この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
目次
Cisco Unified Communications Manager IM and Presence 10.5(2) 以降の管理されたファイル転送オプションを使用してファイル転送と画面キャプチャを送信する場合は、監査およびポリシー強制用のコンプライアンス サーバにファイルを送信できます。
コンプライアンスの詳細については、『Instant Messaging Compliance for IM and Presence Service on Cisco Unified Communications Manager』ガイドを参照してください。
ファイル転送と画面キャプチャの詳細については、『Cisco Unified Communications Manager IM and Presence Deployment and Installation Guide』を参照してください。
Cisco Jabber は、Transport Layer Security(TLS)を使用して、クライアントとサーバ間のネットワーク上で Extensible Messaging and Presence Protocol(XMPP)トラフィックを保護します。 Cisco Jabber は、ポイント ツー ポイントのインスタント メッセージを暗号化します。
Connection |
プロトコル |
ネゴシエーション証明書 |
想定される暗号化アルゴリズム |
---|---|---|---|
クライアントからサーバへ |
XMPP over TLS v2 |
X.509 公開キー インフラストラクチャ証明書 |
AES 256 ビット |
サーバとクライアントが TLS 暗号化をネゴシエートした後、インスタント メッセージのトラフィックを暗号化するためにクライアントとサーバの両方がセッション キーを生成して交換します。
バージョン |
キーの長さ |
---|---|
Cisco Unified Communications Manager IM and Presence Service バージョン 9.0.1 以降 |
2048 ビット |
Cisco Unified Presence バージョン 8.6.4 |
2048 ビット |
Cisco Unified Presence バージョン 8.6.4 以前 |
1024 ビット |
Cisco Unified Presence と Cisco Unified Communications Manager IM and Presence Service はどちらも、AES アルゴリズムで暗号化された 256 ビット長のセッション キーを使用して Cisco Jabber とプレゼンス サーバ間のインスタント メッセージ トラフィックを保護します。
規制ガイドラインへの準拠のために、インスタント メッセージをログに記録してアーカイブできます。 インスタント メッセージをログに記録するには、外部データベースを設定するか、またはサードパーティ製のコンプライアンス サーバと統合します。 Cisco Unified Presence と Cisco Unified Communications Manager IM and Presence Service は、外部データベースまたはサードパーティ製コンプライアンス サーバに記録されたインスタント メッセージを暗号化しません。 必要に応じて、外部データベースまたはサードパーティ製コンプライアンス サーバを設定し、記録したインスタント メッセージを保護する必要があります。
AES などの対称キー アルゴリズムや RSA などの公開キー アルゴリズムを含め、暗号化レベルや暗号化アルゴリズムの詳細については、「Next Generation Encryption」を参照してください。
X.509 公開キー インフラストラクチャ証明書の詳細については、『Internet X.509 Public Key Infrastructure Certificate and CRL Profile』のドキュメントを参照してください。
Connection |
プロトコル |
ネゴシエーション証明書 |
想定される暗号化アルゴリズム |
---|---|---|---|
クライアントからサーバへ |
TLS 内の XMPP |
X.509 公開キー インフラストラクチャ証明書 |
AES 128 ビット |
クライアント間 |
TLS 内の XMPP |
X.509 公開キー インフラストラクチャ証明書 |
AES 256 ビット |
次のサーバは、Cisco WebEx Messenger サービスで X.509 公開キー インフラストラクチャ(PKI)証明書を使用して、Cisco Jabber と TLS 暗号化をネゴシエートします。
サーバとクライアントが TLS 暗号化をネゴシエートした後、インスタント メッセージのトラフィックを暗号化するためにクライアントとサーバの両方がセッション キーを生成して交換します。
Cisco WebEx Messenger サービスは、AES アルゴリズムで暗号化された 128 ビットの長さのセッション キーを使用して、Cisco Jabber と Cisco WebEx Messenger サービス間のインスタント メッセージ トラフィックを保護します。
必要に応じて、256 ビットのクライアント間 AES 暗号化を有効化し、クライアント間のトラフィックを保護できます。
