Cisco Unified SRST 管理ガイド（全バージョン）

セキュア SCCP および SIP SRST の機能情報

「Cisco SRST を使用したセキュア SIP コールシグナリングおよび SRTP メディアの機能情報」表に、この機能のリリース履歴がリストされています。

すべてのコマンドが Cisco IOS ソフトウェアリリースで使用できるわけではありません。特定のコマンドのリリース情報については、コマンドリファレンスドキュメントを参照してください。

Cisco Feature Navigator を使用して、プラットフォームのサポートとソフトウェアイメージのサポートに関する情報を検索します。 Cisco Feature Navigator を使用すると、特定のソフトウェアリリース、機能セット、またはプラットフォームをサポートする Cisco IOS および Catalyst OS ソフトウェアイメージを判別できます。 Cisco Feature Navigator にアクセスするには、 http://www.cisco.com/go/cfn にアクセスしてください。 Cisco.com のアカウントは必要ありません。

（注）

Cisco SRST を使用したセキュア SIP コールシグナリングおよび SRTP メディアの機能情報表には、特定の Cisco IOS ソフトウェアリリーストレインで特定の機能のサポートを導入した Cisco IOS ソフトウェアリリースのみがリストされています。特に明記されていない限り、その Cisco IOS ソフトウェアリリーストレインの後続リリースでもその機能がサポートされます。


機能名	リリース	機能情報
従来の TLS および関連する弱い暗号の使用に関するセキュリティ警告	Cisco IOS XE 17.18.2	SRST は、従来の TLS (v1.0、v 1.1) および関連する弱い暗号を使用した構成に対して警告メッセージを表示します。
TLS バージョン 1.3 によるセキュア SIP のサポート	Cisco IOS XE 17.14.1a	セキュア SRST に次のサポートが導入されました。セキュア SIP SRST およびセキュア SCCP SRST は、TLS バージョン 1.3 および関連する暗号スイートをサポートするようになりました。セキュア SIP SRST は、TLS バージョン 1.2 のみでの構成をサポートします。 minimum セキュア SCCP SRST は、TLS バージョン 1.3 で SHA2 暗号をサポートするように強化されました。
Unified Secure SRST の SHA2 暗号のみのモード	Cisco IOS XE Cupertino 17.8.1a	セキュア SIP SRST およびセキュア SCCP SRST を TLS 1.2 暗号スイートのみを使用するように制限します。
Unified Secure SRST の SIP OAuth クライアント登録	Cisco IOS XE Cupertino 17.8.1a	Secure SRST の SIP OAuth 認証のサポートが導入されました。
Cisco SRST による SIP コールシグナリングと SRTP メディアのセキュリティ確保	15.0(1)XA	安全な通話シグナリングのためのセッション開始プロトコル/トランスポート層セキュリティ/伝送制御プロトコル (SIP/TLS/TCP) のサポートと、メディア暗号化のためのセキュアリアルタイムトランスポートプロトコル (SRTP) のサポートを追加し、Cisco Unified Survivable Remote Site Telephony (Cisco SRST) を使用して、Cisco Unified IP Phone とフェールオーバーデバイス間の安全で暗号化された接続を確立します。次のコマンドが導入または変更されました: security-policy、show voice register global、show voice register all。

セキュア SRST を設定するための前提条件

全般

セキュア SCCP および SIP SRST でサポートされるセキュア Cisco Unified IP Phone には、証明局 (CA) またはサードパーティの証明書がインストールされ、暗号化が有効になっている必要があります。 CA サーバー認証の詳細については、「Secure Cisco Unified SRST ルーターを CA サーバーに自動登録して認証する」を参照してください。
SRST ルーターには証明書が必要です。証明書は、サードパーティまたは Cisco IOS 証明機関 (CA) によって生成できます。 Cisco IOS CA は、Cisco Unified SRST と同じゲートウェイで実行できます。 TLS チャネル (ポート 2445) を介して、Unified SRST ルーターと Cisco Unified Communications Manager の間で自動証明書交換が行われます。ただし、Unified Communications Manager 経由で Unified SRST に電話証明書を交換するには、Unified SRST ルーターで手動でダウンロードする必要があります。
Cisco Unified Communications Manager 上の証明書信頼リスト (CTL) を有効にする必要があります。
Unified Secure SRST でサポートされる補足機能を有効にするには、voice service voip 設定モードで supplementary-service media-renegotiate コマンドを設定する必要があります。

セキュア SRST 上の公開鍵インフラストラクチャ

手動で、またはネットワークタイムプロトコル (NTP) を使用して時計を設定します。クロックを設定すると、Cisco Unified Communications Manager との同期が確保されます。
まだ有効になっていない場合は、 ip http server コマンドを使用して IP HTTP サーバー（Cisco IOS プロセッサ）を有効にします。公開キーインフラストラクチャ (PKI) の導入の詳細については、 Cisco IOS 証明書サーバー機能を参照してください。
証明書サーバーがスタートアップ構成の一部である場合、ブート手順中に次のメッセージが表示されることがあります。

% Failed to find Certificate Server's trustpoint at startup % Failed to find Certificate Server's cert.

これらのメッセージは情報メッセージであり、スタートアップコンフィギュレーションがまだ完全に解析されていないため、証明書サーバーを一時的に構成できないことを示します。スタートアップ構成が破損している場合、これらのメッセージはデバッグに役立ちます。

show crypto pki server コマンドを使用して、ブート手順後に証明書サーバーのステータスを確認できます。

サポートされている Cisco Unified IP Phone、プラットフォーム、およびメモリ要件

サポートされている Cisco Unified IP Phone、ルーター、ネットワークモジュールおよびセキュアな SRST のコーデックの一覧については、「Cisco Unified Survivable Remote Site Telephony の互換性に関する情報」機能を参照してください。
Cisco Unified IP Phone の最大数、ディレクトリ番号（DN）または仮想音声ポートの最大数、およびメモリ要件に関する最新情報については、「 Cisco Unified SRST 12.3 でサポートされているファームウェア、プラットフォーム、メモリ、および音声製品」機能を参照してください。

セキュア SRST の設定に関する制限

全般

暗号化ソフトウェア機能 (「k9」) は輸出規制の対象となります。この製品には、輸入、輸出、譲渡、使用を規制する米国またはその他の国の法律の対象となる暗号化機能が含まれています。 Cisco 暗号化製品の配信は、暗号化をインポート、エクスポート、配布、または使用するサードパーティの権限を意味するものではありません。輸入業者、輸出業者、販売業者、およびユーザーは、米国および現地の国の法律を遵守する責任を負います。本製品を使用するにあたっては、関係法令の順守に同意したものと見なされます。米国および現地の法律を遵守できない場合は、直ちに本製品を返品してください。

Cisco 暗号化製品に適用される米国の法律の概要については、http://www.cisco.com/wwl/export/crypto/tool/ の URL を参照してください。

さらにサポートが必要な場合は、export@cisco.com までメールでお問い合わせください。
Cisco Unified IP Phone エンドポイント間、または Cisco Unified IP Phone からゲートウェイエンドポイントへの Secure Real-Time Transport Protocol（SRTP）暗号化通話が行われると、IP 電話にロックアイコンが表示されます。ロックは、通話の IP レッグのみのセキュリティを示します。 PSTN レッグのセキュリティは暗示されません。

SCCP SRST

セキュア SCCP SRST は、単一のルーターの範囲内でのみサポートされます。
Cisco 4000 シリーズサービス統合型ルーターは、Unified SRST 12.3 以降のリリースでのみセキュア SCCP SRST をサポートします。 Unified SRST 12.3 リリースでのセキュア SCCP サポートの場合:
- セキュアな Cisco Jabber はサポートされていません。
- SRTP パススルーはサポートされていません。
- SDP パススルーはサポートされていません。
- ビデオコールはサポートされていません。
- トランスコーディングはサポートされていません。
- ハードウェア会議はサポートされていません (ソフトウェア会議のみがサポートされます)。
- セキュアマルチキャスト MOH はサポートされていません (マルチキャスト MOH はアクティブのままですが、セキュアではありません)。
- ライブ MOH はサポートされていません。
- セキュア H.323 はサポートされていません。
- ホットスタンバイルーティングプロトコル (HSRP) はサポートされていません。
- T.38 FAX リレーおよびモデムリレーは、Unified Secure SRST ではサポートされていません。
Unified SRST 12.3 リリースの一部として導入された音声ゲートウェイでの通話サポートの場合:
- スピードダイヤルはサポートされていません。
- 純粋な SCCP 共有回線の場合、アナログ電話からの保留とリモート再開はサポートされません。
- フルブラインド転送モード (CLI コマンド transfer-system full-blind で設定) はサポートされていません。
- Unified Secure SRST に SCCP エンドポイントとして登録された 2 つのアナログ音声ゲートウェイ (VG A と VG B) 間の通話について考えます。 VG B エンドポイント (SCCP 電話の場合もあります) からの通話がすでに保留中の場合、VG A (アナログ音声ゲートウェイである必要があります) は同じ通話を保留にできません (二重保留)。詳細については、 CSCvi15203 を参照してください。
- 3 者間ソフトウェア会議に関連する動作と制限については、「 Three-way Software Conferencing for Secure SCCP、Unified SRST Release 12.3」を参照してください。

SIP SRST

Cisco 4000 シリーズサービス統合型ルーターは、Unified SRST 12.1 以降のリリースでのみセキュア SIP SRST をサポートします。
SRTP パススルーはサポートされていません。
SDP パススルーはサポートされていません。
ビデオコールはサポートされていません。
トランスコーディングはサポートされていません。
ハードウェア会議はサポートされていません (BIB 会議のみがサポートされています)。
音声レジスタグローバル設定モードで、security-policy secure を設定することが必須です。セキュリティポリシーセキュアが設定されている場合、非セキュアエンドポイントは登録できません。したがって、安全なエンドポイントと安全でないエンドポイントを混在させて展開することはできません。

セキュア SRST の利点

リモートサイトに配置され、ゲートウェイルーターに接続している安全な Cisco Unified IP Phone は、WAN を使用して Cisco Unified Communications Manager と安全に通信できます。ただし、WAN リンクまたは Cisco Unified Communications Manager が停止すると、リモート電話機を介したすべての通信が非セキュアになります。この状況を克服するために、ゲートウェイルーターは、WAN リンクまたは Cisco Unified Communications Manager がダウンしたときにアクティブになるセキュア SRST モードで機能できるようになりました。 WAN リンクまたは Cisco Unified Communications Manager が復元されると、Cisco Unified Communications Manager はセキュアなコール処理機能を再開します。

Secure SRST は、認証、整合性、メディア暗号化などの新しい Cisco Unified SRST セキュリティ機能を提供します。認証は、一方の当事者に対して、もう一方の当事者が主張するとおりの人物であることを保証します。整合性は、特定のデータがエンティティ間で変更されていないことを保証します。暗号化は機密性を意味します。つまり、意図した受信者以外は誰もデータを読み取ることができません。これらのセキュリティ機能により、Cisco Unified SRST 音声通話のプライバシーが確保され、音声セキュリティ違反や個人情報の盗難から保護されます。

SRST セキュリティは、次の場合に実現されます。

エンドデバイスは証明書を使用して認証されます。
シグナリングは、TCP のトランスポート層セキュリティ (TLS) を使用して認証および暗号化されます。
安全なメディアパスは、Secure Real-Time Transport Protocol (SRTP) を使用して暗号化されます。
証明書は CA によって生成され、配布されます。

セキュア SIP SRST サポート

Unified SRST リリース 12.1 のセキュア SIP SRST 機能の一部として、バージョン 1.2 までのトランスポート層セキュリティプロトコル (TLS) を使用した通話がサポートされます。また、Unified SRST リリース 12.1 の一部として TLS 1.2 の排他性をサポートします。

Cisco Unified SRST 14.4 リリース (Cisco IOS XE 17.14.1a) 以降、SRST セキュリティ機能は TLS バージョン 1.3 および関連する暗号をサポートしています。

（注）

セキュリティやコンプライアンスを確保するために、可能な限り TLS バージョン 1.2 または 1.3 を使用することをお勧めします。

SIP SRST は次の機能をサポートします。

TLS 排他機能では、構成された TLS バージョン (1.0 または 1.1 または 1.2 または 1.3) のみが有効になります。
デフォルトのフォームは、すべての TLS バージョン 1.3、1.2、および 1.1 をサポートします。ただし、TLS バージョン 1.0 を構成するには、TLS バージョンを明示的に指定する必要があります。

sip-ua 設定モードでは、SIP SRST は最小 TLS バージョン機能をサポートします。最小 TLS バージョンは TLS バージョン 1.2 でのみ設定できます。これは、ピアとの TLS バージョン 1.2 と 1.3 の両方の暗号ネゴシエーションをサポートします。

（注）

機能設定については、「 Unified SRST のシグナリングセキュリティ - TLS」を参照してください。

サポートされている TLS 暗号スイートのリストについては、「TLS 暗号スイート」を参照してください。

（注）

Cisco IP 電話 7800 シリーズおよび Cisco IP 電話 8800 シリーズは、Cisco 4000 統合サービスルーターで構成された Unified Secure SIP SRST Release 12.1 でサポートされます。

Cisco 4000 シリーズ統合サービスルーターでセキュア SIP SRST をサポートするには、ルーターで次のテクノロジーパッケージライセンスを有効にする必要があります。

security
uck9

Unified SRST 12.2 以前のリリースでは、セキュア SIP SRST 用の Cisco 4000 サービス統合型ルーターでは SIP 電話のみがサポートされます。 Unified SRST 12.3 以降のリリースでは、Cisco 4000 サービス統合型ルーターでの SIP 電話と SCCP 電話の混合導入がサポートされています。

Unified Secure SRST 向けのセキュア保留音 (SIP)

Unified SRST リリース 12.1 からは、Cisco 4000 シリーズサービス統合型ルーターのセキュア SIP SRST ソリューションの一部として、セキュア Music On Hold (MOH) のサポートが導入されました。保留中のセキュア SIP 通話では、Flash ベースの G.729 および G.711 コーデック形式の MOH ファイルの再生がサポートされます。ライブ MOH およびトランスコードされた MOH は、セキュア MOH 機能のサポートの一部としてサポートされていません。

（注）

CLI コマンド srtp pass-thru がダイヤルピア音声設定モードで設定されている場合、セキュア MOH は機能しません。

セキュア SCCP SRST サポート

Unified SRST リリース 12.3 のセキュア SCCP SRST 機能の一部として、バージョン 1.2 までのトランスポート層セキュリティプロトコル (TLS) を使用した通話がサポートされます。また、TLS 1.2 の排他性は、Unified SRST リリース 12.3 の一部としてサポートされています。 Unified SRST リリース 12.3 でセキュア SCCP に導入された TLS プロトコルサポートの詳細については、「 SRST ルーターと TLS プロトコル」を参照してください。

Cisco Unified SRST 14.4 リリース (Cisco IOS XE 17.14.1a) 以降では、セキュア SRST セキュリティ機能が強化され、TLS バージョン 1.3 および関連する暗号がサポートされるようになりました。 SCCP SRST は、TLS の排他性とデフォルト形式の機能をサポートします。

（注）

セキュリティやコンプライアンスを確保するために、可能な限り TLS バージョン 1.2 または 1.3 を使用することをお勧めします。

SCCP SRST は次の機能をサポートします。

TLS 排他機能では、設定されたバージョンの TLS (1.0 または 1.1 または 1.2 または 1.3) のみが有効になります。
デフォルトのフォームは、すべての TLS バージョン 1.3、1.2、および 1.1 をサポートします。ただし、TLS バージョン 1.0 を構成するには、TLS バージョンを明示的に指定する必要があります。

セキュア SCCP SRST は、TLS バージョン 1.2 および 1.3 の SHA2 暗号をサポートします。

（注）

機能設定については、「 Unified SRST のシグナリングセキュリティ - TLS」を参照してください。

サポートされている TLS 暗号スイートのリストについては、「TLS 暗号スイート」を参照してください。

アナログ音声ゲートウェイ向けセキュア SCCP SRST

Cisco 4000 シリーズサービス統合型ルーターおよび Catalyst 8000 シリーズ上の Unified SRST 12.3 以降のリリース向け。次の音声ゲートウェイにセキュア SCCP サポートが導入されました。

Cisco VG202 アナログ音声ゲートウェイ
Cisco VG202XM アナログ音声ゲートウェイ
Cisco VG204 アナログ音声ゲートウェイ
Cisco VG204XM アナログ音声ゲートウェイ
Cisco VG224 アナログ音声ゲートウェイ
Cisco VG300 シリーズゲートウェイ (VG310、VG320、VG350)

Unified SRST リリース 12.3 のセキュア SCCP SRST 機能の一部として、トランスポートレイヤセキュリティ (TLS) プロトコルは、バージョン 1.2 までをサポートし、Cisco VG202XM アナログ音声ゲートウェイ、Cisco VG204XM アナログ音声ゲートウェイ、Cisco VG310 アナログ音声ゲートウェイ、および Cisco VG320 アナログ音声ゲートウェイでは TLS 1.2 のみがサポートされます。

（注）

上記の Cisco 2xx および 3xx アナログ音声ゲートウェイは、サポート終了または生産終了となっています。

Unified SRST リリース 14.4 (Cisco IOS XE 17.14.1a) では、Cisco 4461 統合サービスルーターシリーズおよび Catalyst 8000 シリーズ上で、STCAPP を使用する次の音声ゲートウェイに対して SCCP TLS v1.3 のサポートが導入されています。

Cisco VG400 アナログ音声ゲートウェイ
Cisco VG410 アナログ音声ゲートウェイ
Cisco VG420 アナログ音声ゲートウェイ
Cisco VG450 アナログ音声ゲートウェイ

SCCP TLS v1.3 は、Catalyst 8200、8300、および Cisco 4461 統合サービスルーターシリーズでサポートされています。

音声ゲートウェイの設定の詳細については、『Cisco IOS 音声ゲートウェイ設定ガイド』の「FXS ポートの補足サービス機能」を参照してください。

（注）

Cisco VG202 アナログ音声ゲートウェイ、Cisco VG204 アナログ音声ゲートウェイ、および Cisco VG224 アナログ音声ゲートウェイは、TLS バージョン 1.0 のみをサポートします。

（注）

Cisco 4000 サービス統合型ルーターでセキュア SCCP SRST をサポートするには、ルーターで次のテクノロジーパッケージライセンスを有効にする必要があります。

security
uck9

Cisco Unified IP Phone 6961 および Cisco Unified IP Phone 7962G は、Cisco 4000 サービス統合型ルーターで設定された Unified Secure SCCP SRST リリース 12.3 でサポートされます。また、Unified Secure SCCP SRST リリース 12.3 の一部として、アナログ音声ゲートウェイのアナログ電話もサポートします。音声ゲートウェイに導入されたサポートの詳細については、「アナログ音声ゲートウェイ向け Secure SCCP SRST」を参照してください。

Secure Unified SRST 向けのセキュア保留音 (SCCP)

Unified SRST リリース 12.3 からは、Cisco 4000 シリーズサービス統合型ルーターのセキュア SCCP SRST 機能の一部として、セキュア Music On Hold (MOH) のサポートが導入されました。保留中のセキュア SCCP コールでは、Flash ベースの G.729 および G.711 コーデック形式の MOH ファイルの再生がサポートされます。ライブ MOH およびトランスコードされた MOH は、セキュア MOH 機能のサポートの一部としてサポートされていません。また、マルチキャスト MOH は、Cisco Unified Communications Manager から Unified Secure SRST へのフォールバック時に非セキュアとしてサポートされます。

セキュア SCCP、Unified SRST リリース 12.3 向け 3 者間ソフトウェア会議

Unified SRST リリース 12.3 以降では、Cisco 4000 シリーズサービス統合型ルーターのセキュア SCCP エンドポイントで 3 者間ソフトウェア会議がサポートされます。 Unified SRST 12.3 リリースの 3 者間ソフトウェア会議の一部としてサポートされるオーディオコーデックは G.711 です。 Cisco アナログ音声ゲートウェイに登録されたセキュア SCCP 電話機およびセキュア SCCP エンドポイントに対するサポートが導入されました。

3 者間ソフトウェア会議は、純粋な SCCP 展開（SCCP エンドポイントのみを含む）と、セキュア SCCP 電話と SIP 電話の混合展開でサポートされます。 Cisco Unified IP Phone 7962、Cisco Unified IP Phone 6961、Cisco Unified IP Phone 7975 などの SCCP 電話機は、この展開の一部としてサポートされます。混合導入では、Cisco IP Phone 7800 シリーズと Cisco IP Phone 8800 シリーズ SIP 電話機がサポートされます。 3 者間ソフトウェア会議は、Unified Secure SRST の SIP および SCCP エンドポイントの TDM トランクでサポートされます。

サポートされる会議の最大数に制限を設定できます。 call-manager-fallback 設定モードで CLI コマンド max-conferences を設定して、サポートされる会議の最大数を設定します。コマンド max-conferences を使用してサポートされる会議の最大数を設定しない場合、制限はデフォルト値の 8 に設定されます。

Router(config-cm-fallback)#max-conferences ?
<1-16> Maximum conferences to support

Secure Unified SRST でサポートされる 3 者間ソフトウェア会議の場合:

安全な SCCP エンドポイントが会議を開始するか、SCCP エンドポイントが会議ホストである場合、会議が作成されます。 3 者間ソフトウェア会議は、Unified Secure SRST ルーターでホストされます。
安全な SIP エンドポイントが会議を開始すると、3 者間ソフトウェア会議が SIP 電話でホストされます。
会議主催者が通話を保留にすると、3 者間ソフトウェア会議の他の参加者には、主催者が通話を再開するまで保留音が聞こえます。マルチキャスト MOH は SCCP エンドポイントで再生されますが、ユニキャスト MOH は SIP エンドポイントで再生されます。
3 者間ソフトウェア会議のホストがアナログ音声ゲートウェイエンドポイントである場合、ホストは会議を保留にすることはできません。 3 者間ソフトウェア会議は、SCCP または SIP エンドポイントによってのみ保留にできます。
主催者の除く会議参加者が通話を保留にしても、3 者ソフトウェア会議の他の参加者は引き続き会話を続けることができます。
セキュア SCCP エンドポイントの Unified SRST での 3 者間ソフトウェア会議の場合、会議参加者は通話を転送できます。会議主催者は電話会議を転送できません。アラート転送中、他の 2 人の参加者はメディアの中断なしに会話を続けることができます。
会議カスケードは、Unified Secure SRST の 3 者間ソフトウェア会議ではサポートされません。
アナログ音声ゲートウェイエンドポイントによってホストされる 3 者間ソフトウェア会議を考えます。SCCP A と SCCP B がそれぞれ 2 番目と 3 番目の会議参加者です。 SCCP B が通話を保留にし、会議ホストがフックフラッシュ（続いて FAC）を使用して会議をコミットしようとするシナリオでは、SCCP B との通話は終了し、会議の試行は失敗します。
アナログ音声ゲートウェイに登録されたアナログ電話 (AP 1) がセキュア SCCP SRST に登録された SCCP 電話 (SCCP 1) に電話をかけるシナリオを考えます。 SCCP 1 を保留にした後、AP 1 は同じセキュア SRST に登録されている 3 番目の参加者である SCCP 電話 (SCCP 2) に電話をかけます。 3 者間ソフトウェア会議が確立されます。 SCCP 2 が電話機 (SIP 3/SCCP 3) へのアラート転送を試行し、応答がない場合、3 者間会議は失われ、AP 1 と SCCP 1 の間で 1 対 1 の通話になります。このシナリオでは、AP 1 が別の電話機 (SCCP 4) と 3 者間ソフトウェア会議を確立しようとする試みはサポートされません。

（注）

失敗したアラート転送が SCCP 1 によるものである場合、別の電話機との 3 者間ソフトウェア会議を確立するためのさらなる試みはサポートされます。

セキュア SRST (SCCP) の機能サポート、Unified SRST リリース 12.3

Cisco 4000 シリーズ統合サービスルーターの Secure SCCP SRST と Unified SRST リリース 12.3 の一環として導入されたアナログ音声ゲートウェイは、次の基本的かつ補足呼処理サポートを提供します。 Cisco Integrated Services Router Generation 2 における Unified SRST 12.3 以降のリリースの制約事項の一覧については、「セキュア SCCP SRST の設定に関する制約事項」を参照してください。

通話転送（話中、無応答、すべて）
通話の保留または再開
リダイヤル
セキュア MOH (Flash ベース)
スピードダイヤル（Cisco 4000 シリーズサービス統合型ルーターのセキュア SCCP 電話機のみ）
セキュリティで保護された 3 者間ソフトウェア会議
SIP トランク (セキュアおよび非セキュア)
TDM トランク
通話中手動転送 (アラート、相談、ブラインド)
共用回線（純粋な SCCP 間共用回線のみ）。混合共有回線はサポートされません。
ﾊｯｼﾝｼｬID
コール待機
メディアの無通信状態

アナログ FXS ポートでの FAX およびモデム通話用のアナログ音声ゲートウェイでは、次の機能がサポートされています。

Fax パススルー
モデムパススルー

セキュリティで保護されていない SRST 中の Cisco IP 電話 Clear-Text フォールバック

12.3(14)T より前のバージョンの Cisco Unified SRST では、セキュア接続をサポートできないか、セキュリティが有効になっていません。 SRST ルーターがフォールバックモードとして SRST を使用できない場合、つまり、Cisco Unified Communications Manager との TLS ハンドシェイクを完了できない場合、その証明書は Cisco IP Phone の設定ファイルに追加されません。 Cisco Unified SRST ルーターの証明書がない場合、Cisco Unified SRST フォールバックモードのときに、Cisco Unified IP Phone は非セキュア (クリアテキスト) 通信を使用します。クリアテキストモードで検出およびフォールバックする機能は、Cisco Unified IP Phone ファームウェアに組み込まれています。クリアテキストモードの詳細については、『 Cisco IOS MGCP ゲートウェイのメディアおよびシグナリング認証および暗号化機能』を参照してください。

