この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
デバイス認証、ファイル認証、およびシグナリング認証は、証明書信頼リスト(CTL)ファイルの作成に依存します。このファイルは、USB ポートが搭載されている単一の Windows ワークステーションまたはサーバに、シスコの CTL クライアントをインストールして設定すると作成されます。
(注) | Cisco CTL クライアントでサポートされる Windows のバージョンには、Windows Vista、Windows 7、Windows 8.1、および Windows 10 があります。Cisco CTL クライアントをインストールするために、ターミナル サービスを使用しないでください。Cisco Technical Assistance Center(TAC)がリモートからトラブルシューティングと設定作業を行えるように、シスコの方でターミナル サービスをインストールします。 |
CTL ファイルには、次のサーバまたはセキュリティ トークンのエントリが含まれています。
System Administrator Security Token(SAST)
同じサーバ上で実行されている Cisco CallManager サービスと Cisco TFTP サービス
Certificate Authority Proxy Function(CAPF)
TFTP サーバ(複数の場合あり)
ASA ファイアウォール
CTL ファイルには、サーバごとのサーバ証明書、公開キー、シリアル番号、署名、発行者名、サブジェクト名、サーバ機能、DNS 名、および IP アドレスが含まれています。
CTL ファイルを作成したら、Cisco CallManager サービスと Cisco TFTP サービスが実行されているすべてのノード上の [Cisco Unified Serviceability] でこれらのサービスを再起動する必要があります。電話が次回初期化されたときに、その電話ではこの CTL ファイルを TFTP サーバからダウンロードします。CTL ファイルに自己署名証明書が含まれた TFTP サーバのエントリがある場合、電話では .sgn 形式の署名付き設定ファイルを要求します。TFTP サーバに証明書が含まれていない場合、電話では署名なしのファイルを要求します。
Cisco CTL クライアントで CTL ファイルにサーバ証明書が追加されると、CTL クライアントの GUI でその証明書を表示できます。
CTL ファイルにファイアウォールを設定すると、セキュアな Cisco Unified Communications Manager システムの一部として Cisco ASA ファイアウォールを保護できます。Cisco CTL クライアントでは、ファイアウォール証明書が「CCM」証明書として表示されます。
[Cisco Unified Communications Manager Administration] では、etoken を使用して Cisco CTL クライアントと Cisco CTL Provider との間の TLS 接続を認証します。
エンドポイントで、登録時に CallManager 証明書の使用によって署名された CTL ファイルを受け入れた場合。
管理者が CallManager 証明書を再生成して、CTL ファイルを更新した場合。この再生成は、更新した CTL ファイルが既存の CallManager 証明書ではなく、更新した CallManager 証明書によって署名されたことを意味しています。
更新した証明書がエンドポイントの信頼リストで取得できなかったため、エンドポイントではその更新した CallManager 証明書が信頼されなかった場合。このため、そのエンドポイントでは、その CTL ファイルをダウンロードするのではなく拒否しました。
エンドポイントで、Transport Layer Security(TLS)を使用して ccm サービスと安全に接続しようとし、ccmservice がその更新した CallManager 証明書をエンドポイントに TLS 交換の一部として提供した場合。その更新した証明書がエンドポイントの信頼リストで取得できなかったので、エンドポイントではその CTL ファイルをダウンロードするのではなく拒否しました。
電話が ccmservice と通信しなくなり、その結果ロックアウトされた場合。
エンド ポイントのロック アウトからのリカバリを容易にするために、エンドポイントのトークンレス アプローチが拡張され、リカバリのために CTL ファイル内に 2 番目の SAST が追加されました。この機能では、トークンレス CTL ファイルに CallManager レコードと ITLRecovery レコードという 2 つの SAST トークンが含まれています。
CLI を使用すると、Cisco CTL クライアントを使用せずにクラスタ セキュリティ モードを管理できます。
次の点を考慮してください。
この暗号化方法では次の CLI コマンドを使用します。
(注) |
|
CLI コマンドセット utils ctl を使用してクラスタを暗号化した場合は、Cisco CTL クライアントのオプションに戻ることができます。
Cisco CTL クライアント オプションに戻るか、クラスタを非セキュア モードに戻すには、この手順に従います。