Cisco WebEx Messenger サービスはインスタント メッセージをログに記録できますが、暗号化形式のインスタント メッセージはアーカイブされません。 ただし、Cisco WebEx Messenger サービスは、SAE-16 や ISO-27001 監査などの厳重なデータセンター セキュリティを使用して、記録したインスタント メッセージを保護します。
Cisco WebEx Messenger サービスは、AES 256 ビットのクライアント間の暗号化を有効にした場合は、インスタント メッセージをログに記録できません。
AES などの対称キー アルゴリズムや RSA などの公開キー アルゴリズムを含め、暗号化レベルや暗号化アルゴリズムの詳細については、「Next Generation Encryption」を参照してください。
X509 公開キー インフラストラクチャ証明書の詳細については、『Internet X.509 Public Key Infrastructure Certificate and CRL Profile』のドキュメントを参照してください。
デフォルトでは、クライアントと Cisco WebEx Messenger サービス間のインスタント メッセージ トラフィックは安全です。 必要に応じて、Cisco WebEx 管理ツールでポリシーを指定して、クライアント間のインスタント メッセージング トラフィックを保護できます。
ポリシーの組み合わせ |
クライアント間の暗号化 |
リモート クライアントが AES 暗号化をサポートしている場合 |
リモート クライアントが AES 暗号化をサポートしていない場合 |
---|---|---|---|
[IM の AES 符号化をサポートする(Support AES Encoding For IM)] = false [IM の符号化をサポートしない(Support No Encoding For IM)] = true |
[いいえ(No)] |
Cisco Jabber は暗号化されていないインスタント メッセージを送信します。 Cisco Jabber はキー交換をネゴシエートしません。 そのため、他のクライアントは Cisco Jabber の暗号化されたインスタント メッセージを送信しません。 |
Cisco Jabber は暗号化されていないインスタント メッセージを送受信します。 |
[IM の AES 符号化をサポートする(Support AES Encoding For IM)] = True [IM の符号化をサポートしない(Support No Encoding For IM)] = true |
[はい(Yes)] |
Cisco Jabber は暗号化されたインスタント メッセージを送受信します。 Cisco Jabber には、インスタント メッセージが暗号化されていることを示すアイコンが表示されます。 |
Cisco Jabber は暗号化されたインスタント メッセージを送信します。 Cisco Jabber は暗号化されていないインスタント メッセージを受信します。 |
[IM の AES 符号化をサポートする(Support AES Encoding For IM)] = True [IM の符号化をサポートしない(Support No Encoding For IM)] = false |
[はい(Yes)] |
Cisco Jabber は暗号化されたインスタント メッセージを送受信します。 Cisco Jabber には、インスタント メッセージが暗号化されていることを示すアイコンが表示されます。 |
Cisco Jabber は、リモート クライアントに対してインスタント メッセージの送受信を行いません。 ユーザがリモート クライアントにインスタント メッセージを送信しようとすると、Cisco Jabber にエラー メッセージが表示されます。 |
(注) |
Cisco Jabber では、グループ チャットによるクライアント間の暗号化をサポートしていません。 Cisco Jabber は、ポイントツーポイント チャットのみに関して、クライアント間の暗号化を使用します。 |
暗号化および Cisco WebEx ポリシーの詳細については、Cisco WebEx のマニュアルの「About Encryption Levels」の項を参照してください。
暗号化レベルを表示するには、クライアントが表示するアイコンを確認します。
ローカル チャット履歴が有効になっている場合、Cisco Jabber for iPhone and iPad は、モバイル デバイスにローカルに格納されるアーカイブ インスタント メッセージを暗号化しません。 暗号化されていないインスタント メッセージをローカルに格納することを望まない場合は、ローカル チャット履歴を無効にしてください。
ローカル チャット履歴が有効になっている場合、Cisco Jabber for Android は、モバイル デバイスにローカルに格納されるアーカイブ インスタント メッセージを暗号化しません。 暗号化されていないインスタント メッセージをローカルに格納することを望まない場合は、ローカル チャット履歴を無効にしてください。
ローカル チャット履歴を有効にすると、Cisco Jabber for Windows はインスタント メッセージを暗号化形式でアーカイブしません。 チャット履歴へのアクセスを制限するために、クライアントはアーカイブを %USERPROFILE%\AppData\Local\Cisco\Unified Communications\Jabber\CSF\History\uri.db ディレクトリに保存します。