SRST ルーターと TLS プロトコル

トランスポート層セキュリティ (TLS) は、Cisco Unified IP Phone、セキュアな Cisco Unified SRST ルーター、および Cisco Unified Communications Manager 間のセキュアな TCP チャネルを提供します。 TLS プロセスは、Cisco Unified IP Phone が Cisco Unified Communications Manager に登録するときに TLS 接続を確立することから始まります。 Cisco Unified Communications Manager が Cisco Unified SRST にフォールバックするように構成されていると仮定すると、Cisco Unified IP Phone とセキュアな Cisco Unified SRST ルーター間の TLS 接続も確立されます。 WAN リンクまたは Cisco Unified Communications Manager に障害が発生した場合、コール制御は Cisco Unified SRST ルーターに戻ります。

統合セキュア SIP および SCCP SRST の以前のリリースバージョン

Unified Secure SIP SRST リリース 12.1 以降では、TLS バージョン 1.2 までのトランスポート層セキュリティを使用した SIP 間通話のサポートが導入されています。 TLS 1.2 排他機能を設定するには、sip-ua 設定モードで transport tcp tls v1.2 コマンドを設定する必要があります。セキュア SIP SRST で TLS 1.2 の排他性を設定すると、それより低いバージョンの TLS (1.0、1.1) を使用する電話機による登録の試行はすべて拒否されます。

Unified SCCP SRST リリース 12.3 より前では、TLS 1.0 バージョンのみがサポートされます。 Unified Secure SCCP SRST リリース 12.3 以降のリリースでは、TLS バージョン 1.2 までのトランスポート層セキュリティのサポートが導入されています。 Unified Secure SCCP SRST に特定の TLS バージョンまたは TLS 1.2 排他性を設定するには、call-manager-fallback で transport-tcp-tls を設定する必要があります。バージョンを指定せずに transport-tcp-tls を構成すると、CLI コマンドのデフォルトの動作が有効になります。デフォルト形式では、この CLI コマンドではすべての TLS バージョン (TLS 1.0 を除く) がサポートされます。

SCCP エンドポイントの Cisco IOS XE Fuji リリース 16.9.1 で TLS 1.0 をサポートするには、具体的に以下を設定する必要があります。

call-manager-fallback 設定モードでの transport-tcp-tls v1.0 。

SIP および混合導入シナリオにおける Cisco IOS XE Fuji リリース 16.9.1 での TLS 1.0 サポートについては、具体的に以下を設定する必要があります。

sip-ua 設定モードでの transport-tcp-tls v1.0 。

Cisco IOS XE Fuji リリース 16.9.1 以降、Unified Secure SRST リリース 12.3 と Unified Communications Manager 間のセキュリティ証明書交換では TLS バージョン 1.0 がサポートされません。

TLS バージョン 1.2 をサポートしていないセキュア SIP およびセキュア SCCP エンドポイントの場合、エンドポイントを Unified Secure SRST 12.3 (Cisco IOS XE Fuji リリース 16.9.1) に登録するには、TLS 1.0 を設定する必要があります。これは、1.2 をサポートするエンドポイントでも 1.0 暗号スイートを使用する必要があることも意味します。

（注）

Unified Communications Manager リリース 11.5.1SU3 は、Unified Secure SRST リリース 12.3 (Cisco IOS XE Fuji リリース 16.9.1) とのセキュリティ証明書交換をサポートするために必要な最小バージョンです。

（注）

SCCP 電話機およびアナログ音声ゲートウェイ VG202、VG204、および VG224 は、TLS バージョン 1.0 のみをサポートします。 Unified Secure SRST 12.3 リリース以降では、Cisco アナログ音声ゲートウェイ VG202XM、VG204XM、VG310、および VG320 に対して TLS バージョン 1.1 および 1.2 をサポートします。

Unified Secure SCCP SRST リリース 12.3 以降のリリースでは、アナログ音声ゲートウェイは SCCP エンドポイントを TLS バージョン 1.2 まで (TLS 1.0、1.1、および 1.2) で登録できます。

VG2xx および VG3xx アナログ音声ゲートウェイシリーズは、製造終了またはサポート終了となっています。

統合セキュア SIP および SCCP SRST

Unified Secure SIP SRST リリース 14.4 (Cisco IOS XE 17.14.1a) から、TLS バージョン 1.3 および関連する暗号のサポートが導入されました。 TLS 排他機能では、構成された TLS バージョン (1.0 または 1.1 または 1.2 または 1.3) のみが有効になります。排他機能を設定するには、設定モードで transport tcp tls version コマンドを使用します。 sip-ua

sip-ua 設定モードでは、SIP SRST は TLS バージョン機能をサポートします。 minimum 最小 TLS バージョンは TLS バージョン 1.2 でのみ設定できます。これは、ピアとの TLS バージョン 1.2 と 1.3 の両方の暗号ネゴシエーションをサポートします。

安全な SCCP SRST に向けて、TLS バージョン 1.3 の SHA2 暗号サポートに加えて、TLS バージョン 1.3 のサポートが導入されました。

Unified Secure SCCP SRST の TLS バージョンの排他性を設定するには、transport-tcp-tls 設定モード call-manager-fallback コマンドを使用します。バージョンを指定せずに transport-tcp-tls を設定すると、CLI コマンドのデフォルトの動作が有効になります。デフォルトの形式では、すべての TLS バージョン 1.3、1.2、および 1.1 がサポートされています。ただし、TLS バージョン 1.0 を構成するには、TLS バージョンを明示的に指定する必要があります。

transport-tcp-tls コマンドの詳細については、『Cisco Unified SRST コマンドリファレンス（全バージョン）』を参照してください。

TLS バージョン 1.3 は、Cisco VG400、VG410、VG420、および VG450 アナログ音声ゲートウェイでサポートされています。ただし、TLS バージョン 1.3 は SCCP IP 電話エンドポイントではサポートされていません。

Unified SRST リリースのアナログ音声ゲートウェイで特定の TLS バージョンをサポートするには、 stcapp security tls-version コマンドを設定する必要があります。


enable
 configure terminal
 stcapp security tls-version v1.3
exit

--
VG(config)#stcapp security tls-version ?
  v1.0 Enable TLS Version 1.0
  v1.1 Enable TLS Version 1.1
  v1.2 Enable TLS Version 1.2
  v1.3 Enable TLS Version 1.3

Unified Secure SRST リリース 15.0 (Cisco IOS XE 17.18.2) リリース以降では、従来の TLS バージョン (v1.0、v1.1) および関連する弱い暗号を使用する SIP および SCCP SRST のハンドシェイクに対して警告メッセージが表示されます。これらの特定の設定では、弱いバージョンまたは暗号で完了したハンドシェイクのみを報告する syslog メッセージが 1 時間ごとに生成されます。


Rate limit log for SIP : 

%SIP-5-TLS_CONNECTION: TLS insecure handshake detected: version TLSv1.2 with cipher AES256-SHA for SIP connection. 
Please upgrade to TLS 1.2 or above with strong ciphers.
%SIP-5-TLS_CONNECTION: TLS insecure connection summary for last 1 hour: SIP connections: 1. 
Please upgrade to TLS 1.2 or above with strong ciphers for enhanced security.
 
 Rate limit log for SCCP : 
 
 %SIP-5-TLS_CONNECTION: TLS insecure handshake detected: version TLSv1.1 with cipher AES128-SHA for SCCP connection. 
 Please upgrade to TLS 1.2 or above with strong ciphers.
 %SIP-5-TLS_CONNECTION: TLS insecure connection summary for last 1 hour: SCCP connections: 1.  
 Please upgrade to TLS 1.2 or above with strong ciphers for enhanced security.

SIP SRST を sip-ua 設定モードで設定する

Unified Secure SIP SRST の場合、transport tcp tls コマンドを sip-ua 設定モードで次のように設定できます。

Device(config)# voice service voip
Device(conf-voi-serv)#sip-ua
Device(config-sip-ua)# transport tcp tls ?
v1.0 Enable TLS Version 1.0
v1.1 Enable TLS Version 1.1
v1.2 Enable TLS Version 1.2
v1.3 Enable TLS Version 1.3
<cr>              <cr>

TLS バージョン 1.2 および 1.3 を有効にするために、 transport tcp tls v1.2 minimum コマンドを設定できます。

Device(config)# voice service voip
Device(conf-voi-serv)#sip-ua
Device(config-sip-ua)# transport tcp tls
Device(config-sip-ua)# transport tcp tls v1.2 ?
minimum Enable TLS versions 1.2 and 1.3
<cr>              <cr>

Unified Secure SIP SRST リリース 15.0 (Cisco IOS XE 17.18.2) では、1.2 未満の TLS バージョンおよび関連する弱い暗号を使用する設定に対して、セキュリティ警告メッセージが表示されます。安全な構成のために、TLS バージョン 1.2 以降でより強力な暗号を構成することをお勧めします。


Router(config-sip-ua)#transport tcp tls v1.0
 SECURITY WARNING - Module: SIPUA, Command: transport tcp tls v1.0 , Reason: Weak tls version, 
Remediation: Use stronger tls version to enhance security

call-manager-fallback 設定モードで SCCP SRST を構成する

Unified Secure SCCP SRST の場合、transport-tcp-tls コマンドを call-manager-fallback 設定モードで次のように設定できます。

Router(config)#call-manager-fallback
Router(config-cm-fallback)#transport-tcp-tls ?
v1.0 Enable TLS Version 1.0
v1.1 Enable TLS Version 1.1
v1.2 Enable TLS Version 1.2
v1.3 Enable TLS Version 1.3

メディアに対して SHA2 暗号を有効にするには、 transport-tcp-tls v1.3 sha2 コマンドを設定できます。


Router(config)#call-manager-fallback
Router(config-cm-fallback)#transport-tcp-tls v1.3 ?
sha2 Allow SHA2 ciphers only

Unified Secure SIP SRST リリース 15.0 (Cisco IOS XE 17.18.2) では、TLS バージョン 1.2 未満および関連する弱い暗号を使用する設定に対して、セキュリティ警告メッセージが表示されます。安全な構成のために、TLS バージョン 1.2 以降でより強力な暗号を構成することをお勧めします。


Router(config-cm-fallback)# transport-tcp-tls v1.1                 
 SECURITY WARNING - Module: CALLMANAGER, Command: transport-tcp-tls v1.1, Reason: Weak tls version, 
Remediation: Use stronger tls version to enhance security

Router(config-cm-fallback)# do sh run | sec call-manager-fallback  
call-manager-fallback
 transport-tcp-tls v1.1
 max-conferences 8 gain -6
 transfer-system full-consult
 ip source-address 10.10.10.239 port 2000
 max-ephones 30
 max-dn 30

セキュア SRST の TLS 暗号サポート

Unified Secure SRST 12.6 以降では、Secure SRST で提供される TLS 暗号サポートが変更され、セキュリティが強化されています。

Unified Secure SRST 14.4 以降では、1.2、1.1、1.0 および関連するすべての暗号スイートに加えて、TLS バージョン 1.3 がサポートされます。

SCCP/TLS の TLS 暗号サポート (ポート 2443 および 2445)

次の暗号スイートがサポートされています (提供および受け入れ):

（注）

ECDSA 暗号は、Secure SRST ではサポートされていません。


暗号方式	description
TLS 1.3 および TLS1.3 SHA2:
AES128_GCM_SHA256	TLS 1.3 でサポートされています
AES256_GCM_SHA384	TLS 1.3 でサポートされています
CHACHA20_POLY1305_SHA256	TLS 1.3 でサポートされています
TLS 1.2 SHA2:
ECDHE_ECDSA_AES128_GCM_SHA256	TLS 1.2 以上でサポートされています
ECDHE_ECDSA_AES256_GCM_SHA384	TLS 1.2 以上でサポートされています
DHE_RSA_WITH_AES_128_CBC_SHA	TLS 1.0 以上でサポートされています
DHE_RSA_WITH_AES_256_CBC_SHA	TLS 1.0 以上でサポートされています
ECDHE_RSA_AES256_GCM_SHA384	TLS 1.2 以上でサポートされています
ECDHE_RSA_AES128_GCM_SHA256	TLS 1.2 以上でサポートされています
デフォルトまたは 1.2 または 1.1:
RSA_WITH_AES_128_CBC_SHA	TLS 1.0 以上でサポートされています

Unified Secure SRST リリース 15.0 (Cisco IOS XE 17.18.2) では、従来の TLS バージョン (v1.0、v1.1) および関連する弱い暗号を使用する設定に対して警告メッセージが表示されます。

以下は、TLS v1.2 およびそれ以前のバージョン (v1.1、v1.0) でサポートされている弱い暗号です。


暗号方式	description
DHE_RSA_WITH_AES_128_CBC_SHA	TLS 1.0 以上でサポートされています
DHE_RSA_WITH_AES_256_CBC_SHA	TLS 1.0 以上でサポートされています
RSA_WITH_AES_128_CBC_SHA	TLS 1.0 以上でサポートされています
RSA_WITH_AES_256_CBC_SHA	TLS 1.0 以上でサポートされています

SIP/TLS の TLS 暗号サポート (ポート 5061)

次の暗号スイートがサポートされています (提供および受け入れ):


暗号方式	description
TLS 1.3:
AES128_GCM_SHA256	TLS 1.3 でサポートされています
AES256_GCM_SHA384	TLS 1.3 でサポートされています
CHACHA20_POLY1305_SHA256	TLS 1.3 でサポートされています
TLS 1.2 SHA2:
ECDHE_ECDSA_AES128_GCM_SHA256	TLS 1.2 以下のバージョンでサポートされます。
ECDHE_ECDSA_AES256_GCM_SHA384	TLS 1.2 以下のバージョンでサポートされます。
ECDHE_RSA_AES256_GCM_SHA384	TLS 1.2 以下のバージョンでサポートされます。
ECDHE_RSA_AES128_GCM_SHA256	TLS 1.2 以下のバージョンでサポートされます。
デフォルトまたは 1.2 または 1.1:
RSA_WITH_AES_128_CBC_SHA	TLS 1.0 以降のバージョンでサポートされています。

Unified Secure SRST リリース 15.0 (Cisco IOS XE 17.18.2) では、従来の TLS バージョン (v1.0、v1.1) および関連する弱い暗号を使用する設定に対して警告メッセージが表示されます。

以下は、TLS v1.2 およびそれ以前のバージョン (v1.1、v1.0) でサポートされている弱い暗号です。


暗号方式	description
DHE_RSA_WITH_AES_128_CBC_SHA	TLS 1.0 以上でサポートされています
DHE_RSA_WITH_AES_256_CBC_SHA	TLS 1.0 以上でサポートされています
RSA_WITH_AES_128_CBC_SHA	TLS 1.0 以上でサポートされています
RSA_WITH_AES_256_CBC_SHA	TLS 1.0 以上でサポートされています

Certificates Operation on Secure SRST

Cisco Unified SRST ルーターと PKI

安全な SRST 機能のためには、Cisco Unified SRST ルーターと Cisco Unified Communications Manager 間での証明書の転送が必須です。公開キーインフラストラクチャ (PKI) コマンドは、安全な Cisco Unified SRST の証明書を生成、インポート、およびエクスポートするために使用されます。次の表は、Secure SRST 対応の Cisco Unified IP Phone と各電話機の適切な証明書を示しています。追加リファレンスセクションには、PKI コマンドを使用する証明書の生成、インポート、およびエクスポートに関する情報と構成が記載されています。

（注）

証明書のテキストは構成によって異なる場合があります。製造元でインストールされた証明書 (MIC) をサポートする古い電話機の場合は、CAP-RTP-00X または CAP-SJC-00X も必要になる場合があります。

（注）

Cisco は、MIC またはローカルで有効な証明書 (LSC) を使用する Cisco IP 電話 7900 シリーズの電話メモリ再利用機能を持つ電話をサポートしています。

表 1. サポートされている Cisco Unified IP Phone と証明書

Cisco Unified IP Phone 7940

Cisco Unified IP Phone 7960

Cisco Unified IP Phone 7970

電話機は、Distinguished Encoding Rules (DER) 形式で、認証局プロキシ機能 (CAPF) からのローカルで有効な証明書 (LSC) を受信します。

59fe77ccd.0

ファイル名は、CAPF 証明書のサブジェクト名と CAPF 証明書の発行者に基づいて変更される場合があります。

Cisco Unified Communications Manager がサードパーティの証明書プロバイダーを使用している場合は、.0 ファイルが複数（2 ～ 10 個）存在することがあります。各 .0 証明書ファイルは、構成中に個別にインポートする必要があります。

手動登録のみサポート

電話機は、Distinguished Encoding Rules (DER) 形式で、認証局プロキシ機能 (CAPF) からのローカルで有効な証明書 (LSC) を受信します。

59fe77ccd.0

ファイル名は、CAPF 証明書のサブジェクト名と CAPF 証明書の発行者に基づいて変更される場合があります。

Cisco Unified Communications Manager がサードパーティの証明書プロバイダーを使用している場合は、.0 ファイルが複数（2 ～ 10 個）存在することがあります。各 .0 証明書ファイルは、構成中に個別にインポートする必要があります。

手動登録のみがサポートされています。

電話機には、デバイス認証に使用される製造元でインストールされた証明書 (MIC) が含まれています。 Cisco 7970 が MIC を実装する場合、次の 2 つのパブリック証明書ファイルが必要です。

CiscoCA.pem (証明書の認証に使用される Cisco ルート CA)

（注）

製造証明書の名前は、構成に応じて異なる場合があります。

a69d2e04.0、プライバシー強化メール（PEM）形式

Cisco Unified Communications Manager がサードパーティの証明書プロバイダーを使用している場合は、.0 ファイルが複数（2 ～ 10 個）存在することがあります。各 .0 証明書ファイルは、構成中に個別にインポートする必要があります。

手動登録のみがサポートされています。

セキュア SRST ルーター上の Cisco IOS 認証情報サーバー

セキュア SRST では、セキュア SRST ルーター上で実行される資格情報サーバーが導入されています。クライアントである Cisco Unified Communications Manager が TLS チャネル経由で証明書を要求すると、クレデンシャルサーバーは SRST ルーターの証明書を Cisco Unified Communications Manager に提供します。 Cisco Unified Communications Manager は、SRST ルーター証明書を Cisco Unified IP Phone の設定ファイルに挿入し、設定ファイルを電話機にダウンロードします。セキュアな Cisco Unified IP Phone は、フォールバック操作中に証明書を使用して SRST ルーターを認証します。資格情報サービスは、デフォルトの TCP ポート 2445 で実行されます。

次の 3 つの Cisco IOS コマンドは、資格情報サーバーを call-manager-fallback モードで設定します。

credentials
ip source-address (credentials)
trustpoint (credentials)

次の 2 つの Cisco IOS コマンドは、認証情報サーバーのデバッグおよび検証機能を提供します。

資格情報サーバーの証明書の生成

Unified Secure SRST で資格情報サーバーを設定する場合、「trustpoint」設定エントリを完了するために証明書が必要です。

資格情報サーバーの証明書を生成するには、次の手順を実行します。

セキュアな Cisco Unified SRST ルーターの CA サーバーへの自動登録と認証
セキュリティで保護された Cisco Unified SRST ルーターで資格情報サービスを有効にする
Cisco Unified Communications Manager での SRST フォールバックの設定

証明書が生成されたら、「trustpoint」エントリに証明書の名前 (または IOS のトラストポイントの名前) を入力します。

セキュア SRST 上の資格情報サーバーのこの証明書は、「 Cisco Unified Communications Manager への SRST 参照の追加」セクションで要求されたときに、Cisco Unified CM にシームレスにエクスポートされます。

CUCM からセキュア SRST への証明書の転送

CUCM からセキュア SRST への証明書の転送の詳細については、「 PEM 形式の電話証明書ファイルのセキュア SRST ルーターへのインポート」セクションを参照してください。

Unified Secure SRST の SIP OAuth クライアント登録

Unified Secure SIP SRST により、ルーターは停止時に Unified IP 電話に安全な通話処理を提供できるようになります。このサポートは、WAN の停止中にリモートのプライマリ、セカンダリ、または三次 Unified CM インストールへの接続を失ったエンドポイントを対象としています。 SIP OAuth が設定されている場合、SIP クライアントは WAN リンク障害時に SRST に安全に登録できます。 SRST は、次の SIP クライアントに対して安全な通話制御を提供できます。

Cisco Jabber クライアント
Cisco Webex クライアント
Cisco IP Phone 78xx シリーズ
Cisco IP Phone 88xx シリーズ

動的なトークンベースの認証により、Unified CM に登録するデバイスのセキュリティが強化されます。

停止中に SRST に登録する場合、UCM はクライアントが使用する認証トークンを発行します。新しい登録リクエストにトークンが含まれていない場合、チャレンジが発行されます。 SRST は、以前に UCM から安全に受信したキーを使用してトークンの検証を試行します。検証が成功すると、SRST はクライアントがローカルに登録して通話を発信することを許可します。 SRST によって検証できないトークンを提示するクライアントは登録できません。

（注）

CUCM から SIP OAuth キーを取得するために TLS バージョン 1.3 をサポートします。 http client secure-ciphersuite コマンド構成は、TLS バージョン 1.3 暗号をサポートしています。設定の詳細については、http client secure-ciphersuite を参照してください。

（注）

キーペアを永続メモリに保存し、サービス停止中に SRST ルーターがリロードされた場合でもクライアントが登録できるようにします。

Unified Secure SIP SRST の SIP OAuth を設定するには、次の手順を実行します。

SIP OAuth クライアントが使用するために、クライアント検証なしで TLS リッスンポートを構成します。

（注）

mTLS を使用するデフォルトのセキュアポートに加えて、TLS リスンポートが開かれます。

voice service voip
  sip
    listen-port secure no-client-validation ?
      <1024-49151>   Port number

リスンポートを構成する前 call service stop とリスンポートを構成した後 no call service stop に実行します。
適切な認証詳細を使用して、UCM キーサーバーへのアクセスを構成します。タイプ 6 暗号化を使用してクリアテキストパスワードを保存します。
```
voice register global
	sip-oauth                SIP OAuth parameters for Unified SRST 
	    key-server key-server ipv4:10.5.10.50:8443 username administrator password 0 abcd12345
```
互換性のあるクライアントが SIP OAuth を使用するようにデバイスプールを構成します。 voice register pool 設定を使用して、互換性のあるクライアントに対して SIP OAuth を有効にします。
```
voice register pool <tag>
        sip-oauth
```

機能特性

SRST は、SIP OAuth を使用するクライアントに対して、mTLS 検証なしで TLS ソケットを使用するように構成されています。
SIP OAuth を使用した登録は、クライアントの音声レジスタプール構成を通じて有効になります。
Cisco Unified SRST は、有効な SIP OAuth トークンを持つクライアントからの新規登録を受け入れます。
SIP OAuth の場合、プロトコルモードは「IPV4 のみ」または「IPV6 のみ」のいずれかにする必要があります。

制約事項

ECDSA 暗号スイートはポート 2445 ではサポートされていません。

SIP OAuth ベースのリスナーポートを構成する

手順の概要

configureterminal
voice service voip
sip
call service stop
listen-portsecureno-client-validation<1024-49151>
no call service stop

手順の詳細

コマンドまたはアクション目的

ステップ 1

configureterminal

例:


Router#conf t

グローバル設定モードに移行します。

ステップ 2

voice service voip

例:

Router(config)#voice service voip

voice service voip モードに入ります。

ステップ 3

sip

例:

Router(conf-voi-serv)#sip

voice service VoIP sip モードに入ります。

ステップ 4

call service stop

ゲートウェイ上の VoIP 通話サービスをシャットダウンします。

ステップ 5

listen-portsecureno-client-validation<1024-49151>

例:

Router(conf-serv-sip)#listen-port secure no-client-validation 5090

mTLS を無効にして TLS リスンポートを構成します。

（注）

デフォルトのポートは 5090 です。

ステップ 6

no call service stop

VoIP 通話サービスを有効にします。

CUCM から SIP OAuth キーを取得する

Voice Register Global 設定モード

（注）

voice sip oauth get-keys を実行して、いつでも CUCM から sip-oauth キーを取得します。

手順の概要

voice register global
sip-oauth
key-server単語 username単語 password0/6単語
key-serversource-interface<options>

手順の詳細

コマンドまたはアクション目的

ステップ 1

voice register global

例:

Router(config)#voice register global

ボイスレジスタのグローバル設定モードに移行します。

ステップ 2

sip-oauth

例:

Router(config-register-global)#sip-oauth 
Router(config-oauth)#

SIP OAuth 機能を有効にします。

ステップ 3

key-server単語 username単語 password0/6単語

例:

voice register global
   sip-oauth
       key-server ipv4:10.5.10.50:8443 username administrator password 0 C1sco123=

SIP OAuth のキーサーバーの詳細を設定します。キーサーバーは、電話から送信されたトークンを認証するために JSON 形式のキーを提供します。キーサーバーアドレスは通常、CUCM IP アドレスです。 <word> は、次のいずれかの形式である必要があります。

ipv4:X.X.X.X

ipv4:X.X.X.X:ポート番号

ipv6:[X:X:X:X:X:X]

ipv6:[X:X:X:X:X:X]:ポート番号

dns:hostname.com

dns:hostname.com:port-number

（注）

ポートが設定されていない場合は、HTTPS 通信に 443 セキュアポートが使用されます。

（注）

dns ホスト名がポートで構成されている場合は、SRV クエリが実行されます。

ステップ 4

key-serversource-interface<options>

(オプション) OAuth サーバーの送信元アドレスのインターフェース仕様を設定します。

グローバル設定モード

手順の概要

http client secure-ciphersuite

手順の詳細

コマンドまたはアクション目的

コマンドまたはアクション	目的
http client secure-ciphersuite 例: `Device(config)# http client secure-ciphersuite tls13-aes128-gcm-sha256`	(オプション) HTTP クライアントに対して 1 つ以上の暗号化暗号スイートを設定します。 http client secure-ciphersuite コマンドが設定されていない場合は、デフォルトですべての暗号がネゴシエートされます。

http client secure-ciphersuite

例:

