CTI、JTAPI、および TAPI の認証と暗号化のセットアップ

この章では、CTI、JTAPI、および TAPI アプリケーションを保護する方法について簡単に説明します。 また、CTI/TAPI/JTAPI アプリケーションの認証と暗号化を設定するために、Unified Communications Manager Administration で行う必要がある作業についても説明しています。

このドキュメントでは、Unified Communications Manager Administration で利用可能な CiscoJTAPI または TSP プラグインのインストール方法、またはインストール中のセキュリティパラメータの設定方法については説明していません。 同様に、このドキュメントでは、CTI 制御デバイスまたは回線の制限を設定する方法については説明していません。

CTI、JTAPI、および TAPI アプリケーションの認証

Unified Communications Manager により、CTIManager と CTI/JTAPI/TAPI アプリケーション間のシグナリング接続とメディアストリームをセキュアにすることができます。


(注)  

CiscoJTAPI/TSP プラグインのインストール時にセキュリティ設定を構成したものと想定されます。 また、Cisco CTL クライアントまたは CLI コマンド set utils ctl で設定されているように、クラスターセキュリティモードは混合モードと等しいと想定します。 本章で説明されているタスクを実行する際にこれらの設定が構成されていない場合、CTIManager とアプリケーションは非セキュアなポート、ポート 2748 経由で接続します。

Cisco の CTL クライアントは Release 14 からサポートされなくなりました。Cisco CTL プラグインの代わりに、CLI コマンドを使用して Unified Communications Manager サーバを混合モードに切り替えることを推奨します。

CTIManager とアプリケーションは、相互に認証された TLS ハンドシェイク (証明書交換) を通じて、相手の身元を確認します。 TLS 接続が確立されると、CTIManager とアプリケーションは TLS ポートのポート 2749 経由で QBE メッセージを交換します。

アプリケーションの認証を行うために、CTIManager は Unified Communications Manager 証明書を使用します。この証明書には、インストール時に Unified Communications Manager サーバに自動的にインストールされる自己署名証明書、またはサードパーティの CA 署名証明書が使用されます。

CLI コマンド set utils ctl または Cisco CTL クライアントで CTL ファイルを生成すると、この証明書が自動的に CTL ファイルに追加されます。 アプリケーションは CTIManager への接続を試みる前に、TFTP サーバから CTL ファイルをダウンロードします。

JTAPI/TSP クライアントが初めて CTL ファイルを TFTP サーバからダウンロードするとき、JTAPI/TSP クライアントは CTL ファイルを信頼します。 JTAPI/TSP クライアントは CTL ファイルを検証しないため、ダウンロードは安全な環境で行うことを推奨します。 JTAPI/TSP クライアントは、後続の CTL ファイルのダウンロードを確認します。たとえば、CTL ファイルを更新した後、JTAPI/TSP クライアントは CTL ファイルのセキュリティトークンを使用して、ダウンロードする新しい CTL ファイルのデジタル署名を認証します。 このファイルの内容には Unified Communications Manager 証明書および CAPF サーバ証明書が含まれます。

CTL ファイルが危険にさらされている場合、JTAPI/TSP クライアントはダウンロードされた CTL ファイルを置き換えません。クライアントはエラーをログに記録し、既存の CTL ファイル中の古い証明書を使用して TLS 接続の確立を試みます。 CTL ファイルが変更されているか、または不正使用されている場合、接続は失敗する可能性があります。 CTL ファイルのダウンロードが失敗し、しかも複数の TFTP サーバが存在する場合、ファイルをダウンロードするように別の TFTP サーバを設定できます。 JTAPI/TAPI クライアントは、次の状況ではどのポートにも接続しません。

  • 何らかの理由でクライアントが CTL ファイルをダウンロードできません。たとえば、CTL ファイルが存在しません。

  • クライアントに既存の CTL ファイルがありません。

  • アプリケーションユーザをセキュアな CTI ユーザとして構成しました。

CTIManager で認証するために、アプリケーションは 認証局プロキシ 機能 (CAPF) が発行する証明書を使用します。 アプリケーションと CTIManager 間のすべての接続で TLS を使用するには、アプリケーション PC で実行される各インスタンスに固有の証明書が必要です。 1 つの証明書ですべてのインスタンスをカバーできるわけではありません。 Cisco Unified Communications Manager Assistant サービスが実行されているノードに証明書が確実にインストールされるように、 Cisco Unified Communications Manager Administrationの各アプリケーション・ユーザ CAPF プロファイル構成またはエンドユーザ CAPF プロファイル構成に対して固有のインスタンス ID を構成します。次のように、 「アプリケーションおよびエンドユーザ CAPF プロファイルの構成設定」を参照してください


