Cisco Unity Connection に必要な IP 通信
サービスポート
表 1 に、Cisco Unity Connection サーバーへの着信接続に使用される TCP ポートと UDP ポート、および Unity Connection によって内部的に使用されるポートを示します。
|
ポートとプロトコル1 |
オペレーティングシステムのファイアウォール設定 |
実行可能ファイル/サービスまたはアプリケーション |
サービスアカウント |
注 |
||
|---|---|---|---|---|---|---|
|
TCP: 20500、20501、20502、19003、1935 |
Unity Connection クラスタ内のサーバー間でのみ開きます。 ポート 1935 はブロックされており、内部使用のみです。 |
CuCsMgr/Unity Connection 会話マネージャー |
cucsmgr |
Unity Connection クラスタ内のサーバーは、これらのポート上で相互に接続できる必要があります。 |
||
|
TCP: 21000~21512 |
Open |
CuCsMgr/Unity Connection 会話マネージャー |
cucsmgr |
一部の電話クライアント アプリケーションでは、IP 電話が Unity Connection サーバー上のこの範囲のポートに接続できる必要があります。 |
||
|
TCP: 5000 |
Open |
CuCsMgr/Unity Connection 会話マネージャー |
cucsmgr |
ポートステータス監視の読み取り専用接続用に開かれます。 このポートでデータを確認するには、接続管理で監視を構成する必要があります (監視はデフォルトではオフになっています)。 管理ワークステーションはこのポートに接続します。 |
||
|
SIP トラフィック用に管理者によって割り当てられた TCP および UDP ポート。 使用可能なポートは 5060~5199 |
Open |
CuCsMgr/Unity Connection 会話マネージャー |
cucsmgr |
会話マネージャーによって処理される Unity Connection SIP 制御トラフィック。 SIP デバイスはこれらのポートに接続できる必要があります。 |
||
|
TCP: 20055 |
Unity Connection クラスタ内のサーバー間でのみ開く |
CuLicSvr/Unity Connection ライセンスサーバー |
culic |
ローカルホストのみに制限されます (このサービスへのリモート接続は必要ありません)。 |
||
|
TCP: 1502、1503 (/etc/services の "ciscounity_tcp") |
Unity Connection クラスタ内のサーバー間でのみ開く |
unityoninit/Unity Connection DB |
root |
Unity Connection クラスタ内のサーバーは、これらのデータベース ポート上で相互に接続できる必要があります。 データベースへの外部アクセスには、CuDBProxy を使用します。 |
||
|
TCP: 143、993、7993、8143、8993 |
Open |
CuImapSvr/Unity Connection IMAP サーバー |
cuimapsvr |
クライアント ワークステーションは、IMAP 受信トレイ アクセスおよび IMAP over SSL 受信トレイ アクセスのためにポート 143 および 993 に接続できる必要があります。 |
||
|
TCP: 25, 8025 |
Open |
CuSmtpSvr/Unity Connection SMTP サーバー |
cusmtpsvr |
UC デジタル ネットワーク内の他のサーバーなど、Unity Connection ポート 25 に SMTP を配信するサーバー。 |
||
|
TCP: 4904 |
ブロックされています。内部使用のみ |
SWIsvcMon (Nuance SpeechWorks サービス モニタ) |
オープンスピーチ |
ローカルホストのみに制限されます (このサービスへのリモート接続は必要ありません)。 |
||
|
TCP: 4900:4904 |
ブロックされています。内部使用のみ |
OSServer/Unity Connection 音声認識機能 |
オープンスピーチ |
ローカルホストのみに制限されます (このサービスへのリモート接続は必要ありません)。 |
||
|
UDP: 16384~21511 |
Open |
CuMixer/Unity Connection Mixer |
cumixer |
VoIP デバイス (電話機およびゲートウェイ) は、着信オーディオ ストリームを配信するためにこれらの UDP ポートにトラフィックを送信できる必要があります。 |
||
|
UDP: 7774~7900 |
ブロック; 内部使用のみ |
CuMixer/ 音声認識 RTP |
cumixer |
