Cisco Unity Connection における FIPS 準拠

Cisco Unity Connection における FIPS 準拠

はじめに

FIPS (連邦情報処理規格) は、暗号化モジュールが従わなければならない要件を定義する米国およびカナダ政府の認証規格です。


注意    

FIPS モードは FIPS 準拠のリリースでのみサポートされます。 Cisco Unity Connection の FIPS 非準拠バージョンにアップグレードする前に、FIPS モードを無効にする必要があることに注意してください。

どのリリースが FIPS に準拠しているか、およびその認定を確認するには、次のリンクにある FIPS 140 ドキュメントを参照してください。 https://www.cisco.com/c/en/us/solutions/industries/government/global-government-certifications/fips-140.html

Unity Connection の特定のバージョンは、米国国立標準技術研究所(NIST)による FIPS 140-2 に準拠しています。 FIPS モード、レベル 1 準拠で動作できます。 「FIPS 140-2」の設定の詳細については、リリース 15 の『 Cisco Unified Communications Manager セキュリティ ガイド 』を参照してください。

(15 SU2 より前のリリースに適用可能) FIPS モードでは、次の FIPS 140-2 レベル 1 検証済み暗号化モジュールが使用されます。

  • CiscoSSL 1.1.1n.7.2.390 FIPS モジュール搭載の CiscoSSL FOM 7.2a

  • CiscoSSH - 1.9.29

  • RSA CryptoJ 6_2_3

  • BC FIPS - 1.0.2.3.jar

  • BCTLS FIPS - 1.0.12.3.jar

  • BCPKIX FIPS -1.0.5.jar

  • Strongswan - 5.9.8

  • NSS -3.67

(リリース 15 SU2 以降に適用可能) FIPS モードでは、次の FIPS 140-2 レベル 1 検証済み暗号化モジュールが使用されます。

  • FIPS モジュール CiscoSSL FOM 7.2a 搭載 CiscoSSL 1.1.1w.7.2.555

  • CiscoSSH - 1.14.56

  • RSA CryptoJ 6_2_3

  • BC FIPS - 2.0.0.jar

  • BCTLS FIPS - 2.0.19.jar

  • BCPKIX FIPS - 2.0.6.jar

  • BCUTIL FIPS - 2.0.1.jar

  • Strongswan - 5.9.8

  • NSS -3.67


(注)  

Unity Connection のアップグレードの詳細については、『Cisco Unity Connection Release 15 のインストール、アップグレード、メンテナンス ガイド』の「Cisco Unity Connection のアップグレード」の章の「アップグレード タイプ」セクションを参照してください。このガイドは、 https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/connection/15/install_upgrade/guide/b_15cuciumg.html から入手できます。https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/connection/15/install_upgrade/guide/b_15cuciumg.html

(注)  

FIPS モードの Unity Connection 12.5 の任意のリリースから Unity Connection 15 以降にアップグレードする場合は、アップグレード前に、クラスタの両方のノードに COP ファイル ciscocm.ciscossl7_upgrade_CSCwa48315_CSCwa77974_v1.0.k4.cop.sha512 がインストールされていることを確認してください。 Unity Connection のアップグレードの詳細については、https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/connection/15/install_upgrade/guide/b_15cuciumg.html で入手可能な『Install, Upgrade and Maintenance Guide for Cisco Unity Connection Release 15』の「Upgrading Cisco Unity Connection」の章の「Upgrade Considerations with FIPS Mode」セクションを参照してください。

FIPS の CLI コマンドの実行

Cisco Unity Connection で FIPS 機能を有効にするには、utils fips enable CLI コマンドを使用します。 これに加えて、次の CLI コマンドも利用できます。

  • utils fips disable- FIPS 機能を無効にするために使用します。

  • utils fips status- FIPS 準拠のステータスを確認するために使用します。

Utils fips CLI コマンドの詳細については、 <option> 『Command Line Interface Reference Guide for Cisco Unified Communications Solutions』 http://www.cisco.com/c/en/us/support/unified-communications/unity-connection/products-maintenance-guides-list.html)を参照してください


注意    
(15 SU2 より前のリリースに適用) FIPS モードを有効または無効にすると、Cisco Unity Connection サーバーが自動的に再起動します。

注意    
Cisco Unity Connection サーバーがクラスタ内にある場合は、現在のノードでの FIPS 操作が完了し、システムが再び稼働するまで、他のノードの FIPS 設定を変更しないでください。

(注)  

Unity Connection サーバーで FIPS モードを有効にする前に、セキュリティ パスワードの長さが 14 文字以上であることを確認してください。 Unity Connection をアップグレードする場合、以前のバージョンで FIPS が有効になっていた場合はパスワードを更新する必要があります。

