Cisco Unified Communications オペレーティング システム アドミニストレーション ガイド リリース 9.1(1)
セキュリティ
セキュリティ
発行日;2013/04/23   |   ドキュメントご利用ガイド   |   ダウンロード ;   この章 pdf   ,   ドキュメント全体 pdf    |   フィードバック

目次

セキュリティ

この章では、証明書の管理と IPSec の管理について説明し、関連タスクの実行手順を示します。

Internet Explorer のセキュリティ オプションの設定

サーバから証明書をダウンロードするには、Internet Explorer のセキュリティ設定が次のように設定されていることを確認します。

手順
    ステップ 1   Internet Explorer を起動します。
    ステップ 2   [ツール(Tools)] > [インターネット オプション(Internet Options)] を選択します。
    ステップ 3   [詳細設定(Advanced)] タブをクリックします。
    ステップ 4   [詳細設定(Advanced)] タブの [セキュリティ(Security)] 領域までスクロールします。
    ステップ 5   必要に応じて、[暗号化されたページをディスクに保存しない(Do not save encrypted pages to disk)] チェックボックスをオフにします。
    ステップ 6   [OK] をクリックします。

    証明書の管理

    次の各項では、[証明書の管理(Certificate Management)] メニューから実行できる機能を説明します。


    (注)  


    [セキュリティ(Security)] メニューの項目にアクセスするには、管理者パスワードを使用して [Cisco Unified Communications オペレーティング システムの管理(Cisco Unified Communications Operating System Administration)] にサインインする必要があります。


    証明書の表示

    既存の証明書を表示するには、次の手順を実行します。

    手順
      ステップ 1   [セキュリティ(Security)] > [証明書の管理(Certificate Management)] を選択します。

      [証明書の一覧(Certificate List)] ウィンドウが表示されます。

      ステップ 2   証明書の一覧をフィルタするには、[検索(Find)] コントロールを使用します。
      ステップ 3   証明書または信頼ストアの詳細を表示するには、そのファイル名をクリックします。

      [証明書の設定(Certificate Configuration)] ウィンドウに該当証明書の情報が表示されます。

      ステップ 4   [証明書の一覧(Certificate List)] ウィンドウに戻るには、[関連リンク(Related Links)] リストの [検索/リストに戻る(Back To Find/List)] を選択し、[移動(Go)] をクリックします。

      証明書のダウンロード

      Cisco Unified Communications オペレーティング システムから PC に証明書をダウンロードするには、次の手順を実行します。

      手順
        ステップ 1   [セキュリティ(Security)] > [証明書の管理(Certificate Management)] を選択します。

        [証明書の一覧(Certificate List)] ウィンドウが表示されます。

        ステップ 2   [検索(Find)] コントロールを使用して、証明書のリストをフィルタリングできます。
        ステップ 3   証明書のファイル名をクリックします。

        [証明書の設定(Certificate Configuration)] ウィンドウが表示されます。

        ステップ 4   [ダウンロード(Download)] をクリックします。
        ステップ 5   [ファイルのダウンロード(File Download)] ダイアログボックスで、[保存(Save)] をクリックします。

        中間証明書のインストール

        Unified Intelligence Center では 1 レベルの中間証明書のみサポートされています。 中間証明書をインストールするには、まずルート証明書をインストールして、署名付き証明書をアップロードする必要があります。

        手順
          ステップ 1   [セキュリティ(Security)] > [証明書の管理(Certificate Management)] を選択します。

          [証明書の一覧(Certificate List)] ウィンドウが表示されます。

          ステップ 2   [証明書のアップロード(Upload Certificate)] をクリックします。

          [証明書のアップロード(Upload Certificate)] ダイアログボックスが表示されます。

          ステップ 3   [証明書の名前(Certificate name)] ドロップダウンリストで [intelligenceCenter-srvr-trust] を選択して、ルート証明書をインストールします。
          ステップ 4   次のいずれかの手順を実行して、アップロードするファイルを選択します。
          • [ファイルのアップロード(Upload File)] テキストボックスに、ファイルのパスを入力します。
          • [参照(Browse)] ボタンをクリックしてファイルを選択し、[開く(Open)] をクリックします。
          ステップ 5   ファイルをサーバにアップロードするには、[ファイルのアップロード(Upload File)] ボタンをクリックします。
          ステップ 6   [セキュリティ(Security)] > [証明書の管理(Certificate Management)] を選択します。

          [証明書の一覧(Certificate List)] ウィンドウが表示されます。

          ステップ 7   [証明書のアップロード(Upload Certificate)] をクリックします。

          [証明書のアップロード(Upload Certificate)] ダイアログボックスが表示されます。

          ステップ 8   [証明書のアップロード(Upload Certificate)] ポップアップ ウィンドウの [証明書の名前(Certificate name)] ドロップダウンリストで [IntelligenceCenter-srvr] を選択し、ルート証明書の名前を入力します。

          ルート証明書の名前は、ルート証明書がアップロードされたときに生成された .pem ファイル名です。

          ステップ 9   次のいずれかの手順を実行して、アップロードするファイルを選択します。
          • [ファイルのアップロード(Upload File)] テキストボックスに、ファイルのパスを入力します。
          • [参照(Browse)] ボタンをクリックしてファイルを選択し、[開く(Open)] をクリックします。
          ステップ 10   ファイルをサーバにアップロードするには、[ファイルのアップロード(Upload File)] ボタンをクリックします。

          トラブルシューティングのヒント

          (注)     