CTL クライアント プラグイン 5.0 または 5.2 にアップグレードする場合は、次の手順を実行して、最初に eToken Run Time Environment 3.00 を削除する必要があります。
Cisco Unified Communications Manager で Cisco CTL クライアントを設定する場合、以下の情報を検討してください。
電話では大きなサイズの CTL ファイルを受け付けられないため、Cisco CTL クライアントでは CTL ファイルのサイズが 64 キロバイトに制限されています。CTL ファイルのサイズには、以下の要素が影響します。
クラスタ内のノード数
ノードが増えると、CTL ファイル内の証明書も増やす必要があります。
TLS プロキシに使用されているファイアウォールの数
TLS プロキシ機能を備えたファイアウォールは、ノードと同様であるため、CTL ファイルに組み込まれます。
外部認証局(CA)が CAPF 証明書と CallManager 証明書に署名するかどうか
外部 CA によって署名された証明書(CAPF/CallManager)は、デフォルトの自己署名証明書に比べて大幅に大きいため、CTL ファイルに組み込むことができる証明書の最大数が制限される場合があります。
これらの要素が 64 キロバイトの CTL ファイルに入れられる証明書の最大数に影響し、セキュアな Cisco Unified Communications Manager デプロイに含めることのできるノードとファイアウォールの数が決まります。
Cisco CTL クライアントがインストールされたリモート PC で Cisco Unified Communications Manager ノードのホスト名を解決できることを確認します。解決できない場合、Cisco CTL クライアントは正常に機能しません。
Cisco CTL Provider サービスをアクティブにする必要があります。クラスタ環境が存在する場合、クラスタのすべてのサーバで Cisco CTL Provider サービスをアクティブにする必要があります。
Cisco CTL クライアントに、代替または集中型 TFTP サーバなどのクラスタ外サーバ エントリが含まれる場合、これらのサーバでも Cisco CTL Provider サービスを実行する必要があります。
Cisco CTL クライアント GUI の代替 TFTP サーバセクションは、別のクラスタに存在する Cisco TFTP サーバを指定します。[Alternate TFTP Server] タブの設定を使用して、Cisco CTL クライアントの代替および集中型 TFTP サーバを設定します。
(注) | 詳細については、『System Configuration Guide for Cisco Unified Communications Manager』を参照してください。 |
CTL クライアント オプションを使用している場合は、次の手順を実行します。
(注) | この手順では、Cisco CTL クライアントに対して設定する複数のサーバについて、少なくとも 2 つのセキュリティ トークンとパスワード、ホスト名または IP アドレス、およびポート番号を入手することが必要です。 |
次の表に、初めて Cisco CTL クライアントをインストールおよび設定する場合に実行する設定作業のリストを示します。Cisco Unified Communications Manager をアップグレードする場合の CTL ファイルの設定に関する詳細については、Cisco CTL クライアントのアップグレードおよび Cisco CTL ファイルの移行に関連したトピックを参照してください。
Cisco CTL クライアントの設定後、Cisco CTL Provider サービスのセキュリティ モードは非セキュアから混合モードに変わり、サーバの証明書を CTL ファイルに伝送します。このサービスは、CTL ファイルをすべての Cisco Unified Communications Manager および Cisco TFTP サーバに伝送します。
このサービスを有効にし、Cisco Unified Communications Manager をアップグレードすると、Cisco Unified Communications Manager は、アップグレード後に自動的にサービスを再起動します。
ヒント | クラスタ内のすべてのサーバで Cisco CTL Provider サービスを有効化する必要があります。 |
ステップ 1 | Cisco Unified Serviceability で、 を選択します。 | ||||
ステップ 2 | [Servers] ドロップダウン リスト ボックスで、Cisco CallManager または Cisco TFTP サービスが有効になっているサーバを選択します。 | ||||
ステップ 3 | [Cisco CTL Provider] サービスのオプション ボタンをクリックします。 | ||||
ステップ 4 | [Save] をクリックします。
| ||||
ステップ 5 | サービスがサーバで実行されていることを確認します。Cisco Unified Serviceability で、 を選択し、サービスの状態を確認します。 |
警告 | Cisco CTL クライアントをインストールして設定する前に、Cisco Certificate Authority Proxy Function(CAOF)サービスを有効化すると、CAPF を使用するために CTL ファイルを更新する必要がなくなります。 |
