セキュリティ

この章では、Cisco Unified Communications Manager Express（Cisco Unified CME）の電話機認証サポート、Cisco Unified IP Phone に対する Hypertext Transfer Protocol Secure（HTTPS）のプロビジョニング、および次のセキュア音声コール機能を提供するCisco Unified CME のメディア暗号化（SRTP）機能について説明します。

Secure Real-Time Transport Protocol（SRTP）および H.323 プロトコルを使用した、Cisco Unified CME ネットワークでのセキュアコール制御シグナリングおよびメディアストリーム。
H.323 トランクを使用した Cisco Unified CME ネットワークのセキュア補足サービス。
セキュアな Cisco VG224 Analog Phone Gateway エンドポイント。

セキュリティの前提条件

電話機認証用に Cisco Unified CME 4.0 以降のバージョン。
Cisco Unified CME でのメディア暗号化（SRTP）用に Cisco Unified CME 4.2 以降のバージョン。
サポートされるプラットフォームでの Cisco IOS フィーチャセットの Advanced Enterprise Services（adventerprisek9）または Advanced IP Services（advipservicesk9）。
Firmware 9.0(4) 以降のバージョンが、HTTPS プロビジョニング用に IP Phone にインストールされていること。
次のいずれかの方法を使用して、システムクロックが設定されていること。
- ネットワークタイムプロトコル（NTP）を設定する。構成情報については、Network Time Protocolの有効化を参照してください。
- clock set コマンドを使用して、ソフトウェアクロックを手動設定します。このコマンドについては、「Cisco IOS ネットワーク管理コマンド参照書類」を参照してください。

セキュリティの制約事項

電話機認証

Cisco Unified CME の電話機認証は、Cisco IAD 2400 シリーズまたは Cisco 1700 シリーズでサポートされていません。

メディア暗号化

セキュアな 3 者間ソフトウェア会議はサポートされていません。SRTP で開始したセキュアコールで会議に参加すると、必ず非セキュアなリアルタイム転送プロトコル（RTP）に戻ります。
1 人の参加者が 3 者間会議から退出すると、残りの 2 人の参加者が単一の Cisco Unified CME への SRTP 対応ローカル Skinny Client Control Protocol（SCCP）エンドポイントであり、残りの参加者のどちらかが会議の作成者である場合、その 2 人の参加者間コールがセキュアに戻ります。残り 2 人の参加者の一方だけが RTP に対応している場合、コールは非セキュアなままになります。残りの 2 人の参加者が FXS、PSTN、または VoIP を介して接続されている場合、コールは非セキュアのままになります。
Cisco Unity Connection への通話はセキュアではありません。
保留音（MOH）はセキュアではありません。
ビデオコールはセキュアではありません。
モデムリレーおよび T.3 Fax リレーのコールはセキュアではありません。
メディアのフローアラウンドは、コール転送およびコール自動転送に対応していません。
インバンドトーンと RFC 2833 DTMF の間の変換はサポートされていません。RFC 2833 DTMF の処理は、暗号キーがセキュア DSP Farm デバイスに送信される場合はサポートされますが、コーデックパススルーに対してはサポートされません。
セキュアな Cisco Unified Cisco Mobility Express は、Cisco Integrated Services Router Generation 2 プラットフォームでのみ SIP トランクと H.323 トランクをサポートします。セキュアな Unified Cisco Mobility Express は、Cisco 4000 シリーズサービス統合型ルータではサポートされていません。
セキュアコールは、デフォルトのセッションアプリケーションのみでサポートされています。

セキュリティについて

Unified Cisco Mobility Express パスワードポリシー

Unified Cisco Mobility Express 12.6 リリース（Cisco IOS XE Gibraltar 16.11.1a）以降、Unified Cisco Mobility Express のすべての構成は Unified Cisco Mobility Express パスワードポリシーを満たす必要があります。

一般的なパスワードポリシーガイドライン

パスワードは、6 文字以上 15 文字までの英数字である必要があります。
パスワードには、記号や特殊文字を含めることはできません。
パスワードには、少なくとも 1 つの数字、1 つの大文字のアルファベット、および 1 つの小文字のアルファベットが含まれている必要があります。

パスワードがポリシーに従って構成されていない場合、Unified Cisco Mobility Express ルータはエラーメッセージを表示します。


Error: The password you have entered is incorrect.
Your password must contain:
1. A minimum of 6 and a maximum of 15 alphanumeric characters, excluding symbols and special characters.
2. A minimum of one numeral, one uppercase alphabet, and one lowercase alphabet.

（注）

Unified Cisco Mobility Express パスワードポリシーは、Cisco IOS XE 16.11.1a 以降の Unified Cisco Mobility Express 構成に適用できます。

次のシナリオでは、Unified Cisco Mobility Express パスワードポリシーは適用されません。

古い IOS バージョンから Cisco IOS XE 16.11.1a にアップグレードした場合
Cisco IOS XE 16.11.1a から古いバージョンにダウングレードします。

パスワード構成と暗号化に関するガイドライン

次のように CLI コマンドを使用して、Unified Cisco Mobility Express に関連するパスワードを構成します。

voice reg pool 構成モード
- username name password [0|6] password
- ata-ivr-pwd [0|6] password
voice register global （自動登録用）構成モード
- password [0|6] password
ephone 構成モード
- username name password [0|6] password
telephony-service 構成モード
- ssh userid user-id-name password [0|6] password
- service local-directory authenticate username [0|6] password
- xml user username password [0|6] password privilege-level
- standby user username password [0|6] password
エクステンションモビリティ関連（telephony-service 構成モードの）構成モード
- url authentication url-address application-name password [0|6] password
- authentication credential application-name password [0|6] password
エクステンションモビリティ関連（voice logout-profile 構成モードの）構成モード
- user name password [0|6] password
voice user-profile 、voice logout-profile および voice reg pool 構成モード
- pin [0|6] pin
voice user-profile 構成モード
- username name password [0|6] password

次に、Unified Cisco Mobility Express パスワードポリシーの構成に関する推奨事項の一部を示します。

CLI コマンドで言及されている[0|6] パラメータの 0 は。プレーンテキスト、非暗号化プレーンテキストを示し。6 は、レベル 6 パスワード暗号化を表しています。
コマンドレベルのパラメータ構成（[0|6] ）とば別に、暗号化サポート用の Unified Cisco Mobility Express ルータを構成する必要があります。Unified Cisco Mobility Express ルータでタイプ 6 暗号化をサポートするように CLI コマンドである encrypt password を構成します。
CLI コマンドである encrypt password は、Unified Cisco Mobility Express ルータでデフォルトで有効になっています。ただし、Unified Cisco Mobility Express ルータで暗号化をサポートするように、 key config-key password-encrypt [key] および password encryption aes を強制構成する必要があります。構成例の詳細については、「パスワードポリシーの Unified Cisco Mobility Express の構成例」を参照してください。
パスワードの暗号化に使用するキーを新しいキー（キーの置き換えまたは再キー化）に置き換えると、パスワードは新しいキーで再暗号化されます。
Unified Cisco Mobility Express で構成するタイプ 0 とタイプ 6 の両方のパラメータについて、Cisco Mobility Express パスワードポリシーに従う必要があります。Cisco Mobility Express パスワードポリシーの詳細については、「Unified Cisco Mobility Express パスワードポリシー」を参照してください。

（注）

CLI コマンドである ata-ivr-pwd の場合、パスワードとして 4 桁の文字列を使用する必要があります。詳細については、『Unified Cisco Mobility Express コマンド参照ガイド』の「CLI コマンドである ata-ivr-pwd 」を参照してください。

次の表に、Unified Cisco Mobility Express でサポートされるパスワード暗号化レベルに関する情報を示します。

表 1. パスワード暗号化構成
ユーザ入力	encrypt password + key config-key password-encrypt `[key]` + password encryption aes	パスワード暗号化状態
暗号化テキスト（タイプ 6）	encrypt password ：有効 key config-key password-encrypt `[key]` — 有効 password encryption aes ：有効	暗号化
暗号化テキスト（タイプ 6）	encrypt password — 無効 key config-key password-encrypt `[key]` — 有効 password encryption aes ：有効	未暗号化（プレーンテキスト）
プレーンテキスト（タイプ 0）	encrypt password — 無効 key config-key password-encrypt `[key]` — 有効 password encryption aes ：有効	未暗号化（プレーンテキスト）
プレーンテキスト（タイプ 0）	encrypt password ：有効 key config-key password-encrypt `[key]` — 有効 password encryption aes ：有効	暗号化

（注）

パスワード暗号化を無効にするように CLI コマンドである no encrypt password を構成します。

パスワード暗号化のダウングレードに関する考慮事項

Unified Cisco Mobility Express 12.6 以前のバージョンにダウングレードする場合、no encrypt password CLI コマンドを実行する必要があります。no encrypt password CLI コマンドが構成されている場合、パスワードはプレーンテキストとして表示されます。

ログからのパスワードとキーの削除

Unified Cisco Mobility Express リリース 12.6 以降、Unified Cisco Mobility Express のセキュリティを強化するために、パスワードと sRTP キーはログに出力されません。キーに関する情報は、Unified Cisco Mobility Express 12.6 リリース以降の show コマンドでのみ使用できます。SCCP の CLI コマンド show ephone offhook および SIP の show sip-ua calls が拡張され、メディアストリームごとに使用されているキーと sRTP 暗号が表示されるようになりました。

出力例については、「ログからのパスワードとキーを削除する例」を参照してください。

CLI コマンドの廃止

Unified Cisco Mobility Express リリース 12.6 以降では、製品セキュリティ強化のため telephony-service 構成モードで構成された次の CLI コマンドは、廃止されました。

log password password-string
xmltest
xmlschema schema-url
xmlthread number

廃止されたコマンドの詳細については、「Cisco Unified Communications Manager Express コマンド参照書類」を参照してください。

電話機認証の概要

電話機認証は、Cisco Unified CME と IP Phone の間にセキュアな SCCP シグナリングを提供するためのセキュリティインフラストラクチャです。Cisco Unified Cisco Mobility Express 電話認証の目的は、Cisco Unified Cisco Mobility Express IP テレフォニーシステムの安全な環境を作成することです。

電話認証は、次のセキュリティニーズに対応します。

システム内の各エンドポイントのアイデンティティを確立する
デバイスを認証する
シグナリングセッションのプライバシーを提供する
構成ファイルを保護する

Cisco Unified CME 電話機認証は、認証と暗号化を実装して、電話機または Cisco Unified CME システムの ID 盗用、データ改ざん、コールシグナリングの改ざん、またはメディアストリームの改ざんを防止します。これらの脅威を防止するために、Cisco Unified IP テレフォニーネットワークは認証済みの通信ストリームを確立および管理し、ファイルが電話機に転送される前にファイルにデジタル署名を行って、Cisco Unified IP Phone 間のコールシグナリングを暗号化します。

Cisco Unified CME 電話機認証は、次のプロセスを使用します。

電話機認証
ファイル認証
シグナリング認証

電話機認証

電話機認証プロセスは、Cisco Unified CME ルータとサポートされるデバイスとの間で、各エンティティが他のエンティティの証明書を受け取ると行われます。その場合のみ、エンティティ間でセキュアな接続が行われます。電話機認証は、既知の信頼できる証明書およびトークンである証明書信頼リスト（CTL）ファイルを使用します。電話機はトランスポート層セキュリティ（TLS）セッション接続を使用して Cisco Unified CME と通信します。これを行うには、次の基準を満たす必要があります。

証明書が電話機に存在していること。
電話機の構成ファイルが電話機に存在し、そのファイルに Cisco Unified CME エントリと証明書が存在していること。

ファイル認証

ファイル認証プロセスは、電話機が Trivial File Transfer Protocol（TFTP）サーバからダウンロードしたデジタル署名されたファイル（たとえば、構成ファイル、リングリストファイル、ロケールファイル、および CTL ファイル）を検証します。電話機がこれらのタイプのファイルを TFTP サーバから受け取ると、電話機はそのファイルの署名を検証して、ファイルが作成された後にファイルの改ざんが行われていないことを確認します。

シグナリング認証

シグナリング完全性とも呼ばれるシグナリング認証プロセスは、TLS プロトコルを使用して、伝送中にシグナリングパケットが改ざんされていないことを検証します。シグナリング認証は、CTL ファイルの作成に依存します。

公開キーインフラストラクチャ

Cisco Unified CME の電話機認証では、IP Phone の証明書ベースの認証に、Cisco IOS ソフトウェアの公開キーインフラストラクチャ（PKI）機能が使用されます。PKI を使用すると、セキュアなデータネットワークで暗号化情報と ID 情報を配信、管理、失効するためのスケーラブルでセキュアなメカニズムを実現できます。セキュア通信に参加しているすべてのエンティティ（人またはデバイス）は、エンティティが Rivest-Shamir-Adleman（RSA）キーペア（秘密キーと公開キー）を生成し、信頼できるエンティティ（認証局（CA）またはトラストポイントとも呼ばれます）によって ID を検証するというプロセスを使用して、PKI に登録します。

各エンティティが PKI に登録されると、PKI のすべてのピア（エンドホストともいいます）は、CA が発行したデジタル証明書を付与されます。

セキュアな通信セッションをネゴシエーションする必要があるときは、ピアはデジタル証明書を交換します。ピアは証明書内の情報を基に他のピアの ID を確認し、証明書内の公開キーを使って、暗号化されたセッションを確立します。

電話機認証のコンポーネント

さまざまなコンポーネントが連携して、Cisco Unified CME システムでのセキュアな通信が確保されます。表 1 に、Cisco Unified CME 電話認証コンポーネントを示します。

表 2. Cisco Unified Cisco Mobility Express Phone 認証コンポーネント
コンポーネント	定義
certificate	ユーザ名またはデバイス名をその公開キーにバインドする電子文書。通常、証明書はデジタル署名を検証するために使用されます。セキュアな通信中は、認証に証明書が必要です。エンティティは CA に登録することで証明書を取得します。
signature	エンティティに関連するトランザクションが真性であることの、エンティティからの保証。エンティティの秘密キーを使用して、トランザクションに署名を行い、対応する公開キーを使用して復号化を行います。
RSA key pair	RSA は公開キー暗号化システムで、Ron Rivest、Adi Shamir、Leonard Adleman の 3 名によって開発されました。 RSA キーペアは、公開キーと秘密キーで構成されます。公開キーは証明書に含まれているため、ピアはそれを使用してルータに送信されるデータを暗号化できます。秘密キーはルータに保持され、ピアによって送信されたデータの復号化と、ピアとネゴシエーションするときの、トランザクションのデジタル署名に使用されます。複数の RSA キーペアを使用して、さまざまな認証局またはさまざまな証明書に対して、キーの長さ、キーのライフタイム、およびキーのタイプなどのポリシー要件を照合できます。
certificate server trustpoint	証明書サーバは、正当な要求の受信に対して、証明書を生成および発行します。証明書サーバと同じ名前を持つトラストポイントが証明書を保存します。各トラストポイントには 1 つの証明書と、CA 証明書のコピーがあります。
certification authority (CA)	ルート証明書サーバ。証明書要求の管理と、関係するネットワークデバイスへの証明書の発行を担当します。このサービスは、参加デバイスを一元的に管理します。またこれらのサービスによって受信者は、明示的に信頼してアイデンティティを確認し、デジタル証明書を作成できます。CA は、Cisco Unified CME ルータ上の Cisco IOS CA、別のルータ上の Cisco IOS CA、またはサードパーティの CA にすることができます。
registration authority (RA)	CA に必要なデータの一部またはすべてを記録または確認して、証明書を発行します。CA がサードパーティ CA である場合や、Cisco IOS CA が Cisco Unified CME ルータにない場合に、これが必要になります。
certificate trust list (CTL) file CTL client CTL provider	IP Phone が対話する必要のあるすべてのサーバ（たとえば、Cisco Unified CME サーバ、TFTP サーバ、および CAPF サーバ）の公開キー情報（サーバ ID）を含む必須構造。CTL ファイルは、SAST によってデジタル署名されます。 CTL クライアントを設定した後、CTL ファイルを作成して、それを TFTP ディレクトリで使用できるようにします。CTL ファイルは、SAST 証明書の対応する秘密キーを使用して署名されます。これで、IP Phone はこの CTL ファイルを TFTP ディレクトリからダウンロードできるようになります。各電話機の CTL ファイルのファイル名形式は CTLSEP<mac-addr>.tlv です。 CTL クライアントが、Cisco Unified CME ルータではないネットワーク上のルータで実行されている場合、ネットワーク上の各 Cisco Unified CME ルータに CTL プロバイダーを設定する必要があります。同様に、CTL クライアントがネットワーク上の 2 台の Cisco Unified CME ルータの一方で実行されている場合、CTL プロバイダーをもう一方の Cisco Unified CME ルータに設定する必要があります。CTL プロトコルは、2 番めの Cisco Unified CME ルータが電話機によって信頼され、その逆の方向にも信頼されるようにできる CTL プロバイダーとの間で情報を転送します。
certificate revocation list (CRL)	証明書の失効日を含み、示されている証明書が有効か失効しているかを判別するために使用されるファイル。
system administrator security token (SAST)	CTL ファイルの署名を担当する CTL クライアントの部分。Cisco Unified CME の証明書と、それに関連するキーペアが、SAST 機能に使用されます。セキュリティ上の理由で、CTL ファイルには 2 つの異なる証明書に関連する 2 つの SAST レコードが実際にあります。これらは、SAST1 および SAST2 と呼ばれます。証明書の 1 つが失われるか、破損すると、CTL クライアントはもう 1 つの証明書を使用して CTL ファイルを再生成します。電話機が新しい CTL ファイルをダウンロードすると、以前にインストールされていた元の 2 つの公開キーの 1 つだけを使用して検証します。このメカニズムにより、IP Phone は不明なソースから CTL ファイルを受け取らないようになります。
certificate authority proxy function (CAPF)	要求元の電話機に証明書（LSC）を発行するエンティティ。CAPF は電話機のプロキシであり、CA と直接通信することはできません。CAPF は、次の証明書管理タスクを実行することもできます。ローカルで有効な既存の証明書を電話機でアップグレードする。電話機の証明書を取得して、表示およびトラブルシューティングに使用する。電話機の LSC を削除する。
manufacture-installed certificate (MIC) locally significant certificate (LSC)	電話機でセキュアな通信を行うには、証明書が必要です。多くの電話機は MIC 付きで工場から出荷されますが、MIC は期限切れになったり、紛失や破損が生じたりすることがあります。MIC 付きで出荷されない電話機もあります。LSC は、CAPF サーバを使用してローカルで電話機に発行される証明書です。
transport Layer Security (TLS) protocol	Netscape Secure Socket Layer（SSL）プロトコルに基づいた IETF 標準（RFC 2246）プロトコル。TLS セッションは、ハンドシェイクプロトコルを使用してプライバシーとデータ整合性を提供することで確立されます。 TLS レコード層フラグメントは、ハンドシェイクメッセージを含むアプリケーションデータや他の TLS 情報のフラグメント化とデフラグメント化、圧縮と復元、および暗号化と復号化を行います。

Cisco Unified CME 電話機の認証に、Cisco Unified CME 電話機の認証環境における構成要素を示します。

電話機の認証プロセス

次に、電話機の認証プロセスについて概要を説明します。

Cisco Unified CME 電話機の認証は、次のよう行われます。

証明書が発行されます。

CA が、Cisco Unified CME、SAST、CAPF、および TFTP の各機能に証明書を発行します。
CTL ファイルが作成されて、署名および公開されます。
1. CTL ファイルは、コンフィギュレーション駆動型の CTL クライアントによって作成されます。その目的は、各電話機に CTLfile.tlv を作成し、それを TFTP ディレクトリに保存することです。このタスクを完了するには、CTL クライアントに CAPF サーバ、Cisco Unified CME サーバ、TFTP サーバ、および SAST の証明書と公開キー情報が必要です。
2. CTL ファイルは SAST クレデンシャルによって署名されます。セキュリティ上の理由で、CTL ファイルには 2 つの異なる証明書に関連する 2 つの SAST レコードがあります。証明書の 1 つが失われるか、破損すると、CTL クライアントはもう 1 つの証明書を使用して CTL ファイルを再生成します。電話機が新しい CTL ファイルをダウンロードすると、以前にインストールされていた元の 2 つの公開キーの中の 1 つだけを使用してダウンロードを検証します。このメカニズムにより、IP Phone は不明なソースから CTL ファイルを受け取らないようになります。
3. CTL ファイルは TFTP サーバで公開されます。外部 TFTP サーバーはセキュアモードでサポートされていないため、構成ファイルは Cisco Unified Cisco Mobility Express システム自体で生成され、TFTP サーバーのログイン情報によって署名されます。TFTP サーバのクレデンシャルは、Cisco Unified CME のクレデンシャルと同じにすることができます。必要であれば、CTL クライアントインターフェイスで適切なトラストポイントが設定されている場合、TFTP 機能用に別個の証明書を生成できます。
テレフォニーサービスモジュールは、電話機の構成ファイルに署名し、各電話機はそのファイルを要求します。
IP Phone が起動すると、TFTP サーバから CTL ファイル（CTLfile.tlv）を要求し、デジタル署名されたその構成ファイルをダウンロードします。ファイル名の形式は SEP<mac-address>.cnf.xml.sgn です。
次に、電話機は構成ファイルから CAPF コンフィギュレーションステータスを読み取ります。証明動作が必要な場合、電話機は TCP ポート 3804 で CAPF サーバを使用して TLS セッションを開始し、CAPF プロトコルダイアログを開始します。証明動作には、アップグレード、削除、またはフェッチの各動作があります。アップグレード動作が必要な場合、CAPF サーバは電話機に代わって CA から証明書を要求します。CAPF サーバは CAPF プロトコルを使用して、公開キーや電話機 ID など、電話機から必要な情報を取得します。電話機がサーバから証明書を正常に受け取ると、電話機はそれをフラッシュメモリに保存します。
.cnf.xml ファイルのデバイスセキュリティモード設定が認証済みまたは暗号化済みに設定されている場合、電話機は証明書をフラッシュに保存し、既知の TCP ポート（2443）でセキュアな Cisco Unified CME サーバとの TLS 接続を開始します。この TLS セッションは、両者から相互に認証されます。IP Phone は、TFTP サーバーから最初にダウンロードした CTL ファイルからの Cisco Unified Cisco Mobility Express サーバーの証明書を認識します。発行元の CA 証明書がルータに存在するため、電話機の LSC は Cisco Unified Cisco Mobility Express サーバーに対して信頼できる相手になります。

スタートアップメッセージ

証明書サーバがスタートアップコンフィギュレーションの一部である場合、起動プロシージャの間に次のメッセージが表示される場合があります。


% Failed to find Certificate Server's trustpoint at startup 
% Failed to find Certificate Server's cert.

