FIPS 140-2 の設定
![]() 注意 |
FIPS モードは、FIPS 準拠のリリースだけでサポートされます。Unified Communications Managerの FIPS 非準拠のバージョンにアップグレードする前に、必ず FIPS モードを無効にしてください。 FIPS 準拠のリリースと、そのリリースの証明書を確認するには、https://www.cisco.com/c/en/us/solutions/industries/government/global-government-certifications/fips-140.html の FIPS 140 のドキュメントを参照してください。 |
連邦情報処理標準(FIPS)は、暗号モジュールにおいて遵守が必要な要件が定義された、米国およびカナダ政府の認証規格です。
Unified Communications Manager の特定のバージョンは、米国の National Institute of Standards(NIST)に従って FIPS 140-2 に準拠しており、FIPS モード レベル 1 に準拠して動作します。
FIPS 140-2 モードを有効にすると、Unified Communications Manager がリブートされ、起動時に証明書のセルフテストが実行されます。さらに、暗号モジュールの整合性チェックが実行され、キー関連情報が再生成されます。この時点で、Unified Communications Manager は FIPS 140-2 モードで動作します。
FIPS 要件には、起動時のセルフテスト実行や、一連の承認済み暗号機能に対する制限などが含まれます。
FIPS モードでは、次の FIPS 140-2 レベル 1 検証済み暗号化モジュールが使用されます。
-
CiscoSSL 1.0.2n.6.2.194 with FIPS Module CiscoSSL FOM 6_2_0
-
CiscoJ 5.2.1
-
RSA CryptoJ 6_2_3
-
openssh 7.5.9
-
NSS
次の FIPS 関連作業を実行できます。
-
FIPS 140-2 モードの有効化
-
FIPS 140-2 モードの無効化
-
FIPS 140-2 モードのステータスの確認
![]() (注) |
|
FIPS 140-2 モードの有効化
CLI で FIPS 140-2 を有効にできます。詳細については、『Command Line Interface Reference Guide for Cisco Unifed Communications Solutions』を参照してください。
-
非 FIPS モードから FIPS モードに切り替えた場合は、MD5 および DES プロトコルは機能しません。
-
単一サーバ クラスタでは証明書が再生成されるため、FIPS モードを有効にする前に CTL クライアントを実行するか、[Prepare Cluster for Rollback to pre-8.0] エンタープライズ パラメータを適用する必要があります。これらの手順のいずれかを実行しない場合は、FIPS モードを有効にした後で、手動で ITL ファイルを削除する必要があります。
-
FIPS モードをサーバで有効にした後は、サーバがリブートし、電話が正常に再登録されるまで待機してから、次のサーバで FIPS を有効にしてください。
![]() 注意 |
FIPS モードを有効にする前に、システム バックアップを実行することを強く推奨します。FIPS のチェックが起動時に失敗した場合は、システムが停止し、復元するにはリカバリ CD が必要になります。 |
手順
ステップ 1 |
CLI セッションを開始します。 詳細については、『Command Line Interface Reference Guide for Cisco Unified Communications Solutions』の「"CLI セッションの開始"」セクションを参照してください。 |
||||||
ステップ 2 |
CLI で次のコマンドを入力します。 utils fips enable 次のプロンプトが表示されます。 Security Warning: The operation will regenerate certificates for1) CallManager 2)Tomcat 3)IPsec 4)TVS 5)CAPF 6)SSH Any third party CA signed certificates that have been uploaded for the above components will need to be re-uploaded. If the system is operating in mixed mode, then the CTL client needs to be run again to update the CTL file. ****************************************************************************** This will change the system to FIPS mode and will reboot. ****************************************************************************** Do you want to continue (yes/no)? |
||||||
ステップ 3 |
yes と入力します。 次のメッセージが表示されます。 Generating certificates...Setting FIPS mode in operating system. FIPS mode enabled successfully. ******************************************************** It is highly recommended that after your system restarts that a system backup is performed. ******************************************************** The system will reboot in a few minutes. Unified CM は自動的に再起動されます。
