セキュリティ管理

セキュリティの基礎

静止データ

すべてのソフトウェア インストール (X8.11 以降) には、固有の信頼のルートがあります。 各 Expressway システムには、そのシステムのローカル データを暗号化するために使用される一意のキーがあります。 これにより、保存中のデータのセキュリティが次のように向上します。

  • 新しいキーは、X8.11 より前のバージョンを X8.11 以降にアップグレードするときに作成され、最初の再起動時にすべてのデータを暗号化するために使用されます。

  • このシステムからのデータを復号化するには、このキーのみを使用できます。 他の Expressway キーではこのシステムのデータを復号化できません。

  • キーは UI 上で公開されることはなく、ローカルでもリモートでもログに記録されることはありません。

TLS と証明書

クライアントとサーバ間の接続で TLS 暗号化が正常に機能するには、次の条件を満たす必要があります。

  • サーバには、その ID を検証する、証明機関 (CA) によって署名された証明書がインストールされている必要があります。

  • クライアントは、サーバが使用する証明書に署名した CA を信頼する必要があります。

Expressway では、TLS 接続でクライアントまたはサーバとして Expressway を表すことができる証明書をインストールできます。 Expressway は、HTTPS 経由でクライアント接続 (通常は Web ブラウザから) を認証することもできます。 LDAP サーバおよび HTTPS クライアント証明書の検証に使用される CA の証明書失効リスト (CRL) をアップロードできます。 Expressway はサーバ証明書署名要求 (CSR) を生成できるため、これを実行するために外部メカニズムを使用する必要はありません。


(注)  

  • すべての安全な通信 (HTTPS および SIP/TLS) では、Expressway のデフォルト証明書を、信頼できる CA によって生成された証明書に置き換えることをお勧めします。

  • 通話中に、ユーザは自己署名証明書を使用して、Unified CM と Expressway 間の TLS 接続を確立できます。 これにより、コールマネージャ証明書更新後の Unified CM と Expressway の接続の問題が解決します。
表 1. さまざまな接続タイプにおける Expressway の役割

接続において...

Expressway は...として機能します

エンドポイントへ。

TLS サーバ。

LDAP サーバへ。

クライアント。

2 つの Expressway システムの間。

どちらの Expressway もクライアントになることができます。 もう 1 つの Expressway は TLS サーバです。

HTTPS 経由。

Web ブラウザがクライアントです。 Expressway がサーバです。

(注)  

また、サードパーティの LDAP ブラウザを使用して、LDAP サーバが TLS 用に正しく構成されていることを確認することもお勧めします。

TLS の設定は難しい場合があります。 したがって、たとえば LDAP サーバで使用する場合は、TLS を使用して接続を保護する前に、システムが TCP 経由で正しく動作することを確認することをお勧めします。


注意    

証明書は RFC に準拠している必要があります。 CA 証明書または CRL の有効期限が切れないようにしてください。期限が切れると、それらの CA によって署名された証明書が拒否される可能性があります。

証明書と CRL ファイルは Web インターフェイスを介して管理され、CLI を使用してインストールすることはできません。

証明書ベースの認証の構成

証明書ベースの認証設定 ページ (メンテナンス > セキュリティ > 証明書ベースの認証設定) は、Expressway がクライアント ブラウザの証明書から認証資格情報 (ユーザ名) を取得する方法を設定するために使用されます。

この構成は、 クライアント証明書ベースのセキュリティシステム ページで定義)が 証明書ベースの認証に設定されている場合に必要です。 この設定は、標準のログイン メカニズムが使用できなくなり、管理者 (および Expressway 経由でアクセスする場合は FindMe アカウント) は、有効なブラウザ証明書 (通常はスマート カード (Common Access Card または CAC とも呼ばれます) によって提供) を提示し、その証明書に適切な承認レベルの適切な資格情報が含まれている場合にのみログインできることを意味します。

証明書ベースの認証を有効にする

証明書ベースの認証を有効にするための推奨手順を以下に示します。

手順

ステップ 1

Expressway の信頼できる CA 証明書ファイルとサーバ証明書ファイルを追加します (それぞれ [信頼できる CA 証明書] ページと [サーバ証明書] ページ)。

ステップ 2

証明書失効リストを構成します ( CRL 管理 ページ)。

ステップ 3

クライアント証明書のテスト ページを使用して、使用するクライアント証明書が有効であることを確認します。

ステップ 4

クライアント証明書ベースのセキュリティ証明書の検証 に設定します( システム管理 ページ)。

ステップ 5

Expressway を再起動します。

ステップ 6

クライアント証明書テスト ページを再度使用して、証明書からユーザ名の資格情報を抽出するために必要な正規表現とフォーマット パターンを設定します。

ステップ 7

正しいユーザ名が証明書から抽出されていることを確認した場合にのみ、 クライアント証明書ベースのセキュリティ証明書ベースの認証に設定します。

認証対承認

Expressway が証明書ベースの認証モードで動作している場合、ユーザ認証は Expressway 外部のプロセスによって管理されます。

ユーザが Expressway にログインしようとすると、Expressway はクライアント ブラウザから証明書を要求します。 その後、ブラウザはカード リーダーと対話してスマート カードから証明書を取得します (または、証明書がすでにブラウザに読み込まれている場合もあります)。 カード/ブラウザから証明書を解放するには、通常、ユーザは PIN を入力して認証するよう求められます。 Expressway が受信したクライアント証明書が有効 (信頼できる証明機関によって署名され、有効期限内で、CRL によって失効していない) 場合、ユーザは認証されているとみなされます。

ユーザの承認レベル (読み取り/書き込み、読み取り専用など) を決定するには、Expressway は証明書からユーザの承認ユーザ名を抽出し、関連するローカルまたはリモートの承認メカニズムに提示する必要があります。


(注)  

クライアント証明書が (PIN またはその他のメカニズムによって) 保護されていない場合、Expressway への認証されていないアクセスが可能になる可能性があります。 一部のブラウザでは証明書ストアをパスワードで保護できますが、証明書がブラウザに保存されている場合にも、この保護の欠如が当てはまる可能性があります。

証明書からユーザ名を取得する

ユーザー名は、[証明書ベースの認証設定(Certificate-based authentication configuration)] ページの [Regex] フィールドと [ユーザー名の形式(Username format)] フィールドで定義されたパターンに従って、クライアント ブラウザの証明書から抽出されます。

  • Regex フィールドでは、(?<name>regex )構文を使用してキャプチャグループの名前を指定し、一致するサブパターンを関連する [ユーザー名形式(Username format)] フィールドで置き換えることができます。例:

    /(件名:.*, CN=(?<Group1>.*))/m.