これらのメッセージは、スタートアップコンフィギュレーションがまだ完全に解析されていないため、証明書サーバを設定するために一時的に使用できなくなることを示す情報メッセージです。スタートアップコンフィギュレーションが破損した場合、これらのメッセージはデバッグに役立ちます。

構成ファイルのメンテナンス

セキュアな環境では、複数タイプの構成ファイルをホストして使用するには、事前にデジタル署名する必要があります。署名されたすべてのファイルのファイル名には .sgn サフィックスが付けられます。

Cisco Unified CME テレフォニーサービスモジュールは電話機の構成ファイル（.cnf.xml suffix）を作成し、それらを Cisco IOS TFTP サーバに収容します。これらのファイルは TFTP サーバーのログイン情報によって署名されます。

電話機の構成ファイル以外に、ネットワークファイルやユーザのローカルファイルなど、他の Cisco Unified CME 構成ファイルにも署名が必要です。これらのファイルは Cisco Unified CME によって内部生成され、署名されていないバージョンが更新または作成されると必ず、署名されたバージョンが現在のコードパスに自動的に作成されます。

ringlist.xml、distinctiveringlist.xml、オーディオファイルなど、Cisco Unified CME で生成されない他の構成ファイルは、Cisco Unified CME の機能に使用されることがよくあります。これらの構成ファイルの署名されたバージョンは、自動的には作成されません。Cisco Unified Cisco Mobility Express で生成されていない新しい構成ファイルが Cisco Unified Cisco Mobility Express にインポートされたら、load-cfg-file コマンドを使用します。これにより、次のすべての処理が実行されます。

署名されていないバージョンのファイルを TFTP サーバに収容する。
署名されたバージョンのファイルを作成する。
署名されたバージョンのファイルを TFTP サーバに収容する。

署名されていないバージョンのファイルのみを TFTP サーバーにホストする必要がある場合は、tftp-server コマンドではなく load-cfg-file コマンドも使用できます。

CTL ファイルのメンテナンス

CTL ファイルには SAST レコードとその他のレコードが含まれています。（最大 2 つの SAST レコードが存在する可能性があります。）電話機に CTL がダウンロードされる前に、CTL ファイルで一覧されている SAST ログイン情報のひとつが CTL ファイルをデジタル署名し、フラッシュに保存されます。CTL ファイルを受信すると、電話機は、元の CTL ファイルに存在する SAST クレデンシャルの 1 つによって署名されている場合にのみ、新しい CTL ファイルまたは変更された CTL ファイルを信頼します。

このため、元の SAST クレデンシャルの 1 つだけを含んだ CTL ファイルが再生成されるよう注意する必要があります。両方の SAST クレデンシャルが破損し、新しいクレデンシャルを使用して CTL ファイルを生成する必要がある場合は、電話機を出荷時の初期状態にリセットする必要があります。

CTL クライアントとプロバイダー

CTL クライアントは CTL ファイルを生成します。CTL クライアントは、CTL ファイルに必要なトラストポイントの名前を入手する必要があります。これは Cisco Unified CME と同じルータ、または別のスタンドアロンルータで実行できます。CTL クライアントがスタンドアロンルータ（Cisco Unified CME ルータ以外のルータ）で実行されている場合、各 Cisco Unified CME ルータに CTL プロバイダーを設定する必要があります。CTL プロバイダーは、Cisco Unified CME サーバ機能のクレデンシャルを、別のルータで実行している CTL クライアントにセキュアに伝達します。

CTL クライアントがプライマリまたはセカンダリのいずれかの Cisco Unified CME ルータで実行している場合、CTL クライアントが実行していない各 Cisco Unified CME ルータ上に CTL プロバイダーを設定する必要があります。

CTL クライアントと CTL プロバイダーとの間の通信には、CTL プロトコルが使用されます。CTL プロトコルを使用することで、すべての Cisco Unified CME ルータのクレデンシャルが CTL ファイルに存在するようになり、すべての Cisco Unified CME ルータが、CA によって発行された電話機証明書へのアクセス権を持つことができます。両方の要素が、セキュアな通信の前提条件になります。

CTL クライアントとプロバイダーを有効化するには、「CTL クライアントの構成」および「CTL プロバイダーの構成」を参照してください。

MIC ルート証明書の手動インポート

CAPF サーバとの TLS ハンドシェイク中に電話機が MIC を使用する場合、CAPF サーバはそれを確認するための MIC のコピーを持っている必要があります。IP Phone のタイプごとに、異なる証明書が使用されます。

電話機が MIC は持っているが、LSC は持っていない場合、電話機は認証に MIC を使用します。たとえば、デフォルトで MIC は持っているが、LSC は持っていない Unified IP Phone 7970 を使用するとします。この電話機の MIC に設定された認証モードを使用して証明書のアップグレードをスケジュールすると、電話機は認証用として、その MIC を Cisco Unified CME CAPF サーバに提示します。CAPF サーバが電話機の MIC を検証するには、MIC のルート証明書のコピーを持っている必要があります。このコピーがない場合、CAPF のアップグレードオプションは失敗します。

CAPF サーバが、必要な MIC のコピーを確実に入手できるようにするには、証明書を CAPF サーバに手動でインポートする必要があります。インポートする必要のある証明書の数は、ネットワークコンフィギュレーションによって異なります。手動登録の場合は、コピーアンドペーストまたは TFTP 転送メソッドを使用します。

MIC ルート証明書を手動でインポートするには、「MIC ルート証明書の手動インポート」を参照してください。

メディア暗号化の機能設計

付属する音声セキュリティ Cisco IOS 機能によって、以下を実行できるサポート対象ネットワークデバイス上で、セキュアなエンドツーエンドの IP テレフォニーコールを対象とした全体的なアーキテクチャが提供されます。

セキュアな相互運用性を持つ SRTP 対応 Cisco Unified CME ネットワーク
セキュアな Cisco IP Phone コール
セキュアな Cisco VG224 Analog Phone Gateway エンドポイント
セキュアな補足サービス

これらの機能は、Cisco IOS H.323 ネットワークでメディアおよびシグナリング認証と暗号化を使用することで実装されます。H.323 は、パケットベースのビデオ会議、音声会議、およびデータ会議を記述する ITU-T 標準であり、H.450 を含む他の標準のセットを参照して、実際のプロトコルを記述します。H.323 は、標準通信プロトコルを使用することで、異なる通信デバイスがお互いに通信できるようにし、コードの共通セット、コールセットアップおよびネゴシエーションプロシージャ、基本データ転送メソッドを定義します。H.450 は H.323 標準のコンポーネントの 1 つであり、テレフォニーのような補足サービスの提供に使用されるシグナリングとプロシージャを定義します。H.450 メッセージは H.323 ネットワークに使用され、セキュアな補足サービスのサポートが実装されます。また、メディア機能をネゴシエーションするための、空の機能セット（ECS）メッセージングも実装されます。

セキュアな Cisco Unified CME

セキュアな Cisco Unified Cisco Mobility Expressソリューションには、音声メディアに対応した、Cisco Unified Cisco Mobility Express および Cisco Unified Communications Manager 間のセキュア対応音声ポート、SCCP エンドポイントおよびセキュアな H.323 または SIP トランクが含まれます。セキュア Cisco Unified CME システムは、セキュアな Cisco Unified Cisco Mobility Express システムのコンポーネントを示しています。

（注）

セキュアな Unified Cisco Mobility Express は、Cisco 4000 シリーズサービス統合型ルータではサポートされていません。

セキュア Cisco Unified CME は、セキュアチャネル用にトランスポート層セキュリティ（TLS）または IPsec（IP セキュリティ）を実装し、メディア暗号化に SRTP を使用します。セキュア Cisco Unified CME は、エンドポイントおよびゲートウェイに対する SRTP キーを管理します。

Cisco Unified CME 機能のメディア暗号化（SRTP）は、次の機能をサポートします。

SCCP エンドポイント。
混在共有回線環境のセキュア音声コールにより、RTP と SRTP の両方でエンドポイントを使用できます。共有回線のメディアセキュリティは、エンドポイント設定に応じて異なります。

H.450 を使用するセキュア補足サービスは次のとおりです。

Call Forward
Call Transfer
コールの保留と復帰
通話パークとコールピックアップ
非セキュアなソフトウェア会議

（注）

H.323 を介した STRP 電話会議では、コールが会議に参加すると、0 秒から 2 秒の間隔でノイズが発生する場合があります。

非 H.450 環境でのセキュアなコール。
セキュア Cisco Unity とセキュア Cisco Unified CME の対話。
Cisco Unity Express とのセキュアな Cisco Unified Cisco Mobility Express インタラクション（インタラクションはサポートされ、通話は非セキュアモードにダウングレードされます）。
DSP Farm トランスコーディングが構成された状態のリモート電話機に対するセキュアなトランスコーディング

これらの機能については、次の項で説明します。

セキュアな補足サービス

メディア暗号化（SRTP）機能は、H.450 と非 H.450 の両方の Cisco Unified CME ネットワークで、セキュアな補足サービスをサポートします。セキュア Cisco Unified CME ネットワークは、H.450 または非 H.450 にする必要があり、ハイブリッドにはできません。

Cisco Unified Cisco Mobility Express でのセキュアな SIP トランクサポート

Cisco Unified Cisco Mobility Express Relese 10 以前のリリースでは、補足サービスは、セキュア SCCP Cisco Unified Cisco Mobility Express の SIP トランクではサポートされていませんでした。この機能は、SCCP Cisco Unified Cisco Mobility Express の SIP トランクのセキュア SRTP および SRTP フォールバックモードで次の補足サービスをサポートします。

セキュアな基本通話
コールの保留と復帰
通話転送（ブラインドおよび相談）
通話転送（CFA、CFB、CFNA）
DTMF サポート
通話パークおよびピックアップ
CUE を使用するボイスメールシステム（SRTP フォールバックモードでのみ機能）

補足サービスを有効にするには、次の例に示すように、既存の「supplementary-service media-renegotiate 」コマンドを使用します。

(config)# voice service voip 
(conf-voi-serv)# no ip address trusted authenticate 
(conf-voi-serv)# srtp 
(conf-voi-serv)# allow-connections sip to sip 
(conf-voi-serv)# no supplementary-service sip refer 
(conf-voi-serv)# supplementary-service media-renegotiate

（注）

SRTP モードでは、セキュアな SIP トランク全体で非セキュアメディア（RTP）形式は許可されません。保留音（MOH）、保留トーン、およびリングバックトーンの場合、トーンは SIP トランクを介して再生されません。SRTP フォールバックモードでは、リモートエンドが非セキュアの場合、または保留音（MOH）、保留トーン、およびリングバックトーンの再生中に、セキュア SIP トランク上のメディアが RTP に切り替えられます。

制約事項

セキュア SIP トランクは、SCCP Cisco Unified Cisco Mobility Express でのみサポートされ、SIP Cisco Unified Cisco Mobility Express ではサポートされません。セキュア SIP 回線は、Cisco Unified Cisco Mobility Express モードではサポートされていません。
セキュアな Unified Cisco Mobility Express は、Cisco 4000 シリーズサービス統合型ルータではサポートされていません。
Xcoder サポートは、セキュアなトーン（保留音（MOH）、保留トーン、およびリングバックトーン）の再生には使用できません。
これらのトーンは非セキュア（RTP）形式でのみ使用できるため、トーンは SRTP モードでは再生されません。
補足サービスについては、SCCP Cisco Unfied Cisco Mobility Express 用 no supplementary-service sip refer コマンドを構成することをお勧めします。

H.450 環境でのセキュア Cisco Unified CME

セキュアなエンドポイント間のシグナリングとメディア暗号化がサポートされており、セキュアなエンドポイント間でのコール転送（H.450.2）とコール自動転送（H.450.3）などの補足サービスが可能です。通話パークとピックアップには、H.450 メッセージが使用されます。セキュア Cisco Unified CME では、デフォルトで H.450 が有効になっていますが、セキュアな保留音（MOH）とセキュアな会議（3 者間コール）はサポートされていません。たとえば、H.450 環境での保留音に示すように補足サービスが開始された場合、A と B との間の当初はセキュアであったコールが、ECS と端末機能セット（TCS）を使用したネゴシエーションで RTP になり、A には保留音が聞こえます。B が A へのコールを再開すると、コールは SRTP に戻ります。同様に、転送が開始されると、転送される通話者は保留状態になり、コールはネゴシエーションによって RTP になります。コールが転送されると、もう一方で SRTP を使用できる場合、コールは SRTP に戻ります。

非 H.450 環境でのセキュア Cisco Unified CME

補足サービスのセキュリティでは、コール中キーネゴシエーションまたはコール中メディア再ネゴシエーションを行う必要があります。H.450 メッセージがない H.323 ネットワークでは、コーデック不一致やセキュアコールなどのシナリオでは、ECS を使用してメディア再ネゴシエーションが実装されます。ルータでグローバルに H.450 を無効にすると、設定は RTP コールと SRTP コールに適用されます。シグナリングパスは、Cisco Unified CME と Cisco Unified Communications Manager の XOR によるヘアピンになります。たとえば、非 H.450 環境での転送で、シグナリングパスが、 A から B を経由して（補足サービスイニシエータ） C に行くとします。この場合、音声セキュリティを展開する際、メディアセキュリティキーは、XOR を介して通過し、B を経由して、転送リクエストを発行するエンドポイントを通過することを考慮します。中間者攻撃を防止するには、XOR が信頼できるエンティティになっている必要があります。

メディアパスはオプションです。Cisco Unified CME のデフォルトのメディアパスはヘアピンになっています。ただし、可能であればいつでもメディアフローアラウンドを Cisco Unified CME に設定できます。メディアフロースルー（デフォルト）を設定するときは、複数の XOR ゲートウェイをメディアパスでチェーン化すると、遅延が大きくなり、音声品質が低下することに注意してください。ルータリソースと音声の品質により、チェーン化できる XOR ゲートウェイの数は制限されます。要件はプラットフォームによって異なり、シグナリングとメディアの間で変わる可能性があります。実用的なチェーン化レベルは 3 です。

コーデックの不一致があり、ECS と TCS のネゴシエーションが失敗すると、トランスコーダが挿入されます。たとえば、電話機 A と電話機 B で SRTP が使用可能であるが、電話機 A が G.711 コーデックを使用し、電話機 B が G.729 コーデックを使用している場合、電話機 B にトランスコーダがあればそれが挿入されます。ただし、コーデック要件を満たすために、コールは RTP にネゴシエーションされるため、コールは非セキュアになります。

DSP Farm トランスコーディングが構成された状態のリモート電話機に対するセキュアなトランスコーディング

トランスコーディングは、構成した codec コマンドの dspfarm-assist キーワードがあるリモート電話機でサポートされています。リモート電話機とは、Cisco Unified CME に登録され、WAN を介してリモートロケーションに存在する電話機のことです。WAN 接続での帯域幅を節約するため、該当する電話機への通話は、ephone の codec g729r8 dspfarm assist コマンドを構成することで、G.729r8 コーデックを使用して行うことができます。g729r8 キーワードによって、該当する電話機への通話は強制的に G.729 コーデックを使用するようになります。電話機への H.323 通話をトランスコードする必要がある場合、dspfarm-assist キーワードを使用すると、利用可能な DSP リソースを使用できるようになります。

（注）

トランスコーディングは、リモートの電話機からの異なるコーデックを持つ H.323 コールが、リモートの電話機へのコールを行おうとする場合にのみ有効になります。リモートの電話機と同じ Cisco Unified CME 上にあるローカルの電話機がリモートの電話機にコールを行うと、ローカルの電話機はトランスコーディングを使用する代わりに、強制的にコーデックが G.729 に変更されます。

ポイントツーポイント SRTP コールのセキュアなトランスコーディングは、Cisco Unified CME トランスコーディングと、コールのそのピアによってサービスが提供される両方の SCCP 電話機で SRTP が使用可能であり、SRTP キーが正常にネゴシエーションされた場合にのみ行われます。ポイントツーポイント SRTP コールのセキュアなトランスコーディングは、コール内のピアの 1 つだけが SRTP に対応している場合には行えません。

Cisco Unified CME トランスコーディングをセキュアなコールで実行する場合、Cisco Unified CME 機能のメディア暗号化（SRTP）によって、Cisco Unified CME は DSP Farm に追加パラメータとしてセキュアコールの暗号キーを提供できるため、Cisco Unified CME トランスコーディングを正常に実行できます。暗号キーがないと、DSP Farm は暗号化された音声データを読み取って、それをトランスコードすることができません。

（注）

ここで説明されているセキュアなトランスコーディングは、IP-IP ゲートウェイトランスコーディングには適用されません。

Cisco Unified CME トランスコーディングは VoIP コールレッグをブリッジするためではなく、SCCP エンドポイントに対してのみ呼び出されるため、IP-to-IP ゲートウェイトランスコーディングとは異なります。Cisco Unified CME トランスコーディングと IP-to-IP ゲートウェイトランスコーディングは相互に排他的です。コールに対して呼び出せるのは、1 つのタイプのトランスコーディングのみです。SRTP トランスコーディングの DSP Farm 機能を使用できない場合、Cisco Unified CME のセキュアなトランスコーディングは実行されず、コールは G.711 を使用して通過します。

構成情報については、セキュアモードで Cisco Unified Cisco Mobility Express 4.2 バージョン以降に DSP ファームを登録するを参照してください。

セキュア Cisco Unified CME と Cisco Unity Express

Cisco Unity Express は、セキュアなシグナリング、およびメディア暗号化をサポートしていません。セキュア Cisco Unified CME は Cisco Unity Express と相互運用できますが、Cisco Unified CME と Cisco Unity Express との間のコールはセキュアではありません。

セキュアな H.323 ネットワークでの Cisco Unified CME を使用した一般的な Cisco Unity Express 導入では、セッション開始プロトコル（SIP）がシグナリングに使用され、メディアパスは RTP による G.711 になります。応答なしのコール転送（CFNA）とすべてのコールの転送（CFA）の場合、メディアパスが確立される前に、シグナリングメッセージが送信されて、RTP メディアパスがネゴシエーションされます。コーデックのネゴシエーションが失敗すると、トランスコーダが挿入されます。Cisco Unified Cisco Mobility Express 機能の H.323 サービスプロバイダーインターフェイス（SPI）のメディア暗号化（SRTP）は、Fast Start コールをサポートします。通常、Cisco Unity Express から Cisco Unified CME に転送または戻されたコールは、既存のコールフローに入れられ、通常の SIP コールや RTP コールとして処理されます。

Cisco Unified CME 機能のメディア暗号化（SRTP）は、Cisco Unified CME に戻されるブラインド転送のみをサポートしています。コール中のメディア再ネゴシエーションが設定されると、H.450.2 または Empty Capability Set（ECS）のどの転送メカニズムが使用されるかに関係なく、エンドポイントのセキュア機能が再ネゴシエーションされます。

セキュア Cisco Unified CME と Cisco Unity

Cisco Unified CME 機能のメディア暗号化（SRTP）は、SCCP を使用する Cisco Unity 4.2 以降のバージョンと Cisco Unity Connection 1.1 以降のバージョンをサポートします。Cisco Unified CME のセキュア Cisco Unity は、セキュアな SCCP 電話機のように機能します。セキュアなシグナリングを確立するには、ある程度のプロビジョニングが必要です。Cisco Unity は Cisco Unified CME デバイス証明書を証明書信頼リスト（CTL）から受け取り、Cisco Unity 証明書は Cisco Unified CME に手動で挿入されます。SIP を使用した Cisco Unity はサポートされていません。

Cisco Unity Connection の証明書は、[ポートグループ設定（port group settings）] 配下の Cisco Unity 管理者 Web アプリケーションにあります。

Cisco Unified IP Phone 用の HTTPS プロビジョニング

ここでは、次の内容について説明します。

外部サーバーの HTTPS サポート
Cisco Unified Cisco Mobility Express の HTTPS サポート

外部サーバーの HTTPS サポート

HTTPS を使用して、Cisco Unified IP Phone で Web コンテンツに安全にアクセスする必要性が高まっています。サードパーティ Web サーバーの X.509 証明書は、IP Phone の CTL ファイルに保存して、Web サーバを認証する必要がありますが、トラストポイント情報を入力するために使用した server コマンドを使用して、 CTL ファイルを証明書にインポートすることはできません。server コマンドには、証明書チェーンの検証にサードパーティ Web サーバーからの秘密キーが必要ですが、ユーザーは Web サーバーからその秘密キーを取得することはできないため、import certificate コマンドが追加され、信頼できる証明書が CTL ファイルに追加されます。

For information on how to import a trusted certificate to an IP phone’s CTL file for HTTPS provisioning, see Cisco Unified IP Phone 用の HTTPS プロビジョニング.ぷら

Cisco Unified Cisco Mobility Express の電話機認証サポートの詳細については、「電話機認証の概要」を参照してください。

Cisco Unified Cisco Mobility Express の HTTPS サポート

Cisco Unified IP Phone は、Cisco Unified Cisco Mobility Express が提供する一部のサービスに HTTP を使用します。Cisco Unified Cisco Mobility Express でのローカルディレクトリルックアップ、My Phone アプリ、エクステンションモビリティを含むこれらのサービスは、電話機の [サービス（Services）] ボタンを押すことで呼び出されます。

Cisco Unified Cisco Mobility Express 9.5 以降のバージョンでの Hypertext Transfer Protocol Secure（HTTPS）のサポートにより、これらのサービスは、電話機から Cisco Unified Cisco Mobility Express への HTTPS 接続を使用して呼び出すことができます。

（注）

HTTPS をグローバルまたはローカルに構成する前に、構成された電話機が Cisco Unified Cisco Mobility Express で実行される HTTPS ベースのサービス用にプロビジョニングされていることを確認してください。Cisco Unified IP Phone が HTTPS アクセスをサポートしているかどうかを確認するには、適切な『電話機アドミニストレーションガイド』を参照してください。HTTP サービスは、HTTPS をサポートしていない他の電話機に対して引き続き実行されます。

