音声とユニファイド コミュニケーション : Cisco Unified Communications Manager(CallManager)

CUCM の暗号化されたコンフィギュレーション機能を有効に して下さい

2016 年 10 月 27 日 - 機械翻訳について
その他のバージョン: PDFpdf | 英語版 (2015 年 8 月 22 日) | フィードバック

概要

この資料は Cisco Unified Communications Manager (CUCM)の暗号化された設定電話ファイルの使用を記述したものです。

Leszek Wojnarski によって貢献される、Cisco TAC エンジニア。

背景説明

電話のための暗号化されたコンフィギュレーション ファイルの使用は CUCM で利用可能のオプションのセキュリティ機能です。

認証局 プロキシ 機能(CAPF)証明書情報が識別信頼リスト(ITL)ファイルの内で含まれているのでこの機能が適切に機能することができるようにミックス モードの CUCM クラスタを実行するために必要となりません。

: これは CUCM バージョン 8.X および それ 以降すべてのためのデフォルト の ロケーションです。 バージョン 8.X 以前の CUCM バージョンに関しては、この機能を使用するために望む場合クラスタがミックス モードで動作するようにして下さい。

暗号化されたコンフィギュレーション機能 外観

このセクションは暗号化された設定電話ファイルが CUCM の内で使用されるときプロセスを説明します発生する。

この機能を有効に し、電話をリセットし、コンフィギュレーション ファイルをダウンロードするとき、.cnf.xml.sgn 拡張を用いるファイルのための要求を受け取ります:

ただし、暗号化されたコンフィギュレーション機能が CUCM で有効に なった後、TFTPサービスはもはや .cnf.xml.sgn 拡張を用いるすべてのコンフィギュレーション コンフィギュレーション・ファイルを生成しません その代り、それは次 の 例に示すようにコンフィギュレーションの一部コンフィギュレーション・ファイルを、生成します。

: この方式をはじめて使用するとき、電話はローカルで固有の認証(LSC)または製造インストール済み認証(MIC)の MD5 ハッシュとコンフィギュレーション ファイルの電話認証の MD5 ハッシュを比較します。

HTTP/1.1 200 OK
Content-length: 759
Cache-Control: no-store
Content-type: */*
<fullConfig>False</fullConfig>
<loadInformation>SIP75.9-3-1SR2-1S</loadInformation>
<ipAddressMode>0</ipAddressMode>
<capfAuthMode>0</capfAuthMode>
<capfList>
<capf>
<phonePort>3804</phonePort>
<processNodeName>10.48.46.4</processNodeName>
</capf>
</capfList>
<certHash></certHash>
<encrConfig>true</encrConfig>

</device>

電話が問題点を明らかにする場合、手動で ストリングを入力する必要があれば CAPF 認証モードが認証文字列によって一致しなければ CAPF のセッションを始めるように試みます。 明らかにする電話がかもしれないいくつかの問題点はここにあります:

  • ハッシュは一致する。
  • 電話は認証が含まれていません。
  • MD5 値はブランクです(次 前例)。

: 電話はポート 3804 の CAPF サービスに Transport Layer Security (TLS)セッションをデフォルトで始めます。

CAPF 認証は電話のために知っている必要があります従って(クラスタがミックス モードで動作すれば) ITL ファイルか Certificate trust list (CTL) ファイルに含んでいる必要があります。

CAPF 通信が確立された後、電話は使用する LSC または MIC についての CAPF に情報を送信 します。 CAPF は LSC か MIC からそして電話公開キーを得、MD5 ハッシュを生成し、CUCM データベースで公開キーおよび認証ハッシュの値を保存します。

admin:run sql select md5hash,name from device where name='SEPA45630BBFA40'
md5hash name
================================ ===============
6e566143c1c14566c9da943d949a79c8 SEPA45630BBFA40

公開キーがデータベースで保存された後、電話リセットは新しいコンフィギュレーション ファイルを請求し。 電話は cnf.xml.sgn 拡張を用いるコンフィギュレーション ファイルをもう一度ダウンロードするように試みます。