    ここで定義される正規表現は、 PHP 正規表現ガイドラインに準拠する必要があります。

  • [ユーザー名の形式(Username format)] フィールドには、固定テキストと Regex で使用されるキャプチャグループ名が混在して含まれることがあります。 各キャプチャ グループ名は # で区切ります (例: prefix#Group1#suffix )。 各キャプチャ グループ名は、正規表現処理から取得されたテキストに置き換えられます。

クライアント証明書テスト ページを使用すると、さまざまな 正規表現ユーザ名形式 の組み合わせを証明書に適用した結果をテストできます。

緊急アカウントと証明書ベースの認証

高度なアカウント セキュリティ モードでは、リモート認証のみを使用する必要がありますが、認証サーバが利用できない場合に備えて緊急アカウントも用意しておく必要があります。 「 高度なアカウント セキュリティ モードの構成」を参照してください。

証明書ベースの認証を使用している場合、緊急アカウントは、一致する資格情報を持つ有効な証明書を提示して認証できる必要があります。

緊急アカウント用のクライアント証明書を作成し、CN が ユーザ名の形式と一致していることを確認し、証明書を緊急管理者の証明書ストアにロードする必要があります。

信頼された CA 証明書リストの管理

信頼された CA 証明書 ページ (メンテナンス > セキュリティ > 信頼された CA 証明書) では、この Expressway によって信頼されている証明機関 (CA) の証明書のリストを管理できます。 Expressway への TLS 接続で証明書の検証が必須の場合、Expressway に提示される証明書はこのリスト内の信頼できる CA によって署名されている必要があり、ルート CA までの完全な信頼チェーン (中間 CA) が存在する必要があります。

  • 1 つ以上の CA 証明書を含む新しいファイルをアップロードするには、必要な PEM ファイルを 参照 し、 CA 証明書の追加 をクリックします。 これにより、新しい証明書が既存の CA 証明書のリストに追加されます。 特定の発行者とサブジェクトの既存の証明書を置き換える場合は、以前の証明書を手動で削除する必要があります。

  • 現在アップロードされているすべての CA 証明書を、システムの元の信頼できる CA 証明書のリストに置き換えるには、 [デフォルトの CA 証明書にリセット] をクリックします。

  • 現在アップロードされている信頼された CA 証明書のリスト全体を表示するには、 [すべて表示 (デコード済み)] をクリックして判読可能な形式で表示するか、 [すべて表示 (PEM ファイル)] をクリックしてファイルを生の形式で表示します。

  • 個々の信頼された CA 証明書を表示するには、特定の CA 証明書の行で [表示 (デコード済み)] をクリックします。

  • 1 つ以上の CA 証明書を削除するには、関連する CA 証明書の横にあるボックスにチェックを入れ、 [削除] をクリックします。


(注)  

TLS で暗号化された LDAP サーバへの接続 (アカウント認証用) に対して証明書失効リスト (CRL) チェックを有効にしている場合は、PEM でエンコードされた CRL データを信頼できる CA 証明書ファイルに追加する必要があります。

この推奨事項に留意してください

Expressway 信頼ストアにアップロード/サポートできる Certificate Authority (CA) の最大数は 1000 です。

ルート CA がデフォルトで含まれています

Expressway X12.6 以降には、 Cisco Intersection CA バンドルの一部としてインストールされる次の信頼されたルート CA が含まれています。

  • O=インターネットセキュリティ研究グループ、CN=ISRG ルート X1

  • O=デジタル署名トラスト株式会社、CN=DST ルート CA X3

Expressway サーバ証明書の管理

[サーバ証明書] ページ ([メンテナンス] > [セキュリティ] > [サーバ証明書]) を使用して、Expressway サーバ証明書を管理します。この証明書は、TLS 暗号化を使用してクライアント システムと通信したり、HTTPS 経由で Web ブラウザと通信したりするときに Expressway を識別します。

新しい Expressway サーバ証明書をアップロードする前に、Expressway サーバ証明書に署名する、または証明書チェーンで参照されるすべての CA 署名付き証明書をアップロードします。 Expressway の 信頼されたストアには、完全な CA 署名付き証明書チェーンが常に存在している必要があります。


メモ

不要になった CA 証明書を削除します。

現在ロードされている証明書の詳細を表示したり、CSR を生成したり、新しい証明書をアップロードしたり、ACME サービスを設定したりできます。 これらのタスクについては、 『Cisco Expressway 証明書の作成および使用の導入ガイド』 「Expressway 構成ガイド」 ページで説明されています。


(注)  

RSA キーに基づく証明書の使用を強くお勧めします。

DSA キーに基づく証明書などの他のタイプの証明書はテストされていないため、すべてのシナリオで Expressway で機能しない可能性があります。

ACME サービスの利用

X12.5 以降、Cisco Expressway シリーズは ACME プロトコル (自動証明書管理環境) をサポートしており、Let's Encrypt などの証明機関から Expressway-E への自動証明書署名と展開が可能になります。

サーバー証明書とクラスタシステム

CSR が生成されると、そのピアに対してのみ単一のリクエストと秘密キーの組み合わせが生成されます。 Expressway のクラスタがある場合は、ピアごとに個別の署名要求を生成する必要があります。 これらの要求は証明機関に送信され、返されたサーバ証明書は関連する各ピアにアップロードされる必要があります。

