電話機のセキュリティ

電話のセキュリティの概要

インストール時、Unified Communications Manager は非セキュアモードで起動します。 Unified Communications Manager のインストール後に電話を起動すると、すべての端末が非セキュア Unified Communications Manager として登録されます。

Unified Communications Manager 4.0(1) 以降のリリースからアップグレード後、電話はアップグレード前に有効にしたデバイスセキュリティモードで起動します。すべてのデバイスは、選択したセキュリティモードを使用して登録されます。

Unified Communications Manager インストールにより、 Unified Communications Manager および TFTP サーバ上に自己署名証明書が作成されます。 自己署名証明書の代わりに、 Unified Communications Manager サードパーティの CA 署名付き証明書を使用することもできます。 認証を設定すると、 Unified Communications Manager はその証明書を使ってサポートされている Cisco Unified IP Phone で認証を行います。 Unified Communications Manager と TFTP サーバ 上に証明書が存在する場合、 Unified Communications Manager が各アップグレード時に証明書を再発行することはありません。 Unified Communications Manager CLI コマンド util ctl update CTLFile を新しい証明書エントリで使用して、ctl ファイルを更新する必要があります。


ヒント

サポートされていない、または安全ではないシナリオに関する情報については、対話と制限に関連するトピックを参照してください。

Unified Communications Manager は、デバイス レベルで認証と暗号化のステータスを管理します。 通話に関連するすべてのデバイスがセキュアとして登録されている場合、通話ステータスはセキュアとして登録されます。 1 つのデバイスが非セキュアとして登録されると、発信者または受信者の電話がセキュアとして登録されている場合でも、通話は非セキュアとして登録されます。

ユーザーが Cisco Extension Mobility を使用している場合、Unified Communications Manager はデバイスの認証と暗号化のステータスを保持します。Unified Communications Manager は共有ラインが設定されている場合も、デバイスの認証と暗号化のステータスを保持します。


ヒント

暗号化された Cisco IP 電話の共有回線を設定する場合、回線を共有するすべてのデバイスで暗号化を設定します。つまり、暗号化をサポートするセキュリティプロファイルを適用することで、すべてのデバイスのデバイスセキュリティモードを暗号化に設定します。

電話セキュリティ強化の概要

このセクションでは、Gratuitous ARP の無効化、ウェブアクセスの無効化、PC 音声 VLAN アクセスの無効化、アクセスの無効化、PC ポートの無効化の設定など、電話のハードニングの動作の概要について説明します。

以下のオプション設定は、Cisco IP 電話への接続を強化するために使用されます。 [電話機の設定(Phone Configuration)] ウィンドウの [プロダクト固有の設定(Product-Specific Configuration Layout)] に、これらの設定が表示されます。

これらの設定は、一連の電話、またはすべての企業全体の電話に適用する場合、[共通の電話プロファイルの設定(Common Phone Profile Configuration)] ウィンドウと [企業の電話機の設定(Enterprise Phone Configuration)] ウィンドウにも表示されます。

表 1. 電話強化の動作

電話強化の動作

説明

Gratuitous ARP の無効化

デフォルトでは、 Cisco Unified IP Phone は、Gratuitous ARP パケットを受け付けます。 デバイスが使用する Gratuitous ARP パケットは、ネットワーク上のデバイスの存在を通知します。 しかし、攻撃者はこれらのパケットを使用して、有効なネットワーク デバイスになりすますことができます。たとえば、攻撃者はデフォルト ルーターを装ったパケットを送信する可能性があります。 無効にする場合は、[ 電話設定 ] ウィンドウで、Gratuitous ARP を無効にすることができます。

(注)  

 
この機能を無効にしても、電話がデフォルト ルーターを識別することはできます。

ウェブアクセスの無効化

電話のウェブサーバ機能を無効にすると、統計と設定情報を提供する電話の内部ウェブページへのアクセスがブロックされます。 CiscoQuality Report Tool などの機能は、電話のウェブページにアクセスしないと正しく機能しません。 ウェブ サーバを無効にすると、Web アクセスに依存する CiscoWorks などの Serviceability アプリケーションにも影響します。

ウェブ サービスが無効かどうかを判断するために、電話はサービスが無効か有効かを示す構成ファイルのパラメータを解析します。 ウェブ サービスが無効になっている場合、電話機はモニタリングの目的で HTTP ポート 80 を開かず、電話機の内部ウェブページへのアクセスをブロックします。

PC 音声 VLAN アクセスの無効化

デフォルトでは、Cisco IP Phone はスイッチポート(アップストリームスイッチに向かうポート)で受信したすべてのパケットを PC ポートに転送します。 [電話の設定] ウィンドウで [PC 音声 VLAN アクセス] 設定を無効にした場合、音声 VLAN 機能を使用する PC ポートから受信したパケットはドロップされます。 Cisco IP Phone はこの機能を異なる方法で使用します。

  • Cisco Unified IP Phone 7942 および 7962 は、PC ポート内外で、音声 VLAN でタグ付けされたパケットをドロップします。

  • Cisco Unified IP Phone 7970G は、PC ポートの入出力に関係なく、任意の VLAN 上の 802.1Q タグを含むすべてのパケットをドロップします。

アクセス無効に設定する

Cisco IP Phone の [アプリケーション] ボタンを押すと、既定では電話設定情報を含む様々な情報にアクセスすることができます。 [電話の設定] ウィンドウの [設定アクセス] パラメータを無効にすると、通常、電話機の [アプリケーション] ボタンを押したときに表示されるすべてのオプションへのアクセスが禁止されます。たとえば、[コントラスト]、[呼び出し音のタイプ]、[ネットワーク設定]、[モデル情報]、[ステータス] 設定などです。

Unified Communications Manager Administration で設定が無効になっている場合、上記の設定は電話では表示されません。 この設定を無効にすると、電話ユーザは [音量] ボタンに関連する設定を保存できません。例えば、ユーザはボリュームを保存できません。

この設定を無効にすると、電話の現在の [コントラスト]、[呼び出し音のタイプ]、[ネットワーク設定]、[モデル情報]、[ステータス]、[音量] の各設定が自動的に保存されます。 これらの電話設定を変更するには、Unified Communications Manager Administration で [アクセス設定(Setting Access)] 設定を有効にする必要があります。

PC ポートの無効化

Unified Communications Manager は、PC ポートを持つすべての Cisco IP Phone の PC ポートをデフォルトで有効にします。 [電話の設定] ウィンドウで [PC ポート] 設定を無効にすることができます。 ロビーや会議室の電話では PC ポートを無効にすると便利です。

(注)  

 
PC ポートは一部の電話機で利用でき、ユーザはコンピュータを電話機に接続することができます。 この接続方法では、ユーザが必要とする LAN ポートは 1 つだけです。

電話セキュリティ強化のセットアップ

電話強化は、接続を強化するために電話に適用できるオプションの設定で構成されています。 設定は、次の 3 つの構成ウィンドウのいずれかを使用して適用できます。

  • 電話設定 - [ 電話設定 ] ウィンドウを使用して、個々の電話に設定を適用します。

  • 共通の電話プロファイル - [共通の電話プロファイル ] ウィンドウを使用して、このプロファイルを使用するすべての電話に設定を適用します。

  • 企業の電話: すべての企業の電話に設定を適用するには、[ 企業の電話 ] ウィンドウを使用します


(注)  
これらの各ウィンドウで矛盾する設定が表示された場合、電話が正しい設定を判断するために使用する優先順位は次のとおりです。1) 電話の設定、2) 共通の電話プロファイル、3) 企業の電話

電話セキュリティ強化をセットアップするには、次の手順を実行します。

手順

ステップ 1

Cisco Unified Communications Manager Administrationから 端末 > 電話を選択します。

ステップ 2

電話を検索する基準を指定し、[ 検索 ] をクリックすると、すべての電話の一覧が表示されます。

ステップ 3

デバイス名をクリックします。

ステップ 4

以下の製品固有のパラメータを特定します。

  1. PC Port

  2. アクセスの設定

  3. Gratuitous ARP

  4. PC の音声 VLAN へのアクセス(PC Voice VLAN Access)

  5. Web アクセス(Web Access)

    ヒント

     
    これらの設定に関する情報を確認するには、[ 電話設定 ] ウィンドウのパラメータのとなりにあるヘルプアイコンをクリックしてください。

ステップ 5

無効にしたい各パラメータのドロップダウンリストから [ 無効 ] を選択します。 スピーカーフォンまたはスピーカーフォンとヘッドセットを無効にするには、対応するチェックボックスをチェックします。

