次世代 暗号化（NGE）に基づいて CUCM と CUC 間のセキュア SIP 統合のための設定例

---

概要

この資料は次世代 暗号化を使用して Cisco Unified 通信マネージャ（CUCM）および Cisco Unity Connection （CUC）サーバ間のセキュア SIP 接続の設定および確認を記述したものです。

SIP インターフェイス上の次世代のセキュリティは TLS 1.2、SHA-2 および AES256 基づいてスイート B 暗号を使用するために SIP インターフェイスをプロトコルに制限します。 それは RSA または ECDSA 暗号の優先順位に基づいて暗号のさまざまな組み合わせを割り当てます。 Unity Connection と Cisco Unified CM 間のコミュニケーションの間に、暗号およびサード パーティ 証明書は両方両端に確認されます。 次世代 暗号化サポートのための設定は下記にあります。

使用するために計画すればサード パーティ 認証局 （CA）が署名する証明書はにコンフィギュレーションセクション（設定署名する証明書から-開始しま EC キーによって基づく証明書にサード パーティ CA によって署名します）の終わり

前提条件

要件

このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づくものです。

ミックス モードの CUCM バージョン 11.0 および それ 以降
CUC バージョン 11.0 および それ 以降

本書の情報は、特定のラボ環境にあるデバイスに基づいて作成されたものです。 このドキュメントで使用するすべてのデバイスは、初期（デフォルト）設定の状態から起動しています。 稼働中のネットワークで作業を行う場合、コマンドの影響について十分に理解したうえで作業してください。

  

ネットワーク図

このダイアグラムは簡潔に一度次世代 暗号化サポートが有効に なることをヘルプが CUCM と CUC 間の信頼できる接続を確立することプロセスを説明します:

  

証明書の要件

これらは次世代 暗号化サポートが有効に された on Cisco Unity Connection なら証明書交換要件です。 

• ネゴシエートされる RSA キーによって基づく暗号

使用される CUCM 証明書	使用される CUC 証明書	CUCM にアップロードするべき証明書	CUC にアップロードするべき証明書
CallManager.pem （自己署名）	Tomcat.pem （自己署名）	にアップロードされるべき Tomcat.pem CUCM > CallManger 信頼	ありません。
CallManager.pem （署名する CA）	Tomcat.pem （署名する CA）	にアップ ロードされるべき CUC ルート及び中間物 CA 認証*1 CUCM > CallManager 信頼	にアップ ロードされるべき CUCM ルート及び中間物 CA 認証*2 CUC > CallManager 信頼。
CallManager.pem （署名する CA）	Tomcat.pem （自己署名）	にアップロードされるべき Tomcat.pem CUCM > CallManger 信頼	にアップ ロードされるべき CUCM ルート及び中間物 CA 認証 CUC > CallManager 信頼。
CallManager.pem （自己署名）	Tomcat.pem （署名する CA）	にアップ ロードされるべき CUC ルート及び中間物 CA 認証 CUCM > CallManager 信頼	ありません。

^*1CUC ルート及び中間物 CA 認証は Unity 接続 Tomcat 証明書（Tomcat.pem）に署名した CA 認証を示します。

^*2CUCM ルート及び中間物 CA 認証は CUCM CallManager 証明書（Callmanager.pem）に署名した CA 認証を示します。 

• ネゴシエートされる EC キーによって基づく暗号

使用される CUCM 証明書	使用される CUC 証明書	CUCM にアップロードするべき証明書	CUC にアップロードするべき証明書
CallManagerECDSA.pem （自己署名）	TomcatECDSA.pem （自己署名）	にアップロードされるべき TomcatECDSA.pem CUCM > CallManger 信頼	ありません。
CallManagerECDSA.pem （署名する CA）	TomcatECDSA.pem （署名する CA）	にアップ ロードされるべき CUC ルート及び中間物 CA 認証*1 CUCM > CallManager 信頼	にアップ ロードされるべき CUCM ルート及び中間物 CA 認証*2 CUC > CallManager 信頼。
CallManagerECDSA.pem （署名する CA）	TomcatECDSA.pem （自己署名）	にアップロードされるべき TomcatECDSA.pem CUCM > CallManger 信頼。	にアップ ロードされるべき CUCM ルート及び中間物 CA 認証 CUC > CallManager 信頼。
CallManagerECDSA.pem （自己署名）	TomcatECDSA.pem （署名する CA）	にアップ ロードされるべき CUC ルート及び中間物 CA 認証 CUCM > CallManager 信頼	ありません。