ローカル チャット履歴を有効にすると、Cisco Jabber for Mac はインスタント メッセージを暗号化形式でアーカイブしません。 チャット履歴へのアクセスを制限するために、Cisco Jabber はアーカイブを ~/Library/Application Support/Cisco/Unified Communications/Jabber/CSF/History/uri.db ディレクトリに保存します。
オンプレミス展開の場合、Cisco Jabber for Mac の [チャットの設定(Chat Preferences)] ウィンドウで [チャットのアーカイブを次に保存:(Save chat archives to:)] オプションを選択すると、チャット履歴は Mac ファイル システムにローカルに保存され、Spotlight を使用して検索できるようになります。
チャット履歴は、参加者がチャット ウィンドウを閉じたあともサインアウトするまで維持されます。 参加者がチャット ウィンドウを閉じたらチャット履歴を破棄する場合は、Disable_IM_History パラメータを ture に設定します。 このパラメータは、IM 専用ユーザを除く、すべてのクライアントで使用できます。
オプションで、すべてのデバイスに対してセキュアな電話機能をセットアップできます。 セキュア電話機能により、セキュア SIP シグナリング、セキュア メディア ストリーム、および暗号化デバイス設定ファイルが提供されます。
ユーザのセキュアな電話機能を有効にした場合は、Cisco Unified Communications Manager へのデバイス接続がセキュアになります。 ただし、他のデバイスとのコールは、両方のデバイスがセキュアな接続を備えている場合にのみセキュアになります。
(注) |
ここで説明する内容は、Cisco Jabber for Windows スイッチにのみ適用されます。 |
連邦情報処理規格(FIPS)140 は、承認されたセキュリティ機能を実装し、暗号境界内に存在するハードウェア、ソフトウェア、およびファームウェアのセットを含む暗号モジュールのセキュリティ要件を規定した米国およびカナダ政府の標準です。
FIPS では、Cisco Jabber for Windows 内部で使用される暗号化、キー交換、デジタル署名、およびハッシュと乱数生成関数のすべてが暗号モジュールのセキュリティに関する FIPS 140.2 要件に準拠している必要があります。
Cisco Jabber for Windows は FIPS 140.2 に準拠しています。 クライアントを FIPS モードで実行するには、Windows オペレーティング システム上で FIPS を有効にする必要があります。 クライアントは、オペレーティング システムが FIPS モードになっており、FIPS モードで動作していることを検出します。
FIPS モードではクライアントによる証明書の管理がより厳密になります。 FIPS モードでは、サービスの証明書が期限切れになり、その前にユーザがクレデンシャルを再入力しなかった場合、クライアントに証明書エラーが表示されます。 ハブ ウィンドウにも、クライアントが FIPS モードで実行中であることを示す FIPS アイコンが表示されます。
Cisco Jabber は、サービスの認証時にサーバ証明書を検証します。 セキュアな接続の確立を試みるときに、サービスは Cisco Jabber に証明書を提示します。 Cisco Jabber は、提示された証明書をクライアント デバイスのローカル証明書ストア内の証明書に照らして検証します。 証明書が証明書ストア内に存在しない場合、その証明書は信頼できないものとみなされ、Cisco Jabber はユーザに証明書を受け入れるか拒否するかを尋ねます。
ユーザが証明書を受け入れた場合、Cisco Jabber はサービスに接続して、デバイスの証明書ストアまたはキーチェーンに証明書を保存します。 ユーザが証明書を拒否した場合、Cisco Jabber はサービスに接続せず、証明書はデバイスの証明書ストアにもキーチェーンにも保存されません。
証明書がデバイスのローカル証明書ストア内に存在する場合、Cisco Jabber は証明書を信頼します。 Cisco Jabber は、ユーザに証明書を受け入れるか拒否するかを尋ねずにサービスに接続します。
Cisco Jabber は Cisco Unified Communications Manager サーバ上の 2 つのサービスに対して認証を行います。 サービス名は Cisco Tomcat と Extensible Messaging and Presence Protocol(XMPP)です。 サービスごとに証明書署名要求(CSR)を生成する必要があります。 一部のパブリック認証局は、完全修飾ドメイン名(FQDN)ごとに 1 つの CSR しか承認しません。 そのため、各サービスの CSR を別々のパブリック認証局に送信しなければならない場合があります。
IP アドレスやホスト名の代わりに、各サービスのサービス プロファイルで FQDN が指定されていることを確認します。
サーバ |
証明書 |
---|---|
Cisco Unified Presence または Cisco Unified Communications Manager IM and Presence Service |
HTTP(Tomcat) XMPP |
