Cisco Unified Communications Manager Express System アドミニストレータ ガイド

電話機認証の概要

電話機認証は、Cisco Unified CME と IP Phone の間にセキュアな SCCP シグナリングを提供するためのセキュリティ インフラストラクチャです。Cisco Unified CME 電話機認証の目的は、Cisco Unified CME IP テレフォニー システムにセキュアな環境を作成することです。

電話機認証は、セキュリティに関する次のニーズに対処します。

• システム内の各エンドポイントのアイデンティティを確立する

• デバイスを認証する

• シグナリング セッションのプライバシーを提供する

• コンフィギュレーション ファイルを保護する

Cisco Unified CME 電話機認証は、認証と暗号化を実装して、電話機または Cisco Unified CME システムの ID 盗用、データ改ざん、コール シグナリングの改ざん、またはメディア ストリームの改ざんを防止します。これらの脅威を防止するために、Cisco Unified IP テレフォニー ネットワークは認証済みの通信ストリームを確立および管理し、ファイルが電話機に転送される前にファイルにデジタル署名を行って、Cisco Unified IP Phone 間のコール シグナリングを暗号化します。

Cisco Unified CME 電話機認証は、次のプロセスを使用します。

• 「電話機認証」

• 「ファイル認証」

• 「シグナリング認証」

電話機認証

電話機認証プロセスは、Cisco Unified CME ルータとサポートされるデバイスとの間で、各エンティティが他のエンティティの証明書を受け取ると行われます。その場合のみ、エンティティ間でセキュアな接続が行われます。電話機認証は、既知の信頼できる証明書およびトークンである証明書信頼リスト（CTL）ファイルを使用します。電話機はトランスポート層セキュリティ（TLS）セッション接続を使用して Cisco Unified CME と通信します。これを行うには、次の基準を満たす必要があります。

• 証明書が電話機に存在していること。

• 電話機のコンフィギュレーション ファイルが電話機に存在し、そのファイルに Cisco Unified CME エントリと証明書が存在していること。

ファイル認証

ファイル認証プロセスは、電話機が Trivial File Transfer Protocol（TFTP）サーバからダウンロードしたデジタル署名されたファイル（たとえば、コンフィギュレーション ファイル、リング リスト ファイル、ロケール ファイル、および CTL ファイル）を検証します。電話機がこれらのタイプのファイルを TFTP サーバから受け取ると、電話機はそのファイルの署名を検証して、ファイルが作成された後にファイルの改ざんが行われていないことを確認します。

シグナリング認証

シグナリング完全性とも呼ばれるシグナリング認証プロセスは、TLS プロトコルを使用して、伝送中にシグナリング パケットが改ざんされていないことを検証します。シグナリング認証は、CTL ファイルの作成に依存します。

公開キー インフラストラクチャ

Cisco Unified CME の電話機認証では、IP Phone の証明書ベースの認証に、Cisco IOS ソフトウェアの公開キー インフラストラクチャ（PKI）機能が使用されます。PKI を使用すると、セキュアなデータ ネットワークで暗号化情報と ID 情報を配信、管理、失効するためのスケーラブルでセキュアなメカニズムを実現できます。セキュア通信に参加しているすべてのエンティティ（人またはデバイス）は、エンティティが Rivest-Shamir-Adleman（RSA）キー ペア（秘密キーと公開キー）を生成し、信頼できるエンティティ（認証局（CA）またはトラストポイントとも呼ばれます）によって ID を検証するというプロセスを使用して、PKI に登録します。

各エンティティが PKI に登録されると、PKI のすべてのピア（エンド ホストともいいます）は、CA が発行したデジタル証明書を付与されます。

セキュアな通信セッションをネゴシエーションする必要があるときは、ピアはデジタル証明書を交換します。ピアは証明書内の情報を基に他のピアの ID を確認し、証明書内の公開キーを使って、暗号化されたセッションを確立します。

PKI の詳細については、ご使用の Cisco IOS リリースの『 Cisco IOS Security Configuration Guide 』にある「Implementing and Managing a PKI Features Roadmap」の項を参照してください。

電話機認証のコンポーネント

さまざまなコンポーネントが連携して、Cisco Unified CME システムでのセキュアな通信が確保されます。 表 49 に、Cisco Unified CME 電話認証コンポーネントを示します。

図 21 に、Cisco Unified CME 電話機の認証環境における構成要素を示します。

図 21 Cisco Unified CME 電話機の認証

電話機の認証プロセス

次に、電話機の認証プロセスについて概要を説明します。

Cisco Unified CME 電話機の認証は、次のよう行われます。

1. 証明書が発行されます。

CA が、Cisco Unified CME、SAST、CAPF、および TFTP の各機能に証明書を発行します。

2. CTL ファイルが作成されて、署名および公開されます。

a. CTL ファイルは、コンフィギュレーション駆動型の CTL クライアントによって作成されます。その目的は、各電話機に CTLfile.tlv を作成し、それを TFTP ディレクトリに保存することです。このタスクを完了するには、CTL クライアントに CAPF サーバ、Cisco Unified CME サーバ、TFTP サーバ、および SAST の証明書と公開キー情報が必要です。

b. CTL ファイルは SAST クレデンシャルによって署名されます。セキュリティ上の理由で、CTL ファイルには 2 つの異なる証明書に関連する 2 つの SAST レコードがあります。証明書の 1 つが失われるか、破損すると、CTL クライアントはもう 1 つの証明書を使用して CTL ファイルを再生成します。電話機が新しい CTL ファイルをダウンロードすると、以前にインストールされていた元の 2 つの公開キーの中の 1 つだけを使用してダウンロードを検証します。このメカニズムにより、IP Phone は不明なソースから CTL ファイルを受け取らないようになります。

c. CTL ファイルは TFTP サーバで公開されます。外部 TFTP サーバはセキュア モードでサポートされていないため、コンフィギュレーション ファイルは Cisco Unified CME システム自体で生成され、TFTP サーバのクレデンシャルによって署名されます。TFTP サーバのクレデンシャルは、Cisco Unified CME のクレデンシャルと同じにすることができます。必要であれば、CTL クライアント インターフェイスで適切なトラストポイントが設定されている場合、TFTP 機能用に別個の証明書を生成できます。

3. テレフォニー サービス モジュールは、電話機のコンフィギュレーション ファイルに署名し、各電話機はそのファイルを要求します。

4. IP Phone が起動すると、TFTP サーバから CTL ファイル（CTLfile.tlv）を要求し、デジタル署名されたそのコンフィギュレーション ファイルをダウンロードします。ファイル名の形式は SEP<mac-address>.cnf.xml.sgn です。

5. 次に、電話機はコンフィギュレーション ファイルから CAPF コンフィギュレーション ステータスを読み取ります。証明動作が必要な場合、電話機は TCP ポート 3804 で CAPF サーバを使用して TLS セッションを開始し、CAPF プロトコル ダイアログを開始します。証明動作には、アップグレード、削除、またはフェッチの各動作があります。アップグレード動作が必要な場合、CAPF サーバは電話機に代わって CA から証明書を要求します。CAPF サーバは CAPF プロトコルを使用して、公開キーや電話機 ID など、電話機から必要な情報を取得します。電話機がサーバから証明書を正常に受け取ると、電話機はそれをフラッシュ メモリに保存します。

6. .cnf.xml ファイルのデバイス セキュリティ モード設定が認証済みまたは暗号化済みに設定されている場合、電話機は証明書をフラッシュに保存し、既知の TCP ポート（2443）でセキュアな Cisco Unified CME サーバとの TLS 接続を開始します。この TLS セッションは、両者から相互に認証されます。IP Phone は、TFTP サーバから最初にダウンロードした CTL ファイルからの Cisco Unified CME サーバの証明書を認識します。発行元の CA 証明書がルータに存在するため、電話機の LSC は Cisco Unified CME サーバに対して信頼できる相手になります。

スタートアップ メッセージ

証明書サーバがスタートアップ コンフィギュレーションの一部である場合、起動プロシージャの間に次のメッセージが表示される場合があります。

% Failed to find Certificate Server's trustpoint at startup

% Failed to find Certificate Server's cert.

これらのメッセージは、スタートアップ コンフィギュレーションがまだ完全に解析されていないため、証明書サーバを設定するために一時的に使用できなくなることを示す情報メッセージです。スタートアップ コンフィギュレーションが破損した場合、これらのメッセージはデバッグに役立ちます。

コンフィギュレーション ファイルのメンテナンス

セキュアな環境では、複数タイプのコンフィギュレーション ファイルをホストして使用するには、事前にデジタル署名する必要があります。署名されたすべてのファイルのファイル名には .sgn サフィックスが付けられます。

Cisco Unified CME テレフォニー サービス モジュールは電話機のコンフィギュレーション ファイル（.cnf.xml suffix）を作成し、それらを Cisco IOS TFTP サーバに収容します。これらのファイルは TFTP サーバのクレデンシャルによって署名されます。

電話機のコンフィギュレーション ファイル以外に、ネットワーク ファイルやユーザのローカル ファイルなど、他の Cisco Unified CME コンフィギュレーション ファイルにも署名が必要です。これらのファイルは Cisco Unified CME によって内部生成され、署名されていないバージョンが更新または作成されると必ず、署名されたバージョンが現在のコード パスに自動的に作成されます。

ringlist.xml、distinctiveringlist.xml、オーディオ ファイルなど、Cisco Unified CME で生成されない他のコンフィギュレーション ファイルは、Cisco Unified CME の機能に使用されることがよくあります。これらのコンフィギュレーション ファイルの署名されたバージョンは、自動的には作成されません。Cisco Unified CME で生成されていない新しいコンフィギュレーション ファイルが Cisco Unified CME にインポートされた場合は必ず、 load-cfg-file コマンドを使用してください。このコマンドによって、次の処理がすべて実行されます。

