TLS の概要
Transport Layer Security(TLS)はセキュア ポートと証明書交換を使用して、2 つのシステム間またはデバイス間でセキュアで信頼できるシグナリングとデータ転送を実現します。TLS は音声ドメインへのアクセスを防ぐために、ユニファイド コミュニケーション マネージャ 制御システム、デバイス およびプロセス間の接続を保護および制御します。
この製品のドキュメントセットは、偏向のない言語を使用するように配慮されています。このドキュメントセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブ ランゲージの取り組みの詳細は、こちらをご覧ください。
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
Transport Layer Security(TLS)はセキュア ポートと証明書交換を使用して、2 つのシステム間またはデバイス間でセキュアで信頼できるシグナリングとデータ転送を実現します。TLS は音声ドメインへのアクセスを防ぐために、ユニファイド コミュニケーション マネージャ 制御システム、デバイス およびプロセス間の接続を保護および制御します。
最低 TLS バージョンを設定する前に、ネットワーク デバイスとアプリケーションの両方でその TLS バージョンがサポートされていることを確認します。また、それらが、ユニファイド コミュニケーション マネージャIM およびプレゼンスサービス で設定する TLS で有効になっていることを確認します。次の製品のいずれかが展開されているなら、最低限の TLS 要件を満たしていることを確認します。この要件を満たしていない場合は、それらの製品をアップグレードします。
Skinny Client Control Protocol(SCCP)Conference Bridge
トランスコーダ(Transcoder)
ハードウェア メディア ターミネーション ポイント(MTP)
SIP ゲートウェイ
Cisco Prime Collaboration Assurance
Cisco Prime Collaboration Provisioning
Cisco Prime Collaboration Deployment
Cisco Unified Border Element(CUBE)
Cisco Expressway
Cisco TelePresence Conductor
会議ブリッジ、メディア ターミネーション ポイント(MTP)、Xcoder、Prime Collaboration Assurance および Prime Collaboration Provisioning をアップグレードすることはできません。
(注) |
ユニファイド コミュニケーション マネージャの旧リリースからアップグレードする場合は、上位のバージョンの TLS を設定する前に、すべてのデバイスとアプリケーションでそのバージョンがサポートされていることを確認します。たとえば、ユニファイド コミュニケーション マネージャIM およびプレゼンスサービス のリリース 9.x でサポートされるのは、TLS 1.0 のみです。 |
TLS 接続の Unified Communications Manager を構成するには、次の作業を実行します。
コマンドまたはアクション | 目的 | |
---|---|---|
ステップ 1 |
(任意)最小 TLS バージョンの設定。 |
デフォルトでは、Unified Communications Manager において、最小 TLS バージョンとして 1.0 がサポートされています。上位のバージョンの TLS がセキュリティ要件で求められる場合は、TLS 1.1 または 1.2 を使用するようにシステムを再設定します。 |
ステップ 2 |
(任意) TLS 暗号化の設定。 |
(任意)
Unified Communications Manager でサポートされる TLS 暗号オプションを構成します。 |
ステップ 3 |
SIP トランクに TLS 接続を割り当てます。このプロファイルを使用するトランクでは、シグナリングのために TLS を使用します。また、セキュア トランクを使用することにより、会議ブリッジなどのデバイスに TLS 接続を追加することができます。 |
|
ステップ 4 |
トランクの TLS サポートを可能にするため、TLS 対応 SIP トランク セキュリティ プロファイルを SIP トランクに割り当てます。また、セキュア トランクを使用することにより、会議ブリッジなどのリソースに接続することができます。 |
|
ステップ 5 |
電話セキュリティ プロファイルに TLS 接続を割り当てます。このプロファイルを使用する電話では、シグナリングのために TLS を使用します。 |
|
ステップ 6 |
作成した TLS 対応プロファイルを電話に割り当てます。 |
|
ステップ 7 |
TLS 対応の電話のセキュリティ プロファイルをユニバーサル デバイス テンプレートに割り当てます。LDAP ディレクトリ同期がこのテンプレートで設定されている場合は、LDAP 同期化を通じて電話のセキュリティをプロビジョニングできます。 |