Device(config)# http client secure-ciphersuite tls13-aes128-gcm-sha256

(オプション) HTTP クライアントに対して 1 つ以上の暗号化暗号スイートを設定します。

http client secure-ciphersuite コマンドが設定されていない場合は、デフォルトですべての暗号がネゴシエートされます。

SIP OAuth ベースの登録を有効にする

手順の概要

voice register poolタグ
sip-oauth
end

手順の詳細

コマンドまたはアクション目的

	コマンドまたはアクション	目的
ステップ 1	voice register pool`タグ` 例: `Router(config)#voice register pool 20 Router(config-register-pool)#`	voice register pool 設定モードに入ります。
ステップ 2	sip-oauth 例: `Router(config-register-pool)#sip-oauth`	プールで SIP OAuth を有効にします。
ステップ 3	end 例: `Router(config-register-pool)#end`	特権 EXEC モードに戻ります。

ステップ 1

voice register poolタグ

例:

Router(config)#voice register pool 20
Router(config-register-pool)#

voice register pool 設定モードに入ります。

ステップ 2

sip-oauth

例:

Router(config-register-pool)#sip-oauth

プールで SIP OAuth を有効にします。

ステップ 3

end

例:

Router(config-register-pool)#end

特権 EXEC モードに戻ります。

セキュア SRST の SIP OAuth を検証する

手順の概要

show running-config all | sec listen-port
show sip-ua connections tcp tls detail
show sip status registrar
show voice register pool <index>
show voice register statistics
show voip sip-oauth key-server status

手順の詳細

ステップ 1

show running-config all | sec listen-port

SIP OAuth の listen-port 構成に関する情報を表示するコマンド出力を表示します。

例:

Router#show running-config | section listen-port
listen-port secure no-client-validation 5090
Router#

ステップ 2

show sip-ua connections tcp tls detail

SIP OAuth のステータス、ポートの詳細、ネゴシエートされた暗号を表示するコマンド。

（注）

* が末尾に付いた Conn-Id は、SIP OAuth ポートを使用したクライアント接続です。

（注）

詳細出力の RSA または ECDSA キータイプは、TLS v1.3 でのみ表示されます。

例:

以下は、RSA キータイプと TLS v1.3 暗号を表示する show sip-ua connections tcp tls detail コマンドの出力例です。

Device# show sip-ua connections tcp tls detail 
Total active connections      : 2
No. of send failures          : 0
No. of remote closures        : 0
No. of conn. failures         : 0
No. of inactive conn. ageouts : 0
Max. tls send msg queue size of 1, recorded for 10.64.100.152:5061
TLS client handshake failures : 0
TLS server handshake failures : 0

---------Printing Detailed Connection Report---------
Note:
 ** Tuples with no matching socket entry
    - Do 'clear sip <tcp[tls]/udp> conn t ipv4:<addr>:<port>'
      to overcome this error condition
 ++ Tuples with mismatched address/port entry
    - Do 'clear sip <tcp[tls]/udp> conn t ipv4:<addr>:<port> id <connid>'
      to overcome this error condition
 * Connections with SIP OAuth ports

Remote-Agent:10.64.100.150, Connections-Count:1
  Remote-Port Conn-Id Conn-State  WriteQ-Size            Local-Address               TLS-Version                Cipher              Curve Tenant
  =========== ======= =========== =========== ====================================== =========== ================================== ===== ======
        22943       7 Established           0 10.64.100.151:5061                         TLSv1.3         TLS_AES_256_GCM_SHA384:RSA P-521     0
          
Remote-Agent:10.64.100.152, Connections-Count:1
  Remote-Port Conn-Id Conn-State  WriteQ-Size            Local-Address               TLS-Version                Cipher              Curve Tenant
  =========== ======= =========== =========== ====================================== =========== ================================== ===== ======
         5061       8 Established           0 10.64.100.151:47687                        TLSv1.3         TLS_AES_256_GCM_SHA384:RSA P-521     0
          
          
-------------- SIP Transport Layer Listen Sockets ---------------
  Conn-Id             Local-Address                      Tenant 
 ==========    ===========================              ========
  0             [0.0.0.0]:5061:                              0
  6             [10.64.100.151]:5061:                        0

ステップ 3

show sip status registrar

SIP クライアントの登録ステータスを表示する Show コマンド。

（注）

* で終わるトランスポートパラメータ (TLS) は、SIP OAuth ポートを使用して登録されたエンドポイントです。

例:

Router#show sip status registrar
Line          destination                               expires(sec)  contact
transport     call-id
              peer
=============================================================================================================
2999904       10.5.10.204                              76            10.5.10.204                            
TLS*           00451d86-f1520107-5b4fd894-7ab6c4ce@10.5.10.204     
              40004

2999901       10.5.10.212                              74            10.5.10.212                            
TLS            00af1f9c-12dc037b-14a5f99d-09f10ac4@10.5.10.212     
              40001

2999902       10.5.10.213                              75            10.5.10.213                            
TLS*           00af1f9c-48370020-2bf6ccd4-2423aff8@10.5.10.213     
              40002

2999905       10.5.10.209                              76            10.5.10.209                            
TLS*           5006ab80-69ca0049-1ce700d8-12edb829@10.5.10.209     
              40003
* TLS without client validation

ステップ 4

show voice register pool <index>

コマンドを表示して、sip-oauth がセキュア SIP SRST voice register pool で有効になっているかどうかを確認します。

例:

Router#show voice register pool  1
 Pool Tag 1
Config:
  Proxy Ip address is 0.0.0.0
  DTMF Relay is disabled
  kpml signal is enabled
  Lpcor Type is none

 SIP OAuth is enabled
  Reason for unregistered state: reboot

  paging-dn: config 0 [multicast]  effective 0 [multicast] 

VRF:
  NA

Dialpeers created:

Statistics:
  Active registrations  : 0

  Total SIP phones registered: 0
  Total Registration Statistics
    Registration requests  : 0
    Registration success   : 0
    Registration failed    : 0
    unRegister requests    : 0
    unRegister success     : 0
    unRegister failed      : 0
    Auto-Register requests : 0
    Attempts to register 
           after last unregister : 0 
    Last register request time   : 
    Last unregister request time : 
    Register success time        : 
    Unregister success time      :

ステップ 5

show voice register statistics

成功またはエラー登録フローの統計と出力を表示する Show コマンド。

例:

gw1-2a#show voice register statistics 
Global statistics
  Active registrations  : 0

  Total SIP phones registered: 0
  Total Registration Statistics
    Registration requests  : 244
    Registration success   : 125
    Registration failed    : 119
    unRegister requests    : 121
    unRegister success     : 121
    unRegister failed      : 0
    Auto-Register requests : 0
    Attempts to register 
           after last unregister : 0 
    Last register request time   : 22:04:30.574 clock Tue Dec 21 2021 
    Last unregister request time : 22:08:38.146 clock Tue Dec 21 2021 
    Register success time        : 22:04:30.577 clock Tue Dec 21 2021 
    Unregister success time      : 22:08:38.147 clock Tue Dec 21 2021 

Register pool 29 statistics
  Active registrations  : 0

  Total SIP phones registered: 0
  Total Registration Statistics
    Registration requests  : 12
    Registration success   : 12
    Registration failed    : 0
    unRegister requests    : 12
    unRegister success     : 12
    unRegister failed      : 0
    Auto-Register requests : 0
    Attempts to register 
           after last unregister : 0 
    Last register request time   : 13:07:53.523 clock Tue Dec 21 2021 
    Last unregister request time : 13:12:01.716 clock Tue Dec 21 2021 
    Register success time        : 13:07:53.523 clock Tue Dec 21 2021 
    Unregister success time      : 13:12:01.716 clock Tue Dec 21 2021 


  Reason for unregistered state: 
       No registration request since last reboot/unregister

ステップ 6

show voip sip-oauth key-server status

SIP OAuth のキー取得詳細を表示する Show コマンド。

（注）

キーサーバーのアドレスが IPv6 アドレスであることを除いて、出力は IPv6 の場合も同じです。

例:

Router#show voip sip-oauth key-server status
Key-server:                 10.1.10.50
Last Request Time:          11:40:58.389 UTC Fri Nov 12 2021
Last Success response Time: 11:40:58.456 UTC Fri Nov 12 2021
Current Status:             SUCCESS
Next Request Time:          11:40:58.389 UTC Sat Nov 13 2021
Total requests sent:        13
Total success responses:    3
Total failure responses:    10

Unified Secure SRST の SHA2 暗号のみのモード

SRST 14.2 以降、SIP SRST を保護する暗号は、コンプライアンス要件を満たす暗号のみを提供します。同様に、SHA2 TLS1.2 暗号を許可するようにセキュア SCCP SRST を設定します。

SRST 14.4 以降、Secure SCCP SRST は TLS v1.3 を使用した SHA2 暗号もサポートします。

SCCP クライアント登録

SCCP SRST が SHA2 暗号を使用して設定されている場合、SCCP クライアントは TLS 接続を確立するために次のいずれかの SHA2 暗号スイートを使用する必要があります。

TLS 1.2 SHA2:
- ECDHE_RSA_AES_256_GCM_SHA256
- ECDHE_RSA_AES_256_GCM_SHA384
- DHE_RSA_AES128_GCM_SHA256
- DHE_RSA_AES256_GCM_SHA384
- ECDHE_ECDSA_AES128_GCM_SHA256
- ECDHE_ECDSA_AES256_GCM_SHA384
TLS 1.3 および TLS1.3 SHA2:
- AES128_GCM_SHA256
- AES256_GCM_SHA384
- CHACHA20_POLY1305_SHA256

メディアパケットは AEAD_AES_256_GCM SRTP 暗号スイートを使用して暗号化され、送信されます。

（注）

セキュア SCCP SRST が SHA2 暗号を必要とするように設定されている場合、SCCP プロトコルバージョン 23 以上を使用するクライアントのみが登録できます。 SHA2 がセキュア SCCP SRST の要件として設定されていない場合は、SCCP プロトコルバージョン 23 以下を使用するクライアントを使用できます。

SIP クライアント登録

セキュア SIP SRST は、SIP クライアントが単一または複数の優先暗号スイートを使用して TLS 接続を確立できるように設定できます。

次に例を示します。

Device(config)#voice class tls-cipher 333


Device(config-class)#cipher 1 ?
AES128_GCM_SHA256              supported in TLS 1.3
AES256_GCM_SHA384              supported in TLS 1.3
CHACHA20_POLY1305_SHA256       supported in TLS 1.3
DHE_RSA_AES128_GCM_SHA256      supported in TLS 1.2
DHE_RSA_AES256_GCM_SHA384      supported in TLS 1.2
DHE_RSA_WITH_AES_128_CBC_SHA   supported in TLS 1.2 & below
DHE_RSA_WITH_AES_256_CBC_SHA   supported in TLS 1.2 & below
ECDHE_ECDSA_AES128_GCM_SHA256  supported in TLS 1.2
ECDHE_ECDSA_AES256_GCM_SHA384  supported in TLS 1.2
ECDHE_RSA_AES128_GCM_SHA256    supported in TLS 1.2
ECDHE_RSA_AES256_GCM_SHA384    supported in TLS 1.2
RSA_WITH_AES_128_CBC_SHA       supported in TLS 1.2 & below
RSA_WITH_AES_256_CBC_SHA       supported in TLS 1.2 & below

Device(config-class)#cipher 1 DHE_RSA_AES128_GCM_SHA256
Device(config-class)#end

（注）

SRST TLS 暗号スイートポリシーを構成してから、SIP クライアントが接続して登録できるようにします。

シグナリングが成功すると、メディアパケットは srtp-crypto 設定に基づいて暗号化されます。まず、 voice class srtp-crypto <tag> コマンドを使用して SRTP 暗号リストを設定します。 SRTP 暗号リストを音声レジスタプールに関連付けます。

Device(config)#voice class srtp-crypto 22
Device(config-class)#?
VOICECLASS configuration commands:
crypto      Configure preferred SRTP cipher-suite
exit        Exit from voice class configuration mode
help        Description of the interactive help system
no          Negate a command or set its defaults

Device(config-class)#crypto ?
<1-4>       Set the preference order for the cipher-suite (1 = Highest)

Device(config-class)#crypto 1 ?
 AEAD_AES_128_GCM         Allow secure calls with SRTP AEAD_AES_128_GCM cipher-suite
 AEAD_AES_256_GCM         Allow secure calls with SRTP AEAD_AES_256_GCM cipher-suite
 AES_CM_128_HMAC_SHA1_32  Allow secure calls with SRTP AES_CM_128_HMAC_SHA1_32 cipher-suite
 AES_CM_128_HMAC_SHA1_80  Allow secure calls with SRTP AES_CM_128_HMAC_SHA1_80 cipher-suite

Device(config-class)#crypto 1 AEAD_AES_256_GCM
Device(config-class)#do show run | sec srtp-cry
 voice class srtp-crypto 22
 crypto 1 AEAD_AES_256_GCM

Device(config)# voice register pool 17
Device(config-register-pool)# id network 10.1.10.217 mask 255.255.255.255
Device(config-register-pool)# dtmf-relay rtp-nte
Device(config-register-pool)# codec g711ulaw

Show run output for pool:
=============================================
Device#show running-config | sec voice register pool 17
 voice register pool 17
 id network 10.1.10.217 mask 255.255.255.255
 dtmf-relay rtp-nte
 voice-class srtp-crypto 22
 codec g711ulaw
Device#show run

存在する srtp-crytpto 23 コマンドを設定すると、次のエラーが発生します。

Device(config-register-pool)#voice-class srtp-crypto 23
ERROR: There is no voice-class srtp-crypto 23

存在する srtp-crytpto 22 コマンドを設定すると、次の出力が表示されます。


Device(config-register-pool)#voice-class srtp-crypto 22
Device(config-register-pool)#

（注）

音声レジスタプール設定で SRTP 暗号化ポリシーを使用するには、その前に SRTP 暗号化ポリシーを設定する必要があります。

メリット

TLS バージョン 1.2 で SHA2 暗号スイートを構成すると、次の利点が得られます。

SHA2 暗号スイートにより、より信頼性の高いセキュリティ証明書が提供され、セキュリティが向上します。
高速計算。
衝突攻撃に対する耐性。

TLS で SHA2 暗号スイートを構成する

手順の概要

configure terminal
call-manager-fallback
transport-tcp-tls {v1.2 | v1.3} [sha2]

手順の詳細

コマンドまたはアクション目的

	コマンドまたはアクション	目的
ステップ 1	configure terminal 例: `Router#configure terminal`	グローバル設定モードに移行します。
ステップ 2	call-manager-fallback 例: `Router(config)#call-manager-fallback Router(config-cm-fallback)`	config-cm-fallback モードに入ります。
ステップ 3	transport-tcp-tls {v1.2 \| v1.3} [sha2] 例: `Router(config-cm-fallback)#transport-tcp-tls v1.2 sha2` 例: `Router(config-cm-fallback)#transport-tcp-tls v1.3 sha2`	ルーター上で TLS バージョン 1.2 または 1.3 の SHA2 暗号スイートを設定します。

ステップ 1

configure terminal

例:

Router#configure terminal

グローバル設定モードに移行します。

ステップ 2

call-manager-fallback

例:


Router(config)#call-manager-fallback 
Router(config-cm-fallback)

config-cm-fallback モードに入ります。

ステップ 3

transport-tcp-tls {v1.2 | v1.3} [sha2]

例:


Router(config-cm-fallback)#transport-tcp-tls v1.2 sha2

例:


Router(config-cm-fallback)#transport-tcp-tls v1.3 sha2

ルーター上で TLS バージョン 1.2 または 1.3 の SHA2 暗号スイートを設定します。

統合 SRST のメディアセキュリティ - SRTP

Secure Real-Time Protocol (SRTP) を使用するメディア暗号化により、意図した受信者だけが、サポートされているデバイス間のメディアストリームを解釈できるようになります。サポートにはオーディオストリームのみが含まれます。

デバイスが SRTP をサポートしている場合、システムは SRTP 接続を使用します。 1 つ以上のデバイスが SRTP をサポートしていない場合、システムは RTP 接続を使用します。保留音 (MOH) などのセキュアデバイスから非セキュアデバイスへの転送では、SRTP から RTP へのフォールバックが発生する場合があります。

（注）

セキュア SRST は、デバイスやプロトコルごとにメディア暗号化キーを異なる方法で処理します。 SCCP を実行しているすべての電話機は、SRST からメディア暗号化キーを取得します。SRST は、TLS 暗号化シグナリングチャネルを使用して電話機へのメディア暗号化キーのダウンロードを保護します。 SIP を実行している電話は、独自のメディア暗号化キーを生成して保存します。 SRST によって導出されたメディア暗号化キーは、暗号化されたシグナリングパスを通じて、H.323 の IPSec で保護されたリンク上のゲートウェイに安全に送信されます。

警告	ゲートウェイおよびトランクに対して SRTP またはシグナリング暗号化を設定する前に、Cisco では IPSec を設定することを強くお勧めします。これは、Cisco H.323 ゲートウェイおよび H.323/H.245/H.225 トランクでは、セキュリティ関連の情報が暗号化されずに送信されないようにするために IPSec 設定に依存しているためです。 Cisco Unified SRST は、IPSec が正しく設定されているかどうかを確認しません。 IPSec を適切に設定しないと、セキュリティ関連の情報が漏えいする可能性があります。

Cisco Unified IP Phone へのセキュアな Cisco Unified SRST の確立

次の図は、SRST ルーター、Cisco Unified Communications Manager、および Cisco Unified IP Phone 上の資格情報サーバーの相互運用を示しています。次の表は、Cisco Unified IP Phone へのセキュア SRST の確立について説明しています。

図 1. SRST ルーター、Cisco Unified Communications Manager、および Cisco Unified IP Phone 上の資格情報サーバーの相互運用

表 2. セキュア SRST の確立
モード（Mode）	プロセス	説明または詳細
通常モード	Cisco Unified IP Phone は DHCP を設定し、TFTP サーバーアドレスを取得します。	—
	Cisco Unified IP Phone は、TFTP サーバーから CTL ファイルを取得します。	CTL ファイルには、電話機が信頼する証明書が含まれています。
	Cisco IP Phone は、トランスポート層セキュリティ (TLS) プロトコルチャネルを開き、Cisco Unified Communications Manager に登録します。	Cisco Unified Communications Manager は、セキュアな Cisco Unified SRST ルーター情報と Cisco Unified SRST ルーター証明書を Cisco Unified IP Phone にエクスポートします。電話機は証明書をその設定に配置します。電話機に Cisco Unified SRST 証明書が付与されると、Cisco Unified SRST ルーターは安全と見なされます。 SRST ルーター、Cisco Unified Communications Manager、および Cisco Unified IP Phone 上の資格情報サーバーの相互運用の図を参照してください。
	Cisco Unified IP Phone が「認証済み」または「暗号化済み」に設定されていて、Cisco Unified Communications Manager が混合モードで設定されている場合、電話機は設定ファイル内で SRST 証明書を検索します。 SRST 証明書が見つかった場合、デフォルトポートへのスタンバイ TLS 接続が開かれます。デフォルトポートは、Cisco Unified IP Phone の TCP ポートに 443 を加えた値、つまり、Cisco Unified SRST ルーターのポート 2443 です。	セカンダリ Cisco Unified Communications Manager が存在せず、Cisco Unified SRST がバックアップデバイスとして設定されている場合は、SRST ルーターへの接続は自動的に行われます。 SRST ルーター、Cisco Unified Communications Manager、および Cisco Unified IP Phone 上の資格情報サーバーの相互運用の図を参照してください。 Cisco Unified Communications Manager は、セキュアモードである混合モードで設定する必要があります。
WAN 障害が発生した場合、Cisco Unified IP Phone は Cisco Unified SRST 登録を開始します。
SRST	Cisco Unified IP Phone は、安全な通信のためにデフォルトポートで SRST ルーターに登録します。	—

セキュア SRST 認証と暗号化

次の図は、セキュア SRST 認証および暗号化のプロセスを示しており、次の表ではそのプロセスについて説明します。


プロセスの手順	説明または詳細
1.	CA サーバーは、Cisco IOS ルーター CA であってもサードパーティ CA であっても、SRST ゲートウェイにデバイス証明書を発行し、資格情報サービスを有効にします。オプションで、Cisco IOS CA サーバーを使用して SRST ルーターによって証明書を自己生成することもできます。 CA ルーターは、認証局プロキシ機能 (CAPF) の最終的なトラストポイントです。 CAPF の詳細については、『Cisco Communications Manager セキュリティガイド』を参照してください。 http://www.cisco.com/en/US/docs/voice_ip_comm/cucmbe/security/6_0_1/secugd/sec601-co.html
2.	CAPF は、サポートされているデバイスがローカルで有効な証明書 (LSC) を要求できるプロセスです。 CAPF ユーティリティは、CAPF に固有のキーペアと証明書を生成し、この証明書をクラスタ内のすべての Cisco Unified Communications Manager サーバーにコピーし、LSC を Cisco Unified IP Phone に提供します。製造元でインストールされる証明書 (MIC) がない Cisco Unified IP Phone には LSC が必要です。 Cisco 7970 には MIC が搭載されているため、CAPF プロセスを実行する必要はありません。
3.	Cisco Unified Communications Manager は認証情報サーバーに SRST 証明書を要求し、認証情報サーバーは証明書で応答します。
4.	各デバイスに対して、Cisco Unified CM は TFTP プロセスを使用して、証明書を Cisco Unified IP Phone の SEPMACxxxx.cnf.xml 設定ファイルに挿入します。
5.	Cisco Unified CM は、電話証明書情報を含む PEM 形式のファイルを Cisco Unified SRST ルーターに提供します。 Cisco Unified SRST ルーターへの PEM ファイルの提供は手動で行います。「セキュア SRST ルーター上の Cisco IOS 資格情報サーバー」セクションを参照してください。 Cisco Unified SRST ルーターに PEM ファイルがある場合、Cisco Unified SRST ルーターは IP 電話を認証し、TLS ハンドシェイク中に IP 電話の証明書の発行者を検証できます。
6.	TLS ハンドシェイクが発生し、証明書が交換され、Cisco Unified IP Phone と Cisco Unified SRST ルーターの間で相互認証と登録が行われます。
a.	Cisco Unified SRST ルーターは証明書を送信し、電話機はステップ 4 で Cisco Unified CM から受信した証明書に対してその証明書を検証します。
b.	Cisco Unified IP Phone は Cisco Unified SRST ルーターに LSC または MIC を提供し、ルーターは手順 5 で提供された PEM 形式のファイルを使用して LSC または MIC を検証します。

（注）

電話機とルーターの証明書が交換され、SRST ルーターとの TLS 接続が確立されると、メディアは自動的に暗号化されます。

セキュアな統合 SRST の設定方法

次の設定セクションでは、セキュアな Cisco Unified SRST ルーターと Cisco Unified IP Phone が TLS ハンドシェイク中に相互認証を要求できるようにします。 TLS ハンドシェイクは、WAN リンクに障害が発生する前または発生した後に、電話機が Cisco Unified SRST ルーターに登録されるときに発生します。

このセクションでは以下の手順について説明します。

Cisco Unified SRST ルーターのセキュア通信の準備

次のタスクでは、Cisco Unified SRST ルーターが安全な通信を処理できるように準備します。

Cisco IOS 証明書サーバーでの証明機関サーバーの設定

Cisco Unified SRST ルーターが安全な通信を提供するには、ネットワーク内にデバイス証明書を発行する CA サーバーが必要です。 CA サーバーは、サードパーティの CA または Cisco IOS 証明書サーバーから生成された CA にすることができます。

Cisco IOS 証明書サーバーは、ネットワーク内にサードパーティの CA を持たないユーザーに証明書生成オプションを提供します。 Cisco IOS 証明書サーバーは、SRST ルーターまたは別の Cisco IOS ルーター上で実行できます。

サードパーティの CA がない場合は、CA サーバーを有効にして設定する方法の詳細については、 Cisco IOS 証明書サーバーのドキュメントを参照してください。以下にサンプル構成を示します。

手順の概要

crypto pki server cs ラベル
database level {minimal | names |complete}
database url ルート URL
issuer-name DN 文字列
grant auto
no shutdown

手順の詳細

コマンドまたはアクション目的

ステップ 1

crypto pki server cs ラベル

例:

Router (config)# crypto pki server srstcaserver

証明書サーバーを有効にし、証明書サーバー設定モードに入ります。

（注）

RSA キーペアを手動で生成した場合、 cs-label 引数はキーペアの名前と一致する必要があります。

証明書サーバーの詳細については、 Cisco IOS 証明書サーバーのドキュメントを参照してください。

ステップ 2

database level {minimal | names |complete}

例:

Router (cs-server)# database level complete

証明書登録データベースに保存されるデータの種類を制御します。

minimal : 競合なく新しい証明書の発行を継続するのに十分な情報のみが保存されます。これがデフォルトです。
names : 最小レベルで指定された情報に加えて、各証明書のシリアル番号とサブジェクト名が保存されます。
complete : minimal レベルと names レベルで指定された情報に加えて、発行された各証明書がデータベースに書き込まれます。

（注）

complete キーワードは大量の情報を生成します。このキーワードを発行する場合は、database url コマンドを使用して、データを保存する外部 TFTP サーバーも指定する必要があります。

ステップ 3

database url ルート URL

例:

Router (cs-server)# database url nvram

証明書サーバーのすべてのデータベースエントリが書き込まれる場所を指定します。 crypto pki server コマンドを使用して証明書サーバーを作成した後、このコマンドを使用して、発行されたすべての証明書の組み合わせリストを指定します。その

root-url 引数は、データベースエントリが書き込まれる場所を指定します。

データベースエントリが書き込まれるデフォルトの場所はフラッシュですが、このタスクには NVRAM が推奨されます。

ステップ 4

issuer-name DN 文字列

例:

Router (cs-server)# issuer-name CN=srstcaserver

CA 発行者名を指定された識別名 (DN 文字列) に設定します。デフォルト値は次のとおりです。

issuer-name CN = cs-label 。

ステップ 5

grant auto

例:

Router (cs-server)# grant auto

任意の要求者に自動証明書を発行できるようにします。

このコマンドは登録時にのみ使用され、「自動証明書登録の無効化」セクションで削除されます。

ステップ 6

no shutdown

例:

Router (cs-server)# no shutdown

Cisco IOS 証明書サーバーを有効にします。

証明書サーバーを完全に構成した後にのみ、このコマンドを発行する必要があります。

例

次の例は、CA を生成する 1 つの方法を示しています。

Router(config)# crypto pki server srstcaserver
Router(cs-server)# database level complete
Router(cs-server)# database url nvram
Router(cs-server)# issuer-name CN=srstcaserver
Router(cs-server)# grant auto
% This will cause all certificate requests to be automatically granted.
Are you sure you want to do this? [yes/no]: y
Router(cs-server)# no shutdown
% Once you start the server, you can no longer change some of
% the configuration.
Are you sure you want to do this? [yes/no]: y
% Generating 1024 bit RSA keys ...[OK]
% Certificate Server enabled.