Cisco Unified Communications Manager |
HTTP(Tomcat)と CallManager 証明書(セキュアな電話機用のセキュア SIP コール シグナリング) |
Cisco Unity Connection |
HTTP(Tomcat) |
Cisco WebEx Meetings Server |
HTTP(Tomcat) |
Cisco VCS Expressway Cisco Expressway-E |
サーバ証明書(HTTP、XMPP、および SIP コール シグナリングに使用) |
Security Assertion Markup Language(SAML)シングル サインオン(SSO)およびアイデンティティ プロバイダー(IdP)には X.509 証明書が必要です。
証明書署名プロセスを開始する前に、Cisco Unified Presence または Cisco Unified Communications Manager IM and Presence Service に対して最新のサービス更新(SU)を適用する必要があります。
必要な証明書は、すべてのサーバ バージョンに適用されます。
各クラスタ ノード、サブスクライバ、およびパブリッシャは Tomcat サービスを実行し、クライアントに HTTP 証明書を提示できます。
クラスタ内の各ノードの証明書に署名する必要があります。
クライアントと Cisco Unified Communications Manager 間の SIP シグナリングを保護するには、Certification Authority Proxy Function(CAPF)登録を使用する必要があります。
CSR の問題を回避するために、CSR を送信するパブリック CA からの形式の要件を確認する必要があります。 次に、サーバを構成する際に、入力する情報がパブリック CA が要求する形式に適合していることを保証する必要があります。
FQDN ごとに 1 つの証明書:一部のパブリック CA は、完全修飾ドメイン名(FQDN)ごとに 1 つの証明書にだけ署名します。
たとえば、1 つの Cisco Unified Communications Manager IM and Presence Service ノードの HTTP 証明書と XMPP 証明書に署名するには、各 CSR を個別のパブリック CA に送信する必要があります。
証明書を検証するには、失効情報を提供できる到達可能なサーバの [CDP] または [AIA] フィールドに HTTP URL が証明書に含まれている必要があります。 認証局(CA)によって証明書が取り消された場合、クライアントはユーザがそのサーバに接続することを許可しません。
(注) |
パブリック CA は、通常、サーバの識別情報として、IP アドレスではなく、ドメインを含む完全修飾ドメイン名(FQDN)を必要とします。 |
ヒント |
[件名 CN(Subject CN)] フィールドには、左端の文字(たとえば、*.cisco.com)としてワイルドカード(*)を含めることができます。 |
ユーザが IP アドレスでサーバに接続し、サーバ証明書が FQDN でサーバを識別しようとすると、クライアントは、信頼できるポートとサーバを識別できないため、ユーザにとって良い結果をもたらしません。
サーバ証明書が FQDN でサーバを識別する場合、環境全体の FQDN として各サーバ名を指定する必要があります。
マルチサーバ SAN を使用している場合は、クラスタと tomcat 証明書ごとに一度ずつと クラスタと XMPP 証明書ごとに一度ずつサービスに証明書をアップロードする必要があるだけです。 マルチサーバ SAN を使用していない場合は、すべての Cisco Unified Communications Manager ノードのサービスに証明書をアップロードする必要があります。
Cisco WebEx 証明書はパブリック認証局(CA)によって署名されます。 Cisco Jabber は、これらの証明書を検証し、クラウドベース サービスのセキュアな接続を確立します。
同じ証明書セットが、Cisco Jabber for Android、iPhone、iPad に適用されます。
中間認証局に保存されている証明書により Cisco WebEx Messenger サーバ ID が検証されます。
Cisco Jabber for Windows 9.7.2 以降の場合は、http://www.identrust.co.uk/certificates/trustid/install-nes36.html でルート証明書の詳細情報とインストール手順を確認できます。
Cisco Jabber for Mac 9.6.1 以降および iOS の場合は、Apple サポート Web サイト(http://support.apple.com)でルート証明書の詳細情報を確認できます。
目次
暗号化
ファイル転送および画面キャプチャのコンプライアンスおよびポリシー管理
Cisco Unified Communications Manager IM and Presence 10.5(2) 以降の管理されたファイル転送オプションを使用してファイル転送と画面キャプチャを送信する場合は、監査およびポリシー強制用のコンプライアンス サーバにファイルを送信できます。
コンプライアンスの詳細については、『Instant Messaging Compliance for IM and Presence Service on Cisco Unified Communications Manager』ガイドを参照してください。