すべての新しい証明書は、FIPS モードの SHA-256 ハッシュ アルゴリズムを使用して署名されます。 自己署名証明書または証明書署名要求を生成する場合、ハッシュ アルゴリズムとして SHA-256 のみを選択できます。

FIPS の証明書の再生成

ルート証明書の再生成

既存のテレフォニー統合を備えた Cisco Unity Connection サーバーでは、FIPS モードを有効化または無効化した後、ルート証明書を手動で再生成する必要があります。 テレフォニー統合で認証済みまたは暗号化されたセキュリティ モードを使用する場合は、再生成されたルート証明書を、対応する Cisco Unified Communications Manager サーバーに再度アップロードする必要があります。 新規インストールの場合、テレフォニー統合を追加する前に FIPS モードを有効にすることで、ルート証明書の再生成を回避できます。


(注)  
クラスターの場合は、すべてのノードで次の手順を実行します。
  1. Cisco Unity Connection Administration にログインします。
  2. [テレフォニー統合] > [セキュリティ] > [ルート証明書] を選択します。
  3. [ルート証明書の表示] ページで、[新規生成] をクリックします。
  4. テレフォニー統合で認証済みまたは暗号化されたセキュリティ モードが使用されている場合は手順 5 ~ 10 に進みます。それ以外の場合は手順 12 に進みます。
  5. [ルート証明書の表示] ページで、[右クリックしてルート証明書をファイルとして保存] リンクを右クリックします。
  6. [名前を付けて保存] を選択して、Cisco Unity Connection ルート証明書を .pem ファイルとして保存する場所を参照します。

    (注)  
    証明書は、.htm ではなく .pem 拡張子のファイルとして保存する必要があります。そうしないと、Cisco Unified CM は証明書を認識しません。
  7. 次のサブステップを実行して、Cisco Unity Connection ルート証明書をすべての Cisco Unified CM サーバーにコピーします。
    1. Cisco Unified CM サーバーで、Cisco Unified Operating System Administration にログインします。
    2. [セキュリティ] メニューから [証明書管理] オプションを選択します。
    3. 証明書リストページで証明書/証明書チェーンのアップロードを選択します。
    4. [証明書/証明書チェーンのアップロード] ページで、[証明書名] ドロップダウンから [CallManager-trust] オプションを選択します。
    5. ルート証明書フィールドに Cisco Unity Connection ルート証明書を入力します。
    6. [ファイルのアップロード] フィールドで [参照] をクリックし、手順 5 で保存した Cisco Unity Connection ルート証明書を見つけて選択します。
    7. [ファイルのアップロード(Upload File)] をクリックします。
    8. [閉じる(Close)] をクリックします。
  8. Cisco Unified CM サーバーで、Cisco Unified Serviceability にログインします。
  9. [ツール] メニューから [サービス管理] を選択します。
  10. [コントロール センター - 機能サービス] ページで、Cisco CallManager サービスを再起動します。
  11. Cisco Unified CM クラスタ内の残りのすべての Cisco Unified CM サーバーで手順 5 ~ 10 を繰り返します。
  12. 次の手順に従って、Unity Connection Conversation Manager サービスを再起動します。
    1. Cisco Unity Connection Serviceability にログインします。
    2. [ツール] メニューから [サービス管理] を選択します。
    3. [重要なサービス] セクションで、Unity Connection Conversation Manager サービスの [停止] を選択します。
    4. ステータス領域に Unity Connection Conversation Manager サービスが正常に停止されたことを示すメッセージが表示されたら、サービスの [開始] を選択します。
  13. 新規および既存のテレフォニー統合ポートが Cisco Unified CM に正しく登録されるようになりました。

FIPS は、Cisco Unified Communications Manager と Cisco Unity Connection 間の SCCP と SIP の両方の統合でサポートされています。

証明書の管理の詳細については、『Cisco Unified Communications Operating System Administration Guide for Cisco Unity Connection』の「セキュリティ」の章の「証明書と証明書信頼リストの管理」セクションを参照してください。このガイドは、次の Web サイトで入手可能です。https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/connection/15/os_administration/guide/b_15cucosagx/b_15cucosagx_chapter_0101.html#ID-2301-0000001ahttps://www.cisco.com/c/en/us/td/docs/voice_ip_comm/connection/15/os_administration/guide/b_15cucosagx.html