• 署名されていないバージョンのファイルを TFTP サーバに収容する。

• 署名されたバージョンのファイルを作成する。

• 署名されたバージョンのファイルを TFTP サーバに収容する。

署名されていないバージョンのファイルのみを TFTP サーバに収容する必要がある場合は、 tftp-server コマンドの代わりに load-cfg-file コマンドを使用する方法もあります。

CTL ファイルのメンテナンス

CTL ファイルには SAST レコードとその他のレコードが含まれています。（最大 2 つの SAST レコードが存在する可能性があります）。CTL ファイルにリストされている SAST クレデンシャルの 1 つによって CTL ファイルがデジタル署名された後、CTL ファイルは電話機にダウンロードされ、フラッシュに保存されます。CTL ファイルを受信すると、電話機は、元の CTL ファイルに存在する SAST クレデンシャルの 1 つによって署名されている場合にのみ、新しい CTL ファイルまたは変更された CTL ファイルを信頼します。

このため、元の SAST クレデンシャルの 1 つだけを含んだ CTL ファイルが再生成されるよう注意する必要があります。両方の SAST クレデンシャルが破損し、新しいクレデンシャルを使用して CTL ファイルを生成する必要がある場合は、電話機を出荷時の初期状態にリセットする必要があります。

CTL クライアントとプロバイダー

CTL クライアントは CTL ファイルを生成します。CTL クライアントは、CTL ファイルに必要なトラストポイントの名前を入手する必要があります。これは Cisco Unified CME と同じルータ、または別のスタンドアロン ルータで実行できます。CTL クライアントがスタンドアロン ルータ（Cisco Unified CME ルータ以外のルータ）で実行されている場合、各 Cisco Unified CME ルータに CTL プロバイダーを設定する必要があります。CTL プロバイダーは、Cisco Unified CME サーバ機能のクレデンシャルを、別のルータで実行している CTL クライアントにセキュアに伝達します。

CTL クライアントがプライマリまたはセカンダリのいずれかの Cisco Unified CME ルータで実行している場合、CTL クライアントが実行していない各 Cisco Unified CME ルータ上に CTL プロバイダーを設定する必要があります。

CTL クライアントと CTL プロバイダーとの間の通信には、CTL プロトコルが使用されます。CTL プロトコルを使用することで、すべての Cisco Unified CME ルータのクレデンシャルが CTL ファイルに存在するようになり、すべての Cisco Unified CME ルータが、CA によって発行された電話機証明書へのアクセス権を持つことができます。両方の要素が、セキュアな通信の前提条件になります。

CTL クライアントとプロバイダーをイネーブルにするには、「CTL クライアントの設定」および「CTL プロバイダーの設定」を参照してください。

MIC ルート証明書の手動インポート

CAPF サーバとの TLS ハンドシェイク中に電話機が MIC を使用する場合、CAPF サーバはそれを確認するための MIC のコピーを持っている必要があります。IP Phone のタイプごとに、異なる証明書が使用されます。

電話機が MIC は持っているが、LSC は持っていない場合、電話機は認証に MIC を使用します。たとえば、デフォルトで MIC は持っているが、LSC は持っていない Unified IP Phone 7970 を使用するとします。この電話機の MIC に設定された認証モードを使用して証明書のアップグレードをスケジュールすると、電話機は認証用として、その MIC を Cisco Unified CME CAPF サーバに提示します。CAPF サーバが電話機の MIC を検証するには、MIC のルート証明書のコピーを持っている必要があります。このコピーがない場合、CAPF のアップグレード オプションは失敗します。

CAPF サーバが、必要な MIC のコピーを確実に入手できるようにするには、証明書を CAPF サーバに手動でインポートする必要があります。インポートする必要のある証明書の数は、ネットワーク コンフィギュレーションによって異なります。手動登録の場合は、コピー アンド ペーストまたは TFTP 転送メソッドを使用します。

証明書の登録の詳細については、ご使用の Cisco IOS リリースの『 Cisco IOS Security Configuration Guide 』の「 Configuring Certificate Enrollment for a PKI 」の章にある「 Configuring Cut-and-Paste Certificate Enrollment 」の項を参照してください。

MIC ルート証明書を手動でインポートするには、「MIC ルート証明書の手動インポート」を参照してください。

メディア暗号化の機能設計

付属する音声セキュリティ Cisco IOS 機能によって、以下を実行できるサポート対象ネットワーク デバイス上で、セキュアなエンドツーエンドの IP テレフォニー コールを対象とした全体的なアーキテクチャが提供されます。

• セキュアな相互運用性を持つ SRTP 対応 Cisco Unified CME ネットワーク

• セキュアな Cisco IP Phone コール

• セキュアな Cisco VG224 Analog Phone Gateway エンドポイント

• セキュアな補足サービス

これらの機能は、Cisco IOS H.323 ネットワークでメディアおよびシグナリング認証と暗号化を使用することで実装されます。H.323 は、パケット ベースのビデオ会議、音声会議、およびデータ会議を記述する ITU-T 標準であり、H.450 を含む他の標準のセットを参照して、実際のプロトコルを記述します。H.323 は、標準通信プロトコルを使用することで、異なる通信デバイスがお互いに通信できるようにし、コードの共通セット、コール セットアップおよびネゴシエーション プロシージャ、基本データ転送メソッドを定義します。H.450 は H.323 標準のコンポーネントの 1 つであり、テレフォニーのような補足サービスの提供に使用されるシグナリングとプロシージャを定義します。H.450 メッセージは H.323 ネットワークに使用され、セキュアな補足サービスのサポートが実装されます。また、メディア機能をネゴシエーションするための、空の機能セット（ECS）メッセージングも実装されます。

セキュアな Cisco Unified CME

セキュアな Cisco Unified CME ソリューションには、音声メディアに対応した、Cisco Unified CME と Cisco Unified Communications Manager の間のセキュア対応音声ポート、SCCP エンドポイント、およびセキュア H.323 トランクなどが含まれます。SIP トランクはサポートされていません。図 22 に、セキュア Cisco Unified CME システムの構成要素を示します。

図 22 セキュア Cisco Unified CME システム

セキュア Cisco Unified CME は、セキュア チャネル用にトランスポート層セキュリティ（TLS）または IPsec（IP セキュリティ）を実装し、メディア暗号化に SRTP を使用します。セキュア Cisco Unified CME は、エンドポイントおよびゲートウェイに対する SRTP キーを管理します。

Cisco Unified CME 機能のメディア暗号化（SRTP）は、次の機能をサポートします。

• SCCP エンドポイント用の SRTP を使用するセキュア音声コール。

• 混在共有回線環境のセキュア音声コールにより、RTP と SRTP の両方でエンドポイントを使用できます。共有回線のメディア セキュリティは、エンドポイント設定に応じて異なります。

• H.450 を使用するセキュア補足サービスは次のとおりです。

– コール自動転送

– コール転送

– コールの保留と復帰

– コール パークとコール ピックアップ

– 非セキュアなソフトウェア会議

（注） H.323 を介した STRP 電話会議では、コールが会議に参加すると、0 秒から 2 秒の間隔でノイズが発生する場合があります。

• 非 H.450 環境でのセキュアなコール。

• セキュア Cisco Unity とセキュア Cisco Unified CME の対話。

• Cisco Unity Express とセキュア Cisco Unified CME との対話（対話がサポートされ、コールは非セキュア モードにダウングレードされます）。

• DSP Farm トランスコーディングが設定された状態のリモート電話機に対するセキュアなトランスコーディング

これらの機能については、次の項で説明します。

セキュアな補足サービス

メディア暗号化（SRTP）機能は、H.450 と非 H.450 の両方の Cisco Unified CME ネットワークで、セキュアな補足サービスをサポートします。セキュア Cisco Unified CME ネットワークは、H.450 または非 H.450 にする必要があり、ハイブリッドにはできません。

H.450 環境でのセキュア Cisco Unified CME

セキュアなエンドポイント間のシグナリングとメディア暗号化がサポートされており、セキュアなエンドポイント間でのコール転送（H.450.2）とコール自動転送（H.450.3）などの補足サービスが可能です。コール パークとピック アップには、H.450 メッセージが使用されます。セキュア Cisco Unified CME では、デフォルトで H.450 がイネーブルになっていますが、セキュアな保留音（MOH）とセキュアな会議（3 者間コール）はサポートされていません。たとえば、図 23 に示すように補足サービスが開始された場合、A と B との間の当初はセキュアであったコールが、ECS と端末機能セット（TCS）を使用したネゴシエーションで RTP になり、A には保留音が聞こえます。B が A へのコールを再開すると、コールは SRTP に戻ります。同様に、転送が開始されると、転送される通話者は保留状態になり、コールはネゴシエーションによって RTP になります。コールが転送されると、もう一方で SRTP を使用できる場合、コールは SRTP に戻ります。

