この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
[Cisco Unified Communications Manager Administration] では、電話のタイプとプロトコルに対するセキュリティ関連の設定が各セキュリティ プロファイルにグループ化され、1 つのセキュリティ プロファイルを複数の電話に割り当てることができます。セキュリティ関連の設定には、デバイス セキュリティ モード、ダイジェスト認証、いくつかの CAPF 設定などがあります。[Phone Configuration] ウィンドウでセキュリティ プロファイルを選択する際に、構成済みの設定を電話に適用します。
Cisco Unified Communications Manager をインストールすると、自動登録用の事前に定義された非セキュアなセキュリティ プロファイル一式が提供されます。電話のセキュリティ機能を有効にするには、デバイス タイプとプロトコルに応じた新しいセキュリティ プロファイルを設定し、電話に適用する必要があります。
セキュリティ プロファイルの設定ウィンドウに表示されるのは、選択したデバイスとプロトコルでサポートされるセキュリティ機能だけです。
[Cisco Unified Communications Manager Administration] で電話セキュリティ プロファイルを設定する際には以下の情報を考慮してください。
電話を設定するときは、[Phone Configuration] ウィンドウでセキュリティプロファイルを選択する必要があります。デバイスがセキュリティをサポートしていない場合は、非セキュア プロファイルを適用します。
事前に定義されている非セキュア プロファイルは削除または変更できません。
現在デバイスに割り当てられているセキュリティ プロファイルは削除できません。
電話にすでに割り当てられているセキュリティ プロファイルの設定を変更すると、再設定された設定が、そのプロファイルが割り当てられているすべての電話に適用されます。
デバイスに割り当てられているセキュリティ ファイルの名前を変更できます。古いプロファイル名および設定が割り当てられている電話は、新しいプロファイル名および設定を受け入れます。
電話セキュリティ プロファイル、認証モード、キー サイズの CAPF 設定は、[Phone Configuration] ウィンドウにも表示されます。製造元でインストールされる証明書(MIC)またはローカルで有効な証明書(LSC)に関連する証明書操作の CAPF 設定を設定します。[Phone Configuration] ウィンドウで次のフィールドを直接更新できます。
セキュリティ プロファイルの CAPF 設定を更新すると、[Phone Configuration] ウィンドウでこれらの CAPF 設定が更新されます。
[Phone Configuration] ウィンドウで CAPF 設定を更新し、一致するプロファイルが検出されると、Cisco Unified Communications Manager は、一致するプロファイルを電話に適用します。
[Phone Configuration] ウィンドウで CAPF 設定を更新し、一致するプロファイルが検出されない場合は、Cisco Unified Communications Manager は新しいプロファイルを作成し、新しいプロファイルを電話に適用します。
製造元でインストールされる証明書(MIC)を LSC のインストール時だけに使用することが推奨されます。シスコでは Cisco Unified Communications Manager との TLS 接続の認証のために LSC をサポートしています。MIC ルート証明書は侵害される可能性があるため、TLS 認証またはその他の目的に MIC を使用するように電話を設定するお客様は、ご自身の責任で行ってください。MIC が侵害された場合シスコはその責任を負いません。
将来的な互換性の問題を回避するため、Cisco Unified Communications Manager との TLS 接続に LSC を使用するために Cisco Unified IP Phone をアップグレードし、MIC ルート証明書を CallManager 信頼ストアから削除することが推奨されます。
ステップ 1 | [Cisco Unified Communications Manager Administration] で、 を選択します。 [Find and List Phone Security Profile] ウィンドウが表示されます。このウィンドウには、アクティブな(以前の)照会のレコードも表示されることがあります。 | ||
ステップ 2 | データベース内のレコードをすべて表示するには、ダイアログボックスを空欄のままにして、ステップ 3 に進みます。 レコードをフィルタまたは検索するには、次の手順を実行します。 | ||
