Cisco Unified Communications Manager Express 4.3 システム アドミニストレータ ガイド
セキュリティの設定
セキュリティの設定
発行日;2012/01/07 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 11MB) | フィードバック

目次

セキュリティの設定

内容

セキュリティに関する前提条件

セキュリティに関する制約事項

セキュリティに関する情報

電話機認証の概要

電話機の認証

ファイルの認証

シグナリングの認証

公開鍵インフラストラクチャ

電話機認証コンポーネント

電話機認証プロセス

起動メッセージ

設定ファイルのメンテナンス

CTL ファイルのメンテナンス

CTL クライアントとプロバイダー

MIC ルート証明書の手動インポート

メディア暗号化の機能設計

セキュアな Cisco Unified CME

セキュアな補足サービス

H.450 環境のセキュアな Cisco Unified CME

非 H.450 環境でのセキュアな Cisco Unified CME

DSP ファーム変換が設定されたリモート電話機のためのセキュアな変換

セキュアな Cisco Unified CME と Cisco Unity Express

セキュアな Cisco Unified CME と Cisco Unity

セキュリティの設定方法

Cisco IOS 認証局の設定

Cisco IOS 認証局の確認

登録局の設定

登録局の確認

サーバ機能の証明書の認証

サーバ機能の証明書の確認

MIC ルート証明書の手動インポート

前提条件

telephony-service セキュリティ パラメータの設定

telephony-service セキュリティ パラメータの確認

CTL クライアントの設定

Cisco Unified CME ルータ上の CTL クライアントの設定

次の作業

Cisco Unified CME ルータ以外のルータ上の CTL クライアントの設定

次の作業

CTL クライアントの確認

CTL プロバイダーの設定

CTL プロバイダーの確認

CAPF サーバの設定

次の作業

CAPF サーバの確認

電話機での認証文字列の入力

前提条件

電話機での認証文字列の確認

H.323 トランクを通じた Cisco Unified CME 間のセキュアなコールの設定

前提条件

H.323 ダイヤルピアに対する Cisco Unified CME SRTP フォールバックの設定

セキュアな Cisco Unified CME 動作のための Cisco Unity の設定

Cisco Unified CME と Cisco Unity との統合の設定

Cisco Unified CME への Cisco Unity ルート証明書のインポート

セキュアな登録のための Cisco Unity ポートの設定

Cisco Unity のセキュアな登録の確認

セキュリティに関する設定例

Cisco IOS CA サーバ:例

登録局の有効化:例

Cisco Unified CME ルータでの MIC ルート証明書の手動インポート:例

Cisco Unified CME サーバ機能の証明書の取得:例

Telephony-Service セキュリティ パラメータ:例

Cisco Unified CME ルータ上で動作する CTL クライアント:例

別のルータ上で動作する CTL クライアント:例

CAPF サーバ:例

セキュアな Cisco Unified CME:例

関連情報

その他の資料

関連マニュアル

テクニカル サポート

セキュリティに関する機能情報

セキュリティの設定

Revised: April 14, 2008

 

この章では、Cisco Unified Communications Manager Express(Cisco Unified CME)電話機認証のサポート、および Cisco Unified CME 機能のメディア暗号化(SRTP)について説明します。これらにより、次に示すセキュアな音声コール機能が提供されます。

Secure Real-Time Transport Protocol(SRTP)および H.323 プロトコルを使用した、Cisco Unified CME ネットワークでのセキュアなコール制御シグナリングとメディア ストリーム。

H.323 トランクを使用した、Cisco Unified CME ネットワークに対するセキュアな補足サービス。

セキュアな Cisco VG224 Analog Phone Gateway エンドポイント。

この章で説明する機能について

この章で説明している機能の一部は、ご使用のバージョンの Cisco Unified CME でサポートされていない場合があります。それぞれの機能がサポートされているバージョンの一覧については、「セキュリティに関する機能情報」を参照してください。

セキュリティに関する前提条件

電話機の認証

Cisco Unified CME 電話機認証では、サポート対象プラットフォーム上に Cisco IOS フィーチャ セット Advanced Enterprise Services(adventerprisek9)または Advanced IP Services(advipservicesk9)が必要です。

次のいずれかの方法でシステム クロックを設定します。

Network Time Protocol(NTP; ネットワーク タイム プロトコル)を設定する。

clock set コマンドを使用して、手動でソフトウェア クロックを設定する。

どちらの方法も、ご使用の Cisco IOS リリースの『 Cisco IOS Network Management Configuration Guide 』にある「 Performing Basic System Management 」の章で説明されています。

メディア暗号化

Cisco Unity 4.2 以降のバージョン。

Cisco Unified CME 4.2 以降のバージョン。

Cisco VG224 Analog Phone Gateway に、互換性のある Cisco IOS リリースがインストールされている必要があります。詳細については、『 Cisco Unified CME and Cisco IOS Release Compatibility Matrix 』を参照してください。

セキュリティに関する制約事項

電話機の認証

Cisco IAD 2400 シリーズまたは Cisco 1700 シリーズでは、Cisco Unified CME 電話機認証はサポートされていません。

メディア暗号化

セキュアな 3 者間ソフトウェア会議はサポートされていません。SRTP で開始したセキュアなコールは、会議に参加すると、常にノンセキュアな Real-Time Transport Protocol(RTP)にフォールバックします。

3 者間会議の参加者の 1 人が会議から退出したときに、残り 2 人が単一の Cisco Unified CME に対する SRTP 対応の Skinny Client Control Protocol(SCCP)エンドポイントであり、どちらかが会議の開催者である場合は、残り 2 人の参加者間のコールはセキュアに戻ります。残り 2 人のいずれが RTP だけに対応している場合は、コールはノンセキュアなままとなります。残りの 2 人が FXS、PSTN、または VoIP 経由で接続されている場合、コールはノンセキュアなままとなります。

Cisco Unity Express へのコールはセキュアではありません。

保留音(MOH)はセキュアではありません。

ビデオ コールはセキュアではありません。

モデム リレーと T.3 ファックス リレーのコールはセキュアではありません。

メディア フローアラウンドはコール転送とコール自動転送でサポートされません。

インバンド トーンと RFC 2833 DTMF との間の変換はサポートされません。RFC 2833 DTMF 処理は、暗号鍵がセキュア DSP ファーム デバイスに送信される場合はサポートされますが、コーデック パススルーに対してはサポートされません。

セキュアな Cisco Unified CME では、SIP トランクはサポートされません。H.323 トランクだけがサポートされます。

セキュア コールは、デフォルト セッション アプリケーションだけでサポートされます。

表25 に、Cisco Unified CME のメディア暗号化(SRTP)でサポートされているゲートウェイ、ネットワーク モジュール、およびコーデックを示します。

 

表25 Cisco Unified CME のメディア暗号化(SRTP)でサポートされるゲートウェイ、ネットワーク モジュール、および IP Phone

サポートされているゲートウェイ
サポートされているネットワーク モジュール
サポートされている SCCP エンドポイント

Cisco 2801

Cisco 2811

Cisco 2821

Cisco 2851

Cisco 3725

Cisco 3745

Cisco 3825

Cisco 3845

AIM-VOICE-30

AIM-ATM-VOICE-30

NM-HDA-4FXS

NM-HDV

NM-HDV2

NM-HDV2-1T1/E1

NM-HDV2-2T1/E1

NM-HD-1V

NM-HD-2V

NM-HD-2VE

PVDM2

Cisco IP Phone 7931

Cisco IP Phone 7940

Cisco IP Phone 7941

Cisco IP Phone 7941GE

Cisco IP Phone 7960

Cisco IP Phone 7961

Cisco IP Phone 7961GE

Cisco IP Phone 7970

Cisco IP Phone 7971

Cisco IP Phone 7911

Cisco IP Phone 7921

Cisco VG224 Analog Phone Gateway

セキュリティに関する情報

セキュリティを有効にするには、次の概念を理解しておく必要があります。

電話機の認証

「電話機認証の概要」

「公開鍵インフラストラクチャ」

「電話機認証コンポーネント」

「電話機認証プロセス」

「起動メッセージ」

「設定ファイルのメンテナンス」

「CTL ファイルのメンテナンス」

「CTL クライアントとプロバイダー」

「MIC ルート証明書の手動インポート」

メディア暗号化

「メディア暗号化の機能設計」

「セキュアな Cisco Unified CME」

「セキュアな補足サービス」

「DSP ファーム変換が設定されたリモート電話機のためのセキュアな変換」

「セキュアな Cisco Unified CME と Cisco Unity Express」

「セキュアな Cisco Unified CME と Cisco Unity」

電話機認証の概要

電話機認証は、Cisco Unified CME と IP Phone との間のセキュア SCCP シグナリングを提供するセキュリティ インフラストラクチャです。Cisco Unified CME 電話機認証の目的は、Cisco Unified CME IP テレフォニー システムにセキュアな環境を作成することです。

電話機認証は、次のセキュリティ ニーズに対応します。

システム内の各エンドポイントのアイデンティティを確立する。

デバイスを認証する。

シグナリングセッションのプライバシーを確保する。

設定ファイルを保護する。

Cisco Unified CME 電話機認証は、認証と暗号化を実装し、電話機または Cisco Unified CME システムのなりすまし、データ改ざん、コール シグナリングやメディア ストリームの改ざんを防止します。このような脅威を防ぐために、Cisco Unified IP テレフォニー ネットワークでは、認証された通信ストリームを確立して保持するとともに、ファイルが電話機に転送される前にそのファイルにデジタル署名します。また、Cisco Unified IP Phone 間のコール シグナリングを暗号化します。

Cisco Unified CME 電話機認証は、次のプロセスに従って行われます。

「電話機の認証」

「ファイルの認証」

「シグナリングの認証」

電話機の認証

電話機認証プロセスは、Cisco Unified CME ルータとサポート対象デバイスの間で、各エンティティがもう一方のエンティティの証明書を受け入れる場合に実行されます。実行された場合にだけ、エンティティ間のセキュアな接続が実現します。電話機認証は、Certificate Trust List(CTL; 証明書信頼リスト)ファイルの作成に依存しています。このファイルは、信頼できる既知の証明書およびトークンのリストです。電話機は、セキュアな transport-layer-session(TLS)接続を使用して Cisco Unified CME と通信します。この接続では、次の基準が満たされている必要があります。

電話機上に証明書が存在する。

電話機上に電話機設定ファイルが存在し、そのファイル内に Cisco Unified CME のエントリと証明書が存在する。

ファイルの認証

ファイル認証プロセスは、電話機が Trivial File Transfer Protocol(TFTP; トリビアル ファイル転送プロトコル)サーバからダウンロードするデジタル署名済みファイル(たとえば、設定ファイル、呼出音一覧ファイル、ロケール ファイル、CTL ファイル)を検証します。電話機はこれらのタイプのファイルを TFTP サーバから受け取ると、ファイルの署名を検証して、ファイルが作成後に改ざんされていないことを確認します。

シグナリングの認証

シグナリング認証プロセスは、シグナリング整合性とも呼ばれ、TLS プロトコルを使用して、シグナリング パケットが転送中に改ざんされていないことを検証します。シグナリングの認証は、CTL ファイルの作成に依存します。

公開鍵インフラストラクチャ

Cisco Unified CME 電話機認証では、IP Phone の証明書ベースの認証に、Cisco IOS ソフトウェアの Public Key Infrastructure(PKI; 公開鍵インフラストラクチャ)機能を使用します。PKI はセキュリティ保護されたデータ ネットワーク内で暗号化とアイデンティティの情報を配布、管理、および破棄するためのスケーラブルでセキュアなメカニズムをお客様に提供します。セキュリティ保護された通信に参加する各エンティティ(ユーザまたはデバイス)は、PKI に登録されます。この登録プロセスでは、エンティティが Rivest-Shamir-Adleman(RSA)鍵ペア(1 つの秘密鍵と 1 つの公開鍵)を生成し、エンティティのアイデンティティが、信頼できるエンティティ(Certification Authority(CA; 認証局)またはトラストポイントとも呼ばれる)によって検証されます。

各エンティティが PKI に登録されると、PKI 内の各ピア(エンド ホストとも呼ばれる)に、CA から発行されたデジタル証明書が交付されます。

ピアは、セキュリティ保護された通信セッションをネゴシエートする必要がある場合、デジタル証明書を交換します。証明書の情報に基づいて、ピアはもう一方のピアのアイデンティティを検証し、証明書に含まれている公開鍵を使用して暗号化されたセッションを確立できます。

PKI の詳細については、ご使用の Cisco IOS リリースの『 Cisco IOS Security Configuration Guide 』にある「 Implementing and Managing a PKI 」を参照してください。

電話機認証コンポーネント

Cisco Unified CME システムでは、さまざまなコンポーネントが連携して、セキュアな通信を実現します。 表26 は、Cisco Unified CME 電話機認証コンポーネントを示しています。

 

表26 Cisco Unified CME 電話機認証コンポーネント

コンポーネント
定義

証明書

ユーザ名またはデバイス名をその公開鍵にバインドする電子文書。通常、証明書はデジタル署名の検証に使用されます。証明書はセキュアな通信時の認証に必要です。エンティティは、CA に登録することで証明書を取得します。

署名

署名付きのトランザクションが本物であるという、エンティティからの保証。トランザクションの署名にはエンティティの秘密鍵が使用され、復号化には対応する公開鍵が使用されます。

RSA 鍵ペア

RSA は、Ron Rivest 氏、Adi Shamir 氏、および Leonard Adleman 氏によって開発された暗号化システムです。

RSA 鍵ペアは、公開鍵と秘密鍵で構成されています。公開鍵は証明書に含まれているため、ピアは公開鍵を使用して、ルータに送信されるデータを暗号化できます。秘密鍵はルータ上に保持され、ピアから送信されたデータの復号化、およびピアとネゴシエートするときのトランザクションのデジタル署名に使用されます。

さまざまな認証局やさまざまな証明書のポリシー要件(鍵の長さ、鍵のライフタイム、鍵のタイプなど)を満たすように、複数の RSA 鍵ペアを設定できます。

証明書サーバ

トラストポイント

証明書サーバは、正規の要求を受け取るとすぐに証明書を生成して発行します。証明書サーバと同じ名前を持つトラストポイントは、証明書を格納します。各トラストポイントは、1 つの証明書と CA 証明書のコピーを保持します。

認証局(CA)

ルート証明書サーバ。証明書要求を管理し、参加するネットワーク デバイスに証明書を発行するという役割を担います。このサービスは、参加するデバイスに中央集中型の鍵管理を提供します。また、受信側から明示的に信頼されて、アイデンティティの検証およびデジタル証明書の作成を行います。CA は、Cisco Unified CME ルータ上の Cisco IOS CA の場合も、別のルータ上の Cisco IOS CA の場合も、サードパーティの CA の場合もあります。

Registration Authority(RA; 登録局)

CA が証明書の発行に必要とするデータの一部またはすべてを、記録または検証します。この作業が必要になるのは、CA がサードパーティの CA の場合、または Cisco IOS CA が Cisco Unified CME ルータ上に存在しない場合です。

証明書信頼リスト(CTL)ファイル

CTL クライアント

CTL プロバイダー

IP Phone が対話する必要のあるすべてのサーバ(たとえば、Cisco Unified CME サーバ、TFTP サーバ、CAPF サーバ)の公開鍵情報(サーバのアイデンティティ)を含む必須構造。CTL ファイルは、System Administrator Security Token(SAST)によってデジタル署名されます。

CTL クライアントの設定後、CTL クライアントは CTL ファイルを作成し、TFTP ディレクトリで入手できるようにします。CTL ファイルは、SAST 証明書の対応する秘密鍵を使用して署名されます。その後、IP Phone はこの CTL ファイルを TFTP ディレクトリからダウンロードできます。各電話機の CTL ファイルのファイル名形式は、CTLSEP<mac-addr>.tlv です。

CTL クライアントが、Cisco Unified CME ルータ以外の、ネットワーク内のルータ上で動作する場合は、ネットワーク内の各 Cisco Unified CME ルータ上で CTL プロバイダーを設定する必要があります。同様に、CTL クライアントがネットワーク内の 2 台の Cisco Unified CME ルータのいずれかで動作する場合は、もう一方の Cisco Unified CME ルータ上で CTL プロバイダーを設定する必要があります。CTL プロトコルを使用して、CTL プロバイダーとの間で情報がやりとりされます。これにより、2 番目の Cisco Unified CME ルータが電話機によって信頼され、逆に電話機もその Cisco Unified CME ルータによって信頼されることが可能になります。

Certificate Revocation List(CRL; 証明書失効リスト)

証明書の有効期限が記載されいるファイル。提示された証明書が有効であるか、失効しているかを判断するために使用されます。

System Administrator Security Token(SAST)

CTL クライアントの一部であり、CTL ファイルの署名を担当します。SAST 機能には、Cisco Unified CME 証明書と、その証明書に関連付けられている鍵ペアが使用されます。セキュリティ上の理由から、実際のところ、CTL ファイル内には 2 つの異なる証明書に関連する 2 つの SAST レコードが存在します。これらは、SAST1 および SAST2 と呼ばれます。2 つの証明書のうち 1 つが紛失したり破損したりした場合、CTL クライアントはもう 1 つの証明書を使用して CTL ファイルを再生成します。電話機は、新しい CTL ファイルをダウンロードすると、以前にインストールされた 2 つの元の公開鍵のいずれか 1 つだけを使用してそのファイルを確認します。このメカニズムによって、IP Phone が不明な発信元からの CTL ファイルを受け入れることを防止できます。

Certificate Authority Proxy Function(CAPF; 認証局プロキシ関数)

証明書(LSC)を要求する電話機にその証明書を発行するエンティティ。CAPF は、CA と直接通信できない電話機のためのプロキシです。CAPF は、次のような証明書管理タスクも実行できます。

電話機上の既存のローカルで有効な証明書をアップグレードする。

表示およびトラブルシューティングのために電話機証明書を取得する。

電話機上の既存のローカルで有効な証明書を削除する。

Manufacture-Installed Certificate(MIC; 製造元でインストールされる証明書)

Locally Significant Certificate(LSC; ローカルで有効な証明書)

セキュアな通信に参加する電話機には、証明書が必要です。ほとんどの電話機は MIC がインストールされた状態で工場から出荷されます。ただし、MIC が期限切れになったり、紛失または破損することがあります。電話機の中には、MIC が付属していないものもあります。LSC は、CAPF サーバを使用して電話機にローカルに発行される証明書です。