デフォルト ポートが現在使用中の場合、またはファイアウォールを使用していてファイアウォール内のポートを使用できない場合に、異なる TLS ポート番号の設定が必要になることがあります。
(注) | クラスタ セキュリティ モードは、スタンドアロン サーバまたはクラスタのセキュリティ機能を設定します。 |
ヒント | ポートを更新した後、[Cisco Unified Serviceability] で Cisco CTL Provider サービスを再起動する必要があります。 |
ヒント | CTL ポートは、CTL クライアントが実行されている場所からデータ VLAN に対して開く必要があります。 |
ステップ 1 | 変更するポートに応じて、次の作業を実行します。 | ||
ステップ 2 | Cisco CTL Provider ポートを変更するには、[Cisco Unified Communications Manager Administration] で、 を選択します。 | ||
ステップ 3 | [Server] ドロップダウンリストで、Cisco CTL Provider サービスが実行されているサーバを選択します。 | ||
ステップ 4 | [Service] ドロップダウン リスト ボックスで、[Cisco CTL Provider service] を選択します。
| ||
ステップ 5 | [Port Number] パラメータの値を変更するには、[Parameter Value] フィールドに新しいポート番号を入力します。 | ||
ステップ 6 | [Save] をクリックします。 | ||
ステップ 7 | [Ethernet Phone Port] または [SIP Phone Secure Port] の設定を変更するには、[Cisco Unified Communications Manager Administration] で を選択します。 | ||
ステップ 8 | 『Administration Guide for Cisco Unified Communications Manager』の説明に従い、Cisco CallManager サービスが実行されているサーバを検索します。結果が表示されたら、そのサーバの [Name] リンクをクリックします。 | ||
ステップ 9 | Cisco Unified Communications Manager の [Configuration] ウィンドウが表示されたら、[Ethernet Phone Port] フィールドまたは [SIP Phone Secure Port] フィールドに新しいポート番号を入力します。 | ||
ステップ 10 | 電話をリセットし、[Cisco Unified Serviceability] で Cisco CallManager サービスを再起動します。 | ||
ステップ 11 | [Save] をクリックします。 |
(注) | CLI を使ってクラスタ セキュリティを管理する場合は、この手順は必要ありません。 |
次の状況に該当する場合には、クライアントを使用して CTL ファイルを更新してください。
ヒント | クライアントをインストールする予定のサーバまたはワークステーションで Smart Card サービスが [started] および [automatic] に設定されていない場合は、インストールが失敗します。 |
Windows Vista、Windows 7、Windows 8.1、Windows 10 へ Cisco CTL クライアントをインストールするには、次の手順を実行します。
ステップ 1 | クライアントをインストールする Windows ワークステーションまたはサーバから、『Administration Guide for Cisco Unified Communications Manager』の説明に従って [Cisco Unified Communications Manager Administration] を参照します。 | ||
ステップ 2 | [Cisco Unified Communications Manager Administration] で、 を選択します。
[Find and List Plugins] ウィンドウが表示されます。 | ||
ステップ 3 | [Plugin Type equals] ドロップダウン リスト ボックスから [Installation] を選択し、[Find] をクリックします。 | ||
ステップ 4 | Cisco CTL クライアントを探します。 | ||
ステップ 5 | ファイルをダウンロードするには、ウィンドウ左側、Cisco CTL クライアント プラグイン名の反対にある [Download] をクリックします。 | ||
ステップ 6 | [Save] をクリックして、ファイルを適切な場所に保存します。ファイルの場所を控えておいてください。 | ||
ステップ 7 | インストールを開始するには、[Cisco CTL Client](ファイルの保存場所によりアイコンまたは実行ファイル)をダブルクリックします。
| ||
ステップ 8 | Cisco CTL クライアントのバージョンが表示されたら、[Next] をクリックします。 | ||
ステップ 9 | インストール ウィザードが表示されます。[Next] をクリックします。 | ||
