この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
Transport Layer Security(TLS)はセキュア ポートと証明書交換を使用して、2 つのシステム間またはデバイス間でセキュアで信頼できるシグナリングとデータ転送を実現します。TLS は音声ドメインへのアクセスを防ぐために、Cisco Unified Communications Manager 制御システム、デバイス、およびプロセスの間の接続を保護および制御します。
最低 TLS バージョンを設定する前に、ネットワーク デバイスとアプリケーションの両方でその TLS バージョンがサポートされていることを確認します。また、それらが、Cisco Unified Communications Manager および IM and Presence Service で設定する TLS で有効になっていることを確認します。次の製品のいずれかが展開されているなら、最低限の TLS 要件を満たしていることを確認します。この要件を満たしていない場合は、それらの製品をアップグレードします。
Skinny Client Control Protocol(SCCP)Conference Bridge
トランスコーダ(Transcoder)
ハードウェア メディア ターミネーション ポイント(MTP)
SIP ゲートウェイ
Cisco Prime Collaboration Assurance
Cisco Prime Collaboration Provisioning
Cisco Prime Collaboration Deployment
Cisco Unified Border Element(CUBE)
Cisco Expressway
Cisco TelePresence Conductor
会議ブリッジ、メディア ターミネーション ポイント(MTP)、Xcoder、Prime Collaboration Assurance、および Prime Collaboration Provisioning をアップグレードすることはできません。
(注) | Cisco Unified Communications Manager の旧リリースからアップグレードする場合は、上位のバージョンの TLS を設定する前に、すべてのデバイスとアプリケーションでそのバージョンがサポートされていることを確認します。たとえば、Cisco Unified Communications Manager および IM and Presence Service のリリース 9.x でサポートされるのは、TLS 1.0 のみです。 |
TLS 接続の Cisco Unified Communications Manager を構成するには、次の作業を実行します。
コマンドまたはアクション | 目的 | |
---|---|---|
ステップ 1 | (任意)最小 TLS バージョンの設定。 |
デフォルトでは、Cisco Unified Communications Manager において、最小 TLS バージョンとして 1.0 がサポートされています。上位のバージョンの TLS がセキュリティ要件で求められる場合は、TLS 1.1 または 1.2 を使用するようにシステムを再設定します。 |
ステップ 2 | TLS 暗号化の設定 | (任意)
Cisco Unified Communications Manager でサポートされる TLS 暗号オプションを構成します。 |
ステップ 3 | SIP トランクのセキュリティ プロファイルでの TLS の設定 |
SIP トランクに TLS 接続を割り当てます。このプロファイルを使用するトランクでは、シグナリングのために TLS を使用します。また、セキュア トランクを使用することにより、会議ブリッジなどのデバイスに TLS 接続を追加することができます。 |
ステップ 4 | SIP トランクへのセキュア プロファイルの追加 |
トランクの TLS サポートを可能にするため、TLS 対応 SIP トランク セキュリティ プロファイルを SIP トランクに割り当てます。また、セキュア トランクを使用することにより、会議ブリッジなどのリソースに接続することができます。 |
ステップ 5 | 電話セキュリティ プロファイルでの TLS の設定 |
電話セキュリティ プロファイルに TLS 接続を割り当てます。このプロファイルを使用する電話では、シグナリングのために TLS を使用します。 |
ステップ 6 | 電話へのセキュア電話プロファイルの追加 |
作成した TLS 対応プロファイルを電話に割り当てます。 |
ステップ 7 | (任意)ユニバーサル デバイス テンプレートへのセキュア電話プロファイルの追加。 |
