Cisco Unified Communications Manager セキュリティ ガイド リリース 8.6(1)
デフォルトのセキュリティ
デフォルトのセキュリティ
発行日;2012/05/10 | 英語版ドキュメント(2011/05/25 版) | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 3MB) | フィードバック

目次

デフォルトのセキュリティ

概要

信頼検証サービス

TVS の概要

初期信頼リスト

ITL ファイル

ITL ファイルの内容

ITL ファイルと CTL ファイルの相互作用

自動登録

サポートされている

証明書の再生成

CAPF 証明書の再生成

TVS 証明書の再生成

TFTP 証明書の再生成

Tomcat 証明書の再生成

TFTP 証明書再生成後のシステムのバックアップ

のリリース 7.x からリリース 8.6 以降へのリフレッシュ アップグレード

8.0 よりも前のリリースへのクラスタのロールバック

リリース 8.6 以降への切り替え

8.0 および ITL ファイルによるクラスタ間の IP Phone の移行

証明書の一括エクスポート

概要

デフォルトのセキュリティは、次の自動セキュリティ機能を Cisco Unified IP Phone に提供します。

電話機設定ファイルの署名

電話機設定ファイルの暗号化に対するサポート

Tomcat および他の Web サービス(MIDlet)での https

Cisco Unified Communications Manager リリース 8.0 では、CTL クライアントを実行せずに、これらのセキュリティ機能をデフォルトで使用できます。


) セキュアなシグナリングおよびメディアについては、引き続き CTL クライアントを実行して、ハードウェア eToken を使用することが必要です。


信頼検証サービス

Trust Verification Service(TVS; 信頼検証サービス)は、デフォルトのセキュリティの主要コンポーネントです。TVS を使用すると、HTTPS を確立しているときに、Cisco Unified IP Phone で EM サービス、ディレクトリ、および MIDlet などのアプリケーション サーバを認証できます。

TVS で提供される機能は次のとおりです。

スケーラビリティ:Cisco Unified IP Phone のリソースは、信頼する証明書の数に影響されません。

柔軟性:信頼証明書の追加または削除が、システム内で自動的に反映されます。

デフォルトのセキュリティ:メディアおよびシグナリングのセキュリティ以外の機能はデフォルトのインストールに含まれており、ユーザ操作は必要ありません。


) セキュアなシグナリングおよびメディアを有効にするには、CTL クライアントが必要です。


TVS の概要

信頼検証サービスの基本概念は次のとおりです。

TVS は Cisco Unified Communications Manager サーバで稼動して、Cisco Unified IP Phone の代わりに証明書を認証します。

信頼できる証明書をすべてダウンロードするのではなく、Cisco Unified IP Phone では TVS を信頼するだけで済みます。

TVS 証明書およびいくつかのキー証明書が、Initial Trust List(ITL; 初期信頼リスト)ファイルという新しいファイルにまとめられます。

ITL ファイルは、ユーザ操作なしで自動的に生成されます。

ITL ファイルは、Cisco Unified IP Phone によってダウンロードされ、ここから信頼情報が取得されます。

初期信頼リスト

次のタスクを実行するには、Cisco Unified IP Phone に Initial Trust List(ITL; 初期信頼リスト)が必要です。

設定ファイルの署名の認証

CAPF との安全な通話(設定ファイルの暗号化をサポートするための前提条件)

TVS に対する信頼(特に https 証明書の認証)

Cisco Unified IP Phone に既存の CTL ファイルがない場合、最初の ITL ファイルが(CTL ファイルの場合と同様に)自動的に信頼されます。後続の ITL ファイルが同じ TFTP 秘密鍵で署名されているか、または TVS で署名者に応じた証明書を返すことができる必要があります。

Cisco Unified IP Phone に既存の CTL ファイルがある場合は、その CTL ファイルを使用して ITL ファイルの署名を認証します。

ITL ファイル

ITL ファイルには、初期信頼リストが格納されます。ITL ファイルは CTL ファイルと同じ形式で、基本的には CTL ファイルの小型版または縮小版です。ITL ファイルに適用される属性は、次のとおりです。

CTL ファイルとは異なり、ITL ファイルはクラスタのインストール時にシステムによって自動的に作成され、内容の変更が必要になった場合には、自動的に更新されます。

ITL ファイルに eToken は不要です。このファイルはソフト eToken(TFTP 秘密鍵)を使用します。

ITL ファイルは、ブート時またはリセット時に CTL ファイル(ある場合)がダウンロードされた後すぐに、Cisco Unified IP Phone によってダウンロードされます。

