セキュリティ : Cisco ASA 5500-X シリーズ次世代型ファイアウォール

IP Phone を使用する SSLVPN トンネルの設定例

2015 年 11 月 26 日 - 機械翻訳について
その他のバージョン: PDFpdf | ライター翻訳版 (2013 年 7 月 10 日) | 英語版 (2015 年 8 月 22 日) | フィードバック

概要

この資料に Secure Sockets Layer VPN (SSL VPN)、別名 WebVPN 上の IP 電話を設定する方法を記述されています。 このソリューションでは、2 つの Cisco Unified Communications Manager(CallManager)および 3 種類の証明書が使用されます。 次に、使用する CallManager を示します。

  • Cisco Unified Communications Manager(CUCM)
  • Cisco Unified Communications Manager Express(Cisco Unified CME)

次に、使用する証明書タイプを示します。

  • 自己署名証明書
  • Entrust、Thawte および GoDaddy などのサードパーティ証明書
  • Cisco IOS®/Adaptive Security Appliance(ASA)認証局(CA)

、IP 電話にローカルで加入する必要があります、一度 SSL VPNゲートウェイの設定および CallManager が完了することです理解するべきキーコンセプトは。 これにより、電話を CUCM に登録し、正しい VPN 情報および証明書を使用できます。 電話がローカルで加入されない場合、彼らは SSL VPNゲートウェイを見つけることができないし、SSL VPN ハンドシェイクを完了する正しい認証がありません。

一般的な設定は、ASA 自己署名証明書および Cisco IOS 自己署名証明書を使用した CUCM/Unified CME です。 これは最も簡単な設定です。

ニコラス Carrieri、ウィリアム ライアン ベネット、およびウォルター ローペッツによって貢献される、Cisco TAC エンジニア。

前提条件

要件

次の項目に関する知識があることが推奨されます。

  • Cisco Unified Communications Manager (CUCM)または Cisco Unified Communications Manager Express (Cisco Unified CME)
  • SSL VPN (WebVPN)
  • Cisco 適応性があるセキュリティ アプライアンス モデル(ASA)
  • 自己署名、サード パーティの、および認証機関のような認証タイプ、

使用するコンポーネント

このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づくものです。

  • ASA Premium ライセンス
  • AnyConnect VPN 電話ライセンス。
    • ASA リリース 8.0.x の場合、ライセンスは、AnyConnect for Linksys Phone です。
    • ASA リリース 8.2.x 以降の場合、ライセンスは、AnyConnect for Cisco VPN Phone です。
  • SSL VPNゲートウェイ: ASA 8.0 またはそれ以降(Cisco VPN 電話ライセンスのための AnyConnect と)、または Cisco IOS ソフトウェア リリース 12.4T またはそれ以降。
    • Cisco IOS ソフトウェア リリース 12.4T またはそれ以降は SSL VPN コンフィギュレーション ガイドで文書化されているように形式的にサポートされません。
    • Cisco IOS ソフトウェア リリース 15.0(1)M では、SSL VPNゲートウェイは Cisco 880、Cisco 890、Cisco 1900、Cisco 2900 および Cisco のシート数えられた認可機能 3900 のプラットフォームです。 正常な SSL VPN セッションに有効なライセンスが必要となります。
  • CallManager: CUCM 8.0.1 以降または Unified CME 8.5 以降

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されたものです。 このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。 ネットワークが稼働中の場合は、コマンドが及ぼす潜在的な影響を十分に理解しておく必要があります。

設定



このセクションで使用されているコマンドの詳細を調べるには、Command Lookup Tool登録ユーザ専用)を使用してください。

アウトプット インタープリタ ツール登録ユーザ専用)は、特定の show コマンドをサポートしています。 show コマンド出力の分析を表示するには、アウトプット インタープリタ ツールを使用してください。

基本 ASA SSL VPN 設定

基本 ASA SSL VPN 設定はこれらの文書に説明があります:

この設定が完了した、リモートテスト PC は SSL VPNゲートウェイに接続できるはずで AnyConnect によって接続し、CUCM を ping します。 ASA を持っています Cisco IP Phone ライセンスのための AnyConnect を確認して下さい。 (show ver コマンドを使用して下さい。) TCP と UDP の両方のポート 443 をゲートウェイとクライアントの間で開いておく必要があります。