正しいサーバ証明書が適切なピアにアップロードされていることを確認してください。そうでない場合、各ピアに保存されている秘密キーは、アップロードされた証明書と一致しなくなります。

サーバー証明書と Unified Communications

モバイルおよびリモート アクセスを展開する場合、Unified Communication および Expressway 証明書の要件に関する詳細は、 『Cisco Expressway 証明書の作成および使用の導入ガイド』「Expressway 構成ガイド」 ページに記載されています。

証明書失効リスト(CRL)の管理

証明書失効リスト ファイル (CRL) は、Expressway が TLS/HTTPS 経由で Expressway と通信するクライアント ブラウザおよび外部システムによって提示された証明書を検証するために使用されます。 CRL は、失効したために Expressway との通信に使用できなくなった証明書を識別します。

TLS/HTTPS クライアントおよびサーバ証明書に署名する CA の CRL データをアップロードすることをお勧めします。 有効にすると、信頼チェーン内のすべての CA に対して CRL チェックが適用されます。

証明書失効ソース

Expressway は、複数のソースから証明書失効情報を取得できます。

  • CRL 配布ポイントからの CRL データの自動ダウンロード。

  • チェックする証明書内の OCSP (Online Certificate Status Protocol) レスポンダ URI 経由 (SIP TLS のみ)。

  • CRL データの手動アップロード。

  • Expressway の 信頼された CA 証明書 ファイル内に埋め込まれた CRL データ。

制限事項と使用ガイドライン

次の制限と使用ガイドラインが適用されます。

  • SIP TLS 接続を確立する際、CRL データソースは SIP 設定ページの証明書の失効チェック設定の対象となります。

  • 自動的にダウンロードされた CRL ファイルは、手動でロードされた CRL ファイルを上書きします (ただし、SIP TLS 接続を検証する場合は、手動でアップロードされた CRL データと自動的にダウンロードされた CRL データの両方が使用されることがあります)。

  • 外部ポリシー サーバによって提示された証明書を検証する場合、Expressway は手動でロードされた CRL のみを使用します。

  • リモート ログイン アカウント認証のために LDAP サーバとの TLS 接続を検証する場合、Expressway は 信頼された CA 証明書 ([ツール] > [セキュリティ] > [信頼された CA 証明書]) に埋め込まれた CRL データのみを使用します。

    LDAP 接続の場合、Expressway はサーバーまたは発行 CA 証明書の証明書配布ポイント URL から CRL をダウンロードしません。 また、 CRL 管理 ページの手動または自動更新設定も使用されません。

自動 CRL 更新


(注)  

自動 CRL 更新を実行するように Expressway を設定することをお勧めします。 これにより、証明書の検証に最新の CRL が利用できるようになります。
手順

ステップ 1

メンテナンス > セキュリティ > CRL 管理 に移動します。

ステップ 2

自動 CRL 更新有効に設定します。

ステップ 3

Expressway が CRL ファイルを取得できる一連の HTTP(S) 配布ポイントを入力します。

(注)  

 

  • 各配布ポイントを新しい行に指定する必要があります

  • HTTP(S) 配布ポイントのみがサポートされています。HTTPS を使用する場合は、配布ポイントサーバー自体に有効な証明書が必要です。

  • PEM および DER エンコードされた CRL ファイルがサポートされています

  • 配布ポイントは、CRL ファイルを直接指定することも、複数の CRL ファイルを含む ZIP および GZIP アーカイブを指定することもできます。

  • URL 内またはダウンロードしたアーカイブから解凍されたファイルのファイル拡張子は重要ではありません。Expressway が基になるファイルの種類を独自に判断します。ただし、一般的な URL は次の形式になります。

ステップ 4

毎日の更新時刻 (UTC)を入力します。 これは、Expressway が配布ポイントから CRL の更新を試みるおおよその時刻です。

ステップ 5

[保存(Save)] をクリックします。

手動 CRL 更新

CRL ファイルを手動で Expressway にアップロードできます。 外部ポリシー サーバによって提示された証明書は、手動でロードされた CRL に対してのみ検証できます。
手順

ステップ 1

[メンテナンス(Maintenance)] > [セキュリティ(Security)] > [CRL 管理(CRL management)]に移動します。

ステップ 2

「参照」 をクリックし、ファイルシステムから必要なファイルを選択します。 PEM エンコード形式である必要があります。

ステップ 3

[CRL ファイルのアップロード(Upload CRL file)] をクリックします。

これにより、選択したファイルがアップロードされ、以前にアップロードされた CRL ファイルが置き換えられます。

手動でアップロードしたファイルを Expressway から削除する場合は、[失効リストの削除(Remove revocation list)] をクリックします。

証明機関の CRL の有効期限が切れると、その CA によって発行されたすべての証明書は失効したものとして扱われます。

Online Certificate Status Protocol (OCSP)

Expressway は、OCSP レスポンダとの接続を確立して、特定の証明書のステータスを照会できます。 Expressway は、検証対象の証明書にリストされているレスポンダ URI から、使用する OCSP レスポンダを決定します。 OCSP レスポンダは、証明書のステータスとして "良好""失効" 、または "不明" を送信します。

OCSP の利点は、失効リスト全体をダウンロードする必要がないことです。 OCSP は SIP TLS 接続でのみサポートされます。 OCSP を有効にする方法については、以下を参照してください。

OCSP レスポンダへの接続には、Expressway-E からの送信通信が必要です。 使用している OCSP レスポンダのポート番号 (通常はポート 80 または 443) を確認し、Expressway-E からそのポートへの送信通信が許可されていることを確認します。