          顧客証明書をインストールしたら、FQDN を使用して Cisco Unified Intelligence Center の URL にアクセスします。 IP アドレスを使用して Cisco Unified Intelligence Center にアクセスすると、カスタム証明書を正常にインストールした後でも「ここをクリックしてログインを継続します(Click here to continue)」のメッセージが表示されます。


          証明書の削除と再作成

          次の各項では、証明書の削除と再作成方法について説明します。

          信頼証明書の削除

          信頼証明書を削除するには、次の手順を実行します。


          注意    


          証明書を削除すると、システムの動作に影響する場合があります。 この証明書が既存のチェーンの一部である場合、この証明書を完全に削除すると証明書チェーンが壊れることがあります。 このことは、[証明書の一覧(Certificate List)] ウィンドウ内の関連する証明書のユーザ名とサブジェクト名から確認できます。 この操作は取り消すことができません。


          手順
            ステップ 1   [Cisco Unified サービスアビリティ(Cisco Unified Serviceability)] Web ページで、[ツール(Tools)] > [コントロール センター ネットワーク サービス(Control Center Network Services)] を選択し、Cisco Certificate Change Notification サービスを停止します。
            ステップ 2   [セキュリティ(Security)] > [証明書の管理(Certificate Management)] を選択します。

            [証明書の一覧(Certificate List)] ウィンドウが表示されます。

            ステップ 3   [検索(Find)] コントロールを使用して、証明書のリストをフィルタリングできます。
            ステップ 4   証明書のファイル名をクリックします。

            [証明書の設定(Certificate Configuration)] ウィンドウが表示されます。

            ステップ 5   [削除(Delete)] をクリックします。

            証明書の削除の詳細については、「注意」を参照してください。

            ステップ 6   [OK] をクリックします。
            ステップ 7   Cisco Certificate Change Notification サービスを再起動します。

            選択した証明書が完全に削除されました。


            証明書の再作成

            Cisco Unified Communications オペレーティング システムから、オペレーティング システムのセキュリティ機能として証明書を再作成できます。 証明書の再作成の詳細については、『Cisco Unified Communications Manager Security Guide』を参照してください。


            注意    


            証明書を再作成すると、システムの動作に影響する場合があります。 証明書を再作成すると、サード パーティの署名付き証明書(アップロードされている場合)を含む既存の証明書が上書きされます。



            (注)  


            証明書の再作成またはサード パーティの署名付き証明書のアップロードは、メンテナンス時に実行する必要があります。


            次の表に、Cisco Unified Communications オペレーティング システムから再作成できるシステム セキュリティ証明書および再起動する必要がある関連サービスを示します。 TFTP 証明書の再作成の詳細については、『Cisco Unified Communications Manager Security Guide』を参照してください。

            表 1 証明書の名前と説明

            名前

            説明

            関連サービス

            tomcat

            この自己署名ルート証明書は、HTTPS サーバのインストール中に作成されます。

            tomcat

            ipsec

            この自己署名ルート証明書は、MGCP ゲートウェイおよび H.323 ゲートウェイとの IPSec 接続のインストール中に生成されます。

            Cisco Disaster Recovery System (DRS) Local と Cisco DRF Master

            CallManager

            この自己署名ルート証明書は、Cisco Unified Communications Manager のインストール時に自動的にインストールされます。 この証明書はサーバの名前とグローバル固有識別子(GUID)を含んでおり、サーバの ID となります。

            CallManager と CAPF

            CAPF

            このルート証明書は、Cisco クライアントの設定を完了すると、現在のサーバまたはクラスタ内のすべてのサーバにコピーされます。

            CallManager と CAPF

            TVS

            自己署名ルート証明書です。

            TVS

            Cisco Certificate Authority Proxy Function(CAPF)の証明書を再生成した場合、または Cisco Unified Communications Manager および CTL クライアントを設定した場合は、CTL クライアントを再実行します。

            Cisco Unified Communications オペレーティング システムの証明書を再作成したら、システムのバックアップを実行して、最新のバックアップに再作成した証明書を含める必要があります。 バックアップに再作成した証明書が含まれていない状態でシステムの復元タスクを実行する場合は、システム内の各電話機のロックを手動で解除して、Cisco Unified Communications Manager に電話機を登録できるようにする必要があります。 バックアップの実行の詳細については、『Disaster Recovery System Administration Guide』を参照してください。

            手順
              ステップ 1   [セキュリティ(Security)] > [証明書の管理(Certificate Management)] を選択します。

              [証明書の一覧(Certificate List)] ウィンドウが表示されます。

              ステップ 2   [新規作成(Generate New)] をクリックします。

              [証明書の作成(Generate Certificate)] ダイアログボックスが表示されます。

              ステップ 3   [証明書の名前(Certificate Name)] リストから、証明書の名前を選択します。 証明書の名前の詳細については、「証明書の名前と説明」の表を参照してください。
              ステップ 4   [新規作成(Generate New)] をクリックします。

              次の作業

              「証明書の名前と説明」の表の表示に従い、再作成された証明書によって影響を受けるすべてのサービスを再起動します。

              CAPF 証明書または CallManager 証明書の再作成後に CTL クライアントを再実行します(設定している場合)。

              システム バックアップを実行し、新たに再作成された証明書を取り込みます。 バックアップの実行の詳細については、『Disaster Recovery System Administration Guide』を参照してください。

