FIPS モードのセットアップ

FIPS セットアップ


注意    

FIPS モードは FIPS 準拠のリリースでのみサポートされます。 警告: 非 FIPS 準拠バージョンにアップグレードする前に、FIPS モードを無効にする必要があることに注意してください Unified Communications Manager

どのリリースが FIPS に準拠しているか、およびそれぞれの認証を確認するには、 FIPS 140 のドキュメント ( https://www.cisco.com/c/en/us/solutions/industries/government/global-government-certifications/fips-140.html) を参照してください。


重要

リリース 15SU3 以降、Unified Communications Manager および IM and Presence Service は FIPS 140-3 に準拠しています。 FIPS を有効化または無効化するための構成手順に変更はありません。

FIPS (連邦情報処理標準) は、米国およびカナダの政府認証標準です。 暗号モジュールが従わなければならない要件を定義します。

Unified Communications Manager の特定のバージョンは、米国国立標準技術研究所(NIST)による FIPS 140-2 に準拠しています。 FIPS モード、レベル 1 準拠で動作できます。

Unified Communications Manager

  • 再起動

  • 起動時に証明書のセルフテストを実行する

  • 暗号モジュールの整合性チェックを実行します

  • 鍵材料を再生成する

FIPS 140-2 モードを有効にした場合。 この時点で、 Unified Communications Manager は FIPS 140-2 モードで動作します。

FIPS 要件には以下が含まれます。

  • 起動時のセルフテストの実行

  • 承認された暗号化関数のリストに対する制限

FIPS モードは、以下の FIPS 140-2 レベル 1 検証済み暗号モジュールを使用します。


重要

これらのバージョンはリリース 15 にのみ適用できます。

  • CiscoSSL - 1.1.1t.7.2.500 (FIPS モジュール付き) CiscoSSL FOM 7.2a

  • CiscoSSH - 1.10.32

  • BC FIPS - 1.0.2.3.jar

  • BCTLS FIPS - 1.0.12.3.jar

  • BCPKIX FIPS - 1.0.5.jar

  • Strongswan - 5.9.8

  • KFOM - linux_kfom_1_0_0


重要

これらのバージョンはリリース 15SU2 に適用されます。

  • CiscoSSL - FIPS モジュール CiscoSSL FOM 7.2a 搭載 1.1.1w.7.2.555

  • CiscoSSH - 1.14.56.12

  • BC FIPS-2.0.0

  • BCTLS FIPS - 2.0.19

  • BCPKIX FIPS - 2.0.6

  • Strongswan - 5.9.10

  • KFOM - linux_kfom_1_0_0


重要

これらのバージョンはリリース 15SU3 に適用されます。

  • CiscoSSL - FIPS モジュール CiscoSSL FOM 7.3a 付き 1.1.1za.7.3.404

  • CiscoSSH - 1.16.65

  • BC FIPS-2.0.0

  • BCTLS FIPS - 2.0.19

  • BCPKIX FIPS - 2.0.6

  • Strongswan - 5.9.10

  • KFOM - linux_kfom_1_0_0


(注)  

Unified Communications Manager のアップグレードの詳細については、Cisco Unified Communications Manager および IM and Presence Service のインストールガイド の「COP ファイル設置ガイドライン」項を参照してください。

以下の FIPS 関連のタスクを実行することができます:

  • FIPS 140-2 モードを有効にする

  • FIPS 140-2 モードを無効にする

  • FIPS 140-2 モードのステータスを確認する


(注)  

  • デフォルトでは、システムは非 FIPS モードになっています。 有効にする必要があります。

  • クラスタを FIPS、Common Criteria、または Enhanced Security モードにアップグレードする前に、セキュリティパスワードの長さが 14 文字以上であることを確認してください。 前のバージョンが FIPS に対応していた場合でも、パスワードを更新する必要があります。

FIPS モードで自己署名証明書または証明書署名リクエスト CSR を生成する場合、証明書は SHA256 ハッシュアルゴリズムを使用して暗号化する必要があり、SHA1 を選択することはできません。

