音声とユニファイド コミュニケーション : Cisco Unified Communications Manager(CallManager)

ASA の証明書認証で AnyConnect VPN IP 電話を設定して下さい

2016 年 10 月 27 日 - 機械翻訳について
その他のバージョン: PDFpdf | 英語版 (2015 年 12 月 10 日) | フィードバック

概要

この資料に Cisco 適応性がある Cisco IP 電話で動作する Cisco AnyConnect クライアントに証明書認証を提供するためにセキュリティ アプライアンス モデル(ASA)および Cisco CallManagerデバイスを設定する方法を記述されています。 この設定が完了する後、Cisco IP 電話は通信を保護するために認証を利用する ASA への VPN 接続をうまく確立できます。

著者:Cisco TAC エンジニア。

前提条件

要件

この設定を行う前に、次の要件が満たされていることを確認します。

  • Cisco AnyConnect 優れた Secure Sockets Layer (SSL) ライセンス

  • Cisco VPN 電話ライセンスのための Cisco AnyConnect

: ASA バージョンに依存、ASA リリース 8.0.x の Linksys 電話については AnyConnect か ASA リリース 8.2.x またはそれ以降の Cisco VPN 電話のための AnyConnect が表示されます。

使用するコンポーネント

このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づくものです。

  • Cisco ASA リリース 8.0(4) またはそれ以降

  • Cisco 7942、7962、7945、7965、および 7975 モデル IP 電話

  • リリース 9.1(1) ファームウェアを実行する Cisco 8961、9951、および 9971 台のモデル電話

  • リリース 9.0(2)SR1S Skinny Client Control Protocol(SCCP) またはそれ以降を実行する Cisco Phone

  • Cisco Unified Communications Manager (CUCM)リリース 8.0.1.100000-4 またはそれ以降

リリースはこの設定例で使用される下記のものを含んでいます:

  • Cisco ASA リリース 9.1(1)

  • Cisco CallManager リリース 8.5.1.10000-26

CUCM バージョンのサポートされた電話の完全なリストを表示するために、これらのステップを完了します:

  1. ブラウザのこの URL を開いて下さい: https:// <CUCM サーバIP Address>:8443/cucreports/systemReports.do

  2. ナビゲートは CM 電話 機能 リスト > 生成するを New レポート > 機能統一しました: Virtual Private Network] の順に選択します。

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されたものです。 このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。 ネットワークが稼働中の場合は、コマンドが及ぼす潜在的な影響を十分に理解しておく必要があります。

表記法

ドキュメント表記の詳細は、『シスコ テクニカル ティップスの表記法』を参照してください。

電話機の証明書タイプ

シスコでは、電話機で次の証明書タイプを使用します。

  • 製造業者インストール済み認証(MIC):

    • MIC は新しいモデル Cisco すべての 7941、7961、および IP 電話に含まれています。 MIC は Cisco 認証局 (CA)によって署名する 2048 ビット キー認証です。 MIC は時、ローカルで固有の認証(LSC)をインストールすることは必要ではないです。 MIC 認証を信頼する CUCM のためにそれは認証 truststore のプレインストールされた CA証明 CAP-RTP-001、CAP-RTP-002、Cisco_Manufacturing_CA および Cisco_Manufacturing_CA_SHA2 を利用します。

    • MIC は 10 年間有効です。

    • 証明書の失効 サポートがありません。

  • ローカルで固有の認証(LSCs):

    • LSC は認証または暗号化におけるデバイスセキュリティ モードを設定した後 CUCM と電話間の接続を保護します。

    • LSC は、CUCM Certificate Authority Proxy Function(CAPF)秘密キーで署名された Cisco IP Phone の公開キーを処理します。 これは、管理者が手動でプロビジョニングした Cisco IP Phone だけが CTL ファイルをダウンロードして確認できるため、推奨方式です(MIC の使用とは異なります)。