ヒント

ある PC からアプリケーションをアンインストールして別の PC にインストールする場合、新しい PC の各インスタンスに対して新しい証明書をインストールする必要があります。

Unified Communications Manager でアプリケーションユーザまたはエンドユーザを標準 CTI セキュアコネクションユーザグループに追加し、アプリケーションの TLS を有効にする必要があります。 ユーザをこのグループに追加し、証明書をインストールした後、アプリケーションはユーザが TLS ポート経由で接続することを確認します。

CTI、JTAPI、および TAPI アプリケーションの暗号化


ヒント

認証は暗号化の最小要件として機能します。つまり、認証を設定していない場合、暗号化を使用することはできません。

Unified Communications Manager、Cisco QRT、および Cisco Web Dialer は暗号化をサポートしていません。 CTIManager サービスに接続する CTI クライアントは、クライアントが音声パケットを送信する場合、暗号化をサポートしている可能性があります。

アプリケーションと CTIManager の間のメディア ストリームをセキュアにするには、アプリケーション ユーザまたはエンド ユーザを標準 CTI SRTP キー マテリアルの受信を許可するユーザ グループに追加します Unified Communications Manager。 これらのユーザが標準 CTI セキュア接続ユーザグループにも存在し、クラスタセキュリティモードが混合モードである場合、CTIManager はアプリケーションとの TLS 接続を確立し、メディアイベントでアプリケーションにキーマテリアルを提供します


(注)  

クラスタセキュリティモードでは、スタンドアロンサーバまたはクラスタのセキュリティ機能を設定します。

アプリケーションが SRTP キー情報を記録または保存することはありませんが、アプリケーションはキー情報を使用して RTP ストリームを暗号化し、CTIManager からの SRTP ストリームを復号化します。

何らかの理由でアプリケーションがノンセキュア ポートのポート 2748 に接続する場合、CTIManager はキー情報を送信しません。 制限を設定したために、CTI/JTAPI/TAPI がデバイスまたはディレクトリ番号を監視または制御できない場合、CTIManager はキー情報を送信しません。


ヒント

アプリケーションが SRTP セッションキーを受信するには、アプリケーションまたはエンドユーザーが、[標準CTIを有効にする(Standard CTI Enabled)]、[標準 CTI セキュア接続(Standard CTI Secure Connection)]、および [標準 CTI SRTP 重要素材の受信許可(Standard CTI Allow Reception of SRTP Key Material)] の 3 つのグループに属している必要があります。

ただし、Unified Communications Manager は CTI ポートとルートポイントとの間の安全なコールを容易にすることができますが、アプリケーションがメディアパラメータを処理するため、安全なコールをサポートするようにアプリケーションを設定する必要があります。

CTI ポート/ルートポイントは、動的または静的な登録によって登録されます。 ポート/ルート ポイントが動的登録を使用する場合、メディア パラメータは各コールに対して指定されます。静的登録の場合、メディアパラメータは登録時に指定され、呼び出しごとに変更することはできません。 CTIports/ルートポイントが TLS 接続を介して CTIManager に登録されると、アプリケーションがデバイス登録リクエストで有効な暗号化アルゴリズムを使用し、相手側がセキュアな場合、デバイスは安全に登録され、メディアは SRTP 経由で暗号化されます。

CTI アプリケーションが確立済みの通話の監視を開始するとき、アプリケーションは RTP イベントを受信しません。 確立された通話については、CTI アプリケーションは DeviceSnapshot イベントを提供します。これは、通話のメディアがセキュアか非セキュアかを定義します。このイベントは暗号化キーを提供しません。

CTI ポートのより強力な暗号スイート

CTI ポートが TLS 接続を介して CTI Manager に登録されると、デバイスは安全に登録され、メディアは Secure Real-Time Transport Protocol (SRTP) によって暗号化されます。アプリケーションがデバイス登録リクエストで有効な暗号化アルゴリズムを使用し、相手方が安全である場合。

Unified Communications Manager は、CTI ポート用の Skinny Client Control Protocol (SCCP) インターフェイスでより強力な暗号スイートを提供し、発信側と着信側の間の安全なメディア通知を可能にします。 CTI ポートで SRTP を有効にするために、CTI アプリケーションは暗号強度のサポートされているアルゴリズム ID を提供することで登録します。

Unified Communications Manager は、CTI ポートを含むセキュアなコールで、以下の追加アルゴリズムのネゴシエーションを許可するように強化されました。