ステップ 10 | 使用許諾契約に同意して、[Next] をクリックします。 | ||
ステップ 11 | クライアントをインストールするフォルダを選択します。デフォルトの場所を変更する場合は、[Browse] をクリックし、場所を選択して [Next] をクリックします。 | ||
ステップ 12 | インストールを開始するには、[Next] をクリックします。 | ||
ステップ 13 | インストールが完了したら、[Finish] をクリックします。 |
Cisco Unified Communications Manager リリース 5.x から 6.x へのアップグレード後に CTL ファイルを変更する場合は、アップグレード前にインストールした Cisco CTL クライアントをアンインストールし、最新の Cisco CTL クライアントをインストールして CTL ファイルを再生成する必要があります。アップグレード前にサーバを削除または追加しなかった場合は、アップグレード後に Cisco CTL クライアントを再設定する必要はありません。Cisco Unified Communications Manager のアップグレードで、データが CTL ファイルに自動的に移行されます。
Cisco Unified Communications Manager リリース 4.x からリリース 6.x にアップグレードし、セキュリティがクラスタで有効な場合は、アップグレード前にインストールした Cisco CTL クライアントをアンインストールし、最新の Cisco CTL クライアントをインストールして CTL ファイルを再生成する必要があります。アップグレードされたクラスタのセキュリティを有効にするには、次の手順に従います。
ステップ 1 | 既存の Cisco CTL クライアントをアンインストールします。 |
ステップ 2 | 新しい Cisco CTL クライアントをインストールします。 |
ステップ 3 | 以前に使用していた USB キーの少なくとも 1 つを使用して、Cisco CTL クライアントを実行します。 |
ステップ 4 | クラスタ内の Cisco CallManager と Cisco TFTP サービスを実行するすべての Cisco Unified Communications Manager サーバとすべての TFTP サーバの Cisco Unified Serviceability で Cisco CallManager と Cisco TFTP サービスを再起動します。 |
Cisco CTL クライアントでは、次のタスクが実行されます。
(注) | Cisco Unified Communications Manager Administration の [Enterprise Parameters Configuration] ウィンドウで、Cisco Unified Communications Manager のクラスタ セキュリティ パラメータを混合モードに設定することはできません。Cisco CTL クライアントまたは CLI コマンドセット utils ctl からクラスタ セキュリティモードを設定できます。 |
CTL ファイルによって、電話接続用の TLS をサポートするサーバが示されます。クライアントは自動的に Cisco Unified Communications Manager、Cisco CAPF、および ASA ファイアウォールを検出し、これらのサーバの証明書エントリを追加します。
設定時に挿入したセキュリティ トークンによって CTL ファイルが署名されます。
(注) | Cisco CTL クライアントは、スーパークラスタ サポートも提供します。スーパークラスタには、最大 16 のコールを処理するサーバ、1 つのパブリッシャ、2 つの TFTP サーバ、および最大 9 つのメディア リソース サーバが含まれます。 |
ヒント | Cisco CTL クライアントの設定は予定されたメンテナンス期間中に行います。これは、クラスタ内で Cisco CallManager サービスおよび Cisco TFTP サービスを実行するすべてのサーバでこれらのサービスを再起動する必要があるためです。 |
Cisco CTL クライアントの設定が完了すると、CTL クライアントは次のタスクを実行します。
クライアントを設定するには、次の手順を実行します。
(注) | CLI コマンド セット utils ctl でクラスタ セキュリティを管理する場合は、この手順は必要ありません。 |
ヒント | Cisco Unified Communications Manager をアップグレードする場合の CTL ファイルの設定に関する詳細については、Cisco CTL クライアントのアップグレードおよび Cisco CTL ファイルの移行に関連したトピックを参照してください。 |
Cisco CTL クライアントを設定する前に、Cisco CTL Provider サービスおよび Cisco Certificate Authority Proxy Function サービスを Cisco Unified Serviceability でアクティブにしたことを確認します。少なくとも 2 つのセキュリティ トークンを入手します。これらのセキュリティ トークンは、シスコの認証局が発行します。シスコから取得したセキュリティ トークンを使用する必要があります。トークンを一度に 1 つずつサーバまたはワークステーションの USB ポートに挿入します。サーバに USB ポートがない場合は、USB PCI カードを使用できます。
