暗号化された TFTP 設定ファイルの概要
Warning |
SIP 電話でダイジェスト認証オプションを有効にし、TFTP で暗号化設定オプションを無効にした場合は、ダイジェストログイン情報がクリアテキストで送信されます。 |
TFTP の設定後、TFTP サーバは次の手順を実行します。
-
ディスク上のクリアテキストの設定ファイルをすべて削除します
-
暗号化されたバージョンのコンフィギュレーションファイルを生成します。
電話機が暗号化された電話設定ファイルをサポートし、電話設定ファイルの暗号化に必要なタスクを行った場合は、電話機は設定ファイルの暗号化バージョンを要求します。
一部の電話は、暗号化された電話設定ファイルをサポートしません。電話機のモデルとプロトコルによって、コンフィギュレーションファイルを暗号化するためにシステムが使用する方法が決定されます。サポートされる方式は、Unified Communications Manager の機能と、暗号化された設定ファイルをサポートするファームウェアロードに依存します。電話のファームウェアロードを、暗号化に対応していないバージョンにまでダウングレードすると、TFTP サーバは最低限の設定を行う暗号化されていない設定ファイルを送ります。この場合、電話が期待された機能を発揮できないことがあります。
暗号化キーの配布キー情報のプライバシーを確実に維持できるように、暗号化された電話設定ファイルに関連するタスクをセキュアな環境で実行することを推奨します。
Unified Communications Manager は、次の方式をサポートします。
-
手動キー配布
-
電話の公開キーによる対称キーの暗号化
手動キー配布と電話の公開キーによる対称キー暗号化のための設定情報は、混合モードが設定済みで、[Unified Communications Manager Administration] の [TFTP 暗号化設定(TFTP Encrypted Config)] パラメータが有効になっていることを前提としています。
暗号化された TFTP 設定ファイルのヒント
電話機のダウンロードで機密データを保護するには、TFTP 暗号化設定ファイルを有効にすることをお勧めします。電話に PKI 機能がない場合、[Unified Communications Manager Administration] と電話で対称キーも設定する必要があります。対称キーが電話機または Unified Communications Manager のいずれかに存在しない場合、または TFTP 暗号化設定ファイルの設定時に不一致が発生した場合、電話機は登録できません。
Unified Communications Manager で暗号化された設定ファイルを設定する場合は、次の点を考慮してください。
-
暗号化された設定ファイルをサポートしている電話機にのみ、[電話機のセキュリティプロファイルの設定(Phone Security Profile Configuration)] ページ)に [TFTP 暗号化設定(TFTP Encrypted Config)] チェックボックスが表示されます。暗号化された設定ファイルを Cisco Unified IP Phone の 7800、7942、および 7962(SCCP のみ)に設定することはできません。これらの電話機は設定ファイルのダウンロードで機密データを受信しないからです。
-
デフォルトでは、[TFTP 暗号化設定(TFTP Encrypted Config)] チェックボックスはオフになっています。このデフォルト設定、非セキュアプロファイルを電話機に適用した場合、ダイジェストログイン情報とセキュアパスワードはクリアテキストで送信されます。
-
公開キー暗号化を使用する Cisco Unified IP Phone の場合、Unified Communications Manager では [デバイスセキュリティモード(Device Security Mod)] を [認証済み (Authenticated)] または [暗号化(Encrypted)] に設定して暗号化された設定ファイルを有効にする必要はありません。Unified Communications Manager は、登録中の公開鍵をダウンロードするために CAPF プロセスを使用します。
-
環境が安全である場合や、PKI が有効になっていない電話機に対称キーを手動で設定しないようにする場合は、暗号化されていない設定ファイルを電話機にダウンロードできます。ただし、この方法を使用することはお勧めしません。
-
Cisco Unified IP Phone の 7800、7942、および 7962(SIP のみ)では、Unified Communications Manager は暗号化された設定ファイルを使用するよりも簡単で、安全性が低いダイジェストログイン情報を電話機に送信する方法を提供します。[ダイジェストログイン設定ファイルを除外(Exclude Digest Credentials in Configuration File)] 設定を使用するこの方法は、最初に対称キーを設定して電話に入力する必要がないため、ダイジェストログイン情報の初期化に役立ちます。この方法では、暗号化されていないコンフィギュレーションファイルで、電話機にダイジェストクレデンシャルを送信します。ログイン情報が電話機に入力された後は、[TFTP 暗号化設定(TFTP Encrypted Config)] オプションを無効にしてから、[電話機のセキュリティ プロファイルの設定(Phone Security Profile Configuration)] ページの [設定ファイルのダイジェストクレデンシャルを除外する(Exclude Digest Credential in Configuration File)] を有効にすることをお勧 めします。これにより、今後のダウンロードからダイジェストログイン情報が除外されます。
-
ダイジェストログイン情報が電話に存在するようになり、着信ファイルにダイジェストログイン情報が含まれないようになると、既存のログイン情報がそのまま使用されます。ダイジェストクレデンシャルは、電話機が工場出荷時の状態にリセットされるか、または新しいクレデンシャル (空白を含む) を受信するまで、そのまま残ります。電話機またはエンドユーザのダイジェストログイン情報を変更する場合は、対応する [電話機のセキュリティプロファイル情報(Phone Security Profile Information)] ページの [設定ファイルでのダイジェストログイン情報の除外(Exclude Digest Credential in Configuration File)] を一時的に無効にして、新しいダイジェストログイン情報を電話機にダウンロードします。