この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
注意 | FIPS モードは、FIPS 準拠のリリースだけでサポートされます。Cisco Unified Communications Manager を FIPS 非準拠のバージョンにアップグレードする前に、必ず FIPS モードを無効にしてください。 リリースが FIPS コンプライアンスでその証明書を表示する方法については、http://www.cisco.com/web/strategy/government/security_certification/net_business_benefit_seccert_fips140.html の FIPS 140 のドキュメントを参照してください。 |
連邦情報処理標準(FIPS)は、暗号モジュールにおいて遵守が必要な要件が定義された、米国およびカナダ政府の認証規格です。
Unified Communications Manager の特定のバージョンは、米国の National Institute of Standards(NIST)に従って FIPS 140-2 に準拠しており、FIPS モード レベル 1 に準拠して動作します。
FIPS 140-2 モードを有効にすると、Unified Communications Manager がリブートされ、起動時に証明書のセルフテストが実行されます。さらに、暗号モジュールの整合性チェックが実行され、キー関連情報が再生成されます。この時点で、Unified Communications Manager は FIPS 140-2 モードで動作します。
FIPS 要件には、起動時のセルフテスト実行や、承認済み暗号機能の一覧に対する制限などが含まれます。
FIPS モードでは、次の FIPS 140-2 レベル 1 検証済み暗号化モジュールが使用されます。
(注) | デフォルトでは、システムは非 FIPS モードになっています。FIPS モードを有効化する必要があります。 |
このリリースでは、IPsec について、Openswan ライブラリ サポートが、Libreswan ライブラリ サポートに置き換えられています。このサポートでは、既存の機能に対する変更はありません。
Libreswan ライブラリで機能する証明書ベースの認証については、ソースと宛先の両方の証明書が CA 署名付き証明書でなければなりません。さらに、それらの証明書に署名した認証局(CA)が同じでなければなりません。Libreswan ライブラリへの移行には、次の制限があります。
証明書ベースの認証を使用していて、IPsec の設定に自己署名証明書を使用している場合、IPsec は動作を停止します。
証明書ベースの認証を使用していて、IPsec の設定のために使用されている CA 署名付き証明書に署名した CA がソースと宛先とで異なる場合、IPsec は動作を停止します。
(注) | Blowfish448、MD5、および RIJNDAEL のアルゴリズムは、いずれも IPsec 設定でサポートされなくなりました。アップグレードとスイッチ オーバーの後、Blowfish448 および RIJNDAEL は AES 128 にアップグレードされ、MD5 は SHA256 にアップグレードされます。ピア間でアルゴリズムが同じでない場合、IPsec 接続は失敗します。 |
CLI で FIPS 140-2 を有効にできます。詳細については、『Command Line Interface Reference Guide for Cisco Unifed Communications Solutions』を参照してください。
非 FIPS から FIPS モードに切り替えた場合は、MD5 および DES プロトコルは機能しません。
単一サーバ クラスタでは証明書が再生成されるため、FIPS モードを有効にする前に CTL クライアントを実行するか、エンタープライズ パラメータに Prepare Cluster for Rollback to pre-8.0 を適用する必要があります。これらの手順のいずれかを実行しない場合は、FIPS モードを有効にした後、手動で ITL ファイルを削除する必要があります。
FIPS モードをサーバで有効にした後は、サーバがリブートし、電話機が正常に再登録されるまで待機してから、次のサーバで FIPS を有効にしてください。
注意 | FIPS モードを有効にする前に、システム バックアップを実行することを強く推奨します。FIPS のチェックが起動時に失敗した場合は、システムが停止し、復元するにはリカバリ CD が必要になります。 |
FIPS 140-2 は CLI を使用して無効にできます。詳細については、『Command Line Interface Reference Guide for Cisco Unified Communications Solutions』を参照してください。
FIPS 140-2 モードを Cisco Unified Communications Manager (Unified CM) で無効にする前に、次の点を考慮してください。
ステップ 1 | CLI セッションを開始します。 詳細については、『Command Line Interface Reference Guide for Cisco Unified Communications Solutions』の『Starting a CLI Session』セクションを参照してください。 |
ステップ 2 | CLI で次のコマンドを入力します。 utils fips status FIPS 140-2 モードが有効であることを確認する次のメッセージが表示されます。 admin:utils fips status The system is operating in FIPS mode.Self test status: - S T A R T --------------------- Executing FIPS selftests runlevel is N 3 Start time: Thu Apr 28 15:59:24 PDT 2011 NSS self tests passed. Kernel Crypto tests passed. Operating System OpenSSL self tests passed. Libreswan self tests passed. OpenSSL self tests passed. CryptoJ self tests passed... |
