Cisco Unified Communications Manager, Release 9.1(1) IM and Presence サービス導入ガイド
IM and Presence のセキュリティ設定
IM and Presence のセキュリティ設定
発行日;2013/08/12   |   ドキュメントご利用ガイド   |   ダウンロード ;   この章 pdf   ,   ドキュメント全体 pdf    |   フィードバック

目次

IM and Presence のセキュリティ設定

ログイン バナーの作成

ユーザが IM and Presence インターフェイスへのログインの一部として確認するバナーを作成できます。 任意のテキスト エディタを使用して .txt ファイルを作成し、ユーザに対する重要な通知を含め、そのファイルを Cisco Unified IM and Presence OS の管理ページにアップロードします。 このバナーはすべての IM and Presence インターフェイスに表示され、ログインする前に法的な警告や義務などの重要な情報をユーザに通知します。 Cisco Unified CM IM and Presence の管理、Cisco Unified IM and Presence オペレーティング システムの管理、Cisco Unified IM and Presence のサービスアビリティ、Cisco Unified IM and Presence のレポート、IM and Presence のディザスタ リカバリ システム、および Cisco Unified CM IM and Presence ユーザ オプション インターフェイスでは、このバナーがユーザがログインする前後に表示されます。

手順
    ステップ 1   バナーに表示する内容を含む .txt ファイルを作成します。
    ステップ 2   Cisco Unified IM and Presence オペレーティング システムの管理にサインインします。
    ステップ 3   [ソフトウェア アップグレード(Software Upgrades)] > [ログイン メッセージのカスタマイズ(Customized Logon Message)] を選択します。
    ステップ 4   [参照(Browse)] を選択し、.txt ファイルを探します。
    ステップ 5   [ファイルのアップロード(Upload File)] を選択します。

    バナーは、ほとんどの IM and Presence インターフェイスでログインの前後に表示されます。

    (注)     

    .txt ファイルは、各 IM and Presence ノードに個別にアップロードする必要があります。


    IM and Presence の証明書タイプ

    ここでは、IM and Presence のクライアントとサービスに必要なさまざまな証明書について説明します。

    表 1 IM and Presence のクライアント アプリケーションの証明書タイプ

    クライアント

    証明書

    SIP クライアント(Cisco Unified Communications Manager

    tomcat

    XMPP クライアント(Cisco Unified Personal Communicator Release 8.0 のサードパーティ クライアント)

    cup-xmpp

    表 2 IM and Presence サービスの証明書タイプ

    サービス

    証明書

    証明書信頼ストア

    コメント

    SIP Proxy

    cup

    cup-trust

    Presence Engine

    cup

    cup-trust

    SOAP

    tomcat

    directory-trust

    AXL

    tomcat

    directory-trust

    LDAP

    tomcat

    directory-trust

    LDAP は、directory/directory-trust が tomcat/ttrust であるため、tomcat 証明書を使用します。

    Microsoft Exchange

    cup-trust

    Microsoft OCS/LCS コール制御

    cup

    cup-trust

    SIP フェデレーション

    cup

    cup-trust

    XMPP フェデレーション

    Cup-xmpp-s2s

    cup-xmpp-trust

    cup-xmpp-s2s の信頼証明書は、一般的な XMPP 信頼証明書とともに cup-xmpp-trust に保存されます。

    IM and Presence と Cisco Unified Communications Manager 間の証明書交換の設定

    このモジュールでは、Cisco Unified Communications Manager サーバと IM and Presence サーバ間における自己署名証明書の交換について説明します。 IM and Presence で証明書インポート ツールを使用して、Cisco Unified Communications Manager 証明書を IM and Presence に自動的にインポートできます。 ただし、手動で Cisco Unified Communications ManagerIM and Presence 証明書をアップロードする必要があります。

    IM and Presence および Cisco Unified Communications Manager 間のセキュア接続が必要な場合にのみ、次の手順を実行します。