Tomcat 証明書の再生成

Unity Connection は、SIP 統合を使用してセキュアな通話を構成するために、RSA キー ベースの Tomcat 証明書のみをサポートします。これにより、SIP セキュア通話に自己署名証明書とサードパーティの CA 署名証明書を使用できます。 既存のテレフォニー統合を備えた Cisco Unity Connection サーバーでは、FIPS モードを有効化または無効化した後、Tomcat 証明書を手動で再生成する必要があります。 テレフォニー統合で認証済みまたは暗号化されたセキュリティ モードを使用する場合は、再生成された Tomcat 証明書を、対応する Cisco Unified Communications Manager サーバーに再度アップロードする必要があります。 新規インストールの場合、テレフォニー統合を追加する前に FIPS モードを有効にすることで、Tomcat 証明書の再生成を回避できます。

証明書を再生成する方法については、次の Web サイトで入手可能な『Cisco Unified Communications Manager SIP Integration Guide for Cisco Unity Connection Release 15』の「Setting Up a Cisco Unified Communications Manager SIP Trunk Integration」の章の「Generating RSA Key Based Certificates」のセクションを参照してください。 https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/connection/15/integration/cucm_sip/b_15cucintcucmsip/b_15cucintcucmsip_chapter_010.html#id_18668https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/connection/15/integration/cucm_sip/b_15cucintcucmsip.html

(注)  

Cisco Unified Communication Manager の SIP トランク セキュリティ プロファイル設定ページの X.509 サブジェクト名 フィールドに入力した値が、Unity Connection サーバーの FQDN であることを確認します。

FIPS モード使用時の追加設定の構成

FIPS 準拠を維持するために、次の機能に対して追加の構成が必須です。

  • ネットワーキング: サイト内、サイト間、VPIM
  • ユニファイド メッセージング: ユニファイド メッセージング サービス。

FIPS モードを使用する場合のネットワークの構成

Cisco Unity Connection から別のサーバーへのネットワークは、IPsec ポリシーによって保護される必要があります。 これには、サイト間リンク、サイト内リンク、VPIM ロケーションが含まれます。 リモート サーバーは、自身の FIPS 準拠を保証する責任があります。


(注)  

  • IPsec ポリシーが設定されていない限り、セキュア メッセージは FIPS 準拠の方法で送信されません。

  • 下位バージョンから 15 SU2 以降にアップグレードする場合は、スムーズな操作を確保し、レプリケーションの問題を回避するために、ネットワーク内のすべてのノードをアップグレードする必要があります。

FIPS モードを使用する場合のユニファイド メッセージングの構成

ユニファイド メッセージング サービスには次の構成が必要です。

  • Cisco Unity Connection と Microsoft Exchange 間の IPsec ポリシーを設定します。

  • Unity Connection Administration の [Unified Messaging Service の編集] ページで、[Web ベース認証モード] 設定を [基本] に設定します。 NTLM Web 認証モードは FIPS モードではサポートされません。


注意    
基本 Web 認証のプレーン テキストの性質を保護するには、サーバー間の IPsec ポリシーが必要です。

FIPS モードを使用して IPsec ポリシーを構成する

IPsec ポリシーの設定方法については、『Cisco Unified Communications Operating System Administration Guide for Cisco Unity Connection』の「セキュリティ」の章の「IPSEC 管理」セクションを参照してください。 https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/connection/15/os_administration/guide/b_15cucosagx.html

Unity Connection での IPsec ポリシーの影響については、『Cisco Unity Connection Release 15 のインストール、アップグレード、およびメンテナンス ガイド』の「Cisco Unity Connection のアップグレード」の章を参照してください。このガイドは、 https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/connection/15/install_upgrade/guide/b_15cuciumg.html から入手できます。https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/connection/15/install_upgrade/guide/b_15cuciumg.html

.

FIPS モード使用時にサポートされない機能

FIPS モードが有効になっている場合、次の Cisco Unity Connection 機能はサポートされません。

  • SpeechView 文字起こしサービス。
  • SIP ダイジェスト認証 (SIP テレフォニー統合用に構成)。
  • SIP NTLM 認証 (SIP テレフォニー統合用に構成)。
  • ビデオメッセージ。

タッチトーン会話ユーザーがサインインするためのボイスメール PIN の設定

Cisco Unity Connection で FIPS を有効にすると、次の両方のオプションが当てはまる場合、タッチトーンカンバセーションユーザーがサインインして音声メッセージを再生または送信したり、ユーザー設定を変更したりできなくなります。

  • ユーザーは Cisco Unity 5.x 以前で作成され、Connection に移行されました。
  • Unity Connection ユーザーには、Cisco Unity 5.x 以前で割り当てられたボイスメール PIN がまだ残っています。

