セキュリティ
セキュリティ

セキュリティ

この章では、証明書の管理と IPSec の管理について説明し、システム セキュリティを管理するための手順を提供します。

Internet Explorer のセキュリティ設定の設定

サーバから証明書をダウンロードするには、Internet Explorer のセキュリティ設定が次のように設定されていることを確認します。

手順
    ステップ 1   Internet Explorer を起動します。
    ステップ 2   [ツール(Tools)] > [インターネット オプション(Internet Option)] に移動します。
    ステップ 3   [Advanced] タブをクリックします。
    ステップ 4   [詳細設定(Advanced)] タブの [セキュリティ(Security)] セクションまでスクロールします。
    ステップ 5   必要に応じて、[暗号化されたページをディスクに保存しない(Do not save encrypted pages to disk)] チェックボックスをオフにします。
    ステップ 6   [OK] をクリックします。

    [証明書の管理(Certificate Management)] メニュー


    (注)  


    [セキュリティ(Security)] メニューの項目にアクセスするには、管理者パスワードを使用して [Cisco Unified Communications オペレーティング システムの管理(Cisco Unified Communications Operating System Administration)] にログインする必要があります。


    証明書の表示

    既存の証明書を表示するには、次の手順を実行します。

    手順
      ステップ 1   [セキュリティ(Security)] > [証明書の管理(Certificate Management)] を選択します。

      [証明書の一覧(Certificate List)] ウィンドウが表示されます。

      ステップ 2   [検索(Find)] コントロールを使用して、証明書のリストをフィルタリングできます。
      ステップ 3   証明書または信頼ストアの詳細を表示するには、そのファイル名をクリックします。

      [証明書の設定(Certificate Configuration)] ウィンドウに該当の証明書の情報が表示されます。

      ステップ 4   [証明書の一覧(Certificate List)] ウィンドウに戻るには、[関連リンク(Related Links)] リストの [検索/リストに戻る(Back To Find/List)] を選択し、[移動(Go)] をクリックします。

      証明書のダウンロード

      Cisco Unified Communications オペレーティング システムから PC に証明書をダウンロードするには、次の手順を実行します。

      手順
        ステップ 1   [セキュリティ(Security)] > [証明書の管理(Certificate Management)] を選択します。 [証明書の一覧(Certificate List)] ウィンドウが表示されます。
        ステップ 2   [検索(Find)] コントロールを使用して、証明書のリストをフィルタリングできます。
        ステップ 3   証明書のファイル名をクリックします。 [証明書の設定(Certificate Configuration)] ウィンドウが表示されます。
        ステップ 4   [ダウンロード(Download)] をクリックします。
        ステップ 5   [ファイルのダウンロード(File Download)] ダイアログボックスで、[保存(Save)] をクリックします。

        証明書の削除

        信頼できる証明書を削除するには、次の手順を実行します。


        注意    


        証明書を削除すると、システムの動作に影響する場合があります。 証明書リストから選択した証明書の既存の CSR がシステムから削除されます。 新しい CSR を生成する必要があります。


        手順
          ステップ 1   [セキュリティ(Security)] > [証明書の管理(Certificate Management)] を選択します。

          [証明書の一覧(Certificate List)] ウィンドウが表示されます。

          ステップ 2   [検索(Find)] コントロールを使用して、証明書のリストをフィルタリングできます。
          ステップ 3   証明書のファイル名をクリックします。 [証明書の設定(Certificate Configuration)] ウィンドウが表示されます。
          ステップ 4   [削除(Delete)] をクリックします。

          証明書の再作成

          証明書を再作成するには、次の手順を実行します。


          注意    


          証明書を再作成すると、システムの動作に影響する場合があります。


          手順
            ステップ 1   [セキュリティ(Security)] > [証明書の管理(Certificate Management)] を選択します。 [証明書の一覧(Certificate List)] ウィンドウが表示されます。
            ステップ 2   [新規作成(Generate New)] をクリックします。 [証明書の作成(Generate Certificate)] ダイアログボックスが表示されます。
            ステップ 3   [証明書の名前(Certificate Name)] リストから、証明書の名前を選択します。 次の表に、表示される証明書の説明を示します。
            名前 説明
            tomcat この自己署名ルート証明書は、HTTPS サーバのインストール中に作成されます。
            ipsec この自己署名ルート証明書は、MGCP ゲートウェイおよび H.323 ゲートウェイとの IPSec 接続のインストール中に生成されます。
            ステップ 4   [新規作成(Generate New)] をクリックします。

