この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
この章では、CTI、JTAPI、および TAPI アプリケーションを保護する方法の概要を説明します。また、CTI、TAPI、および JTAPI アプリケーションの認証と暗号化の設定のため、[Cisco Unified Communications Manager Administration] で実行する必要がある作業についても説明します。
このドキュメントでは、[Cisco Unified Communications Manager Administration] で使用可能な Cisco JTAPI や TSP プラグインのインストール方法は説明しません。また、インストール中にセキュリティ パラメータを設定する方法についても説明しません。同様に、CTI で制御するデバイスまたは回線に制限を設定する方法も、このドキュメントでは説明しません。
Cisco Unified Communications Manager を使用すれば、CTIManager と CTI/JTAPI/TAPI の各アプリケーションとの間のシグナリング接続およびメディア ストリームを保護できます。
(注) | 次の情報は、Cisco JTAPI/TSP プラグインのインストール時にセキュリティ設定を定義したことを前提としています。また、Cisco CTL クライアント、または CLI コマンド セットの utils ctl で、クラスタ セキュリティ モードが混合モードに設定されていることも前提としています。この章で説明する作業を実行する際に、これらの設定が定義されていない場合、CTIManager とアプリケーションは非セキュア ポートのポート 2748 で接続されます。 |
CTIManager およびアプリケーションでは、相互に認証される TLS ハンドシェイク(証明書交換)によって他方のアイデンティティを確認します。TLS 接続が確立されると、CTIManager およびアプリケーションでは、TLS ポートのポート 2749 を介して QBE メッセージを交換します。
CTIManager では、アプリケーションとの認証を行うために、Cisco Unified Communications Manager の証明書(インストール時に Cisco Unified Communications Manager サーバに自動的にインストールされる自己署名証明書、またはプラットフォームにアップロードしたサードパーティの CA 署名付き証明書のいずれか)を使用します。
CLI コマンド セットの utils ctl または Cisco CTL クライアントによって CTL ファイルを生成した後、この証明書は CTL ファイルに自動的に追加されます。アプリケーションでは、CTL ファイルを TFTP サーバからダウンロードした後で、CTIManager への接続を試みます。
JTAPI/TSP クライアントでは、初めて CTL ファイルを TFTP サーバからダウンロードする際に CTL ファイルを信頼します。JTAPI/TSP クライアントでは CTL ファイルを検証しないため、このダウンロードはセキュアな環境で実行することを強く推奨します。JTAPI/TSP クライアントでは、後続の CTL ファイルのダウンロードを検証します。たとえば、CTL ファイルを更新すると、JTAPI/TSP クライアントでは、CTL ファイル内のセキュリティ トークンを使用して、ダウンロードした新しい CTL ファイルのデジタル署名の真正性を認証(確認)します。このファイルの内容には、Cisco Unified Communications Manager の証明書と CAPF サーバの証明書が含まれます。
JTAPI/TSP クライアントでは、CTL ファイルが改ざんされていると判断した場合、ダウンロードした CTL ファイルを取り替えません。つまり、クライアントでは、エラーをログに記録し、既存の CTL ファイル内の古い証明書を使用して TLS 接続の確立を試みます。CTL ファイルが変更または改ざんされている場合、正常に接続できないことがあります。CTL ファイルのダウンロードに失敗し、複数の TFTP サーバが存在する場合、このファイルをダウンロードするために別の TFTP サーバを設定できます。JTAPI/TAPI クライアントでは、次の場合、どのポートにも接続しません。
何らかの理由(CTL ファイルが存在しないなど)によって、クライアントで CTL ファイルをダウンロードできない場合。
クライアントに既存の CTL ファイルがない場合。
アプリケーション ユーザをセキュア CTI ユーザとして設定した場合。