HTTPS を使用して Web コンテンツに安全にアクセスするための Cisco Unified IP Phone のプロビジョニングについては、「Cisco Unified IP Phone 用の HTTPS プロビジョニング」を参照してください。

構成例については、Cisco Unified Cisco Mobility Express の HTTPS サポートの構成例を参照してください。

セキュリティの設定

Cisco IOS 認証局の構成

ローカルルータまたは外部ルータに Cisco IOS 証明局（CA）を設定するには、次の手順を実行します。

（注）

サードパーティの CA を使用している場合は、これらの手順を実行するのではなく、プロバイダーの指示に従ってください。

手順の概要

enable
configure terminal
ip http server
crypto pki server ラベル
database level { minimal | names | complete}
database url root-url
lifetime certificate time
issuer-name CN=ラベル
exit
crypto pki trustpoint ラベル
enrollment url ca-url
exit
crypto pki server ラベル
grant auto
no shutdown
end

手順の詳細

	コマンドまたはアクション	目的
ステップ 1	enable 例: `Router> enable`	特権 EXEC モードを有効にします。プロンプトが表示されたら、パスワードを入力します。
ステップ 2	configure terminal 例: `Router# configure terminal`	グローバル構成モードを開始します。
ステップ 3	ip http server 例: `Router(config)# ip http server`	ローカル Cisco Unified Cisco Mobility Express ルータで Cisco Web ブラウザのユーザーインターフェイスを有効にします。
ステップ 4	crypto pki server `ラベル` 例: `Router(config)# crypto pki server sanjose1`	Cisco IOS CA のラベルを定義し、証明書サーバー構成モードを開始します。
ステップ 5	database level `{` minimal `\|` names `\|` complete`}` 例: `Router(config-cs-server)# database level complete`	（任意）証明書登録データベースに保管されるデータのタイプを制御します。 minimal — 新しい証明書を、継続して問題なく発行できる程度の情報が保管されます。これはデフォルト値です。 names — 指定された最低限の情報以外に、各証明書のシリアル番号と件名も提供されます。 complete — minimal レベルおよび names レベルで提供される情報以外に、発行済みの各証明書がデータベースに書き込まれます。このキーワードを呼び出す場合、database url コマンドを使用して、データの保存先にする外部 TFTP サーバーも指定する必要があります。
ステップ 6	database url `root-url` 例: `Router(config-cs-server)# database url nvram:`	（任意）証明書サーバのすべてのデータベースエントリが書き出される、NVRAM 以外の場所を指定します。前の手順で database level コマンドに complete キーワードを構成した場合に必要です。 `root-url` — Cisco IOS ファイルシステムでサポートされている URL。ここにデータベースエントリが書き込まれます。CA が大量の証明書を発行しようとしている場合、証明書を保存するためのフラッシュやその他のストレージデバイスなどの適切な保存場所を選択します。保存場所としてフラッシュを選択し、このデバイス上のファイルシステムタイプがクラス B（LEFS）の場合は、デバイス上の空き領域を定期的にチェックし、squeeze コマンドを使用して、削除されたファイルが使用していた領域を解放します。このプロセスには数分かかることがあるため、このプロセスは、スケジュールされたメンテナンス期間中、またはオフピーク時に実行する必要があります。
ステップ 7	lifetime certificate `time` 例: `Router(config-cs-server) lifetime certificate 888`	（オプション）この Cisco IOS CA によって発行される証明書のライフタイムを日数で指定します。 `time` — 証明書が期限切れになるまでの日数。範囲は 1 ～ 1825 日です。デフォルトは 365 です。証明書の最大のライフタイムは、CA 証明書のライフタイムよりも 1 ヵ月短い日数です。 no shutdown コマンドで、Cisco IOS CA が有効になる前にこのコマンドを構成します。
ステップ 8	issuer-name CN=`ラベル` 例: `Router(config-cs-server)# issuer-name CN=sanjose1`	Cisco IOS CA の発行者名として識別名（DN）を指定します。デフォルトは、Cisco IOS CA に事前構成されているラベルです。「ステップ 4」を参照してください。
ステップ 9	exit 例: `Router(config-cs-server)# exit`	証明書サーバコンフィギュレーションモードを終了します。
ステップ 10	crypto pki trustpoint `ラベル` 例: `Router(config)# crypto pki trustpoint sanjose1`	（任意）トラストポイントを宣言し、CA トラストポイントコンフィギュレーションモードを開始します。ローカル CA のみ。このコマンドは、外部ルータの Cisco IOS CA に必要です。 Cisco IOS CA に対して特定の RSA キーを使用する必要がある場合は、このコマンドを使用して、crypto pki server コマンドで使用するものと同じラベルを使用して独自のトラストポイントを作成します。ルータが crypto pki サーバと同じラベルを持つ設定済みのトラストポイントを認識すると、トラストポイントは自動的には作成されず、そのトラストポイントが使用されるようになります。
ステップ 11	enrollment url `ca-url` 例: `Router(config-ca-trustpoint)# enrollment url http://ca-server.company.com`	発行元の Cisco IOS CA の登録 URL を指定します。ローカル Cisco IOS CA のみ。このコマンドは、外部ルータの Cisco IOS CA に必要です。 `ca-url` — Cisco IOS CA がインストールされたルータの URL です。
ステップ 12	exit 例: `Router(config-ca-trustpoint)# exit`	CA トラストポイントコンフィギュレーションモードを終了します。
ステップ 13	crypto pki server `ラベル` 例: `Router(config)# crypto pki server sanjose1`	証明書サーバコンフィギュレーションモードを開始します。 `label` — 構成した Cisco IOS CA の名前。
ステップ 14	grant auto 例: `Router(config-cs-server)# grant auto`	（任意）すべての要求者に対して証明書が自動的に発行されるようにします。デフォルトで推奨される方法は、手動登録です。このコマンドは、簡易ネットワークのテストおよび構築中にのみ使用してください。証明書が自動付与されないように構成をし終わったら、no grant auto コマンドを使用します。
ステップ 15	no shutdown 例: `Router(config-cs-server)# no shutdown`	（オプション）Cisco IOS CA を有効にします。このコマンドは、Cisco IOS CA の構成が終わった後のみに使用します。
ステップ 16	end 例: `Router(config-cs-server)# end`	特権 EXEC モードに戻ります。

例

次の show running-config コマンドの一部の出力は、ローカル Cisco Unified Cisco Mobility Express ルータで実行中の sanjose1 という名前の Cisco IOS CA 向け構成を示しています。


    ip http server 
			
			 crypto pki server sanjose1 
			  database level complete 
			  database url nvram: 
			 
			 crypto pki trustpoint sanjose1 
			  enrollment url http://ca-server.company.com 
			  
			 crypto pki server authority1
			  no grant auto 
			  no shutdown

サーバー機能の証明書の取得

CA は、次のサーバ機能の証明書を発行します。

Cisco Unified CME：電話機を含む TLS セッションに証明書が必要です。
TFTP：構成ファイルの署名にキーペアと証明書が必要です。
HTFTP：構成ファイルの署名にキーペアと証明書が必要です。
CAPF：電話機を含む TLS セッションに証明書が必要です。
SAST：CTL ファイルの署名に必要です。2 つの SAST 証明書を作成して、1 つはプライマリとして使用し、もう 1 つはバックアップ用にすることを推奨します。

サーバ機能の証明書を入手するには、サーバ機能ごとに次の手順を実行します。

（注）

このモジュールの最後のセキュリティの設定例の記載通り、サーバー機能ごとに別々のトラストポイントを構成することも、1 つ以上のサーバー機能に同じトラストポイントを構成することもできます。

手順の概要

enable
configure terminal
crypto pki trustpoint trustpoint-label
enrollment url url
revocation-check method1 [ method2 [ method3] ]
rsakeypair key-label [ key-size [ encryption-key-size] ]
exit
crypto pki authenticate trustpoint-label
crypto pki enroll trustpoint-label
exit

手順の詳細

	コマンドまたはアクション	目的
ステップ 1	enable 例: `Router> enable`	特権 EXEC モードを有効にします。プロンプトが表示されたら、パスワードを入力します。
ステップ 2	configure terminal 例: `Router# configure terminal`	グローバル構成モードを開始します。
ステップ 3	crypto pki trustpoint `trustpoint-label` 例: `Router(config)# crypto pki trustpoint capf`	CA で使用する必要のあるトラストポイントを宣言し、CA トラストポイントコンフィギュレーションモードを開始します。 `trustpoint-label` — 構成されたサーバー機能のラベル。
ステップ 4	enrollment url `url` 例: `Router(config-ca-trustpoint)# enrollment url http://ca-server.company.com`	発行元の CA の登録 URL を指定します。 `url` — 発行元の CA がインストールされたルータの URL。
ステップ 5	revocation-check `method1` `[` `method2` `[` `method3]` `]` 例: `Router(config-ca-trustpoint)# revocation-check none`	（任意）証明書の失効ステータスを確認するために使用する方法を指定します。 `method` — 2 番目と 3 番目のメソッドを指定した場合、これに続くメソッドはその直前のメソッドでエラーが返された場合（サーバがダウンしている場合など）にだけ使用されます。 crl 証明書失効リスト（CRL）が証明書をチェックします。これはデフォルトの動作です。 none —証明書チェックは不要です。 ocsp 証明書のチェックは、Online Certificate Status Protocol（OCSP）サーバーによって実行されます。
ステップ 6	rsakeypair `key-label` `[` `key-size` `[` `encryption-key-size]` `]` 例: `Router(config-ca-trustpoint)# rsakeypair capf 1024 1024`	（任意）証明書で使用するキーペアを指定します。 `key-label` — キーペアが存在していない場合、または、auto-enroll regenerate コマンドが構成されている場合に、登録中に生成されるキーペアの名前。 `key-size` 目的の RSA キーのサイズ。指定されなかった場合は、既存のキーサイズが使用されます。 `encryption-key-size` — 個別の暗号化、署名キー、および証明書を要求するために使用される 2 番目のキーのサイズ。複数のトラストポイントで同じキーを共有できます。
ステップ 7	exit 例: `Router(config-ca-trustpoint)# exit`	CA トラストポイントコンフィギュレーションモードを終了します。
ステップ 8	crypto pki authenticate `trustpoint-label` 例: `Router(config)# crypto pki authenticate capf`	CA 証明書を取得して認証し、プロンプトが表示された場合は、証明書のフィンガープリントを確認します。 CA 証明書がコンフィギュレーションにすでにロードされている場合、このコマンドはオプションです `trustpoint-label` — 構成済みのサーバー機能に対するすでに構成済みのラベル。
ステップ 9	crypto pki enroll `trustpoint-label` 例: `crypto pki enroll trustpoint-label Router(config)# crypto pki enroll capf`	CA に登録し、このトランスポイントの証明書を取得します。 `trustpoint-label` — 構成済みのサーバー機能に対するすでに構成済みのラベル。
ステップ 10	exit 例: `Router(config)# exit`	特権 EXEC モードに戻ります。

例

次の show running-config コマンドの一部の出力は、さまざまなサーバー機能の証明書を取得する方法を示しています。

CAPF サーバ機能の証明書の取得


    !configuring a trust point 
			  crypto pki trustpoint capf-server 
			  enrollment url http://192.168.1.1:80 
			  revocation-check none 
			 !authenticate w/ the CA and download its certificate 
			 crypto pki authenticate capf-server 
			 ! enroll with the CA and obtain this trustpoint's certificate 
			  crypto pki enroll capf-server

Cisco Unified Cisco Mobility Express サーバー機能の証明書の取得


    crypto pki trustpoint cme-server 
			  enrollment url http://192.168.1.1:80 
			  revocation-check none 
			  
			 crypto pki authenticate cme-server
			 crypto pki enroll cme-server

TFTP サーバー機能の証明書の取得


    crypto pki trustpoint tftp-server 
			  enrollment url http://192.168.1.1:80 
			  revocation-check none 
			  
			 crypto pki authenticate tftp-server 
			 crypto pki enroll tftp-server

最初の SAST サーバー機能（sast1）の証明書の取得


   crypto pki trustpoint sast1 
			  enrollment url http://192.168.1.1:80 
			 revocation-check none
			 
			 crypto pki authenticate sast1 
			crypto pki enroll sast1

2 番目の SAST サーバ機能（sast2）の証明書の取得


    crypto pki trustpoint sast2 
			  enrollment url http://192.168.1.1:80
			  revocation-check none 
			
			 crypto pki authenticate sast2 
			 crypto pki enroll sast2

Telephony-Service Security パラメータの構成

テレフォニーサービスのセキュリティパラメータを設定するには、次の手順を実行します。

手順の概要

enable
configure terminal
telephony-service
secure-signaling trustpoint ラベル
tftp-server-credentials trustpoint ラベル
device-security-mode { authenticated | none | encrypted}
cnf-file perphone
load-cfg-file file-url alias file-alias [ sign] [ create]
server-security-mode { erase | non-secure | secure}
end

手順の詳細

	コマンドまたはアクション	目的
ステップ 1	enable 例: `Router> enable`	特権 EXEC モードを有効にします。プロンプトが表示されたら、パスワードを入力します。
ステップ 2	configure terminal 例: `Router# configure terminal`	グローバル構成モードを開始します。
ステップ 3	telephony-service 例: `Router(config)# telephony-service`	telephony-service コンフィギュレーションモードを開始します。
ステップ 4	secure-signaling trustpoint `ラベル` 例: `Router(config-telephony)# secure-signaling trustpoint cme-sccp`	セキュリティシグナリングに使用するトラストポイントを設定します。 label — TCP ポート 2443 の IP Phone で TLS ハンドシェイクに使用される有効な証明書付きの構成済み PKI トラストポイントの名前。
ステップ 5	tftp-server-credentials trustpoint `ラベル` 例: `Router(config-telephony)# tftp-server-credentials trustpoint cme-tftp`	構成ファイルの署名に使用する TFTP サーバクレデンシャル（トラストポイント）を設定します。 `label` — 電話機構成ファイルの署名に使用される有効な証明書付きの構成済み PKI トラストポイントの名前。これは、前のステップで使用した CAPF トラストポイントにすることも、有効な証明書を持ついずれかのトラストポイントにすることもできます。
ステップ 6	device-security-mode `{` authenticated `\|` none `\|` encrypted`}` 例: `Router(config-telephony)# device-security-mode authenticated`	エンドポイントのセキュリティモードを有効にします。 authenticated — 暗号化なしで TLS 接続を確立できるデバイスを指示します。メディアパスにセキュアな Real-Time Transport Protocol（SRTP）がありません。 none — SCCP シグナリングはセキュアではありません。これはデフォルトです。 encrypted — SRTP を使用するメディアパスの安全を確保するために暗号化された TLS 接続を確立するデバイスを指示します。このコマンドは、ephone コンフィギュレーションモードでも設定できます。ephone コンフィギュレーションモードで設定された値は、telephony-service コンフィギュレーションモードで設定された値よりも優先されます。
ステップ 7	cnf-file perphone 例: `Router(config-telephony)# cnf-file perphone`	システムで各 IP フォンに個別の設定 XML ファイルを生成することを指定します。セキュリティのために、各エンドポイントに個別の構成ファイルが必要です。
ステップ 8	load-cfg-file `file-url` alias `file-alias` `[` sign`]` `[` create`]` 例: `Router(config-telephony)# load-cfg-file slot0:Ringlist.xml alias Ringlist.xml sign create`	（オプション）Cisco Unified Cisco Mobility Express が作成していない構成ファイルに署名します。また、ファイルの署名付きバージョンと、署名なしバージョンを TFTP サーバにロードします。 `file-url` — ロカるディレクトリの構成ファイルのパスを完成します。 alias `file-alias` — TFTP サーバーで機能するがいるのエイリアス名。 sign —（オプション）TFTP サーバーでデジタル署名され機能する必要があるファイル。 create —（オプション）ローカルディレクトリで署名済みのファイルを作成します。各ファイルにこのコマンドを最初に使用する場合、create および sign キーワードを使用します。各リロード中に署名済みファイルが再作成されないように、create キーワードは、実行中の構成では維持されません。 TFTP サーバーですでに署名済みのファイルを機能させるには、create および sign キーワードがないこのコマンドを使用します。
ステップ 9	server-security-mode `{` erase `\|` non-secure `\|` secure`}` 例: `Router(config-telephony)# server-security-mode non-secure`	（任意）サーバのセキュリティモードを変更します。 erase — CTL ファイルを削除します。 non-secure — 非セキュアモード。 secure — セキュアモード。 CTL ファイルが CTL クライアントによって最初に生成されるまで、このコマンドは効果がありません。CTL ファイルが生成されると、CTL クライアントは自動的にサーバのセキュリティモードをセキュアに設定します。
ステップ 10	end 例: `Router(config-ephone)# end`	特権 EXEC モードに戻ります。

Telephony-Service Security パラメータの確認

手順

ステップ 1

show telephony-service security-info

このコマンドを使用して、telephony-service コンフィギュレーションモードに設定されているセキュリティ関連情報を表示します。

例:

Router# show telephony-service security-info  
			 
Skinny Server Trustpoint for TLS: cme-sccp 
TFTP Credentials Trustpoint: cme-tftp 
Server Security Mode: Secure 
Global Device Security Mode: Authenticated

ステップ 2

show running-config

このコマンドを使用して、実行コンフィギュレーションを表示し、テレフォニーおよび電話機ごとのセキュリティ設定を確認します。

例:


Router# show running-config 
			  
telephony-service 
  secure-signaling trustpoint cme-sccp 
  server-security-mode secure 
  device-security-mode authenticated 
	 tftp-server-credentials trustpoint cme-tftp 
		. 
		. 
		.

CTL クライアントの構成

実際のネットワークコンフィギュレーションに応じて、次のタスクのいずれかを実行します。

Cisco Unified Cisco Mobility Express ルータでの CLT クライアントの構成
Cisco Unified Cisco Mobility Express ルータ以外のルータでの CTL クライアントの構成

Cisco Unified Cisco Mobility Express ルータでの CLT クライアントの構成

ローカルの Cisco Unified CME ルータ上に既知の信頼できる証明書とトークンのリストが作成されるように CTL クライアントを設定するには、次の手順を実行します。

（注）

プライマリとセカンダリの Cisco Unified CME ルータがある場合は、そのどちらかに CTL クライアントを設定できます。

手順の概要

enable
configure terminal
ctl-client
sast1 trustpoint ラベル
sast2 trustpoint ラベル
server { capf | cme| cme-tftp | tftp} ip-address trustpoint trustpoint-label
server cme ip-address username name-string password { 0 | 1} password-string
regenerate
end

手順の詳細

コマンドまたはアクション目的

ステップ 1

enable

例:

Router> enable

特権 EXEC モードを有効にします。

プロンプトが表示されたら、パスワードを入力します。

ステップ 2

configure terminal

例:

Router# configure terminal

グローバル構成モードを開始します。

ステップ 3

ctl-client

例:

Router(config)# ctl-client

CTL-client コンフィギュレーションモードを開始します。

ステップ 4

sast1 trustpoint ラベル

例:

Router(config-ctl-client)# sast1 trustpoint sast1tp

プライマリ SAST のクレデンシャルを設定します。

label － SAST1 トラストポイントの名前。

（注）

SAST1 証明書と SAST2 証明書は、互いに異なるものにする必要があります。CTL ファイルは常に SAST1 によって署名されます。SAST2 証明書は CTL ファイルに含まれるため、SAST1 証明書が破損した場合、SAST2 でファイルを署名することで、電話機が工場出荷時のデフォルト設定にリセットされることを防止できます。

ステップ 5

sast2 trustpoint ラベル

例:

Router(config-ctl-client)# sast2 trustpoint

セカンダリ SAST のクレデンシャルを設定します。

label － SAST2 トラストポイントの名前。

（注）

ステップ 6

server { capf | cme| cme-tftp | tftp} ip-address trustpoint trustpoint-label

例:

Router(config-ctl-client)# server capf 10.2.2.2 trustpoint capftp

Cisco Unified Cisco Mobility Express ルータでローカルに実行する各サーバー機能のトラストポイントを構成します。

ip-address ― Cisco Unified Cisco Mobility Express ルータの IP アドレス。複数のネットワークインターフェイスがある場合、電話機が接続されているローカル LAN のインターフェイスアドレスを使用します。
trustpoint trustpoint-label －構成されるサーバー機能の PKI トラストポイントの名前。
Cisco Unified Cisco Mobility Express ルータでローカルで実行するサーバーの各機能に対してこのコマンドを繰り返します。

ステップ 7

server cme ip-address username name-string password { 0 | 1} password-string

例:

Router(config-ctl-client)# server cme 10.2.2.2 username user3 password 0 38h2KL

（オプション）ネットワークの別の Cisco Unified Cisco Mobility Express ルータ（プライマリまたはセカンダリ）についての情報を提供します。

ip-address － Cisco Unified Cisco Mobility Express ルータの IP アドレス。
username name-string － CTL プロバイダーで構成されたユーザー名。
password －パスワードを入力する方法ではなく、show コマンド出力でパスワードが表示される方法を定義します。
- 0 －未暗号化。
- 1 － Message Digest 5（MD5）を使用した暗号化。
password-string －リモート Cisco Unified Cisco Mobility Express ルータで実行する CTL プロバイダーの管理者パスワード。

ステップ 8

regenerate

例:

Router(config-ctl-client)# regenerate

CTL クライアントコンフィギュレーションに変更を行った後に、新しい CTLFile.tlv を作成します。

ステップ 9

end

例:

Router(config-ctl-client)# end

特権 EXEC モードに戻ります。

例

次の show ctl-client コマンドからの出力例は、システムのトラストポイントを示しています。

Router# show ctl-client   
		 
CTL Client Information 
-----------------------------
	 SAST 1 Certificate Trustpoint: cmeserver
         SAST 1 Certificate Trustpoint: sast2
         List of Trusted Servers in the CTL
                CME     10.1.1.1        cmeserver
                TFTP    10.1.1.1        cmeserver
                CAPF    10.1.1.1        cmeserver

