FIPS 140-2 の設定
Caution |
FIPS モードは、FIPS 準拠のリリースだけでサポートされます。Unified Communications Managerの FIPS 非準拠のバージョンにアップグレードする前に、必ず FIPS モードを無効にしてください。 FIPS 準拠のリリースと、そのリリースの証明書を確認するには、https://www.cisco.com/c/en/us/solutions/industries/government/global-government-certifications/fips-140.html の FIPS 140 のドキュメントを参照してください。 |
連邦情報処理標準(FIPS)は、米国およびカナダ政府の認証規格です。暗号化モジュールで順守する必要がある要件が規定されています。
Unified Communications Manager の特定のバージョンは、米国の National Institute of Standards(NIST)に従って FIPS 140-2 に準拠しています。これらは FIPS モード、レベル 1 に準拠して動作できます。
Unified Communications Manager
-
再起動
-
スタートアップ時に認定のセルフテストを実行する
-
暗号モジュールの整合性チェックを実行する
-
キー情報を再生成する
FIPS 140-2 モードを有効にすると、この時点で、Unified Communications Manager は FIPS 140-2 モードで動作しています。
FIPS の要件には、次のものが含まれます。
-
スタートアップ時のセルフテストの実行
-
一連の承認済み暗号機能に対する制限
FIPS モードでは、次の FIPS 140-2 レベル 1 検証済み暗号化モジュールが使用されます。
-
CiscoSSL 1.0.2n.6.2.194 with FIPS Module CiscoSSL FOM 6_2_0
-
CiscoJ 5.2.1
-
RSA CryptoJ 6_2_3
-
Openssh 7.5.9
-
Libreswan
-
NSS
次の FIPS 関連作業を実行できます。
-
FIPS 140-2 モードの有効化
-
FIPS 140-2 モードの無効化
-
FIPS 140-2 モードのステータスの確認
Note |
|
FIPS モードで自己署名証明書または証明書署名要求(CSR)を生成する場合は、SHA256 ハッシュアルゴリズムを使用して証明書を暗号化する必要があり、SHA1 を選択できません。
FIPS 140-2 モードの有効化
Unified Communications Managerで FIPS 140-2 モードを有効にする前に、次の点を検討してください。
-
非 FIPS モードから FIPS モードに切り替えた場合は、MD5 および DES プロトコルは機能しません。
-
単一サーバクラスタでは、証明書が再生成されるため、FIPS モードを有効にする前に、CTL クライアントを実行するか、または [Prepare Cluster for Rollback to pre-8.0] エンタープライズパラメータを適用する必要があります。これらの手順のいずれかを実行しない場合は、FIPS モードを有効にした後に手動で ITL ファイルを削除する必要があります。
-
FIPS モードをサーバで有効にした後は、サーバがリブートし、電話が正常に再登録されるまで待機してから、次のサーバで FIPS を有効にしてください。
Caution |
FIPS モードを有効にする前に、システム バックアップを実行することを強く推奨します。FIPS のチェックが起動時に失敗した場合は、システムが停止し、復元するにはリカバリ CD が必要になります。 |
Procedure
Step 1 |
CLI セッションを開始します。 詳細については、『Command Line Interface Reference Guide for Cisco Unified Communications Solutions』の"「CLI セッションの開始」"セクションを参照してください。 |
||||||
Step 2 |
CLI で utils fips enable を入力します。 FIPS、コモンクライテリア、強化されたセキュリティモードなどのセキュリティモードを有効にするには、クラスタ セキュリティ パスワードは 14 文字以上使用する必要があります。すべてのノードで「set password user security」CLI コマンドを使用してクラスタ セキュリティ パスワードを更新し、このコマンドを再試行します。********************************************************************************** コマンドの実行に失敗しました(Executed command unsuccessfully) 14 文字を超えるパスワードを入力すると、次のプロンプトが表示されます。 セキュリティ警告:この操作により、1)CallManager 2)Tomcat 3)IPsec 4)TVS 5)CAPF 6)SSH 7)ITLRecovery の証明書が再生成されます。