              EMCC を使用したクラスタ内通信が有効になっている場合の証明書の再作成
              EMCC を使用したクラスタ内通信が有効になっている場合は、証明書の再作成時に次の手順を実行します。
              手順
                 コマンドまたはアクション目的
                ステップ 1 [拡張機能(Advanced Features)] > [EMCC] > [クラスタ間サービス プロファイル(Intercluster Service Profile)] を選択し、[EMCC サービス(EMCC Service)] を非アクティブにします。
                 
                 
                ステップ 2[デバイス(Device)] > [関連リンク(Related Link)] > [リモート ログイン デバイス(Remotely Logged In Device)] から、リモートにログインしているすべてのデバイスをログアウトします。   
                ステップ 3証明書を再作成します。   
                ステップ 4証明書の一括操作を実行します。   
                ステップ 5EMCC サービスをアクティブにします。   

                証明書のアップロード


                注意    


                新しい証明書をアップロードすると、システムの動作に影響する場合があります。 新しい証明書または証明書信頼リストをアップロードしたら、[Cisco Unified サービスアビリティ(Cisco Unified Serviceability)] > [ツール(Tools)] > [サービス開始(Service Activation)] を選択して、Cisco Unified Communications Manager サービスを再起動する必要があります。 詳細については、『Cisco Unified Serviceability Administration Guide』を参照してください。


                次の各項では、サーバに認証局(CA)ルート証明書およびアプリケーション証明書をアップロードする方法について説明します。

                証明書または証明書チェーンのアップロード


                (注)  


                証明書または証明書チェーンを、証明書信頼にアップロードできます。または、サードパーティの署名付き証明書に対してアップロードできます。


                手順
                  ステップ 1   [セキュリティ(Security)] > [証明書の管理(Certificate Management)] を選択します。
                  ステップ 2   [証明書の一覧(Certificate List)] ウィンドウが表示されます。

                  [証明書/証明書チェーンのアップロード(Upload Certificate/Certificate chain)] をクリックします。

                  [証明書/証明書チェーンのアップロード(Upload Certificate/Certificate Chain)] ダイアログボックスが表示されます。

                  ステップ 3   [証明書の名前(Certificate Name)] リストから、証明書の名前を選択します。
                  ステップ 4   次のいずれかの手順で、アップロードするファイルを選択します。
                  1. [ファイルのアップロード(Upload File)] テキストボックスに、ファイルのパスを入力します。
                  2. [参照(Browse)] ボタンをクリックしてファイルを選択し、[開く(Open)] をクリックします。

                    Cisco Unified Communications Manager Release 8.6 は、プライバシー強化メール(PEM)Base64 エンコード形式の X.509 証明書(ファイル内に 1 つの PEM 証明書のみ)、識別符号化規則(DER)形式の X509 証明書、および DER 形式の PKCS#7(Public-Key Cryptography Standards)証明書チェーンをサポートしています。 PEM 形式の PKCS#7 証明書チェーンはサポートしていません。

                  ステップ 5   ファイルをサーバにアップロードするには、[ファイルのアップロード(Upload File)] ボタンをクリックします。

                  サードパーティの CA 証明書のアップロード

                  Cisco Unified Communications オペレーティング システムは、サードパーティの CA が PKCS#10 証明書署名要求(CSR)によって発行した証明書をサポートしています。 次の表に、このプロセスの概要および参考となる文書を示します。

                  手順
                    ステップ 1   サーバに CSR を作成します。
                    ステップ 2   CSR を PC にダウンロードします。
                    ステップ 3   CSR を使用して、CA または PKCS#7 形式の証明書チェーン(CA 証明書に加えてアプリケーション証明書が含まれている場合がある)からアプリケーション証明書を取得します。 ルート証明書の取得に関する情報は、CA から入手してください。
                    ステップ 4   CA 証明書または証明書チェーンを取得します。 ルート証明書の取得に関する情報は、CA から入手してください。
                    ステップ 5   サードパーティの証明書をアップロードします。
                    ステップ 6   CAPF または Cisco Unified Communications Manager の証明書を更新した場合は、新しい CTL(証明書信頼リスト)ファイルを生成します。

                    Cisco Unified Communications Manager Security Guide』を参照してください。

                    サードパーティの署名付き CAPF または CallManager 証明書をアップロードしたら、CTL クライアント(設定している場合)を再実行します。

                    ステップ 7   新しい証明書の影響を受けるサービスを再起動します。

                    すべての証明書タイプで、対応するサービスを再起動します(たとえば、Tomcat 証明書を再作成した場合は Tomcat サービスを再起動します)。 また、CAPF または Cisco Unified Communications Manager の証明書を更新した場合は、Cisco Certificate Authority Proxy Function および Cisco CallManager サービスを再起動します。

                    (注)     

                    IPSec 証明書を再作成したら、Cisco DRF Local および Cisco DRF Master Agent サービスを再起動する必要があります。

                    サービスの再起動の詳細については、『Cisco Unified Communications Manager Serviceability Administration Guide』を参照してください。


                    サードパーティの署名付き証明書または証明書チェーン

                    アプリケーション証明書に署名した CA の CA ルート証明書をアップロードします。 下位 CA がアプリケーション証明書に署名した場合は、下位 CA の CA ルート証明書をアップロードする必要があります。 すべての CA 証明書の PKCS#7 形式の証明書チェーンもアップロードできます。

                    CA ルート証明書およびアプリケーション証明書は、同じ [証明書のアップロード(Upload Certificate)] ダイアログボックスを使用してアップロードできます。 CA ルート証明書または CA 証明書だけがある証明書チェーンをアップロードする場合は、certificate type-trust 形式の証明書名を選択します。 アプリケーション証明書またはアプリケーション証明書と CA 証明書がある証明書チェーンをアップロードする場合は、証明書タイプだけが含まれている証明書名を選択します。 たとえば、Tomcat CA 証明書または CA 証明書チェーンをアップロードする場合は、tomcat-trust を選択します。Tomcat アプリケーション証明書またはアプリケーション証明書と CA 証明書がある証明書チェーンをアップロードする場合は、tomcat を選択します。