アプリケーションでは、CTIManager との認証を行うために、Certificate Authority Proxy Function(CAPF)で発行する証明書を使用します。アプリケーションと CTIManager との間のすべての接続で TLS を使用するには、アプリケーションの PC で実行されているインスタンスごとに一意の証明書が必要です。1 つの証明書ですべてのインスタンスがカバーされるわけではありません。Cisco IP Manager Assistant サービスが実行されているノードに証明書がインストールされるようにするには、表 1の説明に従って、[Cisco Unified Communications Manager Administration] で、それぞれの [Application User CAPF Profile Configuration] または [End User CAPF Profile Configuration] に一意のインスタンス ID を設定します。
ヒント | アプリケーションをある PC からアンインストールして別の PC にインストールする場合、新しい PC のインスタンスごとに新しい証明書をインストールする必要があります。 |
アプリケーションで TLS を有効にするには、[Cisco Unified Communications Manager Administration] で、アプリケーション ユーザまたはエンド ユーザを Standard CTI Secure Connection ユーザ グループに追加する必要もあります。ユーザをこのグループに追加し、証明書をインストールすると、アプリケーションではユーザが TLS ポートを介して接続するようになります。
アプリケーションと CTIManager との間のメディア ストリームを保護するため、[Cisco Unified Communications Manager Administration] で Standard CTI Allow Reception of SRTP Key Material ユーザ グループにアプリケーション ユーザまたはエンド ユーザを追加します。これらのユーザが Standard CTI Secure Connection ユーザ グループにも存在する場合、およびクラスタ セキュリティ モードが混合モードである場合、CTIManager はアプリケーションとの TLS 接続を確立し、メディア イベントでキー情報をアプリケーションに提供します。
(注) | クラスタ セキュリティ モードは、スタンドアロン サーバまたはクラスタのセキュリティ能力を設定します。 |
アプリケーションでは SRTP キー情報の記録や保存は行われませんが、アプリケーションはキー情報を使用して RTP ストリームを暗号化し、CTIManager からの SRTP ストリームを復号します。
アプリケーションが非セキュア ポートであるポート 2748 に何らかの理由で接続されると、CTIManager はキー情報を送信しません。制限が設定されているために CTI/JTAPI/TAPI からデバイスまたは電話番号のモニタリングや制御が行えない場合、CTIManager はキー情報を送信しません。
ヒント | SRTP セッション キーを受け取るアプリケーションの場合、アプリケーション ユーザまたはエンドユーザが、Standard CTI Enabled、Standard CTI Secure Connection、Standard CTI Allow Reception of SRTP Key Material の 3 グループに存在している必要があります。 |
Cisco Unified Communications Manager では CTI ポートおよびルート ポイントとのセキュア コールを使用できますが、メディア パラメータはアプリケーションによって扱われるため、セキュア コールをサポートするようアプリケーションを設定する必要があります。
CTI ポートおよびルート ポイントは、ダイナミック登録またはスタティック登録によって登録されます。ポート/ルート ポイントによってダイナミック登録が使用されると、各コールに対してメディア パラメータが指定されます。スタティック登録が使用されると、メディア パラメータは登録時に指定され、コールごとに変更できません。CTI ポート/ルート ポイントが TLS 接続を介して CTIManager に登録するとき、デバイスはセキュアに登録され、アプリケーションがデバイス登録要求で有効な暗号化アルゴリズムを使用する場合、および他の参加者がセキュアである場合、メディアは SRTP を介して暗号化されます。
CTI アプリケーションは、すでに確立されているコールのモニタリングを開始するときには RTP イベントを受信しません。確立されたコールに対して、CTI アプリケーションは、コールのメディアがセキュアか非セキュアかを判断する DeviceSnapshot イベントを提供します。このイベントではキー情報が提供されません。
Cisco Unified Communications Manager と同時に自動的にインストールされる認証局プロキシ機能(CAPF)は、設定に応じて、CTI/TAPI/TAPI アプリケーションについて次のタスクを実行します。
認証文字列によって JTAPI/TSP クライアントを認証する。
CTI/JTAPI/TAPI アプリケーション ユーザまたはエンド ユーザにローカルで有効な証明書(LSC)を発行する。
既存のローカルで有効な証明書をアップグレードする。
表示やトラブルシューティングのために証明書を取得する。