^*1 CUC ルート及び中間物 CA 認証は Unity 接続 EC によって基づいた Tomcat 証明書（TomcatECDSA.pem）に署名した CA 認証を示します。

^*2 CUCM ルート及び中間物 CA 認証は CUCM CallManager 証明書（CallManagerECDSA.pem）に署名した CA 認証を示します。 

1. 注: TomcatECDSA.pem 証明書は CUC の 11.0.1 バージョンの CallManagerECDSA.pem と呼ばれます。 CUC 11.5.x から証明書は TomcatECDSA.pem に名前を変更されました。 

設定- Cisco Unity Connection （CUC）

1. 新しいポート グループの追加

Cisco Unity Connection 管理 ページ > テレフォニー 統合 > ポートグループへのナビゲートはおよび『Add New』 をクリック します。 イネーブル 次世代 暗号化チェックボックスをチェックすることを確かめて下さい。 

1. 注: Unity Connection の Cisco Tomcat 証明書は SSL ハンドシェイクの間にイネーブル 次世代 暗号化チェックボックスが有効に なれば使用されます。
                  • ECDSA によって基づく暗号がそれからネゴシエートされれば EC キー基づいた TomcatECDSA 証明書は SSL ハンドシェイクで使用されます。
                  • RSA によって基づく暗号がそれからネゴシエートされれば RSA キー基づいた Tomcat 証明書は SSL ハンドシェイクで使用されます。 

2. TFTPサーバ参照を追加して下さい

ポートグループ 基本 ページで、> サーバは編集し、CUCM クラスタの TFTPサーバの FQDN を追加するためにナビゲート します。 TFTPサーバの FQDN/ホスト名は CallManager 証明書の Common Name （CN）を一致する必要があります。 サーバの IP アドレスははたらかないし、ITL ファイルをダウンロードするために失敗に終わります。 DNS名は設定された DNSサーバによって解決可能である必要があります従って。

Cisco Unity Connection サービサビリティ > Tools > Service 管理へのナビゲートによって各ノードの接続メッセージ交換マネージャを再起動して下さい。 これは設定が実施されることができるように必須です。

1. 注: Unity 接続はセキュア 6972 ポートの https プロトコルを使用して CUCM の TFTP から ITL ファイル（ITLfile.tlv）をダウンロードします（URL: https://<CUCM-TFTP-FQDN>:6972/ITLFile.tlv）。 CUCM はミックス モードに CUC が ITL ファイルからの「CCM+TFTP」機能 証明書を探して いるのである必要があります。

テレフォニー 統合 > ポートグループ > ポートグループ 基本 設定 ページに戻ってナビゲート し、新たに追加されたポートグループをリセットして下さい。

1. 注: ポートグループがリセットされる度に、CUC サーバは CUCM サーバに接続によってローカルで保存された ITL ファイルをアップデートします。

3. ボイス メール ポートの追加

テレフォニー 統合 > ポートに戻ってナビゲート し、新しく作成されたポートグループにポートを追加するために『Add New』 をクリック して下さい。

4. サード パーティ CA の CUCM ルートおよび中間物証明書をアップ ロードして下さい

サード パーティ 証明書の場合には、Unity Connection の CallManager 信頼のサード パーティ 認証局 （CA）のルートおよび中間物証明書をアップ ロードして下さい。 これはサード パーティ CA が Call Manager 証明書に署名したときだけ必要とされます。 このアクションを Cisco Unified OS 管理 > Security > Certificate Management へのナビゲートによって行い、証明書を『Upload』 をクリック して下さい。