ローカルホストのみに制限されます (このサービスへのリモート接続は必要ありません)。 |
||
|
TCP: 22000 UDP: 22000 |
Unity Connection クラスタ内のサーバー間でのみ開く |
CuSrm/ Unity Connection サーバーロールマネージャ |
cusrm |
クラスター SRM RPC。 Unity Connection クラスタ内のサーバーは、これらのポート上で相互に接続できる必要があります。 |
||
|
TCP: 22001 UDP: 22001 |
Unity Connection クラスタ内のサーバー間でのみ開く |
CuSrm/ Unity Connection サーバーロールマネージャ |
cusrm |
クラスター SRM ハートビート。 ハートビート イベント トラフィックは暗号化されませんが、MAC で保護されます。 Unity Connection クラスタ内のサーバーは、これらのポート上で相互に接続できる必要があります。 |
||
|
TCP: 20532 |
Open |
CuDbProxy/ Unity Connection データベースプロキシ |
cudbproxy |
このサービスを有効にすると、オフボックス クライアントによる管理読み取り/書き込みデータベース接続が許可されます。 管理ワークステーションはこのポートに接続します。
|
||
|
TCP: 22 |
Open |
Sshd |
root |
リモート CLI アクセスおよび Unity Connection クラスタでの SFTP の提供のために、TCP 22 接続に対してファイアウォールが開いている必要があります。 管理ワークステーションは、このポートで Unity Connection サーバーに接続できる必要があります。 Unity Connection クラスタ内のサーバーは、このポートで相互に接続できる必要があります。 |
||
|
UDP: 161 |
Open |
Snmpd プラットフォーム SNMP サービス |
root |
— |
||
|
UDP: 500 |
Open |
Raccoon ipsec isakmp(キー管理)サービス |
root |
Ipsec の使用はオプションであり、デフォルトではオフになっています。 サービスが有効になっている場合、Unity Connection クラスタ内のサーバーはこのポートで相互に接続できる必要があります。 |
||
|
TCP: 8500 UDP: 8500 |
Open |
clm/クラスタ管理サービス |
root |
クラスター マネージャー サービスは、Voice オペレーティング システムの一部です。 Unity Connection クラスタ内のサーバーは、これらのポート上で相互に接続できる必要があります。 |
||
|
UDP: 123 |
Open |
Ntpd ネットワークタイムサービス |
ntp |
ネットワーク タイム サービスが有効になり、Unity Connection クラスタ内のサーバー間で時刻の同期が維持されます。 パブリッシャー サーバーは、時刻同期にパブリッシャー サーバー上のオペレーティング システム時刻または別の NTP サーバー上の時刻のいずれかを使用できます。 サブスクライバー サーバーは、時刻同期に常にパブリッシャー サーバーを使用します。 Unity Connection クラスタ内のサーバーは、このポートで相互に接続できる必要があります。 |
||
|
TCP: 5007 |
ブロックされています。内部使用のみです。 |
Tomcat/Cisco Tomcat (SOAP サービス) |
tomcat |
Unity Connection クラスタ内のサーバーは、これらのポート上で相互に接続できる必要があります。 |
||
|
TCP: 1500、1501 |
Unity Connection クラスタ内のサーバー間でのみ開く |
cmoninit/Cisco DB |
インフォーミックス |
これらのデータベース インスタンスには、LDAP 統合ユーザーの情報と保守性データが含まれています。 Unity Connection クラスタ内のサーバーは、これらのポート上で相互に接続できる必要があります。 |
||
|
TCP: 1515 |
Unity Connection クラスタ内のサーバー間でのみ開く |
dblrpm/Cisco DB レプリケーション サービス |
root |
Unity Connection クラスタ内のサーバーは、これらのポート上で相互に接続できる必要があります。 |
||
|
TCP: 8001 |
Unity Connection クラスタ内のサーバー間でのみ開く |
dbmon/Cisco DB 変更通知ポート |
データベース |
Unity Connection クラスタ内のサーバーは、これらのポート上で相互に接続できる必要があります。 |
||
|
TCP: 2555、2556 |
Unity Connection クラスタ内のサーバー間でのみ開く |
RisDC/Cisco RIS データコレクター |