次のパスワード、ホスト名または IP アドレス、ポート番号を取得します。
ヒント | 管理ユーザ名は、エンドユーザではなく、アプリケーション ユーザである必要があり、また、スーパーユーザ権限を持つスーパー ユーザ グループのメンバーでなければなりません。 |
これらの情報の説明については、表 1 を参照してください。
ヒント | Cisco CTL クライアントをインストールする前に、サーバへのネットワーク接続を確認します。ネットワーク接続が確立されていることを確認するには、『Administration Guide for Cisco Unified Communications Manager』の説明に従って ping コマンドを実行します。クラスタの設定で、クラスタ内のすべてのサーバにネットワーク接続できることを確認してください。 |
複数の Cisco CTL クライアントをインストールした場合、Cisco Unified Communications Manager は一度に 1 台のクライアントの CTL 設定情報しか受け入れません。ただし、設定作業は同時に 5 台までの Cisco CTL クライアントで実行できます。あるクライアントで設定作業を実行している間、その他のクライアントで入力した情報は Cisco Unified Communications Manager によって自動的に保存されます。
Cisco CTL クライアントの設定が完了すると、CTL クライアントは次のタスクを実行します。
ステップ 1 | 購入したセキュリティ トークンを少なくとも 2 つ入手します。 | ||
ステップ 2 | 次のいずれかの作業を実行します。 | ||
ステップ 3 | 表 1 の説明に従って、Cisco Unified Communications Manager サーバの設定項目を入力して、[Next] をクリックします。 | ||
ステップ 4 | [Set Cisco Unified Communications Manager Cluster to Mixed Mode] をクリックして、[Next] をクリックします。
フィールドの説明については、表 1を参照してください。 | ||
ステップ 5 | 設定する内容に応じて、次の作業を実行します。 | ||
ステップ 6 | アプリケーションが要求したら、現在 Cisco CTL クライアントを設定しているワークステーションまたはサーバで使用可能な USB ポートにセキュリティ トークンを 1 つ挿入して、[OK] をクリックします。 | ||
ステップ 7 | 挿入したセキュリティ トークンについての情報が表示されます。[Add] をクリックします。 | ||
ステップ 8 | 検出された証明書エントリがペインに表示されます。 | ||
ステップ 9 | 他のセキュリティ トークン(複数も可能)を証明書信頼リストに追加するには、[Add Tokens] をクリックします。 | ||
ステップ 10 | サーバまたはワークステーションに挿入したトークンを取り外していない場合は、取り外します。アプリケーションが次のトークンを要求したら、そのトークンを挿入して [OK] をクリックします。 | ||
ステップ 11 | 2 番めのセキュリティ トークンについての情報が表示されます。[Add] をクリックします。 | ||
ステップ 12 | すべてのセキュリティ トークンについて、Cisco CTL クライアントの設定 ~ Cisco CTL クライアントの設定を繰り返します。 | ||
ステップ 13 | 証明書エントリがペインに表示されます。 | ||
ステップ 14 | 設定項目を入力します。
フィールドの説明については、表 1を参照してください。 | ||
ステップ 15 | [Next] をクリックします。 | ||
ステップ 16 | 設定項目を入力して、[Next] をクリックします。
フィールドの説明については、表 1を参照してください。 | ||
ステップ 17 | すべてのセキュリティ トークンおよびサーバを追加したら、[Finish] をクリックします。 | ||
ステップ 18 | セキュリティ トークンのユーザ名とパスワードを入力し、[OK] をクリックします。
フィールドの説明については、表 1を参照してください。 | ||
ステップ 19 | クライアントによって CTL ファイルが作成されると、各サーバのウィンドウに、サーバ、ファイルの場所、および CTL ファイルのステータスが表示されます。[Finish] をクリックします。 | ||
ステップ 20 | スタンドアロン サーバまたはクラスタのすべてのデバイスをリセットします。 | ||
ステップ 21 | Cisco Unified Serviceability で、Cisco CallManager サービスと Cisco TFTP サービスを再起動します。
| ||
ステップ 22 |
CTL クライアントで CTL ファイルを作成したら、USB ポートからセキュリティ トークンを取り外すことができます。すべてのセキュリティ トークンを覚えやすい安全な場所に格納します。 |
(注) | CLI コマンド セット utils ctl でクラスタ セキュリティを管理する場合は、この手順は必要ありません。 |
次の状況が発生したら CTL ファイルを更新する必要があります。