ステップ 6

[保存(Save)] をクリックします。

ステップ 7

[リセット(Reset)] をクリックします。

信頼できるデバイス

Unified Communications Manager により、Cisco IP 電話の電話モデルごとにセキュリティアイコンを有効にできます。 [セキュリティ] アイコンは、通話が安全かどうか、および接続されたデバイスが信頼できるかどうかを示します。

信頼されたデバイスは、信頼された接続のための Cisco セキュリティ基準に合格した Cisco デバイスまたはサードパーティ デバイスを表します。 これには、シグナリング/メディア暗号化、プラットフォーム強化、保証が含まれますが、これらに限定されるものではありません。 デバイスが信頼されている場合、サポートされているデバイスで [セキュリティ] アイコンが表示され、セキュアなトーンが鳴ります。 また、デバイスは、セキュアなコールに関連する他の機能またはインジケータを提供する場合があります。

Unified Communications Manager は、システムに追加するときに、デバイスが信頼できるかどうかを判断します。 セキュリティアイコンは情報提供のみを目的として表示され、管理者が直接設定することはできません。

Unified Communications Manager は、Unified Communications Manager Administration にアイコンとメッセージを表示して、ゲートウェイが信頼できるかどうかを示します。

このセクションでは、Cisco IP 電話および Unified Communications Manager Administration の両方での、信頼できる端末のセキュリティアイコンの動作について説明します。

Cisco Unified Communications Manager Administration

Unified Communications Manager Administration の次のウィンドウは、デバイスが信頼できるかどうかを示します:

[ゲートウェイの設定(Gateway Configuration)]

各ゲートウェイタイプに対して、[ゲートウェイ設定] ウィンドウ (端末 > ゲートウェイ) には、次のいずれかが表示されます。 端末は信頼されています または 端末は信頼されていませんと対応するアイコンが表示されます。

デバイスが信頼済みであるかどうかは、デバイス タイプに基づいて判別されます。 デバイスが信頼済みであるかどうかは設定できません。

電話機設定

各電話デバイスタイプに対して、[電話機設定(Phone Configuration)] ウィンドウ([デバイス(Device)] > [電話機(Phone)])には、対応するアイコンと共に、[デバイスは信頼済み(Device is trusted)] または [デバイスは信頼されていない(Device is not trusted)] のいずれかが表示されます。

デバイスが信頼済みであるかどうかは、デバイス タイプに基づいて判別されます。 デバイスが信頼済みであるかどうかは設定できません。

呼び出されたデバイスの信頼性の判断基準

ユーザが発信するデバイスのタイプは、電話に表示されるセキュリティ アイコンに影響します。 システムは次の 3 つの基準を考慮して、通話がセキュアかどうかを判断します。

  • 通話中のすべてのデバイスは信頼されていますか?

  • シグナリングはセキュアですか(認証および暗号化されていますか)?

  • メディアはセキュアですか?

サポートされている Cisco Unified IP 電話 がロックセキュリティアイコンを表示するようにするには、3 つの条件すべてを満たす必要があることに注意してください。 信頼されていないデバイスを含む通話の場合、シグナリングとメディアセキュリティに関係なく、通話の全体的なステータスは不安全なままになり、電話はロックアイコンを表示しません。 たとえば、電話会議に信頼されていないデバイスが含まれる場合、システムはそのコール レッグおよび電話会議自体がセキュアではないと見なします。

電話機モデルのサポート

Unified Communications Manager のセキュリティをサポートする電話モデルには、Secure Cisco phonesとSecure Preferred Vendor phonesの 2 つのカテゴリがあります。 Secure Cisco phonesには、製造元でインストールされた証明書 (MIC) がプリインストールされており、認証局プロキシ 機能 (CAPF) を使用したローカルで有効な証明書 (LSC) の自動生成と交換をサポートしています。 Secure Cisco phonesは、追加の証明書管理なしで MIC を使用して Cisco Unified CM に登録できます。 セキュリティを強化するために、CAPF を使用して LSC を作成し、電話機にインストールできます。 詳細については、電話セキュリティのセットアップと設定に関するトピックを参照してください。

安全な優先ベンダーの電話には MIC が事前にインストールされておらず、LSC を生成するための CAPF をサポートしていません。 セキュアな優先ベンダーの電話を Cisco Unified CM に接続するには、証明書がデバイスで提供されるか、デバイスによって生成される必要があります。 電話のサプライヤーは、電話の証明書を取得または生成する方法の詳細を提供する必要があります。 証明書を取得したら、OS管理の証明書管理インターフェースを使用して、Cisco Unified CM に証明書をアップロードする必要があります。 詳細については、優先ベンダーの SIP 電話セキュリティのセットアップに関するトピックを参照してください。

お使いの電話でサポートされているセキュリティ機能の一覧については、この Unified Communications Manager リリースに対応する電話管理およびユーザ用ドキュメント、またはお使いのファームウェアに対応するファームウェアのドキュメントを参照してください。

Cisco Unified Reporting を使って、対応している電話の一覧を表示することもできます。 Cisco Unified Reporting の使用方法の詳細については、『 Cisco Unified Reporting アドミニストレーションガイド』を参照してください。

電話セキュリティ設定の表示

セキュリティをサポートする電話で特定のセキュリティ関連の設定を構成および表示できます。たとえば、電話機にローカルで有効な証明書があるかどうか、または製造元でインストールされた証明書がインストールされているかどうかを確認できます。 セキュリティメニューとアイコンの詳細については、『 Cisco IP Phone 管理者ガイド および Cisco IP Phone ユーザガイド 』を参照してください。

Unified Communications Manager が通話を認証済みまたは暗号化済みに分類すると、アイコンが電話機に表示され、通話状態を示します。 また、 Unified Communications Manager が通話を認証済みまたは暗号化済みに分類するタイミングも決定します。

電話セキュリティのセットアップ

次の手順では、サポートされている電話のセキュリティを設定するタスクについて説明します。

手順

ステップ 1

まだ行っていない場合は、utils ctl CLI コマンドを実行し、Unified Communications Manager のセキュリティモードが [混在モード(Mixed Mode)] になっていることを確認します。

ステップ 2

電話にローカルで有効な証明書 (LSC) または製造元でインストールされた証明書 (MIC) が含まれていない場合、認証局プロキシ 機能 (CAPF) を使用して LSC をインストールします。

ステップ 3

電話セキュリティ プロファイルを設定します。

ステップ 4

電話セキュリティ プロファイルを電話に適用します。

ステップ 5

ダイジェスト クレデンシャルを設定した後、[電話の設定] ウィンドウから [ダイジェスト ユーザ] を選択します。

ステップ 6

Cisco Unified IP 電話 7962 または 7942(SIP のみ)で、[エンドユーザーの設定(End User Configuration)] ウィンドウで設定したダイジェスト認証のユーザー名とパスワード(ダイジェスト認証の資格情報)を入力します。

(注)  

 

このドキュメントでは、ダイジェスト認証クレデンシャルを電話で入力する手順については説明していません。 このタスクの実行方法に関する情報は、お使いの電話モデルをサポートする『Cisco Unified Communications Manager アドミニストレーション ガイド』とこのバージョンの Unified Communications Manager を参照してください。

サードパーティの CA 署名付き証明書をプラットフォームにアップロードして CTL ファイルを更新した後は、 utils ctl CLI コマンドセットを実行してください。

