Cisco TelePresence セキュリティ ソリューション
Cisco TelePresence Multipoint Switch の セキュリティ設定
Cisco TelePresence Multipoint Switch のセキュリティ設定
発行日;2012/02/05 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 2MB) | フィードバック

目次

Cisco TelePresence Multipoint Switch のセキュリティ設定

認証局プロキシ関数(CAPF)サーバの有効化

アプリケーション ユーザの作成と設定

CiscoUnifiedCM の CAPF の作成

CiscoUnifiedCM からの証明書ダウンロード

ダウンロードした証明書を CTMS にアップロードする

LSC のダウンロード

SIP トランク セキュリティ プロファイルの作成

SIP セキュリティ トランクの設定

SIP セキュリティの既存のトランクの設定

SIP セキュリティの新規トランクを作成および設定

CiscoTelePresence Multipoint Switch のセキュリティ解除

Cisco TelePresence Multipoint Switch のセキュリティ設定

この章では、デバイス間のセキュリティを設定する手順について説明します。説明の構成は、次のとおりです。

「認証局プロキシ関数(CAPF)サーバの有効化」

「アプリケーション ユーザの作成と設定」

「LSC のダウンロード」

「SIP トランク セキュリティ プロファイルの作成」

「SIP セキュリティ トランクの設定」

「Cisco TelePresence Multipoint Switch のセキュリティ解除」

次の手順に従い、Cisco Unified CM と Cisco TelePresence Multipoint Switch 間のセキュアな通信を確保します。


ヒント この章のタスクを実行する際に、ブラウザ セッションを 2 つ確立しておくと便利です。1 つは Cisco Unified CM Administration の GUI に、もう 1 つは、Cisco TelePresence Multipoint Switch (CTMS) Administration の GUI にアクセスします。


認証局プロキシ関数(CAPF)サーバの有効化

CAPF サーバは Cisco Unified CM と一緒にデフォルトでインストールされており、サービスとして実行されます。

CAPF サービスを有効化および起動すると、Cisco Unified CM を CAPF サーバとして使用できます。次に、CTMS および Cisco TelePresence Manager(CTS-Man)ソフトウェアを CAPF クライアントとして設定します。


) Cisco Unified CM は混合モードで実行してください。


CAPF サーバを CTMS で有効化するには、次の手順に従います。


ステップ 1 Cisco Unified CM Administration の GUI にログインします。


) クラスタに Cisco Unified CM 加入者がいる場合は、Cisco Unified CM パブリッシャに対して次の手順を実行します。加入者は手順の後半で設定します。


ステップ 2 [Navigation] ドロップダウン リストから [Cisco Unified Serviceability] を選択して [Go] をクリックします。

ステップ 3 [Tools] > [Service Activation] を選択します。

ステップ 4 [Server] ドロップダウン リストからサーバを選択し、[Go] をクリックします。

ステップ 5 [Security Services] 領域までスクロール ダウンして、[Cisco Certificate Authority Proxy Function] チェックボックスをオンにすると CAPF サーバが有効化されます。

図 2-1 Cisco Unified CM での CAPF サービスの有効化

 

アプリケーション ユーザの作成と設定

アプリケーション ユーザを作成および設定する、または既存のユーザを設定するには、次の手順に従います。


ステップ 1 Cisco Unified CM Administration の GUI から、[User Management] > [Application User] を選択します。

図 2-2 アプリケーション ユーザの作成

 

ステップ 2 次のいずれかを実行します。

新規ユーザを作成する場合は、[Add New] ボタンをクリックします。

デバイス検出に使用した既存の Cisco TelePresence Manager ユーザ ID を使用する場合は、[Find] ボタンをクリックして、デフォルトの CTMS ユーザを確認します。次に、リンクをクリックしてユーザを選択しステップ 4 に進みます。

ステップ 3 [Application User Information] 領域で、ユーザ ID とパスワードを入力します。


) 作成したユーザ ID を記録しておきます。この情報は「LSC のダウンロード」 で使用します。


図 2-3 アプリケーション ユーザ ID とパスワードの追加

 

