Cisco Unified Communications Manager セキュリティ ガイド、リリース 10.0(1)
FIPS 140-2 モードの設定
FIPS 140-2 モードの設定

FIPS 140-2 モードの設定

この章では、FIPS 140-2 モードの設定について説明します。

FIPS 140-2 の設定


警告


Cisco Unified Communications ManagerUnified CM)8.6(1) は、現時点で FIPS 140-2 レベル 1 に準拠する唯一のバージョンです。 FIPS モードは、FIPS 準拠のリリースでのみサポートされます。 FIPS モードは、FIPS 非準拠バージョンの Unified CM にアップグレードする前に無効にする必要があることに注意してください。


連邦情報処理標準(FIPS)は、米国およびカナダ政府の認証規格であり、 暗号化モジュールで順守する必要がある要件が規定されています。

Unified CM 8.6(1) は、米国の国立標準技術研究所(NIST)に従って FIPS 140-2 に準拠しており、 FIPS モード、レベル 1 に準拠して動作できます。

FIPS 140-2 モードを有効にすると、Unified CM はリブートして起動時に認証のセルフテストを実行し、暗号モジュールの整合性チェックを実行してから、キー関連情報を再生成します。 この時点で Unified CM は、FIPS 140-2 モードで動作しています。

Unified CM 8.6(1) は、スタートアップ セルフテストの実行と、承認された暗号機能のリストに限定することなど、FIPS の要件を満たしています。

Unified CM の FIPS モードでは、FIPS 140-2 レベル 1 で検証された次の暗号モジュールを使用します。

  • FIPS モジュール 1.2 を使用する Openssl 0.9.8l

  • RSA CryptoJ 4.1

  • Red Hat Openssl

  • Red Hat Openswan

  • NSS

Unified CM では、次の FIPS 関連作業を行うことができます。

  • FIPS 140-2 モードの有効化

  • FIPS 140-2 モードの無効化

  • FIPS 140-2 モードのステータスの確認


(注)  


デフォルトで、Unified CM は非 FIPS モードです。 管理者は FIPS モードを有効化する必要があります。


FIPS 140-2 モードの有効化


警告


Cisco Unified Communications ManagerUnified CM)8.6(1) は、現時点で FIPS 140-2 レベル 1 に準拠する唯一のバージョンです。 FIPS モードは、FIPS 準拠のリリースでのみサポートされます。 FIPS モードは、FIPS 非準拠バージョンの Unified CM にアップグレードする前に無効にする必要があることに注意してください。


FIPS 140-2 は、CLI を使用して有効にすることができます。 詳細については、『Command Line Interface Reference Guide for Cisco Unified Communications Solutions』を参照してください。

Unified CM で FIPS 140-2 モードを有効にする前に、次の点について考慮してください。

  • 単一のサーバ クラスタでは証明書が再生成されるため、CTL クライアントを実行するか、Prepare Cluster for Rollback to pre 8.0 エンタープライズ パラメータを適用してから、FIPS モードを有効にする必要があります。 いずれの手順も実行しなかった場合は、FIPS モードを有効にした後、手動で ITL ファイルを削除する必要があります。
  • サーバ上で FIPS モードを有効にしたら、その次のサーバ上で FIPS を有効にする前に、サーバが再起動されて電話機が正常に再登録されるまで待ってください。

注意    


FIPS モードを有効にする前に、システムのバックアップを実行することを強く推奨します。 起動時に FIPS チェックに失敗した場合、システムは停止し、復元のためのリカバリ CD を要求します。


FIPS 140-2 モードを有効にするには、次の手順を実行します。

手順
    ステップ 1   CLI セッションを開始します。

    詳細については、『Command Line Interface Reference Guide for Cisco Unified Communications Solutions』の「Starting a CLI Session」を参照してください。

    ステップ 2   CLI で、utils fips enable と入力します。

    次のプロンプトが表示されます。

    Security Warning: The operation will regenerate certificates for1)CallManager
    2)Tomcat
    3)IPsec
    4)TVS
    5)CAPF
    6)SSH 
    Any third party CA signed certificates that have been uploaded for the above components will need to be re-uploaded. 
    If the system is operating in mixed mode, then the CTL client needs to be run again to update the CTL file.
    ******************************************************************************
    This will change the system to FIPS mode and will reboot.
    ******************************************************************************
    Do you want to continue (yes/no)?
    