SIP TLS 接続の失効チェックの設定

SIP TLS 接続の証明書失効チェックの管理方法も構成する必要があります。

  1. [ 設定 > SIP] に移動します

  2. 証明書失効チェック セクションまで下にスクロールし、それに応じて設定を構成します。

    フィールド

    説明

    使用上のヒント

    証明書失効チェックモード

    SIP TLS 接続の確立中に交換される証明書に対して失効チェックを実行するかどうかを制御します。

    失効チェックを有効にすることをお勧めします。

    OCSP の使用

    証明書失効チェックを実行するためにオンライン証明書ステータス プロトコル (OCSP) を使用できるかどうかを制御します。

    OCSP を使用するには、以下の方法があります。

    • チェックする X.509 証明書には、OCSP レスポンダ URI が含まれている必要があります。

    • OCSP レスポンダは、SHA-256 ハッシュ アルゴリズムをサポートする必要があります。 サポートされていない場合、OCSP 失効チェックと証明書の検証は失敗します。

    CRLs の使用

    証明書失効リスト (CRL) を使用して証明書失効チェックを実行するかどうかを制御します。

    証明書が OCSP をサポートしていない場合は、CRL を使用できます。

    CRL は、Expressway に手動でロードすることも、事前設定された URI から自動的にダウンロードすることも ( 「証明書失効リスト (CRL) の管理」 を参照)、X.509 証明書に含まれる CRL 配布ポイント (CDP) URI から自動的にダウンロードすることもできます。

    CDP からの CRL ダウンロードを許可する

    X.509 証明書に含まれる CDP URI からの CRL のダウンロードを許可するかどうかを制御します。

    フォールバック動作

    失効ソースに接続できない場合など、失効ステータスを確立できない場合の失効チェック動作を制御します。

    失効として扱う: 証明書を失効として扱います (したがって、TLS 接続は許可されません)。

    失効していないものとして扱う: 証明書を失効していないものとして扱います。

    デフォルト: 失効していないものとして扱う

    「失効していないものとして扱う」 は、失効元に接続できない場合でもシステムが引き続き正常に動作することを保証しますが、失効した証明書が受け入れられる可能性があります。

MRA オンボーディングのための mTLS クライアント証明書検証の管理

mTLS の CA 証明書ページ には、 信頼された CA 証明書 ページ (メンテナンス > セキュリティ > 信頼された CA 証明書) からアクセスします。 このページは、Cisco Unified Communications 製品で Expressway for Mobile and Remote Access (MRA) を使用し、MRA のアクティベーション コードによるオンボーディングが有効になっている場合にのみ適用されます。

クライアント証明書のテスト

クライアント証明書テスト ページ (メンテナンス > セキュリティ > クライアント証明書テスト) は、 クライアント証明書検証を有効にする前にクライアント証明書を確認するために使用されます。 次の操作を実行できます。

  • Expressway の現在の信頼された CA リスト、およびロードされている場合は失効リストと照合して、クライアント証明書が有効かどうかをテストします (「 証明書失効リスト (CRL) の管理」を参照)。

  • 証明書の承認資格情報 (ユーザ名) を取得する正規表現とテンプレート パターンを適用した結果をテストします。

ローカル ファイル システム上の証明書またはブラウザに現在ロードされている証明書に対してテストできます。

証明書が有効かどうかをテストするには

手順

ステップ 1

証明書ソースを選択します。 以下を選択できます。

  • ファイルシステムから PEM またはプレーンテキスト形式でテストファイルをアップロードします。アップロードする場合は、[参照(Browse)] をクリックして、テストする証明書ファイルを選択します。

  • ブラウザに現在ロードされている証明書をテストします(システムがすでに 証明書検証 を使用するように構成されており、証明書が現在ロードされている場合にのみ使用できます)

ステップ 2

証明書ベースの認証パターン セクションは無視してください。これは、証明書から認証資格情報を抽出する場合にのみ関係します。

ステップ 3

証明書の確認をクリックします。

テストの結果は 証明書テスト結果 セクションに表示されます。

証明書から認証資格情報(ユーザ名)を取得するには

手順

ステップ 1

上記の説明に従って、 証明書ソース を選択します。

ステップ 2

必要に応じて、 正規表現とユーザ名の形式 フィールドを構成します。 その目的は、証明書内の適切な文字列パターンを検索する正規表現を指定して、指定された証明書からユーザ名を抽出することです。 フィールドは、 証明書ベースの認証構成 ページで現在構成されている設定にデフォルト設定されますが、必要に応じて変更できます。

  • 正規表現 フィールドでは、(?<name>正規表現 )構文を使用してキャプチャグループの名前を指定し、一致するサブパターンを関連する ユーザ名形式 フィールドで置き換えることができます。例:

    /(件名:.*, CN=(?<Group1>.*))/m.

    ここで定義される正規表現は、 PHP 正規表現ガイドラインに準拠する必要があります。

  • [ユーザー名の形式(Username format)] フィールドには、固定テキストと Regex で使用されるキャプチャグループ名が混在して含まれることがあります。 各キャプチャ グループ名は # で区切ります (例: prefix#Group1#suffix )。 各キャプチャ グループ名は、正規表現処理から取得されたテキストに置き換えられます。

ステップ 3

証明書の確認をクリックします。

テストの結果は、 証明書テスト結果 セクションに表示されます。 結果の文字列 項目は、ユーザの承認 (アカウント アクセス) レベルを決定するために、関連する承認メカニズムに対してチェックされるユーザ名の資格情報です。

ステップ 4

必要に応じて、 正規表現 および ユーザ名の形式 フィールドを変更し、正しい結果が得られるまでテストを繰り返すことができます。

(注)  

 

証明書ソース がアップロードされた PEM またはプレーン テキスト ファイルである場合、テストが最初に実行されるときに、選択したファイルが一時的に Expressway にアップロードされます。

  • 同じファイルに対してさまざまな 正規表現ユーザ名形式 の組み合わせをテストし続ける場合、テストごとにファイルを再選択する必要はありません。

  • ファイル システム上のテスト ファイルの内容を変更する場合、または別のファイルを選択する場合は、もう一度 [参照] をクリックし、アップロードする新しいファイルまたは変更されたファイルを選択する必要があります。

ステップ 5

[正規表現(Regex)] および [ユーザー名形式(Username format)] フィールドをデフォルト値から変更し、これらの値を Expressway の実際の設定(証明書ベースの認証設定ページで指定)で使用する場合は、[これらの設定を恒久化する(Make these settings permanent)] をクリックします。