ステップ 7

電話がこの機能をサポートしている場合、電話設定ファイルを暗号化してください。

ステップ 8

電話のセキュリティを強化するには、電話設定を無効にしてください。

優先ベンダー SIP 電話セキュリティのセットアップ

安全な優先ベンダーの電話は、サードパーティ ベンダーによって製造された電話タイプですが、COP ファイルを介して Cisco Unified データベースにインストールされます。 Unified Communications Manager は、優先ベンダーの SIP 電話にセキュリティを提供します。 セキュリティをサポートするには、COP ファイルで優先ベンダーの SIP 電話に対してセキュリティ暗号化またはセキュリティ認証を有効にする必要があります。 これらの電話タイプは、[新しい電話の追加] ウィンドウのドロップダウン リストに表示されます。 すべての優先ベンダーの電話はダイジェスト認証をサポートしていますが、すべての優先ベンダーの電話が TLS セキュリティをサポートしているわけではありません。 セキュリティ機能は電話モデルに基づきます。 電話セキュリティプロファイルに [ "端末セキュリティモード" ] フィールドが含まれている場合、TLS セキュリティがサポートされます。

希望のベンダーの電話が TLS セキュリティをサポートしている場合、デバイスごとの証明書と共有証明書の 2 つのモードが可能です。 電話機のサプライヤーは、どのモードが電話機に適用できるか、および電話機の証明書を生成または取得するための手順を指定する必要があります。

優先ベンダー SIP 電話セキュリティ プロファイル デバイスごとの証明書のセットアップ

デバイスごとの証明書で優先ベンダーの SIP 電話セキュリティ プロファイルを設定するには、次の手順を実行します。

手順

ステップ 1

OS 管理の証明書管理インターフェイスを使用して、各電話の証明書をアップロードします。

ステップ 2

Cisco Unified CM Administration で、[システム(System)] > [セキュリティ(Security)] > [電話セキュリティプロファイル(Phone Security Profile)] の順に選択します。

ステップ 3

この電話のデバイスタイプに新しい電話セキュリティプロファイルを設定し、[ デバイスセキュリティモード ] ドロップダウンリストで 暗号化 または 認証を選択します。

ステップ 4

CCMAdmin インターフェイスで新しい SIP 電話を設定するには、[ 端末 > 電話 > 新規追加] を選択します。

ステップ 5

[電話タイプ] を選択します。

ステップ 6

必須フィールドに入力します。

ステップ 7

[ デバイスセキュリティプロファイル ] ドロップダウンリストから、作成したプロファイルを選択します。

優先ベンダー SIP 電話セキュリティ プロファイルの共有証明書のセットアップ

共有証明書で指定ベンダーの SIP 電話セキュリティプロファイルを設定するには、次の手順を実行します。

手順

ステップ 1

電話ベンダーからの指示を使用して、サブジェクト代替名 (SAN) 文字列で証明書を生成します。 SAN は DNS タイプである必要があります。 この手順で指定した SAN をメモします。 例えば、X509v3 の拡張の場合:

  • X509v3 サブジェクト代替名

  • DNS:AscomGroup01.acme.com

(注)  

 

SAN は DNS タイプである必要があります。そうでない場合、セキュリティは有効になりません。

ステップ 2

OS 管理の証明書管理インターフェイスを使用して共有証明書をアップロードします。

ステップ 3

Cisco Unified CM Administration で、[システム(System)] > [セキュリティ(Security)] > [電話セキュリティプロファイル(Phone Security Profile)] の順に選択します。

ステップ 4

[名前(Name)] フィールドに、優先ベンダーから提供された証明書に記載されているサブジェクト代替名(SAN)を入力します。SANがない場合は、証明書名を入力します。

(注)  

 

セキュリティプロファイルの名前は、証明書の SAN と正確に一致する必要があります。一致しない場合、セキュリティは有効になりません。

ステップ 5

[デバイスのセキュリティモード(Device Security Mode)] ドロップダウンメニューから、[暗号化(Encrypted)] または [認証済み(Authenticated)] を選択します。

ステップ 6

[トランスポートタイプ] ドロップダウンリストから、 TLS を選択します。

ステップ 7

CCMAdmin インターフェイスで新しい SIP 電話を設定するには、[ 端末 > 電話 > 新規追加] を選択します。

ステップ 8

[電話タイプ] を選択します。

ステップ 9

必須フィールドに入力します

ステップ 10

[ デバイスセキュリティプロファイル ] ドロップダウンリストから、作成したプロファイルを選択します。

あるクラスターから別のクラスターに電話を移行する

次の手順を使用して、電話を 1 つのクラスタから別のクラスタに移行します。 たとえば、クラスター 1 からクラスター 2 に。

手順

ステップ 1

Cisco Unified OS Administration のクラスタ 2 から、[セキュリティ(Security)] > [証明書の管理(Certificate Management)] を選択します。

ステップ 2

[検索(Find)] をクリックします。

ステップ 3

証明書のリストから、ITLRecovery 証明書をクリックし、[.PEM ファイルのダウンロード(Download .PEM File)] または [.DER ファイルのダウンロード(Download .DER File)] のいずれかをクリックして、いずれかのファイル形式の証明書をコンピュータにダウンロードします。

証明書の詳細が表示されます。

ステップ 4

証明書のリストから、CallManager 証明書をクリックし、[.PEM ファイルのダウンロード(Download .PEM File)] または [.DER ファイルのダウンロード(Download .DER File)] のいずれかをクリックして、いずれかのファイル形式の証明書をコンピュータにダウンロードします。

証明書の詳細が表示されます。

ステップ 5

Cisco Unified OS Administration のクラスタ 1 から、[セキュリティ(Security)] > [証明書の管理(Certificate Management)] を選択します。

[証明書の一覧(Certificate List)]ウィンドウが表示されます。

ステップ 6

証明書チェーンのアップロード をクリックして、ダウンロードした証明書をアップロードします。

ステップ 7

[証明書の目的(Certificate Purpose)] ドロップダウンリストで、[Phone-SAST-trust] を選択します。

ステップ 8

[ファイルのアップロード(Upload File)] フィールドについて、[ファイルを選択(Choose File)] をクリックし、ステップ 3 でダウンロードした ITLRecovery ファイルを参照し、[ファイルをアップロード(Upload File)] をクリックします。

アップロードされた ITLRecovery ファイルは、クラスタ 1 の [証明書一覧(Certificate List)] ウィンドウに Phone-SAST-Trust 証明書として表示されます。新しい ITL ファイルにクラスタ 2 の ITLRecovery 証明書がある場合は、コマンド show itl を実行します。

ステップ 9

クラスタ 1 の電話にローカルで有効な証明書 (LSC) がある場合、クラスタ 1 からの CAPF 証明書はクラスタ 2 の CAPF 信頼ストアにアップロードされる必要があります。

ステップ 10

(任意) この手順は、クラスターが混合モードの場合にのみ適用できます。 CLI で utils ctl update CTLFile コマンドを実行し、クラスター 1 で CTL ファイルを再生成します。

(注)  

 

  • show ctl CLI コマンドを実行して、クラスタ 2 の ITLRecovery 証明書と CallManager 証明書が、SASTの役割を持つ CTL ファイルに含まれていることを確認します。

  • 電話が新しい CTL および ITL ファイルを受信したことを確認します。 更新された CTL ファイルには、クラスター 2 の ITLRecovery 証明書があります。

クラスタ 1 からクラスタ 2 に移行する電話は、クラスタ 2 の ITLRecovery 証明書を受け入れるようになります。

ステップ 11

1 つのクラスタから別のクラスタに電話を移行します。

電話のセキュリティ インタラクションと制限事項

このセクションでは、電話セキュリティのインタラクションと制限事項について説明します。

表 2. 電話機のセキュリティインタラクションと制限事項

機能

連携動作と制限事項

証明書の暗号化

Unified Communications Manager 11.5 (1) SU1 リリース以降、CAPF サービスが発行するすべての LSC 証明書は SHA-256 アルゴリズムで署名されています。 そのため、 Cisco Unified IP 電話 7900 シリーズ、8900 シリーズ、9900 シリーズは SHA-256 署名済み LSC 証明書と外部 SHA2 アイデンティティ証明書 (Tomcat、CallManager、CAPF、TVS など) をサポートしています。 署名の検証が必要な、その他の暗号化の操作では、SHA-1 のみがサポートされます。