FIPS 140-2 モードを有効にする

Unified Communications Managerで FIPS 140-2 モードを有効にする前に、次のことを考慮してください:

  • 非 FIPS モードから FIPS モードに切り替えると、MD5 および DES プロトコルは機能しなくなります。

  • 単一サーバ クラスタでは、証明書が再生成されるため、FIPS モードを有効にする前に、CTL クライアントを実行するか、Prepare Cluster for Rollback to pre-8.0 エンタープライズ パラメータを適用する必要があります。 これらの手順のいずれかを実行しない場合、FIPS モードを有効にした後に手動で ITL ファイルを削除する必要があります。

  • クラスターでは、すべてのノードが FIPS または非 FIPS モードのいずれかである必要があります。 各ノードを異なるモードにすることはできません。 たとえば、FIPS モードのノード A と非 FIPS モードのノード B は許可されません。

  • サーバで FIPS モードを有効にした後は、サーバが再起動して電話が正常に再登録されるまで待ってから、次のサーバで FIPS を有効にしてください。

  • Unified Communications Manager リリース 15 で FIPS モードを有効にすると、IPSec 通信で 3DES アルゴリズムがサポートされなくなります。

  • すでに ESP および暗号化アルゴリズムを 3DES として IPSec ポリシーを設定しており、FIPS モードを有効にしている場合、Unified Communications Manager リリース 15 へのアップグレードはブロックされます。

  • リリース 15 以降のバージョンにアップグレードまたは移行する予定の場合は、3DES アルゴリズムを使用した IPSec ポリシーは FIPS モードではサポートされないことに注意してください。 アップグレードまたは移行する前に、IPSec トンネルを確立する両方のノードで、3DES 以外の暗号化および ESP アルゴリズムを使用して IPSec ポリシーを削除し、再作成します。

  • FIPS モードでは、SSH インターフェイスの ssh-rsa は SHA2 ベースの HostKeyAlgorithms に置き換えられます。

  • リリース 15SU3 以降、DH グループ 17 および 18 は使用できなくなります。 リリース 15SU3 にアップグレードまたは移行する予定の場合は、これらの DH グループを使用する IPSec ポリシーは FIPS モードでも非 FIPS モードでもサポートされないことに注意してください。 これらのサポートされていない DH グループを使用して IPSec ポリシーを構成している場合は、アップグレードまたは移行する前に、それらを削除し、サポートされている DH グループを使用して再作成してください。


注意    

FIPS モードを有効にする前に、システムのバックアップを実行することを強く推奨します。 起動時に FIPS チェックが失敗すると、システムが停止し、リカバリ CD の復元が必要になります。

展開時にすべてのクラスターノードが FIPS モードまたは非 FIPS モードに設定されていることを確認してください。 クラスター内に混合ノードを展開することはできません。 クラスターは FIP または非 FIPS ノードのいずれかである必要があります。

手順

ステップ 1

CLI セッションを開始してください。

詳細については、『 "Cisco Unified コミュニケーションソリューション用コマンドラインインタフェースリファレンスガイド』の" CLI セッションの開始 を参照してください

ステップ 2

CLI で、 utils fips disable と入力します。

重要

 

この手順はリリース 15SU3 以降にのみ適用されます。 インストールが 15SU3 より前のリリースである場合は、これをスキップして次の手順に進みます。
14 文字未満のパスワードを入力すると、次のプロンプトが表示されます。
FIPS、共通基準、セキュリティ強化モードなどのセキュリティモードを有効にする前に、クラスターセキュリティパスワードは14文字以上でなければなりません。 すべてのノードで「set password user security」CLI コマンドを使用してクラスター セキュリティ パスワードを更新し、このコマンドを再試行します。 ********************************************************************************** コマンドの実行に失敗しました