    • LSC は Rivest-Shamir-Adleman (RSA)キーサイズ 512、1024、か 2048 ビットをサポートします。

    • LSC は CUCM バルクAdminツールとのバルクでインストールされるか、再発行されるか、または削除することができます。

    • CAPF によって署名する LSC は 5 年間有効です。

注意: セキュリティのリスクが高まっているため、LSC のインストールで MIC は単独で使用し、継続的に使用しないことをシスコは推奨します。 Transport Layer Security(TLS)の認証またはその他の目的で MIC を使用するために Cisco IP Phone を設定するお客様は、ご自身の責任において行ってください。

設定

このセクションはこれらのコンフィギュレーションを完了する方法を記述します:

: このセクションで使用されているコマンドの詳細を調べるには、Command Lookup Tool登録ユーザ専用)を使用してください。

ASA の設定

ASA の設定はコンフィギュレーションに類似したです ASA に接続される AnyConnect クライアント コンピュータを含む。 ただし、次の制約事項が適用されます。

  • トンネル グループには、グループ URL が必要です。 この URL は VPNゲートウェイ URL の下の CM で設定されます。

  • グループ ポリシーは、スプリット トンネルに含まれません。

この設定は ASA デバイスの SSL トラストポイントで前もって設定されたおよびインストール済み ASA (自己署名かサード パーティ)認証を使用します。 詳細は、次のドキュメントを参照してください。

関連した ASA 設定はここにあります:

ip local pool SSL_Pool 10.10.10.1-10.10.10.254 mask 255.255.255.0
group-policy GroupPolicy_SSL internal
group-policy GroupPolicy_SSL attributes
split-tunnel-policy tunnelall
vpn-tunnel-protocol ssl-client

tunnel-group SSL type remote-access
tunnel-group SSL general-attributes
address-pool SSL_Pool
default-group-policy GroupPolicy_SSL
tunnel-group SSL webvpn-attributes
authentication certificate
group-url https://asa5520-c.cisco.com/SSL enable

webvpn
enable outside
anyconnect image disk0:/anyconnect-win-3.0.3054-k9.pkg
anyconnect enable

ssl trust-point SSL outside

バージョン 9.4.1 および それ 以降で、楕円カーブ暗号解読法が SSL/TLS のためにサポートされることに注意することは重要です。 楕円曲線可能な SSL VPN クライアントが ASA に接続するとき、楕円曲線暗号スイートはネゴシエートされ、ASA は対応するインターフェイスが RSA ベースのトラストポイントで設定される時でさえ、楕円曲線認証との SSL VPN クライアントを示します。 ASA を自己署名 SSL 認証を示してもらう必要を避けるために管理者は ssl 暗号コマンドによって関連暗号スイートを取除く必要があります。 たとえば、RSA トラストポイントで設定されるインターフェイスのために、管理者は RSA ベースの暗号だけネゴシエートされるようにこのコマンドを実行できます:

ssl cipher tlsv1.2 custom "AES256-SHA:AES128-SHA:DHE-RSA-AES256-SHA:
DHE-RSA-AES128-SHA:DES-CBC3-SHA:DES-CBC-SHA:RC4-SHA:RC4-MD5"

CallManager 設定

認証を ASA からエクスポートし、電話 VPN 信頼認証として CallManager に認証をインポートするためにこれらのステップを完了して下さい:

  1. CUCM の生成された認証を登録して下さい。

  2. SSL のために使用する認証を確認して下さい:
    ASA(config)#show run ssl
    ssl trust-point SSL outside
  3. 認証をエクスポートして下さい:
    ASA(config)#crypto ca export SSL identity-certificate
    プライバシー強化メール(PEM)でエンコードされた ID 証明書は次のとおりです。
    -----BEGIN CERTIFICATE-----
    ZHUxFjAUBgkqhkiG9w0BCQIWB0FTQTU1NDAwHhcNMTMwMTMwMTM1MzEwWhcNMjMw
    MTI4MTM1MzEwWjAmMQwwCgYDVQQDEwNlZHUxFjAUBgkqhkiG9w0BCQIWB0FTQTU1
    NDAwgZ8wDQYJKoZIhvcNAQEBBQADgY0AMIGJAoGBAMYcrysjZ+MawKBx8Zk69SW4AR
    FSpV6FPcUL7xsovhw6hsJE/2VDgd3pkawc5jcl5vkcpTkhjbf2xC4C1q6ZQwpahde22sdf1
    wsidpQWq1DDrJD1We83L/oqmhkWJO7QfNrGZhOLv9xOpR7BFpZd1yFyzwAPkoBl1
    -----END CERTIFICATE-----
  4. 端末からのテキストをコピーし、.pem ファイルとして保存します。

