次世代セキュリティ

概要

Cisco Unity Connection は、Suite B 暗号化アルゴリズムを通じて機密性、整合性、および認証を提供する次世代セキュリティをサポートしています。 Suite B アルゴリズムには、組織のセキュリティとスケーラビリティの要件を満たす AES 暗号化や ECDSA 暗号などのさまざまなコンポーネントが含まれています。

次世代セキュリティ

サポートされるバージョン

認証署名アルゴリズム

RSA (1024/2048/3092/4096)

ECDSA (256/384/512)

メッセージの整合性

SHA-256

SHA-384

SHA-512

暗号化(Encryption)

AES-GCM(128/256)モード

鍵共有

ECDH (256/384)


(注)  
  • Unity Connection は、次世代セキュリティとして TLS 1.2、1.3 をサポートしています。
  • FIPS が有効になっている場合、Next Generation Security は RSA 1024 キーをサポートしません。

Unity Connection は、次のインターフェースを介して次世代セキュリティをサポートします。

  • HTTPS
  • SIP
  • SRTP

(注)  
上記のインターフェースに加えて、Unity Connection は、デフォルトの暗号設定を使用して、SMTP インターフェースを介した次世代セキュリティもサポートします。

HTTPS インターフェイスを介した次世代セキュリティ

次世代の HTTPS 経由のセキュリティ インターフェイスは、Tomcat または Jetty 経由で展開された Web アプリケーションが Unity Connection との受信接続に Suite B 暗号を使用するように制限します。 Jetty または Web インターフェイスを介して次世代セキュリティを有効にするには、ユーザーは SSL を有効にする必要があります。 Connection Jetty 経由で SSL を有効にする方法の詳細については、 コマンドライン インターフェイス ガイド ( http://www.cisco.com/c/en/us/support/unified-communications/unified-communications-manager-callmanager/products-maintenance-guides-list.html) を参照してください

HTTPS インターフェースを介した次世代セキュリティの構成

HTTPS インターフェース経由で次世代セキュリティを構成するには:

手順

ステップ 1

Cisco Unity Connection 管理ページにログインし、 [システム設定] > [エンタープライズ パラメータ] を展開して、 [HTTPS 暗号] を選択します

ステップ 2

次のいずれかを選択します。

  • サポートされているすべての EC および RSA 暗号 : このオプションを選択すると、Unity Connection サーバーは EC ベースおよび RSA ベースの両方の暗号とネゴシエートします。
  • RSA 暗号のみ:このオプションを選択すると、Unity Connection サーバーは RSA ベースの暗号のみを使用してネゴシエートします。

(注)  

 
(15 SU2 以降に適用) TLS 1.3 では、ネゴシエートされた署名アルゴリズムに基づいて証明書が選択されます。 したがって、いずれかのオプションを選択すると、以下に指定された詳細に従って、対応する署名アルゴリズムが設定されます。
  • サポートされているすべての EC および RSA 暗号 : このオプションを選択すると、Unity Connection は EC ベースと RSA ベースの両方の署名アルゴリズムを提供します。
  • RSA 暗号のみ:このオプションを選択すると、Unity Connection は RSA ベースの署名アルゴリズムのみを提供します。

以下の表は、RSA または ECDSA 暗号の優先順位で HTTPS 暗号オプションを示しています。

表 1. 優先順位付きの HTTPS 暗号オプション

HTTPS 暗号オプション

HTTPS 暗号の優先順位順

サポートされているすべての EC および RSA 暗号

  • TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
  • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
  • TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
  • TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
  • TLS_RSA_WITH_AES_256_CBC_SHA
  • TLS_RSA_WITH_AES_128_CBC_SHA
  • TLS_DHE_RSA_WITH_AES_128_CBC_SHA
  • SSL_RSA_WITH_3DES_EDE_CBC_SHA
  • SSL_DHE_RSA_WITH_3DES_EDE_CBC_SHA

RSA 暗号のみ

  • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
  • TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
  • TLS_RSA_WITH_AES_256_CBC_SHA
  • TLS_RSA_WITH_AES_128_CBC_SHA
  • TLS_DHE_RSA_WITH_AES_128_CBC_SHA
  • SSL_RSA_WITH_3DES_EDE_CBC_SHA
  • SSL_DHE_RSA_WITH_3DES_EDE_CBC_SHA

ステップ 3

変更を適用するには、 [保存] を選択します。

(注)  

 
  • (15 SU2 より前のリリースに適用) HTTPS 暗号を変更した後、変更を有効にするために必ず Tomcat サービスを再起動してください。 さらに、jetty SSL が有効になっている場合は、utils cuc jetty ssl {disable/enable} CLI コマンドを使用して、jetty over SSL を無効および有効にする必要もあります。
  • (リリース 15 SU2 以降に適用) HTTPS 暗号を変更した後、変更を有効にするには、すべてのノードで tomcat サービス、接続 SMTP サーバー、および接続 Jetty サービスを再起動してください。 さらに、jetty SSL が有効になっている場合は、utils cuc jetty ssl {disable/enable} CLI コマンドを使用して、jetty over SSL を無効および有効にする必要もあります。

SIP インターフェースを介した次世代セキュリティ

SIP インターフェースを介した次世代セキュリティは、TLS 1.2、TLS 1.3、SHA-2、および AES256 プロトコルに基づく Suite B 暗号を使用するように SIP インターフェースを制限します。 RSA または ECDSA 暗号の優先順位に基づいて、さまざまな暗号の組み合わせを許可します。

SIP インターフェイスを介した次世代セキュリティを有効にするために使用する暗号を指定するには、 [システム設定] > [一般設定] に移動し、 [TLS 暗号] ドロップダウン リストから暗号を選択します。


(注)  
SIP インターフェースを介した次世代セキュリティでは、暗号化セキュリティ モードのみが使用されます。

SRTP インターフェイス経由の暗号およびサードパーティ証明書の設定の詳細については、https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/connection/15/integration/cucm_sip/b_15cucintcucmsip.html で入手可能な『Cisco Unified Communications Manager Cisco Unified Communication Manager SIP Integration Guide for Cisco Unity Connection Release 15』の「Setting Up a Cisco Unified Communications Manager SIP Trunk Integration」の章の「Enabling Next Generation Security over SIP Integration」セクションを参照してください。

SRTP インターフェースを介した次世代セキュリティ

SRTP インターフェースを介した次世代セキュリティは、SHA-2 および AES256 プロトコルに基づく Suite B 暗号の使用を SRTP インターフェースに制限します。

SRTP インターフェイス上で次世代セキュリティを有効にするために使用する暗号を指定するには、[システム設定(System Settings)] > [全般構成(General Configuration)] に移動し、[SRTP 暗号方式(SRTP Ciphers)] ドロップダウンメニューから暗号を選択します。

SRTP インターフェイス経由の暗号およびサードパーティ証明書の設定の詳細については、https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/connection/15/integration/cucm_sip/b_15cucintcucmsip.html で入手可能な『Cisco Unified Communications Manager Cisco Unified Communication Manager SIP Integration Guide for Cisco Unity Connection Release 15』の「Setting Up a Cisco Unified Communications Manager SIP Trunk Integration」の章の「Enabling Next Generation Security over SIP Integration」セクションを参照してください。