ファイル転送と画面キャプチャの詳細については、『Cisco Unified Communications Manager IM and Presence Deployment and Installation Guide』を参照してください。
インスタント メッセージの暗号化
オンプレミス暗号化
サーバとクライアントのネゴシエーション
次のサーバは、X.509 公開キー インフラストラクチャ(PKI)証明書と次のものを使用して Cisco Jabber と TLS 暗号化をネゴシエートします。サーバとクライアントが TLS 暗号化をネゴシエートした後、インスタント メッセージのトラフィックを暗号化するためにクライアントとサーバの両方がセッション キーを生成して交換します。
XMPP 暗号化
Cisco Unified Presence と Cisco Unified Communications Manager IM and Presence Service はどちらも、AES アルゴリズムで暗号化された 256 ビット長のセッション キーを使用して Cisco Jabber とプレゼンス サーバ間のインスタント メッセージ トラフィックを保護します。
サーバ ノード間のトラフィックのセキュリティを強化する必要がある場合は、Cisco Unified Presence または Cisco Unified Communications Manager IM and Presence Service 上で XMPP セキュリティ設定を構成できます。 セキュリティ設定の詳細については、次のドキュメントを参照してください。インスタント メッセージのロギング
規制ガイドラインへの準拠のために、インスタント メッセージをログに記録してアーカイブできます。 インスタント メッセージをログに記録するには、外部データベースを設定するか、またはサードパーティ製のコンプライアンス サーバと統合します。 Cisco Unified Presence と Cisco Unified Communications Manager IM and Presence Service は、外部データベースまたはサードパーティ製コンプライアンス サーバに記録されたインスタント メッセージを暗号化しません。 必要に応じて、外部データベースまたはサードパーティ製コンプライアンス サーバを設定し、記録したインスタント メッセージを保護する必要があります。
クラウドベースの暗号化
サーバとクライアントのネゴシエーション
次のサーバは、Cisco WebEx Messenger サービスで X.509 公開キー インフラストラクチャ(PKI)証明書を使用して、Cisco Jabber と TLS 暗号化をネゴシエートします。
サーバとクライアントが TLS 暗号化をネゴシエートした後、インスタント メッセージのトラフィックを暗号化するためにクライアントとサーバの両方がセッション キーを生成して交換します。
XMPP 暗号化
Cisco WebEx Messenger サービスは、AES アルゴリズムで暗号化された 128 ビットの長さのセッション キーを使用して、Cisco Jabber と Cisco WebEx Messenger サービス間のインスタント メッセージ トラフィックを保護します。
必要に応じて、256 ビットのクライアント間 AES 暗号化を有効化し、クライアント間のトラフィックを保護できます。
クライアント間の暗号化
デフォルトでは、クライアントと Cisco WebEx Messenger サービス間のインスタント メッセージ トラフィックは安全です。 必要に応じて、Cisco WebEx 管理ツールでポリシーを指定して、クライアント間のインスタント メッセージング トラフィックを保護できます。
次のポリシーは、クライアント間のインスタント メッセージの暗号化を指定します。次の表は、これらのポリシーを使用して設定できる組み合わせを示しています。
ポリシーの組み合わせ
クライアント間の暗号化
リモート クライアントが AES 暗号化をサポートしている場合
リモート クライアントが AES 暗号化をサポートしていない場合
[IM の AES 符号化をサポートする(Support AES Encoding For IM)] = false
[IM の符号化をサポートしない(Support No Encoding For IM)] = true
[いいえ(No)]
Cisco Jabber は暗号化されていないインスタント メッセージを送信します。
Cisco Jabber はキー交換をネゴシエートしません。 そのため、他のクライアントは Cisco Jabber の暗号化されたインスタント メッセージを送信しません。
Cisco Jabber は暗号化されていないインスタント メッセージを送受信します。
[IM の AES 符号化をサポートする(Support AES Encoding For IM)] = True
[IM の符号化をサポートしない(Support No Encoding For IM)] = true
[はい(Yes)]
Cisco Jabber は暗号化されたインスタント メッセージを送受信します。
Cisco Jabber には、インスタント メッセージが暗号化されていることを示すアイコンが表示されます。
Cisco Jabber は暗号化されたインスタント メッセージを送信します。