ITL ファイルの内容

ITL ファイルには、次の証明書が含まれます。

TFTP サーバの証明書。この証明書を使用すると、ITL ファイルの署名および電話機設定ファイルの署名を認証できます。

クラスタ内のすべての TVS 証明書。この証明書を使用すると、電話機は TVS と安全に通信して証明書認証を要求できます。

CAPF 証明書。この証明書を使用すると、設定ファイルの暗号化をサポートできます。ITL ファイルに必須というわけではありませんが(TVS で認証できる)、CAPF 証明書によって CAPF への接続が簡易化されます。

CTL ファイルと同様に、ITL ファイルには証明書ごとに 1 つのレコードが格納されます。各レコードの内容は次のとおりです。

証明書

Cisco Unified IP Phone による簡易検索のために事前抽出された証明書フィールド

証明書権限(TFTP、CUCM、TFTP+CCM、CAPF、TVS、SAST)

TFTP 証明書は、次の 2 つの異なる権限を持つ 2 つの ITL レコードに含まれています。

TFTP または TFTP+CCM 権限:設定ファイルの署名を認証します。

SAST 権限:ITL ファイルの署名を認証します。

ITL ファイルと CTL ファイルの相互作用

Cisco Unified IP Phone では、クラスタのセキュリティ モード(非セキュアまたは混合モード)を確認するのに依然として CTL ファイルを使用します。CTL ファイルは、Cisco Unified Communications Manager のレコードに Cisco Unified Communications Manager の証明書を格納することで、クラスタ セキュリティ モードを追跡します。

ITL ファイルにも、クラスタ セキュリティ モードを示す情報が格納されます。

自動登録

クラスタが非セキュア モードの場合、システムによって自動登録がサポートされます。また、デフォルトの設定ファイルに対する署名も行われます。デフォルトのセキュリティをサポートしていない Cisco Unified IP Phone には、署名されていないデフォルトの設定ファイルが提供されます。


) 混合モードでは、自動登録はサポートされません。


サポートされている Cisco Unified IP Phone

Cisco Unified Reporting を使用すると、デフォルトのセキュリティをサポートしている Cisco Unified IP Phone のリストを取得できます。Cisco Unified Reporting を使用するには、次の手順に従います。

手順


ステップ 1 Cisco Unified Reporting のメイン ウィンドウから、[System Reports] をクリックします。

ステップ 2 [System Reports] リストから、[Unified CM Phone Feature List] をクリックします。

ステップ 3 [Feature] プルダウン メニューから、適切な機能を選択します。

ステップ 4 [Submit] をクリックします。


 

Cisco Unified Reporting の使用方法の詳細については、『 Cisco Unified Reporting Administration Guide 』を参照してください。

証明書の再生成

Cisco Unified Communications Manager の証明書の 1 つを再生成する場合には、この項の手順を実行する必要があります。

CAPF 証明書の再生成

CAPF 証明書を再生成するには、次の手順を実行します。

 

手順
追加情報

ステップ 1

CAPF 証明書を再生成します。

Cisco Unified Communications Operating System Administration Guide 』の第 6 章「Security」を参照してください。

ステップ 2

CTL ファイルを使用している場合は、CTL クライアントを再実行する必要があります。

Cisco Unified Communications Operating System Administration Guide 』の第 4 章「Configuring the Cisco CTL Client」を参照してください。

ステップ 3

CAPF サービスを再起動します。

Cisco Unified Communications Manager セキュリティ ガイド 』の「Activating the Certificate Authority Proxy Function Service」の項を参照してください。


) CAPF 証明書がパブリッシャ上にある場合は、ITL ファイルを更新するために自動的に再起動する電話機を監視できます。


TVS 証明書の再生成

TVS 証明書を再生成するために手動による手順は必要ありません。


) TVS 証明書と TFTP 証明書の両方を再生成する場合は、TVS 証明書を再生成し、再起動する電話機があれば完了するまで待ってから、TFTP 証明書を再生成します。


TFTP 証明書の再生成

TFTP 証明書を再生成するには、次の手順に従います。


) 複数の証明書を再生成する場合は、TFTP 証明書を最後に再生成する必要があります。再起動する電話機があれば完了するまで待ってから、TFTP 証明書を再生成します。この手順に従わないと、すべての Cisco Unified IP Phone から手動で ITL ファイルを削除することが必要になる場合があります。