FIPS 140-2 モードで Cisco Unified Communications Manager(Unified CM)がリブートすると、リブート後に各 FIPS 140-2 モジュールで FIPS の起動時セルフテストがトリガーされます。
注意 | これらのセルフテストのいずれかが失敗した場合、Unified CM サーバは停止します。 |
(注) | Unified CM サーバは、対応する CLI コマンドによって FIPS が有効または無効になったときに、自動的にリブートされます。ユーザもリブートを開始できます。 |
注意 | 起動時のセルフテストが一時的なエラーの原因で失敗した場合、Unified CM サーバを再起動すると問題が解決します。ただし、起動時のセルフテスト エラーが解消されない場合は、FIPS モジュールに重大な問題があるため、リカバリ CD の使用が唯一の選択肢となります。 |
強化されたセキュリティ モードは FIPS 対応システムで稼働します。Cisco Unified Communications Manager と IM and Presence サービスの両方を、強化されたセキュリティ モードで動作するようにすることができます。これにより、次のセキュリティおよびリスク管理制御機能をシステムで実現できます。
強化されたセキュリティ モードを有効にすると、新しいユーザ パスワードとパスワード変更に関してより厳格なクレデンシャル ポリシーが有効になります。強化されたセキュリティ モードを有効にした後で、管理者は一連の CLI コマンド set password *** を使用して、次の要件のいずれかを変更できます。
強化されたセキュリティ モードを設定するには、すべての Cisco Unified Communications Manager または IM and Presence Service クラスタ ノードで次の手順に従います。
強化されたセキュリティ モードを有効にする前に、FIPS を有効にしてください。
ステップ 1 | コマンドライン インターフェイスにログインします。 | ||
ステップ 2 | utils EnhancedSecurityMode status コマンドを実行し、拡張セキュリティ モードが有効になっているかどうかを確認します。 | ||
ステップ 3 | クラスタ ノードで次のいずれかのコマンドを実行します。 | ||
ステップ 4 | ノードが更新されたら、次のノードでこの手順を繰り返します。Cisco Unified Communications Manager および IM and Presence Service クラスタ ノードごとに繰り返します。
|
Cisco Unified Communications Manager および IM and Presence Service でコモン クライテリア モードを設定するには、次のタスクを実行します。
コマンドまたはアクション | 目的 | |
---|---|---|
ステップ 1 | TLS の有効化 |
TLS はコモン クライテリア モードを設定する場合の前提条件です。 |
ステップ 2 | コモン クライテリア モードの構成 |
すべての Cisco Unified Communications Manager と IM and Presence クラスタ ノードでコモン クライテリア モードを設定します。 |
TLS 1.2 バージョンまたは TLS バージョン 1.1 はコモン クライテリア モードの必要条件です。コモン クライテリア モードを有効化すると、TLS バージョン 1.0 を使用したセキュア接続は許可されません。TLS バージョン 1.2 をサポートするには、次の手順を実行します。
Cisco Unified Communications Manager および IM and Presence Service のコモン クライテリア モードを設定するには、次の手順に従います。
ステップ 1 | コマンドライン インターフェイス プロンプトにログインします。 | ||
ステップ 2 | utils fips_common_criteria status コマンドを実行し、システムがコモン クライテリア モードで実行されているかどうかを確認します。 | ||
ステップ 3 | クラスタ ノードで次のいずれかのコマンドを実行します。
| ||
ステップ 4 | 単一クラスタ全体でコモン クライテリア モードを有効にするには、Cisco Unified Communications Manager と IM と Presence のすべてのクラスタ ノードで、以下の手順を繰り返します。
| ||
ステップ 5 | ノード間で ICSA がすでに設定されているマルチ クラスタ設定でコモン クライテリア モードを有効にするため、次の順序でコモン クライテリア モードを各ノードで有効にします。
| ||
ステップ 6 | 証明書の同期に失敗した場合、http://www.cisco.com/c/en/us/td/docs/voice_ip_comm/cups/8_6/english/configAdmin/CUPdeploy/dgcerts.html#44757を参照してください。 |
機能 |
制約事項 |
---|---|
SNMP v3 |
FIPS モードでは、MD5 または DES を使用した SNMP v3 はサポートされません。SNMP v3 を設定済みで、FIPS モードが有効になっている場合、認証プロトコルとして SHA、プライバシー プロトコルとして AES128 を設定する必要があります。 |