デフォルトのセキュリティの概要
デフォルトのセキュリティ機能は、追加の設定要件なしでサポートされる Cisco Unified IP Phone の基本的なレベルのセキュリティを提供します。
この機能は、サポートされる IP 電話機に対して次のデフォルトのセキュリティを提供します。
-
TFTP のデフォルト認証
-
オプションの暗号化
-
証明書の検証
デフォルトのセキュリティは、次のコンポーネントを使用して非セキュアな環境で基本的なセキュリティを提供します。
-
アイデンティティ信頼リスト(ITL):このファイルは、クラスタのインストール時に TFTP サービスがアクティブ化された後、信頼の確立のために Cisco Unified IP Phone により使用されます。
-
信頼検証サービス:このサービスは、すべての Unified Communications Manager ノードで実行され、Cisco Unified IP Phone の証明書を認証します。TVS 証明書と他のいくつかのキー証明書が ITL ファイルにバンドルされます。
初期信頼リスト
初期信頼リスト(ITL)ファイルは、エンドポイントが Unified Communications Manager を信頼できるよう、最初のセキュリティに使用されます。ITL は明示的に有効にするセキュリティ機能を必要としません。ITL ファイルは、TFTP サービスがアクティブになり、クラスタがインストールされると自動的に作成されます。Unified Communications Manager の TFTP サーバの秘密キーは、ITL ファイルの署名に使用されます。
Unified Communications Manager クラスタまたはサーバが非セキュアモードの場合、ITL ファイルはサポートされている Cisco Unified IP Phone ごとにダウンロードされます。CLI コマンド admin:show itl を使用して、ITL ファイルの内容を表示できます。
Cisco Unified IP Phone は、次のタスクを実行するために ITL ファイルが必要です。
-
CAPF とセキュアに通信する。設定ファイル暗号化をサポートするための前提条件です。
-
設定ファイルの署名を認証する。
-
TVS を使用する EM サービス、ディレクトリ、MIDlet などのアプリケーション サーバを認証します。
Cisco IP Phone に CTL ファイルがまだ存在していない場合、最初の ITL ファイルが自動的に信頼されます。テレビは、署名者に対応する証明書を返すことができる必要があります。
Cisco IP Phone に既存の CTL ファイルがある場合、ITL ファイルの署名の認証にその CTL ファイルが使用されます。
Note |
SHA-1 または MD5 アルゴリズム値は、初期信頼リスト(ITL)ファイルの値に変更があった場合にのみ変更されます。ITL ファイルのチェックサム値を使用すると、Cisco IP Phone と Unified Communications Manager クラスタの間にある ITL ファイルの差異を特定できます。ITL ファイルのチェックサム値は、ITL ファイルを変更した場合にのみ変更されます。 |
最初の信頼リスト (ITL) ファイルは、CTL ファイルと同じ形式になっています。ただし、これはより小さく、スリムのバージョンです。
ITL ファイルには次の属性が適用されます。
-
TFTP サービスがアクティブ化され、クラスタをインストールすると、システムによって ITL ファイルが自動的に作成されます。内容が変更された場合、ITL ファイルは自動的に更新されます。
-
ITL ファイルは eToken を必要としません。このファイルはソフト eToken(TFTP サーバの CallManager 証明書に関連付けられている秘密キー)を使用します。
-
リセット中、再起動中、または CTL ファイルのダウンロード後に、Cisco Unified IP Phone は ITL ファイルをダウンロードします。
ITL ファイルには次の証明書が含まれています。
-
ITLRecovery 証明書:この証明書は ITL ファイルに署名します。
-
TFTP サーバの CallManager 証明書:この証明書を使用すると、ITL ファイル署名と電話機設定ファイル署名を認証できます。
-
クラスタ上で使用可能なすべての TVS 証明書:これらの証明書を使用すると、電話機は TVS と安全に通信し、証明書認証を要求できます。
-
CAPF 証明書: これらの証明書は、コンフィギュレーションファイルの暗号化をサポートします。CAPF 証明書は必ずしも ITL ファイル内に存在する必要はありません(TVS で認証可能)が、CAPF 証明書によって CAPF への接続が簡易化されます。
ITL ファイルには証明書ごとに 1 つのレコードが含まれます。各レコードの内容は次のとおりです。
-
証明書
-
Cisco IP Phone によるルックアップを容易にするための、事前に抽出された証明書フィールド。
-
証明書の権限(TFTP、CUCM、TFTP+CCM、CAPF、TV、SAST)
TFTP サーバの CallManager 証明書は、2 つの異なる権限を持つ次の 2 つの ITL レコード内に存在します。
-
TFTP 権限 または TFTP および CCM 権限:設定ファイルの署名を認証する。
-
SAST 権限:ITL ファイルの署名を認証する。
信頼検証サービス
ネットワーク内に多数の電話機があり、Cisco Unified IP Phone のメモリも限られています。したがって、Unified Communications Manager は TVS を介してリモート信頼ストアとして動作するため、各電話機に証明書信頼ストアを配置する必要はありません。Cisco Unified IP Phone は CTL ファイルまたは ITL ファイルを使用して署名または証明書を検証できないため、検証のために TVS サーバに問い合わせることもできます。したがって、中央信頼ストアを持つことは、信頼ストアをすべての Cisco Unified IP Phone に持つよりも管理が簡単です。
TVS を使用すると、HTTPS を確立しているときに、Cisco Unified IP Phone で EM サービス、ディレクトリ、および MIDlet などのアプリケーションサーバを認証できます。
TV には、次の機能があります。
-
拡張性:Cisco Unified IP Phone のリソースは、信頼する証明書の数に影響されません。
-
柔軟性: 信頼証明書の追加または削除は、システムに自動的に反映されます。
-
デフォルトのセキュリティ:非メディアおよびシグナリングセキュリティ機能はデフォルトのインストールに含まれており、ユーザの介入は必要ではありません。
Note |
セキュアなシグナリングおよびメディアを有効にする場合は、CTL ファイルを作成してから、クラスタを混合モードに設定する必要があります。CTL ファイルを作成し、クラスタを混合モードに設定するには、CLI コマンド utils ctl set-cluster mixed-mode を使用します。 |
TVS を説明する基本的な概念を次に示します。
-
TVS は、Unified Communications Manager サーバ 上で実行され、Cisco IP 電話に代わって証明書を認証します。
-
Cisco Unified IP Phone は、信頼できる証明書をすべてダウンロードするのではなく、TVS を信頼する必要があるだけです。
-
ITL ファイルはユーザの介入なしで自動的に生成されます。ITL ファイルは、Cisco Unified IP Phone によりダウンロードされ、信頼はそこからフローします。