                    CAPF CA ルート証明書をアップロードすると、CallManager の信頼ストアにコピーされるため、CA ルート証明書を個別に CallManager にアップロードする必要はありません。


                    (注)  


                    サード パーティの CA 署名付き証明書が正常にアップロードされると、署名付き証明書を取得するために使用された、最近生成した CSR が削除され、サード パーティの署名付き証明書(アップロードされている場合)を含む既存の証明書が上書きされます。



                    (注)  


                    tomcat-trust、CallManager-trust、および Phone-SAST-trust 証明書がクラスタの各ノードに自動的にレプリケートされます。



                    (注)  


                    Cisco Unified オペレーティング システムの現行リリースでは、[証明書の名前(Certificate Name)] リストに [ディレクトリ(Directory)] オプションは表示されなくなりました。 ただし、DirSync サービスをセキュア モードで実行する場合に必要となるディレクトリの信頼証明書を tomcat-trust にアップロードすることはできます。


                    証明書署名要求の作成

                    CSR を作成するには、次の手順を実行します。

                    手順
                      ステップ 1   [セキュリティ(Security)] > [証明書の管理(Certificate Management)] を選択します。

                      [証明書の一覧(Certificate List)] ウィンドウが表示されます。

                      ステップ 2   [CSR の作成(Generate CSR)] をクリックします。

                      [証明書署名要求の作成(Generate Certificate Signing Request)] ダイアログボックスが表示されます。

                      ステップ 3   [証明書の名前(Certificate Name)] リストから、証明書の名前を選択します。
                      ステップ 4   [CSR の作成(Generate CSR)] をクリックします。
                      (注)     

                      CSR を作成すると、既存の CSR がすべて上書きされます。


                      証明書署名要求のダウンロード

                      証明書署名要求をダウンロードするには、次の手順を実行します。

                      手順
                        ステップ 1   [セキュリティ(Security)] > [証明書の管理(Certificate Management)] を選択します。

                        [証明書の一覧(Certificate List)] ウィンドウが表示されます。

                        ステップ 2   [CSR のダウンロード(Download CSR)] をクリックします。

                        [証明書署名要求のダウンロード(Download Certificate Signing Request)] ダイアログボックスが表示されます。

                        ステップ 3   [証明書の名前(Certificate Name)] リストから、証明書の名前を選択します。
                        ステップ 4   [CSR のダウンロード(Download CSR)] をクリックします。
                        ステップ 5   [ファイルのダウンロード(File Download)] ダイアログボックスで、[保存(Save)] をクリックします。

                        サードパーティの CA 証明書

                        サード パーティの CA が発行するアプリケーション証明書を使用するには、署名付きのアプリケーション証明書と CA ルート証明書の両方を CA、またはアプリケーション証明書と CA 証明書の両方が含まれている PKCS#7 証明書チェーン(DER 形式)から取得する必要があります。 これらの証明書の取得に関する情報は、CA から入手してください。 入手の手順は、CA によって異なります。

                        Cisco Unified Communications オペレーティング システムでは、PEM エンコード形式で CSR が作成されます。 また、DER および PEM エンコード形式の証明書と PEM 形式の PKCS#7 証明書チェーンを受け入れます。 CAPF 以外の証明書タイプの場合、それぞれのノードについて CA ルート証明書およびアプリケーション証明書を取得してアップロードする必要があります。

                        CAPF の場合、1 つ目のノードについてのみ CA ルート証明書およびアプリケーション証明書を取得してアップロードします。 CAPF および Cisco Unified Communications Manager CSR には、CA からのアプリケーション証明書要求に含める必要がある拡張情報が含まれています。 CA が拡張要求メカニズムをサポートしていない場合は、次の手順に従って X.509 拡張を有効にする必要があります。

                        • CAPF CSR では、次の拡張情報が使用されます。
                          X509v3 extensions:X509v3 Key Usage:
                          Digital Signature, Key Encipherment, Certificate Sign
                          X509v3 Extended Key Usage:
                          TLS Web Server Authentication, IPsec End System
                          
                        • Cisco Unified Communications Manager、Tomcat、および IPSec の CSR では、次の拡張情報が使用されます。
                          X509v3 extensions:X509v3 Key Usage:
                          Digital Signature, Key Encipherment, Data Encipherment, Key Agreement, Certificate Sign
                          X509v3 Extended Key Usage:
                          TLS Web Server Authentication, TLS Web Client Authentication, IPsec End System
                          

                        証明書の有効期限日のモニタ

                        システムは、証明書の有効期限日が近づいたときに、自動的に電子メール メッセージをユーザに送信できます。 証明書有効期限モニタの表示と設定をするには、次の手順を実行します。

                        手順
                          ステップ 1   現在の証明書有効期限モニタの設定を表示するには、[セキュリティ(Security)] > [証明書モニタ(Certificate Monitor)] を選択します。

                          [証明書モニタ(Certificate Monitor)] ウィンドウが表示されます。

                          ステップ 2   必要な設定情報を入力します。 [証明書モニタの期限切れ(Certificate Monitor Expiration)] フィールドの説明については、次の表を参照してください。
                          表 2 [証明書モニタ(Certificate Monitor)] フィールドの説明

