暗号管理

暗号管理

暗号管理は、すべての TLS および SSH 接続で許可されるセキュリティ暗号のセットを管理できるオプション機能です。 暗号管理により、強度の低い暗号を無効にして、最小限のセキュリティレベルを有効にすることができます。

[ 暗号管理 ] ページにデフォルト値がありません。 代わりに、暗号管理機能は許可された暗号を設定した場合にのみ有効になります。 特定の脆弱な暗号は、[ 暗号管理 ] ページで設定されている場合でも、使用できません。

次の TLS および SSH インターフェイスで暗号を設定できます。

  • すべての TLS(All TLS):このフィールドで指定される指定された暗号は、Unified Communications Manager および IM and Presence Serviceで TLS プロトコルをサポートするすべてのサーバーとクライアント接続に適用されます。

  • HTTPS TLS:このフィールドで指定される暗号は、Unified Communications ManagerIM and Presence Service で TLS プロトコルをサポートするポート 443 および 8443 のすべての Cisco Tomcat 接続に適用されます。


    (注)  


    [HTTPS TLS] および [すべての TLS(All TLS)] フィールドに暗号を指定すると、[HTTPS TLS] によって[すべての TLS(All TLS)] の暗号が上書きされます。


  • SIP TLS—このフィールドで指定される暗号は、Unified Communications Manager で TLS プロトコルをサポートする SIP TLS インターフェイスとの間のすべての暗号化接続に適用されます。 SCCP または CTI デバイスには適用されません。

    認証済みモードの SIP インターフェイスは、NULL-SHA 暗号のみをサポートします。

    SIP インターフェイスまたはすべてのインターフェイスで暗号を設定すると、認証モードはサポートされなくなります。

    [SIP TLS] および [すべての TLS(All TLS)] フィールドに暗号を指定すると、SIP TLS で設定した暗号がすべての TLS 暗号を上書きします。

  • SSH 暗号—このフィールドで指定された暗号は、 Unified Communications Manager および IM and Presence Serviceの SSH 接続に適用されます。

  • SSH 鍵交換—このフィールドで指定された鍵交換アルゴリズムは、 Unified Communications Manager および IM and Presence Serviceの SSH インターフェースに適用されます。

曲線ネゴシエーション

以下は、曲線をネゴシエートするためのポイントです。

  • ECDSA 暗号は、ECDSA 証明書のキーサイズに基づいて、異なる EC 曲線と自動的に選択されます。

  • RSA 暗号は、証明書のキーサイズに関係なく、すべての EC 曲線と自動的に選択されます。

  • TLS 自動選択を行うには、ECDSA 証明書のキーサイズが曲線サイズと同じである必要があります。

例:

クライアントが P-384 EC 曲線を提供すると、384 キー証明書と ECDSA 暗号が交渉されます。

曲線交渉は、RSA および ECDSA 暗号の両方に対するクライアントの優先度に基づいています。

証明書のサイズが 384 ビットで、クライアントに提供されるものが P-521、P-384、P-256 EC 曲線の場合、TLS 交渉は P-521 曲線で行われます。 クライアントが提供する曲線は最初は P-521 で、P-384 曲線もリストで利用可能です。 証明書のサイズが 384 ビットで、クライアントに提供されるものが P-521、P-256 EC 曲線である場合、クライアントは P-384 曲線を提供しないため、TLS ネゴシエーションは行われません。

以下は、EC 曲線でサポートされている暗号です。

TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
TLS_ECDHE_ECDSA_WITH_3DES_EDE_CBC_SHA
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA
TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA
TLS_ECDHE_RSA_WITH_3DES_EDE_CBC_SHA
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256
TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384

推奨される暗号

デフォルトでは、Unified Communications Manager と IM and Presence Service はすでに一連の暗号(下記の「TLS および SSH 暗号」のセクションを参照)を使用し、サードパーティ製品を含む他のほとんどの製品とのセキュアな統合をサポートしています。 したがって、通常は変更を行う必要はありません。 暗号スイートの不一致によって TLS ハンドシェイクが失敗する場合、Unified Communications Manager の暗号管理を使用して、サポートされている暗号のリストに追加の暗号を追加できます。

暗号管理は、顧客の制限を厳しくし、TLS ハンドシェイク中に特定の暗号スイートがネゴシエートされるのを防ぐ場合にも使用できます。 暗号を設定した後で変更を有効にするには、影響を受けるサービスを再起動するか、サーバーをリブートします。


警告


SSH MAC インターフェイスで sha2-512 を設定すると、DRS と CDR の機能が影響を受けます。

暗号 aes128-gcm@openssh.com の設定、"ssh Cipher の" フィールド内の aes256-gcm@openssh.com、または ssh kex "の sha2-nistp256 アルゴリズムのみを設定すると、DRS と CDR の機能が失われます。


Cisco は、TLS および SSH インターフェイスの構成用に次の暗号ストリングをサポートしています。

TLS
ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:
ECDHE-RSA-AES256-SHA:AES256-GCM-SHA384:AES256-SHA256:AES256-SHA:
ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-SHA256:
ECDHE-RSA-AES128-SHA:AES128-GCM-SHA256:AES128-SHA256:AES128-SHA