Transport Layer Security(TLS)プロトコル

Netscape Secure Socket Layer(SSL)プロトコルに基づく、IETF 標準(RFC 2246)プロトコル。TLS セッションはハンドシェイク プロトコルを使用して確立され、プライバシーとデータ整合性を確保します。

TLS レコード層は、アプリケーション データや他の TLS 情報(ハンドシェイク メッセージなど)の断片化と断片化解除、圧縮と圧縮解除、および暗号化と復号化を行います。

図20 は、Cisco Unified CME 電話機認証環境のコンポーネントを示しています。

図20 Cisco Unified CME 電話機認証

 

電話機認証プロセス

次に、電話機認証プロセスの概要を示します。

Cisco Unified CME 電話機認証は、次のようにして有効になります。

1. 証明書が発行されます。

CA が Cisco Unified CME、SAST、CAPF、および TFTP の各機能に証明書を発行します。

2. CTL ファイルが作成、署名、および公開されます。

a. 設定方式の CTL クライアントによって CTL ファイルが作成されます。CTL クライアントの目的は、各電話機の CTLfile.tlv を作成し、それを TFTP ディレクトリに置くことです。そのタスクを完了するために、CTL クライアントは CAPF サーバ、Cisco Unified CME サーバ、TFTP サーバ、および SAST の証明書および公開鍵情報を必要とします。

b. SAST クレデンシャルによって CTL ファイルが署名されます。セキュリティ上の理由から、CTL ファイル内には 2 つの異なる証明書に関連する 2 つの SAST レコードが存在します。2 つの証明書のうち 1 つが紛失したり破損したりした場合、CTL クライアントはもう 1 つの証明書を使用して CTL ファイルを再生成します。電話機は、新しい CTL ファイルをダウンロードすると、以前にインストールされた 2 つの元の公開鍵のいずれか 1 つだけを使用してそのファイルを確認します。このメカニズムによって、IP Phone が不明な発信元からの CTL ファイルを受け入れることを防止できます。

c. TFTP サーバ上で CTL ファイルが公開されます。外部 TFTP サーバはセキュア モードでサポートされていないため、設定ファイルは Cisco Unified CME システム自身によって生成され、TFTP サーバのクレデンシャルによってデジタル署名されます。TFTP サーバのクレデンシャルは、Cisco Unified CME のクレデンシャルと同じで構いません。CTL-client インターフェイスで適切なトラストポイントが設定されている場合は、必要に応じて、TFTP 機能用に別の証明書を生成できます。

3. テレフォニー サービス モジュールが電話機設定ファイルに署名します。各電話機はそのファイルを要求します。

4. IP Phone がブート時に、TFTP サーバに CTL ファイル(CTLfile.tlv)を要求し、かつデジタル署名された設定ファイルをダウンロードします。このファイルのファイル名形式は SEP<mac-address>.cnf.xml.sgn です。

5. 電話機が設定ファイルから CAPF 設定ステータスを読み取ります。証明書操作が必要な場合、電話機は TCP ポート 3804 上で CAPF サーバとの TLS セッションを開始し、CAPF プロトコルの対話を始めます。証明書操作とは、アップグレード、削除、または取得の操作です。アップグレード操作が必要な場合は、電話機の代わりに CAPF サーバが CA に証明書を要求します。CAPF サーバは、CAPF プロトコルを使用して、電話機から必要な情報(公開鍵や電話機 ID など)を取得します。電話機は、サーバから証明書を正常に受信すると、その証明書をフラッシュ メモリに格納します。

6. 証明書がフラッシュに格納されると、.cnf.xml ファイル内でデバイス セキュリティ モードが authenticated または encrypted に設定されている電話機は、Well-known TCP ポート(2443)上でセキュアな Cisco Unified CME サーバとの TLS セッションを開始します。この TLS セッションは、双方で相互に認証されます。IP Phone は、当初 TFTP サーバからダウンロードした CTL ファイルにより、Cisco Unified CME サーバの証明書を認識しています。Cisco Unified CME サーバは電話機の LSC を信頼できます。これは、ルータ上に発行元 CA の証明書が存在するためです。

起動メッセージ

スタートアップ コンフィギュレーションに証明書サーバが含まれている場合は、ブート処理中に次のメッセージが表示されることがあります。

% Failed to find Certificate Server's trustpoint at startup

% Failed to find Certificate Server's cert.

 

これらのメッセージは、スタートアップ コンフィギュレーションがまだ完全に解析されていないために、証明書サーバの設定が一時的に不可能であることを示す情報メッセージです。スタートアップ コンフィギュレーションが破損している場合、これらのメッセージはデバッグに役立ちます。

設定ファイルのメンテナンス

セキュアな環境において、いくつかのタイプの設定ファイルは、ホストされ使用される前にデジタル署名される必要があります。署名されたファイルはすべて、ファイル名に .sgn サフィックスが付きます。

Cisco Unified CME テレフォニー サービス モジュールは、電話機設定ファイル(cnf.xml サフィックス)を作成し、Cisco IOS TFTP サーバ上でこれらのファイルをホストします。これらのファイルは、TFTP サーバのクレデンシャルによって署名されます。

電話機設定ファイルに加えて、他の Cisco Unified CME 設定ファイル(ネットワーク ファイルやユーザ ロケール ファイルなど)も署名される必要があります。これらのファイルは内部で Cisco Unified CME によって生成され、未署名バージョンが更新または作成されるたびに、現在のコード パスに署名済みバージョンが自動的に作成されます。

Cisco Unified CME 以外によって生成された他の設定ファイル(ringlist.xml、distinctiveringlist.xml、オーディオ ファイルなど)は、多くの場合、Cisco Unified CME の機能に使用されます。これらの設定ファイルの署名済みバージョンは、自動的に作成されません。Cisco Unified CME 以外によって生成された新しい設定ファイルが Cisco Unified CME にインポートされるときには、必ず load-cfg-file コマンドを使用してください。これにより、次のすべてを実行できます。

ファイルの未署名バージョンを TFTP サーバ上でホストする。

ファイルの署名済みバージョンを作成する。

ファイルの署名済みバージョンを TFTP サーバ上でホストする。

ファイルの未署名バージョンだけを TFTP サーバ上でホストする必要がある場合も、 tftp-server コマンドではなく load-cfg-file コマンドを使用できます。

CTL ファイルのメンテナンス

CTL ファイルには、SAST レコードと他のレコードが含まれています(最大 2 つの SAST レコードが存在することがあります)。CTL ファイルは、電話機によってダウンロードされフラッシュに保存される前に、CTL ファイルに記載されている SAST クレデンシャルの 1 つによってデジタル署名されます。CTL ファイルを受信した電話機は、新しいまたは変更済みの CTL ファイルが、元の CTL ファイル内の SAST クレデンシャルの 1 つによって署名されている場合にだけ、その CTL ファイルを信頼します。

このため、必ず元の SAST クレデンシャルの 1 つで CTL ファイルを再生成するように注意する必要があります。両方の SAST クレデンシャルが破損しているため、新しいクレデンシャルで CTL ファイルを生成する必要がある場合は、電話機を工場出荷時のデフォルトにリセットする必要があります。

CTL クライアントとプロバイダー

CTL クライアントは CTL ファイルを生成します。CTL ファイルに必要なトラストポイントの名前を CTL クライアントに提供する必要があります。CTL クライアントは、Cisco Unified CME と同じルータ上で動作することも、別のスタンドアロン ルータ上で動作することもできます。CTL クライアントがスタンドアロン ルータ上(Cisco Unified CME ルータではない)で動作する場合は、各 Cisco Unified CME ルータ上で CTL プロバイダーを設定する必要があります。CTL プロバイダーは、Cisco Unified CME サーバ機能のクレデンシャルを、別のルータ上で動作する CTL クライアントにセキュアに提供します。

CTL クライアントがプライマリまたはセカンダリの Cisco Unified CME ルータ上で動作する場合は、CTL クライアントが動作していない方の Cisco Unified CME ルータ上で、CTL プロバイダーを設定する必要があります。

CTL プロトコルは、CTL クライアントと CTL プロバイダーの間の通信に使用されます。CTL プロトコルを使用すると、すべての Cisco Unified CME ルータのクレデンシャルが CTL ファイル内に存在すること、およびすべての Cisco Unified CME ルータが、CA によって発行された電話機証明書にアクセスできることが保証されます。両方の要素が、セキュアな通信の前提条件です。

CTL クライアントとプロバイダーを有効にするには、「CTL クライアントの設定」および 「CTL プロバイダーの設定」を参照してください。

MIC ルート証明書の手動インポート

電話機が CAPF サーバとの TLS ハンドシェイク中の認証に MIC を使用する場合、CAPF サーバは MIC を確認するために MIC のコピーを保持している必要があります。IP Phone のタイプが異なると、使用される証明書も異なります。

MIC を保持しているが LSC を保持していない電話機は、認証に MIC を使用します。たとえば、MIC をデフォルトで保持しているが LSC を保持していない Cisco Unified IP Phone 7970 があるとします。この電話機の認証モードを MIC に設定して証明書のアップグレードをスケジュールすると、電話機は認証のために Cisco Unified CME CAPF サーバに MIC を提示します。CAPF サーバは、電話機の MIC を確認するために、MIC のルート証明書のコピーを保持している必要があります。このコピーがないと、CAPF のアップグレード操作は失敗します。

必要な MIC のコピーを CAPF サーバが確実に保持するように、CAPF サーバに証明書を手動でインポートする必要があります。インポートする必要がある証明書の数は、ネットワーク設定によって異なります。手動登録とは、コピーアンドペースト方式または TFTP 転送方式のことを指します。

証明書の登録の詳細については、ご使用の Cisco IOS リリースの『 Cisco IOS Security Configuration Guide 』の「 Configuring Certificate Enrollment for a PKI 」の章にある「 Configuring Cut-and-Paste Certificate Enrollment 」の項を参照してください。

MIC ルート証明書を手動でインポートするには、「MIC ルート証明書の手動インポート」を参照してください。

メディア暗号化の機能設計

Cisco IOS に付随する音声セキュリティ機能により、サポート対象のネットワーク デバイスでのセキュアなエンドツーエンド IP テレフォニー コールに対して全般的なアーキテクチャが提供され、次の機能が有効になります。

セキュアな相互運用性を備えた SRTP 対応 Cisco Unified CME ネットワーク

セキュアな Cisco IP Phone コール

セキュアな Cisco VG224 Analog Phone Gateway エンドポイント

セキュアな補足サービス

これらの機能は、Cisco IOS H.323 ネットワークのメディアおよびシグナリング認証と暗号化を使用して実装されます。パケットベースのテレビ会議、音声会議、およびデータ会議について記述している ITU-T 標準の H.323 は、その実際のプロトコルを記述するために、他の標準(H.450 など)を参照しています。H.323 では、標準の通信プロトコルを使用することにより、異なる通信デバイスが互いに通信することができます。また、H.323 は、コーデックの共通セット、コールの確立とネゴシエーションの手順、および基本的なデータ転送方式を定義しています。H.450 は H.323 標準のコンポーネントであり、テレフォニーのような補足サービスを提供するシグナリングと手順を定義しています。H.450 メッセージを H.323 ネットワークで使用して、セキュアな補足サービス サポートを実装し、さらにメディア機能ネゴシエーションのための Empty Capability Set(ECS)メッセージングも実装しています。

セキュアな Cisco Unified CME

セキュアな Cisco Unified CME ソリューションには、オーディオ メディア用に、セキュリティ対応の音声ポート、SCCP エンドポイント、および Cisco Unified CME と Cisco Unified Communications Manager 間のセキュアな H.323 トランクが含まれています。SIP トランクはサポートされていません。図21 は、セキュアな Cisco Unified CME システムのコンポーネントを示しています。

図21 セキュアな Cisco Unified CME システム

 

セキュアな Cisco Unified CME は、Transport Layer Security(TLS)または IPsec(IP Security)を使用して、セキュアなチャネル用にコール制御シグナリングを実装し、メディア暗号化には SRTP を使用します。セキュアな Cisco Unified CME は、エンドポイントおよびゲートウェイに対する SRTP 鍵を管理します。

Cisco Unified CME でのメディア暗号化(SRTP)は、次の機能をサポートしています。

SCCP エンドポイントに対して SRTP を使用する音声コール。

RTP 対応エンドポイントと SRTP 対応エンドポイントの両方が可能な、混合共有回線環境でのセキュアな音声コール。共有回線のメディア セキュリティは、エンドポイントの設定によって異なります。

H.450 を使用する、次のセキュアな補足サービス。

コール自動転送

コール転送

コールの保留と復帰

コール パークとコール ピックアップ

ノンセキュアなソフトウェア会議


) H.323 による SRTP 会議コールでは、コールが会議に参加したときに、0 ~ 2 秒の間隔でノイズが発生する場合があります。


非 H.450 環境でのセキュアなコール

セキュアな Cisco Unified CME とセキュアな Cisco Unity との相互作用

セキュアな Cisco Unified CME と Cisco Unity Express との相互作用(相互作用がサポートされ、コールはノンセキュア モードにダウングレードされます)

DSP ファーム変換が設定されたリモート電話機のためのセキュアな変換

次の項で、これらの機能について説明します。

セキュアな補足サービス

メディア暗号化(SRTP)機能は、H.450 および非 H.450 の Cisco Unified CME ネットワークでセキュアな補足サービスをサポートします。セキュアな Cisco Unified CME ネットワークは、H.450 または非 H.450 のどちらかにする必要があり、これらを混在させることはできません。

H.450 環境のセキュアな Cisco Unified CME

セキュアなエンドポイント間のシグナリングとメディア暗号化がサポートされ、セキュアなエンドポイント間のコール転送(H.450.2)とコール自動転送(H.450.3)などの補足サービスが可能です。コール パークとピックアップは、H.450 メッセージを使用します。セキュアな Cisco Unified CME は、デフォルトで H.450 に対応しています。ただし、セキュアな保留音(MOH)とセキュアな会議(3 者間通話)はサポートされていません。たとえば、図22 に示すように、補足サービスが開始されると、ECS および Terminal Capabilities Set(TCS)によって A と B の間の初期セキュア コールが RTP としてネゴシエーションされるため、A には MOH が聞こえます。B が A へのコールを再開すると、コールが SRTP に戻ります。同様に、転送が開始されると、転送される側は保留状態になり、コールは RTP としてネゴシエーションされます。転送されたコールは、相手側が SRTP 対応の場合、SRTP に戻ります。

図22 H.450 環境での保留音

 

非 H.450 環境でのセキュアな Cisco Unified CME

補足サービスのセキュリティでは、ミッドコール鍵ネゴシエーションまたはミッドコール メディア再ネゴシエーションが必要です。H.450 メッセージが存在しない H.323 ネットワークでは、コーデック不一致やセキュア コールなどのシナリオ用に、ECS を使用してメディア再ネゴシエーションが実装されています。ルータ上で H.450 をグローバルに無効にすると、その設定が RTP コールと SRTP コールに適用されます。シグナリング パスは、Cisco Unified CME と Cisco Unified Communications Manager に対する XOR 上でヘアピンになります。たとえば、図23 では、シグナリング パスは、A から B(補足サービス開始元)を経由して C までになります。このシナリオで音声セキュリティを導入する場合、メディア セキュリティ鍵が XOR を通過するように(つまり、転送要求を発行したエンドポイントである B を通過するように)してください。中間者攻撃を防止するには、XOR が信頼できるエンティティになっている必要があります。

図23 非 H.450 環境での転送

 

メディア パスはオプションです。Cisco Unified CME のデフォルトのメディア パスはヘアピンになっています。ただし、可能な場合は、Cisco Unified CME でメディア フロー アラウンドを設定できます。デフォルトのメディア フロー スルーに設定した場合、メディア パスで複数の XOR ゲートウェイをチェーニングすると、遅延が増大し、結果的に音質が低下します。ルータのリソースと音質により、チェーニング可能な XOR ゲートウェイの数が制限されます。その要件はプラットフォームに依存し、シグナリングとメディアでも異なる可能性があります。実用的なチェーン レベルは 3 です。

コーデックの不一致があり、ECS と TCS のネゴシエーションが失敗する場合は、トランスコーダが挿入されます。たとえば、電話機 A と電話機 B が SRTP に対応していても、電話機 A は G.711 コーデックを使用し、電話機 B は G.729 コーデックを使用する場合、電話機 B にトランスコーダが装備されているときは、トランスコーダが挿入されます。ただし、コーデックの要件を満たすためにコールは RTP としてネゴシエーションされるので、コールがセキュアでなくなります。

DSP ファーム変換が設定されたリモート電話機のためのセキュアな変換

変換は、 codec コマンドで dspfarm-assist キーワードが設定されたリモート電話機に対してサポートされます。リモート電話機は、Cisco Unified CME に登録されていて、WAN を経由して遠隔地に存在している電話機です。WAN 接続の帯域幅を節約するため、このような電話機のコールは、ephone に対して codec g729r8 dspfarm assist コマンドを設定することにより、G.729r8 を使用して実行できます。 g729r8 キーワードを指定すると、このような電話機で強制的に G.729 コーデックが使用されます。 dspfarm-assist キーワードを指定すると、電話機への H.323 コールの変換が必要な場合、有効な DSP リソースを使用できます。


) 変換が可能になるのは、リモート電話機とは異なるコーデックの H.323 コールがリモート電話機に発信される場合だけです。リモート電話機と同じ Cisco Unified CME のローカル電話機からリモート電話機にコールが発信される場合は、変換を使用する代わりに、ローカル電話機のコーデックが強制的に G.729 に変更されます。


ポイントツーポイント SRTP コールのセキュアな変換が行われるのは、Cisco Unified CME 変換サービスの対象となる SCCP 電話機とコールのピアが両方とも SRTP に対応し、SRTP 鍵を正常にネゴシエートできた場合だけです。コールのピアの 1 つだけが SRTP に対応している場合は、ポイントツーポイント SRTP コールのセキュアな変換が行われません。

セキュアなコールに対して Cisco Unified CME 変換を実行する場合は、Cisco Unified CME 機能のメディア暗号化(SRTP)により、Cisco Unified CME は、DSP ファームにセキュア コール用の暗号鍵を追加パラメータとして提供します。その結果、Cisco Unified CME 変換を正常に実行できます。暗号鍵がないと、DSP ファームは、暗号化された音声データを読み取って変換することができません。