ccmservice |
Unity Connection クラスタ内のサーバーは、これらのポート上で相互に接続できる必要があります。 |
||
|
TCP: 1090、1099 |
Unity Connection クラスタ内のサーバー間でのみ開く |
Amc/Cisco AMC サービス (Alert Manager Collector) |
ccmservice |
バックエンドの保守性データ交換を実行する 1090: AMC RMI オブジェクト ポート 1099: AMC RMI レジストリ ポート Unity Connection クラスタ内のサーバーは、これらのポート上で相互に接続できる必要があります。 |
||
|
TCP: 80、443、8080、8443 |
Open |
haproxy/Cisco HAProxy |
haproxy |
クライアントワークステーションと管理ワークステーションの両方がこれらのポートに接続する必要があります。 Unity Connection クラスタ内のサーバーは、REST などの HTTP ベースのインタラクションを使用する通信のために、これらのポートで相互に接続できる必要があります。
|
||
|
TCP: 8081、8444 |
HTTPS ネットワークのサーバー間でのみ開く |
haproxy/Cisco HAProxy |
haproxy |
HTTPS ネットワーク内のサーバーは、通信のためにこれらのポートで相互に接続できる必要があります。 Unity Connection HTTPS ディレクトリ フィーダー サービスは、ディレクトリ同期にこれらのポートを使用します。
|
||
|
TCP: 5001-5004、8005 |
ブロック; 内部使用のみ |
tomcat/Cisco Tomcat |
tomcat |
内部 tomcat サービスコントロールと axis ポート。 |
||
|
TCP: 32768–61000 UDP: 32768–61000 |
Open |
— |
— |
動的に割り当てられたクライアント ポートを持つすべてのものによって使用される一時的なポート範囲。 |
||
|
TCP: 7443 |
Open |
jetty/Unity Connection Jetty |
jetty |
安全な Jabber と Web 受信トレイの通知
|
||
|
TCP: 7080 |
Open |
jetty/Unity Connection Jetty |
jetty |
Exchange 2010 のみ、単一の受信トレイのみ: Unity Connection 音声メッセージの変更に関する Jabber および Web 受信トレイの EWS 通知。 |
||
|
UDP: 9291 |
Open |
CuMbxSync/Unity Connection メールボックス同期サービス |
cumbxsync |
単一の受信トレイのみ: Unity Connection 音声メッセージの変更に関する WebDAV 通知。 |
||
|
TCP: 6080 |
Open |
CuCsMgr/Unity Connection 会話マネージャー |
cucsmgr |
通信のために、ビデオ サーバーはこのポートで Unity Connection に接続できる必要があります。 |
Unity Connection による発信接続
表 1-2 に、Cisco Unity Connection がネットワーク内の他のサーバーと接続するために使用する TCP ポートと UDP ポートを示します。
|
ポートおよびプロトコル |
実行可能 |
サービスアカウント |
注 |
||||
|---|---|---|---|---|---|---|---|
|
TCP: 2000* (デフォルトの SCCP ポート) SCCP over TLS を使用する場合は、オプションで TCP ポート 2443*。 * 多くのデバイスとアプリケーションでは、設定可能な RTP ポートの割り当てが可能です。 |
CuCsMgr |
cucsmgr |
SCCP を使用して統合されている場合の Unity Connection SCCP クライアントと Cisco Unified CM の接続。 |
||||
|
UDP: 16384–32767* (RTP) * 多くのデバイスとアプリケーションでは、構成可能な RTP ポートの割り当てが可能です。 |
CuMixer |
cumixer |
Unity Connection の送信オーディオ ストリーム トラフィック。 |
||||
|
UDP: 69 |
CuCsMgr |
cucsmgr |
暗号化された SCCP、暗号化された SIP、または暗号化されたメディア ストリームを設定する場合、Unity Connection は、セキュリティ証明書をダウンロードするために Cisco Unified CM への TFTP クライアント接続を行います。 |
||||
|
TCP: 6972 |
CuCsMgr |
cucsmgr |
