セキュリティ

この章では、Cisco Unified Communications Manager Express(Cisco Unified CME)の電話認証サポート、Cisco Unified IP Phone の Hypertext Transfer Protocol Secure(HTTPS)プロビジョニング、および次のセキュア音声通話機能を提供する Cisco Unified CME 機能の Media Encryption(SRTP)について説明します。

  • Secure Real-Time Transport Protocol(SRTP)および H.323 プロトコルを使用した、Cisco Unified CME ネットワークでのコール制御シグナリングとメディア ストリームのセキュリティ保護。

  • H.323 トランクを使用して Cisco Unified CME ネットワークの補足サービスを保護します。

  • Cisco VG224 アナログ電話ゲートウェイのエンドポイントを保護します。

セキュリティの前提条件

  • 電話認証には Cisco Unified CME 4.0 以降のバージョンが必要です。

  • メディア暗号化(SRTP)のための Cisco Unified CME 4.2 以降のバージョンが Cisco Unified CME 上で必要です。

  • サポートされているプラットフォーム上の Cisco IOS 機能セット Advanced Enterprise Services (adventerprisek9) または Advanced IP Services (advipservicesk9)。

  • HTTPS プロビジョニングを行うには、IP 電話にファームウェア 9.0 (4) 以降のバージョンがインストールされている必要があります。

  • システム クロックは、次のいずれかの方法で設定する必要があります。

    • ネットワーク タイム プロトコル (NTP) を構成します。 構成情報については、ネットワークタイムプロトコルを有効にするを参照してください。

    • clock set コマンドを使用してソフトウェア クロックを手動で設定します。 このコマンドの詳細については、『Cisco IOS ネットワーク管理コマンド リファレンス』を参照してください

セキュリティに関する制限

電話認証

  • Cisco Unified CME 電話認証は、Cisco IAD 2400 シリーズまたは Cisco 1700 シリーズではサポートされていません。

メディア暗号化

  • 安全な 3 者間ソフトウェア会議はサポートされていません。 SRTP で始まるセキュアコールは、会議に参加すると、常に非セキュアなリアルタイム トランスポート プロトコル(RTP)に切り替わります。

  • 3 者間会議から 1 人が退出した場合、残りの 2 者が単一の Cisco Unified CME への SRTP 対応ローカル Skinny Client Control Protocol(SCCP)エンドポイントであり、会議作成者が残りの 2 者のうちの 1 人であれば、残りの 2 者間の通話は安全な状態に戻ります。 残りの 2 人の通話者のうちのいずれかが RTP のみに対応している場合、通話は非セキュアです。 残りの 2 人の通話者が FXS、PSTN、または VoIP 経由で接続されている場合、通話は非セキュアのままです。

  • Cisco Unity Connection への通話は安全ではありません。

  • 保留音 (MOH) は安全ではありません。

  • ビデオ コールは安全ではありません。

  • モデム リレーおよび T.3 FAX リレー通話は安全ではありません。

  • メディア フローアラウンドは、通話転送および自動転送ではサポートされません。

  • インバンド トーンと RFC 2833 DTMF 間の変換はサポートされていません。 RFC 2833 DTMF 処理は、暗号化キーがセキュア DSP ファーム デバイスに送信されるときにサポートされますが、コーデック パススルーではサポートされません。

  • セキュアな Cisco Unified CME は、Cisco Integrated Services Router Generation 2 プラットフォーム上でのみ SIP トランクおよび H.323 トランクをサポートします。 Secure Unified CME は、Cisco 4000 シリーズ サービス統合型ルータではサポートされていません。

  • セキュアな通話は、デフォルトのセッション アプリケーションでのみサポートされます。

セキュリティに関する情報

統合 CME パスワードポリシー

Unified CME 12.6 リリース (Cisco IOS XE Gibraltar 16.11.1a) 以降では、Unified CME のすべての設定が Unified CME パスワード ポリシーを満たしている必要があります。

一般的なパスワード ポリシーのガイドライン:

  • パスワードは、英数字 6 文字以上、英数字 15 文字以下でなければなりません。

  • パスワードには記号や特殊文字を含めることはできません。

  • パスワードには、少なくとも 1 つの数字、1 つの大文字のアルファベット、および 1 つの小文字のアルファベットを含める必要があります。

パスワードがポリシーに従って設定されていない場合、Unified CME ルータは次のエラー メッセージを表示します。


Error: The password you have entered is incorrect.
Your password must contain:
1. A minimum of 6 and a maximum of 15 alphanumeric characters, excluding symbols and special characters.
2. A minimum of one numeral, one uppercase alphabet, and one lowercase alphabet.

(注)  


Unified CME パスワード ポリシーは、Cisco IOS XE 16.11.1a 以降の Unified CME 設定に適用されます。

Unified CME パスワード ポリシーは、次のシナリオには適用されません。

  • 古い IOS バージョンから Cisco IOS XE 16.11.1a にアップグレードする

  • Cisco IOS XE 16.11.1a から古いバージョンにダウングレードします。


パスワードの設定と暗号化に関するガイドライン

次のように CLI コマンドを使用して、Unified CME に関連するパスワードを設定します。

  • voice reg pool 設定モード

    • ユーザ名 名前 パスワード [0|6] パスワード

    • ata-ivr-pwd [0|6] パスワード

  • 音声レジスタグローバル (自動レジスタ用)設定モード

    • パスワード [0|6] パスワード

  • ephone 設定モード

    • username name password [0|6] password

  • テレフォニーサービス 設定モード

    • ssh userid user-id-name password [0|6] password

    • service local-directory authenticate username [0|6] password

    • XML ユーザ ユーザ名 パスワード [0|6] パスワード 特権レベル

    • スタンバイユーザ ユーザ名 パスワード [0|6] パスワード

  • Extension Mobility 関連(telephony-service 設定モード)設定モード

    • URL 認証 URL アドレス アプリケーション名 パスワード [0|6] パスワード

    • 認証資格情報 アプリケーション名 パスワード [0|6] パスワード

  • Extension Mobility 関連(voice logout-profile 設定モード)設定モード

    • user name password [0|6] password

  • 音声ユーザプロファイル 音声ログアウトプロファイル 、および 音声登録プール 設定モード

    • ピン [0|6] ピン

  • 音声ユーザプロファイル 設定モード

    • ユーザ名 名前 パスワード [0|6] パスワード

Unified CME パスワード ポリシーの設定に関する推奨事項の一部を次に示します。

  • CLI コマンドで指定されたパラメータ [0|6] の 0 は、暗号化されていないプレーンテキストを表し、 6 はレベル 6 のパスワード暗号化を表します。

  • コマンド レベルでのパラメータ設定 ([0|6] ) とは別に、Unified CME ルータは暗号化をサポートするように設定する必要があります。 Unified CME ルータでタイプ 6 暗号化をサポートするには、CLI コマンド encrypt password を設定します。

  • CLI コマンド encrypt password は、Unified CME ルータではデフォルトで有効になっています。 ただし、Unified CME ルータで暗号化をサポートするには、 key config-key password-encrypt [key] および password encryption aes を必須設定する必要があります。 サンプル構成については、 Unified CME のパスワード ポリシー設定例

  • パスワードの暗号化に使用されたキーが新しいキーに置き換えられた場合 (キーの置き換えまたはキーの再生成)、パスワードは新しいキーで再暗号化されます。

  • Unified CME で設定するタイプ 0 とタイプ 6 の両方のパラメータについては、CME パスワード ポリシーに従う必要があります。 CME パスワードポリシーの詳細については、統合 CME パスワードポリシーを参照してください。


(注)  


CLI コマンド ata-ivr-pwd の場合、パスワードとして 4 桁の文字列を使用する必要があります。 詳細については、『Unified CME コマンド リファレンス ガイド』の CLI コマンド「ata-ivr-pwd」を参照してください。 https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/cucme/command/reference/cme_cr/cme_cr_chapter_00.html#wp4928362570


次の表は、Unified CME でサポートされているパスワード暗号化レベルに関する情報を示しています。

表 1. パスワード暗号化設定

ユーザ入力(User Input)

encrypt password + key config-key password-encrypt [key] + password encryption aes

パスワード暗号化ステータス

暗号化されたテキスト(タイプ 6)

  • パスワードの暗号化 —有効

  • key config-key password-encrypt [key] —有効

  • password encryption aes :有効

暗号化済み

暗号化されたテキスト(タイプ 6)

  • パスワードの暗号化 —無効

  • key config-key password-encrypt [key] —有効

  • パスワード暗号化 aes - 有効

暗号化されていない(プレーンテキスト)

プレーンテキスト(タイプ 0)

  • パスワードの暗号化 —無効

  • key config-key password-encrypt [key] —有効

  • password encryption aes :有効

暗号化されていない(プレーンテキスト)

プレーンテキスト(タイプ 0)

  • パスワードの暗号化 —有効

  • key config-key password-encrypt [key] —有効

  • パスワード暗号化 aes - 有効

暗号化済み


(注)  


パスワードの暗号化を無効にするには、CLI コマンド no encrypt password を設定します。


パスワード暗号化のダウングレードに関する考慮事項

Unified CME 12.6 から以前のバージョンへのダウングレードを実行する場合は、CLI コマンド no encrypt password を実行する必要があります 。 CLI コマンド no encrypt password が設定されている場合、パスワードはプレーンテキストとして表示されます。

ログからパスワードとキーを削除する

Unified CME リリース 12.6 以降では、Unified CME のセキュリティを強化するために、パスワードと sRTP キーはログに出力されません。 キーに関する情報は、Unified CME 12.6 リリース以降の show コマンドでのみ利用可能です。 SCCP の CLI コマンド show ephone offhook および SIP の CLI コマンド show sip-ua calls が強化され、sRTP 暗号とともに、メディア ストリームごとに使用中のキーが表示されるようになりました。

サンプル出力については、ログからパスワードとキーを削除する例を参照してください。

CLI コマンドの廃止

Unified CME リリース 12.6 以降では、製品のセキュリティを強化するために、 telephony-service 設定モードで設定される次の CLI コマンドは廃止されました。

  • ログ パスワード パスワード文字列

  • xmltest

  • xmlschema schema-url

  • xmlthread number

廃止されたコマンドの詳細については、 『Cisco Unified Communications Manager Express コマンド リファレンス』 を参照してください。

電話認証の概要

電話認証は、Cisco Unified CME と IP 電話の間で安全な SCCP シグナリングを提供するためのセキュリティ インフラストラクチャです。 Cisco Unified CME 電話機認証の目的は、Cisco Unified CME IP テレフォニー システム用の安全な環境を作成することです。

電話認証は、次のセキュリティ ニーズに対応します。

  • システム内の各エンドポイントの ID を確立する

  • デバイスの認証

  • シグナリングセッションのプライバシーを提供する

  • 構成ファイルの保護を提供する

Cisco Unified CME 電話機認証では、電話機または Cisco Unified CME システムの ID 盗難、データ改ざん、コールシグナリング改ざん、またはメディア ストリーム改ざんを防止するための認証と暗号化を実装します。 これらの脅威を防ぐために、Cisco Unified IP テレフォニー ネットワークは、認証された通信ストリームを確立して維持し、ファイルが電話機に転送される前にデジタル署名し、Cisco Unified IP 電話機間の通話信号を暗号化します。

Cisco Unified CME 電話機の認証は、次のプロセスに依存します。

電話認証

電話認証プロセスは、各エンティティが他のエンティティの証明書を受け入れるときに、Cisco Unified CME ルータとサポート対象デバイスの間で発生し、その場合にのみエンティティ間の安全な接続が確立されます。 電話認証は、既知の信頼できる証明書とトークンのリストである証明書信頼リスト (CTL) ファイルの作成に依存します。 電話機は、トランスポート層セキュリティ(TLS)セッション接続を使用して Cisco Unified CME と通信しますが、そのためには次の条件を満たす必要があります。

  • 電話機に証明書が存在している必要があります。

  • 電話機に電話機設定ファイルが存在し、そのファイル内に Cisco Unified CME エントリと証明書が存在している必要があります。

ファイル認証

ファイル認証プロセスは、電話機が TFTP(Trivial File Transfer Protocol)サーバからダウンロードするデジタル署名されたファイル(設定ファイル、リング リスト ファイル、ロケール ファイル、CTL ファイルなど)を検証します。 電話機は、TFTP サーバからこれらのタイプのファイルを受信すると、ファイル署名を検証して、ファイルの作成後にファイルの改ざんが行われていないことを確認します。

シグナリング認証(Signaling Authentication)

シグナリング認証プロセス (シグナリング整合性とも呼ばれます) では、TLS プロトコルを使用して、シグナリング パケットが送信中に改ざんされていないことを検証します。 シグナリング認証は CTL ファイルの作成に依存します。

公開鍵インフラストラクチャ

Cisco Unified CME 電話認証では、IP 電話の証明書ベースの認証に Cisco IOS ソフトウェアの公開鍵インフラストラクチャ (PKI) 機能を使用します。 PKI は、安全なデータ ネットワーク内で暗号化および ID 情報を配布、管理、取り消しするための、スケーラブルで安全なメカニズムを顧客に提供します。 安全な通信に参加するすべてのエンティティ (人物またはデバイス) は、エンティティが Rivest-Shamir-Adleman (RSA) キー ペア (秘密キー 1 つと公開キー 1 つ) を生成し、信頼できるエンティティ (証明機関 [CA] またはトラストポイントとも呼ばれる) によって ID を検証するプロセスを使用して PKI に登録されます。

各エンティティが PKI に登録すると、PKI 内のすべてのピア (エンド ホストとも呼ばれます) に、CA によって発行されたデジタル証明書が付与されます。

ピア間で安全な通信セッションをネゴシエートする必要がある場合、デジタル証明書を交換します。 証明書の情報に基づいて、ピアは別のピアの ID を検証し、証明書に含まれる公開キーを使用して暗号化されたセッションを確立できます。

電話認証コンポーネント

Cisco Unified CME システムでは、さまざまなコンポーネントが連携して安全な通信を確保します。 表 1 では、Cisco Unified CME 電話機の認証コンポーネントについて説明します。

表 2. Cisco Unified CME 電話認証コンポーネント

コンポーネント

定義

certificate

ユーザーまたはデバイスの名前とその公開鍵を結び付ける電子文書。 証明書は通常、デジタル署名の検証に使用されます。 安全な通信中の認証には証明書が必要です。 エンティティは CA に登録することで証明書を取得します。

signature

トランザクションが本物であることを保証するエンティティからの保証。 エンティティの秘密鍵はトランザクションの署名に使用され、対応する公開鍵は復号化に使用されます。

RSA 鍵ペア

RSA は、ロン・リベスト、アディ・シャミア、レナード・アドルマンによって開発された公開鍵暗号システムです。

RSA キーペアは、公開鍵と秘密鍵で構成されます。 公開鍵は証明書に含まれているため、ピアはそれを使用して、ルータに送信されるデータを暗号化できます。 秘密鍵はルータ上に保存され、ピアによって送信されたデータを復号化するためと、ピアとネゴシエートするときにトランザクションにデジタル署名するために使用されます。

異なる証明機関または異なる証明書に対して、キーの長さ、キーの有効期間、キーの種類などのポリシー要件に合わせて複数の RSA キー ペアを設定できます。

証明書サーバ

トラストポイント

証明書サーバは、正当な要求を受信すると証明書を生成し、発行します。 証明書サーバと同じ名前のトラストポイントに証明書が保存されます。 各トラストポイントには、証明書 1 つと CA 証明書のコピーが 1 つあります。

認証局(CA)

ルート証明書サーバ。 証明書要求を管理し、参加しているネットワーク デバイスに証明書を発行する役割を担います。 このサービスは、参加デバイスの集中型キー管理を提供し、受信側によって ID を検証し、デジタル証明書を作成するために明示的に信頼されます。 CA は、Cisco Unified CME ルータ上の Cisco IOS CA、別のルータ上の Cisco IOS CA、またはサードパーティの CA にすることができます。

登録機関(RA)

CA が証明書を発行するために必要なデータの一部またはすべてを記録または検証します。 CA がサードパーティの CA である場合、または Cisco IOS CA が Cisco Unified CME ルータ上にない場合に必要です。

証明書信頼リスト(CTL)ファイル

CTL クライアント

CTL プロバイダー

IP 電話が対話する必要があるすべてのサーバ(Cisco Unified CME サーバ、TFTP サーバ、CAPF サーバなど)の公開キー情報(サーバ ID)を含む必須の構造。 CTL ファイルは SAST によってデジタル署名されています。

CTL クライアントを設定すると、CTL ファイルが作成され、TFTP ディレクトリで使用できるようになります。 CTL ファイルは、SAST 証明書の対応する秘密キーを使用して署名されます。 その後、IP 電話は TFTP ディレクトリからこの CTL ファイルをダウンロードできるようになります。 各電話機の CTL ファイルのファイル名の形式は CTLSEP<mac-addr>.tlv です。

CTL クライアントがネットワーク内の Cisco Unified CME ルータ以外のルータで実行されている場合は、ネットワーク内の各 Cisco Unified CME ルータで CTL プロバイダーを設定する必要があります。 同様に、ネットワーク内の 2 台の Cisco Unified CME ルータのいずれかで CTL クライアントが実行中の場合は、もう 1 台の Cisco Unified CME ルータで CTL プロバイダーを設定する必要があります。 CTL プロトコルは、CTL プロバイダーとの間で情報を転送し、2 番目の Cisco Unified CME ルータが電話機によって信頼されるようにします (逆の場合も同様)。

証明書失効リスト(CRL)

証明書の有効期限日が含まれ、提示された証明書が有効か失効しているかを判断するために使用されるファイル。

システム管理者セキュリティトークン (SAST)

CTL ファイルの署名を担当する CTL クライアントの一部。 Cisco Unified CME 証明書とそれに関連付けられたキー ペアは、SAST 機能に使用されます。 セキュリティ上の理由から、CTL ファイルには実際には 2 つの異なる証明書に関連する 2 つの SAST レコードが存在します。 これらは SAST1 および SAST2 として知られています。 いずれかの証明書が紛失または侵害された場合、CTL クライアントは他の証明書を使用して CTL ファイルを再生成します。 電話機が新しい CTL ファイルをダウンロードすると、以前にインストールされた 2 つの元の公開キーのうちの 1 つだけを使用して検証します。 このメカニズムは、IP 電話が不明なソースからの CTL ファイルを受け入れるのを防ぐためのものです。

証明機関プロキシ機能 (CAPF)

LSC 証明書を要求する電話機に証明書を発行するエンティティ。 CAPF は、CA と直接通信できない電話機のプロキシとして機能します。CAPF は、以下の証明書管理タスクも実行できます。

  • 電話機上の既存のローカルで重要な証明書をアップグレードします。

  • 表示およびトラブルシューティングのために電話証明書を取得します。

  • 電話機の LSC を削除します。

製造元インストール証明書(MIC)

ローカルで有効な証明書(LSC)

安全な通信を行うには、電話に証明書が必要です。 多くの電話機には工場出荷時に MIC が搭載されていますが、MIC の有効期限が切れたり、紛失したり、侵害されたりする場合があります。 一部の電話機には MIC が付属していません。 LSC は、CAPF サーバーを使用して電話機にローカルに発行される証明書です。

トランスポート層セキュリティ(TLS)プロトコル

Netscape Secure Socket Layer (SSL) プロトコルに基づく IETF 標準 (RFC 2246) プロトコル。 TLS セッションは、プライバシーとデータの整合性を確保するためにハンドシェイク プロトコルを使用して確立されます。

TLS レコード層は、ハンドシェイクメッセージを含むアプリケーションデータやその他の TLS 情報の断片化と再構築、圧縮と解凍、暗号化と復号化を実行します。

Cisco Unified CME 電話認証 は、Cisco Unified CME 電話認証環境内のコンポーネントを表示します。

図 1. Cisco Unified CME 電話認証


電話認証プロセス

以下は、電話認証プロセスの概要です。

Cisco Unified CME 電話認証を有効にするには:

  1. 証明書が発行されます。

    CA は、Cisco Unified CME、SAST、CAPF、および TFTP 機能に証明書を発行します。

  2. CTL ファイルが作成され、署名され、公開されます。

    1. CTL ファイルは、構成主導の CTL クライアントによって作成されます。 その目的は、各電話機の CTLfile.tlv を作成し、それを TFTP ディレクトリに保存することです。 CTL クライアントがタスクを完了するには、CAPF サーバ、Cisco Unified CME サーバ、TFTP サーバ、および SAST の証明書と公開キー情報が必要です。

    2. CTL ファイルは SAST 資格情報によって署名されます。 セキュリティ上の理由から、CTL ファイルには 2 つの異なる証明書に関連する 2 つの SAST レコードがあります。 いずれかの証明書が紛失または侵害された場合、CTL クライアントは他の証明書を使用して CTL ファイルを再生成します。 電話機が新しい CTL ファイルをダウンロードすると、以前にインストールされた 2 つの元の公開キーのうちの 1 つだけを使用してダウンロードが検証されます。 このメカニズムにより、IP 電話が不明なソースからの CTL ファイルを受け入れることが防止されます。

    3. CTL ファイルは TFTP サーバに公開されます。 セキュア モードでは外部 TFTP サーバはサポートされていないため、設定ファイルは Cisco Unified CME システム自体によって生成され、TFTP サーバのクレデンシャルによってデジタル署名されます。 TFTP サーバのクレデンシャルは、Cisco Unified CME のクレデンシャルと同じにすることができます。 必要に応じて、CTL クライアント インターフェイスで適切なトラストポイントが設定されている場合は、TFTP 機能用に別の証明書を生成できます。

  3. テレフォニー サービス モジュールは電話機の構成ファイルに署名し、各電話機はそのファイルを要求します。

  4. IP 電話が起動すると、TFTP サーバから CTL ファイル (CTLfile.tlv) を要求し、SEP<mac-address>.cnf.xml.sgn というファイル名の形式を持つデジタル署名された設定ファイルをダウンロードします。

  5. 次に、電話機は設定ファイルから CAPF 設定ステータスを読み取ります。 証明書操作が必要な場合、電話機は TCP ポート 3804 上の CAPF サーバとの TLS セッションを開始し、CAPF プロトコル ダイアログを開始します。 証明書操作は、アップグレード、削除、または取得操作になります。 アップグレード操作が必要な場合、CAPF サーバは電話機に代わって CA に証明書を要求します。CAPF サーバは CAPF プロトコルを使用して、公開鍵や電話 ID など、必要な情報を電話機から取得します。 電話機がサーバから証明書を正常に受信すると、電話機はその証明書をフラッシュ メモリに保存します。

  6. .cnf.xml ファイル内のデバイス セキュリティ モード設定が認証済みまたは暗号化済みに設定されている場合、電話機はフラッシュ内の証明書を使用して、既知の TCP ポート (2443) 上のセキュアな Cisco Unified CME サーバとの TLS 接続を開始します。 この TLS セッションは双方によって相互に認証されます。 IP 電話は、最初に TFTP サーバからダウンロードした CTL ファイルから Cisco Unified CME サーバの証明書を認識します。 発行 CA 証明書がルータ内に存在するため、電話機の LSC は Cisco Unified CME サーバにとって信頼できるパーティです。

起動メッセージ

証明書サーバがスタートアップ構成の一部である場合、ブート手順中に次のメッセージが表示されることがあります。


% Failed to find Certificate Server's trustpoint at startup 
% Failed to find Certificate Server's cert.
	  