  • CCM_AES_CM_128_HMAC_SHA1_32 (CiscoMediaEncryptionAlgorithmType.AES_128_COUNTER)

  • CCM_AES_CM_128_HMAC_SHA1_80 (CiscoMediaEncryptionAlgorithmType.AES_128_COUNTER)

  • CCM_AEAD_AES_128_GCM (CiscoMediaEncryptionAlgorithmType.AEAD_128_COUNTER)

  • CCM_AEAD_AES_256_GCM (CiscoMediaEncryptionAlgorithmType.AEAD_256_COUNTER)

電話を受けると、 Unified Communications Manager は CTI アプリケーションで指定されたメディアと暗号化機能をネゴシエートし、着信側の電話との CTI ポートを登録します。 一致するアルゴリズムがある場合、Unified CM はキー情報を両側に送信して、パケットを復号化し、メディアを監視または記録します。

制約事項

Unified Communications Manager は CCM_F8_128_HMAC_SHA1_32 および CCM_F8_128_HMAC_SHA1_80 アルゴリズムをサポートしていません。 CTI アプリケーションがこれらのサポートされていないアルゴリズムでメディアを終端する CTI ポートを登録しようとした場合、Unified CM はそれを無視し、残りのアルゴリズムの中から最適なものを選択します。 システムがこれら 2 つ以外のアルゴリズムで構成されていない場合、Unified CM は既存の動作に切り替えるのではなく、デフォルトで CCM_AES_CM_128_HMAC_SHA1_32 を選択します。

CTI、JTAPI、および TAPI アプリケーションの CAPF 関数

Unified Communications Manager と共に自動的にインストールされる CAPF(認証局プロキシ機能)は、設定に応じて、コンピュータ電話統合/TAPI/TAPI アプリケーションに対して次のタスクを実行します。

  • 認証文字列を使って JTAPI/TSP クライアントを認証します。

  • ローカルで有効な証明書(LSC)を コンピュータ電話統合/JTAPI/TAPI アプリケーションユーザーまたはエンドユーザーに発行します。

  • 既存のローカルで有効な証明書をアップグレードします。

  • 表示とトラブルシューティングのために証明書を取得します。

JTAPI/TSP クライアントが CAPF と対話するとき、クライアントは認証文字列を使用して CAPF に対して自身を認証します。それから、クライアントは公開鍵と秘密鍵のペアを生成し、公開鍵を署名されたメッセージで CAPF サーバに転送します。 秘密鍵はクライアント内に残り、外部に公開されることはありません。 CAPF は証明書に署名し、署名したメッセージで証明書をクライアントに送り返します。

アプリケーションユーザまたはエンドユーザに証明書を発行するには、それぞれ [アプリケーションユーザの CAPF プロファイル設定] ウィンドウまたは [エンドユーザの CAPF プロファイル設定] ウィンドウで設定を行います。 以下の情報では、 Unified Communications Manager がサポートする CAPF プロファイル間の違いについて説明しています。

  • アプリケーションユーザ CAPF プロファイルこのプロファイルにより、ローカルで有効な証明書を発行してアプリケーションユーザを保護し、CTIManager サービスとアプリケーションの間で TLS 接続を開くことができます。

    1 つのアプリケーション ユーザ CAPF プロファイルが、サーバ上のサービスまたはアプリケーションの単一インスタンスに対応します。 同じサーバ上で複数のウェブ サービスまたはアプリケーションをアクティベートする場合、サーバ上の各サービスに対して 1 つずつ、複数のアプリケーション ユーザ CAPF プロファイルを設定する必要があります。

    クラスタ内の 2 つのサーバでサービスまたはアプリケーションをアクティベートする場合、各サーバに 1 つずつ、合計 2 つのアプリケーション ユーザ CAPF プロファイルを設定する必要があります。

  • エンドユーザ CAPF プロファイル—このプロファイルにより、ローカルで有効な証明書を CTI クライアントに発行し、CTI クライアントが TLS 接続経由で CTIManager サービスと通信できるようになります。


ヒント

JTAPI クライアントは、[JTAPI 基本設定] ウィンドウで設定したパスに、LSC を Java キーストア形式で保存します。 TSP クライアントは LSC を暗号化された形式で既定のディレクトリまたは設定したパスに保存します。

以下の情報は、通信障害や電源障害の発生時に適用されます。

  • 証明書のインストール中に通信障害が発生すると、JTAPI クライアントは 30 秒間隔でさらに 3 回証明書の取得を試みます。 この値を構成することはできません。