TLS 対応の電話のセキュリティ プロファイルをユニバーサル デバイス テンプレートに割り当てます。LDAP ディレクトリ同期がこのテンプレートで設定されている場合は、LDAP 同期化を通じて電話のセキュリティをプロビジョニングできます。 |
デフォルトでは、Cisco Unified Communications Manager において、最小 TLS バージョンとして 1.0 がサポートされています。Cisco Unified Communications Manager および IM and Presence Service の最低サポート TLS バージョンを 1.1 または 1.2 などの上位バージョンにリセットするには、次の手順を使用します。
設定対象の TLS バージョンが、ネットワーク内のデバイスとアプリケーションでサポートされていることを確認します。詳細は、TLS の前提条件を参照してください。
ステップ 1 | コマンドライン インターフェイスにログインします。 |
ステップ 2 | 既存の TLS のバージョンを確認するには、show tls min-version CLI コマンドを実行します。 |
ステップ 3 | set tls min-version <minimum> CLI コマンドを実行します。ここで、<minimum> は TLS のバージョンを示します。 たとえば、最低 TLS バージョンを 1.2 に設定するには、set tls min-version 1.2 を実行します。 |
ステップ 4 | すべての Cisco Unified Communications Manager と IM and Presence Service クラスタ ノードで、手順 3 を実行します。 |
ステップ 1 | Cisco Unified CM の管理から、 を選択します。 |
ステップ 2 | [セキュリティ パラメータ(Security Parameters)] で、[TLS 暗号化(TLS Ciphers)] エンタープライズ パラメータの値を設定します。使用可能なオプションについては、エンタープライズ パラメータのヘルプを参照してください。 |
ステップ 3 | [保存(Save)] をクリックします。 |
SIP トランク セキュリティ プロファイルに TLS 接続を割り当てるには、次の手順を実行します。このプロファイルを使用するトランクでは、シグナリングのために TLS を使用します。
TLS 対応の SIP トランク セキュリティ プロファイルを SIP トランクに割り当てるには、次の手順を使用します。このトランクを使用することにより、会議ブリッジなどのリソースとのセキュア接続を作成できます。
ステップ 1 | Cisco Unified CM の管理から、 を選択します。 | ||
ステップ 2 | [検索(Find)] をクリックして検索し、既存のトランクを選択します。 | ||
ステップ 3 | [デバイス名(Device Name)] フィールドに、トランクのデバイス名を入力します。 | ||
ステップ 4 | [デバイス プール(Device Pool)] ドロップダウン リストから、デバイス プールを選択します。 | ||
ステップ 5 | [SIP プロファイル(SIP Profile)] ドロップダウン リストで、SIP プロファイルを選択します。 | ||
ステップ 6 | [SIP トランク セキュリティ プロファイル(SIP Trunk Security Profile)] ドロップダウン リスト ボックスから、前のタスクで作成した TLS 対応の SIP トランク プロファイルを選択します。 | ||
ステップ 7 | [宛先(Destination)] 領域に、宛先 IP アドレスを入力します。最大 16 の宛先アドレスを入力できます。追加の宛先を入力するには、[+] ボタンをクリックします。 | ||
ステップ 8 | [トランクの設定(Trunk Configuration)] ウィンドウのその他のフィールドを設定します。フィールドとその設定のヘルプについては、オンライン ヘルプを参照してください。 | ||
ステップ 9 | [保存(Save)] をクリックします。
|
電話セキュリティ プロファイルに TLS 接続を割り当てるには、次の手順を実行します。このプロファイルを使用する電話では、シグナリングのために TLS を使用します。
TLS 対応の電話セキュリティ プロファイルを電話に割り当てるには、次の手順を使用します。
(注) | 一度に多数の電話にセキュア プロファイルを割り当てるには、一括管理ツールを使用することにより、それらのセキュリティ プロファイルの再割り当てを行います。 |
ステップ 1 | Cisco Unified CM の管理から、 を選択します。 |
ステップ 2 | 次のいずれかの手順を実行します。
|