上記のコンポーネント用にアップロードされたサードパーティの CA 署名付き証明書を再アップロードする必要があります。(The operation will regenerate certificates for 1)CallManager 2)Tomcat 3)IPsec 4)TVS 5)CAPF 6)SSH 7)ITLRecovery Any third party CA signed certificates that have been uploaded for the above components will need to be re-uploaded.)システムが混合モードで動作している場合は、ctl ファイルを更新するために CTL クライアントを再実行する必要があります。クラスタ内に他のサーバがある場合は、このノードの FIPS 操作が完了してシステムがバックアップおよび実行されるまで待機して、他のノードの FIPS 設定を変更しないでください。エンタープライズパラメータの [TFTP ファイル署名アルゴリズム(TFTP File Signature Algorithm)] に Unified Communications Manager の現行バージョンの FIPS 準拠ではない値 [SHA-1] が設定されている場合は、完全に FIPS にするために、パラメータ値を SHA-512 に変更することを推奨します。SHA-512 を署名アルゴリズムとして設定するには、クラスタにプロビジョニングされているすべての電話機が SHA-512 署名付き設定ファイルを検証できる必要がある場合があります。そうでない場合、電話機の登録が失敗する可能性があります。詳細については、『Cisco Unified Communications Manager Security Guide』を参照してください。これにより、システムが FIPS モードに変更され、再起動します。****************************************************************************** 警告:続行したら、Ctrl+C キーを押さないでください。開始後にこの操作をキャンセルすると、システムは一貫性のない状態になります。リカバリするには、システムをリーブートし、「utils fips status」を実行する必要があります。(Once you continue do not press Ctrl+C. Canceling this operation after it starts will leave the system in an inconsistent state; rebooting the system and running "utils fips status" will be required to recover.)****************************************************************************** Do you want to continue (yes/no)? |
||||||
Step 3 |
Yes と入力します。 次のメッセージが表示されます。 証明書を生成しています...オペレーティングシステムで FIPS モードを設定しています。FIPS mode enabled successfully. システムのバックアップが実行されると、システムを再起動した後に、これを強くお勧めします。システムは数分で再起動します。 Unified Communications Manager が自動的にリブートされます。
|
CiscoSSH サポート
Unified Communications Manager は CiscoSSH をサポートします。システムで FIPS モードを有効にすると、CiscoSSH は自動的に有効になります。追加設定は不要です。
CiscoSSH サポート
CiscoSSH は、次のキー交換アルゴリズムをサポートします。
-
Diffie-Hellman-Group14-SHA1
-
Diffie-Hellman-Group-Exchange-SHA256
-
Diffie-Hellman-Group-Exchange-SHA1
CiscoSSH は、Unified Communications Manager サーバで次の暗号をサポートしています。
-
AES-128-CTR
-
AES-192-CTR
-
AES-256-CTR
-
AES-128-GCM@openssh.com
-
AES-256-GCM@openssh.com
-
AES-128-CBC(リリース 12.0(1) 以降をサポート)
-
AES-192-CBC(リリース 12.0(1) 以降をサポート)
-
AES-256-CBC(リリース 12.0(1) 以降をサポート)
CiscoSSH は、クライアントの次の暗号方式をサポートします。
-
AES-128-CTR
-
AES-192-CTR
-
AES-256-CTR
-
AES-128-GCM@openssh.com
-
AES-256-GCM@openssh.com
-
AES-128-CBC
-
AES-192-CBC
-
AES-256-CBC
FIPS 140-2 モードの無効化
FIPS 140-2 モードを Unified Communications Manager で無効にする前に、次の点を考慮してください。