(注)  

 

ソフトウェアメンテナンスが終了またはサポートが終了した電話モデルを使用する場合は、Unified Communications Manager の 11.5(1)SU1 より前のリリースの使用を強くお勧めします。

電話セキュリティ プロファイル

Unified Communications Manager は、電話機の種類とプロトコルに関連するセキュリティ設定をセキュリティプロファイルにグループ化します。 そのため、この単一のセキュリティ プロファイルを複数の電話に割り当てることができます。 セキュリティ関連の設定には、デバイス セキュリティ モード、ダイジェスト認証、および一部の CAPF 設定が含まれます。 インストール Unified Communications Manager では、自動登録用の事前定義された非セキュアなセキュリティプロファイルのセットが提供されます。

[ 電話の構成 ] ウィンドウでセキュリティプロファイルを選択することで、構成した設定を電話に適用できます。 電話のセキュリティ機能を有効にするには、デバイス タイプとプロトコルの新しいセキュリティ プロファイルを設定し、そのプロファイルを電話に適用する必要があります。 選択した端末とプロトコルがサポートするセキュリティ機能だけが セキュリティプロファイル設定 ウィンドウに表示されます。

前提条件

電話セキュリティ プロファイルを設定する前に、次の情報を考慮してください。

  • 電話を設定する際、 [電話の設定] ウィンドウでセキュリティプロファイルを選択してください。 デバイスがセキュリティまたはセキュアなプロファイルをサポートしていない場合、非セキュアなプロファイルを適用してください。

  • 定義済みの安全ではないプロファイルを削除または変更することはできません。

  • 現在デバイスに割り当てられているセキュリティプロファイルを削除することはできません。

  • すでに電話に割り当てられているセキュリティ プロファイルの設定を変更すると、再構成された設定が、その特定のプロファイルが割り当てられているすべての電話に適用されます。

  • デバイスに割り当てられているセキュリティファイルの名前を変更することができます。 以前のプロファイル名と設定で割り当てられた電話は、新しいプロファイル名と設定を引き継ぎます。

  • CAPF 設定、認証モード、鍵サイズは 電話機の設定 ウィンドウに表示されます。 MIC または LSC を含む証明書操作のために CAPF 設定を構成する必要があります。 これらのフィールドは [ 電話機の設定 ] ウィンドウで直接更新できます。

  • セキュリティプロファイルで CAPF 設定を更新すると、[ 電話機の設定 ] ウィンドウの設定も更新されます。

  • [電話機の設定] ウィンドウの CAPF 設定を更新し、一致するプロファイルが見つかった場合、 Unified Communications Manager は一致するプロファイルを電話に適用します。

  • [電話の設定] ウィンドウで CAPF 設定を更新し、一致するプロファイルが見つからない場合、システム Unified Communications Manager は新しいプロファイルを作成し、そのプロファイルを電話に適用します。

  • アップグレード前にデバイスのセキュリティモードを構成している場合、システム Unified Communications Manager はそのモデルとプロトコルに基づいたプロファイルを作成し、デバイスに適用します。

  • LSC のインストールのみに MIC を使用することをお勧めします。 Cisco は Unified Communications Manager での TLS 接続を認証するために LSC をサポートしています。 MIC ルート証明書は危険にさらされる可能性があるため、TLS 認証のために、またはその他の目的で MIC を使用するように電話を設定するユーザは、自身の責任でそうします。 MIC が侵害された場合、Cisco はその責任を負いません。

  • 互換性の問題を避けるために、TLS 接続に LSC を使用するように Cisco IP 電話をアップグレードし、CallManager 信頼ストアから MIC ルート証明書を削除することを推奨します。

電話セキュリティ プロファイルの設定項目

次の表に、SCCP を実行する電話機のセキュリティ プロファイルの設定項目の説明を示します。

選択した電話機タイプおよびプロトコルがサポートしている設定だけが表示されます。

表 3. SCCP を実行している電話のセキュリティ プロファイル

設定

説明

名前

セキュリティ プロファイルの名前を入力します。

新しいプロファイルを保存すると、電話タイプとプロトコルの [電話の設定(Phone Configuration)] ウィンドウの [デバイスセキュリティプロファイル(Device Security Profile)] ドロップダウン リストにその名前が表示されます。

ヒント

 
プロファイルの検索中またはプロファイルの更新中に正しいプロファイルを見つけるには、デバイスモデルとプロトコルをセキュリティプロファイル名に含めます。

説明

セキュリティ プロファイルの説明を入力します。 説明には、どの言語でも最大 50 文字まで指定できますが、二重引用符(")、パーセント記号(%)、アンパサンド(&)、バックスラッシュ(\)、山カッコ(<>)は使用できません。

[デバイスセキュリティモード(Device Security Mode)]

ドロップダウン リストから、次のオプションのいずれかを選択します。

  • [非セキュア(Non Secure)]:電話機では、イメージ認証、ファイル認証、またはデバイス認証以外のセキュリティ機能を使用できません。 TCP 接続で Unified Communications Manager が利用できます。

  • 認証のみ(Authenticated)Unified Communications Managerは電話機の整合性と認証を提供します。 NULL/SHA を使用する TLS 接続がシグナリングに対して開きます。

  • 暗号化(Encrypted): Unified Communications Managerはトランクの整合性、シグナリング、および認証を提供します。

    説明したように、次の暗号方式がサポートされています。

    TLS暗号方式

    このパラメータは、Unified Communications Manager で SIP TLS 接続およびインバウンドの CTI Manager TLS CTI 接続を確立するためにサポートされる暗号を定義します。

    最も強力:AES-256 SHA-384 のみ:RSA 優先

  • TLS_ECDHE_RSA with AES256_GCM_SHA384
  • TLS_ECDHE_RSA with AES256_GCM_SHA384

    (注)  

     
    パラメータ [SRTP暗号方式(SRTP Ciphers)] の値を [最も強力 - AEAD AES-256 GCM 暗号のみ(Strongest - AEAD AES-256 GCM cipher only)] に設定することを強くお勧めします。 このオプションを選択すると、電話機は認証モードで登録されません。

    最も強力:AES-256 SHA-384 のみ:ECDSA 優先

  • TLS_ECDHE_ECDSA with AES256_GCM_SHA384
  • TLS_ECDHE_RSA with AES256_GCM_SHA384

    中程度:AES-256 AES-128 のみ:RSA 優先

    (注)  

     
    パラメータ [SRTP暗号方式(SRTP Ciphers)] の値を [最も強力 - AEAD AES-256 GCM 暗号のみ(Strongest - AEAD AES-256 GCM cipher only)] に設定することを強くお勧めします。 このオプションを選択すると、電話機は認証モードで登録されません。 
  • TLS_ECDHE_RSA with AES256_GCM_SHA384
  • TLS_ECDHE_ECDSA with AES256_GCM_SHA384
  • TLS_ECDHE_RSA with AES128_GCM_SHA256
  • TLS_ECDHE_ECDSA with AES128_GCM_SHA256

    (注)  

     
    このオプションを選択した場合、パラメータ [SRTP暗号方式(SRTP Ciphers)] の値を [最も強力 - AEAD AES-256 GCM 暗号のみ(Strongest - AEAD AES-256 GCM cipher only)] に設定することを強くお勧めします。 このオプションを選択すると、電話機は認証モードで登録されません。

    中程度:AES-256 AES-128 のみ:ECDSA 優先

  • TLS_ECDHE_ECDSA with AES256_GCM_SHA384
  • TLS_ECDHE_RSA with AES256_GCM_SHA384
  • TLS_ECDHE_ECDSA with AES128_GCM_SHA256
  • TLS_ECDHE_RSA with AES128_GCM_SHA256

    (注)  

     
    このオプションを選択した場合、パラメータ [SRTP暗号方式(SRTP Ciphers)] の値を [最も強力 - AEAD AES-256 GCM 暗号のみ(Strongest - AEAD AES-256 GCM cipher only)] に設定することを強くお勧めします。 このオプションを選択すると、電話機は認証モードで登録されません。