暗号化された SIP または暗号化されたメディア ストリームを設定する場合、Unity Connection は Cisco Unified CM との HTTPS クライアント接続を確立して、ITL セキュリティ証明書をダウンロードします。 |
||||
|
TCP: 53 UDP: 53 |
が次のいずれか |
が次のいずれか |
DNS 名前解決を実行する必要があるすべてのプロセスによって使用されます。 |
||||
|
TCP: 53、および 389 または 636 |
CuMbxSync CuCsMgr tomcat |
cumbxsync cucsmgr tomcat |
Unity Connection が Exchange との統合メッセージング用に設定され、1 つ以上の統合メッセージング サービスが Exchange サーバーを検索するように設定されている場合に使用されます。 ドメイン コントローラとの通信に使用するプロトコルとして LDAP を選択した場合、Unity Connection はポート 389 を使用します。 ドメイン コントローラとの通信に使用するプロトコルとして LDAPS を選択した場合、Unity Connection はポート 636 を使用します。 |
||||
|
TCP: 80, 443 (HTTP および HTTPS) |
CuMbxSync CuCsMgr tomcat |
cumbxsync cucsmgr tomcat |
|
||||
|
TCP: 80、443、8080、8443 (HTTP および HTTPS) |
CuCsMgr tomcat |
cucsmgr tomcat |
Unity Connection は、次のものに HTTP および HTTPS クライアント接続を行います。
|
||||
|
TCP: 143, 993 (IMAP および SSL 経由の IMAP) |
CuCsMgr |
cucsmgr |
Unity Connection は、Microsoft Exchange サーバーに IMAP 接続して、Unity Connection ユーザーの Exchange メールボックス内の電子メール メッセージの音声合成を実行します。 |
||||
|
TCP: 25,587 (SMTP) |
CuSmtpSvr |
cusmtpsvr |
|
||||
|
TCP: 21 (FTP) |
FTP |
root |
FTP サーバーが指定されている場合、インストール フレームワークは FTP 接続を実行してアップグレード メディアをダウンロードします。 |
||||
|
TCP: 22 (SSH/SFTP) |
CiscoDRFMaster sftp |
drf root |
災害復旧フレームワークは、ネットワーク バックアップ サーバーへの SFTP 接続を実行してバックアップを実行し、復元のためにバックアップを取得します。 SFTP サーバーが指定されている場合、インストール フレームワークは SFTP 接続を実行してアップグレード メディアをダウンロードします。 |
||||
|
UDP: 67 (DHCP/BootP) |
dhclient |
root |
DHCP アドレスを取得するために行われたクライアント接続。 DHCP はサポートされていますが、Unity Connection サーバーに静的 IP アドレスを割り当てることを強くお勧めします。 |
||||
|
TCP: 123 UDP: 123 (NTP) |
Ntpd |
根 |
NTP クロック同期のためにクライアント接続が確立されました。 |
||||
|
UDP: 514 TCP: 601 |
Syslog/Cisco Syslog サーバー |
シスログ |
Unity Connection サーバーは、これらのポートを介して監査ログをリモート syslog サーバーに送信できる必要があります。 |
トランスポート層のセキュリティ保護
Unity Connection は、シグナリングとクライアント サーバー通信に Transport Layer Security (TLS) プロトコルと Secure Sockets Layer (SSL) プロトコルを使用します。 Unity Connection は、Cisco Unity Connection のさまざまなインターフェイス間での安全な通信のために、TLS 1.0、TLS 1.1、TLS 1.2、および TLS 1.3 をサポートしています。
(15 SU2 より前のリリースに適用) TLS 1.2 は、最も安全で認証された通信プロトコルです。
(リリース 15 SU2 以降に適用可能) TLS 1.3 は、最も安全で認証された通信プロトコルです。
組織のセキュリティ ポリシーと展開機能に応じて、Unity Connection 11.5 (1) SU3 以降では最小 TLS バージョンを設定できます。 TLS の最小バージョンを設定すると、Unity Connection は設定された最小バージョン以上の TLS をサポートします。 たとえば、TLS 1.1 を TLS の最小バージョンとして設定すると、Unity Connection は通信に TLS 1.1 以上のバージョンを使用し、設定された値よりも低い TLS バージョンの要求を拒否します。 デフォルトでは、TLS 1.0 が設定されています。