    セキュリティを設定するための前提条件

    Cisco Unified Communications Manager で次の項目を設定します。

    • IM and Presence の SIP セキュリティ プロファイルを設定します。
    • IM and Presence の SIP トランクを設定します。
      • SIP トランクにセキュリティ プロファイルを関連付けます。
      • IM and Presence 証明書のサブジェクト CN を SIP トランクに設定します。

    IM and Presence への Cisco Unified Communications Manager 証明書のインポート

    手順
      ステップ 1   [Cisco Unified CM IM and Presence の管理(Cisco Unified CM IM and Presence Administration)] > [システム(System)] > [セキュリティ(Security)] > [証明書インポート ツール(Certificate Import Tool)] を選択します。
      ステップ 2   [証明書信頼ストア(Certificate Trust Store)] から [IM and Presence(IM/P)サービスの信頼性(IM and Presence (IM/P) Service Trust)] を選択します。
      ステップ 3   Cisco Unified Communications Manager サーバの IP アドレス、ホスト名、または FQDN を入力します。
      ステップ 4   Cisco Unified Communications Manager サーバと通信するポート番号を入力します。
      ステップ 5   [送信(Submit)] を選択します。

      トラブルシューティングのヒント

      証明書インポート ツールはインポート操作を完了すると、Cisco Unified Communications Manager への接続に成功したかどうか、Cisco Unified Communications Manager から正常に証明書をダウンロードしたかどうかを報告します。 証明書インポート ツールで障害が報告された場合、推奨処置についてはオンライン ヘルプを参照してください。 [Cisco Unified IM and Presence OS の管理(Cisco Unified IM and Presence OS Administration)] > [セキュリティ(Security)] > [証明書の管理(Certificate Management)] を選択し、手動で証明書をインポートすることもできます。


      次の作業

      SIP Proxy サービスの再起動

      SIP Proxy サービスの再起動

      はじめる前に

      IM and PresenceCisco Unified Communications Manager 証明書をインポートします。

      手順
        ステップ 1   IM and Presence で、[Cisco Unified IM and Presence のサービスアビリティ(Cisco Unified IM and Presence Serviceability)] > [ツール(Tools)] > [コントロール センターの機能サービス(Control Center - Feature Services)] を選択します。
        ステップ 2   [Cisco SIP Proxy] を選択します。
        ステップ 3   [リスタート(Restart)] を選択します。

        次の作業

        IM and Presence からの証明書のダウンロード

        IM and Presence からの証明書のダウンロード

        手順
          ステップ 1   IM and Presence で、[Cisco Unified IM and Presence OS の管理(Cisco Unified IM and Presence OS Administration)] > [セキュリティ(Security)] > [証明書の管理(Certificate Management)] を選択します。
          ステップ 2   [検索(Find)] を選択します。
          ステップ 3   cup.pem ファイルを選択します。
          ステップ 4   [ダウンロード(Download)] を選択して、ファイルをローカルのコンピュータに保存します。

          トラブルシューティングのヒント

          IM and Presence に表示される cup.csr ファイルへのアクセスに関するエラーを無視してください。Cisco Unified Communications Manager と交換する証明書に CA(認証局)が署名する必要はありません。


          次の作業

          Cisco Unified Communications Manager への IM and Presence 証明書のアップロード

          Cisco Unified Communications Manager への IM and Presence 証明書のアップロード

          はじめる前に

          IM and Presence から証明書をダウンロードします。

          手順
            ステップ 1   Cisco Unified Communications Manager[Cisco Unified OS の管理(Cisco Unified OS Administration)] > [セキュリティ(Security)] > [証明書の管理(Certificate Management)] を選択します。
            ステップ 2   [証明書のアップロード(Upload Certificate)] を選択します。
            ステップ 3   [証明書の名前(Certificate Name)] メニューから [Callmanager-trust] を選択します。
            ステップ 4   IM and Presence から以前にダウンロードした証明書(.pem ファイル)を参照し、選択します。
            ステップ 5   [ファイルのアップロード(Upload File)] を選択します。

