Name
|
セキュリティ プロファイルの名前を入力します。
新しいプロファイルを保存すると、電話タイプとプロトコルの [Phone Configuration] ウィンドウの [Device Security Profile] ドロップダウン リスト ボックスにその名前が表示されます。
ヒント
|
セキュリティ プロファイル名にデバイス モデルとプロトコルを含めると、プロファイルの検索または更新時に正しいプロファイルを検索できます。
|
|
[Description]
|
セキュリティ プロファイルの説明を入力します。
|
[Nonce Validity Time]
|
ナンス値が有効な分数(秒単位)を入力します。デフォルト値は 600(10 分)です。この時間が経過すると、Unified Communications Manager は新しい値を生成します。
(注)
|
ナンス値は、ダイジェスト認証をサポートする乱数であり、ダイジェスト認証パスワードの MD5 ハッシュを計算するときに使用されます。
|
|
[Device Security Mode]
|
ドロップダウン リスト ボックスから、次のいずれかのオプションを選択します。
-
[Non Secure]:電話には、イメージ認証、ファイル認証、デバイス認証を除くセキュリティ機能が存在していません。Unified Communications Manager への TCP 接続が開かれます。
-
[Authenticated]:Unified Communications Managerは電話の整合性と認証を提供します。NULL/SHA を使用する TLS 接続がシグナリングに対して開きます。
-
[Encrypted]:Cisco Unified Communications Managerは電話の整合性、認証、および暗号化を提供します。シグナリングに AES128/SHA を使用する TLS 接続が開き、SRTP はすべての SRTP 対応ホップでのすべてのコールに対してメディアを伝送します。
(注)
|
[認証済み] として選択されている [デバイスのセキュリティ プロファイル (トランク)] を使用して設定した場合、Cisco ユニファイドコミュニケーションマネージャーは、NULL_SHA 暗号を使用した TLS connection (データ暗号化なし)
を開始します。
これらのトランクは、通知先デバイスが NULL_SHA 暗号をサポートしていない場合は、そのデバイスを登録したり、コールを発信したりしません。
NULL_SHA 暗号をサポートしていない通知先デバイスでは、[暗号化 (Encrypted)] として選択した [デバイスのセキュリティ プロファイル (トランク)] で設定する必要があります。このデバイス セキュリティ プロファイルを使用すると、トランクは、データの暗号化を可能にする追加の
TLS 暗号を提供します。
|
|
[Transport Type]
|
[Device Security Mode] が [Non Secure] の場合は、ドロップダウン リスト ボックスから次のオプションのいずれかを選択します(一部のオプションは表示されないことがあります)。
-
[TCP]:Transmission Control Protocol を選択し、パケットが送信時と同じ順序で受信されるようにします。このプロトコルを使用すると、パケットはドロップされませんが、プロトコルはセキュリティを提供しません。
-
[UDP]:User Datagram Protocol を選択し、パケットがすばやく受信されるようにします。このプロトコルはパケットをドロップする可能性があり、パケットは送信された順序で受信されないことがあります。このプロトコルはセキュリティを提供しません。
-
[TCP + UDP]:TCP と UDP を組み合わせて使用する場合は、このオプションを選択します。このオプションはセキュリティを提供しません。
[Device Security Mode] が [Authenticated] または [Encrypted] の場合、転送タイプは TLS になります。TLS によって、SIP 電話のシグナリングの整合性、デバイス認証、およびシグナリング暗号化(暗号化モードのみ)が実現されます。
プロファイルで [Device Security Mode] を設定できない場合は、転送タイプは UDP になります。
|
[Enable Digest Authentication]
|
このチェックボックスをオンにした場合、Unified Communications Manager は電話からのすべての SIP 要求に対してチャレンジを行います。
ダイジェスト認証ではデバイス認証、整合性、機密性は提供されません。これらの機能を使用するには、セキュリティ モードとして [Authenticated] または [Encrypted] を選択します。
|
[TFTP Encrypted Config]
|
このチェックボックスをオンにすると、Unified Communications Manager は TFTP サーバからの電話のダウンロードを暗号化します。このオプションはシスコ製電話専用です。
ヒント
|
このオプションを有効化し、対称キーを設定してダイジェスト クレデンシャルと管理パスワードを保護することをお勧めします。
|
|
[OAuth 認証の有効化(Enable OAuth Authentication)]