14 文字を超えるパスワードを入力すると、次のプロンプトが表示されます。 

セキュリティ警告: この操作により、1)CallManager、2)Tomcat、3)IPsec、4)TVS、5)CAPF、6)SSH の証明書が再生成されます。上記のコンポーネントにアップロードされたサードパーティ CA 署名付き証明書は、再度アップロードする必要があります。 システムが混合モードで動作している場合、CTL クライアントを再度実行して、CTL ファイルを更新する必要があります。 クラスター内に他のサーバが存在する場合は、このノードでの FIPS 操作が完了し、システムが再び稼働するまで待機し、他のノードの FIPS 設定を変更しないでください。 クラスター内のすべてのノードは、FIPS モードまたは非 FIPS モードのいずれかである必要があります。 クラスター内で異なるモードを使用するのは有効な構成ではありません。 たとえば、ノード A が FIPS モード、ノード B が非 FIPS モードという構成は許可されません。エンタープライズ パラメータ「TFTP ファイル署名アルゴリズム」が、CUCM の現在のバージョンでは FIPS に準拠していない値「SHA-1」に設定されている場合、署名操作は引き続き成功しますが、完全に FIPS に準拠するためにパラメータ値を SHA-512 に変更することをお勧めします。 SHA-512 を署名アルゴリズムとして設定する場合、クラスタにプロビジョニングされているすべての電話機が SHA-512 署名付き設定ファイルを検証できる必要がある場合があります。そうでない場合、電話機の登録が失敗する可能性があります。 詳細については、『Cisco Unified Communications Manager セキュリティガイド』を参照してください。 FIPS モードの SSH インターフェースの場合、ssh-rsa HostKeyAlgorithm は SHA-2 ベースの HostKeyAlgorithm に置き換えられます。 ************************************************************************************* これにより、システムが FIPS モードに変更され、再起動します。 ************************************************************************************* 警告: 続行したら、Ctrl+C を押さないでください。 この操作の開始後にキャンセルすると、システムの整合性が失われます。復元するには、システムを再起動して「utils fips ステータス」を実行する必要があります。 ************************************************************************************* 続行しますか (はい/いいえ)?

ステップ 3

CLI で、 utils fips disable と入力します。

重要

 

この手順は、15SU3 より下のリリースにのみ適用されます。 リリース 15SU3 以降の場合はこの手順をスキップしてください。
14 文字未満のパスワードを入力すると、次のプロンプトが表示されます。
FIPS、共通基準、セキュリティ強化モードなどのセキュリティモードを有効にする前に、クラスターセキュリティパスワードは14文字以上でなければなりません。 すべてのノードで「set password user security」CLI コマンドを使用してクラスター セキュリティ パスワードを更新し、このコマンドを再試行します。 ********************************************************************************** コマンドの実行に失敗しました

14 文字を超えるパスワードを入力すると、次のプロンプトが表示されます。 

セキュリティ警告: この操作では次の証明書が再生成されます: 1)CallManager 2)Tomcat 3)IPsec 4)TVS 5)CAPF 6)SSH 7)ITLRecovery 上記のコンポーネント用にアップロードされたサードパーティ CA 署名付き証明書は、再アップロードする必要があります。 システムが混合モードで動作している場合、CTL クライアントを再度実行して、CTL ファイルを更新する必要があります。 クラスター内に他のサーバがある場合は、このノードでの FIPS 操作が完了し、システムが再起動し、正常に動作するまで、他のノードの FIPS 設定を変更しないでください。 エンタープライズ パラメータ「TFTP ファイル署名アルゴリズム」が、Unified Communications Manager の現在のバージョンでは FIPS に準拠していない値「SHA-1」に設定されている場合、署名操作は引き続き成功しますが、完全に FIPS に準拠するために、パラメータ値を SHA-512 に変更することをお勧めします。 SHA-512 を署名アルゴリズムとして設定すると、クラスター内でプロビジョニングされたすべての電話が、SHA-512 署名済み設定ファイルを検証できるようになります。さもないと、電話の登録が失敗する可能性があります。 詳細については、『Cisco Unified Communications Manager セキュリティガイド』を参照してください。 ****************************************************************************** これによりシステムが FIPS モードに変更され、再起動されます。 ****************************************************************************** 警告: 続行したら Ctrl+C を押さないでください。 この操作の開始後にキャンセルすると、システムの整合性が失われます。復元するには、システムを再起動して「utils fips ステータス」を実行する必要があります。 ****************************************************************************** 続行しますか (はい/いいえ)?

