暗号管理
暗号管理は、すべての TLS および SSH 接続で許可されるセキュリティ暗号のセットを管理できるオプション機能です。 暗号管理により、強度の低い暗号を無効にして、最小限のセキュリティレベルを有効にすることができます。
[ 暗号管理 ] ページにデフォルト値がありません。 代わりに、暗号管理機能は許可された暗号を設定した場合にのみ有効になります。 特定の脆弱な暗号は、[ 暗号管理 ] ページで設定されている場合でも、使用できません。
次の TLS および SSH インターフェイスで暗号を設定できます。
-
すべての TLS(All TLS):このフィールドで指定される指定された暗号は、Unified Communications Manager および IM and Presence Serviceで TLS プロトコルをサポートするすべてのサーバーとクライアント接続に適用されます。
-
HTTPS TLS:このフィールドで指定される暗号は、Unified Communications Manager と IM and Presence Service で TLS プロトコルをサポートするポート 443 および 8443 のすべての Cisco Tomcat 接続に適用されます。
(注)
[HTTPS TLS] および [すべての TLS(All TLS)] フィールドに暗号を指定すると、[HTTPS TLS] によって[すべての TLS(All TLS)] の暗号が上書きされます。
-
SIP TLS—このフィールドで指定される暗号は、Unified Communications Manager で TLS プロトコルをサポートする SIP TLS インターフェイスとの間のすべての暗号化接続に適用されます。 SCCP または CTI デバイスには適用されません。
認証済みモードの SIP インターフェイスは、NULL-SHA 暗号のみをサポートします。
SIP インターフェイスまたはすべてのインターフェイスで暗号を設定すると、認証モードはサポートされなくなります。
[SIP TLS] および [すべての TLS(All TLS)] フィールドに暗号を指定すると、SIP TLS で設定した暗号がすべての TLS 暗号を上書きします。
-
SSH 暗号—このフィールドで指定された暗号は、 Unified Communications Manager および IM and Presence Serviceの SSH 接続に適用されます。
-
SSH 鍵交換—このフィールドで指定された鍵交換アルゴリズムは、 Unified Communications Manager および IM and Presence Serviceの SSH インターフェースに適用されます。
曲線ネゴシエーション
以下は、曲線をネゴシエートするためのポイントです。
-
ECDSA 暗号は、ECDSA 証明書のキーサイズに基づいて、異なる EC 曲線と自動的に選択されます。
-
RSA 暗号は、証明書のキーサイズに関係なく、すべての EC 曲線と自動的に選択されます。
-
TLS 自動選択を行うには、ECDSA 証明書のキーサイズが曲線サイズと同じである必要があります。
例:
クライアントが P-384 EC 曲線を提供すると、384 キー証明書と ECDSA 暗号が交渉されます。
曲線交渉は、RSA および ECDSA 暗号の両方に対するクライアントの優先度に基づいています。
証明書のサイズが 384 ビットで、クライアントに提供されるものが P-521、P-384、P-256 EC 曲線の場合、TLS 交渉は P-521 曲線で行われます。 クライアントが提供する曲線は最初は P-521 で、P-384 曲線もリストで利用可能です。 証明書のサイズが 384 ビットで、クライアントに提供されるものが P-521、P-256 EC 曲線である場合、クライアントは P-384 曲線を提供しないため、TLS ネゴシエーションは行われません。
以下は、EC 曲線でサポートされている暗号です。
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
TLS_ECDHE_ECDSA_WITH_3DES_EDE_CBC_SHA
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA
TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA
TLS_ECDHE_RSA_WITH_3DES_EDE_CBC_SHA
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256
TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
推奨される暗号
デフォルトでは、Unified Communications Manager と IM and Presence Service はすでに一連の暗号(下記の「TLS および SSH 暗号」のセクションを参照)を使用し、サードパーティ製品を含む他のほとんどの製品とのセキュアな統合をサポートしています。 したがって、通常は変更を行う必要はありません。 暗号スイートの不一致によって TLS ハンドシェイクが失敗する場合、Unified Communications Manager の暗号管理を使用して、サポートされている暗号のリストに追加の暗号を追加できます。
暗号管理は、顧客の制限を厳しくし、TLS ハンドシェイク中に特定の暗号スイートがネゴシエートされるのを防ぐ場合にも使用できます。 暗号を設定した後で変更を有効にするには、影響を受けるサービスを再起動するか、サーバーをリブートします。
警告 |
SSH MAC インターフェイスで sha2-512 を設定すると、DRS と CDR の機能が影響を受けます。 暗号 aes128-gcm@openssh.com の設定、"ssh Cipher の" フィールド内の aes256-gcm@openssh.com、または ssh kex "の sha2-nistp256 アルゴリズムのみを設定すると、DRS と CDR の機能が失われます。 |
Cisco は、TLS および SSH インターフェイスの構成用に次の暗号ストリングをサポートしています。
- TLS
ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384: ECDHE-RSA-AES256-SHA:AES256-GCM-SHA384:AES256-SHA256:AES256-SHA: ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-SHA256: ECDHE-RSA-AES128-SHA:AES128-GCM-SHA256:AES128-SHA256:AES128-SHA
- SSH 暗号
aes128-ctr,aes192-ctr,aes256-ctr,aes128-gcm@openssh.com, aes256-gcm@openssh.com
- SSH MAC
hmac-sha2-512,hmac-sha2-256,hmac-sha1
- SSH KEX
ecdh-sha2-nistp521, ecdh-sha2-nistp384, ecdh-sha2-nistp256, diffie-hellman-group14-sha1, diffie-hellman-group16-sha512, diffie-hellman-group14-sha256