JTAPI/TSP クライアントが CAPF と対話するとき、クライアントは認証文字列を使用して CAPF に認証されます。その後、クライアントが公開キーと秘密キーのペアを生成し、署名付きメッセージによって公開キーを CAPF サーバに転送します。秘密キーはクライアントに残り、外部に公開されることはありません。証明書は CAPF によって署名され、署名付きメッセージによってクライアントに送り返されます。
アプリケーション ユーザとエンド ユーザには、それぞれ [Application User CAPF Profile Configuration] ウィンドウと [End User CAPF Profile Configuration] ウィンドウでの設定によって証明書を発行できます。Cisco Unified Communications Manager でサポートされる CAPF プロファイル間の相違点について、以下に説明します。
アプリケーション ユーザ CAPF プロファイル:このプロファイルでは、CTIManager サービスとアプリケーションの間で TLS 接続をオープンできるようにするため、セキュアなアプリケーション ユーザに対してローカルで有効な証明書を発行できます。
1 つのアプリケーション ユーザ CAPF プロファイルが、サーバのサービスまたはアプリケーションの 1 つのインスタンスに対応します。同じサーバで複数の Web サービスやアプリケーションをアクティブにする場合は、サーバのサービスごとに 1 つずつ、合計 2 つのアプリケーション ユーザ CAPF プロファイルを設定する必要があります。
クラスタ内の 2 台のサーバでサービスまたはアプリケーションをアクティブにする場合、サーバごとに 1 つずつ、合計 2 つのアプリケーション ユーザ CAPF プロファイルを設定する必要があります。
エンド ユーザ CAPF プロファイル:このプロファイルでは、CTI クライアントが TLS 接続を介して CTIManager サービスと通信できるよう、CTI クライアントに対してローカルで有効な証明書を発行できます。
ヒント | JTAPI クライアントは、[JTAPI Preferences] ウィンドウで設定したパスに、Java Key Store 形式で LSC を保存します。TSP クライアントは、デフォルト ディレクトリまたは設定したパスに、暗号化形式で LSC を保存します。 |
証明書インストールの実行中に通信障害が発生した場合、JTAPI クライアントは証明書の取得を 30 秒間隔でさらに 3 回試行します。この値は設定できません。
TSP クライアントの場合、再試行回数と再試行タイマーを設定できます。TSP クライアントが一定時間内に証明書の取得を試行する回数を指定するには、次の値を設定します。どちらの値も、デフォルトは 0 です。最大 3 回までの再試行回数を、1(再試行 1 回)、2、3 で指定します。再試行間隔は 30 秒以内で設定できます。
JTAPI/TSP クライアントと CAPF とのセッション試行中に電源障害が発生した場合、クライアントは電源復旧後に証明書のダウンロードを試行します。
アプリケーション ユーザとエンドユーザの CAPF プロファイルを設定する前に、Cisco CTL クライアントのインストールと設定に必要なすべての作業を実行したことを確認します。[Enterprise Parameters Configuration] ウィンドウの [Cluster Security Mode] を 1 に設定します(混合モード)。
多くの証明書を同時に生成するとコール処理中断の原因となるため、スケジュールされたメンテナンスの時間帯に CAPF を使用することを強く推奨します。
証明書操作の全期間を通じて、CTI/JTAPI/TAPI アプリケーションが正常に機能していることを確認します。
Standard CTI Secure Connection ユーザ グループと Standard CTI Allow Reception of SRTP Key Material ユーザ グループはデフォルトで [Cisco Unified Communications Manager Administration] に表示されます。これらのグループは削除できません。
CTIManager へのユーザ接続を保護するには、Standard CTI Secure Connection ユーザ グループにアプリケーション ユーザまたはエンド ユーザを追加する必要があります。CTI アプリケーションはアプリケーション ユーザまたはエンド ユーザに割り当てできますが、両方に割り当てることはできません。
アプリケーションと CTIManager でメディア ストリームを保護する場合は、アプリケーション ユーザまたはエンド ユーザを Standard CTI Allow Reception of SRTP Key Material ユーザ グループに追加する必要があります。