図 23 H.450 環境での保留音

非 H.450 環境でのセキュア Cisco Unified CME

補足サービスのセキュリティでは、コール中キー ネゴシエーションまたはコール中メディア再ネゴシエーションを行う必要があります。H.450 メッセージがない H.323 ネットワークでは、コーデック不一致やセキュア コールなどのシナリオでは、ECS を使用してメディア再ネゴシエーションが実装されます。ルータでグローバルに H.450 をディセーブルにすると、設定は RTP コールと SRTP コールに適用されます。シグナリング パスは、Cisco Unified CME と Cisco Unified Communications Manager の XOR によるヘアピンになります。たとえば図 24 では、シグナリング パスは A から B（補足サービスの発信者）を通って C に到達します。このシナリオで音声セキュリティを採用する場合は、メディア セキュリティ キーが XOR を通過する（転送要求を発行したエンドポイントである B を通過する）ことを考慮してください。中間者攻撃を防止するには、XOR が信頼できるエンティティになっている必要があります。

図 24 非 H.450 環境での転送

メディア パスはオプションです。Cisco Unified CME のデフォルトのメディア パスはヘアピンになっています。ただし、可能であればいつでもメディア フロー アラウンドを Cisco Unified CME に設定できます。メディア フロー スルー（デフォルト）を設定するときは、複数の XOR ゲートウェイをメディア パスでチェーン化すると、遅延が大きくなり、音声品質が低下することに注意してください。ルータ リソースと音声の品質により、チェーン化できる XOR ゲートウェイの数は制限されます。要件はプラットフォームによって異なり、シグナリングとメディアの間で変わる可能性があります。実用的なチェーン化レベルは 3 です。

コーデックの不一致があり、ECS と TCS のネゴシエーションが失敗すると、トランスコーダが挿入されます。たとえば、電話機 A と電話機 B で SRTP が使用可能であるが、電話機 A が G.711 コーデックを使用し、電話機 B が G.729 コーデックを使用している場合、電話機 B にトランスコーダがあればそれが挿入されます。ただし、コーデック要件を満たすために、コールは RTP にネゴシエーションされるため、コールは非セキュアになります。

DSP Farm トランスコーディングが設定された状態のリモート電話機に対するセキュアなトランスコーディング

dspfarm-assist キーワードを指定して codec コマンドが設定されたリモート電話機では、トランスコーディングがサポートされています。リモート電話機とは、Cisco Unified CME に登録され、WAN を介してリモート ロケーションに存在する電話機のことです。WAN 接続全体の帯域幅を節約するために、そのような電話機へのコールは、ephone の codec g729r8 dspfarm assist コマンドを設定することで、G.729r8 コーデックを使用して行うことができます。 g729r8 キーワードによって、そのような電話機へのコールは強制的に G.729 コーデックを使用するようになります。電話機への H.323 コールをトランスコードする必要がある場合、 dspfarm-assist キーワードを使用すると、利用可能な DSP リソースを使用できるようになります。

（注） トランスコーディングは、リモートの電話機からの異なるコーデックを持つ H.323 コールが、リモートの電話機へのコールを行おうとする場合にのみイネーブルになります。リモートの電話機と同じ Cisco Unified CME 上にあるローカルの電話機がリモートの電話機にコールを行うと、ローカルの電話機はトランスコーディングを使用する代わりに、強制的にコーデックが G.729 に変更されます。

ポイント ツー ポイント SRTP コールのセキュアなトランスコーディングは、Cisco Unified CME トランスコーディングと、コールのそのピアによってサービスが提供される両方の SCCP 電話機で SRTP が使用可能であり、SRTP キーが正常にネゴシエーションされた場合にのみ行われます。ポイントツーポイント SRTP コールのセキュアなトランスコーディングは、コール内のピアの 1 つだけが SRTP に対応している場合には行えません。

Cisco Unified CME トランスコーディングをセキュアなコールで実行する場合、Cisco Unified CME 機能のメディア暗号化（SRTP）によって、Cisco Unified CME は DSP Farm に追加パラメータとしてセキュア コールの暗号キーを提供できるため、Cisco Unified CME トランスコーディングを正常に実行できます。暗号キーがないと、DSP Farm は暗号化された音声データを読み取って、それをトランスコードすることができません。

（注） ここで説明されているセキュアなトランスコーディングは、IP-IP ゲートウェイ トランスコーディングには適用されません。

Cisco Unified CME トランスコーディングは VoIP コール レッグをブリッジするためではなく、SCCP エンドポイントに対してのみ呼び出されるため、IP-to-IP ゲートウェイ トランスコーディングとは異なります。Cisco Unified CME トランスコーディングと IP-to-IP ゲートウェイ トランスコーディングは相互に排他的です。コールに対して呼び出せるのは、1 つのタイプのトランスコーディングのみです。SRTP トランスコーディングの DSP Farm 機能を使用できない場合、Cisco Unified CME のセキュアなトランスコーディングは実行されず、コールは G.711 を使用して通過します。

設定については、「セキュア モードでの Cisco Unified CME 4.2 以降のバージョンへの DSP ファームの登録」を参照してください。

セキュア Cisco Unified CME と Cisco Unity Express

Cisco Unity Express は、セキュアなシグナリング、およびメディア暗号化をサポートしていません。セキュア Cisco Unified CME は Cisco Unity Express と相互運用できますが、Cisco Unified CME と Cisco Unity Express との間のコールはセキュアではありません。

セキュアな H.323 ネットワークでの Cisco Unified CME を使用した一般的な Cisco Unity Express 導入では、セッション開始プロトコル（SIP）がシグナリングに使用され、メディア パスは RTP による G.711 になります。応答なしのコール転送（CFNA）とすべてのコールの転送（CFA）の場合、メディア パスが確立される前に、シグナリング メッセージが送信されて、RTP メディア パスがネゴシエーションされます。コーデックのネゴシエーションが失敗すると、トランスコーダが挿入されます。Cisco Unified CME 機能の H.323 サービス プロバイダー インターフェイス（SPI）のメディア暗号化（SRTP）は、ファスト スタート コールをサポートします。通常、Cisco Unity Express から Cisco Unified CME に転送または戻されたコールは、既存のコール フローに入れられ、通常の SIP コールや RTP コールとして処理されます。

Cisco Unified CME 機能のメディア暗号化（SRTP）は、Cisco Unified CME に戻されるブラインド転送のみをサポートしています。コール中のメディア再ネゴシエーションが設定されると、H.450.2 または Empty Capability Set（ECS）のどの転送メカニズムが使用されるかに関係なく、エンドポイントのセキュア機能が再ネゴシエーションされます。

セキュア Cisco Unified CME と Cisco Unity

Cisco Unified CME 機能のメディア暗号化（SRTP）は、SCCP を使用する Cisco Unity 4.2 以降のバージョンと Cisco Unity Connection 1.1 以降のバージョンをサポートします。Cisco Unified CME のセキュア Cisco Unity は、セキュアな SCCP 電話機のように機能します。セキュアなシグナリングを確立するには、ある程度のプロビジョニングが必要です。Cisco Unity は Cisco Unified CME デバイス証明書を証明書信頼リスト（CTL）から受け取り、Cisco Unity 証明書は Cisco Unified CME に手動で挿入されます。SIP を使用した Cisco Unity はサポートされていません。

Cisco Unity Connection の証明書は、「ポート グループ設定」の下の Cisco Unity 管理 Web アプリケーションにあります。

Cisco Unified IP Phone 用の HTTPS プロビジョニング

HTTPS を使用して、Cisco Unified IP Phone で Web コンテンツに安全にアクセスする必要性が高まっています。サードパーティ Web サーバの X.509 証明書を IP Phone の CTL ファイルに保存して Web サーバを認証する必要がありますが、トラストポイント情報を入力するために使用した server コマンドを使用して CTL ファイルを証明書にインポートすることはできません。 server コマンドでは、証明書チェーンの検証にサードパーティの Web サーバからの秘密キーが必要ですが、ユーザは Web サーバからその秘密キーを取得することはできないため、 import certificate コマンドが追加されて、信頼できる証明書が CTL ファイルに追加されます。

HTTPS プロビジョニング用に、信頼できる証明書を IP Phone の CTL ファイルにインポートする方法の詳細については、「Cisco Unified IP Phone 用の HTTPS プロビジョニング」を参照してください。

Cisco Unified CME での電話機の認証サポートについては、「電話機認証の概要」を参照してください。

Cisco IOS 認証局の設定

ローカル ルータまたは外部ルータに Cisco IOS 証明局（CA）を設定するには、次の手順を実行します。

ヒント 詳細については、『Configuring and Managing a Cisco IOS Certificate Server for PKI Deployment』を参照してください。

（注） サードパーティの CA を使用している場合は、これらの手順を実行するのではなく、プロバイダーの指示に従ってください。

手順の概要

1. enable

2. configure terminal

3. ip http server

4. crypto pki server label

5. database level { minimal | names | complete }

6. database url root-url

7. lifetime certificate time

8. issuer-name CN = label

9. exit

10. crypto pki trustpoint label

11. enrollment url ca-url

12. exit

13. crypto pki server label

14. grant auto

15. no shutdown

16. end

手順の詳細

例

次の show running-config コマンドからの部分出力は、ローカルの Cisco Unified CME ルータで実行している「sanjose1」という名前の Cisco IOS CA に対する設定を示しています。

ip http server

crypto pki server sanjose1

database level complete

database url nvram:

crypto pki trustpoint sanjose1

enrollment url http://ca-server.company.com

crypto pki server authority1

no grant auto

no shutdown

サーバ機能の証明書の取得

CA は、次のサーバ機能の証明書を発行します。

• Cisco Unified CME：電話機を含む TLS セッションに証明書が必要です。

• TFTP：コンフィギュレーション ファイルの署名にキー ペアと証明書が必要です。

• HTFTP：コンフィギュレーション ファイルの署名にキー ペアと証明書が必要です。

• CAPF：電話機を含む TLS セッションに証明書が必要です。

• SAST：CTL ファイルの署名に必要です。2 つの SAST 証明書を作成して、1 つはプライマリとして使用し、もう 1 つはバックアップ用にすることを推奨します。