            次の作業

            Cisco Unified Communications オペレーティング システムの証明書を再作成したら、バックアップを実行して、最新のバックアップに再作成した証明書を含める必要があります。 バックアップの実行の詳細については、『Disaster Recovery System Administration Guide』を参照してください。

            サーバへの証明書のアップロード


            注意    


            新しい証明書をアップロードすると、システムの動作に影響する場合があります。 新しい証明書をアップロードした後、Unified CCX サーバを再起動する必要があります(ハイ アベイラビリティ構成の場合は、両方のノードを再起動します)。



            (注)  


            システムが信頼証明書を他のクラスタ ノードに自動的に配信することはありません。 複数のノードで同じ証明書が必要な場合は、証明書を各ノードに個別にアップロードする必要があります。


            証明書または証明書チェーンのアップロード

            手順
              ステップ 1   [セキュリティ(Security)] > [証明書の管理(Certificate Management)] を選択します。 [証明書の一覧(Certificate List)] ウィンドウが表示されます。
              ステップ 2   [証明書/証明書チェーンのアップロード(Upload Certificate/Certificate chain)] をクリックします。 [証明書/証明書チェーンのアップロード(Upload Certificate/Certificate Chain)] ダイアログボックスが表示されます。
              ステップ 3   [証明書の名前(Certificate Name)] リストから、証明書の名前を選択します。
              ステップ 4   次のいずれかの手順を実行して、アップロードするファイルを選択します。
              • [ファイルのアップロード(Upload File)] テキストボックスに、ファイルのパスを入力します。または、
              • [参照(Browse)] ボタンをクリックしてファイルを選択し、[開く(Open)] をクリックします。

                Cisco Unified CCX は、プライバシー強化メール(PEM)Base64 エンコード形式の X.509 証明書(ファイル内に 1 つの PEM 証明書のみ)、識別符号化規則(DER)形式の X509 証明書、および DER 形式の PKCS#7(Public-Key Cryptography Standards)証明書チェーンをサポートしています。 PEM 形式の PKCS#7 証明書チェーンはサポートしていません。

              ステップ 5   [ファイルのアップロード(Upload File)] ボタンをクリックして、サーバにファイルをアップロードします。

              ディレクトリ信頼証明書


              (注)  


              ディレクトリ信頼証明書のアップロードは、Unified CCX 9.0(x) には適用されません。


              サードパーティ製の CA 証明書の取得

              Cisco Unified Communications オペレーティング システムは、サード パーティ製の認証局(CA)が PKCS # 10 証明書署名要求(CSR)によって発行した証明書をサポートしています。 次の表に、このプロセスの概要および参考となる文書を示します。

              手順
                ステップ 1   サーバに CSR を作成します。

                証明書署名要求の生成」を参照してください。

                ステップ 2   CSR を PC にダウンロードします。

                証明書署名要求のダウンロード」を参照してください。

                ステップ 3   CSR を使用して、CA からアプリケーション証明書を取得します。

                アプリケーション証明書の取得に関する情報は、CA から入手してください。 その他の注意事項については、「アプリケーション証明書」を参照してください。

                ステップ 4   CA ルート証明書を取得します。

                ルート証明書の取得に関する情報は、CA から入手してください。 その他の注意事項については、「アプリケーション証明書」を参照してください。

                ステップ 5   CA ルート証明書をサーバにアップロードします。

                証明書または証明書チェーンのアップロード」を参照してください。

                ステップ 6   アプリケーション証明書をサーバにアップロードします。

                証明書または証明書チェーンのアップロード」を参照してください。

                ステップ 7   新しい証明書の影響を受けるサービスを再起動します。

                すべての証明書タイプで、対応するサービスを再起動します(たとえば、Tomcat の証明書を更新した場合は Tomcat サービスを再起動します)。 サービスの再起動の詳細については、『Cisco Unified CCX Serviceability Administration Guide』を参照してください。