ステップ 4

「はい」と入力してください

次のメッセージが表示されます。

証明書を生成しています... オペレーティングシステムで FIPS モードを設定しています。 FIPS モードの有効化に成功しました。 ******************************************************** システムを再起動した後は、システムのバックアップを実行することを強く推奨します。 システムは数分以内に再起動されます。

Unified Communications Manager 自動的に再起動します。

(注)  

 

  • 証明書と SSH キーは、FIPS 要件に従って、自動的に再生成されます。

  • 単一サーバ クラスタがあり、FIPS 140-2 モードを有効にする前に Prepare Cluster for Rollback to pre-8.0 エンタープライズ パラメータを適用した場合は、すべての電話がサーバに正常に登録されたことを確認してから、このエンタープライズ パラメータを無効にする必要があります。

  • クラスターで FIPS を有効にするには、まずパブリッシャを有効にし、構成されたすべてのサービスが適切に初期化され、立ち上がるまでに時間がかかることを確認します。 次に、クラスター内の他のすべてのノードで 1 つずつ、fips を有効にします。

CiscoSSH サポート

Unified Communications Manager は CiscoSSH をサポートしています。 システムで FIPS モードを有効にすると、CiscoSSH が自動的に有効になり、追加の設定は必要ありません。 詳細については、『Cisco Unified Communications Manager と IM and Presence Service の互換性マトリックス』を参照してください。 https://www.cisco.com/c/en/us/support/unified-communications/unified-communications-manager-callmanager/products-device-support-tables-list.html

FIPS 140-2 モードを無効にする

Unified Communications ManagerFIPS 140-2 モードを無効にする前に、次の情報を考慮してください:

  • 単一または複数のサーバ クラスタでは、CTL クライアントを実行することを推奨します。 CTL クライアントが単一サーバ クラスターで実行されていない場合、FIPS モードを無効にした後で、ITL ファイルを手動で削除する必要があります。

  • 複数サーバクラスターでは、各サーバを個別に無効にする必要があります。FIPS モードはクラスター全体ではなくサーバごとに無効化されるためです。

FIPS 140-2 モードを無効にするには、以下の手順を実行します。

手順

ステップ 1

CLI セッションを開始します。

詳細については、『 Cisco Unified Communications Solutions 用コマンドラインインターフェイスリファレンスガイド』の「CLI セッションの開始」セクションを参照してください

ステップ 2

CLI で、 utils fips disable と入力します。

Unified Communications Manager はリブートし、非 FIPS モードに復元されます。

(注)  

 

証明書と SSH キーは自動的に再生成されます。

FIPS 140-2 モードのステータスの確認

FIPS 140-2 モードが有効になっているかどうかを確認するには、CLI からモードのステータスを確認します。

FIPS 140-2 モードのステータスを確認するには、以下の手順を実行します。

手順

ステップ 1

CLI セッションを開始します。

詳細については、『 Cisco Unified Communications Solutions 用コマンドラインインターフェイスリファレンスガイド』の「CLI セッションの開始」セクションを参照してください

ステップ 2

CLI で、 utils fips status を入力します

次のメッセージが表示され、FIPS 140-2 モードが有効になっていることを確認します。

admin:utils fips システムは FIPS モードで動作しています。 セルフテストの状況: - S T A R T ---------------------Executing FIPS セルフテストランレベルは グラフィック.target 開始時刻: 2023年8月2日(水)18:28:56 IST NSS セルフテストを通過しました。 カーネル暗号化テストを通過しました。 オペレーティングシステムの OpenSSL セルフテストを通過しました。 ストロングスワンのセルフテストを通過しました。 OpenSSL セルフテストを通過しました。 CryptoJ のセルフテストを通過しました。 BCFIPS セルフテストを通過しました。 KFOM セルフテストを通過しました。