            関連トピック

            IM and Presence からの証明書のダウンロード


            次の作業

            Cisco Unified Communications Manager サービスの再起動

            Cisco Unified Communications Manager サービスの再起動

            はじめる前に

            Cisco Unified Communications ManagerIM and Presence 証明書をアップロードします。

            手順
              ステップ 1   Cisco Unified Communications Manager で、[Cisco Unified サービスアビリティ(Cisco Unified Serviceability)] > [ツール(Tools)] > [コントロール センターの機能サービス(Control Center - Feature Services)] を選択します。
              ステップ 2   [Cisco CallManager] を選択します。
              ステップ 3   [リスタート(Restart)] を選択します。

              関連トピック

              Cisco Unified Communications Manager への IM and Presence 証明書のアップロード


              次の作業

              IM and Presence の SIP セキュリティの設定

              IM and Presence の SIP セキュリティの設定

              TLS ピア サブジェクトの設定

              IM and Presence 証明書をインポートすると、IM and Presence は自動的に TLS ピア サブジェクトを TLS ピア サブジェクト リストおよび TLS コンテキスト リストに追加しようとします。 要件に合わせて TLS ピア サブジェクトおよび TLS コンテキストが設定されていることを確認します。

              手順
                ステップ 1   [Cisco Unified CM IM and Presence の管理(Cisco Unified CM IM and Presence Administration)] > [システム(System)] > [セキュリティ(Security)] > [TLS ピア サブジェクト(TLS Peer Subjects)] を選択します。
                ステップ 2   [新規追加(Add New)] を選択します。
                ステップ 3   ピア サブジェクト名に対して次の手順のいずれかを実行します。
                1. サーバが提示する証明書のサブジェクト CN を入力します。
                2. 証明書を開き、CN を探してここに貼り付けます。
                ステップ 4   [説明(Description)] フィールドにサーバの名前を入力します。
                ステップ 5   [保存(Save)] を選択します。

                次の作業

                TLS コンテキストの設定

                TLS コンテキストの設定

                IM and Presence 証明書をインポートすると、IM and Presence は自動的に TLS ピア サブジェクトを TLS ピア サブジェクト リストおよび TLS コンテキスト リストに追加しようとします。 要件に合わせて TLS ピア サブジェクトおよび TLS コンテキストが設定されていることを確認します。

                はじめる前に

                IM and Presence の TLS ピア サブジェクトを設定します。

                手順
                  ステップ 1   [Cisco Unified CM IM and Presence の管理(Cisco Unified CM IM and Presence Administration)] > [システム(System)] > [セキュリティ(Security)] > [TLS コンテキスト設定(TLS Context Configuration)] を選択します。
                  ステップ 2   [検索(Find)] を選択します。
                  ステップ 3   [Default_Cisco_UPS_SIP_Proxy_Peer_Auth_TLS_Context] を選択します。
                  ステップ 4   使用可能な TLS ピア サブジェクトのリストから、設定した TLS ピア サブジェクトを選択します。
                  ステップ 5   この TLS ピア サブジェクトを [選択された TLS ピア サブジェクト(Selected TLS Peer Subjects)] に移動します。
                  ステップ 6   [保存(Save)] を選択します。
                  ステップ 7   [Cisco Unified IM and Presence のサービスアビリティ(Cisco Unified IM and Presence Serviceability)] > [ツール(Tools)] > [サービスの開始(Service Activation)] を選択します。
                  ステップ 8   Cisco SIP Proxy サービスを再起動します。

                  トラブルシューティングのヒント

                  TLS コンテキストに対する変更を有効にするには、SIP Proxy サービスを再起動する必要があります。


                  SIP プロキシツープロキシ クラスタ内プロトコル タイプの設定

                  IM and Presence がクラスタ内展開で SIP メッセージを安全にルーティングするために使用するプロトコルを選択します。 デフォルト値は、TLS プロトコルです。 クラスタ ノードがセキュアでないネットワークを介してトラフィックを送信し、セキュアな(暗号化された)接続チャネルが必要な場合に TLS を使用します。