これらのメッセージは、スタートアップ コンフィギュレーションがまだ完全に解析されていないため、証明書サーバを一時的に構成できないことを示す情報メッセージです。 これらのメッセージは、スタートアップ コンフィギュレーションが破損している場合のデバッグに役立ちます。

設定ファイルのメンテナンス

安全な環境では、いくつかの種類の構成ファイルは、ホストされて使用される前にデジタル署名される必要があります。 署名されたすべてのファイルのファイル名には、.sgn サフィックスが付きます。

Cisco Unified CME テレフォニー サービス モジュールは、電話機設定ファイル (.cnf.xml サフィックス) を作成し、Cisco IOS TFTP サーバでホストします。 これらのファイルは、TFTP サーバの資格情報によって署名されています。

電話機の設定ファイルに加えて、ネットワーク ファイルやユーザ ロケール ファイルなどの他の Cisco Unified CME 設定ファイルも署名する必要があります。 これらのファイルは Cisco Unified CME によって内部的に生成され、署名されていないバージョンが更新または作成されるたびに、署名されたバージョンが現在のコード パスに自動的に作成されます。

Cisco Unified CME によって生成されないその他の設定ファイル (ringlist.xml、distinctiveringlist.xml、オーディオ ファイルなど) は、Cisco Unified CME 機能によく使用されます。 これらの構成ファイルの署名されたバージョンは自動的に作成されません。 Cisco Unified CME によって生成されていない新しい設定ファイルを Cisco Unified CME にインポートする場合は必ず、 load-cfg-file コマンドを使用します。このコマンドは、次のすべての操作を実行します。

  • 署名されていないバージョンのファイルを TFTP サーバ上にホストします。

  • ファイルの署名バージョンを作成します。

  • 署名されたバージョンのファイルを TFTP サーバ上にホストします。

ファイルの未署名バージョンのみを TFTP サーバー上でホストする必要がある場合は、tftp-server コマンドの代わりに load-cfg-file コマンドを使用することもできます。

CTL ファイルのメンテナンス

CTL ファイルには、SAST レコードとその他のレコードが含まれています。 (SAST レコードは最大 2 つ存在できます。) CTL ファイルは、電話機によってダウンロードされ、フラッシュに保存される前に、CTL ファイルにリストされている SAST 認証情報の 1 つによってデジタル署名されます。 電話機は、CTL ファイルを受信した後、元の CTL ファイルに存在する SAST 認証情報のいずれかによって署名されている場合にのみ、新しい CTL ファイルまたは変更された CTL ファイルを信頼します。

このため、元の SAST 資格情報のいずれか 1 つを使用してのみ CTL ファイルを再生成するように注意する必要があります。 両方の SAST 認証情報が侵害され、新しい認証情報を使用して CTL ファイルを生成する必要がある場合は、電話機を工場出荷時のデフォルトにリセットする必要があります。

CTL クライアントとプロバイダー

CTL クライアントは CTL ファイルを生成します。 CTL クライアントには、CTL ファイルに必要なトラストポイントの名前を提供する必要があります。 Cisco Unified CME と同じルータ上で実行することも、別のスタンドアロン ルータ上で実行することもできます。 CTL クライアントがスタンドアロン ルータ(Cisco Unified CME ルータではない)で実行されている場合は、各 Cisco Unified CME ルータで CTL プロバイダーを設定する必要があります。 CTL プロバイダーは、Cisco Unified CME サーバ機能のクレデンシャルを、別のルータで実行されている CTL クライアントに安全に伝達します。

CTL クライアントがプライマリまたはセカンダリ Cisco Unified CME ルータのいずれかで実行されている場合、CTL クライアントが実行されていない各 Cisco Unified CME ルータで CTL プロバイダーを設定する必要があります。

CTL プロトコルは、CTL クライアントと CTL プロバイダー間の通信に使用されます。 CTL プロトコルを使用すると、すべての Cisco Unified CME ルータのクレデンシャルが CTL ファイルに存在し、すべての Cisco Unified CME ルータが CA によって発行された電話証明書にアクセスできるようになります。これらの要素はどちらも、通信をセキュリティで保護するための前提条件です。

CTL クライアントとプロバイダーを有効にするには、CTL クライアントを構成するおよびCTL プロバイダーを構成するを参照してください。

MIC ルート証明書を手動でインポートする

電話機が CAPF サーバとの TLS ハンドシェイク中に認証に MIC を使用する場合、CAPF サーバはそれを検証するために MIC のコピーを持っている必要があります。 IP 電話の種類に応じて異なる証明書が使用されます。

電話機に MIC はあるが LSC がない場合、認証に MIC が使用されます。 たとえば、Cisco Unified IP Phone 7970 はデフォルトで MIC を持っていますが、LSC はありません。 この電話機の認証モードを MIC に設定して証明書のアップグレードをスケジュールすると、電話機は認証のために Cisco Unified CME CAPF サーバに MIC を提示します。 電話機の MIC を確認するには、CAPF サーバに MIC のルート証明書のコピーが必要です。 このコピーがないと、CAPF アップグレード操作は失敗します。

CAPF サーバに必要な MIC のコピーがあることを確認するには、証明書を CAPF サーバに手動でインポートする必要があります。 インポートする必要がある証明書の数は、ネットワーク構成によって異なります。 手動登録とは、コピーアンドペーストまたは TFTP 転送方法を指します。

MIC ルート証明書を手動でインポートするには、MIC ルート証明書を手動でインポートする参照してください。

メディア暗号化の機能設計

コンパニオン音声セキュリティ Cisco IOS 機能は、サポートされているネットワーク デバイス上で安全なエンドツーエンドの IP テレフォニー通話を実現するための全体的なアーキテクチャを提供し、次のことを可能にします。

  • 安全な相互運用性を備えた SRTP 対応の Cisco Unified CME ネットワーク

  • 安全な Cisco IP 電話通話

  • セキュアな Cisco VG224 アナログ電話ゲートウェイエンドポイント

  • 安全な補足サービス

これらの機能は、Cisco IOS H.323 ネットワークのメディアおよびシグナリング認証と暗号化を使用して実装されます。 パケットベースのビデオ、オーディオ、およびデータ会議を規定する ITU-T 標準である H.323 は、実際のプロトコルを規定するために H.450 を含む他の標準セットを参照します。 H.323 は、標準の通信プロトコルを使用して異なる通信デバイスが相互に通信することを可能にし、共通のコーデック セット、通話セットアップおよびネゴシエーション手順、および基本的なデータ転送方法を定義します。 H.323 標準のコンポーネントである H.450 は、電話のような補足サービスを提供するために使用されるシグナリングと手順を定義します。 H.450 メッセージは、H.323 ネットワークで、安全な補足サービス サポートを実装するとともに、メディア機能ネゴシエーション用の空の機能セット (ECS) メッセージングを実装するために使用されます。

セキュアな Cisco Unified CME

セキュアな Cisco Unified CME ソリューションには、セキュア対応の音声ポート、SCCP エンドポイント、および音声メディア用の Cisco Unified CME と Cisco Unified Communications Manager 間のセキュアな H.323 または SIP トランクが含まれます。 セキュア Cisco Unified CME システム に、セキュアな Cisco Unified CME システムのコンポーネントを示します。


(注)  


Secure Unified CME は、Cisco 4000 シリーズ サービス統合型ルータではサポートされていません。


図 2. セキュア Cisco Unified CME システム


セキュアな Cisco Unified CME は、セキュア チャネルに Transport Layer Security(TLS)または IPsec(IP Security)を使用してコール制御シグナリングを実装し、メディア暗号化に SRTP を使用します。 Secure Cisco Unified CME は、エンドポイントとゲートウェイへの SRTP キーを管理します。

Cisco Unified CME のメディア暗号化(SRTP)機能は、次の機能をサポートしています。

  • SCCP エンドポイント。

  • RTP 対応エンドポイントと SRTP 対応エンドポイントの両方を許可する混合共有回線環境での安全な音声通話。共有回線メディアのセキュリティはエンドポイントの構成によって異なります。

  • H.450 を使用した次のような安全な補足サービス:

    • コール転送

    • 着信転送

    • 通話の保留と再開

    • コールパークとコールピックアップ

    • 非セキュアソフトウェア会議


    (注)  


    H.323 経由の SRTP 会議通話では、通話が会議に参加するときに 0 ~ 2 秒のノイズ間隔が発生する場合があります。


  • 非 H.450 環境でのセキュアな通話。

  • Cisco Unified CME と Cisco Unity とのセキュアなインタラクション。

  • Cisco Unified CME と Cisco Unity Express とのセキュアなインタラクション(インタラクションはサポートされ、通話は非セキュアモードに切り替わります)。

  • DSP ファーム トランスコーディングが設定されたリモート電話の安全なトランスコーディング。

これらの機能については、次のセクションで説明します。

セキュアな補足サービス

メディア暗号化(SRTP)機能は、H.450 と非 H.450 の両方の Cisco Unified CME ネットワークで安全な補足サービスをサポートします。 安全な Cisco Unified CME ネットワークは、ハイブリッドではなく、H.450 または非 H.450 のいずれかである必要があります。

Cisco Unified CME でのセキュア SIP トランクのサポート

Cisco Unified CME リリース 10 より前のリリースでは、セキュア SCCP Cisco Unified CME のセキュア SIP トランクでは補足サービスはサポートされていませんでした。 この機能は、SCCP Cisco Unified CME の SIP トランク上のセキュア SRTP および SRTP フォールバック モードで次の補足サービスをサポートします。

  • 基本的なセキュアコール

  • 通話の保留と再開

  • 通話転送(ブラインドおよびコンサルト)

  • 通話転送(CFA、CFB、CFNA)

  • DTMF のサポート

  • コールパークとコールピックアップ

  • CUE を使用するボイスメール システム (SRTP フォールバック モードでのみ動作します)

補助サービスを有効にするには、次の例に示すように、既存の「supplementary-service media-renegotiate 」コマンドを使用します。

(config)# voice service voip 
(conf-voi-serv)# no ip address trusted authenticate 
(conf-voi-serv)# srtp 
(conf-voi-serv)# allow-connections sip to sip  
(conf-voi-serv)# no supplementary-service sip refer 
(conf-voi-serv)# supplementary-service media-renegotiate 

(注)  


SRTP モードでは、セキュア SIP トランク上で非セキュア メディア (RTP) 形式は許可されません。 保留音、保留トーン、リングバックトーンの場合、トーンは SIP トランク上で再生されません。 SRTP フォールバックモードでは、リモートエンドがセキュアでない場合、または保留音、保留トーン、リングバックトーンを再生している場合、セキュア SIP トランクを介したメディアは RTP に切り替えられます。



制約事項


  • セキュア SIP トランクは SCCP Cisco Unified CME でのみサポートされ、SIP Cisco Unified CME ではサポートされません。 セキュア SIP 回線は、Cisco Unified CME モードではサポートされません。

  • Secure Unified CME は、Cisco 4000 シリーズ サービス統合型ルータではサポートされていません。

  • Xcoder サポートは、セキュアトーン(保留音、保留トーン、リングバック トーン)の再生には利用できません。

  • これらのトーンは非セキュア (RTP) 形式でのみ使用できるため、SRTP モードではトーンは再生されません。

  • 補足サービスについては、SCCP Cisco Unified CME に no supplementary-service sip refer コマンドを設定することを推奨します。


H.450 環境での Cisco Unified CME のセキュリティ保護

セキュアエンドポイント間のシグナリングとメディア暗号化がサポートされており、セキュアエンドポイント間の通話転送 (H.450.2) や着信転送(H.450.3)などの補足サービスが可能になります。 コールパークとコールピックアップは H.450 メッセージを使用します。 セキュアな Cisco Unified CME はデフォルトで H.450 が有効になっていますが、セキュアな保留音 (MOH) とセキュアな会議 (3 者間通話) はサポートされていません。 たとえば、 H.450 環境での保留音 に示すように補足サービスが開始されると、ECS と端末機能セット (TCS) を使用して、A と B の間で最初にセキュリティ保護された通話を RTP までネゴシエートし、A が MOH を聞くことができるようになります。 B が A への通話を再開すると、通話は SRTP に戻ります。 同様に、転送が開始されると、転送される側は保留状態になり、通話は RTP にネゴシエートされます。 通話が転送されると、相手側が SRTP 対応であれば SRTP に戻ります。

図 3. H.450 環境での保留音


非 H.450 環境での Cisco Unified CME のセキュリティ保護

補足サービスのセキュリティには、通話中のキー ネゴシエーションまたは通話中のメディアの再ネゴシエーションが必要です。 H.450 メッセージがない H.323 ネットワークでは、コーデックの不一致や安全な通話などのシナリオに対して、ECS を使用してメディアの再ネゴシエーションが実装されます。 ルータ上で H.450 をグローバルに無効にすると、その設定は RTP および SRTP コールに適用されます。 Cisco Unified CME および Cisco Unified Communications Manager のシグナリングパスは、XOR を使用したヘアピンです。 たとえば、 H.450 以外の環境での転送 では、シグナリング パスは A から B (補足サービス イニシエータ) を経由して C に進みます。このシナリオで音声セキュリティを展開する場合は、メディア セキュリティ キーが XOR、つまり転送要求を発行したエンドポイント B を通過することを考慮してください。 中間者攻撃を回避するには、XOR は信頼できるエンティティである必要があります。

図 4. H.450 以外の環境での転送


メディア パスはオプションです。 Cisco Unified CME のデフォルトのメディア パスはヘアピンです。 ただし、可能な場合はいつでも、Cisco Unified CME でメディア フロー アラウンドを設定できます。 デフォルトであるメディア フロー スルーを構成する場合、メディア パスで複数の XOR ゲートウェイを連鎖すると、遅延が増加し、音声品質が低下することに注意してください。 ルーターのリソースと音声品質によって、チェーンできる XOR ゲートウェイの数が制限されます。 要件はプラットフォームに依存し、シグナリングとメディアによって異なる場合があります。 実用的な連鎖レベルは 3 です。

コーデックの不一致があり、ECS と TCS のネゴシエーションが失敗した場合に、トランスコーダが挿入されます。 たとえば、電話機 A と電話機 B が SRTP 対応であるが、電話機 A が G.711 コーデックを使用し、電話機 B が G.729 コーデックを使用している場合、電話機 B にトランスコーダがあればそれが挿入されます。 ただし、コーデック要件を満たすために通話は RTP にネゴシエートされるため、通話は安全ではありません。

DSP ファームトランスコーディングが構成されたリモート電話の安全なトランスコーディング

トランスコーディングは、 dspfarm-assist キーワード( codec コマンド)が設定されているリモート電話でサポートされます。 リモート電話機は、Cisco Unified CME に登録され、WAN 経由のリモート ロケーションに存在する電話機です。 WAN 接続全体の帯域幅を節約するには、ephone に対して codec g729r8 dspfarm assist コマンドを設定することにより、このような電話機への通話で G.729r8 コーデックを使用するようにすることができます。 g729r8 キーワードは、このような電話への通話に G.729 コーデックを使用するように強制します。 dspfarm-assist キーワードにより、電話機への H.323 コールをトランスコードする必要がある場合に、利用可能な DSP リソースを使用できるようになります。


(注)  


トランスコーディングは、リモート フォンとは異なるコーデックを使用した H.323 コールがリモート フォンにコールを発信しようとした場合にのみ有効になります。 リモート電話機と同じ Cisco Unified CME 上のローカル電話機がリモート電話機に電話をかけると、ローカル電話機はトランスコーディングを使用する代わりに、コーデックを G.729 に強制的に変更します。


ポイントツーポイント SRTP コールの安全なトランスコーディングは、Cisco Unified CME トランスコーディングによってサービスされる SCCP 電話機とコール内のそのピアの両方が SRTP 対応であり、SRTP キーのネゴシエーションが正常に完了している場合にのみ実行されます。 通話中のピアの 1 つだけが SRTP 対応である場合、ポイントツーポイント SRTP 通話の安全なトランスコーディングは実行できません。

セキュアなコールで Cisco Unified CME トランスコーディングを実行する場合、Cisco Unified CME のメディア暗号化(SRTP)機能により、Cisco Unified CME は DSP ファームにセキュアなコールの暗号化キーを追加パラメータとして提供できるため、Cisco Unified CME トランスコーディングを正常に実行できます。 暗号化キーがなければ、DSP ファームは暗号化された音声データを読み取ってトランスコードすることができません。


(注)  


ここで説明する安全なトランスコーディングは、IP-IP ゲートウェイ トランスコーディングには適用されません。


Cisco Unified CME トランスコーディングは、VoIP コール レッグのブリッジではなく、SCCP エンドポイントに対してのみ呼び出されるため、IP 間ゲートウェイ トランスコーディングとは異なります。 Cisco Unified CME トランスコーディングと IP-to-IP ゲートウェイ トランスコーディングは相互に排他的です。つまり、コールに対して呼び出すことができるのは 1 種類のトランスコーディングだけです。 SRTP トランスコーディングが可能な DSP ファームが利用できない場合は、Cisco Unified CME のセキュア トランスコーディングは実行されず、コールは G.711 を使用して行われます。

構成情報については、DSP ファームを Cisco Unified CME 4.2 以降のバージョンにセキュア モードで登録するを参照してください。

Cisco Unity Express を使用した Cisco Unified CME のセキュリティ保護

Cisco Unity Express は、安全なシグナリングとメディア暗号化をサポートしていません。 セキュアな Cisco Unified CME は Cisco Unity Express と相互運用しますが、Cisco Unified CME と Cisco Unity Express 間の通話はセキュアではありません。

セキュアな H.323 ネットワークで Cisco Unified CME を使用した一般的な Cisco Unity Express 展開では、シグナリングにセッション開始プロトコル (SIP) が使用され、メディア パスは RTP を使用した G.711 になります。 無応答時転送 (CFNA) および不在転送 (CFA) の場合、メディア パスが確立される前に、RTP メディア パスをネゴシエートするためのシグナリング メッセージが送信されます。 コーデックネゴシエーションが失敗した場合は、トランスコーダが挿入されます。 Cisco Unified CME 機能の H.323 サービス プロバイダー インターフェイス (SPI) 上のメディア暗号化 (SRTP) は、ファスト スタート コールをサポートします。 一般に、Cisco Unity Express から Cisco Unified CME に転送または転送された通話は既存の通話フローに該当し、通常の SIP 通話および RTP 通話として扱われます。

Cisco Unified CME のメディア暗号化(SRTP)機能では、Cisco Unified CME へのブラインド転送のみがサポートされます。 通話中のメディア再ネゴシエーションが設定されている場合、H.450.2 または Empty Capability Set (ECS) のどちらの転送メカニズムが使用されているかに関係なく、エンドポイントのセキュリティ保護機能が再ネゴシエートされます。

Cisco Unity を使用した Cisco Unified CME のセキュリティ保護

Cisco Unified CME のメディア暗号化(SRTP)機能は、SCCP を使用する Cisco Unity 4.2 以降のバージョンおよび Cisco Unity Connection 1.1 以降のバージョンをサポートします。 Cisco Unified CME 用のセキュア Cisco Unity は、セキュア SCCP 電話のように動作します。 安全なシグナリングを確立する前に、いくつかのプロビジョニングが必要です。 Cisco Unity は証明書信頼リスト(CTL)から Cisco Unified CME デバイス証明書を受信し、Cisco Unity 証明書は手動で Cisco Unified CME に挿入されます。 SIP を使用した Cisco Unity はサポートされていません。

Cisco Unity Connection の証明書は、Cisco Unity 管理 Web アプリケーションの「ポート グループ設定」にあります。

Cisco Unified IP Phone の HTTPS プロビジョニング

このセクションには次のトピックが含まれています。

外部サーバの HTTPS サポート

HTTPS を使用して Cisco Unified IP 電話上の Web コンテンツに安全にアクセスする必要性が高まっています。 サードパーティの Web サーバの X.509 証明書は、Web サーバを認証するために IP 電話の CTL ファイルに保存する必要がありますが、トラストポイント情報を入力するために使用される server コマンドを使用して証明書を CTL ファイルにインポートすることはできません。 server コマンドでは、証明書チェーンの検証にサードパーティの Web サーバからの秘密キーが必要ですが、Web サーバからその秘密キーを取得できないため、信頼できる証明書を CTL ファイルに保存するための import certificate コマンドが追加されました。

HTTPS プロビジョニングのために信頼できる証明書を IP 電話の CTL ファイルにインポートする方法については、Cisco Unified IP 電話向け HTTPS プロビジョニングを参照してください。