サーバ機能の証明書を入手するには、サーバ機能ごとに次の手順を実行します。

（注） サーバ機能ごとに異なるトラストポイントを設定できます（「例」を参照）。または、「セキュリティの設定例」と、このモジュールの最後に記載されているように、複数のサーバ機能に対して同じトラストポイントを設定できます。

手順の概要

1. enable

2. configure terminal

3. crypto pki trustpoint trustpoint-label

4. enrollment url url

5. revocation-check method1 [ method2 [ method3 ]]

6. rsakeypair key-label [ key-size [ encryption-key-size ]]

7. exit

8. crypto pki authenticate trustpoint-label

9. crypto pki enroll trustpoint-label

10. exit

手順の詳細

例

次の show running-config コマンドの出力の一部は、さまざまなサーバ機能の証明書を取得する方法を示しています。

CAPF サーバ機能の証明書の取得

!configuring a trust point

crypto pki trustpoint capf-server

enrollment url http://192.168.1.1:80

revocation-check none

!authenticate w/ the CA and download its certificate

crypto pki authenticate capf-server

! enroll with the CA and obtain this trustpoint's certificate

crypto pki enroll capf-server

Cisco Unified CME サーバ機能の証明書の取得：

crypto pki trustpoint cme-server

enrollment url http://192.168.1.1:80

revocation-check none

crypto pki authenticate cme-server

crypto pki enroll cme-server

TFTP サーバ機能の証明書の取得：

crypto pki trustpoint tftp-server

enrollment url http://192.168.1.1:80

revocation-check none

crypto pki authenticate tftp-server

crypto pki enroll tftp-server

最初の SAST サーバ機能（sast1）の証明書の取得：

crypto pki trustpoint sast1

enrollment url http://192.168.1.1:80

revocation-check none

crypto pki authenticate sast1

crypto pki enroll sast1

2 番めの SAST サーバ機能（sast2）の証明書の取得：

crypto pki trustpoint sast2

enrollment url http://192.168.1.1:80

revocation-check none

crypto pki authenticate sast2

crypto pki enroll sast2

Telephony-Service セキュリティ パラメータの設定

テレフォニー サービスのセキュリティ パラメータを設定するには、次の手順を実行します。

手順の概要

1. enable

2. configure terminal

3. telephony-service

4. secure-signaling trustpoint label

5. tftp-server-credentials trustpoint label

6. device-security-mode { authenticated | none | encrypted }

7. cnf-file perphone

8. load-cfg-file file-url alias file-alias [ sign ] [ create ]

9. server-security-mode { erase | non-secure | secure }

10. end

手順の詳細

Telephony-Service セキュリティ パラメータの確認

ステップ 1 show telephony-service security-info

このコマンドを使用して、telephony-service コンフィギュレーション モードに設定されているセキュリティ関連情報を表示します。

Router# show telephony-service security-info

Skinny Server Trustpoint for TLS: cme-sccp

TFTP Credentials Trustpoint: cme-tftp

Server Security Mode: Secure

Global Device Security Mode: Authenticated

ステップ 2 show running-config

このコマンドを使用して、実行コンフィギュレーションを表示し、テレフォニーおよび電話機ごとのセキュリティ設定を確認します。

Router# show running-config

telephony-service

secure-signaling trustpoint cme-sccp

server-security-mode secure

device-security-mode authenticated

tftp-server-credentials trustpoint cme-tftp

.

.

.

CTL クライアントの設定

実際のネットワーク コンフィギュレーションに応じて、次のタスクのいずれかを実行します。

• 「Cisco Unified CME ルータでの CTL クライアントの設定」

• 「Cisco Unified CME ルータ以外のルータでの CTL クライアントの設定」

Cisco Unified CME ルータでの CTL クライアントの設定

ローカルの Cisco Unified CME ルータ上に既知の信頼できる証明書とトークンのリストが作成されるように CTL クライアントを設定するには、次の手順を実行します。

（注） プライマリとセカンダリの Cisco Unified CME ルータがある場合は、そのどちらかに CTL クライアントを設定できます。

手順の概要

1. enable

2. configure terminal

3. ctl-client

4. sast1 trustpoint label

5. sast2 trustpoint label

6. server { capf | cme | cme-tftp | tftp } ip-address trustpoint trustpoint-label

7. server cme ip-address username name-string password { 0 | 1 } password-string

8. regenerate

9. end

手順の詳細

例

次の show ctl-client コマンドの出力例は、システムのトラストポイントを示しています。

Router# show ctl-client

CTL Client Information

-----------------------------

次の作業

これで、CTL クライアントの設定は終わりました。「CAPF サーバの設定」を参照してください。

Cisco Unified CME ルータ以外のルータでの CTL クライアントの設定

Cisco Unified CME ルータ以外のスタンドアロン ルータで CTL クライアントを設定するには、以下の手順を実行します。

手順の概要

1. enable

2. configure terminal

3. ctl-client

4. sast1 trustpoint label

5. sast2 trustpoint label

6. server cme ip-address username name- string password { 0 | 1 } password-string

7. regenerate

8. end

手順の詳細

例

次の show ctl-client コマンドの出力例は、システムのトラストポイントを示しています。

Router# show ctl-client

CTL Client Information

-----------------------------

CAPF サーバの設定

証明書動作中に電話機と TLS セッションを確立できるように、CAPF サーバ用に証明書を入手する必要があります。CAPF サーバは、セキュリティがイネーブルになっている電話機で、ローカルで有効な証明書（LSC）をインストール、フェッチ、または削除できます。Cisco Unified CME ルータで CAPF をイネーブルにするには、次の手順を実行します。

ヒント 電話機の証明書をインストールするために CAPF サーバを使用する場合、メンテナンスのスケジュールされた期間内にそれを行うように準備します。同時に多数の証明書を生成すると、コール処理が中断される場合があります。

手順の概要

1. enable

2. configure terminal

3. capf-server

4. trustpoint-label label

5. cert-enroll-trustpoint label password { 0 | 1 } password-string

6. source-addr ip-address

7. auth-mode { auth-string | LSC | MIC | none | null-string }

8. auth-string { delete | generate } { all | ephone-tag } [ digit-string ]

9. phone-key-size { 512 | 1024 | 2048 }

10. port tcp-port

11. keygen-retry number

12. keygen-timeout minutes

13. cert-oper { delete all | fetch all | upgrade all }

14. end

手順の詳細

CAPF サーバの確認

show capf-server summary コマンドを使用して、CAPF サーバのコンフィギュレーション情報を表示します。

ephone のセキュリティ パラメータの設定

個々の電話機にセキュリティ パラメータを設定するには、次の手順を実行します。

前提条件

• セキュリティ用に設定する電話機が、Cisco Unified CME で基本コール用に設定されていること。設定については、「基本的なコール発信のための電話機の設定」を参照してください。

手順の概要

1. enable

2. configure terminal

3. ephone phone-tag

4. device-security-mode { authenticated | none | encrypted }

5. codec { g711ulaw | g722r64 | g729r8 [ dspfarm-assist ]}

6. capf-auth-str digit-string

7. cert-oper { delete | fetch | upgrade } auth-mode { auth-string | LSC | MIC | null-string }

8. reset

9. end

手順の詳細

ephone のセキュリティ パラメータの確認

show capf-server auth-string コマンドを使用して、CAPF 認証を確立するためにユーザが電話機に入力する設定済みの認証文字列（PIN）を表示します。

Router# show capf-server auth-string

Authentication Strings for configured Ephones

Mac-Addr Auth-String

-------- -----------

000CCE3A817C 2734

001121116BDD 922

000D299D50DF 9182

000ED7B10DAC 3114

000F90485077 3328

0013C352E7F1 0678

次の作業

• ネットワーク上に複数の Cisco Unified CME ルータがある場合、CTL クライアントを実行していない各 Cisco Unified CME ルータに CTL プロバイダーを設定する必要があります。CTL クライアントが実行していない各 Cisco Unified CME ルータに CTL プロバイダーを設定するには、「CTL プロバイダーの設定」を参照してください。

• CA がサードパーティ CA であるか、Cisco IOS CA が Cisco Unified CME ルータの外部にある Cisco IOS ルータにある場合、RA を設定して電話機に証明書を発行する必要があります。詳細については、「登録局の設定」を参照してください

• CAPF セッションに指定した認証モードが認証文字列である場合、更新された LSC を受け取る各電話機に認証文字列を入力する必要があります。詳細については、「電話機での認証文字列の入力」を参照してください。

• CAPF セッションに指定した認証モードが MIC である場合、MIC の発行者証明書が PKI トラストポイントにインポートされる必要があります。詳細については、「MIC ルート証明書の手動インポート」を参照してください。

• メディア暗号化の設定方法については、「Cisco Unified CME でのメディア暗号化（SRTP）の設定」を参照してください。

CTL プロバイダーの設定

ネットワーク上に複数の Cisco Unified CME ルータがある場合、CTL クライアントを実行していない各 Cisco Unified CME ルータに CTL プロバイダーを設定する必要があります。CTL クライアントが実行していない各 Cisco Unified CME ルータに CTL プロバイダーを設定するには、次の手順を実行します。