                          フィールド

                          説明

                          通知開始時期(Notification Start Time)

                          証明書が期限切れになる何日前に通知を送信してもらうかを入力します。

                          通知の頻度(Notification Frequency)

                          通知の頻度を時間または日単位で入力します。

                          メール通知の有効化(Enable E-mail Notification)

                          電子メール通知を有効にする場合は、チェックボックスをオンにします。

                          メール ID(Email IDs)

                          通知の送信先電子メール アドレスを入力します。

                          (注)     

                          システムから通知を送信するには、SMTP ホストを設定する必要があります。

                          ステップ 3   変更内容を保存するには、[保存(Save)] をクリックします。

                          証明書の失効

                          次の項では、[証明書失効(Certificate Revocation)] メニューから実行できる機能を説明します。

                          オンライン証明書ステータス プロトコルの設定

                          オンライン証明書ステータス プロトコル(OCSP)を使用して、証明書の失効ステータスを取得できます。

                          OCSP を設定するには、次の手順を実行します。

                          手順
                            ステップ 1   [セキュリティ(Security)] > [証明書失効(Certificate Revocation)] を選択します。

                            [証明書失効(Certificate Revocation)] ウィンドウが表示されます。

                            ステップ 2   [オンライン証明書ステータス プロトコルの設定(Online Certificate Status Protocol Configuration)] 領域で [OCSP の有効化(Enable OCSP)] チェックボックスをオンにします。
                            ステップ 3   証明書が OCSP URI を使用して設定されていて、OCSP レスポンダに連絡するために使用される場合は、[証明書の OCSP URI を使用(Use OCSP URI from Certificate)] を選択します。
                            ステップ 4   外部または設定済みの URI が OCSP レスポンダに接続するために使用される場合は、[設定済みの OCSP URI を使用(Use configured OCSP URI)] を選択します。 [OCSP の設定済み URI(OCSP Configured URI)] フィールドに、証明書失効ステータスが確認されている、OCSP レスポンダの URI を入力します。
                            ステップ 5   [保存(Save)] をクリックします。
                            警告   

                            OCSP を有効にする前に、tomcat-trust に OCSP レスポンダ証明書をアップロードする必要があります。

                            (注)     

                            証明書失効ステータス チェックは、証明書または証明書チェーンのアップロードの間のみ実行されます。証明書が失効している場合、適切なアラームが表示されます。


                            IPSec

                            次の各項では、[IPSec] のメニューで実行できる機能を説明します。


                            (注)  


                            IPSec は、インストール時にクラスタ内のノード間で自動的に設定されません。


                            IPSec ポリシーの設定

                            新しい IPSec ポリシーとアソシエーションを設定するには、次の手順を実行します。


                            (注)  


                            システムのアップグレード中、IPSec ポリシーに何らかの変更を行ってもその変更は無効になります。アップグレード中は IPSec ポリシーを作成したり変更したりしないでください。



                            (注)  


                            IPSec には双方向プロビジョニングが必要です(ホストまたはゲートウェイごとに 1 ピア)。



                            (注)  


                            2 つの Call Manager ノード(1 つの Call Manager IPSec ポリシー プロトコルは ANY に設定、もう 1 つの Call Manager IPSec ポリシー プロトコルは UDP または TCP に設定)に IPSec ポリシーをプロビジョニングする場合、「ANY」プロトコルを使用して Call Manager ノードから検証を実行すると、検証結果が検出漏れとなることがあります。



                            注意    


                            IPSec はシステムのパフォーマンスに影響します(特に暗号化した場合)。


                            手順
                              ステップ 1   [セキュリティ(Security)] > [IPSec の設定(IPSEC Configuration)] を選択します。

                              [IPSEC ポリシーの一覧(IPSEC Policy List)] ウィンドウが表示されます。

                              ステップ 2   [新規追加(Add New)] をクリックします。

                              [IPSEC ポリシーの設定(IPSEC Policy Configuration)] ウィンドウが表示されます。

                              ステップ 3   [IPSEC ポリシーの設定(IPSEC Policy Configuration)] ウィンドウに適切な情報を入力します。 このウィンドウのフィールドの説明については、次の表を参照してください。
                              表 3 IPSEC ポリシーとアソシエーションのフィールドと説明

                              フィールド

                              説明

                              ポリシー グループ名(Policy Group Name)

                              IPSec ポリシー グループの名前を指定します。 名前には、文字、数字、ハイフンのみを使用できます。

                              (注)     

                              ポリシー グループ名を作成する際に複数のハイフンを使用しないでください。

                              ポリシー名(Policy Name)

                              IPSec ポリシーの名前を指定します。 名前には、文字、数字、ハイフンのみを使用できます。

                              (注)     

                              ポリシー名を作成する際に複数のハイフンを使用しないでください。

                              認証方式(Authentication Method)

                              認証方式を指定します。

                              [認証方式(Authentication Method)] フィールドには、[事前共有キー(Preshared Key)] と [証明書(Certificate)] の 2 つのオプションがあります。

                              [事前共有キー(Preshared Key)] を選択すると、[事前共有キー(Preshared Key)] フィールドが編集可能になります。

                              [証明書(Certificate)] を選択すると、[事前共有キー(Preshared Key)] フィールドはグレー表示になり、[証明書の名前(Certificate Name)] フィールドが編集可能になります。

                              事前共有キー(Preshared Key)

                              [認証名(Authentication Name)] フィールドで [事前共有キー(Preshared Key)] を選択した場合は、事前共有キーを指定します。

                              (注)     