Cisco Unified CME での電話認証サポートの詳細については、電話認証の概要を参照してください。

Cisco Unified CME での HTTPS サポート

Cisco Unified IP 電話は、Cisco Unified CME が提供する一部のサービスに HTTP を使用します。 これらのサービスには、Cisco Unified CME のローカル ディレクトリ検索、My Phone Apps、Extension Mobility が含まれており、電話機の「サービス」ボタンを押すことで呼び出されます。

Cisco Unified CME 9.5 以降のバージョンでは Hypertext Transfer Protocol Secure(HTTPS)がサポートされているため、電話機から Cisco Unified CME への HTTPS 接続を使用してこれらのサービスを呼び出すことができます。


(注)  


HTTPS をグローバルまたはローカルに設定する前に、設定された電話機が Cisco Unified CME で実行される HTTPS ベースのサービス用にプロビジョニングされていることを確認します。 Cisco Unified IP 電話が HTTPS アクセスをサポートしているかどうかを確認するには、適切な電話管理者ガイドを参照してください。 HTTPS をサポートしていない他の電話機では、HTTP サービスは引き続き実行されます。


HTTPS を使用して Web コンテンツに安全にアクセスできるよう Cisco Unified IP 電話をプロビジョニングする方法については、Cisco Unified IP 電話向け HTTPS プロビジョニングを参照してください。

設定例については、 Cisco Unified CME の HTTPS サポートの設定例 を参照してください。

セキュリティを構成する

Cisco IOS 認証局を設定する

ローカルルータまたは外部ルータで Cisco IOS 証明機関(CA)を設定するには、次の手順を実行します。


(注)  


サードパーティの CA を使用する場合は、これらの手順を実行する代わりに、プロバイダーの指示に従ってください。


手順の概要

  1. 有効化
  2. configure terminal
  3. ip http server
  4. 暗号 PKI サーバラベル
  5. database level{ minimal| names| complete}
  6. データベース URL ルート URL
  7. lifetime certificatetime
  8. 発行者名 CN=ラベル
  9. 出口
  10. crypto pki trustpointlabel
  11. 登録 URLca-url
  12. exit
  13. crypto pki serverlabel
  14. grant auto
  15. no shutdown
  16. 終わり

手順の詳細

  コマンドまたはアクション 目的

ステップ 1

有効化

例:

Router> enable

特権 EXEC モードを有効にします。

  • プロンプトが表示されたらパスワードを入力してください。

ステップ 2

configure terminal

例:

Router# configure terminal

グローバル コンフィギュレーション モードに入ります。

ステップ 3

ip http server

例:

Router(config)# ip http server

ローカル Cisco Unified CME ルータで Cisco Web ブラウザ ユーザ インターフェイスを有効にします。

ステップ 4

暗号 PKI サーバラベル

例:

Router(config)# crypto pki server sanjose1

Cisco IOS CA のラベルを定義し、証明書サーバ設定モードを開始します。

ステップ 5

database level{ minimal| names| complete}

例:

Router(config-cs-server)# database level complete

(オプション) 証明書登録データベースに保存されるデータの種類を制御します。

  • 最小限 —競合なく新しい証明書を発行し続けるのに十分な情報のみが保存されます。 これがデフォルト値です。

  • 名前 —提供される最小限の情報に加えて、各証明書のシリアル番号とサブジェクト名も提供されます。

  • complete :最小限レベルと名前レベルで指定された情報に加えて、発行された各証明書がデータベースに書き込まれます。 このキーワードを使用する場合は、データを保存するために外部 TFTP サーバを指定し、database url を使用する必要があります。

ステップ 6

データベース URL ルート URL

例:

Router(config-cs-server)# database url nvram:

(オプション) 証明書サーバのすべてのデータベース エントリが書き出される、NVRAM 以外の場所を指定します。

  • 前の手順で、 complete キーワードを データベース レベル コマンドで構成した場合に必要です。

  • root-url :Cisco IOS ファイル システムでサポートされ、データベース エントリが書き出される URL。 CA が大量の証明書を発行する場合は、証明書を保存するためのフラッシュやその他のストレージ デバイスなどの適切な保存場所を選択します。

  • 選択した保存場所がフラッシュであり、このデバイスのファイル システム タイプがクラス B (LEFS) である場合は、デバイスの空き領域を定期的に確認し、 squeeze コマンドを使用して、削除されたファイルによって使用された領域を解放してください。 このプロセスには数分かかる場合があり、定期メンテナンス期間またはオフピーク時に実行する必要があります。

ステップ 7

lifetime certificatetime

例:

Router(config-cs-server) lifetime certificate 888

(オプション)この Cisco IOS CA によって発行された証明書の有効期間(日数)を指定します。

  • time :証明書の有効期限が切れるまでの日数。 範囲は 1 ~ 1825 日です。 デフォルトは 365 です。証明書の最大有効期間は、CA 証明書の有効期間より 1 か月短くなります。

  • no shutdown コマンドを使用して Cisco IOS CA を有効にする前に、このコマンドを設定します。

ステップ 8

発行者名 CN=ラベル

例:

Router(config-cs-server)# issuer-name CN=sanjose1

(オプション)Cisco IOS CA の発行者名として識別名(DN)を指定します。

  • デフォルトは Cisco IOS CA にすでに設定されているラベルです。 ステップ 4を参照してください。

ステップ 9

出口

例:

Router(config-cs-server)# exit

証明書サーバ設定モードを終了します。

ステップ 10

crypto pki trustpointlabel

例:

Router(config)# crypto pki trustpoint sanjose1

(オプション)トラストポイントを宣言し、ca-trustpoint コンフィギュレーション モードを開始します。

  • ローカル CA のみ。 このコマンドは、外部ルータ上の Cisco IOS CA には必要ありません。

  • Cisco IOS CA に特定の RSA キーを使用する必要がある場合は、このコマンドを使用して、 crypto pki server コマンドで使用するのと同じラベルを使用して独自のトラストポイントを作成します。 ルータは、crypto pki server と同じラベルが設定されたトラストポイントを認識すると、このトラストポイントを使用し、トラストポイントを自動的には作成しません。

ステップ 11

登録 URLca-url

例:

Router(config-ca-trustpoint)# enrollment url http://ca-server.company.com

発行元 Cisco IOS CA の登録 URL を指定します。

  • ローカル Cisco IOS CA のみ。 このコマンドは、外部ルータ上の Cisco IOS CA には必要ありません。

  • ca-url :Cisco IOS CA がインストールされているルータの URL。

ステップ 12

exit

例:

Router(config-ca-trustpoint)# exit

ca-trustpoint 設定モードを終了します。

ステップ 13

crypto pki serverlabel

例:

Router(config)# crypto pki server sanjose1

証明書サーバ設定モードに入ります。

  • label :設定する Cisco IOS CA の名前。

ステップ 14

grant auto

例:

Router(config-cs-server)# grant auto

(オプション) 任意の要求者に証明書を自動的に発行できるようにします。

  • デフォルトおよび推奨される方法は手動登録です。

  • このコマンドは、単純なネットワークをテストおよび構築する場合にのみ使用してください。 設定が完了したら、証明書が自動的に付与されないようにするために、 no grant auto コマンドを使用します。

ステップ 15

no shutdown

例:

Router(config-cs-server)# no shutdown

(オプション)Cisco IOS CA を有効にします。

  • このコマンドは、Cisco IOS CA の設定が完了した後にのみ使用してください。

ステップ 16

終わり

例:

Router(config-cs-server)# end

特権 EXEC モードに戻ります。

show running-config コマンドからの次の部分的な出力は、ローカル Cisco Unified CME ルータで実行されている sanjose1 という名前の Cisco IOS CA の設定を示しています。


    ip http server 
			
			 crypto pki server sanjose1 
			  database level complete 
			  database url nvram: 
			 
			 crypto pki trustpoint sanjose1 
			  enrollment url http://ca-server.company.com 
			  
			 crypto pki server authority1
			  no grant auto 
			  no shutdown 
			  

サーバ機能の証明書を取得する

CA は次のサーバ機能の証明書を発行します。

  • Cisco Unified CME:電話機との TLS セッションに証明書が必要です。

  • TFTP - 設定ファイルに署名するには、キー ペアと証明書が必要です。

  • HTTPS - 構成ファイルの署名にはキー ペアと証明書が必要です。

  • CAPF: 電話との TLS セッションに証明書が必要です。

  • SAST - CTL ファイルの署名に必要です。 プライマリ用とバックアップ用に 1 つずつ、合計 2 つの SAST 証明書を作成することをお勧めします。

サーバ機能の証明書を取得するには、サーバ機能ごとに次の手順を実行します。


(注)  


各サーバ機能ごとに異なるトラストポイントを設定することも、このモジュールの最後にある セキュリティの設定例 に示すように、複数のサーバ機能に対して同じトラストポイントを設定することもできます。


手順の概要

  1. 有効化
  2. configure terminal
  3. 暗号 PKI トラストポイントトラストポイントラベル
  4. enrollment urlurl
  5. 失効チェック方法 1[ 方法 2 [ 方法 3] ]
  6. rsakeypairキーラベル[ キーサイズ[ 暗号化キーサイズ] ]
  7. exit
  8. crypto pki authenticatetrustpoint-label
  9. crypto pki enrolltrustpoint-label
  10. exit

手順の詳細

  コマンドまたはアクション 目的

ステップ 1

有効化

例:

Router> enable

特権 EXEC モードを有効にします。

  • プロンプトが表示されたらパスワードを入力してください。

ステップ 2

configure terminal

例:

Router# configure terminal

グローバル コンフィギュレーション モードに入ります。

ステップ 3

暗号 PKI トラストポイントトラストポイントラベル

例:

Router(config)# crypto pki trustpoint capf

CA が使用するトラストポイントを宣言し、ca-trustpoint コンフィギュレーション モードに入ります。

  • trustpoint-label :設定するサーバ機能のラベル。

ステップ 4

enrollment urlurl

例:

Router(config-ca-trustpoint)# enrollment url http://ca-server.company.com

発行 CA の登録 URL を指定します。

  • url :発行 CA がインストールされているルータの URL。

ステップ 5

失効チェック方法 1[ 方法 2 [ 方法 3] ]

例:

Router(config-ca-trustpoint)# revocation-check none

(オプション) 証明書の失効ステータスを確認するために使用する方法を指定します。

  • method :2 番目と 3 番目の方法が指定されている場合、後続の各方法は、前の方法でサーバーがダウンしているなどのエラーが返された場合にのみ使用されます。

  • crl - 証明書失効リスト (CRL) によって証明書のチェックが実行されます。 これはデフォルトの動作です。

  • なし - 証明書のチェックは必要ありません。

  • ocsp :証明書のチェックは、オンライン証明書ステータスプロトコル(OCSP)サーバーによって実行されます。

ステップ 6

rsakeypairキーラベル[ キーサイズ[ 暗号化キーサイズ] ]

例:

Router(config-ca-trustpoint)# rsakeypair capf 1024 1024

(オプション) 証明書で使用するキー ペアを指定します。

  • key-label :キー ペアの名前。キー ペアがまだ存在しない場合、または auto-enroll regenerate コマンドが設定されている場合に登録時に生成されます。

  • key-size —必要な RSA キーのサイズ。 指定しない場合は、既存のキー サイズが使用されます。

  • 暗号化キー サイズ - 個別の暗号化キー、署名キー、および証明書を要求するために使用される 2 番目のキーのサイズ。

  • 複数のトラストポイントが同じキーを共有できます。

ステップ 7

exit

例:

Router(config-ca-trustpoint)# exit

ca-trustpoint 設定モードを終了します。

ステップ 8

crypto pki authenticatetrustpoint-label

例:

Router(config)# crypto pki authenticate capf

CA 証明書を取得して認証し、要求された場合は証明書のフィンガープリントをチェックします。

  • CA 証明書がすでに構成にロードされている場合、このコマンドはオプションです。

  • trustpoint-label :設定中のサーバー機能のすでに設定されているラベル。

ステップ 9

crypto pki enrolltrustpoint-label

例:

crypto pki enroll  trustpoint-label
 
Router(config)# crypto pki enroll capf

CA に登録し、このトラストポイントの証明書を取得します。

  • trustpoint-label :設定中のサーバ機能のすでに設定されているラベル。

ステップ 10

exit

例:

Router(config)# exit

特権 EXEC モードに戻ります。

show running-config コマンドからの次の部分的な出力は、さまざまなサーバ機能の証明書を取得する方法を示しています。

CAPF サーバ機能の証明書の取得


    !configuring a trust point 
			  crypto pki trustpoint capf-server 
			  enrollment url http://192.168.1.1:80 
			  revocation-check none 
			 !authenticate w/ the CA and download its certificate 
			 crypto pki authenticate capf-server 
			 ! enroll with the CA and obtain this trustpoint's certificate 
			  crypto pki enroll capf-server 
			 

Cisco Unified CME サーバ機能の証明書の取得


    crypto pki trustpoint cme-server 
			  enrollment url http://192.168.1.1:80 
			  revocation-check none 
			  
			 crypto pki authenticate cme-server
			 crypto pki enroll cme-server 
			  
			 

TFTP サーバ機能の証明書の取得


    crypto pki trustpoint tftp-server 
			  enrollment url http://192.168.1.1:80 
			  revocation-check none 
			  
			 crypto pki authenticate tftp-server 
			 crypto pki enroll tftp-server 
			  

最初の SAST サーバー機能(sast1)の証明書を取得する


   crypto pki trustpoint sast1 
			  enrollment url http://192.168.1.1:80 
			 revocation-check none
			 
			 crypto pki authenticate sast1 
			crypto pki enroll sast1
			  

2 番目の SAST サーバ機能(sast2)の証明書を取得する


    crypto pki trustpoint sast2 
			  enrollment url http://192.168.1.1:80
			  revocation-check none 
			
			 crypto pki authenticate sast2 
			 crypto pki enroll sast2 
			  

テレフォニーサービスのセキュリティパラメータを構成する

テレフォニー サービスのセキュリティ パラメータを構成するには、次の手順を実行します。

手順の概要

  1. 有効化
  2. configure terminal
  3. 電話サービス
  4. セキュアシグナリングトラストポイントラベル
  5. tftp-server-credentials トラストポイントラベル
  6. デバイス セキュリティ モード { 認証| なし| 暗号化}
  7. cnf-file perphone
  8. load-cfg-filefile-urlaliasfile-alias[ sign] [ create]
  9. サーバセキュリティモード{ 消去| 非セキュア| セキュア}
  10. 終わり

手順の詳細

  コマンドまたはアクション 目的

ステップ 1

有効化

例:

Router> enable

特権 EXEC モードを有効にします。

  • プロンプトが表示されたらパスワードを入力してください。

ステップ 2

configure terminal

例:

Router# configure terminal

グローバル コンフィギュレーション モードに入ります。

ステップ 3

電話サービス

例:

Router(config)# telephony-service

テレフォニー サービス設定モードに入ります。

ステップ 4

セキュアシグナリングトラストポイントラベル

例:

Router(config-telephony)# secure-signaling trustpoint cme-sccp

安全なシグナリングに使用するトラストポイントを設定します。

  • label:TCP ポート 2443 上の IP 電話との TLS ハンドシェイクに使用される有効な証明書を持つ設定済み PKI トラストポイントの名前。

ステップ 5

tftp-server-credentials トラストポイントラベル

例:

Router(config-telephony)# tftp-server-credentials trustpoint cme-tftp

設定ファイルの署名に使用する TFTP サーバ資格情報 (トラストポイント) を設定します。

  • label :電話機の設定ファイルの署名に使用される有効な証明書を持つ設定済み PKI トラストポイントの名前。 これは、前の手順で使用した CAPF トラストポイント、または有効な証明書を持つ任意のトラストポイントになります。

ステップ 6

デバイス セキュリティ モード { 認証| なし| 暗号化}

例:

Router(config-telephony)# device-security-mode authenticated

エンドポイントのセキュリティ モードを有効にします。

  • 認証済み —暗号化なしで TLS 接続を確立するようにデバイスに指示します。 メディア パスに Secure Real-Time Transport Protocol (SRTP) がありません。

  • なし :SCCP シグナリングは安全ではありません。 これはデフォルトです。

  • encrypted :デバイスに SRTP を使用してメディア パスを保護するための暗号化された TLS 接続を確立するよう指示します。

  • このコマンドは、ephone 設定モードでも設定できます。 ephone 設定モードで設定された値は、telephony-service 設定モードで設定された値よりも優先されます。

ステップ 7

cnf-file perphone

例:

Router(config-telephony)# cnf-file perphone

システムが IP 電話ごとに個別の XML 設定ファイルを生成するように指定します。

  • セキュリティのために、エンドポイントごとに個別の構成ファイルが必要です。

ステップ 8

load-cfg-filefile-urlaliasfile-alias[ sign] [ create]

例:

Router(config-telephony)# load-cfg-file slot0:Ringlist.xml alias Ringlist.xml sign create

(オプション)Cisco Unified CME によって作成されていない設定ファイルに署名します。 また、TFTP サーバ上のファイルの署名済みバージョンと署名なしバージョンも読み込みます。

  • file-url —ローカルディレクトリ内の構成ファイルの完全パス。

  • aliasfile-alias :TFTP サーバで提供されるファイルのエイリアス名。

  • sign — (オプション) ファイルはデジタル署名され、TFTP サーバ上で提供される必要があります。

  • create — (オプション) 署名されたファイルをローカル ディレクトリに作成します。

  • 各ファイルに対してこのコマンドを初めて使用するときは、 create および sign キーワードを使用します。 リロードのたびに署名済みファイルが再作成されるのを防ぐため、 create キーワードは実行コンフィギュレーションでは保持されません。

  • TFTP サーバ上で既に署名されたファイルを提供するには、 create および sign キーワードなしでこのコマンドを使用します。

ステップ 9

サーバセキュリティモード{ 消去| 非セキュア| セキュア}

例:

Router(config-telephony)# server-security-mode non-secure

(オプション) サーバのセキュリティ モードを変更します。

  • 消去 —CTL ファイルを削除します。

  • 非セキュア —非セキュア モード。

  • secure —セキュアモード。

  • このコマンドは、CTL クライアントによって CTL ファイルが最初に生成されるまで影響を与えません。 CTL ファイルが生成されると、CTL クライアントは自動的にサーバのセキュリティ モードをセキュアに設定します。

ステップ 10

終わり

例:

Router(config-ephone)# end

特権 EXEC モードに戻ります。

テレフォニーサービスのセキュリティパラメータを確認する

手順

ステップ 1

テレフォニーサービスのセキュリティ情報を表示する

このコマンドを使用して、テレフォニー サービス設定モードで設定されているセキュリティ関連の情報を表示します。

例:
Router# テレフォニーサービスのセキュリティ情報を表示する  
			 
Skinny Server Trustpoint for TLS: cme-sccp 
TFTP Credentials Trustpoint: cme-tftp 
Server Security Mode: Secure 
Global Device Security Mode: Authenticated 
			 

ステップ 2

実行中の設定を表示

このコマンドを使用して実行中の設定を表示し、テレフォニーおよび電話機ごとのセキュリティ設定を確認します。

例:

Router# 実行中の設定を表示 
			  
telephony-service 
  secure-signaling trustpoint cme-sccp 
  server-security-mode secure 
  device-security-mode authenticated 
	 tftp-server-credentials trustpoint cme-tftp 
		. 
		. 
		.