) ここで説明しているセキュアな変換は、IP 対 IP ゲートウェイ変換には適用されません。


Cisco Unified CME 変換は、VoIP コール レッグのブリッジ用ではなく、SCCP エンドポイント用としてのみ起動されるため、IP 対 IP ゲートウェイ変換とは異なります。Cisco Unified CME 変換と IP 対 IP ゲートウェイ変換は相互排他的で、1 つのコールに対して 1 つのタイプの変換だけを実行できます。SRTP 変換に対応した DSP ファームを使用できない場合は、セキュアな Cisco Unified CME 変換は実行されず、コールは G.711 を使用して実行されます。

セキュアな Cisco Unified CME と Cisco Unity Express


) Cisco Unity Express は、セキュアなシグナリングおよびメディア暗号化をサポートしていません。セキュアな Cisco Unified CME は、Cisco Unity Express と相互運用できますが、Cisco Unified CME と Cisco Unity Express との間のコールはセキュアではありません。


セキュアな H.323 ネットワーク内の Cisco Unified CME による一般的な Cisco Unity Express 構成では、シグナリングに Session Initiation Protocol(SIP)が使用され、メディア パスは RTP による G.711 です。Call Forward No Answer(CFNA; 無応答時のコール自動転送)と Call Forward All(CFA; すべてのコールの自動転送)では、メディア パスを確立する前に、RTP メディア パスのネゴシエーションのためにシグナリング メッセージが送信されます。コーデック ネゴシエーションが失敗すると、トランスコーダが挿入されます。Cisco Unified CME 機能の H.323 サービス プロバイダー インターフェイス(SPI)上のメディア暗号化(SRTP)は、fast start コールをサポートしています。一般的には、Cisco Unity Express から Cisco Unified CME に転送または自動転送で戻れされるコールは、既存のコール フローに従って、通常の SIP コールおよび RTP コールとして処理されます。

Cisco Unified CME 機能のメディア暗号化(SRTP)は、Cisco Unified CME に戻るブラインド転送だけをサポートします。ミッドコール メディア再ネゴシエーションが設定されている場合は、H.450.2 と Empty Capability Set(ECS)のどちらの転送メカニズムが使用されたかに関係なく、エンドポイントに対するセキュアな機能が再ネゴシエーションされます。

セキュアな Cisco Unified CME と Cisco Unity

Cisco Unified CME 機能のメディア暗号化(SRTP)は、Cisco Unity 4.2 以降のバージョン、および SCCP を使用した Cisco Unity Connection 1.1 以降のバージョンをサポートします。Cisco Unified CME のセキュアな Cisco Unity は、セキュアな SCCP 電話機と同様に動作します。セキュアなシグナリングを確立する前に、いくつかのプロビジョニングが必要です。Cisco Unity は、証明書信頼リスト(CTL)から Cisco Unified CME デバイス証明書を受け取ります。Cisco Unity 証明書は、Cisco Unified CME に手動で挿入されます。SIP による Cisco Unity はサポートされません。

Cisco Unity Connection の証明書は、Cisco Unity 管理 Web アプリケーションの「ポート グループ設定」にあります。

セキュリティの設定方法

この項では、次の作業について取り上げます。

電話機の認証

「Cisco IOS 認証局の設定」(必須)

「Cisco IOS 認証局の確認」(オプション)

「登録局の設定」(オプション)

「登録局の確認」(オプション)

「サーバ機能の証明書の認証」(必須)

「サーバ機能の証明書の確認」(オプション)

「MIC ルート証明書の手動インポート」(オプション)

「telephony-service セキュリティ パラメータの設定」(必須)

「telephony-service セキュリティ パラメータの確認」(オプション)

「CTL クライアントの設定」(必須)

「CTL クライアントの確認」(オプション)

「CTL プロバイダーの設定」(オプション)

「CTL プロバイダーの確認」(オプション)

「CAPF サーバの設定」(必須)

「CAPF サーバの確認」(オプション)

「電話機での認証文字列の入力」(オプション)

「電話機での認証文字列の確認」(オプション)

メディア暗号化

「H.323 トランクを通じた Cisco Unified CME 間のセキュアなコールの設定」(必須)

「H.323 ダイヤルピアに対する Cisco Unified CME SRTP フォールバックの設定」(オプション)

「セキュアな Cisco Unified CME 動作のための Cisco Unity の設定」(オプション)

Cisco IOS 認証局の設定

Cisco IOS ルータ上でルート証明書サーバ(認証局(CA)とも呼ばれる)を設定するには、次の手順を実行します。ルータは、Cisco Unified CME ルータでも外部ルータでも構いません。

Cisco IOS CA の設定は、標準の PKI 作業です。ここでは、使いやすさを考慮して、基本的な手順を示しています。詳細については、ご使用の Cisco IOS リリースの『 Cisco IOS Security Configuration Guide 』の「 Part 5: Implementing and Managing a PKI 」にある「 Configuring and Managing a Cisco IOS Certificate Server for PKI Deployment 」を参照してください。


) サードパーティの CA を使用する場合は、この手順を実行せずにプロバイダーの指示に従ってください。


要約手順

1. enable

2. configure terminal

3. ip http server

4. crypto pki server label

5. database level { minimal | names | complete }

6. database url root-url

7. lifetime certificate time

8. issuer-name CN= label

9. exit

10. crypto pki trustpoint label

11. enrollment url ca-url

12. exit

13. crypto pki server label

14. grant auto

15. no shutdown

16. end

詳細手順

コマンドまたはアクション
目的

ステップ 1

enable

 

Router> enable

特権 EXEC モードを有効にします。

プロンプトが表示されたら、パスワードを入力します。

ステップ 2

configure terminal

 

Router# configure terminal

global 設定モードを開始します。

ステップ 3

ip http server

 

Router(config)# ip http server

ローカル Cisco Unified CME ルータの Cisco Web ブラウザ ユーザ インターフェイスを有効にします。

ステップ 4

crypto pki server label

 

Router(config)# crypto pki server sanjose1

証明書サーバのラベルを定義し、certificate-server 設定モードを開始します。

label :CA 証明書サーバの名前。

ステップ 5

database level { minimal | names | complete }

 

Router(config-cs-server)# database level complete

(オプション)証明書登録データベースに格納するデータのタイプを制御します。

minimal :競合を発生させずに新しい証明書を発行し続けるために十分な情報だけを格納します。これはデフォルト値です。

names :minimal レベルで提供される情報に加えて、各証明書のシリアル番号と件名を格納します。

complete :minimal レベルと names レベルで提供される情報に加えて、発行した各証明書をデータベースに書き込みます。


complete キーワードを指定すると、大量の情報が生成されます。このため、このキーワードを指定する場合は、database url コマンドを使用して、データを格納する外部 TFTP サーバを指定してください。


ステップ 6

database url root-url

 

Router(config-cs-server)# database url nvram:

(オプション)証明書サーバのすべてのデータベース エントリを書き込む場所を指定します。このコマンドを指定しない場合は、すべてのデータベース エントリが NVRAM に書き込まれます。

root-url :データベース エントリを書き込む場所。この URL は、Cisco IOS ファイル システムによってサポートされているどの URL でも構いません。


) CA が多数の証明書を発行する場合は、フラッシュや他のストレージ デバイスなど、適切な保管場所を選択して、証明書を格納してください。



) 保管場所としてフラッシュを選択し、このデバイス上のファイル システム タイプがクラス B(LEFS)の場合は、デバイス上の空きスペースを定期的にチェックし、squeeze コマンドを使用して、削除されたファイルが使用していたスペースを解放します。このプロセスには数分かかることがあるため、スケジュールされたメンテナンス期間中またはオフピーク時にこのプロセスを実行する必要があります。


ステップ 7

lifetime certificate time

 

Router(config-cs-server) lifetime certificate 888

(オプション)この CA サーバが発行する証明書のライフタイム(日数)を指定します。

time :証明書が期限切れになるまでの日数。値の範囲は 1 ~ 1825 です。デフォルトは 1 年です。証明書の最大のライフタイムは、CA 証明書のライフタイムより 1 か月短い日数です。


) このコマンドを使用する場合は、no shutdown コマンドでサーバを有効にする前に使用してください。


ステップ 8

issuer-name CN= name

 

Router(config-cs-server)# issuer-name CN=sanjose1

(オプション)証明書サーバの認証局(CA)発行元名として、Distinguished Name(DN; 認定者名)を指定します。

発行元名を設定しない場合は、「CN = CA ラベル」となります。

ステップ 9

exit

 

Router(config-cs-server)# exit

certificate-server 設定モードを終了します。

ステップ 10

crypto pki trustpoint label

 

Router(config)# crypto pki trustpoint sanjose1

(オプション)トラストポイントを宣言し、ca-trustpoint 設定モードを開始します。

label :トラストポイントの名前。

CA が起動すると、ルータによって CA のトラストポイントが自動的に生成されます。CA に特定の RSA 鍵を使用する必要がある場合は、ステップ 13 crypto pki server コマンドで使用するラベルと同じものを使用して、独自のトラストポイントを作成できます。ルータは「crypto pki server」のラベルと同じラベルを持つ設定済みのトラストポイントを見つけると、そのトラストポイントを使用し、トラストポイントを自動的に作成しません。


) この CA が Cisco Unified CME ルータに対してローカルである場合は、このコマンドと enrollment url コマンドを使用してください。外部ルータ上の CA には、これらのコマンドは不要です。


ステップ 11

enrollment url ca-url

 

Router(config-ca-trustpoint)# enrollment url http://ca-server.company.com

発行元の CA 証明書サーバ(ルート証明書サーバ)の登録 URL を指定します。

ca-url :ルート CA がインストールされているルータの URL。

ステップ 12

exit

 

Router(config-ca-trustpoint)# exit

ca-trustpoint 設定モードを終了します。

ステップ 13

crypto pki server label

 

Router(config)# crypto pki server sanjose1

certificate-server 設定モードを開始します。

label :CA 証明書サーバの名前。

ステップ 14

grant auto

 

Router(config-cs-server)# grant auto

(オプション)どの要求者にも証明書を自動的に発行できるようにします。

デフォルトの推奨される方式は、手動登録です。

ヒント シンプルなネットワークのテストおよび構築時に限り、このコマンドを使用してください。設定の完了後は、 no grant auto コマンドを使用して、証明書が自動的に交付されないようにします。

ステップ 15

no shutdown

 

Router(config-cs-server)# no shutdown

(オプション)CA を有効にします。


) CA を完全に設定した後に限り、このコマンドを使用する必要があります。


ステップ 16

end

 

Router(config-cs-server)# end

特権 EXEC モードに戻ります。

Cisco IOS 認証局の確認


ステップ 1 show crypto pki server コマンドを使用して、証明書サーバのステータスを表示します。

ステップ 2 show running-config コマンドを使用して、実行設定(証明書サーバの設定を含む)を表示します。

次の例では、Cisco Unified CME ルータ上でローカルに動作する authority1 という名前の CA を定義します。

ip http server

 

crypto pki server authority1

database level complete

database url nvram:

 

crypto pki trustpoint authority1

enrollment url http://ca-server.company.com

 

crypto pki server authority1

no grant auto

no shutdown

 


 

登録局の設定

この作業が必要になるのは、CA がサードパーティの CA である場合、または CA が Cisco Unified CME ルータ以外の Cisco IOS ルータ上の CA である場合です。これらの場合、電話機に証明書を発行するために CAPF サーバが RA を必要とします。

RA は、CA が証明書の発行に必要とするデータの一部またはすべてを記録したり確認したりする役割を担う機関です。多くの場合、CA 自身が RA のすべての機能を引き受けます。ただし、CA が地理的に広範なエリアにわたって機能する場合、またはネットワークのエッジにある CA が危険にさらされるのではないかというセキュリティ上の懸念がある場合は、一部のタスクを RA に任せて、CA が証明書の署名という主なタスクに集中できるようにすることをお勧めします。

RA モードで動作するように Cisco IOS 証明書サーバを設定できます。RA が手動登録要求または Simple Certificate Enrollment Protocol(SCEP)登録要求を受信すると、管理者はローカル ポリシーに基づいてその要求を拒否または許可できます。要求が許可されると、その要求は発行元 CA に転送され、その CA が自動的に証明書を生成して RA に返送します。その後、クライアントは交付された証明書を RA から取得できます。

RA を設定するには、Cisco Unified CME ルータに対して次の手順を実行します。

要約手順

1. enable

2. configure terminal

3. crypto pki trustpoint label

4. enrollment url ca-url

5. revocation-check method1 [ method2 [ method3 ]]

6. serial-number [ none ]

7. rsakeypair key-label [ key-size [ encryption-key-size ]]

8. exit

9. crypto pki server label

10. mode ra

11. lifetime certificate time

12. grant auto

13. no shutdown

14. end

詳細手順

コマンドまたはアクション
目的

ステップ 1

enable

 

Router> enable

特権 EXEC モードを有効にします。

プロンプトが表示されたら、パスワードを入力します。

ステップ 2

configure terminal

 

Router# configure terminal

global 設定モードを開始します。

ステップ 3

crypto pki trustpoint label

 

Router(config)# crypto pki trustpoint ra12

RA モードの証明書サーバが使用するトラストポイントを宣言し、CA-trustpoint 設定モードを開始します。

label :トラストポイントおよび RA の名前。ここで使用する証明書サーバ ラベルは、ステップ 9 crypto pki server コマンドでも使用します。


) この名前は、「CAPF サーバの設定」の説明に従って CA プロキシを設定する場合に、cert-enroll-trustpoint コマンドでも指定します。


ステップ 4

enrollment url ca-url

 

Router(config-ca-trustpoint)# enrollment url http://ca-server.company.com

発行元の CA 証明書サーバ(ルート証明書サーバ)の登録 URL を指定します。

ca-url :ルート CA がインストールされているルータの URL。

ステップ 5

revocation-check method1 [ method2 [ method3 ]]

 

Router(config-ca-trustpoint)# revocation-check none

(オプション)証明書の失効ステータスを確認します(失効ステータスを確認するための 1 つまたは複数の方法を指定します)。2 番目および 3 番目の方法を指定した場合、これらの各方法は、前の方法でエラー(サーバがダウンしているなど)が返されたときにだけ使用されます。

methodn の有効な値は、次のとおりです。

crl :証明書失効リスト(CRL)によって証明書チェックが実行されます。これはデフォルトの動作です。

none :証明書チェックは要求されません。

ocsp :Online Certificate Status Protocol(OCSP)サーバによって証明書チェックが実行されます。

ステップ 6

serial-number [ none ]

 

Router(config-ca-trustpoint)# serial-number

(オプション)証明書要求にルータのシリアル番号を含めるかどうかを指定します。このコマンドを使用しない場合は、証明書の登録中にルータのシリアル番号を入力するよう要求されます。

none :(オプション)証明書要求にシリアル番号を含めません。

ステップ 7

rsakeypair key-label [ key-size [ encryption-key-size ]]

 

Router(config-ca-trustpoint)# rsakeypair exampleCAkeys 1024 1024

(オプション)証明書で使用する RSA 鍵ペアを指定します。

key-label :鍵ペアの名前。指定した鍵ペアが存在しない場合、または auto-enroll regenerate コマンドを使用する場合は、登録中に鍵ペアが生成されます。

key-size :(オプション)目的の RSA 鍵のサイズ。指定しない場合は、既存の鍵のサイズが使用されます。

encryption-key-size :(オプション)2 番目の鍵のサイズ。この鍵は、別の暗号化、署名鍵、および証明書を要求する場合に使用されます。


) 複数のトラストポイントが同じ鍵を共有できます。


ステップ 8

exit

 

Router(config-ca-trustpoint)# exit

ca-trustpoint 設定モードを終了します。

ステップ 9

crypto pki server label

 

Router(config)# crypto pki server ra12

証明書サーバのラベルを定義し、certificate-server 設定モードを開始します。

label :トラストポイントおよび RA の名前。この証明書サーバ ラベルは、ステップ 3 で作成したトラストポイントと同じ名前である必要があります。

ステップ 10

mode ra

 

Router(config-cs-server)# mode ra

PKI サーバを RA の証明書サーバ モードにします。

ステップ 11

lifetime certificate time

 

Router(config-cs-server)# lifetime certificate 1800

(オプション)証明書のライフタイム(日数)を指定します。

time :証明書が期限切れになるまでの日数。値の範囲は 1 ~ 1825 です。デフォルトは 1 年です。証明書の最大のライフタイムは、CA 証明書のライフタイムより 1 か月短い日数です。


) このコマンドを使用する場合は、no shutdown コマンドでサーバを有効にする前に使用する必要があります。


ステップ 12

grant auto

 

Router(config-cs-server)# grant auto

どの要求者にも証明書を自動的に発行できるようにします。


) シンプルなネットワークのテストおよび構築時の登録中に限り、このコマンドを使用してください。セキュリティ上のベスト プラクティスとして、設定後は、no grant auto コマンドを使用してこの機能を無効にし、証明書が継続して交付されないようにすることをお勧めします。


ステップ 13

no shutdown

 

Router(config-cs-server)# no shutdown

(オプション)証明書サーバを有効にします。

CA 証明書、ルータ証明書、チャレンジ パスワード、および秘密鍵保護用パスワードの受け入れに関する入力を要求されます。


) 証明書サーバを完全に設定した後に限り、このコマンドを使用してください。


ステップ 14

end

 

Router(config-cs-server)# end

特権 EXEC モードに戻ります。

登録局の確認


ステップ 1 show crypto pki server コマンドを使用して、証明書サーバのステータスを表示します。

ステップ 2 show crypto pki certificates コマンドを使用して、証明書情報を表示します。

ステップ 3 実行設定を表示するには、 show running-config コマンドを使用します。


 

サーバ機能の証明書の認証

Cisco Unified CME ルータは、次のサーバ機能に証明書を必要とします。

セキュアな SCCP サーバ(Cisco Unified CME):電話機との TLS セッションに証明書が必要です。

TFTP サーバのクレデンシャル:設定ファイルに署名するために鍵ペアと証明書が必要です。

CAPF サーバ:電話機との TLS セッションに証明書が必要です。

セキュリティ トークン:CTL ファイルに署名するために必要です。2 つの証明書を作成することをお勧めします。1 つをプライマリとして、もう 1 つをバックアップとして使用します。