最小 TLS バージョンを設定する前に、Unity Connection のすべてのインターフェイスが保護されていることを確認し、通信には設定された最小 TLS バージョン以上のバージョンを使用してください。 ただし、Unity Connection の着信インターフェイスに対して最小 TLS バージョンを設定できます。
表 3 に、Unity Connection で最小 TLS バージョンを設定できるサポートされているインターフェイスを示します。
| ポート |
実行可能ファイル/サービスまたはアプリケーション |
サービスアカウント |
注 | ||
|---|---|---|---|---|---|
| 8443, 443, 8444 |
|
|
クライアントワークステーションと管理ワークステーションの両方がこれらのポートに接続する必要があります。 Unity Connection クラスタ内のサーバーは、REST などの HTTP ベースのインタラクションを使用する通信のために、これらのポートで相互に接続できる必要があります。 |
||
| 7443 | jetty/Unity Connection Jetty | 桟橋 |
セキュアな Jabber およびウェブ受信トレイの通知。 Cisco Unity Connection 15 SU2 より前のリリースでは、安全な通信のために TLS バージョン 1.2 のみがサポートされます。 Cisco Unity Connection 15 SU2 以降のリリースでは、安全な通信のために TLS バージョン 1.2 および 1.3 をサポートしています。 |
||
| 993 | CuImapSvr/Unity Connection IMAP サーバー | cuimapsvr |
クライアント ワークステーションは、IMAP over SSL 受信トレイ アクセスのためにポート 993 に接続できる必要があります。 |
||
| 25,587 | CuSmtpSvr/Unity Connection SMTP サーバー | cusmtpsvr |
UC デジタル ネットワーク内の他のサーバーなど、Unity Connection ポート 25 または 587 に SMTP を配信するサーバー。 |
||
| 5061-5199 | CuCsMgr/Unity Connection 会話マネージャー | cucsmgr |
会話マネージャーによって処理される Unity Connection SIP 制御トラフィック。 SIP デバイスはこれらのポートに接続できる必要があります。 |
||
| LDAP (送信インターフェース) |
CuMbxSync CuCsMgr tomcat |
カムブシンク cucsmgr tomcat |
ドメイン コントローラとの通信に使用するプロトコルとして LDAPS を選択した場合、Unity Connection はポート 636 を使用します。 |
||
|
20536 |
Cisco HAProxy |
ハプロキシ |
このサービスを有効にすると、オフボックス クライアントに対して管理上の安全な読み取り/書き込みデータベース接続が許可されます。
|
Cisco Unity Connection でサポートされている着信インターフェイスの詳細については、「サービス ポート」セクションを参照してください。
TLS 1.3 (リリース 15 SU2 以降に適用)
TLS 1.3 は、RFC 8446 で定義されているように、Transport Layer Security (TLS) プロトコルの最新バージョンです。 以前のバージョン、特に TLS 1.2 を改善することを目指しています。 TLS 1.3 は、セキュリティの脆弱性に対処し、パフォーマンスを向上させ、ハンドシェイクプロセスを合理化することで、これを達成します。
TLS 1.3 の主な改善点の 1 つは、ハンドシェイク遅延の削減です。 時間に制約のあるアプリケーションのパフォーマンスが大幅に向上します。 さらに、TLS 1.3 は接続確立プロセスをさらに最適化することで、往復時間 (RTT) も短縮します。 TLS 1.3 は、古くて安全性の低い暗号アルゴリズムのサポートを終了しました。
主な利点とセキュリティの改善-
ハンドシェイク遅延の削減—TLS 1.3 はハンドシェイク中の往復時間を最小限に抑えます。 そのため、特に遅延の影響を受けやすいアプリケーションのパフォーマンスが向上します。
-
セキュリティの強化—TLS 1.3 では最新の暗号アルゴリズムの使用が義務付けられています。 これには、キー交換のための楕円曲線 Diffie-Hellman (ECDH) と、データ暗号化と整合性保護のための Authenticated Encryption with Associated Data (AEAD) が含まれます。 これにより、さまざまな攻撃に対するセキュリティが強化されます。