セキュアな Cisco Unified SRST ルーターの CA サーバーへの自動登録と認証

セキュアな Cisco Unified SRST ルーターでは、トラストポイントを定義する必要があります。つまり、CA サーバーからデバイス証明書を取得する必要があります。この手順は証明書の登録と呼ばれます。登録されると、セキュア Cisco Unified SRST ルーターは、Cisco Unified Communications Manager によってセキュア SRST ルーターとして認識されます。

セキュアな Cisco Unified SRST ルーターを CA サーバーに登録するには、自動登録、カットアンドペースト、TFTP の 3 つのオプションがあります。 CA サーバーが Cisco IOS 証明書サーバーである場合は、自動登録を使用できます。それ以外の場合は、手動で登録する必要があります。手動登録とは、カットアンドペーストまたは TFTP を指します。

自動登録には enrollment url コマンドを使用し、SRST ルーターの認証には crypto pki authenticate コマンドを使用します。コマンドの詳細な手順については、「認証局相互運用コマンド」ドキュメントを参照してください。自動登録の例については、「証明書登録拡張機能」を参照してください。にサンプル構成が提供されています。

手順の概要

crypto pki trustpoint名前
rsakeypair 鍵ペアラベル
enrollment url URL
revocation-check 方法 1
exit
crypto pki authenticate 名前
crypto pki enroll 名前

手順の詳細

	コマンドまたはアクション	目的
ステップ 1	crypto pki trustpoint`名前` 例: `Router(config)# crypto pki trustpoint srstca`	ルーターが使用する CA を宣言し、ca-trustpoint 設定モードに入ります。指定する名前は、「セキュア Cisco Unified SRST ルーターでの資格情報サービスの有効化」セクションで宣言されるトラストポイント名と同じになります。
ステップ 2	rsakeypair `鍵ペアラベル` 例: `Router(config-trustp)# rsakeypair srstcakey 2048`	このトラストポイントに名前付き Rivest、Shamir、および Adelman（RSA）キーペアを指定するには、トラストポイント設定モード rsakeypair コマンドを使用します。 RSA キーの長さを 2048 ビット以上に設定します。
ステップ 3	enrollment url `URL` 例: `Router(ca-trustpoint)# enrollment url http://10.1.1.22`	CA の登録パラメータを指定します。 url`url` : ルーターが証明書要求を送信する CA の URL を指定します。登録に Cisco 独自の SCEP を使用している場合、URL は http://CA_name の形式にする必要があります。ここで、 CA_name は、Cisco IOS CA のホストドメインネームシステム (DNS) 名または IP アドレスです。「Cisco IOS 証明書サーバーで Certificate Authority サーバーを構成する」項に記載されている手順を実行する場合は、URL は、手順 1 で構成した証明書サーバールーティングの IP アドレスとなります。サードパーティ CA が使用されている場合、IP アドレスは外部 CA になります。
ステップ 4	revocation-check `方法 1` 例: `Router(ca-trustpoint)# revocation-check none`	証明書の失効ステータスを確認します。引数 `method1` は、ルーターが証明書の失効ステータスを確認するために使用する方法です。このタスクに使用できる唯一の方法は none です。キーワード none は、失効チェックが実行されず、証明書が常に受け入れられることを意味します。このタスクでは、 none キーワードの使用が必須です。
ステップ 5	exit 例: `Router(ca-trustpoint)# exit`	ca-trustpoint 設定モードを終了し、グローバル設定モードに戻ります。
ステップ 6	crypto pki authenticate `名前` 例: `Router(config)# crypto pki authenticate srstca`	CA を認証します (CA から証明書を取得することによって)。 CA の名前を引数として受け取ります。
ステップ 7	crypto pki enroll `名前` 例: `Router(config)# crypto pki enroll srstca`	CA から SRST ルーター証明書を取得します。 CA の名前を引数として受け取ります。

例

次の例では、Cisco Unified SRST ルーターを自動登録して認証します。

Router(config)# crypto pki trustpoint srstca
Router(ca-trustpoint)# enrollment url http://10.1.1.22
Router(ca-trustpoint)# revocation-check none
Router(ca-trustpoint)# exit
Router(config)# crypto pki authenticate srstca
Certificate has the following attributes:
Fingerprint MD5: 4C894B7D 71DBA53F 50C65FD7 75DDBFCA
Fingerprint SHA1: 5C3B6B9E EFA40927 9DF6A826 58DA618A BF39F291
% Do you accept this certificate? [yes/no]: y
Trustpoint CA certificate accepted.
Router(config)# crypto pki enroll srstca
%
% Start certificate enrollment ..
% Create a challenge password. You will need to verbally provide this
password to the CA Administrator in order to revoke your certificate.
For security reasons your password will not be saved in the configuration.
Please make a note of it.
Password:
Re-enter password:
% The fully-qualified domain name in the certificate will be: router.cisco.com
% The subject name in the certificate will be: router.cisco.com
% Include the router serial number in the subject name? [yes/no]: y
% The serial number in the certificate will be: D0B9E79C
% Include an IP address in the subject name? [no]: n
Request certificate from CA? [yes/no]: y
% Certificate request sent to Certificate Authority
% The certificate request fingerprint will be displayed.
% The 'show crypto pki certificate' command will also show the fingerprint.
Sep 29 00:41:55.427: CRYPTO_PKI: Certificate Request Fingerprint MD5: D154FB75
2524A24D 3D1F5C2B 46A7B9E4
Sep 29 00:41:55.427: CRYPTO_PKI: Certificate Request Fingerprint SHA1: 0573FBB2
98CD1AD0 F37D591A C595252D A17523C1
Sep 29 00:41:57.339: %PKI-6-CERTRET: Certificate received from Certificate Authority

自動証明書登録を無効にする

コマンド grant auto は証明書の発行を許可し、「Cisco IOS 証明書サーバーでの証明機関サーバーの設定」セクションに記載されているオプションのタスクでアクティブ化されました。

（注）

証明書が継続的に付与されないように、 grant auto コマンドを無効にする必要があります。

手順の概要

crypto pki servercs-label
shutdown
no grant auto
no shutdown

手順の詳細

コマンドまたはアクション目的

ステップ 1

crypto pki servercs-label

例:

Router (config)# crypto pki server srstcaserver

証明書サーバーを有効にし、証明書サーバー設定モードに入ります。

（注）

RSA キーペアを手動で生成した場合、 cs-label 引数はキーペアの名前と一致する必要があります。

ステップ 2

shutdown

例:

Router (cs-server)# shutdown

Cisco IOS 証明書サーバーを無効にします。

ステップ 3

no grant auto

例:

Router (cs-server)# no grant auto

すべての要求者への自動証明書の発行を無効にします。

このコマンドは登録時にのみ使用されるため、このタスクでは削除する必要があります。

ステップ 4

no shutdown

例:

Router (cs-server)# no shutdown

Cisco IOS 証明書サーバーを有効にします。

証明書サーバーを完全に構成した後にのみ、このコマンドを発行する必要があります。

次のタスク

手動登録の手順については、「手動による証明書登録 (TFTP およびカットアンドペースト) 」機能を参照してください。

証明書登録の確認

Cisco IOS 証明書サーバーを CA として使用している場合は、 show running-config コマンドを使用して証明書の登録を確認するか、 show crypto pki server コマンドを使用して CA サーバーのステータスを確認します。

手順の概要

show running-config
show crypto pki server

手順の詳細

コマンドまたはアクション目的

ステップ 1

show running-config

例:

Router# show running-config
.
.
.
! SRST router device certificate.
crypto pki certificate chain srstca
certificate 02
308201AD 30820116 A0030201 02020102 300D0609
2A864886 F70D0101 04050030
17311530 13060355 0403130C 73727374 63617365
72766572 301E170D 30343034
31323139 35323233 5A170D30 35303431 32313935
3232335A 30343132 300F0603
55040513 08443042 39453739 43301F06 092A8648
86F70D01 09021612 6A61736F
32363931 2E636973 636F2E63 6F6D305C 300D0609
2A864886 F70D0101 01050003
4B003048 024100D7 0CC354FB 5F7C1AE7 7A25C3F2
056E0485 22896D36 6CA70C19
C98F9BAE AE9D1F9B D4BB7A67 F3251174 193BB1A3
12946123 E5C1CCD7 A23E6155
FA2ED743 3FB8B902 03010001 A330302E 300B0603
551D0F04 04030205 A0301F06
03551D23 04183016 8014F829 CE97AD60 18D05467
FC293963 C2470691 F9BD300D
06092A86 4886F70D 01010405 00038181 007EB48E
CAE9E1B3 D1E7A185 D7F0D565
CB84B17B 1151BD78 B3E39763 59EC650E 49371F6D
99CBD267 EB8ADF9D 9E43A5F2
FB2B18A0 34AF6564 11239473 41478AFC A86E6DA1
AC518E0B 8657CEBB ED2BDE8E
B586FE67 00C358D4 EFDD8D44 3F423141 C2D331D3
1EE43B6E 6CB29EE7 0B8C2752
C3AF4A66 BD007348 D013000A EA3C206D CF
quit
certificate ca 01
30820207 30820170 A0030201 02020101 300D0609
2A864886 F70D0101 04050030
17311530 13060355 0403130C 73727374 63617365
72766572 301E170D 30343034
31323139 34353136 5A170D30 37303431 32313934
3531365A 30173115 30130603
55040313 0C737273 74636173 65727665 7230819F
300D0609 2A864886 F70D0101
01050003 818D0030 81890281 8100C3AF EE1E4BB1
9922A8DA 2BB9DC8E 5B1BD332
1051C9FE 32A971B3 3C336635 74691954 98E765B1
059E24B6 32154E99 105CA989
9619993F CC72C525 7357EBAC E6335A32 2AAF9391
99325BFD 9B8355EB C10F8963
9D8FC222 EE8AC831 71ACD3A7 4E918A8F D5775159
76FBF499 5AD0849D CAA41417
DD866902 21E5DD03 C37D4B28 0FAB0203 010001A3
63306130 0F060355 1D130101
FF040530 030101FF 300E0603 551D0F01 01FF0404
03020186 301D0603 551D0E04
160414F8 29CE97AD 6018D054 67FC2939 63C24706
91F9BD30 1F060355 1D230418
30168014 F829CE97 AD6018D0 5467FC29 3963C247
0691F9BD 300D0609 2A864886
F70D0101 04050003 8181007A F71B25F9 73D74552
25DFD03A D8D1338F 6792C805
47A81019 795B5AAE 035400BB F859DABF 21892B5B
E71A8283 08950414 8633A8B2
C98565A6 C09CA641 88661402 ACC424FD 36F23360
ABFF4C55 BB23C66A C80A3A57
5EE85FF8 C1B1A540 E818CE6D 58131726 BB060974
4E1A2F4B E6195522 122457F3
DEDBAAD7 3780136E B112A6
quit

show running-config コマンドを使用して、CA サーバー (01) およびデバイス (02) 証明書の作成を確認します。この例では、登録された証明書を示します。

ステップ 2

show crypto pki server

例:

Router# show crypto pki server
Certificate Server srstcaserver:
Status: enabled
Server's configuration is locked (enter "shut" to
unlock it)
Issuer name: CN=srstcaserver
CA cert fingerprint: AC9919F5 CAFE0560 92B3478A
CFF5EC00
Granting mode is: auto
Last certificate issued serial number: 0x2
CA certificate expiration timer: 13:46:57 PST Dec 1
2007
CRL NextUpdate timer: 14:54:57 PST Jan 19 2005
Current storage dir: nvram
Database Level: Complete - all issued certs written
as <serialnum>.cer

ブート手順後の CA サーバーのステータスを確認するには、 show crypto pki server コマンドを使用します。

セキュアな Cisco Unified SRST ルーターでの認証情報の有効化

Cisco Unified SRST ルーターに独自の証明書が作成されたら、Cisco Unified Communications Manager に証明書を提供する必要があります。資格情報サービスを有効にすると、Cisco Unified Communications Manager はセキュア SRST デバイス証明書を取得し、それを Cisco Unified IP Phone の設定ファイルに配置できるようになります。

すべての Cisco Unified SRST ルーターで資格情報サービスを有効にします。

（注）

資格情報サービスを使用して証明書を取得するための CUCM と SRST 間の TLS ハンドシェイクに TLS v1.3 サポートが追加されました。

（注）

セキュリティのベストプラクティスは、コントロールプレーンポリシングを使用して資格情報サービスポートを保護することです。コントロールプレーンポリシングはゲートウェイを保護し、トラフィック負荷が大きい場合でもパケット転送とプロトコルの状態を維持します。コントロールプレーンの詳細については、コントロールプレーンポリシングのドキュメントを参照してください。さらに、「コントロールプレーンポリシング: 例」セクションに設定サンプルが示されています。

手順の概要

credentials
ip source-address IP アドレス [port ポート]
trustpoint トラストポイント名
exit

手順の詳細

	コマンドまたはアクション	目的
ステップ 1	credentials 例: `Router(config)# credentials`	Cisco Unified SRST ルーターの証明書を Cisco Unified Communications Manager に提供し、資格情報設定モードに入ります。
ステップ 2	ip source-address `IP アドレス` [port `ポート`] 例: `Router(config-credentials)# ip source-address 10.1.1.22 port 2445`	Cisco Unified SRST ルーターが、指定された IP アドレスとポートを介して Cisco Unified Communications Manager からメッセージを受信できるようにします。 `ip-address` : IP アドレスは既存のルーターの IP アドレスで、通常はルーターのイーサネットポートのアドレスの 1 つです。 port `port` : (オプション) ゲートウェイルーターが Cisco Unified Communications Manager からのメッセージを受信するために接続しているポート。ポート番号は 2000 から 9999 までです。デフォルトのポート番号は 2445 です。
ステップ 3	trustpoint `トラストポイント名` 例: `Router(config-credentials)# trustpoint srstca`	Cisco Unified SRST ルーターの証明書に関連付けるトラストポイントの名前を指定します。 `trustpoint-name` 引数はトラストポイントの名前であり、SRST デバイス証明書に対応します。トラストポイント名は、「セキュアな Cisco Unified SRST ルーターの CA サーバーへの自動登録および認証」セクションで宣言されたものと同じである必要があります。
ステップ 4	exit 例: `Router(config-credentials)# exit`	資格情報設定モードを終了します。

例


Router(config)# credentials
Router(config-credentials)# ip source-address 10.1.1.22 port 2445
Router(config-credentials)# trustpoint srstca
Router(config-credentials)# exit

資格情報設定のトラブルシューティング

次の手順では、Cisco Unified SRST ルーターの資格情報設定を表示したり、資格情報設定のデバッグを設定したりします。

手順の概要

show credentials
debug credentials

手順の詳細

コマンドまたはアクション目的

ステップ 1

show credentials

例:

Router# show credentials
Credentials IP: 10.1.1.22
Credentials PORT: 2445
Trustpoint: srstca

セキュアな Cisco Unified SRST フォールバック時に使用するために Cisco Unified Communications Manager に提供される、Cisco Unified SRST ルーターの資格情報設定を表示するには、 show credentials コマンドを使用します。

ステップ 2

debug credentials

例:

Router# debug credentials
Credentials server debugging is enabled
Router#
Sep 29 01:01:50.903: Credentials service: Start TLS
Handshake 1 10.1.1.13 2187
Sep 29 01:01:50.903: Credentials service: TLS
Handshake returns OPSSLReadWouldBlockErr
Sep 29 01:01:51.903: Credentials service: TLS
Handshake returns OPSSLReadWouldBlockErr
Sep 29 01:01:52.907: Credentials service: TLS
Handshake returns OPSSLReadWouldBlockErr
Sep 29 01:01:53.927: Credentials service: TLS
Handshake completes.

debug credentials コマンドを使用して、Cisco Unified SRST ルーターの資格情報設定のデバッグを設定します。

PEM 形式の電話証明書ファイルをセキュア SRST ルーターにインポートする

このタスクは、Cisco IP Unified Phone がセキュア SRST を認証するために必要なタスクを完了します。

Cisco Unified Communications Manager 4.X.X 以前のバージョン

Cisco Unified Communications Manager 4.X.X 以前のバージョンを実行しているシステムの場合、セキュア Cisco Unified SRST ルーターは、TLS ハンドシェイク中に Cisco Unified IP Phone を認証できるように、電話証明書を取得する必要があります。 Cisco Unified IP Phone ごとに異なる証明書が使用されます。サポートされている Cisco Unified IP Phone および証明書の表には、各種電話に必要な証明書が一覧されています。

証明書は、Cisco Unified Communications Manager から Cisco Unified SRST ルーターに手動でインポートする必要があります。証明書の数は、Cisco Unified Communications Manager の設定によって異なります。手動登録とは、カットアンドペーストまたは TFTP を指します。手動登録の手順については、「手動による証明書登録 (TFTP およびカットアンドペースト) 」機能を参照してください。各電話または PEM ファイルごとに登録手順を繰り返します。

Cisco Unified Communications Manager 4.X.X 以前のバージョンの場合、証明書は、Cisco Unified Communications Manager のメニューバーで [プログラムファイル] > [Cisco] > [証明書] を選択すると見つかります。

Windows の WordPad またはメモ帳で .0 ファイルを開き、その内容をコピーして SRST ルーターコンソールに貼り付けます。次に、.pem ファイルで手順を繰り返します。「-----BEGIN CERTIFICATE-----」と「-----END CERTIFICATE-----」の間にあるすべての内容をコピーします。

『Cisco Unified Communications Operating System Administration ガイド、リリース 6.1(1)』の証明書の操作については、http://www.cisco.com/en/US/docs/voice_ip_comm/cucm/cucos/6_1_1/cucos/iptpch6.html を参照してください。

Cisco Unified Communications Manager 5.0 以降のバージョン

Cisco Unified CM 5.0 以降のバージョンを実行するシステムでは、サポートされている Cisco Unified IP Phone および証明書の表に記載されている要件に加えて、4 つの証明書（CAPF、CiscoCA、CiscoManufactureCA、および CiscoRootCA2048）が必要です。これらの証明書は、Cisco Unified SRST ルーターにコピーして貼り付ける必要があります。

（注）

CiscoRootCA は CiscoRoot2048CA とも呼ばれます。

Cisco Unified CM 5.0 以降のバージョンの場合は、次の手順を実行します。

始める前に

最後の設定コマンド (crypto pki authenticate ) が次のプロンプトを発行するときに、証明書が使用可能になっている必要があります。

Enter the base 64 encoded CA certificate.
End with a blank line or the word "quit" on a line by itself

手順の概要

Cisco Unified Communications Manager にログインします。
[セキュリティ] > [証明書の管理] > [証明書/CTL のダウンロード] に移動します。
[信頼証明書のダウンロード] を選択し、 [次へ]をクリックします。
[CAPF-trust]、[次へ] の順に選択します。
[ CiscoCA ] を選択し、[ 次へ] をクリックします。
[続行(Continue)]をクリックします。
ファイル名をクリックします。
「-----BEGIN CERTIFICATE-----」と「-----END CERTIFICATE-----」の間に表示されるすべての内容を、後で取得できる場所にコピーします。
CiscoManufactureCA、CiscoRootCA2048、および CAPF に対して手順 5 ～ 8 を繰り返します。

手順の詳細

	コマンドまたはアクション	目的
ステップ 1	Cisco Unified Communications Manager にログインします。
ステップ 2	[セキュリティ] > [証明書の管理] > [証明書/CTL のダウンロード] に移動します。
ステップ 3	[信頼証明書のダウンロード] を選択し、 [次へ]をクリックします。
ステップ 4	[CAPF-trust]、[次へ] の順に選択します。
ステップ 5	[ CiscoCA ] を選択し、[ 次へ] をクリックします。
ステップ 6	[続行(Continue)]をクリックします。
ステップ 7	ファイル名をクリックします。
ステップ 8	「-----BEGIN CERTIFICATE-----」と「-----END CERTIFICATE-----」の間に表示されるすべての内容を、後で取得できる場所にコピーします。
ステップ 9	CiscoManufactureCA、CiscoRootCA2048、および CAPF に対して手順 5 ～ 8 を繰り返します。

Cisco Unified Communications Manager 6.0 以降のバージョン

Cisco Unified Communications オペレーティングシステム管理から、Cisco_Manufacturing_CA、Cisco_Root_CA_2048、CAP-RTP-001、CAP-RTP-002、CAPF、CAPF-xxx など、CAPF-trust の下にリストされているすべての証明書をダウンロードします。また、CAPF-trust ではなく CallManager-trust の下にリストされている CAPF-xxx 証明書もダウンロードします。

証明書のダウンロード手順については、『Cisco Unified Communications Operating System Administration Guide』の適切なバージョンの「セキュリティ」の章を参照してください。 http://www.cisco.com/en/US/products/sw/voicesw/ps556/prod_maintenance_guides_list.html

Cisco Unified SRST ルーターにインポートされた証明書の認証

Cisco Unified SRST ルーターで証明書を認証するには、次の手順を実行します。

制約事項

仮想 Web サーバーを介した Cisco Unified Communications Manager からの HTTP 自動登録はサポートされていません。

手順の概要

crypto pki trustpoint名前
revocation-checknone
enrollment terminal
exit
crypto pki authenticate名前

手順の詳細

	コマンドまたはアクション	目的
ステップ 1	crypto pki trustpoint`名前` 例: `Router (config)# crypto pki trustpoint CAPF`	ルーターが使用する CA を宣言し、ca-trustpoint 設定モードに入ります。 `name` : 各証明書の名前を個別に入力します (例: CAPF、CiscoCA、CiscoManufactureCA、CiscoRootCA2048)。
ステップ 2	revocation-checknone 例: `Router(ca-trustpoint)# revocation-check none`	選択した方法を使用して証明書の失効ステータスを確認します。このタスクでは、 none キーワードの使用が必須です。キーワード none は、失効チェックが実行されず、証明書が常に受け入れられることを意味します。
ステップ 3	enrollment terminal 例: `Router(ca-trustpoint)# enrollment terminal`	手動での切り取りと貼り付けによる証明書の登録を指定します。
ステップ 4	exit 例: `Router(ca-trustpoint)# exit`	ca-trustpoint 設定モードを終了し、グローバルコンフィギュレーションに戻ります。
ステップ 5	crypto pki authenticate`名前` 例: `Router(config)# crypto pki authenticate CAPF`	CA を認証します (CA から証明書を取得することによって)。ステップ 1 の crypto pki trustpoint コマンドで使用したのと同じ `name` 引数を入力します。

次のタスク

Cisco Unified CM の証明書を更新してください。適切なバージョンの『Cisco Unified Communications Manager セキュリティガイド』の「Secure Survivable Remote Site Telephony（SRST）リファレンスの設定」の章を参照してください。 http://www.cisco.com/en/US/products/sw/voicesw/ps556/prod_maintenance_guides_list.html

