成し、情報を電話機に表示します。電話機が正常に手順を完了すると、成功したことを示すメッセージが電話機に表示されます。電話機に失敗のメッセージが表示されるのは、誤った認証文字列を入力したか、電話機のアップグレードを有効にしなかった場合です。
[中止] オプションを選択すると、いつでも手順を停止できます。
「関連項目」を参照してください。
電話機での認証文字列の確認
[設定] > [モデル情報] の順に選択して LSC の設定が [インストール済み] か [未インストール] のどちらであるかを確認すれば、電話機に証明書がインストールされているかどうかを確認できます。
「関連項目」を参照してください。
参考情報
• 「Certificate Authority Proxy Function の概要」
• 「Cisco Unified IP Phone と CAPF の相互作用」
• 「Cisco Unified サービスアビリティでの CAPF の設定」
• 「Certificate Authority Proxy Function サービスのアクティブ化」
• 「CAPF による電話機の証明書のインストール、アップグレード、トラブルシューティング、または削除」
• 「[電話の設定(Phone Configuration)] ウィンドウの CAPF 設定」
• 「LSC ステータスまたは認証文字列に基づく電話機の検索」
『Cisco Unified IP Phone Administration Guide for Cisco Unified Communications Manager』
フィードバック