ステップ 4 [Permissions Information] 領域で、[Groups] フィールドから [Standard CTI Enabled] および [Standard CTI Secure Connection] を選択します。

Cisco Unified CM では、[Groups] フィールドで選択した情報が自動的に [Roles] フィールドに追加されます。

この権限情報を選択することで次の Cisco Unified CM のセキュリティ機能を利用できるようになります。

トランスポート層セキュリティ(TLS)のサポート

証明書トラッキング(ここでは LSC)

Cisco Unified CM バージョン 7.0 の場合、セキュア リアルタイム プロトコル(SRTP)のサポート

図 2-4 [Permissions Information] 領域

 


 

Cisco Unified CM の CAPF の作成

CAPF サーバは、Cisco Unified CM データベースに事前設定されているクライアント プロファイルに基づいて CAPF クライアントを認証します。認証には、サーバ側とクライアント側で CAPF プロファイルを設定する必要があります。クライアントをそれぞれ認証するのに CAPF プロファイルのパラメータが必要です。CAPF サーバ設定は Cisco Unified CM 管理 Web ページで行います。このページではアプリケーションまたはエンドユーザ CAPF プロファイルを設定できます。設定レコードは、サーバ データベースに保存され、証明書をダウンロードするクライアントの認証に使用されます。

CAPF プロファイルを作成するには、次の手順に従います。


ステップ 1 Cisco Unified CM Administration の GUI から、[User Management] > [Application User CAPF Profile] を選択します。

図 2-5 CAPF プロファイルの作成

 

ステップ 2 [Add New] ボタンをクリックします。

図 2-6 新規ユーザの追加

 

ステップ 3 表示されたページに次の情報を入力します。

Application User:「アプリケーション ユーザの作成と設定」で作成したユーザを選択します。

Instance Id:この Cisco Unified CM クラスタ固有の文字列を入力します。


) 作成したインスタンス ID を書き留めておきます。この情報は「LSC のダウンロード」 で使用します。


Certificate Operation:[Install//Upgrade] を選択します。

Authentication Mode:[By Authentication String] (デフォルト値)を選択します。

Authentication String:このテキスト ボックスをクリックして、[Generate String] ボタンをクリックすると認証文字列が作成されます。


) 認証文字列を書き留めておきます。この情報は「LSC のダウンロード」 で使用します。


Key size (bits):[1024] (デフォルト値)を選択します。

Operation Completes By:デフォルト値のままにします。


) 新しい認証文字列が再生成されないよう、[Operation Completes By] に指定された日付と時刻までに、「LSC のダウンロード」の手順を実行してください。


図 2-7 CAPF プロファイルの設定

 

ステップ 4 [Save] をクリックします。

図 2-8のような [Application User CAPF Profile Configuration] ウィンドウが表示されます。

図 2-8 [Application User CAPF Profile Configuration] ウィンドウの例

 


 

Cisco Unified CM からの証明書ダウンロード

CTMS と Cisco TelePresence Manager にアップロードする準備をするため、証明書を Cisco Unified CM からダウンロードします。証明書をダウンロードするには、次の手順に従います。


ステップ 1 Cisco Unified CM Administration の GUI にログインします。


) クラスタに Cisco Unified CM 加入者がいる場合は、Cisco Unified CM パブリッシャに対して次の手順を実行します。加入者は手順の後半で設定します。


ステップ 2 [Navigation] ドロップダウン リストから [Cisco Unified OS Administration] を選択して [Go] をクリックします。

図 2-9 [Cisco Unified OS Administration] ページへの移動

 

ステップ 3 [Security] > [Certificate Management] を選択します。

[Certificate List] ウィンドウが表示されます。

ステップ 4 [Find] ボタンをクリックします。

図 2-10 検索結果の CAPF.der ファイルの場所

 