 

手順
追加情報

ステップ 1

TFTP 証明書を再生成します。

Cisco Unified Communications Operating System Administration Guide 』の第 6 章「Security」を参照してください。

ステップ 2

TFTP サービスがアクティブ化されていた場合は、すべての電話機の自動による再起動が完了するまで待ちます。

ステップ 3

クラスタが混合モードの場合は、CTL クライアントを実行します。

第 4 章「Cisco CTL クライアントの設定」を参照してください。

ステップ 4

クラスタが EMCC 構成の一部の場合は、一括証明書プロビジョニングの手順を繰り返します。

Cisco Unified Communications Operating System Administration Guide 』の第 6 章「Security」を参照してください。

Tomcat 証明書の再生成

CAPF 証明書を再生成するには、次の手順を実行します。

 

手順
追加情報

ステップ 1

Tomcat 証明書を再作成します。

Cisco Unified Communications Operating System Administration Guide 』の第 6 章「Security」を参照してください。

ステップ 2

Tomcat サービスを再起動します。

Cisco Unified Communications Operating System Administration Guide 』の第 6 章「Security」を参照してください。

ステップ 3

クラスタが EMCC 構成の一部の場合は、一括証明書プロビジョニングの手順を繰り返します。

Cisco Unified Communications Operating System Administration Guide 』の第 6 章「Security」を参照してください。

TFTP 証明書再生成後のシステムのバックアップ

ITL ファイルの信頼アンカーは、TFTP 秘密鍵というソフトウェア エンティティです。サーバがクラッシュすると鍵が失われ、電話機は新しい ITL ファイルを検証できなくなります。

Cisco Unified Communications Manager リリース 8.0 では、TFTP 証明書と秘密鍵の両方がディザスタ リカバリ システムによってバックアップされます。秘密鍵を保護するために、バックアップ パッケージは暗号化されます。サーバがクラッシュすると、以前の証明書および鍵が復元されます。

TFTP 証明書が再生成された場合は、常に新しいシステム バックアップを作成する必要があります。バックアップの手順については、『 Disaster Recovery System Administration Guide 』を参照してください。

Cisco Unified Communications Manager のリリース 7.x からリリース 8.6 以降へのリフレッシュ アップグレード

クラスタをリリース 7.x からリリース 8.6 以降にアップグレードするには、次の手順に従います。

手順


ステップ 1 通常のクラスタ アップグレード手順に従います。詳細については、『 Cisco Unified Communications Operating System Administration Guide 』の第 7 章「Software Upgrades」を参照してください。


ヒント クラスタ内のすべてのノードを Cisco Unified Communications Manager のリリース 8.6 以降にアップグレードした後、さらに、ここに示すすべての手順に従って Cisco Unified IP Phone をシステムに登録する必要があります。

ステップ 2 次のいずれかのリリースを混合モードで使用している場合、CTL クライアントを実行する必要があります。

Cisco Unified Communications Manager リリース 7.1(2)

7.1(2) のすべての正規リリース

007.001(002.32016.001) よりも前の 712 のすべての ES リリース

Cisco Unified Communications Manager リリース 7.1(3)

007.001(003.21900.003) = 7.1(3a)su1a よりも前の 713 のすべての正規リリース

007.001(003.21005.001) よりも前の 713 のすべての ES リリース


) CTL クライアントの実行方法の詳細については、第 4 章「Cisco CTL クライアントの設定」を参照してください。


ステップ 3 Cisco Unified IP Phone が自動的に再起動され、Cisco Unified Communications Manager に登録されるまで、10 分間待ちます。

クラスタのバックアップ


注意 クラスタを回復できるようにするには、Disaster Recovery System(DRS; ディザスタ リカバリ システム)を使用してクラスタをバックアップしておく必要があります。

ステップ 4 DRS を使用してクラスタをバックアップする方法については、『 Disaster Recovery System Administration Guide 』を参照してください。


 

8.0 よりも前のリリースへのクラスタのロールバック

クラスタを 8.0 よりも前の Cisco Unified Communications Manager のリリースにロールバックする前に、Prepare Cluster for Rollback to pre-8.0 エンタープライズ パラメータを使用して、クラスタをロールバックするための準備を行う必要があります。

クラスタをロールバックするための準備を行うには、クラスタ内の各サーバで次の手順に従います。

手順


ステップ 1 Cisco Unified Communications Manager の管理ページで、[システム(System)] > [エンタープライズパラメータ(Enterprise Parameters)] の順に選択します。