                証明書署名要求の生成

                証明書署名要求(CSR)を作成するには、次の手順を実行します。

                手順
                  ステップ 1   [セキュリティ(Security)] > [証明書の管理(Certificate Management)] を選択します。 [証明書の一覧(Certificate List)] ウィンドウが表示されます。
                  ステップ 2   [CSR の作成(Generate CSR)] をクリックします。 [証明書署名要求の作成(Generate Certificate Signing Request)] ダイアログボックスが表示されます。
                  ステップ 3   [証明書の名前(Certificate Name)] リストから、証明書の名前を選択します。
                  (注)     

                  Cisco Unified オペレーティング システムの現行リリースでは、[証明書の名前(Certificate Name)] リストの [ディレクトリ(Directory)] オプションは使用できなくなりました。

                  ステップ 4   [CSR の作成(Generate CSR)] をクリックします。

                  証明書署名要求のダウンロード

                  証明書署名要求をダウンロードするには、次の手順を実行します。

                  手順
                    ステップ 1   [セキュリティ(Security)] > [証明書の管理(Certificate Management)] を選択します。 [証明書の一覧(Certificate List)] ウィンドウが表示されます。
                    ステップ 2   [CSR のダウンロード(Download CSR)] をクリックします。 [証明書署名要求のダウンロード(Download Certificate Signing Request)] ダイアログボックスが表示されます。
                    ステップ 3   [証明書の名前(Certificate Name)] リストから、証明書の名前を選択します。
                    ステップ 4   [CSR のダウンロード(Download CSR)] をクリックします。
                    ステップ 5   [ファイルのダウンロード(File Download)] ダイアログボックスで、[保存(Save)] をクリックします。

                    アプリケーション証明書

                    サード パーティの CA が発行するアプリケーション証明書を使用するには、署名付きのアプリケーション証明書と CA ルート証明書の両方を CA から取得する必要があります。 これらの証明書の取得に関する情報は、CA から入手してください。 入手の手順は、CA によって異なります。

                    Cisco Unified Communications オペレーティング システムでは、証明書は DER および PEM エンコード形式で、CSR は PEM エンコード形式で生成されます。 また、PEM および DER エンコード形式の証明書を受け入れます。

                    すべての証明書タイプについて、それぞれのノードで CA ルート証明書およびアプリケーション証明書を取得およびアップロードしてください。

                    Tomcat、および IPSec の CSR では、次の拡張情報を使用します。

                    X509v3 Key Usage: 
                    Digital Signature, Key Encipherment, Data Encipherment, Key Agreement
                    X509v3 Extended Key Usage:
                    TLS Web Server Authentication, TLS Web Client Authentication, IPSec End System
                    
                    1. アプリケーション証明書を署名した CA の CA ルート証明書をアップロードします。 下位 CA がアプリケーション証明書を署名した場合、ルート CA ではなく、下位 CA の CA ルート証明書をアップロードします。

                    2. CA ルート証明書およびアプリケーション証明書をアップロードするには、同じ [証明書のアップロード(Upload Certificate)] ダイアログボックスを使用します。 CA ルート証明書をアップロードする場合、certificate type-trust 形式の証明書名を選択します。

                    3. アプリケーション証明書をアップロードする場合、証明書タイプのみが含まれる証明書の名前を選択します。 たとえば、Tomcat CA ルート証明書をアップロードする場合、[Tomcat の信頼性(tomcat-trust)] を選択し、Tomcat アプリケーション証明書をアップロードする場合、[Tomcat(tomcat)] を選択します。

                    証明書の有効期限日のモニタ

                    証明書の有効期限日が近づいたときに、システムから自動的に電子メールを送信できます。 証明書有効期限モニタの表示と設定をするには、次の手順を実行します。

                    手順
                      ステップ 1   [セキュリティ(Security)] > [証明書モニタ(Certificate Monitor)] を選択します。