(注) | ノードをセキュア クラスタに追加するには、ノードの追加方法および新しいノード用のセキュリティの設定方法を説明している『Installing Cisco Unified Communications Manager』を参照してください。 |
(注) | 混合モードの Cisco Unified Communications Manager クラスタでドメイン名が追加または変更されると、CTL クライアントを再実行する必要があります。これが行われない場合、電話の設定ファイルへの変更が有効になりません。 |
ヒント | ファイルの更新は、呼処理中断がもっとも少ない時期に行うことが推奨されます。 |
ステップ 1 | 最新の CTL ファイルを設定するために挿入したセキュリティ トークンを 1 つ入手します。 | ||
ステップ 2 | Cisco CTL クライアントをインストールしたワークステーションまたはサーバのデスクトップにある [Cisco CTL Client] アイコンをダブルクリックします。 | ||
ステップ 3 | Cisco Unified Communications Manager サーバの設定を入力し、[Next] をクリックします。 フィールドの説明については、表 1を参照してください。
| ||
ステップ 4 | CTL ファイルを更新するには、[Update CTL File] をクリックして、[Next] をクリックします。 フィールドの説明については、表 1を参照してください。
| ||
ステップ 5 | 現在 CTL ファイルを更新しているワークステーションまたはサーバの利用可能な USB ポートにまだセキュリティ トークン 1 つを挿入していない場合、セキュリティ トークンを挿入して [OK] をクリックします。 | ||
ステップ 6 | 挿入したセキュリティ トークンの情報が表示されるので、[Next] をクリックします。 検出された証明書エントリがペインに表示されます。
| ||
ステップ 7 | 既存の Cisco CTL エントリを更新するか、セキュリティ トークンを追加または削除します。 | ||
ステップ 8 | CTL ファイルの更新が終了したら、Cisco Unified Serviceability で Cisco CallManager と TFTP サービスを再起動します。
|
注意 | セキュアな SIP または SCCP を使用して Unified Communications Manager が Unity Connection 10.5 以降と統合されている場合は、Unity Connection でセキュアなコールが停止することがあります。この問題を解決するには、Unity Connection で対応するポート グループをリセットする必要があります。 Unity Connection Administration インターフェイスでポート グループをリセットするには、 ページで [Reset] をクリックします。 に移動し、リセットするポート グループを選択して、[Port Group Basics] |
Cisco CTL クライアントの [CTL Entries] ウィンドウに表示される CTL エントリはいつでも削除できます。
Cisco Unified Communications Manager、Cisco TFTP、ASA ファイアウォールまたは Cisco CAPF を実行するサーバは CTL ファイルから削除できません。
CTL ファイルには、常に 2 つのセキュリティ トークン エントリが存在する必要があります。ファイルからすべてのセキュリティ トークンを削除することはできません。または、CLI コマンド utils ctl update CTLFile を使用して CTL ファイルを更新できます。
クラスタ セキュリティ モードを設定するには、Cisco CTL クライアントを使用する必要があります。Cisco Unified Communications Manager のセキュリティ モードは、[Cisco Unified Communications Manager Administration] の [Enterprise Parameters Configuration] ウィンドウから変更することはできません。
(注) | クラスタ セキュリティ モードでは、スタンドアロン サーバまたはクラスタのセキュリティ機能の設定を行います。 |
Cisco CTL クライアントの初期設定後にクラスタ セキュリティ モードを変更するには、CTL ファイルを更新する必要があります。
混合モードから非セキュア モードにクラスタ セキュリティ モードを変更すると、CTL ファイルはサーバに存在するものの、この CTL ファイルには証明書が含まれていません。CTL ファイルに証明書が存在しないため、電話は署名なし設定ファイルを要求し、Cisco Unified Communications Manager に非セキュアとして登録します。
詳細については、「表 1」を参照してください。 |
次の表に示すように、クラスタ セキュリティ モードを非セキュア モードまたは混合モードに設定できます。認証、シグナリング暗号化、およびメディア暗号化は混合モードでのみサポートされます。
(注) | クラスタ セキュリティ モードでは、スタンドアロン サーバまたはクラスタのセキュリティ機能の設定を行います。 |