手順の概要

1. enable

2. configure terminal

3. credentials

4. ip source-address ip-address port port-number

5. trustpoint trustpoint-label

6. ctl-service admin username secret { 0 | 1 } password-string

7. end

手順の詳細

CTL プロバイダーの確認

show credentials コマンドを使用して、クレデンシャル設定を表示します。

Router# show credentials

Credentials IP: 172.19.245.1

Credentials PORT: 2444

Trustpoint: ctlpv

次の作業

• CA がサードパーティ CA であるか、Cisco IOS CA が Cisco Unified CME ルータの外部にある Cisco IOS ルータにある場合、RA を設定して電話機に証明書を発行する必要があります。詳細については、「登録局の設定」を参照してください

• CAPF セッションに指定した認証モードが認証文字列である場合、更新された LSC を受け取る各電話機に認証文字列を入力する必要があります。詳細については、「電話機での認証文字列の入力」を参照してください。

• CAPF セッションに指定した認証モードが MIC である場合、MIC の発行者証明書が PKI トラストポイントにインポートされる必要があります。詳細については、「MIC ルート証明書の手動インポート」を参照してください。

• メディア暗号化の設定方法については、「Cisco Unified CME でのメディア暗号化（SRTP）の設定」を参照してください。

登録局の設定

登録局（RA）とは、CA が証明書を発行するために必要なデータの一部またはすべてを記録あるいは検証する役割を担う機関です。多くの場合、CA は RA 機能自体をすべて処理しますが、CA が広範囲にわたる地理的な場所を処理するか、ネットワークのエッジに CA を公開することにセキュリティ上の問題がある場合は、タスクの一部を RA に委任して、CA が証明書の署名という最も重要なタスクに集中できるようにすることを推奨します。

RA モードで実行するように CA を設定できます。RA が手動または Simple Certificate Enrollment Protocol（SCEP）登録要求を受け取ると、管理者はローカル ポリシーに基づいて、それを拒否または許可することができます。要求が許可されると、その要求は発行元 CA に転送され、CA は自動的に証明書を生成して RA に返します。クライアントは、許可された証明書を RA から後で取得できます。

RA を設定するには、Cisco Unified CME ルータで次の手順を実行します。

手順の概要

1. enable

2. configure terminal

3. crypto pki trustpoint label

4. enrollment url ca-url

5. revocation-check method1 [ method2 [ method3 ]]

6. serial-number [ none ]

7. rsakeypair key-label [ key-size [ encryption-key-size ]]

8. exit

9. crypto pki server label

10. mode ra

11. lifetime certificate time

12. grant auto

13. no shutdown

14. end

手順の詳細

次の作業

• ネットワーク上に複数の Cisco Unified CME ルータがある場合、CTL クライアントを実行していない各 Cisco Unified CME ルータに CTL プロバイダーを設定する必要があります。CTL クライアントが実行していない各 Cisco Unified CME ルータに CTL プロバイダーを設定するには、「CTL プロバイダーの設定」を参照してください。

• CAPF セッションに指定した認証モードが認証文字列である場合、更新された LSC を受け取る各電話機に認証文字列を入力する必要があります。詳細については、「電話機での認証文字列の入力」を参照してください。

• CAPF セッションに指定した認証モードが MIC である場合、MIC の発行者証明書が PKI トラストポイントにインポートされる必要があります。詳細については、「MIC ルート証明書の手動インポート」を参照してください。

• メディア暗号化の設定方法については、「Cisco Unified CME でのメディア暗号化（SRTP）の設定」を参照してください。

電話機での認証文字列の入力

この手順は、電話機に LSC の 1 回限りのインストールを行う場合と、CAPF セッションの認証モードを認証文字列に設定した場合にのみ必要です。認証文字列は、電話機ユーザが電話機に入力できるよう、LSC をインストールする前に電話機ユーザに知らせておく必要があります。

証明書をインストールするには、次の手順を実行します。

（注） show capf-server auth-string コマンドを使用すると、電話機の認証文字列をリストできます。

前提条件

• 署名されたイメージが IP Phone に存在すること。ご使用の電話機のモデルをサポートする Cisco Unified IP Phone の管理マニュアルを参照してください。

• IP Phone が Cisco Unified CME に登録されていること。

• CTL ファイルに CAPF 証明書が存在すること。詳細については、「CTL クライアントの設定」を参照してください。

• 入力する認証文字列が、CAPF サーバ コンフィギュレーション モードで auth-string コマンドを使用して設定されているか、ephone コンフィギュレーション モードで capf-auth-str コマンドを使用して設定されていること。詳細については、「Telephony-Service セキュリティ パラメータの設定」を参照してください。

• device-security-mode コマンドが none キーワードを使用して設定されていること。詳細については、「Telephony-Service セキュリティ パラメータの設定」を参照してください。

制約事項

• 認証文字列は 1 回だけ使用できます。

手順の詳細

ステップ 1 設定 ボタンを押します。Cisco Unified IP Phone 7921 では、 下矢印 を押して [設定（Settings）] メニューにアクセスします。

ステップ 2 設定がロックされている場合は、[**#]（アスタリスク、アスタリスク、ポンド記号）を押してロック解除します。

ステップ 3 [設定（Settings）] メニューまでスクロールダウンします。セキュリティ設定を強調表示して、[選択（Select）] ソフトキーを押します。

ステップ 4 [セキュリティ設定（Security Configuration）] メニューまでスクロールダウンします。LSC を強調表示して、[更新（Update）] ソフトキーを押します。Cisco Unified IP Phone 7921 では、[**#] を押すと、[セキュリティ設定（Security Configuration）] メニューがロック解除されます。

ステップ 5 認証文字列の入力を求められたら、システム管理者から提供された文字列を入力して、[送信（Submit）] ソフトキーを押します。

CAPF コンフィギュレーションに応じて、電話機は証明書をインストール、更新、削除、またはフェッチします。

電話機に表示されるメッセージを確認して、証明書動作の進捗をモニタできます。[送信（Submit）] を押すと、「処理中（Pending）」というメッセージが LSC オプションの下に表示されます。電話機によって公開キーと秘密キーのペアが生成され、電話機の情報が表示されます。電話機でプロセスが正常に完了すると、電話機に成功のメッセージが表示されます。電話機に失敗のメッセージが表示された場合は、間違った認証文字列を入力したか、電話機が更新できるように設定されていません。

[停止（Stop）] を選択すると、プロセスをいつでも停止できます。

ステップ 6 証明書が電話機にインストールされたことを確認します。電話機画面の [設定（Settings）] メニューから、[モデル情報（Model Information）] を選択した後、[選択（Select）] ソフトキーを押して、[モデル情報（Model Information）] を表示します。

ステップ 7 ナビゲーション ボタンを押して、LSC までスクロールします。この項目の値は、LSC が [インストール済み（Installed）] または [未インストール（Not Installed）] のどちらであるかを示します。

次の作業

• ネットワーク上に複数の Cisco Unified CME ルータがある場合、CTL クライアントを実行していない各 Cisco Unified CME ルータに CTL プロバイダーを設定する必要があります。CTL クライアントが実行していない各 Cisco Unified CME ルータに CTL プロバイダーを設定するには、「CTL プロバイダーの設定」を参照してください。

• CA がサードパーティ CA であるか、Cisco IOS CA が Cisco Unified CME ルータの外部にある Cisco IOS ルータにある場合、RA を設定して電話機に証明書を発行する必要があります。詳細については、「登録局の設定」を参照してください

• CAPF セッションに指定した認証モードが MIC である場合、MIC の発行者証明書が PKI トラストポイントにインポートされる必要があります。詳細については、「MIC ルート証明書の手動インポート」を参照してください。

• メディア暗号化の設定方法については、「Cisco Unified CME でのメディア暗号化（SRTP）の設定」を参照してください。

MIC ルート証明書の手動インポート

Cisco Unified CME が提示された MIC を認証できるようにするには、MIC ルート証明書が Cisco Unified CME ルータに存在している必要があります。MIC ルート証明書を Cisco Unified CME ルータに手動でインポートするには、認証に MIC が必要な電話機のタイプごとに、次の手順を実行します。

前提条件

この作業を実行するには、次のいずれかに該当する必要があります。

• device-security-mode コマンドが none キーワードを使用して設定されていること。詳細については、「Telephony-Service セキュリティ パラメータの設定」を参照してください。

• MIC が、CAPF セッションで電話機認証用に指定された認証モードになっていること。

• 電話機の LSC ではなく、MIC が使用されて、SCCP シグナリング用の TLS セッションが確立されている。

手順の概要

1. enable

2. configure terminal

3. crypto pki trustpoint name

4. revocation-check none

5. enrollment terminal

6. exit

7. crypto pki authenticate name

8. 4 つの MIC ルート ファイルをダウンロードします。証明書の該当するテキストをカット アンド ペーストします。証明書を受け入れます。

9. exit

手順の詳細

次の作業

• ネットワーク上に複数の Cisco Unified CME ルータがある場合、CTL クライアントを実行していない各 Cisco Unified CME ルータに CTL プロバイダーを設定する必要があります。CTL クライアントが実行していない各 Cisco Unified CME ルータに CTL プロバイダーを設定するには、「CTL プロバイダーの設定」を参照してください。

• CA がサードパーティ CA であるか、Cisco IOS CA が Cisco Unified CME ルータの外部にある Cisco IOS ルータにある場合、RA を設定して電話機に証明書を発行する必要があります。詳細については、「登録局の設定」を参照してください

• CAPF セッションに指定した認証モードが認証文字列である場合、更新された LSC を受け取る各電話機に認証文字列を入力する必要があります。詳細については、「電話機での認証文字列の入力」を参照してください。