: 負荷分散された SSL VPN は VPN 電話でサポートされません。

CUCM: 自己署名証明書 設定の ASA SSL VPN

詳細な情報詳細については AnyConnect を使用して IP Phone SSL VPN に ASA を参照して下さい。

ASA には、AnyConnect for Cisco VPN Phone のライセンスが必要です。 SSL VPN を設定した後、それから VPN のための CUCM を設定します。

  1. ASA から自己署名証明書をエクスポートするには、次のコマンドを使用します。

    ciscoasa(config)# crypto ca export trustpoint name identity-certificate
    このコマンドはターミナルに pem 符号化された ID証明を表示するものです。
  2. 証明書をテキスト エディタにコピーおよびペーストして、.pem ファイルとして保存します。 開始認証および END 認証行を含むことを忘れないでいればまたは認証は正しくインポートしません。 電話が ASA に認証することを試みるときこれが問題を引き起こすので認証の形式を修正しないで下さい。
  3. [Cisco Unified Operating System Administration] > [Security] > [Certificate Management] > [Upload Certificate/Certificate Chain] に移動して、CUCM の CERTIFICATE MANAGEMENT セクションに証明書ファイルをロードします。
  4. ASA からの自己署名証明書のロードに使用したエリアと同じエリアから、CallManager.pem、CAPF.pem および Cisco_Manufacturing_CA.pem 証明書をダウンロードし(ステップ 1 を参照)、デスクトップに保存します。
    1. たとえば、CallManager.pem を ASA にインポートするには、次のコマンドを使用します。

      ciscoasa(config)# crypto ca trustpoint certificate-name
      ciscoasa(config-ca-trustpoint)# enrollment terminal
      ciscoasa(config)# crypto ca authenticate certificate-name
    2. トラストポイントの対応する証明書をコピーおよびペーストするように要求されたら、保存したファイルを CUCM から開いて、Base64 エンコードされた証明書をコピーおよびペーストします。 必ず BEGIN CERTIFICATE および END CERTIFICATE ライン(ハイフンを使用)を含めてください。
    3. end と入力して、[Return] を押します。
    4. 証明書を信頼するか求められたら、yes と入力し、Enter キーを押します。
    5. CUCM からの他の 2 つの認証(CAPF.pem、Cisco_Manufacturing_CA.pem)のためのステップ 1 に 4 を繰り返して下さい。
  5. CUCM IPphone VPN config.pdf で説明されているように、正しい VPN 構成で CUCM を設定します。

: CUCM で設定される VPN ゲートウェイは、VPN ゲートウェイで設定される URL と一致する必要があります。 ゲートウェイおよび URL が一致しない場合、電話はアドレスを名前解決できません。VPN ゲートウェイではデバッグは表示されません。

  • CUCM の場合、 VPN ゲートウェイ URL は https://192.168.1.1/VPNPhone です。
  • ASA では、次のコマンドを使用します。

    ciscoasa# configure terminal
    ciscoasa(config)# tunnel-group VPNPhones webvpn-attributes
    ciscoasa(config-tunnel-webvpn)# group-url https://192.168.1.1/VPNPhone
    enable

    ciscoasa(config-tunnel-webvpn)# exit
  • これらのコマンドは、Adaptive Security Device Manager(ASDM)または接続プロファイルで使用できます。

CUCM: サード パーティ 認証 設定の ASA SSL VPN

このコンフィギュレーションは、「CUCM: 自己署名証明書を使用した ASA SSLVPN のコンフィギュレーション」セクションで説明されているコンフィギュレーションと非常に似ていますが、サードパーティ証明書を使用する点が異なります。 ASA 8.x に記述されているようにサード パーティ 認証で ASA の SSL VPN を手動でインストールします WebVPN 設定例と併用するためのサード パーティ ベンダー 認証を設定して下さい。

: すべての証明書チェーンを ASA から CUCM にコピーし、すべての中間およびルート証明書を含める必要があります。 CUCM が完全なチェーンが含まれない場合、電話は失敗を認証し、必要な認証を SSL VPN ハンドシェイク備えていません。

基本 IOS SSL VPN 設定

: IP 電話は IOS SSL VPN でサポートされないとして指定されます; コンフィギュレーションはベスト エフォートです。

基本的な Cisco IOS SSL VPN 設定はこれらの文書に説明があります:

この設定が完了した、リモートテスト PC は SSL VPNゲートウェイに接続できるはずで AnyConnect によって接続し、CUCM を ping します。 Cisco IOS 15.0 およびそれ以降では、このタスクを完了する有効な SSL VPN ライセンスがなければなりません。 TCP と UDP の両方のポート 443 をゲートウェイとクライアントの間で開いておく必要があります。

CUCM: 自己署名証明書 設定の IOS SSL VPN

このコンフィギュレーションは、「CUCM: サードパーティ証明書を使用した ASA SSLVPN のコンフィギュレーション」および「CUCM: 自己署名証明書を使用した ASA SSLVPN のコンフィギュレーション」セクションで説明されているコンフィギュレーションと似ています。 次に、これらの違いを示します。

  1. ルータから自己署名証明書をエクスポートするには、次のコマンドを使用します。

    R1(config)# crypto pki export trustpoint-name pem terminal
  2. CUCM 証明書をインポートするには、次のコマンドを使用します。

    R1(config)# crypto pki trustpoint certificate-name
    R1(config-ca-trustpoint)# enrollment terminal
    R1(config)# crypto ca authenticate certificate-name

WebVPN コンテキスト コンフィギュレーションにより、次のテキストが示されます。

gateway webvpn_gateway domain VPNPhone 

CUCM: 自己署名証明書を使用した ASA SSLVPN のコンフィギュレーション」セクションで説明されているコンフィギュレーションと似ています。

CUCM: サード パーティ 認証 設定の IOS SSL VPN

このコンフィギュレーションは、「CUCM: 自己署名証明書を使用した ASA SSLVPN のコンフィギュレーション」セクションで説明されているコンフィギュレーションと似ています。 サードパーティ証明書を使用して WebVPN を設定します。

: すべての WebVPN 証明書チェーンを CUCM にコピーし、すべての中間およびルート証明書を含める必要があります。 CUCM が完全なチェーンが含まれない場合、電話は失敗を認証し、必要な認証を SSL VPN ハンドシェイク備えていません。

Unified CME: 自己署名証明書/サード パーティとの ASA/Router SSL VPN 認証 設定

Unified CME のコンフィギュレーションは、CUCM のコンフィギュレーションと似ています。 たとえば、WebVPN エンドポイント コンフィギュレーションは同じです。 大きな違いは、Unified CME コール エージェントのコンフィギュレーションだけです。 「SCCP IP Phone に SSL VPN クライアントを設定」で説明されているように、Unified CME の VPN グループおよび VPN ポリシーを設定します。

: Unified CME は、Skinny Call Control Protocol(SCCP)のみをサポートし、VPN Phone のセッション開始プロトコル(SIP)はサポートしません。

: 証明書を Unified CME から ASA またはルータにエクスポートする必要はありません。 必要なことは、証明書を ASA またはルータ WebVPN ゲートウェイから Unified CME にエクスポートすることだけです。

証明書を WebVPN ゲートウェイからエクスポートするには、ASA/ルータのセクションを参照してください。 サードパーティ証明書を使用する場合、すべての証明書チェーンを含める必要があります。 証明書を Unified CME にインポートするには、証明書をルータにインポートしたときに使用した方法と同じ方法で行います。

CME(config)# crypto pki trustpoint certificate-name
CME(config-ca-trustpoint)# enrollment terminal
CME(config)# crypto ca authenticate certificate-name

SSL VPN 設定の UC 520 IP 電話

Cisco Unified Communications 500 シリーズ モデル UC 520 IP Phone は、CUCM および CME コンフィギュレーションとは異なります。

  • UC 520 IP Phone は CallManager および WebVPN の両方のゲートウェイなので、これらの間で証明書を設定する必要はありません。
  • 自己署名証明書またはサードパーティ証明書で通常行うように、ルータで WebVPN を設定します。
  • UC 520 IP Phone には、WebVPN クライアントが組み込まれています。これは、通常の PC と WebVPN の接続のように設定できます。 ゲートウェイを入力して、ユーザ名/パスワードの組み合わせを入力します。
  • UC 520 IP Phone は、Cisco Small Business IP Phone SPA 525G 電話と互換性があります。

確認

現在、この設定に使用できる確認手順はありません。

トラブルシューティング

現在のところ、この設定に関する特定のトラブルシューティング情報はありません。


関連するシスコ サポート コミュニティ ディスカッション

シスコ サポート コミュニティは、どなたでも投稿や回答ができる情報交換スペースです。


Document ID: 115945