ステップ 5 CAPF.der ファイルの場所を確認し、[CAPF.der] リンクをクリックします。

[Certificate Configuration] ウィンドウが表示されます。

ステップ 6 [Download] をクリックします。

ステップ 7 ファイルをローカル マシンにダウンロードします。ファイル名は CAPF.der を変更しません。

ステップ 8 [Certificate List] ウィンドウに戻ります。

ステップ 9 CallManager.der ファイルの場所がわからない場合は、[Find] ボタンをクリックします。

ステップ 10 CallManager.der ファイルの場所を確認し、[CallManager.der] リンクをクリックします。

ステップ 11 [Download] をクリックします。

ステップ 12 ローカル マシンにファイルをダウンロードします。ファイル名を CUCM0.der に変更します。


) ファイル名は必ず変更してください。


ステップ 13 Cisco Unified CM クラスタに加入者が存在する場合は、次の手順を実行します。

a. ステップ 1 からステップ 11 までを実行して、CallManager.der ファイルを各加入者からダウンロードします。

b. 各加入者について、CallManager.der のファイル名を CUCM x .der に変更します。

 

x は加入者数を表します。

たとえば、CallManager.der ファイルを 1 人目の加入者からダウンロードした場合、ファイルは CUCM1.der になります。CallManager.der ファイルを 2 人目の加入者からダウンロードした場合、ファイルは CUCM2.der というようになります。


 

ダウンロードした証明書を CTMS にアップロードする

*.der ファイルを CTMS にアップロードするには、次の手順に従います。


ステップ 1 Cisco TelePresence Multipoint Switch Administration の GUI から、[System Configuration] > [Security Settings] を選択します。

ステップ 2 [Upload] をクリックします。

[Certificate Upload] ウィンドウが表示されます。

図 2-11 [Certificate Upload] ウィンドウ

 

ステップ 3 CAPF.der ファイルを CTMS にアップロードするには、次の手順に従います。

a. [Unit] ドロップダウン リストから [CAPF-trust] を選択します。

b. [Category] ドロップダウン リストから [TRUST] (デフォルト値)を選択します。

c. [Browse] ボタンをクリックして、CAPF 証明書をアップロードします。

d. ローカル マシンにダウンロードした CAPF.der を選択します。

e. [Upload] をクリックします。

[Digital Certificates] ウィンドウで、CAPF.der ファイルが CAPF.pem ファイルとして表示されます。

図 2-12 [Digital Certificates] ウィンドウに表示された CAPF.pem(CAPF.der)ファイル

 

ステップ 4 次の手順を実行して CUCMx.der ファイルをローカル マシンからアップロードします。

a. [Security Settings] ウィンドウに戻ります。

b. [Upload] をクリックします。

c. [Certificate Upload] ウィンドウが表示されたら、設定が次のとおりであることを必ず確認してください。

[Unit] ドロップダウン リストで [CTM-TRUST] が選択されている

[Category] ドロップダウン リストで [TRUST] が選択されている

d. [Browse] ボタンをクリックして、Cisco Unified CM ルート証明書をアップロードします。

e. ローカル マシンにダウンロードした CUCM0.der ファイルを選択します。

f. [Upload] をクリックします。

[Digital Certificates] ウィンドウで、CUCM0.der ファイルが CUCM0.pem ファイルとして表示されます。

g. CUCM x .der ファイルを追加した場合は、手順 a. から手順 f. を実行して CUCM x .der ファイルをそれぞれアップロードします。

*.der ファイルをすべてアップロードすると図 2-13のようなウィンドウが表示されます。

図 2-13 [Digital Security Certificates] ウィンドウの例

 


 

LSC のダウンロード

このセクションでは、CAPF ローカルで有効な証明書(LSC)を Cisco Unified CM から CTMS にダウンロードします。LSC は Cisco Unified CM と CTMS 間の Session Initiation Protocol(SIP; セッション開始プロトコル)トランクをセキュアにします。

LSC をダウンロードするには、このセクションの以前の手順で作成した次の情報が必要です。

CAPF インスタンス ID

CAPF 認証文字列

また、次の情報も必要です。

TFTP サーバの IP アドレス

CAPF サーバの IP アドレス

LSC をダウンロードするには、次の手順を実行します。


ステップ 1 Cisco TelePresence Multipoint Switch Administration の GUI から、[System Configuration] > [Security Settings] を選択します。