Examples

Cisco Unified Communications Manager 4.X.X 以前のバージョン: 例

次の例は、Cisco Unified SRST ルーターにインポートされた 3 つの証明書 (Cisco 7970、7960、PEM) を示しています。

Router(config)# crypto pki trustpoint 7970
Router(ca-trustpoint)# revocation-check none
Router(ca-trustpoint)# enrollment terminal
Router(ca-trustpoint)# exit
Router(config)# crypto pki authenticate 7970
Enter the base 64 encoded CA certificate.
End with a blank line or the word "quit" on a line by itself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quit
Certificate has the following attributes:
Fingerprint MD5: F7E150EA 5E6E3AC5 615FC696 66415C9F
Fingerprint SHA1: 1BE2B503 DC72EE28 0C0F6B18 798236D8 D3B18BE6
% Do you accept this certificate? [yes/no]: y
Trustpoint CA certificate accepted.
% Certificate successfully imported
Router(config)# crypto pki trustpoint 7960
Router(ca-trustpoint)# revocation-check none
Router(ca-trustpoint)# enrollment terminal
Router(ca-trustpoint)# exit
Router(config)# crypto pki authenticate 7960
Enter the base 64 encoded CA certificate.
End with a blank line or the word "quit" on a line by itself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quit
Certificate has the following attributes:
Fingerprint MD5: 4B9636DF 0F3BA6B7 5F54BE72 24762DBC
Fingerprint SHA1: A9917775 F86BB37A 5C130ED2 3E528BB8 286E8C2D
% Do you accept this certificate? [yes/no]: y
Trustpoint CA certificate accepted.
% Certificate successfully imported
Router(config)# crypto pki trustpoint PEM
Router(ca-trustpoint)# revocation-check none
Router(ca-trustpoint)# enrollment terminal
Router(ca-trustpoint)# exit
Router(config)# crypto pki authenticate PEM
Enter the base 64 encoded CA certificate.
End with a blank line or the word "quit" on a line by itself
MIIDqDCCApCgAwIBAgIQdhL5YBU9b59OQiAgMrcjVjANBgkqhkiG9w0BAQUFADAu
MRYwFAYDVQQKEw1DaXNjbyBTeXN0ZW1zMRQwEgYDVQQDEwtDQVAtUlRQLTAwMTAe
Fw0wMzAyMDYyMzI3MTNaFw0yMzAyMDYyMzM2MzRaMC4xFjAUBgNVBAoTDUNpc2Nv
IFN5c3RlbXMxFDASBgNVBAMTC0NBUC1SVFAtMDAxMIIBIDANBgkqhkiG9w0BAQEF
AAOCAQ0AMIIBCAKCAQEArFW77Rjem4cJ/7yPLVCauDohwZZ/3qf0sJaWlLeAzBlq
Rj2lFlSij0ddkDtfEEo9VKmBOJsvx6xJlWJiuBwUMDhTRbsuJz+npkaGBXPOXJmN
Vd54qlpc/hQDfWlbrIFkCcYhHws7vwnPsLuy1Kw2L2cP0UXxYghSsx8H4vGqdPFQ
NnYy7aKJ43SvDFt4zn37n8jrvlRuz0x3mdbcBEdHbA825Yo7a8sk12tshMJ/YdMm
vny0pmDNZXmeHjqEgVO3UFUn6GVCO+K1y1dUU1qpYJNYtqLkqj7wgccGjsHdHr3a
U+bw1uLgSGsQnxMWeMaWo8+6hMxwlANPweufgZMaywIBA6OBwzCBwDALBgNVHQ8E
BAMCAYYwDwYDVR0TAQH/BAUwAwEB/zAdBgNVHQ4EFgQU6Rexgscfz6ypG270qSac
cK4FoJowbwYDVR0fBGgwZjBkoGKgYIYtaHR0cDovL2NhcC1ydHAtMDAxL0NlcnRF
bnJvbGwvQ0FQLVJUUC0wMDEuY3Jshi9maWxlOi8vXFxjYXAtcnRwLTAwMVxDZXJ0
RW5yb2xsXENBUC1SVFAtMDAxLmNybDAQBgkrBgEEAYI3FQEEAwIBADANBgkqhkiG
9w0BAQUFAAOCAQEAq2T96/YMMtw2Dw4QX+F1+g1XSrUCrNyjx7vtFaRDHyB+kobw
dwkpohfkzfTyYpJELzV1r+kMRoyuZ7oIqqccEroMDnnmeApc+BRGbDJqS1Zzk4OA
c6Ea7fm53nQRlcSPmUVLjDBzKYDNbnEjizptaIC5fgB/S9S6C1q0YpTZFn5tjUjy
WXzeYSXPrcxb0UH7IQJ1ogpONAAUKLoPaZU7tVDSH3hD4+VjmLyysaLUhksGFrrN
phzZrsVVilK17qpqCPllKLGAS4fSbkruq3r/6S/SpXS6/gAoljBKixP7ZW2PxgCU
1aU9cURLPO95NDOFN3jBk3Sips7cVidcogowPQ==
quit
Certificate has the following attributes:
Fingerprint MD5: 233C8E33 8632EA4E 76D79FEB FFB061C6
Fingerprint SHA1: F7B40B94 5831D2AB 447AB8F2 25990732 227631BE
% Do you accept this certificate? [yes/no]: y
Trustpoint CA certificate accepted.
% Certificate successfully imported
Use the show crypto pki trustpoint status command to show that enrollment has succeeded
and that five CA certificates were granted. The five certificates include the three
certificates just entered and the CA server certificate and the SRST router certificate.
Router# show crypto pki trustpoint status
Trustpoint 7970:
Issuing CA certificate configured:
Subject Name:
cn=CAP-RTP-002,o=Cisco Systems
Fingerprint MD5: F7E150EA 5E6E3AC5 615FC696 66415C9F
Fingerprint SHA1: 1BE2B503 DC72EE28 0C0F6B18 798236D8 D3B18BE6
State:
Keys generated ............. Yes (General Purpose)
Issuing CA authenticated ....... Yes
Certificate request(s) ..... None
Trustpoint 7960:
Issuing CA certificate configured:
Subject Name:
cn=CAPF-508A3754,o=Cisco Systems Inc,c=US
Fingerprint MD5: 6BAE18C2 0BCE391E DAE2FE4C 5810F576
Fingerprint SHA1: B7735A2E 3A5C274F C311D7F1 3BE89942 355102DE
State:
Keys generated ............. Yes (General Purpose)
Issuing CA authenticated ....... Yes
Certificate request(s) ..... None
Trustpoint PEM:
Issuing CA certificate configured:
Subject Name:
cn=CAP-RTP-001,o=Cisco Systems
Fingerprint MD5: 233C8E33 8632EA4E 76D79FEB FFB061C6
Fingerprint SHA1: F7B40B94 5831D2AB 447AB8F2 25990732 227631BE
State:
Keys generated ............. Yes (General Purpose)
Issuing CA authenticated ....... Yes
Certificate request(s) ..... None
Trustpoint srstcaserver:
Issuing CA certificate configured:
Subject Name:
cn=srstcaserver
Fingerprint MD5: 6AF5B084 79C93F2B 76CC8FE6 8781AF5E
Fingerprint SHA1: 47D30503 38FF1524 711448B4 9763FAF6 3A8E7DCF
State:
Keys generated ............. Yes (General Purpose)
Issuing CA authenticated ....... Yes
Certificate request(s) ..... None
Trustpoint srstca:
Issuing CA certificate configured:
Subject Name:
cn=srstcaserver
Fingerprint MD5: 6AF5B084 79C93F2B 76CC8FE6 8781AF5E
Fingerprint SHA1: 47D30503 38FF1524 711448B4 9763FAF6 3A8E7DCF
Router General Purpose certificate configured:
Subject Name:
serialNumber=F3246544+hostname=c2611XM-sSRST.cisco.com
Fingerprint: 35471295 1C907EC1 45B347BC 7A9C4B86
State:
Keys generated ............. Yes (General Purpose)
Issuing CA authenticated ....... Yes
Certificate request(s) ..... Yes

Cisco Unified Communications Manager 5.0 以降のバージョンの例

次の例は、Cisco Unified Communications Manager 5.0 を実行するシステムに必要な 4 つの証明書 (CAPF、CiscoCA、CiscoManufactureCA、および CiscoRootCA2048) の設定を示しています。

Router(config)# crypto pki trustpoint CAPF
Router(ca-trustpoint)# revocation-check none
Router(ca-trustpoint)# enrollment terminal
Router(ca-trustpoint)# exit
Router(config)# crypto pki authenticate CAPF

Enter the base 64 encoded CA certificate.
End with a blank line or the word "quit" on a line by itself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Certificate has the following attributes:
Fingerprint MD5: 1951DJ4E 76D79FEB FFB061C6 233C8E33
Fingerprint SHA1: 222891BE Z7B89B94 447AB8F2 5831D2AB 25990732
% Do you accept this certificate? [yes/no]: y
Trustpoint CA certificate accepted.
% Certificate successfully imported

Router(config)# crypto pki trustpoint CiscoCA
Router(ca-trustpoint)# revocation-check none
Router(ca-trustpoint)# enrollment terminal
Router(ca-trustpoint)# exit
Router(config)# crypto pki authenticate CiscoCA

Enter the base 64 encoded CA certificate.
End with a blank line or the word "quit" on a line by itself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quit
Certificate has the following attributes:
Fingerprint MD5: 21956CBR 4B9706DF 0F3BA6B7 7P54AZ72
Fingerprint SHA1: A9917775 F86BB37A 7H130ED2 3E528BB8 286E8C2D
% Do you accept this certificate? [yes/no]: y
Trustpoint CA certificate accepted.
% Certificate successfully imported

Router(config)# crypto pki trustpoint CiscoManufactureCA
Router(ca-trustpoint)# revocation-check none
Router(ca-trustpoint)# enrollment terminal
Router(ca-trustpoint)# exit
Router(config)# crypto pki authenticate CiscoManufactureCA

Enter the base 64 encoded CA certificate.
End with a blank line or the word "quit" on a line by itself
MIIE2TCCA8GgAwIBAgIKamlnswAAAAAAAzANBgkqhkiG9w0BAQUFADA1MRYwFAYD
D/g2qgfEMkHFp68dGf/2c5k5WnNnYhM0DR9elXBSZBcG7FNcXNtq6jUAQQIBA6OC
AecwggHjMBIGA1UdEwEB/wQIMAYBAf8CAQAwHQYDVR0OBBYEFNDFIiarT0Zg7K4F
kcfcWtGwR/dsMAsGA1UdDwQEAwIBhjAQBgkrBgEEAYI3FQEEAwIBADAZBgkrBgEE
AYI3FAIEDB4KAFMAdQBiAEMAQTAfBgNVHSMEGDAWgBQn88gVHm6aAgkWrSugiWBf
2nsvqjBDBgNVHR8EPDA6MDigNqA0hjJodHRwOi8vd3d3LmNpc2NvLmNvbS9zZWN1
cml0eS9wa2kvY3JsL2NyY2EyMDQ4LmNybDBQBggrBgEFBQcBAQREMEIwQAYIKwYB
BQUHMAKGNGh0dHA6Ly93d3cuY2lzY28uY29tL3NlY3VyaXR5L3BraS9jZXJ0cy9j
cmNhMjA0OC5jZXIwXAYDVR0gBFUwUzBRBgorBgEEAQkVAQIAMEMwQQYIKwYBBQUH
I+ii6itvaSN6go4cTAnPpE+rhC836WVg0ZrG2PML9d7QJwBcbx2RvdFOWFEdyeP3
OOfTC9Fovo4ipUsG4eakqjN9GnW6JvNwxmEApcN5JlunGdGTjaubEBEpH6GC/f08
S25l3JNFBemvM2tnIwcGhiLa69yHz1khQhrpz3B1iOAkPV19TpY4gJfVb/Cbcdi6
YBmlsGGGrd1lZva5J6LuL2GbuqEwYf2+rDUU+bgtlwavw+9tzD0865XpgdOKXrbO
+nmka9eiV2TEP0zJ2+iC7AFm1BCIolblPFft6QKoSJFjB6thJksaE5/k3Npf
quit
Certificate has the following attributes:
Fingerprint MD5: 0F3BA6B7 4B9636DF 5F54BE72 24762SBR
Fingerprint SHA1: L92BB37A S9919925 5C130ED2 3E528UP8 286E8C2D
% Do you accept this certificate? [yes/no]: y
Trustpoint CA certificate accepted.
% Certificate successfully imported

Router(config)# crypto pki trustpoint CiscoRootCA2048
Router(ca-trustpoint)# revocation-check none
Router(ca-trustpoint)# enrollment terminal
Router(ca-trustpoint)# exit
Router(config)# crypto pki authenticate CiscoRootCA2048

Enter the base 64 encoded CA certificate.
End with a blank line or the word "quit" on a line by itself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quit
Certificate has the following attributes:
Fingerprint MD5: 2G3LZ6B7 2R1995ER 6KE4WE72 3E528BB8
Fingerprint SHA1: M9912245 5C130ED2 24762JBC 3E528VF8 956E8S5H
% Do you accept this certificate? [yes/no]: y
Trustpoint CA certificate accepted.
% Certificate successfully imported

セキュアな Cisco Unified SRST ルーターへの Cisco Unified Communications Manager の設定

Cisco Unified Communications Manager では次のタスクが実行されます。

Cisco Unified Communications Manager への SRST リファレンスの追加

次の手順では、Cisco Unified Communications Manager に SRST リファレンスを追加する方法について説明します。

この手順を実行する前に、Cisco Unified SRST ルーターで資格情報サービスが実行されていることを確認してください。 Cisco Unified Communications Manager は、デバイス証明書を取得するために Cisco Unified SRST ルーターに接続します。資格情報サービスを有効にするには、「セキュア Cisco Unified SRST ルーターでの資格情報サービスの有効化」セクションを参照してください。

Cisco Unified SRST を Cisco Unified Communications Manager に追加する方法の詳細については、実行している Cisco Unified Communications Manager バージョンの「Survivable Remote Site Telephony の設定」セクションを参照してください。すべての Cisco Unified CM 管理ガイドは、次の URL にあります: http://www.cisco.com/en/US/products/sw/voicesw/ps556/prod_maintenance_guides_list.html。

Cisco Unified Communications Manager のメニューバーで、CCMAdmin > System > SRST を選択します。
Add New SRST Reference をクリックします。
適切な設定値を入力します。次の図は、SRST リファレンス設定ウィンドウで使用可能なフィールドを示しています。
1. SRST ゲートウェイの名前、IP アドレス、およびポートを入力します。
2. SRST ゲートウェイが安全かどうかを尋ねるボックスをオンにします。
3. 証明書プロバイダー (資格情報サービス) のポート番号を入力します。資格情報サービスは、デフォルトのポート 2445 で実行されます
新しい SRST リファレンスを追加するには、 Insert をクリックします。「ステータス: 挿入が完了しました」というメッセージが表示されます。
さらに SRST リファレンスを追加するには、手順 2 ～ 4 を繰り返します。

Cisco Unified Communications Manager での SRST フォールバックの設定

次の手順では、Cisco Unified Communications で SRST フォールバックを設定する方法について説明します。

Cisco Unified Communications Manager にデバイスプールを追加する方法の詳細については、実行している Cisco Unified Communications Manager バージョンの『Cisco Unified Communications Manager 管理ガイド』の「デバイスプールの設定」セクションを参照してください。すべての Cisco Unified CM 管理ガイドは次の URL にあります。 http://www.cisco.com/en/US/products/sw/voicesw/ps556/prod_maintenance_guides_list.html

手順の概要

Cisco Unified Communications Manager のメニューバーで、CCMAdmin > System > Device Pool を選択します。
デバイスプールを追加するには、次のいずれかの方法を使用します。
ウィンドウの右上隅にある Add New Device Pool リンクをクリックします。デバイスプール。設定ウィンドウが表示されます。
SRST 参照を入力します。
Update をクリックして、デバイスプール情報をデータベースに保存します。

手順の詳細

	コマンドまたはアクション	目的
ステップ 1	Cisco Unified Communications Manager のメニューバーで、CCMAdmin > System > Device Pool を選択します。
ステップ 2	デバイスプールを追加するには、次のいずれかの方法を使用します。	追加する設定に類似したデバイスプールがすでに存在する場合は、既存のデバイスプールを選択してその設定を表示し、 Copy をクリックして、必要に応じて設定を変更します。ステップ 4 に進みます。既存のデバイスプールをコピーせずにデバイスプールを追加するには、手順 3 に進みます。
ステップ 3	ウィンドウの右上隅にある Add New Device Pool リンクをクリックします。デバイスプール。設定ウィンドウが表示されます。
ステップ 4	SRST 参照を入力します。
ステップ 5	Update をクリックして、デバイスプール情報をデータベースに保存します。

Cisco Unified Communications Manager での CAPF の設定

証明機関プロキシ機能 (CAPF) プロセスにより、Cisco Unified IP Phone などのサポートされているデバイスは、Cisco Unified Communications Manager 上の CAPF サービスから LSC 証明書を要求できるようになります。 CAPF ユーティリティは、CAPF に固有のキーペアと証明書を生成し、この証明書をクラスタ内のすべての Cisco Unified Communications Manager サーバーにコピーします。

Cisco Unified Communications Manager で CAPF を設定する詳細な手順については、『 Cisco IP Phone Authentication and Encryption for Cisco Communications Manager 』ドキュメントを参照してください。

セキュアな Cisco Unified SRST ルーターで SRST モードを有効にする

Cisco Unified IP Phone 機能をサポートするためにルーター上でセキュア SRST を設定するには、グローバル設定モードから次のコマンドを使用します。

手順の概要

call-manager-fallback
secondary-dialtone 数字列
transfer-system {blind | full-blind |full-consult | local-consult}
ip source-address ip アドレス [port ポート]
max-ephones 最大電話数
max-dn 最大ディレクトリ番号
transfer-pattern transfer-pattern
exit

手順の詳細

	コマンドまたはアクション	目的
ステップ 1	call-manager-fallback 例: `Router(config)# call-manager-fallback`	コールマネージャフォールバック設定モードに入ります。
ステップ 2	secondary-dialtone `数字列` 例: `Router(config-cm-fallback)# secondary-dialtone 9`	番号文字列がダイヤルされた際にセカンダリダイヤルトーンをアクティブにします。
ステップ 3	transfer-system {blind \| full-blind \|full-consult \| local-consult} 例: `Router(config-cm-fallback)# transfer-system full-consult`	Cisco Unified SRST ルーターによってサービスされるすべての回線のコール転送方法を定義します。 blind : シスコ独自の方法を使用して、単一の電話回線で相談なしに通話を転送します。 full-blind : H.450.2 標準方式を使用して、相談なしで通話を転送します。 full-consult : 2 番目の電話回線が利用可能な場合は、それを使用して相談しながら通話を転送します。 2 つ目の回線が利用できない場合、通話は full-blind に戻ります。 local-consult ：2 番目の電話回線が使用可能な場合は、それを使用して通話がローカルコンサルテーションで転送されます。ローカル以外の相談先またはローカル以外の転送先の場合、通話はブランドにフォールバックします。
ステップ 4	ip source-address `ip アドレス` [port `ポート`] 例: `Router(config-cm-fallback)# ip source-address 10.1.1.22 port 2000`	ルーターが指定された IP アドレスを介して Cisco IP 電話からメッセージを受信できるようにし、厳密な IP アドレス検証を提供します。デフォルトのポート番号は 2000 です。
ステップ 5	max-ephones `最大電話数` 例: `Router(config-cm-fallback)# max-ephones 15`	ルーターでサポートできる Cisco IP 電話の最大数を設定します。最大数はプラットフォームによって異なります。デフォルトは 0 です。詳細については、サポートされているデバイス、ルータープラットフォーム、メモリ仕様セクションを参照してください。
ステップ 6	max-dn `最大ディレクトリ番号` 例: `Router(config-cm-fallback)# max-dn 30`	ルーターでサポートできるディレクトリ番号 (DN) または仮想音声ポートの最大数を設定します。 `max-directory-numbers` : ルーターでサポートされるディレクトリ番号または仮想音声ポートの最大数。最大数はプラットフォームによって異なります。デフォルトは 0 です。詳細については、サポートされているデバイス、ルータープラットフォーム、メモリ仕様セクションを参照してください。
ステップ 7	transfer-pattern `transfer-pattern` 例: `Router(config-cm-fallback)# transfer-pattern .....`	Cisco Unified IP Phone 別に、指定電話番号パターンへの通話転送を許可します。 `転送パターン` : 許可された通話転送の数字文字列。ワイルドカードが許可されます。
ステップ 8	exit 例: `Router(config-cm-fallback)# exit`	call-manager-fallback 設定モードを終了します。

例

次の例では、ルーターで SRST モードを有効にします。


Router(config)# call-manager-fallback
Router(config-cm-fallback)# secondary-dialtone 9
Router(config-cm-fallback)# transfer-system full-consult
Router(config-cm-fallback)# ip source-address 10.1.1.22 port 2000
Router(config-cm-fallback)# max-ephones 15
Router(config-cm-fallback)# max-dn 30
Router(config-cm-fallback)# transfer-pattern .....
Router(config-cm-fallback)# exit

Configuring Secure SCCP SRST

セキュア SCCP SRST を設定するための前提条件

Cisco Unified Communications Manager 4.1 (2) 以降がインストールされ、セキュリティモード (認証および暗号化モード) をサポートしている必要があります。
「アナログ音声ゲートウェイ向けセキュア SCCP SRST」のセクションで説明されている Cisco 4000 シリーズサービス統合型ルーターおよび Cisco アナログ音声ゲートウェイでのセキュア SCCP サポートには、Unified SRST 12.3 以降のリリースが必要です。セキュア SCCP SRST フォールバックの設定と動作は、特に指定がない限り、第 2 世代 Cisco Integrated Services Router で提供されている既存のサポートと一致します。

セキュア SCCP SRST の設定に関する制限

セキュア SCCP SRST モードではサポートされません (Unified SRST 12.2 以前のリリースの場合)

4.1 (2) より前のバージョンの Cisco Unified Communications Manager。
セキュア MOH。MOH はアクティブなままですが、非セキュアに戻ります。
安全なトランスコーディングまたは会議。
安全な H.323 または SIP トランク。
SIP 電話の相互運用性。
ホットスタンバイルーティングプロトコル (HSRP)。

セキュア SCCP SRST モードではサポートされません (Unified SRST 12.3 以降のリリースの場合)

Unified SRST 12.3 で導入されたセキュア SCCP SRST サポートの制限事項については、「セキュア SRST の設定に関する制限事項」の「SCCP SRST」セクションを参照してください。

セキュア SCCP SRST モードでサポートされる通話（Unified SRST 12.2 以前のリリースの場合）

セキュア SCCP SRST モードでは音声通話のみがサポートされます。具体的には、次の音声通話がサポートされています。

基本通話
通話転送（相談およびブラインド）
通話転送（話中、無応答、すべて）
共用回線（IP 電話）
保留と復帰

Unified SRST 12.3 以降のリリースでサポートされている機能の詳細については、「 Secure SRST (SCCP) の機能サポート、Unified SRST リリース 12.3」を参照してください。

電話のステータスと登録の確認

Cisco Unified IP Phone のステータスと登録を確認またはトラブルシューティングするには、特権 EXEC モードから次の手順を実行します。

（注）

次の手順を実行すると、セキュア SCCP SRST で電話のステータスと登録を確認できます。

セキュリティで保護された Cisco Unified SRST ルーターで資格情報サービスを有効にする
Cisco Unified Communications Manager への SRST リファレンスの追加
セキュアな Cisco Unified SRST ルーターで SRST モードを有効にする

手順の概要

show ephone
show ephone offhook
show voice call status
debug ephone register
debug ephone state