これらの各機能の証明書を取得するには、各サーバ機能に対して次の手順を実行します。

要約手順

1. enable

2. configure terminal

3. crypto pki trustpoint trustpoint-label

4. enrollment url url

5. revocation-check method1 [ method2 [ method3 ]]

6. rsakeypair key-label [ key-size [ encryption-key-size ]]

7. exit

8. crypto pki authenticate trustpoint-label

9. crypto pki enroll trustpoint-label

10. exit

詳細手順

コマンドまたはアクション
目的

ステップ 1

enable

 

Router> enable

特権 EXEC モードを有効にします。

プロンプトが表示されたら、パスワードを入力します。

ステップ 2

configure terminal

 

Router# configure terminal

global 設定モードを開始します。

ステップ 3

crypto pki trustpoint trustpoint-label

 

Router(config)# crypto pki trustpoint capf

Cisco Unified CME 証明書サーバが使用するトラストポイントを宣言し、ca-trustpoint 設定モードを開始します。

trustpoint-label :トラストポイントのラベル。

ステップ 4

enrollment url url

 

Router(config-ca-trustpoint)# enrollment url http://ca-server.company.com

発行元の CA 証明書サーバ(ルート証明書サーバ)の登録 URL を指定します。

url :ルート CA がインストールされているルータの URL。

ステップ 5

revocation-check method1 [ method2 [ method3 ]]

 

Router(config-ca-trustpoint)# revocation-check none

(オプション)証明書の失効ステータスを確認します。

method :ルータが証明書の失効ステータスを確認するために使用する方法。2 番目および 3 番目の方法を指定した場合、これらの各方法は、前の方法でエラー(サーバがダウンしているなど)が返されたときにだけ使用されます。

crl :証明書失効リスト(CRL)によって証明書チェックが実行されます。これはデフォルトの動作です。

none :証明書チェックは要求されません。

ocsp :Online Certificate Status Protocol(OCSP)サーバによって証明書チェックが実行されます。

ステップ 6

rsakeypair key-label [ key-size [ encryption-key-size ]]

 

Router(config-ca-trustpoint)# rsakeypair capf 1024 1024

(オプション)証明書で使用する鍵ペアを指定します。

key-label :鍵ペアの名前。指定した鍵ペアが存在しない場合、または auto-enroll regenerate コマンドが設定されている場合は、登録中に鍵ペアが生成されます。

key-size :(オプション)目的の RSA 鍵のサイズ。指定しない場合は、既存の鍵のサイズが使用されます。

encryption-key-size :(オプション)2 番目の鍵のサイズ。この鍵は、別の暗号化、署名鍵、および証明書を要求する場合に使用されます。


) 複数のトラストポイントが同じ鍵を共有できます。


ステップ 7

exit

 

Router(config-ca-trustpoint)# exit

ca-trustpoint 設定モードを終了します。

ステップ 8

crypto pki authenticate trustpoint-label

 

Router(config)# crypto pki authenticate capf

CA 証明書を取得し、認証します。プロンプトが表示されたら、証明書のフィンガープリントを確認します。

trustpoint-label :トラストポイントのラベル。


) CA 証明書がすでに設定にロードされている場合、このコマンドはオプションです。


ステップ 9

crypto pki enroll trustpoint-label
 

Router(config)# crypto pki enroll capf

CA に登録し、このトラストポイントの証明書を取得します。

trustpoint-label :トラストポイントのラベル。

ステップ 10

exit

 

Router(config)# exit

特権 EXEC モードに戻ります。

サーバ機能の証明書の確認


ステップ 1 show crypto pki certificates コマンドを使用して、証明書に関する情報を表示します。

ステップ 2 実行設定を表示するには、 show running-config コマンドを使用します。


 

MIC ルート証明書の手動インポート

Cisco Unified CME が、提示された MIC を認証するには、Cisco Unified CME ルータ上に MIC ルート証明書が存在する必要があります。MIC ルート証明書を Cisco Unified CME ルータに手動でインポートするには、認証に MIC を必要とする電話機タイプごとに次の手順を実行します。

前提条件

この作業を行うのは、次のいずれかの場合だけです。

CAPF 証明書操作時の電話機認証の手段として MIC を使用するように選択する。

電話機の LSC ではなく MIC を使用して、SCCP シグナリングのために TLS セッションを確立する予定である。

要約手順

1. enable

2. configure terminal

3. crypto pki trustpoint name

4. revocation-check method1

5. enrollment terminal

6. exit

7. crypto pki authenticate name

8. MIC ルート ファイルを開き、証明書をコピーします。

9. 要求されたら、証明書をペーストし、Enter キーを押して quit と入力します。

10. y と入力し、証明書を受け入れます。

11. exit

詳細手順

コマンドまたはアクション
目的

ステップ 1

enable

 

Router> enable

特権 EXEC モードを有効にします。

プロンプトが表示されたら、パスワードを入力します。

ステップ 2

configure terminal

 

Router# configure terminal

global 設定モードを開始します。

ステップ 3

crypto pki trustpoint name

 

Router(config)# crypto pki trustpoint sanjose1

ルータが使用する CA を宣言し、CA-trustpoint 設定モードを開始します。

name :CA トラストポイントの名前。

ステップ 4

revocation-check method1

 

Router(ca-trustpoint)# revocation-check none

証明書の失効ステータスを確認します。

method1 :ルータが証明書の失効ステータスを確認するために使用する方法。この作業で使用できる方法は none だけです。キーワード none はこの作業で必須であり、失効チェックが実行されず、証明書が必ず受け入れられることを意味します。

ステップ 5

enrollment terminal

 

Router(ca-trustpoint)# enrollment terminal

証明書の手動(コピーアンドペースト)登録を指定します。

ステップ 6

exit

 

Router(ca-trustpoint)# exit

CA-trustpoint 設定モードを終了します。

ステップ 7

crypto pki authenticate name

 

Router(config)# crypto pki authenticate sanjose1

(CA から証明書を取得して)CA を認証します。

name :CA の名前。

ステップ 8

MIC ルート ファイルを開き、証明書をコピーします。

MIC ルート ファイルは、a*.0 という名前のファイルで、ディレクトリ C:\Program Files\Cisco\Certificates にあります。

「-----BEGIN CERTIFICATE-----」と「-----END CERTIFICATE-----」の間のすべての内容をバッファまたは一時的な場所にコピーします。

ステップ 9

要求されたら、証明書をペーストし、Enter キーを押して quit と入力します。

a*.0 ファイルからのテキストをペーストします。証明書のペースト後に Enter キーを押して、1 行に quit だけを入力します。

ステップ 10

y と入力し、証明書を受け入れます。

システムが MD5 フィンガープリントと SHA1 フィンガープリントを示して、ペーストされた証明書テキストに応答し、証明書を受け入れるかどうかを尋ねます。

y と入力して証明書を受け入れるか、 n と入力して証明書を拒否します。

ステップ 11

exit

 

Router(config)# exit

特権 EXEC モードに戻ります。

telephony-service セキュリティ パラメータの設定

telephony-service セキュリティ パラメータを有効にするには、次の手順を実行します。

要約手順

1. enable

2. configure terminal

3. telephony-service

4. secure-signaling trustpoint label

5. tftp-server-credentials trustpoint label

6. device-security-mode { authenticated | none | encrypted }

7. cnf-file perphone

8. load-cfg-file file-url alias file-alias [ sign ] [ create ]

9. server-security-mode { secure | non-secure }

10. exit

11. ephone phone-tag

12. device-security-mode { authenticated | none | encrypted }

13. codec { g711ulaw | g722r64 | g729r8 [ dspfarm-assist ]}

14. capf-auth-str digit-string

15. cert-oper { delete | fetch | upgrade } auth-mode { auth-string | LSC | MIC | null-string }

16. reset

17. end

詳細手順

コマンドまたはアクション
目的

ステップ 1

enable

 

Router> enable

特権 EXEC モードを有効にします。

プロンプトが表示されたら、パスワードを入力します。

ステップ 2

configure terminal

 

Router# configure terminal

global 設定モードを開始します。

ステップ 3

telephony-service

 

Router(config)# telephony-service

telephony-service 設定モードを開始します。

ステップ 4

secure-signaling trustpoint label

 

Router(config-telephony)# secure-signaling trustpoint cme-sccp

TCP ポート 2443 上での IP Phone との TLS ハンドシェイク用の有効な証明書を持つ PKI トラストポイントの名前を指定します。

label :有効な証明書を持つ設定済み PKI トラストポイントの名前。

ステップ 5

tftp-server-credentials trustpoint label

 

Router(config-telephony)# tftp-server-credentials trustpoint cme-tftp

電話機設定ファイルの署名に使用する PKI トラストポイントの名前を指定します。これは、前の手順で使用した CAPF サーバ トラストポイントでも、有効な証明書を持つ任意のトラストポイントでも構いません。

label :有効な証明書を持つ設定済み PKI トラストポイントの名前。

ステップ 6

device-security-mode { authenticated | none | encrypted }

 

Router(config-telephony)# device-security-mode authenticated

システム内のすべてのセキュリティ対応電話機に対して、セキュリティ モードを有効にします。

authenticated :デバイスと Cisco Unified CME の間の SCCP シグナリングが、TCP ポート 2443 上のセキュアな TLS 接続を介して実行されます。

none :SCCP シグナリングはセキュアではありません。これはデフォルトです。

encrypted :デバイスと Cisco Unified CME の間の SCCP シグナリングが、TCP ポート 2443 上のセキュアな TLS 接続を介して実行されます。メディアは、Secure Real-Time Transport Protocol(SRTP)を使用します。セキュアな Cisco Unified CME 機能を有効にするには、 encrypted キーワードを使用します。


) ephone 設定モードで device-security-mode コマンドを使用して、個々の ephone でこのコマンドの設定を上書きできます。


ステップ 7

cnf-file perphone

 

Router(config-telephony)# cnf-file perphone

個々の電話機ごとに別の設定ファイルが生成されるように指定します。セキュリティを確保するためには、エンドポイントごとに別の設定ファイルが必要です。

ステップ 8

load-cfg-file file-url alias file-alias [ sign ] [ create ]

 

Router(config-telephony)# load-cfg-file slot0:Ringlist.xml alias Ringlist.xml sign create

(オプション)Cisco Unified CME 以外によって作成された設定ファイルに署名します。また、署名済みバージョンおよび未署名バージョンのファイルを TFTP サーバにロードします。すでに署名済みのファイルを TFTP サーバにロードするには、 sign キーワードも create キーワードも付けずにこのコマンドを使用します。

file-url :ローカル ディレクトリ内の設定ファイルの完全なパス。

alias file-alias :TFTP サーバにロードするファイルのエイリアス名。

sign :(オプション)ファイルをデジタル署名して、TFTP サーバにロードします。

create :(オプション)ローカル ディレクトリに署名済みファイルを作成します。


) 各ファイルにこのコマンドを初めて使用する場合は、create キーワードと sign キーワードを使用してください。リロードごとに署名済みファイルが再作成されないように、create キーワードは実行設定に保持されません。


ステップ 9

server-security-mode { secure | non-secure }

 

Router(config-telephony)# server-security-mode secure

(オプション)サーバのセキュリティ モードを変更します。

secure :セキュア モード。

non-secure :ノンセキュア モード。


) このコマンドは、CTL クライアントによって CTL ファイルが最初に生成されるまで何の影響も及ぼしません。CTL ファイルが生成されると、CTL クライアントはサーバのセキュリティ モードを自動的にセキュアに設定します。



) このコマンドの後には、CTL-client 設定モードの regenerate コマンドが必要です。


ステップ 10

exit

 

Router(config)# exit

telephony-service 設定モードを終了します。

ステップ 11

ephone phone-tag

 

Router(config)# ephone 24

ephone 設定モードを開始します。

phone-tag :設定対象の ephone の ID。

ステップ 12

device-security-mode { authenticated | none | encrypted }

 

Router(config-ephone)# device-security-mode authenticated

(オプション)Cisco Unified CME ルータと通信する ephone の SCCP シグナリングのセキュリティ モードを設定します。

authenticated :デバイスと Cisco Unified CME の間の SCCP シグナリングが、TCP ポート 2443 上のセキュアな TLS 接続を介して実行されます。

none :SCCP シグナリングはセキュアではありません。

encrypted :デバイスと Cisco Unified CME の間の SCCP シグナリングが、TCP ポート 2443 上のセキュアな TLS 接続を介して実行されます。メディアは、Secure Real-Time Transport Protocol(SRTP)を使用します。セキュアな Cisco Unified CME 機能を有効にするには、 encrypted キーワードを使用します。


) この値は、telephony-service 設定モードで device-security-mode コマンドを使用してグローバルに設定できます。ephone 設定モードでの電話機ごとの設定は、その電話機のグローバル設定を上書きします。


ステップ 13

codec { g711ulaw | g722r64 | g729r8 [ dspfarm-assist ]}

 

Router(config-ephone)# codec g711ulaw dspfarm-assist

(オプション)Cisco Unified CME ルータと通信する電話機の SCCP シグナリングのセキュリティ モードを設定します。

dspfarm-assist :コールで G.711 がネゴシエートされる場合、電話機と Cisco Unified CME ルータの間のセグメントの変換に DSP ファーム リソースを使用しようとします。SCCP エンドポイントのタイプが ATA、VG224、または VG248 の場合、 dspfarm-assist キーワードは無視されます。


) Cisco Unified CME によるセキュアな変換が機能するためには、dspfarm-assist キーワードが必須です。


ステップ 14

capf-auth-str digit-string

 

Router(config-ephone)# capf-auth-str 2734

(オプション)CAPF 認証用の Personal Identification Number(PIN; 個人識別番号)として使用する文字列を定義します。設定済みの文字列を表示するには、show capf-server auth-string コマンドを使用します。電話機から文字列を入力する方法については、「電話機での認証文字列の入力」を参照してください。

digit-string :電話機ユーザが CAPF 認証のためにダイヤルする必要のある文字列(数字で構成される)。この文字列は、4 ~ 10 桁である必要があります。


) この値は、このコマンドを使用して ephone ごとに設定することも、CAPF-server 設定モードで auth-string コマンドを使用してグローバルに設定することもできます。


ステップ 15

cert-oper { delete | fetch | upgrade } auth-mode { auth-string | LSC | MIC | null-string }

 

Router(config-ephone)# cert-oper upgrade auth-mode auth-string

(オプション)指定した証明書操作をこの ephone 上で開始します。

delete :電話機証明書を削除します。

fetch :トラブルシューティングのために電話機証明書を取得します。

upgrade :電話機証明書をアップグレードします。

auth-mode :証明書を要求するエンドポイントを確認するために、CAPF セッション中に使用する認証のタイプ。

auth-string :電話機ユーザが電話機で特別な認証文字列を入力します。この文字列は capf-auth-str コマンドで設定し、システム管理者から電話機ユーザに通知します。「電話機での認証文字列の入力」を参照してください。

LSC :電話機が認証のために電話機証明書を提示します。LSC が存在する場合は、LSC が優先されます。

MIC :電話機が認証のために電話機証明書を提示します。MIC が存在する場合は、MIC が優先されます。このオプションを選択する場合は、MIC の発行元証明書が PKI トラストポイントにインポートされている必要があります。「MIC ルート証明書の手動インポート」を参照してください。

null-string :認証は行われません。


) CAPF-server 設定モードで cert-oper コマンドを使用して、証明書操作をグローバルに開始できます。CAPF-server 設定モードで auth-mode コマンドを使用して、認証モードをグローバルに設定できます。


ステップ 16

reset

 

Router(config-ephone)# reset

電話機の完全リブートを実行します。

ステップ 17

end

 

Router(config-ephone)# end

特権 EXEC モードに戻ります。

telephony-service セキュリティ パラメータの確認


ステップ 1 show telephony-service security-info

このコマンドを使用して、telephony-service 設定モードで設定されているセキュリティ関連の情報を表示します。

Router# show telephony-service security-info

Skinny Server Trustpoint for TLS: cme-sccp

TFTP Credentials Trustpoint: cme-tftp

Server Security Mode: Secure

Global Device Security Mode: Authenticated

ステップ 2 show capf-server auth-string

このコマンドを使用して、電話機の認証文字列を表示します。

Router# show capf-server auth-string

Authentication Strings for configured Ephones

Mac-Addr Auth-String

-------- -----------

000CCE3A817C 2734

001121116BDD 922

000D299D50DF 9182

000ED7B10DAC 3114

000F90485077 3328

0013C352E7F1 0678

ステップ 3 show running-config

このコマンドを使用して、実行設定を表示し、テレフォニー セキュリティ設定および電話機ごとのセキュリティ設定を確認します。

Router# show running-config

telephony-service

secure-signaling trustpoint cme-sccp

server-security-mode secure

device-security-mode authenticated

tftp-server-credentials trustpoint cme-tftp

.

.

.


