この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
注意 | FIPS モードは、FIPS 準拠のリリースだけでサポートされます。Cisco Unified Communications Manager を FIPS 非準拠のバージョンにアップグレードする前に、必ず FIPS モードを無効にしてください。 FIPS 準拠のリリースと、そのリリースの証明書を確認するには、http://www.cisco.com/web/strategy/government/security_certification/net_business_benefit_seccert_fips140.html の FIPS 140 のドキュメントを参照してください。 |
連邦情報処理標準(FIPS)は、暗号モジュールにおいて遵守が必要な要件が定義された、米国およびカナダ政府の認証規格です。
Unified Communications Manager の特定のバージョンは、米国の National Institute of Standards(NIST)に従って FIPS 140-2 に準拠しており、FIPS モード レベル 1 に準拠して動作します。
FIPS 140-2 モードを有効にすると、Unified Communications Manager がリブートされ、起動時に証明書のセルフテストが実行されます。さらに、暗号モジュールの整合性チェックが実行され、キー関連情報が再生成されます。この時点で、Unified Communications Manager は FIPS 140-2 モードで動作します。
FIPS 要件には、起動時のセルフテスト実行や、一連の承認済み暗号機能に対する制限などが含まれます。
FIPS モードでは、次の FIPS 140-2 レベル 1 検証済み暗号化モジュールが使用されます。
(注) | デフォルトでは、システムは非 FIPS モードになっています。FIPS モードを有効化する必要があります。 |
CLI で FIPS 140-2 を有効にできます。詳細については、『Command Line Interface Reference Guide for Cisco Unifed Communications Solutions』を参照してください。
非 FIPS モードから FIPS モードに切り替えた場合は、MD5 および DES プロトコルは機能しません。
単一サーバ クラスタでは証明書が再生成されるため、FIPS モードを有効にする前に CTL クライアントを実行するか、[Prepare Cluster for Rollback to pre-8.0] エンタープライズ パラメータを適用する必要があります。これらの手順のいずれかを実行しない場合は、FIPS モードを有効にした後で、手動で ITL ファイルを削除する必要があります。
FIPS モードをサーバで有効にした後は、サーバがリブートし、電話が正常に再登録されるまで待機してから、次のサーバで FIPS を有効にしてください。
注意 | FIPS モードを有効にする前に、システム バックアップを実行することを強く推奨します。FIPS のチェックが起動時に失敗した場合は、システムが停止し、復元するにはリカバリ CD が必要になります。 |
FIPS 140-2 は CLI から無効にできます。詳細については、『Command Line Interface Reference Guide for Cisco Unified Communications Solutions』を参照してください。
FIPS 140-2 モードを Cisco Unified Communications Manager (Unified CM) で無効にする前に、次の点を考慮してください。
ステップ 1 | CLI セッションを開始します。 詳細については、『Command Line Interface Reference Guide for Cisco Unified Communications Solutions』の「Starting a CLI Session」の項を参照してください。 |
ステップ 2 | CLI で utils fips status と入力します。
FIPS 140-2 モードが有効であることを確認する次のメッセージが表示されます。 admin:utils fips status The system is operating in FIPS mode.Self test status: - S T A R T --------------------- Executing FIPS selftests runlevel is N 3 Start time: Thu Apr 28 15:59:24 PDT 2011 NSS self tests passed. Kernel Crypto tests passed. Operating System OpenSSL self tests passed. Openswan self tests passed. OpenSSL self tests passed. CryptoJ self tests passed... |
FIPS 140-2 モードで Cisco Unified Communications Manager(Unified CM)がリブートすると、リブート後に各 FIPS 140-2 モジュールで FIPS の起動時セルフテストがトリガーされます。
注意 | これらのセルフテストのいずれかが失敗した場合、Unified CM サーバは停止します。 |
(注) | Unified CM サーバは、対応する CLI コマンドによって FIPS が有効または無効になったときに、自動的にリブートされます。ユーザもリブートを開始できます。 |
注意 | 起動時のセルフテストが一時的なエラーの原因で失敗した場合、Unified CM サーバを再起動すると問題が解決します。ただし、起動時のセルフテスト エラーが解消されない場合は、FIPS モジュールに重大な問題があるため、リカバリ CD の使用が唯一の選択肢となります。 |
強化されたセキュリティ モードは FIPS 対応システムで稼働します。Cisco Unified Communications Manager と IM and Presence サービスの両方を、強化されたセキュリティ モードで動作するようにすることができます。これにより、次のセキュリティおよびリスク管理制御機能をシステムで実現できます。
強化されたセキュリティ モードを有効にすると、新しいユーザ パスワードとパスワード変更に関してより厳格なクレデンシャル ポリシーが有効になります。強化されたセキュリティ モードを有効にした後で、管理者は一連の CLI コマンド set password *** を使用して、次の要件のいずれかを変更できます。
強化されたセキュリティ モードを設定するには、すべての Cisco Unified Communications Manager または IM and Presence Service クラスタ ノードで次の手順に従います。
強化されたセキュリティ モードを有効にする前に、FIPS を有効にしてください。
ステップ 1 | コマンドライン インターフェイスにログインします。 | ||
ステップ 2 | utils EnhancedSecurityMode status コマンドを実行し、強化されたセキュリティ モードが有効であるかどうかを確認します。 | ||
ステップ 3 | クラスタ ノードで次のいずれかのコマンドを実行します。 | ||
ステップ 4 | ノードが更新されたら、次のノードでこの手順を繰り返します。Cisco Unified Communications Manager および IM and Presence Service クラスタ ノードごとに繰り返します。
|
機能 |
機能制限 |
---|---|
SNMP v3 |
FIPS モードでは、MD5 または DES を使用した SNMP v3 はサポートされません。SNMP v3 を設定済みで、FIPS モードが有効になっている場合、認証プロトコルとして SHA、プライバシー プロトコルとして AES128 を設定する必要があります。 |