    すべての暗号方式: RSA優先

  • TLS_ECDHE_RSA with AES256_GCM_SHA384
  • TLS_ECDHE_ECDSA with AES256_GCM_SHA384
  • TLS_ECDHE_RSA with AES128_GCM_SHA256
  • TLS_ECDHE_ECDSA with AES128_GCM_SHA256
  • TLS_RSA with AES_128_CBC_SHA1

    すべての暗号 ECDSA 優先

  • TLS_ECDHE_ECDSA with AES256_GCM_SHA384
  • TLS_ECDHE_RSA with AES256_GCM_SHA384
  • TLS_ECDHE_ECDSA with AES128_GCM_SHA256
  • TLS_ECDHE_RSA with AES128_GCM_SHA256
  • TLS_RSA with AES_128_CBC_SHA1

    (注)  

     
    認証済みとして選択されている [デバイスのセキュリティ プロファイル (トランク)] を使用して設定した場合、 Unified Communications Manager は、NULL_SHA 暗号を使用した TLS connection (データ暗号化なし) を開始します。 これらのトランクは、通知先デバイスが NULL_SHA 暗号をサポートしていない場合は、そのデバイスを登録したり、コールを発信したりしません。 NULL_SHA 暗号をサポートしていない通知先デバイスでは、[暗号化 (Encrypted)] として選択した [デバイスのセキュリティ プロファイル (トランク)] で設定する必要があります。 このデバイス セキュリティ プロファイルを使用すると、トランクは、データの暗号化を可能にする追加の TLS 暗号を提供します。

[TFTP暗号化設定(TFTP Encrypted Config)]

このチェックボックスがオンの場合、Unified Communications Manager は電話機が TFTP サーバからダウンロードする設定ファイルを暗号化します。

認証モード(Authentication Mode)

このフィールドでは、CAPF 証明書の処理中に電話機が使用する認証方法を選択できます。

ドロップダウン リスト ボックスから、次のオプションのいずれかを選択します。

  • By Authentication String—ユーザが電話に CAPF 認証文字列を入力した場合にのみ、ローカルで有効な証明書をインストールまたはアップグレード、削除またはトラブルシューティングします。

  • By Null String—ユーザの介入なしで、ローカルで有効な証明書をインストールまたはアップグレード、削除またはトラブルシューティングします。

    このオプションはセキュリティを提供しません。 このオプションは、閉鎖された安全な環境だけで選択することをお勧めします。

  • 既存の証明書(LSC優先)—製造元でインストールされる証明書(MIC)またはローカルで有効な証明書(LSC)が電話機に存在する場合、LSC をインストール、アップグレード、削除、またはトラブルシューティングします。 電話機にLSCが存在する場合、MICが電話機に存在するかどうかに関係なく、認証はLSCを介して行われます。 MICとLSCが電話機に存在する場合、認証はLSCを介して行われます。 電話機にLSCが存在せず、MICが存在する場合、認証はMICを通じて行われます。

    このオプションを選択する前に、電話機内に証明書が存在することを確認してください。 このオプションを選択し、電話機内に証明書が存在しない場合、処理は失敗します。

    MICとLSCは電話機に同時に存在できますが、電話機はCAPFに対する認証に1つの証明書のみを使用します。 優先されるプライマリ証明書が何らかの理由で破損した場合、または別の証明書を使用して認証を受ける場合は、認証モードを更新する必要があります。

  • 既存証明書(MIC 優先)—電話に LSC または MIC が存在する場合に、製造元でインストールされる証明書をインストールまたはアップグレード、削除またはトラブルシューティングします。 MICが電話機に存在する場合、LSCが電話機に存在するかどうかに関係なく、認証はMICを介して行われます。 電話機にLSCが存在し、MICが存在しない場合、認証はLSCを介して行われます。

    このオプションを選択する前に、電話機内に証明書が存在することを確認してください。 このオプションを選択し、電話機内に証明書が存在しない場合、処理は失敗します。

(注)  

 
[電話セキュリティプロファイル(Phone Security Profile)]ウィンドウで設定される CAPF 設定値は、[電話の設定(Phone Configuration)]ウィンドウで設定される CAPF パラメータと相互に関係があります。

キー順序(Key Order)

このフィールドは、CAPF のキーの並び方を指定します。 ドロップダウン リストから、次のいずれかの値を選択します:

  • RSA のみ

  • EC のみ

  • EC 優先、RSA バックアップ

(注)  

 
キー順序(Key Order)RSA キーサイズ(RSA Key Size)、および EC キーサイズ(EC Key Size) フィールドの値に基づいて電話を追加すると、デバイスセキュリティプロファイルがその電話に関連付けられます。 256 ビットの [EC キー サイズ(EC Key Size)] 値で [ECのみ(EC Only)] 値を選択した場合は、デバイス セキュリティ プロファイルに EC-256 値が追加されます。

RSA キー サイズ(ビット)(RSA Key Size (Bits))

ドロップダウンリストボックスから、次のいずれかの値を選択します。512102420483072、または 4096

(注)  

 
CallManager 証明書の目的で選択された RSA キーの長さが 2048 を超えると、電話機の機種によっては登録に失敗することがあります。Cisco Unified Reporting Tool(CURT)Unified CM 電話機能リストレポートから、3072/4096 RSA キーサイズサポート機能でサポートされている電話モデルのリストを確認できます。

EC キーサイズ(ビット)

ドロップダウンリストから、256384、または521のいずれかの値を選択します。

次の表に、SIP を実行する電話機のセキュリティ プロファイルの設定項目の説明を示します。

表 4. SIP を実行している電話機のセキュリティ プロファイル

設定

説明

名前

セキュリティ プロファイルの名前を入力します。

新しいプロファイルを保存すると、電話タイプとプロトコルの [電話の設定(Phone Configuration)] ウィンドウの [デバイスセキュリティプロファイル(Device Security Profile)] ドロップダウン リストにその名前が表示されます。

ヒント

 
セキュリティ プロファイル名にデバイス モデルとプロトコルを含めると、プロファイルを検索または更新する場合の適切なプロファイルの検出に役立ちます。

説明

セキュリティ プロファイルの説明を入力します。

[ナンス確認時間(Nonce Validity Time)]

ナンス値が有効な時間を秒単位で入力します。 デフォルト値は 600(10 分)です。 この時間が経過すると、Unified Communications Manager は新しい値を生成します。

(注)  

 
ナンス値は、ダイジェスト認証をサポートするランダム値で、ダイジェスト認証パスワードの MD5 ハッシュの計算に使用されます。

[デバイスセキュリティモード(Device Security Mode)]

ドロップダウン リストから、次のオプションのいずれかを選択します。

  • [非セキュア(Non Secure)]:電話機では、イメージ認証、ファイル認証、またはデバイス認証以外のセキュリティ機能を使用できません。 TCP 接続で Unified Communications Manager が利用できます。

  • 認証のみ(Authenticated)Unified Communications Managerは電話機の整合性と認証を提供します。 NULL/SHA を使用する TLS 接続がシグナリングに対して開きます。

  • EncryptedUnified Communications Managerは電話機の整合性、認証、および暗号化を提供します。 シグナリング用に AES128/SHA を使用する TLS 接続を開始し、すべての SRTP 対応ホップ上のすべての電話機コールのメディアを SRTP で搬送します。

    (注)  

     
    認証済みとして選択されている [デバイスのセキュリティ プロファイル (トランク)] を使用して設定した場合、 Unified Communications Manager は、NULL_SHA 暗号を使用した TLS connection (データ暗号化なし) を開始します。 これらのトランクは、通知先デバイスが NULL_SHA 暗号をサポートしていない場合は、そのデバイスを登録したり、コールを発信したりしません。 NULL_SHA 暗号をサポートしていない通知先デバイスでは、[暗号化 (Encrypted)] として選択した [デバイスのセキュリティ プロファイル (トランク)] で設定する必要があります。 このデバイス セキュリティ プロファイルを使用すると、トランクは、データの暗号化を可能にする追加の TLS 暗号を提供します。

[転送タイプ(Transport Type)]