手順の詳細

	コマンドまたはアクション	目的
ステップ 1	show ephone 例: Router# show ephone ephone-1 Mac:1000.1111.0002 TCP socket:[5] activeLine:0 REGISTERED in SCCP ver 5 + Authentication + Encryption with TLS connection mediaActive:0 offhook:0 ringing:0 reset:0 reset_sent:0 paging 0 debug:0 IP:10.1.1.40 32626 7970 keepalive 390 max_line 8 button 1: dn 14 number 2002 CM Fallback CH1 IDLE ephone-2 Mac:1000.1111.000B TCP socket:[12] activeLine:0 REGISTERED in SCCP ver 5 + Authentication + Encryption with TLS connection mediaActive:0 offhook:0 ringing:0 reset:0 reset_sent:0 paging 0 debug:0 IP:10.1.1.40 32718 7970 keepalive 390 max_line 8 button 1: dn 21 number 2011 CM Fallback CH1 IDLE ephone-3 Mac:1000.1111.000A TCP socket:[16] activeLine:0 REGISTERED in SCCP ver 5 + Authentication + Encryption with TLS connection mediaActive:0 offhook:0 ringing:0 reset:0 reset_sent:0 paging 0 debug:0 IP:10.1.1.40 32862 7970 keepalive 390 max_line 8 button 1: dn 2 number 2010 CM Fallback CH1 IDLE	このコマンドを使用して、登録されている Cisco Unified IP Phone とその機能を表示します。 show ephone コマンドは、セキュア SCCP SRST に使用する場合、認証と暗号化のステータスも表示します。この例では、TLS 接続で認証と暗号化のステータスがアクティブになっています。
ステップ 2	show ephone offhook 例: Router# show ephone offhook ephone-1 Mac:1000.1111.0002 TCP socket:[5] activeLine:1 REGISTERED in SCCP ver 5 + Authentication + Encryption with TLS connection mediaActive:1 offhook:1 ringing:0 reset:0 reset_sent:0 paging 0 :0 IP:10.1.1.40 32626 7970 keepalive 391 max_line 8 button 1: dn 14 number 2002 CM Fallback CH1 CONNECTED Active Secure Call on DN 14 chan 1 :2002 10.1.1.40 29632 to 10.1.1.40 25616 via 10.1.1.40 G711Ulaw64k 160 bytes no vad Tx Pkts 295 bytes 49468 Rx Pkts 277 bytes 46531 Lost 0 Jitter 0 Latency 0 callingDn 22 calledDn -1 ephone-2 Mac:1000.1111.000B TCP socket:[12] activeLine:1 REGISTERED in SCCP ver 5 + Authentication + Encryption with TLS connection mediaActive:1 offhook:1 ringing:0 reset:0 reset_sent:0 paging 0 debug:0 IP:10.1.1.40 32718 7970 keepalive 391 max_line 8 button 1: dn 21 number 2011 CM Fallback CH1 CONNECTED Active Secure Call on DN 21 chan 1 :2011 10.1.1.40 16382 to 10.1.1.40 16382 via 10.1.1.40 G711Ulaw64k 160 bytes no vad Tx Pkts 295 bytes 49468 Rx Pkts 277 bytes 46531 Lost 0 Jitter 0 Latency 0 callingDn -1 calledDn 11	このコマンドを使用すると、オフフックになっているすべての Cisco IP 電話の状態と品質が表示されます。この例では、TLS 接続で認証と暗号化のステータスがアクティブであり、アクティブな安全な通話が存在します。
ステップ 3	show voice call status 例: CallID CID ccVdb Port DSP/Ch Called # Codec Dial-peers 0x1164 2BFE 0x8619A460 50/0/35.0 2014 g711ulaw 20035/20027 0x1165 2BFE 0x86144B78 50/0/27.0 2014 g711ulaw 20027/20035 0x1166 2C01 0x861043D8 50/0/21.0 2012 g711ulaw 20021/20011 0x1168 2C01 0x860984C4 50/0/11.0 2012 g711ulaw 20011/20021 0x1167 2C04 0x8610EC7C 50/0/22.0 2002 g711ulaw 20022/20014 0x1169 2C04 0x860B8894 50/0/14.0 2002 g711ulaw 20014/20022 0x116A 2C07 0x860A374C 50/0/12.0 2010 g711ulaw 20012/20002 0x116B 2C07 0x86039700 50/0/2.0 2010 g711ulaw 20002/20012 0x116C 2C0A 0x86119520 50/0/23.0 2034 g711ulaw 20023/20020 0x116D 2C0A 0x860F9150 50/0/20.0 2034 g711ulaw 20020/20023 0x116E 2C0D 0x8608DC20 50/0/10.0 2022 g711ulaw 20010/20008 0x116F 2C0D 0x86078AD8 50/0/8.0 2022 g711ulaw 20008/20010 0x1170 2C10 0x861398F0 50/0/26.0 2016 g711ulaw 20026/20028 0x1171 2C10 0x8614F41C 50/0/28.0 2016 g711ulaw 20028/20026 0x1172 2C13 0x86159CC0 50/0/29.0 2018 g711ulaw 20029/20004 0x1173 2C13 0x8604E848 50/0/4.0 2018 g711ulaw 20004/20029 0x1174 2C16 0x8612F04C 50/0/25.0 2026 g711ulaw 20025/20030 0x1175 2C16 0x86164F48 50/0/30.0 2026 g711ulaw 20030/20025 0x1176 2C19 0x860D8C64 50/0/17.0 2032 g711ulaw 20017/20018 0x1177 2C19 0x860E4008 50/0/18.0 2032 g711ulaw 20018/20017 0x1178 2C1C 0x860CE3C0 50/0/16.0 2004 g711ulaw 20016/20019 0x1179 2C1C 0x860EE8AC 50/0/19.0 2004 g711ulaw 20019/20016 0x117A 2C1F 0x86043FA4 50/0/3.0 2008 g711ulaw 20003/20024 0x117B 2C1F 0x861247A8 50/0/24.0 2008 g711ulaw 20024/20003 0x117C 2C22 0x8608337C 50/0/9.0 2020 g711ulaw 20009/20031 0x117D 2C22 0x8616F7EC 50/0/31.0 2020 g711ulaw 20031/20009 0x117E 2C25 0x86063990 50/0/6.0 2006 g711ulaw 20006/20001 0x117F 2C25 0x85C6BE6C 50/0/1.0 2006 g711ulaw 20001/20006 0x1180 2C28 0x860ADFF0 50/0/13.0 2029 g711ulaw 20013/20034 0x1181 2C28 0x8618FBBC 50/0/34.0 2029 g711ulaw 20034/20013 0x1182 2C2B 0x860C3B1C 50/0/15.0 2036 g711ulaw 20015/20005 0x1183 2C2B 0x860590EC 50/0/5.0 2036 g711ulaw 20005/20015 0x1184 2C2E 0x8617A090 50/0/32.0 2024 g711ulaw 20032/20007 0x1185 2C2E 0x8606E234 50/0/7.0 2024 g711ulaw 20007/20032 0x1186 2C31 0x861A56E8 50/0/36.0 2030 g711ulaw 20036/20033 0x1187 2C31 0x86185318 50/0/33.0 2030 g711ulaw 20033/20036 18 active calls found	このコマンドを使用して、Cisco Unified SRST ルーター上のすべての音声ポートの通話ステータスを表示します。このコマンドは、2 つの POTS ダイヤルピア間の通話には適用できません。
ステップ 4	debug ephone register 例: Router# debug ephone register EPHONE registration debugging is enabled Jun 29 09:16:02.180: New Skinny socket accepted [2] (0 active) Jun 29 09:16:02.180: sin_family 2, sin_port 51617, in_addr 10.5.43.177 Jun 29 09:16:02.180: skinny_socket_process: secure skinny sessions = 1 Jun 29 09:16:02.180: add_skinny_secure_socket: pid =155, new_sock=0, ip address = 10.5.43.177 Jun 29 09:16:02.180: skinny_secure_handshake: pid =155, sock=0, args->pid=155, ip address = 10.5.43.177 Jun 29 09:16:02.184: Start TLS Handshake 0 10.5.43.177 51617 Jun 29 09:16:02.184: TLS Handshake retcode OPSSLReadWouldBlockErr Jun 29 09:16:03.188: TLS Handshake retcode OPSSLReadWouldBlockErr Jun 29 09:16:04.188: TLS Handshake retcode OPSSLReadWouldBlockErr Jun 29 09:16:05.188: TLS Handshake retcode OPSSLReadWouldBlockErr Jun 29 09:16:06.188: TLS Handshake retcode OPSSLReadWouldBlockErr Jun 29 09:16:07.188: TLS Handshake retcode OPSSLReadWouldBlockErr Jun 29 09:16:08.188: CRYPTO_PKI_OPSSL - Verifying 1 Certs Jun 29 09:16:08.212: TLS Handshake completes	このコマンドを使用して、Cisco IP 電話の登録プロセスをデバッグします。
ステップ 5	debug ephone state 例: Router# debug ephone state Jan 11 18:33:09.231:%SYS-5-CONFIG_I:Configured from console by console Jan 11 18:33:11.747:ephone-2[2]:OFFHOOK Jan 11 18:33:11.747:ephone-2[2]:---SkinnySyncPhoneDnOverlay s is onhook Jan 11 18:33:11.747:ephone-2[2]:SIEZE on activeLine 0 activeChan 1 Jan 11 18:33:11.747:ephone-2[2]:SetCallState line 1 DN 2(-1) chan 1 ref 6 TsOffHook Jan 11 18:33:11.747:ephone-2[2]:Check Plar Number Jan 11 18:33:11.751:DN 2 chan 1 Voice_Mode Jan 11 18:33:11.751:dn_tone_control DN=2 chan 1 tonetype=33:DtInsideDialTone onoff=1 pid=232 Jan 11 18:33:15.031:dn_tone_control DN=2 chan 1 tonetype=0:DtSilence onoff=0 pid=232 Jan 11 18:33:16.039:ephone-2[2]:Skinny-to-Skinny call DN 2 chan 1 to DN 4 chan 1 instance 1 Jan 11 18:33:16.039:ephone-2[2]:SetCallState line 1 DN 2(-1) chan 1 ref 6 TsProceed Jan 11 18:33:16.039:ephone-2[2]:SetCallState line 1 DN 2(-1) chan 1 ref 6 TsRingOut Jan 11 18:33:16.039:ephone-2[2]::callingNumber 6000 Jan 11 18:33:16.039:ephone-2[2]::callingParty 6000 Jan 11 18:33:16.039:ephone-2[2]:Call Info DN 2 line 1 ref 6 call state 1 called 6001 calling 6000 origcalled Jan 11 18:33:16.039:ephone-2[2]:Call Info DN 2 line 1 ref 6 called 6001 calling 6000 origcalled 6001 calltype 2 Jan 11 18:33:16.039:ephone-2[2]:Call Info for chan 1 Jan 11 18:33:16.039:ephone-2[2]:Original Called Name 6001 Jan 11 18:33:16.039:ephone-2[2]:6000 calling Jan 11 18:33:16.039:ephone-2[2]:6001 Jan 11 18:33:16.047:ephone-3[3]:SetCallState line 1 DN 4(4) chan 1 ref 7 TsRingIn Jan 11 18:33:16.047:ephone-3[3]::callingNumber 6000 Jan 11 18:33:16.047:ephone-3[3]::callingParty 6000 Jan 11 18:33:16.047:ephone-3[3]:Call Info DN 4 line 1 ref 7 call state 7 called 6001 calling 6000 origcalled Jan 11 18:33:16.047:ephone-3[3]:Call Info DN 4 line 1 ref 7 called 6001 calling 6000 origcalled 6001 calltype 1 Jan 11 18:33:16.047:ephone-3[3]:Call Info for chan 1 Jan 11 18:33:16.047:ephone-3[3]:Original Called Name 6001 Jan 11 18:33:16.047:ephone-3[3]:6000 calling Jan 11 18:33:16.047:ephone-3[3]:6001 Jan 11 18:33:16.047:ephone-3[3]:Ringer Inside Ring On Jan 11 18:33:16.051:dn_tone_control DN=2 chan 1 tonetype=36:DtAlertingTone onoff=1 pid=232 Jan 11 18:33:20.831:ephone-3[3]:OFFHOOK Jan 11 18:33:20.831:ephone-3[3]:---SkinnySyncPhoneDnOverlay s is onhook Jan 11 18:33:20.831:ephone-3[3]:Ringer Off Jan 11 18:33:20.831:ephone-3[3]:ANSWER call Jan 11 18:33:20.831:ephone-3[3]:SetCallState line 1 DN 4(-1) chan 1 ref 7 TsOffHook Jan 11 18:33:20.831:ephone-3[3][SEP000DEDAB3EBF]:Answer Incoming call from ephone-(2) DN 2 chan 1 Jan 11 18:33:20.831:ephone-3[3]:SetCallState line 1 DN 4(-1) chan 1 ref 7 TsConnected Jan 11 18:33:20.831:defer_start for DN 2 chan 1 at CONNECTED Jan 11 18:33:20.831:ephone-2[2]:SetCallState line 1 DN 2(-1) chan 1 ref 6 TsConnected Jan 11 18:33:20.835:ephone-3[3]::callingNumber 6000 Jan 11 18:33:20.835:ephone-3[3]::callingParty 6000 Jan 11 18:33:20.835:ephone-3[3]:Call Info DN 4 line 1 ref 7 call state 4 called 6001 calling 6000 origcalled Jan 11 18:33:20.835:ephone-3[3]:Call Info DN 4 line 1 ref 7 called 6001 calling 6000 origcalled 6001 calltype 1 Jan 11 18:33:20.835:ephone-3[3]:Call Info for chan 1 Jan 11 18:33:20.835:ephone-3[3]:Original Called Name 6001 Jan 11 18:33:20.835:ephone-3[3]:6000 calling Jan 11 18:33:20.835:ephone-3[3]:6001 Jan 11 18:33:20.835:ephone-2[2]:Security Key Generation ! Ephone 2 generates a security key. Jan 11 18:33:20.835:ephone-2[2]:OpenReceive DN 2 chan 1 codec 4:G711Ulaw64k duration 20 ms bytes 160 Jan 11 18:33:20.835:ephone-2[2]:Send Decryption Key ! Ephone 2 sends the decryption key. Jan 11 18:33:20.835:ephone-3[3]:Security Key Generation !Ephone 3 generates its security key. Jan 11 18:33:20.835:ephone-3[3]:OpenReceive DN 4 chan 1 codec 4:G711Ulaw64k duration 20 ms bytes 160 Jan 11 18:33:20.835:ephone-3[3]:Send Decryption Key ! Ephone 3 sends its decryption key. Jan 11 18:33:21.087:dn_tone_control DN=2 chan 1 tonetype=0:DtSilence onoff=0 pid=232 Jan 11 18:33:21.087:DN 4 chan 1 Voice_Mode Jan 11 18:33:21.091:DN 2 chan 1 End Voice_Mode Jan 11 18:33:21.091:DN 2 chan 1 Voice_Mode Jan 11 18:33:21.095:ephone-2[2]:OpenReceiveChannelAck:IP 1.1.1.8, port=25552, dn_index=2, dn=2, chan=1 Jan 11 18:33:21.095:ephone-3[3]:StartMedia 1.1.1.8 port=25552 Jan 11 18:33:21.095:DN 2 chan 1 codec 4:G711Ulaw64k duration 20 ms bytes 160 Jan 11 18:33:21.095:ephone-3[3]:Send Encryption Key ! Ephone 3 sends its encryption key. Jan 11 18:33:21.347:ephone-3[3]:OpenReceiveChannelAck:IP 1.1.1.9, port=17520, dn_index=4, dn=4, chan=1 Jan 11 18:33:21.347:ephone-2[2]:StartMedia 1.1.1.9 port=17520 Jan 11 18:33:21.347:DN 2 chan 1 codec 4:G711Ulaw64k duration 20 ms bytes 160 Jan 11 18:33:21.347:ephone-2[2]:Send Encryption Key !Ephone 2 sends its encryption key.Jan 11 18:33:21.851:ephone-2[2]::callingNumber 6000 Jan 11 18:33:21.851:ephone-2[2]::callingParty 6000 Jan 11 18:33:21.851:ephone-2[2]:Call Info DN 2 line 1 ref 6 call state 4 called 6001 calling 6000 origcalled Jan 11 18:33:21.851:ephone-2[2]:Call Info DN 2 line 1 ref 6 called 6001 calling 6000 origcalled 6001 calltype 2 Jan 11 18:33:21.851:ephone-2[2]:Call Info for chan 1 Jan 11 18:33:21.851:ephone-2[2]:Original Called Name 6001 Jan 11 18:33:21.851:ephone-2[2]:6000 calling Jan 11 18:33:21.851:ephone-2[2]:6001	このコマンドを使用して、2 台のセキュアな Cisco Unified IP Phone 間の通話セットアップを確認します。 debug ephone state trace は、2 台の電話機間での暗号化キーと復号化キーの生成と配布を示します。

セキュア SCCP SRST の設定例

このセクションでは、次の構成例を示します。

（注）

例中の IP アドレスとホスト名は架空のものです。

セキュア SCCP SRST: 例

このセクションでは、前のセクションで特定された構成タスクに一致する構成例を示します。この例では、サードパーティの CA は使用されず、Cisco IOS 証明書サーバーを使用して証明書を生成することが想定されています。

Router# show running-config
.
.
.
! Define Unified Communications Manager.
ccm-manager fallback-mgcp
ccm-manager mgcp
ccm-manager music-on-hold
ccm-manager config server 10.1.1.13
ccm-manager config
!
! Define root CA.
crypto pki server srstcaserver
database level complete
database url nvram
issuer-name CN=srstcaserver
!
crypto pki trustpoint srstca
enrollment url http://10.1.1.22:80
revocation-check none
!
crypto pki trustpoint srstcaserver
revocation-check none
rsakeypair srstcaserver
!
! Define CTL/7970 trustpoint.
crypto pki trustpoint 7970
enrollment terminal
revocation-check none
!
crypto pki trustpoint PEM
enrollment terminal
revocation-check none
!
! Define CAPF/7960 trustpoint.
crypto pki trustpoint 7960
enrollment terminal
revocation-check none
!
! SRST router device certificate.
crypto pki certificate chain srstca
certificate 02
308201AD 30820116 A0030201 02020102 300D0609 2A864886 F70D0101 04050030
17311530 13060355 0403130C 73727374 63617365 72766572 301E170D 30343034
31323139 35323233 5A170D30 35303431 32313935 3232335A 30343132 300F0603
55040513 08443042 39453739 43301F06 092A8648 86F70D01 09021612 6A61736F
32363931 2E636973 636F2E63 6F6D305C 300D0609 2A864886 F70D0101 01050003
4B003048 024100D7 0CC354FB 5F7C1AE7 7A25C3F2 056E0485 22896D36 6CA70C19
C98F9BAE AE9D1F9B D4BB7A67 F3251174 193BB1A3 12946123 E5C1CCD7 A23E6155
FA2ED743 3FB8B902 03010001 A330302E 300B0603 551D0F04 04030205 A0301F06
03551D23 04183016 8014F829 CE97AD60 18D05467 FC293963 C2470691 F9BD300D
06092A86 4886F70D 01010405 00038181 007EB48E CAE9E1B3 D1E7A185 D7F0D565
CB84B17B 1151BD78 B3E39763 59EC650E 49371F6D 99CBD267 EB8ADF9D 9E43A5F2
FB2B18A0 34AF6564 11239473 41478AFC A86E6DA1 AC518E0B 8657CEBB ED2BDE8E
B586FE67 00C358D4 EFDD8D44 3F423141 C2D331D3 1EE43B6E 6CB29EE7 0B8C2752
C3AF4A66 BD007348 D013000A EA3C206D CF
quit
certificate ca 01
30820207 30820170 A0030201 02020101 300D0609 2A864886 F70D0101 04050030
17311530 13060355 0403130C 73727374 63617365 72766572 301E170D 30343034
31323139 34353136 5A170D30 37303431 32313934 3531365A 30173115 30130603
55040313 0C737273 74636173 65727665 7230819F 300D0609 2A864886 F70D0101
01050003 818D0030 81890281 8100C3AF EE1E4BB1 9922A8DA 2BB9DC8E 5B1BD332
1051C9FE 32A971B3 3C336635 74691954 98E765B1 059E24B6 32154E99 105CA989
9619993F CC72C525 7357EBAC E6335A32 2AAF9391 99325BFD 9B8355EB C10F8963
9D8FC222 EE8AC831 71ACD3A7 4E918A8F D5775159 76FBF499 5AD0849D CAA41417
DD866902 21E5DD03 C37D4B28 0FAB0203 010001A3 63306130 0F060355 1D130101
FF040530 030101FF 300E0603 551D0F01 01FF0404 03020186 301D0603 551D0E04
160414F8 29CE97AD 6018D054 67FC2939 63C24706 91F9BD30 1F060355 1D230418
30168014 F829CE97 AD6018D0 5467FC29 3963C247 0691F9BD 300D0609 2A864886
F70D0101 04050003 8181007A F71B25F9 73D74552 25DFD03A D8D1338F 6792C805
47A81019 795B5AAE 035400BB F859DABF 21892B5B E71A8283 08950414 8633A8B2
C98565A6 C09CA641 88661402 ACC424FD 36F23360 ABFF4C55 BB23C66A C80A3A57
5EE85FF8 C1B1A540 E818CE6D 58131726 BB060974 4E1A2F4B E6195522 122457F3
DEDBAAD7 3780136E B112A6
quit
crypto pki certificate chain srstcaserver
certificate ca 01
30820207 30820170 A0030201 02020101 300D0609 2A864886 F70D0101 04050030
17311530 13060355 0403130C 73727374 63617365 72766572 301E170D 30343034
31323139 34353136 5A170D30 37303431 32313934 3531365A 30173115 30130603
55040313 0C737273 74636173 65727665 7230819F 300D0609 2A864886 F70D0101
01050003 818D0030 81890281 8100C3AF EE1E4BB1 9922A8DA 2BB9DC8E 5B1BD332
1051C9FE 32A971B3 3C336635 74691954 98E765B1 059E24B6 32154E99 105CA989
9619993F CC72C525 7357EBAC E6335A32 2AAF9391 99325BFD 9B8355EB C10F8963
9D8FC222 EE8AC831 71ACD3A7 4E918A8F D5775159 76FBF499 5AD0849D CAA41417
DD866902 21E5DD03 C37D4B28 0FAB0203 010001A3 63306130 0F060355 1D130101
FF040530 030101FF 300E0603 551D0F01 01FF0404 03020186 301D0603 551D0E04
160414F8 29CE97AD 6018D054 67FC2939 63C24706 91F9BD30 1F060355 1D230418
30168014 F829CE97 AD6018D0 5467FC29 3963C247 0691F9BD 300D0609 2A864886
F70D0101 04050003 8181007A F71B25F9 73D74552 25DFD03A D8D1338F 6792C805
47A81019 795B5AAE 035400BB F859DABF 21892B5B E71A8283 08950414 8633A8B2
C98565A6 C09CA641 88661402 ACC424FD 36F23360 ABFF4C55 BB23C66A C80A3A57
5EE85FF8 C1B1A540 E818CE6D 58131726 BB060974 4E1A2F4B E6195522 122457F3
DEDBAAD7 3780136E B112A6
quit
crypto pki certificate chain 7970
certificate ca 353FB24BD70F14A346C1F3A9AC725675
308203A8 30820290 A0030201 02021035 3FB24BD7 0F14A346 C1F3A9AC 72567530
0D06092A 864886F7 0D010105 0500302E 31163014 06035504 0A130D43 6973636F
20537973 74656D73 31143012 06035504 03130B43 41502D52 54502D30 3032301E
170D3033 31303130 32303138 34395A17 0D323331 30313032 30323733 375A302E
31163014 06035504 0A130D43 6973636F 20537973 74656D73 31143012 06035504
03130B43 41502D52 54502D30 30323082 0120300D 06092A86 4886F70D 01010105
00038201 0D003082 01080282 010100C4 266504AD 7DC3FD8D 65556FA6 308FAE95
B570263B 575ABD96 1CC8F394 5965D9D0 D8CE02B9 F808CCD6 B7CD8C46 24801878
57DC4440 A7301DDF E40FB1EF 136212EC C4F3B50F BCAFBB4B CD2E5826 34521B65
01555FE4 D4206776 03368357 83932638 D6FC953F 3A179E44 67255A73 45C69DEE
FB4D221B 21D7A3AD 38184171 8FD8C271 42183E65 09461434 736C77CC F380EEBF
632C7B3F A5F92AA6 A8EF3490 8724A84F 4DAF7FD7 0928F585 764D3558 3C0FE9AF
1ED8763F A299A802 970004AD 1912D265 7DE335B4 BCB6F789 DC68B9FA C8FDF85E
8A28AD8F 0F4883C0 77112A47 141DBEE0 948FBE53 FE67B308 D40C8029 87BD790E
CDAB9FD7 A190C1A2 A462C5F2 4A6E0B02 0103A381 C33081C0 300B0603 551D0F04
04030201 86300F06 03551D13 0101FF04 05300301 01FF301D 0603551D 0E041604
1452922B E288EE2E 098A4E7E 702C56A5 9AB4D49B 96306F06 03551D1F 04683066
3064A062 A060862D 68747470 3A2F2F63 61702D72 74702D30 30322F43 65727445
6E726F6C 6C2F4341 502D5254 502D3030 322E6372 6C862F66 696C653A 2F2F5C5C
6361702D 7274702D 3030325C 43657274 456E726F 6C6C5C43 41502D52 54502D30
30322E63 726C3010 06092B06 01040182 37150104 03020100 300D0609 2A864886
F70D0101 05050003 82010100 56838CEF C4DA3AD1 EA8FBB15 2FFE6EE5 50A1972B
D4D7AF1F D298892C D5A2A76B C3462866 13E0E55D DC0C4B92 5AA94B6E 69277F9B
FC73C697 11266E19 451C0FAB A55E6A28 901A48C5 B9911EE6 348A8920 0AEDE1E0
B6EA781C FFD97CA4 B03C0E34 0E5B0649 8B0A34C9 B73A654E 09050C1F 4DA53E44
BF78443D B08C3A41 2EEEB873 78CB8089 34F9D16E 91512F0D 3A8674AD 0991ED1A
92841E76 36D7740E CB787F11 685B9E9D 0C67E85D AF6D05BA 3488E86D 7E2F7F65
6918DE0F BD3C7F67 D8A33F70 9C4A596E D9F62B3B 1EDEE854 D5882AD4 3D71F72B
8FAB7F3C 0B5F0759 D9828F83 954D7BB1 57A638EC 7D72BFF1 8933C16F 760BCA94
4C5B1931 67947A4F 89A1BDB5
quit
crypto pki certificate chain PEM
certificate ca 7612F960153D6F9F4E42202032B72356
308203A8 30820290 A0030201 02021076 12F96015 3D6F9F4E 42202032 B7235630
0D06092A 864886F7 0D010105 0500302E 31163014 06035504 0A130D43 6973636F
20537973 74656D73 31143012 06035504 03130B43 41502D52 54502D30 3031301E
170D3033 30323036 32333237 31335A17 0D323330 32303632 33333633 345A302E
31163014 06035504 0A130D43 6973636F 20537973 74656D73 31143012 06035504
03130B43 41502D52 54502D30 30313082 0120300D 06092A86 4886F70D 01010105
00038201 0D003082 01080282 010100AC 55BBED18 DE9B8709 FFBC8F2D 509AB83A
21C1967F DEA7F4B0 969694B7 80CC196A 463DA516 54A28F47 5D903B5F 104A3D54
A981389B 2FC7AC49 956262B8 1C143038 5345BB2E 273FA7A6 46860573 CE5C998D
55DE78AA 5A5CFE14 037D695B AC816409 C6211F0B 3BBF09CF B0BBB2D4 AC362F67
0FD145F1 620852B3 1F07E2F1 AA74F150 367632ED A289E374 AF0C5B78 CE7DFB9F
C8EBBE54 6ECF4C77 99D6DC04 47476C0F 36E58A3B 6BCB24D7 6B6C84C2 7F61D326
BE7CB4A6 60CD6579 9E1E3A84 8153B750 5527E865 423BE2B5 CB575453 5AA96093
58B6A2E4 AA3EF081 C7068EC1 DD1EBDDA 53E6F0D6 E2E0486B 109F1316 78C696A3
CFBA84CC 7094034F C1EB9F81 931ACB02 0103A381 C33081C0 300B0603 551D0F04
04030201 86300F06 03551D13 0101FF04 05300301 01FF301D 0603551D 0E041604
14E917B1 82C71FCF ACA91B6E F4A9269C 70AE05A0 9A306F06 03551D1F 04683066
3064A062 A060862D 68747470 3A2F2F63 61702D72 74702D30 30312F43 65727445
6E726F6C 6C2F4341 502D5254 502D3030 312E6372 6C862F66 696C653A 2F2F5C5C
6361702D 7274702D 3030315C 43657274 456E726F 6C6C5C43 41502D52 54502D30
30312E63 726C3010 06092B06 01040182 37150104 03020100 300D0609 2A864886
F70D0101 05050003 82010100 AB64FDEB F60C32DC 360F0E10 5FE175FA 0D574AB5
02ACDCA3 C7BBED15 A4431F20 7E9286F0 770929A2 17E4CDF4 F2629244 2F3575AF
E90C468C AE67BA08 AAA71C12 BA0C0E79 E6780A5C F814466C 326A4B56 73938380
73A11AED F9B9DE74 1195C48F 99454B8C 30732980 CD6E7123 8B3A6D68 80B97E00
7F4BD4BA 0B5AB462 94D9167E 6D8D48F2 597CDE61 25CFADCC 5BD141FB 210275A2
0A4E3400 1428BA0F 69953BB5 50D21F78 43E3E563 98BCB2B1 A2D4864B 0616BACD
A61CD9AE C5558A52 B5EEAA6A 08F96528 B1804B87 D26E4AEE AB7AFFE9 2FD2A574
BAFE0028 96304A8B 13FB656D 8FC60094 D5A53D71 444B3CEF 79343385 3778C193
74A2A6CE DC56275C A20A303D
quit
crypto pki certificate chain 7960
certificate ca F301
308201F7 30820160 A0030201 020202F3 01300D06 092A8648 86F70D01 01050500
3041310B 30090603 55040613 02555331 1A301806 0355040A 13114369 73636F20
53797374 656D7320 496E6331 16301406 03550403 130D4341 50462D33 35453038
33333230 1E170D30 34303430 39323035 3530325A 170D3139 30343036 32303535
30315A30 41310B30 09060355 04061302 5553311A 30180603 55040A13 11436973
636F2053 79737465 6D732049 6E633116 30140603 55040313 0D434150 462D3335
45303833 33323081 9F300D06 092A8648 86F70D01 01010500 03818D00 30818902
818100C8 BD9B6035 366B44E8 0F693A47 250FF865 D76C35F7 89B1C4FD 1D122CE0
F5E5CDFF A4A87EFF 41AD936F E5C93163 3E55D11A AF82A5F6 D563E21C EB89EBFA
F5271423 C3E875DC E0E07967 6E1AAB4F D3823E12 53547480 23BA1A09 295179B6
85A0E83A 77DD0633 B9710A88 0890CD4D DB55ADD0 964369BA 489043BB B667E60F
93954B02 03010001 300D0609 2A864886 F70D0101 05050003 81810056 60FD3AB3
6F98D2AD 40C309E2 C05B841C 5189271F 01D864E8 98BCE665 2AFBCC8C 54007A84
8F772C67 E3047A6C C62F6508 B36A6174 B68C1D78 C2228FEA A89ECEFB CC8BA9FC
0F30E151 431670F9 918514D9 868D1235 18137F1E 50DFD32E 1DC29CB7 95EF4096
421AF22F 5C1D5804 B83F8E8E 95B04F45 86563BFE DF976C5B FB490A
quit
!
!
no crypto isakmp enable
!
! Enable IPSec.
crypto isakmp policy 1
authentication pre-share
lifetime 28800
crypto isakmp key cisco123 address 10.1.1.13
! The crypto key should match the key configured on Cisco Unified Communications Manager.
!
! The crypto IPSec configuration should match your Cisco Unified Communications Manager
configuration.
crypto ipsec transform-set rtpset esp-des esp-md5-hmac
!
!
crypto map rtp 1 ipsec-isakmp
set peer 10.1.1.13
set transform-set rtpset
match address 116
!
!
interface FastEthernet0/0
ip address 10.1.1.22 255.255.255.0
duplex auto
speed auto
crypto map rtp
!
interface FastEthernet0/1
no ip address
shutdown
duplex auto
speed auto
!
ip classless
!
ip http server
no ip http secure-server
!
!
! Define traffic to be encrypted by IPSec.
access-list 116 permit ip host 10.1.1.22 host 10.1.1.13
!
!
control-plane
!
!
call application alternate DEFAULT
!
!
voice-port 1/0/0
!
voice-port 1/0/1
!
voice-port 1/0/2
!
voice-port 1/0/3
!
voice-port 1/1/0
timing hookflash-out 50
!
voice-port 1/1/1
!
voice-port 1/1/2
!
voice-port 1/1/3
!
! Enable MGCP voice protocol.
mgcp
mgcp call-agent 10.1.1.13 2427 service-type mgcp version 0.1
mgcp dtmf-relay voip codec all mode out-of-band
mgcp rtp unreachable timeout 1000 action notify
mgcp package-capability rtp-package
mgcp package-capability sst-package
no mgcp package-capability fxr-package
no mgcp timer receive-rtcp
mgcp sdp simple
mgcp fax t38 inhibit
mgcp rtp payload-type g726r16 static
!
mgcp profile default
!
!
dial-peer voice 81235 pots
application mgcpapp
destination-pattern 81235
port 1/1/0
forward-digits all
!
dial-peer voice 81234 pots
application mgcpapp
destination-pattern 81234
port 1/0/0
!
dial-peer voice 999100 pots
application mgcpapp
port 1/0/0
!
dial-peer voice 999110 pots
application mgcpapp
port 1/1/0
!
!
! Enable credentials service on the gateway.
credentials
ip source-address 10.1.1.22 port 2445
trustpoint srstca
!
!
! Enable SRST mode.
call-manager-fallback
transport-tcp-tls
secondary-dialtone 9
transfer-system full-consult
ip source-address 10.1.1.22 port 2000
max-ephones 15
max-dn 30
transfer-pattern .....
.
.
.