[エンタープライズパラメータ設定(Enterprise Parameters Configuration)] ウィンドウが表示されます。

Prepare Cluster for Rollback to pre-8.0 エンタープライズ パラメータを [True] に設定します。


) クラスタを 8.6 よりも前の Cisco Unified Communications Manager のリリースにロールバックする準備を行っている場合に限り、このパラメータを有効にします。https を使用する電話機サービス(エクステンション モビリティなど)は、このパラメータが有効になっている間は動作しません。ただし、このパラメータが有効になっていても、基本的な電話コールの発信および受信は引き続き実行できます。


ステップ 2 Cisco Unified IP Phone が自動的に再起動され、Cisco Unified Communications Manager に登録されるまで、10 分間待ちます。

以前のリリースへのクラスタの復元

ステップ 3 クラスタ内の各サーバを以前のリリースに戻します。クラスタを以前のバージョンに戻す方法の詳細については、『 Cisco Unified Communications Operating System Administration Guide 』の第 7 章「Software Upgrades」を参照してください。

ステップ 4 クラスタが以前のバージョンに切り替わるまで待ちます。

ステップ 5 次のいずれかのリリースを混合モードで使用している場合、CTL クライアントを実行する必要があります。

Cisco Unified Communications Manager リリース 7.1(2)

7.1(2) のすべての正規リリース

007.001(002.32016.001) よりも前の 712 のすべての ES リリース

Cisco Unified Communications Manager リリース 7.1(3)

007.001(003.21900.003) = 7.1(3a)su1a よりも前の 713 のすべての正規リリース

007.001(003.21005.001) よりも前の 713 のすべての ES リリース


) CTL クライアントの実行方法の詳細については、第 4 章「Cisco CTL クライアントの設定」を参照してください。



 

リリース 8.6 以降への切り替え

クラスタをリリース 7.x に戻した後でリリース 8.6 以降のリリースのパーティションに切り替える場合は、この項の手順に従います。

手順


ステップ 1 クラスタを非アクティブのパーティションに切り替えるための手順に従います。詳細については、『 Cisco Unified Communications Operating System Administration Guide 』を参照してください。

ステップ 2 次のいずれかのリリースを混合モードで使用していた場合、CTL クライアントを実行する必要があります。

Cisco Unified Communications Manager リリース 7.1(2)

7.1(2) のすべての正規リリース

007.001(002.32016.001) よりも前の 712 のすべての ES リリース

Cisco Unified Communications Manager リリース 7.1(3)

007.001(003.21900.003) = 7.1(3a)su1a よりも前の 713 のすべての正規リリース

007.001(003.21005.001) よりも前の 713 のすべての ES リリース


) CTL クライアントの実行方法の詳細については、第 4 章「Cisco CTL クライアントの設定」を参照してください。


ステップ 3 Cisco Unified Communications Manager の管理ページで、[システム(System)] > [エンタープライズパラメータ(Enterprise Parameters)] の順に選択します。

[エンタープライズパラメータ設定(Enterprise Parameters Configuration)] ウィンドウが表示されます。

Prepare Cluster for Rollback to pre-8.6 エンタープライズ パラメータを [False] に設定します。

ステップ 4 Cisco Unified IP Phone が自動的に再起動され、Cisco Unified Communications Manager に登録されるまで、10 分間待ちます。


 

Cisco Unified Communications Manager 8.0 および ITL ファイルによるクラスタ間の IP Phone の移行

Cisco Unified Communications Manager 8.0(1) 以降では、新しい機能であるデフォルトのセキュリティと、Initial Trust List(ITL; 初期信頼リスト)ファイルの使用が導入されました。この新機能を使用する場合、異なる CiscoUnified CM クラスタ間での電話機の移行時に注意が必要です。正しい手順に従わないと、数千台の電話機の ITL ファイルを手動で削除しなければならない状況が発生する可能性があります。

新しい ITL ファイルをサポートする Cisco Unified IP Phone は、その Cisco Unified Communications Manager TFTP サーバからこの特殊なファイルをダウンロードする必要があります。ITL ファイルを電話機にインストールしたらすぐに、以降のすべての設定ファイルおよび ITL ファイルのアップデートを、電話機に現在インストールされている TFTP サーバ証明書で署名するか、クラスタのいずれかの TVS サービスで検証可能な TFTP 証明書で署名する必要があります。クラスタ内の TVS サービスの証明書は、ITL ファイルにリストされます。