 

CTL クライアントの設定

CTL クライアントと CTL プロバイダーを設定する作業は、CTL クライアントが、Cisco Unified CME と同じルータ上で動作しているかどうかによって少し異なります。ネットワークに応じて、適切な手順を選択してください。

「Cisco Unified CME ルータ上の CTL クライアントの設定」

「Cisco Unified CME ルータ以外のルータ上の CTL クライアントの設定」

Cisco Unified CME ルータ上の CTL クライアントの設定

さまざまな機能のクレデンシャルを含む CTL ファイルが作成され、TFTP サーバ上でホストされます。Cisco Unified CME ルータ上で CTL クライアントを設定するには、次の手順を実行します。

プライマリとセカンダリの Cisco Unified CME ルータがある場合は、どちらかのルータ上で CTL クライアントを設定できます。

要約手順

1. enable

2. configure terminal

3. ctl-client

4. sast1 trustpoint trustpoint-label

5. sast2 trustpoint trustpoint-label

6. server { capf | cme | cme-tftp | tftp } ip-address trustpoint trustpoint-label

7. server cme ip-address username string password 0 string

8. regenerate

9. end

詳細手順

コマンドまたはアクション
目的

ステップ 1

enable

 

Router> enable

特権 EXEC モードを有効にします。

プロンプトが表示されたら、パスワードを入力します。

ステップ 2

configure terminal

 

Router# configure terminal

global 設定モードを開始します。

ステップ 3

ctl-client

 

Router(config)# ctl-client

CTL-client 設定モードを開始します。

ステップ 4

sast1 trustpoint label

 

Router(config-ctl-client)# sast1 trustpoint sast1tp

プライマリ SAST のクレデンシャルを設定します。

label :SAST1 のトラストポイント名。


) SAST1 と SAST2 の証明書は、それぞれ異なっている必要があります。CTL ファイルは、必ず SAST1 によって署名されます。SAST2 のクレデンシャルは CTL ファイルに含まれているため、SAST1 の証明書が破損した場合は、SAST2 で CTL ファイルに署名して、電話機が工場出荷時のデフォルトにリセットされないようにすることができます。


ステップ 5

sast2 trustpoint label

 

Router(config-ctl-client)# sast2 trustpoint

セカンダリ SAST のクレデンシャルを設定します。

label :SAST2 のトラストポイント名。


) SAST1 と SAST2 の証明書は、それぞれ異なっている必要があります。CTL ファイルは、必ず SAST1 によって署名されます。SAST2 のクレデンシャルは CTL ファイルに含まれているため、SAST1 の証明書が破損した場合は、SAST2 で CTL ファイルに署名して、電話機が工場出荷時のデフォルトにリセットされないようにすることができます。


ステップ 6

server { capf | cme | cme-tftp | tftp } ip-address trustpoint trustpoint-label

 

Router(config-ctl-client)# server capf 10.2.2.2 trustpoint capftp

Cisco Unified CME ルータ上でローカルに動作する各サーバ機能のトラストポイントを設定します。


) Cisco Unified CME ルータ上でローカルに動作する機能ごとに、適切なキーワードを指定してこのコマンドを繰り返します。


capf :CAPF サーバ。

cme :Cisco Unified CME ルータ。

cme-tftp :結合された Cisco Unified CME ルータと TFTP サーバ。

tftp :TFTP サーバ。

ip-address :Cisco Unified CME ルータの IP アドレス。複数のネットワーク インターフェイスが存在する場合は、電話機が接続されているローカル LAN のインターフェイス アドレスを使用します。

trustpoint trustpoint-label :エンティティの PKI トラストポイントの名前。

ステップ 7

server cme ip-address username name- string password { 0 | 1 } password-string

 

Router(config-ctl-client)# server cme 10.2.2.2 username user3 password 0 38h2KL

(オプション)ネットワーク内に別の Cisco Unified CME ルータ(プライマリまたはセカンダリ)が存在する場合は、そのルータに関する情報を提供します。

ip-address :もう一方の Cisco Unified CME ルータの IP アドレス。

username name-string :CTL プロバイダー上で設定するユーザ名。

password :パスワード文字列の暗号化ステータス。

0 :暗号化されません。

1 :メッセージ ダイジェスト 5(MD5)を使用して暗号化されます。


) このオプションは、show コマンドの出力にパスワードが表示される方法を示しており、パスワードを入力する方法を示しているのではありません。


password-string :リモート Cisco Unified CME ルータ上で動作する CTL プロバイダーの管理パスワード。

ステップ 8

regenerate

 

Router(config-ctl-client)# regenerate

CTL クライアントの設定に変更を加えた後、新しい CTLFile.tlv を作成します。

ステップ 9

end

 

Router(config-ctl-client)# end

特権 EXEC モードに戻ります。

次の作業

ネットワーク内に複数の Cisco Unified CME ルータがある場合は、CTL クライアントが動作しない各 Cisco Unified CME ルータ上で CTL プロバイダーを設定する必要があります。「CTL プロバイダーの設定」を参照してください。

Cisco Unified CME ルータ以外のルータ上の CTL クライアントの設定

Cisco Unified CME ルータではない外部ルータ上で CTL クライアントを設定するには、次の手順を実行します。

要約手順

1. enable

2. configure terminal

3. ctl-client

4. sast1 trustpoint trustpoint-label

5. sast2 trustpoint trustpoint-label

6. server cme ip-address username name- string password { 0 | 1 } password-string

7. regenerate

8. end

詳細手順

コマンドまたはアクション
目的

ステップ 1

enable

 

Router> enable

特権 EXEC モードを有効にします。

プロンプトが表示されたら、パスワードを入力します。

ステップ 2

configure terminal

 

Router# configure terminal

global 設定モードを開始します。

ステップ 3

ctl-client

 

Router(config)# ctl-client

CTL-client 設定モードを開始します。

ステップ 4

sast1 trustpoint label

 

Router(config-ctl-client)# sast1 trustpoint sast1tp

プライマリ SAST のクレデンシャルを設定します。

label :SAST1 のトラストポイント名。


) SAST1 と SAST2 の証明書は、それぞれ異なっている必要があります。ただし、メモリを節約するため、どちらかが Cisco Unified CME ルータと同じ証明書を使用できます。CTL ファイルは、必ず SAST1 によって署名されます。SAST2 のクレデンシャルは CTL ファイルに含まれているため、SAST1 の証明書が破損した場合は、SAST2 で CTL ファイルに署名して、電話機が工場出荷時のデフォルトにリセットされないようにすることができます。


ステップ 5

sast2 trustpoint label

 

Router(config-ctl-client)# sast2 trustpoint

セカンダリ SAST のクレデンシャルを設定します。

label :SAST2 のトラストポイント名。


) SAST1 と SAST2 の証明書は、それぞれ異なっている必要があります。ただし、メモリを節約するため、どちらかが Cisco Unified CME ルータと同じ証明書を使用できます。CTL ファイルは、必ず SAST1 によって署名されます。SAST2 のクレデンシャルは CTL ファイルに含まれているため、SAST1 の証明書が破損した場合は、SAST2 で CTL ファイルに署名して、電話機が工場出荷時のデフォルトにリセットされないようにすることができます。


ステップ 6

server cme ip-address username name- string password { 0 | 1 } password-string

 

Router(config-ctl-client)# server cme 10.2.2.2 username user3 password 0 38h2KL

(オプション)ネットワーク内に別の Cisco Unified CME ルータ(プライマリまたはセカンダリ)が存在する場合は、そのルータに関する情報を提供します。

ip-address :もう一方の Cisco Unified CME ルータの IP アドレス。

username name-string :CTL プロバイダー上で設定するユーザ名。

password :パスワード文字列の暗号化ステータス。

0 :暗号化されません。

1 :メッセージ ダイジェスト 5(MD5)を使用して暗号化されます。


) このオプションは、show コマンドの出力にパスワードが表示される方法を示しており、このコマンドでパスワードを入力する方法を示しているのではありません。


password-string :リモート Cisco Unified CME ルータ上で動作する CTL プロバイダーの管理パスワード。

ステップ 7

regenerate

 

Router(config-ctl-client)# regenerate

CTL クライアントの設定に変更を加えた後、新しい CTLFile.tlv を作成します。

ステップ 8

end

 

Router(config-ctl-client)# end

特権 EXEC モードに戻ります。

次の作業

各 Cisco Unified CME ルータ上で CTL プロバイダーを設定する必要があります。「CTL プロバイダーの設定」を参照してください。

CTL クライアントの確認


ステップ 1 show ctl-client コマンドを使用して、CTL クライアントの設定を表示します。

次の show ctl-client コマンドからのサンプル出力は、システム内のトラストポイントを示しています。

Router# show ctl-client

CTL Client Information

-----------------------------

SAST 1 Certificate Trustpoint: cmeserver
SAST 1 Certificate Trustpoint: sast2
List of Trusted Servers in the CTL
CME 10.1.1.1 cmeserver
TFTP 10.1.1.1 cmeserver
CAPF 10.1.1.1 cmeserver
 


 

CTL プロバイダーの設定

ネットワーク内に複数の Cisco Unified CME ルータがある場合は、次の手順を実行して、CTL クライアントが動作しない各 Cisco Unified CME ルータ上で CTL プロバイダーを設定します。

要約手順

1. enable

2. configure terminal

3. credentials

4. ip source-address ip-address port port-number

5. trustpoint trustpoint-label

6. ctl-service admin username secret { 0 | 1 } password-string

7. end

詳細手順

コマンドまたはアクション
目的

ステップ 1

enable

 

Router> enable

特権 EXEC モードを有効にします。

プロンプトが表示されたら、パスワードを入力します。

ステップ 2

configure terminal

 

Router# configure terminal

global 設定モードを開始します。

ステップ 3

credentials

 

Router(config)# credentials

CTL プロバイダーを設定するための credentials-interface モードを開始します。

ステップ 4

ip source-address [ ip-address [ port [ port-number ]]]

 

Router(config-credentials)# ip source-address 172.19.245.1 port 2444

この CTL プロバイダーを設定するローカル ルータを指定します。

ip-address :ルータの IP アドレス。通常は、ルータのイーサネット ポートのアドレスの 1 つ。

port port-number :クレデンシャル サービス通信用の TCP ポート。デフォルトは 2444 です。2444 を使用する必要があります。

ステップ 5

trustpoint trustpoint-label

 

Router(config-credentials)# trustpoint ctlpv

CTL クライアントとの TLS セッションに使用するトラストポイントを設定します。

trustpoint-label :CTL プロバイダーのトラストポイント ラベル。

ステップ 6

ctl-service admin username secret {0 | 1} password- string

 

Router(config-credentials)# ctl-service admin user4 secret 0 c89L8o

CTL クライアントが CTL プロトコルでクレデンシャル取得のために接続するときに、CTL クライアントを認証するためのユーザ名とパスワードを指定します。CTL プロバイダーを有効にする前に、このコマンドを使用する必要があります。

username :クライアントの認証に使用する名前。

secret :ログイン認証用の文字列。および実行設定に格納されるときにその文字列が暗号化されるかどうか。

0 :暗号化されません。

1 :メッセージ ダイジェスト 5(MD5)を使用して暗号化されます。

password-string :ログイン認証用の文字列。

ステップ 7

end

 

Router(config-credentials)# end

特権 EXEC モードに戻ります。

CTL プロバイダーの確認


ステップ 1 show credentials

このコマンドを使用して、クレデンシャルの設定を表示します。

Router# show credentials

Credentials IP: 172.19.245.1

Credentials PORT: 2444

Trustpoint: ctlpv

 


 

CAPF サーバの設定

CAPF サーバが証明書操作中に電話機との TLS セッションを確立できるように、CAPF サーバに証明書を取得する必要があります。CAPF サーバは、セキュリティ対応電話機上で、ローカルで有効な証明書(LSC)をインストール、取得、または削除できます。Cisco Unified CME ルータ上で CAPF サーバを有効にするには、次の手順を実行します。


ヒント CAPF サーバを使用して電話機証明書をインストールする場合は、スケジュールされたメンテナンス期間中にインストールできるように準備してください。多くの証明書を同時に生成すると、コール処理が中断される可能性があります。


要約手順

1. enable

2. configure terminal

3. capf-server

4. trustpoint-label label

5. cert-enroll-trustpoint label password { 0 | 1 } password-string

6. source-addr ip-address

7. port tcp-port

8. auth-mode { auth-string | LSC | MIC | none | null-string }

9. auth-string { delete | generate } { all | ephone-tag } [ auth-string ]

10. phone-key-size { 512 | 1024 | 2048 }

11. keygen-retry number

12. keygen-timeout minutes

13. cert-oper { delete all | fetch all | upgrade all }

14. end

詳細手順

コマンドまたはアクション
目的

ステップ 1

enable

 

Router> enable

特権 EXEC モードを有効にします。

プロンプトが表示されたら、パスワードを入力します。

ステップ 2

configure terminal

 

Router# configure terminal

global 設定モードを開始します。

ステップ 3

capf-server

 

Router(config)# capf-server

CAPF-server 設定モードを開始します。

ステップ 4

trustpoint-label label

 

Router(config-capf-server)# trustpoint-label tp1

CAPF サーバと電話機の間の TLS 接続に使用する証明書のトラストポイント ラベルを指定します。

label :トラストポイントの名前。

ステップ 5

cert-enroll-trustpoint trustpoint-label password { 0 | 1 } password-string

 

Router(config-capf-server)# cert-enroll-trustpoint ra1 password 0 x8oWiet

CAPF を CA に登録します(または、CA が Cisco Unified CME ルータに対してローカルでない場合は RA に登録します)。

trustpoint-label :CA または RA の PKI トラストポイント ラベル。

password :パスワード文字列の暗号化ステータス。

password-string :証明書の登録に使用するパスワード。このパスワードは、証明書要求とともに CA に送信される失効パスワードです。

ステップ 6

source-addr ip-address

 

Router(config-capf-server)# source addr 10.10.10.1

Cisco Unified CME ルータ上の CAPF サーバの IP アドレスを定義します。

ip-address :CAPF サーバの IP アドレス。

ステップ 7

port tcp-port

 

Router(config-capf-server)# port 3804

(オプション)CAPF サーバが電話機からのソケット接続をリッスンする TCP ポート番号を定義します。

tcp-port :TCP ポート番号。値の範囲は 2000 ~ 9999 です。デフォルトは 3804 です。

ステップ 8

auth-mode { auth-string | LSC | MIC | none | null-string }

 

Router(config-capf-server)# auth-mode auth-string

証明書を要求するエンドポイントを確認するために CAPF セッション中に使用する認証のタイプを指定します。

auth-string :電話機ユーザが電話機で特別な認証文字列を入力します。この文字列は、 auth-string generate コマンドで設定し、システム管理者からユーザに通知します。

LSC :LSC が存在する場合は、電話機が認証のために LSC を提示します。

MIC :MIC が存在する場合は、電話機が認証のために MIC を提示します。このオプションを選択する場合は、MIC の発行元証明書が PKI トラストポイントにインポートされている必要があります。「MIC ルート証明書の手動インポート」を参照してください。

none :証明書のアップグレードは開始されません。これはデフォルトです。

null-string :認証は行われません。

ステップ 9

auth-string { delete | generate } { all | ephone-tag } [ digit-string ]

 

Router(config-capf-server)# auth-string generate all

(オプション)すべてのセキュアな ephone または指定したセキュアな ephone の認証文字列を作成または削除します。 auth-mode コマンドで auth-string キーワードを指定した場合は、このコマンドを使用します。文字列は ephone 設定の一部になります。認証文字列を表示するには、 show capf-server auth-string コマンドを使用します。

delete :指定したセキュアなデバイスの認証文字列を削除します。

generate :指定したセキュアなデバイスの認証文字列を作成します。

all :すべての電話機。

ephone-tag :認証文字列を受け取る ephone の ID。

digit-string :電話機ユーザが CAPF 認証のためにダイヤルする必要のある文字列(数字で構成される)。この文字列は、4 ~ 10 桁である必要があります。この値を指定しない場合は、各電話機にランダムな文字列が生成されます。電話機から文字列を入力する方法については、「電話機での認証文字列の入力」を参照してください。


capf-auth-str コマンドを使用して、個々の ephone の認証文字列を定義することもできます。


ステップ 10

phone-key-size { 512 | 1024 | 2048 }

 

Router(config-capf-server)# phone-key-size 2048

(オプション)電話機の証明書用に電話機で生成される RSA 鍵ペアのサイズ(ビット数)を指定します。

512 :512。

1024 :1024。これはデフォルトです。

2048 :2048。

ステップ 11

keygen-retry number

 

Router(config-capf-server)# keygen-retry 5

(オプション)サーバが鍵生成要求を送信する回数を指定します。

number :リトライ回数。値の範囲は 0 ~ 100 です。デフォルトは 3 です。

ステップ 12

keygen-timeout minutes

 

Router(config-capf-server)# keygen-timeout 45

(オプション)サーバが電話機からの鍵生成応答を待つ時間(分単位)を指定します。

minutes :生成プロセスがタイムアウトになるまでの時間(分単位)。値の範囲は 1 ~ 120 です。デフォルトは 30 です。

ステップ 13

cert-oper { delete all | fetch all | upgrade all }

 

Router(config-capf-server)# cert-oper upgrade all

システム内のすべての設定済みエンドポイントに対して、指定した証明書操作を開始します。

delete all :すべての電話機証明書を削除します。

fetch all :トラブルシューティングのために、すべての電話機証明書を取得します。

upgrade all :すべての電話機証明書をアップグレードします。


) ephone 設定モードで cert-oper コマンドを使用すると、個々の ephone に対して証明書操作を行うことができます。「telephony-service セキュリティ パラメータの設定」を参照してください。


ステップ 14

end

 

Router(config-capf-server)# end

特権 EXEC モードに戻ります。

次の作業

auth-mode コマンドで認証文字列方式の認証を選択する場合は、更新された LSC を取得する各電話機で、認証文字列を入力する必要もあります。この作業の手順については、「電話機での認証文字列の入力」を参照してください。

CAPF サーバの確認


ステップ 1 show capf-server summary

このコマンドを使用して、CAPF-server の設定情報を表示します。

Router# show capf-server summary
 
CAPF Server Configuration Details
Trustpoint for TLS With Phone: tp1
Trustpoint for CA operation: ra1
Source Address: 10.10.10.1
Listening Port: 3804
Phone Key Size: 1024
Phone KeyGen Retries: 3
Phone KeyGen Timeout: 30 minutes
 

ステップ 2 show capf-server auth-string

このコマンドを使用して、ユーザが CAPF 認証を確立するために電話機で入力する設定済み文字列(PIN)を表示します。

Router# show capf-server auth-string

 

Authentication Strings for configured Ephones

Mac-Addr Auth-String

-------- -----------

000CCE3A817C 7012

001121116BDD 922

000D299D50DF 9182

000ED7B10DAC 3114

000F90485077 3328

0013C352E7F1 0678

 


 

電話機での認証文字列の入力

この手順は、認証文字列方式の認証を指定した場合に限り、電話機の LSC をインストールする際に 1 回だけ必要となります。

CAPF-server 設定モードの auth-string コマンドまたは ephone 設定モードの capf-auth-str コマンドで認証文字列が定義されている場合は、LSC をインストールする前に電話機で認証文字列を入力できるように、電話機ユーザに認証文字列を伝える必要があります。

電話機ユーザは、次の手順を実行して、証明書をインストールできます。認証文字列は、1 回の使用に限って適用されます。


) 電話機の認証文字列を一覧表示するには、show capf-server auth-string コマンドを使用してください。


前提条件

CAPF 証明書が CTL ファイル内に存在すること。

署名済みイメージが電話機に存在すること。ご使用の電話機モデルをサポートする Cisco Unified IP Phone アドミニストレーション ガイドを参照してください。