[Device Security Mode] が Non Secure の場合は、ドロップダウン リストから次のオプションのいずれかを選択します(一部のオプションは表示されないことがあります)。

  • [TCP]:パケットを送信された順に受信するには、Transmission Control Protocol を選択します。 このプロトコルは、パケットがドロップされないことを保証しますが、セキュリティは提供されません。

  • [UDP]:パケットを高速に受信するには、User Datagram Protocol を選択します。 このプロトコルは、パケットをドロップすることがあり、送信された順に受信するとは限りません。 セキュリティは提供されません。

  • [TCP + UDP]:TCP と UDP を組み合わせて使用するには、このオプションを選択します。 このオプションでは、セキュリティは提供されません。

[デバイスセキュリティモード(Device Security Mode)] が [認証のみ(Authenticated)] または [暗号化(Encrypted)] である場合、[TLS] が転送タイプとなります。 TLS では、SIP 電話のシグナリング整合性、デバイス認証、およびシグナリング暗号化(暗号化モードのみ)が提供されます。

プロファイルでデバイス セキュリティ モードを設定できない場合、転送タイプは UDP になります。

[ダイジェスト認証を有効化(Enable Digest Authentication)]

このチェックボックスをオンにすると、Unified Communications Manager は、電話機からのすべての SIP 要求でチャレンジを行います。

ダイジェスト認証ではデバイス認証、整合性、機密性は提供されません。 これらの機能を使用するには、セキュリティ モード [認証のみ(Authenticated)] または [暗号化(Encrypted)] を選択します。

[TFTP暗号化設定(TFTP Encrypted Config)]

このチェックボックスがオンの場合、Unified Communications Manager は電話機が TFTP サーバからダウンロードする設定ファイルを暗号化します。 このオプションは、Cisco 製電話機専用です。

ヒント

 
このオプションを有効にして、対称キーを設定し、ダイジェスト信用証明書と管理者パスワードを保護することをお勧めします。

[OAuth 認証の有効化(Enable OAuth Authentication)]

このチェックボックスは、デバイスセキュリティプロファイルドロップダウンリストから暗号化を選択した場合に使用できます。

このチェックボックスをオンにすると、Unified Communications Manager では、電話セキュリティプロファイルに関連付けられているデバイスをSIP OAuthポートに登録することができるようになるます。 デフォルトでは、このチェックボックスはオフになっています。

次の場合に SIP OAuth を有効にすることができます:

  • [Transport Type] が [TLS] の場合。

  • 端末セキュリティモードが暗号化されている場合。

  • ダイジェスト認証が無効の場合。

  • 暗号化設定が無効の場合。

(注)  

 
Unified Communications Manager リリース12.5以降、JabberデバイスはSIP OAuth認証に対応しています。

[設定ファイル内のダイジェスト信用証明書を除外(Exclude Digest Credentials in Configuration File)]

このチェックボックスがオンの場合、 Unified Communications Manager は電話機が TFTP サーバからダウンロードする設定ファイル内のダイジェスト信用証明書を削除します。 このオプションは、Cisco IP Phone、7942、および7962(SIPのみ)に存在します。

認証モード(Authentication Mode)

このフィールドでは、CAPF 証明書の処理中に電話機が使用する認証方法を選択できます。 このオプションは、Cisco 製電話機専用です。

ドロップダウン リストから、次のオプションのいずれかを選択します。

  • By Authentication String—ユーザが電話に CAPF 認証文字列を入力した場合にのみ、ローカルで有効な証明書をインストールまたはアップグレード、またはトラブルシューティングします。

  • By Null String—ユーザの介入なしで、ローカルで有効な証明書をインストールまたはアップグレード、またはトラブルシューティングします。

    このオプションではセキュリティが確保されません。したがって、セキュアな閉じた環境の場合にだけこのオプションを選択することをお勧めします。

  • 既存の証明書(LSC優先)—製造元でインストールされる証明書(MIC)またはローカルで有効な証明書(LSC)が電話機に存在する場合、LSC をインストール、アップグレード、またはトラブルシューティングします。 電話機にLSCが存在する場合、MICが電話機に存在するかどうかに関係なく、認証はLSCを介して行われます。 電話機にLSCが存在せず、MICが存在する場合、認証はMICを介して行われます。

    このオプションを選択する前に、電話機内に証明書が存在することを確認してください。 このオプションを選択し、電話機内に証明書が存在しない場合、処理は失敗します。

    MICとLSCは電話機に同時に存在できますが、電話機はCAPFに対する認証に1つの証明書のみを使用します。 優先されるプライマリ証明書が何らかの理由で破損した場合、または別の証明書を使用して認証を受ける場合は、認証モードを更新する必要があります。

  • 既存証明書(MIC 優先)—電話に LSC または MIC が存在する場合に、製造元でインストールされる証明書をインストールまたはアップグレードまたはトラブルシューティングします。 MICが電話機に存在する場合、LSCが電話機に存在するかどうかに関係なく、認証はMICを介して行われます。 電話機にLSCが存在し、MICが存在しない場合、認証はLSCを介して行われます。

    このオプションを選択する前に、電話機内に証明書が存在することを確認してください。 このオプションを選択し、電話機内に証明書が存在しない場合、処理は失敗します。

(注)  

 
[電話セキュリティプロファイル(Phone Security Profile)]ウィンドウで設定される CAPF 設定値は、[電話の設定(Phone Configuration)]ウィンドウで設定される CAPF パラメータと相互に関係があります。

[キーサイズ(Key Size)]

CAPF で使用されるこの設定では、ドロップダウン リストから証明書のキー サイズを選択します。 デフォルト設定は 1024 です。キーサイズに 512 を選ぶこともできます。

デフォルトの設定よりも大きいキー サイズを選択した場合、キーの生成に必要なエントロピーを生成するために長い時間がかかります。 キー生成の優先順位を低く設定すると、処理中に電話機を動作させることができます。 電話機のモデルによっては、キー生成が完了するまでに 30 分以上かかることがあります。

(注)  

 
[電話セキュリティプロファイル(Phone Security Profile)]ウィンドウで設定される CAPF 設定値は、[電話の設定(Phone Configuration)]ウィンドウで設定される CAPF パラメータと相互に関係があります。

[SIP電話ポート(SIP Phone Port)]

この設定は、UDP 転送を使用し SIP を実行する電話に適用されます。

UDP を使用する Cisco Unified IP 電話(SIP のみ)が、Unified Communications Manager からの SIP メッセージの傍受に使用するポート番号を入力します。 デフォルト設定は 5060 です。

TCP または TLS を使用する電話機は、この設定を無視します。

電話セキュリティ設定のタスクフロー

次のタスクを実行して、電話セキュリティを設定します。

手順

  コマンドまたはアクション 目的

ステップ 1

(任意) 電話セキュリティ プロファイルの検索

 (任意)

電話セキュリティ プロファイルを検索して電話を保護します。

ステップ 2

電話セキュリティ プロファイルのセットアップ

電話セキュリティ プロファイルをセットアップして電話を保護します。

ステップ 3

電話セキュリティ プロファイルを適用する

電話セキュリティ プロファイルを適用して電話を保護します。

ステップ 4

電話セキュリティ プロファイルと電話を同期する

すべての電話セキュリティプロファイルを選択した電話と同期します。

ステップ 5

(任意) 電話セキュリティ プロファイルの削除

 (任意)

電話に関連付けられたすべての電話セキュリティ プロファイルを削除します。

ステップ 6

電話セキュリティ プロファイルで電話を検索する

電話セキュリティ プロファイルに関連付けられたすべての電話を検索します。

ステップ 7

SIP トランク セキュリティ プロファイルの相互作用と制限

SIP トランク セキュリティ プロファイルの相互作用と制限

電話セキュリティ プロファイルの検索

電話セキュリティプロファイルを検索するには、次の手順を実行します。

手順

ステップ 1

Cisco Unified Communications Manager Administration から [システム(System)] > >[セキュリティプロファイル(Security Profile)] > >[電話セキュリティプロファイル(Phone Security Profile)] を選択します。