|
FIPS 140-2 モードの無効化
FIPS 140-2 は CLI から無効にできます。詳細については、『Command Line Interface Reference Guide for Cisco Unified Communications Solutions』を参照してください。
FIPS 140-2 モードを Unified Communications Manager(Unified CM)で無効にする前に、次の点を考慮してください。
- 単一または複数のサーバ クラスタでは、CTL クライアントを実行することを強く推奨します。CTL クライアントが単一サーバのクラスタで実行されない場合は、FIPS モードを無効にした後で、ITL ファイルを手動で削除する必要があります。
- 複数サーバのクラスタでは、各サーバを個別に無効にする必要があります。これは、FIPS モードはクラスタ全体ではなくサーバごとに無効になるためです。
FIPS 140-2 モードを無効にするには、次の手順を実行します。
手順
ステップ 1 |
CLI セッションを開始します。 詳細については、『Command Line Interface Reference Guide for Cisco Unified Communications Solutions』の「Starting a CLI Session」の項を参照してください。 |
||
ステップ 2 |
CLI で次のコマンドを入力します。 utils fips disable Unified CM が再起動され、非 FIPS モードが復元されます。
|
FIPS 140-2 モードのステータス確認
FIPS 140-2 モードが有効であることを確認するには、CLI からモード ステータスを確認します。
FIPS 140-2 モードのステータスを確認するには、次の手順を実行します。
手順
ステップ 1 |
CLI セッションを開始します。 詳細については、『Command Line Interface Reference Guide for Cisco Unified Communications Solutions』の「Starting a CLI Session」の項を参照してください。 |
ステップ 2 |
CLI で次のコマンドを入力します。 utils fips status FIPS 140-2 モードが有効であることを確認する次のメッセージが表示されます。 admin:utils fips status The system is operating in FIPS mode. Self test status: - S T A R T --------------------- Executing FIPS selftests runlevel is N 3 Start time: Thu Apr 28 15:59:24 PDT 2011 NSS self tests passed. Kernel Crypto tests passed. Operating System OpenSSL self tests passed. Openswan self tests passed. OpenSSL self tests passed. CryptoJ self tests passed... |
FIPS 140-2 モード サーバのリブート
FIPS 140-2 モードで Unified Communications Manager(Unified CM)サーバがリブートすると、リブート後に各 FIPS 140-2 モジュールで FIPS の起動時セルフテストがトリガーされます。
![]() 注意 |
これらのセルフテストのいずれかが失敗した場合、Unified CM サーバは停止します。 |
![]() (注) |
Unified CM サーバは、対応する CLI コマンドによって FIPS が有効または無効になったときに、自動的にリブートされます。ユーザもリブートを開始できます。 |
![]() 注意 |
起動時のセルフテストが一時的なエラーの原因で失敗した場合、Unified CM サーバを再起動すると問題が解決します。ただし、起動時のセルフテスト エラーが解消されない場合は、FIPS モジュールに重大な問題があるため、リカバリ CD の使用が唯一の選択肢となります。 |
強化されたセキュリティ モード
強化されたセキュリティ モードは FIPS 対応システムで稼働します。ユニファイド コミュニケーション マネージャIM およびプレゼンスサービス の両方を、強化されたセキュリティ モードで動作するようにすることができます。これにより、次のセキュリティおよびリスク管理制御機能をシステムで実現できます。
-
ユーザのパスワードとパスワードの変更に関して厳格化されたクレデンシャル ポリシーが適用されます。
-
デフォルトでは、連絡先検索の認証機能が有効です。
-
リモート監査ログ用のプロトコルが TCP または UDP に設定されている場合は、デフォルトのプロトコルが TCP に変更されます。リモート監査ログのプロトコルが TLS に設定されている場合、デフォルトのプロトコルは TLS のままです。コモン クライテリア モードでは、厳密なホスト名検証が使用されます。そのため、サーバには、証明書と一致する完全修飾ドメイン名(FQDN)を設定する必要があります。
クレデンシャル ポリシーの更新
強化されたセキュリティ モードを有効にすると、新しいユーザ パスワードとパスワード変更に関してより厳格なクレデンシャル ポリシーが有効になります。強化されたセキュリティ モードを有効にした後で、管理者は一連の CLI コマンド set password *** を使用して、次の要件のいずれかを変更できます。