次のタスク

これで、CTL クライアントの設定は終わりました。「CAPF サーバーの構成」を参照してください。

Cisco Unified Cisco Mobility Express ルータ以外のルータでの CTL クライアントの構成

Cisco Unified CME ルータ以外のスタンドアロンルータで CTL クライアントを設定するには、以下の手順を実行します。

手順の概要

enable
configure terminal
ctl-client
sast1 trustpoint ラベル
sast2 trustpoint ラベル
server cme ip-address username name-string password { 0 | 1} password-string
regenerate
end

手順の詳細

コマンドまたはアクション目的

ステップ 1

enable

例:

Router> enable

特権 EXEC モードを有効にします。

プロンプトが表示されたら、パスワードを入力します。

ステップ 2

configure terminal

例:

Router# configure terminal

グローバル構成モードを開始します。

ステップ 3

ctl-client

例:

Router(config)# ctl-client

CTL-client コンフィギュレーションモードを開始します。

ステップ 4

sast1 trustpoint ラベル

例:

Router(config-ctl-client)# sast1 trustpoint sast1tp

プライマリ SAST のクレデンシャルを設定します。

label － SAST1 トラストポイントの名前。

（注）

SAST1 証明書と SAST2 証明書は互いに異なっている必要がありますが、どちらかに Cisco Unified CME ルータと同じ証明書を使用すると、メモリを節約できます。CTL ファイルは常に SAST1 によって署名されます。SAST2 証明書は CTL ファイルに含まれるため、SAST1 証明書が破損した場合、SAST2 でファイルを署名することで、電話機が工場出荷時のデフォルト設定にリセットされることを防止できます。

ステップ 5

sast2 trustpoint ラベル

例:

Router(config-ctl-client)# sast2 trustpoint

セカンダリ SAST のクレデンシャルを設定します。

label － SAST2 トラストポイントの名前。

（注）

ステップ 6

server cme ip-address username name-string password { 0 | 1} password-string

例:

Router(config-ctl-client)# server cme 10.2.2.2 username user3 password 0 38h2KL

（任意）存在する場合は、ネットワーク上の別の Cisco Unified CME ルータ（プライマリまたはセカンダリ）に関する情報を提供します。

ip-address — 他の Cisco Unified Cisco Mobility Express ルータの IP アドレス。
username name-string — CTL プロバイダーで構成したユーザー名。
password — パスワードの文字列の暗号化状態。
- 0 — 未暗号化。
- 1 — Message Digest 5（MD5）を使用した暗号化。

（注）

このオプションは、show コマンド出力でパスワードが表示される方法に関するものであり、このコマンドにパスワードを入力する方法に関するものではありません。

password-string — リモートの Cisco Unified Cisco Mobility Express ルータで実行中の CTL プロバイダーの管理者パスワード。

ステップ 7

regenerate

例:

Router(config-ctl-client)# regenerate

CTL クライアントコンフィギュレーションに変更を行った後に、新しい CTLFile.tlv を作成します。

ステップ 8

end

例:

Router(config-ctl-client)# end

特権 EXEC モードに戻ります。

例

次の show ctl-client コマンドからの出力例は、システムのトラストポイントを示しています。

Router# show ctl-client  
		
CTL Client Information
-----------------------------
	SAST 1 Certificate Trustpoint: cmeserver
        SAST 1 Certificate Trustpoint: sast2
        List of Trusted Servers in the CTL
                CME     10.1.1.1        cmeserver
                TFTP    10.1.1.1        cmeserver
                CAPF    10.1.1.1        cmeserver

CAPF サーバーの構成

証明書動作中に電話機と TLS セッションを確立できるように、CAPF サーバ用に証明書を入手する必要があります。CAPF サーバは、セキュリティが有効になっている電話機で、ローカルで有効な証明書（LSC）をインストール、フェッチ、または削除できます。Cisco Unified CME ルータで CAPF を有効にするには、次の手順を実行します。

ヒント

電話機の証明書をインストールするために CAPF サーバを使用する場合、メンテナンスのスケジュールされた期間内にそれを行うように準備します。同時に多数の証明書を生成すると、コール処理が中断される場合があります。

手順の概要

enable
configure terminal
capf-server
trustpoint-label ラベル
cert-enroll-trustpoint label password { 0 | 1} password-string
source-addrip-address
auth-mode { auth-string | LSC | MIC | none | null-string}
auth-string { delete | generate} { all | ephone-tag} [ digit-string]
phone-key-size { 512 | 1024 | 2048}
port tcp-port
keygen-retry number
keygen-timeout minutes
cert-oper { delete all | fetch all | upgrade all}
end

手順の詳細

	コマンドまたはアクション	目的
ステップ 1	enable 例: `Router> enable`	特権 EXEC モードを有効にします。プロンプトが表示されたら、パスワードを入力します。
ステップ 2	configure terminal 例: `Router# configure terminal`	グローバル構成モードを開始します。
ステップ 3	capf-server 例: `Router(config)# capf-server`	capf-server コンフィギュレーションモードを開始します。
ステップ 4	trustpoint-label `ラベル` 例: `Router(config-capf-server)# trustpoint-label tp1`	トラストポイントのラベルを指定します。 `label` — CAPF サーバーと電話機間の TLS 接続に証明書が使用されるトラストポイントの名前。
ステップ 5	cert-enroll-trustpoint `label` password `{` 0 `\|` 1`}` `password-string` 例: `Router(config-capf-server)# cert-enroll-trustpoint ra1 password 0 x8oWiet`	CA（CA がCisco Unified Cisco Mobility Express ルータに対してローカルではない場合は、RA）を使用して CAPF を登録します。 `label` — グローバル構成モードで crypto pki trustpoint コマンドを使用して以前構成した CA および RA 用の PKI トラストポイントラベル。 password — パスワードの文字列の暗号化状態。 `password-string` 証明書の登録に使用するパスワード。このパスワードは、CA への証明書要求とともに送信される失効パスワードです。
ステップ 6	source-addr`ip-address` 例: `Router(config-capf-server)# source addr 10.10.10.1`	Cisco Unified Cisco Mobility Express ルータの CAPF サーバーの IP アドレスを定義します。
ステップ 7	auth-mode `{` auth-string `\|` LSC `\|` MIC `\|` none `\|` null-string`}` 例: `Router(config-capf-server)# auth-mode auth-string`	証明書を要求するエンドポイントを確認するための、CAPF セッションの認証モードのタイプを指定します。 auth-string — 電話機ユーザーは、電話機で特別な認証文字列を入力します。この文字列は、システム管理者がユーザーに共有したもので、auth-string generate コマンドを使用して構成されています。 LSC — 既存する場合、電話機は認証用の LSC を提供します。 MIC — 既存する場合、電話機は認証用の MIC を提供します。このオプションを選択した場合、MIC 発行者証明書を PKI トラストポイントにインポートする必要があります。 none — 証明書のアップグレードが開始されていません。これはデフォルトです。 null-string — 認証なし。
ステップ 8	auth-string `{` delete `\|` generate`}` `{` all `\|` `ephone-tag}` `[` `digit-string]` 例: `Router(config-capf-server)# auth-string generate all`	（任意）1 台またはすべてのセキュアな電話機用の認証文字列を作成または削除します。前の手順で、auth-string キーワードを指定した場合、このコマンドを使用します。文字列は ephone コンフィギュレーションの一部になります。 delete ー指定したセキュアなデバイスの認証文字列を削除します。 generate — 指定したセキュアなデバイスの認証文字列を作成します。 all —すべての電話機。 `ephone-tag` —認証文字列を受け取るための Ephone の識別子。 `digit-string` — CAPF 認証を行うために電話機ユーザーがダイヤルした番号。文字列の長さは、キーパッドで押すことができる 4 ～ 10 桁です。この値を指定しなかった場合は、電話機ごとにランダムな文字列が生成されます。 Ephone 構成モードで、capf-auth-str コマンドを使用しても、個別の SCCP IP 電話機の認証文字列を定義できます。
ステップ 9	phone-key-size `{` 512 `\|` 1024 `\|` 2048`}` 例: `Router(config-capf-server)# phone-key-size 2048`	（オプション）電話機の証明書用に電話機で生成された RSA キーペアのサイズをビット単位で指定します。 512 —512。 1024 —1024。これはデフォルトです。 2048 —2048。
ステップ 10	port `tcp-port` 例: `Router(config-capf-server)# port 3804`	（任意）CAPF サーバが電話機からのソケット接続をリッスンする対象となる TCP ポート番号を定義します。 `tcp-port` — TCP ポート番号。範囲は 2000 ～ 9999 です。デフォルトは 3804 です。
ステップ 11	keygen-retry `number` 例: `Router(config-capf-server)# keygen-retry 5`	（任意）サーバがキー生成要求を送信する回数を指定します。 `number` — 再試行回数。範囲は 0 ～ 100 です。デフォルトは 3 です。
ステップ 12	keygen-timeout `minutes` 例: `Router(config-capf-server)# keygen-timeout 45`	（任意）サーバが電話機からのキー生成応答を待機する時間を指定します。 `minutes` — 生成プロセスがタイムアウトになる前までの分数。範囲は 1 ～ 120 です。デフォルト値は 30 です。
ステップ 13	cert-oper `{` delete all `\|` fetch all `\|` upgrade all`}` 例: `Router(config-capf-server)# cert-oper upgrade all`	（任意）システム上のすべての設定済みエンドポイントで、示されている証明書の操作を開始します。 delete all — すべての電話機証明書を削除します。 fetch all — トラブルシューティングのためにすべての電話機証明書を取得します。 upgrade all すべての電話機証明書をアップグレードします。このコマンドを ephone コンフィギュレーションモードで設定して、個々の電話機で証明書の操作を開始することもできます。ephone コンフィギュレーションモードでのこのコマンドは、CAPF サーバコンフィギュレーションモードでのこのコマンドよりも優先されます。
ステップ 14	end 例: `Router(config-capf-server)# end`	特権 EXEC モードに戻ります。

CAPF サーバーの確認

show capf-server summary コマンドを使用して CAPF サーバー構成情報を表示します。

Router# show capf-server summary 

CAPF Server Configuration Details
        Trustpoint for TLS With Phone: tp1
        Trustpoint for CA operation: ra1
        Source Address: 10.10.10.1
        Listening Port: 3804
        Phone Key Size: 1024
        Phone KeyGen Retries: 3
        Phone KeyGen Timeout: 30 minutes

Ephone Security パラメータの構成

個々の電話機にセキュリティパラメータを設定するには、次の手順を実行します。

始める前に

セキュリティ用に設定する電話機が、Cisco Unified CME で基本コール用に設定されていること。構成情報については、基本通話を発信する電話機の構成を参照してください。

手順の概要

enable
configure terminal
ephone phone-tag
capf-ip-in-cnf
device-security-mode { authenticated | none | encrypted }
codec { g711ulaw | g722r64 | g729r8 [ dspfarm-assist] }
capf-auth-str digit-string
cert-oper { delete | fetch | upgrade} auth-mode { auth-string | LSC | MIC | null-string}
reset
end

手順の詳細

コマンドまたはアクション目的

ステップ 1

enable

例:

Router> enable

特権 EXEC モードを有効にします。

プロンプトが表示されたら、パスワードを入力します。

ステップ 2

configure terminal

例:

Router# configure terminal

グローバル構成モードを開始します。

ステップ 3

ephone phone-tag

例:

Router(config)# ephone 24

ephone コンフィギュレーションモードを開始します。

phone-tag — 構成する電話機の固有識別子。

ステップ 4

capf-ip-in-cnf

例:

Router(config-ephone)# capf-ip-in-cnf

（オプション）CAPF サーバーの IP アドレスを SCCP 電話機の CNF ファイルに追加できるようにします。登録が成功すると、SCCP 電話機は CAPF サーバーから LSC をダウンロードします。この CLI コマンドはオプションであり、電話機が LSC に登録、ダウンロード、および認証する必要がある場合にのみ必要です。

ステップ 5

device-security-mode { authenticated | none | encrypted }

例:

Router(config-ephone)# device-security-mode authenticated

（任意）個々の SCCP IP フォンのセキュリティモードを有効にします。

authenticated — 暗号化なしで TLS 接続を確立できるデバイスを指示します。メディアパスにセキュアな Real-Time Transport Protocol（SRTP）がありません。
none — SCCP シグナリングはセキュアではありません。これはデフォルトです。
encrypted — SRTP を使用するメディアパスの安全を確保するために暗号化された TLS 接続を確立するデバイスを指示します。
このコマンドは、telephony-service コンフィギュレーションモードでも設定できます。ephone コンフィギュレーションモードで設定された値は、telephony-service コンフィギュレーションモードで設定された値よりも優先されます。

ステップ 6

codec { g711ulaw | g722r64 | g729r8 [ dspfarm-assist] }

例:

Router(config-ephone)# codec g711ulaw dspfarm-assist

（オプション）Cisco Unified Cisco Mobility Express ルータと通信している電話機の SCCP シグナリングにセキュリティモードを設定します。

dspfarm-assist — Cisco Unified Cisco Mobility Express を使用したセキュアなトランスコーディングに必要です。通話に対して G.711 がネゴシエーションされた場合、電話機と Cisco Unified Cisco Mobility Express ルータの間のセグメントをトランスコードするために、システムが DSP ファームリソースを使用しようとします。SCCP エンドポイントタイプが ATA、VG224、または VG248 の場合、キーワードは無視されます。

ステップ 7

capf-auth-str digit-string

例:

Router(config-ephone)# capf-auth-str 2734

（任意）CAPF 認証の Personal Identification Number（PIN）として使用する文字列を定義します。

（注）

電話機に文字列を入力する方法については、「電話機に認証文字列を入力」を参照してください。

digit-string —CAPF 認証を行うために電話機ユーザーがダイヤルする必要のある番号。文字列長は、4 ～ 10 桁です。
このコマンドは、telephony-service コンフィギュレーションモードでも設定できます。ephone コンフィギュレーションモードで設定された値は、telephony-service コンフィギュレーションモードで設定された値よりも優先されます。
CAPF サーバー構成モードで、auth-string コマンドを使用すると、CAPF 認証の PIN を定義できます。

ステップ 8

cert-oper { delete | fetch | upgrade} auth-mode { auth-string | LSC | MIC | null-string}

例:

Router(config-ephone)# cert-oper upgrade auth-mode auth-string

（任意）設定する ephone で、示された証明書の操作を開始します。

delete —電話機の証明書を削除します。
fetch — トラブルシューティング用に、電話機の証明書を取得します。
upgrade —電話機の証明書をアップグレードします。
auth-mode — 証明書を要求するエンドポイントを確認するために CAPF セッション中に使用する認証のタイプ。
auth-string — 電話機ユーザーが電話機に入力する認証文字列。 capf-auth-str コマンドを使用して認証文字列を構成します。構成情報については、電話機に認証文字列を入力を参照してください。
LSC — 認証用の電話機証明書を電話機に提供します。LSC が存在する場合は、LSC が優先されます。
MIC — 認証用の電話機証明書を電話機に提供します。、MIC が存在する場合は、MIC が優先されます。MIC 発行者証明書を PKI トラストポイントにインポートする必要があります。詳細については、MIC ルート証明書の手動インポートを参照してください。
null-string — 認証なし。
このコマンドを CAPF サーバコンフィギュレーションモードで設定して、グローバルレベルで認証動作を開始することもできます。ephone コンフィギュレーションモードでのこのコマンドは、CAPF サーバコンフィギュレーションモードでのこのコマンドよりも優先されます。
CAPF サーバー構成モードで auth-mode コマンドを使用しても、グローバルレベルで認証を構成できます。

ステップ 9

reset

例:

Router(config-ephone)# reset

電話機の完全なリブートを実行します。

ステップ 10

end

例:

Router(config-ephone)# end

特権 EXEC モードに戻ります。

Ephone Security パラメータの確認

手順

show capf-server auth-string コマンドを使用して、CAPF 認証を確立するためにユーザーが電話機に入力する設定済みの認証文字列（PIN）を表示します。

例:

Router# show capf-server auth-string   
		 
		Authentication Strings for configured Ephones 
		Mac-Addr        Auth-String 
		--------        ----------- 
		000CCE3A817C    2734 
		001121116BDD    922 
		000D299D50DF    9182
		000ED7B10DAC    3114 
		000F90485077    3328> 
		0013C352E7F1    0678

次のタスク

ネットワーク上に 1 つ以上の Cisco Unified Cisco Mobility Express ルータがある場合、CTL クライアントで実行されていない各 Cisco Unified Cisco Mobility Express ルータで CTL プロバイダーを構成する必要があります。CTL クライアントが実行されていない Cisco Unified Cisco Mobility Express ルータで CTL プロバイダーを構成するには、「CTL プロバイダーの構成」を参照してください。
CA がサードパーティ CA または、Cisco IOS CA が Cisco Unified Cisco Mobility Express ルータ外部の Cisco IOS ルータにある場合、RA を構成して電話機に証明書を発行する必要があります。詳細については、登録局の構成を参照してください。
CAPF セッションに指定した認証モードが認証文字列である場合、更新された LSC を受け取る各電話機に認証文字列を入力する必要があります。詳細については、電話機に認証文字列を入力を参照してください。
CAPF セッションに指定した認証モードが MIC の場合、MIC の発行者証明書を PKI トラストポイントにインポートする必要があります。詳細については、MIC ルート証明書の手動インポートを参照してください。
メディア暗号化の構成方法については、「Cisco Unified Cisco Mobility Express でのメディア暗号化（SRTP）の構成」を参照してください。

CTL プロバイダーの構成

ネットワーク上に 1 つ以上の Cisco Unified Cisco Mobility Express ルータがある場合、CTL クライアントで実行されていない各 Cisco Unified Cisco Mobility Express ルータで CTL プロバイダーを構成する必要があります。CTL クライアントが実行していない各 Cisco Unified CME ルータに CTL プロバイダーを設定するには、次の手順を実行します。

手順の概要

enable
configure terminal
credentials
ip source-address [ ip-address [ port [ port-number] ] ]
trustpoint trustpoint-label
ctl-service admin username secret {0 | 1 } password- string
end

手順の詳細

	コマンドまたはアクション	目的
ステップ 1	enable 例: `Router> enable`	特権 EXEC モードを有効にします。プロンプトが表示されたら、パスワードを入力します。
ステップ 2	configure terminal 例: `Router# configure terminal`	グローバル構成モードを開始します。
ステップ 3	credentials 例: `Router(config)# credentials`	クレデンシャルインターフェイスモードを開始して、CTL プロバイダーを設定します。
ステップ 4	ip source-address `[` `ip-address` `[` port `[` `port-number]` `]` `]` 例: `Router(config-credentials)# ip source-address 172.19.245.1 port 2444`	この CTL プロバイダーが構成されるローカルルータを識別します。 `ip-address` — 通常は、ルータのイーサネットポートのアドレスの 1 つ。 port `port-number` — ログイン情報サービス通信用 TCP ポート。デフォルトは 2444 です。デフォルト値を使用することを推奨します。
ステップ 5	trustpoint `trustpoint-label` 例: `Router(config-credentials)# trustpoint ctlpv`	トラストポイントを設定します。 `trustpoint-label` — CTL クライアントで TLS セッションに使用される CTL プロバイダートラストポイントの名前。
ステップ 6	ctl-service admin username secret {0 \| 1 } `password-` string 例: `Router(config-credentials)# ctl-service admin user4 secret 0 c89L8o`	CTL プロトコルの間にクレデンシャルを取得するために接続する場合に、CTL クライアントを認証するユーザ名とパスワードを指定します。 `username` — クライアントの認証に使用される名前。 secret ログイン認証用の文字列と、文字列が実行中の構成に保存される場合に文字列を暗号化すべきかどうかを指定します。 0 — 未暗号化。 1 — Message Digest 5（MD5）を使用した暗号化。 `password-string` — ログイン認証用文字列。
ステップ 7	end 例: `Router(config-credentials)# end`	特権 EXEC モードに戻ります。

CTL プロバイダーの確認

手順

show credentials コマンドを使用してログイン情報設定を表示します。

例:

Router# show credentials  
		
Credentials IP: 172.19.245.1 
Credentials PORT: 2444 
Trustpoint: ctlpv

次のタスク

CA がサードパーティ CA または、Cisco IOS CA が Cisco Unified Cisco Mobility Express ルータ外部の Cisco IOS ルータにある場合、RA を構成して電話機に証明書を発行する必要があります。詳細については、登録局の構成を参照してください。
CAPF セッションに指定した認証モードが認証文字列である場合、更新された LSC を受け取る各電話機に認証文字列を入力する必要があります。詳細については、電話機に認証文字列を入力を参照してください。
CAPF セッションに指定した認証モードが MIC の場合、MIC の発行者証明書を PKI トラストポイントにインポートする必要があります。詳細については、MIC ルート証明書の手動インポートを参照してください。
メディア暗号化の構成方法については、「Cisco Unified Cisco Mobility Express でのメディア暗号化（SRTP）の構成」を参照してください。

登録局の構成

登録局（RA）とは、CA が証明書を発行するために必要なデータの一部またはすべてを記録あるいは検証する役割を担う機関です。多くの場合、CA は RA 機能自体をすべて処理しますが、CA が広範囲にわたる地理的な場所を処理するか、ネットワークのエッジに CA を公開することにセキュリティ上の問題がある場合は、タスクの一部を RA に委任して、CA が証明書の署名という最も重要なタスクに集中できるようにすることを推奨します。

RA モードで実行するように CA を設定できます。RA が手動または Simple Certificate Enrollment Protocol（SCEP）登録要求を受け取ると、管理者はローカルポリシーに基づいて、それを拒否または許可することができます。要求が許可されると、その要求は発行元 CA に転送され、CA は自動的に証明書を生成して RA に返します。クライアントは、許可された証明書を RA から後で取得できます。

RA を設定するには、Cisco Unified CME ルータで次の手順を実行します。

手順の概要

enable
configure terminal
crypto pki trustpoint ラベル
enrollment url ca-url
revocation-check method1 [ method2 [ method3] ]
serial-number [ none]
rsakeypair key-label [ key-size [ encryption-key-size] ]
exit
crypto pki server ラベル
mode ra
lifetime certificate time
grant auto
no shutdown
end

手順の詳細

コマンドまたはアクション目的

ステップ 1

enable

例:

Router> enable

特権 EXEC モードを有効にします。

プロンプトが表示されたら、パスワードを入力します。

ステップ 2

configure terminal

例:

Router# configure terminal

グローバル構成モードを開始します。

ステップ 3

crypto pki trustpoint ラベル

例:

Router(config)# crypto pki trustpoint ra12

RA モード証明書サーバが使用するトラストポイントを宣言し、CA トラストポイントコンフィギュレーションモードを開始します。

label — トランスポイントおよび RA の名前。

ヒント

このラベルは、CA プロキシ設定時に cert-enroll-trustpoint コマンドにも必要です。「CAPF サーバーの構成」を参照してください。

ステップ 4

enrollment url ca-url

例:

Router(config-ca-trustpoint)# enrollment url http://ca-server.company.com

発行元の CA（ルート CA）の登録 URL を指定します。

ca-url — ルート CA がインストールされたルータの URL。

ステップ 5

revocation-check method1 [ method2 [ method3] ]

例:

Router(config-ca-trustpoint)# revocation-check none

（任意）証明書の失効ステータスをチェックし、ステータスをチェックするための 1 つまたは複数の方法を指定します。2 番めと 3 番めの方法を指定した場合、各方法はその直前の方法でエラーが返された場合（サーバがダウンしている場合など）にだけ使用されます。

methodn の有効値は以下のとおりです。

crl 証明書失効リスト（CRL）が証明書をチェックします。これはデフォルトの動作です。
none — 証明書チェックは不要です。
ocsp 証明書のチェックは、Online Certificate Status Protocol（OCSP）サーバーによって実行されます。

ステップ 6

serial-number [ none]

例:

Router(config-ca-trustpoint)# serial-number

（任意）証明書要求にルータのシリアル番号を含める必要があるかどうかを指定します。このコマンドを使用しなかった場合は、証明書の登録時にシリアル番号の入力を求められます。

none —（オプション）証明書リクエストにはシリアル番号は含まれません。

ステップ 7

rsakeypair key-label [ key-size [ encryption-key-size] ]

例:

Router(config-ca-trustpoint)# rsakeypair exampleCAkeys 1024 1024

（任意）証明書で使用する RSA キーペアを指定します。

key-label — キーペアが存在していない場合、または、auto-enroll regenerate コマンドが使用されている場合に、登録中に生成されるキーペアの名前。
key-size —（オプション）目的の RSA キーのサイズ。指定されなかった場合は、既存のキーサイズが使用されます。
encryption-key-size —（オプション）個別の暗号化、署名キー、および証明書を要求するために使用される 2 番目のキーのサイズ。
複数のトラストポイントで同じキーを共有できます。

ステップ 8

exit

例:

Router(config-ca-trustpoint)# exit

CA トラストポイントコンフィギュレーションモードを終了します。

ステップ 9

crypto pki server ラベル

例:

Router(config)# crypto pki server ra12

証明書サーバのラベルを定義し、証明書サーバコンフィギュレーションモードを開始します。

label — トランスポイントおよび RA の名前。ステップ 3 で、トラストポイントおよび RA として以前に作成したものと同じラベルを使用します。

ステップ 10

mode ra

例:

Router(config-cs-server)# mode ra

PKI サーバを RA の証明書サーバモードにします。

ステップ 11

lifetime certificate time

例:

Router(config-cs-server)# lifetime certificate 1800

（任意）証明書のライフタイムを日数で指定します。

time — 証明書が期限切れになるまでの日数。範囲は 1 ～ 1825 です。デフォルトは 365 です。証明書の最大のライフタイムは、CA 証明書のライフタイムよりも 1 ヵ月短い日数です。
no shutdown コマンドを使用してサーバーを有効化する前にこのコマンドを使用する必要があります。

ステップ 12

grant auto

例:

Router(config-cs-server)# grant auto

すべての要求者に対して証明書が自動的に発行されるようにします。

このコマンドは、簡易ネットワークのテストおよび構築中に登録する場合のみ設定してください。
セキュリティ上のベストプラクティスとして、構成後に、no grant auto コマンドを使用して、この機能を無効化し、証明書を継続して付与しないようにします。

ステップ 13

no shutdown

例:

Router(config-cs-server)# no shutdown

（任意）証明書サーバを有効にします。

プロンプトが表示されたら、CA 証明書、ルータ証明書、チャレンジパスワード、および秘密キーを保護するためのパスワードの承認に関して入力します。
証明書サーバの設定が完了した後にのみ、このコマンドを使用します。

ステップ 14

end

例:

Router(config-cs-server)# end

特権 EXEC モードに戻ります。

次のタスク

ネットワーク上に 1 つ以上の Cisco Unified Cisco Mobility Express ルータがある場合、CTL クライアントで実行されていない各 Cisco Unified Cisco Mobility Express ルータで CTL プロバイダーを構成する必要があります。CTL クライアントが実行されていない Cisco Unified Cisco Mobility Express ルータで CTL プロバイダーを構成するには、「CTL プロバイダーの構成」を参照してください。
CAPF セッションに指定した認証モードが認証文字列である場合、更新された LSC を受け取る各電話機に認証文字列を入力する必要があります。詳細については、電話機に認証文字列を入力を参照してください。
CAPF セッションに指定した認証モードが MIC の場合、MIC の発行者証明書を PKI トラストポイントにインポートする必要があります。詳細については、MIC ルート証明書の手動インポートを参照してください。
メディア暗号化の構成方法については、「Cisco Unified Cisco Mobility Express でのメディア暗号化（SRTP）の構成」を参照してください。

電話機に認証文字列を入力

この手順は、電話機に LSC の 1 回限りのインストールを行う場合と、CAPF セッションの認証モードを認証文字列に設定した場合にのみ必要です。認証文字列は、電話機ユーザが電話機に入力できるよう、LSC をインストールする前に電話機ユーザに知らせておく必要があります。

（注）

show capf-server auth-string コマンドを使用すると、電話機用の認証文字列を一覧できます。

制約事項

認証文字列は 1 回だけ使用できます。

始める前に

署名されたイメージが IP Phone に存在すること。ご使用の電話機のモデルをサポートする Cisco Unified IP Phone の管理マニュアルを参照してください。
IP Phone が Cisco Unified CME に登録されていること。
CTL ファイルに CAPF 証明書が存在すること。詳細については、CTL クライアントの構成を参照してください。
CAPF サーバー構成モードの auth-string コマンドまたは、Ephone 構成モードの capf-auth-str コマンドを使用して、入力する認証文字列を構成します。詳細については、Telephony-Service Security パラメータの構成を参照してください。
device-security-mode コマンドは、none キーワードを使用して構成します。詳細については、Telephony-Service Security パラメータの構成を参照してください。

手順

ステップ 1	Settings ボタンを押します。Cisco Unified IP Phone 7921 で、Down Arrow を押して、[設定（Settings）] メニューにアクセスします。
ステップ 2	構成がロックされたら、**# （アスタリスク、アスタリスク、シャープ記号）を押して、ロックを解除します。
ステップ 3	[Settings] メニューを下にスクロールします。[セキュリティの設定（Security Configuration）] を強調表示し、Select ソフトキーを押します。
ステップ 4	[Security Configuration] メニューを下にスクロールします。LSC を強調表示し、Update ソフトキーを押します。Cisco Unified IP Phone 7921 で、**# を押して、[セキュリティの設定（Security Configuration）] メニューのロックを解除します。
ステップ 5	認証文字列の入力を求められたら、システム管理者から提供された文字列を入力して、Submit ソフトキーを押します。 CAPF コンフィギュレーションに応じて、電話機は証明書をインストール、更新、削除、またはフェッチします。電話機に表示されるメッセージを確認して、証明書動作の進捗をモニタできます。Submit を押すと、「処理中（Pending）」というメッセージが LSC オプションの下に表示されます。電話機によって公開キーと秘密キーのペアが生成され、電話機の情報が表示されます。電話機でプロセスが正常に完了すると、電話機に成功のメッセージが表示されます。電話機に失敗のメッセージが表示された場合は、間違った認証文字列を入力したか、電話機が更新できるように設定されていません。 [停止（Stop）] を選択すると、プロセスをいつでも停止できます。
ステップ 6	証明書が電話機にインストールされたことを確認します。電話機画面の [設定（Settings）] で、Model Information を選択し、Select ソフトキーを押すと、モデル情報が表示されます。
ステップ 7	ナビゲーションボタンを押して、LSC までスクロールします。この項目の値は、LSC が [インストール済み（Installed）] または [未インストール（Not Installed）] のどちらであるかを示します。

次のタスク

ネットワーク上に 1 つ以上の Cisco Unified Cisco Mobility Express ルータがある場合、CTL クライアントで実行されていない各 Cisco Unified Cisco Mobility Express ルータで CTL プロバイダーを構成する必要があります。CTL クライアントが実行されていない Cisco Unified Cisco Mobility Express ルータで CTL プロバイダーを構成するには、「CTL プロバイダーの構成」を参照してください。
CA がサードパーティ CA または、Cisco IOS CA が Cisco Unified Cisco Mobility Express ルータ外部の Cisco IOS ルータにある場合、RA を構成して電話機に証明書を発行する必要があります。詳細については、登録局の構成を参照してください。
CAPF セッションに指定した認証モードが MIC の場合、MIC の発行者証明書を PKI トラストポイントにインポートする必要があります。詳細については、MIC ルート証明書の手動インポートを参照してください。
メディア暗号化の構成方法については、「Cisco Unified Cisco Mobility Express でのメディア暗号化（SRTP）の構成」を参照してください。

MIC ルート証明書の手動インポート

Cisco Unified CME が提示された MIC を認証できるようにするには、MIC ルート証明書が Cisco Unified CME ルータに存在している必要があります。MIC ルート証明書を Cisco Unified CME ルータに手動でインポートするには、認証に MIC が必要な電話機のタイプごとに、次の手順を実行します。

始める前に

この作業を実行するには、次のいずれかに該当する必要があります。

device-security-mode コマンドは、none キーワードを使用して構成します。詳細については、Telephony-Service Security パラメータの構成を参照してください。
MIC が、CAPF セッションで電話機認証用に指定された認証モードになっていること。
電話機の LSC ではなく MIC を使用して、SCCP シグナリングの TLS セッションを確立します。

手順の概要

enable
configure terminal
crypto pki trustpoint name
revocation-check none
enrollment terminal
exit
crypto pki authenticate name
4 つの MIC ルート証明書ファイルをダウンロードします。証明書ごとに、該当するテキストをカットアンドペーストします。証明書を受け入れます。
exit

手順の詳細

	コマンドまたはアクション	目的
ステップ 1	enable 例: `Router> enable`	特権 EXEC モードを有効にします。プロンプトが表示されたら、パスワードを入力します。
ステップ 2	configure terminal 例: `Router# configure terminal`	グローバル構成モードを開始します。
ステップ 3	crypto pki trustpoint `name` 例: `Router(config)# crypto pki trustpoint sanjose1`	ルータが使用する CA を宣言し、CA トラストポイントコンフィギュレーションモードを開始します。 `name` — すでに構成済みの CA のラベル。
ステップ 4	revocation-check none 例: `Router(ca-trustpoint)# revocation-check none`	失効チェックが実行されず、証明書が常に受け入れられることを指定します。
ステップ 5	enrollment terminal 例: `Router(ca-trustpoint)# enrollment terminal`	手動（コピーアンドペースト）での証明書登録を指定します。
ステップ 6	exit 例: `Router(ca-trustpoint)# exit`	CA トラストポイントコンフィギュレーションモードを終了します。
ステップ 7	crypto pki authenticate `name` 例: `Router(config)# crypto pki authenticate sanjose1`	CA から証明書を取得することにより、CA を認証します。 `name` ーすでに構成済みの CA ラベル。
ステップ 8	4 つの MIC ルート証明書ファイルをダウンロードします。証明書ごとに、該当するテキストをカットアンドペーストします。証明書を受け入れます。	証明書のリンクをクリックします。証明書は、次のリンクで入手できます。 CAP-RTP-001：http://www.cisco.com/security/pki/certs/CAP-RTP-001.cer CAP-RTP-002：http://www.cisco.com/security/pki/certs/CAP-RTP-002.cer CMCA：http://www.cisco.com/security/pki/certs/cmca.cer CiscoRootCA2048：http://www.cisco.com/security/pki/certs/crca2048.cer [証明書をダウンロード（Downloading Certificate）] ダイアログウィンドウが開いたら、証明書を表示するオプションを選択します。証明書はインストールしないでください。上部の [詳細（Detail）] タブを選択します。下部の [エクスポート（Export）] をクリックし、ファイルに証明書を保存します。ワードパッドでファイルを開きます。 -----BEGIN CERTIFICATE----- と -----END CERTIFICATE----- の間のテキストを IOS コンソールにカットアンドペーストします。プロンプトが表示されたら、Enter を押し、`quit` と入力します。証明書をペーストしたら、Enter を押して、行で `quit` と入力します。 `y` と入力して、証明書を承認します。システムは貼り付けられた証明書テキストに対して、MD5 および SHA1 フィンガープリントを提示し、証明書を受け入れるかどうかを問い合わせます。 `y` と入力して、証明書を承認するか、`n` と入力して、拒否します。証明書ごとに、ステップ a から h を繰り返します。
ステップ 9	exit 例: `Router(config)# exit`	特権 EXEC モードに戻ります。

次のタスク

ネットワーク上に 1 つ以上の Cisco Unified Cisco Mobility Express ルータがある場合、CTL クライアントで実行されていない各 Cisco Unified Cisco Mobility Express ルータで CTL プロバイダーを構成する必要があります。CTL クライアントが実行されていない Cisco Unified Cisco Mobility Express ルータで CTL プロバイダーを構成するには、「CTL プロバイダーの構成」を参照してください。
CA がサードパーティ CA または、Cisco IOS CA が Cisco Unified Cisco Mobility Express ルータ外部の Cisco IOS ルータにある場合、RA を構成して電話機に証明書を発行する必要があります。詳細については、登録局の構成を参照してください。
CAPF セッションに指定した認証モードが認証文字列である場合、更新された LSC を受け取る各電話機に認証文字列を入力する必要があります。詳細については、電話機に認証文字列を入力を参照してください。
メディア暗号化の構成方法については、「Cisco Unified Cisco Mobility Express でのメディア暗号化（SRTP）の構成」を参照してください。

Cisco Unified Cisco Mobility Express でのメディア暗号化（SRTP）の構成

H.323 トランクを経由した Cisco Unified CME システム間のセキュアコールのネットワークを設定するには、Cisco Unified CME ルータで次の手順を実行します。

制約事項

セキュアな 3 者間ソフトウェア会議はサポートされていません。SRTP で開始されたセキュアなコールは、会議に参加すると必ず、非セキュアなリアルタイム転送プロトコル（RTP）に戻ります。
1 人の参加者が 3 者間会議から退出すると、残りの 2 人の参加者が単一の Cisco Unified CME への SRTP 対応ローカル Skinny Client Control Protocol（SCCP）エンドポイントであり、残りの参加者のどちらかが会議の作成者である場合、その 2 人の参加者間コールがセキュアに戻ります。残り 2 人の参加者の一方だけが RTP に対応している場合、コールは非セキュアなままになります。残りの 2 人の参加者が FXS、PSTN、または VoIP を介して接続されている場合、コールは非セキュアのままになります。
Cisco Unity Express へのコールはセキュアではありません。
保留音（MOH）はセキュアではありません。
ビデオコールはセキュアではありません。
モデムリレーおよび T.3 Fax リレーのコールはセキュアではありません。
メディアのフローアラウンドは、コール転送およびコール自動転送に対応していません。
インバンドトーンと RFC 2833 DTMF の間の変換はサポートされていません。RFC 2833 DTMF の処理は、暗号キーがセキュア DSP Farm デバイスに送信される場合はサポートされますが、コーデックパススルーに対してはサポートされません。
セキュアな Cisco Unified CME は SIP トランクをサポートしていません。H.323 トランクのみサポートされています。
メディア暗号化（SRTP）は、H.450 と非 H.450 の両方の Cisco Unified CME ネットワークで、セキュアな補足サービスをサポートします。セキュア Cisco Unified CME ネットワークは、H.450 または非 H.450 にする必要があり、ハイブリッドにはできません。
セキュアコールは、デフォルトのセッションアプリケーションのみでサポートされています。

始める前に

Cisco Unified CME 4.2 以降のバージョン。
H.323 コールを保護するには、telephony-service のセキュリティパラメータが設定されていること。「Telephony-Service Security パラメータの構成」を参照してください。
Cisco VG224 Analog Phone Gateway に互換性のある Cisco IOS リリースが存在すること。詳細については、「Cisco Unified Cisco Mobility Express」および「Cisco IOS リリース互換性マトリックス」を参照してください。

手順の概要

enable
configure terminal
voice service voip
supplementary-service media-renegotiate
srtp fallback
h323
emptycapability
exit

手順の詳細

	コマンドまたはアクション	目的
ステップ 1	enable 例: `Router> enable`	特権 EXEC モードを有効にします。プロンプトが表示されたら、パスワードを入力します。
ステップ 2	configure terminal 例: `Router# configure terminal`	グローバル構成モードを開始します。
ステップ 3	voice service voip 例: `Router(config)# voice service voip`	音声サービスコンフィギュレーションモードを開始します。 voip キーワードは、VoIP カプセル化を指定します。
ステップ 4	supplementary-service media-renegotiate 例: `Router(conf-voi-serv)# supplementary-service media-renegotiate`	SRTP 暗号化キーのコール中再ネゴシエーションを有効にします。
ステップ 5	srtp fallback 例: `Router(conf-voi-serv)# srtp fallback`	メディア暗号化と認証用に SRTP を使用してセキュアコールをグローバルに有効にし、SRTP-to-RTP フォールバックを有効にして、リングバック音や MOH などの補足サービスをサポートします。個々のダイヤルピアでフォールバックを設定する場合は、このステップをスキップします。このコマンドは、ダイヤルピアコンフィギュレーションモードでも設定できます。ダイヤルピアコンフィギュレーションコマンドでのこのコマンドは、音声サービス VoIP コンフィギュレーションモードでのこのコマンドよりも優先されます。
ステップ 6	h323 例: `Router(conf-voi-serv)# h323`	H.323 音声サービスコンフィギュレーションモードを開始します。
ステップ 7	emptycapability 例: `Router(conf-serv-h323)# emptycapability`	ロータリーグループのすべてのダイヤルピアでの、同一のコーデック機能の必要性を排除します。
ステップ 8	exit 例: `Router(conf-serv-h323)# exit`	H.323 音声サービスコンフィギュレーションモードを終了します。

次のタスク

Cisco Unified Cisco Mobility Express メディア暗号化（SRTP）を構成するために必要な作業が完了しました。H.323 ダイヤルピアの Cisco Unified Cisco Mobility Express SRTP フォールバックの構成これで、次のオプションタスクを実行できます。

H.323 ダイヤルピアの Cisco Unified Cisco Mobility Express SRTP フォールバックの構成（オプション）
セキュアな Cisco Unified Cisco Mobility Express 動作に対する Cisco Unity の構成（オプション）

H.323 ダイヤルピアの Cisco Unified Cisco Mobility Express SRTP フォールバックの構成

各ダイヤルピアの SRTP を構成するには、Cisco Unified Cisco Mobility Express ルータで次の手順を実行します。

手順の概要

enable
configure terminal
voice class codec tag
codec preference value codec-type
exit
dial-peer voice tag voip
srtp fallback
voice-class codec tag
exit

手順の詳細

	コマンドまたはアクション	目的
ステップ 1	enable 例: `Router> enable`	特権 EXEC モードを有効にします。プロンプトが表示されたら、パスワードを入力します。
ステップ 2	configure terminal 例: `Router# configure terminal`	グローバル構成モードを開始します。
ステップ 3	voice class codec `tag` 例: `Router(config)# voice class codec 1`	音声クラスコンフィギュレーションモードを開始し、コーデック音声クラスに識別タグ番号を割り当てます。
ステップ 4	codec preference `value codec-type` 例: `Router(config-voice-class)# codec preference 1 g711alaw`	ダイヤルピアで使用するコーデックのリストを優先順位を付けて指定します。このステップを繰り返して、優先されるコーデックのリストを作成します。 H.323 トランクの両側にある両方の Cisco Unified Cisco Mobility Express でコーデックリストに同じ優先順位を使用します。
ステップ 5	exit 例: `Router(config-voice-class)# exit`	voice-class コンフィギュレーションモードを終了します。
ステップ 6	dial-peer voice `tag` voip 例: `Router(config)# dial-peer voice 101 voip`	ダイヤルピア音声コンフィギュレーションモードを開始します。
ステップ 7	srtp fallback 例: `Router(config-dial-peer)# srtp fallback`	メディア暗号化と認証に SRTP を使用するセキュアコールを有効にして、フォールバック機能を指定します。 no srtp コマンドを使用して SRTP を無効にし、ダイヤルピアを RTP モードにフォールバックします。 fallback — 個々のダイヤルピアで非セキュアモード（RTP）へのフォールバックを無効にします。no srtp fallback コマンドは、フォールバックと SRTP を無効にします。このコマンドは、音声サービス VoIP コンフィギュレーションモードでも設定できます。ダイヤルピアコンフィギュレーションコマンドでのこのコマンドは、音声サービス VoIP コンフィギュレーションモードでのこのコマンドよりも優先されます。
ステップ 8	voice-class codec `tag` 例: `Router(config-dial-peer)# voice-class codec 1`	以前に設定したコーデックの選択優先リスト（コーデック音声クラス）を Voice over IP（VoIP）ダイヤルピアに割り当てます。この手順の `tag` 引数は、手順 3 の `tag` と同じにします。
ステップ 9	exit 例: `Router(config-dial-peer)# exit`	ダイヤルピア音声コンフィギュレーションモードを終了します。

セキュアな Cisco Unified Cisco Mobility Express 動作に対する Cisco Unity の構成

ここでは、次のタスクについて説明します。

セキュアな Cisco Unified Cisco Mobility Express 動作に対する Cisco Unity 構成の前提条件
Cisco Unified Cisco Mobility Express および Cisco Unity 間の統合の構成
Cisco Unity ルート証明書を Cisco Unified Cisco Mobility Express にインポート
セキュアな登録のための Cisco Unity ポートの構成
Cisco Unity が安全に登録されたことの確認