SSH 暗号
aes128-ctr,aes192-ctr,aes256-ctr,aes128-gcm@openssh.com,
aes256-gcm@openssh.com

SSH MAC
hmac-sha2-512,hmac-sha2-256,hmac-sha1
SSH KEX
ecdh-sha2-nistp521, ecdh-sha2-nistp384, ecdh-sha2-nistp256, 
diffie-hellman-group14-sha1, diffie-hellman-group16-sha512, diffie-hellman-group14-sha256

暗号文字列の設定

  • [すべての TLS(All TLS)][SIP TLS]、および [HTTPS TLS] フィールドに暗号文字列を OpenSSL 暗号文字列形式で入力していることを確認してください。

  • また、OpenSSH 形式の暗号またはアルゴリズムを SSH Ciphersフィールドに、 SSH MACフィールドに、 SSH 鍵交換 フィールドに入力します。

  • 推奨される暗号を確認してください。

異なるセキュア インターフェイスで暗号文字列を設定するには、「暗号制限」セクションを参照してください。

手順


ステップ 1

Cisco Unified OS の管理から、 セキュリティ > 暗号管理を選択します。

[暗号管理] ページが表示されます。

ステップ 2

All TLSSIP TLS、または HTTPS TLS で暗号文字列を設定するには フィールドの 暗号文字列 フィールドに OpenSSL 暗号文字列形式の暗号文字列を入力してください。

ステップ 3

次のフィールドで暗号文字列を設定しない場合:

  • すべての TLS または HTTPS TLS フィールド: HTTPS TLS インターフェースポート (8443) は、 エンタープライズパラメータ (HTTPS 暗号) ページから設定を取得します。

  • すべての TLS または SIP TLS フィールド—SIP インターフェースポート (5061) は、暗号化モードで エンタープライズパラメータ (TLS 暗号) ページから設定を取得し、認証モードでは NULL-SHA 暗号を使用します。

(注)  

 
HTTPS TLS または SIP TLS フィールドで暗号文字列を設定しない場合、システムはデフォルトで すべての TLS フィールドから設定を取得します。

OpenSSL 暗号文字列形式の詳細は、 https://www.openssl.org/docs/man1.0.2/apps/ciphers.html を参照してください。

ステップ 4

[ SSH 暗号 ] フィールドで暗号文字列を設定するには、[ 暗号文字列フィールド]に OpenSSH 暗号文字列形式で暗号文字列を入力します。

SSH 暗号用の OpenSSH 暗号文字列形式の詳細は、 https://www.ssh.com/manuals/server-admin/44/Ciphers_and_MACs.html を参照してください。

[ SSH 暗号 ] フィールドで暗号文字列を設定しない場合、デフォルトで次の暗号がすべての SSH 接続に適用されます:

FIPS モード:

          aes128-ctr, aes192-ctr, aes256-ctr,
          aes128-gcm@openssh.com, aes256-gcm@openssh.com
非 FIPS モード:

          aes128-ctr, aes192-ctr, aes256-ctr,
          aes128-gcm@openssh.com, aes256-gcm@openssh.com 

ステップ 5

キー交換アルゴリズムを [ SSH キー交換 ] フィールドに設定するには、アルゴリズム文字列を OpenSSH 文字列形式で アルゴリズム文字列 フィールドに入力します。

SSH 鍵交換のための OpenSSH アルゴリズム文字列形式の詳細は、 https://datatracker.ietf.org/doc/rfc9142/を参照してください。

[ SSH 鍵交換 ] フィールドで鍵交換アルゴリズムを設定していない場合、デフォルトで次の鍵交換アルゴリズムがすべての SSH 接続に適用されます:

FIPS モード:

          diffie-hellman-group1-sha1,diffie-hellman-group14-sha1,
          diffie-hellman-group-exchange-sha1,diffie-hellman-group-exchange-sha256,
          ecdh-sha2-nistp256,ecdh-sha2-nistp384,ecdh-sha2-nistp521
非 FIPS モード:

         diffie-hellman-group1-sha1, diffie-hellman-group14-sha1,
         diffie-hellman-group-exchange-sha1,diffie-hellman-group-exchange-sha256,
         ecdh-sha2-nistp256,ecdh-sha2-nistp384,ecdh-sha2-nistp521

ステップ 6

MAC アルゴリズムを SSH MAC フィールドに設定するには、アルゴリズム文字列を OpenSSH 文字列形式で アルゴリズム文字列 フィールドに入力します。

SSH MAC の OpenSSH アルゴリズム文字列形式に関する詳細は、 https://www.ssh.com/manuals/server-admin/44/Ciphers_and_MACs.html を参照してください。

SSH MAC フィールドで MAC アルゴリズムを設定しない場合、デフォルトで次の MAC アルゴリズムがすべての SSH 接続に適用されます。

FIPS モード:
hmac-sha1
非 FIPS モード:
hmac-sha1

ステップ 7

[保存(Save)] をクリックします。

(注)  