CTL クライアントを構成する

ネットワーク構成に応じて、次のいずれかのタスクを実行します。

Cisco Unified CME ルータでの CTL クライアントの設定

ローカルの Cisco Unified CME ルータ上で既知の信頼できる証明書とトークンのリストを作成するように CTL クライアントを設定するには、次の手順を実行します。


(注)  


プライマリおよびセカンダリ Cisco Unified CME ルータがある場合は、いずれか 1 つに CTL クライアントを設定できます。


手順の概要

  1. 有効化
  2. configure terminal
  3. ctl クライアント
  4. sast1 トラストポイントラベル
  5. sast2 トラストポイントラベル
  6. server{ capf| cme| cme-tftp| tftp} ip-addresstrustpoint trustpoint-label
  7. サーバ cmeip-addressusername name-string password{ 0| 1} password-string
  8. regenerate
  9. end

手順の詳細

  コマンドまたはアクション 目的

ステップ 1

有効化

例:
Router> enable

特権 EXEC モードを有効にします。

  • プロンプトが表示されたらパスワードを入力してください。

ステップ 2

configure terminal

例:
Router# configure terminal

グローバル コンフィギュレーション モードに入ります。

ステップ 3

ctl クライアント

例:
Router(config)# ctl-client

CTL-client 設定モードに移行します。

ステップ 4

sast1 トラストポイントラベル

例:
Router(config-ctl-client)# sast1 trustpoint sast1tp

プライマリ SAST の資格情報を構成します。

  • label - SAST1 トラストポイントの名前。

(注)  

 

SAST1 証明書と SAST2 証明書は互いに異なる必要があります。 CTL ファイルは常に SAST1 によって署名されます。 SAST2 資格情報は CTL ファイルに含まれているため、SAST1 証明書が侵害された場合でも、ファイルは SAST2 によって署名され、電話機が工場出荷時の状態にリセットされるのを防ぐことができます。

ステップ 5

sast2 トラストポイントラベル

例:
Router(config-ctl-client)# sast2 trustpoint

セカンダリ SAST の資格情報を構成します。

  • label - SAST2 トラストポイントの名前。

(注)  

 

SAST1 証明書と SAST2 証明書は互いに異なる必要があります。 CTL ファイルは常に SAST1 によって署名されます。 SAST2 資格情報は CTL ファイルに含まれているため、SAST1 証明書が侵害された場合でも、ファイルは SAST2 によって署名され、電話機が工場出荷時の状態にリセットされるのを防ぐことができます。

ステップ 6

server{ capf| cme| cme-tftp| tftp} ip-addresstrustpoint trustpoint-label

例:
Router(config-ctl-client)# server capf 10.2.2.2 trustpoint capftp 

Cisco Unified CME ルータ上でローカルに実行されている各サーバ機能のトラストポイントを設定します。

  • ip-address :Cisco Unified CME ルータの IP アドレス。 複数のネットワーク インターフェイスがある場合は、電話機が接続されているローカル LAN 内のインターフェイス アドレスを使用します。

  • trustpointtrustpoint-label :サーバー機能の設定に使用される PKI トラストポイントの名前。

  • Cisco Unified CME ルータ上でローカルに実行されている各機能に対してこのコマンドを繰り返します。

ステップ 7

サーバ cmeip-addressusername name-string password{ 0| 1} password-string

例:
Router(config-ctl-client)# server cme 10.2.2.2 username user3 password 0 38h2KL

(オプション)ネットワーク内の別の Cisco Unified CME ルータ(プライマリまたはセカンダリ)の情報を提供します。

  • ip-address :他の Cisco Unified CME ルータの IP アドレス。

  • usernamename-string - CTL プロバイダーで設定されているユーザ名。

  • password :パスワードを入力する方法ではなく、show コマンドの出力にパスワードが表示される方法を定義します。

    • 0 - 暗号化されていません。

    • 1 - メッセージダイジェスト 5 (MD5) を使用して暗号化されます。

  • password-string - リモート Cisco Unified CME ルータで実行されている CTL プロバイダーの管理パスワード。

ステップ 8

regenerate

例:
Router(config-ctl-client)# regenerate

CTL クライアント構成に変更を加えた後、新しい CTLFile.tlv を作成します。

ステップ 9

end

例:
Router(config-ctl-client)# end

特権 EXEC モードに戻ります。

show ctl-client コマンドからの次のサンプル出力は、システム内のトラストポイントを表示します。

Router# show ctl-client   
		 
CTL Client Information 
-----------------------------
	 SAST 1 Certificate Trustpoint: cmeserver
         SAST 1 Certificate Trustpoint: sast2
         List of Trusted Servers in the CTL
                CME     10.1.1.1        cmeserver
                TFTP    10.1.1.1        cmeserver
                CAPF    10.1.1.1        cmeserver
次のタスク

CTL クライアントの構成が完了しました。 CAPF サーバを構成するを参照してください。

Cisco Unified CME ルータ以外のルータでの CTL クライアントの設定

Cisco Unified CME ルータ以外のスタンドアロン ルータで CTL クライアントを設定するには、次の手順を実行します。

手順の概要

  1. 有効化
  2. configure terminal
  3. ctl クライアント
  4. sast1 トラストポイントラベル
  5. sast2 トラストポイントラベル
  6. server cmeip-addressusername name-string password { 0| 1} password-string
  7. regenerate
  8. end

手順の詳細

  コマンドまたはアクション 目的

ステップ 1

有効化

例:
Router> enable

特権 EXEC モードを有効にします。

  • プロンプトが表示されたらパスワードを入力してください。

ステップ 2

configure terminal

例:
Router# configure terminal

グローバル コンフィギュレーション モードに入ります。

ステップ 3

ctl クライアント

例:
Router(config)# ctl-client

ctl-client 設定モードに入ります。

ステップ 4

sast1 トラストポイントラベル

例:
Router(config-ctl-client)# sast1 trustpoint sast1tp

プライマリ SAST の資格情報を構成します。

  • label :SAST1 トラストポイントの名前。

(注)  

 

SAST1 証明書と SAST2 証明書は互いに異なっている必要がありますが、メモリを節約するために、どちらか一方が Cisco Unified CME ルータと同じ証明書を使用することもできます。 CTL ファイルは常に SAST1 によって署名されます。 SAST2 資格情報は CTL ファイルに含まれているため、SAST1 証明書が侵害された場合でも、ファイルは SAST2 によって署名され、電話機が工場出荷時の状態にリセットされるのを防ぐことができます。

ステップ 5

sast2 トラストポイントラベル

例:
Router(config-ctl-client)# sast2 trustpoint

セカンダリ SAST の資格情報を構成します。

  • label —SAST2 トラストポイントの名前。

(注)  

 

SAST1 証明書と SAST2 証明書は互いに異なっている必要がありますが、メモリを節約するために、どちらか一方が Cisco Unified CME ルータと同じ証明書を使用することもできます。 CTL ファイルは常に SAST1 によって署名されます。 SAST2 資格情報は CTL ファイルに含まれているため、SAST1 証明書が侵害された場合でも、ファイルは SAST2 によって署名され、電話機が工場出荷時の状態にリセットされるのを防ぐことができます。

ステップ 6

server cmeip-addressusername name-string password { 0| 1} password-string

例:
Router(config-ctl-client)# server cme 10.2.2.2 username user3 password 0 38h2KL

(オプション)ネットワーク内に別の Cisco Unified CME ルータ(プライマリまたはセカンダリ)が存在する場合は、そのルータに関する情報を提供します。

  • ip-address :他の Cisco Unified CME ルータの IP アドレス。

  • usernamename-string :CTL プロバイダで設定されているユーザー名。

  • password —パスワード文字列の暗号化ステータス。

    • 0 —暗号化されていません。

    • 1 :Message Digest 5(MD5)を使用して暗号化されます。

(注)  

 

このオプションは、このコマンドでパスワードを入力する方法ではなく、show コマンドの出力にパスワードが表示される方法を指します。

  • password-string :リモート Cisco Unified CME ルータで実行されている CTL プロバイダーの管理パスワード。

ステップ 7

regenerate

例:
Router(config-ctl-client)# regenerate

CTL クライアント構成に変更を加えた後、新しい CTLFile.tlv を作成します。

ステップ 8

end

例:
Router(config-ctl-client)# end

特権 EXEC モードに戻ります。

show ctl-client コマンドからの次のサンプル出力は、システム内のトラストポイントを表示します。

Router# show ctl-client  
		
CTL Client Information
-----------------------------
	SAST 1 Certificate Trustpoint: cmeserver
        SAST 1 Certificate Trustpoint: sast2
        List of Trusted Servers in the CTL
                CME     10.1.1.1        cmeserver
                TFTP    10.1.1.1        cmeserver
                CAPF    10.1.1.1        cmeserver

CAPF サーバを構成する

証明書の操作中に電話機との TLS セッションを確立できるように、CAPF サーバの証明書を取得する必要があります。 CAPF サーバは、セキュリティが有効な電話機でローカルで有効な証明書 (LSC) をインストール、取得、または削除できます。 Cisco Unified CME ルータで CAPF サーバを有効にするには、次の手順を実行します。


ヒント


CAPF サーバを使用して電話証明書をインストールする場合は、スケジュールされたメンテナンス期間中に実行するように手配してください。 同時に多数の証明書を生成すると、通話処理が中断される可能性があります。


手順の概要

  1. 有効化
  2. configure terminal
  3. capf-server
  4. trustpoint-labellabel
  5. cert-enroll-trustpointlabelpassword{ 0| 1} パスワード文字列
  6. 送信元アドレス IP アドレス
  7. 認証モード{ 認証文字列| LSC| MIC| なし| ヌル文字列}
  8. auth-string{ delete| generate} { all| ephone-tag} [ digit-string]
  9. phone-key-size{ 512| 1024| 2048}
  10. porttcp-port
  11. keygen-retry回数
  12. keygen-timeout
  13. cert-oper{ すべて削除 | すべて取得 | すべてアップグレード}
  14. end

手順の詳細

  コマンドまたはアクション 目的

ステップ 1

有効化

例:

Router> enable

特権 EXEC モードを有効にします。

  • プロンプトが表示されたらパスワードを入力してください。

ステップ 2

configure terminal

例:

Router# configure terminal

グローバル コンフィギュレーション モードに入ります。

ステップ 3

capf-server

例:

Router(config)# capf-server

capf-server 設定モードに移行します。

ステップ 4

trustpoint-labellabel

例:

Router(config-capf-server)# trustpoint-label tp1

トラストポイントのラベルを指定します。

  • label :CAPF サーバと電話機間の TLS 接続に使用される証明書を持つトラストポイントの名前。

ステップ 5

cert-enroll-trustpointlabelpassword{ 0| 1} パスワード文字列

例:

Router(config-capf-server)# cert-enroll-trustpoint ra1 password 0 x8oWiet

CA(または、CA が Cisco Unified CME ルータに対してローカルでない場合は RA)に CAPF を登録します。

  • label —グローバル コンフィギュレーション モードで crypto pki trustpoint コマンドを使用して以前に設定された CA および RA の PKI トラストポイント ラベル。

  • password —パスワード文字列の暗号化ステータス。

  • password-string :証明書の登録に使用するパスワード。 このパスワードは、証明書要求とともに CA に送信される失効パスワードです。

ステップ 6

送信元アドレス IP アドレス

例:

Router(config-capf-server)# source addr 10.10.10.1

Cisco Unified CME ルータ上の CAPF サーバの IP アドレスを定義します。

ステップ 7

認証モード{ 認証文字列| LSC| MIC| なし| ヌル文字列}

例:

Router(config-capf-server)# auth-mode auth-string

証明書を要求するエンドポイントを検証するための CAPF セッションの認証モードのタイプを指定します。

  • auth-string :電話機のユーザが電話機で特別な認証文字列を入力します。 文字列はシステム管理者によってユーザに提供され、 auth-string generate コマンドを使用して設定されます。

  • LSC :電話機は、認証のために LSC を提供します(存在する場合)。

  • MIC :電話機は認証用に MIC を提供します(存在する場合)。 このオプションを選択した場合は、MIC の発行者証明書を PKI トラストポイントにインポートする必要があります。

  • none - 証明書のアップグレードは開始されません。 これはデフォルトです。

  • null-string :認証がありません。

ステップ 8

auth-string{ delete| generate} { all| ephone-tag} [ digit-string]

例:

Router(config-capf-server)# auth-string generate all

(オプション) 1 台またはすべてのセキュア電話機の認証文字列を作成または削除します。

  • 前の手順で auth-string キーワードが指定されている場合は、このコマンドを使用します。 文字列は ephone 設定の一部になります。

  • delete —指定されたセキュア デバイスの認証文字列を削除します。

  • generate —指定されたセキュア デバイスの認証文字列を作成します。

  • all — すべての電話機。

  • ephone-tag :認証文字列を受信する ephone の識別子。

  • digit-string :電話ユーザが CAPF 認証のためにダイヤルする必要がある数字。 文字列の長さは、キーパッドで押せる 4 ~ 10 桁です。 この値を指定しない場合は、電話機ごとにランダムな文字列が生成されます。

  • また、ephone コンフィギュレーション モードで capf-auth-str コマンドを使用して、個々の SCCP IP 電話の認証文字列を定義することもできます。

ステップ 9

phone-key-size{ 512| 1024| 2048}

例:

Router(config-capf-server)# phone-key-size 2048

(オプション) 電話機の証明書用に電話機で生成される RSA キー ペアのサイズをビット単位で指定します。

  • 512 —512.

  • 1024 —1024. これはデフォルトです。

  • 2048 —2048.

ステップ 10

porttcp-port

例:

Router(config-capf-server)# port 3804

(オプション) CAPF サーバが電話機からのソケット接続をリッスンする TCP ポート番号を定義します。

  • tcp-port —TCP ポート番号。 値の範囲は 2000 ~ 9999 です。デフォルトは 3804 です。

ステップ 11

keygen-retry回数

例:

Router(config-capf-server)# keygen-retry 5

(オプション) サーバがキー生成要求を送信する回数を指定します。

  • number —再試行回数。 値の範囲は 0 ~ 100 です。デフォルトは 3 です。

ステップ 12

keygen-timeout

例:

Router(config-capf-server)# keygen-timeout 45

(オプション) サーバが電話からのキー生成応答を待機する時間を指定します。

  • minutes :生成プロセスがタイムアウトするまでの分数。 値の範囲は 1 ~ 120 です。デフォルトは 30 です。

ステップ 13

cert-oper{ すべて削除 | すべて取得 | すべてアップグレード}

例:

Router(config-capf-server)# cert-oper upgrade all

(オプション) システム内のすべての構成済みエンドポイントで、指定された証明書操作を開始します。

  • すべて削除 —すべての電話証明書を削除します。

  • すべて取得 - トラブルシューティングのためにすべての電話証明書を取得します。

  • upgrade all :すべての電話証明書をアップグレードします。

  • このコマンドは、ephone 設定モードで設定して、個々の電話機で証明書の操作を開始することもできます。 ephone 設定モードのこのコマンドは、CAPF サーバー設定モードのこのコマンドよりも優先されます。

ステップ 14

end

例:

Router(config-capf-server)# end

特権 EXEC モードに戻ります。

CAPF サーバの検証

CAPF サーバの設定情報を表示するには、 show capf-server summary コマンドを使用します。

Router# show capf-server summary 

CAPF Server Configuration Details
        Trustpoint for TLS With Phone: tp1
        Trustpoint for CA operation: ra1
        Source Address: 10.10.10.1
        Listening Port: 3804
        Phone Key Size: 1024
        Phone KeyGen Retries: 3
        Phone KeyGen Timeout: 30 minutes
 

Ephone のセキュリティパラメータを設定する

個々の電話機のセキュリティ パラメータを設定するには、電話機ごとに次の手順を実行します。

始める前に

手順の概要

  1. 有効化
  2. configure terminal
  3. ephone 電話タグ
  4. capf-ip-in-cnf
  5. デバイスのセキュリティモード { 認証済み | なし | 暗号化済み }
  6. コーデック { g711ulaw | g722r64 | g729r8[ dspfarm-assist] }
  7. capf-auth-str 数字文字列
  8. cert-oper { delete | fetch | upgrade} auth-mode{ auth-string | LSC| MIC| null-string}
  9. リセット
  10. end

手順の詳細

  コマンドまたはアクション 目的

ステップ 1

有効化

例:

Router> enable

特権 EXEC モードを有効にします。

  • プロンプトが表示されたらパスワードを入力してください。

ステップ 2

configure terminal

例:

Router# configure terminal

グローバル コンフィギュレーション モードに入ります。

ステップ 3

ephone 電話タグ

例:

Router(config)# ephone 24

ephone 設定モードに移行します。

  • phone-tag :設定する電話機の一意の識別子。

ステップ 4

capf-ip-in-cnf

例:

Router(config-ephone)# capf-ip-in-cnf

(オプション) CAPF サーバの IP アドレスを SCCP 電話の CNF ファイルに追加できるようにします。 登録が成功すると、SCCP 電話機は CAPF サーバから LSC をダウンロードします。 この CLI コマンドはオプションであり、電話機が LSC を使用して登録、ダウンロード、および認証する必要がある場合にのみ必要です。

ステップ 5

デバイスのセキュリティモード { 認証済み | なし | 暗号化済み }

例:

Router(config-ephone)# device-security-mode authenticated

(オプション)個々の SCCP IP 電話のセキュリティ モードを有効にします。

  • 認証済み —暗号化なしで TLS 接続を確立するようにデバイスに指示します。 メディア パスに Secure Real-Time Transport Protocol (SRTP) がありません。

  • なし :SCCP シグナリングは安全ではありません。 これはデフォルトです。

  • 暗号化 - SRTP を使用してメディア パスを保護するために暗号化された TLS 接続を確立するようにデバイスに指示します。

  • このコマンドは、テレフォニー サービス設定モードでも設定できます。 Ephone 設定モードで設定された値は、telephony-service 設定モードで設定された値よりも優先されます。

ステップ 6

コーデック { g711ulaw | g722r64 | g729r8[ dspfarm-assist] }

例:

Router(config-ephone)# codec g711ulaw dspfarm-assist

(オプション)Cisco Unified CME ルータと通信する電話機の SCCP シグナリングのセキュリティ モードを設定します。

  • dspfarm-assist :Cisco Unified CME による安全なトランスコーディングに必要です。 通話に対して G.711 がネゴシエートされる場合、システムは電話機と Cisco Unified CME ルータ間のセグメントをトランスコードするために DSP ファーム リソースを使用しようとします。 SCCP エンドポイント タイプが ATA、VG224、または VG248 の場合、このキーワードは無視されます。

ステップ 7

capf-auth-str 数字文字列

例:

Router(config-ephone)# capf-auth-str 2734

(オプション) CAPF 認証の個人識別番号 (PIN) として使用する文字列を定義します。

(注)  

 
電話で文字列を入力する方法については、 電話で認証文字列を入力してください を参照してください。
  • digit-string :電話ユーザが CAPF 認証のためにダイヤルする必要がある数字。 文字列の長さは 4〜10 桁です。

  • このコマンドは、テレフォニー サービス設定モードでも設定できます。 ephone 設定モードで設定された値は、telephony-service 設定モードで設定された値よりも優先されます。

  • CAPF サーバ設定モードで auth-string コマンドを使用して、CAPF 認証用の PIN を定義することもできます。

ステップ 8

cert-oper { delete | fetch | upgrade} auth-mode{ auth-string | LSC| MIC| null-string}

例:

Router(config-ephone)# cert-oper upgrade auth-mode auth-string

(オプション)設定中の ephone で指定された証明書操作を開始します。

  • delete :電話の証明書を削除します。

  • fetch :トラブルシューティングのために電話の証明書を取得します。

  • upgrade :電話の証明書をアップグレードします。

  • auth-mode :証明書を要求するエンドポイントを検証するために CAPF セッション中に使用する認証のタイプ。

  • auth-string :電話機のユーザが電話機に入力する認証文字列。 認証文字列を設定するには、 capf-auth-str コマンドを使用します。 設定情報については、 電話で認証文字列を入力してください を参照してください。

  • LSC :電話機は認証のために電話証明書を提供します。 LSC が存在する場合はそれが優先されます。

  • MIC :電話機は認証のために電話証明書を提供します。 MIC が存在する場合は、それが優先されます。 MIC の発行者証明書を PKI トラストポイントにインポートする必要があります。 詳細については、「MIC ルート証明書を手動でインポートする」を参照してください。

  • null-string :認証がありません。

  • このコマンドは、CAPF サーバー設定モードで設定して、グローバルレベルで証明書操作を開始することもできます。 ephone 設定モードのこのコマンドは、CAPF サーバー設定モードのこのコマンドよりも優先されます。

  • CAPF サーバ設定モードで auth-mode コマンドを使用して、グローバル レベルで認証を設定することもできます。

ステップ 9

リセット

例:

Router(config-ephone)# reset

電話機を完全に再起動します。

ステップ 10

end

例:

Router(config-ephone)# end

特権 EXEC モードに戻ります。

Ephone のセキュリティパラメータを確認する

手順

CAPF 認証を確立するためにユーザが電話機で入力する設定済みの認証文字列(PIN)を表示するには、 show capf-server auth-string コマンドを使用します。

例:
Router# show capf-server auth-string   
		 
		Authentication Strings for configured Ephones 
		Mac-Addr        Auth-String 
		--------        ----------- 
		000CCE3A817C    2734 
		001121116BDD    922 
		000D299D50DF    9182
		000ED7B10DAC    3114 
		000F90485077    3328> 
		0013C352E7F1    0678
		 

次のタスク
  • ネットワーク内に複数の Cisco Unified CME ルータがある場合は、CTL クライアントを実行していない各 Cisco Unified CME ルータで CTL プロバイダーを設定する必要があります。 CTL クライアントが実行されていない各 Cisco Unified CME ルータで CTL プロバイダーを設定するには、CTL プロバイダーを構成するを参照してください。

  • CA がサードパーティの CA である場合、または Cisco IOS CA が Cisco Unified CME ルータ外部の Cisco IOS ルータ上にある場合は、電話機に証明書を発行するように RA を設定する必要があります。 詳細については、「登録機関を設定する」を参照してください。

  • CAPF セッションに指定された認証モードが認証文字列である場合、更新された LSC を受信する各電話機に認証文字列を入力する必要があります。 詳細については、「電話で認証文字列を入力してください」を参照してください。

  • CAPF セッションに指定された認証モードが MIC の場合、MIC の発行者証明書を PKI トラストポイントにインポートする必要があります。 詳細については、「MIC ルート証明書を手動でインポートする」を参照してください。

  • メディア暗号化を構成するには、 Cisco Unified CME でメディア暗号化(SRTP)を設定する を参照してください。

CTL プロバイダーを構成する

ネットワーク内に複数の Cisco Unified CME ルータがある場合は、CTL クライアントを実行していない各 Cisco Unified CME ルータで CTL プロバイダーを設定する必要があります。 CTL クライアントが実行されていない各 Cisco Unified CME ルータで CTL プロバイダーを設定するには、次の手順を実行します。

手順の概要

  1. 有効化
  2. configure terminal
  3. credentials
  4. ip ソースアドレス [ ip アドレス [ ポート [ ポート番号] ] ]
  5. トラストポイント トラストポイントラベル
  6. ctl-service admin username secret {0 | 1 } password- string
  7. end

手順の詳細

  コマンドまたはアクション 目的

ステップ 1

有効化

例:

Router> enable

特権 EXEC モードを有効にします。

  • プロンプトが表示されたらパスワードを入力してください。

ステップ 2

configure terminal

例:

Router# configure terminal

グローバル コンフィギュレーション モードに入ります。

ステップ 3

credentials

例:

Router(config)# credentials

CTL プロバイダーを設定するために、クレデンシャル インターフェイス モードに移行します。

ステップ 4

ip ソースアドレス [ ip アドレス [ ポート [ ポート番号] ] ]

例:

Router(config-credentials)# ip source-address 172.19.245.1 port 2444

この CTL プロバイダーが設定されているローカル ルータを識別します。

  • ip-address :通常はルーターのイーサネットポートのアドレスの 1 つです。

  • portport-number :資格情報サービス通信用の TCP ポートです。 デフォルトは 2444 であり、デフォルト値を使用することをお勧めします。

ステップ 5

トラストポイント トラストポイントラベル

例:

Router(config-credentials)# trustpoint ctlpv

トラストポイントを設定します。

  • trustpoint-label :CTL クライアントとの TLS セッションに使用される CTL プロバイダー トラストポイントの名前。

ステップ 6

ctl-service admin username secret {0 | 1 } password- string

例:

Router(config-credentials)# ctl-service admin user4 secret 0 c89L8o

CTL プロトコル中に資格情報を取得するために接続するときに、CTL クライアントを認証するためのユーザ名とパスワードを指定します。

  • username —クライアントの認証に使用される名前。

  • secret :ログイン認証用の文字列、および実行コンフィギュレーションに保存する際に文字列を暗号化するかどうかを示します。

    • 0 —暗号化されていません。

    • 1 —Message Digest 5 (MD5) を使用して暗号化されます。

  • password-string —ログイン認証用の文字列。

ステップ 7

end

例:

Router(config-credentials)# end

特権 EXEC モードに戻ります。

CTL プロバイダーを確認する

手順

資格情報の設定を表示するには、 show credentials コマンドを使用します。

例:
Router# show credentials  
		
Credentials IP: 172.19.245.1 
Credentials PORT: 2444 
Trustpoint: ctlpv

次のタスク
  • CA がサードパーティの CA である場合、または Cisco IOS CA が Cisco Unified CME ルータ外部の Cisco IOS ルータ上にある場合は、電話機に証明書を発行するように RA を設定する必要があります。 詳細については、「登録機関を設定する」を参照してください。

  • CAPF セッションに指定された認証モードが認証文字列である場合、更新された LSC を受信する各電話機に認証文字列を入力する必要があります。 詳細については、「電話で認証文字列を入力してください」を参照してください。

  • CAPF セッションに指定された認証モードが MIC の場合、MIC の発行者証明書を PKI トラストポイントにインポートする必要があります。 詳細については、「MIC ルート証明書を手動でインポートする」を参照してください。

  • メディア暗号化を構成するには、Cisco Unified CME でメディア暗号化(SRTP)を設定するを参照してください。

登録機関を設定する

登録機関 (RA) は、CA が証明書を発行するために必要なデータの一部またはすべてを記録または検証する責任を負う機関です。 多くの場合、CA は RA 機能のすべてを自ら引き受けますが、CA が広範囲の地理的領域で運用されている場合や、ネットワークのエッジで CA を公開することにセキュリティ上の懸念がある場合は、一部のタスクを RA に委任し、CA が証明書の署名という主なタスクに集中できるようにすることが推奨されます。

CA を RA モードで実行するように構成できます。 RA が手動または Simple Certificate Enrollment Protocol (SCEP) の登録要求を受信すると、管理者はローカル ポリシーに基づいてその登録要求を拒否または許可することができます。 要求が許可されると、要求は発行 CA に転送され、CA は自動的に証明書を生成して RA に返します。 クライアントは後で RA から付与された証明書を取得できます。

RA を設定するには、Cisco Unified CME ルータで次の手順を実行します。

手順の概要

  1. 有効化
  2. configure terminal
  3. crypto pki trustpoint label
  4. enrollment urlca-url
  5. 失効チェック方法 1[ 方法 2 [ 方法 3] ]
  6. シリアル番号[ なし]
  7. rsakeypairキーラベル[ キーサイズ[ 暗号化キーサイズ] ]
  8. exit
  9. 暗号 PKI サーバラベル
  10. mode ra
  11. lifetime certificatetime
  12. grant auto
  13. no shutdown
  14. 終わり

手順の詳細

  コマンドまたはアクション 目的

ステップ 1

有効化

例:

Router> enable

特権 EXEC モードを有効にします。

  • プロンプトが表示されたらパスワードを入力してください。

ステップ 2

configure terminal

例:

Router# configure terminal

グローバル コンフィギュレーション モードに入ります。

ステップ 3

crypto pki trustpoint label

例:

Router(config)# crypto pki trustpoint ra12

RA モード証明書サーバが使用するトラストポイントを宣言し、CA トラストポイント設定モードに入ります。

  • label :トラストポイントと RA の名前。

ヒント

 

このラベルは、CA プロキシを設定するときに、 cert-enroll-trustpoint コマンドにも必要です。 CAPF サーバを構成するを参照してください。

ステップ 4

enrollment urlca-url

例:

Router(config-ca-trustpoint)# enrollment url http://ca-server.company.com

発行 CA (ルート CA) の登録 URL を指定します。

  • ca-url :ルート CA がインストールされているルータの URL。

ステップ 5

失効チェック方法 1[ 方法 2 [ 方法 3] ]

例:

Router(config-ca-trustpoint)# revocation-check none

(オプション) 証明書の失効ステータスを確認し、ステータスを確認するための 1 つ以上の方法を指定します。 2 番目と 3 番目の方法を指定した場合、各方法は、サーバがダウンしているなどの理由で前の方法でエラーが返された場合にのみ使用されます。

methodn の有効な値は次のとおりです。

  • crl - 証明書失効リスト (CRL) によって証明書のチェックが実行されます。 これはデフォルトの動作です。

  • なし - 証明書のチェックは必要ありません。

  • ocsp - 証明書のチェックは、オンライン証明書ステータス プロトコル (OCSP) サーバによって実行されます。

ステップ 6

シリアル番号[ なし]

例:

Router(config-ca-trustpoint)# serial-number

(オプション) 証明書要求にルーターのシリアル番号を含めるかどうかを指定します。 このコマンドを使用しない場合、証明書の登録時にシリアル番号の入力を求められます。

  • なし - (オプション) 証明書要求にシリアル番号は含まれません。

ステップ 7

rsakeypairキーラベル[ キーサイズ[ 暗号化キーサイズ] ]

例:

Router(config-ca-trustpoint)# rsakeypair exampleCAkeys 1024 1024

(オプション) 証明書で使用する RSA キー ペアを指定します。

  • key-label :キー ペアの名前。キー ペアがまだ存在しない場合、または auto-enroll regenerate コマンドが使用されている場合に、登録時に生成されます。

  • key-size —(オプション) 必要な RSA キーのサイズ。 指定しない場合は、既存のキー サイズが使用されます。

  • 暗号化キーサイズ —(オプション) 個別の暗号化キー、署名キー、および証明書を要求するために使用される 2 番目のキーのサイズ。

  • 複数のトラストポイントが同じキーを共有できます。

ステップ 8

exit

例:

Router(config-ca-trustpoint)# exit

ca-trustpoint 設定モードを終了します。

ステップ 9

暗号 PKI サーバラベル

例:

Router(config)# crypto pki server ra12

証明書サーバのラベルを定義し、証明書サーバ設定モードに入ります。

  • label :トラストポイントと RA の名前。 以前にトラストポイントおよび RA として作成したのと同じラベルを使用します ステップ 3

ステップ 10

mode ra

例:

Router(config-cs-server)# mode ra

PKI サーバを RA の証明書サーバ モードにします。

ステップ 11

lifetime certificatetime

例:

Router(config-cs-server)# lifetime certificate 1800 

(オプション) 証明書の有効期間を日数で指定します。

  • time —証明書の有効期限が切れるまでの日数。 範囲は 1 ~ 1825 です。デフォルトは 365 です。証明書の最大有効期間は、CA 証明書の有効期間から 1 か月を引いたものです。

  • このコマンドは、 no shutdown コマンドでサーバを有効にする前に使用する必要があります。

ステップ 12

grant auto

例:

Router(config-cs-server)# grant auto

任意の要求者に証明書を自動的に発行できるようにします。

  • このコマンドは、単純なネットワークをテストおよび構築する場合の登録時にのみ設定します。

  • セキュリティのベスト プラクティスとして、証明書が継続的に付与されないように、設定後にこの機能を無効にするには、 no grant auto コマンドを使用します。

ステップ 13

no shutdown

例:

Router(config-cs-server)# no shutdown

(オプション) 証明書サーバを有効にします。

  • プロンプトが表示されたら、CA 証明書、ルータ証明書、チャレンジ パスワード、および秘密キーを保護するためのパスワードの受け入れに関する入力を行います。

  • 証明書サーバを完全に構成した後にのみ、このコマンドを使用してください。

ステップ 14

終わり

例:

Router(config-cs-server)# end

特権 EXEC モードに戻ります。

次のタスク

  • ネットワーク内に複数の Cisco Unified CME ルータがある場合は、CTL クライアントを実行していない各 Cisco Unified CME ルータで CTL プロバイダーを設定する必要があります。 CTL クライアントが実行されていない各 Cisco Unified CME ルータで CTL プロバイダーを設定するには、 CTL プロバイダーを構成する を参照してください。

  • CAPF セッションに指定された認証モードが認証文字列である場合、更新された LSC を受信する各電話機に認証文字列を入力する必要があります。 詳細については、「電話で認証文字列を入力してください」を参照してください。

  • CAPF セッションに指定された認証モードが MIC の場合、MIC の発行者証明書を PKI トラストポイントにインポートする必要があります。 詳細については、「MIC ルート証明書を手動でインポートする」を参照してください。

  • メディア暗号化を構成するには、Cisco Unified CME でメディア暗号化(SRTP)を設定するを参照してください。

電話で認証文字列を入力してください

この手順は、電話機に LSC を 1 回インストールし、CAPF セッションの認証モードを認証文字列として設定した場合にのみ必要です。 LSC がインストールされる前に、認証文字列を電話機のユーザに伝えて、電話機に入力できるようにする必要があります。


(注)  


show capf-server auth-string コマンドを使用して、電話機の認証文字列を一覧表示できます。



制約事項


  • 認証文字列は一度だけ使用できます。


始める前に

手順


ステップ 1

設定 ボタンを押します。 Cisco Unified IP Phone 7921 で、 下矢印 を押して [設定] メニューにアクセスします。

ステップ 2

構成がロックされている場合は、 **# (アスタリスク、アスタリスク、ポンド記号) を押してロックを解除します。

ステップ 3

設定 メニューを下にスクロールします。 「セキュリティ構成」を強調表示し、 選択 ソフトキーを押します。

ステップ 4

[セキュリティ構成] メニューを下にスクロールします。 LSC を強調表示し、 更新 ソフトキーを押します。 Cisco Unified IP Phone 7921 で、 **# を押して、セキュリティ設定メニューのロックを解除します。

ステップ 5

認証文字列の入力を求められた場合は、システム管理者から提供された文字列を入力し、 [送信] ソフトキーを押します。

電話機は、CAPF 設定に応じて証明書をインストール、更新、削除、または取得します。

電話に表示されるメッセージを確認することで、証明書操作の進行状況を監視できます。 [送信] を押すと、LSC オプションの下に「保留中」というメッセージが表示されます。 電話機は公開鍵と秘密鍵のペアを生成し、その情報を電話機に表示します。 電話機がプロセスを正常に完了すると、成功メッセージが表示されます。 電話機に失敗メッセージが表示される場合は、間違った認証文字列を入力したか、電話機のアップグレードが有効になっていません。

いつでも「停止」を選択してプロセスを停止できます。

ステップ 6

証明書が電話機にインストールされていることを確認します。 電話画面の [設定] メニューから、 [モデル情報] を選択し、 [選択] ソフトキーを押してモデル情報を表示します。

ステップ 7

ナビゲーション ボタンを押して LSC までスクロールします。 この項目の値は、LSC がインストールされているかどうかを示します。


次のタスク

  • ネットワーク内に複数の Cisco Unified CME ルータがある場合は、CTL クライアントを実行していない各 Cisco Unified CME ルータで CTL プロバイダーを設定する必要があります。 CTL クライアントが実行されていない各 Cisco Unified CME ルータで CTL プロバイダーを設定するには、 CTL プロバイダーを構成する を参照してください。

  • CA がサードパーティの CA である場合、または Cisco IOS CA が Cisco Unified CME ルータ外部の Cisco IOS ルータ上にある場合は、電話機に証明書を発行するように RA を設定する必要があります。 詳細については、「登録機関を設定する」を参照してください。

  • CAPF セッションに指定された認証モードが MIC の場合、MIC の発行者証明書を PKI トラストポイントにインポートする必要があります。 詳細については、「MIC ルート証明書を手動でインポートする」を参照してください。

  • メディア暗号化を構成するには、 Cisco Unified CME でメディア暗号化(SRTP)を設定する を参照してください。

MIC ルート証明書を手動でインポートする

Cisco Unified CME が提示された MIC を認証できるようにするには、Cisco Unified CME ルータに MIC ルート証明書が存在している必要があります。 Cisco Unified CME ルータに MIC ルート証明書を手動でインポートするには、認証に MIC を必要とする電話機のタイプごとに次の手順を実行します。

始める前に

このタスクを実行する前に、次のいずれかの条件を満たしている必要があります。

  • device-security-mode コマンドは、 none キーワードを使用して設定されます。 詳細については、「テレフォニーサービスのセキュリティパラメータを構成する」を参照してください。

  • MIC は、CAPF セッション中の電話認証に指定された認証モードです。

  • SCCP シグナリングの TLS セッションを確立するために、LSC ではなく電話機の MIC が使用されます。

手順の概要

  1. 有効化
  2. configure terminal
  3. crypto pki trustpoint name
  4. 失効チェックなし
  5. 登録端末
  6. exit
  7. crypto pki authenticate name
  8. 4 つの MIC ルート証明書ファイルをダウンロードします。 各証明書に適切なテキストをコピーして貼り付けます。 証明書を承認します。
  9. exit

手順の詳細

  コマンドまたはアクション 目的

ステップ 1

有効化

例:

Router> enable

特権 EXEC モードを有効にします。

  • プロンプトが表示されたらパスワードを入力してください。

ステップ 2

configure terminal

例:

Router# configure terminal

グローバル コンフィギュレーション モードに入ります。

ステップ 3

crypto pki trustpoint name

例:

Router(config)# crypto pki trustpoint sanjose1

ルータが使用する CA を宣言し、ca-trustpoint 設定モードに入ります。

  • name :CA にすでに設定されているラベル。

ステップ 4

失効チェックなし

例:

Router(ca-trustpoint)# revocation-check none

失効チェックを実行せず、証明書が常に受け入れられることを指定します。

ステップ 5

登録端末

例:

Router(ca-trustpoint)# enrollment terminal

手動 (コピー アンド ペースト) による証明書の登録を指定します。

ステップ 6

exit

例:

Router(ca-trustpoint)# exit

ca-trustpoint 設定モードを終了します。

ステップ 7

crypto pki authenticate name

例:

Router(config)# crypto pki authenticate sanjose1

CA から証明書を取得して CA を認証します。

  • name - CA に既に設定されているラベル。

ステップ 8

4 つの MIC ルート証明書ファイルをダウンロードします。 各証明書に適切なテキストをコピーして貼り付けます。 証明書を承認します。

  1. 証明書へのリンクをクリックします:

    証明書は次のリンクから入手できます。

  2. 証明書のダウンロード ダイアログ ウィンドウが開いたら、証明書を表示するオプションを選択します。 証明書をインストールしないでください。

  3. 上部の 詳細 タブを選択します。

  4. 下部の エクスポート をクリックし、証明書をファイルに保存します。

  5. ワードパッドでファイルを開きます。

  6. -----BEGIN CERTIFICATE----- と -----END CERTIFICATE----- の間のテキストを切り取って、IOS コンソールに貼り付けます。

  7. プロンプトが表示されたら、 Enter を押して quit と入力します。

    証明書を貼り付けた後、Enter キーを押して、新しい行に quit と入力します。

  8. 証明書を受け入れるには、 y と入力します。

    システムは、貼り付けられた証明書テキストに応答して MD5 および SHA1 フィンガープリントを提供し、証明書を受け入れるかどうかを尋ねます。

    証明書を受け入れる場合は y と入力し、拒否する場合は n と入力します。

  9. 証明書ごとに手順 a. ~ h. を繰り返します。

ステップ 9

exit

例:

Router(config)# exit

特権 EXEC モードに戻ります。

次のタスク

  • ネットワーク内に複数の Cisco Unified CME ルータがある場合は、CTL クライアントを実行していない各 Cisco Unified CME ルータで CTL プロバイダーを設定する必要があります。 CTL クライアントが実行されていない各 Cisco Unified CME ルータで CTL プロバイダーを設定するには、 CTL プロバイダーを構成する を参照してください。

  • CA がサードパーティの CA である場合、または Cisco IOS CA が Cisco Unified CME ルータ外部の Cisco IOS ルータ上にある場合は、電話機に証明書を発行するように RA を設定する必要があります。 詳細については、「登録機関を設定する」を参照してください。

  • CAPF セッションに指定された認証モードが認証文字列である場合、更新された LSC を受信する各電話機に認証文字列を入力する必要があります。 詳細については、「電話で認証文字列を入力してください」を参照してください。

  • メディア暗号化を構成するには、 Cisco Unified CME でメディア暗号化(SRTP)を設定する を参照してください。

Cisco Unified CME でメディア暗号化(SRTP)を設定する

H.323 トランクを介した Cisco Unified CME システム間のセキュアな通話用にネットワークを設定するには、Cisco Unified CME ルータで次の手順を実行します。


制約事項


  • 安全な 3 者間ソフトウェア会議はサポートされていません。 SRTP で始まるセキュアコールは、会議に参加すると、常に非セキュアなリアルタイム トランスポート プロトコル(RTP)に切り替わります。

  • 3 者間会議から 1 人が退出した場合、残りの 2 者が単一の Cisco Unified CME への SRTP 対応ローカル Skinny Client Control Protocol(SCCP)エンドポイントであり、会議作成者が残りの 2 者のうちの 1 人であれば、残りの 2 者間の通話はセキュアに戻ります。 残りの 2 人の通話者のうちのいずれかが RTP のみに対応している場合、通話は非セキュアです。 残りの 2 人の通話者が FXS、PSTN、または VoIP 経由で接続されている場合、通話は非セキュアのままです。

  • Cisco Unity Express への通話は安全ではありません。

  • 保留音 (MOH) は安全ではありません。

  • ビデオコールは安全ではありません。

  • モデムリレーおよび T.3 FAX リレーコールは安全ではありません。

  • メディアフローアラウンドは、通話転送および着信通知ではサポートされません。

  • インバンド トーンと RFC 2833 DTMF 間の変換はサポートされていません。 RFC 2833 DTMF 処理は、暗号化キーがセキュア DSP ファーム デバイスに送信されるときにサポートされますが、コーデック パススルーではサポートされません。

  • セキュア Cisco Unified CME は SIP トランクをサポートしていません。H.323 トランクのみがサポートされています。

  • メディア暗号化(SRTP)は、H.450 と非 H.450 の両方の Cisco Unified CME ネットワークで安全な補足サービスをサポートします。 安全な Cisco Unified CME ネットワークは、ハイブリッドではなく、H.450 または非 H.450 のいずれかである必要があります。

  • セキュアな通話は、デフォルトのセッション アプリケーションでのみサポートされます。


始める前に

手順の概要

  1. 有効化
  2. configure terminal
  3. voice service voip
  4. supplementary-service media-renegotiate
  5. srtp フォールバック
  6. h323
  7. emptycapability
  8. exit

手順の詳細

  コマンドまたはアクション 目的

ステップ 1

有効化

例:

Router> enable

特権 EXEC モードを有効にします。

  • プロンプトが表示されたらパスワードを入力してください。

ステップ 2

configure terminal

例:

Router# configure terminal

グローバル コンフィギュレーション モードに入ります。

ステップ 3

voice service voip

例:

Router(config)# voice service voip

音声サービス設定モードに入ります。

  • voip キーワードは VoIP カプセル化を指定します。

ステップ 4

supplementary-service media-renegotiate

例:

Router(conf-voi-serv)# supplementary-service media-renegotiate

SRTP 暗号化キーの通話中の再ネゴシエーションを有効にします。

ステップ 5

srtp フォールバック

例:

Router(conf-voi-serv)# srtp fallback

メディアの暗号化と認証に SRTP を使用して安全な通話を全体的に有効にし、リングバックトーンや MOH などの補足サービスをサポートするために SRTP から RTP へのフォールバックを可能にします。

  • 個々のダイヤルピアでフォールバックを設定する場合は、この手順をスキップしてください。

  • このコマンドは、ダイヤルピア設定モードでも設定できます。 ダイヤルピア設定コマンドのこのコマンドは、音声サービス VoIP 設定モードのこのコマンドよりも優先されます。

ステップ 6

h323

例:

Router(conf-voi-serv)# h323

H.323 音声サービス設定モードに入ります。

ステップ 7

emptycapability

例:

Router(conf-serv-h323)# emptycapability

ロータリー グループ内のすべてのダイヤル ピアに同一のコーデック機能を備える必要がなくなります。

ステップ 8

exit

例:

Router(conf-serv-h323)# exit

H.323 音声サービス設定モードを終了します。

次のタスク

Cisco Unified CME でメディア暗号化(SRTP)を設定するために必要なタスクが完了しました。 H.323 ダイヤル ピア用の Cisco Unified CME SRTP フォールバックの設定。 次のオプションのタスクを実行できるようになりました。

H.323 ダイヤルピアの Cisco Unified CME SRTP フォールバックの設定

個々のダイヤル ピアに対して SRTP フォールバックを設定するには、Cisco Unified CME ルータで次の手順を実行します。

手順の概要

  1. 有効化
  2. configure terminal
  3. 音声クラスコーデック タグ
  4. codec preference value codec-type
  5. exit
  6. dial-peer voice tag voip
  7. srtp フォールバック
  8. voice-class codectag
  9. 出口

手順の詳細

  コマンドまたはアクション 目的

ステップ 1

有効化

例:

Router> enable

特権 EXEC モードを有効にします。

  • プロンプトが表示されたらパスワードを入力してください。

ステップ 2

configure terminal

例:

Router# configure terminal

グローバル コンフィギュレーション モードに入ります。

ステップ 3

音声クラスコーデック タグ

例:

Router(config)# voice class codec 1

音声クラス設定モードに入り、コーデック音声クラスの識別タグ番号を割り当てます。

ステップ 4

codec preference value codec-type

例:

Router(config-voice-class)# codec preference 1 g711alaw

ダイヤル ピアで使用する優先コーデックのリストを指定します。

  • この手順を繰り返して、優先コーデックのリストを作成します。

  • H.323 トランクの両側にある両方の Cisco Unified CME のコーデック リストに同じ優先順位を使用します。

ステップ 5

exit

例:

Router(config-voice-class)# exit

音声クラス設定モードを終了します。

ステップ 6

dial-peer voice tag voip

例:

Router(config)# dial-peer voice 101 voip

ダイヤルピア音声設定モードを開始します。

ステップ 7

srtp フォールバック

例:

Router(config-dial-peer)# srtp fallback

メディアの暗号化と認証に SRTP を使用する安全な通話を有効にし、フォールバック機能を指定します。

  • no srtp コマンドを使用すると、SRTP が無効になり、ダイヤルピアは RTP モードにフォールバックします。

  • fallback :個々のダイヤルピアで非セキュア モード(RTP)へのフォールバックを有効にします。 no srtp fallback コマンドはフォールバックと SRTP を無効にします。

  • このコマンドは、音声サービス VoIP 設定モードでも設定できます。 ダイヤルピア設定コマンドのこのコマンドは、音声サービス VoIP 設定モードのこのコマンドよりも優先されます。

ステップ 8

voice-class codectag

例:

Router(config-dial-peer)# voice-class codec 1

以前に設定されたコーデック選択優先リスト (コーデック音声クラス) を Voice over IP (VoIP) ダイヤルピアに割り当てます。

  • このステップの tag 引数は、ステップ 3 の tag と同じです。

ステップ 9

出口

例:

Router(config-dial-peer)# exit

ダイヤルピア音声設定モードを終了します。

セキュアな Cisco Unified CME 操作のための Cisco Unity の設定

このセクションには次のタスクが含まれています。

セキュアな Cisco Unified CME 運用のために Cisco Unity を設定するための前提条件

  • Cisco Unity 4.2 以降のバージョン。

Cisco Unified CME と Cisco Unity の統合を設定する

Cisco Unified CME と Cisco Unity の統合の設定を変更するには、Cisco Unity サーバで次の手順を実行します。

手順

ステップ 1

Cisco Unity サーバ上で Cisco Unity Telephony Integration Manager(UTIM)がまだ開いていない場合は、Windows のスタート メニューから [プログラム] > [Cisco Unity] > [統合の管理] を選択します。 UTIM ウィンドウが表示されます。

ステップ 2

左側のペインで [Cisco Unity Server] をダブルクリックします。 既存の統合が表示されます。

ステップ 3

[Cisco Unified Communications Manager] の統合をクリックします。

ステップ 4

右側のペインで、統合のクラスターをクリックします。

ステップ 5

[サーバー] タブをクリックします。

ステップ 6

[Cisco Unified Communications Manager クラスタ セキュリティ モード] フィールドで、該当する設定をクリックします。

ステップ 7

非セキュアをクリックした場合は、 保存 をクリックして、この手順の残りのステップをスキップします。

[認証済み] または [暗号化済み]をクリックすると、[セキュリティ] タブと [TFTP サーバの追加] ダイアログ ボックスが表示されます。 [TFTP サーバの追加] ダイアログボックスの [IP アドレスまたはホスト名] フィールドに、Cisco Unified Communications Manager クラスタのプライマリ TFTP サーバの IP アドレス (または DNS 名) を入力し、[ OK] をクリックします。

ステップ 8

Cisco Unity が Cisco Unified Communications Manager 証明書のダウンロードに使用する TFTP サーバが他にもある場合は、 [追加] をクリックします。 TFTP サーバの追加ダイアログ ボックスが表示されます。

ステップ 9

[IP アドレスまたはホスト名] フィールドに、Cisco Unified Communications Manager クラスタのセカンダリ TFTP サーバの IP アドレス (または DNS 名) を入力し、 [OK] をクリックします。

ステップ 10

[保存(Save)] をクリックします。

Cisco Unity は、ボイス メッセージ ポート デバイス証明書を作成し、Cisco Unity サーバ ルート証明書をエクスポートして、[Cisco Unity ルート証明書のエクスポート] ダイアログ ボックスを表示します。

ステップ 11

エクスポートされた Cisco Unity サーバ ルート証明書のファイル名をメモし、 [OK] をクリックします。

ステップ 12

Cisco Unity サーバで、CommServer\SkinnyCerts ディレクトリに移動します。

ステップ 13

手順 11 でエクスポートした Cisco Unity サーバのルート証明書ファイルを見つけます。

ステップ 14

ファイルを右クリックし、 名前の変更 をクリックします。

ステップ 15

ファイル拡張子を .0 から .pem に変更します。 たとえば、エクスポートされた Cisco Unity サーバ ルート証明書ファイルのファイル名を「12345.0」から「12345.pem」に変更します。

ステップ 16

このファイルを、Cisco Unified CME ルータにアクセスできる PC にコピーします。


Cisco Unity ルート証明書を Cisco Unified CME にインポートする

Cisco Unity ルート証明書を Cisco Unified CME にインポートするには、Cisco Unified CME ルータで次の手順を実行します。

手順の概要

  1. 有効化
  2. configure terminal
  3. crypto pki trustpoint name
  4. 失効チェックなし
  5. enrollment terminal
  6. exit
  7. crypto pki authenticate trustpoint-label
  8. ステップ 16で Cisco Unity サーバからコピーしたルート証明書ファイルを開きます。
  9. CA 証明書を入力するよう求められます。 コマンド ラインで、BEGIN CERTIFICATE と END CERTIFICATE の間にある Base 64 でエンコードされた証明書の内容全体をコピーして貼り付けます。 Enter を押して quitと入力します。 ルータは証明書を受け入れるように要求します。 証明書を受け入れるには「yes」と入力します。

手順の詳細

  コマンドまたはアクション 目的

ステップ 1

有効化

例:
Router> enable

特権 EXEC モードを有効にします。

  • プロンプトが表示されたらパスワードを入力してください。

ステップ 2

configure terminal

例:
Router# configure terminal

グローバル コンフィギュレーション モードに入ります。

ステップ 3

crypto pki trustpoint name

例:
Router(config)# crypto pki trustpoint PEM

RA モード証明書サーバが使用するトラストポイントを宣言し、ca-trustpoint 設定モードに入ります。

  • label :トラストポイントと RA の名前。

ステップ 4

失効チェックなし

例:
Router(ca-trustpoint)# revocation-check none

(オプション) 証明書のチェックが不要であることを指定します。

ステップ 5

enrollment terminal

例:
Router(ca-trustpoint)# enrollment terminal

手動での切り取りと貼り付けによる証明書の登録を指定します。

ステップ 6

exit

例:
Router(ca-trustpoint)# exit

ca-trustpoint 設定モードを終了します。

ステップ 7

crypto pki authenticate trustpoint-label

例:
Router(config)# crypto pki authenticate pem

CA 証明書を取得して認証します。 プロンプトが表示されたら証明書のフィンガープリントをチェックします。

  • trustpoint-label :トラストポイントと RA の設定済みの名前。 ステップ 3を参照してください。

ステップ 8

ステップ 16で Cisco Unity サーバからコピーしたルート証明書ファイルを開きます。

ステップ 9

CA 証明書を入力するよう求められます。 コマンド ラインで、BEGIN CERTIFICATE と END CERTIFICATE の間にある Base 64 でエンコードされた証明書の内容全体をコピーして貼り付けます。 Enter を押して quitと入力します。 ルータは証明書を受け入れるように要求します。 証明書を受け入れるには「yes」と入力します。

Cisco Unity ルート証明書の Cisco Unified CME ルータへのコピーを完了します。

安全な登録のための Cisco Unity ポートの設定

セキュアモードで登録するために Cisco Unity ポートを構成するには、次の手順を実行します。

手順

ステップ 1

更新する Cisco ボイスメール ポートを選択します。

ステップ 2

[デバイス セキュリティ モード] ドロップダウン リストから、 [暗号化] を選択します。

ステップ 3

[更新(Update)] をクリックします。


Cisco Unity が安全に登録されていることを確認する

show sccp connections コマンドを使用して、Cisco Unity ポートが Cisco Unified CME に安全に登録されていることを確認します。

次の例では、type フィールドの secure 値は接続が安全であることを示しています。

Router# SCCP 接続を表示  
		
		sess_id    conn_id    stype        mode     codec   ripaddr rport sport
		
		16777222   16777409   secure -xcode sendrecv g729b 10.3.56.120   16772 19534
		16777222   16777393   secure -xcode sendrecv g711u 10.3.56.50    17030 18464
		
		Total number of active session(s) 1, and connection(s) 2

Cisco Unified IP 電話向け HTTPS プロビジョニング

HTTPS を使用して Web コンテンツに安全にアクセスできるように Cisco Unified IP 電話をプロビジョニングするには、次の手順を実行します。

始める前に

  • 無限登録ループを防ぐには、ファームウェア 9.0 (4) 以降のバージョンを IP 電話にインストールする必要があります。

  • フラッシュ メモリから IP 電話にインポートする証明書ファイルは、プライバシー強化メール形式である必要があります。

手順の概要

  1. 有効化
  2. configure terminal
  3. ip http server
  4. crypto pki servercs-label
  5. データベース レベル{ 最小| 名前| 完全}
  6. データベース URLルート URL
  7. 自動付与
  8. exit
  9. crypto pki trustpointname
  10. enrollment urlurl
  11. 出口
  12. 暗号 PKI サーバcs-label
  13. no shutdown
  14. exit
  15. crypto pki trustpointname
  16. enrollment urlurl
  17. 失効チェック方法 1[ 方法 2[ 方法 3] ]
  18. rsakeypairキーラベル
  19. exit
  20. crypto pki authenticatename
  21. crypto pki enrollname
  22. crypto pki trustpointname
  23. enrollment urlurl
  24. 失効チェックメソッド 1[ メソッド 2[ メソッド 3] ]
  25. rsakeypairキーラベル
  26. exit
  27. crypto pki authenticatename
  28. crypto pki enrollname
  29. ctl クライアント
  30. sastl トラストポイント ラベル
  31. sast2 トラストポイント ラベル
  32. 証明書のインポート タグの説明flash:cert_name
  33. server application server address trustpoint label
  34. regenerate
  35. 終わり

手順の詳細

  コマンドまたはアクション 目的

ステップ 1

有効化

例:

Router> enable

特権 EXEC モードを有効にします。

  • プロンプトが表示されたらパスワードを入力してください。

ステップ 2

configure terminal

例:

Router# configure terminal

グローバル コンフィギュレーション モードに入ります。

ステップ 3

ip http server

例:

Router(config)# ip http server

Cisco Unified CME ルータ上で HTTP サーバを有効にします。

ステップ 4

crypto pki servercs-label

例:

Router(config)# crypto pki server IOS-CA

Cisco IOS 証明書サーバを有効にし、証明書サーバ設定モードに入ります。

  • cs-label :証明書サーバの名前。

(注)  

 

証明書サーバ名は 13 文字を超えてはなりません。

ステップ 5

データベース レベル{ 最小| 名前| 完全}

例:

Router(cs-server)# database level complete

証明書登録データベースに保存されるデータの種類を制御します。

  • complete :発行された各証明書がデータベースに書き込まれます。 このキーワードを使用する場合は、 database url コマンドを有効にする必要があります。

ステップ 6

データベース URLルート URL

例:

Router(cs-server)# database url flash:

証明書サーバのデータベース エントリが保存または公開される場所を指定します。

  • ルート URL - データベース エントリが書き込まれる場所。

ステップ 7

自動付与

例:

Router(cs-server)# grant auto

(オプション) 任意の要求者に自動証明書を発行できるようにします。 このコマンドを使用しない場合の推奨される方法およびデフォルトは、手動登録です。

ステップ 8

exit

例:

Router(cs-server)# exit

証明書サーバの設定モードを終了します。

ステップ 9

crypto pki trustpointname

例:

Router(config)# crypto pki trustpoint IOS-CA

トラストポイントを宣言し、ca-trustpoint コンフィギュレーション モードに入ります。

  • name :トラストポイントの名前。

ステップ 10

enrollment urlurl

例:

Router(ca-trustpoint)# enrollment url http://10.1.1.1:80

証明機関の登録パラメータを指定します。

  • url :ルータが証明書要求を送信するファイル システムの URL を指定します。

ステップ 11

出口

例:

Router(ca-trustpoint)# exit

ca-trustpoint 設定モードを終了します。

ステップ 12

暗号 PKI サーバcs-label

例:

Router(config)# crypto pki server IOS-CA

Cisco IOS 証明書サーバを有効にし、証明書サーバ設定モードに入ります。

  • cs-label :証明書サーバの名前。

(注)  

 
証明書サーバ名は 13 文字を超えてはなりません。

ステップ 13

no shutdown

例:

Router(cs-server)# no shutdown

Cisco IOS 認証局を有効にします。

ステップ 14

exit

例:

Router(cs-server)# exit

証明書サーバの設定モードを終了します。

ステップ 15

crypto pki trustpointname

例:

Router(config)# crypto pki trustpoint primary-cme

トラストポイントを宣言し、ca-trustpoint コンフィギュレーション モードに入ります。

  • name :トラストポイントの名前。

ステップ 16

enrollment urlurl

例:

Router(ca-trustpoint)# enrollment url http://10.1.1.1:80

証明機関の登録パラメータを指定します。

  • url :ルータが証明書要求を送信するファイル システムの URL を指定します。

ステップ 17

失効チェック方法 1[ 方法 2[ 方法 3] ]

例:

Router(ca-trustpoint)# revocation-check none

証明書の失効ステータスを確認します。

  • なし - 証明書のチェックは必要ありません。

ステップ 18

rsakeypairキーラベル

例:

Router(ca-trustpoint)# rsakeypair primary-cme

証明書に関連付ける RSA キー ペアを指定します。

  • key-label :キー ペアの名前。キー ペアがまだ存在しない場合、または auto-enroll regenerate コマンドが設定されている場合に登録時に生成されます。

ステップ 19

exit

例:

Router(ca-trustpoint)# exit

ca-trustpoint 設定モードを終了します。

ステップ 20

crypto pki authenticatename

例:

Router(config)# crypto pki authenticate primary-cme

認証局の証明書を取得して認証局を認証します。

  • name —証明機関の名前。

ステップ 21

crypto pki enrollname

例:

Router(config)# crypto pki enroll primary-cme

証明機関からルーターの証明書を取得します。

  • name —証明機関の名前。 crypto pki trustpoint コマンドを使用して証明機関を宣言したときと同じ名前を使用します。

ステップ 22

crypto pki trustpointname

例:

Router(config)# crypto pki trustpoint sast-secondary

トラストポイントを宣言し、ca-trustpoint コンフィギュレーション モードに入ります。

  • name :トラストポイントの名前。

ステップ 23

enrollment urlurl

例:

Router(ca-trustpoint)# enrollment url http://10.1.1.1:80

証明機関の登録パラメータを指定します。

  • url :ルータが証明書要求を送信するファイル システムの URL を指定します。

ステップ 24

失効チェックメソッド 1[ メソッド 2[ メソッド 3] ]

例:

Router(ca-trustpoint)# revocation-check none

証明書の失効ステータスを確認します。

  • なし - 証明書のチェックは必要ありません。

ステップ 25

rsakeypairキーラベル

例:

Router(ca-trustpoint)# rsakeypair sast-secondary

証明書に関連付ける RSA キー ペアを指定します。

  • key-label :キー ペアの名前。キー ペアがまだ存在しない場合、または auto-enroll regenerate コマンドが設定されている場合に登録時に生成されます。

ステップ 26

exit

例:

Router(ca-trustpoint)# exit

ca-trustpoint 設定モードを終了します。

ステップ 27

crypto pki authenticatename

例:

Router(config)# crypto pki authenticate sast-secondary

認証局の証明書を取得して認証局を認証します。

  • name —証明機関の名前。

ステップ 28

crypto pki enrollname

例:

Router(config)# crypto pki enroll sast-secondary

証明機関からルーターの証明書を取得します。

  • name —証明機関の名前。 crypto pki trustpoint コマンドを使用して証明機関を宣言したときと同じ名前を使用します。

ステップ 29

ctl クライアント

例:

Router(config)# ctl-client

CTL クライアントのパラメータを設定するために、CTL クライアント設定モードに移行します。

ステップ 30

sastl トラストポイント ラベル

例:

Router(config-ctl-client)# sast1 trustpoint first-sast

プライマリ SAST の資格情報を構成します。

  • label :SAST1 トラストポイントの名前。

(注)  

 

SAST1 証明書と SAST2 証明書は互いに異なる必要があります。 CTL ファイルは常に SAST1 によって署名されます。 SAST2 資格情報は CTL ファイルに含まれているため、SAST1 証明書が侵害された場合でも、ファイルは SAST2 によって署名され、電話機が工場出荷時の状態にリセットされるのを防ぐことができます。

ステップ 31

sast2 トラストポイント ラベル

例:

Router(config-ctl-client)# sast2 trustpoint second-sast

セカンダリ SAST の資格情報を構成します。

  • label :SAST2 トラストポイントの名前。

(注)  

 

SAST1 証明書と SAST2 証明書は互いに異なる必要があります。 CTL ファイルは常に SAST1 によって署名されます。 SAST2 資格情報は CTL ファイルに含まれているため、SAST1 証明書が侵害された場合でも、ファイルは SAST2 によって署名され、電話機が工場出荷時の状態にリセットされるのを防ぐことができます。

ステップ 32

証明書のインポート タグの説明flash:cert_name

例:

Router(config-ctl-client)# import certificate 5 FlashCert flash:flash_cert.cer

フラッシュ メモリから PEM 形式の信頼できる証明書を IP 電話の CTL ファイルにインポートします。

(注)  

 

この手順は、外部サーバ上で実行される HTTPS サービスをプロビジョニングするために必要です。

  • tag —信頼された証明書の識別子。

  • description —信頼された証明書の説明的な名前。

  • flash:cert_cert :フラッシュメモリに保存されている信頼された証明書のファイル名を指定します。

ステップ 33

server application server address trustpoint label

例:


				Router(config-ctl-client)# server application 10.1.2.3 trustpoint first-sast

SAST のサーバ アプリケーションと資格情報を構成します。

ステップ 34

regenerate

例:

Router(config-ctl-client)# regenerate

CTL クライアント構成に変更を加えた後、新しい CTLFile.tlv を作成します。

ステップ 35

終わり

例:

Router(config-ctl-client)# end

特権 EXEC モードに移行します。

セキュリティの設定例

ログからパスワードとキーを削除する例

以下は、show コマンド show sip-ua calls の出力例です。 Unified CME 12.6 の機能拡張の一部として show コマンド出力に追加される行は、ローカル暗号キーとリモート暗号キーです。


SIP UAC CALL INFO
Number of SIP User Agent Client(UAC) calls: 0

SIP UAS CALL INFO
Call 1
SIP Call ID : 007278df-12e00376-6ed02377-6ffbaca9@8.55.0.195
State of the call : STATE_ACTIVE (7)
Substate of the call : SUBSTATE_NONE (0)
Calling Number : 1001
Called Number : 6901%23
Called URI : sip:6901%23@8.39.25.11;user=phone
Bit Flags : 0x10C0401C 0x10000100 0x4
CC Call ID : 196
Local UUID : 61488a9100105000a000007278df12e0
Remote UUID : c4b7f9475629538096ef61699b96746f
Source IP Address (Sig ): 8.39.25.11
Destn SIP Req Addr:Port : [8.55.0.195]:52704
Destn SIP Resp Addr:Port: [8.55.0.195]:52704
Destination Name : 8.55.0.195
Number of Media Streams : 1
Number of Active Streams: 1
RTP Fork Object : 0x0
Media Mode : flow-through
Media Stream 1
State of the stream : STREAM_ACTIVE
Stream Call ID : 196
Stream Type : voice+dtmf (1)
Stream Media Addr Type : 1
Negotiated Codec : g711ulaw (160 bytes)
Codec Payload Type : 0
Negotiated Dtmf-relay : rtp-nte
Dtmf-relay Payload Type : 101
QoS ID : -1
Local QoS Strength : BestEffort
Negotiated QoS Strength : BestEffort
Negotiated QoS Direction : None
Local QoS Status : None
Media Source IP Addr:Port: [8.39.25.11]:8080
Media Dest IP Addr:Port : [8.55.0.195]:23022
Local Crypto Suite : AEAD_AES_256_GCM
Remote Crypto Suite : AEAD_AES_256_GCM (
AEAD_AES_256_GCM
AEAD_AES_128_GCM
AES_CM_128_HMAC_SHA1_80
AES_CM_128_HMAC_SHA1_32 )
Local Crypto Key : 3taqc13ClF6BBpvd65WTMPrad/i0uyQ6iNouh+jYHxbf48d4TFmsOGyh4Vs=
Remote Crypto Key : 2/TNTV+Rc1Nh/wbGj0MGwIsLrJ4l+N2jKWGczolEnf7sgsA0Q9AEIz0a4eg=
Mid-Call Re-Assocation Count: 0
SRTP-RTP Re-Assocation DSP Query Count: 0

以下は、show コマンド show ephone offhook の出力例です 。 Unified CME 12.6 の機能拡張の一部として show コマンド出力に追加される行は、ローカル暗号キーとリモート暗号キーです。


ephone-1[0] Mac:549A.EBB5.8000 TCP socket:[1] activeLine:1 whisperLine:0 REGISTERED in SCCP ver 21/17 max_streams=1 + Authentication + Encryption with TLS connection
mediaActive:1 whisper_mediaActive:0 startMedia:1 offhook:1 ringing:0 reset:0 reset_sent:0 paging 0 debug:0 caps:8
IP:8.44.22.63 * 17872 SCCP Gateway (AN) keepalive 28 max_line 1 available_line 1
port 0/0/0
button 1: cw:1 ccw:(0 0)
 dn 1 number 6901 CM Fallback CH1 CONNECTED CH2 IDLE
Preferred Codec: g711ulaw
Lpcor Type: none Active Secure Call on DN 1 chan 1 :6901 8.44.22.63 18116
 to 8.39.25.11 8066 via 8.39.0.1
G711Ulaw64k 160 bytes no vad
SRTP cipher: AES_CM_128_HMAC_SHA1_32
  local key: 0OPV0yxvcnRLPMzHfmYbwgHfdxcuS1uPbp5j/Tjk
  remote key: e8DQl3Kvk7LjZlipaCoMg9TMreBmiPsFmNiVHwIA
Tx Pkts 0 bytes 0 Rx Pkts 0 bytes 0 Lost 0
Jitter 0 Latency 0 callingDn -1 calledDn -1

Unified CME のパスワード ポリシー設定例

以下は、パスワード暗号化をサポートするための Unified CME ルータの設定例です。


Router(config)#key config-key password-encrypt <cisco123>
Router(config)#password encryption aes
Router(config)#telephony-service
Router(config-telephony)encrypt password

(注)  


Unified CME ルータでパスワードの暗号化解除(タイプ 0)のために no encrypt password を設定します。 タイプ 0 が設定されている場合、パスワードは暗号化されていないプレーンテキストとして表示されます。


Cisco IOS CA の設定例

crypto pki server iosca
		 grant auto
		 database url flash:
		!
		crypto pki trustpoint iosca
		 revocation-check none
		 rsakeypair iosca
		!
		crypto pki certificate chain iosca
		 certificate ca 01
		  308201F9 30820162 ...