ステップ 2 [Download LSC] をクリックします。

[Download CAPF LSC] ウィンドウが表示されます。

図 2-14 [Download CAPF LSC] ウィンドウ

 

ステップ 3 表示されるフィールドに、次の情報を入力します。

CAPF Instance ID:「Cisco Unified CM の CAPF の作成」 で作成した ID を入力します。

CAPF Auth.String:「Cisco Unified CM の CAPF の作成」 で生成した文字列を入力します。

TFTP Server Host:TFTP サーバの IP アドレスを入力します。


) Cisco Unified CM Publisher も TFTP サーバとして設定されている場合は、その IP アドレスを使用します。


CAPF Server Port:デフォルト値のままにします。

CAPF Server Host:CAPF サーバの IP アドレスを入力します。


) このフィールドには CTMS によって TFTP サーバの IP が自動入力されます。Cisco Unified CM Publisher も TFTP サーバとして使用している場合は、そのデフォルト IP アドレスを使用します。


ステップ 4 [Download LSC] をクリックします。

ステップ 5 [OK] をクリックして、選択内容を確定します。

CTMS によって LSC が作成されます。[Digital Security Certificate] ウィンドウに CTMS によって作成された次の LSC 証明書が表示されます。

CTMS_Cert_Chain.pem

CTMS.pem

図 2-15 CTMS_Cert_Chain.pem と CTMS.pem ファイルを表示する [Digital Security Certificate] ウィンドウ

 

ステップ 6 次の手順を実行して SIP セキュリティ トランク情報を取得します。

a. CTMS.pem ファイルのオプション ボタンをクリックします。

b. [View] ボタンをクリックします。

c. ファイルの [Subject:] にある情報を記録します。

次の例では、サブジェクト名 XXX-000 を記録します。

Version: V3
Subject: CN=XXX-000, O=cisco
Signature Algorithm: SHA1withRSA, OID = 0.0.000.000000.0.0.0
 


 

SIP トランク セキュリティ プロファイルの作成

CTMS と Cisco Unified CM の通信をセキュアにするには、セキュア SIP トランクを作成します。SIP トランク セキュリティ プロファイルを作成するには、次の手順に従います。


ステップ 1 Cisco Unified CM Administration の GUI から、[System] > [Security Profile] > [SIP Trunk Security Profile] を選択します。

ステップ 2 [Add New] をクリックします。

ステップ 3 [SIP Trunk Security Profile Configuration] ウィンドウに次の情報を入力します。

Name:SIP トランクの固有名を入力します。


) この名前を記録します。「SIP セキュリティ トランクの設定」でトランクを設定するのに使用します。


Description:SIP トランクの固有の説明を入力します。

Device Security Mode:次のいずれかの値を選択します。

セキュアな接続の場合、[Encrypted] を選択します。

セキュアではない接続の場合、[Non Secure] を選択します。


ヒント 通常は、[Encrypted] を選択してください。次の場合のみ [Non Secure] を選択します。

CTMS と Cisco Unified CM の接続をセキュアにする別の方法を使用している。

オーディオおよびビデオ(メディア)をセキュアにするが、CTMS と Cisco Unified CM のシグナルを非セキュアにする。


 

Incoming Transport Type:デフォルト値のままにします([Encrypted] の場合、[TLS] を選択し、[Non Secure] の場合、[TCP + UDP] を選択)。