 
暗号拡張文字列 および アルゴリズム拡張文字列 フィールドを編集することはできません。

システムは、 All TLSSIP TLSHTTPS TLS 、および SSH Ciphers フィールドに入力し、 暗号拡張文字列 フィールドに自動的に暗号が入力されますの暗号化を検証します。

[ 暗号文字列 ] フィールドに無効な暗号を入力すると、 暗号拡張文字列 フィールドには自動入力されず、次のエラーメッセージが表示されます。

入力した暗号文字列は無効です

システムは [ SSH キー交換 ] および SSH MAC フィールドのアルゴリズムを検証し、 アルゴリズム拡張文字列 フィールドに自動的にアルゴリズムを入力します。

[ アルゴリズム文字列 ] フィールドに無効なアルゴリズムを入力すると、 [アルゴリズム拡張文字列] フィールドは自動的に入力されず、次のエラーメッセージが表示されます。

無効なアルゴリズム文字列を入力しました

(注)  

 
暗号拡張文字列 および アルゴリズム拡張文字列 フィールドに自動入力された暗号またはアルゴリズムは、有効な暗号またはアルゴリズムではありません。 システムは 暗号拡張文字列 または アルゴリズム拡張文字列 フィールドから暗号またはアルゴリズムを選択します。

対応するフィールドで暗号を設定した場合、それぞれのサービスを再起動するか再起動する必要があります。
表 1. 設定された暗号とそれに対応するアクション
設定された暗号フィールド 操作
すべて

クラスター内のすべてのノードを再起動して、暗号文字列を有効にします。

HTTPS TLS

暗号文字列を有効にするために、すべてのノードで Cisco Tomcat サービスを再起動します。

SIP TLS

暗号文字列を有効にするために、すべてのノードで Unified Communications Manager サービスを再起動してください。

SSH 暗号

クラスター内のすべてのノードを再起動して、暗号文字列を有効にします。

SSH キー交換 または SSH MAC

クラスター内のすべてのノードを再起動してアルゴリズム文字列を有効にします。


(注)  


[暗号管理(Cipher Management)] ページの [暗号文字列(Cipher String)] フィールドに暗号を入力することで有効にできます。 それらを入力しない場合、アプリケーションでサポートされているすべてのデフォルトの暗号が有効になります。 ただし、 暗号管理 ページの 暗号文字列 フィールドに特定の弱い暗号を入力しないことにより、それらも無効にできます。

暗号の制限

暗号管理設定ページでは任意の数の暗号を設定できますが、各アプリケーションには、そのインターフェイスでサポートされている暗号のリストがあります。 たとえば、すべてのTLSインターフェイスで ECDHE、DHE またはECDSA ベースの暗号が表示される場合がありますが、ユニファイド コミュニケーション マネージャなどのアプリケーションでは、EC カーブまたは DHE アルゴリズムはこのアプリケーションのインターフェイスに対して有効ではないため、このような暗号をサポートしていない場合があります。 個々のアプリケーション インターフェイスでサポートされている暗号のリストの詳細については、「アプリケーションの暗号のサポート」のセクションを参照してください。


(注)  


[暗号管理(Cipher Management)] ページで設定された暗号を使用してクラスタをアップグレードする場合は、ALL フィールドと HTTPS フィールドの間に少なくとも 1 つの共通暗号を設定してください。

(注)  


Cisco クラウドオンボード設定は暗号管理スイートの一部ではなく、サーバーでサポートされているすべてのデフォルトの暗号を使用します。 ただし、この制限は 12.5(1) SU6 リリース以降では修正されています。

(注)  


いずれかのノードがクラスターから切断されていて、暗号を設定する場合、パブリッシャノードと切断されたノードの両方で暗号を更新していることを確認してください。

代わりに、クラスタが再確立されて同じ暗号設定を持つすべてのノードを同期した後で、パブリッシャノードで暗号を再度設定できます。


GUIでの検証

暗号管理ページの暗号は、OpenSSL のガイドラインに従って検証されます。 たとえば、ALL:BAD:!MD5と設定されている暗号の場合、「不良」は暗号一式として認識されていなくても、暗号構文は有効であると見なされます。 OpenSSLは、これを有効な文字列と見なします。 AES128_SHA が AES128-SHA (ハイフンではなく下線) を使用して設定されている場合、OpenSSL はこれを無効な暗号スイートとして識別します。

認証モード (NULL 暗号)

アプリケーション インターフェイスが NULL の暗号を使用している場合は、暗号管理ページの ALL TLS または SIP TLS フィールドに暗号リストを設定することによって、NULL 暗号のサポートを無効にすることができます。

NULL 暗号を使用するアプリケーションインターフェイスの例は次のとおりです。

  • すべての TLS インターフェイス(All TLS Interface)[TLS コンテキストの設定(TLS Context Configuration)] ページ経由の IM and Presence の Unified Communications Manager SIP プロキシ。

  • SIP TLS インターフェイス: SIP または SCCP で、いずれかのデバイスセキュリティ プロファイル認証済みモードに設定されている場合に、SIP または SCCP が経由します。