    ステップ 3   yes と入力します。

    次のメッセージが表示されます。

    Generating certificates...Setting FIPS mode in operating system.
    FIPS mode enabled successfully.
    ********************************************************
    It is highly recommended that after your system restarts
    that a system backup is performed.
    ********************************************************
    The system will reboot in a few minutes.
    

    Unified CM は自動的にリブートされます。

    (注)     

    証明書および SSH キーは、FIPS の要件に従って、自動的に再生成されます。

    (注)     

    単一サーバ クラスタを使用していて、FIPS 140-2 モードを有効にするよりも先に Prepare Cluster for Rollback to pre 8.0 エンタープライズ パラメータを適用した場合は、すべての電話機が正常にサーバに登録されたことを確認してから、このエンタープライズ パラメータを無効にする必要があります。

    (注)     

    FIPS モードでは、Unified CM は、Racoon(FIPS 未検証)の代わりに RedHat Openswan(FIPS 検証済み)を使用します。 Racoon のセキュリティ ポリシーに FIPS で承認されていない機能が含まれる場合、CLI コマンドは、FIPS で承認された機能を使用してセキュリティ ポリシーを再定義するように要求し、コマンドは中断します。 詳細については、『Cisco Unified Communications Operating System Administration Guide』の「IPsec Management」に関連するトピックを参照してください。


    FIPS 140-2 モードの無効化

    FIPS 140-2 は、CLI を使用して無効にします。 詳細については、『Command Line Interface Reference Guide for Cisco Unified Communications Solutions』を参照してください。

    Cisco Unified Communications ManagerUnified CM)で FIPS 140-2 モードを無効にする前に、次の点について考慮してください。

    • 単一または複数のサーバ クラスタでは、CTL クライアントを実行することを強く推奨します。 単一のサーバ クラスタで CTL クライアントを実行しない場合は、FIPS モードを無効にした後、手動で ITL ファイルを削除する必要があります。
    • 複数のサーバ クラスタでは、各サーバを別々に無効にする必要があります。FIPS モードはクラスタ全体ではなくサーバ単位で無効にする必要があるためです。

    FIPS 140-2 モードを無効にするには、次の手順を実行します。

    手順
      ステップ 1   CLI セッションを開始します。

      詳細については、『Command Line Interface Reference Guide for Cisco Unified Communications Solutions』の「Starting a CLI Session」の項を参照してください。

      ステップ 2   CLI で、utils fips disable と入力します。

      Unified CM がリブートされ、非 FIPS モードに戻ります。

      (注)     

      証明書および SSH キーは、FIPS の要件に従って、自動的に再生成されます。


      FIPS 140-2 モード ステータスの確認

      FIPS 140-2 モードが有効であることを確認するために、CLI からステータスをチェックします。

      FIPS 140-2 モードのステータスを確認するには、次の手順を実行します。

      手順
        ステップ 1   CLI セッションを開始します。

        詳細については、『Command Line Interface Reference Guide for Cisco Unified Communications Solutions』の「Starting a CLI Session」の項を参照してください。

        ステップ 2   CLI で、utils fips status と入力します。

        FIPS 140-2 モードが有効であることを確認する次のメッセージが表示されます。

        admin:utils fips status
        The system is operating in FIPS mode. Self test status: 
        
        - S T A R T ---------------------
        Executing FIPS selftests
        runlevel is N 3
        Start time: Thu Apr 28 15:59:24 PDT 2011
        NSS self tests passed.
        Kernel Crypto tests passed.
        Operating System OpenSSL self tests passed.
        Openswan self tests passed.
        OpenSSL self tests passed.
        CryptoJ self tests passed...

        FIPS 140-2 モード サーバのリブート

        Cisco Unified Communications ManagerUnified CM)サーバを FIPS 140-2 モードでリブートすると、リブート後に各 FIPS 140-2 モジュールで FIPS のスタートアップ セルフテストがトリガーされます。


        注意    


        1 つでもセルフテストに失敗すると、Unified CM サーバは停止します。



        (注)  


        Unified CM サーバは、対応する CLI コマンドを使用して FIPS が有効または無効になったときに、自動的にリブートされます。 ユーザがリブートを開始することもできます。



        注意    


        一時的なエラーによってスタートアップ セルフテストに失敗した場合は、Unified CM サーバの再起動によって問題が修正されます。 ただし、スタートアップ セルフテストのエラーが解消されない場合は、FIPS モジュールに重大な問題があることが示唆され、リカバリ CD を使用することが残されたオプションになります。