                      [証明書モニタ(Certificate Monitor)] ウィンドウが表示されます。

                      ステップ 2   必要な設定情報を入力します。

                      [証明書の有効期限日の監視(Certificate Monitor Expiration)] フィールドの説明については、次の表を参照してください。

                      ステップ 3   変更を保存するには、[保存(Save)] をクリックします。
                      表 1 [証明書モニタ(Certificate Monitor)] フィールドの説明
                      フィールド 説明

                      通知開始時期(Notification Start Time)

                      証明書が無効になる何日前に通知を送信してもらうかを入力します。

                      通知の頻度(Notification Frequency)

                      通知の頻度を時間または日単位で入力します。

                      電子メール通知の有効化(Enable Email Notification)

                      E メール通知を有効にするには、このチェックボックスをオンにします。

                      電子メール ID(Email IDs)

                      通知の送信先電子メール アドレスを入力します。

                      (注)     

                      システムから通知を送信するには、SMTP ホストを設定する必要があります。


                      IPSec 管理

                      次の各項では、[IPSec] メニューで実行できる機能を説明します。


                      (注)  


                      IPSec は、インストール時にクラスタ内のノード間で自動的に設定されません。


                      新しい IPSec ポリシーの設定

                      システムのアップグレード中、IPSec ポリシーに何らかの変更を行ってもその変更は無効になりますので、アップグレード中は IPSec ポリシーを変更または作成しないでください。


                      注意    


                      IPSec はシステムのパフォーマンスに影響します(特に暗号化した場合)。


                      手順
                        ステップ 1   [セキュリティ(Security)] > [IPSec の設定(IPSEC Configuration)] を選択します。 [IPSEC ポリシーの一覧(IPSEC Policy List)] ウィンドウが表示されます。
                        ステップ 2   [新規追加(Add New)] をクリックします。 [IPSECポリシーの設定(IPSEC Policy Configuration)] ウィンドウが表示されます。
                        ステップ 3   [IPSEC ポリシーの設定(IPSEC Policy Configuration)] ウィンドウに適切な情報を入力します。 このウィンドウのフィールドの説明については、次の表を参照してください。
                        ステップ 4   新しい IPSec ポリシーを設定するには、[保存(Save)] をクリックします。
                        表 2 [IPSEC ポリシーとアソシエーション(IPSec Policy and Association)] フィールドの説明
                        フィールド 説明
                        ポリシー グループ名(Policy Group Name)

                        IPSec ポリシー グループの名前を指定します。 名前には、文字、数字、ハイフンのみを使用できます。

                        ポリシー名

                        IPSec ポリシーの名前を指定します。 名前には、文字、数字、ハイフンのみを使用できます。

                        認証方式

                        認証方式を指定します。

                        事前共有キー(Preshared Key)

                        [認証方式(Authentication Method)] フィールドで [事前共有キー(Pre-Shared Key)] を選択した場合は、事前共有キーを指定します。

                        (注)     

                        事前共有 IPSec キーには、英字およびハイフンのみ使用できます。空白文字またはその他の文字は使用できません。 Windows ベース バージョンの Unified CCX から移行する場合、現行バージョンの Unified CCX と互換性があるように事前共有 IPSec キーの名前を変更する必要があります。

                        ピア タイプ(Peer Type)

                        ピアのタイプが同じか異なるかを指定します。

                        証明書の名前(Certificate Name)

                        [ピア タイプ(Peer Type)] で [異なる(Different)] を選択した場合、新しい証明書の名前を入力します。

                        宛先アドレス

                        接続先の IP アドレスまたは FQDN を指定します。

                        送信先ポート

                        接続先のポート番号を指定します。

                        送信元アドレス

                        ソースの IP アドレスまたは FQDN を指定します。

                        送信元ポート

                        ソースのポート番号を指定します。

                        Mode

                        転送モードを指定します。

                        リモート ポート(Remote Port)