NULL 暗号を使用する必要がある場合は、これら 2 つのインターフェイスのいずれについても暗号を設定しないでください。

オーバーライド機能

暗号管理 (Cipher Management) ページの設定により、各アプリケーションと、暗号が設定されているその他の場所のデフォルト設定が上書きされます。 つまり、[Cipher Management ]ページで暗号が設定されていない場合は、すべてのインターフェイスの元の機能が保持されます。

たとえば、エンタープライズパラメータ"TLS の暗号"が、サポートされ"ているすべて"の暗号を使用して設定され"ていて、[暗号管理] ページが暗号によって構成されている場合、AES256-GCM-SHA384: AES256-SHA256"すべての TLSインターフェイスで、すべてのアプリケーション SIP インターフェイスは "AES256-gcm-SHA384: AES256-sha256" 暗号のみをサポートし、エンタプライズパラメータ値は無視されます。

アプリケーションの暗号のサポート

次の表は、アプリケーション インターフェイスと、TLS および SSH インターフェイスでサポートされているすべての対応する暗号、およびアルゴリズムを示しています。

表 2. TLS 暗号のための Unified Communications Manager の暗号サポート

アプリケーション/プロセス

プロトコル

ポート

サポート対象の暗号方式

Cisco CallManager

TCP/TLS

2443

ECDHE-RSA-AES256-GCM-SHA384:
ECDHE-RSA-AES256-SHA384:
AES256-GCM-SHA384:
AES256-SHA256:
AES256-SHA:
ECDHE-RSA-AES128-GCM-SHA256:
ECDHE-RSA-AES128-SHA256:
ECDHE-RSA-AES128-SHA:
AES128-GCM-SHA256:
AES128-SHA256:AES128-SHA:
ECDHE-RSA-AES256-SHA:

(注)  

 
次の暗号は、リリース 14SU2 以降ではサポートされません。

CAMELLIA128-SHA
CAMELLIA256-SHA:

DRS

TCP/TLS

4040

ECDHE-RSA-AES256-GCM-SHA384:
ECDHE-RSA-AES256-SHA384:
AES256-GCM-SHA384:AES256-SHA256:
AES256-SHA:CAMELLIA256-SHA:
ECDHE-RSA-AES128-GCM-SHA256:
ECDHE-RSA-AES128-SHA256:
ECDHE-RSA-AES128-SHA:
AES128-GCM-SHA256:AES128-SHA256:
AES128-SHA:
ECDHE-RSA-AES256-SHA:
DHE-RSA-CAMELLIA256-SHA:
DHE-RSA-CAMELLIA128-SHA:
CAMELLIA128-SHA

Cisco Tomcat

TCP/TLS

8443 / 443

ECDHE-RSA-AES256-GCM-SHA384:
ECDHE-RSA-AES256-SHA384:
DHE-RSA-AES256-GCM-SHA384:
DHE-RSA-AES256-SHA256:
DHE-RSA-AES256-SHA:
AES256-GCM-SHA384:AES256-SHA256:
AES256-SHA:
ECDHE-RSA-AES128-GCM-SHA256:
ECDHE-RSA-AES128-SHA256:
ECDHE-RSA-AES128-SHA:
DHE-RSA-AES128-GCM-SHA256:
DHE-RSA-AES128-SHA256:
DHE-RSA-AES128-SHA:
AES128-GCM-SHA256:AES128-SHA256:
AES128-SHA: 
ECDHE-ECDSA-AES256-GCM-SHA384:
ECDHE-ECDSA-AES256-SHA384:
ECDHE-ECDSA-AES256-SHA:
ECDHE-ECDSA-AES128-GCM-SHA256:
ECDHE-ECDSA-AES128-SHA256:
ECDHE-ECDSA-AES128-SHA:
ECDHE-RSA-AES256-SHA:

(注)  

 
次の暗号は、リリース 14SU2 以降ではサポートされません。

DHE-RSA-CAMELLIA256-SHA:
CAMELLIA256-SHA:
DHE-RSA-CAMELLIA128-SHA:
CAMELLIA128-SHA:
ECDHE-RSA-DES-CBC3-SHA:
EDH-RSA-DES-CBC3-SHA:
DES-CBC3-SHA:
ECDHE-ECDSA-DES-CBC3-SHA:

Cisco CallManager

TCP/TLS

5061

ECDHE-RSA-AES256-GCM-SHA384:
ECDHE-ECDSA-AES256-GCM-SHA384 
ECDHE-RSA-AES256-SHA384:
ECDHE-ECDSA-AES256-SHA384: 
AES256-GCM-SHA384:AES256-SHA256:
AES256-SHA:
ECDHE-ECDSA-AES128-GCM-SHA256:
ECDHE-RSA-AES128-GCM-SHA256:
ECDHE-RSA-AES128-SHA256
ECDHE-ECDSA-AES128-SHA256:
ECDHE-RSA-AES128-SHA 
ECDHE-ECDSA-AES128-SHA:
AES128-GCM-SHA256:AES128-SHA256:
AES128-SHA:
ECDHE-RSA-AES256-SHA:

(注)  

 
次の暗号は、リリース 14SU2 以降ではサポートされません。

ECDHE-ECDSA-AES256-SHA:
CAMELLIA256-SHA:
CAMELLIA128-SHA:
ECDHE-ECDSA-DES-CBC3-SHA

Cisco CTL Provider

(注)  

 
Cisco CTL Provider は、リリース 14SU3 以降では使用できません。

TCP/TLS

2444

AES256-GCM-SHA384:AES256-SHA256:
AES256-SHA:CAMELLIA256-SHA:
AES128-GCM-SHA256:AES128-SHA256:
AES128-SHA:CAMELLIA128-SHA:
 

Cisco 認証局プロキシ機能

TCP/TLS

3804

AES256-GCM-SHA384:AES256-SHA256:
AES256-SHA:
AES128-GCM-SHA256:AES128-SHA256:
AES128-SHA:

次の暗号は、リリース 14SU4 以降でサポートされています。

ECDHE-RSA-AES256-GCM-SHA384:
ECDHE-RSA-AES128-GCM-SHA256:
ECDHE-RSA-AES256-SHA384:
ECDHE-RSA-AES128-SHA256

(注)  

 
次の暗号は、リリース 14SU2 以降ではサポートされません。
CAMELLIA256-SHA:
CAMELLIA128-SHA:

CTIManager

TCP/TLS

2749

ECDHE-RSA-AES256-GCM-SHA384:
ECDHE-RSA-AES256-SHA384:
AES256-GCM-SHA384:AES256-SHA256:
AES256-SHA:
ECDHE-RSA-AES128-GCM-SHA256:
ECDHE-RSA-AES128-SHA256:
ECDHE-RSA-AES128-SHA:
AES128-GCM-SHA256:AES128-SHA256:
AES128-SHA:
ECDHE-RSA-AES256-SHA:

(注)  

 
次の暗号は、リリース 14SU2 以降ではサポートされません。

CAMELLIA256-SHA:
CAMELLIA128-SHA

シスコ信頼検証サービス

TCP/TLS

2445

AES256-GCM-SHA384:AES256-SHA256:
AES256-SHA:
AES128-GCM-SHA256:AES128-SHA256:
AES128-SHA:

次の暗号は、リリース 14SU4 以降でサポートされています。

ECDHE-RSA-AES256-GCM-SHA384:
ECDHE-RSA-AES128-GCM-SHA256:
ECDHE-RSA-AES256-SHA384:
ECDHE-RSA-AES128-SHA256

(注)  

 
次の暗号は、リリース 14SU2 以降ではサポートされません。
CAMELLIA256-SHA:
CAMELLIA128-SHA

シスコ クラスタ間検索サービス

TCP/TLS

7501

ECDHE-RSA-AES256-GCM-SHA384:
ECDHE-RSA-AES256-SHA384:
AES256-GCM-SHA384:
AES256-SHA256:AES256-SHA:
ECDHE-RSA-AES128-GCM-SHA256:
ECDHE-RSA-AES128-SHA256:
ECDHE-RSA-AES128-SHA:
AES128-GCM-SHA256:AES128-SHA256:
AES128-SHA:
ECDHE-RSA-AES256-SHA:

(注)  

 
次の暗号は、リリース 14SU2 以降ではサポートされません。
CAMELLIA256-SHA:
CAMELLIA128-SHA:

安全な設定ダウンロード (HAPROXY)

TCP/TLS

6971, 6972

ECDHE-RSA-AES256-GCM-SHA384:
ECDHE-RSA-AES256-SHA384:
AES256-GCM-SHA384:AES256-SHA256:
AES256-SHA:
ECDHE-RSA-AES128-GCM-SHA256:
ECDHE-RSA-AES128-SHA256:
ECDHE-RSA-AES128-SHA:
AES128-GCM-SHA256:AES128-SHA256:
AES128-SHA:
ECDHE-ECDSA-AES256-GCM-SHA384:
ECDHE-ECDSA-AES256-SHA384:
ECDHE-ECDSA-AES128-SHA256:
ECDHE-ECDSA-AES128-SHA:
ECDHE-RSA-AES256-SHA:

(注)  

 
次の暗号は、リリース 14SU2 以降ではサポートされません。
DHE-RSA-CAMELLIA256-SHA:
CAMELLIA256-SHA:
DHE-RSA-CAMELLIA128-SHA:
ECDHE-ECDSA-AES256-SHA:
ECDHE-ECDSA-DES-CBC3-SHA:
CAMELLIA128-SHA:

認証済み UDS 連絡先の検索

TCP/TLS

9443

ECDHE-RSA-AES256-GCM-SHA384:
ECDHE-RSA-AES256-SHA384:
AES256-GCM-SHA384:AES256-SHA256:
AES256-SHA:
ECDHE-RSA-AES128-GCM-SHA256:
ECDHE-RSA-AES128-SHA256:
ECDHE-RSA-AES128-SHA:
AES128-GCM-SHA256:AES128-SHA256:
AES128-SHA:
ECDHE-ECDSA-AES256-GCM-SHA384:
ECDHE-ECDSA-AES256-SHA384:
ECDHE-ECDSA-AES128-SHA256:
ECDHE-ECDSA-AES128-SHA:
ECDHE-RSA-AES256-SHA:

(注)  

 
次の暗号は、リリース 14SU2 以降ではサポートされません。
DHE-RSA-CAMELLIA256-SHA:
CAMELLIA256-SHA:
DHE-RSA-CAMELLIA128-SHA:
CAMELLIA128-SHA:
ECDHE-ECDSA-AES256-SHA:
ECDHE-ECDSA-DES-CBC3-SHA:
表 3. Unified Communications Manager IM およびプレゼンス暗号サポートが TLS の暗号でサポートされています

アプリケーション/プロセス

プロトコル

ポート

サポート対象の暗号方式

Cisco SIP Proxy

TCP/TLS

5061

ECDHE-RSA-AES256-GCM-SHA384:
ECDHE-ECDSA-AES256-GCM-SHA384:
ECDHE-RSA-AES256-SHA384:
ECDHE-ECDSA-AES256-SHA384:
AES256-GCM-SHA384:AES256-SHA256:
AES256-SHA:
ECDHE-RSA-AES128-GCM-SHA256:
ECDHE-ECDSA-AES128-GCM-SHA256:
ECDHE-RSA-AES128-SHA256:
ECDHE-ECDSA-AES128-SHA256:
ECDHE-RSA-AES128-SHA:
ECDHE-ECDSA-AES128-SHA:
AES128-GCM-SHA256:
AES128-SHA256:
AES128-SHA:
ECDHE-RSA-AES256-SHA:

(注)  

 
次の暗号は、リリース 14SU2 以降ではサポートされません。
CAMELLIA256-SHA:
CAMELLIA128-SHA:
DES-CBC3-SHA:
ECDHE-ECDSA-DES-CBC3-SHA:
ECDHE-RSA-DES-CBC3-SHA:
ECDHE-ECDSA-AES256-SHA:

Cisco SIP Proxy

TCP/TLS

5062

ECDHE-RSA-AES256-GCM-SHA384:
ECDHE-ECDSA-AES256-GCM-SHA384:
ECDHE-RSA-AES256-SHA384:
ECDHE-ECDSA-AES256-SHA384:
AES256-GCM-SHA384:
AES256-SHA256:AES256-SHA:
ECDHE-RSA-AES128-GCM-SHA256:
ECDHE-ECDSA-AES128-GCM-SHA256:
ECDHE-RSA-AES128-SHA256:
ECDHE-ECDSA-AES128-SHA256:
ECDHE-RSA-AES128-SHA:
ECDHE-ECDSA-AES128-SHA:
AES128-GCM-SHA256:AES128-SHA256:
AES128-SHA:
ECDHE-RSA-AES256-SHA:

(注)  

 
次の暗号は、リリース 14SU2 以降ではサポートされません。
CAMELLIA256-SHA:
CAMELLIA128-SHA:
DES-CBC3-SHA:
ECDHE-ECDSA-DES-CBC3-SHA:
ECDHE-RSA-DES-CBC3-SHA:
ECDHE-ECDSA-AES256-SHA:

Cisco SIP Proxy

TCP/TLS

8083

ECDHE-RSA-AES256-GCM-SHA384:
ECDHE-ECDSA-AES256-GCM-SHA384:
ECDHE-RSA-AES256-SHA384:
ECDHE-ECDSA-AES256-SHA384:
AES256-GCM-SHA384:AES256-SHA256:
AES256-SHA:
ECDHE-RSA-AES128-GCM-SHA256:
ECDHE-ECDSA-AES128-GCM-SHA256:
ECDHE-RSA-AES128-SHA256:
ECDHE-ECDSA-AES128-SHA256:
ECDHE-RSA-AES128-SHA:
ECDHE-ECDSA-AES128-SHA:
AES128-GCM-SHA256:AES128-SHA256:
AES128-SHA:
ECDHE-RSA-AES256-SHA:

(注)  

 
次の暗号は、リリース 14SU2 以降ではサポートされません。
CAMELLIA256-SHA:
CAMELLIA128-SHA:
DES-CBC3-SHA:
ECDHE-ECDSA-DES-CBC3-SHA:
ECDHE-RSA-DES-CBC3-SHA:
ECDHE-ECDSA-AES256-SHA:

Cisco Tomcat

TCP/TLS

8443, 443

ECDHE-RSA-AES256-GCM-SHA384:
ECDHE-RSA-AES256-SHA384:
DHE-RSA-AES256-GCM-SHA384:
DHE-RSA-AES256-SHA256:
DHE-RSA-AES256-SHA:
AES256-GCM-SHA384:AES256-SHA256:
AES256-SHA:
ECDHE-RSA-AES128-GCM-SHA256:
ECDHE-RSA-AES128-SHA256:
ECDHE-RSA-AES128-SHA:
DHE-RSA-AES128-GCM-SHA256:
DHE-RSA-AES128-SHA256:
DHE-RSA-AES128-SHA:
AES128-GCM-SHA256:
AES128-SHA256:AES128-SHA:
ECDHE-ECDSA-AES256-GCM-SHA384:
ECDHE-ECDSA-AES256-SHA384:
ECDHE-ECDSA-AES128-GCM-SHA256:
ECDHE-ECDSA-AES128-SHA256:
ECDHE-ECDSA-AES128-SHA:
ECDHE-RSA-AES256-SHA:

(注)  

 
次の暗号は、リリース 14SU2 以降ではサポートされません。
CAMELLIA128-SHA:
CAMELLIA256-SHA:
DES-CBC3-SHA:
ECDHE-ECDSA-DES-CBC3-SHA:
ECDHE-RSA-DES-CBC3-SHA:
DHE-RSA-CAMELLIA128-SHA:
DHE-RSA-CAMELLIA256-SHA:
ECDHE-ECDSA-AES256-SHA:
EDH-RSA-DES-CBC3-SHA:

Cisco XCP XMPP Federation Connection Manager

TCP/TLS

5269

ECDHE-RSA-AES256-GCM-SHA384:
ECDHE-ECDSA-AES256-GCM-SHA384:
ECDHE-RSA-AES256-SHA384:
ECDHE-ECDSA-AES256-SHA384:
AES256-GCM-SHA384:AES256-SHA256:
AES256-SHA:
ECDHE-RSA-AES128-GCM-SHA256:
ECDHE-ECDSA-AES128-GCM-SHA256:
ECDHE-RSA-AES128-SHA256:
ECDHE-ECDSA-AES128-SHA256:
ECDHE-RSA-AES128-SHA:
ECDHE-ECDSA-AES128-SHA:
AES128-GCM-SHA256:AES128-SHA256:
AES128-SHA:

(注)  

 
次の暗号は、リリース 14SU2 以降ではサポートされません。
CAMELLIA256-SHA:
CAMELLIA128-SHA:
DES-CBC3-SHA:
ECDHE-ECDSA-DES-CBC3-SHA:
ECDHE-RSA-DES-CBC3-SHA:
ECDHE-ECDSA-AES256-SHA:
ECDHE-RSA-AES256-SHA:

Cisco XCP Client Connection Manager

TCP/TLS

5222

ECDHE-RSA-AES256-GCM-SHA384:
ECDHE-ECDSA-AES256-GCM-SHA384:
ECDHE-RSA-AES256-SHA384:
ECDHE-ECDSA-AES256-SHA384:
AES256-GCM-SHA384:AES256-SHA256:
AES256-SHA:
ECDHE-RSA-AES128-GCM-SHA256:
ECDHE-ECDSA-AES128-GCM-SHA256:
ECDHE-RSA-AES128-SHA256:
ECDHE-ECDSA-AES128-SHA256:
ECDHE-RSA-AES128-SHA:
ECDHE-ECDSA-AES128-SHA:
AES128-GCM-SHA256:AES128-SHA256:
AES128-SHA:

(注)  

 
次の暗号は、リリース 14SU2 以降ではサポートされません。
CAMELLIA128-SHA:
CAMELLIA256-SHA:
DES-CBC3-SHA:
ECDHE-ECDSA-DES-CBC3-SHA:
ECDHE-RSA-DES-CBC3-SHA:
ECDHE-ECDSA-AES256-SHA:
ECDHE-RSA-AES256-SHA:
表 4. SSH 暗号の暗号サポート

サービス

暗号/アルゴリズム

SSH サーバ

  • 暗号方式

    aes128-ctr
    aes192-ctr
    aes256-ctr
    aes128-gcm@openssh.com
    aes256-gcm@openssh.com
    
  • MAC アルゴリズム:

    hmac-sha2-256
    hmac-sha2-512
    hmac-sha1
    
  • KEX アルゴリズム:

    ecdh-sha2-nistp521
    ecdh-sha2-nistp384
    ecdh-sha2-nistp256
    diffie-hellman-group14-sha1
    diffie-hellman-group14-sha256
    diffie-hellman-group16-sha512
    
  • 非 FIPS モードでのホストキーアルゴリズム:

    rsa-sha2-256
    rsa-sha2-512
    ssh-rsa
    
  • FIPS モードでのホストキーアルゴリズム:

    rsa-sha2-256
    rsa-sha2-512
    

SSH クライアント

  • 暗号:

    aes128-ctr
    aes192-ctr
    aes256-ctr
    aes128-gcm@openssh.com
    aes256-gcm@openssh.com
  • MAC アルゴリズム:

    hmac-sha2-256
    hmac-sha2-512
    hmac-sha1
  • KEX アルゴリズム:

    ecdh-sha2-nistp521
    ecdh-sha2-nistp384
    ecdh-sha2-nistp256
    diffie-hellman-group14-sha1
    diffie-hellman-group14-sha256
    diffie-hellman-group16-sha512
    