-
パスワードの長さは 14 ~ 127 文字です。
-
パスワードには少なくとも 1 つの小文字、1 つの大文字、1 つの数字 および 1 つの特殊文字が含まれている必要があります。
-
過去 24 回以内に使用したパスワードを再使用することはできません。
-
パスワードの最短有効期間は 1 日、最長有効期間は 60 日です。
-
新たに生成されるパスワードの文字列では、古いパスワードの文字列と少なくとも 4 文字が異なる必要があります。
強化されたセキュリティ モードの設定
強化されたセキュリティ モードを設定するには、すべての Unified Communications Manager または IM and Presence Service クラスタ ノードで次の手順に従います。
始める前に
強化されたセキュリティ モードを有効にする前に、FIPS を有効にしてください。
手順
ステップ 1 |
コマンドライン インターフェイスにログインします。 |
||
ステップ 2 |
utils EnhancedSecurityMode status コマンドを実行し、強化されたセキュリティ モードが有効であるかどうかを確認します。 |
||
ステップ 3 |
クラスタ ノードで次のいずれかのコマンドを実行します。
|
||
ステップ 4 |
ノードが更新されたら、次のノードでこの手順を繰り返します。Unified Communications Manager および IM and Presence Service クラスタ ノードごとに繰り返します。
|
コモン クライテリア モード
-
utils fips_common_criteria enable
-
utils fips_common_criteria disable
-
utils fips_common_criteria status
コモン クライテリア構成のタスク フロー
Cisco Unified Communications Manager および IM and Presence Service でコモン クライテリア モードを設定するには、次のタスクを実行します。
始める前に
-
コモン クライテリア モードを有効にするには FIPS モードで実行している必要があります。FIPS がまだ有効になっていない場合、コモン クライテリア モードを有効にしようとすると FIPS を有効にするよう求められます。FIPS を有効にするには、証明書を再生成する必要があることに注意してください。
-
コモン クライテリア モードでは、X.509 v3 証明書が必須です。TLS 1.2 を通信プロトコルとして次に示す用途に使用する場合、X.509 v3 証明書はセキュア接続を有効にします。 -
リモート監査ログ
-
FileBeat クライアントと logstash サーバの間の接続を有効にする。
-
手順
コマンドまたはアクション | 目的 | |
---|---|---|
ステップ 1 |
TLS はコモン クライテリア モードを設定する場合の前提条件です。 |
|
ステップ 2 |
すべての Cisco Unified Communications Manager と IM and Presence クラスタ ノードでコモン クライテリア モードを設定します。 |
TLS の有効化
TLS 1.2 バージョンまたは TLS バージョン 1.1 はコモン クライテリア モードの必要条件です。コモン クライテリア モードを有効化すると、TLS バージョン 1.0 を使用したセキュア接続は許可されません。TLS バージョン 1.2 をサポートするには、次の手順を実行します。
始める前に
-
TLS 接続の確立中に、ピア証明書の extendedKeyUsage
拡張機能の値が適切かどうかチェックされます。-
ピアがサーバなら、ピア証明書の
extendedKeyUsage
拡張機能はserverAuth
でなければなりません。 -
ピアがクライアントなら、ピア証明書の
extendedKeyUsage
拡張機能はclientAuth
でなければなりません。
extendedKeyUsage
拡張機能が存在しないか正しく設定されていない場合、接続は閉じられます。 -
手順
ステップ 1 |
Soap UI バージョン 5.2.1 をインストールします。 |
ステップ 2 |
Microsoft Windows プラットフォームで実行している場合:
|
ステップ 3 |
Linux で実行している場合は、bin/soaup.sh ファイルを編集し、 |
ステップ 4 |
OSX で実行している場合:
|
ステップ 5 |
SoapUI ツールを再起動し、AXL テストに進みます。 |
次のタスク
コモン クライテリア モードの構成
Unified Communications Manager および IM and Presence Service のコモンクライテリア モードを設定するには、次の手順に従います。
手順
ステップ 1 |
コマンドライン インターフェイス プロンプトにログインします。 |
||
ステップ 2 |
|
||
ステップ 3 |
クラスタ ノードで次のいずれかのコマンドを実行します。
|
||
ステップ 4 |
単一クラスタ全体でコモン クライテリア モードを有効にするには、Cisco Unified Communications Manager と IM と Presence のすべてのクラスタ ノードで、以下の手順を繰り返します。
|
||
ステップ 5 |
ノード間で ICSA がすでに設定されているマルチ クラスタ設定でコモン クライテリア モードを有効にするため、次の順序でコモン クライテリア モードを各ノードで有効にします。
|
||
ステップ 6 |
証明書の同期に失敗した場合、#http://www.cisco.com/c/en/us/td/docs/voice_ip_comm/cups/8_6/english/configAdmin/CUPdeploy/dgcerts.html#44757を参照してください。 |