                              事前共有 IPSec キーには、英字およびハイフンのみ使用できます。空白文字またはその他の文字は使用できません。 Cisco Unified Communications Manager の Windows ベースのバージョンから移行している場合は、事前共有 IPSec キーの名前を変更して、Cisco Unified Communications Manager の現在のバージョンと互換性を持たせる必要があります。

                              ピア タイプ(Peer Type)

                              [異なる(Different)] を選択します。

                              証明書の名前(Certificate Name)

                              [ピア タイプ(Peer Type)] で [異なる(Different)] を選択した場合、新しい証明書の名前を入力します。

                              接続先アドレス(Destination Address)

                              接続先の IP アドレスを指定します(FQDN はサポートされていません)。

                              接続先ポート(Destination Port)

                              接続先のポート番号を指定します。

                              ソース アドレス(Source Address)

                              ソースの IP アドレスを指定します(FQDN はサポートされていません)。

                              ソース ポート(Source Port)

                              ソースのポート番号を指定します。

                              モード(Mode)

                              転送モードを指定します。

                              リモート ポート(Remote Port)

                              接続先で使用されるポート番号を指定します。

                              プロトコル(Protocol)

                              次のプロトコルまたは Any を指定します。

                              • TCP
                              • UDP
                              • いずれか(Any)

                              暗号化アルゴリズム(Encryption Algorithm)

                              ドロップダウン リストから、暗号化アルゴリズムを選択します。 選択肢は次のとおりです。

                              • DES
                              • トリプル DES
                              • AES 128
                              • AES 256

                              ハッシュ アルゴリズム(Hash Algorithm)

                              ハッシュ アルゴリズムを指定します。

                              • [SHA1]:フェーズ 1 の IKE ネゴシエーションで使用されるハッシュ アルゴリズム
                              • [MD5]:フェーズ 1 の IKE ネゴシエーションで使用されるハッシュ アルゴリズム

                              ESP アルゴリズム(ESP Algorithm)

                              ドロップダウン リストから、ESP アルゴリズムを選択します。 選択肢は次のとおりです。

                              • NULL_ENC
                              • AES 128
                              • AES 256
                              • DES
                              • トリプル DES
                              • BLOWFISH
                              • RIJNDAEL

                              フェーズ 1 のライフタイム(Phase One Life Time)

                              フェーズ 1 の IKE ネゴシエーションのライフタイムを秒単位で指定します。

                              フェーズ 1 の DH(Phase One DH)

                              ドロップダウン リストから、フェーズ 1 の DH 値を選択します。 選択肢は、1、2、および 5 です。

                              フェーズ 2 のライフタイム(Phase Two Life Time)

                              フェーズ 2 の IKE ネゴシエーションのライフタイムを秒単位で指定します。

                              フェーズ 2 の DH(Phase Two DH)

                              ドロップダウン リストから、フェーズ 2 の DH 値を選択します。 選択肢は、1、2、および 5 です。

                              ポリシーの有効化(Enable Policy)

                              ポリシーを有効にするには、このチェックボックスをオンにします。

                              ステップ 4   新しい IPSec ポリシーを設定するには、[保存(Save)] をクリックします。

                              IPSEC を検証する場合は、[サービス(Services)] > [Ping] を選択し、[IPSec の検証(Validate IPSec)] チェックボックスをオンにして、[Ping] をクリックします。 この ping は、IPSec 接続を検証します。

                              次の表に、システムが非連邦情報処理標準(非 FIPS)モードのときに表示されるフィールド名を示します。

                              次の表に、システムが非 FIPS モードのときに表示されるフィールド名を示します。

                              表 4 IPSEC ポリシーとアソシエーションのフィールドと説明

                              フィールド

                              説明

                              ポリシー グループ名(Policy Group Name)

                              IPSec ポリシー グループの名前を指定します。 名前には、文字、数字、ハイフンのみを使用できます。

                              ポリシー名(Policy Name)

                              IPSec ポリシーの名前を指定します。 名前には、文字、数字、ハイフンのみを使用できます。

                              認証方式(Authentication Method)

                              認証方式を指定します。 デフォルトでは、証明書が選択されています。

                              (注)     

                              事前共有キーは、FIPS モードでは表示されません。

                              ピア タイプ(Peer Type)

                              ピア タイプが異なることを指定します。

                              証明書の名前(Certificate Name)

                              [ピア タイプ(Peer Type)] で [異なる(Different)] を選択した場合、新しい証明書の名前を入力します。

                              接続先アドレス(Destination Address)

                              接続先の IP アドレスまたは FQDN を指定します。

                              接続先ポート(Destination Port)

                              接続先のポート番号を指定します。

                              ソース アドレス(Source Address)

                              ソースの IP アドレスまたは FQDN を指定します。

                              ソース ポート(Source Port)

                              ソースのポート番号を指定します。

                              モード(Mode)

                              転送モードを指定します。

                              リモート ポート(Remote Port)

                              接続先で使用されるポート番号を指定します。

                              プロトコル(Protocol)

                              次のプロトコルまたは Any を指定します。

                              • TCP
                              • UDP
                              • いずれか(Any)

                              暗号化アルゴリズム(Encryption Algorithm)

                              ドロップダウン リストから、暗号化アルゴリズムを選択します。 選択肢は次のとおりです。

                              • トリプル DES(デフォルト)
                              • AES 128
                              • AES 256

                              ハッシュ アルゴリズム(Hash Algorithm)

