Cisco Unified Communications Manager セキュリティ ガイド リリース 8.6(1)
FIPS 140-2 モードの設定
FIPS 140-2 モードの設定
発行日;2012/05/09 | 英語版ドキュメント(2011/05/25 版) | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 3MB) | フィードバック

目次

FIPS 140-2 モードの設定

FIPS 140-2 の概要

FIPS 140-2 モードの有効化

FIPS 140-2 モードの無効化

FIPS 140-2 モードのステータスの確認

FIPS 140-2 モードでのサーバのリブート

FIPS 140-2 の概要

Federal Information Processing Standard(FIPS; 連邦情報処理標準)は、米国 およびカナダ政府の認証規格であり、適合させなければならない暗号モジュールの要件を規定します。

Cisco Unified Communications Manager8.6 は、米国の National Institute of Standards and Technology(NIST; 国立標準技術研究所)に従って、FIPS 140-2 に準拠し、FIPS モードのレベル 1 に準拠して動作します。

FIPS 140-2 モードを有効にすると、Cisco Unified Communications Manager はリブートし、起動時に認証のセルフテストを実行し、暗号モジュールの整合性チェックを実行してから、鍵関連情報を再生成します。この時点で、Cisco Unified Communications Manager は FIPS 140-2 モードで動作しています。

Cisco Unified Communications Manager8.6 は、スタートアップ セルフテストの実行と、承認された暗号機能のリストに限定することなど、FIPS の要件を満たしています。

Cisco Unified Communications Manager FIPS モードは、FIPS 140-2 レベル 1 で検証された次の暗号モジュールを使用します。

FIPS モジュール 1.2 を使用する Openssl 0.9.8l

RSA CryptoJ 4.1

Red Hat Openssl

Red Hat Openswan

NSS

Cisco Unified Communications Manager では、次の FIPS 関連作業を行うことができます。

FIPS 140-2 モードの有効化

FIPS 140-2 モードの無効化

FIPS 140-2 モードのステータスの確認


) デフォルトで、Cisco Unified Communications Manager は、非 FIPS モードです。管理者は FIPS モードを有効化する必要があります。


FIPS 140-2 モードの有効化

FIPS 140-2 は、CLI を使用して有効にします。詳細については、『 Command Line Interface Reference Guide for Cisco Unifed Communications Solutions 』を参照してください。

Cisco Unified Communications Manager で FIPS 140-2 モードを有効にする前に、次の点について考慮してください。

単一のサーバ クラスタでは、証明書が再生成されるため、CTL クライアントを実行するか、「Prepare Cluster for Rollback to pre 8.0」エンタープライズ パラメータを適用してから、FIPS モードを有効にする必要があります。いずれの手順も実行しなかった場合は、FIPS モードを有効にした後、管理者が手動で ITL ファイルを削除する必要があります。

サーバ上で FIPS モードを有効にしたら、その次のサーバ上で FIPS を有効にする前に、サーバが再起動され、電話機が正常に再登録されるまで待ってください。


注意 FIPS モードを有効にする前に、システムのバックアップを実行することを強く推奨します。起動時に FIPS チェックに失敗した場合、システムは停止し、復元のためのリカバリ CD を要求します。

FIPS 140-2 モードを有効にするには、次の手順を実行します。

手順


ステップ 1 CLI セッションを開始します。

詳細については、『 Command Line Interface Reference Guide for Cisco Unifed Communications Solutions 』の「Starting a CLI Session」を参照してください。

ステップ 2 CLI に utils fips enable と入力します。

次のプロンプトが表示されます。

Security Warning: The operation will regenerate certificates for
1)CallManager
2)Tomcat
3)IPsec
4)TVS
5)CAPF
6)SSH
Any third party CA signed certificates that have been uploaded for the above components will need to be re-uploaded.
If the system is operating in mixed mode, then the CTL client needs to be run again to update the CTL file.
******************************************************************************
This will change the system to FIPS mode and will reboot.
******************************************************************************
Do you want to continue (yes/no)?
 

ステップ 3 yes と入力します。

次のメッセージが表示されます。

Generating certificates...
Setting FIPS mode in operating system.
FIPS mode enabled successfully.
********************************************************
It is highly recommended that after your system restarts
that a system backup is performed.
********************************************************
The system will reboot in a few minutes.
 