デバイスが登録されていること。

デバイスのセキュリティ モードがノンセキュアになっていること。

詳細手順


ステップ 1 設定ボタンを押します。

Cisco Unified IP Phone 7921 で、下向き矢印キーを使用して[設定]メニューを表示します。

ステップ 2 設定がロックされている場合は、**#(アスタリスク、アスタリスク、シャープ記号)を押してロック解除します。

ステップ 3 [設定]メニューまでスクロールします。[セキュリティ設定]を強調表示し、[選択]ソフトキーを押します。

ステップ 4 [セキュリティ設定]メニューまでスクロールします。[LSC] を強調表示し、[更新]ソフトキーを押します。

Cisco Unified IP Phone 7921 で **# を押して、[セキュリティ設定]メニューをロック解除します。

ステップ 5 認証文字列の入力を要求されたら、システム管理者から通知された文字列を入力し、[送信]ソフトキーを押します。

CAPF 設定に応じて、電話機が証明書をインストール、更新、削除、または取得します。

電話機に表示されるメッセージを確認することで、証明書操作の進行状況を監視できます。[送信]を押すと、[LSC] オプションの下に「処理中」というメッセージが表示されます。電話機により公開鍵と秘密鍵のペアが生成され、電話機に関する情報が表示されます。電話機が正常にこのプロセスを完了すると、成功を示すメッセージが表示されます。電話機に失敗を示すメッセージが表示された場合は、間違った認証文字列を入力したか、電話機でアップグレードが有効になっていません。

[中止]オプションを選択すると、いつでもこのプロセスを停止できます。


 

電話機での認証文字列の確認


ステップ 1 [設定]>[モデル情報]を選択し、LSC 設定を表示して、電話機に証明書がインストールされたことを確認します。この設定に、[インストール済]または[未インストール]と示されています。


 

H.323 トランクを通じた Cisco Unified CME 間のセキュアなコールの設定

H.323 トランクを通じた Cisco Unified CME システム間のセキュアなコールに対応するネットワークを設定するには、Cisco Unified CME ルータで次の手順を実行します。

前提条件

セキュアな H.323 コールを発信するには、telephony-service セキュリティ パラメータを設定する必要があります。「telephony-service セキュリティ パラメータの設定」を参照してください。

要約手順

1. enable

2. configure terminal

3. voice service voip

4. supplementary-service media-renegotiate

5. srtp fallback

6. h323

7. emptycapability

8. exit

詳細手順

コマンドまたはアクション
目的

ステップ 1

enable

 

Router> enable

特権 EXEC モードを有効にします。

プロンプトが表示されたら、パスワードを入力します。

ステップ 2

configure terminal

 

Router# configure terminal

global 設定モードを開始します。

ステップ 3

voice service voip

 

Router(config)# voice service voip

voice-service 設定モードを開始します。

voip キーワードは、VoIP カプセル化を指定します。

ステップ 4

supplementary-service media-renegotiate

 

Router(conf-voi-serv)# supplementary-service media-renegotiate

SRTP 暗号鍵に対してミッドコール再ネゴシエーションを有効にします。

ステップ 5

srtp fallback

 

Router(conf-voi-serv)# srtp fallback

セキュリティ ポリシーを有効にします。

srtp コマンドは、メディア暗号化と認証に SRTP を使用するセキュアなコールを有効にし、フォールバックを無効にします。

fallback キーワードを指定すると、ノンセキュア(RTP)モードへのコールのフォールバックが有効になり、ユーザはセキュアでないコールを発信できます。

リングバック トーンや MOH などの補足サービスが機能するためには、SRTP から RTP へのフォールバックを設定する必要があります。SRTP から RTP へのフォールバックが設定されていないと、MOH によってセキュアなコールが廃棄されます。


) このセキュリティ ポリシーは、ゲートウェイを通過するすべてのコールに適用され、コールごとには設定できません。


フォールバックが設定されていない場合、セキュアでないコールがすべて廃棄されて、セキュアな電話機だけでコールを発信できるようになります。

このステップでは、フォールバックがグローバルに設定されます。ダイヤル ピアごとにフォールバックを設定するには、「H.323 ダイヤルピアに対する Cisco Unified CME SRTP フォールバックの設定」を参照してください。ダイヤルピアごとにフォールバックを設定する場合は、このステップを実行しないでください。

ステップ 6

h323

 

Router(conf-voi-serv)# h323

H.323 voice-service 設定モードを開始します。

ステップ 7

emptycapability

 

Router(conf-serv-h323)# emptycapability

ロータリーグループ内のすべてのダイヤルピアで、同一のコーデック機能を使用する必要がなくなります。

ステップ 8

exit

 

Router(conf-serv-h323)# exit

H.323 voice-service 設定モードを終了します。

H.323 ダイヤルピアに対する Cisco Unified CME SRTP フォールバックの設定

個々のダイヤルピアに対して SRTP フォールバックを設定するには、Cisco Unified CME ルータ上で次の手順を実行します。


) リングバック トーンや MOH などの補足サービスが機能するためには、SRTP から RTP へのフォールバックを設定する必要があります。SRTP から RTP へのフォールバックが設定されていないと、MOH によってセキュアなコールが廃棄されます。


要約手順

1. enable

2. configure terminal

3. voice class codec tag

4. codec preference value codec-type

5. exit

6. dial-peer voice tag voip

7. srtp fallback

8. voice-class h323 tag

9. exit

詳細手順

コマンドまたはアクション
目的

ステップ 1

enable

 

Router> enable

特権 EXEC モードを有効にします。

プロンプトが表示されたら、パスワードを入力します。

ステップ 2

configure terminal

 

Router# configure terminal

global 設定モードを開始します。

ステップ 3

voice class codec tag

 

Router(config)# voice class codec 1

voice-class 設定モードを開始し、コーデック音声クラスに ID タグ番号を割り当てます。

ステップ 4

codec preference value codec-type

 
Router(config-voice-class)# codec preference 1 g711alaw

ダイヤルピアで使用する優先コーデックのリストを指定します。

この手順を繰り返して、優先コーデックのリストを作成します。

H.323 トランクの両端の Cisco Unified CME で、コーデック リストに同じ優先コーデックを使用します。

ステップ 5

exit

 

Router(config-voice-class)# exit

voice-class 設定モードを終了します。

ステップ 6

dial-peer voice tag voip

 

Router(config)# dial-peer voice 101 voip

dial peer voice 設定モードを開始します。

ステップ 7

s rtp fallback

 

Router(config-dial-peer)# srtp fallback

メディア暗号化と認証に SRTP を使用するセキュアなコールを有効にし、フォールバック機能を指定します。no srtp コマンドを使用すると、セキュリティが無効になり、ダイヤルピアが RTP モードにフォールバックします。

srtp コマンドでは、セキュアなコールが有効になります。

fallback キーワードを指定すると、個々のダイヤルピアでノンセキュア モード(RTP)へのフォールバックが有効になります。このコマンドの no 形式を使用すると、フォールバックと SRTP が無効になります。


) この dial-peer 設定コマンドは、「H.323 トランクを通じた Cisco Unified CME 間のセキュアなコールの設定」に示した voice service voip 設定モードで有効な、グローバル設定の srtp コマンドよりも優先されます。


ステップ 8

voice-class codec tag

 

Router(config-dial-peer)# voice-class codec 1

すでに設定したコーデック選択優先リスト(コーデック音声クラス)を Voice over IP(VoIP)ダイヤルピアに割り当てます。

この手順の tag 引数は、ステップ 3 の tag と同じです。

ステップ 9

exit

 

Router(config-dial-peer)# exit

dial-peer voice 設定モードを終了します。

Cisco Unified CME と Cisco Unity との統合の設定

Cisco Unified CME と Cisco Unity との統合に関する設定を変更するには、Cisco Unity サーバで次の手順を実行します。


ステップ 1 Cisco Unity Telephony Integration Manager(UTIM)をまだ起動していない場合は、Cisco Unity サーバの Windows の [Start] メニューで、 [Programs] > [Cisco Unity] > [Manage Integrations] の順にクリックします。[UTIM] ウィンドウが表示されます。

ステップ 2 左ペインで、 [Cisco Unity Server] をダブルクリックします。既存の統合が表示されます。

ステップ 3 [Cisco Unified Communications Manager] 統合をクリックします。

ステップ 4 右ペインで、統合用のクラスタをクリックします。

ステップ 5 [Servers] タブをクリックします。

ステップ 6 [Cisco Unified Communications Manager Cluster Security Mode field] フィールドで、該当する設定をクリックします。

ステップ 7 ノンセキュアな設定をクリックした場合は、 [Save] をクリックし、この手順の以降のステップを省略します。

[Authenticated] または [Encrypted] 設定をクリックした場合は、[Security] タブと [Add TFTP Server] ダイアログボックスが表示されます。[Add TFTP Server] ダイアログボックスの [IP Address or Host Name] フィールドに、Cisco Unified Communications Manager クラスタのプライマリ TFTP サーバの IP アドレス(または DNS 名)を入力し、 [OK] をクリックします。

ステップ 8 Cisco Unity が Cisco Unified Communications Manager 証明書のダウンロードに使用する TFTP サーバが他にも存在する場合は、 [Add] をクリックします。[Add TFTP Server] ダイアログボックスが表示されます。

ステップ 9 [IP Address or Host Name] フィールドに、Cisco Unified Communications Manager クラスタのセカンダリ TFTP サーバの IP アドレス(または DNS 名)を入力し、 [OK] をクリックします。

ステップ 10 [Save] をクリックします。

Cisco Unity がボイスメッセージ ポート デバイス証明書を作成し、Cisco Unity サーバ証明書をエクスポートして、[Export Cisco Unity Root Certificate] ダイアログボックスを表示します。

ステップ 11 エクスポートされた Cisco Unity サーバ ルート証明書をメモし、 [OK] をクリックします。

ステップ 12 Cisco Unity サーバで、CommServer\SkinnyCerts ディレクトリに移動します。

ステップ 13 ステップ 11 でエクスポートした Cisco Unity サーバ ルート証明書ファイルを探します。

ステップ 14 ファイルを右クリックし、 [Rename] をクリックします。

ステップ 15 ファイル拡張子を .0 から .pem に変更します。たとえば、エクスポートした Cisco Unity サーバ ルート証明書ファイルの名前を「12345.0」から「12345.pem」に変更します。

ステップ 16 このファイルを、Cisco Unified CME ルータへのアクセスに使用する PC にコピーします。


 

Cisco Unified CME への Cisco Unity ルート証明書のインポート

Cisco Unity ルート証明書を Cisco Unified CME にインポートするには、Cisco Unified CME ルータで次の手順を実行します。

要約手順

1. enable

2. configure terminal

3. crypto pki trustpoint name

4. revocation-check none

5. enrollment terminal

6. exit

7. crypto pki authenticate trustpoint-label

8. ステップ 16 で Cisco Unity サーバからコピーしたルート証明書ファイルを開きます。

9. CA 証明書の入力を求められます。コマンドラインで、「BEGIN CERTIFICATE」と「END CERTIFICATE」の間の Base 64 符号化証明書の内容全体をカットアンドペーストします。 Enter キーを押し、「quit」と入力します。ルータにより、証明書を受け入れるように求められます。「y」と入力し、証明書を受け入れます。

詳細手順

コマンドまたはアクション
目的

ステップ 1

enable

 

Router> enable

特権 EXEC モードを有効にします。

プロンプトが表示されたら、パスワードを入力します。

ステップ 2

configure terminal

 

Router# configure terminal

global 設定モードを開始します。

ステップ 3

crypto pki trustpoint name

 

Router(config)# crypto pki trustpoint PEM

RA モードの証明書サーバが使用するトラストポイントを宣言し、CA-trustpoint 設定モードを開始します。

label :トラストポイントおよび RA の名前。

ステップ 4

revocation-check none

 

Router(ca-trustpoint)# revocation-check none

(オプション)証明書の失効ステータスを確認します(失効ステータスを確認するための 1 つまたは複数の方法を指定します)。2 番目および 3 番目の方法を指定した場合、これらの各方法は、前の方法でエラー(サーバがダウンしているなど)が返されたときにだけ使用されます。

none :証明書チェックは要求されません。

ステップ 5

enrollment terminal

 

Router(ca-trustpoint)# enrollment terminal

証明書の手動カットアンドペースト登録を指定します。

ステップ 6

exit

 

Router(ca-trustpoint)# exit

CA-trustpoint 設定モードを終了します。

ステップ 7

crypto pki authenticate trustpoint-label

 

Router(config)# crypto pki authenticate pem

CA 証明書を取得し、認証します。プロンプトが表示されたら、証明書のフィンガープリントを確認します。

trustpoint-label :トラストポイントのラベル。


trustpoint-label は、ステップ 3 の name と同じにする必要があります。


ステップ 8

CA 証明書の入力を求められます。コマンドラインで、「BEGIN CERTIFICATE」と「END CERTIFICATE」の間の Base 64 符号化証明書の内容全体をカットアンドペーストします。 Enter キーを押し、「quit」と入力します。ルータにより、証明書を受け入れるように求められます。「y」と入力し、証明書を受け入れます。

Cisco Unified CME ルータへの Cisco Unity ルート証明書のコピーが完了します。

セキュアな登録のための Cisco Unity ポートの設定

セキュア モードでの登録用に Cisco Unity ポートを設定するには、次の手順を実行します。


ステップ 1 更新する Cisco ボイスメール ポートを選択します。

ステップ 2 [Device Security Mode] フィールドで、ドロップダウン リスト ボックスから [Encrypted] を選択します。

ステップ 3 [Update] をクリックします。


 

Cisco Unity のセキュアな登録の確認

show sccp connections コマンドを使用して、Cisco Unity ポートが Cisco Unified CME にセキュアに登録されたことを確認します。

show sccp connection:例

次の例では、stype フィールドの secure 値は、接続がセキュアであることを示しています。

Router# show sccp connections

sess_id conn_id stype mode codec ripaddr rport sport

16777222 16777409 secure -xcode sendrecv g729b 10.3.56.120 16772 19534

16777222 16777393 secure -xcode sendrecv g711u 10.3.56.50 17030 18464

Total number of active session(s) 1, and connection(s) 2

セキュリティに関する設定例

この項では、次の例について説明します。

電話機の認証

「Cisco IOS CA サーバ:例」

「登録局の有効化:例」

「Cisco Unified CME ルータでの MIC ルート証明書の手動インポート:例」

「Cisco Unified CME サーバ機能の証明書の取得:例」

「Cisco Unified CME ルータ上で動作する CTL クライアント:例」

「別のルータ上で動作する CTL クライアント:例」

「Telephony-Service セキュリティ パラメータ:例」

「CAPF サーバ:例」

メディア暗号化

「セキュアな Cisco Unified CME:例」

Cisco IOS CA サーバ:例

!

crypto pki server iosca

grant auto

database url flash:

!

crypto pki trustpoint iosca

revocation-check none

rsakeypair iosca

!

crypto pki certificate chain iosca

certificate ca 01

308201F9 30820162 ...

登録局の有効化:例

次の例では、ra12 という名前の RA とトラストポイントを設定します。

Router(config)# crypto pki trustpoint ra12

Router(config-ca-trustpoint)# enrollment url http://ca-server.company.com

Router(config-ca-trustpoint)# revocation-check none

Router(config-ca-trustpoint)# rsakeypair exampleCAkeys 1024 1024

Router(config-ca-trustpoint)# exit

Router(config)# crypto pki server ra12

Router(config-cs-server)# mode ra

Router(config-cs-server)# lifetime certificate 1800

Router(config-cs-server)# no grant auto

Router(config-cs-server)# no shutdown

Router(config-cs-server)# exit

次の例では、sast2 という名前のトラストポイントを設定します。このトラストポイントは、CRL を手動で生成させるのではなく、定期的に生成します。サードパーティの CA は、この機能を必要とする場合があります。

Router(config)# crypto pki trustpoint sast2

Router(config-ca-trustpoint)# enrollment url http://NTP-ab11:80

Router(config-ca-trustpoint)# serial-number

Router(config-ca-trustpoint)# revocation-check crl

Router(config-ca-trustpoint)# rsakeypair sast2

Cisco Unified CME ルータでの MIC ルート証明書の手動インポート:例

次の例は、ルータにインポートされた 3 つの証明書(7970、7960、PEM)を示しています。

Router(config)# crypto pki trustpoint 7970

Router(ca-trustpoint)# revocation-check none

Router(ca-trustpoint)# enrollment terminal

Router(ca-trustpoint)# exit

Router(config)# crypto pki authenticate 7970

Enter the base 64 encoded CA certificate.

End with a blank line or the word "quit" on a line by itself

MIIDqDCCApCgAwIBAgIQNT+yS9cPFKNGwfOprHJWdTANBgkqhkiG9w0BAQUFADAu

MRYwFAYDVQQKEw1DaXNjbyBTeXN0ZW1zMRQwEgYDVQQDEwtDQVAtUlRQLTAwMjAe

Fw0wMzEwMTAyMDE4NDlaFw0yMzEwMTAyMDI3MzdaMC4xFjAUBgNVBAoTDUNpc2Nv

IFN5c3RlbXMxFDASBgNVBAMTC0NBUC1SVFAtMDAyMIIBIDANBgkqhkiG9w0BAQEF

AAOCAQ0AMIIBCAKCAQEAxCZlBK19w/2NZVVvpjCPrpW1cCY7V1q9lhzI85RZZdnQ

2M4CufgIzNa3zYxGJIAYeFfcRECnMB3f5A+x7xNiEuzE87UPvK+7S80uWCY0Uhtl

AVVf5NQgZ3YDNoNXg5MmONb8lT86F55EZyVac0XGne77TSIbIdejrTgYQXGP2MJx

Qhg+ZQlGFDRzbHfM84Duv2Msez+l+SqmqO80kIckqE9Nr3/XCSj1hXZNNVg8D+mv

Hth2P6KZqAKXAAStGRLSZX3jNbS8tveJ3Gi5+sj9+F6KKK2PD0iDwHcRKkcUHb7g

lI++U/5nswjUDIAph715Ds2rn9ehkMGipGLF8kpuCwIBA6OBwzCBwDALBgNVHQ8E

BAMCAYYwDwYDVR0TAQH/BAUwAwEB/zAdBgNVHQ4EFgQUUpIr4ojuLgmKTn5wLFal

mrTUm5YwbwYDVR0fBGgwZjBkoGKgYIYtaHR0cDovL2NhcC1ydHAtMDAyL0NlcnRF

bnJvbGwvQ0FQLVJUUC0wMDIuY3Jshi9maWxlOi8vXFxjYXAtcnRwLTAwMlxDZXJ0

RW5yb2xsXENBUC1SVFAtMDAyLmNybDAQBgkrBgEEAYI3FQEEAwIBADANBgkqhkiG

9w0BAQUFAAOCAQEAVoOM78TaOtHqj7sVL/5u5VChlyvU168f0piJLNWip2vDRihm

E+DlXdwMS5JaqUtuaSd/m/xzxpcRJm4ZRRwPq6VeaiiQGkjFuZEe5jSKiSAK7eHg

tup4HP/ZfKSwPA40DlsGSYsKNMm3OmVOCQUMH02lPkS/eEQ9sIw6QS7uuHN4y4CJ

NPnRbpFRLw06hnStCZHtGpKEHnY213QOy3h/EWhbnp0MZ+hdr20FujSI6G1+L39l

aRjeD708f2fYoz9wnEpZbtn2Kzse3uhU1Ygq1D1x9yuPq388C18HWdmCj4OVTXux

V6Y47H1yv/GJM8FvdgvKlExbGTFnlHpPiaG9tQ==

quit

Certificate has the following attributes:

Fingerprint MD5: F7E150EA 5E6E3AC5 615FC696 66415C9F

Fingerprint SHA1: 1BE2B503 DC72EE28 0C0F6B18 798236D8 D3B18BE6

% Do you accept this certificate? [yes/no]: y

Trustpoint CA certificate accepted.