• メディア暗号化の設定方法については、「Cisco Unified CME でのメディア暗号化（SRTP）の設定」を参照してください。

Cisco Unified CME でのメディア暗号化（SRTP）の設定

H.323 トランクを経由した Cisco Unified CME システム間のセキュア コールのネットワークを設定するには、Cisco Unified CME ルータで次の手順を実行します。

前提条件

• Cisco Unified CME 4.2 以降のバージョン。

• H.323 コールを保護するには、telephony-service のセキュリティ パラメータが設定されていること。「Telephony-Service セキュリティ パラメータの設定」を参照してください。

• Cisco VG224 Analog Phone Gateway に互換性のある Cisco IOS リリースが存在すること。詳細については、『 Cisco Unified CME and Cisco IOS Release Compatibility Matrix 』を参照してください。

制約事項

• セキュアな 3 者間ソフトウェア会議はサポートされていません。SRTP で開始されたセキュアなコールは、会議に参加すると必ず、非セキュアなリアルタイム転送プロトコル（RTP）に戻ります。

• 1 人の参加者が 3 者間会議から退出すると、残りの 2 人の参加者が単一の Cisco Unified CME への SRTP 対応ローカル Skinny Client Control Protocol（SCCP）エンドポイントであり、残りの参加者のどちらかが会議の作成者である場合、その 2 人の参加者間コールがセキュアに戻ります。残り 2 人の参加者の一方だけが RTP に対応している場合、コールは非セキュアなままになります。残りの 2 人の参加者が FXS、PSTN、または VoIP を介して接続されている場合、コールは非セキュアのままになります。

• Cisco Unity Express へのコールはセキュアではありません。

• 保留音（MOH）はセキュアではありません。

• ビデオ コールはセキュアではありません。

• モデム リレーおよび T.3 Fax リレーのコールはセキュアではありません。

• メディアのフローアラウンドは、コール転送およびコール自動転送に対応していません。

• インバンド トーンと RFC 2833 DTMF の間の変換はサポートされていません。RFC 2833 DTMF の処理は、暗号キーがセキュア DSP Farm デバイスに送信される場合はサポートされますが、コーデック パススルーに対してはサポートされません。

• セキュアな Cisco Unified CME は SIP トランクをサポートしていません。H.323 トランクのみサポートされています。

• メディア暗号化（SRTP）は、H.450 と非 H.450 の両方の Cisco Unified CME ネットワークで、セキュアな補足サービスをサポートします。セキュア Cisco Unified CME ネットワークは、H.450 または非 H.450 にする必要があり、ハイブリッドにはできません。

• セキュア コールは、デフォルトのセッション アプリケーションのみでサポートされています。

手順の概要

1. enable

2. configure terminal

3. voice service voip

4. supplementary-service media-renegotiate

5. srtp fallback

6. h323

7. emptycapability

8. exit

手順の詳細

次の作業

Cisco Unified CME にメディア暗号化（SRTP）を設定するために必要な作業が完了しました。これで、次のオプション タスクを実行できます。

• 「H.323 ダイヤルピア用の Cisco Unified CME SRTP フォールバックの設定」（任意）

• 「セキュア Cisco Unified CME 動作用の Cisco Unity の設定」（任意）

H.323 ダイヤルピア用の Cisco Unified CME SRTP フォールバックの設定

個々のダイヤルピア用に SRTP フォールバックを設定するには、Cisco Unified CME ルータで次の手順を実行します。

手順の概要

1. enable

2. configure terminal

3. voice class codec tag

4. codec preference value codec-type

5. exit

6. dial-peer voice tag voip

7. srtp fallback

8. voice-class codec tag

9. exit

手順の詳細

セキュア Cisco Unified CME 動作用の Cisco Unity の設定

ここでは、次の作業について説明します。

• 「前提条件」

• 「Cisco Unified CME と Cisco Unity との連動の設定」

• 「Cisco Unified CME への Cisco Unity ルート証明書のインポート」

• 「セキュアな登録のための Cisco Unity ポートの設定」

• 「Cisco Unity がセキュアに登録されたことの確認」

前提条件

• Cisco Unity 4.2 以降のバージョン。

Cisco Unified CME と Cisco Unity との連動の設定

Cisco Unified CME と Cisco Unity との連動の設定を変更するには、Cisco Unity サーバで次の手順を実行します。

ステップ 1 Cisco Unity Telephony Integration Manager（UTIM）が Cisco Unity サーバでまだ開いていない場合は、Windows の [スタート（Start）] メニューから、[プログラム（Program）] > [Cisco Unity] > [連動の管理（Manage Integrations）] を選択します。UTIM ウィンドウが表示されます。

ステップ 2 左ペインで、[Cisco Unity サーバ（Cisco Unity Server）] をダブルクリックします。既存の連動が表示されます。

ステップ 3 [Cisco Unified Communications Manager] 連動をクリックします。

ステップ 4 右ペインで、連動のためのクラスタをクリックします。

ステップ 5 [サーバ（Servers）] タブをクリックします。

ステップ 6 [Cisco Unified Communications Manager クラスタ セキュリティ モード（Cisco Unified Communications Manager Cluster Security Mode）] フィールドで、適切な設定をクリックします。

ステップ 7 [保証なし（Non-secure）] をクリックした場合、[保存（Save）] をクリックしてこの残りの手順を省略します。

[認証済（Authenticated）] 設定または [暗号化済（Encrypted）] をクリックした場合、[セキュリティ（Security）] タブと [Tftp サーバ追加（Add TFTP Server）] ダイアログボックスが表示されます。[Tftp サーバ追加（Add TFTP Server）] ダイアログボックスの [IP アドレス/ホスト名（IP Address or Host Name）] フィールドに、Cisco Unified Communications Manager クラスタのプライマリ TFTP サーバの IP アドレス（または DNS 名）を入力して、[OK] をクリックします。

ステップ 8 Cisco Unity で Cisco Unified Communications Manager 証明書のダウンロードに使用する TFTP サーバがさらにある場合は、[追加（Add）] をクリックします。[Tftp サーバ追加（Add TFTP Server）] ダイアログボックスが表示されます。

ステップ 9 [IP アドレス/ホスト名（IP Address or Host Name）] フィールドで、Cisco Unified Communications Manager クラスタのためのセカンダリ TFTP サーバの IP アドレス（または DNS 名）を入力し、[OK] をクリックします。

ステップ 10 [保存（Save）] をクリックします。

Cisco Unity によってボイスメッセージング ポート デバイス証明書が作成され、Cisco Unity サーバ ルート証明書がエクスポートされて、[Cisco Unity ルート証明書のエクスポート（Export Cisco Unity Root Certificate）] ダイアログボックスが表示されます。

ステップ 11 エクスポートされた Cisco Unity サーバ ルート証明書のファイル名をメモし、[OK] をクリックします。

ステップ 12 Cisco Unity サーバで、CommServer\SkinnyCerts ディレクトリに移動します。

ステップ 13 ステップ 11 でエクスポートした、Cisco Unity サーバ ルート証明書を見つけます。

ステップ 14 そのファイルを右クリックし、[名前の変更（Rename）] をクリックします。

ステップ 15 ファイル拡張子を .0 から .pem に変更します。たとえば、エクスポートされた Cisco Unity サーバ ルート証明書ファイルの場合、ファイル名「12345.0」を「12345.pem」に変えます。

ステップ 16 このファイルを、Cisco Unified CME ルータにアクセスできる PC にコピーします。

Cisco Unified CME への Cisco Unity ルート証明書のインポート

Cisco Unity ルート証明書を Cisco Unified CME にインポートするには、Cisco Unified CME ルータで次の手順を実行します。

手順の概要

1. enable

2. configure terminal

3. crypto pki trustpoint name

4. revocation-check none

5. enrollment terminal

6. exit

7. crypto pki authenticate trustpoint-label

8. ステップ 16 で、Cisco Unity サーバからコピーしたルート証明書ファイルを開きます。

9. CA 証明書を入力するよう求められます。コマンド ラインで「BEGIN CERTIFICATE」と「END CERTIFICATE」の間の Base64 エンコードされた証明書のすべての内容をカット アンド ペーストします。Enter を押して、「quit」と入力します。ルータから、証明書を受け入れるよう求められます。「yes」と入力して証明書を受け入れます。

手順の詳細

セキュアな登録のための Cisco Unity ポートの設定

セキュア モードでの登録用に Cisco Unity のポートを設定するには、次の手順を実行します。

ステップ 1 更新する Cisco ボイスメール ポートを選択します。

ステップ 2 [デバイス セキュリティ モード（Device Security Mode）] ドロップダウン リストから、[暗号化済（Encrypted）] を選択します。

ステップ 3 [更新（Update）] をクリックします。

Cisco Unity がセキュアに登録されたことの確認

show sccp connections コマンドを使用して、Cisco Unity ポートが Cisco Unified CME にセキュアに登録されていることを確認します。

show sccp connection：例

次の例では、タイプ フィールドのセキュアな値によって、接続がセキュアであることが示されています。

Router# show sccp connections

sess_id conn_id stype mode codec ripaddr rport sport

16777222 16777409 secure -xcode sendrecv g729b 10.3.56.120 16772 19534

16777222 16777393 secure -xcode sendrecv g711u 10.3.56.50 17030 18464

Total number of active session(s) 1, and connection(s) 2

Cisco Unified IP Phone 用の HTTPS プロビジョニング

HTTPS を使用して Web コンテンツにセキュアにアクセスするために Cisco Unified IP Phone をプロビジョニングするには、次の手順を実行します。

前提条件

• 登録の無限ループを防止するため、Firmware 9.0(4) 以降のバージョンが IP Phone にインストールされていること。

• フラッシュ メモリから IP Phone にインポートする証明書ファイルが、プライバシーが強化されたメール形式になっていること。

手順の概要

1. enable

2. configure terminal

3. ip http server

4. crypto pki server cs-label

5. database level { minimum | names | complete }

6. database url root url

7. grant auto

8. exit

9. crypto pki trustpoint name

10. enrollment url url

11. exit

12. crypto pki server cs-label

13. no shutdown

14. exit

15. crypto pki trustpoint name

16. enrollment url url

17. revocation-check method1 [ method2 [ method3 ]]

18. rsakeypair key-label

19. exit

20. crypto pki authenticate name

21. crypto pki enroll name

22. crypto pki trustpoint name

23. enrollment url url

24. revocation-check method1 [ method2 [ method3 ]]

25. rsakeypair key-label

26. exit

27. crypto pki authenticate name

28. crypto pki enroll name

29. ctl-client

30. sast1 trustpoint label

31. sast2 trustpoint label

32. import certificate tag description flash: cert_name

33. regenerate

34. end

手順の詳細

Cisco IOS CA：例

crypto pki server iosca

grant auto

database url flash:

!

crypto pki trustpoint iosca

revocation-check none

rsakeypair iosca

!

crypto pki certificate chain iosca

certificate ca 01

308201F9 30820162 ...