    TSP クライアントの場合、再試行と再試行タイマーを設定できます。 TSP クライアントが割り当てられた時間内に証明書の取得を試みる回数を指定することにより、これらの値を設定します。 両方の値のデフォルトは 0 です。1 (1 回のリトライ)、2、または 3 を指定することで、最大 3 回の再試行を設定できます。各再試行の時間は最大30秒まで設定できます。

  • JTAPI/TSP クライアントが CAPF でセッションを試みている間に電源障害が発生すると、クライアントは電源が回復した後に証明書のダウンロードを試みます。

CAPF システム インタラクションと CTI、JTAPI、および TAPI アプリケーションの要件

CAPF には以下の要件があります。

  • アプリケーションユーザおよびエンドユーザの CAPF プロファイルを設定する前に、 エンタープライズパラメータ設定 ウィンドウのクラスタセキュリティモードが 1 (混合モード) になっていることを確認してください。

  • CAPF を使用するには、パブリッシャノードで Cisco 認証局プロキシ機能サービスを有効にする必要があります。

  • 同時に多くの証明書を生成すると、コール処理の中断が発生する可能性があるため、スケジュールされたメンテナンス期間中に CAPF を使用することを推奨します。

  • 証明書操作の間、パブリッシャノードが機能し、実行中であることを確認してください。

  • 証明書操作の間、CTI/JTAPI/TAPI アプリケーションが機能していることを確認してください。

認証局プロキシ 機能 サービスのアクティベーション

Unified Communications Managerで、認証局プロキシ 機能 サービスは自動的にアクティベートされません Cisco Unified Serviceability

CAPF 機能を使用するには、最初のノードでこのサービスをアクティベートする必要があります。

Unified Communications Manager を混合モードに移行する前にこのサービスをアクティベートしなかった場合は、CTL ファイルを更新する必要があります。

Cisco 認証局プロキシ 機能 サービスを有効にすると、CAPF は CAPF に固有のキー ペアと証明書を自動的に生成します。 CAPF 証明書は、CAPF 証明書が存在することの確認として、Cisco Unified Communications オペレーティングシステム GUI に表示されます。

アプリケーションユーザまたはエンドユーザの CAPF プロファイルのセットアップ

JTAPI/TAPI/CTI アプリケーション用のローカルで有効な証明書をインストール/アップグレード/トラブルシューティングする際の参照として、 アプリケーションおよびエンドユーザ CAPF プロファイルの構成設定 を使用します。


ヒント

エンド ユーザの CAPF プロファイルを設定する前に、アプリケーション ユーザの CAPF プロファイルを設定することをお勧めします。

手順

ステップ 1

Cisco Unified Communications Manager Administrationから、次のいずれかのオプションを選択します:

  1. ユーザ管理 > ユーザ設定 > アプリケーション ユーザ CAPF プロファイル

  2. [ユーザー管理(User Management)] > [ユーザー設定(User Settings)] > [エンドユーザー CAPF プロファイル(End User CAPF Profile)]

ステップ 2

次のいずれかの作業を実行します。

  1. 既存のプロファイルを編集するには、 検索 をクリックし、既存のプロファイルを選択します。

  2. 新しいプロファイルを作成するには、[新規追加] をクリックします。

  3. 既存のプロファイルの設定を新しいプロファイルにコピーするには、[ 検索 ] をクリックし、目的の設定を含む既存のプロファイルを選択します。 [ コピー ] をクリックして、これらの設定を含む新しいプロファイルの名前を付けます。 その後、必要に応じて新しいプロファイルを編集します。

ステップ 3

[アプリケーションユーザーおよびエンドユーザーの CAPF プロファイルの設定項目(Application and End User CAPF Profile Configuration Settings)] に記載されている適切な設定を入力します。

ステップ 4

[保存] をクリックします。

ステップ 5

追加の CAPF プロファイルを作成するには、この手順を繰り返します。 ユーザが必要な数のプロファイルを作成します。

[CCMQRTSecureSysUser][IPMASecureSysUser]、または [WDSecureSysUser][アプリケーションユーザー CAPF プロファイル設定(Application User CAPF Profile Configuration)] ウィンドウで設定している場合、[サービスパラメータ(Service Parameters)] を設定する必要があります。

CAPF の設定項目

次の表に、[アプリケーションユーザCAPFプロファイルの設定(Application User CAPF Profile Configuration)]ウィンドウと [エンドユーザCAPFプロファイルの設定(End User CAPF Profile Configuration)]ウィンドウでの CAPF 設定項目を示します。