  5. CallManager およびナビゲートへのログインは OS 管理 > Security > Certificate Management > アップロード認証を > 選定された電話 VPN 信頼前の手順で保存された証明書ファイルをアップロードするために統一しました

CallManager での VPN 設定

CallManager の VPN を設定するためにこれらのステップを完了して下さい:

  1. Cisco Unified CM の管理ページに移動します。

  2. メニューバーから > VPN > VPNゲートウェイ 『Advanced Features』 を選択 して下さい:



  3. VPNゲートウェイ コンフィギュレーションウィンドウのこれらのステップを完了して下さい:

    1. VPNゲートウェイ Name フィールドで名前を入力して下さい。 これは、どんな名前にもできます。

    2. VPNゲートウェイ Description フィールド(オプションの)で説明を入力して下さい。

    3. VPNゲートウェイ URL フィールドの ASA で定義されるグループ URL を入力して下さい。

    4. Location フィールドVPN Certificates セクションでは、truststore からこの位置にそれを移動するために CallManager に以前にアップロードされた認証を選択して下さい:



  4. メニューバーから > VPN > VPNグループ 『Advanced Features』 を選択 して下さい:



  5. すべての利用可能 な VPNゲートウェイ フィールドから以前に定義された VPNゲートウェイを選択して下さい。 『Gateway』 を選択 されるこの VPNグループ フィールドの『VPN』 を選択 された ゲートウェイに移動するために下 矢印をクリックして下さい:



  6. メニューバーから > VPN > VPN プロファイル 『Advanced Features』 を選択 して下さい:



  7. VPN プロファイルを設定するためにアスタリスク(*)でマークされるフィールドすべてに入力して下さい:



    • [Enable Auto Network Detect]: この機能が有効に なる場合、VPN 電話は TFTPサーバを ping します。 無応答が受け取られる場合、それ自動開始 VPN 接続。

    • [Enable Host ID Check]: この機能が有効に なる場合、VPN 電話は認証の CN/SAN に対して VPNゲートウェイ URL の完全修飾ドメイン名 (FQDN)を比較します。 これらが一致しない場合、またはアスタリスク(*)を使ったワイルドカードの証明書が使用されていた場合は、接続は失敗します。

    • [Enable Password Persistence]: この機能は VPN 電話が次の VPN 試みのためのユーザ名および passsword をキャッシュするようにします。

  8. 新しい VPN 設定を適用するためによくある電話プロファイル設定 ウィンドウの Config を『Apply』 をクリック して下さい。 標準よくある電話プロファイルを使用するか、または新しいプロファイルを作成できます。





  9. 特定の電話/ユーザ向けの新しいプロファイルを作成した場合、Phone Configuration ウィンドウへのナビゲート。 よくある電話 Profile フィールド標準よくある電話プロファイルを選択して下さい:



  10. 新しい設定をダウンロードするために CallManager に電話を再度登録して下さい。

証明書認証の設定

証明書認証を設定するために CallManager および ASA のこれらのステップを完了して下さい:

  1. メニューバーから > VPN > VPN プロファイル 『Advanced Features』 を選択 して下さい。

  2. クライアント認証認証方法フィールドが認証に設定 されることを確認して下さい:



  3. CallManager へのログイン。 メニューバーから統一された OS 管理 > Security > Certificate Management > 検索を選択して下さい。

  4. 選択した証明書認証方法に対して正しい証明書をエクスポートします。

    • MIC の IP 電話を認証するために Cisco_Manufacturing_CA を使用して下さい(IP電話モデルに Cisco_Manufacturing_CACisco_Manufacturing_CA_SHA2 を、依存選択して下さい。 IP Phone の認証インストールを詳細については確認して下さい): 