Cisco Unified CME ルータに MIC ルート証明書を手動でインポートする例

次の例は、ルータにインポートされた 3 つの証明書 (7970、7960、PEM) を示しています。

Router(config)# 暗号 PKI トラストポイント 7970  
		Router(ca-trustpoint)# 失効チェックなし  
		Router(ca-trustpoint)# 登録端末  
		Router(ca-trustpoint)# exit  
		Router(config)# crypto pki authenticate 7970 
		
		Enter the base 64 encoded CA certificate. 
		End with a blank line or the word "quit" on a line by itself
		MIIDqDCCApCgAwIBAgIQNT+yS9cPFKNGwfOprHJWdTANBgkqhkiG9w0BAQUFADAu 
		MRYwFAYDVQQKEw1DaXNjbyBTeXN0ZW1zMRQwEgYDVQQDEwtDQVAtUlRQLTAwMjAe 
		Fw0wMzEwMTAyMDE4NDlaFw0yMzEwMTAyMDI3MzdaMC4xFjAUBgNVBAoTDUNpc2Nv 
		IFN5c3RlbXMxFDASBgNVBAMTC0NBUC1SVFAtMDAyMIIBIDANBgkqhkiG9w0BAQEF 
		AAOCAQ0AMIIBCAKCAQEAxCZlBK19w/2NZVVvpjCPrpW1cCY7V1q9lhzI85RZZdnQ 
		2M4CufgIzNa3zYxGJIAYeFfcRECnMB3f5A+x7xNiEuzE87UPvK+7S80uWCY0Uhtl 
		AVVf5NQgZ3YDNoNXg5MmONb8lT86F55EZyVac0XGne77TSIbidejrTgYQXGP2MJx 
		Qhg+ZQlGFDRzbHfM84Duv2Msez+l+SqmqO80kIckqE9Nr3/XCSj1hXZNNVg8D+mv 
		Hth2P6KZqAKXAAStGRLSZX3jNbS8tveJ3Gi5+sj9+F6KKK2PD0iDwHcRKkcUHb7g 
		lI++U/5nswjUDIAph715Ds2rn9ehkMGipGLF8kpuCwIBA6OBwzCBwDALBgNVHQ8E 
		BAMCAYYwDwYDVR0TAQH/BAUwAwEB/zAdBgNVHQ4EFgQUUpIr4ojuLgmKTn5wLFal 
		mrTUm5YwbwYDVR0fBGgwZjBkoGKgYIYtaHR0cDovL2NhcC1ydHAtMDAyL0NlcnRF 
		bnJvbGwvQ0FQLVJUUC0wMDIuY3Jshi9maWxlOi8vXFxjYXAtcnRwLTAwMlxDZXJ0 
		RW5yb2xsXENBUC1SVFAtMDAyLmNybDAQBgkrBgEEAYI3FQEEAwIBADANBgkqhkiG 
		9w0BAQUFAAOCAQEAVoOM78TaOtHqj7sVL/5u5VChlyvU168f0piJLNWip2vDRihm 
		E+DlXdwMS5JaqUtuaSd/m/xzxpcRJm4ZRRwPq6VeaiiQGkjFuZEe5jSKiSAK7eHg 
		tup4HP/ZfKSwPA40DlsGSYsKNMm3OmVOCQUMH02lPkS/eEQ9sIw6QS7uuHN4y4CJ 
		NPnRbpFRLw06hnStCZHtGpKEHnY213QOy3h/EWhbnp0MZ+hdr20FujSI6G1+L39l 
		aRjeD708f2fYoz9wnEpZbtn2Kzse3uhU1Ygq1D1x9yuPq388C18HWdmCj4OVTXux 
		V6Y47H1yv/GJM8FvdgvKlExbGTFnlHpPiaG9tQ== 
		quit  
		Certificate has the following attributes: 
		Fingerprint MD5: F7E150EA 5E6E3AC5 615FC696 66415C9F 
		Fingerprint SHA1: 1BE2B503 DC72EE28 0C0F6B18 798236D8 D3B18BE6 
		% Do you accept this certificate? [yes/no]: y  
		Trustpoint CA certificate accepted. 
		% Certificate successfully imported 
		Router(config)# crypto pki trustpoint 7960  
		Router(ca-trustpoint)# 失効チェックなし  
		Router(ca-trustpoint)# enrollment terminal  
		Router(ca-trustpoint)# exit  
		Router(config)# crypto pki authenticate 7960 
		
		Enter the base 64 encoded CA certificate. 
		
		End with a blank line or the word "quit" on a line by itself
		MIICKDCCAZGgAwIBAgIC8wEwDQYJKoZIhvcNAQEFBQAwQDELMAkGA1UEBhMCVVMx 
		GjAYBgNVBAoTEUNpc2NvIFN5c3RlbXMgSW5jMRUwEwYDVQQDEwxDQVBGLTdEN0Qw 
		QzAwHhcNMDQwNzE1MjIzODMyWhcNMTkwNzEyMjIzODMxWjBAMQswCQYDVQQGEwJV 
		UzEaMBgGA1UEChMRQ2lzY28gU3lzdGVtcyBJbmMxFTATBgNVBAMTDENBUEYtN0Q3 
		RDBDMDCBnzANBgkqhkiG9w0BAQEFAAOBjQAwgYkCgYEA0hvMOZZ9ENYWme11YGY1 
		it2rvE3Nk/eqhnv8P9eqB1iqt+fFBeAG0WZ5bO5FetdU+BCmPnddvAeSpsfr3Z+h 
		x+r58fOEIBRHQLgnDZ+nwYH39uwXcRWWqWwlW147YHjV7M5c/R8T6daCx4B5NBo6 
		kdQdQNOrV3IP7kQaCShdM/kCAwEAAaMxMC8wDgYDVR0PAQH/BAQDAgKEMB0GA1Ud 
		JQQWMBQGCCsGAQUFBwMBBggrBgEFBQcDBTANBgkqhkiG9w0BAQUFAAOBgQCaNi6x 
		sL6M5NlDezpSBO3QmUVyXMfrONV2ysrSwcXzHu0gJ9MSJ8TwiQmVaJ47hSTlF5a8 
		YVYJ0idifXbXRo+/EEO7kkmFE8MZta5rM7UWj8bAeR42iqA3RzQaDwuJgNWT9Fhh 
		GgfuNAlo5h1AikxsvxivmDlLdZyCMoqJJd7B2Q== 
		quit  
		Certificate has the following attributes: 
		Fingerprint MD5: 4B9636DF 0F3BA6B7 5F54BE72 24762DBC 
		Fingerprint SHA1: A9917775 F86BB37A 5C130ED2 3E528BB8 286E8C2D 
		% Do you accept this certificate? [yes/no]: y  
		Trustpoint CA certificate accepted. 
		% Certificate successfully imported
		
		
		Router(config)# crypto pki trustpoint PEM  
		Router(ca-trustpoint)# 失効チェックなし  
		Router(ca-trustpoint)# enrollment terminal  
		Router(ca-trustpoint)# exit  
		Router(config)# crypto pki authenticate PEM 
		
		Enter the base 64 encoded CA certificate. 
		End with a blank line or the word "quit" on a line by itself
		MIIDqDCCApCgAwIBAgIQdhL5YBU9b59OQiAgMrcjVjANBgkqhkiG9w0BAQUFADAu 
		MRYwFAYDVQQKEw1DaXNjbyBTeXN0ZW1zMRQwEgYDVQQDEwtDQVAtUlRQLTAwMTAe 
		Fw0wMzAyMDYyMzI3MTNaFw0yMzAyMDYyMzM2MzRaMC4xFjAUBgNVBAoTDUNpc2Nv 
		IFN5c3RlbXMxFDASBgNVBAMTC0NBUC1SVFAtMDAxMIIBIDANBgkqhkiG9w0BAQEF 
		AAOCAQ0AMIIBCAKCAQEArFW77Rjem4cJ/7yPLVCauDohwZZ/3qf0sJaWlLeAzBlq 
		Rj2lFlSij0ddkDtfEEo9VKmBOJsvx6xJlWJiuBwUMDhTRbsuJz+npkaGBXPOXJmN >
		Vd54qlpc/hQDfWlbrIFkCcYhHws7vwnPsLuy1Kw2L2cP0UXxYghSsx8H4vGqdPFQ 
		NnYy7aKJ43SvDFt4zn37n8jrvlRuz0x3mdbcBEdHbA825Yo7a8sk12tshMJ/YdMm 
		vny0pmDNZXmeHjqEgVO3UFUn6GVCO+K1y1dUU1qpYJNYtqLkqj7wgccGjsHdHr3a 
		U+bw1uLgSGsQnxMWeMaWo8+6hMxwlANPweufgZMaywIBA6OBwzCBwDALBgNVHQ8E 
		BAMCAYYwDwYDVR0TAQH/BAUwAwEB/zAdBgNVHQ4EFgQU6Rexgscfz6ypG270qSac 
		cK4FoJowbwYDVR0fBGgwZjBkoGKgYIYtaHR0cDovL2NhcC1ydHAtMDAxL0NlcnRF 
		bnJvbGwvQ0FQLVJUUC0wMDEuY3Jshi9maWxlOi8vXFxjYXAtcnRwLTAwMVxDZXJ0 
		RW5yb2xsXENBUC1SVFAtMDAxLmNybDAQBgkrBgEEAYI3FQEEAwIBADANBgkqhkiG 
		9w0BAQUFAAOCAQEAq2T96/YMMtw2Dw4QX+F1+g1XSrUCrNyjx7vtFaRDHyB+kobw 
		dwkpohfkzfTyYpJELzV1r+kMRoyuZ7oIqqccEroMDnnmeApc+BRGbDJqS1Zzk4OA 
		c6Ea7fm53nQRlcSPmUVLjDBzKYDNbnEjizptaIC5fgB/S9S6C1q0YpTZFn5tjUjy 
		WXzeYSXPrcxb0UH7IQJ1ogpONAAUKLoPaZU7tVDSH3hD4+VjmLyysaLUhksGFrrN 
		phzZrsVVilK17qpqCPllKLGAS4fSbkruq3r/6S/SpXS6/gAoljBKixP7ZW2PxgCU 
		1aU9cURLPO95NDOFN3jBk3Sips7cVidcogowPQ== 
		quit  
		
		Certificate has the following attributes: 
		Fingerprint MD5: 233C8E33 8632EA4E 76D79FEB FFB061C6 
		Fingerprint SHA1: F7B40B94 5831D2AB 447AB8F2 25990732 227631BE 
		% Do you accept this certificate? [yes/no]: y  
		Trustpoint CA certificate accepted. 
		% Certificate successfully imported
		

show crypto pki trustpoint status コマンドを使用して、登録が成功し、5 つの CA 証明書が付与されたことを確認します。 5 つの証明書には、先ほど入力した 3 つの証明書、CA サーバ証明書、およびルーター証明書が含まれます。

Router# show crypto pki trustpoint status 
		
		Trustpoint 7970: 
		Issuing CA certificate configured: 
		Subject Name: 
		cn=CAP-RTP-002,o=Cisco Systems 
		Fingerprint MD5: F7E150EA 5E6E3AC5 615FC696 66415C9F 
		Fingerprint SHA1: 1BE2B503 DC72EE28 0C0F6B18 798236D8 D3B18BE6 
		State: 
		Keys generated ............. Yes (General Purpose) 
		Issuing CA authenticated ....... Yes 
		Certificate request(s) ..... None 
		Trustpoint 7960: 
		Issuing CA certificate configured: 
		Subject Name: 
		cn=CAPF-508A3754,o=Cisco Systems Inc,c=US 
		Fingerprint MD5: 6BAE18C2 0BCE391E DAE2FE4C 5810F576 
		Fingerprint SHA1: B7735A2E 3A5C274F C311D7F1 3BE89942 355102DE 
		State: 
		Keys generated ............. Yes (General Purpose) 
		Issuing CA authenticated ....... Yes 
		Certificate request(s) ..... None 
		Trustpoint PEM: 
		Issuing CA certificate configured: 
		Subject Name: 
		cn=CAP-RTP-001,o=Cisco Systems 
		Fingerprint MD5: 233C8E33 8632EA4E 76D79FEB FFB061C6 
		Fingerprint SHA1: F7B40B94 5831D2AB 447AB8F2 25990732 227631BE 
		State: 
		Keys generated ............. Yes (General Purpose) 
		Issuing CA authenticated ....... Yes 
		Certificate request(s) ..... None 
		Trustpoint srstcaserver: 
		Issuing CA certificate configured: 
		Subject Name: 
		cn=srstcaserver 
		Fingerprint MD5: 6AF5B084 79C93F2B 76CC8FE6 8781AF5E 
		Fingerprint SHA1: 47D30503 38FF1524 711448B4 9763FAF6 3A8E7DCF 
		State: 
		Keys generated ............. Yes (General Purpose) 
		Issuing CA authenticated ....... Yes 
		Certificate request(s) ..... None 
		
		Trustpoint srstca: 
		Issuing CA certificate configured: 
		Subject Name: 
		cn=srstcaserver 
		Fingerprint MD5: 6AF5B084 79C93F2B 76CC8FE6 8781AF5E 
		Fingerprint SHA1: 47D30503 38FF1524 711448B4 9763FAF6 3A8E7DCF 
		Router General Purpose certificate configured:
		Subject Name: 
		serialNumber=F3246544+hostname=c2611XM-sSRST.cisco.com 
		Fingerprint: 35471295 1C907EC1 45B347BC 7A9C4B86 
		State: 
		Keys generated ............. Yes (General Purpose) 
		Issuing CA authenticated ....... Yes 
		Certificate request(s) ..... Yes

テレフォニーサービスのセキュリティパラメータの設定例

次の例は、Cisco Unified CME のセキュリティ パラメータを示しています。


  telephony-service
		 device-security-mode authenticated
		 secure-signaling trustpoint cme-sccp
		 tftp-server-credentials trustpoint cme-tftp
		 load-cfg-file slot0:Ringlist.xml alias Ringlist.xml sign create
		
		ephone 24
		 device-security-mode authenticated
		 capf-auth-str 2734
		 cert-oper upgrade auth-mode auth-string

Cisco Unified CME ルータ上で実行される CTL クライアントの設定例

ctl-client
 server capf 10.1.1.1 trustpoint cmeserver
 server cme 10.1.1.1 trustpoint cmeserver
 server tftp 10.1.1.1 trustpoint cmeserver
 sast1 trustpoint cmeserver
 sast2 trustpoint sast2 CTL Client Running on Another Router: Example
ctl-client
 server cme 10.1.1.100 trustpoint cmeserver
 server cme 10.1.1.1 username cisco password 1 0822455D0A16544541
 sast1 trustpoint cmeserver
 sast2 trustpoint sast1 CAPF Server: Example
!
ip dhcp pool cme-pool
   network 10.1.1.0 255.255.255.0
   option 150 ip 10.1.1.1
   default-router 10.1.1.1 
!
capf-server
 port 3804
 auth-mode null-string
 cert-enroll-trustpoint iosra password 1 00071A1507545A545C
 trustpoint-label cmeserver
 source-addr 10.1.1.1
!
crypto pki server iosra
 grant auto
 mode ra
 database url slot0:
!
crypto pki trustpoint cmeserver
 enrollment url http://10.1.1.100:80
 serial-number
 revocation-check none
 rsakeypair cmeserver
!
crypto pki trustpoint sast2
 enrollment url http://10.1.1.100:80
 serial-number
 revocation-check none
 rsakeypair sast2
!
!
crypto pki trustpoint iosra
		 enrollment url http://10.1.1.200:80
		 revocation-check none
		 rsakeypair iosra
		!
		!
		crypto pki certificate chain cmeserver
		 certificate 1B
		  30820207 30820170 A0030201 0202011B 300D0609 2A864886 F70D0101 04050030 
		  ....
		  quit
		 certificate ca 01
		  3082026B 308201D4 A0030201 02020101 300D0609 2A864886 F70D0101 04050030 
		  ...
		  quit
		crypto pki certificate chain sast2
		 certificate 1C
		  30820207 30820170 A0030201 0202011C 300D0609 2A864886 F70D0101 04050030 
		  ....
		  quit
		 certificate ca 01
		  3082026B 308201D4 A0030201 02020101 300D0609 2A864886 F70D0101 04050030 
		  .....
		  quit
		crypto pki certificate chain capf-tp
		crypto pki certificate chain iosra
		 certificate 04
		  30820201 3082016A A0030201 02020104 300D0609 2A864886 F70D0101 04050030 
		  ......
		 certificate ca 01
		  308201F9 30820162 A0030201 02020101 300D0609 2A864886 F70D0101 04050030 
		  ....
		  quit
		!
		!
		credentials
		 ctl-service admin cisco secret 1 094F471A1A0A464058
		 ip source-address 10.1.1.1 port 2444
		 trustpoint cmeserver
		!
		!
		telephony-service
		 no auto-reg-ephone
		 load 7960-7940 P00307010200
		 load 7914 S00104000100
		 load 7941GE TERM41.7-0-0-129DEV
		 load 7970 TERM70.7-0-0-77DEV
		 max-ephones 20
		 max-dn 10
		 ip source-address 10.1.1.1 port 2000 secondary 10.1.1.100
		 secure-signaling trustpoint cmeserver
		 cnf-file location flash:
		 cnf-file perphone
		 dialplan-pattern 1 2... extension-length 4
		 max-conferences 8 gain -6
		 transfer-pattern ....
		 tftp-server-credentials trustpoint cmeserver
		 server-security-mode secure
		 device-security-mode encrypted
		 load-cfg-file slot0:Ringlist.xml alias Ringlist.xml sign
		 load-cfg-file slot0:P00307010200.bin alias P00307010200.bin
		 load-cfg-file slot0:P00307010200.loads alias P00307010200.loads
		 load-cfg-file slot0:P00307010200.sb2 alias P00307010200.sb2
		 load-cfg-file slot0:P00307010200.sbn alias P00307010200.sbn
		 load-cfg-file slot0:cnu41.2-7-4-116dev.sbn alias cnu41.2-7-4-116dev.sbn
		 load-cfg-file slot0:Jar41.2-9-0-101dev.sbn alias Jar41.2-9-0-101dev.sbn
		 load-cfg-file slot0:CVM41.2-0-0-96dev.sbn alias CVM41.2-0-0-96dev.sbn
		 load-cfg-file slot0:TERM41.DEFAULT.loads alias TERM41.DEFAULT.loads
		 load-cfg-file slot0:TERM70.DEFAULT.loads alias TERM70.DEFAULT.loads
		 load-cfg-file slot0:Jar70.2-9-0-54dev.sbn alias Jar70.2-9-0-54dev.sbn
		 load-cfg-file slot0:cnu70.2-7-4-58dev.sbn alias cnu70.2-7-4-58dev.sbn
		 load-cfg-file slot0:CVM70.2-0-0-49dev.sbn alias CVM70.2-0-0-49dev.sbn
		 load-cfg-file slot0:DistinctiveRingList.xml alias DistinctiveRingList.xml sign
		 load-cfg-file slot0:Piano1.raw alias Piano1.raw sign
		 load-cfg-file slot0:S00104000100.sbn alias S00104000100.sbn
		 create cnf-files version-stamp 7960 Aug 13 2005 12:39:24
		!
		!
		ephone  1
		 device-security-mode encrypted
		 cert-oper upgrade auth-mode null-string
		 mac-address 000C.CE3A.817C
		 type 7960 addon 1 7914
		 button  1:2 8:8
		!
		!
		ephone  2
		 device-security-mode encrypted
		 capf-auth-str 2476
		 cert-oper upgrade auth-mode null-string
		 mac-address 0011.2111.6BDD
		 type 7970
		 button  1:1
		!
		!
		ephone  3
		 device-security-mode encrypted
		 capf-auth-str 5425
		 cert-oper upgrade auth-mode null-string
		 mac-address 000D.299D.50DF
		 type 7970
		 button  1:3
		!
		!
		ephone  4
		 device-security-mode encrypted
		 capf-auth-str 7176
		 cert-oper upgrade auth-mode null-string
		 mac-address 000E.D7B1.0DAC
		 type 7960
		 button  1:4
		!
		!
		ephone  5
		 device-security-mode encrypted
		 mac-address 000F.9048.5077
		 type 7960
		 button  1:5
		!
		!
		ephone  6
		 device-security-mode encrypted
		 mac-address 0013.C352.E7F1
		 type 7941GE
		 button  1:6
		!

セキュアな統合 CME の例

Router# show running-config 
		
		Building configuration...
		