表 1. アプリケーション ユーザおよびエンドユーザの CAPF プロファイルの設定項目

設定

説明

[アプリケーション ユーザ(Application User)]

ドロップダウンリスト ボックスから、CAPF 操作用のアプリケーション ユーザを選択します。この設定には、設定されたアプリケーション ユーザが表示されます。

この設定は、エンドユーザCAPFプロファイルの設定(End User CAPF Profile) ウィンドウには表示されません。

[エンドユーザID(End User ID)]

ドロップダウンリストから、CAPF 操作のエンド ユーザを選択します。 これによって、設定されたエンド ユーザが表示されます。

この設定は、アプリケーションユーザCAPFプロファイルの設定(Application User CAPF Profile) ウィンドウには表示されません。

インスタンス ID(Instance ID)

1 ~ 128 字の英数字(a ~z、A ~ Z、0 ~ 9)を入力します。 インスタンス ID は、認証操作のユーザーを指定します。

1 つのアプリケーションに対して複数の接続(インスタンス)を設定できます。アプリケーションと CTIManager との接続の安全を確保するには、アプリケーション PC(エンド ユーザの場合)またはサーバ(アプリケーション ユーザの場合)で実行されるインスタンスごとに一意の証明書があることを確認します。

このフィールドは、Web サービスおよびアプリケーションをサポートする CAPF Profile Instance ID for Secure Connection to CTIManager サービス パラメータに関連しています。

[証明書の操作(Certificate Operation)]

ドロップダウン リストから、次のオプションのいずれかを選択します。

  • [保留中の操作なし(No Pending Operation)]:証明書の操作が発生しないときに表示されます。 (デフォルト設定)

  • インストール/アップグレード(Install/Upgrade):アプリケーションのローカルで有効な証明書を新しくインストールするか、あるいは既存の証明書をアップグレードします。

認証モード(Authentication Mode)

証明書のインストールまたはアップグレード操作の認証モードは [認証ストリング(By Authentication String)] です。これは、ユーザまたは管理者が JTAPI/TSP の初期設定ウィンドウで CAPF 認証文字列を入力したときにだけ、ローカルで有効な証明書がインストール、アップグレード、またはトラブルシューティングされることを意味します。

認証文字列(Authentication String)

一意の文字列を手動で入力するか、あるいは文字列を生成(Generate String) ボタンをクリックして文字列を生成します。

文字列が 4 ~ 10 桁であることを確認してください。

ローカルで有効な証明書のインストールまたはアップグレードを実行する場合、アプリケーション PC の [JTAPI/TSP 設定(JTAPI/TSP preferences)] GUI に管理者が認証文字列を入力することが必要です。 この文字列は、1 回だけ使用できます。あるインスタンスに文字列を使用した場合、その文字列をもう一度使用することはできません。

[文字列を生成(Generate String)]

CAPF が自動的に認証文字列を生成するよう設定するには、文字列の生成ボタンをクリックします。 4 ~ 10 桁の認証文字列が認証文字列(Authentication String) フィールドに表示されます。

キー順序(Key Order)

このフィールドは、CAPF のキーの並び方を指定します。 ドロップダウン リストから、次のいずれかの値を選択します:

  • RSA のみ

  • EC のみ

  • EC 優先、RSA バックアップ

(注)  

 

[キーオーダー(Key Order)][RSA キー サイズ(RSA Key Size)]、および [EC キー サイズ(EC Key Size)] フィールドの値に基づいて電話を追加すると、デバイス セキュリティ プロファイルがその電話に関連付けられます。 256 ビットの [EC キー サイズ(EC Key Size)] 値で [ECのみ(EC Only)] 値を選択した場合は、デバイス セキュリティ プロファイルに EC-256 値が追加されます。

RSA キー サイズ(ビット)(RSA Key Size (Bits))

ドロップダウンリストから、512102420483072、または 4096のいずれかの値を選択します。

EC キーサイズ(ビット)

ドロップダウンリストから、256384、または521のいずれかの値を選択します。

[操作の完了期限(Operation Completes By)]

このフィールドは、すべての証明書操作をサポートし、操作を完了する必要がある期限の日付と時刻を指定します。

表示される値は、最初のノードに適用されます。

この設定は、証明書の操作を完了する必要がある期間のデフォルトの日数を指定する [CAPF 操作有効期間(日数)(CAPF Operation Expires in (days))] エンタープライズパラメータと併用します。 このパラメータはいつでも更新できます。

[証明書の操作ステータス(Certificate Operation Status)]