タッチトーン会話のユーザーは、ID (通常はユーザーの内線番号) とボイスメール PIN を入力してサインインします。 ID と PIN はユーザーが作成されるときに割り当てられます。 管理者またはユーザーのいずれかが PIN を変更できます。 管理者が接続管理で PIN にアクセスできないようにするために、PIN はハッシュされます。 Cisco Unity 5.x 以前では、Cisco Unity は FIPS に準拠していない MD5 ハッシュ アルゴリズムを使用して PIN をハッシュしていました。 Cisco Unity 7.x 以降および Unity Connection では、PIN は SHA-1 アルゴリズムを使用してハッシュされます。このアルゴリズムは復号化がはるかに困難で、FIPS に準拠しています。

Unity Connection で SHA-1 アルゴリズムを使用してすべてのボイスメール PIN をハッシュ化する

FIPS が有効になっている場合、Cisco Unity Connection は、ユーザーのボイスメール PIN が MD5 または SHA-1 アルゴリズムでハッシュされているかどうかを判断するためにデータベースをチェックしなくなります。 Unity Connection は、SHA-1 を使用してすべてのボイスメール PIN をハッシュし、それを Unity Connection データベース内のハッシュされた PIN と比較します。 ユーザーが入力した MD5 ハッシュ化されたボイスメール PIN がデータベース内の SHA-1 ハッシュ化されたボイスメール PIN と一致しない場合、ユーザーはログインできません。

FIPS モードの制限

特長

制約事項

SNMP v3

FIPS モードは、MD5 または DES を使用した SNMP v3 をサポートしていません。 FIPS モードが有効になっている間に SNMP v3 を構成する場合、認証プロトコルとして SHA を、プライバシープロトコルとして AES128 を構成する必要があります。

SFTP サーバー
デフォルトでは、JSCH ライブラリは SFTP 接続に ssh-rsa を使用していましたが、FIPS モードは ssh-rsa をサポートしません。 CentOS の最近の更新により、JSCH ライブラリは ssh-rsa (SHA1withRSA) または rsa-sha2-256 (SHA256withRSA) の両方をサポートします。これは変更後の FIPS 値によって異なります。 つまり、

(注)  

 

  • FIPS モードは rsa-sha2-256 のみに対応します。

  • 非 FIPS モードは、 ssh-rsa と rsa-sha2-256 の両方に対応します。

rsa-sha2-256 (SHA256WithRSA) サポートは OpenSSH 6.8 バージョン以降でのみ利用できます。 FIPS モードでは、OpenSSH 6.8 バージョン以降で実行されている SFTP サーバーのみが rsa-sha2-256 (SHA256WithRSA) をサポートします。

SSH ホストキーアルゴリズム

廃止されたアルゴリズム:

  • ssh-rsa (SHAlwithRSA)

新しくサポートされたアルゴリズム:

  • rsa-sha2-256

  • rsa-sha2-512

(注)  

 

アップグレードする前に、https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/connection/15/install_upgrade/guide/b_15cuciumg.html で入手可能な『Install, Upgrade and Maintenance Guide for Cisco Unity Connection Release 15』の「Upgrading Cisco Unity Connection」章の「Upgrade Types」セクションを参照することをお勧めします。

IPSec ポリシー

証明書ベースの IPSec ポリシーは、非 FIPS から FIPS へ、またはその逆に移行する場合は機能しません。

非 FIPS モードから FIPS モードに移行する場合、またはその逆の場合は、次の手順を実行します。 証明書ベースの IPSec ポリシーがあり、有効な状態の場合:

  1. FIPS に移行する前に IPSec ポリシーを無効にしてください (またはその逆)。

  2. FIPS モードに移行した後、証明書を再認証して新しい証明書を交換します (またはその逆)。

  3. IPSec ポリシーを有効にします。

署名アルゴリズム (リリース 15 SU2 以降に適用)

  • FIPS モードでは、Networking は署名アルゴリズムとして rsa-sha2-256 (SHA256withRSA) のみをサポートします。

    (注)  

     
    スムーズな操作を確保し、レプリケーションの問題を回避するには、Networking 内のすべてのノードをリリース 15 SU2 以降にアップグレードする必要があります。

  • 非 FIPS モードでは、Networking は署名アルゴリズムとして rsa-sha2-256ssh-rsa (SHA1withRSA) の両方をサポートします。 アップグレード後、 ssh-rsa がデフォルトで有効になります。 より安全な rsa-sha2-256 を使用することをお勧めします。 15 SU2 以降にアップグレードした後、 rsa-sha2-256 を有効にするには、ネットワークに接続されているすべてのクラスターのパブリッシャー ノードで以下の CLI コマンドを実行します。 

    
run cuc dbquery unitydirdb update tbl_configuration set valuebool = 1 where 
fullname = 'System.Security.EnableSha256'

    (注)  

     
    スムーズな操作を確保し、レプリケーションの問題を回避するために、Networking 内のすべてのノードをリリース 15 SU2 以降にアップグレードすることをお勧めします。