ステップ 3 | [Find] をクリックします。 条件を満たしているレコードがすべて表示されます。1 ページあたりの項目の表示件数を変更するには、[Rows per Page] ドロップダウン リスト ボックスで別の値を選択します。 | ||
ステップ 4 | 表示されるレコードのリストから、表示するレコードへのリンクをクリックします。
ウィンドウに選択した項目が表示されます。 |
セキュリティ プロファイルを作成した後、電話セキュリティ プロファイルの適用の説明に従って、プロファイルを電話に適用します。
SIP を実行する電話の電話セキュリティ プロファイルでダイジェスト認証を設定する場合、[End User Configuration] ウィンドウでダイジェスト クレデンシャルを設定します。その後、[Phone Configuration] ウィンドウでダイジェスト ユーザ設定を使用して、電話とユーザを関連付けます。
次の表で、SCCP を実行している電話のセキュリティ プロファイル設定について説明します。
選択された電話タイプおよびプロトコルでサポートされる設定だけが示されています。
次の表で、SIP を実行している電話のセキュリティ プロファイル設定について説明します。
新しいプロファイルを保存すると、電話タイプとプロトコルの [Phone Configuration] ウィンドウの [Device Security Profile] ドロップダウン リスト ボックスにその名前が表示されます。
|
|||
ナンス値が有効な分数(秒単位)を入力します。デフォルト値は 600(10 分)です。この時間が経過すると、Cisco Unified Communications Manager は新しい値を生成します。
|
|||
ドロップダウン リスト ボックスから、次のいずれかのオプションを選択します。
|
|||
[Device Security Mode] が [Non Secure] の場合は、ドロップダウン リスト ボックスから次のオプションのいずれかを選択します(一部のオプションは表示されないことがあります)。
[Device Security Mode] が [Authenticated] または [Encrypted] の場合、転送タイプは TLS になります。TLS によって、SIP 電話のシグナリングの整合性、デバイス認証、およびシグナリング暗号化(暗号化モードのみ)が実現されます。 |
|||
このチェックボックスをオンにした場合、Cisco Unified Communications Manager は電話からのすべての SIP 要求に対してチャレンジを行います。 ダイジェスト認証ではデバイス認証、整合性、機密性は提供されません。これらの機能を使用するには、セキュリティ モードとして [Authenticated] または [Encrypted] を選択します。 |
|||
このチェックボックスをオンにすると、Cisco Unified Communications Manager は TFTP サーバからの電話のダウンロードを暗号化します。このオプションはシスコ製電話専用です。
|
|||
このチェックボックスをオンにすると、Cisco Unified Communications Manager は TFTP サーバからの電話のダウンロードでダイジェスト クレデンシャルを除外します。このオプションは、Cisco Unified IP Phone 7905G、7912G、7940G、および 7960G(SIP のみ)用です。 |
|||
このフィールドでは、電話が CAPF 証明書の処理時に使用する認証方法を選択できます。このオプションはシスコ製電話専用です。 ドロップダウン リスト ボックスから、次のいずれかのオプションを選択します。
|
|||
CAPF で使用されるこの設定では、ドロップダウン リスト ボックスから証明書のキー サイズを選択します。デフォルト設定は 1024 です。キー サイズのその他のオプションは 512 です。 デフォルトの設定より大きいキー サイズを選択すると、電話がキーの生成に必要なエントロピーを生成する時間が長くなります。キーの生成を低い優先順位で設定すると、操作の実行中に、電話機が機能します。電話機のモデルによっては、キーの生成が完了するまでに、30 分以上かかることがあります。
|
|||
この設定は、UDP 転送を使用し SIP を実行する電話に適用されます。 UDP を使用して Cisco Unified Communications Manager からの SIP メッセージをリッスンする Cisco Unified IP Phone(SIP のみ)のポート番号を入力します。デフォルト設定は 5060 です。 |
電話の認証に証明書を使用するセキュリティ プロファイルを適用する前に、電話にローカルで有効な証明書(LSC)または製造元でインストールされる証明書(MIC)が含まれていることを確認します。
ステップ 1 | 『Administration Guide for Cisco Unified Communications Manager』の説明に従って、電話を検索します。 |
ステップ 2 | [Phone Configuration] ウィンドウが表示されたら、[Device Security Profile] 設定を探します。 |