Cisco CTL クライアントの初回設定、CTL ファイルの更新、または混合モードから非セキュア モードへの変更を行うには、次の表を使用します。
[Port] |
この Cisco Unified Communications Manager サーバで実行されている Cisco CTL Provider サービスの CTL ポート番号を入力します。デフォルトのポート番号は 2444 です。 |
||
[Username] と [Password] |
最初のノードのスーパーユーザ管理者権限を持つアプリケーション ユーザ名とパスワードを入力します。 |
||
混合モードでは、認証済み、暗号化済み、および非セキュアな Cisco Unified IP Phone を Cisco Unified Communications Manager に登録できます。このモードでは、認証済みまたは暗号化済みのデバイスについて、Cisco Unified Communications Manager によってセキュアなポートの使用が確保されます。
|
|||
非セキュア モードに設定すると、すべてのデバイスが非認証として登録され、Cisco Unified Communications Manager によってイメージ認証のみがサポートされます。 このモードを選択すると、CTL ファイル内にリストされているすべてのエントリの証明書が Cisco CTL クライアントによって削除されますが、CTL ファイルそのものは指定のディレクトリに引き続き存在します。未署名の設定ファイルが電話によって要求され、Cisco Unified Communications Manager に非セキュアとして登録されます。
|
|||
CTL ファイルの作成後に CTL ファイルを変更するには、このオプションを選択する必要があります。このオプションを選択すると、Cisco Unified Communications Manager のセキュリティ モードが変更されなくなります。 |
|||
証明書信頼リストにセキュリティ トークンを追加するには、このボタンをクリックします。 サーバまたはワークステーションに当初挿入したトークンをまだ削除していない場合は削除します。アプリケーションが次のトークンを要求したら、そのトークンを挿入して [OK] をクリックします。追加したセキュリティ トークンについての情報が表示されたら、[Add] をクリックします。すべてのセキュリティ トークンについて、これらの操作を繰り返します。 |
|||
証明書信頼リストに代替 TFTP サーバを追加するには、このボタンをクリックします。設定の詳細については、[Alternate TFTP Server] タブの設定が表示された後に [Help] ボタンをクリックします。設定を入力したら、[Next] をクリックします。 |
|||
証明書信頼リストに ASA ファイアウォールを追加するには、このボタンをクリックします。設定の詳細については、[Firewall] タブの設定が表示された後に [Help] ボタンをクリックします。設定を入力したら、[Next] をクリックします。 |
|||
TFTP サーバのホスト名または IP アドレスを入力します。 代替 TFTP サーバは、別のクラスタに存在する Cisco TFTP サーバを指定します。代替 TFTP サーバの設定に 2 つのクラスタを使用する場合、両方のクラスタが同じクラスタ セキュリティ モードを使用する必要があります。つまり、両方のクラスタに Cisco CTL クライアントをインストールして設定する必要があります。同様に、両方のクラスタで同じバージョンの Cisco Unified Communications Manager が実行されている必要があります。 TFTP サービス パラメータ [FileLocation] のパスが、クラスタ内のすべてのサーバで同じであることを確認します。 |
|||
設定不可。システムは Cisco Unified Communications Manager のポートを使用します。デフォルトのポート番号は 2444 です。 |
|||
設定不可。システムは Cisco Unified Communications Manager のインストール時に設定された管理者名とパスワードを使用します。 |
|||
Cisco CTL クライアントの初回設定時には、Cisco123 と入力し(大文字と小文字が区別されるデフォルト パスワード)、証明書の秘密キーを取得して CTL ファイルが署名されることを確認します。 |
クラスタ セキュリティ モードを確認するには、次の手順を実行します。
(注) | クラスタ セキュリティ モードでは、スタンドアロン サーバまたはクラスタのセキュリティ機能の設定を行います。 |
ステップ 1 | [Cisco Unified Communications Manager Administration] で、 を選択します。 | ||
ステップ 2 | [Cluster Security Mode] フィールドを見つけます。フィールドの値が 1 と表示されている場合、混合モード用に Cisco Unified Communications Manager が正しく設定されています。(フィールド名をクリックすると追加情報を参照できます。)
|
インストールされている Cisco CTL クライアントが Smart Card サービスの無効を検出した場合、Cisco CTL クライアント プラグインをインストールするサーバまたはワークステーションで SmartCard サービスを [automatic] と [started] に設定する必要があります。