(注)  

 

  • アップロードされたテスト ファイルは、ログイン セッションの終了時に Expressway から自動的に削除されます。

  • 正規表現は、エンコードされた証明書のプレーン テキスト バージョンに適用されます。 システムは、コマンド openssl x509 -text -nameopt RFC2253 -noout を使用して、エンコードされた形式からプレーン テキストの証明書を抽出します。

安全なトラバーサルのテスト

このユーティリティは、Expressway-C から Expressway-E への安全な接続を確立できるかどうかをテストします。 セキュリティで保護された接続は、Unified Communications トラバーサル ゾーンでは必須であり、通常のトラバーサル ゾーンではオプション (推奨) です。

セキュア トラバーサル テストが失敗した場合、ユーティリティは可能な場合は適切な解決策とともに警告を発します。

手順

ステップ 1

Expressway-C で、 [メンテナンス] > [セキュリティ] > [セキュア トラバーサル テスト] に移動します

重要

 

メンテナンス > セキュリティ > セキュア トラバーサル テスト を使用するときは常に、使用されるソース ポート範囲は 30000-35999 からになります。

ステップ 2

この Expressway-C とペアになっている Expressway-E の FQDN を入力します。

ステップ 3

ペアになっている Expressway-E に表示される、この Expressway-C の TLS 検証名を入力します。

この設定は、Expressway-E のトラバーサル ゾーン構成ページの SIP セクションにあります。

ステップ 4

[テスト接続(Test Connection)] をクリックします。

セキュア トラバーサル テスト ユーティリティは、トラバーサル ゾーンの両側のホストが互いを認識し、互いの証明書チェーンを信頼しているかどうかを確認します。

(注)  

 

Expressway でサポートされている最小 TLS バージョンを有効にする安全な接続の適用性をテストするには、HTTPS の最小 TLS バージョンを選択する必要があります。 同様に、 HTTPS 暗号 も選択します。 この HTTPTLSversion の選択は、VCSE、CUCM、CUP、UCXN などの Unified Communication servers サーバーへの接続を確立するために必要です。 これらの設定は、 「暗号」 ページ (「メンテナンス」 > 「セキュリティ」 > 「暗号」) で構成されます。

HSM を使用した Expressway サーバ証明書の管理


重要

Expressway での HSM 機能のサポートは、Expressway ソフトウェアのバージョンによっては、 プレビュー機能のみとなる場合があります。 たとえば、バージョン X12.6 ではプレビュー機能です。 HSM を使用する前に、ご使用の Expressway バージョンのリリースノートを確認してください。ご使用のソフトウェア バージョンでステータスが「プレビュー」の場合は、プレビュー機能として実装し、Expressway リリースノートに記載されているプレビュー免責事項に従うことに同意する場合のみ、HSM を有効にしてください。 HSM を設定および有効化する方法については、現在、Expressway リリース ノートでのみ説明されています。

これらの手順では、Expressway で HSM がすでに有効になっていることを前提としています (メンテナンス > セキュリティ > HSM 構成)。

手順

ステップ 1

[メンテナンス] > [セキュリティ] > [サーバ証明書] に移動します。

ステップ 2

[CSR の作成(Generate CSR)]をクリックします。 CSR の生成 ページに移動します。

サーバ証明書の種類 セクションは、 CSR の生成 ページの上部に表示されます。 HSM の使用が構成されていない場合、このセクションは表示されません。

Expressway クラスタを使用している場合、CSR フィールドが正しく入力されていないと問題が発生する可能性があります。 これらのフィールドに入力する詳細は、『Cisco Expressway シリーズ コンフィギュレーション ガイド』ページの『Cisco Expressway クラスタ作成と維持に関する導入ガイド』を参照してください。

ステップ 3

HSM 秘密キーと CSR を生成した後、 サーバ証明書 ページに戻ります。

ステップ 4

生成された HSM CSR は、 証明書署名要求 (CSR) セクションから表示およびダウンロードできます。

ステップ 5

証明書をダウンロードするには、 [ダウンロード] をクリックします。

ステップ 6

証明書署名機関を使用して証明書に署名します。

HSM 秘密鍵と証明書をインストールする


(注)  

ハードウェア セキュリティ モジュール (HSM) 機能を使用する場合にのみ、これらの手順を使用してください。

手順

ステップ 1

署名された証明書をアップロードするには、 「ファイルを選択」 をクリックして場所に移動し、証明書を選択します。

ステップ 2

証明書ファイルと、対応する証明書の種類を選択し、[サーバー証明書データのアップロード(Upload server certificate data )] をクリックして証明書をアップロードします。

詳細については、Expressway のサーバ証明書の管理に関するセクションを参照してください。

クラスタ全体に HSM キーハンドルをダウンロードする

HSM 証明書と秘密キーを Expressway に導入した後、その HSM 証明書と秘密キーをクラスタ内の他の Expressway に導入できます。 これを行うには:

手順

ステップ 1

プライマリピア上で。 最初の Expressway から HSM 秘密キーをダウンロードします。 HSM 証明書と秘密キーを展開すると、 [HSM キー ハンドルのダウンロード] ボタンが [サーバ証明書データ] セクションに表示されます。

ステップ 2

クラスタピア上で。 新しい証明書のアップロード セクションから、HSM 証明書を含む HSM 秘密キーをクラスター内の他のピアにアップロードします。 署名された HSM 証明書と秘密キーを参照して選択します。

Expressway を再起動する

HSM 証明書が Expressway にインストールされると、 [サーバ証明書] ページのバナーに、Expressway を再起動するように求めるメッセージが表示されます。 再起動を促すアラームも鳴ります。 証明書はインストールされましたが、Expressway で証明書の使用を開始するには再起動が必要です。