セキュアな Cisco Unified Cisco Mobility Express 動作に対する Cisco Unity 構成の前提条件

Cisco Unity 4.2 以降のバージョン。

Cisco Unified Cisco Mobility Express および Cisco Unity 間の統合の構成

Cisco Unified CME と Cisco Unity との連動の設定を変更するには、Cisco Unity サーバで次の手順を実行します。

手順

ステップ 1	Cisco Unity Telephony Integration Manager（UTIM）が Cisco Unity サーバーで、開いていない場合は、Windows の [スタート（Start）] メニューで、[（Programs）] > [Cisco Unity] > [統合管理（Manage Integrations）] の順に選択します。UTIM ウィンドウが表示されます。
ステップ 2	左側のペインで、[Cisco Unityサーバー（Cisco Unity Server）] をダブルクリックします。既存の連動が表示されます。
ステップ 3	[Cisco Unified Communications Manager（Cisco Unified Communications Manager）] 統合をクリックします。
ステップ 4	右ペインで、連動のためのクラスタをクリックします。
ステップ 5	[Servers] タブをクリックします。
ステップ 6	[Cisco Unified Communications Manager クラスタセキュリティモード（Cisco Unified Communications Manager Cluster Security Mode）] フィールドで、適切な設定をクリックします。
ステップ 7	[非セキュア（Non-secure）] をクリックした場合、[保存（Save）] をクリックし、残りの手順をスキップします。 [認証済（Authenticated）] または [暗号化済（Encrypted）] をクリックした場合、[セキュリティ（Security）] タブと [TFTPサーバー追加（Add TFTP Server）] ダイアログボックスが表示されます。[TFTPサーバーの追加（Add TFTP Server ）] ダイアログボックスの [IPアドレス（IP Address）] または [ホスト名（Host Name）] フィールドで、Cisco Unified Communications Manager クラスタの IP アドレス（またはドメインネームシステム（DNS）名）を入力し、[OK] をクリックします。
ステップ 8	Cisco Unified Communications Manager 証明書をダウンロードするために Cisco Unity が使用する TFTP サーバーが複数ある場合、[追加（Add）] をクリックします。[Tftp サーバ追加（Add TFTP Server）] ダイアログボックスが表示されます。
ステップ 9	[IPアドレス（IP Address）] または [ホスト名（Host Name）] フィールドに、Cisco Unified Communications Manager クラスタのセカンダリ TFTP サーバーの IP アドレス（またはドメインネームシステム（DNS）名）を入力し、[OK] をクリックします。
ステップ 10	[保存（Save）] をクリックします。 Cisco Unity によってボイスメッセージングポートデバイス証明書が作成され、Cisco Unity サーバルート証明書がエクスポートされて、[Cisco Unity ルート証明書のエクスポート（Export Cisco Unity Root Certificate）] ダイアログボックスが表示されます。
ステップ 11	エクスポートされた Cisco Unity サーバールート証明書のファイル名をメモし、[OK] をクリックします。
ステップ 12	Cisco Unity サーバで、CommServer\SkinnyCerts ディレクトリに移動します。
ステップ 13	ステップ 11 でエクスポートした Cisco Unity サーバールート証明書ファイルを見つけます。
ステップ 14	見つけたファイルを右クリックし、[名前の変更（Rename）] をクリックします。
ステップ 15	ファイル拡張子を .0 から .pem に変更します。たとえば、エクスポートした Cisco Unity サーバールート証明書ファイルの場合、ファイル名は、「12345.0」から「12345.pem」に変更します。
ステップ 16	このファイルを、Cisco Unified CME ルータにアクセスできる PC にコピーします。

Cisco Unity ルート証明書を Cisco Unified Cisco Mobility Express にインポート

Cisco Unity ルート証明書を Cisco Unified CME にインポートするには、Cisco Unified CME ルータで次の手順を実行します。

手順の概要

enable
configure terminal
crypto pki trustpoint name
revocation-check none
enrollment terminal
exit
crypto pki authenticate trustpoint-label
ステップ 16 で、Cisco Unity サーバからコピーしたルート証明書ファイルを開きます。
CA 証明書を入力するよう求められます。コマンドラインの「BEGIN CERTIFICATE」と「END CERTIFICATE 」の間でベース 64 エンコードされた証明書の前部の内容をカットアンドペーストします。Enter を押して、quit と入力します。ルータから、証明書を受け入れるよう求められます。「yes」と入力し、この証明書を受け入れます。

手順の詳細

	コマンドまたはアクション	目的
ステップ 1	enable 例: `Router> enable`	特権 EXEC モードを有効にします。プロンプトが表示されたら、パスワードを入力します。
ステップ 2	configure terminal 例: `Router# configure terminal`	グローバル構成モードを開始します。
ステップ 3	crypto pki trustpoint `name` 例: `Router(config)# crypto pki trustpoint PEM`	RA モード証明書サーバが使用するトラストポイントを宣言し、CA トラストポイントコンフィギュレーションモードを開始します。 `label` — トランスポイントおよび RA の名前。
ステップ 4	revocation-check none 例: `Router(ca-trustpoint)# revocation-check none`	（任意）証明書の確認が必要ないことを指定します。
ステップ 5	enrollment terminal 例: `Router(ca-trustpoint)# enrollment terminal`	カットアンドペーストによる手動での証明書登録を指定します。
ステップ 6	exit 例: `Router(ca-trustpoint)# exit`	CA トラストポイントコンフィギュレーションモードを終了します。
ステップ 7	crypto pki authenticate `trustpoint-label` 例: `Router(config)# crypto pki authenticate pem`	CA 証明書を取得して、認証します。証明書のフィンガープリントをチェックするよう求められた場合、証明書フィンガープリントをチェックします。 `trustpoint-label` ：すでに設定済みのトラストポイントと RA の名前。「ステップ 3」を参照してください。
ステップ 8	ステップ 16 で、Cisco Unity サーバからコピーしたルート証明書ファイルを開きます。
ステップ 9	CA 証明書を入力するよう求められます。コマンドラインの「BEGIN CERTIFICATE」と「END CERTIFICATE 」の間でベース 64 エンコードされた証明書の前部の内容をカットアンドペーストします。Enter を押して、`quit` と入力します。ルータから、証明書を受け入れるよう求められます。「yes」と入力し、この証明書を受け入れます。	Cisco Unity ルート証明書から Cisco Unified Cisco Mobility Express ルータへのコピーが完了します。

セキュアな登録のための Cisco Unity ポートの構成

セキュアモードでの登録用に Cisco Unity のポートを設定するには、次の手順を実行します。

手順

ステップ 1	更新する Cisco ボイスメールポートを選択します。
ステップ 2	[デバイスセキュリティモード（Device Security Mode）] ドロップダウンリストで、[暗号化済（Encrypted）] を選択します。
ステップ 3	[更新（Update）] をクリックします。

Cisco Unity が安全に登録されたことの確認

show sccp connections コマンドを使用して、Cisco Unity ポートがCisco Unified Cisco Mobility Express にセキュアに登録されているか確認します。

次の例では、タイプフィールドのセキュアな値によって、接続がセキュアであることが示されています。

Router# show sccp connections  
		
		sess_id    conn_id    stype        mode     codec   ripaddr rport sport
		
		16777222   16777409   secure -xcode sendrecv g729b 10.3.56.120   16772 19534
		16777222   16777393   secure -xcode sendrecv g711u 10.3.56.50    17030 18464
		
		Total number of active session(s) 1, and connection(s) 2

Cisco Unified IP Phone 用の HTTPS プロビジョニング

HTTPS を使用して Web コンテンツにセキュアにアクセスするために Cisco Unified IP Phone をプロビジョニングするには、次の手順を実行します。

始める前に

登録の無限ループを防止するため、Firmware 9.0(4) 以降のバージョンが IP Phone にインストールされていること。
フラッシュメモリから IP Phone にインポートする証明書ファイルが、プライバシーが強化されたメール形式になっていること。

手順の概要

enable
configure terminal
ip http server
crypto pki server cs-label
database level { minimum | names | complete}
database url root url
grant auto
exit
crypto pki trustpoint name
enrollment url url
exit
crypto pki server cs-label
no shutdown
exit
crypto pki trustpoint name
enrollment url url
revocation-check method1 [ method2[ method3] ]
rsakeypair key-label
exit
crypto pki authenticate name
crypto pki enroll name
crypto pki trustpoint name
enrollment url url
revocation-check method1 [ method2[ method3] ]
rsakeypair key-label
exit
crypto pki authenticate name
crypto pki enroll name
ctl-client
sastl trustpoint ラベル
sast2 trustpoint ラベル
import certificate tag description flash: cert_name
server application server address trustpoint label
regenerate
end

手順の詳細

コマンドまたはアクション目的

ステップ 1

enable

例:

Router> enable

特権 EXEC モードを有効にします。

プロンプトが表示されたら、パスワードを入力します。

ステップ 2

configure terminal

例:

Router# configure terminal

グローバル構成モードを開始します。

ステップ 3

ip http server

例:

Router(config)# ip http server

Cisco Unified CME ルータで HTTP サーバを有効にします。

ステップ 4

crypto pki server cs-label

例:

Router(config)# crypto pki server IOS-CA

Cisco IOS 証明書サーバを有効にし、証明書サーバコンフィギュレーションモードを開始します。

cs-label — 証明書サーバーの名前。

（注）

証明書サーバの名前は 13 文字までです。

ステップ 5

database level { minimum | names | complete}

例:

Router(cs-server)# database level complete

証明書登録データベースに保管されるデータのタイプを制御します。

complete — 各発行済み証明書がデータベースに書き込まれます。このキーワードを使用する場合、database url コマンドを有効にします。

ステップ 6

database url root url

例:

Router(cs-server)# database url flash:

証明書サーバのデータベースエントリが保存または公開される場所を指定します。

root url — データベースエントリが書き込まれる場所。

ステップ 7

grant auto

例:

Router(cs-server)# grant auto

（任意）あらゆる要求者に対して証明書が自動的に発行されるようにします。推奨される方法、およびこのコマンドを使用しなかった場合のデフォルトは手動登録です。

ステップ 8

exit

例:

Router(cs-server)# exit

証明書サーバコンフィギュレーションモードを終了します。

ステップ 9

crypto pki trustpoint name

例:

Router(config)# crypto pki trustpoint IOS-CA

トラストポイントを宣言し、CA トラストポイントコンフィギュレーションモードを開始します。

name — トラストポイントの名前。

ステップ 10

enrollment url url

例:

Router(ca-trustpoint)# enrollment url http://10.1.1.1:80

認証局の登録パラメータを指定します。

url — ルータが証明書リクエストを送信するファイルシステムの URL を指定します。

ステップ 11

exit

例:

Router(ca-trustpoint)# exit

CA トラストポイントコンフィギュレーションモードを終了します。

ステップ 12

crypto pki server cs-label

例:

Router(config)# crypto pki server IOS-CA

Cisco IOS 証明書サーバを有効にし、証明書サーバコンフィギュレーションモードを開始します。

cs-label — 証明書サーバーの名前。

（注）

証明書サーバの名前は 13 文字までです。

ステップ 13

no shutdown

例:

Router(cs-server)# no shutdown

Cisco IOS 認証局を有効にします。

ステップ 14

exit

例:

Router(cs-server)# exit

証明書サーバコンフィギュレーションモードを終了します。

ステップ 15

crypto pki trustpoint name

例:

Router(config)# crypto pki trustpoint primary-cme

トラストポイントを宣言し、CA トラストポイントコンフィギュレーションモードを開始します。

name — トラストポイントの名前。

ステップ 16

enrollment url url

例:

Router(ca-trustpoint)# enrollment url http://10.1.1.1:80

認証局の登録パラメータを指定します。

url — ルータが証明書リクエストを送信するファイルシステムの URL を指定します。

ステップ 17

revocation-check method1 [ method2[ method3] ]

例:

Router(ca-trustpoint)# revocation-check none

証明書の失効ステータスをチェックします。

none —証明書チェックは不要です。

ステップ 18

rsakeypair key-label

例:

Router(ca-trustpoint)# rsakeypair primary-cme

証明書に関連付ける RSA キーペアを指定します。

key-label — キーペアが存在していない場合、または、auto-enroll regenerate コマンドが構成されている場合に、登録中に生成されるキーペアの名前。

ステップ 19

exit

例:

Router(ca-trustpoint)# exit

CA トラストポイントコンフィギュレーションモードを終了します。

ステップ 20

crypto pki authenticate name

例:

Router(config)# crypto pki authenticate primary-cme

認証局の証明書を取得して、認証局を認証します。

name — 証明局の名前。

ステップ 21

crypto pki enroll name

例:

Router(config)# crypto pki enroll primary-cme

認証局からルータの証明書を取得します。

name — 証明局の名前。crypto pki trustpoint コマンドを使用して証明局を宣言したときと同じ名前を使用します。

ステップ 22

crypto pki trustpoint name

例:

Router(config)# crypto pki trustpoint sast-secondary

トラストポイントを宣言し、CA トラストポイントコンフィギュレーションモードを開始します。

name — トラストポイントの名前。

ステップ 23

enrollment url url

例:

Router(ca-trustpoint)# enrollment url http://10.1.1.1:80

認証局の登録パラメータを指定します。

url — ルータが証明書リクエストを送信するファイルシステムの URL を指定します。

ステップ 24

revocation-check method1 [ method2[ method3] ]

例:

Router(ca-trustpoint)# revocation-check none

証明書の失効ステータスをチェックします。

none —証明書チェックは不要です。

ステップ 25

rsakeypair key-label

例:

Router(ca-trustpoint)# rsakeypair sast-secondary

証明書に関連付ける RSA キーペアを指定します。

key-label — キーペアが存在していない場合、または、auto-enroll regenerate コマンドが構成されている場合に、登録中に生成されるキーペアの名前。

ステップ 26

exit

例:

Router(ca-trustpoint)# exit

CA トラストポイントコンフィギュレーションモードを終了します。

ステップ 27

crypto pki authenticate name

例:

Router(config)# crypto pki authenticate sast-secondary

認証局の証明書を取得して、認証局を認証します。

name — 証明局の名前。

ステップ 28

crypto pki enroll name

例:

Router(config)# crypto pki enroll sast-secondary

認証局からルータの証明書を取得します。

name — 証明局の名前。crypto pki trustpoint コマンドを使用して証明局を宣言したときと同じ名前を使用します。

ステップ 29

ctl-client

例:

Router(config)# ctl-client

CTL クライアントコンフィギュレーションモードを開始して、CTL クライアントのパラメータを設定します。

ステップ 30

sastl trustpoint ラベル

例:

Router(config-ctl-client)# sast1 trustpoint first-sast

プライマリ SAST のクレデンシャルを設定します。

label － SAST1 トラストポイントの名前。

（注）

ステップ 31

sast2 trustpoint ラベル

例:

Router(config-ctl-client)# sast2 trustpoint second-sast

セカンダリ SAST のクレデンシャルを設定します。

label － SAST2 トラストポイントの名前。

（注）

ステップ 32

import certificate tag description flash: cert_name

例:

Router(config-ctl-client)# import certificate 5 FlashCert flash:flash_cert.cer

フラッシュメモリから IP Phone の CTL ファイルに、信頼できる証明書を PEM 形式でインポートします。

（注）

この手順は、外部サーバーで実行されている HTTPS サービスをプロビジョニングするために必要です。

tag — 信頼できる証明書の ID。
description — 信頼できる証明書の分かりやすい名前。
flash:cert_cert — フラッシュメモリに保存する信頼できる証明書のファイル名を指定します。

ステップ 33

server application server address trustpoint label

例:


				Router(config-ctl-client)# server application 10.1.2.3 trustpoint first-sast

サーバーアプリケーションと SAST のログイン情報を構成します。

ステップ 34

regenerate

例:

Router(config-ctl-client)# regenerate

CTL クライアントコンフィギュレーションに変更を行った後に、新しい CTLFile.tlv を作成します。

ステップ 35

end

例:

Router(config-ctl-client)# end

特権 EXEC モードに戻ります。

セキュリティの設定例

ログからのパスワードとキーを削除する例

以下は、show コマンドである show sip-ua calls の出力例を示しています。Unified Cisco Mobility Express 12.6 拡張の一部として show コマンドの出力に追加される行は、ローカル暗号キーとリモート暗号キーです。


SIP UAC CALL INFO
Number of SIP User Agent Client(UAC) calls: 0

SIP UAS CALL INFO
Call 1
SIP Call ID : 007278df-12e00376-6ed02377-6ffbaca9@8.55.0.195
State of the call : STATE_ACTIVE (7)
Substate of the call : SUBSTATE_NONE (0)
Calling Number : 1001
Called Number : 6901%23
Called URI : sip:6901%23@8.39.25.11;user=phone
Bit Flags : 0x10C0401C 0x10000100 0x4
CC Call ID : 196
Local UUID : 61488a9100105000a000007278df12e0
Remote UUID : c4b7f9475629538096ef61699b96746f
Source IP Address (Sig ): 8.39.25.11
Destn SIP Req Addr:Port : [8.55.0.195]:52704
Destn SIP Resp Addr:Port: [8.55.0.195]:52704
Destination Name : 8.55.0.195
Number of Media Streams : 1
Number of Active Streams: 1
RTP Fork Object : 0x0
Media Mode : flow-through
Media Stream 1
State of the stream : STREAM_ACTIVE
Stream Call ID : 196
Stream Type : voice+dtmf (1)
Stream Media Addr Type : 1
Negotiated Codec : g711ulaw (160 bytes)
Codec Payload Type : 0
Negotiated Dtmf-relay : rtp-nte
Dtmf-relay Payload Type : 101
QoS ID : -1
Local QoS Strength : BestEffort
Negotiated QoS Strength : BestEffort
Negotiated QoS Direction : None
Local QoS Status : None
Media Source IP Addr:Port: [8.39.25.11]:8080
Media Dest IP Addr:Port : [8.55.0.195]:23022
Local Crypto Suite : AEAD_AES_256_GCM
Remote Crypto Suite : AEAD_AES_256_GCM (
AEAD_AES_256_GCM
AEAD_AES_128_GCM
AES_CM_128_HMAC_SHA1_80
AES_CM_128_HMAC_SHA1_32 )
Local Crypto Key : 3taqc13ClF6BBpvd65WTMPrad/i0uyQ6iNouh+jYHxbf48d4TFmsOGyh4Vs=
Remote Crypto Key : 2/TNTV+Rc1Nh/wbGj0MGwIsLrJ4l+N2jKWGczolEnf7sgsA0Q9AEIz0a4eg=
Mid-Call Re-Assocation Count: 0
SRTP-RTP Re-Assocation DSP Query Count: 0

以下は、show コマンドである show ephone offhook の出力例を示しています。Unified Cisco Mobility Express 12.6 の拡張機能の一部として show コマンドの出力に追加される行は、ローカルキーとリモートキーです。


ephone-1[0] Mac:549A.EBB5.8000 TCP socket:[1] activeLine:1 whisperLine:0 REGISTERED in SCCP ver 21/17 max_streams=1 + Authentication + Encryption with TLS connection
mediaActive:1 whisper_mediaActive:0 startMedia:1 offhook:1 ringing:0 reset:0 reset_sent:0 paging 0 debug:0 caps:8
IP:8.44.22.63 * 17872 SCCP Gateway (AN) keepalive 28 max_line 1 available_line 1
port 0/0/0
button 1: cw:1 ccw:(0 0)
 dn 1 number 6901 CM Fallback CH1 CONNECTED CH2 IDLE
Preferred Codec: g711ulaw
Lpcor Type: none Active Secure Call on DN 1 chan 1 :6901 8.44.22.63 18116
 to 8.39.25.11 8066 via 8.39.0.1
G711Ulaw64k 160 bytes no vad
SRTP cipher: AES_CM_128_HMAC_SHA1_32
  local key: 0OPV0yxvcnRLPMzHfmYbwgHfdxcuS1uPbp5j/Tjk
  remote key: e8DQl3Kvk7LjZlipaCoMg9TMreBmiPsFmNiVHwIA
Tx Pkts 0 bytes 0 Rx Pkts 0 bytes 0 Lost 0
Jitter 0 Latency 0 callingDn -1 calledDn -1

パスワードポリシーの Unified Cisco Mobility Express の構成例

次に、パスワード暗号化をサポートするための Unified Cisco Mobility Express ルータの構成例を示します。


Router(config)#key config-key password-encrypt <cisco123>
Router(config)#password encryption aes
Router(config)#telephony-service
Router(config-telephony)encrypt password

（注）

Unified Cisco Mobility Express ルータでパスワードの暗号化解除（タイプ 0）用の no encrypt password を構成します。タイプ 0 が構成されている場合、パスワードは暗号化されていないプレーンテキストとして表示されます。

Cisco IOS CA の構成例

crypto pki server iosca
		 grant auto
		 database url flash:
		!
		crypto pki trustpoint iosca
		 revocation-check none
		 rsakeypair iosca
		!
		crypto pki certificate chain iosca
		 certificate ca 01
		  308201F9 30820162 ...