                              ハッシュ アルゴリズムを指定します。

                              [SHA1]:フェーズ 1 の IKE ネゴシエーションで使用されるハッシュ アルゴリズム

                              ESP アルゴリズム(ESP Algorithm)

                              ドロップダウン リストから、ESP アルゴリズムを選択します。 選択肢は次のとおりです。

                              • トリプル DES(デフォルト)
                              • AES 128
                              • AES 256

                              フェーズ 1 のライフタイム(Phase One Life Time)

                              フェーズ 1 の IKE ネゴシエーションのライフタイムを秒単位で指定します。

                              フェーズ 1 の DH(Phase One DH)

                              ドロップダウン リストから、フェーズ 1 の DH 値を選択します。 選択肢は、1、2、および 5 です。

                              フェーズ 2 のライフタイム(Phase Two Life Time)

                              フェーズ 2 の IKE ネゴシエーションのライフタイムを秒単位で指定します。

                              フェーズ 2 の DH(Phase Two DH)

                              ドロップダウン リストから、フェーズ 2 の DH 値を選択します。 選択肢は、1、2、および 5 です。

                              ポリシーの有効化(Enable Policy)

                              ポリシーを有効にするには、このチェックボックスをオンにします。


                              移行の特性

                              システムが非 FIPS から FIPS モードに切り替わる場合、次のような変化が発生します。

                              • 事前共有キー認証モードを使用する既存の IPSec ポリシーがある場合、FIPS モードに移行するためにそのポリシーを削除する必要があります。
                              • 証明書認証モードおよび弱い暗号化アルゴリズムの DES を使用する既存の IPSec ポリシーがある場合、FIPS モードで動作可能にするためにそのポリシーはより強力な暗号である AES128 に移行されます。 ユーザは、CLI でこの移行について通知されます。
                              • 証明書認証モードおよび弱いハッシュ アルゴリズムの MD5 を使用する既存の IPSec ポリシーがある場合、そのポリシーはより強力な暗号である SHA1 に移行されます。
                              • 証明書認証モードおよび弱い ESP アルゴリズムの NULL、DES、BLOWFISH 448、RJINDAEL を使用する既存の IPSec ポリシーがある場合、そのポリシーはより強力な暗号である AES128 に移行されます。

                              システムが FIPS から非 FIPS モードに切り替わる場合、IPSec ポリシーに変化はありません。


                              (注)  


                              FIPS から非 FIPS への移行またはその反対が行われると、IPSec の証明書が再作成されます。 したがって、リモート ノードの再作成された証明書をインポート後に、IPSec ポリシーを明示的に無効にして有効にする必要があります。



                              (注)  


                              2 つの非 FIPS システム間、または FIPS システムと非 FIPS システム間で IPSec ポリシーを設定するには、互換性のあるアルゴリズムと認証モードが必要です。



                              (注)  


                              FIPS ベースの IPSec ポリシーを設定するには、互換性のある認証モードが必要です。


                              IPSec ポリシーの管理

                              既存の IPSec ポリシーを表示、有効化/無効化、または削除するには、次の手順を実行します。


                              (注)  


                              システムのアップグレード中、IPSec ポリシーに何らかの変更を行ってもその変更は無効になります。アップグレード中は IPSec ポリシーを変更または作成しないでください。



                              注意    


                              IPSec はシステムのパフォーマンスに影響します(特に暗号化した場合)。



                              注意    


                              既存の IPSec ポリシーを変更すると、システムの正常な動作に影響する場合があります。



                              注意    


                              ホスト名、ドメイン、または IP アドレスの変更により既存の IPSec 証明書に変更を加えると、証明書の名前を変更している場合、管理者はその IPSec ポリシーを削除し、IPSec ポリシーを再作成する必要があります。 証明書の名前を変更していない場合は、リモート ノードの再作成された証明書をインポート後に、IPSec ポリシーを明示的に無効にして有効にする必要があります。



                              (注)  


                              [セキュリティ(Security)] メニューの項目にアクセスするには、管理者パスワードを使用して [Cisco Unified Communications オペレーティング システムの管理(Cisco Unified Communications Operating System Administration)] にサインインする必要があります。


                              手順
                                ステップ 1   [セキュリティ(Security)] > [IPSec の設定(IPSEC Configuration)] を選択します。

                                [IPSEC ポリシーの一覧(IPSEC Policy List)] ウィンドウが表示されます。

                                ステップ 2   ポリシーを表示、有効、または無効にするには、次の手順を実行します。
                                1. ポリシー名をクリックします。

                                  [IPSEC ポリシーの設定(IPSEC Policy Configuration)] ウィンドウが表示されます。

                                2. ポリシーを有効または無効にするには、[ポリシーの有効化(Enable Policy)] チェックボックスをオンまたはオフにします。
                                3. [保存(Save)] をクリックします。
                                ステップ 3   1 つまたは複数のポリシーを削除するには、次の手順を実行します。
                                1. 削除するポリシーの横にあるチェックボックスをオンにします。

                                  [すべてを選択(Select All)] をクリックするとすべてのポリシーを選択でき、[すべてをクリア(Clear All)] を選択するとすべてのチェックボックスをクリアできます。

                                2. [選択項目の削除(Delete Selected)] をクリックします。

                                証明書の一括管理

                                Extension Mobility Cross Cluster(EMCC)機能をサポートするため、クラスタ管理者によって構成された共通 SFTP サーバ間で一括インポートおよびエクスポートを実行できます。


                                (注)  