FIPS 140-2 モードサーバの再起動

各 FIPS 140-2 モジュールの FIPS スタートアップセルフテストは、再起動後に FIPS 140-2 モードで Unified Communications Manager サーバーが再起動するとトリガーされます。


注意    

これらのセルフテストのいずれかが失敗した場合、 Unified Communications Manager サーバは停止します。


(注)  

Unified Communications Manager サーバは、FIPS が対応する CLI コマンドで有効または無効になると自動的に再起動されます。 リブートを開始することもできます。


注意    

一時的なエラーのためにスタートアップのセルフテストに失敗した場合、 Unified Communications Manager サーバを再起動することで解決します。 しかし、起動時のセルフテストエラーが解消されない場合は、FIPS モジュールに重大な問題があることを示しており、リカバリ CD を使用する以外に選択肢はありません。

FIPS モードの制限

機能

制約事項

SNMP v3

FIPS モードは、MD5 または DES を使用した SNMP v3 をサポートしていません。 FIPS モードが有効になっている間に SNMP v3 を構成する場合、認証プロトコルとして SHA を、プライバシープロトコルとして AES128 を構成する必要があります。

証明書のリモート登録

FIPS モードは証明書のリモート登録をサポートしていません。

SFTP サーバ

すべての SFTP クライアント(例えば、DRS および CDR)接続は、次のホストキーアルゴリズムを使用します。

  • FIPS モードは rsa-sha2-256 のみをサポートします

  • 非 FIPS モードは、ssh-rsa のみをサポートします

rsa-sha2-256 (SHA256WithRSA) サポートは OpenSSH 6.8 バージョン以降でのみ利用できます。

SSH ホストキーアルゴリズム

廃止されたアルゴリズム:

  • ssh-rsa (SHA1withRSA)

新しくサポートされたアルゴリズム:

  • rsa-sha2-256

  • rsa-sha2-512

(注)  

 

14SU2 以降のリリースにアップグレードする前に、『Cisco Unified Communications Manager IM and Presence Service アップグレードおよび移行ガイド』の「COP ファイルでサポートされているアップグレードおよび移行パス」の項を参照することをお勧めします。

IPSec ポリシー

共通基準 (CC) モードでは、証明書ベースの IPSec ポリシーを構成する前に、まずクラスタ/ノード間で証明書の交換を行うことをお勧めします。

証明書ベースの IPSec ポリシーは、非 FIPS から FIPS/Common Criteria モードに、またはその逆に移行する場合には機能しません。

非 FIPS モードから FIPS / CC モード (またはその逆) に移行する必要がある場合は、以下を実行します。 証明書ベースの IPSec ポリシーがあり、有効な状態である場合、

  1. FIPS/CC モードに移行する前に、またはその逆に移行する前に、IPSec ポリシーを無効にします。

  2. FIPS/CC モードに移行した後、証明書を再認証し、新しい証明書を交換します(その逆も同様です)。

  3. IPSec ポリシーを有効にします。

(注)  

 

IPSec 構成を持つ FIPS CC モードサーバを有効/無効にすると、複数の Pluto コアが表示されます (utils core active list)。 ただし、機能への影響はありません。

強化されたセキュリティ モード

強化されたセキュリティモードは FIPS 対応システムで実行されます。 Unified Communications ManagerIM and Presence Service の両方は、強化されたセキュリティモードで動作させることができます。これにより、システムに以下のセキュリティおよびリスク管理コントロールを適用することができます。

  • ユーザ パスワードとパスワード変更に対して、より厳格な資格情報ポリシーが実装されます。

  • 連絡先検索の認証機能がデフォルトで有効になります。

  • リモート監査ログのプロトコルが TCP または UDP に設定されている場合、デフォルトのプロトコルは TCP に変更されます。 リモート監査ログのプロトコルが TLS に設定されている場合、デフォルトのプロトコルは TLS のままです。 共通基準モードでは、厳格なホスト名検証が実装されています。 そのため、証明書と一致する完全修飾ドメイン名 (FQDN) でサーバを構成する必要があります。

