この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
[Cisco Unified CM の管理(Cisco Unified Communications Manager Administration)] では、電話のタイプとプロトコルに対するセキュリティ関連の設定が各セキュリティ プロファイルにグループ化され、1 つのセキュリティ プロファイルを複数の電話機に割り当てることができます。セキュリティ関連の設定には、デバイスのセキュリティ モード、ダイジェスト認証、いくつかの CAPF 設定などがあります。[電話の設定(Phone Configuration)] ウィンドウでセキュリティ プロファイルを選択する際に、構成済みの設定を電話機に適用します。
Cisco Unified Communications Manager をインストールすると、自動登録用の事前に定義された非セキュアのセキュリティ プロファイル一式が提供されます。電話機のセキュリティ機能を有効にするには、デバイス タイプとプロトコルに応じた新しいセキュリティ プロファイルを設定し、電話機に適用する必要があります。
セキュリティ プロファイルの設定ウィンドウに表示されるのは、選択したデバイスとプロトコルでサポートされるセキュリティ機能だけです。
Cisco Unified Communications Manager Administration で電話機のセキュリティ プロファイルを設定する際には以下の情報を考慮してください。
電話を設定するときは、[電話機の設定(Phone Configuration)] ウィンドウでセキュリティ プロファイルを選択する必要があります。デバイスがセキュリティをサポートしていない場合は、非セキュア プロファイルを選択します。
定義済みの非セキュア プロファイルは削除または変更できません。
現在デバイスに割り当てられているセキュリティ プロファイルは削除できません。
電話機に割り当てられているセキュリティ プロファイルの設定を変更すると、再構成した設定が、そのプロファイルを割り当てられているすべての電話機に適用されます。
デバイスに割り当てられているセキュリティ ファイルの名前を変更できます。古いプロファイル名および設定を割り当てられている電話機は、新しいプロファイル名および設定を受け入れます。
電話セキュリティ プロファイル、認証モードとキー サイズの CAPF 設定は、[電話の設定(Phone Configuration)] ウィンドウにも表示されます。製造元でインストールされる証明書(MIC)またはローカルで有効な証明書(LSC)に関連する証明書操作の CAPF 設定を設定します。[電話の設定(Phone Configuration)] ウィンドウで次のフィールドを直接更新できます。
セキュリティ プロファイルの CAPF 設定を更新すると、[電話の設定(Phone Configuration)] ウィンドウで更新されます。
[電話の設定(Phone Configuration)] ウィンドウで CAPF 設定を更新し、一致するプロファイルがあれば、 Cisco Unified Communications Manager は、一致するプロファイルを電話機に適用します。
[電話の設定(Phone Configuration)] ウィンドウで CAPF 設定を更新し、一致するプロファイルがない場合は、 Cisco Unified Communications Manager は新しいプロファイルを作成し、新しいプロファイルを電話機に適用します。
シスコは製造元でインストールされる証明書(MIC)を LSC のインストール時だけに使用することを推奨します。シスコは LSC による Cisco Unified Communications Manager との TLS 接続の認証をサポートします。MIC ルート証明書は侵害される可能性があるため、TLS 認証またはそのほかの目的のために MIC を使用するよう電話機を設定するお客様は、ご自身の責任で行ってください。シスコは MIC が破損した場合責任を負いません。
シスコは将来的な互換性の問題を回避するため Cisco Unified IP Phone を Cisco Unified Communications Manager との TLS 接続に LSC を使用するようにアップグレードし、MIC ルート証明書を CallManager 信頼ストアから削除することを推奨します。
ステップ 1 | [Cisco Unified Communications Manager の管理(Cisco Unified Communications Manager Administration)] で、 を選択します。 [電話セキュリティ プロファイルの検索と一覧表示(Find and List Phone Security Profile)] ウィンドウが表示されます。このウィンドウには、アクティブな(以前の)クエリーのレコードも表示されることがあります。 | ||
ステップ 2 | データベースのすべてのレコードを検索するには、ダイアログボックスが空であることを確認して、ステップ 3 に進みます。 レコードをフィルタリングまたは検索するには、次の手順を実行します。 | ||
ステップ 3 | [検索(Find)] をクリックします。 条件を満たしているレコードがすべて表示されます。1 ページあたりの項目の表示件数を変更するには、[ページあたりの行数(Rows per Page)] ドロップダウン リスト ボックスで別の値を選択します。 | ||
ステップ 4 | レコードのリストから、表示するレコードへのリンクをクリックします。
ウィンドウに選択した項目が表示されます。 |