アプリケーション ユーザとエンド ユーザが SRTP を使用するには、TLS のベースラインの構成として機能する Standard CTI Enabled ユーザ グループと Standard CTI Secure Connection ユーザ グループに、これらのユーザが存在している必要があります。SRTP 接続には TLS が必要です。これらのグループにユーザを確保できたら、ユーザを Standard CTI Allow Reception of SRTP Key Material ユーザ グループに追加できます。SRTP セッション キーを受け取るアプリケーションの場合、アプリケーション ユーザまたはエンドユーザが、Standard CTI Enabled、Standard CTI Secure Connection、Standard CTI Allow Reception of SRTP Key Material の 3 グループに存在している必要があります。
Cisco Unified Communications Manager Assistant、Cisco QRT、Cisco Web Dialer は暗号化をサポートしていないため、Standard CTI Allow Reception of SRTP Key Material ユーザ グループにアプリケーションユーザ、CCMQRTSecureSysUser、IPMASecureSysUser、WDSecureSysUser を追加する必要はありません。
ヒント | ユーザ グループからのアプリケーション ユーザまたはエンド ユーザの削除については、『Administration Guide for Cisco Unified Communications Manager』を参照してください。[Role Configuration] ウィンドウのセキュリティに関する設定については、『Administration Guide for Cisco Unified Communications Manager』を参照してください。 |
ステップ 1 | [Cisco Unified Communications Manager Administration] で、 を選択します。 |
ステップ 2 | すべてのユーザ グループを表示するには、[Find] をクリックします。 |
ステップ 3 | 目的に応じて、次のいずれかの作業を実行します。
|
ステップ 4 | アプリケーション ユーザをグループに追加するには、ステップ 5~ステップ 7を実行します。 |
ステップ 5 | [Add Application Users to Group] ボタンをクリックします。 |
ステップ 6 | アプリケーション ユーザを検索するには、検索条件を指定し、[Find] をクリックします。
検索条件を指定せずに [Find] をクリックすると、すべてのオプションが表示されます。 |
ステップ 7 | グループに追加するアプリケーション ユーザのチェックボックス(複数可)をオンにし、[Add Selected] をクリックします。
[User Groups] ウィンドウにユーザが表示されます。 |
ステップ 8 | グループにエンド ユーザを追加するには、ステップ 9~ステップ 11を実行します。 |
ステップ 9 | [Add Users to Group] ボタンをクリックします。 |
ステップ 10 | エンド ユーザを検索するには、検索条件を指定し、[Find] をクリックします。
検索条件を指定せずに [Find] をクリックすると、すべてのオプションが表示されます。 |
ステップ 11 | グループに追加するエンド ユーザのチェックボックス(複数可)をオンにし、[Add Selected] をクリックします。
[User Groups] ウィンドウにユーザが表示されます。 |
Cisco Unified Communications Manager は Cisco Unified Serviceability の Certificate Authority Proxy Function サービスを自動でアクティブにしません。
CAPF 機能を使用するには、このサービスを最初のノード上でアクティブにする必要があります。
Cisco CTL クライアントをインストールして設定する前に、このサービスをアクティブにしなかった場合、CTL ファイルを更新する必要があります。
Cisco Certificate Authority Proxy Function サービスをアクティブにすると、CAPF 固有のキー ペアおよび証明書が CAPF によって自動的に生成されます。Cisco CTL クライアントでスタンドアロン サーバまたはクラスタ内のすべてのサーバにコピーする CAPF 証明書の拡張子は .0 です。CAPF 証明書が存在することを確認するには、Cisco Unified Communications オペレーティング システムの GUI で CAPF 証明書を表示します。
[CAPF Service Parameter] ウィンドウには、証明書の有効年数、システムによるキー生成の最大再試行回数などの情報が表示されます。
[Cisco Unified Communications Manager Administration] で CAPF サービス パラメータがアクティブとして表示されるためには、[Cisco Unified Serviceability] で Certificate Authority Proxy Function サービスを有効化する必要があります。