-
Perfect Forward Secrecy (PFS)—デフォルトでは、TLS 1.3 は長期的なキーが漏洩した場合でも、過去の通信の安全性を保証します。 そのため、プライバシーとセキュリティが向上します。
-
暗号化されたハンドシェイクメッセージ—TLS 1.3 はハンドシェイクメッセージを暗号化することで受動的な傍受攻撃を防ぎ、機密性を確保します。
-
より強力なアルゴリズムのサポート—TLS 1.3 は古い暗号アルゴリズムと暗号スイートのサポートを排除しました。 ダウングレード攻撃や暗号の脆弱性などの攻撃のリスクを軽減します。
-
署名アルゴリズムの使用—TLS 1.3 では RSA 署名の使用が制限され、ECDSA や DSA などの最新の署名アルゴリズムが推奨されています。 ただし、TLS 1.2 は RSA 署名に多く依存しています。
-
暗号スイートの削減—TLS 1.3 では、サポートする暗号スイートの数が削減されました。 AES-GCM および ChaCha20-Poly1305 のような認証済み暗号アルゴリズムに焦点を当てています。 これに対し、TLS 1.2 は安全性の低いオプションも含め、より広範囲の暗号スイートをサポートします。
-
セキュリティの強化—TLS 1.3 では、デフォルトでの PFS や暗号化されたハンドシェイクメッセージなどの機能が導入されています。 これらの機能は TLS 1.2 にはありません。 全体的なセキュリティとプライバシーを強化します。
-
証明書の選択—TLS 1.2 では、サーバーはハンドシェイク中にネゴシエートされた暗号スイートのキーアルゴリズムに基づいて証明書を選択します。 しかし、TLS 1.3 では、サーバーはクライアントによって通知されたサポートされている署名アルゴリズムに基づいて証明書を決定します。 よりスムーズな連携とよりセキュアな通信環境を確保します。
以下は TLS 1.3 でサポートされている暗号のリストです。
- TLS_AES_256_GCM_SHA384
- TLS_CHACHA20_POLY1305_SHA256
- TLS_AES_128_GCM_SHA256
 (注) |
TLS_CHACHA20_POLY1305_SHA256 は FIPS モードではサポートされていません。 |
インストールとアップグレードの考慮事項
新規インストールの場合、サポートされている最小の TLS バージョンは 1.2 です。 ここでは、TLS バージョン 1.0 および 1.1 がデフォルトで無効になっています。 最小 TLS バージョンを 1.0 または 1.1 として設定する場合は、 set tls min-version コマンドを実行します。
アップグレードや移行のシナリオでサポートされている TLS バージョンは、TLS 1.0、1.1、1.2、および 1.3 です。 最小 TLS バージョンは、アップグレードまたは移行されたバージョンに引き継がれます。 アプリケーションが TLS 1.3 をサポートしていない場合は、クライアント アプリケーションとサーバー アプリケーションでサポートされている最高の TLS バージョンに接続します。 たとえば、Unity Connection 14 バージョンで TLS 1.1 が最小 TLS バージョンとして設定されている場合、Unity Connection 15 SU2 へのアップグレードまたは移行後も、最小 TLS は TLS 1.1 に設定されます。
移行の考慮事項
TLS 1.3 は、署名アルゴリズムを使用して、RSA または ECDSA 署名証明書のいずれかを選択し、証明書タイプを決定する前に、サーバー側から提供された証明書を評価します。 TLS 1.3 には別の暗号管理設定ページがありません。 既存のエンタープライズパラメータ、HTTP 暗号、および TLS 暗号設定に依存します。
SIP およびその他の非 HTTP インターフェイスには、 TLS 暗号 の一般構成設定に対して排他的な RSA のみのモードはありません。 そのため、これらのインタフェースは引き続き両方の署名アルゴリズムを提供します。
すべての HTTP インバウンド インターフェイスは、設定されたインバウンドトラフィックのポートを開く際に、[エンタープライズパラメータ設定(Enterprise Parameters Configuration)] ページの HTTP 暗号を使用して、そのコンテキストで RSA または RSA および ECDSA 証明書を読み込みます。 HTTP 暗号はデフォルト設定で「RSA のみ」に設定されています。 15 SU2 以降、デフォルトでは、TLS 1.3 や 1.2 が RSA 署名付き証明書のみを使用するように、HTTPs トラフィックには RSA 証明書のみがロードされます。