セキュリティ プロファイルを作成した後、電話セキュリティ プロファイルの適用の説明に従って、プロファイルを電話機に適用します。
SIP を実行する電話機の電話セキュリティ プロファイルでダイジェスト認証を設定する場合、[エンドユーザの設定(End User Configuration)] ウィンドウでダイジェスト クレデンシャルを設定します。その後、[電話の設定(Phone Configuration)] ウィンドウでダイジェスト ユーザ設定を使用して、電話機とユーザを関連付けます。
次の表で、SCCP を実行している電話のセキュリティ プロファイル設定について説明します。
選択された電話機タイプおよびプロトコルでサポートされる設定のみ表示されます。
次の表で、SIP を実行している電話のセキュリティ プロファイル設定について説明します。
新しいプロファイルを保存すると、電話タイプとプロトコルの [電話の設定(Phone Configuration)] ウィンドウの [デバイス セキュリティ プロファイル(Device Security Profile)] ドロップダウン リスト ボックスにその名前が表示されます。
|
|||
ナンス値が有効な分数(秒単位)を入力します。デフォルト値は 600(10 分)です。この期限が切れると、Cisco Unified Communications Manager は新しい値を生成します。
|
|||
ドロップダウン リスト ボックスから、次のオプションのいずれかを選択します。
|
|||
[デバイス セキュリティ モード(Device Security Mode)] が [非セキュア(Non Secure)] の場合は、ドロップダウン リスト ボックスから次のオプションのいずれかを選択します(一部のオプションは表示されません)。
[デバイス セキュリティ モード(Device Security Mode)] が [認証済(Authenticated)] または [暗号化(Encrypted)] である場合、TLS では [転送タイプ(Transport Type)] を指定します。TLS は、SIP 電話に対してシグナリングの整合性、デバイス認証、およびシグナリング暗号化(暗号化モードのみ)を提供します。 プロファイルで [デバイス セキュリティ モード(Device Security Mode)] を設定できない場合は、転送タイプとして UDP を指定します。 |
|||
このチェックボックスにマークを付けた場合、Cisco Unified Communications Manager は電話からのすべての SIP リクエストにチャレンジします。 ダイジェスト認証ではデバイス認証、整合性、機密性は提供されません。これらの機能を使用するには、[認証済(Authenticated)] または [暗号化(Encrypted)] のセキュリティ モードを選択します。 |
|||
このチェックボックスにマークを付けると、Cisco Unified Communications Manager は TFTP サーバからの電話のダウンロードを暗号化します。このオプションはシスコ製電話機に限り使用できます。
|
|||
設定ファイル内のダイジェスト信用証明書を除外(Exclude Digest Credentials in Configuration File) |
このチェックボックスにマークを付けると、Cisco Unified Communications Manager は TFTP サーバからの電話のダウンロードのダイジェスト信用証明書を除外します。このオプションは、Cisco Unified IP Phone 7905G、7912G、7940G、および 7960G(SIP のみ)に存在します。 |
||
このフィールドでは、電話機が CAPF 証明書の操作時に使用する認証方法を選択できます。このオプションはシスコ製電話機に限り使用できます。 ドロップダウン リスト ボックスから、次のオプションのいずれかを選択します。
|
|||
CAPF で使用されるこの設定では、ドロップダウン リスト ボックスから証明書のキー サイズを選択します。デフォルト設定は 1024 です。キー サイズのそのほかのオプションは 512 です。 デフォルトの設定より大きいキー サイズを選択すると、電話機は、キーの生成に必要なエントロピーを生成するために時間がかかります。キーの生成を低い優先順位で設定すると、操作の実行中にも電話が機能します。電話機のモデルによっては、キーの生成が完了するまでに、30 分以上かかることがあります。
|
|||
この設定は、UDP 転送を使用する SIP を実行している電話に適用されます。 UDP を使用して Cisco Unified Communications Manager からの SIP メッセージをリッスンする Cisco Unified IP Phone(SIP のみ)のポート番号を入力します。デフォルト設定は 5060 です。 |
電話への電話セキュリティ プロファイルの適用は [電話の設定(Phone Configuration)] ウィンドウで行います。
電話の認証に証明書を使用するセキュリティ プロファイルを適用する前に、電話にローカルで有効な証明書(LSC)または製造元でインストールされる証明書(MIC)が含まれていることを確認します。
ステップ 1 | 『Administration Guide for Cisco Unified Communications Manager』の説明に従って、電話を検索します。 |
ステップ 2 | [電話の設定(Phone Configuration)] ウィンドウが表示されたら、[デバイス セキュリティ プロファイル(Device Security Profile)] 設定を探します。 |