Cisco Jabber は暗号化されていないインスタント メッセージを受信します。
[IM の AES 符号化をサポートする(Support AES Encoding For IM)] = True
[IM の符号化をサポートしない(Support No Encoding For IM)] = false
[はい(Yes)]
Cisco Jabber は暗号化されたインスタント メッセージを送受信します。
Cisco Jabber には、インスタント メッセージが暗号化されていることを示すアイコンが表示されます。
Cisco Jabber は、リモート クライアントに対してインスタント メッセージの送受信を行いません。
ユーザがリモート クライアントにインスタント メッセージを送信しようとすると、Cisco Jabber にエラー メッセージが表示されます。
(注)
Cisco Jabber では、グループ チャットによるクライアント間の暗号化をサポートしていません。 Cisco Jabber は、ポイントツーポイント チャットのみに関して、クライアント間の暗号化を使用します。
暗号化および Cisco WebEx ポリシーの詳細については、Cisco WebEx のマニュアルの「About Encryption Levels」の項を参照してください。
ローカルのチャット履歴
ローカル チャット履歴が有効になっている場合、Cisco Jabber for iPhone and iPad は、モバイル デバイスにローカルに格納されるアーカイブ インスタント メッセージを暗号化しません。 暗号化されていないインスタント メッセージをローカルに格納することを望まない場合は、ローカル チャット履歴を無効にしてください。
ローカル チャット履歴が有効になっている場合、Cisco Jabber for Android は、モバイル デバイスにローカルに格納されるアーカイブ インスタント メッセージを暗号化しません。 暗号化されていないインスタント メッセージをローカルに格納することを望まない場合は、ローカル チャット履歴を無効にしてください。
ローカル チャット履歴を有効にすると、Cisco Jabber for Windows はインスタント メッセージを暗号化形式でアーカイブしません。 チャット履歴へのアクセスを制限するために、クライアントはアーカイブを %USERPROFILE%\AppData\Local\Cisco\Unified Communications\Jabber\CSF\History\uri.db ディレクトリに保存します。
ローカル チャット履歴を有効にすると、Cisco Jabber for Mac はインスタント メッセージを暗号化形式でアーカイブしません。 チャット履歴へのアクセスを制限するために、Cisco Jabber はアーカイブを ~/Library/Application Support/Cisco/Unified Communications/Jabber/CSF/History/uri.db ディレクトリに保存します。
オンプレミス展開の場合、Cisco Jabber for Mac の [チャットの設定(Chat Preferences)] ウィンドウで [チャットのアーカイブを次に保存:(Save chat archives to:)] オプションを選択すると、チャット履歴は Mac ファイル システムにローカルに保存され、Spotlight を使用して検索できるようになります。
チャット履歴は、参加者がチャット ウィンドウを閉じたあともサインアウトするまで維持されます。 参加者がチャット ウィンドウを閉じたらチャット履歴を破棄する場合は、Disable_IM_History パラメータを ture に設定します。 このパラメータは、IM 専用ユーザを除く、すべてのクライアントで使用できます。
連邦情報処理標準規格
(注)
ここで説明する内容は、Cisco Jabber for Windows スイッチにのみ適用されます。
連邦情報処理規格(FIPS)140 は、承認されたセキュリティ機能を実装し、暗号境界内に存在するハードウェア、ソフトウェア、およびファームウェアのセットを含む暗号モジュールのセキュリティ要件を規定した米国およびカナダ政府の標準です。
FIPS では、Cisco Jabber for Windows 内部で使用される暗号化、キー交換、デジタル署名、およびハッシュと乱数生成関数のすべてが暗号モジュールのセキュリティに関する FIPS 140.2 要件に準拠している必要があります。
Cisco Jabber for Windows は FIPS 140.2 に準拠しています。 クライアントを FIPS モードで実行するには、Windows オペレーティング システム上で FIPS を有効にする必要があります。 クライアントは、オペレーティング システムが FIPS モードになっており、FIPS モードで動作していることを検出します。
FIPS モードではクライアントによる証明書の管理がより厳密になります。 FIPS モードでは、サービスの証明書が期限切れになり、その前にユーザがクレデンシャルを再入力しなかった場合、クライアントに証明書エラーが表示されます。 ハブ ウィンドウにも、クライアントが FIPS モードで実行中であることを示す FIPS アイコンが表示されます。
証明書の検証
証明書検証プロセス