		Current configuration : 12735 bytes
		!
		! No configuration change since last restart
		!
		version 12.4
		service timestamps debug datetime msec
		service timestamps log datetime msec
		no service password-encryption
		service internal
		!
		hostname Router
		!
		boot-start-marker
		boot-end-marker
		!
		card type e1 1 1
		logging queue-limit 1000
		logging buffered 9999999 debugging
		logging rate-limit 10000
		no logging console
		!
		aaa new-model
		!
		!
		aaa accounting connection h323 start-stop group radius
		!
		aaa session-id common
		!
		resource policy
		!
		clock timezone IST 5
		no network-clock-participate slot 1
		!
		!
		ip cef
		!
		!
		isdn switch-type primary-net5
		!
		voice-card 0
		 no dspfarm
		!
		voice-card 1
		 no dspfarm
		!
		!
		ctl-client
		 server capf 10.13.32.11 trustpoint mytrustpoint1
		 server tftp 10.13.32.11 trustpoint mytrustpoint1
		 server cme 10.13.32.11 trustpoint mytrustpoint1
		 sast1 trustpoint mytrustpoint1>
		 sast2 trustpoint sast2
		!
		capf-server
		 port 3804
		 auth-mode null-string
		 cert-enroll-trustpoint iosra password 1 mypassword
		 trustpoint-label mytrustpoint1
		 source-addr 10.13.32.11
		 phone-key-size 512
		!
		voice call debug full-guid
		!
		voice service voip
		 srtp fallback
		 allow-connections h323 to h323
		 no supplementary-service h450.2
		 no supplementary-service h450.3
		 no supplementary-service h450.7
		 supplementary-service media-renegotiate
		 h323
		  emptycapability
		  ras rrq ttl 4000
		!
		!
		voice class codec 2
		 codec preference 1 g711alaw
		 codec preference 2 g711ulaw
		!
		voice class codec 3
		 codec preference 1 g729r8
		 codec preference 8 g711alaw
		 codec preference 9 g711ulaw
		!
		voice class codec 1
		 codec preference 1 g729r8
		 codec preference 2 g728
		 codec preference 3 g723ar63
		 codec preference 4 g711ulaw
		!
		!
		voice iec syslog
		voice statistics type iec
		voice statistics time-range since-reset
		!
		!
		!
		crypto pki server myra
		 database level complete
		 grant auto
		 lifetime certificate 1800
		!
		crypto pki trustpoint myra
		 enrollment url http://10.13.32.11:80
		 revocation-check none
		 rsakeypair iosra
		!
		crypto pki trustpoint mytrustpoint1
		 enrollment url http://10.13.32.11:80
		 revocation-check none
		 rsakeypair mytrustpoint1
		!
		crypto pki trustpoint sast2
		 enrollment url http://10.13.32.11:80
		 revocation-check none
		 rsakeypair sast2
		!
		!
		crypto pki certificate chain myra
		 certificate ca 01
		  308201F9 30820162 A0030201 02020101 300D0609 2A864886 F70D0101 04050030
		  10310E30 0C060355 04031305 696F7372 61301E17 0D303630 37303730 35343031
		  375A170D 30393037 30363035 34303137 5A301031 0E300C06 03550403 1305696F
		  73726130 819F300D 06092A86 4886F70D 01010105 0003818D 00308189 02818100
		  D8CE29F9 C9FDB1DD 0E1517E3 6CB4AAF7 52B83DE2 1C017ACA DFC4AF42 F9D10D08
		  E74BF95B 29378902 B49E32C4 85907384 84CAE4B2 7759BB84 8AB1F578 580793C4
		 B11A2DBE B2ED02CC DA0C3824 A5FCC377 18CE87EA C0C297BA BE54530F E62247D8
		  1483CD14 9FD89EFE 05DFBB37 E03FD3F8 B2B1C0B8 A1931BCC B1174A9E 6566F8F5
		  02030100 01A36330 61300F06 03551D13 0101FF04 05300301 01FF300E 0603551D
		  0F0101FF 04040302 0186301F 0603551D 23041830 168014B7 16F6FD67 29666C90
		  D0C62515 E14265A9 EB256230 1D060355 1D0E0416 0414B716 F6FD6729 666C90D0
		  C62515E1 4265A9EB 2562300D 06092A86 4886F70D 01010405 00038181 002B7F41
		  64535A66 D20D888E 661B9584 5E3A28DF 4E5A95B9 97E57CAE B07A7C38 7F3B60EE
		  75C7E5DE 6DF19B06 5F755FB5 190BABFC EF272CEF 865FE01B 1CE80F98 F320A569
		  CAFFA5D9 3DB3E7D8 8A86C66C F227FF81 6C4449F2 AF8015D9 8129C909 81AFDC01
		  180B61E8 85E19873 96DB3AE3 E6B70726 9BF93521 CA2FA906 99194ECA 8F
		  quit
		crypto pki certificate chain mytrustpoint1
		 certificate 02
		  308201AB 30820114 A0030201 02020102 300D0609 2A864886 F70D0101 04050030
		  10310E30 0C060355 04031305 696F7372 61301E17 0D303630 37303730 35343233
		 385A170D 30393037 30363035 34303137 5A301A31 18301606 092A8648 86F70D01
		  09021609 32383531 2D434D45 32305C30 0D06092A 864886F7 0D010101 0500034B
		  00304802 4100B3ED A902646C 3851B7F6 CF94887F 0EC437E3 3B6FEDB2 2B4B45A6
		  3611C243 5A0759EA 1E8D96D1 60ABE028 ED6A3F2A E95DCE45 BE0921AF 82E53E57
		  17CC12F0 C1270203 010001A3 4F304D30 0B060355 1D0F0404 030205A0 301F0603
		  551D2304 18301680 14B716F6 FD672966 6C90D0C6 2515E142 65A9EB25 62301D06
		  03551D0E 04160414 4EE1943C EA817A9E 7010D5B8 0467E9B0 6BA76746 300D0609
		  2A864886 F70D0101 04050003 81810003 564A6DA1 868B2669 7C096F9A 41173CFC
		  E49246EE C645E30B A0753E3B E1A265D1 6EA5A829 F10CD0E8 3F2E3AD4 39D8DFE8
		  83525F2B D19F5E15 F27D6262 62852D1F 43629B68 86D91B5F 7B2E2C25 3BD2CCC3
		  00EF4028 714339B2 6A7E0B2F 131D2D9E 0BE08853 5CCAE47C 4F74953C 19305A20
		  B2C97808 D6E01351 48366421 A1D407
		  quit
		 certificate ca 01
		  308201F9 30820162 A0030201 02020101 300D0609 2A864886 F70D0101 04050030
		  10310E30 0C060355 04031305 696F7372 61301E17 0D303630 37303730 35343031
		  375A170D 30393037 30363035 34303137 5A301031 0E300C06 03550403 1305696F
		  73726130 819F300D 06092A86 4886F70D 01010105 0003818D 00308189 02818100
		  D8CE29F9 C9FDB1DD 0E1517E3 6CB4AAF7 52B83DE2 1C017ACA DFC4AF42 F9D10D08
		  E74BF95B 29378902 B49E32C4 85907384 84CAE4B2 7759BB84 8AB1F578 580793C4
		  B11A2DBE B2ED02CC DA0C3824 A5FCC377 18CE87EA C0C297BA BE54530F E62247D8
		  1483CD14 9FD89EFE 05DFBB37 E03FD3F8 B2B1C0B8 A1931BCC B1174A9E 6566F8F5
		  02030100 01A36330 61300F06 03551D13 0101FF04 05300301 01FF300E 0603551D
		  0F0101FF 04040302 0186301F 0603551D 23041830 168014B7 16F6FD67 29666C90
		  D0C62515 E14265A9 EB256230 1D060355 1D0E0416 0414B716 F6FD6729 666C90D0
		  C62515E1 4265A9EB 2562300D 06092A86 4886F70D 01010405 00038181 002B7F41
		  64535A66 D20D888E 661B9584 5E3A28DF 4E5A95B9 97E57CAE B07A7C38 7F3B60EE
		  75C7E5DE 6DF19B06 5F755FB5 190BABFC EF272CEF 865FE01B 1CE80F98 F320A569
		  CAFFA5D9 3DB3E7D8 8A86C66C F227FF81 6C4449F2 AF8015D9 8129C909 81AFDC01
		  180B61E8 85E19873 96DB3AE3 E6B70726 9BF93521 CA2FA906 99194ECA 8F
		  quit
		crypto pki certificate chain sast2
		 certificate 03
		  308201AB 30820114 A0030201 02020103 300D0609 2A864886 F70D0101 04050030
		  10310E30 0C060355 04031305 696F7372 61301E17 0D303630 37303730 35343331
		  375A170D 30393037 30363035 34303137 5A301A31 18301606 092A8648 86F70D01
		  09021609 32383531 2D434D45 32305C30 0D06092A 864886F7 0D010101 0500034B
		  00304802 4100C703 840B11A7 81FCE5AE A14FE593 5114D3C2 5473F488 B8FB4CC5
		  41EAFA3A D99381D8 21AE6AA9 BA83A84E 9DF3E8C6 54978787 5EF6CC35 C334D55E
		  A3051372 17D30203 010001A3 4F304D30 0B060355 1D0F0404 030205A0 301F0603
		  551D2304 18301680 14B716F6 FD672966 6C90D0C6 2515E142 65A9EB25 62301D06
		  03551D0E 04160414 EB2146B4 EE24AA61 8B5D2F8D 2AD3B786 CBADC8F2 300D0609
		  2A864886 F70D0101 04050003 81810057 BA0053E9 8FD54B25 72D85A4C CAB47F26
		  8316F494 E94DFFB9 8E9D065C 9748465C F54719CA C7724F50 67FBCAFF BC332109
		  DC2FB93D 5AD86583 EDC3E648 39274CE8 D4A5F002 5F21ED3C 6D524AB7 7F5B1876
		  51867027 9BD2FFED 06984558 C903064E 5552015F 289BA9BB 308D327A DFE0A3B9
		  78CF2B02 2DD4C208 80CDC0A8 43A26A
		  quit
		 certificate ca 01
		  308201F9 30820162 A0030201 02020101 300D0609 2A864886 F70D0101 04050030
		  10310E30 0C060355 04031305 696F7372 61301E17 0D303630 37303730 35343031
		  375A170D 30393037 30363035 34303137 5A301031 0E300C06 03550403 1305696F
		  73726130 819F300D 06092A86 4886F70D 01010105 0003818D 00308189 02818100
		  D8CE29F9 C9FDB1DD 0E1517E3 6CB4AAF7 52B83DE2 1C017ACA DFC4AF42 F9D10D08
		  E74BF95B 29378902 B49E32C4 85907384 84CAE4B2 7759BB84 8AB1F578 580793C4
		  B11A2DBE B2ED02CC DA0C3824 A5FCC377 18CE87EA C0C297BA BE54530F E62247D8
		  1483CD14 9FD89EFE 05DFBB37 E03FD3F8 B2B1C0B8 A1931BCC B1174A9E 6566F8F5
		  02030100 01A36330 61300F06 03551D13 0101FF04 05300301 01FF300E 0603551D
		  0F0101FF 04040302 0186301F 0603551D 23041830 168014B7 16F6FD67 29666C90
		  D0C62515 E14265A9 EB256230 1D060355 1D0E0416 0414B716 F6FD6729 666C90D0
		  C62515E1 4265A9EB 2562300D 06092A86 4886F70D 01010405 00038181 002B7F41
		  64535A66 D20D888E 661B9584 5E3A28DF 4E5A95B9 97E57CAE B07A7C38 7F3B60EE
		  75C7E5DE 6DF19B06 5F755FB5 190BABFC EF272CEF 865FE01B 1CE80F98 F320A569
		  CAFFA5D9 3DB3E7D8 8A86C66C F227FF81 6C4449F2 AF8015D9 8129C909 81AFDC01
		  180B61E8 85E19873 96DB3AE3 E6B70726 9BF93521 CA2FA906 99194ECA 8F
		  quit
		!
		!
		username admin password 0 mypassword2
		username cisco password 0 mypassword2
		!
		!
		controller E1 1/0
		 pri-group timeslots 1-31
		!
		controller E1 1/1
		 pri-group timeslots 1-31
		gw-accounting aaa
		!
		!
		!
		!
		!
		interface GigabitEthernet0/0
		 ip address 10.13.32.11 255.255.255.0
		 duplex auto
		 speed auto
		 fair-queue 64 256 32
		 h323-gateway voip interface
		 h323-gateway voip id GK1 ipaddr 10.13.32.13 1719
		 h323-gateway voip id GK2 ipaddr 10.13.32.16 1719
		 h323-gateway voip h323-id 2851-CiscoUnifiedCME
		 h323-gateway voip tech-prefix 1#
		 ip rsvp bandwidth 1000 100
		!
		interface GigabitEthernet0/1
		 no ip address
		 shutdown
		 duplex auto
		 speed auto
		!
		interface Serial1/0:15
		 no ip address
		 encapsulation hdlc
		 isdn switch-type primary-net5
		 isdn protocol-emulate network
		 isdn incoming-voice voice
		 no cdp enable
		!
		interface Serial1/1:15
		 no ip address
		 encapsulation hdlc
		 isdn switch-type primary-net5
		 isdn protocol-emulate network
		 isdn incoming-voice voice
		 no cdp enable
		!
		ip route 0.0.0.0 0.0.0.0 10.13.32.1
		!
		!
		ip http server
		ip http authentication local
		no ip http secure-server
		ip http path flash:
		!
		!
		!
		!
		!
		!
		tftp-server flash:music-on-hold.au
		tftp-server flash:TERM70.DEFAULT.loads
		tftp-server flash:TERM71.DEFAULT.loads
		tftp-server flash:P00308000300.bin
		tftp-server flash:P00308000300.loads
		tftp-server flash:P00308000300.sb2
		tftp-server flash:P00308000300.sbn
		tftp-server flash:SCCP70.8-0-3S.loads
		tftp-server flash:cvm70sccp.8-0-2-25.sbn
		tftp-server flash:apps70.1-1-2-26.sbn
		tftp-server flash:dsp70.1-1-2-26.sbn
		tftp-server flash:cnu70.3-1-2-26.sbn
		tftp-server flash:jar70sccp.8-0-2-25.sbn
		radius-server host 10.13.32.241 auth-port 1645 acct-port 1646
		radius-server timeout 40
		radius-server deadtime 2
		radius-server key cisco
		radius-server vsa send accounting
		!
		control-plane
		!
		no call rsvp-sync
		!
		!
		voice-port 1/0/0
		!
		voice-port 1/0/1
		!
		voice-port 1/0:15
		!
		voice-port 1/1:15
		!
		!
		!
		!
		!
		dial-peer voice 1 voip
		 destination-pattern ........
		 voice-class codec 2
		 session target ras
		 incoming called-number 9362....
		 dtmf-relay h245-alphanumeric
		 req-qos controlled-load audio
		!
		dial-peer voice 2 pots
		 destination-pattern 93621101
		!
		dial-peer voice 3 pots
		 destination-pattern 93621102
		!
		dial-peer voice 10 voip
		 destination-pattern 2668....
		 voice-class codec 1
		 session target ipv4:10.13.46.200
		!
		dial-peer voice 101 voip
		 shutdown
		 destination-pattern 5694....
		 voice-class codec 1
		 session target ipv4:10.13.32.10
		 incoming called-number 9362....
		!
		dial-peer voice 102 voip
		 shutdown
		 destination-pattern 2558....
		 voice-class codec 1
		 session target ipv4:10.13.32.12
		 incoming called-number 9362....
		!
		dial-peer voice 103 voip
		 shutdown
		 destination-pattern 9845....
		 voice-class codec 1
		 session target ipv4:10.13.32.14
		 incoming called-number 9362....
		!
		dial-peer voice 104 voip
		 shutdown
		 destination-pattern 9844....
		 voice-class codec 1
		 session target ipv4:10.13.32.15
		 incoming called-number 9362....
		!
		dial-peer voice 201 pots
		 destination-pattern 93625...
		 no digit-strip
		 direct-inward-dial
		 port 1/0:15
		!
		dial-peer voice 202 pots
		 destination-pattern 93625...
		 no digit-strip
		 direct-inward-dial
		 port 1/1:15
		!
		!
		gateway
		 timer receive-rtp 1200
		!
		!
		!
		telephony-service
		 load 7960-7940 P00308000300
		 max-ephones 4
		 max-dn 4
		 ip source-address 10.13.32.11 port 2000
		 auto assign 1 to 4
		 secure-signaling trustpoint mytrustpoint1
		 cnf-file location flash:
		 cnf-file perphone
		 voicemail 25589000
		 max-conferences 4 gain -6
		call-forward pattern .T
		 moh flash:music-on-hold.au
		 web admin system name admin password mypassword2
		 dn-webedit
		 time-webedit
		 transfer-system full-consult
		 transfer-pattern ........
		 tftp-server-credentials trustpoint mytrustpoint1
		 server-security-mode secure
		 device-security-mode encrypted
		 create cnf-files version-stamp 7960 Oct 25 2006 07:19:39
		!
		!
		ephone-dn  1
		 number 93621000
		 name 2851-PH1
		 call-forward noan 25581101 timeout 10
		!
		!
		ephone-dn  2
		 number 93621001
		 name 2851-PH2
		 call-forward noan 98441000 timeout 10
		!
		!
		ephone-dn  3
		 number 93621002
		 name 2851-PH3
		!
		!
		ephone-dn  4
		 number 93621003
		 name 2851-PH4
		!
		!
		ephone  1
	        capf-ip-in-cnf
               no multicast-moh
		 device-security-mode encrypted
		 mac-address 0012.4302.A7CC
		 type 7970
		 button  1:1
		!
		!
		!
		ephone  2
               capf-ip-in-cnf
		 no multicast-moh
		 device-security-mode encrypted
		 mac-address 0017.94CA.9CCD
		 type 7960
		 button  1:2
		!
		!
		!
		ephone  3
               capf-ip-in-cnf
		 no multicast-moh
		 device-security-mode encrypted
		 mac-address 0017.94CA.9833
		 type 7960
		 button  1:3
		!
		!
		!
		ephone  4
               capf-ip-in-cnf
		 no multicast-moh
		 device-security-mode none
		 mac-address 0017.94CA.A141
		 type 7960
		 button  1:4
		!
		!
		!
		line con 0
		 logging synchronous level all limit 20480000
		line aux 0
		line vty 0 4
		!
		scheduler allocate 20000 1000
		ntp clock-period 17179791
		ntp server 10.13.32.12
		!
		webvpn context Default_context
		 ssl authenticate verify all
		 !
		 no inservice
		!
		!
		end

Cisco Unified CME の HTTPS サポートの設定例

Cisco Unified CME のローカルディレクトリ検索、My Phone Apps、Extension Mobility などのサービスに対する HTTPS サポートを 4 つの異なるレベルで設定するには、次の例のような設定が必要です。

Router(config)# ip http server
Router(config)# crypto pki server IOS-CA
Router(cs-server)# database level complete
Router(cs-server)# database url flash:
Router(cs-server)# grant auto
Router(cs-server)# exit
Router(config)# crypto pki trustpoint IOS-CA
Router(ca-trustpoint)# enrollment url http://10.1.1.1:80
Router(ca-trustpoint)# exit
Router(config)# crypto pki server IOS-CA
Router(cs-server)# no shutdown
Router(cs-server)# exit
Router(config)# crypto pki trustpoint primary-cme
Router(ca-trustpoint)# enrollment url http://10.1.1.1.80
Router(ca-trustpoint)# revocation-check none
Router(ca-trustpoint)# rsakeypair primary-cme
Router(ca-trustpoint)# exit
Router(config)# crypto pki authenticate primary-cme
Router(config)# crypto pki enroll primary-cme
Router(config)# crypto pki trustpoint sast-secondary
Router(ca-trustpoint)# enrollment url http://10.1.1.1:80
Router(ca-trustpoint)# revocation-check none
Router(ca-trustpoint)# rsakeypair sast-secondary
Router(ca-trustpoint)# exit
Router(config)# crypto pki authenticate sast-secondary
Router(config)# crypto pki enroll sast-secondary
Router(config)# ctl-client
Router(config-ctl-client)# sast1 trustpoint first-sast
Router(config-ctl-client)# sast2 trustpoint second-sast
Router(config-ctl-client)# server application 10.1.2.3 trustpoint first-sast
Router(config-ctl-client)# regenerate
Router(config-ctl-client)# end

グローバルレベルの Cisco Unified SCCP IP Phone の場合:

configure terminal
telephony-service
     cnf-file perphone
     service https 

ephone-template レベルの Cisco Unified SCCP IP Phone の場合:

configure terminal
ephone-template 1
     service https 

グローバル レベルの Cisco Unified SIP IP Phone の場合:

configure terminal
voice register global
     サービス https 

音声レジスタ テンプレート レベルの Cisco Unified SIP IP Phone の場合:

configure terminal
voice register template 1
    サービス https 

次に進む場所

PKI 管理

Cisco IOS 公開キー インフラストラクチャ(PKI)は、IP セキュリティ(IPsec)、セキュアシェル(SSH)、セキュアソケット レイヤー(SSL)などのセキュリティプロトコルをサポートする証明書管理を提供します。

Cisco VG224 Analog Phone Gateway

セキュリティに関する機能情報

次の表は、このモジュールで説明されている機能に関するリリース情報を示しています。 この表には、特定のソフトウェア リリース トレインで特定の機能のサポートを導入したソフトウェア リリースのみが記載されています。 特に明記されていない限り、そのソフトウェア リリース トレインの後続リリースでもその機能がサポートされます。

Cisco Feature Navigator を使用して、プラットフォームのサポートと Cisco ソフトウェア イメージのサポートに関する情報を検索します。 Cisco Feature Navigator にアクセスするには、https://cfnng.cisco.com/に進みます。 Cisco.com のアカウントは必要ありません。
表 3. セキュリティに関する機能情報

機能名

Cisco Unified CME バージョン

機能情報

統合 CME パスワードポリシー

12.6

Unified CME におけるパスワードポリシーの適用を導入しました

Cisco Unified CME での HTTPS サポート

9.5

Cisco Unified CME に HTTPS サポートを導入しました。

Cisco Unified IP 電話向け HTTPS プロビジョニング

8.8

import certificate コマンドを使用して、IP 電話の信頼できる証明書を IP 電話の CTL ファイルにインポートできます。

Cisco Unified CME でのメディア暗号化(SRTP)

4.2

Cisco Unified CME にメディア暗号化を導入します。

電話認証

4.0

Cisco Unified CME 電話機の電話認証を導入します。