このフィールドは、pending、failed、successful など、証明書操作の進行状況を表示します。

このフィールドに表示される情報は変更できません。

CAPF サービス パラメータの更新

サービスパラメータ ウィンドウには、Cisco 認証局プロキシ 機能 のオプション設定が含まれています。 CAPF 証明書の発行者、オンライン CA 接続設定、証明書の有効期間、キー サイズなどの設定を構成できます。

CAPF サービスパラメータが Cisco Unified Communications Manager Administration でアクティブと表示されるようにするには、 認証局プロキシ 機能 Cisco Unified Serviceability サービスを有効にします。


ヒント

電話で CAPF を使用したときに CAPF サービス パラメータを更新した場合は、サービス パラメータを再度更新する必要はありません。

CAPF サービスパラメータを更新するには、以下の手順を実行します。

手順

ステップ 1

Cisco Unified Communications Manager Administrationから、 システム > サービスパラメータを選択します。

ステップ 2

[サーバ(Server)]ドロップダウン リストからサーバを選択します。

ヒント

 
クラスター内のパブリッシャノードを選択する必要があります。

ステップ 3

[サービス(Service)]ドロップダウン リストから、[Cisco 認証局プロキシ 機能(アクティブ)(Cisco 認証局プロキシ 機能 (Active))]を選択します。 サービス名の横に「 "アクティブ" 」と表示されていることを確認します。

ステップ 4

オンラインヘルプの説明に従って、 CAPF(認証局プロキシ 機能)サービスパラメータ を更新する。 CAPF(認証局プロキシ 機能)サービスパラメータのヘルプを表示するには、疑問符またはパラメータ名のリンクをクリックしてください。

ステップ 5

Cisco 認証局プロキシ 機能Cisco Unified Serviceabilityサービスを再起動して変更を有効にしてください。

(注)  

 
Certificate Authority Proxy 機能の設定方法の詳細は、 Certificate Authority Proxy 機能 の章を参照してください。

アプリケーション ユーザ CAPF またはエンド ユーザ CAPF プロファイルの削除

Cisco Unified Communications Manager Administrationからアプリケーションユーザ CAPF プロファイルまたはエンドユーザ CAPF プロファイルを削除する前に、別のプロファイルをデバイスに適用するか、またはそのプロファイルを使用するすべてのデバイスを削除する必要があります。 このプロファイルを使用するデバイスを確認するには、[セキュリティプロファイルの設定(Security Profile Configuration)] ウィンドウで [関連リンク(Related Links)] ドロップダウンメニューから [依存関係レコード(Dependency Records)] を選択し、[実行(Go)] をクリックします。

システムで依存関係レコード機能が有効になっていない場合、依存関係レコードの概要ウィンドウに、依存関係レコードを有効にするためのアクションを示すメッセージが表示されます。メッセージには、依存関係レコード機能に関連する高い CPU 消費に関する情報も表示されます。 依存関係レコードの詳細は、 Cisco Unified Communications Manager システム設定ガイドを参照してください。

このセクションでは、アプリケーションユーザ CAPF プロファイルまたはエンドユーザ CAPF プロファイルを Unified Communications Manager データベースから削除する方法について説明します。

手順

ステップ 1

[アプリケーション ユーザ CAPF プロファイル] または [エンド ユーザ CAPF プロファイル] を見つけます。

ステップ 2

次のいずれかの作業を実行します。

  1. 複数のプロファイルを削除するには、[ 検索と一覧表示 ] ウィンドウ内で該当するチェックボックスの隣にあるチェックボックスを選択します。それから 選択項目を削除をクリックします。 [すべて選択(Select All)] をクリックして [選択項目の削除(Delete Selected)] をクリックすると、この選択対象として設定可能なすべてのレコードを削除できます。

  2. 単一のプロファイルを削除するには、[検索と一覧(Find and List)] ウィンドウで該当するプロファイルの隣にあるチェックボックスを選択し、次に[選択項目を削除(Delete Selected)] をクリックします。

ステップ 3

削除の確認が求められたら、[ OK ] をクリックして削除するか、または [ キャンセル ] をクリックして削除操作をキャンセルします。

CTI、JTAPI、および TAPI の保護

次の手順では、CTI/JTAPI/TAPI アプリケーションを保護するために実行するタスクを説明します。

手順

ステップ 1

CTI アプリケーションおよび JTAPI/TSP プラグインがインストールされ、実行中であることを確認します。

ヒント

 
アプリケーションユーザを [標準 CTI 有効] グループに割り当てます。

詳細については、次のドキュメントを参照してください。

  • Cisco JTAPI インストールガイド用 Unified Communications Manager

  • Cisco TAPI インストールガイド Unified Communications Manager

ステップ 2

次の Unified Communications Manager セキュリティ機能がインストールされていることを確認してください (インストールされていない場合は、これらの機能をインストールして設定します):