% Certificate successfully imported

Router(config)# crypto pki trustpoint 7960

Router(ca-trustpoint)# revocation-check none

Router(ca-trustpoint)# enrollment terminal

Router(ca-trustpoint)# exit

Router(config)# crypto pki authenticate 7960

Enter the base 64 encoded CA certificate.

End with a blank line or the word "quit" on a line by itself

MIICKDCCAZGgAwIBAgIC8wEwDQYJKoZIhvcNAQEFBQAwQDELMAkGA1UEBhMCVVMx

GjAYBgNVBAoTEUNpc2NvIFN5c3RlbXMgSW5jMRUwEwYDVQQDEwxDQVBGLTdEN0Qw

QzAwHhcNMDQwNzE1MjIzODMyWhcNMTkwNzEyMjIzODMxWjBAMQswCQYDVQQGEwJV

UzEaMBgGA1UEChMRQ2lzY28gU3lzdGVtcyBJbmMxFTATBgNVBAMTDENBUEYtN0Q3

RDBDMDCBnzANBgkqhkiG9w0BAQEFAAOBjQAwgYkCgYEA0hvMOZZ9ENYWme11YGY1

it2rvE3Nk/eqhnv8P9eqB1iqt+fFBeAG0WZ5bO5FetdU+BCmPnddvAeSpsfr3Z+h

x+r58fOEIBRHQLgnDZ+nwYH39uwXcRWWqWwlW147YHjV7M5c/R8T6daCx4B5NBo6

kdQdQNOrV3IP7kQaCShdM/kCAwEAAaMxMC8wDgYDVR0PAQH/BAQDAgKEMB0GA1Ud

JQQWMBQGCCsGAQUFBwMBBggrBgEFBQcDBTANBgkqhkiG9w0BAQUFAAOBgQCaNi6x

sL6M5NlDezpSBO3QmUVyXMfrONV2ysrSwcXzHu0gJ9MSJ8TwiQmVaJ47hSTlF5a8

YVYJ0IdifXbXRo+/EEO7kkmFE8MZta5rM7UWj8bAeR42iqA3RzQaDwuJgNWT9Fhh

GgfuNAlo5h1AikxsvxivmDlLdZyCMoqJJd7B2Q==

quit

Certificate has the following attributes:

Fingerprint MD5: 4B9636DF 0F3BA6B7 5F54BE72 24762DBC

Fingerprint SHA1: A9917775 F86BB37A 5C130ED2 3E528BB8 286E8C2D

% Do you accept this certificate? [yes/no]: y

Trustpoint CA certificate accepted.

% Certificate successfully imported

Router(config)# crypto pki trustpoint PEM

Router(ca-trustpoint)# revocation-check none

Router(ca-trustpoint)# enrollment terminal

Router(ca-trustpoint)# exit

Router(config)# crypto pki authenticate PEM

Enter the base 64 encoded CA certificate.

End with a blank line or the word "quit" on a line by itself

MIIDqDCCApCgAwIBAgIQdhL5YBU9b59OQiAgMrcjVjANBgkqhkiG9w0BAQUFADAu

MRYwFAYDVQQKEw1DaXNjbyBTeXN0ZW1zMRQwEgYDVQQDEwtDQVAtUlRQLTAwMTAe

Fw0wMzAyMDYyMzI3MTNaFw0yMzAyMDYyMzM2MzRaMC4xFjAUBgNVBAoTDUNpc2Nv

IFN5c3RlbXMxFDASBgNVBAMTC0NBUC1SVFAtMDAxMIIBIDANBgkqhkiG9w0BAQEF

AAOCAQ0AMIIBCAKCAQEArFW77Rjem4cJ/7yPLVCauDohwZZ/3qf0sJaWlLeAzBlq

Rj2lFlSij0ddkDtfEEo9VKmBOJsvx6xJlWJiuBwUMDhTRbsuJz+npkaGBXPOXJmN

Vd54qlpc/hQDfWlbrIFkCcYhHws7vwnPsLuy1Kw2L2cP0UXxYghSsx8H4vGqdPFQ

NnYy7aKJ43SvDFt4zn37n8jrvlRuz0x3mdbcBEdHbA825Yo7a8sk12tshMJ/YdMm

vny0pmDNZXmeHjqEgVO3UFUn6GVCO+K1y1dUU1qpYJNYtqLkqj7wgccGjsHdHr3a

U+bw1uLgSGsQnxMWeMaWo8+6hMxwlANPweufgZMaywIBA6OBwzCBwDALBgNVHQ8E

BAMCAYYwDwYDVR0TAQH/BAUwAwEB/zAdBgNVHQ4EFgQU6Rexgscfz6ypG270qSac

cK4FoJowbwYDVR0fBGgwZjBkoGKgYIYtaHR0cDovL2NhcC1ydHAtMDAxL0NlcnRF

bnJvbGwvQ0FQLVJUUC0wMDEuY3Jshi9maWxlOi8vXFxjYXAtcnRwLTAwMVxDZXJ0

RW5yb2xsXENBUC1SVFAtMDAxLmNybDAQBgkrBgEEAYI3FQEEAwIBADANBgkqhkiG

9w0BAQUFAAOCAQEAq2T96/YMMtw2Dw4QX+F1+g1XSrUCrNyjx7vtFaRDHyB+kobw

dwkpohfkzfTyYpJELzV1r+kMRoyuZ7oIqqccEroMDnnmeApc+BRGbDJqS1Zzk4OA

c6Ea7fm53nQRlcSPmUVLjDBzKYDNbnEjizptaIC5fgB/S9S6C1q0YpTZFn5tjUjy

WXzeYSXPrcxb0UH7IQJ1ogpONAAUKLoPaZU7tVDSH3hD4+VjmLyysaLUhksGFrrN

phzZrsVVilK17qpqCPllKLGAS4fSbkruq3r/6S/SpXS6/gAoljBKixP7ZW2PxgCU

1aU9cURLPO95NDOFN3jBk3Sips7cVidcogowPQ==

quit

Certificate has the following attributes:

Fingerprint MD5: 233C8E33 8632EA4E 76D79FEB FFB061C6

Fingerprint SHA1: F7B40B94 5831D2AB 447AB8F2 25990732 227631BE

% Do you accept this certificate? [yes/no]: y

Trustpoint CA certificate accepted.

% Certificate successfully imported

show crypto pki trustpoint status コマンドを使用して、登録が成功したこと、および 5 つの CA 証明書が交付されていることを確認します。5 つの証明書とは、今入力した 3 つの証明書と、CA サーバ証明書およびルータ証明書です。

Router# show crypto pki trustpoint status

Trustpoint 7970:

Issuing CA certificate configured:

Subject Name:

cn=CAP-RTP-002,o=Cisco Systems

Fingerprint MD5: F7E150EA 5E6E3AC5 615FC696 66415C9F

Fingerprint SHA1: 1BE2B503 DC72EE28 0C0F6B18 798236D8 D3B18BE6

State:

Keys generated ............. Yes (General Purpose)

Issuing CA authenticated ....... Yes

Certificate request(s) ..... None

Trustpoint 7960:

Issuing CA certificate configured:

Subject Name:

cn=CAPF-508A3754,o=Cisco Systems Inc,c=US

Fingerprint MD5: 6BAE18C2 0BCE391E DAE2FE4C 5810F576

Fingerprint SHA1: B7735A2E 3A5C274F C311D7F1 3BE89942 355102DE

State:

Keys generated ............. Yes (General Purpose)

Issuing CA authenticated ....... Yes

Certificate request(s) ..... None

Trustpoint PEM:

Issuing CA certificate configured:

Subject Name:

cn=CAP-RTP-001,o=Cisco Systems

Fingerprint MD5: 233C8E33 8632EA4E 76D79FEB FFB061C6

Fingerprint SHA1: F7B40B94 5831D2AB 447AB8F2 25990732 227631BE

State:

Keys generated ............. Yes (General Purpose)

Issuing CA authenticated ....... Yes

Certificate request(s) ..... None

Trustpoint srstcaserver:

Issuing CA certificate configured:

Subject Name:

cn=srstcaserver

Fingerprint MD5: 6AF5B084 79C93F2B 76CC8FE6 8781AF5E

Fingerprint SHA1: 47D30503 38FF1524 711448B4 9763FAF6 3A8E7DCF

State:

Keys generated ............. Yes (General Purpose)

Issuing CA authenticated ....... Yes

Certificate request(s) ..... None

Trustpoint srstca:

Issuing CA certificate configured:

Subject Name:

cn=srstcaserver

Fingerprint MD5: 6AF5B084 79C93F2B 76CC8FE6 8781AF5E

Fingerprint SHA1: 47D30503 38FF1524 711448B4 9763FAF6 3A8E7DCF

Router General Purpose certificate configured:

Subject Name:

serialNumber=F3246544+hostname=c2611XM-sSRST.cisco.com

Fingerprint: 35471295 1C907EC1 45B347BC 7A9C4B86

State:

Keys generated ............. Yes (General Purpose)

Issuing CA authenticated ....... Yes

Certificate request(s) ..... Yes

Cisco Unified CME サーバ機能の証明書の取得:例

次の例では、capf という名前の、CAPF サーバ用のトラストポイントを設定します。

Router(config)# crypto pki trustpoint capf

Router(config-ca-trustpoint)# enrollment url http://ca-server.company.com

Router(config-ca-trustpoint)# revocation-check none

Router(config-ca-trustpoint)# rsakeypair capf 1024 1024

Router(config-ca-trustpoint)# exit

Router(config)# crypto pki authenticate capf

Router(config)# crypto pki enroll capf

Telephony-Service セキュリティ パラメータ:例

次の例は、Cisco Unified CME のセキュリティ パラメータを示しています。

telephony-service

device-security-mode authenticated

secure-signaling trustpoint cme-sccp

tftp-server-credentials trustpoint cme-tftp

load-cfg-file slot0:Ringlist.xml alias Ringlist.xml sign create

ephone 24

device-security-mode authenticated

capf-auth-str 2734

cert-oper upgrade auth-mode auth-string

Cisco Unified CME ルータ上で動作する CTL クライアント:例

ctl-client

server capf 10.1.1.1 trustpoint cmeserver

server cme 10.1.1.1 trustpoint cmeserver

server tftp 10.1.1.1 trustpoint cmeserver

sast1 trustpoint cmeserver

sast2 trustpoint sast2

別のルータ上で動作する CTL クライアント:例

ctl-client

server cme 10.1.1.100 trustpoint cmeserver

server cme 10.1.1.1 username cisco password 1 0822455D0A16544541

sast1 trustpoint cmeserver

sast2 trustpoint sast1

CAPF サーバ:例

!

ip dhcp pool cme-pool

network 10.1.1.0 255.255.255.0

option 150 ip 10.1.1.1

default-router 10.1.1.1

!

capf-server

port 3804

auth-mode null-string

cert-enroll-trustpoint iosra password 1 00071A1507545A545C

trustpoint-label cmeserver

source-addr 10.1.1.1

!

crypto pki server iosra

grant auto

mode ra

database url slot0:

!

crypto pki trustpoint cmeserver

enrollment url http://10.1.1.100:80

serial-number

revocation-check none

rsakeypair cmeserver

!

crypto pki trustpoint sast2

enrollment url http://10.1.1.100:80

serial-number

revocation-check none

rsakeypair sast2

!

!

crypto pki trustpoint iosra

enrollment url http://10.1.1.200:80

revocation-check none

rsakeypair iosra

!

!

crypto pki certificate chain cmeserver

certificate 1B

30820207 30820170 A0030201 0202011B 300D0609 2A864886 F70D0101 04050030

....

quit

certificate ca 01

3082026B 308201D4 A0030201 02020101 300D0609 2A864886 F70D0101 04050030

...

quit

crypto pki certificate chain sast2

certificate 1C

30820207 30820170 A0030201 0202011C 300D0609 2A864886 F70D0101 04050030

....

quit

certificate ca 01

3082026B 308201D4 A0030201 02020101 300D0609 2A864886 F70D0101 04050030

.....

quit

crypto pki certificate chain capf-tp

crypto pki certificate chain iosra

certificate 04

30820201 3082016A A0030201 02020104 300D0609 2A864886 F70D0101 04050030

......

certificate ca 01

308201F9 30820162 A0030201 02020101 300D0609 2A864886 F70D0101 04050030

....

quit

!

!

credentials

ctl-service admin cisco secret 1 094F471A1A0A464058

ip source-address 10.1.1.1 port 2444

trustpoint cmeserver

!

!

telephony-service

no auto-reg-ephone

load 7960-7940 P00307010200

load 7914 S00104000100

load 7941GE TERM41.7-0-0-129DEV

load 7970 TERM70.7-0-0-77DEV

max-ephones 20

max-dn 10

ip source-address 10.1.1.1 port 2000 secondary 10.1.1.100

secure-signaling trustpoint cmeserver

cnf-file location flash:

cnf-file perphone

dialplan-pattern 1 2... extension-length 4

max-conferences 8 gain -6

transfer-pattern ....

tftp-server-credentials trustpoint cmeserver

server-security-mode secure

device-security-mode encrypted

load-cfg-file slot0:Ringlist.xml alias Ringlist.xml sign

load-cfg-file slot0:P00307010200.bin alias P00307010200.bin

load-cfg-file slot0:P00307010200.loads alias P00307010200.loads

load-cfg-file slot0:P00307010200.sb2 alias P00307010200.sb2

load-cfg-file slot0:P00307010200.sbn alias P00307010200.sbn

load-cfg-file slot0:cnu41.2-7-4-116dev.sbn alias cnu41.2-7-4-116dev.sbn

load-cfg-file slot0:Jar41.2-9-0-101dev.sbn alias Jar41.2-9-0-101dev.sbn

load-cfg-file slot0:CVM41.2-0-0-96dev.sbn alias CVM41.2-0-0-96dev.sbn

load-cfg-file slot0:TERM41.DEFAULT.loads alias TERM41.DEFAULT.loads

load-cfg-file slot0:TERM70.DEFAULT.loads alias TERM70.DEFAULT.loads

load-cfg-file slot0:Jar70.2-9-0-54dev.sbn alias Jar70.2-9-0-54dev.sbn

load-cfg-file slot0:cnu70.2-7-4-58dev.sbn alias cnu70.2-7-4-58dev.sbn

load-cfg-file slot0:CVM70.2-0-0-49dev.sbn alias CVM70.2-0-0-49dev.sbn

load-cfg-file slot0:DistinctiveRingList.xml alias DistinctiveRingList.xml sign

load-cfg-file slot0:Piano1.raw alias Piano1.raw sign

load-cfg-file slot0:S00104000100.sbn alias S00104000100.sbn

create cnf-files version-stamp 7960 Aug 13 2005 12:39:24

!

!

ephone 1

device-security-mode encrypted

cert-oper upgrade auth-mode null-string

mac-address 000C.CE3A.817C

type 7960 addon 1 7914

button 1:2 8:8

!

!

ephone 2

device-security-mode encrypted

capf-auth-str 2476

cert-oper upgrade auth-mode null-string

mac-address 0011.2111.6BDD

type 7970

button 1:1

!

!

ephone 3

device-security-mode encrypted

capf-auth-str 5425

cert-oper upgrade auth-mode null-string

mac-address 000D.299D.50DF

type 7970

button 1:3

!

!

ephone 4

device-security-mode encrypted

capf-auth-str 7176

cert-oper upgrade auth-mode null-string

mac-address 000E.D7B1.0DAC

type 7960

button 1:4

!

!

ephone 5

device-security-mode encrypted

mac-address 000F.9048.5077

type 7960

button 1:5

!

!

ephone 6

device-security-mode encrypted

mac-address 0013.C352.E7F1

type 7941GE

button 1:6

!

セキュアな Cisco Unified CME:例

Router# show running-config

Building configuration...

Current configuration : 12735 bytes

!

! No configuration change since last restart

!

version 12.4

service timestamps debug datetime msec

service timestamps log datetime msec

no service password-encryption

service internal

!

hostname Router

!

boot-start-marker

boot-end-marker

!

card type e1 1 1

logging queue-limit 10000

logging buffered 9999999 debugging

logging rate-limit 10000

no logging console

!

aaa new-model

!

!

aaa accounting connection h323 start-stop group radius

!

aaa session-id common

!

resource policy

!

clock timezone IST 5

no network-clock-participate slot 1

!

!

ip cef

!

!

isdn switch-type primary-net5

!

voice-card 0

no dspfarm

!

voice-card 1

no dspfarm

!

!

ctl-client

server capf 10.13.32.11 trustpoint mytrustpoint1

server tftp 10.13.32.11 trustpoint mytrustpoint1

server cme 10.13.32.11 trustpoint mytrustpoint1

sast1 trustpoint mytrustpoint1

sast2 trustpoint sast2

!

capf-server

port 3084

auth-mode null-string

cert-enroll-trustpoint iosra password 1 mypassword

trustpoint-label mytrustpoint1

source-addr 10.13.32.11

phone-key-size 512

!

voice call debug full-guid

!

voice service voip

srtp fallback

allow-connections h323 to h323

no supplementary-service h450.2

no supplementary-service h450.3

no supplementary-service h450.7

supplementary-service media-renegotiate

h323

emptycapability

ras rrq ttl 4000

!