Cisco Jabber は、サービスの認証時にサーバ証明書を検証します。 セキュアな接続の確立を試みるときに、サービスは Cisco Jabber に証明書を提示します。 Cisco Jabber は、提示された証明書をクライアント デバイスのローカル証明書ストア内の証明書に照らして検証します。 証明書が証明書ストア内に存在しない場合、その証明書は信頼できないものとみなされ、Cisco Jabber はユーザに証明書を受け入れるか拒否するかを尋ねます。
ユーザが証明書を受け入れた場合、Cisco Jabber はサービスに接続して、デバイスの証明書ストアまたはキーチェーンに証明書を保存します。 ユーザが証明書を拒否した場合、Cisco Jabber はサービスに接続せず、証明書はデバイスの証明書ストアにもキーチェーンにも保存されません。
証明書がデバイスのローカル証明書ストア内に存在する場合、Cisco Jabber は証明書を信頼します。 Cisco Jabber は、ユーザに証明書を受け入れるか拒否するかを尋ねずにサービスに接続します。
Cisco Jabber は Cisco Unified Communications Manager サーバ上の 2 つのサービスに対して認証を行います。 サービス名は Cisco Tomcat と Extensible Messaging and Presence Protocol(XMPP)です。 サービスごとに証明書署名要求(CSR)を生成する必要があります。 一部のパブリック認証局は、完全修飾ドメイン名(FQDN)ごとに 1 つの CSR しか承認しません。 そのため、各サービスの CSR を別々のパブリック認証局に送信しなければならない場合があります。
IP アドレスやホスト名の代わりに、各サービスのサービス プロファイルで FQDN が指定されていることを確認します。
オンプレミス サーバに必要な証明書
オンプレミス サーバは、 Cisco Jabber とのセキュアな接続を確立するために、次の証明書を提示します。
サーバ
証明書
Cisco Unified Presence または Cisco Unified Communications Manager IM and Presence Service
HTTP(Tomcat)
XMPP
Cisco Unified Communications Manager
HTTP(Tomcat)と CallManager 証明書(セキュアな電話機用のセキュア SIP コール シグナリング)
Cisco Unity Connection
HTTP(Tomcat)
Cisco WebEx Meetings Server
HTTP(Tomcat)
Cisco VCS Expressway
Cisco Expressway-E
サーバ証明書(HTTP、XMPP、および SIP コール シグナリングに使用)
特記事項
Security Assertion Markup Language(SAML)シングル サインオン(SSO)およびアイデンティティ プロバイダー(IdP)には X.509 証明書が必要です。
証明書署名プロセスを開始する前に、Cisco Unified Presence または Cisco Unified Communications Manager IM and Presence Service に対して最新のサービス更新(SU)を適用する必要があります。
必要な証明書は、すべてのサーバ バージョンに適用されます。
各クラスタ ノード、サブスクライバ、およびパブリッシャは Tomcat サービスを実行し、クライアントに HTTP 証明書を提示できます。
クラスタ内の各ノードの証明書に署名する必要があります。
クライアントと Cisco Unified Communications Manager 間の SIP シグナリングを保護するには、Certification Authority Proxy Function(CAPF)登録を使用する必要があります。
証明書署名要求の形式と要件
失効サーバ
クラウドベースのサーバの証明書要件
Cisco WebEx Messenger および Cisco WebEx Meeting Center は、クライアントに次の証明書を提示します。重要:Cisco WebEx 証明書はパブリック認証局(CA)によって署名されます。 Cisco Jabber は、これらの証明書を検証し、クラウドベース サービスのセキュアな接続を確立します。
Cisco Jabber for Windows 9.7.2 および Cisco Jabber for Mac 9.6.1 以降では、 Cisco Jabber は Cisco WebEx Messenger から受信した XMPP 証明書を検証します。 以下の Cisco WebEx Messenger 用の証明書がオペレーティング システムに付属していない場合は、それらを入力する必要があります。同じ証明書セットが、Cisco Jabber for Android、iPhone、iPad に適用されます。
中間認証局に保存されている証明書により Cisco WebEx Messenger サーバ ID が検証されます。
Cisco Jabber for Windows 9.7.2 以降の場合は、http://www.identrust.co.uk/certificates/trustid/install-nes36.html でルート証明書の詳細情報とインストール手順を確認できます。
Cisco Jabber for Mac 9.6.1 以降および iOS の場合は、Apple サポート Web サイト(http://support.apple.com)でルート証明書の詳細情報を確認できます。