コントロールプレーンポリシング：例

このセクションでは、コントロールプレーンポリシングを使用して資格情報サービスポートを保護するセキュリティのベストプラクティスの設定例を示します。コントロールプレーンポリシングはゲートウェイを保護し、トラフィック負荷が大きい場合でもパケット転送とプロトコルの状態を維持します。コントロールプレーンの詳細については、コントロールプレーンポリシングのドキュメントを参照してください。

Router# show running-config
.
.
.
! Allow trusted host traffic.
access-list 140 deny tcp host 10.1.1.11 any eq 2445
! Rate-limit all other traffic.
access-list 140 permit tcp any any eq 2445
access-list 140 deny ip any any
! Define class-map "sccp-class."
class-map match-all sccp-class
match access-group 140
policy-map control-plane-policy
class sccp-class
police 8000 1500 1500 conform-action drop exceed-action drop
! Define aggregate control plane service for the active Route Processor.
control-plane
service-policy input control-plane-policy

Cisco SRST を使用したセキュア SIP コールシグナリングと SRTP メディアの設定

Cisco Unified Survivable Remote Site Telephony (Cisco SRST) は、安全なコールシグナリングとメディア暗号化用の Secure Real-time Transport Protocol (SRTP) を提供し、Cisco Unified IP Phone とゲートウェイデバイス間の安全で暗号化された接続を確立します。

Cisco SRST でセキュア SIP コールシグナリングと SRTP メディアを設定するための前提条件

Cisco IOS リリース 15.0(1)XA 以降のリリース。
Cisco Unified IP Phone ファームウェアリリース 8.5 (3) 以降。
「Back-to-Back User Agent モードを使用して SIP SRST 機能を更新するための前提条件」に記載されている前提条件を満たし、必須のタスクを完了します。
「安全な通信に向けて Cisco Unified SRST ルーターの準備を行う」に記載されている証明書を使用するように Cisco Unified SIP SRST デバイスの準備を行います。

Cisco SRST によるセキュア SIP コールシグナリングと SRTP メディアの設定に関する制限

SIP 電話は、認証されたデバイスセキュリティモードで Cisco Unified CM 上で設定できます。 Cisco Unified CM は、シグナリングに NULL-SHA 暗号を使用した TLS 接続を使用して、電話機の整合性と認証を保証します。認証された SIP 電話が Cisco Unified SRST デバイスにフェールオーバーする場合、TLS/TCP ではなく TCP を使用して登録されるため、電話が Cisco Unified CM にフェールバックするまで認証モードは無効になります。

デフォルトでは、非セキュア TCP SIP 電話は、プライマリコール制御からのフェールオーバー時に SRST デバイスに登録できます。 TCP SIP 電話機をサポートするには、暗号化された電話機が展開されていない場合でも、このセクションで説明する安全な SRST 設定が必要です。安全な SIP SRST 構成がない場合、TCP 電話はシグナリング転送に UDP を使用して SRST デバイスに登録されます。

Cisco Unified SIP SRST のセキュア SIP シグナリングおよび SRTP メディアのサポートに関する情報

Cisco IP Phone ファームウェア 8.5 (3) および Cisco IOS リリース 15.0(1)XA 以降、Cisco SRST は UDP、TCP、および TLS 接続を介した SIP シグナリングをサポートし、IP 電話のセキュリティ設定に基づいて RTP と SRTP の両方のメディア接続を提供します。

Cisco SRST SIP-to-SIP および SIP-to-PSTN サポートには、次の機能が含まれます。

基本的な通話
保留/再開
会議
転送
ブラインド転送
コール転送

Cisco SRST SIP から他への（SIP から SCCP への）サポートには基本的な通話が含まれますが、他の機能も動作する場合があります。

Cisco Unified Communications Manager を設定する

SCCP 制御デバイスと同様に、SIP 制御デバイスは、割り当てられたデバイスプールにリストされている SRST リファレンスプロファイルを使用します。 WAN 障害発生時に SIP/TLS 通信が必要な場合は、SRST リファレンスプロファイルで「SRST はセキュアですか」チェックボックスをオンにする必要があります。

（注）

すべての Cisco Unified IP Phone のファームウェアをバージョン 8.5 (3) 以降に更新する必要があります。 8.5 (3) より前のファームウェアを搭載したデバイスでは、「Is SRST Secure」オプションを選択せずに、別のデバイスプールと SRST リファレンスプロファイルを作成する必要があります。このデバイスプール内の SIP 制御デバイスは、UDP 経由の SIP を使用して SRST ルーターに登録しようとします。

Cisco Unified CM Administration で、[システム] > [SRST] の順に選択します。

セキュア SRST プロファイルの場合は、[SRST はセキュアですか?] をチェックする必要があります。 SIP ポートは 5061 である必要があります。
非セキュア SRST プロファイルの場合、[SRST はセキュアですか?] チェックボックスをオンにせず、SIP ポートを 5060 にする必要があります。

[デバイス] > [電話] の順に選択します。

セキュア電話は、セキュア SRST プロファイルを使用するプールに属している必要があります。
非セキュアな電話機は、非セキュアな SRST プロファイルを使用するプールに属している必要があります。

（注）

SIP 電話は、電話セキュリティプロファイルによって割り当てられた転送方法を使用します。

電話の設定

このセクションでは、安全な通話を有効にするために SRTP を使用する必要があること、および安全でない通話が RTP メディアの使用に「フォールバック」することを許可することを指定します。

手順の概要

enable
configure terminal
voice service voip
srtp
allow-connections sip to h323
allow-connections sip to sip
end

手順の詳細

	コマンドまたはアクション	目的
ステップ 1	enable 例: `Router> enable`	特権 EXEC モードを有効にします。プロンプトが表示されたらパスワードを入力してください。
ステップ 2	configure terminal 例: `Router# configure terminal`	グローバル設定モードに移行します。
ステップ 3	voice service voip 例: `Router(config)# voice service voip`	音声サービス設定モードに入ります。
ステップ 4	srtp 例: `Router(config-voi-serv)# srtp`	安全な通話を有効にするために SRTP を使用することを指定します。
ステップ 5	allow-connections sip to h323 例: `Router(config-voi-serv)# allow-connections sip to h323`	(オプション) SIP エンドポイントから H.323 エンドポイントへの接続を許可します。
ステップ 6	allow-connections sip to sip 例: `Router(config-voi-serv)# allow-connections sip to sip`	SIP エンドポイントから SIP エンドポイントへの接続を許可します。
ステップ 7	end 例: `Router(conf-voi-serv)# end`	現在のコンフィギュレーションセッションを終了し、特権 EXEC モードに戻ります。

セキュア SIP SRST の SIP オプションの設定

このセクションでは、セキュア SIP SRTP を設定する方法について説明します。

手順の概要

enable
configure terminal
voice service voip
sip
url sip | sips
srtp negotiate cisco
end

手順の詳細

	コマンドまたはアクション	目的
ステップ 1	enable 例: `Router> enable`	特権 EXEC モードを有効にします。プロンプトが表示されたらパスワードを入力してください。
ステップ 2	configure terminal 例: `Router# configure terminal`	グローバル設定モードに移行します。
ステップ 3	voice service voip 例: `Router(config)# voice service voip`	音声サービス設定モードに入ります。
ステップ 4	sip 例: `Router(config-voi-serv)# sip`	SIP 設定モードを開始します。
ステップ 5	url sip \| sips 例: `Router(conf-serv-sip)# url sips`	セキュアモードを設定するには、 sips キーワードを使用して、VoIP 通話用の SIP セキュア (SIPS) 形式で URL を生成します。デバイスのデフォルトモードを構成するには、 sip キーワードを使用して、VoIP 通話用の SIP 形式の URL を生成します。
ステップ 6	srtp negotiate cisco 例: `Router(conf-serv-sip)# srtp negotiate cisco`	Cisco IOS SIP ゲートウェイが SRTP オファーに応答して RTP プロファイルの送信と受け入れをネゴシエートできるようにします。
ステップ 7	end 例: `Router(conf-serv-sip)# end`	現在のコンフィギュレーションセッションを終了し、特権 EXEC モードに戻ります。

SIP SRST セキュリティポリシーの設定

この項では、secure モードで SRST ルーターへの非セキュア電話の登録をブロックする方法について説明します。

手順の概要

voice register global
security-policy secure
end

手順の詳細

コマンドまたはアクション目的

ステップ 1

voice register global

例:

Router(config)# voice register global

ボイスレジスタのグローバル設定モードに移行します。

ステップ 2

security-policy secure

例:

Router(config-register-global)# security-policy secure

SIP/TLS/TCP 接続のみが許可されるように SIP 登録セキュリティポリシーを構成します。デバイスのデフォルトモードの場合は、 no security-policy コマンドを使用します。デバイスデフォルトモードでは、TLS を使用せずに非セキュアデバイスを登録できます。

（注）

セキュア SRST 機能に対して security-policy secure を設定し、セキュアでない電話がセキュア SRST にフォールバックしないようにすることをお勧めします。

ステップ 3

end

例:

Router(config-register-global)# end

現在のコンフィギュレーションセッションを終了し、特権 EXEC モードに戻ります。

セキュア SIP SRST 用の SIP ユーザーエージェントの設定

このセクションでは、strict-cipher が許可される暗号化アルゴリズムをどのように制限するかについて説明します。

複数のトラストポイント

セキュアモードで Unified SRST に登録する電話機の場合は、 sip-ua 設定モードでデフォルトのトラストポイント設定を使用します。たとえば、 srstca は、Secure SRST のデフォルトのトラストポイントです。このデフォルトのシグナリングトラストポイントは、SIP 電話から Unified Secure SRST ルーターへのすべての SIP TLS インタラクションに使用されます。

複数のトラストポイントがある導入シナリオでは、CA によって発行された証明書を使用したセキュアトランクを介したサービスプロバイダーとの通信は、config モードで CLI コマンド 8.41.20.20 255.255.0.0trustpointsrst-trunk1 を使用して実現されます。 sip-ua

手順の概要

sip-ua
registrar ipv4: 宛先アドレスexpires秒
xfer target dial-peer
crypto signaling default trustpointstring[strict-cipher]
crypto signaling remote-addr{ IP アドレス | サブネットマスク trustpoint トラストポイント名
end

手順の詳細

	コマンドまたはアクション	目的
ステップ 1	sip-ua 例: `Router(config)# sip-ua`	SIP ユーザーエージェント設定モードを開始します。
ステップ 2	registrar ipv4: `宛先アドレス`expires`秒` 例: `Router(config-sip-ua)# registrar ipv4:192.168.2.10 expires 3600`	ゲートウェイが E.164 電話番号をプライマリおよびセカンダリ外部 SIP レジストラに登録できるようにします。 destination-address はプライマリ SIP レジストラサーバーの IP アドレスです。
ステップ 3	xfer target dial-peer 例: `Router(config-sip-ua)# xfer target dial-peer`	SRST がメッセージ本文の内容ではなくダイヤルピアを転送先として使用するように指定します。
ステップ 4	crypto signaling default trustpoint`string`[strict-cipher] 例: `Router(config-sip-ua)# crypto signaling default trustpoint 3745-SRST strict-cipher`	TLS ハンドシェイク中に使用される trustpoint`文字列` キーワードと引数を識別します。 trustpoint`文字列` キーワードと引数は、Cisco IOS 公開鍵インフラストラクチャ (PKI) コマンドを使用して登録プロセスの一部として生成されたゲートウェイの証明書を参照します。 strict-cipher キーワードは、Advanced Encryption Standard-128 (AES-128) 暗号ブロック連鎖 (CBC) セキュアハッシュアルゴリズム (SHA) (TLS_RSA_WITH_AES_128_CBC_SHA) 暗号スイートを使用した TLS RSA 暗号化のサポートを制限します。デバイスのデフォルトモードを設定するには、 strict-cipher キーワードを省略します。
ステップ 5	crypto signaling remote-addr{ `IP アドレス \| サブネットマスク` trustpoint `トラストポイント名` 例: `Router(config-sip-ua)# crypto signaling remote-addr 8.41.20.20 255.255.0.0 trustpoint srst-trunk1`	トラストポイントラベルは、登録プロセスの一部として Cisco IOS PKI コマンドを使用して生成される CUBE の証明書を参照します。キーワードと引数は次のとおりです。 remote-addr`ip address` ：IP アドレスをトラストポイントに関連付けます。 trustpoint`trustpoint-name` —Cisco IOS PKI コマンドを使用して登録プロセスの一部として生成された SIP ゲートウェイ証明書を参照します。
ステップ 6	end 例: `Router(config-sip-ua)# end`	現在のコンフィギュレーションセッションを終了し、特権 EXEC モードに戻ります。

例

次の例は、Unified SRST 展開における複数のトラストポイントの設定例を示しています。この例では、 srst-trunk1 トラストポイントは IP アドレス 8.39.0.0 のネットワークを指し、 srst-trunk2 トラストポイントは IP アドレス 8.41.20.20 のネットワークを指しています。

sip-ua
crypto signaling remote-addr 8.39.0.0 255.255.0.0 trustpoint srst-trunk1
crypto signaling remote-addr 8.41.20.20 255.255.0.0 trustpoint srst-trunk2
crypto signaling default trustpoint secsrst

構成の検証

次の例は、 show sip-ua status registrar コマンドと show voice register global コマンドによって表示されるサンプル構成を示しています。

特権 EXEC モードでの show sip-ua status registrar コマンドは、連絡先アドレスに現在登録されているすべての SIP エンドポイントを表示します。

Router# show sip-ua status registrar
Line         destination     expires(sec) contact
transport    call-id
             peer
============ =============== ============ ===============
3029991      192.168.2.108   388          192.168.2.108
TLS          00120014-4ae40064-f1a3e9fe-8d301072@192.168.2.1
             40004
3029993      192.168.2.103    382          192.168.2.103
TCP          001bd433-1c840052-655cd596-4e992eed@192.168.2.1
             40011
3029982      192.168.2.106    406          192.168.2.106
UDP          001d452c-dbba0056-0481d321-1f3f848d@192.168.2.1
             40001
3029983      192.168.2.106    406          192.168.2.106
UDP          001d452c-dbba0057-1c69b699-d8dc6625@192.168.2.1
             40003
3029992      192.168.2.107    414           192.168.2.107
TLS          001e7a25-50c9002c-48ef7663-50c71794@192.168.2.1
             40005

特権 EXEC モードでの show voice register global コマンドは、SIP 電話に関連付けられているすべてのグローバル設定パラメータを表示します。


Router# show voice register global
    CONFIG [Version=8.0]
    ========================
    Version 8.0
    Mode is srst
    Max-pool is 50
    Max-dn is 100
    Outbound-proxy is enabled and will use global configured value
    Security Policy: DEVICE-DEFAULT
    timeout interdigit 10
    network-locale[0] US (This is the default network locale for this box)
    network-locale[1] US
    network-locale[2] US
    network-locale[3] US
    network-locale[4] US
    user-locale[0] US (This is the default user locale for this box)
    user-locale[1] US
    user-locale[2] US
    user-locale[3] US
    user-locale[4] US
    Router#