ステップ 3 | 電話の種類とプロトコルを選択し、[次(Next)] をクリックします。 |
ステップ 4 | [デバイス セキュリティ プロファイル(Device Security Profile)] ドロップダウン リストから、作成したセキュア プロファイルを電話に割り当てます。 |
ステップ 5 | 次の必須フィールドに値を割り当てます。
|
ステップ 6 | [電話の設定(Phone Configuration)] ウィンドウの残りのフィールドを入力します。フィールドとその設定のヘルプについては、オンライン ヘルプを参照してください。 |
ステップ 7 | [保存(Save)] をクリックします。 |
TLS 対応の電話セキュリティ プロファイルをユニバーサル デバイス テンプレートに割り当てるには、次の手順を使用します。LDAP ディレクトリ同期が設定されている場合は、機能グループ テンプレートとユーザ プロファイルにより LDAP 同期にこのユニバーサル デバイス テンプレートを含めることができます。同期処理が発生すると、電話に対してセキュア プロファイルがプロビジョニングされます。
ステップ 1 | [Cisco Unified CM の管理(Cisco Unified CM Administration)] から、 を選択します。 | ||
ステップ 2 | 次のいずれかの手順を実行します。
| ||
ステップ 3 | [名前(Name)] フィールドに、テンプレートの名前を入力します。 | ||
ステップ 4 | [デバイス プール(Device Pool)] ドロップダウン リストから、デバイス プールを選択します。 | ||
ステップ 5 | [デバイス セキュリティ プロファイル(Device Security Profile)] ドロップダウン リスト ボックスから、作成した TLS 対応セキュリティ プロファイルを選択します。
| ||
ステップ 6 | [SIP プロファイル(SIP Profile)] を選択します。 | ||
ステップ 7 | [電話ボタン テンプレート(Phone Button Template)] を選択します。 | ||
ステップ 8 | [ユニバーサル デバイス テンプレートの設定(Universal Device Template Configuration)] ウィンドウの残りのフィールドに入力します。フィールドとその設定のヘルプについては、オンライン ヘルプを参照してください。 | ||
ステップ 9 | [保存(Save)] をクリックします。 |
LDAP ディレクトリ同期処理に、ユニバーサル デバイス テンプレートを含めます。LDAP ディレクトリ同期の設定方法については、『Cisco Unified Communications Manager システム構成ガイド』の「エンド ユーザの構成」の部分を参照してください。
機能 |
データのやり取り |
---|---|
コモン クライテリア モード |
コモン クライテリア モードは、最低限の TLS バージョンの設定と共に有効にすることができます。そのようにする場合、アプリケーションは、引き続きコモン クライテリアの要件に準拠し、アプリケーション レベルで TLS 1.0 セキュア接続を無効にすることになります。コモン クライテリア モードが有効な場合、アプリケーションで最低限の TLS バージョンを 1.1 または 1.2 のいずれかとして設定することができます。コモン クライテリア モードの詳細については、『Command Line Interface Reference Guide for Cisco Unified Communications Solutions』の中のコモン クライテリアへの準拠のトピックを参照してください。 |
79xx、69xx、89xx、99xx、39xx、IP Communicator など、従来型の電話に Transport Layer Security(TLS)バージョン 1.2 を実装する際に発生する可能性のある問題を、次の表に示します。使用している電話で、このリリースのセキュア モードがサポートされているかどうかを確認するには、Cisco Unified Reporting の Phone Feature List Report を参照してください。従来型の電話の機能制限、および機能を実装するための回避策の一覧を、次の表に示します。
(注) | 回避策は、影響を受ける機能が、実際のシステムで動作するように設計されています。しかし、その機能の TLS 1.2 コンプライアンスについては保証できません。 |
機能 |
制約事項 |
---|---|
暗号化モードの従来型の電話 |
暗号化モードの従来型の電話は動作しません。回避策はありません。 |
認証モードの従来型の電話 |
認証モードの従来型の電話は動作しません。回避策はありません。 |