Cisco Unified Cisco Mobility Express ルータへの MIC ルート証明書の手動インポート例

次の例は、ルータにインポートされる 3 つの証明書（7970、7960、PEM）の例を示しています。

Router(config)# crypto pki trustpoint 7970  
		Router(ca-trustpoint)# revocation-check none  
		Router(ca-trustpoint)# enrollment terminal  
		Router(ca-trustpoint)# exit  
		Router(config)# crypto pki authenticate 7970 
		
		Enter the base 64 encoded CA certificate. 
		End with a blank line or the word "quit" on a line by itself
		MIIDqDCCApCgAwIBAgIQNT+yS9cPFKNGwfOprHJWdTANBgkqhkiG9w0BAQUFADAu 
		MRYwFAYDVQQKEw1DaXNjbyBTeXN0ZW1zMRQwEgYDVQQDEwtDQVAtUlRQLTAwMjAe 
		Fw0wMzEwMTAyMDE4NDlaFw0yMzEwMTAyMDI3MzdaMC4xFjAUBgNVBAoTDUNpc2Nv 
		IFN5c3RlbXMxFDASBgNVBAMTC0NBUC1SVFAtMDAyMIIBIDANBgkqhkiG9w0BAQEF 
		AAOCAQ0AMIIBCAKCAQEAxCZlBK19w/2NZVVvpjCPrpW1cCY7V1q9lhzI85RZZdnQ 
		2M4CufgIzNa3zYxGJIAYeFfcRECnMB3f5A+x7xNiEuzE87UPvK+7S80uWCY0Uhtl 
		AVVf5NQgZ3YDNoNXg5MmONb8lT86F55EZyVac0XGne77TSIbidejrTgYQXGP2MJx 
		Qhg+ZQlGFDRzbHfM84Duv2Msez+l+SqmqO80kIckqE9Nr3/XCSj1hXZNNVg8D+mv 
		Hth2P6KZqAKXAAStGRLSZX3jNbS8tveJ3Gi5+sj9+F6KKK2PD0iDwHcRKkcUHb7g 
		lI++U/5nswjUDIAph715Ds2rn9ehkMGipGLF8kpuCwIBA6OBwzCBwDALBgNVHQ8E 
		BAMCAYYwDwYDVR0TAQH/BAUwAwEB/zAdBgNVHQ4EFgQUUpIr4ojuLgmKTn5wLFal 
		mrTUm5YwbwYDVR0fBGgwZjBkoGKgYIYtaHR0cDovL2NhcC1ydHAtMDAyL0NlcnRF 
		bnJvbGwvQ0FQLVJUUC0wMDIuY3Jshi9maWxlOi8vXFxjYXAtcnRwLTAwMlxDZXJ0 
		RW5yb2xsXENBUC1SVFAtMDAyLmNybDAQBgkrBgEEAYI3FQEEAwIBADANBgkqhkiG 
		9w0BAQUFAAOCAQEAVoOM78TaOtHqj7sVL/5u5VChlyvU168f0piJLNWip2vDRihm 
		E+DlXdwMS5JaqUtuaSd/m/xzxpcRJm4ZRRwPq6VeaiiQGkjFuZEe5jSKiSAK7eHg 
		tup4HP/ZfKSwPA40DlsGSYsKNMm3OmVOCQUMH02lPkS/eEQ9sIw6QS7uuHN4y4CJ 
		NPnRbpFRLw06hnStCZHtGpKEHnY213QOy3h/EWhbnp0MZ+hdr20FujSI6G1+L39l 
		aRjeD708f2fYoz9wnEpZbtn2Kzse3uhU1Ygq1D1x9yuPq388C18HWdmCj4OVTXux 
		V6Y47H1yv/GJM8FvdgvKlExbGTFnlHpPiaG9tQ== 
		quit  
		Certificate has the following attributes: 
		Fingerprint MD5: F7E150EA 5E6E3AC5 615FC696 66415C9F 
		Fingerprint SHA1: 1BE2B503 DC72EE28 0C0F6B18 798236D8 D3B18BE6 
		% Do you accept this certificate? [yes/no]: y  
		Trustpoint CA certificate accepted. 
		% Certificate successfully imported 
		Router(config)# crypto pki trustpoint 7960  
		Router(ca-trustpoint)# revocation-check none  
		Router(ca-trustpoint)# enrollment terminal  
		Router(ca-trustpoint)# exit  
		Router(config)# crypto pki authenticate 7960 
		
		Enter the base 64 encoded CA certificate. 
		
		End with a blank line or the word "quit" on a line by itself
		MIICKDCCAZGgAwIBAgIC8wEwDQYJKoZIhvcNAQEFBQAwQDELMAkGA1UEBhMCVVMx 
		GjAYBgNVBAoTEUNpc2NvIFN5c3RlbXMgSW5jMRUwEwYDVQQDEwxDQVBGLTdEN0Qw 
		QzAwHhcNMDQwNzE1MjIzODMyWhcNMTkwNzEyMjIzODMxWjBAMQswCQYDVQQGEwJV 
		UzEaMBgGA1UEChMRQ2lzY28gU3lzdGVtcyBJbmMxFTATBgNVBAMTDENBUEYtN0Q3 
		RDBDMDCBnzANBgkqhkiG9w0BAQEFAAOBjQAwgYkCgYEA0hvMOZZ9ENYWme11YGY1 
		it2rvE3Nk/eqhnv8P9eqB1iqt+fFBeAG0WZ5bO5FetdU+BCmPnddvAeSpsfr3Z+h 
		x+r58fOEIBRHQLgnDZ+nwYH39uwXcRWWqWwlW147YHjV7M5c/R8T6daCx4B5NBo6 
		kdQdQNOrV3IP7kQaCShdM/kCAwEAAaMxMC8wDgYDVR0PAQH/BAQDAgKEMB0GA1Ud 
		JQQWMBQGCCsGAQUFBwMBBggrBgEFBQcDBTANBgkqhkiG9w0BAQUFAAOBgQCaNi6x 
		sL6M5NlDezpSBO3QmUVyXMfrONV2ysrSwcXzHu0gJ9MSJ8TwiQmVaJ47hSTlF5a8 
		YVYJ0idifXbXRo+/EEO7kkmFE8MZta5rM7UWj8bAeR42iqA3RzQaDwuJgNWT9Fhh 
		GgfuNAlo5h1AikxsvxivmDlLdZyCMoqJJd7B2Q== 
		quit  
		Certificate has the following attributes: 
		Fingerprint MD5: 4B9636DF 0F3BA6B7 5F54BE72 24762DBC 
		Fingerprint SHA1: A9917775 F86BB37A 5C130ED2 3E528BB8 286E8C2D 
		% Do you accept this certificate? [yes/no]: y  
		Trustpoint CA certificate accepted. 
		% Certificate successfully imported
		
		
		Router(config)# crypto pki trustpoint PEM  
		Router(ca-trustpoint)# revocation-check none  
		Router(ca-trustpoint)# enrollment terminal  
		Router(ca-trustpoint)# exit  
		Router(config)# crypto pki authenticate PEM 
		
		Enter the base 64 encoded CA certificate. 
		End with a blank line or the word "quit" on a line by itself
		MIIDqDCCApCgAwIBAgIQdhL5YBU9b59OQiAgMrcjVjANBgkqhkiG9w0BAQUFADAu 
		MRYwFAYDVQQKEw1DaXNjbyBTeXN0ZW1zMRQwEgYDVQQDEwtDQVAtUlRQLTAwMTAe 
		Fw0wMzAyMDYyMzI3MTNaFw0yMzAyMDYyMzM2MzRaMC4xFjAUBgNVBAoTDUNpc2Nv 
		IFN5c3RlbXMxFDASBgNVBAMTC0NBUC1SVFAtMDAxMIIBIDANBgkqhkiG9w0BAQEF 
		AAOCAQ0AMIIBCAKCAQEArFW77Rjem4cJ/7yPLVCauDohwZZ/3qf0sJaWlLeAzBlq 
		Rj2lFlSij0ddkDtfEEo9VKmBOJsvx6xJlWJiuBwUMDhTRbsuJz+npkaGBXPOXJmN >
		Vd54qlpc/hQDfWlbrIFkCcYhHws7vwnPsLuy1Kw2L2cP0UXxYghSsx8H4vGqdPFQ 
		NnYy7aKJ43SvDFt4zn37n8jrvlRuz0x3mdbcBEdHbA825Yo7a8sk12tshMJ/YdMm 
		vny0pmDNZXmeHjqEgVO3UFUn6GVCO+K1y1dUU1qpYJNYtqLkqj7wgccGjsHdHr3a 
		U+bw1uLgSGsQnxMWeMaWo8+6hMxwlANPweufgZMaywIBA6OBwzCBwDALBgNVHQ8E 
		BAMCAYYwDwYDVR0TAQH/BAUwAwEB/zAdBgNVHQ4EFgQU6Rexgscfz6ypG270qSac 
		cK4FoJowbwYDVR0fBGgwZjBkoGKgYIYtaHR0cDovL2NhcC1ydHAtMDAxL0NlcnRF 
		bnJvbGwvQ0FQLVJUUC0wMDEuY3Jshi9maWxlOi8vXFxjYXAtcnRwLTAwMVxDZXJ0 
		RW5yb2xsXENBUC1SVFAtMDAxLmNybDAQBgkrBgEEAYI3FQEEAwIBADANBgkqhkiG 
		9w0BAQUFAAOCAQEAq2T96/YMMtw2Dw4QX+F1+g1XSrUCrNyjx7vtFaRDHyB+kobw 
		dwkpohfkzfTyYpJELzV1r+kMRoyuZ7oIqqccEroMDnnmeApc+BRGbDJqS1Zzk4OA 
		c6Ea7fm53nQRlcSPmUVLjDBzKYDNbnEjizptaIC5fgB/S9S6C1q0YpTZFn5tjUjy 
		WXzeYSXPrcxb0UH7IQJ1ogpONAAUKLoPaZU7tVDSH3hD4+VjmLyysaLUhksGFrrN 
		phzZrsVVilK17qpqCPllKLGAS4fSbkruq3r/6S/SpXS6/gAoljBKixP7ZW2PxgCU 
		1aU9cURLPO95NDOFN3jBk3Sips7cVidcogowPQ== 
		quit  
		
		Certificate has the following attributes: 
		Fingerprint MD5: 233C8E33 8632EA4E 76D79FEB FFB061C6 
		Fingerprint SHA1: F7B40B94 5831D2AB 447AB8F2 25990732 227631BE 
		% Do you accept this certificate? [yes/no]: y  
		Trustpoint CA certificate accepted. 
		% Certificate successfully imported

show crypto pki trustpoint status コマンドを使用すると、登録が成功し、5 つの CA 証明書が許可されたことが表示されます。5 つの証明書には、入力されたばかりの 3 つの証明書と、CA サーバ証明書、およびルータ証明書が含まれています。

Router# show crypto pki trustpoint status 
		
		Trustpoint 7970: 
		Issuing CA certificate configured: 
		Subject Name: 
		cn=CAP-RTP-002,o=Cisco Systems 
		Fingerprint MD5: F7E150EA 5E6E3AC5 615FC696 66415C9F 
		Fingerprint SHA1: 1BE2B503 DC72EE28 0C0F6B18 798236D8 D3B18BE6 
		State: 
		Keys generated ............. Yes (General Purpose) 
		Issuing CA authenticated ....... Yes 
		Certificate request(s) ..... None 
		Trustpoint 7960: 
		Issuing CA certificate configured: 
		Subject Name: 
		cn=CAPF-508A3754,o=Cisco Systems Inc,c=US 
		Fingerprint MD5: 6BAE18C2 0BCE391E DAE2FE4C 5810F576 
		Fingerprint SHA1: B7735A2E 3A5C274F C311D7F1 3BE89942 355102DE 
		State: 
		Keys generated ............. Yes (General Purpose) 
		Issuing CA authenticated ....... Yes 
		Certificate request(s) ..... None 
		Trustpoint PEM: 
		Issuing CA certificate configured: 
		Subject Name: 
		cn=CAP-RTP-001,o=Cisco Systems 
		Fingerprint MD5: 233C8E33 8632EA4E 76D79FEB FFB061C6 
		Fingerprint SHA1: F7B40B94 5831D2AB 447AB8F2 25990732 227631BE 
		State: 
		Keys generated ............. Yes (General Purpose) 
		Issuing CA authenticated ....... Yes 
		Certificate request(s) ..... None 
		Trustpoint srstcaserver: 
		Issuing CA certificate configured: 
		Subject Name: 
		cn=srstcaserver 
		Fingerprint MD5: 6AF5B084 79C93F2B 76CC8FE6 8781AF5E 
		Fingerprint SHA1: 47D30503 38FF1524 711448B4 9763FAF6 3A8E7DCF 
		State: 
		Keys generated ............. Yes (General Purpose) 
		Issuing CA authenticated ....... Yes 
		Certificate request(s) ..... None 
		
		Trustpoint srstca: 
		Issuing CA certificate configured: 
		Subject Name: 
		cn=srstcaserver 
		Fingerprint MD5: 6AF5B084 79C93F2B 76CC8FE6 8781AF5E 
		Fingerprint SHA1: 47D30503 38FF1524 711448B4 9763FAF6 3A8E7DCF 
		Router General Purpose certificate configured:
		Subject Name: 
		serialNumber=F3246544+hostname=c2611XM-sSRST.cisco.com 
		Fingerprint: 35471295 1C907EC1 45B347BC 7A9C4B86 
		State: 
		Keys generated ............. Yes (General Purpose) 
		Issuing CA authenticated ....... Yes 
		Certificate request(s) ..... Yes

Telephony-Service Security パラメータの構成例

次の例は、Cisco Unified CME のセキュリティパラメータを示しています。


  telephony-service
		 device-security-mode authenticated
		 secure-signaling trustpoint cme-sccp
		 tftp-server-credentials trustpoint cme-tftp
		 load-cfg-file slot0:Ringlist.xml alias Ringlist.xml sign create
		
		ephone 24
		 device-security-mode authenticated
		 capf-auth-str 2734
		 cert-oper upgrade auth-mode auth-string

Cisco Unified Cisco Mobility Express ルータで実行する CLT クライアントの構成例

ctl-client
 server capf 10.1.1.1 trustpoint cmeserver
 server cme 10.1.1.1 trustpoint cmeserver
 server tftp 10.1.1.1 trustpoint cmeserver
 sast1 trustpoint cmeserver
 sast2 trustpoint sast2 CTL Client Running on Another Router: Example
ctl-client
 server cme 10.1.1.100 trustpoint cmeserver
 server cme 10.1.1.1 username cisco password 1 0822455D0A16544541
 sast1 trustpoint cmeserver
 sast2 trustpoint sast1 CAPF Server: Example
!
ip dhcp pool cme-pool
   network 10.1.1.0 255.255.255.0
   option 150 ip 10.1.1.1
   default-router 10.1.1.1 
!
capf-server
 port 3804
 auth-mode null-string
 cert-enroll-trustpoint iosra password 1 00071A1507545A545C
 trustpoint-label cmeserver
 source-addr 10.1.1.1
!
crypto pki server iosra
 grant auto
 mode ra
 database url slot0:
!
crypto pki trustpoint cmeserver
 enrollment url http://10.1.1.100:80
 serial-number
 revocation-check none
 rsakeypair cmeserver
!
crypto pki trustpoint sast2
 enrollment url http://10.1.1.100:80
 serial-number
 revocation-check none
 rsakeypair sast2
!
!

crypto pki trustpoint iosra
		 enrollment url http://10.1.1.200:80
		 revocation-check none
		 rsakeypair iosra
		!
		!
		crypto pki certificate chain cmeserver
		 certificate 1B
		  30820207 30820170 A0030201 0202011B 300D0609 2A864886 F70D0101 04050030 
		  ....
		  quit
		 certificate ca 01
		  3082026B 308201D4 A0030201 02020101 300D0609 2A864886 F70D0101 04050030 
		  ...
		  quit
		crypto pki certificate chain sast2
		 certificate 1C
		  30820207 30820170 A0030201 0202011C 300D0609 2A864886 F70D0101 04050030 
		  ....
		  quit
		 certificate ca 01
		  3082026B 308201D4 A0030201 02020101 300D0609 2A864886 F70D0101 04050030 
		  .....
		  quit
		crypto pki certificate chain capf-tp
		crypto pki certificate chain iosra
		 certificate 04
		  30820201 3082016A A0030201 02020104 300D0609 2A864886 F70D0101 04050030 
		  ......
		 certificate ca 01
		  308201F9 30820162 A0030201 02020101 300D0609 2A864886 F70D0101 04050030 
		  ....
		  quit
		!
		!
		credentials
		 ctl-service admin cisco secret 1 094F471A1A0A464058
		 ip source-address 10.1.1.1 port 2444
		 trustpoint cmeserver
		!
		!
		telephony-service
		 no auto-reg-ephone
		 load 7960-7940 P00307010200
		 load 7914 S00104000100
		 load 7941GE TERM41.7-0-0-129DEV
		 load 7970 TERM70.7-0-0-77DEV
		 max-ephones 20
		 max-dn 10
		 ip source-address 10.1.1.1 port 2000 secondary 10.1.1.100
		 secure-signaling trustpoint cmeserver
		 cnf-file location flash:
		 cnf-file perphone
		 dialplan-pattern 1 2... extension-length 4
		 max-conferences 8 gain -6
		 transfer-pattern ....
		 tftp-server-credentials trustpoint cmeserver
		 server-security-mode secure
		 device-security-mode encrypted
		 load-cfg-file slot0:Ringlist.xml alias Ringlist.xml sign
		 load-cfg-file slot0:P00307010200.bin alias P00307010200.bin
		 load-cfg-file slot0:P00307010200.loads alias P00307010200.loads
		 load-cfg-file slot0:P00307010200.sb2 alias P00307010200.sb2
		 load-cfg-file slot0:P00307010200.sbn alias P00307010200.sbn
		 load-cfg-file slot0:cnu41.2-7-4-116dev.sbn alias cnu41.2-7-4-116dev.sbn
		 load-cfg-file slot0:Jar41.2-9-0-101dev.sbn alias Jar41.2-9-0-101dev.sbn
		 load-cfg-file slot0:CVM41.2-0-0-96dev.sbn alias CVM41.2-0-0-96dev.sbn
		 load-cfg-file slot0:TERM41.DEFAULT.loads alias TERM41.DEFAULT.loads
		 load-cfg-file slot0:TERM70.DEFAULT.loads alias TERM70.DEFAULT.loads
		 load-cfg-file slot0:Jar70.2-9-0-54dev.sbn alias Jar70.2-9-0-54dev.sbn
		 load-cfg-file slot0:cnu70.2-7-4-58dev.sbn alias cnu70.2-7-4-58dev.sbn
		 load-cfg-file slot0:CVM70.2-0-0-49dev.sbn alias CVM70.2-0-0-49dev.sbn
		 load-cfg-file slot0:DistinctiveRingList.xml alias DistinctiveRingList.xml sign
		 load-cfg-file slot0:Piano1.raw alias Piano1.raw sign
		 load-cfg-file slot0:S00104000100.sbn alias S00104000100.sbn
		 create cnf-files version-stamp 7960 Aug 13 2005 12:39:24
		!
		!
		ephone  1
		 device-security-mode encrypted
		 cert-oper upgrade auth-mode null-string
		 mac-address 000C.CE3A.817C
		 type 7960 addon 1 7914
		 button  1:2 8:8
		!
		!
		ephone  2
		 device-security-mode encrypted
		 capf-auth-str 2476
		 cert-oper upgrade auth-mode null-string
		 mac-address 0011.2111.6BDD
		 type 7970
		 button  1:1
		!
		!
		ephone  3
		 device-security-mode encrypted
		 capf-auth-str 5425
		 cert-oper upgrade auth-mode null-string
		 mac-address 000D.299D.50DF
		 type 7970
		 button  1:3
		!
		!
		ephone  4
		 device-security-mode encrypted
		 capf-auth-str 7176
		 cert-oper upgrade auth-mode null-string
		 mac-address 000E.D7B1.0DAC
		 type 7960
		 button  1:4
		!
		!
		ephone  5
		 device-security-mode encrypted
		 mac-address 000F.9048.5077
		 type 7960
		 button  1:5
		!
		!
		ephone  6
		 device-security-mode encrypted
		 mac-address 0013.C352.E7F1
		 type 7941GE
		 button  1:6
		!

セキュアな Unified Cisco Mobility Express の例

Router# show running-config 
		
		Building configuration...
		