デフォルトでは、Unified Communications Manager において、最小 TLS バージョンとして 1.0 がサポートされています。Unified Communications Manager および IM and Presence Service の最低サポート TLS バージョンを 1.1 または 1.2 などの上位バージョンにリセットするには、次の手順を使用します。
設定対象の TLS バージョンが、ネットワーク内のデバイスとアプリケーションでサポートされていることを確認します。詳細は、TLS の前提条件を参照してください。
ステップ 1 |
コマンドライン インターフェイスにログインします。 |
ステップ 2 |
既存の TLS のバージョンを確認するには、show tls min-version CLI コマンドを実行します。 |
ステップ 3 |
set tls min-version <minimum> CLI コマンドを実行します。ここで、<minimum> は TLS のバージョンを示します。 たとえば、最低 TLS バージョンを 1.2 に設定するには、set tls min-version 1.2 を実行します。 |
ステップ 4 |
すべての Unified Communications Manager と IM and Presence Service クラスタ ノードで、手順 3 を実行します。 |
ステップ 1 |
Cisco Unified CM の管理から、 を選択します。 |
ステップ 2 |
[セキュリティ パラメータ(Security Parameters)] で、[TLS 暗号化(TLS Ciphers)] エンタープライズ パラメータの値を設定します。使用可能なオプションについては、エンタープライズ パラメータのオンラインヘルプを参照してください。 |
ステップ 3 |
[保存 (Save)] をクリックします。 |
SIP トランク セキュリティ プロファイルに TLS 接続を割り当てるには、次の手順を実行します。このプロファイルを使用するトランクでは、シグナリングのために TLS を使用します。
ステップ 1 |
Cisco Unified CM の管理から、 を選択します。 |
ステップ 2 |
次のいずれかの手順を実行します。
|
ステップ 3 |
[名前(Name)] フィールドに、プロファイルの名前を入力します。 |
ステップ 4 |
[デバイス セキュリティ モード(Device Security Mode)] フィールドの値を、[暗号化(Encrypted)] または [認証(Authenticated)] に設定します。 |
ステップ 5 |
[受信転送タイプ(Incoming Transport Type)] フィールドと [送信転送タイプ(Outgoing Transport Type)] フィールドの両方の値を、TLS に設定します。 |
ステップ 6 |
[SIP トランク セキュリティ プロファイル(SIP Trunk Security Profile)] ウィンドウの残りのフィールドにデータを入力します。フィールドとその設定のヘルプについては、オンライン ヘルプを参照してください。 |
ステップ 7 |
[保存 (Save)] をクリックします。 |
TLS 対応の SIP トランク セキュリティ プロファイルを SIP トランクに割り当てるには、次の手順を使用します。このトランクを使用することにより、会議ブリッジなどのリソースとのセキュア接続を作成できます。
ステップ 1 |
Cisco Unified CM の管理から、 を選択します。 |
||
ステップ 2 |
[検索(Find)] をクリックして検索し、既存のトランクを選択します。 |
||
ステップ 3 |
[デバイス名(Device Name)] フィールドに、トランクのデバイス名を入力します。 |
||
ステップ 4 |
[デバイス プール(Device Pool)] ドロップダウン リストから、デバイス プールを選択します。 |
||
ステップ 5 |
[SIP プロファイル(SIP Profile)] ドロップダウン リストで、SIP プロファイルを選択します。 |
||
ステップ 6 |
[SIP トランク セキュリティ プロファイル(SIP Trunk Security Profile)] ドロップダウン リスト ボックスから、前のタスクで作成した TLS 対応の SIP トランク プロファイルを選択します。 |
||
ステップ 7 |
[宛先(Destination)] 領域に、宛先 IP アドレスを入力します。最大 16 の宛先アドレスを入力できます。追加の宛先を入力するには、[+] ボタンをクリックします。 |
||
ステップ 8 |
[トランクの設定(Trunk Configuration)] ウィンドウのその他のフィールドを設定します。フィールドとその設定のヘルプについては、オンライン ヘルプを参照してください。 |
||
ステップ 9 |
[保存(Save)] をクリックします。
|
電話セキュリティ プロファイルに TLS 接続を割り当てるには、次の手順を実行します。このプロファイルを使用する電話では、シグナリングのために TLS を使用します。
ステップ 1 |
Cisco Unified CM の管理から、 の順に選択します。 |
||
ステップ 2 |
次のいずれかの手順を実行します。