Cisco Unified CME ルータへの MIC ルート証明書の手動インポート：例

次の例は、ルータにインポートされる 3 つの証明書（7970、7960、PEM）の例を示しています。

Router(config)# crypto pki trustpoint 7970

Router(ca-trustpoint)# revocation-check none

Router(ca-trustpoint)# enrollment terminal

Router(ca-trustpoint)# exit

Router(config)# crypto pki authenticate 7970

Enter the base 64 encoded CA certificate.

End with a blank line or the word "quit" on a line by itself

MIIDqDCCApCgAwIBAgIQNT+yS9cPFKNGwfOprHJWdTANBgkqhkiG9w0BAQUFADAu

MRYwFAYDVQQKEw1DaXNjbyBTeXN0ZW1zMRQwEgYDVQQDEwtDQVAtUlRQLTAwMjAe

Fw0wMzEwMTAyMDE4NDlaFw0yMzEwMTAyMDI3MzdaMC4xFjAUBgNVBAoTDUNpc2Nv

IFN5c3RlbXMxFDASBgNVBAMTC0NBUC1SVFAtMDAyMIIBIDANBgkqhkiG9w0BAQEF

AAOCAQ0AMIIBCAKCAQEAxCZlBK19w/2NZVVvpjCPrpW1cCY7V1q9lhzI85RZZdnQ

2M4CufgIzNa3zYxGJIAYeFfcRECnMB3f5A+x7xNiEuzE87UPvK+7S80uWCY0Uhtl

AVVf5NQgZ3YDNoNXg5MmONb8lT86F55EZyVac0XGne77TSIbIdejrTgYQXGP2MJx

Qhg+ZQlGFDRzbHfM84Duv2Msez+l+SqmqO80kIckqE9Nr3/XCSj1hXZNNVg8D+mv

Hth2P6KZqAKXAAStGRLSZX3jNbS8tveJ3Gi5+sj9+F6KKK2PD0iDwHcRKkcUHb7g

lI++U/5nswjUDIAph715Ds2rn9ehkMGipGLF8kpuCwIBA6OBwzCBwDALBgNVHQ8E

BAMCAYYwDwYDVR0TAQH/BAUwAwEB/zAdBgNVHQ4EFgQUUpIr4ojuLgmKTn5wLFal

mrTUm5YwbwYDVR0fBGgwZjBkoGKgYIYtaHR0cDovL2NhcC1ydHAtMDAyL0NlcnRF

bnJvbGwvQ0FQLVJUUC0wMDIuY3Jshi9maWxlOi8vXFxjYXAtcnRwLTAwMlxDZXJ0

RW5yb2xsXENBUC1SVFAtMDAyLmNybDAQBgkrBgEEAYI3FQEEAwIBADANBgkqhkiG

9w0BAQUFAAOCAQEAVoOM78TaOtHqj7sVL/5u5VChlyvU168f0piJLNWip2vDRihm

E+DlXdwMS5JaqUtuaSd/m/xzxpcRJm4ZRRwPq6VeaiiQGkjFuZEe5jSKiSAK7eHg

tup4HP/ZfKSwPA40DlsGSYsKNMm3OmVOCQUMH02lPkS/eEQ9sIw6QS7uuHN4y4CJ

NPnRbpFRLw06hnStCZHtGpKEHnY213QOy3h/EWhbnp0MZ+hdr20FujSI6G1+L39l

aRjeD708f2fYoz9wnEpZbtn2Kzse3uhU1Ygq1D1x9yuPq388C18HWdmCj4OVTXux

V6Y47H1yv/GJM8FvdgvKlExbGTFnlHpPiaG9tQ==

quit

Certificate has the following attributes:

Fingerprint MD5: F7E150EA 5E6E3AC5 615FC696 66415C9F

Fingerprint SHA1: 1BE2B503 DC72EE28 0C0F6B18 798236D8 D3B18BE6

% Do you accept this certificate? [yes/no]: y

Trustpoint CA certificate accepted.

% Certificate successfully imported

Router(config)# crypto pki trustpoint 7960

Router(ca-trustpoint)# revocation-check none

Router(ca-trustpoint)# enrollment terminal

Router(ca-trustpoint)# exit

Router(config)# crypto pki authenticate 7960

Enter the base 64 encoded CA certificate.

End with a blank line or the word "quit" on a line by itself

MIICKDCCAZGgAwIBAgIC8wEwDQYJKoZIhvcNAQEFBQAwQDELMAkGA1UEBhMCVVMx

GjAYBgNVBAoTEUNpc2NvIFN5c3RlbXMgSW5jMRUwEwYDVQQDEwxDQVBGLTdEN0Qw

QzAwHhcNMDQwNzE1MjIzODMyWhcNMTkwNzEyMjIzODMxWjBAMQswCQYDVQQGEwJV

UzEaMBgGA1UEChMRQ2lzY28gU3lzdGVtcyBJbmMxFTATBgNVBAMTDENBUEYtN0Q3

RDBDMDCBnzANBgkqhkiG9w0BAQEFAAOBjQAwgYkCgYEA0hvMOZZ9ENYWme11YGY1

it2rvE3Nk/eqhnv8P9eqB1iqt+fFBeAG0WZ5bO5FetdU+BCmPnddvAeSpsfr3Z+h

x+r58fOEIBRHQLgnDZ+nwYH39uwXcRWWqWwlW147YHjV7M5c/R8T6daCx4B5NBo6

kdQdQNOrV3IP7kQaCShdM/kCAwEAAaMxMC8wDgYDVR0PAQH/BAQDAgKEMB0GA1Ud

JQQWMBQGCCsGAQUFBwMBBggrBgEFBQcDBTANBgkqhkiG9w0BAQUFAAOBgQCaNi6x

sL6M5NlDezpSBO3QmUVyXMfrONV2ysrSwcXzHu0gJ9MSJ8TwiQmVaJ47hSTlF5a8

YVYJ0IdifXbXRo+/EEO7kkmFE8MZta5rM7UWj8bAeR42iqA3RzQaDwuJgNWT9Fhh

GgfuNAlo5h1AikxsvxivmDlLdZyCMoqJJd7B2Q==

quit

Certificate has the following attributes:

Fingerprint MD5: 4B9636DF 0F3BA6B7 5F54BE72 24762DBC

Fingerprint SHA1: A9917775 F86BB37A 5C130ED2 3E528BB8 286E8C2D

% Do you accept this certificate? [yes/no]: y

Trustpoint CA certificate accepted.

% Certificate successfully imported

Router(config)# crypto pki trustpoint PEM

Router(ca-trustpoint)# revocation-check none

Router(ca-trustpoint)# enrollment terminal

Router(ca-trustpoint)# exit

Router(config)# crypto pki authenticate PEM

Enter the base 64 encoded CA certificate.