Cisco Unified Communications Manager が自動的にリブートされます。


) 証明書および SSH キーは、FIPS の要件に従って、自動的に再生成されます。



) 単一サーバ クラスタを使用していて、FIPS 140-2 モードを有効にするよりも先に、「Prepare Cluster for Rollback to pre 8.0」エンタープライズ パラメータを適用した場合は、すべての電話機が正常にサーバに登録されたことを確認してから、このエンタープライズ パラメータを無効にします。



) FIPS モードでは、Cisco Unified Communications Manager は、Racoon(FIPS 未検証)の代わりに RedHat Openswan(FIPS 検証済み)を使用します。Racoon のセキュリティ ポリシーに FIPS で承認されていない機能が含まれる場合、CLI コマンドは、FIPS で承認された機能を使用してセキュリティ ポリシーを再定義するように要求し、コマンドは中断します。詳細については、『Cisco Unified Communications Operating System Administration Guide』の「IPsec Management」を参照してください。



 

FIPS 140-2 モードの無効化

FIPS 140-2 は、CLI を使用して無効にします。詳細については、『 Command Line Interface Reference Guide for Cisco Unifed Communications Solutions 』を参照してください。

Cisco Unified Communications Manager で FIPS 140-2 モードを無効にする前に、次の点について考慮してください。

単一または複数のサーバ クラスタでは、CTL クライアントを実行することを強く推奨します。単一のサーバ クラスタで CTL クライアントを実行しない場合は、FIPS モードを無効にした後、管理者が手動で ITL ファイルを削除する必要があります。

複数のサーバ クラスタでは、各サーバを別々に無効にする必要があります。FIPS モードはクラスタ全体ではなくサーバ単位で無効にする必要があるためです。

FIPS 140-2 モードを無効にするには、次の手順を実行します。

手順


ステップ 1 CLI セッションを開始します。

詳細については、『 Command Line Interface Reference Guide for Cisco Unifed Communications Solutions 』の「Starting a CLI Session」の項を参照してください。

ステップ 2 CLI に utils fips disable と入力します。

Cisco Unified Communications Manager がリブートされ、非 FIPS モードに戻ります。


) 証明書および SSH キーは、FIPS の要件に従って、自動的に再生成されます。



 

FIPS 140-2 モードのステータスの確認

FIPS 140-2 モードが有効であることを確認するために、CLI からステータスをチェックできます。

FIPS 140-2 モードのステータスを確認するには、次の手順を実行します。

手順


ステップ 1 CLI セッションを開始します。

詳細については、『 Command Line Interface Reference Guide for Cisco Unifed Communications Solutions 』の「Starting a CLI Session」の項を参照してください。

ステップ 2 CLI に utils fips status と入力します。

FIPS 140-2 モードが有効であることを確認する次のメッセージが表示されます。

admin:utils fips status
 
The system is operating in FIPS mode.Self test status:
 
- S T A R T ---------------------
Executing FIPS selftests
runlevel is N 3
Start time: Thu Apr 28 15:59:24 PDT 2011
NSS self tests passed.
Kernel Crypto tests passed.
Operating System OpenSSL self tests passed.
Openswan self tests passed.
OpenSSL self tests passed.
CryptoJ self tests passed...


 

FIPS 140-2 モードでのサーバのリブート

Cisco Unified Communications Manager サーバを FIPS 140-2 モードでリブートすると、リブート後に各 FIPS 140-2 モジュールで FIPS のスタートアップ セルフテストがトリガーされます。


注意 1 つでもセルフテストに失敗すると、CUCM サーバは停止します。


) Cisco Unified Communications Manager サーバは、対応する CLI コマンドを使用して FIPS が有効または無効になったときに、自動的にリブートされます。ユーザがリブートを開始することもできます。



注意 一時的なエラーによってスタートアップ セルフテストに失敗した場合は、Cisco Unified Communications Manager サーバの再起動によって問題が修正されます。ただし、スタートアップ セルフテストのエラーが解消されない場合は、FIPS モジュールに重大な問題があることが示唆され、リカバリ CD を使用することが残されたオプションになります。