ヒント | サービスが [started] および [automatic] に設定されていない限り、CTL ファイルにセキュリティ トークンを追加できません。 |
ヒント | オペレーティング システムのアップグレード、サービス リリースの適用、Cisco Unified Communications Manager のアップグレードなどの後には、Smart Card サービスが実行中で自動になっていることを確認します。 |
ステップ 1 | Cisco CTL クライアントをインストールしてあるサーバまたはワークステーションで、 または を選択します。 |
ステップ 2 | [Services] ウィンドウで、[Smart Card] サービスを右クリックして、[Properties] を選択します。 |
ステップ 3 | [Properties] ウィンドウで [General] タブが表示されることを確認します。 |
ステップ 4 | [Startup Type] ドロップダウン リスト ボックスから [Automatic] を選択します。 |
ステップ 5 | [Apply] をクリックします。 |
ステップ 6 | [Service Status] エリアで [Start] をクリックします。 |
ステップ 7 | [OK] をクリックします。 |
ステップ 8 | サーバまたはワークステーションをリブートし、サービスが実行されていることを確認します。 |
(注) | CLI コマンド セット utils ctl でクラスタ セキュリティを管理する場合は、この手順は必要ありません。 |
この管理者パスワードは証明書の秘密キーを取得し、CTL ファイルが署名されたことを確認します。各セキュリティ トークンにはデフォルトのパスワードが設定されています。セキュリティ トークン パスワードはいつでも変更できます。Cisco CTL クライアントによりパスワードの変更を求めるプロンプトが表示されたら、設定を続行する前にパスワードを変更する必要があります。
パスワード設定の関連情報を確認するには、[Show Tips] ボタンをクリックします。何らかの理由でパスワードを設定できない場合は、表示されるヒントを確認してください。
Windows Vista、Windows 7、Windows 8.1、Windows 10 のサーバまたはワークステーションでセキュリティ トークンのパスワードを変更するには、次の手順を実行します。
ステップ 1 | Windows サーバまたはワークステーションに Cisco CTL クライアントがインストールされていることを確認します。 |
ステップ 2 | インストールされていない場合は、Cisco CTL クライアントをインストールしてある別の Windows サーバまたはワークステーションの USB ポートにセキュリティ トークンを挿入します。 |
ステップ 3 | インストールされていない場合は、Cisco CTL クライアントをインストールしてある別の Windows サーバまたはワークステーションの USB ポートにセキュリティ トークンを挿入します。 |
ステップ 4 | を選択し、[etoken] を右クリックして [Change etoken password] を選択します。 |
ステップ 5 | [Current Password] フィールドに、このトークン用に最初に作成したパスワードを入力します。 |
ステップ 6 | 新しいパスワードを入力します。 |
ステップ 7 | 確認のためもう一度新しいパスワードを入力します。 |
ステップ 8 | [OK] をクリックします。 |
注意 | Cisco Unified Communications Manager サーバから CTL ファイルを削除する計画がない場合は特に、このタスクをセキュアなラボ環境で実行することを推奨します。 |
次の状況で、Cisco Unified IP Phone の CTL ファイルを削除します。
CTL ファイルに署名したセキュリティ トークンがすべて失われた。
CTL ファイルに署名したセキュリティ トークンが漏洩したと見られる。
セキュア環境から、ストレージ エリアなどに電話を移動する。
未知のセキュリティ ポリシーが設定されているエリアから、セキュアな Cisco Unified Communications Manager に電話を移動する。
代替 TFTP サーバ アドレスを CTL ファイル内に存在しないサーバに変更する。
Cisco Unified IP Phone で CTL ファイルを削除するには、次の表に示すタスクを実行します。
電話の [Security Configuration] メニュー で [CTL file]、[unlock] または [**#] と、[erase] を押します。 |
|||
Cisco Unified IP Phone 7970G および同等機 |
次のいずれかの操作を行います。
|
Cisco CTL クライアントをアンインストールしても、CTL ファイルが削除されません。同様に、クライアントをアンインストールしても、クラスタ セキュリティ モードと CTL ファイルは変更されません。必要に応じて、Cisco CTL クライアントをアンインストールし、クライアントを異なる Windows ワークステーションまたはサーバにインストールし、引き続き同じ CTL ファイルを使用できます。