Outgoing Transport Type:次のいずれかの値を選択します。

デバイスのセキュリティに [Encrypted] を選択した場合は、デフォルト値 [TLS] のままにします。

デバイスのセキュリティに [Non Secure] を選択した場合は、[TCP] または [UDP] を選択します。

Enable Digest Authentication:チェックボックスをオフのままにします。

X.509 Subject Name:「LSC のダウンロード」ステップ 6 で取得したサブジェクト名を入力します。

Incoming Port:次のいずれかの値を入力します。

デバイスのセキュリティに [Encrypted] を選択した場合は、セキュアな SIP ポート番号を選択します(たとえば、 5061 )。

デバイスのセキュリティに [Non Secure] を選択した場合は、非セキュア SIP ポート番号 5060 を入力します。


) このポート番号を記録します。「CTMS の設定」 で SIP トランクを設定する場合にこのポート番号を使用します。


残りのチェックボックス:オフにします。

図 2-16 SIP セキュリティ プロファイル情報の入力

 

ステップ 4 [Save] をクリックします。


 

SIP セキュリティ トランクの設定

Cisco Unified CM と CTM 間の SSIP セキュリティ トランクを設定するには、次の手順を実行します。

既存のトランクのセキュリティを設定するには、「SIP セキュリティの既存のトランクの設定」のタスクを実行します。

新規トランクを作成してセキュリティを設定する場合は、「SIP セキュリティの新規トランクを作成および設定」のタスクを実行します。

SIP セキュリティの既存のトランクの設定

SIP セキュリティの既存のトランクを設定するには、次の手順を実行します。

Cisco Unified CM の設定


ステップ 1 Cisco Unified CM Administration の GUI から、[Device] > [Trunk] を選択します。

ステップ 2 既存のトランクを検索するには [Find] をクリックします。

ステップ 3 [Name] 列で、設定するトランクのリンクをクリックします。

[Trunk Configuration] ウィンドウが表示されます。

ステップ 4 (Cisco Unified CM Release 7.0 のみ)[SRTP Allowed] チェックボックスをクリックして選択します。

このチェックボックスは [Device Information] 領域にあります。

ステップ 5 次の情報を [SIP Information] 領域に入力します。

Destination Trunk:CTMS の IP アドレスを入力します。

Destination Address is as SRV:チェックしません。

Destination Port: 5060 (デフォルト値)と入力します。


) ポート番号は変更しないでください。これは CTMS 通信のリスニング ポートで CTMS ではポート番号は変更できません。


Presence group:デフォルト値のままにします。

SIP Trunk Security Profile:「SIP トランク セキュリティ プロファイルの作成」ステップ 3 で作成したプロファイル名を入力します。

Rerouting Calling Search Space、Out-Of-Dialog Refer Calling Search Space、SUBSCRIBE Calling Search Space:デフォルト値( <なし>

SIP Profile:[Standard SIP Profile] を選択します。

DTMF Signaling Method:[No preference] を選択します。

ステップ 6 [Save] をクリックします。

ステップ 7 Cisco TelePresence Multipoint Switch Administration にログインして、「CTMS の設定」の手順を実行します。


 

SIP セキュリティの新規トランクを作成および設定

SIP セキュリティの新規のトランクを作成および設定するには、次の手順を実行します。

Cisco Unified CM の設定


ステップ 1 Cisco Unified CM Administration の GUI から、[Device] > [Trunk] を選択します。

ステップ 2 [Add New] をクリックします。

[Trunk Configuration] ウィンドウが表示されます。

ステップ 3 [Trunk Configuration] 領域に次の情報を入力します。

Trunk Type:[SIP Trunk] を選択します。

Device Protocol:[SIP] (デフォルト値)を選択します。

図 2-17 [Trunk Configuration] ウィンドウ

 

ステップ 4 [Next] をクリックします。

ステップ 5 [Device Information] 領域に次の情報を入力します。

Device Name:SIP トランク名を入力します。

Description:SIP トランクの説明を入力します。

Device pool:[Default] またはドロップダウン リストからデバイス プールを選択します。

Common Device Configuration:共通デバイス設定を選択するか [None](デフォルト値)を選択します。

Call Classification:コールの分類を選択するか [Use System Default](デフォルト値)を選択します。

Media Resource Group List:メディア リソース グループ リストまたは [None](デフォルト値)を選択します。

Location:場所を選択します。

AAR group:AAR グループまたは [None](デフォルト値)を選択します。

Packet capture mode:[None](デフォルト値)を選択します。

Packet capture duration: 0 (デフォルト値)を入力します。

(Cisco Unified CM release 7.0 のみ)SRTP Allowed:このボックスをオンにしてセキュア トランクの SRTP を有効にします。