                  手順
                    ステップ 1   [システム(System)] > [セキュリティ(Security)] > [全般設定(General Settings)] を選択します。
                    ステップ 2   [SIP クラスタ間プロキシツープロキシ転送プロトコル(SIP Intra-cluster Proxy-to-Proxy Transport Protocol)] メニューからプロトコル タイプを選択します。
                    ステップ 3   [保存(Save)] を選択します。

                    トラブルシューティングのヒント

                    SIP Proxy プロトコルに対する変更を有効にするには、SIP Proxy サービスを再起動する必要があります。


                    IM and Presence の XMPP セキュリティの設定

                    XMPP セキュリティ モード

                    IM and Presence は XMPP ベースの設定でセキュリティを強化しています。 次の表に、これらの XMPP セキュア モードについて説明します。 IM and Presence の XMPP セキュア モードを設定するには、[Cisco Unified CM IM and Presence の管理(Cisco Unified CM IM and Presence Administration)] > [システム(System)] > [セキュリティ(Security)] > [設定(Settings)] を選択します。

                    表 3 XMPP セキュア モードの説明

                    セキュア モード

                    説明

                    XMPP クライアントと IM/P サービス間のセキュア モードの有効化(Enable XMPP Client To IM/P Service Secure Mode)

                    この設定をオンにすると、IM and Presence は、クラスタ内の IM and Presence サーバと XMPP クライアント アプリケーション間にセキュアな TLS 接続を確立します。 IM and Presence は、このセキュア モードをデフォルトでオンにします。

                    このセキュア モードをオフにしないことを推奨します。ただし、XMPP クライアント アプリケーションが非セキュア モードでクライアント ログイン クレデンシャルを保護できる場合を除きます。 セキュア モードをオフにする場合は、他の方法で XMPP のクライアント/サーバ通信を保護できることを確認してください。

                    XMPP ルータツールータ セキュア モードの有効化(Enable XMPP Router-to-Router Secure Mode)

                    この設定をオンにすると、IM and Presence は同じクラスタ内または別のクラスタ内の XMPP ルータ間にセキュアな TLS 接続を確立します。 IM and Presence は XMPP 証明書を XMPP 信頼証明書として自動的にクラスタ内またはクラスタ間で複製します。 XMPP ルータは、同じクラスタ内または別のクラスタ内にある他の XMPP ルータとの TLS 接続を確立しようとし、TLS 接続の確立に使用できます。

                    Web クライアントと IM/P サービス間のセキュア モードの有効化(Enable Web Client to IM/P Service Secure Mode)

                    この設定をオンにすると、IM and PresenceIM and Presence サーバと XMPP ベースの API クライアント アプリケーション間にセキュアな TLS 接続を確立します。この設定をオンにする場合は、IM and Presence の cup-xmpp-trust リポジトリに Web クライアントの証明書または署名付き証明書をアップロードしてください。

                    トラブルシューティングのヒント

                    XMPP セキュリティ設定を更新した場合は、次のいずれかのアクションを実行します。

                    • 次のようにサービスを再起動します。
                      • [XMPP クライアントと IM/P サービス間のセキュア モードの有効化(Enable XMPP Client To IM/P Service Secure Mode)] を編集した場合は、Cisco XCP Connection Manager を再起動します。 [Cisco Unified IM and Presence のサービスアビリティ(Cisco Unified IM and Presence Serviceability)] > [ツール(Tools)] > [コントロール センターの機能サービス(Control Center - Feature Services)] を選択して、このサービスを再起動します。
                      • [XMPP ルータツールータ セキュア モードの有効化(Enable XMPP Router-to-Router Secure Mode)] を編集した場合は、Cisco XCP Router を再起動します。 [Cisco Unified IM and Presence のサービスアビリティ(Cisco Unified IM and Presence Serviceability)] > [ツール(Tools)] > [コントロール センターのネットワーク サービス(Control Center - Network Services)] を選択して、このサービスを再起動します。
                      • [Web クライアントと IM/P サービス間のセキュア モードの有効化(Enable Web Client to IM/P Service Secure Mode)] を編集した場合は、Cisco XCP Web Connection Manager を再起動します。 [Cisco Unified IM and Presence のサービスアビリティ(Cisco Unified IM and Presence Serviceability)] > [ツール(Tools)] > [コントロール センターの機能サービス(Control Center - Feature Services)] を選択して、このサービスを再起動します。
                    関連タスク