Unified Communications Manager が FIPS モードの場合、バックアップ端末として設定する端末は FIPS に準拠している必要があります。 鍵交換アルゴリズム Diffie-hellman-group1-sha1 は FIPS モードではサポートされていません。 diffie-hellman-group1-sha1 アルゴリズムを Unified Communications Manager の非 FIPS モードに設定すると、FIPS モードを有効にしたときに、このアルゴリズムは自動的に SSH キー交換から削除されます。

資格情報ポリシーの更新

強化されたセキュリティモードが有効になっている場合、新しいユーザパスワードとパスワードの変更には、より厳格な資格情報ポリシーが適用されます。 強化型セキュリティモードが有効になった後で、管理者は set password *** 一連の CLI コマンドを使用して、これらの要件を変更できます。

  • パスワードの長さは 14 から 127 文字の間でなければなりません。

  • パスワードには、少なくとも 1 個の小文字、1 個の大文字、1 個の数字、および 1 個の特殊文字が必要です。

  • 過去 24 個のパスワードの再使用は許可されません。

  • パスワードの最短寿命は 1 日、最長寿命は 60 日です。

  • 新しく生成されるパスワードの文字列は、古いパスワードの文字列と少なくとも 4 文字異なる必要があります。


(注)  

Unified Communications Manager および Cisco Instant Messaging がセキュリティ強化モードで動作している場合、Jabber に既存のローカルエンドユーザーまたは新規のローカルエンドユーザーとしてログインする前に、以下の手順に従う必要があります。

  • まずセルフケア ポータルにログインし、次にユーザのパスワードをリセットしてから Jabber にログインします。 次に、ローカルエンドユーザの Jabber にログインします。

  • セルフケアポータルの URL: https://<IPaddress>/ucmuser

(注)  

Unified Communications Manager が拡張モードで動作する場合、IPMASysUser および IPMASecureSysUser のユーザー資格情報を必ず変更してください。 そうしないと、IPMA 機能が稼働状態にならず、「IPMANotStarted」アラームがトリガーされます。 次の Cisco Tomcat サービス再起動時または IPMA サービス再起動時に、CLI セッションが一杯になります。

アプリケーションユーザーのパスワードサインイン情報は、『Cisco Unified Communications Manager アドミニストレーション ガイド』の「アプリケーション ユーザー パスワード クレデンシャル情報の管理」の項に記載されている方法で変更できます。

Cisco Unified CM Administration ユーザーインターフェイスから、ユーザー管理(User Management) > アプリケーションユーザー(Application User)] に移動して、[クレデンシャルの編集(Edit Credential)] をクリックします。 認証ルールのドロップダウンリストで、[拡張セキュリティ資格情報ポリシー(Enhanced Security Credential Policy)] を選択し、 [ユーザは次回ログイン時に変更する必要あり(User Must Change at Next Login check box)] チェックボックスがオフになっていることを確認します。 「資格情報ポリシーの更新」セクションで説明されているように、強化されたセキュリティ モード ポリシーを表示できます。

セキュリティ強化モードを設定する

セキュリティ強化モードを有効にする前に、FIPS を有効にします。

すべての Unified Communications Manager または IM and Presence Service クラスタノードでこの手順を使用してセキュリティ強化モードを設定します。


(注)  
セキュリティ強化モードを有効にした後に IM and Presence Service パブリッシャーでパスワードを変更する場合、 Unified Communications Manager パブリッシャーのサービスが「開始済み」状態であることを確認する必要があります (「Cisco IM and Presence Data Monitor」サービスおよび SyncAgent)。