設定- Cisco Unified CM （CUCM）

1. SIP トランク セキュリティプロファイルを作成して下さい

CUCM Administration > システム > Security > SIP トランク セキュリティプロファイルにナビゲート し、新しいプロファイルを追加して下さい。 X.509 サブジェクト名は CUC サーバの FQDN を一致する必要があります。 

1. 注: CLI コマンドは「CERT が Tomcat/tomcat.pem」を所有するために Unity Connection の RSA キーによって基づく Tomcat 証明書を表示することができることを示します。 それは CN CUCM で設定される X.509 サブジェクト名を一致する必要がありますです。 CN はユニティサーバの FQDN/ホスト名と等しいです。 EC キーによって基づく証明書は-認証対象代替名（SAN）フィールドの… FQDN/hostname が含まれています。 

2. セキュア SIP トランクを作成して下さい

デバイス > トランクに > クリックし、追加し、新しい作成します Unity Connection とセキュア統合のために使用される標準 SIP トランクをナビゲート して下さい。

3. TLS および SRTP 暗号を設定して下さい

1. 注: 

   Unity Connection と Cisco Unified Communications Manager 間のネゴシエーションは次の状態の TLS 暗号設定によって決まります: 

   • Unity Connection がサーバとして機能するとき、TLS 暗号ネゴシエーションは Cisco Unified CM によって選択されるプリファレンスに基づいています。
   • ECDSA によって基づく暗号がそれからネゴシエートされれば EC キー基づいた TomcatECDSA 証明書は SSL ハンドシェイクで使用されます。
   • RSA によって基づく暗号がそれからネゴシエートされれば RSA キー基づいた Tomcat 証明書は SSL ハンドシェイクで使用されます。
   • Unity Connection がクライアントとして機能するとき、TLS 暗号ネゴシエーションは Unity Connection によって選択されるプリファレンスに基づいています。

CM > システム > エンタープライズ パラメータは Cisco Unified にナビゲート し、ドロップダウン リストからの TLS および SRTP 暗号から適切な暗号オプションを選択します。

各ノードの Cisco Call Manager サービスを Cisco Unified サービサビリティ ページ、ツール > コントロール センター機能 サービスへのナビゲートによって再開し、CM サービスの下で『Cisco Call Manager』 を選択 して下さい

Cisco Unity Connection 管理 ページ > システム設定 > 一般的な設定にナビゲート し、ドロップダウン リストからの TLS および SRTP 暗号から適切な暗号オプションを選択して下さい。

Cisco Unity Connection サービサビリティ > Tools > Service 管理へのナビゲートによって各ノードの接続メッセージ交換マネージャを再起動して下さい。

TLS は優先順位のオプションを暗号化します

TLS 暗号オプション	優先順位の TLS 暗号
最も強い AES-256 SHA-384 だけ: 好まれる RSA	TLS_ECDHE_RSA_WITH_AES_256_GC M_SHA384 TLS_ECDHE_ECDSA_WITH_AES_256_GCM_ SHA384
Strongest-AES-256 SHA-384 だけ: 好まれる ECDSA	TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384 TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
Medium-AES-256 AES-128 だけ: 好まれる RSA	TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 TLS_ECDHE_ECDSA_WITH_AES_256_GCM _SHA384 TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
Medium-AES-256 AES-128 だけ: 好まれる ECDSA	TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384 TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256 TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
好まれるすべての暗号 RSA （デフォルト）	TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384 TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256 TLS_RSA_WITH_AES_128_CBC_SHA
好まれるすべての暗号 ECDSA	TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384 TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256 TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 TLS_RSA_WITH_AES_128_CBC_SHA

優先順位の SRTP 暗号オプション

SRTP 暗号オプション	優先順位の SRTP
すべては AES-256 を、AES-128 暗号サポートしました	AEAD_AES_256_GCM AEAD_AES_128_GCM AES_CM_128_HMAC_SHA1_32
AEAD AES-256、AES-28 GCM ベースの暗号	AEAD_AES_256_GCM AEAD_AES_128_GCM
AEAD AES256 GCM ベースの暗号だけ	AEAD_AES_256_GCM