                    XMPP 証明書の設定

                    手順
                      ステップ 1   [Cisco Unified CM IM and Presence の管理(Cisco Unified CM IM and Presence Administration)] > [システム(System)] > [セキュリティ(Security)] > [設定(Settings)] を選択します。
                      ステップ 2   この IM and Presence クラスタのサーバツーサーバ ドメイン名(たとえば、「cisco.com」)を入力します。
                      ステップ 3   一般的な XMPP 証明書で XMPP サーバツーサーバ証明書と同じドメイン名を使用する場合は、[XMPP 証明書件名 CN にドメイン名を使用(Use Domain Name for XMPP Certificate Subject Common Name)] をオンにします。
                      ステップ 4   [保存(Save)] を選択します。
                      ステップ 5   Cisco XCP Router サービスを再起動します。 [Cisco Unified IM and Presence のサービスアビリティ(Cisco Unified IM and Presence Serviceability)] > [ツール(Tools)] > [コントロール センターのネットワーク サービス(Control Center - Network Services)] > [Cisco XCP Router] を選択して、このサービスを再起動します。

                      トラブルシューティングのヒント

                      サーバツーサーバ ドメイン名の値を変更する場合は、Cisco XCP Router サービスを再起動する前に、影響を受ける XMPP S2S 証明書を再生成する必要があります。


                      FIPS 140-2 モードの設定

                      FIPS 140-2 モードの概要

                      Federal Information Processing Standard(FIPS)は、暗号モジュールで従う必要がある要件を定義する米国およびカナダ政府の認証規格です。

                      IM and Presence Service は、米国の National Institute of Standards(NIST)に従って、FIPS 140-2 に準拠し、FIPS モードのレベル 1 に準拠して動作します。

                      FIPS 140-2 にモードを有効にすると、IM and Presence がリブートし、起動時に証明書のセルフテストを実行します。さらに、暗号モジュールの整合性チェックを実行してからキー関連情報を再生成します。 この時点で、IM and Presence は FIPS 140-2 モードで動作します。

                      IM and Presence は、起動時のセルフテストを実行したり、承認済みの暗号化機能のリストに限定するなどして、FIPS 要件を満たします。

                      IM and Presence の FIPS モードは FIPS 140-2 レベル 1 で検証された OpenSSL FIPS モジュール バージョン 1.2 を使用します。 OpenSSL の関連マニュアルは、http:/​/​www.openssl.org/​docs/​fips/​ で参照できます。

                      IM and Presence で、次の FIPS 関連タスクを実行できます。

                      • FIPS 140-2 モードの有効化
                      • FIPS 140-2 モードの無効化
                      • FIPS 140-2 モードのステータスの確認

                      (注)  


                      デフォルトでは、IM and Presence は非 FIPS モードです。 CLI を使用して FIPS モードを有効にする必要があります。 詳細については、『Command Line Interface Reference Guide for Cisco Unified Solutions』を参照してください。


                      FIPS 140-2 モードのサーバ リブート

                      FIPS が有効または無効の場合、IM and Presence サーバは自動的にリブートされます。 FIPS 140-2 モードで IM and Presence サーバがリブートすると、リブート後に各 FIPS 140-2 モジュールで FIPS の起動時のセルフテストをトリガーします。


                      注意    


                      これらのセルフテストのいずれかが失敗した場合、IM and Presence は停止します。 起動時のセルフテストが一時的なエラーが原因で失敗した場合、IM and Presence サーバを再起動すると問題が解決します。 ただし、起動時のセルフテスト エラーが解消されない場合、FIPS モジュールに重大な問題があり、リカバリ CD の使用が唯一のオプションとなります。