手順

ステップ 1

コマンドライン インターフェイスにログインします。

ステップ 2

utils EnhancedSecurityMode status コマンドを実行し、セキュリティ強化モードが有効になっているかどうか確認してください。

ステップ 3

Unified Communications Manager クラスターノードで次のいずれかのコマンドを実行します:

  • 強化されたセキュリティモードを有効にするには、 utils EnhancedSecuritymode enable コマンドを実行します。
  • 強化されたセキュリティモードを有効にするには、 utils EnhancedSecuritymode enable コマンドを実行します。

ステップ 4

強化されたセキュリティモードを有効にしたら、Cisco Unified CM Administration のユーザインターフェイスで、14 文字を含む新しいパスワードに変更します。

Unified Communications Manager パブリッシャーで強化されたセキュリティモードを有効にした後、次の操作を行います:

  1. Unified Communications Manager 登録者で強化型セキュリティモードを有効にしてください。

  2. IM and Presence Service パブリッシャーで強化されたセキュリティモードを有効にしてください。

  3. IM and Presence Service 登録者で強化型セキュリティモードを有効にしてください。

(注)  

 

すべてのノードで、 utils EnhancedSecurityMode enable または utils EnhancedSecurityMode disable CLI コマンドを同時に実行しないでください。

共通基準モード

共通基準モードにより、 Unified Communications ManagerIM and Presence Service サービスが共通基準ガイドラインに準拠できるようになります。 共通基準モードは、各クラスター ノードで以下の CLI コマンド セットを使用して構成できます。

  • utils fips_common_criteria enable

  • utils fips_common_criteria 無効

  • utils fips_common_criteria ステータス


(注)  

共通基準モードは TLS 1.3 では機能しません。

コモンクライテリア設定タスクフロー

  • 共通基準モードを有効にするには、FIPS モードが実行されている必要があります。 FIPS がまだ有効になっていない場合、コモン クライテリア モードを有効にしようとすると、有効にするようにプロンプトが表示されます。 FIPS を有効にするには、証明書の再生成が必要です。 詳細については、FIPS 140-2 モードを有効にするを参照してください。

  • 共通基準 (CC) モードでは、証明書ベースの IPSec ポリシーを構成する前に、まずクラスタ/ノード間で証明書の交換を行うことをお勧めします。

  • 共通基準モードでは X.509 v3 証明書が必要です。 X.509 v3 証明書により、以下の通信プロトコルとして TLS 1.2 を使用する際の安全な接続が可能になります。

    • リモート監査のログ記録

    • FileBeat クライアントと logstash サーバ間の接続を確立しています。

Unified Communications ManagerIM and Presence Service を共通基準モードに設定するには、次を実行します:

手順の概要

  1. [VLANの有効化(Enable TLS)]
  2. 共通基準モードを設定する

手順の詳細

  コマンドまたはアクション 目的

ステップ 1

[VLANの有効化(Enable TLS)]

TLS は共通基準モードを構成するための前提条件です。

ステップ 2

共通基準モードを設定する

すべての Unified Communications Manager および IM and Presence Service クラスタノードに Common Criteria モードを設定する。

[VLANの有効化(Enable TLS)]

TLS 1.2 バージョンまたは TLS バージョン 1.1 は共通基準モードの要件です。 コモンクライテリアモードを有効にすると、TLS バージョン 1.0 を使用した安全な接続は許可されなくなります。

  • TLS 接続の確立中に、ピア証明書の extendedKeyUsage 拡張機能の値が適切であるかどうかがチェックされます。

    • ピアがサーバの場合、ピア証明書には serverAuthextendedKeyUsage 拡張機能が必要です。

    • ピアがサーバの場合、ピア証明書には serverAuthextendedKeyUsage 拡張機能が必要です。

extendedKeyUsage 拡張機能がピア証明書に存在しないか、適切に設定されていない場合、接続は閉じられます。

TLS バージョン 1.2 をサポートするには、以下を実行します。

手順

ステップ 1

Soap UI バージョン 5.2.1 をインストールします。

ステップ 2

Microsoft Windows プラットフォームを実行している場合:

  1. C:\Program Files\SmartBear\SoapUI-5.2.1\bin に移動します。

  2. SoapUI-5.2.1.vmoptions ファイルを編集して、 -Dsoapui.https.protocols=TLSv1.2,TLSv1,SSLv3 を追加し、ファイルを保存します。

ステップ 3

Linux を実行している場合は、 bin/soaup.sh ファイルを編集して JAVA_OPTS="$JAVA_OPTS -Dsoapui.https.protocols=SSLv3,TLSv1.2" と入力し、ファイルを保存します。

ステップ 4

OSX を実行している場合:

  1. /Applications/SoapUI-{VERSION}.app/Contents に移動します。

  2. SoapUI-5.2.1.vmoptions ファイルを編集して、 -Dsoapui.https.protocols=TLSv1.2,TLSv1,SSLv3 を追加し、ファイルを保存します。

ステップ 5

SoapUI ツールを再起動し、AXL テストを続行します

共通基準モードを設定する

この手順を使用して、 Unified Communications Manager および IM and Presence Service サービスの共通基準モードを設定します。


(注)  

Cisco の CTL クライアントは Release 14 からサポートされなくなりました。Cisco CTL プラグインの代わりに、CLI コマンドを使用して Unified Communications Manager サーバを混合モードに切り替えることを推奨します。
手順

ステップ 1

コマンドラインインターフェースのプロンプトにログインします。

ステップ 2

utils fips_common_criteria status コマンドを実行して、システムが Common Criteria モードで動作しているかどうかを確認します。

ステップ 3

クラスター ノードで以下のいずれかのコマンドを実行します。

  • コモンクライテリアモードを有効にするには、utils fips_common_criteria enable を実行します。

  • コモンクライテリアモードを有効にするには、utils fips_common_criteria disable を実行します。

    共通基準モードが無効になっている場合、最小の TLS バージョンを設定するためのプロンプトが表示されます。

(注)  

 
すべてのノードでこれらのコマンドを同時に実行しないでください。

ステップ 4

単一クラスタ全体で共通基準モードを有効にするには、すべての Unified Communications Manager [適切な用語] IM and Presence Service クラスタノードでこの手順を繰り返します。

(注)  

 

  • CTL クライアントは Unified Communications Manager ノードに接続しません。サーバが Common Criteria モードの場合、CTL クライアントは TLS 1.1 および TLS 1.2 プロトコルをサポートしないためです。

  • DX シリーズおよび 88XX シリーズ電話など、TLS 1.1 または TLS 1.2 をサポートする電話モデルのみが、Common Criteria モードでサポートされます。 7975 および 9971 など、TLSv1.0 のみをサポートする電話モデルは、Common Criteria モードでサポートされません。

  • CTL クライアントの使用時に TLS 1.0 を一時的に許可し、その後クラスタを Common Criteria モードに移動することができます。 最小 TLS を 1.1 または 1.2 に設定します。

  • トークンレス CTL に移行するには、CLI コマンド utils ctl set-cluster 混合モード を共通基準モードで使用します。 最小 TLS を 1.1 または 1.2 に設定します。

(注)  

 

共通基準モードは TLS 1.3 では機能しません。

ステップ 5

ノード間で ICSA がすでに構成されているマルチクラスターセットアップでコモンクライテリアモードを有効にするには、以下の順序で各ノードでコモンクライテリアモードを有効にします。

  1. Unified Communications Manager - クラスター 1 (パブリッシャー)

  2. IM and Presence Service - クラスター 1 (パブリッシャー)

  3. IM and Presence Service - クラスター 1 (サブスクライバーまたはサブスクライバー)

  4. Unified Communications Manager - クラスター 2 (パブリッシャー)

  5. IM and Presence Service - クラスター 2 (パブリッシャー)

  6. IM and Presence Service - クラスター 2 (サブスクライバーまたはサブスクライバー)

ステップ 6

証明書の同期に失敗した場合は、該当のリソースを参照してください。