                        接続先で使用されるポート番号を指定します。

                        プロトコル(Protocol)
                        プロトコルを指定します。
                        • TCP

                        • UDP

                        • 任意(Any)

                        暗号化アルゴリズム
                        ドロップダウン リストから、暗号化アルゴリズムを選択します。 選択肢は次のとおりです。
                        • DES

                        • 3DES

                        ハッシュ アルゴリズム(Hash Algorithm)
                        ハッシュ アルゴリズムを指定します。
                        • SHA1:フェーズ 1 IKE ネゴシエーションで使用されるハッシュ アルゴリズム

                        • MD5:フェーズ 1 IKE ネゴシエーションで使用されるハッシュ アルゴリズム

                        ESP アルゴリズム(ESP Algorithm)
                        ドロップダウン リストから、ESP アルゴリズムを選択します。 選択肢は次のとおりです。
                        • NULL_ENC

                        • DES

                        • 3DES

                        • BLOWFISH

                        • RIJNDAEL

                        フェーズ 1 のライフタイム(Phase One Life Time)

                        フェーズ 1 の IKE ネゴシエーションのライフタイムを秒単位で指定します。

                        フェーズ 1 の DH(Phase One DH)

                        ドロップダウン リストから、フェーズ 1 の DH 値を選択します。 2、1 および 5 から選択できます。

                        フェーズ 2 のライフタイム(Phase Two Life Time)

                        フェーズ 2 の IKE ネゴシエーションのライフタイムを秒単位で指定します。

                        フェーズ 2 の DH(Phase Two DH)

                        ドロップダウン リストから、フェーズ 2 の DH 値を選択します。 2、1 および 5 から選択できます。

                        ポリシーを有効

                        ポリシーを有効にするには、このチェックボックスをオンにします。


                        IPSec ポリシーの管理

                        既存の IPSec ポリシーを表示、イネーブル/ディセーブル、または削除するには、次の手順を実行します。


                        (注)  


                        システムのアップグレード中、IPSec ポリシーに何らかの変更を行ってもその変更は無効になります。アップグレード中は IPSec ポリシーを変更または作成しないでください。



                        注意    


                        IPSec はシステムのパフォーマンスに影響します(特に暗号化した場合)。



                        注意    


                        既存の IPSec ポリシーを変更すると、システムの正常な動作に影響する場合があります。


                        手順
                          ステップ 1   [セキュリティ(Security)] > [IPSECの設定(IPSEC Configuration)] を選択します。
                          (注)     

                          [セキュリティ(Security)] メニューの項目にアクセスするには、管理者パスワードを使用して [Cisco Unified Communications オペレーティング システムの管理(Cisco Unified Communications Operating System Administration)] に再ログインする必要があります。

                          [IPSEC ポリシーの一覧(IPSEC Policy List)] ウィンドウが表示されます。
                          ステップ 2   ポリシーを表示、有効、または無効にするには、次の手順を実行します。
                          1. ポリシー名をクリックします。 [IPSECポリシーの設定(IPSEC Policy Configuration)] ウィンドウが表示されます。
                          2. ポリシーをイネーブルまたはディセーブルにするには、[ポリシーの有効化(Enable Policy)] チェックボックスをクリックします。
                          3. [保存(Save)] をクリックします。
                          ステップ 3   1 つまたは複数のポリシーを削除するには、次の手順を実行します。
                          1. 削除するポリシーの横にあるチェックボックスをオンにします。

                            [すべてを選択(Select All)] をクリックするとすべてのポリシーを選択でき、[すべてをクリア(Clear All)] を選択するとすべてのチェックボックスをクリアできます。

                          2. [Delete Selected(選択したユーザを削除)] をクリックします。

                          証明書の一括管理


                          (注)  


                          [セキュリティ(Security)] > [証明書の一括管理(Bulk Certificate Management)] メニュー オプションは、Unified CCX 9.0(x) には適用されません。


                          シングル サインオン


                          (注)  


                          [セキュリティ(Security)] > [シングルサインオン(Single Sign On)] メニュー オプションは、Unified CCX 9.0(x) には適用されません。