!

voice class codec 2

codec preference 1 g711alaw

codec preference 2 g711ulaw

!

voice class codec 3

codec preference 1 g729r8

codec preference 8 g711alaw

codec preference 9 g711ulaw

!

voice class codec 1

codec preference 1 g729r8

codec preference 2 g728

codec preference 3 g723ar63

codec preference 4 g711ulaw

!

!

voice iec syslog

voice statistics type iec

voice statistics time-range since-reset

!

!

!

crypto pki server myra

database level complete

grant auto

lifetime certificate 1800

!

crypto pki trustpoint myra

enrollment url http://10.13.32.11:80

revocation-check none

rsakeypair iosra

!

crypto pki trustpoint mytrustpoint1

enrollment url http://10.13.32.11:80

revocation-check none

rsakeypair mytrustpoint1

!

crypto pki trustpoint sast2

enrollment url http://10.13.32.11:80

revocation-check none

rsakeypair sast2

!

!

crypto pki certificate chain myra

certificate ca 01

308201F9 30820162 A0030201 02020101 300D0609 2A864886 F70D0101 04050030

10310E30 0C060355 04031305 696F7372 61301E17 0D303630 37303730 35343031

375A170D 30393037 30363035 34303137 5A301031 0E300C06 03550403 1305696F

73726130 819F300D 06092A86 4886F70D 01010105 0003818D 00308189 02818100

D8CE29F9 C9FDB1DD 0E1517E3 6CB4AAF7 52B83DE2 1C017ACA DFC4AF42 F9D10D08

E74BF95B 29378902 B49E32C4 85907384 84CAE4B2 7759BB84 8AB1F578 580793C4

B11A2DBE B2ED02CC DA0C3824 A5FCC377 18CE87EA C0C297BA BE54530F E62247D8

1483CD14 9FD89EFE 05DFBB37 E03FD3F8 B2B1C0B8 A1931BCC B1174A9E 6566F8F5

02030100 01A36330 61300F06 03551D13 0101FF04 05300301 01FF300E 0603551D

0F0101FF 04040302 0186301F 0603551D 23041830 168014B7 16F6FD67 29666C90

D0C62515 E14265A9 EB256230 1D060355 1D0E0416 0414B716 F6FD6729 666C90D0

C62515E1 4265A9EB 2562300D 06092A86 4886F70D 01010405 00038181 002B7F41

64535A66 D20D888E 661B9584 5E3A28DF 4E5A95B9 97E57CAE B07A7C38 7F3B60EE

75C7E5DE 6DF19B06 5F755FB5 190BABFC EF272CEF 865FE01B 1CE80F98 F320A569

CAFFA5D9 3DB3E7D8 8A86C66C F227FF81 6C4449F2 AF8015D9 8129C909 81AFDC01

180B61E8 85E19873 96DB3AE3 E6B70726 9BF93521 CA2FA906 99194ECA 8F

quit

crypto pki certificate chain mytrustpoint1

certificate 02

308201AB 30820114 A0030201 02020102 300D0609 2A864886 F70D0101 04050030

10310E30 0C060355 04031305 696F7372 61301E17 0D303630 37303730 35343233

385A170D 30393037 30363035 34303137 5A301A31 18301606 092A8648 86F70D01

09021609 32383531 2D434D45 32305C30 0D06092A 864886F7 0D010101 0500034B

00304802 4100B3ED A902646C 3851B7F6 CF94887F 0EC437E3 3B6FEDB2 2B4B45A6

3611C243 5A0759EA 1E8D96D1 60ABE028 ED6A3F2A E95DCE45 BE0921AF 82E53E57

17CC12F0 C1270203 010001A3 4F304D30 0B060355 1D0F0404 030205A0 301F0603

551D2304 18301680 14B716F6 FD672966 6C90D0C6 2515E142 65A9EB25 62301D06

03551D0E 04160414 4EE1943C EA817A9E 7010D5B8 0467E9B0 6BA76746 300D0609

2A864886 F70D0101 04050003 81810003 564A6DA1 868B2669 7C096F9A 41173CFC

E49246EE C645E30B A0753E3B E1A265D1 6EA5A829 F10CD0E8 3F2E3AD4 39D8DFE8

83525F2B D19F5E15 F27D6262 62852D1F 43629B68 86D91B5F 7B2E2C25 3BD2CCC3

00EF4028 714339B2 6A7E0B2F 131D2D9E 0BE08853 5CCAE47C 4F74953C 19305A20

B2C97808 D6E01351 48366421 A1D407

quit

certificate ca 01

308201F9 30820162 A0030201 02020101 300D0609 2A864886 F70D0101 04050030

10310E30 0C060355 04031305 696F7372 61301E17 0D303630 37303730 35343031

375A170D 30393037 30363035 34303137 5A301031 0E300C06 03550403 1305696F

73726130 819F300D 06092A86 4886F70D 01010105 0003818D 00308189 02818100

D8CE29F9 C9FDB1DD 0E1517E3 6CB4AAF7 52B83DE2 1C017ACA DFC4AF42 F9D10D08

E74BF95B 29378902 B49E32C4 85907384 84CAE4B2 7759BB84 8AB1F578 580793C4

B11A2DBE B2ED02CC DA0C3824 A5FCC377 18CE87EA C0C297BA BE54530F E62247D8

1483CD14 9FD89EFE 05DFBB37 E03FD3F8 B2B1C0B8 A1931BCC B1174A9E 6566F8F5

02030100 01A36330 61300F06 03551D13 0101FF04 05300301 01FF300E 0603551D

0F0101FF 04040302 0186301F 0603551D 23041830 168014B7 16F6FD67 29666C90

D0C62515 E14265A9 EB256230 1D060355 1D0E0416 0414B716 F6FD6729 666C90D0

C62515E1 4265A9EB 2562300D 06092A86 4886F70D 01010405 00038181 002B7F41

64535A66 D20D888E 661B9584 5E3A28DF 4E5A95B9 97E57CAE B07A7C38 7F3B60EE

75C7E5DE 6DF19B06 5F755FB5 190BABFC EF272CEF 865FE01B 1CE80F98 F320A569

CAFFA5D9 3DB3E7D8 8A86C66C F227FF81 6C4449F2 AF8015D9 8129C909 81AFDC01

180B61E8 85E19873 96DB3AE3 E6B70726 9BF93521 CA2FA906 99194ECA 8F

quit

crypto pki certificate chain sast2

certificate 03

308201AB 30820114 A0030201 02020103 300D0609 2A864886 F70D0101 04050030

10310E30 0C060355 04031305 696F7372 61301E17 0D303630 37303730 35343331

375A170D 30393037 30363035 34303137 5A301A31 18301606 092A8648 86F70D01

09021609 32383531 2D434D45 32305C30 0D06092A 864886F7 0D010101 0500034B

00304802 4100C703 840B11A7 81FCE5AE A14FE593 5114D3C2 5473F488 B8FB4CC5

41EAFA3A D99381D8 21AE6AA9 BA83A84E 9DF3E8C6 54978787 5EF6CC35 C334D55E

A3051372 17D30203 010001A3 4F304D30 0B060355 1D0F0404 030205A0 301F0603

551D2304 18301680 14B716F6 FD672966 6C90D0C6 2515E142 65A9EB25 62301D06

03551D0E 04160414 EB2146B4 EE24AA61 8B5D2F8D 2AD3B786 CBADC8F2 300D0609

2A864886 F70D0101 04050003 81810057 BA0053E9 8FD54B25 72D85A4C CAB47F26

8316F494 E94DFFB9 8E9D065C 9748465C F54719CA C7724F50 67FBCAFF BC332109

DC2FB93D 5AD86583 EDC3E648 39274CE8 D4A5F002 5F21ED3C 6D524AB7 7F5B1876

51867027 9BD2FFED 06984558 C903064E 5552015F 289BA9BB 308D327A DFE0A3B9

78CF2B02 2DD4C208 80CDC0A8 43A26A

quit

certificate ca 01

308201F9 30820162 A0030201 02020101 300D0609 2A864886 F70D0101 04050030

10310E30 0C060355 04031305 696F7372 61301E17 0D303630 37303730 35343031

375A170D 30393037 30363035 34303137 5A301031 0E300C06 03550403 1305696F

73726130 819F300D 06092A86 4886F70D 01010105 0003818D 00308189 02818100

D8CE29F9 C9FDB1DD 0E1517E3 6CB4AAF7 52B83DE2 1C017ACA DFC4AF42 F9D10D08

E74BF95B 29378902 B49E32C4 85907384 84CAE4B2 7759BB84 8AB1F578 580793C4

B11A2DBE B2ED02CC DA0C3824 A5FCC377 18CE87EA C0C297BA BE54530F E62247D8

1483CD14 9FD89EFE 05DFBB37 E03FD3F8 B2B1C0B8 A1931BCC B1174A9E 6566F8F5

02030100 01A36330 61300F06 03551D13 0101FF04 05300301 01FF300E 0603551D

0F0101FF 04040302 0186301F 0603551D 23041830 168014B7 16F6FD67 29666C90

D0C62515 E14265A9 EB256230 1D060355 1D0E0416 0414B716 F6FD6729 666C90D0

C62515E1 4265A9EB 2562300D 06092A86 4886F70D 01010405 00038181 002B7F41

64535A66 D20D888E 661B9584 5E3A28DF 4E5A95B9 97E57CAE B07A7C38 7F3B60EE

75C7E5DE 6DF19B06 5F755FB5 190BABFC EF272CEF 865FE01B 1CE80F98 F320A569

CAFFA5D9 3DB3E7D8 8A86C66C F227FF81 6C4449F2 AF8015D9 8129C909 81AFDC01

180B61E8 85E19873 96DB3AE3 E6B70726 9BF93521 CA2FA906 99194ECA 8F

quit

!

!

username admin password 0 mypassword2

username cisco password 0 mypassword2

!

!

controller E1 1/0

pri-group timeslots 1-31

!

controller E1 1/1

pri-group timeslots 1-31

gw-accounting aaa

!

!

!

!

!

interface GigabitEthernet0/0

ip address 10.13.32.11 255.255.255.0

duplex auto

speed auto

fair-queue 64 256 32

h323-gateway voip interface

h323-gateway voip id GK1 ipaddr 10.13.32.13 1719

h323-gateway voip id GK2 ipaddr 10.13.32.16 1719

h323-gateway voip h323-id 2851-CiscoUnifiedCME

h323-gateway voip tech-prefix 1#

ip rsvp bandwidth 1000 100

!

interface GigabitEthernet0/1

no ip address

shutdown

duplex auto

speed auto

!

interface Serial1/0:15

no ip address

encapsulation hdlc

isdn switch-type primary-net5

isdn protocol-emulate network

isdn incoming-voice voice

no cdp enable

!

interface Serial1/1:15

no ip address

encapsulation hdlc

isdn switch-type primary-net5

isdn protocol-emulate network

isdn incoming-voice voice

no cdp enable

!

ip route 0.0.0.0 0.0.0.0 10.13.32.1

!

!

ip http server

ip http authentication local

no ip http secure-server

ip http path flash:

!

!

!

!

!

!

tftp-server flash:music-on-hold.au

tftp-server flash:TERM70.DEFAULT.loads

tftp-server flash:TERM71.DEFAULT.loads

tftp-server flash:P00308000300.bin

tftp-server flash:P00308000300.loads

tftp-server flash:P00308000300.sb2

tftp-server flash:P00308000300.sbn

tftp-server flash:SCCP70.8-0-3S.loads

tftp-server flash:cvm70sccp.8-0-2-25.sbn

tftp-server flash:apps70.1-1-2-26.sbn

tftp-server flash:dsp70.1-1-2-26.sbn

tftp-server flash:cnu70.3-1-2-26.sbn

tftp-server flash:jar70sccp.8-0-2-25.sbn

radius-server host 10.13.32.241 auth-port 1645 acct-port 1646

radius-server timeout 40

radius-server deadtime 2

radius-server key cisco

radius-server vsa send accounting

!

control-plane

!

no call rsvp-sync

!

!

voice-port 1/0/0

!

voice-port 1/0/1

!

voice-port 1/0:15

!

voice-port 1/1:15

!

!

!

!

!

dial-peer voice 1 voip

destination-pattern ........

voice-class codec 2

session target ras

incoming called-number 9362....

dtmf-relay h245-alphanumeric

req-qos controlled-load audio

!

dial-peer voice 2 pots

destination-pattern 93621101

!

dial-peer voice 3 pots

destination-pattern 93621102

!

dial-peer voice 10 voip

destination-pattern 2668....

voice-class codec 1

session target ipv4:10.13.46.200

!

dial-peer voice 101 voip

shutdown

destination-pattern 5694....

voice-class codec 1

session target ipv4:10.13.32.10

incoming called-number 9362....

!

dial-peer voice 102 voip

shutdown

destination-pattern 2558....

voice-class codec 1

session target ipv4:10.13.32.12

incoming called-number 9362....

!

dial-peer voice 103 voip

shutdown

destination-pattern 9845....

voice-class codec 1

session target ipv4:10.13.32.14

incoming called-number 9362....

!

dial-peer voice 104 voip

shutdown

destination-pattern 9844....

voice-class codec 1

session target ipv4:10.13.32.15

incoming called-number 9362....

!

dial-peer voice 201 pots

destination-pattern 93625...

no digit-strip

direct-inward-dial

port 1/0:15

!

dial-peer voice 202 pots

destination-pattern 93625...

no digit-strip

direct-inward-dial

port 1/1:15

!

!

gateway

timer receive-rtp 1200

!

!

!

telephony-service

load 7960-7940 P00308000300

max-ephones 4

max-dn 4

ip source-address 10.13.32.11 port 2000

auto assign 1 to 4

secure-signaling trustpoint mytrustpoint1

cnf-file location flash:

cnf-file perphone

voicemail 25589000

max-conferences 4 gain -6

call-forward pattern .T

moh flash:music-on-hold.au

web admin system name admin password mypassword2

dn-webedit

time-webedit

transfer-system full-consult

transfer-pattern ........

tftp-server-credentials trustpoint mytrustpoint1

server-security-mode secure

device-security-mode encrypted

create cnf-files version-stamp 7960 Oct 25 2006 07:19:39

!

!

ephone-dn 1

number 93621000

name 2851-PH1

call-forward noan 25581101 timeout 10

!

!

ephone-dn 2

number 93621001

name 2851-PH2

call-forward noan 98441000 timeout 10

!

!

ephone-dn 3

number 93621002

name 2851-PH3

!

!

ephone-dn 4

number 93621003

name 2851-PH4

!

!

ephone 1

no multicast-moh

device-security-mode encrypted

mac-address 0012.4302.A7CC

type 7970

button 1:1

!

!

!

ephone 2

no multicast-moh

device-security-mode encrypted

mac-address 0017.94CA.9CCD

type 7960

button 1:2

!

!

!

ephone 3

no multicast-moh

device-security-mode encrypted

mac-address 0017.94CA.9833

type 7960

button 1:3

!

!

!

ephone 4

no multicast-moh

device-security-mode none

mac-address 0017.94CA.A141

type 7960

button 1:4

!

!

!

line con 0

logging synchronous level all limit 20480000

line aux 0

line vty 0 4

!

scheduler allocate 20000 1000

ntp clock-period 17179791

ntp server 10.13.32.12

!

webvpn context Default_context

ssl authenticate verify all

!

no inservice

!

!

end

関連情報

PKI 管理

Cisco IOS 公開鍵インフラストラクチャ(PKI)は、IP Security(IPSec)、Secure Shell(SSH; セキュア シェル)、Secure Socket Layer(SSL)などのセキュリティ プロトコルをサポートする証明書管理を実現します。詳細については、次の資料を参照してください。

ご使用の Cisco IOS リリースの『 Cisco IOS Security Configuration Guide 』にある
Part 5: Implementing and Managing a PKI

ご使用の Cisco IOS リリースの『 Cisco IOS Security Command Reference

Cisco VG224 Analog Phone Gateway

Cisco VG224 Analog Phone Gateway でのセキュアなエンドポイントの設定については、『 SCCP Controlled Analog (FXS) Ports with Supplementary Features in Cisco IOS Gateways 』を参照してください。

その他の資料

次の項では、Cisco Unified CME の機能に関連する参照資料を示します。

テクニカル サポート

説明
リンク

Cisco Support Web サイトでは、シスコ製品やシスコの技術に関するトラブルシューティングにお役立ていただけるように、マニュアルなどの豊富なオンライン リソースやツールを提供しています。Cisco Support Web サイトのほとんどのツールにアクセスするには、Cisco.com のユーザ ID とパスワードが必要です。サービス契約が有効で、ユーザ ID またはパスワードを取得していない場合は、Cisco.com で登録手続きを行ってください。

http://www.cisco.com/techsupport

セキュリティに関する機能情報

表27 は、この章で説明した機能、およびバージョンごとの機能拡張を示しています。

特定の Cisco Unified CME バージョンをサポートする正確な Cisco IOS リリースについては、「 Cisco Unified CME and Cisco IOS Software Version Compatibility Matrix 」( http://www.cisco.com/en/US/products/sw/voicesw/ps4625/products_documentation_roadmap09186a0080189132.html )を参照してください。

プラットフォームおよびソフトウェア イメージのサポートに関する情報を参照するには、Cisco Feature Navigator を使用します。Cisco Feature Navigator では、特定のソフトウェア リリース、機能セット、またはプラットフォームをサポートしている Cisco IOS ソフトウェアを確認できます。Cisco Feature Navigator にアクセスするには、 http://www.cisco.com/go/cfn に移動してください。Cisco.com のアカウントは必要ありません。


表27 は、所定の機能に対するサポートが導入された Cisco Unified CME のバージョンを示しています。特に断りのない限り、その機能は以降のバージョンの Cisco Unified CME ソフトウェアでもサポートされます。


 

表27 セキュリティに関する機能情報

機能名
Cisco Unified CME のバージョン
機能情報

Cisco Unified CME でのメディア暗号化(SRTP)

4.2

Cisco Unified CME でのメディア暗号化が導入されました。

電話機の認証

4.0

Cisco Unified CME 電話機の電話機認証が導入されました。