このウィンドウには、アクティブな(以前の)クエリーのレコードも表示されることがあります。

ステップ 2

データベース内のすべてのレコードを検索するには、ダイアログボックスが空になっていることを確認し、ステップ 3 に進みます。

レコードをフィルタまたは検索する手順は、次のとおりです。

  1. 最初のドロップダウンリストから、検索パラメータを選択します。

  2. 2 番目のドロップダウンリストから、検索パターンを選択します。

  3. 必要に応じて、適切な検索テキストを指定します。

    (注)  

     

    さらに検索条件を追加するには、[ + ] ボタンをクリックします。 条件を追加した場合は、指定したすべての条件に一致するレコードが検索されます。 条件を削除する場合、最後に追加した条件を削除するには、[-] ボタンをクリックします。追加した検索条件をすべて削除するには、[フィルタのクリア(Clear Filter)] ボタンをクリックします。

ステップ 3

[検索(Find)] をクリックします。

一致するすべてのレコードが表示されます。 [ページあたりの行数(Rows per Page)]ドロップダウン リストから異なる値を選択すると各ページに表示される項目数を変更できます。

ステップ 4

表示されたレコード リストから、目的のレコードのリンクをクリックします。

(注)  

 

ソート順を逆にするには、リストのヘッダーにある上矢印または下矢印をクリックします(使用可能な場合)。

選択したレコードがウィンドウに表示されます。

電話セキュリティ プロファイルのセットアップ

電話セキュリティプロファイルをセットアップするには、次の手順を実行します。

手順

ステップ 1

Cisco Unified Communications Manager Administration から [システム(Systems)] > [セキュリティプロファイル(Security Profile)] > [電話セキュリティプロファイル(Phone Security Profile)] を選択します。

ステップ 2

次のいずれかの作業を実行します。

  1. 新しいプロファイルを追加するには、[ 新規追加] をクリックします。

  2. 既存のセキュリティプロファイルをコピーするには、適切なプロファイルを見つけて、コピーするセキュリティプロファイルの隣にある [ コピー ] をクリックして続行します。

  3. 既存のプロファイルを更新するには、適切なセキュリティプロファイルを見つけて続行します。

    新規作成をクリックすると、設定ウィンドウの各フィールドが既定の設定で表示されます。 [ コピー] をクリックすると、構成ウィンドウにコピーした設定が表示されます。

ステップ 3

SCCP または SIP を使用している電話に適切な設定を入力します。

ステップ 4

[保存(Save)] をクリックします。

電話へのセキュリティ プロファイルの適用

証明書を使用するセキュリティ プロファイルを電話の認証に適用する前に、特定の電話にローカルで有効な証明書 (LSC) または製造元でインストールされた証明書 (MIC) が含まれていることを確認してください。

電話機のセキュリティ機能を使用可能にするには、デバイス タイプとプロトコルに対応した新しいセキュリティ プロファイルを設定して電話機に適用する必要があります。 ただし、電話に証明書が含まれていない場合は、次のタスクを実行してください。

  • [電話機の設定(Phone Configuration)] ウィンドウで、非セキュアプロファイルを適用してください。

  • 電話設定 ウィンドウで CAPF 設定を行い、証明書をインストールします。

  • [電話機の設定(Phone Configuration)] ウィンドウで、認証または暗号化が設定されているデバイス セキュリティ プロファイルを適用します。

電話セキュリティ プロファイルをデバイスに適用するには、次の手順を実行します。

手順

ステップ 1

[電話機の設定] ウィンドウの [プロトコル固有情報(Protocol Specific Information)] セクションに移動します。

ステップ 2

[ 端末セキュリティプロファイル ] ドロップダウンリストから、端末に適用するセキュリティプロファイルを選択します。

電話タイプとプロトコルだけに設定されている電話セキュリティ プロファイルが表示されます。

ステップ 3

[保存(Save)] をクリックします。

ステップ 4

変更を適切な電話に適用するには、 [設定の適用] をクリックします。

(注)  

 

セキュリティプロファイルを削除するには、[検索と一覧表示(Find and List)] ウィンドウで適切なセキュリティプロファイルの隣にあるチェックボックスを選択し、[選択項目の削除(Delete Selected)] をクリックします。

電話セキュリティ プロファイルを電話と同期する

電話セキュリティ プロファイルを電話と同期するには、次の手順を実行します。

手順

ステップ 1

Unified Communications Manager Administration で [システム] > セキュリティプロファイル > [電話セキュリティプロファイル]を選択します。

ステップ 2

使用する検索条件を選択し、[検索(Find)]をクリックします。

ウィンドウには、検索基準に一致する電話セキュリティ プロファイルのリストが表示されます。

ステップ 3

適用する電話を同期する電話セキュリティ プロファイルをクリックします。

ステップ 4

追加の設定変更を加えます。

ステップ 5

[保存(Save)] をクリックします。

ステップ 6

[設定の適用(Apply Config)] をクリックします。

[ 設定情報の適用 ] ダイアログボックスが表示されます。

ステップ 7

OKをクリックします。

電話セキュリティ プロファイルの削除

Unified Communications Managerからセキュリティプロファイルを削除する前に、デバイスに別のプロファイルを適用するか、そのプロファイルを使用するすべてのデバイスを削除する必要があります。

プロファイルを使用するデバイスを見つけるには、ステップ 1 を実行します。

手順

ステップ 1

[セキュリティプロファイルの設定(Security Profile Configuration)] ウィンドウで、[関連リンク(Related Links)] のドロップダウンメニューから [依存関係レコード(Dependency Records)] を選択し、[移動(Go)] をクリックします。

システムで依存関係レコード機能が有効になっていない場合は、[システム(System)] > [エンタープライズパラメータ設定(Enterprise Parameters Configuration)] に移動して、[依存関係レコードを有効にする(Enable Dependency Records)] 設定を [はい(True)] に変更します。 依存関係レコード機能に関連する、高い CPU 使用率に関する情報がメッセージに表示されます。 変更を保存して依存関係レコードをアクティブにします。 依存関係レコードの詳細については、次を参照してください。 Cisco Unified Communications Manager システム設定ガイド

このセクションでは、Unified Communications Manager データベースから電話セキュリティプロファイルを削除する方法について説明します。

ステップ 2

削除するセキュリティプロファイルを見つけてください。

ステップ 3

セキュリティプロファイルを削除するには、[検索と一覧表示(Find and List)] ウィンドウで適切なセキュリティプロファイルの隣にあるチェックボックスを選択し、[選択項目の削除(Delete Selected)] をクリックします。 [すべて選択(Select All)] をクリックして [選択項目の削除(Delete Selected)] をクリックすると、この選択対象として設定可能なすべてのレコードを削除できます。

ステップ 4

単一のセキュリティプロファイルを削除するには、以下のいずれかのタスクを実行します。

  1. [ 検索と一覧表示 ] ウィンドウで適切なセキュリティプロファイルのチェックボックスを選択します。それから 選択項目を削除をクリックします。

ステップ 5

削除の確認が求められたら、[ OK ] をクリックして削除するか、または [ キャンセル ] をクリックして削除操作をキャンセルします。

電話セキュリティ プロファイルで電話を検索する

特定のセキュリティ プロファイルを使用する電話を検索するには、次の手順を実行します。

手順

ステップ 1

Cisco Unified Communications Manager Administration から、[デバイス(Device)] > > [電話機(Phone)] を選択します。

ステップ 2

最初のドロップダウンリストから、検索パラメータ セキュリティプロファイルを選択します

  1. ドロップダウン リストから、検索パターンを選択します。

  2. 必要に応じて、適切な検索テキストを指定します。

    (注)  

     

    さらに検索条件を追加するには、[+] をクリックします。 条件を追加した場合は、指定したすべての条件に一致するレコードが検索されます。 条件を削除する場合、最後に追加した条件を削除するには、[-] ボタンをクリックします。追加した検索条件をすべて削除するには、[フィルタのクリア(Clear Filter)] ボタンをクリックします。

ステップ 3

[検索(Find)] をクリックします。

一致するすべてのレコードが表示されます。 1 ページあたりの項目の表示件数を変更するには、[ページあたりの行数(Rows per Page)] ドロップダウンリストで別の値を選択します。