HTTPS に基づくセキュア URL を使用する IP 電話サービス。 |
HTTPS に基づくセキュア URL を使用する IP 電話サービスは動作しません。 IP 電話サービスを使用するための回避策:基盤になっているすべてのサービス オプションに HTTP を使用します。たとえば、社内ディレクトリと個人用ディレクトリ。しかし、エクステンション モビリティなどの機能で、機密データを入力することが必要な場合、HTTP では安全ではないため、HTTP はお勧めしません。HTTP 使用には、次の欠点があります。 |
従来型の電話での拡張モビリティ クロス クラスタ(EMCC) |
EMCC は、従来型の電話の TLS 1.2 でサポートされていません。 回避策:EMCC を有効にするため、次の作業を実行します。 |
従来型の電話でのローカルで有効な証明書(LSC) |
LSC は、従来型の電話の TLS 1.2 でサポートされていません。結果として、LSC に基づく 802.1x および電話 VPN 認証はご利用いただけません。 802.1x のための回避策:古い電話では、MIC または EAP-MD5 によるパスワードに基づく認証。ただし、これらは推奨されません。 VPN のための回避策:エンドユーザのユーザ名とパスワードに基づく電話 VPN 認証を使用。 |
暗号化 Trivial File Transfer Protocol(TFTP)構成ファイル |
暗号化 Trivial File Transfer Protocol(TFTP)構成ファイルは、メーカーのインストールした証明書(MIC)がある場合でも、従来型の電話の TLS 1.2 でサポートされません。 回避策はありません。 |
CallManager 証明書を更新すると、従来型の電話は信頼を失う |
従来型の電話は、CallManager 証明書が更新された時点で信頼を失います。たとえば、証明書更新後、電話は新しい構成を取得できなくなります。これは、Cisco Unified Communications Manager 11.5.1 だけで適用されます。 回避策:従来型の電話が信頼を失わないようにするため、次の手順を実行します。 |
サポートされていないバージョンの Cisco Unified Communications Manager への接続 |
上位の TLS バージョンをサポートしていない古いバージョンの Cisco Unified Communications Manager への TLS 1.2 接続は動作しません。たとえば、Cisco Unified Communications Manager リリース 9.x との TLS 1.2 SIP トランク接続は、そのリリースが TLS 1.2 をサポートしないため、動作しません。 次の回避策のいずれかを使用できます。 |
Certificate Trust List(CTL)クライアント |
CTL クライアントでは、TLS 1.2 がサポートされません。 |
Address Book Synchronizer |
回避策はありません。 |
Cisco Unified Communications Manager のポートのうち、TLS バージョン 1.2 によって影響を受けるものの一覧を、次の表に示します
Application |
プロトコル |
宛先/リスナー |
通常モードで動作する Cisco Unified Communications Manager |
コモン クライテリア モードで動作する Cisco Unified Communications Manager |
||||
---|---|---|---|---|---|---|---|---|
最低 TLS バージョン 1.0 |
最低 TLS バージョン 1.1 |
最低 TLS バージョン 1.2 |
最低 TLS バージョン 1.0 |
最低 TLS バージョン 1.1 |
最低 TLS バージョン 1.2 |
|||
Tomcat |
HTTPS |
443 |
TLS 1.0、TLS 1.1、TLS 1.2 |
TLS 1.1、TLS v1.2 |
TLS 1.2 |
TLS 1.1 |
TLS 1.1、TLS 1.2 |
TLS 1.2 |
SCCP-SEC-SIG |
Signalling Connection Control Part(SCCP) |
2443 |
TLS 1.0、TLS 1.1、TLS 1.2 |
TLS 1.1、TLS 1.2 |
TLS 1.2 |
TLS 1.1 |
TLS 1.1、TLS 1.2 |
TLS 1.2 |
CTL-SERV |
専用 |
2444 |
TLS 1.0、TLS 1.1、TLS 1.2 |
TLS 1.1、TLS 1.2 |
TLS 1.2 |
TLS 1.1 |
TLS 1.1、TLS 1.2 |
TLS 1.2 |
