TFTP 暗号化構成ファイルの概要
警告 |
SIP 電話のダイジェスト認証オプションを有効にして、TFTP 暗号化構成オプションを無効にしている場合、ダイジェスト認証情報はクリアテキストで送信されます。 |
TFTP 構成後、TFTP サーバは次のことを行います。
-
ディスク上のすべてのクリアテキスト構成ファイルを削除します
-
構成ファイルの暗号化バージョンを生成します。
電話が暗号化された電話構成ファイルをサポートし、電話構成ファイルの暗号化のタスクを実行した場合、電話は暗号化バージョンの構成ファイルを要求します。
一部の電話は暗号化された電話構成ファイルをサポートしていません。 電話のモデルとプロトコルによって、システムが構成ファイルを暗号化するために使用する方法が決まります。 暗号化された構成ファイルをサポートする機能とファームウェアのロード Unified Communications Manager に依存する、サポートされている方法です。 電話ファームウェアのロードを、暗号化された構成ファイルをサポートしないバージョンにダウングレードすると、TFTP サーバは最小限の構成設定を提供する暗号化されていない構成ファイルを提供します。その結果、電話が期待通りに動作しない可能性があります。
暗号化キーの配布キー情報のプライバシーを確実に維持するために、暗号化された電話設定ファイルに関連するタスクはセキュアな環境で実行することを推奨します。
Unified Communications Manager は次のメソッドをサポートしています
-
手動キー配布
-
電話の公開鍵を使った対称鍵暗号化
手動鍵配布および電話の公開鍵を使用した対称鍵暗号化の設定情報は、 Cisco Unified CM Administration で混合モードを設定し、 TFTP 暗号化設定オプションを有効にしたことを前提としています。
TFTP 暗号化構成ファイルのヒント
TFTP 暗号化構成ファイルを有効にして、電話ダウンロードの機密データを保護することをお勧めします。 PKI 機能のない電話の場合は、 Unified Communications Manager 管理 と電話で対称キーを設定する必要があります。 電話または Unified Communications Manager から対称キーが見つからない、またはTFTP暗号化構成ファイルが設定されているときに不一致が発生する場合、電話は登録できません。
Unified Communications Managerで暗号化構成ファイルを構成する場合は、次の情報を考慮してください:
-
暗号化構成ファイルに対応する電話のみが 電話セキュリティプロファイル設定 ページの TFTP暗号化設定 チェックボックスを表示します。 Cisco Unified IP 電話7800、7942、および 7962 (SCCP のみ) の暗号化構成ファイルを構成することはできません。これらの電話はダウンロードされた構成ファイルで機密データを受信しないためです。
-
TFTP 暗号化設定 チェックボックスはデフォルトでオフになっています。 このデフォルト設定を適用すると、電話に非セキュア プロファイル、ダイジェスト クレデンシャル、およびセキュア パスワードがクリアテキストで送信されます。
-
公開鍵暗号化を使用する Cisco Unified IP 電話では、暗号化された構成ファイルを有効にするために、端末セキュリティモードを認証済みまたは暗号化済みに設定する必要はありません。 Unified Communications Manager は登録時に公開鍵をダウンロードするCAPFプロセスを使用します。 Unified Communications Manager
-
使用中の環境が安全であることがわかっている場合、または PKI が有効になっていない電話に対称キーを手動で構成することを避けるために、暗号化されていない構成ファイルを電話にダウンロードすることを選択できます。 ただし、この方法の使用はお勧めしません。
-
Cisco Unified IP 電話7800、7942、7962 (SIP のみ) については、ダイジェスト証明書を電話機に送信する方法を提供します。暗号化設定を使用するより簡単ですが、安全性は劣ります。 Unified Communications Manager [構成ファイルからダイジェスト資格情報を除外する] 設定を使用するこの方法は、最初に対称キーを構成して電話に入力する必要がないため、ダイジェスト資格情報を初期化する場合に便利です。 この方法では、ダイジェスト クレデンシャルを非暗号化設定ファイルで電話機に送信します。 資格情報を電話に入力したら、[電話セキュリティプロファイルの設定(Phone Security Profile Configuration)] ページで、[TFTP 暗号化設定(TFTP Encrypted Config)] オプションを無効にしてから、[設定ファイルからダイジェスト証明書を除外する(Exclude Digest Credential in Configuration File)] オプションを有効にすることをお勧めします。 これにより、今後のダウンロードからダイジェスト認証情報が除外されます。
-
ダイジェスト クレデンシャルがこれらの電話に存在し、受信ファイルにダイジェスト クレデンシャルが含まれていない場合、既存のクレデンシャルがそのまま残ります。 ダイジェストの資格情報は、電話が工場出荷時の設定にリセットされるか、新しい資格情報 (空白を含む) が受信されるまで、そのまま残ります。 電話機またはエンドユーザーのダイジェスト資格情報を変更する場合は、対応する [電話機セキュリティプロファイル情報(Phone Security Profile Information)] ページの 設定ファイルから [ダイジェスト資格情報を除外する(Exclude Digest Credential in Configuration File)] を一時的に無効にして、新しいダイジェスト資格情報を電話にダウンロードします。