HTTP/1.1 200 OK
Content-length: 759
Cache-Control: no-store
Content-type: */*
<fullConfig>False</fullConfig>
<loadInformation>SIP75.9-3-1SR2-1S</loadInformation>
<ipAddressMode>0</ipAddressMode>
<capfAuthMode>0</capfAuthMode>
<capfList>
<capf>
<phonePort>3804</phonePort>
<processNodeName>10.48.46.4</processNodeName>
</capf>
</capfList>
<certHash>6e566143c1c14566c9da943d949a79c8</certHash>
<encrConfig>true</encrConfig>

</device>

電話は cerHash を再度比較し、問題を検出する、.cnf.xml.enc.sgn 拡張を用いる暗号化されたコンフィギュレーション ファイルをダウンロードします 

............c..)CN=cucm85;OU=It;O=Cisco;L=KRK;ST=PL;C=PL....Z.........)CN=cucm85;
OU=It;O=Cisco;L=KRK;ST=PL;C=PL...........
..........C.<...Y6.Lh.|(..w+..,.0.a.&.
O..........V....T...Z..R^..f....|.=.e.@...5...........G...[.........n.........=
.A..H.(....Z...{.!%[.. SEPA45630BBFA40.cnf.xml.enc.sgn....R.DD..M............
Uu.C..@...........
...................m.b.......6y ..x.^b..-8.^..^'.4.<Wb.n.....5...we.0@..g..
V7.,..r.9
Qs>..).w....pt/...}A.']
.r.t%G..d_.;u.rEI.pr.F
.....M..r...o.N
.=..g.^P....Pz....J..E.S...d|Z).....J..&..I....7.r..g8.{f..o.....:.~..U...5G+V.
[...]

イネーブルはコンフィギュレーション機能を暗号化しました

暗号化された設定電話ファイルを有効に するために、新しい(または電流を編集するため)電話セキュリティプロファイルを作成し、電話に割り当てて下さい。 CUCM の暗号化されたコンフィギュレーション機能を有効に するためにこれらのステップを完了して下さい:

  1. CUCM 管理 ページにログイン し、システム > Security > 電話セキュリティプロファイルにナビゲート して下さい:



  2. 電流をコピーしか、または新しいの作成し、セキュリティプロファイルに電話をかけ、TFTP によって暗号化される構成チェックボックスをチェックして下さい:



  3. 電話にプロファイルを割り当てて下さい:

トラブルシューティング

暗号化されたコンフィギュレーション機能に関してシステム問題を解決するためにこれらのステップを完了して下さい:

  1. CAPF サービスがアクティブで、CUCM クラスタのパブリッシャ ノードできちんと動作することを確認して下さい。

  2. コンフィギュレーションの一部コンフィギュレーション・ファイルをダウンロードし、CAPF サービスのポートおよび IP アドレスが電話から到達可能であることを確認して下さい。

  3. パブリッシャ ノードにポート 3804 の TCP 通信を確認して下さい。

  4. CAPF サービスに電話によって使用する LSC または MIC についての情報があるかどうか確かめるために以前に述べられた構造化照会言語 (SQL) コマンドを実行して下さい。

  5. 問題がそれでも続く場合、システムからその他の情報を収集するために必要となるかもしれません。 電話を再起動し、この情報を収集して下さい:

    • コンソール ログに電話をかけて下さい
    • Cisco TFTP ログ
    • Cisco CAPF ログ
    • CUCM および電話からのパケットキャプチャ

CUCM および電話からパケットキャプチャを実行する方法についてのその他の情報に関してはこれらのリソースを参照して下さい:

ログおよびパケットキャプチャでは、前のセクションに説明があるプロセスが適切に機能するようにして下さい。 具体的には、それを確認して下さい:

  • 電話は正しい CAPF 情報のコンフィギュレーションの一部コンフィギュレーション・ファイルをダウンロードします。
  • 電話は CAPF サービスに TLS によって接続され、それはデータベースで LSC または MIC についての情報アップデートされます。
  • 電話は完全な暗号化されたコンフィギュレーション ファイルをダウンロードします。


Document ID: 118929