ヒント | CAPF を電話に使用する際に CAPF サービス パラメータを更新する場合は、サービス パラメータを再度更新する必要はありません。 |
ステップ 1 | [Cisco Unified Communications Manager Administration] で、 を選択します。 | ||
ステップ 2 | [Server] ドロップダウン リスト ボックスからサーバを選択します。
| ||
ステップ 3 | [Service] ドロップダウン リスト ボックスで、[Cisco Certificate Authority Proxy Function] サービスを選択します。サービス名の横に「Active」と表示されることを確認します。 | ||
ステップ 4 | ヘルプの説明に従い、CAPF サービス パラメータを更新します。CAPF サービス パラメータのヘルプを表示するには、疑問符またはパラメータ名リンクをクリックします。 | ||
ステップ 5 | 変更を有効にするには、[Cisco Unified Serviceability] で Cisco Certificate Authority Proxy Function サービスを再起動します。 |
ステップ 1 | [Cisco Unified Communications Manager Administration] で、アクセスするプロファイルに応じて次のいずれかのウィンドウを選択します。 | ||
ステップ 2 | データベース内のレコードをすべて表示するには、ダイアログボックスを空欄のままにして、ステップ 3 に進みます。 レコードをフィルタまたは検索するには、次の手順を実行します。 | ||
ステップ 3 | [Find] をクリックします。 条件を満たしているレコードがすべて表示されます。1 ページあたりの項目の表示件数を変更するには、[Rows per Page] ドロップダウン リスト ボックスで別の値を選択します。 | ||
ステップ 4 | 表示されるレコードのリストから、表示するレコードへのリンクをクリックします。
ウィンドウに選択した項目が表示されます。 |
JTAPI/TAPI/CTI の各アプリケーション用のローカルで有効な証明書をインストール、アップグレード、またはトラブルシューティングする場合は、表 1を参照してください。
ヒント | アプリケーション ユーザ CAPF プロファイルを設定した後で、エンド ユーザ CAPF プロファイルを設定することを推奨します。 |
ステップ 1 | [Cisco Unified Communications Manager Administration] で、次のいずれかのオプションを選択します。 |
ステップ 2 | 次のいずれかの作業を実行します。
|
ステップ 3 | 表 1 に示すように、適切な設定を入力します。 |
ステップ 4 | [Save] をクリックします。 |
ステップ 5 | セキュリティを使用するアプリケーション ユーザおよびエンド ユーザごとに、この手順を繰り返します。 |
[Application User CAPF Profile Configuration] ウィンドウで CCMQRTSecureSysUser、IPMASecureSysUser、または WDSecureSysUser を設定した場合は、サービス パラメータを設定する必要があります。
次の表で、[Application User CAPF Profile Configuration] および [End User CAPF Profile Configuration] ウィンドウの CAPF 設定について説明します。
ドロップダウンリスト ボックスから、CAPF 操作用のアプリケーション ユーザを選択します。この設定には、設定されたアプリケーション ユーザが表示されます。 |
|||
ドロップダウンリスト ボックスから、CAPF 操作用のエンド ユーザを選択します。この設定には、設定されたエンド ユーザが表示されます。 この設定は、[Application User CAPF Profile Configuration] ウィンドウには表示されません。 |
|||
1 ~ 128 文字の英数字(a ~ z、A ~ Z、0 ~ 9)を入力します。インスタンス ID は、証明書操作のユーザを指定します。 1 つのアプリケーションに複数の接続(インスタンス)を設定できます。アプリケーションと CTIManager との接続を保護するため、アプリケーション PC(エンド ユーザの場合)またはサーバ(アプリケーション ユーザの場合)で実行されるそれぞれのインスタンスに固有の証明書があることを確認します。 このフィールドは、Web サービスとアプリケーションをサポートする [CAPF Profile Instance ID for Secure Connection to CTIManager ] サービス パラメータに関連します。 |
|||
証明書の操作が [Install/Upgrade] の場合、認証モードとして [By Authentication String] が指定されます。つまり、ユーザ/管理者によって [JTAPI/TSP Preferences] ウィンドウに CAPF 認証文字列が入力された場合にのみ、ローカルで有効な証明書のインストール/アップグレードまたはトラブルシュートが CAPF によって実行されます。 |