再起動後、アラームは消え、Expressway 上のすべてのサービスで新しい HSM 証明書が使用されます。

ハードウェアセキュリティモジュール機能の構成

HSM 構成 ページ (メンテナンス > セキュリティ > HSM 構成) は、Expressway で HSM デバイスを管理するために使用されます。


重要

HSM 機能は、Expressway ソフトウェアのバージョンによっては、 プレビュー機能のみとなる場合があります。 たとえば、バージョン X12.6 ではプレビュー機能です。 HSM を使用する前に、ご使用の Expressway バージョンのリリース ノートを確認してください。また、ご使用のソフトウェア バージョンのステータスがプレビューである場合は、プレビュー機能として実装する場合にのみ HSM を有効にしてください。 HSM を構成する手順は現在、Expressway リリース ノートにのみ記載されており、このセクションでは記載されていません。

最小 TLS バージョンと暗号スイートの設定

メンテナンス > セキュリティ > 暗号 ページは、Expressway 上のサービスの最小 TLS バージョンと、それに関連付けられた暗号スイートを管理するために使用されます。


(注)  

  • セキュリティを強化するために、すべての暗号化されたセッションに TLS バージョン 1.2 以降を使用することをお勧めします。

  • X14.2 リリース以降、Expressway は Anonymous Diffie-Hellman (ADH) 暗号をサポートしなくなりました。

Expressway は、次の場合に安全な接続を確立するときに、デフォルトで最小 TLS 1.2 を使用します。

  • HTTPS

  • 証明書チェッカー

  • Cisco Meeting Server の検出

  • SIP

  • XMPP

  • UC サーバの検出

  • リバースプロキシ

  • LDAP

  • SMTP メールサーバ

  • TMS プロビジョニングサービス

  • リモート Syslog

X15.2 以降のリリースでは、Expressway は、以下を除く上記の各接続における最小 TLS バージョン選択で TLS 1.3 をサポートしています。

  • TMS プロビジョニングサービス

場合によっては再起動が必要

次の暗号スイート構成または TLS プロトコル バージョンを変更した後は、再起動が必要です。

  • SIP

  • XCP

最小 TLS バージョン

既存のシステムをアップグレードすると、以前の動作とデフォルトが維持されます。

新規インストールの場合は、Expressway に接続する必要があるすべてのブラウザおよびその他の機器が TLS 1.2 をサポートしていることを確認してください。

X15.2 以降のリリースでは、お客様は TLS 1.3 を有効にするように設定を変更できます。 設定を変更するためのオプションが提供されています。

必要に応じて(通常は従来の機器との互換性の理由から)、サービスごとに最小 TLS バージョンを構成して、バージョン 1.0 または 1.1 を使用できます。

暗号スイート

Expressway 上のサービスに対して、暗号スイートとサポートされる最小 TLS バージョンを設定できます。 暗号スイートは表に示されています (暗号文字列は OpenSSL 形式です)。

HTTPS など、Expressway がクライアントとして機能できるサービスの場合、同じ最小 TLS バージョンと暗号スイートがネゴシエートされます。

サービス

暗号スイートの値(デフォルト)

HTTPS 暗号

高:!中:!低:

!3DES:!MD5:!PSK:!eNULL:!aNULL:!aDH:-AES256+SHA:-RSA+AESCCM:-

DHE+AESCCM:-DHE+CHACHA20

LDAP TLS 暗号

高:!中:!低:

!3DES:!MD5:!PSK:!eNULL:!aNULL:!aDH:-AES256+SHA:-RSA+AESCCM:-

DHE+AESCCM:-DHE+CHACHA20

リバースプロキシ TLS 暗号

高:!中:!低:

!3DES:!MD5:!PSK:!eNULL:!aNULL:!aDH:-AES256+SHA:-RSA+AESCCM:-

DHE+AESCCM:-DHE+CHACHA20

SIP TLS 暗号

高:!中:!低:-

!3DES:!MD5:!PSK:!eNULL:!aNULL:!aDH:-AES256+SHA:-RSA+AESCCM:-

DHE+AESCCM:-DHE+CHACHA20

SMTP TLS 暗号

高:!中:!低:

!3DES:!MD5:!PSK:!eNULL:!aNULL:!aDH:-AES256+SHA:-RSA+AESCCM:-

DHE+AESCCM:-DHE+CHACHA20

TMS プロビジョニング暗号

高:!中:!低:

!3DES:!MD5:!PSK:!eNULL:!aNULL:!aDH:-AES256+SHA:-RSA+AESCCM:-

DHE+AESCCM:-DHE+CHACHA20

UC サーバ検出 TLS 暗号

高:!中:!低:

!3DES:!MD5:!PSK:!eNULL:!aNULL:!aDH:-AES256+SHA:-RSA+AESCCM:-

DHE+AESCCM:-DHE+CHACHA20

XMPP TLS 暗号

高:!中:!低:

!3DES:!MD5:!PSK:!eNULL:!aNULL:!aDH:-AES256+SHA:-RSA+AESCCM:-

DHE+AESCCM:-DHE+CHACHA20

これらの推奨事項に留意してください

  1. Expressway は、デフォルトで次の非推奨の暗号をサポートしています。 X15.0 リリース以降では、 メンテナンス > セキュリティ > 暗号 ページからこれらの暗号を削除することをお勧めします。

    • TLS_DHE_RSA_WITH_AES_128_CCM

    • TLS_RSA_WITH_AES_256_CCM

    • TLS_RSA_WITH_AES_128_CCM

  2. X14.2 リリース以降、Expressway は Anonymous Diffie-Hellman (ADH) 暗号をサポートしなくなりました。

  3. たとえばエンドポイントでは、E20 は Anonymous Diffie Hellman (ADH) 暗号のみをサポートしますが、Expressway はエンドポイントの ADH 暗号をサポートしません。 この結果、TLS 接続に問題が発生します。

    解決策: TC/CE エンドポイントのサービス証明書

    1. TC/CE エンドポイントで SIP の証明書を有効にするには、 TC/CE エンドポイント にログインし、次のパスに従います。

      • TC エンドポイントの場合 - [構成] > [セキュリティ] に移動します

      • CE エンドポイントの場合 - セキュリティ > サービス証明書 に移動します。

    2. [サービス証明書] ページでは、SIP オプションはデフォルトで [オフ]に設定されています。 証明書を使用するには、SIP の証明書を有効にする、つまり オン にする必要があります。 このオプションを有効にしないと、TLS ハンドシェイク エラーが発生します。