ステップ 3 | [デバイス セキュリティ プロファイル(Device Security Profile)] ドロップダウン リストから、デバイスに適用するセキュリティ プロファイルを選択します。電話のタイプおよびプロトコルに設定された電話セキュリティ プロファイルだけが表示されます。 |
ステップ 4 | [保存(Save)] をクリックします。 |
ステップ 5 | 該当する電話に変更を適用するには、[設定を適用(Apply Config)] をクリックします。 |
SIP を実行している電話にダイジェスト認証を設定する場合は、[エンド ユーザ設定(End User Configuration)] ウィンドウでダイジェスト クレデンシャルを設定する必要があります。次に、[電話の設定(Phone Configuration)] ウィンドウでダイジェスト ユーザを設定してください。
設定変更が行われた電話セキュリティ プロファイルに複数の電話機を同期させるには、次の手順を実行します。この手順では、最小限の割り込みで未適用の設定が適用されます(たとえば、影響を受ける各電話機の一部でリセットまたは再起動を行う必要がない場合があります)。
ステップ 1 | を選択します。 [電話セキュリティ プロファイルの検索/一覧表示(Find and List Phone Security Profiles)] ウィンドウが表示されます。 |
ステップ 2 | 使用する検索条件を選択します。 |
ステップ 3 | [検索(Find)] をクリックします。 検索条件に一致する電話セキュリティ プロファイルの一覧がウィンドウに表示されます。 |
ステップ 4 | 該当する複数の電話機を同期させる電話セキュリティ プロファイルをクリックします。 [電話セキュリティ プロファイルの設定(Phone Security Profile Configuration)] ウィンドウが表示されます。 |
ステップ 5 | 追加の設定変更を加えます。 |
ステップ 6 | [保存(Save)] をクリックします。 |
ステップ 7 | [設定の適用(Apply Config)] をクリックします。 [設定情報の適用(Apply Configuration Information)] ダイアログが表示されます。 |
ステップ 8 | [OK] をクリックします。 |
このセクションでは、Cisco Unified Communications Manager データベースから電話のセキュリティ プロファイルを削除する方法について説明します。
Cisco Unified Communications Manager の管理(Cisco Unified Communications Manager Administration)からセキュリティ プロファイルを削除する前に、デバイスに別のプロファイルを適用するか、プロファイルを使用するすべてのデバイスを削除する必要があります。プロファイルを使用しているデバイスを検索するには、[セキュリティ プロファイル設定(Security Profile Configuration)] ウィンドウの [関連リンク(Related Links)] ドロップダウン リスト ボックスで [依存の記録(Dependency Records)] を選択し、[Go] をクリックします。
依存の記録機能がシステムで有効でない場合は、 System Configuration Guide for Cisco Unified Communications Manager』を参照してください。
で [依存の記録を有効化(Enable Dependency Records)] 設定を True に設定します。依存の記録機能に関連して CPU 負荷が高くなることについての情報が表示されます。依存の記録を有効にするため、変更を保存します。依存関係レコードの詳細は、『ステップ 1 | 削除するセキュリティ プロファイルを探します。 |
ステップ 2 | 複数のセキュリティ プロファイルを削除するには、[検索と一覧表示(Find and List)] ウィンドウの中にある適切なチェック ボックスの横にあるチェック ボックスをオンにし、[選択項目の削除(Delete Selected)] をクリックします。[すべて選択(Select All)] に続き [選択項目の削除(Delete Selected)] をクリックすると、設定可能なすべてのレコードを削除できます。 |
ステップ 3 | 単一のセキュリティ プロファイルを削除するには、次のタスクの 1 つを実行します。 |
ステップ 4 | 削除操作を確認するプロンプトが表示されたら、[OK] をクリックして削除するか、[キャンセル(Cancel)]をクリックして削除の操作をキャンセルします。 |
ステップ 1 | [Cisco Unified CM の管理(Cisco Unified Communications Manager Administration)] で、 を選択します。 | ||
ステップ 2 | 最初のドロップダウン リスト ボックスから、検索パラメータ [セキュリティ プロファイル(Security Profile)] を選択します。 | ||
ステップ 3 | [検索(Find)] をクリックします。 条件を満たしているレコードがすべて表示されます。1 ページあたりの項目の表示件数を変更するには、[ページあたりの行数(Rows per Page)] ドロップダウン リスト ボックスで別の値を選択します。 | ||
ステップ 4 | 表示されるレコードのリストから、表示するレコードへのリンクをクリックします。
ウィンドウに選択した項目が表示されます。 |