End with a blank line or the word "quit" on a line by itself

MIIDqDCCApCgAwIBAgIQdhL5YBU9b59OQiAgMrcjVjANBgkqhkiG9w0BAQUFADAu

MRYwFAYDVQQKEw1DaXNjbyBTeXN0ZW1zMRQwEgYDVQQDEwtDQVAtUlRQLTAwMTAe

Fw0wMzAyMDYyMzI3MTNaFw0yMzAyMDYyMzM2MzRaMC4xFjAUBgNVBAoTDUNpc2Nv

IFN5c3RlbXMxFDASBgNVBAMTC0NBUC1SVFAtMDAxMIIBIDANBgkqhkiG9w0BAQEF

AAOCAQ0AMIIBCAKCAQEArFW77Rjem4cJ/7yPLVCauDohwZZ/3qf0sJaWlLeAzBlq

Rj2lFlSij0ddkDtfEEo9VKmBOJsvx6xJlWJiuBwUMDhTRbsuJz+npkaGBXPOXJmN

Vd54qlpc/hQDfWlbrIFkCcYhHws7vwnPsLuy1Kw2L2cP0UXxYghSsx8H4vGqdPFQ

NnYy7aKJ43SvDFt4zn37n8jrvlRuz0x3mdbcBEdHbA825Yo7a8sk12tshMJ/YdMm

vny0pmDNZXmeHjqEgVO3UFUn6GVCO+K1y1dUU1qpYJNYtqLkqj7wgccGjsHdHr3a

U+bw1uLgSGsQnxMWeMaWo8+6hMxwlANPweufgZMaywIBA6OBwzCBwDALBgNVHQ8E

BAMCAYYwDwYDVR0TAQH/BAUwAwEB/zAdBgNVHQ4EFgQU6Rexgscfz6ypG270qSac

cK4FoJowbwYDVR0fBGgwZjBkoGKgYIYtaHR0cDovL2NhcC1ydHAtMDAxL0NlcnRF

bnJvbGwvQ0FQLVJUUC0wMDEuY3Jshi9maWxlOi8vXFxjYXAtcnRwLTAwMVxDZXJ0

RW5yb2xsXENBUC1SVFAtMDAxLmNybDAQBgkrBgEEAYI3FQEEAwIBADANBgkqhkiG

9w0BAQUFAAOCAQEAq2T96/YMMtw2Dw4QX+F1+g1XSrUCrNyjx7vtFaRDHyB+kobw

dwkpohfkzfTyYpJELzV1r+kMRoyuZ7oIqqccEroMDnnmeApc+BRGbDJqS1Zzk4OA

c6Ea7fm53nQRlcSPmUVLjDBzKYDNbnEjizptaIC5fgB/S9S6C1q0YpTZFn5tjUjy

WXzeYSXPrcxb0UH7IQJ1ogpONAAUKLoPaZU7tVDSH3hD4+VjmLyysaLUhksGFrrN

phzZrsVVilK17qpqCPllKLGAS4fSbkruq3r/6S/SpXS6/gAoljBKixP7ZW2PxgCU

1aU9cURLPO95NDOFN3jBk3Sips7cVidcogowPQ==

quit

Certificate has the following attributes:

Fingerprint MD5: 233C8E33 8632EA4E 76D79FEB FFB061C6

Fingerprint SHA1: F7B40B94 5831D2AB 447AB8F2 25990732 227631BE

% Do you accept this certificate? [yes/no]: y

Trustpoint CA certificate accepted.

% Certificate successfully imported

show crypto pki trustpoint status コマンドを使用すると、登録が成功し、5 つの CA 証明書が付与されたことが表示されます。5 つの証明書には、入力されたばかりの 3 つの証明書と、CA サーバ証明書、およびルータ証明書が含まれています。

Router# show crypto pki trustpoint status

Trustpoint 7970:

Issuing CA certificate configured:

Subject Name:

cn=CAP-RTP-002,o=Cisco Systems

Fingerprint MD5: F7E150EA 5E6E3AC5 615FC696 66415C9F

Fingerprint SHA1: 1BE2B503 DC72EE28 0C0F6B18 798236D8 D3B18BE6

State:

Keys generated ............. Yes (General Purpose)

Issuing CA authenticated ....... Yes

Certificate request(s) ..... None

Trustpoint 7960:

Issuing CA certificate configured:

Subject Name:

cn=CAPF-508A3754,o=Cisco Systems Inc,c=US

Fingerprint MD5: 6BAE18C2 0BCE391E DAE2FE4C 5810F576

Fingerprint SHA1: B7735A2E 3A5C274F C311D7F1 3BE89942 355102DE

State:

Keys generated ............. Yes (General Purpose)

Issuing CA authenticated ....... Yes

Certificate request(s) ..... None

Trustpoint PEM:

Issuing CA certificate configured:

Subject Name:

cn=CAP-RTP-001,o=Cisco Systems

Fingerprint MD5: 233C8E33 8632EA4E 76D79FEB FFB061C6

Fingerprint SHA1: F7B40B94 5831D2AB 447AB8F2 25990732 227631BE

State:

Keys generated ............. Yes (General Purpose)

Issuing CA authenticated ....... Yes

Certificate request(s) ..... None

Trustpoint srstcaserver:

Issuing CA certificate configured:

Subject Name:

cn=srstcaserver

Fingerprint MD5: 6AF5B084 79C93F2B 76CC8FE6 8781AF5E

Fingerprint SHA1: 47D30503 38FF1524 711448B4 9763FAF6 3A8E7DCF

State:

Keys generated ............. Yes (General Purpose)

Issuing CA authenticated ....... Yes

Certificate request(s) ..... None

Trustpoint srstca:

Issuing CA certificate configured:

Subject Name:

cn=srstcaserver

Fingerprint MD5: 6AF5B084 79C93F2B 76CC8FE6 8781AF5E

Fingerprint SHA1: 47D30503 38FF1524 711448B4 9763FAF6 3A8E7DCF

Router General Purpose certificate configured:

Subject Name:

serialNumber=F3246544+hostname=c2611XM-sSRST.cisco.com

Fingerprint: 35471295 1C907EC1 45B347BC 7A9C4B86

State:

Keys generated ............. Yes (General Purpose)

Issuing CA authenticated ....... Yes

Certificate request(s) ..... Yes

Telephony-Service のセキュリティ パラメータ：例

次の例は、Cisco Unified CME のセキュリティ パラメータを示しています。

telephony-service

device-security-mode authenticated

secure-signaling trustpoint cme-sccp

tftp-server-credentials trustpoint cme-tftp

load-cfg-file slot0:Ringlist.xml alias Ringlist.xml sign create

ephone 24

device-security-mode authenticated

capf-auth-str 2734

cert-oper upgrade auth-mode auth-string

Cisco Unified CME ルータで実行される CTL クライアント：例

crypto pki trustpoint iosra

enrollment url http://10.1.1.200:80

revocation-check none

rsakeypair iosra

!

!

crypto pki certificate chain cmeserver

certificate 1B

30820207 30820170 A0030201 0202011B 300D0609 2A864886 F70D0101 04050030

....

quit

certificate ca 01

3082026B 308201D4 A0030201 02020101 300D0609 2A864886 F70D0101 04050030

...

quit

crypto pki certificate chain sast2

certificate 1C

30820207 30820170 A0030201 0202011C 300D0609 2A864886 F70D0101 04050030

....

quit

certificate ca 01

3082026B 308201D4 A0030201 02020101 300D0609 2A864886 F70D0101 04050030

.....

quit

crypto pki certificate chain capf-tp

crypto pki certificate chain iosra

certificate 04

30820201 3082016A A0030201 02020104 300D0609 2A864886 F70D0101 04050030

......

certificate ca 01

308201F9 30820162 A0030201 02020101 300D0609 2A864886 F70D0101 04050030

....

quit

!

!

credentials

ctl-service admin cisco secret 1 094F471A1A0A464058

ip source-address 10.1.1.1 port 2444

trustpoint cmeserver

!

!

telephony-service

no auto-reg-ephone

load 7960-7940 P00307010200

load 7914 S00104000100

load 7941GE TERM41.7-0-0-129DEV

load 7970 TERM70.7-0-0-77DEV

max-ephones 20

max-dn 10

ip source-address 10.1.1.1 port 2000 secondary 10.1.1.100

secure-signaling trustpoint cmeserver

cnf-file location flash:

cnf-file perphone

dialplan-pattern 1 2... extension-length 4

max-conferences 8 gain -6

transfer-pattern ....

tftp-server-credentials trustpoint cmeserver

server-security-mode secure

device-security-mode encrypted

load-cfg-file slot0:Ringlist.xml alias Ringlist.xml sign

load-cfg-file slot0:P00307010200.bin alias P00307010200.bin

load-cfg-file slot0:P00307010200.loads alias P00307010200.loads

load-cfg-file slot0:P00307010200.sb2 alias P00307010200.sb2

load-cfg-file slot0:P00307010200.sbn alias P00307010200.sbn

load-cfg-file slot0:cnu41.2-7-4-116dev.sbn alias cnu41.2-7-4-116dev.sbn

load-cfg-file slot0:Jar41.2-9-0-101dev.sbn alias Jar41.2-9-0-101dev.sbn

load-cfg-file slot0:CVM41.2-0-0-96dev.sbn alias CVM41.2-0-0-96dev.sbn

load-cfg-file slot0:TERM41.DEFAULT.loads alias TERM41.DEFAULT.loads

load-cfg-file slot0:TERM70.DEFAULT.loads alias TERM70.DEFAULT.loads

load-cfg-file slot0:Jar70.2-9-0-54dev.sbn alias Jar70.2-9-0-54dev.sbn

load-cfg-file slot0:cnu70.2-7-4-58dev.sbn alias cnu70.2-7-4-58dev.sbn

load-cfg-file slot0:CVM70.2-0-0-49dev.sbn alias CVM70.2-0-0-49dev.sbn

load-cfg-file slot0:DistinctiveRingList.xml alias DistinctiveRingList.xml sign

load-cfg-file slot0:Piano1.raw alias Piano1.raw sign

load-cfg-file slot0:S00104000100.sbn alias S00104000100.sbn

create cnf-files version-stamp 7960 Aug 13 2005 12:39:24

!

!

ephone 1

device-security-mode encrypted

cert-oper upgrade auth-mode null-string

mac-address 000C.CE3A.817C

type 7960 addon 1 7914

button 1:2 8:8

!

!

ephone 2

device-security-mode encrypted

capf-auth-str 2476

cert-oper upgrade auth-mode null-string

mac-address 0011.2111.6BDD

type 7970

button 1:1

!

!

ephone 3

device-security-mode encrypted

capf-auth-str 5425

cert-oper upgrade auth-mode null-string

mac-address 000D.299D.50DF

type 7970

button 1:3

!

!

ephone 4

device-security-mode encrypted

capf-auth-str 7176

cert-oper upgrade auth-mode null-string

mac-address 000E.D7B1.0DAC

type 7960

button 1:4

!

!

ephone 5

device-security-mode encrypted

mac-address 000F.9048.5077

type 7960

button 1:5