|
[ デバイス セキュリティ プロファイル ] ドロップダウンリストから [暗号化 (Encrypted)] を選択すると、このチェックボックスが使用可能になります。
このチェック ボックスをオンにすると、Unified Communications Manager では、この電話のセキュリティ プロファイルと関連付けられているデバイスが SIP OAuth ポートを使用して登録できるようになります。デフォルトでは、このチェックボックスはオフになっています。
SIP OAuth を有効にするには、次のようにします。
(注)
|
ユニファイドコミュニケーションマネージャーリリース 12.5 では、Jabber は SIP OAuth 認証をサポートしています。
|
|
[Exclude Digest Credentials in Configuration File]
|
このチェックボックスをオンにすると、Unified Communications Manager は TFTP サーバからの電話のダウンロードでダイジェスト クレデンシャルを除外します。このオプションは、Cisco IP Phone、7942、および 7962 (SIP のみ) に対応しています。
|
認証モード(Authentication Mode)
|
このフィールドでは、電話が CAPF 証明書の処理時に使用する認証方法を選択できます。このオプションはシスコ製電話専用です。
ドロップダウン リスト ボックスから、次のいずれかのオプションを選択します。
-
[By Authentication String]:ユーザが電話に CAPF 認証文字列を入力した場合にのみ、ローカルで有効な証明書をインストール/アップグレード、またはトラブルシューティングします。
-
[By Null String]:ユーザの介入なしで、ローカルで有効な証明書をインストール/アップグレード、またはトラブルシューティングします。
このオプションではセキュリティが確保されません。したがって、このオプションはセキュアな閉じた環境の場合にのみ選択することを強く推奨します。
-
[By Existing Certificate (Precedence to LSC)]:製造元でインストールされる証明書(MIC)またはローカルで有効な証明書(LSC)が電話に存在する場合に、ローカルで有効な証明書をインストール/アップグレード、またはトラブルシューティングします。電話機に LSC が存在する場合、電話機に MIC
が存在するかどうかに関係なく、LSC によって認証が行われます。電話機に LSC が存在しないが、MIC が存在する場合、MIC によって認証が行われます。
このオプションを選択する前に、電話機に証明書が存在することを確認してください。このオプションを選択して、電話機に証明書が存在しない場合、操作は失敗します。
MIC と LSC が同時に電話機に存在できる場合でも、電話機が CAPF への認証に使用する証明書は常に 1 つだけです。優先されるプライマリ証明書が何らかの理由で破損した場合、または別の証明書を使用して認証を受ける場合は、認証モードを更新する必要があります。
-
既存証明書(MIC に優先権)(By Existing Certificate (Precedence to MIC)):電話に LSC または MIC が存在する場合に、製造元でインストールされる証明書をインストール/アップグレード、またはトラブルシューティングします。電話機に LSC が存在する場合、電話機に MIC が存在するかどうかに関係なく、LSC によって認証が行われます。電話機に
LSC が存在するが、MIC が存在しない場合、LSC によって認証が行われます。
このオプションを選択する前に、電話機に証明書が存在することを確認してください。電話に証明書が存在しない場合にこのオプションを選択すると、操作は失敗します。
(注)
|
[Phone Security Profile] ウィンドウで設定される CAPF 設定は、[Phone Configuration] ウィンドウで設定される CAPF パラメータと相互に関係します。
|
|
[Key Size]
|
CAPF で使用されるこの設定では、ドロップダウン リスト ボックスから証明書のキー サイズを選択します。デフォルト設定は 1024 です。キー サイズのその他のオプションは 512 です。
デフォルトの設定より大きいキー サイズを選択すると、電話がキーの生成に必要なエントロピーを生成する時間が長くなります。キーの生成を低い優先順位で設定すると、操作の実行中に、電話機が機能します。電話機のモデルによっては、キーの生成が完了するまでに、30
分以上かかることがあります。
(注)
|
[Phone Security Profile] ウィンドウで設定される CAPF 設定は、[Phone Configuration] ウィンドウで設定される CAPF パラメータと相互に関係します。
|
|
[SIP Phone Port]
|
この設定は、UDP 転送を使用し SIP を実行する電話に適用されます。
UDP を使用して Unified Communications Manager からの SIP メッセージをリッスンする Cisco IP Phone(SIP のみ)のポート番号を入力します。デフォルト設定は 5060 です。
TCP または TLS を使用している電話ではこの設定が無視されます。
|