  • 非 FIPS モードでのホストキーアルゴリズム:

    rsa-sha2-256
    rsa-sha2-512
    ssh-rsa
  • FIPS モードでのホストキーアルゴリズム:

    rsa-sha2-256
    rsa-sha2-512

DRS クライアント

  • 暗号:

    
    aes256-ctr
    aes256-cbc
    aes128-ctr
    aes128-cbc
  • MAC アルゴリズム:

    hmac-sha2-256
    hmac-sha2-512
    hmac-sha1
  • KEX アルゴリズム:
    ecdh-sha2-nistp256
    ecdh-sha2-nistp384
    ecdh-sha2-nistp521
    diffie-hellman-group14-sha256
    diffie-hellman-group16-sha512

    (注)  

     
    Unified CM サーバーで暗号管理機能を設定している場合、Kex アルゴリズム diffie-hellman-group-exchange-sha256、diffie--group-exchange-sha1、および diffie-hellman-group1-sha1 はリリース 12.5(1)SU4 でサポートされません。 暗号が設定されていない場合、DRS クライアントは次のアルゴリズムを使用します。

SFTP クライアント

  • 暗号:

    aes128-ctr
    aes192-ctr 
    aes256-ctr 
  • MAC アルゴリズム:

    hmac-sha2-256 
    hmac-sha1
  • KEX アルゴリズム:

    ecdh-sha2-nistp521 
    ecdh-sha2-nistp384 
    diffie-hellman-group14-sha1 
    diffie-hellman-group1-sha1 
    diffie-hellman-group-exchange-sha256 
    diffie-hellman-group-exchange-sha1

エンド ユーザ

hmac-sha512
SHA-512 – Hashing (salted)

DRS バックアップ/ RTMT SFTP

AES-128 – Encryption

アプリケーションユーザ

AES-256 – Encryption

暗号の制限

暗号管理ページでは、OpenSSL または OpenSSH がサポートする暗号を設定できます。 ただし、暗号の一部は、偶発的なデータが偶発的に公開されることを回避するために、Cisco のセキュリティ標準に基づいて内部的に無効になっています。

[ Cipher Management ] ページで暗号を設定すると、次の暗号が基本的に無効になります。

TLS を無効にした暗号

EDH-RSA-DES-CBC-SHA:EDH-DSS-DES-CBC-SHA:ADH-DES-CBC-SHA:
DES-CBC-SHA:KRB5-DES-CBC-SHA:KRB5-DES-CBC-MD5:EXP-EDH-RSA-DES-CBC-SHA:
EXP-EDH-DSS-DES-CBC-SHA:EXP-ADH-DES-CBC-SHA:EXP-DES-CBC-SHA:EXP-RC2-CBC-MD5:
EXP-KRB5-RC2-CBC-SHA:EXP-KRB5-DES-CBC-SHA:EXP-KRB5-RC2-CBC-MD5:EXP-KRB5-DES-CBC-MD5:
EXP-ADH-RC4-MD5:EXP-RC4-MD5:EXP-KRB5-RC4-SHA:EXP-KRB5-RC4-MD5:ADH-AES256-GCM-SHA384:
ADH-AES256-SHA256:ADH-AES256-SHA:ADH-CAMELLIA256-SHA:ADH-AES128-GCM-SHA256:ADH-AES128-SHA256:
ADH-AES128-SHA:ADH-SEED-SHA:ADH-CAMELLIA128-SHA:ADH-DES-CBC3-SHA:ADH-RC4-MD5:
AECDH-AES256-SHA:AECDH-AES128-SHA:AECDH-DES-CBC3-SHA:AECDH-RC4-SHA:AECDH-NULL-SHA:
DES-CBC3-MD5:IDEA-CBC-MD5:RC2-CBC-MD5:RC4-MD5:ECDHE-RSA-RC4-SHA:ECDHE-ECDSA-RC4-SHA:
ECDH-RSA-RC4-SHA:ECDH-ECDSA-RC4-SHA:RC4-SHA:RC4-MD5:PSK-RC4-SHA:KRB5-RC4-SHA:
KRB5-RC4-MD5:IDEA-CBC-SHA:KRB5-IDEA-CBC-SHA:KRB5-IDEA-CBC-MD5:DHE-RSA-SEED-SHA:
DHE-DSS-SEED-SHA:SEED-SHA:KRB5-DES-CBC3-MD5:NULL-MD5:PSK-AES256-CBC-SHA:
PSK-AES128-CBC-SHA:PSK-3DES-EDE-CBC-SHA:ECDHE-RSA-NULL-SHA:ECDHE-ECDSA-NULL-SHA:
ECDH-RSA-NULL-SHA:ECDH-ECDSA-NULL-SHA:NULL-SHA256:NULL-SHA

SSH を無効にした暗号

3des-cbc,aes128-cbc,aes192-cbc,aes256-cbc,rijndael-cbc@lysator.liu.se

SSH が無効になっている KEX アルゴリズム

curve25519-sha256@libssh.org,gss-gex-sha1-,gss-group1-sha1-,gss-group14-sha1-

SSH が無効になっている MAC アルゴリズム

hmac-sha1-etm@openssh.com,hmac-sha2-256-etm@openssh.com