コンピュータ テレフォニー インテグレーション(CTI) |
Quick Buffer Encoding(QBE) |
2749 |
TLS 1.0、TLS 1.1、TLS 1.2 |
TLS 1.1、TLS 1.2 |
TLS 1.2 |
TLS 1.1 |
TLS 1.1、TLS 1.2 |
TLS 1.2 |
CAPF-SERV |
Transmission Control Protocol(TCP) |
3804 |
TLS 1.0、TLS 1.1、TLS 1.2 |
TLS 1.1、TLS 1.2 |
TLS 1.2 |
TLS 1.1 |
TLS 1.1、TLS 1.2 |
TLS 1.2 |
クラスタ間検索サービス(ILS) |
N/A |
7501 |
TLS 1.0、TLS 1.1、TLS 1.2 |
TLS 1.1、TLS 1.2 |
TLS 1.2 |
TLS 1.1 |
TLS 1.1、TLS 1.2 |
TLS 1.2 |
Administrative XML(AXL) |
Simple Object Access Protocol(SOAP) |
8443 |
TLS 1.0、TLS 1.1、TLS 1.2 |
TLS 1.1、TLS 1.2 |
TLS 1.2 |
TLS 1.1 |
TLS 1.1、TLS 1.2 |
TLS 1.2 |
高可用性プロキシ(HA-Proxy) |
[TCP] |
9443 |
TLS 1.2 |
TLS 1.2 |
TLS 1.2 |
TLS 1.1 |
TLS 1.2 |
TLS 1.2 |
SIP-SIG |
Session Initiation Protocol(SIP) |
5061(トランクで設定可能) |
TLS 1.0、TLS 1.1、TLS 1.2 |
TLS 1.1、TLS 1.2 |
TLS 1.2 |
TLS 1.1 |
TLS 1.1、TLS 1.2 |
TLS 1.2 |
HA Proxy |
[TCP] |
6971、6972 |
TLS 1.2 |
TLS 1.2 |
TLS 1.2 |
TLS 1.1 |
TLS 1.1、TLS 1.2 |
TLS 1.2 |
Cisco Tomcat |
HTTPS |
8080、8443 |
8443:TLS 1.0、TLS 1.1、TLS 1.2 |
8443:TLS 1.1、TLS 1.2 |
8443:TLS 1.2 |
TLS 1.1 |
8443:TLS 1.1、TLS 1.2 |
8443:TLS 1.2 |
信頼検証サービス(TVS) |
専用 |
2445 |
TLS 1.0、TLS 1.1、TLS 1.2 |
TLS 1.1、TLS 1.2 |
TLS 1.2 |
TLS 1.1 |
TLS 1.1、TLS 1.2 |
TLS 1.2 |
インスタント メッセージングと Presence のポートのうち、Transport Layer Security バージョン 1.2 による影響を受けるものの一覧を、次の表に示します。
宛先/リスナー |
通常モードで動作するインスタント メッセージングと Presence |
コモン クライテリア モードで動作するインスタント メッセージングと Presence |
||||
---|---|---|---|---|---|---|
最低 TLS バージョン 1.0 |
最低 TLS バージョン 1.1 |
最低 TLS バージョン 1.2 |
最低 TLS バージョン 1.0 |
最低 TLS バージョン 1.1 |
最低 TLS バージョン 1.2 |
|
443 |
TLS 1.0、TLS 1.1、TLS 1.2 |
TLS 1.1、TLS 1.2 |
TLS 1.2 |
TLS 1.1 |
TLS 1.1、TLS 1.2 |
TLS 1.2 |
5061 |
TLS 1.0、TLS 1.1、TLS 1.2 |
TLS 1.1、TLS 1.2 |
TLS 1.2 |
TLS 1.1 |
TLS 1.1、TLS 1.2 |
TLS 1.2 |
5062 |
TLS 1.0、TLS 1.1、TLS 1.2 |
TLS 1.1、TLS 1.2 |
TLS 1.2 |
TLS 1.1 |
TLS 1.1、TLS 1.2 |
TLS 1.2 |
7335 |
TLS 1.0、TLS 1.1、TLS 1.2 |
TLS 1.1、TLS 1.2 |
TLS 1.2 |
TLS 1.1 |
TLS 1.1、TLS 1.2 |
TLS 1.2 |
8083 |
TLS 1.0、TLS 1.1、TLS 1.2 |
TLS 1.1、TLS 1.2 |
TLS 1.2 |
TLS 1.1 |
TLS 1.1、TLS 1.2 |
TLS 1.2 |
8443 |
TLS 1.0、TLS 1.1、TLS 1.2 |
TLS 1.1、TLS 1.2 |
TLS 1.2 |
TLS 1.1 |
TLS 1.1、TLS 1.2 |
TLS 1.2 |