この新しいセキュリティ機能を念頭に置きながら、1 つのクラスタから別のクラスタに電話機を移動する際に発生する可能性のある 3 つの問題を示します。

1. 新しいクラスタの ITL ファイルは現在の ITL ファイルの署名者によって署名されていないため、電話機は新しい ITL ファイルまたは設定ファイルを受け入れできません。

2. 電話機の既存の ITL にリストされている TVS サーバは、電話機が新しいクラスタに移動されると、到達不能になる場合があります。

3. TVS サーバが証明書の確認のために到達可能であるとしても、古いクラスタ サーバには新しいサーバの証明書がない場合があります。

これら 3 つの問題のうち 1 つ以上が発生する場合、考えられる解決策は 1 つあり、クラスタ間で移動しているすべての電話機から ITL ファイルを手動で削除することです。ただし、これは電話機の台数が増えるにつれて大変な労力を必要とするため、解決策としては望ましくありません。

最も推奨されるオプションは、Cisco Unified CM のエンタープライズ パラメータの「Prepare Cluster for Rollback to pre-8.0」を使用することです。詳細については、「8.0 よりも前のリリースへのクラスタのロールバック」を参照してください。このパラメータを True に設定すると、電話機は、空の TVS および TFTP の証明書セクションを含む特殊な ITL ファイルをダウンロードします。

電話機に空の ITL ファイルがある場合、電話機は、(CiscoUnified CM 8.x よりも前のクラスタへの移行の場合)署名されていない設定ファイルを受け入れ、(別の CiscoUnified CM 8.x クラスタへの移行の場合)新しい ITL ファイルも受け入れます。

空の ITL ファイルは、[設定(Settings)] > [セキュリティ(Security)] > [信頼リスト(Trust List)] > [ITL] をチェックすることにより、電話機で確認できます。古い TVS サーバおよび TFTP サーバが以前存在していた場所には空のエントリが表示されます。

電話機は、新しい空の ITL ファイルをダウンロードするまでの間に限り、古い CiscoUnified CM サーバにアクセスできる必要があります。

古いクラスタをオンラインにしておく場合は、「Prepare Cluster for Rollback to pre-8.0」エンタープライズ パラメータを無効にして、デフォルトのセキュリティを元に戻します。

証明書の一括エクスポート

新旧両方のクラスタが同時にオンラインである場合、証明書の一括移行の方法を使用できます。

Cisco Unified IP Phone は、ITL ファイルまたは ITL ファイル内に存在する TVS サーバと照合して、ダウンロードされるすべてのファイルを確認することに留意してください。電話機を新しいクラスタに移動する必要がある場合、新しいクラスタが提示する ITL ファイルは、古いクラスタの TVS 証明書ストアによって信頼されている必要があります。


) 証明書の一括エクスポートの方法は、電話機を移行している間、ネットワーク接続を保ちながら両方のクラスタがオンラインである場合にだけ有効です。


証明書の一括エクスポートの方法を使用するには、次の手順を実行します。

手順


ステップ 1 [Cisco Unifiedオペレーティングシステムの管理(Cisco Unified Operating System Administration)] で、[セキュリティ(Security)] > [証明書の一括管理(Bulk Certificate Management)] の順に選択します。

ステップ 2 証明書を新しい宛先クラスタ(TFTP のみ)から中央の SFTP サーバにエクスポートします。

ステップ 3 証明書の一括インターフェイスを使用して、SFTP サーバで証明書(TFTP のみ)を統合します。

ステップ 4 元のクラスタでは、証明書の一括機能を使用して、中央の SFTP サーバから TFTP 証明書をインポートします。

ステップ 5 DHCP オプション 150 またはその他の方法を使用して、電話機が新しい宛先クラスタを指すようにします。

電話機は、新しい宛先クラスタの ITL ファイルをダウンロードし、既存の ITL ファイルと照合して確認を行います。証明書は既存の ITL ファイル内に存在しないため、電話機は、新しい ITL ファイルの署名を確認するように古い TVS サーバに要求します。電話機は、この要求を行うために、TCP ポート 2445 の古い元のクラスタに TVS クエリーを送信します。

証明書のエクスポート、統合、およびインポートのプロセスが正常に処理されると、TVS は成功したことを返し、電話機はメモリ内の ITL ファイルを新しくダウンロードした ITL ファイルで置き換えます。

これで電話機は、新しいクラスタから署名済みの設定ファイルをダウンロードおよび確認できます。