) トランクをセキュアにするため、必ず [SRTP Allowed] チェックボックスをオンにしてください。


ステップ 6 次の情報を [SIP Information] 領域に入力します。

Destination Trunk:CTMS の IP アドレスを入力します。

Destination Address is as SRV:チェックしません。

Destination Port: 5060 (デフォルト値)と入力します。


) ポート番号は変更しないでください。これは CTMS 通信のリスニング ポートで CTMS ではポート番号は変更できません。


Presence group:[Standard Presence Group] を選択します。

SIP Trunk Security Profile:「SIP トランク セキュリティ プロファイルの作成」ステップ 3 で作成したプロファイル名を入力します。

Rerouting Calling Search Space、Out-Of-Dialog Refer Calling Search Space、SUBSCRIBE Calling Search Space:デフォルト値( <なし>

SIP Profile:[Standard SIP Profile] を選択します。

DTMF Signaling Method:[No preference] を選択します。

ステップ 7 [Save] をクリックします。

ステップ 8 Cisco TelePresence Multipoint Switch Administration にログインして、「CTMS の設定」の手順を実行します。


 

CTMS の設定


ステップ 1 Cisco TelePresence Multipoint Switch Administration の GUI から、[System Configuration] > [Cisco Unified CM] を選択します。

ステップ 2 [Cisco Unified CM] タブに次の情報を入力します。

Cisco Unified CM1:Cisco Unified CM サーバの IP アドレスまたはホスト名を入力します。

SIP Port:「SIP トランク セキュリティ プロファイルの作成」ステップ 3 で入力した SIP ポート番号を入力します。非セキュア トランクの場合は、非セキュア ポート番号 5060 を入力します。

Cisco Unified CM2、Cisco Unified CM3、Cisco Unified CM4、Cisco Unified CM5:追加の Cisco Unified CM サーバの IP アドレスまたはホスト名を入力します。サーバそれぞれに対して「SIP トランク セキュリティ プロファイルの作成」ステップ 3 で入力したセキュア SIP ポート番号を入力します。

図 2-18 Cisco Unified CM の設定例:[CTMS Cisco Unified CM] タブ

 

ステップ 3 設定を保存するには、[Apply] をクリックします。

ステップ 4 [SIP Settings Profile] タブをクリックします。

ステップ 5 [Device Security] から次のいずれかを選択します。

SIP トランク プロファイルおよびデバイス セキュリティに [Encrypted] を選択した場合は、次のいずれかの手順を実行します。

システムで Cisco Unified CM release 6.1.x を使用している場合は、[Encrypted without SDP keys] を選択します。

システムで Cisco Unified CM release 7.0 を使用している場合は、[Encrypted with SDP keys] を選択します。

SIP トランク プロファイルに [Non Secure] を選択した場合は、次の手順を事項します。

[Non-Secure] を選択します。

[Device Security] ドロップダウン リストの右にある [Media Encryption] チェックボックスをオンにします。

ステップ 6 変更を保存するには、[Apply] をクリックします。


 

Cisco TelePresence Multipoint Switch のセキュリティ解除

Cisco TelePresence Multipoint Switch のセキュリティを解除するには、次の手順を実行します。


ステップ 1 Cisco TelePresence Multipoint Switch Administration の GUI から、[System Configuration] > [Cisco Unified CM] を選択します。

ステップ 2 [SIP Profile Settings] タブをクリックします。

ステップ 3 [Device Security] ドロップダウン リストから [Non-Secure] を選択します。

ステップ 4 [System Configuration] > [Security Settings] を選択します。

ステップ 5 [Delete All] ボタンをクリックして、すべてのセキュリティ証明書を削除します。

CTMS が再起動して、すべてのセキュリティ証明書が削除されます。