ステップ 4

表示されたレコード リストから、目的のレコードのリンクをクリックします。

(注)  

 

ソート順を逆にするには、リストのヘッダーにある上矢印または下矢印をクリックします(使用可能な場合)。

選択したレコードがウィンドウに表示されます。

SIP トランク セキュリティ プロファイルの相互作用と制限

次の表には、SIP トランク セキュリティ プロファイルの機能の相互作用と制限が含まれています。

表 5. SIP トランク セキュリティ プロファイルの相互作用と制限

機能

連携動作と制限事項

90 日間の評価ライセンス

90 日の評価期間を使用して実行している間、セキュア SIP トランクを導入することはできません。 セキュア SIP トランクを導入するには、製品登録トークンで [輸出規制による機能限定の許可(Allow export-controlled functionality)] を選択した Smart Software Manager アカウントにシステムを登録してある必要があります。

SIP 電話のダイジェスト認証の概要

ダイジェスト認証により、Unified Communications Manager は SIP を実行している電話に対する要求メッセージをチャレンジできます。 これには、キープアライブを除くすべての要求メッセージが含まれます。 Unified Communications Managerは、 エンドユーザー設定 ウィンドウで設定された通り、電話が提供する資格情報を検証するために、エンドユーザーをダイジェスト資格情報を通じて認証します。

電話がエクステンション モビリティをサポートしている場合、エクステンション モビリティのユーザがログインするときに、Unified Communications Managerは エンドユーザー設定 ウィンドウで設定されたエクステンション モビリティのエンドユーザーのダイジェスト資格情報を使用します。

SIP 電話のダイジェスト認証の前提条件

デバイスのダイジェスト認証を有効にすると、デバイスを登録するための一意のダイジェスト ユーザ ID とパスワードが要求されます。 電話ユーザまたはアプリケーションユーザに対して、Unified Communications Manager データベースで SIP ダイジェスト資格情報を設定する必要があります。

次のことを確認してください:

  • アプリケーションの場合は、[アプリケーションユーザーの設定(Application User Configuration)] ウィンドウでダイジェスト認証情報を指定します。

  • SIP を実行している電話の場合、[エンドユーザの構成] ウィンドウでダイジェスト認証の資格情報を指定します。

    ユーザを設定した後で電話に資格情報を関連付けるには、[電話の設定] ウィンドウで [ダイジェスト ユーザ] を選択します。 電話をリセットすると、TFTP サーバが電話に提供する電話設定ファイルに資格情報が含まれるようになります。

  • SIP トランクで受信したチャレンジについては、領域ユーザ名 (デバイスまたはアプリケーション ユーザ) とダイジェスト資格情報を指定する SIP 領域を設定します。


(注)  

クラスタ セキュリティ モードはダイジェスト認証には影響しないことに注意してください。

SIP 電話のダイジェスト認証の設定タスク フロー

これらのタスクを完了して SIP 電話のダイジェスト認証を設定します。

手順

  コマンドまたはアクション 目的

ステップ 1

電話ユーザーにダイジェスト信用証明書を指定する

ダイジェスト クレデンシャルを、電話を所有するエンドユーザに割り当てます。

ステップ 2

電話セキュリティ プロファイルでダイジェスト認証を有効にする

電話に関連付けられている電話セキュリティ プロファイルでダイジェスト認証を有効にします。

ステップ 3

電話にダイジェスト認証を指定する

[電話の設定] で、ユーザをダイジェスト ユーザとして割り当てます。 ダイジェスト認証が有効なセキュリティプロファイルが割り当てられていることを確認してください。

ステップ 4

エンドユーザーのダイジェスト認証情報の設定

エンドユーザのダイジェスト認証情報を設定します。

ステップ 5

SIP ステーションレルムの設定

Unified CM が 401 未承認メッセージによる SIP リクエストにチャレンジするために使用する、[領域] フィールドの文字列を指定します。

電話ユーザーにダイジェスト信用証明書を指定する

この手順を使用して、電話を所有するエンドユーザにダイジェスト認証情報を割り当てます。 電話は資格情報を使用して認証します。

手順

ステップ 1

Cisco Unified Communications Manager Administrationから ユーザ管理 > エンドユーザを選択します。

ステップ 2

検索 をクリックし、電話を所有するユーザを選択します。

ステップ 3

以下のフィールドに資格情報を入力します。

  • [ダイジェスト信用証明書(Digest Credentials)]

  • [ダイジェスト信用証明書の確認(Confirm Digest Credentials)]

ステップ 4

[保存(Save)] をクリックします。

電話セキュリティ プロファイルでダイジェスト認証を有効にする

電話セキュリティ プロファイルを通じて電話のダイジェスト認証を有効にするには、この手順を使用します。
手順

ステップ 1

Cisco Unified CM Administration から、[システム(System)] > [セキュリティ(Security)] > [電話セキュリティプロファイル(Phone Security Profile)] の順に選択します。

ステップ 2

検索 をクリックして、その電話に関連付けられている電話セキュリティプロファイルを選択します。

ステップ 3

[ダイジェスト認証を有効化(Enable Digest Authentication)]チェックボックスをオンにします。

ステップ 4

[保存(Save)] をクリックします。

電話にダイジェスト認証を指定する

この手順を使用してダイジェストユーザとダイジェスト認証有効化セキュリティプロファイルを電話に関連付けます。
手順

ステップ 1

Cisco Unified Communications Manager Administration から、[デバイス(Device)] > [電話機(Phone)] を選択します。

ステップ 2

[ 検索 ] をクリックして、ダイジェスト認証を指定する電話を選択します。

ステップ 3

[ダイジェストユーザー(Digest User) ドロップダウンメニューから、ダイジェスト認証を割り当てたエンドユーザーを指定します。

ステップ 4

ダイジェスト認証を有効にした電話セキュリティプロファイルが、[ デバイスセキュリティプロファイル ] ドロップダウンリストから割り当てられていることを確認してください。

ステップ 5

[保存(Save)] をクリックします。

ステップ 6

[リセット(Reset)] をクリックします。

エンド ユーザを電話に関連付けた後、設定を保存し、電話をリセットします。

SIP ステーションレルムの設定

401 Unauthorized メッセージへの応答で SIP 電話にチャレンジするときに、Cisco Unified Communications Manager が [領域] フィールドで使用する文字列を指定します。 これは、電話がダイジェスト認証に設定されている場合に適用されます。

(注)  
このサービスパラメータのデフォルトの文字列は ccmsipline です。
手順

ステップ 1

Unified Communications Manager で、[システム(System)] > [サービスパラメータ(Service Parameters)] を選択します。

ステップ 2

[サーバ] ドロップダウンリストから、CiscoCallManager サービスを有効にしたノードを選択します。

ステップ 3

サービス ドロップダウンリストから CiscoCallManager サービスを選択します。 サービス名の横に「 "アクティブ" 」と表示されていることを確認します。

ステップ 4

ヘルプに記載されているとおり、 SIP レルムステーション パラメータを更新してください。 パラメータのヘルプを表示するには、疑問符またはパラメータ名のリンクをクリックします。

ステップ 5

[保存(Save)] をクリックします。

エンドユーザーのダイジェスト認証情報の設定

ダイジェスト認証情報の詳細を表示するには、以下の手順を実行します。

Cisco Unified Communications Manager Administration で、[ユーザー管理(User Management )] > [エンドユーザー(End User)] にアクセスし、ユーザー ID をクリックすると、[エンドユーザーの設定(End User Configuration)] ウィンドウが表示されます。 ダイジェスト認証情報は、[エンドユーザーの設定(End User Configuration)] ウィンドウの [ユーザー情報(User Information)] ペインから入手できます。

表 6. [ダイジェスト信用証明書(Digest Credentials)]

設定

説明

[ダイジェスト信用証明書(Digest Credentials)]

英数字文字列を入力します。

[ダイジェスト信用証明書の確認(Confirm Digest Credentials)]

ダイジェスト信用証明書を正しく入力したことを確認するために、このフィールドにクレデンシャルを入力します。