      (注)  

      Expressway は、SIP サービスに対して Anonymous Diffie-Hellman (ADH) 暗号をサポートしていません。

廃止された暗号の削除

Expressway でデフォルトの暗号設定が変更されます。 変更点は以下の通りです。

新規インストール

(既存)から -
“EECDH:EDH:HIGH:-
AES256+SHA:!MEDIUM:!LOW:!3DES:!MD5:!PSK:!eNULL:!aNULL:!aDH:!AES256+DH+AESCCM”

新しい暗号設定

次のように更新されました -
"HIGH:!MEDIUM:!LOW:!3DES:!MD5:!PSK:!eNULL:!aNULL:!aDH:-AES256+SHA:-
RSA+AESCCM:-DHE+AESCCM:-DHE+CHACHA20"

以下の暗号は、最小 TLSv1.2 構成で削除されました。

  1. TLS_RSA_WITH_AES_256_CCM

  2. TLS_RSA_WITH_AES_128_CCM

  3. TLS_DHE_RSA_WITH_AES_256_CCM

  4. TLS_DHE_RSA_WITH_AES_128_CCM

  5. TLS_DHE_RSA_WITH_CHACHA20_POLY1305_SHA256

アップグレード

ユーザが以前のバージョンからアップグレードする場合、

  • 既存のバージョンではデフォルトの暗号が使用されていましたが、新しい暗号文字列に変更されます。

  • ユーザは既に暗号を変更しており、そのまま保持されます。

  • ユーザが ECDHE-RSA-AES256-GCM-SHA384 のプレフィックスを使用する RSA 暗号を優先している場合、システムはそのプレフィックスを保持し、アップグレード後は RSA が優先されます。


重要

  1. X15.0.2 OVA ファイルを使用した新しい VM のデプロイメントでは、暗号パラメータが新しい推奨構成に設定されます。

    "HIGH:!MEDIUM:!LOW:!3DES:!MD5:!PSK:!eNULL:!aNULL:!aDH:-AES256+SHA:-RSA+AESCCM:-
DHE+AESCCM:-DHE+CHACHA20"

  2. デフォルトの暗号構成を持つシステムで X15.0.2 にアップグレードすると、暗号構成は新しい推奨構成に自動的に更新されます。 

    "HIGH:!MEDIUM:!LOW:!3DES:!MD5:!PSK:!eNULL:!aNULL:!aDH:-AES256+SHA:-RSA+AESCCM:-
DHE+AESCCM:-DHE+CHACHA20"

  3. カスタマイズされた暗号構成を持つシステムで X15.0.2 にアップグレードすると、ソフトウェアのアップグレード後も暗号構成はそのまま保持されます (自動的に更新されません)。

  4. アップグレード後に設定を工場出荷時の設定にリセットした後、暗号パラメータが新しい推奨設定に自動的に更新されます。

    "HIGH:!MEDIUM:!LOW:!3DES:!MD5:!PSK:!eNULL:!aNULL:!aDH:-AES256+SHA:-RSA+AESCCM:-
DHE+AESCCM:-DHE+CHACHA20"

禁止された暗号の削除

Expressway は、デフォルトで次の非推奨の暗号をサポートしています。 X15.0 リリース以降では、[メンテナンス(Maintenance)] > [セキュリティ(Security)] > [Ciphers(暗号)] ページからそれらを削除することをお勧めします。

  1. TLS_DHE_RSA_WITH_AES_128_CCM

  2. TLS_RSA_WITH_AES_256_CCM

  3. TLS_RSA_WITH_AES_128_CCM

SSH の設定

トンネル構成

Expressway ペアは SSH トンネルを使用して、Expressway-E が接続を開く必要なく、Expressway-E から Expressway-C にデータを安全に転送します。 Expressway-C は、固定 TCP ポートをリッスンしている Expressway-E との TCP セッションを開きます。 次に、選択された暗号とアルゴリズムを使用して、データを安全に共有するための暗号化トンネルを確立します。

SSH トンネルを暗号化するためにペアが使用する暗号とアルゴリズムは、次のように構成されています。

  1. [メンテナンス(Maintenance)] > [セキュリティ(Security)] > [SSH 設定(SSH configuration)]に移動します。

  2. 必要に応じて、次の設定を変更します。


    (注)  

    これは、使用される証明書の種類によって異なります。 SSH トンネルの認証に使用される X.509 公開キー アルゴリズムを入力します。 少なくとも 1 つのピア公開キー アルゴリズムを入力する必要があります。

    設定

    説明

    暗号方式

    aes256-ctr: CTR (カウンター) モードを使用して 256 ビット ブロックを暗号化する Advanced Encryption Standard。 (デフォルト)

    公開鍵アルゴリズム

    x509v3-rsa2048-sha256、x509v3-ecdsa-sha2-

    nistp256、x509v3-ecdsa-sha2-nistp384、

    x509v3-ecdsa-sha2-nistp521

    鍵交換アルゴリズム

    ecdh-sha2-nistp256

    ecdh-sha2-nistp384(デフォルト)

  3. [保存(Save)] をクリックします。

リモートアクセスの設定

SSH クライアントとサーバー間のリモートアクセスを暗号化するためにペアが使用する暗号とアルゴリズムは、次のように設定されます。

  1. メンテナンス > セキュリティ > SSH 構成 に移動します。

  2. 必要に応じて、次の設定を変更します。

    設定

    説明

    暗号方式

    「aes256-gcm@openssh.com,aes128-

    gcm@openssh.com、aes256-ctr、aes192-ctr、

    aes128-ctr"

    鍵交換アルゴリズム

    "ecdh-sha2-nistp521,ecdh-sha2-

    nistp384,ecdh-sha2-nistp256,diffie-hellman-

    group14-sha1”