リリース 15SU2 以前、インバウンド HTTPS トラフィックに TLS を使用している場合、暗号管理設定ページは HTTP 暗号エンタープライズパラメータより優先されます。 そのため、ECDSA のみの HTTPS トラフィックを作成するには、管理者は ECDSA 暗号のみで [暗号管理(Cipher Management)] ページを設定し、HTTP 暗号設定をデフォルト設定に維持する必要がありました。 アップグレード後、この HTTPS 接続は EC 暗号と共に RSA 証明書のみを送信し、HTTPS インバウンドコンテキストでロードされ、不一致と接続失敗の原因となります。
-
ダイレクト標準アップグレード:ダイレクト標準アップグレード中の障害を克服するために、不一致が検出された場合、アップグレードの一部として HTTP 暗号企業パラメータを [すべてのサポートされている EC および RSA 暗号方式(All Supported EC and RSA Ciphers)] に自動的に切り替えます。 これにより、RSA および ECDSA 証明書の両方がロードされます。
-
データ インポートによる新規インストール - データ インポートによる新規インストールの移行方法の場合、リリース 15 SU2 以降にアップグレードする前に、HTTP 暗号エンタープライズ パラメータを手動で サポートされているすべての EC および RSA 暗号 に切り替える必要があります。
-
SIP トランクと電話セキュリティプロファイル:デバイスセキュリティモードを [認証(Authenticated)] に設定すると、電話は 1.3 以前の TLS バージョンに切り替わります。 Unity Connection でサポートされる最小 TLS バージョンが 1.3 に設定されている場合、 認証済み デバイス セキュリティ モードの電話機と SIP トランクはサポートされません。
(注)
電話セキュリティ プロファイルを使用する場合は、暗号化モードを使用するように変更することを検討してください。
SMTP および Jetty の HTTPS 暗号の管理
以前は、HTTPS 暗号オプションは TLS 1.2 以前の暗号を管理していました。 現在では、SMTP サーバーと Jetty サーバーの両方に特定の実装を備えた、署名アルゴリズムに基づく証明書の設定を含むように機能が拡張されています。
- [SMTP Server]
-
HTTPS 暗号のエンタープライズ パラメータで「RSA 暗号のみ」を選択した場合、SMTP キャッシュには RSA 証明書のみが含まれます。
-
「サポートされているすべての EC および RSA 暗号」を選択した場合、キャッシュには ECDSA 証明書と RSA 証明書の両方が含まれます。
-
- Jetty サーバー
-
「RSA 暗号のみ」を選択すると、Jetty はネゴシエーションに RSA 証明書を優先して排他的に使用します。
-
「サポートされているすべての EC および RSA 暗号」を選択すると、ECDSA 証明書が RSA 証明書よりも優先されます。 ただし、両方のタイプの証明書が提供され、クライアントによって指定された署名アルゴリズムの順序に基づいてネゴシエーションが進行します。
-
(注) |
HTTPS 暗号を変更した後は、変更を有効にするために、すべてのノードで Tomcat サービス、Connection SMTP Server、および Connection Jetty サービスを再起動してください。 |
TLS 1.3 は以下のインターフェースではサポートされていません。
- Cisco Unity ツール
- Cisco スマート ソフトウェア ライセンシング(CSSM)
- Outlook 用ボイスメール (VMO)
- Gmail 用 Chrome 拡張機能
- Microsoft Exchange Server
- Microsoft Office 365
- Microsoft Outlook
(注) |
|
最小 TLS バージョンの設定
Cisco Unity Connection で最小 TLS バージョンを設定するには、次の CLI コマンドを実行します。
- set tls min-version <tls minVersion>
(15 SU2 より前のリリースに適用) クラスターでは、パブリッシャーとサブスクライバーの両方で CLI コマンドを実行する必要があります。
(リリース 15 SU2 以降に適用) クラスタでは、パブリッシャーでのみ CLI コマンドを実行し、サブスクライバーを再起動する必要があります。
これに加えて、次の CLI コマンドを実行して、Unity Connection の最小 TLS バージョンの設定値を確認することもできます。
- show tls min-version
CLI の詳細については、 『Cisco Unified Communications Solutions のコマンド ライン インターフェイス リファレンス ガイド』 ( http://www.cisco.com/c/en/us/support/unified-communications/unified-communications-manager-callmanager/products-maintenance-guides-list.html で入手可能)を参照してください。
フィードバック