                                Cisco Unified IP Phone 8961、9951、または 9971 のファームウェア リリースが 9.0(2) で、クラスタが混合モードで実行されている場合、EMCC 機能が動作するためには、クラスタすべての信頼証明書が共通した一連のセキュリティ トークンで署名されている必要があります。 すべてのクラスタで共通のトークンが 1 つ以上必要です。


                                証明書のエクスポート

                                [証明書の一括管理(Bulk Certificate Management)] を使用して証明書をエクスポートするには、次の手順を実行します。

                                手順
                                  ステップ 1   [セキュリティ(Security)] > [証明書の一括管理(Bulk Certificate Management)] を選択します。

                                  [証明書の一括管理(Bulk Certificate Management)] ウィンドウが表示されます。

                                  ステップ 2   [証明書の一括管理(Bulk Certificate Management)] ウィンドウに適切な情報を入力します。
                                  ステップ 3   入力した値を保存するには、[保存(Save)] をクリックします。
                                  ステップ 4   証明書をエクスポートするには、[エクスポート(Export)] をクリックします。

                                  [証明書の一括エクスポート(Bulk Certificate Export)] ポップアップ ウィンドウが表示されます。

                                  ステップ 5   ドロップダウン メニューからエクスポートする証明書のタイプを選択します。
                                  • Tomcat
                                  • TFTP
                                  • Capf
                                  • All
                                  ステップ 6   [エクスポート(Export)] をクリックします。

                                  選択した証明書が中央 SFTP サーバにエクスポートされて保存されます。


                                  証明書のインポート

                                  [証明書の一括管理(Bulk Certificate Management)] ウィンドウを使用して、他のクラスタからエクスポートした証明書をインポートすることもできます。 ただし、[インポート(Import)] ボタンが表示されるには、次の操作を完了する必要があります。

                                  • 2 つ以上のクラスタから SFTP サーバに証明書をエクスポートします。
                                  • エクスポートした証明書を統合します。

                                  フィールド

                                  説明

                                  IP アドレス(IP Address)

                                  証明書のエクスポート先となる共通サーバの IP アドレスを入力します。

                                  ポート(Port)

                                  ポート番号を入力します。

                                  デフォルト:22

                                  ユーザ ID(User ID)

                                  サーバのログインに使用するユーザ ID を入力します。

                                  パスワード(Password)

                                  適切なパスワードを入力します。

                                  ディレクトリ(Directory)

                                  証明書の保存先となるサーバのディレクトリを入力します。

                                  例:

                                  /users/cisco

                                  SSO アプリケーションの設定

                                  SSO を設定するには、[Cisco Unified OS の管理(Cisco Unified OS Administration)] > [セキュリティ(Security)] > [シングル サインオン(Single Sign On)] をクリックします。

                                  このアプリケーションは 3 つのコンポーネントに分割されています。

                                  • ステータス(Status)
                                  • アプリケーションの選択(Select Applications)
                                  • サーバの設定(Server Settings)

                                  ステータス(Status)

                                  SSO 設定の変更によって、Tomcat が再起動することを示す警告メッセージが表示されます。

                                  SSO アプリケーションを有効にすると、次のエラー メッセージが表示されることがあります。

                                  • 「無効な Open Access Manager(OpenAM)サーバの URL(Invalid Open Access Manager (OpenAM) server URL)」:無効な OpenAM サーバ URL を指定すると、このエラー メッセージが表示されます。
                                  • 「無効なプロファイル クレデンシャル(Invalid profile credentials)」:間違ったプロファイル名または間違ったプロファイル パスワードあるいは両方を指定すると、このエラー メッセージが表示されます。
                                  • 「セキュリティ信頼エラー(Security trust error)」:OpenAM 証明書がインポートされなかった場合に、このエラー メッセージが表示されます。

                                  SSO を有効にするときに上記のいずれかのエラー メッセージが表示された場合は、ステータスが上記のエラーに変わります。

                                  アプリケーションの選択(Select Applications)

                                  アプリケーションを選択または選択解除して、特定のアプリケーションの SSO を有効または無効にできます。

                                  次のアプリケーションを使用できます。

                                  • Cisco Unified CM の管理:Cisco Unified CM の管理、Cisco Unified サービスアビリティ、Cisco Unified Reporting の SSO を有効にします。
                                  • Cisco Unified CM のユーザ オプション:Cisco Unified CM のユーザ オプションの SSO を有効にします。
                                  • Cisco Unified オペレーティング システムの管理:Cisco Unified オペレーティング システムの管理およびディザスタ リカバリ システムの SSO を有効にします。
                                  • Cisco Unified Data Service:Cisco UC Integration for Microsoft Office Communicator の SSO を有効にします。
                                  • RTMT:リアルタイム監視ツールの Web アプリケーションを有効にします。

                                  サーバの設定(Server Settings)

                                  サーバ設定は、SSO がすべてのアプリケーションに対して無効になっている場合にだけ編集できます。

                                  次の手順を使用します。

                                  手順
                                    ステップ 1   Open Access Manager(OpenAM)サーバの次の URL を入力します。

                                    http://opensso.sample.com:443/opensso

                                    ステップ 2   ポリシー エージェントを展開する相対パスを入力します。 相対パスは英数字である必要があります。
                                    ステップ 3   このポリシー エージェント用に設定されたプロファイルの名前を入力します。
                                    ステップ 4   プロファイル名のパスワードを入力します。
                                    ステップ 5   Windows デスクトップ SSO 用に設定されたログイン モジュール インスタンス名を入力します。
                                    ステップ 6   [保存(Save)] をクリックします。
                                    ステップ 7   確認ダイアログボックスの [OK] をクリックし、Tomcat を再起動します。