|
||
ステップ 3 |
新しいプロファイルを作成する場合は、電話モデルとプロトコルを選択し、[次へ(Next)] をクリックします。
|
||
ステップ 4 |
プロファイル名を入力します |
||
ステップ 5 |
[デバイス セキュリティ モード(Device Security Mode)] ドロップダウン リスト ボックスで、[暗号化(Encrypted)] または [認証(Authenticated)] を選択します。 |
||
ステップ 6 |
(SIP 電話のみ)転送タイプには、TLS を選択します。 |
||
ステップ 7 |
[電話セキュリティ プロファイルの設定(Phone Security Profile Configuration)] ウィンドウの残りのフィールドを入力します。フィールドとその設定のヘルプについては、オンライン ヘルプを参照してください。 |
||
ステップ 8 |
[保存 (Save)] をクリックします。 |
TLS 対応の電話セキュリティ プロファイルを電話に割り当てるには、次の手順を使用します。
(注) |
一度に多数の電話にセキュア プロファイルを割り当てるには、一括管理ツールを使用することにより、それらのセキュリティ プロファイルの再割り当てを行います。 |
ステップ 1 |
Cisco Unified CM の管理から、 を選択します。 |
ステップ 2 |
次のいずれかの手順を実行します。
|
ステップ 3 |
電話の種類とプロトコルを選択し、[次(Next)] をクリックします。 |
ステップ 4 |
[デバイス セキュリティ プロファイル(Device Security Profile)] ドロップダウン リストから、作成したセキュア プロファイルを電話に割り当てます。 |
ステップ 5 |
次の必須フィールドに値を割り当てます。
|
ステップ 6 |
[電話の設定(Phone Configuration)] ウィンドウの残りのフィールドを入力します。フィールドとその設定のヘルプについては、オンライン ヘルプを参照してください。 |
ステップ 7 |
[保存 (Save)] をクリックします。 |
TLS 対応の電話セキュリティ プロファイルをユニバーサル デバイス テンプレートに割り当てるには、次の手順を使用します。LDAP ディレクトリ同期が設定されている場合は、機能グループ テンプレートとユーザ プロファイルにより LDAP 同期にこのユニバーサル デバイス テンプレートを含めることができます。同期処理が発生すると、電話に対してセキュア プロファイルがプロビジョニングされます。
ステップ 1 |
[Cisco Unified CM の管理(Cisco Unified CM Administration)] から、 を選択します。 |
||
ステップ 2 |
次のいずれかの手順を実行します。
|
||
ステップ 3 |
[名前(Name)] フィールドに、テンプレートの名前を入力します。 |
||
ステップ 4 |
[デバイス プール(Device Pool)] ドロップダウン リストから、デバイス プールを選択します。 |
||
ステップ 5 |
[デバイス セキュリティ プロファイル(Device Security Profile)] ドロップダウン リスト ボックスから、作成した TLS 対応セキュリティ プロファイルを選択します。
|
||
ステップ 6 |
[SIP プロファイル(SIP Profile)] を選択します。 |
||
ステップ 7 |
[電話ボタン テンプレート(Phone Button Template)] を選択します。 |
||
ステップ 8 |
[ユニバーサル デバイス テンプレートの設定(Universal Device Template Configuration)] ウィンドウの残りのフィールドに入力します。フィールドとその設定のヘルプについては、オンライン ヘルプを参照してください。 |
||
ステップ 9 |
[保存(Save)] をクリックします。 |
LDAP ディレクトリ同期処理に、ユニバーサル デバイス テンプレートを含めます。LDAP ディレクトリ同期の設定方法については、『Cisco Unified Communications Manager システム構成ガイド』の"「エンド ユーザの構成」"の部分を参照してください。
機能 |
データのやり取り |
---|---|
コモン クライテリア モード |
コモン クライテリア モードは、最低限の TLS バージョンの設定と共に有効にすることができます。そのようにする場合、アプリケーションは、引き続きコモン クライテリアの要件に準拠し、アプリケーション レベルで TLS 1.0 セキュア接続を無効にすることになります。コモン クライテリア モードが有効な場合、アプリケーションで最低限の TLS バージョンを 1.1 または 1.2 のいずれかとして設定することができます。コモン クライテリア モードの詳細については、『Command Line Interface Reference Guide for Cisco Unified Communications Solutions』の中のコモン クライテリアへの準拠のトピックを参照してください。 |