4. アップ ロード CUC Tomcat 証明書（基づいて RSA 及び EC）

OS 管理 > Security > Certificate Management にナビゲート し、CallManager 信頼ストアに両方の CUC Tomcat 証明書を（基づく RSA 及び EC）アップ ロードして下さい。

1. 注: 両方の Unity Tomcat 証明書をアップ ロードすることは ECDSA 暗号がただネゴシエートされる場合必須ではないです。 そのようなケース EC によって基づく Tomcat 証明書で十分はあります。

サード パーティ 証明書の場合には、サード パーティ 認証局 （CA）のルートおよび中間物証明書をアップ ロードして下さい。 これはサード パーティ CA が Unity Tomcat 証明書に署名したときだけ必要とされます。

変更を加えるためにすべてのノードの Cisco Call Manager プロセスを再起動して下さい。

5. ルートパターンを作成して下さい

呼ルーティング > ルート/ハントする > ルートパターンへのナビゲートによる設定されたトランクへのポイント ルートパターンを設定して下さい。 ルート パターン番号として入力された内線番号は、ボイスメール パイロットとして使用できます。

6. 音声メール パイロットを、音声メール プロファイル作成し、DN にそれを割り当てて下さい

進んだ機能 > 音声メール > 音声メールパイロットへ行くことによって統合のための音声メールパイロットを作成して下さい。

すべての設定進んだ機能 > 音声メール > 音声メール プロファイルをリンクするために音声メール プロファイルを作成して下さい

セキュア統合を使用するように呼ルーティング > ディレクトリ番号へ行くことによって意図されている DN に新しく作成された音声メール プロファイルを割り当てて下さい

設定- EC キーに署名することはサード パーティ CA （オプションの）によって証明書を基づかせていました

証明書はシステム間のセキュア統合を設定する前のサード パーティ CA によって署名されるかもしれません。 両方のシステムの証明書に署名するために次のステップに従って下さい。

Cisco Unity Connection

1. CUC TomcatECDSA のための証明書署名要求（CSR）を生成し、証明書をサード パーティ CA によって署名してもらって下さい
2. CA はように続くアップ ロードする必要がある CA 認証（CA ルート証明）をおよび ID証明（CA 署名入り認証）提供します:
   Tomcat 信頼ストアに CA ルート証明をアップ ロードして下さい
   Tomcat EDCS ストアに ID証明をアップ ロードして下さい
3. CUC のメッセージ交換マネージャを再起動して下さい

Cisco Unified CM

1. CUCM CallManagerECDSA のための CSR を生成し、証明書をサード パーティ CA によって署名してもらって下さい
2. CA はように続くアップ ロードする必要がある CA 認証（CA ルート証明）をおよび ID証明（CA 署名入り認証）提供します:
   CallManager 信頼ストアに CA ルート証明をアップ ロードして下さい
   CallManager EDCS ストアに ID証明をアップ ロードして下さい
3. Cisco CCM を再起動し、各ノードのサービスを TFTP して下さい

同じプロセスが CSR が CUC Tomcat 証明書および CallManager 証明書のために生成され、Tomcat ストアおよびそれぞれ CallManager ストアにアップ ロードされる RSA キーによって基づいた証明書に署名するのに使用されます。

確認

ここでは、設定が正常に動作していることを確認します。

SIP トランク 確認を保護して下さい

電話の [Voice Mail]ボタンを押して、ボイス メールを送信します。 Unity Connection システムでユーザの内線番号が設定されていない場合、オープニング グリーティングを聞く必要があります。

または、SIP OPTION のキープアライブを有効にして、SIP トランクのステータスをモニタすることができます。 このオプションは、SIP トランクに割り当てられた SIP プロファイルで有効にできます。 これが有効に なれば下記に示されているようにデバイス > トランクによって一口トランクステータスを監視できます:

セキュア RTP コールの検証

鍵マークのアイコンが Unity Connection へのコールに表示されるかどうか検証します。 それは RTP がこのイメージに示すようにストリーム（デバイスセキュリティ プロファイルははたらくためにそれのためにセキュアである必要があります）暗号化されることを意味します

関連情報

• Cisco Unity Connection リリース 11.x のための SIP 統合ガイド