  • utils ctl コマンドセットを実行して、Unified Communications Manager が混合モードになっているかどうかを確認します。

  • CAPF サービスがインストールされ、有効になっていることを確認します。 必要に応じて、CAPF サービス パラメータを更新します。

    ヒント

     
    CAPF サービスは、CAPF 証明書を CTL ファイルに含めるために、 utils ctl CLI コマンド が実行される必要があります。 電話の CAPF を使用したときにこれらのパラメータを更新した場合は、再度パラメータを更新する必要はありません。

  • クラスター セキュリティ モードが混合モードに設定されていることを確認します。 (クラスターセキュリティモードは、スタンドアロンサーバまたはクラスターのセキュリティ機能を構成します。)

    ヒント

     
    クラスタセキュリティモードが混合モードでない場合、CTI/JTAPI/TAPI アプリケーションは CTL ファイルにアクセスできません。

ステップ 3

エンドユーザとアプリケーションユーザを、必要な権限を含むアクセスコントロールグループに割り当てます。 ユーザを次のすべてのグループに割り当てることで、ユーザが CTI 接続で TLS および SRTP を使用できるようになります:

  • [標準CTIを有効にする(Standard CTI Enabled)]

  • 標準 CTI セキュア接続

  • 標準 CTI SRTP 重要素材の受信許可

ヒント

 
CTI アプリケーションは、アプリケーションユーザーたはエンドユーザーのいずれか一方にのみ割り当てることができます。

ユーザは、 標準 CTI 対応および標準 CTI セキュアコネクション ユーザグループにすでに存在している必要があります。 アプリケーションまたはエンドユーザは、これら3つのグループの一部でない場合、SRTPセッションキーを受け取ることはできません。 詳細については、ユーザ アクセス コントロール グループ設定に関連するトピックを参照してください。

(注)  

 

Cisco Unified Communications Manager Assistant、Cisco QRT、および Cisco Web Dialer は暗号化をサポートしていません。 CTIManager サービスに接続する CTI クライアントは、クライアントが音声パケットを送信する場合、暗号化をサポートしている可能性があります。

ステップ 4

エンドユーザおよびアプリケーションユーザの CAPF プロファイルを設定します。 詳細は 認証局プロキシ 機能 の章を参照してください。

ステップ 5

CTI/JTAPI/TAPI アプリケーションの対応するセキュリティ関連パラメータを有効にします。

アプリケーション ユーザとエンド ユーザをセキュリティ関連のアクセス コントロール グループに追加する

[標準 CTI セキュア接続] ユーザグループおよび [標準 CTI SRTP キーマテリアルの受信を許可する] ユーザグループは、デフォルトで Unified Communications Manager に表示されます。 これらのグループを削除することはできません。

ユーザの CTIManager への接続をセキュアにするには、アプリケーションユーザまたはエンドユーザを標準 CTI セキュア接続ユーザグループに追加する必要があります。 CTI アプリケーションは、アプリケーションユーザーたはエンドユーザーのいずれか一方にのみ割り当てることができます。

アプリケーションと CTIManager にメディアストリームをセキュアにさせたい場合、アプリケーションユーザまたはエンドユーザを、標準 CTI SRTP キーマテリアルの受信を許可ユーザグループに追加する必要があります。

アプリケーションとエンドユーザが SRTP を使用する前に、ユーザは TLS のベースライン構成として機能する、標準 CTI 対応および標準 CTI セキュア接続のユーザグループに属している必要があります。 SRTP 接続には TLS が必要です。 ユーザーがこれらのグループに属するようになったら、ユーザーを [標準 CTI SRTP 重要素材の受信許可(Standard CTI Allow Reception of SRTP Key Material)] ユーザーグループに追加できます。 アプリケーションが SRTP セッションキーを受信するには、アプリケーションまたはエンドユーザーが、[標準CTIを有効にする(Standard CTI Enabled)][標準 CTI セキュア接続(Standard CTI Secure Connection)]、および [標準 CTI SRTP 重要素材の受信許可(Standard CTI Allow Reception of SRTP Key Material)] の 3 つのグループに属している必要があります。