79xx、69xx、89xx、99xx、39xx、IP Communicator など、従来型の電話に Transport Layer Security(TLS)バージョン 1.2 を実装する際に発生する可能性のある問題を、次の表に示します。使用している電話で、このリリースのセキュア モードがサポートされているかどうかを確認するには、Cisco Unified Reporting の Phone Feature List Report を参照してください。従来型の電話の機能制限 および機能を実装するための回避策の一覧を、次の表に示します。
(注) |
回避策は、影響を受ける機能が、実際のシステムで動作するように設計されています。しかし、その機能の TLS 1.2 コンプライアンスについては保証できません。 |
機能 |
制限事項 |
---|---|
暗号化モードの従来型の電話 |
暗号化モードの従来型の電話は動作しません。回避策はありません。 |
認証モードの従来型の電話 |
認証モードの従来型の電話は動作しません。回避策はありません。 |
HTTPS に基づくセキュア URL を使用する IP 電話サービス。 |
HTTPS に基づくセキュア URL を使用する IP 電話サービスは動作しません。 IP 電話サービスを使用するための回避策:基盤になっているすべてのサービス オプションに HTTP を使用します。たとえば、社内ディレクトリと個人用ディレクトリ。しかし、エクステンション モビリティなどの機能で、機密データを入力することが必要な場合、HTTP では安全ではないため、HTTP はお勧めしません。HTTP 使用には、次の欠点があります。
|
従来型の電話でのエクステンション モビリティ クロス クラスタ(EMCC) |
EMCC は、従来型の電話の TLS 1.2 でサポートされていません。 回避策:EMCC を有効にするため、次の作業を実行します。
|
従来型の電話でのローカルで有効な証明書(LSC) |
LSC は、従来型の電話の TLS 1.2 でサポートされていません。結果として、LSC に基づく 802.1x および電話 VPN 認証はご利用いただけません。 802.1x のための回避策:古い電話では、MIC または EAP-MD5 によるパスワードに基づく認証。ただし、これらは推奨されません。 VPN のための回避策:エンドユーザのユーザ名とパスワードに基づく電話 VPN 認証を使用。 |
暗号化 Trivial File Transfer Protocol(TFTP)構成ファイル |
暗号化 Trivial File Transfer Protocol(TFTP)構成ファイルは、メーカーのインストールした証明書(MIC)がある場合でも、従来型の電話の TLS 1.2 でサポートされません。 回避策はありません。 |
CallManager 証明書を更新すると、従来型の電話は信頼を失う |
従来型の電話は、CallManager 証明書が更新された時点で信頼を失います。たとえば、証明書更新後、電話は新しい構成を取得できなくなります。これは、ユニファイド コミュニケーション マネージャ11.5.1 だけで適用されます。 回避策:従来型の電話が信頼を失わないようにするため、次の手順を実行します。
|
サポートされていないバージョンの Cisco ユニファイド コミュニケーション マネージャ への接続 |
上位の TLS バージョンをサポートしていない古いバージョンの ユニファイド コミュニケーション マネージャ への TLS 1.2 接続は動作しません。たとえば、ユニファイド コミュニケーション マネージャリリース 9.x との TLS 1.2 SIP トランク接続は、そのリリースが TLS 1.2 をサポートしないため、動作しません。 次の回避策のいずれかを使用できます。
|
Certificate Trust List(CTL)クライアント |
CTL クライアントでは、TLS 1.2 がサポートされません。
|
Address Book Synchronizer |
回避策はありません。 |
ユニファイド コミュニケーション マネージャのポートのうち、TLS バージョン 1.2 によって影響を受けるものの一覧を、次の表に示します
Application |
プロトコル |
宛先/リスナー |
通常モードで動作する Cisco ユニファイド コミュニケーション マネージャ |
コモン クライテリア モードで動作する Cisco ユニファイド コミュニケーション マネージャ |
||||
---|---|---|---|---|---|---|---|---|
最低 TLS バージョン 1.0 |
最低 TLS バージョン 1.1 |
最低 TLS バージョン 1.2 |
最低 TLS バージョン 1.0 |
最低 TLS バージョン 1.1 |
最低 TLS バージョン 1.2 |
|||
Tomcat |
HTTPS |
443 |
TLS 1.0、TLS 1.1、TLS 1.2 |
TLS 1.1、TLS v1.2 |
TLS 1.2 |
TLS 1.1 |
TLS 1.1、TLS 1.2 |
TLS 1.2 |
SCCP-秒-SIG |
Signalling Connection Control Part(SCCP) |
2443 |
TLS 1.0、TLS 1.1、TLS 1.2 |
TLS 1.1、TLS 1.2 |
TLS 1.2 |