Cisco Unified SIP SRST の設定例

Current configuration : 15343 bytes
!
! Last configuration change at 05:34:06 UTC Tue Jun 13 2017
! NVRAM config last updated at 11:57:03 UTC Thu Jun 8 2017
!
version 16.7
service timestamps debug datetime msec
service timestamps log datetime msec
platform qfp utilization monitor load 80
no platform punt-keepalive disable-kernel-core
!
hostname router
!
boot-start-marker
boot-end-marker
!
vrf definition Mgmt-intf
!
address-family ipv4
exit-address-family
!
address-family ipv6
exit-address-family
!
! card type command needed for slot/bay 0/3
no logging queue-limit
logging buffered 20000000
no logging rate-limit
no logging console
enable password xxxx
!
no aaa new-model
!
subscriber templating
!
multilink bundle-name authenticated
!
crypto pki server SRST-CA-2
database level complete
no database archive
grant auto
!
crypto pki trustpoint TRUSTPT-SRST-CA-2
enrollment url http://10.0.0.1:80
serial-number
revocation-check none
rsakeypair srstcakey 2048
rsakeypair SRST-CA-2
!
crypto pki trustpoint SRST-CA-2
revocation-check crl
rsakeypair SRST-CA-2
!
crypto pki trustpoint Cisco_Manufacturing_CA
enrollment terminal
revocation-check none
!
crypto pki trustpoint CAPF-3a66269a
enrollment terminal
revocation-check none
!
crypto pki trustpoint Cisco_Root_CA_2048
enrollment terminal
revocation-check none
!
!
crypto pki certificate chain TRUSTPT-SRST-CA-2
certificate 02
3082020B 30820174 A0030201 02020102 300D0609 2A864886 F70D0101 05050030
14311230 10060355 04031309 53525354 2D43412D 32301E17 0D313730 36303831
31333131 325A170D 31383036 30383131 33313132 5A303231 30301206 03550405
130B4647 4C313735 31313150 42301A06 092A8648 86F70D01 0902160D 416E7473
41726D79 2D343430 3030819F 300D0609 2A864886 F70D0101 01050003 818D0030
81890281 81009E24 6259A98D A61C1973 45A95DA8 DE83ECAD C2B1B448 741F7E64
3D753BF1 19BD54FB 9A4D4A8E 7A2BA416 B93C40B3 A63A7C4D 7303498F 098EF07F
96F26F5F 49AD4E39 EC113DF4 696CB887 607D545A 52A11469 958F4C04 05868DF9
317456F6 3D23837C D46331FA 69FB29E8 3211E01C A7AB19A3 94DAC09F 97601196
A08D7073 76210203 010001A3 4F304D30 0B060355 1D0F0404 030205A0 301F0603
551D2304 18301680 142110B8 F25BD9BD E1D401EC 9D11DC0E AE52CDB8 2F301D06
03551D0E 04160414 2110B8F2 5BD9BDE1 D401EC9D 11DC0EAE 52CDB82F 300D0609
2A864886 F70D0101 05050003 8181003A DC409694 26D08A31 7B4F495F 002D4E57
B28669A9 10E93C68 A9556659 97D326EC A5508201 C1A86659 B1CDC910 73097FCA
F6174794 1057DDDE DBA666D6 0BAFC503 96A10BE5 5FCA3B93 5D377ABE BC9B2774
3732DF01 CE3BF12B 1899AA69 F7EC8726 A1964C5A D6A99A0E E27EE2A0 15A7D364
793C6C8D 961C77E4 397F9CB4 C6A271
quit
certificate ca 01
30820201 3082016A A0030201 02020101 300D0609 2A864886 F70D0101 04050030
14311230 10060355 04031309 53525354 2D43412D 32301E17 0D313730 36303831
31323135 305A170D 32303036 30373131 32313530 5A301431 12301006 03550403
13095352 53542D43 412D3230 819F300D 06092A86 4886F70D 01010105 0003818D
00308189 02818100 9E246259 A98DA61C 197345A9 5DA8DE83 ECADC2B1 B448741F
7E643D75 3BF119BD 54FB9A4D 4A8E7A2B A416B93C 40B3A63A 7C4D7303 498F098E
F07F96F2 6F5F49AD 4E39EC11 3DF4696C B887607D 545A52A1 1469958F 4C040586
8DF93174 56F63D23 837CD463 31FA69FB 29E83211 E01CA7AB 19A394DA C09F9760
1196A08D 70737621 02030100 01A36330 61300F06 03551D13 0101FF04 05300301
01FF300E 0603551D 0F0101FF 04040302 0186301F 0603551D 23041830 16801421
10B8F25B D9BDE1D4 01EC9D11 DC0EAE52 CDB82F30 1D060355 1D0E0416 04142110
B8F25BD9 BDE1D401 EC9D11DC 0EAE52CD B82F300D 06092A86 4886F70D 01010405
00038181 0018859E D39C6A05 63509442 8746D970 BB716DE2 E82BA822 58AA55AD
AC37260F 36BFDFE6 F2D0E489 A8D23690 791AD903 F19AC857 5002E621 A5927ACC
DCB759C0 B126ACAB C53BF054 1F62D895 A895C50A E3AE83E3 EC68F346 50B88D39
BB053EE9 5D466AE4 C6B4593D 7EFA7A78 213C0766 7307A051 78FED92E 5A34AAB6
98D2A59C 31
quit
crypto pki certificate chain SRST-CA-2
certificate ca 01
30820201 3082016A A0030201 02020101 300D0609 2A864886 F70D0101 04050030
14311230 10060355 04031309 53525354 2D43412D 32301E17 0D313730 36303831
31323135 305A170D 32303036 30373131 32313530 5A301431 12301006 03550403
13095352 53542D43 412D3230 819F300D 06092A86 4886F70D 01010105 0003818D
00308189 02818100 9E246259 A98DA61C 197345A9 5DA8DE83 ECADC2B1 B448741F
7E643D75 3BF119BD 54FB9A4D 4A8E7A2B A416B93C 40B3A63A 7C4D7303 498F098E
F07F96F2 6F5F49AD 4E39EC11 3DF4696C B887607D 545A52A1 1469958F 4C040586
8DF93174 56F63D23 837CD463 31FA69FB 29E83211 E01CA7AB 19A394DA C09F9760
1196A08D 70737621 02030100 01A36330 61300F06 03551D13 0101FF04 05300301
01FF300E 0603551D 0F0101FF 04040302 0186301F 0603551D 23041830 16801421
10B8F25B D9BDE1D4 01EC9D11 DC0EAE52 CDB82F30 1D060355 1D0E0416 04142110
B8F25BD9 BDE1D401 EC9D11DC 0EAE52CD B82F300D 06092A86 4886F70D 01010405
00038181 0018859E D39C6A05 63509442 8746D970 BB716DE2 E82BA822 58AA55AD
AC37260F 36BFDFE6 F2D0E489 A8D23690 791AD903 F19AC857 5002E621 A5927ACC
DCB759C0 B126ACAB C53BF054 1F62D895 A895C50A E3AE83E3 EC68F346 50B88D39
BB053EE9 5D466AE4 C6B4593D 7EFA7A78 213C0766 7307A051 78FED92E 5A34AAB6
98D2A59C 31
quit
crypto pki certificate chain Cisco_Manufacturing_CA
certificate ca 6A6967B3000000000003
308204D9 308203C1 A0030201 02020A6A 6967B300 00000000 03300D06 092A8648
86F70D01 01050500 30353116 30140603 55040A13 0D436973 636F2053 79737465
6D73311B 30190603 55040313 12436973 636F2052 6F6F7420 43412032 30343830
1E170D30 35303631 30323231 3630315A 170D3239 30353134 32303235 34325A30
39311630 14060355 040A130D 43697363 6F205379 7374656D 73311F30 1D060355
04031316 43697363 6F204D61 6E756661 63747572 696E6720 43413082 0120300D
06092A86 4886F70D 01010105 00038201 0D003082 01080282 010100A0 C5F7DC96
943515F1 F4994EBB 9B41E17D DB791691 BBF354F2 414A9432 6262C923 F79AE7BB
9B79E807 294E30F5 AE1BC521 5646B0F8 F4E68E81 B816CCA8 9B85D242 81DB7CCB
94A91161 121C5CEA 33201C9A 16A77DDB 99066AE2 36AFECF8 0AFF9867 07F430EE
A5F8881A AAE8C73C 1CCEEE48 FDCD5C37 F186939E 3D71757D 34EE4B14 A9C0297B
0510EF87 9E693130 F548363F D8ABCE15 E2E8589F 3E627104 8726A415 620125AA
D5DFC9C9 5BB8C9A1 077BBE68 92939320 A86CBD15 75D3445D 454BECA8 DA60C7D8
C8D5C8ED 41E1F55F 578E5332 9349D5D9 0FF836AA 07C43241 C5A7AF1D 19FFF673
99395A73 67621334 0D1F5E95 70526417 06EC535C 5CDB6AEA 35004102 0103A382
01E73082 01E33012 0603551D 130101FF 04083006 0101FF02 0100301D 0603551D
0E041604 14D0C522 26AB4F46 60ECAE05 91C7DC5A D1B047F7 6C300B06 03551D0F
04040302 01863010 06092B06 01040182 37150104 03020100 30190609 2B060104
01823714 02040C1E 0A005300 75006200 43004130 1F060355 1D230418 30168014
27F3C815 1E6E9A02 0916AD2B A089605F DA7B2FAA 30430603 551D1F04 3C303A30
38A036A0 34863268 7474703A 2F2F7777 772E6369 73636F2E 636F6D2F 73656375
72697479 2F706B69 2F63726C 2F637263 61323034 382E6372 6C305006 082B0601
05050701 01044430 42304006 082B0601 05050730 02863468 7474703A 2F2F7777
772E6369 73636F2E 636F6D2F 73656375 72697479 2F706B69 2F636572 74732F63
72636132 3034382E 63657230 5C060355 1D200455 30533051 060A2B06 01040109
15010200 30433041 06082B06 01050507 02011635 68747470 3A2F2F77 77772E63
6973636F 2E636F6D 2F736563 75726974 792F706B 692F706F 6C696369 65732F69
6E646578 2E68746D 6C305E06 03551D25 04573055 06082B06 01050507 03010608
2B060105 05070302 06082B06 01050507 03050608 2B060105 05070306 06082B06
01050507 0307060A 2B060104 0182370A 0301060A 2B060104 01823714 02010609
2B060104 01823715 06300D06 092A8648 86F70D01 01050500 03820101 0030F330
2D8CF2CA 374A6499 24290AF2 86AA42D5 23E8A2EA 2B6F6923 7A828E1C 4C09CFA4
4FAB842F 37E96560 D19AC6D8 F30BF5DE D027005C 6F1D91BD D14E5851 1DC9E3F7
38E7D30B D168BE8E 22A54B06 E1E6A4AA 337D1A75 BA26F370 C66100A5 C379265B
A719D193 8DAB9B10 11291FA1 82FDFD3C 4B6E65DC 934505E9 AF336B67 23070686
22DAEBDC 87CF5921 421AE9CF 707588E0 243D5D7D 4E963880 97D56FF0 9B71D8BA
6019A5B0 6186ADDD 6566F6B9 27A2EE2F 619BBAA1 3061FDBE AC3514F9 B82D9706
AFC3EF6D CC3D3CEB 95E981D3 8A5EB6CE FA79A46B D7A25764 C43F4CC9 DBE882EC
0166D410 88A256E5 3C57EDE9 02A84891 6307AB61 264B1A13 9FE4DCDA 5F
quit
crypto pki certificate chain CAPF-3a66269a
certificate ca 583BD5B4844C8BC172B8C4979092A067
308203C3 308202AB A0030201 02021058 3BD5B484 4C8BC172 B8C49790 92A06730
0D06092A 864886F7 0D01010B 05003071 310B3009 06035504 06130249 4E310E30
0C060355 040A0C05 63697363 6F311230 10060355 040B0C09 75637467 2D656467
65311630 14060355 04030C0D 43415046 2D336136 36323639 61311230 10060355
04080C09 6B61726E 6174616B 61311230 10060355 04070C09 62616E67 616C6F72
65301E17 0D313730 35323931 30333631 335A170D 32323035 32383130 33363132
5A307131 0B300906 03550406 1302494E 310E300C 06035504 0A0C0563 6973636F
31123010 06035504 0B0C0975 6374672D 65646765 31163014 06035504 030C0D43
4150462D 33613636 32363961 31123010 06035504 080C096B 61726E61 74616B61
31123010 06035504 070C0962 616E6761 6C6F7265 30820122 300D0609 2A864886
F70D0101 01050003 82010F00 3082010A 02820101 00BC774F BAED3986 05BDFFBC
4EABBFA7 1F73D150 2989EFF2 902502F6 248DA7AB 261E474C 08A4BB6F 35B10449
0A6A3D94 E2C6EB98 57BECE0C 34F30517 CA6CC9B2 710B511B 8826E0AB 733FF26F
F7ADC4B9 76118300 6156072C 43F78E5E 3AD7C92B 54CB5BDB 00B53FC8 875100C4
056BC4A7 0F96CE69 E58B1C22 194CCEC6 968ECF9B 08B7B7B2 0FF0800E 43764BB1
E6ED36C0 A738F762 81A88F6D E464E2A5 FD74207F 1EC7ACAC 2F63B04D E0E9DA4C
901A1710 E3D1C069 82EFF77E 0597254D 149C1263 EC67DAE9 305FD8BF C7410B17
8C6DE9FF 28A37514 86AF828C BC698DD5 F18A3B66 9D8D895A 5562E08D 383F790A
A5C7F6F6 915CB558 042E5B99 71F7169D B3AFA699 2B020301 0001A357 3055300B
0603551D 0F040403 0202A430 13060355 1D25040C 300A0608 2B060105 05070301
301D0603 551D0E04 16041475 71EC5D35 1A431511 7E8C8462 6E65E570 7C551930
12060355 1D130101 FF040830 060101FF 02010030 0D06092A 864886F7 0D01010B
05000382 0101008F 0D3E9F3E 3574100D 97AD876D B4015C21 300A1BD0 59D5C9BF
41A8448D 597CD278 718A6431 BA94C042 7EC64BA0 71F04501 C33C1664 16484373
F3C226A7 256363A9 8BE97291 6B25B8B4 E3DB84C3 3DDB63E7 A9D8D577 6B8F37B3
7CFCE019 D6F09573 946191F7 C4028465 B072DF74 9D6DED45 CA9E6A3B 1401D1A3
5449EDCE 9FA593E3 2FD71031 C7C7EB9C 045DAAFE C67603BF DAB40EE0 352C009F
EAAA6816 A11F6D8B 7C406211 1045A0C6 488B34E1 AF968FAF 3705A364 1EE21A1D
B7080EDC 40D4AA15 E110C5F1 D8A57561 DB2B09F1 0779B855 3998CE22 C471B5CB
09605E24 99855176 2D1CA40E BEBC2F23 7434CA2B 8D1C5EFB 822147CC 81F98825
47A1A14F DC5480
quit
crypto pki certificate chain Cisco_Root_CA_2048
certificate ca 5FF87B282B54DC8D42A315B568C9ADFF
30820343 3082022B A0030201 0202105F F87B282B 54DC8D42 A315B568 C9ADFF30
0D06092A 864886F7 0D010105 05003035 31163014 06035504 0A130D43 6973636F
20537973 74656D73 311B3019 06035504 03131243 6973636F 20526F6F 74204341
20323034 38301E17 0D303430 35313432 30313731 325A170D 32393035 31343230
32353432 5A303531 16301406 0355040A 130D4369 73636F20 53797374 656D7331
1B301906 03550403 13124369 73636F20 526F6F74 20434120 32303438 30820120
300D0609 2A864886 F70D0101 01050003 82010D00 30820108 02820101 00B09AB9
ABA7AF0A 77A7E271 B6B46662 94788847 C6625584 4032BFC0 AB2EA51C 71D6BC6E
7BA8AABA 6ED21588 48459DA2 FC83D0CC B98CE026 68704A78 DF21179E F46105C9
15C8CF16 DA356189 9443A884 A8319878 9BB94E6F 2C53126C CD1DAD2B 24BB31C4
2BFF8344 6FB63D24 7709EABF 2AA81F6A 56F6200F 11549781 75A725CE 596A8265
EFB7EAE7 E28D758B 6EF2DD4F A65E629C CF100A64 D04E6DCE 2BCC5BF5 60A52747
8D69F47F CE1B70DE 701B20D6 6ECDA601 A83C12D2 A93FA06B 5EBB8E20 8B7A91E3
B568EEA0 E7C40174 A8530B2B 4A9A0F65 120E824D 8E63FDEF EB9B1ADB 53A61360
AFC27DD7 C76C1725 D473FB47 64508180 944CE1BF AE4B1CDF 92ED2E05 DF020103
A351304F 300B0603 551D0F04 04030201 86300F06 03551D13 0101FF04 05300301
01FF301D 0603551D 0E041604 1427F3C8 151E6E9A 020916AD 2BA08960 5FDA7B2F
AA301006 092B0601 04018237 15010403 02010030 0D06092A 864886F7 0D010105
05000382 0101009D 9D8484A3 41A97C77 0CB753CA 4E445062 EF547CD3 75171CE8
E0C6484B B6FE4C3A 198156B0 56EE1996 62AA5AA3 64C1F64E 5433C677 FEC51CBA
E55D25CA F5F0939A 83112EE6 CBF87445 FEE705B8 ABE7DFCB 4BE13784 DAB98B97
701EF0E2 8BD7B0D8 0E9DB169 D62A917B A9494F7E E68E95D8 83273CD5 68490ED4
9DF62EEB A7BEEB30 A4AC1F44 FC95AB33 06FB7D60 0ADEB48A 63B09CA9 F2A4B953
0187D068 A4277FAB FFE9FAC9 40388867 B439C684 6F57C953 DBBA8EEE C043B2F8
09836EFF 66CF3EEF 17B35818 2509345E E3CBD614 B6ECF292 6F74E42F 812AD592
91E0E097 3C326805 854BD1F7 57E2521D 931A549F 0570C04A 71601E43 0B601EFE
A3CE8119 E10B35
quit
!
voice service voip
no ip address trusted authenticate
media bulk-stats
media disable-detailed-stats
allow-connections sip to sip
srtp
no supplementary-service sip refer
supplementary-service media-renegotiate
no supplementary-service sip handle-replaces
fax protocol t38 version 0 ls-redundancy 0 hs-redundancy 0 fallback none
sip
registrar server expires max 120 min 60
!
voice register global
default mode
no allow-hash-in-dn
security-policy secure
max-dn 50
max-pool 40
!
voice register pool 1
id network 10.0.0.1 mask 255.255.0.0
dtmf-relay rtp-nte
codec g711ulaw
!
voice hunt-group 1 sequential
final 89898
list 1008,2005
timeout 5
pilot 1111
!
voice-card 0/1
no watchdog
!
voice-card 0/2
no watchdog
!
voice-card 0/3
no watchdog
!
voice-card 1/0
no watchdog
!
license udi pid ISR4451-X/K9 sn FOC1743565L
license accept end user agreement
license boot level uck9
license boot level securityk9
no license smart enable
diagnostic bootup level minimal
!
spanning-tree extend system-id
!
redundancy
mode none
!
interface GigabitEthernet0/0/0
ip address 10.0.0.1 255.255.0.0
negotiation auto
!
interface GigabitEthernet0/0/1
no ip address
negotiation auto
!
interface GigabitEthernet0/0/2
ip address 10.0.0.1 255.0.0.0
negotiation auto
!
interface GigabitEthernet0/0/3
no ip address
negotiation auto
!
interface Service-Engine0/1/0
shutdown
!
interface Service-Engine0/2/0
shutdown
!
interface Service-Engine0/3/0
!
interface Service-Engine1/0/0
!
interface GigabitEthernet0
vrf forwarding Mgmt-intf
no ip address
negotiation auto
!
ip forward-protocol nd
ip http server
no ip http secure-server
ip route 0.0.0.0 0.0.0.0 10.0.0.1
!
ip ssh server algorithm encryption aes128-ctr aes192-ctr aes256-ctr
ip ssh client algorithm encryption aes128-ctr aes192-ctr aes256-ctr
!
control-plane
!
!
voice-port 0/1/0
!
voice-port 0/1/1
!
voice-port 0/2/0
!
voice-port 0/2/1
!
voice-port 0/2/2
!
voice-port 0/2/3
!
mgcp behavior rsip-range tgcp-only
mgcp behavior comedia-role none
mgcp behavior comedia-check-media-src disable
mgcp behavior comedia-sdp-force disable
!
mgcp profile default
!
sip-ua
crypto signaling default trustpoint TRUSTPT-SRST-CA-2
!
!
credentials
ip source-address 10.0.0.1 port 2445
trustpoint TRUSTPT-SRST-CA-2
!
!
call-manager-fallback
max-conferences 8 gain -6
transfer-system full-consult
max-ephones 50
max-dn 50
call-park system application
fac standard
!
!
line con 0
exec-timeout 0 0
length 0
transport input none
stopbits 1
line aux 0
stopbits 1
line vty 0 4
exec-timeout 0 0
password xxxx
no login
length 0
transport preferred none
transport input telnet ssh
!
end

SIP OAuth の設定例

以下は、Secure SRST で SIP OAuth を有効にする設定例です。

Router(config)#voice register pool 1
Router(config-register-pool)#?
voice register pool configuration commands:
  after-hour               After-hours call blocking
  alias                    Associate alias pattern
  application              Define application
  ata-ivr-pwd              Define ATA IVR Password using 0-9 digit
  busy-trigger-per-button  Define the number of calls that triggers call
                           forward busy per line on the sip phone
  call-forward             Define E.164 telephone number for call forward
  codec                    select the preferred codec to be used for SIP phone
  conference               Adhoc hardware conference configuration
  conference-pattern       Customized conference-pattern configuration
  cor                      Class of Restriction on dial-peer for this dn
  default                  Set a command to its defaults
  dialplan-pattern         Define E.164 telephone number prefix
  digit                    Enable digit collect command
  dtmf-relay               Transport DTMF digits across IP link 
  emergency                Emergency Assistance
  exclude                  Exclude Local Services
  exit                     Exit from voice register pool configuration mode
  feature-button           Define programmable line key
  id                       define phone or device id
  incoming                 Incoming called number
  logout-profile           enable extension mobility
  lpcor                    Voice registry pool lpcor setup
  max                      voice register pool max commands
  media                    Media mode setting for SIP extension
  night-service            Define night-service bell
  no                       Negate a command or set its defaults
  number                   Define E.164 telephone number
  overlap-signal           Configure Overlap Signaling support
  paging-dn                set audio paging dn group for phone (use ephone
                           paging-dn number)
  phone-mode               Phone mode configuration in voice register pool
  pin                      Define 4-8 digit personal identification number
  preference               Configure the preference for the voip dial-peers to
                           be created
  presence                 enable call list feature
  provision-tag            define phone provision_tag
  proxy                    Define SIP proxy for this pool
  registration-timer       keepalive registration expires timer
  session-server           define controlling session-server
  sip-oauth                Enable sip-oauth on Pool 
  tone                     Generate tones
  transfer                 Transfer related configuration
  transfer-pattern         Customized transfer-pattern configuration
  translate-outgoing       Translation rule
  translation-profile      Translation profile
  vad                      Enable vad on dial-peer and phone
  voice-class              Set voice class parameters

Router(config-register-pool)#sip_oauth ?
  <cr>  <cr>
Router(config-register-pool)#sip_oauth 
Router(config-register-pool)#end

以下は、Secure SRST で SIP OAuth を無効にする設定例です。

Router(config)#voice register pool 1
Router(config-register-pool)#no sip-oauth 
Router(config-register-pool)#end

SHA2 暗号スイートの設定例

以下は、SRST で TLS v1.2 または v1.3 の SHA2 暗号スイートを有効にする設定例です。


Device(config)#call-manager-fallback 
Device(config-cm-fallback)#transport-tcp-tls ?
  v1.0  Enable TLS Version 1.0
  v1.1  Enable TLS Version 1.1
  v1.2  Enable TLS Version 1.2
  v1.3  Enable TLS Version 1.3

Device(config-cm-fallback)#transport-tcp-tls v1.2 ?
 sha2 Allow SHA2 ciphers only
  <cr>  <cr>
Device(config-cm-fallback)#transport-tcp-tls v1.2 sha2

(OR)

Device(config-cm-fallback)#transport-tcp-tls v1.3 ?
 sha2 Allow SHA2 ciphers only
  <cr>  <cr>
Device(config-cm-fallback)#transport-tcp-tls v1.3 sha2

Syslog メッセージ

Unified SRST 14.4 以降のリリースでは、TLS バージョンの不一致により CUCM と SIP SRST (CAPF) 間のハンドシェイクが失敗すると、次の形式の syslog メッセージが生成されます。

Dec 13 06:15:54.587: %EPHONE_CRED-2-CTL_TLS_HANDSHAKE_FAILED: 理由: サポートされていないプロトコル、ソケット ID: 1、ローカル アドレス: 10.1.20.11:2445、リモート アドレス: 10.5.10.50:56372

TLS バージョンの不一致により Voice Gateway と SCCP SRST 間のハンドシェイクが失敗すると、次の形式の syslog メッセージが生成されます。

Dec 13 15:31:52.949: %SKINNYSECURESERVICE-3-TLS_HANDSHAKE_FAILED: 理由: サポートされていないプロトコル、ソケット ID: 0、ローカルアドレス: 10.1.20.11:2443、リモートアドレス: 10.1.20.179:12239

SIP-OAuth キーの取得中に暗号の不一致により CUCM と SIP SRST 間のハンドシェイクが失敗すると、次の形式の syslog メッセージが生成されます。

Dec 13 06:42:59.612: %HTTPC-6-TLS_HANDSHAKE_FAILED: 理由: sslv3 アラート ハンドシェイク失敗、接続 ID: 0、リモート アドレス: [2001:10:5:10::50]:8443

Unified Secure SRST リリース 15.0（Cisco IOS XE 17.18.2）では、レガシー TLS バージョン（v1.0、v1.1）および関連する弱い暗号を使用する SIP および SCCP SRST のハンドシェイクに対して警告メッセージが表示されます。これらの特定の設定では、弱いバージョンまたは暗号で完了したハンドシェイクのみを報告する syslog メッセージが 1 時間ごとに生成されます。

SIP のレート制限ログ：%SIP-5-TLS_CONNECTION：TLS の安全でないハンドシェイクが検出されました：SIP 接続のバージョンは TLSv1.2、暗号は AES256-SHA です。 強力な暗号を使用した TLS 1.2 以上にアップグレードしてください。 %SIP-5-TLS_CONNECTION: 過去 1 時間の TLS 安全でない接続の概要: SIP 接続: 1。セキュリティを強化するために、強力な暗号を使用する TLS 1.2 以上にアップグレードしてください。 SCCP のレート制限ログ: %SIP-5-TLS_CONNECTION: TLS の安全でないハンドシェイクが検出されました: SCCP 接続のバージョンは TLSv1.1、暗号は AES128-SHA です。 強力な暗号を使用した TLS 1.2 以上にアップグレードしてください。 %SIP-5-TLS_CONNECTION: 過去 1 時間の TLS 安全でない接続の概要: SCCP 接続: 1。セキュリティを強化するために、強力な暗号を使用する TLS 1.2 以上にアップグレードしてください。

追加参考資料

次のセクションでは、この機能に関連する参考資料を示します。

standard


標準	タイトル
この機能では、新しい標準や変更された標準はサポートされておらず、既存の標準のサポートも変更されていません。	—

MIB


MIB	MIB リンク
この機能では、新しい MIB または変更された MIB はサポートされておらず、既存の MIB のサポートもこの機能によって変更されていません。	選択したプラットフォーム、Cisco IOS リリース、および機能セットの MIB を見つけてダウンロードするには、次の URL にある Cisco MIB Locator を使用します。 http://www.cisco.com/go/mibs

RFC


RFC	タイトル
この機能では新しい RFC または変更された RFC はサポートされておらず、既存の RFC のサポートもこの機能によって変更されていません。	—

技術サポート


description	リンク
Cisco サポート Web サイトでは、Cisco 製品やテクノロジーに関する技術的問題のトラブルシューティングや解決に役立つドキュメントやツールなど、豊富なオンラインリソースを提供しています。製品に関するセキュリティ情報や技術情報を受け取るには、Product Alert Tool (Field Notices からアクセス)、Cisco Technical Services Newsletter、Really Simple Syndication (RSS) フィードなどの各種サービスをサブスクライブしてください。 Cisco サポート Web サイトのほとんどのツールにアクセスするには、Cisco.com ユーザー ID とパスワードが必要です。	http://www.cisco.com/techsupport

コマンドリファレンス

次のコマンドは、このセクションで説明する機能で導入または変更されています。これらのコマンドの詳細については、 Cisco IOS Voice Command Reference （ http://www.cisco.com/en/US/docs/ios/voice/command/reference/vr_book.html）を参照してください。すべての Cisco IOS コマンドの詳細については、 http://tools.cisco.com/Support/CLILookup にあるコマンド検索ツールを使用するか、http://www.cisco.com/en/US/docs/ios/mcl/allreleasemcl/all_book.html で入手できる Cisco IOS コマンドリスト、すべてのリリース を参照してください。

security-policy
show voice register global
show voice register all
transport-tcp-tls

関連項目	文書タイトル
Cisco IOS 音声設定	Cisco IOS 音声設定ライブラリ Cisco IOS 音声コマンドリファレンス
Cisco Unified Communications Manager リリース 8.0 (2) のドキュメントガイド	Cisco Unified Communications Manager リリース 8.0(2) ドキュメントガイド
Cisco Unified SRST の設定	Cisco Unified SRST および SIP SRST コマンドリファレンス
Cisco Unified SRST	Cisco Unified SRST 8.0 でサポートされているファームウェア、プラットフォーム、メモリ、および音声製品
Cisco Unified Communications オペレーティングシステム管理ガイド、リリース 6.1 (1)	セキュリティ
Secure Survivable Remote Site Telephony (SRST) リファレンスを構成する	Secure Survivable Remote Site Telephony (SRST) リファレンスを構成する

偏向のない言語

翻訳について

検索結果

章のタイトル： SCCP および SIP 用のセキュア SRST の設定

SCCP および SIP 用のセキュア SRST の設定

セキュア SCCP および SIP SRST の機能情報

セキュア SRST を設定するための前提条件

セキュア SRST の設定に関する制限

Information About Configuring Secure SRST

セキュア SRST の利点

セキュア SIP SRST サポート

Unified Secure SRST 向けのセキュア保留音 (SIP)

セキュア SCCP SRST サポート

アナログ音声ゲートウェイ向けセキュア SCCP SRST

Secure Unified SRST 向けのセキュア保留音 (SCCP)

セキュア SCCP、Unified SRST リリース 12.3 向け 3 者間ソフトウェア会議

セキュア SRST (SCCP) の機能サポート、Unified SRST リリース 12.3

セキュリティで保護されていない SRST 中の Cisco IP 電話 Clear-Text フォールバック

Signaling Security on Unified SRST - TLS

SRST ルーターと TLS プロトコル

統合セキュア SIP および SCCP SRST の以前のリリース バージョン

統合セキュア SIP および SCCP SRST

SIP SRST を sip-ua 設定モードで設定する

call-manager-fallback 設定モードで SCCP SRST を構成する

セキュア SRST の TLS 暗号サポート

SCCP/TLS の TLS 暗号サポート (ポート 2443 および 2445)

SIP/TLS の TLS 暗号サポート (ポート 5061)

Certificates Operation on Secure SRST

Cisco Unified SRST ルーターと PKI

セキュア SRST ルーター上の Cisco IOS 認証情報サーバー

資格情報サーバーの証明書の生成

CUCM からセキュア SRST への証明書の転送

Unified Secure SRST の SIP OAuth クライアント登録

機能特性

制約事項

SIP OAuth ベースのリスナーポートを構成する

手順の概要

手順の詳細

例:

例:

例:

例:

CUCM から SIP OAuth キーを取得する

Voice Register Global 設定モード

手順の概要

手順の詳細

例:

例:

例:

グローバル設定モード

手順の概要

手順の詳細

例:

SIP OAuth ベースの登録を有効にする

手順の概要

手順の詳細

例:

例:

例:

セキュア SRST の SIP OAuth を検証する

手順の概要

手順の詳細

例:

例:

例:

例:

例:

例:

Unified Secure SRST の SHA2 暗号のみのモード

メリット

TLS で SHA2 暗号スイートを構成する

手順の概要

手順の詳細

例:

例:

例:

例:

統合 SRST のメディア セキュリティ - SRTP

Cisco Unified IP Phone へのセキュアな Cisco Unified SRST の確立

統合セキュア SIP および SCCP SRST の以前のリリースバージョン

統合 SRST のメディアセキュリティ - SRTP