暗号管理
暗号の管理はオプションの機能で、すべての TLS および SSH 接続で許可されるセキュリティ暗号のセットを制御できます。暗号管理を使用すると、弱い暗号を無効にして最小レベルのセキュリティを有効にすることができます。
[ Cipher Management ] ページには、デフォルト値はありません。代わりに、暗号化管理機能は、許可されている暗号を設定している場合にのみ有効になります。[暗号管理(Cipher Management)] ページで設定している場合でも、特定の弱い暗号は許可されません。
次の TLS インターフェイスおよび SSH インターフェイスで暗号を設定することができます。
-
[All TLS(すべての TLS)]:このフィールドに割り当てられている暗号は、Unified Communications Manager および IM and Presence Service の TLS プロトコルをサポートするすべてのサーバおよびクライアント接続に適用されます。
-
[HTTPS TLS]:このフィールドに割り当てられる暗号は、Unified Communications Manager および IM and Presence Service の TLS プロトコルをサポートするポート 443 および 8443 上のすべての Cisco Tomcat 接続に適用されます。
(注)
[HTTPS TLS] および [すべての TLS(All TLS)] フィールドに暗号を割り当てる場合、[HTTPS TLS] 上で設定されている暗号が [すべての TLS(All TLS)] 暗号を上書きします。
-
SIP TLS: このフィールドに割り当てられる暗号は、ユニファイドコミュニケーションマネージャー上の TLS プロトコルをサポートする sip tls インターフェイスを介して送受信されるすべての暗号化接続に適用されます。SCCP または CTI デバイスには適用されません。
認証モードの SIP インターフェイスは、ナル-SHA 暗号のみをサポートしています。
SIP インターフェイスまたはすべてのインターフェイスで暗号化を設定した場合は、認証モードはサポートされなくなります。
SIP TLSおよびALL TLSフィールドで暗号を割り当てる場合、SIP TLS で設定した暗号は、ALL TLSs 暗号を上書きします。
-
[SSH 暗号(SSH Ciphers)]:このフィールドに割り当てられる暗号は、Unified Communications Manager および IM and Presence Service の SSH 接続に適用されます。
-
[SSH キー交換(SSH Key Exchange)]:このフィールドで割り当てられるキー交換アルゴリズムは、Unified Communications Manager および IM and Presence Service の SSH インターフェイスに適用されます。
カーブのネゴシエーション
次に、曲線のネゴシエーションの点を示します。
-
ECDSA の暗号は、ECDSA 証明書のキーサイズに基づいて、さまざまな EC カーブとネゴシエートされます。
-
RSA の暗号化は、証明書のキーサイズに関係なく、すべての EC カーブとネゴシエートされます。
-
ECDSA 証明書のキーサイズは、TLS ネゴシエーションを発生させるための曲線サイズと同じである必要があります。
例:
クライアントが P-384 EC のカーブを提供する場合、384 キー証明書と ECDSA の暗号がネゴシエートされます。
曲線のネゴシエーションは、RSA 暗号と ECDSA 暗号の両方のクライアント設定に基づいています。
証明書のサイズが 384 ビットであり、クライアントのオファーリングが P-521 の場合、P-384 P-256 EC のネゴシエーションが発生すると、P-521 の曲線で TLS ネゴシエーションが発生します。クライアントによって提供されるカーブは最初の P-521 であり、P-384 曲線もリストから利用できます。証明書サイズが 384 ビットであり、クライアントオファーリングが P-521、P-256 の場合、P-384 曲線がクライアントによって提供されないため、TLS ネゴシエーションは行われません。
EC カーブでサポートされている暗号を次に示します。
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
TLS_ECDHE_ECDSA_WITH_3DES_EDE_CBC_SHA
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA
TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA
TLS_ECDHE_RSA_WITH_3DES_EDE_CBC_SHA
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256
TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
推奨される暗号
デフォルトでは、Unified Communications Manager および IM and Presence Service は、サードパーティ製品を含む他のほとんどの製品との安全な統合をサポートする一連の暗号(下記の TLS および SSH 暗号のセクションを参照)をすでに使用しています。したがって、通常は変更を加える必要はありません。暗号スイートの不一致によって TLS ハンドシェイクが失敗する場合は、Unified Communications Manager 暗号管理を使用して、サポートされている暗号のリストに暗号を追加できます。
暗号管理は、顧客がより制限を加えて、TLS ハンドシェイク中に特定の暗号スイートがネゴシエートされないようにしたい場合にも使用できます。暗号を設定した後で変更を有効にするには、影響を受けるサービスを再起動するか、サーバーをリブートします。
警告 |
SSH MAC インターフェイスで sha2-512 を設定すると、DRS と CDR の機能が影響を受けます。 暗号 aes128-gcm@openssh.com の設定、"ssh Cipher の" フィールド内の aes256-gcm@openssh.com、または ssh kex "の sha2-nistp256 アルゴリズムのみを設定すると、DRS と CDR の機能が失われます。 |
シスコでは、TLS および SSH インターフェイスの構成用に次の暗号ストリングをサポートしています。
- TLS
-
ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384: ECDHE-RSA-AES256-SHA:AES256-GCM-SHA384:AES256-SHA256:AES256-SHA: ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-SHA256: ECDHE-RSA-AES128-SHA:AES128-GCM-SHA256:AES128-SHA256:AES128-SHA
- SSH 暗号
-
aes128-ctr,aes192-ctr,aes256-ctr,aes128-gcm@openssh.com, aes256-gcm@openssh.com
- SSH MAC
-
hmac-sha2-512,hmac-sha2-256,hmac-sha1
- SSH KEX
-
ecdh-sha2-nistp521, ecdh-sha2-nistp384, ecdh-sha2-nistp256, diffie-hellman-group14-sha1, diffie-hellman-group16-sha512, diffie-hellman-group14-sha256