アプリケーションユーザである CCMQRTSecureSysUser、IPMASecureSysUser、および WDSecureSysUser を [標準 CTI SRTP キーマテリアルの受信を許可] ユーザグループに追加する必要はありません。 Cisco Unified Communications Manager Assistant、CiscoQRT、および Cisco Web Dialer は暗号化をサポートしていないためです。


ヒント

ユーザグループからのアプリケーションまたはエンドユーザの削除については、 Cisco Unified Communications Manager アドミニストレーション ガイドを参照してください。 [役割の設定(Role Configuration)] ウィンドウのセキュリティ関連の設定については、『Cisco Unified Communications Manager アドミニストレーション ガイド』を参照してください。

手順

ステップ 1

Cisco Unified Communications Manager Administrationから ユーザ管理 > ユーザグループを選択します。

ステップ 2

すべての ユーザグループを表示するには、 検索をクリックします。

ステップ 3

目的に応じて、以下のいずれかのタスクを実行します。

  1. アプリケーションまたはエンドユーザが [標準 CTI 有効] グループに存在していることを確認します。

  2. アプリケーションユーザーを[標準 CTI セキュア接続(Standard CTI Secure Connection)] ユーザーグループに追加するには、 [標準 CTI セキュア接続(Standard CTI Secure Connection)] リンクをクリックします。

  3. アプリケーションユーザーを [標標準 CTI SRTP 重要素材の受信許可(Standard CTI Allow Reception of SRTP Key Material)] ユーザーグループに追加するには、[標準 CTI SRTP 重要素材の受信許可(Standard CTI Allow Reception of SRTP Key Material)] リンクをクリックします。

ステップ 4

グループにアプリケーションユーザーを追加するには、ステップ 5 から 7 を実行します。

ステップ 5

[ アプリケーションユーザをグループに追加] をクリックします。

ステップ 6

アプリケーションユーザーを検索するには、検索基準を指定し、[検索(Find)] をクリックします。

検索条件を指定せずに [検索] をクリックすると、利用可能なすべてのオプションが表示されます。

ステップ 7

グループに追加するアプリケーションユーザーのチェックボックスを選択し、[選択項目の追加(Add Selected)] をクリックします。

ユーザは ユーザグループ ウィンドウに表示されます。

ステップ 8

エンドユーザーをグループに追加するには、ステップ 9 から 11 を実行します。

ステップ 9

[ユーザをグループに追加] をクリックします

ステップ 10

エンドユーザーを検索するには、検索基準を指定し、[検索(Find)] をクリックします。

検索条件を指定せずに [検索] をクリックすると、利用可能なすべてのオプションが表示されます。

ステップ 11

グループに追加するエンドユーザーのチェックボックスを選択し、[選択項目の追加(Add Selected)] をクリックします。

ユーザは ユーザグループ ウィンドウに表示されます。

JTAPI/TAPI セキュリティ関連のサービスパラメータのセットアップ

Application User CAPF プロファイルまたは End User CAPF プロファイルを設定したら、 Cisco IP Manager Assistant サービスの以下のサービスパラメータを設定する必要があります:

  • CTIManager Connection Security Flag

  • CTIManager への安全な接続のための CAPF プロファイル インスタンス ID

サービスパラメータにアクセスするには、以下の手順を実行します。

手順

ステップ 1

Cisco Unified Communications Manager Administrationから システム > サービスパラメータを選択します。

ステップ 2

[サーバー(Server)] ドロップダウンメニューから、[Cisco IP Manager Assistant] サービスがアクティブになっているサーバーを選択します。

ステップ 3

[サービス(Service)]ドロップダウン リストから、[Cisco IP Manager Assistant]サービスを選択します。

ステップ 4

パラメータが表示されたら、[CTIManager Connection Security Flag][CTIManager へのセキュアな接続の CAPF プロファイルインスタンス ID(CAPF Profile Instance ID for Secure Connection to CTIManager)] パラメータを見つけます。

ステップ 5

パラメータを更新します。クエスチョンマークまたはパラメータ名のリンクをクリックすると表示されるヘルプを参照してください。

ステップ 6

[保存(Save)] をクリックします。

ステップ 7

サービスが有効になっている各サーバでこの手順を繰り返します。

アプリケーションまたはエンドユーザの証明書操作状況を表示する

証明書の処理状況は、特定の [アプリケーションユーザー(Application User)] または [エンドユーザーの CAPF プロファイル設定(End User CAPF Profile configuration)] ウィンドウ([検索/一覧表示(Find/List)] ウィンドウではない)、または [JTAPI/TSP の設定(JTAPI/TSP Preferences)] GUI ウィンドウで確認できます。