|||
手動で一意の文字列を入力するか、[Generate String] ボタンをクリックして文字列を生成します。 ローカルで有効な証明書のインストールまたはアップグレードを実行する場合、アプリケーション PC の JTAPI/TSP 設定 GUI に管理者が認証文字列を入力することが必要です。この文字列は 1 回だけ使用できます。このインスタンスで使用した文字列を再び使用することはできません。 |
|||
CAPF が自動的に認証文字列を生成するよう設定するには、このボタンをクリックします。4 ~ 10 桁の認証文字列が [Authentication String] フィールドに表示されます。 |
|||
[Key Order] |
このフィールドは、CAPF のキーの並び方を指定します。ドロップダウン リストから、次のいずれかの値を選択します。
|
||
[RSA Key Size (Bits)] |
ドロップダウン リスト ボックスから、[512]、[1024]、[2048,]、[3072]、または [4096] のいずれかの値を選択します。 |
||
[EC Key Size (Bits)] |
ドロップダウン リスト ボックスから、[256]、[384]、または [521] のいずれかの値を選択します。 |
||
このフィールドは操作を完了する必要がある期限の日時を指定します。このフィールドはすべての証明書操作に対応しています。 この設定は、証明書の操作を完了する必要がある期間のデフォルトの日数を指定する [CAPF Operation Expires in (days)] エンタープライズ パラメータと併用します。このパラメータはいつでも更新できます。 |
|||
この項では、Cisco Unified Communications Manager データベースからアプリケーション ユーザ CAPF プロファイルまたはエンド ユーザ CAPF プロファイルを削除する方法について説明します。
[Cisco Unified Communications Manager Administration] でアプリケーション ユーザ CAPF プロファイルまたはエンド ユーザ CAPF プロファイルを削除する前に、デバイスに別のプロファイルを適用するか、そのプロファイルを使用するすべてのデバイスを削除する必要があります。プロファイルを使用しているデバイスを確認するには、[Security Profile Configuration] ウィンドウの [Related Links] ドロップダウン リスト ボックスで [Dependency Records] を選択し、[Go] をクリックします。
依存関係レコード機能がシステムで有効でない場合は、依存関係レコード概要ウィンドウに、依存関係レコードを有効にするために実行できる操作が表示されます。また、依存関係レコード機能に関連して CPU 負荷が高くなることについての情報も表示されます。依存関係レコードの詳細は、『System Configuration Guide for Cisco Unified Communications Manager』を参照してください。
アプリケーション ユーザ CAPF プロファイルまたはエンド ユーザ CAPF プロファイルを設定した後、Cisco IP Manager Assistant サービスに対して、次のサービス パラメータを設定する必要があります。
ステップ 1 | [Cisco Unified Communications Manager Administration] で、 を選択します。 |
ステップ 2 | [Server] ドロップダウン リスト ボックスから、Cisco IP Manager Assistant サービスがアクティブになっているサーバを選択します。 |
ステップ 3 | [Service] ドロップダウン リスト ボックスから、[Cisco IP Manager Assistant] サービスを選択します。 |
ステップ 4 | パラメータが表示されたら、[CTIManager Connection Security Flag] パラメータおよび [CAPF Profile Instance ID for Secure Connection to CTIManager] パラメータを見つけます。 |
ステップ 5 | 疑問符またはパラメータ名のリンクをクリックすると表示されるヘルプの説明に従い、パラメータを更新します。 |
ステップ 6 | [Save] をクリックします。 |
ステップ 7 | サービスがアクティブになっているサーバごとに、この手順を繰り返します。 |
[JTAPI/TSP Preferences] GUI ウィンドウまたは([Find/List] ウィンドウではなく)特定の [Application User CAPF Profile configuration] または [End User CAPF Profile configuration] ウィンドウで、証明書操作のステータスを確認できます。