TLS 1.1 |
TLS 1.1、TLS 1.2 |
TLS 1.2 |
CTL-SERV |
専用 |
2444 |
TLS 1.0、TLS 1.1、TLS 1.2 |
TLS 1.1、TLS 1.2 |
TLS 1.2 |
TLS 1.1 |
TLS 1.1、TLS 1.2 |
TLS 1.2 |
コンピュータ テレフォニー インテグレーション(CTI)[こんぴゅーたてれふぉにーいんてぐれーしょんCTI] |
Quick Buffer Encoding(QBE)[QuickBufferEncodingQBE] |
2749 |
TLS 1.0、TLS 1.1、TLS 1.2 |
TLS 1.1、TLS 1.2 |
TLS 1.2 |
TLS 1.1 |
TLS 1.1、TLS 1.2 |
TLS 1.2 |
CAPF-SERV |
Transmission Control Protocol(TCP) |
3804 |
TLS 1.0、TLS 1.1、TLS 1.2 |
TLS 1.1、TLS 1.2 |
TLS 1.2 |
TLS 1.1 |
TLS 1.1、TLS 1.2 |
TLS 1.2 |
クラスタ間検索サービス(ILS) |
N/A |
7501 |
TLS 1.0、TLS 1.1、TLS 1.2 |
TLS 1.1、TLS 1.2 |
TLS 1.2 |
TLS 1.1 |
TLS 1.1、TLS 1.2 |
TLS 1.2 |
Administrative XML(AXL) |
Simple Object Access Protocol(SOAP) |
8443 |
TLS 1.0、TLS 1.1、TLS 1.2 |
TLS 1.1、TLS 1.2 |
TLS 1.2 |
TLS 1.1 |
TLS 1.1、TLS 1.2 |
TLS 1.2 |
高可用性プロキシ(HA-Proxy) |
TCP |
9443 |
TLS 1.2 |
TLS 1.2 |
TLS 1.2 |
TLS 1.1 |
TLS 1.2 |
TLS 1.2 |
SIP-SIG |
Session Initiation Protocol(SIP) |
5061(トランクで設定可能) |
TLS 1.0、TLS 1.1、TLS 1.2 |
TLS 1.1、TLS 1.2 |
TLS 1.2 |
TLS 1.1 |
TLS 1.1、TLS 1.2 |
TLS 1.2 |
HA Proxy |
[TCP] |
6971、6972 |
TLS 1.2 |
TLS 1.2 |
TLS 1.2 |
TLS 1.1 |
TLS 1.1、TLS 1.2 |
TLS 1.2 |
Cisco Tomcat |
HTTPS |
8080、8443 |
8443:TLS 1.0、TLS 1.1、TLS 1.2 |
8443:TLS 1.1、TLS 1.2 |
8443:TLS 1.2 |
TLS 1.1 |
8443:TLS 1.1、TLS 1.2 |
8443:TLS 1.2 |
信頼検証サービス(TVS) |
専用 |
2445 |
TLS 1.0、TLS 1.1、TLS 1.2 |
TLS 1.1、TLS 1.2 |
TLS 1.2 |
TLS 1.1 |
TLS 1.1、TLS 1.2 |
TLS 1.2 |
インスタント メッセージングと Presence のポートのうち、Transport Layer Security バージョン 1.2 による影響を受けるものの一覧を、次の表に示します。
宛先/リスナー |
通常モードで動作するインスタント メッセージングと Presence |
コモン クライテリア モードで動作するインスタント メッセージングと Presence |
||||
---|---|---|---|---|---|---|
最低 TLS バージョン 1.0 |
最低 TLS バージョン 1.1 |
最低 TLS バージョン 1.2 |
最低 TLS バージョン 1.0 |
最低 TLS バージョン 1.1 |
最低 TLS バージョン 1.2 |
|
443 |
TLS 1.0、TLS 1.1、TLS 1.2 |
TLS 1.1、TLS 1.2 |
TLS 1.2 |
TLS 1.1 |
TLS 1.1、TLS 1.2 |
TLS 1.2 |
5061 |
TLS 1.0、TLS 1.1、TLS 1.2 |
TLS 1.1、TLS 1.2 |
TLS 1.2 |
TLS 1.1 |
TLS 1.1、TLS 1.2 |
TLS 1.2 |
5062 |
TLS 1.0、TLS 1.1、TLS 1.2 |
TLS 1.1、TLS 1.2 |
TLS 1.2 |
TLS 1.1 |
TLS 1.1、TLS 1.2 |
TLS 1.2 |
7335 |
TLS 1.0、TLS 1.1、TLS 1.2 |
TLS 1.1、TLS 1.2 |
TLS 1.2 |
TLS 1.1 |
TLS 1.1、TLS 1.2 |
TLS 1.2 |
8083 |
TLS 1.0、TLS 1.1、TLS 1.2 |
TLS 1.1、TLS 1.2 |
TLS 1.2 |
TLS 1.1 |
TLS 1.1、TLS 1.2 |
TLS 1.2 |
8443 |
TLS 1.0、TLS 1.1、TLS 1.2 |
TLS 1.1、TLS 1.2 |
TLS 1.2 |
TLS 1.1 |
TLS 1.1、TLS 1.2 |
TLS 1.2 |