		Current configuration : 12735 bytes
		!
		! No configuration change since last restart
		!
		version 12.4
		service timestamps debug datetime msec
		service timestamps log datetime msec
		no service password-encryption
		service internal
		!
		hostname Router
		!
		boot-start-marker
		boot-end-marker
		!
		card type e1 1 1
		logging queue-limit 1000
		logging buffered 9999999 debugging
		logging rate-limit 10000
		no logging console
		!
		aaa new-model
		!
		!
		aaa accounting connection h323 start-stop group radius
		!
		aaa session-id common
		!
		resource policy
		!
		clock timezone IST 5
		no network-clock-participate slot 1
		!
		!
		ip cef
		!
		!
		isdn switch-type primary-net5
		!
		voice-card 0
		 no dspfarm
		!
		voice-card 1
		 no dspfarm
		!
		!
		ctl-client
		 server capf 10.13.32.11 trustpoint mytrustpoint1
		 server tftp 10.13.32.11 trustpoint mytrustpoint1
		 server cme 10.13.32.11 trustpoint mytrustpoint1
		 sast1 trustpoint mytrustpoint1>
		 sast2 trustpoint sast2
		!
		capf-server
		 port 3804
		 auth-mode null-string
		 cert-enroll-trustpoint iosra password 1 mypassword
		 trustpoint-label mytrustpoint1
		 source-addr 10.13.32.11
		 phone-key-size 512
		!
		voice call debug full-guid
		!
		voice service voip
		 srtp fallback
		 allow-connections h323 to h323
		 no supplementary-service h450.2
		 no supplementary-service h450.3
		 no supplementary-service h450.7
		 supplementary-service media-renegotiate
		 h323
		  emptycapability
		  ras rrq ttl 4000
		!
		!
		voice class codec 2
		 codec preference 1 g711alaw
		 codec preference 2 g711ulaw
		!
		voice class codec 3
		 codec preference 1 g729r8
		 codec preference 8 g711alaw
		 codec preference 9 g711ulaw
		!
		voice class codec 1
		 codec preference 1 g729r8
		 codec preference 2 g728
		 codec preference 3 g723ar63
		 codec preference 4 g711ulaw
		!
		!
		voice iec syslog
		voice statistics type iec
		voice statistics time-range since-reset
		!
		!
		!
		crypto pki server myra
		 database level complete
		 grant auto
		 lifetime certificate 1800
		!
		crypto pki trustpoint myra
		 enrollment url http://10.13.32.11:80
		 revocation-check none
		 rsakeypair iosra
		!
		crypto pki trustpoint mytrustpoint1
		 enrollment url http://10.13.32.11:80
		 revocation-check none
		 rsakeypair mytrustpoint1
		!
		crypto pki trustpoint sast2
		 enrollment url http://10.13.32.11:80
		 revocation-check none
		 rsakeypair sast2
		!
		!
		crypto pki certificate chain myra
		 certificate ca 01
		  308201F9 30820162 A0030201 02020101 300D0609 2A864886 F70D0101 04050030
		  10310E30 0C060355 04031305 696F7372 61301E17 0D303630 37303730 35343031
		  375A170D 30393037 30363035 34303137 5A301031 0E300C06 03550403 1305696F
		  73726130 819F300D 06092A86 4886F70D 01010105 0003818D 00308189 02818100
		  D8CE29F9 C9FDB1DD 0E1517E3 6CB4AAF7 52B83DE2 1C017ACA DFC4AF42 F9D10D08
		  E74BF95B 29378902 B49E32C4 85907384 84CAE4B2 7759BB84 8AB1F578 580793C4
		 B11A2DBE B2ED02CC DA0C3824 A5FCC377 18CE87EA C0C297BA BE54530F E62247D8
		  1483CD14 9FD89EFE 05DFBB37 E03FD3F8 B2B1C0B8 A1931BCC B1174A9E 6566F8F5
		  02030100 01A36330 61300F06 03551D13 0101FF04 05300301 01FF300E 0603551D
		  0F0101FF 04040302 0186301F 0603551D 23041830 168014B7 16F6FD67 29666C90
		  D0C62515 E14265A9 EB256230 1D060355 1D0E0416 0414B716 F6FD6729 666C90D0
		  C62515E1 4265A9EB 2562300D 06092A86 4886F70D 01010405 00038181 002B7F41
		  64535A66 D20D888E 661B9584 5E3A28DF 4E5A95B9 97E57CAE B07A7C38 7F3B60EE
		  75C7E5DE 6DF19B06 5F755FB5 190BABFC EF272CEF 865FE01B 1CE80F98 F320A569
		  CAFFA5D9 3DB3E7D8 8A86C66C F227FF81 6C4449F2 AF8015D9 8129C909 81AFDC01
		  180B61E8 85E19873 96DB3AE3 E6B70726 9BF93521 CA2FA906 99194ECA 8F
		  quit
		crypto pki certificate chain mytrustpoint1
		 certificate 02
		  308201AB 30820114 A0030201 02020102 300D0609 2A864886 F70D0101 04050030
		  10310E30 0C060355 04031305 696F7372 61301E17 0D303630 37303730 35343233
		 385A170D 30393037 30363035 34303137 5A301A31 18301606 092A8648 86F70D01
		  09021609 32383531 2D434D45 32305C30 0D06092A 864886F7 0D010101 0500034B
		  00304802 4100B3ED A902646C 3851B7F6 CF94887F 0EC437E3 3B6FEDB2 2B4B45A6
		  3611C243 5A0759EA 1E8D96D1 60ABE028 ED6A3F2A E95DCE45 BE0921AF 82E53E57
		  17CC12F0 C1270203 010001A3 4F304D30 0B060355 1D0F0404 030205A0 301F0603
		  551D2304 18301680 14B716F6 FD672966 6C90D0C6 2515E142 65A9EB25 62301D06
		  03551D0E 04160414 4EE1943C EA817A9E 7010D5B8 0467E9B0 6BA76746 300D0609
		  2A864886 F70D0101 04050003 81810003 564A6DA1 868B2669 7C096F9A 41173CFC
		  E49246EE C645E30B A0753E3B E1A265D1 6EA5A829 F10CD0E8 3F2E3AD4 39D8DFE8
		  83525F2B D19F5E15 F27D6262 62852D1F 43629B68 86D91B5F 7B2E2C25 3BD2CCC3
		  00EF4028 714339B2 6A7E0B2F 131D2D9E 0BE08853 5CCAE47C 4F74953C 19305A20
		  B2C97808 D6E01351 48366421 A1D407
		  quit
		 certificate ca 01
		  308201F9 30820162 A0030201 02020101 300D0609 2A864886 F70D0101 04050030
		  10310E30 0C060355 04031305 696F7372 61301E17 0D303630 37303730 35343031
		  375A170D 30393037 30363035 34303137 5A301031 0E300C06 03550403 1305696F
		  73726130 819F300D 06092A86 4886F70D 01010105 0003818D 00308189 02818100
		  D8CE29F9 C9FDB1DD 0E1517E3 6CB4AAF7 52B83DE2 1C017ACA DFC4AF42 F9D10D08
		  E74BF95B 29378902 B49E32C4 85907384 84CAE4B2 7759BB84 8AB1F578 580793C4
		  B11A2DBE B2ED02CC DA0C3824 A5FCC377 18CE87EA C0C297BA BE54530F E62247D8
		  1483CD14 9FD89EFE 05DFBB37 E03FD3F8 B2B1C0B8 A1931BCC B1174A9E 6566F8F5
		  02030100 01A36330 61300F06 03551D13 0101FF04 05300301 01FF300E 0603551D
		  0F0101FF 04040302 0186301F 0603551D 23041830 168014B7 16F6FD67 29666C90
		  D0C62515 E14265A9 EB256230 1D060355 1D0E0416 0414B716 F6FD6729 666C90D0
		  C62515E1 4265A9EB 2562300D 06092A86 4886F70D 01010405 00038181 002B7F41
		  64535A66 D20D888E 661B9584 5E3A28DF 4E5A95B9 97E57CAE B07A7C38 7F3B60EE
		  75C7E5DE 6DF19B06 5F755FB5 190BABFC EF272CEF 865FE01B 1CE80F98 F320A569
		  CAFFA5D9 3DB3E7D8 8A86C66C F227FF81 6C4449F2 AF8015D9 8129C909 81AFDC01
		  180B61E8 85E19873 96DB3AE3 E6B70726 9BF93521 CA2FA906 99194ECA 8F
		  quit
		crypto pki certificate chain sast2
		 certificate 03
		  308201AB 30820114 A0030201 02020103 300D0609 2A864886 F70D0101 04050030
		  10310E30 0C060355 04031305 696F7372 61301E17 0D303630 37303730 35343331
		  375A170D 30393037 30363035 34303137 5A301A31 18301606 092A8648 86F70D01
		  09021609 32383531 2D434D45 32305C30 0D06092A 864886F7 0D010101 0500034B
		  00304802 4100C703 840B11A7 81FCE5AE A14FE593 5114D3C2 5473F488 B8FB4CC5
		  41EAFA3A D99381D8 21AE6AA9 BA83A84E 9DF3E8C6 54978787 5EF6CC35 C334D55E
		  A3051372 17D30203 010001A3 4F304D30 0B060355 1D0F0404 030205A0 301F0603
		  551D2304 18301680 14B716F6 FD672966 6C90D0C6 2515E142 65A9EB25 62301D06
		  03551D0E 04160414 EB2146B4 EE24AA61 8B5D2F8D 2AD3B786 CBADC8F2 300D0609
		  2A864886 F70D0101 04050003 81810057 BA0053E9 8FD54B25 72D85A4C CAB47F26
		  8316F494 E94DFFB9 8E9D065C 9748465C F54719CA C7724F50 67FBCAFF BC332109
		  DC2FB93D 5AD86583 EDC3E648 39274CE8 D4A5F002 5F21ED3C 6D524AB7 7F5B1876
		  51867027 9BD2FFED 06984558 C903064E 5552015F 289BA9BB 308D327A DFE0A3B9
		  78CF2B02 2DD4C208 80CDC0A8 43A26A
		  quit
		 certificate ca 01
		  308201F9 30820162 A0030201 02020101 300D0609 2A864886 F70D0101 04050030
		  10310E30 0C060355 04031305 696F7372 61301E17 0D303630 37303730 35343031
		  375A170D 30393037 30363035 34303137 5A301031 0E300C06 03550403 1305696F
		  73726130 819F300D 06092A86 4886F70D 01010105 0003818D 00308189 02818100
		  D8CE29F9 C9FDB1DD 0E1517E3 6CB4AAF7 52B83DE2 1C017ACA DFC4AF42 F9D10D08
		  E74BF95B 29378902 B49E32C4 85907384 84CAE4B2 7759BB84 8AB1F578 580793C4
		  B11A2DBE B2ED02CC DA0C3824 A5FCC377 18CE87EA C0C297BA BE54530F E62247D8
		  1483CD14 9FD89EFE 05DFBB37 E03FD3F8 B2B1C0B8 A1931BCC B1174A9E 6566F8F5
		  02030100 01A36330 61300F06 03551D13 0101FF04 05300301 01FF300E 0603551D
		  0F0101FF 04040302 0186301F 0603551D 23041830 168014B7 16F6FD67 29666C90
		  D0C62515 E14265A9 EB256230 1D060355 1D0E0416 0414B716 F6FD6729 666C90D0
		  C62515E1 4265A9EB 2562300D 06092A86 4886F70D 01010405 00038181 002B7F41
		  64535A66 D20D888E 661B9584 5E3A28DF 4E5A95B9 97E57CAE B07A7C38 7F3B60EE
		  75C7E5DE 6DF19B06 5F755FB5 190BABFC EF272CEF 865FE01B 1CE80F98 F320A569
		  CAFFA5D9 3DB3E7D8 8A86C66C F227FF81 6C4449F2 AF8015D9 8129C909 81AFDC01
		  180B61E8 85E19873 96DB3AE3 E6B70726 9BF93521 CA2FA906 99194ECA 8F
		  quit
		!
		!
		username admin password 0 mypassword2
		username cisco password 0 mypassword2
		!
		!
		controller E1 1/0
		 pri-group timeslots 1-31
		!
		controller E1 1/1
		 pri-group timeslots 1-31
		gw-accounting aaa
		!
		!
		!
		!
		!
		interface GigabitEthernet0/0
		 ip address 10.13.32.11 255.255.255.0
		 duplex auto
		 speed auto
		 fair-queue 64 256 32
		 h323-gateway voip interface
		 h323-gateway voip id GK1 ipaddr 10.13.32.13 1719
		 h323-gateway voip id GK2 ipaddr 10.13.32.16 1719
		 h323-gateway voip h323-id 2851-CiscoUnifiedCME
		 h323-gateway voip tech-prefix 1#
		 ip rsvp bandwidth 1000 100
		!
		interface GigabitEthernet0/1
		 no ip address
		 shutdown
		 duplex auto
		 speed auto
		!
		interface Serial1/0:15
		 no ip address
		 encapsulation hdlc
		 isdn switch-type primary-net5
		 isdn protocol-emulate network
		 isdn incoming-voice voice
		 no cdp enable
		!
		interface Serial1/1:15
		 no ip address
		 encapsulation hdlc
		 isdn switch-type primary-net5
		 isdn protocol-emulate network
		 isdn incoming-voice voice
		 no cdp enable
		!
		ip route 0.0.0.0 0.0.0.0 10.13.32.1
		!
		!
		ip http server
		ip http authentication local
		no ip http secure-server
		ip http path flash:
		!
		!
		!
		!
		!
		!
		tftp-server flash:music-on-hold.au
		tftp-server flash:TERM70.DEFAULT.loads
		tftp-server flash:TERM71.DEFAULT.loads
		tftp-server flash:P00308000300.bin
		tftp-server flash:P00308000300.loads
		tftp-server flash:P00308000300.sb2
		tftp-server flash:P00308000300.sbn
		tftp-server flash:SCCP70.8-0-3S.loads
		tftp-server flash:cvm70sccp.8-0-2-25.sbn
		tftp-server flash:apps70.1-1-2-26.sbn
		tftp-server flash:dsp70.1-1-2-26.sbn
		tftp-server flash:cnu70.3-1-2-26.sbn
		tftp-server flash:jar70sccp.8-0-2-25.sbn
		radius-server host 10.13.32.241 auth-port 1645 acct-port 1646
		radius-server timeout 40
		radius-server deadtime 2
		radius-server key cisco
		radius-server vsa send accounting
		!
		control-plane
		!
		no call rsvp-sync
		!
		!
		voice-port 1/0/0
		!
		voice-port 1/0/1
		!
		voice-port 1/0:15
		!
		voice-port 1/1:15
		!
		!
		!
		!
		!
		dial-peer voice 1 voip
		 destination-pattern ........
		 voice-class codec 2
		 session target ras
		 incoming called-number 9362....
		 dtmf-relay h245-alphanumeric
		 req-qos controlled-load audio
		!
		dial-peer voice 2 pots
		 destination-pattern 93621101
		!
		dial-peer voice 3 pots
		 destination-pattern 93621102
		!
		dial-peer voice 10 voip
		 destination-pattern 2668....
		 voice-class codec 1
		 session target ipv4:10.13.46.200
		!
		dial-peer voice 101 voip
		 shutdown
		 destination-pattern 5694....
		 voice-class codec 1
		 session target ipv4:10.13.32.10
		 incoming called-number 9362....
		!
		dial-peer voice 102 voip
		 shutdown
		 destination-pattern 2558....
		 voice-class codec 1
		 session target ipv4:10.13.32.12
		 incoming called-number 9362....
		!
		dial-peer voice 103 voip
		 shutdown
		 destination-pattern 9845....
		 voice-class codec 1
		 session target ipv4:10.13.32.14
		 incoming called-number 9362....
		!
		dial-peer voice 104 voip
		 shutdown
		 destination-pattern 9844....
		 voice-class codec 1
		 session target ipv4:10.13.32.15
		 incoming called-number 9362....
		!
		dial-peer voice 201 pots
		 destination-pattern 93625...
		 no digit-strip
		 direct-inward-dial
		 port 1/0:15
		!
		dial-peer voice 202 pots
		 destination-pattern 93625...
		 no digit-strip
		 direct-inward-dial
		 port 1/1:15
		!
		!
		gateway
		 timer receive-rtp 1200
		!
		!
		!
		telephony-service
		 load 7960-7940 P00308000300
		 max-ephones 4
		 max-dn 4
		 ip source-address 10.13.32.11 port 2000
		 auto assign 1 to 4
		 secure-signaling trustpoint mytrustpoint1
		 cnf-file location flash:
		 cnf-file perphone
		 voicemail 25589000
		 max-conferences 4 gain -6
		call-forward pattern .T
		 moh flash:music-on-hold.au
		 web admin system name admin password mypassword2
		 dn-webedit
		 time-webedit
		 transfer-system full-consult
		 transfer-pattern ........
		 tftp-server-credentials trustpoint mytrustpoint1
		 server-security-mode secure
		 device-security-mode encrypted
		 create cnf-files version-stamp 7960 Oct 25 2006 07:19:39
		!
		!
		ephone-dn  1
		 number 93621000
		 name 2851-PH1
		 call-forward noan 25581101 timeout 10
		!
		!
		ephone-dn  2
		 number 93621001
		 name 2851-PH2
		 call-forward noan 98441000 timeout 10
		!
		!
		ephone-dn  3
		 number 93621002
		 name 2851-PH3
		!
		!
		ephone-dn  4
		 number 93621003
		 name 2851-PH4
		!
		!
		ephone  1
	        capf-ip-in-cnf
               no multicast-moh
		 device-security-mode encrypted
		 mac-address 0012.4302.A7CC
		 type 7970
		 button  1:1
		!
		!
		!
		ephone  2
               capf-ip-in-cnf
		 no multicast-moh
		 device-security-mode encrypted
		 mac-address 0017.94CA.9CCD
		 type 7960
		 button  1:2
		!
		!
		!
		ephone  3
               capf-ip-in-cnf
		 no multicast-moh
		 device-security-mode encrypted
		 mac-address 0017.94CA.9833
		 type 7960
		 button  1:3
		!
		!
		!
		ephone  4
               capf-ip-in-cnf
		 no multicast-moh
		 device-security-mode none
		 mac-address 0017.94CA.A141
		 type 7960
		 button  1:4
		!
		!
		!
		line con 0
		 logging synchronous level all limit 20480000
		line aux 0
		line vty 0 4
		!
		scheduler allocate 20000 1000
		ntp clock-period 17179791
		ntp server 10.13.32.12
		!
		webvpn context Default_context
		 ssl authenticate verify all
		 !
		 no inservice
		!
		!
		end

Cisco Unified Cisco Mobility Express の HTTPS サポートの構成例

Cisco Unified Cisco Mobility Express のローカルディレクトリルックアップ、My Phone アプリ、エクステンションモビリティなどのサービスに対する HTTPS サポートを 4 つの異なるレベルで構成するには、次の例のような構成が必要です。

Router(config)# ip http server
Router(config)# crypto pki server IOS-CA
Router(cs-server)# database level complete
Router(cs-server)# database url flash:
Router(cs-server)# grant auto
Router(cs-server)# exit
Router(config)# crypto pki trustpoint IOS-CA
Router(ca-trustpoint)# enrollment url http://10.1.1.1:80
Router(ca-trustpoint)# exit
Router(config)# crypto pki server IOS-CA
Router(cs-server)# no shutdown
Router(cs-server)# exit
Router(config)# crypto pki trustpoint primary-cme
Router(ca-trustpoint)# enrollment url http://10.1.1.1.80
Router(ca-trustpoint)# revocation-check none
Router(ca-trustpoint)# rsakeypair primary-cme
Router(ca-trustpoint)# exit
Router(config)# crypto pki authenticate primary-cme
Router(config)# crypto pki enroll primary-cme
Router(config)# crypto pki trustpoint sast-secondary
Router(ca-trustpoint)# enrollment url http://10.1.1.1:80
Router(ca-trustpoint)# revocation-check none
Router(ca-trustpoint)# rsakeypair sast-secondary
Router(ca-trustpoint)# exit
Router(config)# crypto pki authenticate sast-secondary
Router(config)# crypto pki enroll sast-secondary
Router(config)# ctl-client
Router(config-ctl-client)# sast1 trustpoint first-sast
Router(config-ctl-client)# sast2 trustpoint second-sast
Router(config-ctl-client)# server application 10.1.2.3 trustpoint first-sast
Router(config-ctl-client)# regenerate
Router(config-ctl-client)# end

グローバルレベルの Cisco Unified SCCP IP Phone の場合：


configure terminal
telephony-service
     cnf-file perphone
     service https

ephone テンプレートレベルの Cisco Unified SCCP IP Phone の場合：


configure terminal
ephone-template 1
     service https

グローバルレベルの Cisco Unified SIP IP Phone の場合：


configure terminal
voice register global
     service https

音声登録テンプレートレベルの Cisco Unified SIP IP Phone の場合：


configure terminal
voice register template 1
    service https

次の作業

PKI管理

Cisco IOS 公開キーインフラストラクチャ（PKI）を使用すると、IP セキュリティ（IPsec）、セキュアシェル（SSH）、Secure Socket Layer（SSL）などのセキュリティプロトコルをサポートする証明書管理を実現できます。

Cisco VG224 Analog Phone Gateway

Cisco VG224 アナログ電話ゲートウェイでセキュアなエンドポイントを構成するには、『Cisco IOS 音声ゲートウェイ構成ガイドの FXS ポート用保続サービス機能』の「Cisco VG224 でセキュアなシグナリングおよびメディア暗号化を構成」項を参照してください。

セキュリティの機能情報

次の表に、このモジュールで説明した機能に関するリリース情報を示します。この表は、ソフトウェアリリーストレインで各機能のサポートが導入されたときのソフトウェアリリースだけを示しています。その機能は、特に断りがない限り、それ以降の一連のソフトウェアリリースでもサポートされます。

プラットフォームのサポートおよびシスコソフトウェアイメージのサポートに関する情報を検索するには、Cisco Feature Navigator を使用します。Cisco Feature Navigator にアクセスするには、www.cisco.com/go/cfn に移動します。Cisco.com のアカウントは必要ありません。

表 3. セキュリティの機能情報
機能名	Cisco Unified Cisco Mobility Express のバージョン	機能情報
Unified Cisco Mobility Express パスワードポリシー	12.6	Unified Cisco Mobility Express のパスワードポリシーの施行導入
Unified Cisco Mobility Express のパスワードとキーの削除	12.6	デバッグとログからキーとパスワードを削除します。show コマンドの一部として表示されるキー。
Cisco Unified Cisco Mobility Express の HTTPS サポート	9.5	Cisco Unified Cisco Mobility Express で HTTP サポートを導入します。
Cisco Unified IP Phone 用の HTTPS プロビジョニング	8.8	import certificate コマンドを使用して IP Phone の CTL ファイルに IP Phone の信頼できる証明書をインポートすることを許可します。
Cisco Unified CME でのメディア暗号化（SRTP）	4.2	Cisco Unified CME でのメディア暗号化が導入されました。
電話機認証	4.0	Cisco Unified CME の電話機に電話機認証が導入されました。

Cisco Unified Communications Manager Express システム アドミニストレータ ガイド

偏向のない言語

翻訳について

検索結果

章のタイトル： セキュリティ

セキュリティ

セキュリティの前提条件

セキュリティの制約事項

電話機認証

メディア暗号化

セキュリティについて

Unified Cisco Mobility Express パスワードポリシー

パスワード構成と暗号化に関するガイドライン

パスワード暗号化のダウングレードに関する考慮事項

ログからのパスワードとキーの削除

CLI コマンドの廃止

電話機認証の概要

電話機認証

ファイル認証

シグナリング認証

公開キー インフラストラクチャ

電話機認証のコンポーネント

電話機の認証プロセス

スタートアップ メッセージ

構成ファイルのメンテナンス

CTL ファイルのメンテナンス

CTL クライアントとプロバイダー

MIC ルート証明書の手動インポート

メディア暗号化の機能設計

セキュアな Cisco Unified CME

セキュアな補足サービス

Cisco Unified Cisco Mobility Express でのセキュアな SIP トランクサポート

H.450 環境でのセキュア Cisco Unified CME

非 H.450 環境でのセキュア Cisco Unified CME

DSP Farm トランスコーディングが構成された状態のリモート電話機に対するセキュアなトランスコーディング

セキュア Cisco Unified CME と Cisco Unity Express

セキュア Cisco Unified CME と Cisco Unity

Cisco Unified IP Phone 用の HTTPS プロビジョニング

外部サーバーの HTTPS サポート

Cisco Unified Cisco Mobility Express の HTTPS サポート

セキュリティの設定

Cisco IOS 認証局の構成

手順の概要

手順の詳細

例:

例:

例:

例:

例:

例:

例:

例:

例:

例:

例:

例:

例:

例:

例:

例:

例

サーバー機能の証明書の取得

手順の概要

手順の詳細

例:

例:

例:

例:

例:

例:

例:

例:

例:

例:

例

Telephony-Service Security パラメータの構成

手順の概要

手順の詳細

例:

例:

Cisco Unified Communications Manager Express システムアドミニストレータガイド

章のタイトル：セキュリティ

公開キーインフラストラクチャ

スタートアップメッセージ