    • LSC の IP 電話を認証するために CAPF を使用して下さい:



  5. 認証を見つけて下さい(Cisco_Manufacturing_CA、Cisco_Manufacturing_CA_SHA2、または CAPF)。 .pem ファイルをダウンロードし、.txt ファイルとしてそれを保存して下さい。

  6. ASA に新しいトラストポイントを作成し、以前に保存された証明書でこのトラストポイントを認証します。 Base 64 で符号化された CA 証明書から入力を促される場合、ダウンロードされた .pem ファイルの BEGIN 行から END 行までのテキスト選択し、貼り付けます。 次に例を示します。
    ASA (config)#crypto ca trustpoint CM-Manufacturing
    ASA(config-ca-trustpoint)#enrollment terminal
    ASA(config-ca-trustpoint)#exit
    ASA(config)#crypto ca authenticate CM-Manufacturing
    ASA(config)#

    <base-64 encoded CA certificate>

    quit
  7. トンネル グループの認証が証明書認証に設定 されることを確認して下さい:
    tunnel-group SSL webvpn-attributes
    authentication certificate
    group-url https://asa5520-c.cisco.com/SSL enable

IP Phone の証明書のインストール

IP 電話は MIC か LSCs を使用できますがコンフィギュレーションプロセスは各認証のために異なっています。

MIC のインストール

デフォルトで、VPN をサポートする電話すべては MIC と前もって積まれます。 7960 台および 7940 台のモデル電話は MIC が LSC が安全に登録するように付かないし、特別 な インストール インストール手順を必要とします。

Cisco 最も新しい IP 電話(8811、8841、8851 は、および 8861)新しい製造 SHA2 CA によって署名する MIC 認証を含んでいます:

  • CUCM バージョン 10.5(1)は新しい SHA2 認証が含まれ、信頼します。

  • 以前の CUCM バージョンを実行する場合、新しい製造 CA 認証をダウンロードするために必要となり、:

    • LSC を得るために電話が CAPF と認証できるように CAPF 信頼にそれをアップロードして下さい。

    • 電話が SIP 5061 のための MIC と認証するようにたいと思う場合 CallManager 信頼にそれをアップロードして下さい。

ヒント: CUCM が現在 以前のバージョンを実行する場合 SHA2 CA を得るためにこのリンクをクリックして下さい。

注意: シスコでは、LSC のインストールのみに MIC を使用することを推奨します。 Cisco は CUCM の TLS 接続の認証のための LSCs をサポートします。 MIC 原証明が妥協することができるので TLS 認証または他のどの目的で MIC を使用するために電話を設定する顧客はそう自己の責任において。 Cisco は MIC が妥協される場合責任を仮定しません。

LSC のインストール

LSC をインストールするためにこれらのステップを完了して下さい:

  1. CUCM の CAPF サービスを有効に して下さい。

  2. CAPF サービスがアクティブになった後、CUCM の LSC を生成するために電話手順を割り当てて下さい。 CUCM 管理へのログインは、Device > Phone の順に選択 し、次に設定した電話を選択します。

  3. 設定すべてが正しいこと、そしてオペレーションが認証局 プロキシ 機能(CAPF)インフォメーション セクションの先物期日に設定 されるようにして下さい:



  4. 認証モードがヌルストリング既存 の 認証に設定 される場合、それ以上の操作が必要となりません。

  5. 認証モードがストリングに設定 される場合、手動で > Security 設定を > ** # > LSC > 電話コンソールのアップデート 『Settings』 を選択 して下さい。

確認

このセクションでは、設定が正常に機能していることを確認します。

ASA による確認

ASA の設定を確認するためにこの情報を使用して下さい:

ASA5520-C(config)#show vpn-sessiondb detail anyconnect

Session Type: AnyConnect Detailed

Username : CP-7962G-SEPXXXXXXXXXXXX
Index : 57
Assigned IP : 10.10.10.2 Public IP : 172.16.250.15
Protocol : AnyConnect-Parent SSL-Tunnel DTLS-Tunnel
License : AnyConnect Premium, AnyConnect for Cisco VPN Phone
Encryption : AnyConnect-Parent: (1)AES128 SSL-Tunnel: (1)AES128
DTLS-Tunnel: (1)AES128
Hashing : AnyConnect-Parent: (1)SHA1 SSL-Tunnel: (1)SHA1
DTLS-Tunnel: (1)SHA1Bytes Tx : 305849
Bytes Rx : 270069Pkts Tx : 5645
Pkts Rx : 5650Pkts Tx Drop : 0
Pkts Rx Drop : 0Group Policy :
GroupPolicy_SSL Tunnel Group : SSL
Login Time : 01:40:44 UTC Tue Feb 5 2013
Duration : 23h:00m:28s
Inactivity : 0h:00m:00s
NAC Result : Unknown
VLAN Mapping : N/A VLAN : none

AnyConnect-Parent Tunnels: 1
SSL-Tunnel Tunnels: 1
DTLS-Tunnel Tunnels: 1

AnyConnect-Parent:
Tunnel ID : 57.1
Assigned IP : 10.10.10.2 Public IP : 172.16.250.15
Encryption : AES128 Hashing : SHA1
Encapsulation: TLSv1.0 TCP Dst Port : 443
Auth Mode : Certificate
Idle Time Out: 30 Minutes Idle TO Left : 29 Minutes
Client Type : AnyConnect Client Ver : Cisco SVC IPPhone Client v1.0 (1.0)
Bytes Tx : 1759 Bytes Rx : 799
Pkts Tx : 2 Pkts Rx : 1
Pkts Tx Drop : 0 Pkts Rx Drop : 0

SSL-Tunnel:
Tunnel ID : 57.2
Public IP : 172.16.250.15
Encryption : AES128 Hashing : SHA1
Encapsulation: TLSv1.0 TCP Src Port : 50529
TCP Dst Port : 443 Auth Mode : Certificate
Idle Time Out: 30 Minutes Idle TO Left : 29 Minutes
Client Type : SSL VPN Client
Client Ver : Cisco SVC IPPhone Client v1.0 (1.0)
Bytes Tx : 835 Bytes Rx : 0
Pkts Tx : 1 Pkts Rx : 0
Pkts Tx Drop : 0 Pkts Rx Drop : 0

DTLS-Tunnel:
Tunnel ID : 57.3
Assigned IP : 10.10.10.2 Public IP : 172.16.250.15
Encryption : AES128 Hashing : SHA1
Encapsulation: DTLSv1.0 UDP Src Port : 51096
UDP Dst Port : 443 Auth Mode : Certificate
Idle Time Out: 30 Minutes Idle TO Left : 29 Minutes
Client Type : DTLS VPN Client
Client Ver : Cisco SVC IPPhone Client v1.0 (1.0)
Bytes Tx : 303255 Bytes Rx : 269270
Pkts Tx : 5642 Pkts Rx : 5649
Pkts Tx Drop : 0 Pkts Rx Drop : 0

CUCM による確認

CUCM の設定を確認するためにこの情報を使用して下さい:

トラブルシューティング

この資料に説明があるこれらの Cisco バグ ID はコンフィギュレーションと関連しています:

  • Cisco バグ ID CSCtf095298961 のための CUCM の VPN 機能のためのサポートを、9951、9971 台の電話追加して下さい

  • Cisco バグ ID CSCuc71462IP Phone VPN フェールオーバーは 8 分かかります

  • Cisco バグ ID CSCtz42052非デフォルトポート数のための IP Phone SSL VPN サポート

  • Cisco バグ ID CSCuj71475IP Phone VPN のために必要とされる TFTP 手動エントリ

  • Cisco バグ ID CSCum10683 – IP 電話 記録抜けていた、送信されたか、または受信された呼び出し

  • Cisco バグ ID CSCut10077DX650: CUCM によって提供される VPN プロファイルは認証の検証失敗します


Document ID: 115785