-
単一または複数のサーバクラスタでは、CTL クライアントを実行することを推奨します。CTL クライアントが単一のサーバクラスタで実行されていない場合は、FIPS モードを無効にした後で、手動で ITL ファイルを削除する必要があります。
-
複数サーバのクラスタでは、各サーバを個別に無効にする必要があります。これは、FIPS モードはクラスタ全体ではなくサーバごとに無効になるためです。
FIPS 140-2 モードを無効にするには、次の手順を実行します。
Procedure
Step 1 |
CLI セッションを開始します。 詳細については、『Command Line Interface Reference Guide for Cisco Unified Communications Solutions』の「Starting a CLI Session」の項を参照してください。 |
||
Step 2 |
CLI で、utils fips disable と入力します。 Unified Communications Manager がリブートされ、非 FIPS モードに戻ります。
|
FIPS 140-2 モードのステータス確認
FIPS 140-2 モードが有効になっているかどうかを確認するには、CLI からモードステータスを確認します。
FIPS 140-2 モードのステータスを確認するには、次の手順を実行します。
Procedure
Step 1 |
CLI セッションを開始します。 詳細については、『Command Line Interface Reference Guide for Cisco Unified Communications Solutions』の「Starting a CLI Session」の項を参照してください。 |
Step 2 |
CLI に utils fips status と入力します。 FIPS 140-2 モードが有効になっていることを確認するために、次のメッセージが表示されます。 admin:utils fips のステータス システムは FIPS モードで動作しています。自己診断テストのステータス:-S T A R T---------------------FIPS selftests ランの実行時間が N 3 の開始時刻: Thu Apr 28 15:59:24 PDT 2011 NSS の自己診断テストが成功しました。カーネル暗号テストに合格しました。オペレーティングシステムの OpenSSL 自己診断テストに合格しました。Libreswan 自己診断テストに合格しました。OpenSSL の自己診断テストに合格しました。CryptoJ 自己診断テストに合格しました... |
FIPS 140-2 モードサーバのリブート
FIPS 140-2 モードで Unified Communications Manager サーバがリブートすると、リブート後に各 FIPS 140-2 モジュールで FIPS のスタートアップ時のセルフテストがトリガーされます。
Caution |
これらのセルフテストに失敗すると、Unified Communications Manager サーバは停止します。 |
Note |
Unified Communications Manager サーバは、対応する CLI コマンドを使用して FIPS が有効または無効になったときに、自動的にリブートされます。リブートを開始することもできます。 |
Caution |
一時的なエラーによってスタートアップセルフテストに失敗した場合は、Unified Communications Manager サーバの再起動によって問題が修正されます。ただし、起動時のセルフテスト エラーが解消されない場合は、FIPS モジュールに重大な問題があるため、リカバリ CD の使用が唯一の選択肢となります。 |
FIPS モードの制約事項
機能 |
機能制限 |
||
---|---|---|---|
SNMP v3 |
FIPS モードでは、MD5 または DES を使用した SNMP v3 はサポートされていません。FIPS モードが有効になっているときに SNMP v3 が設定されている場合は、認証プロトコルとしてSHAを設定し、プライバシープロトコルとしてAES128を設定する必要があります。 |
||
証明書のリモート登録 |
FIPS モードでは、証明書のリモート登録はサポートされていません。 |
||
SFTP サーバ |
デフォルトでは、JSCH ライブラリは SFIPS 接続に ssh-rsa を使用していましたが、FIPS モードは ssh-rsa をサポートしません。CentOS の最近の更新により、JSCH ライブラリは、変更後の FIPS 値に応じて 、ssh-rsa(SHA1withRSA)または rsa-sha2-256(SHA256withRSA)の両方をサポートします。具体的には、次の選択を行います。
rsa-sha2-256(SHA256WithRSA)のサポートは OpenSSH 6.8 バージョン以降でのみ利用可能です。FIPS モードでは、OpenSSH 6.8 バージョン以降で実行されている SFIPS サーバだけが rsa-sha2-256(SHA256WithRSA)をサポートします。 |