ステップ 3 | [Device Security Profile] ドロップダウンリストから、デバイスに適用するセキュリティ プロファイルを選択します。電話のタイプおよびプロトコルに設定された電話セキュリティ プロファイルだけが表示されます。 |
ステップ 4 | [Save] をクリックします。 |
ステップ 5 | 該当する電話に変更を適用するには、[Apply Config] をクリックします。 |
SIP を実行している電話にダイジェスト認証を設定する場合は、[End User Configuration] ウィンドウでダイジェスト クレデンシャルを設定する必要があります。次に、[Phone Configuration] ウィンドウでダイジェスト ユーザを設定してください。
設定変更が行われた電話セキュリティ プロファイルに複数の電話を同期させるには、次の手順を実行します。この手順では、最小限の割り込みで未適用の設定が適用されます。(たとえば、影響を受ける各電話の一部でリセットまたは再起動を行う必要がない場合があります)。
ステップ 1 | を選択します。 [Find and List Phone Security Profiles] ウィンドウが表示されます。 |
ステップ 2 | 使用する検索条件を選択します。 |
ステップ 3 | [Find] をクリックします。 検索条件に一致する電話セキュリティ プロファイルの一覧がウィンドウに表示されます。 |
ステップ 4 | 該当する複数の電話を同期させる電話セキュリティ プロファイルをクリックします。 [Phone Security Profile Configuration] ウィンドウが表示されます。 |
ステップ 5 | 追加の設定変更を加えます。 |
ステップ 6 | [Save] をクリックします。 |
ステップ 7 | [Apply Config] をクリックします。 [Apply Configuration Information] ダイアログが表示されます。 |
ステップ 8 | [OK] をクリックします。 |
この項では、Cisco Unified Communications Manager データベースから電話セキュリティ プロファイルを削除する方法について説明します。
[Cisco Unified Communications Manager Administration] からセキュリティ プロファイルを削除する前に、デバイスに別のプロファイルを適用するか、そのプロファイルを使用するすべてのデバイスを削除する必要があります。プロファイルを使用しているデバイスを確認するには、[Security Profile Configuration] ウィンドウの [Related Links] ドロップダウン リスト ボックスで [Dependency Records] を選択し、[Go] をクリックします。
依存関係レコード機能がシステムで有効でない場合は、System Configuration Guide for Cisco Unified Communications Manager』を参照してください。
に移動し、[Enable Dependency Records] 設定を [True] に設定します。依存関係レコード能に関連して CPU 負荷が高くなることについての情報が表示されます。依存関係レコードを有効にするため、変更を保存します。依存関係レコードの詳細は、『ステップ 1 | 削除するセキュリティ プロファイルを探します。 |
ステップ 2 | 複数のセキュリティ プロファイルを削除するには、[Find and List] ウィンドウで該当するセキュリティ プロファイルの横にあるチェック ボックスをオンにし、[Delete Selected] をクリックします。[Select All] をクリックし、次に [Delete Selected] をクリックすると、設定可能なすべてのレコードが削除されます。 |
ステップ 3 | 1 つのセキュリティ プロファイルを削除するには、次のいずれかの作業を実行します。 |
ステップ 4 | 削除操作を確認するプロンプトが表示されたら、[OK] をクリックして削除するか、[Cancel] をクリックして削除の操作をキャンセルします。 |
ステップ 1 | [Cisco Unified Communications Manager Administration] で、 を選択します。 | ||
ステップ 2 | 最初のドロップダウン リスト ボックスから、検索パラメータ [Security Profile] を選択します。 | ||
ステップ 3 | [Find] をクリックします。 条件を満たしているレコードがすべて表示されます。1 ページあたりの項目の表示件数を変更するには、[Rows per Page] ドロップダウン リスト ボックスで別の値を選択します。 | ||
ステップ 4 | 表示されるレコードのリストから、表示するレコードへのリンクをクリックします。
ウィンドウに選択した項目が表示されます。 |