    MAC アルゴリズム

    「hmac-sha2-512、hmac-sha2-256、

    hmac-sha1"

  3. [保存(Save)] をクリックします。

高度なセキュリティ

高度なセキュリティ ページ (メンテナンス > 高度なセキュリティ) は、高度に安全な環境で使用するために Expressway を構成するために使用されます。 このページを表示するには、 高度なアカウント セキュリティ オプション キーをインストールする必要があります。

システムを次のように構成できます。

高度なアカウントセキュリティモードの構成


重要

高度なアカウント セキュリティ オプションは、Expressway シリーズ デバイスでは 使用できません 。 説明するセクション全体は、Cisco TelePresence Video Communication Server(VCS)シリーズにのみ適用されます。

高度なアカウント セキュリティを有効にすると、Web インターフェイスを使用するリモート認証されたユーザのみにログイン アクセスが制限され、一部のシステム機能へのアクセスも制限されます。 Expressway が高度なアカウント セキュリティ モードであることを示すために、分類バナーとして指定されたテキストがすべてのウェブページに表示されます。

高度なアカウント セキュリティ モードの変更を有効にするには、システムを再起動する必要があります。

HTTP メソッド

Expressway Web サーバでは、次の HTTP メソッドが許可されます。

方法

Web UI で使用されますか?

API で使用されていますか?

次のために使用される...

GET

対応

対応

指定されたリソースからデータを取得します。 たとえば、Expressway Web インターフェイス内の特定のページを返す場合などです。

POST

対応

対応

Web リソースにデータを適用します。 たとえば、管理者が Expressway Web インターフェイスを使用して設定の変更を保存する場合などです。

OPTIONS

未対応

対応

指定された URL に対して、サーバでサポートされている HTTP メソッドを返します。 たとえば、Expressway は OPTIONS を使用して、プロキシ サーバの HTTP/1.1 準拠をテストできます。

PUT

未対応

対応

指定された URI に保存するリソースを送信します。 当社の REST API コマンドは、このメソッドを使用して Expressway の構成を変更します。

DELETE

未対応

対応

指定されたリソースを削除します。 たとえば、REST API はレコードの削除に DELETE を使用します。

API へのユーザアクセスを無効にする方法

管理者はデフォルトで API にアクセスできます。 これは次の 2 つの方法で無効にできます。

  • Expressway が高度なアカウント セキュリティ モードで実行されている場合、すべてのユーザに対して API アクセスが自動的に無効になります。

  • 個々の管理者の API アクセスは、ユーザ構成オプションを通じて無効にすることができます。

前提条件

高度なアカウント セキュリティ モードを有効にするには、次の項目が必要です。

  • 管理者アカウントに対して リモート アカウント認証 を使用するようにシステムを構成する必要があります。

  • 高度なアカウント セキュリティ オプション キーをインストールする必要があります。

  • リモート認証が利用できない場合でもログインできるように、ローカル管理者アカウントを作成し、それを緊急アカウントとして指定する必要があります。 この目的でリモート アカウントを使用することはできません。

    組み込みの 管理者 アカウントを使用しないでください。


注意    

Expressway は、緊急アカウントを除くすべてのアカウントによるローカル認証を禁止します。 モードを有効にする前に、リモート ディレクトリ サービスが適切に動作していることを確認してください。

システムを次のように構成することもお勧めします。

推奨されない構成設定に対してはアラームが発生します。

高度なアカウントセキュリティの有効化

高度なアカウント セキュリティを有効にするには:
手順

ステップ 1

[メンテナンス(Maintenance)] > [高度なセキュリティ(Advanced security)]に移動します。

ステップ 2

分類バナーを入力します

ここに入力したテキストはすべての Web ページに表示されます。

ステップ 3

高度なアカウント セキュリティ モードオンに設定します。

ステップ 4

[保存(Save)] をクリックします。

ステップ 5

Expressway を再起動します (メンテナンス > 再起動オプション)。

Expressway の機能: 変更点と制限事項

セキュア モードの場合、標準の Expressway 機能に次の変更と制限が適用されます。

  • SSH 経由およびシリアル ポート経由のアクセスは無効になっており、オンにすることはできません (pwrec パスワード回復機能も使用できません)。

  • HTTPS 経由のアクセスは有効になっており、オフにすることはできません。

  • コマンドライン インターフェイス (CLI) および API アクセスは利用できません。

  • 管理者アカウントの認証ソースは リモートのみ に設定されており、変更できません。

  • ローカル認証は無効です。 緊急アカウントを除き、ルート アカウントまたはローカル管理者アカウントを使用してアクセスすることはできません。

  • 緊急アカウントを変更できるのは緊急アカウントのみです。

  • 証明書ベースの認証を使用している場合は、緊急アカウントはクライアントの証明書の資格情報によって認証される必要があります。 「 緊急アカウントと証明書ベースの認証」を参照してください。

  • ログインの試行が 3 回連続して失敗すると (同じユーザまたは異なるユーザによる)、Expressway へのログイン アクセスは 60 秒間ブロックされます。

  • ログイン直後、現在のユーザには、前回のログイン時の統計と、そのアカウントを使用して失敗したログイン試行の詳細が表示されます。

  • 読み取り専用または読み取り/書き込みアクセス レベルを持つ管理者アカウントでは、イベント ログ、構成ログ、およびネットワーク ログ ページを表示できません。 これらのページは、監査アクセスレベルを持つアカウントのみが閲覧できます。

  • アップグレード ページには システム プラットフォーム コンポーネントのみが表示されます。

Expressway が高度なアカウント セキュリティ モードを終了すると、イベント ログ、構成ログ、ネットワーク ログ、通話履歴、検索履歴、登録履歴は消去されます。


(注)  

侵入防止 が有効になっている場合、既存のブロックされたアドレスのブロックが解除されます。

高度なアカウントセキュリティを無効にする


(注)  

この操作により、すべての構成が消去されます。 このモードを終了すると、構成や履歴を維持することはできません。 システムは工場出荷時の状態に戻ります。
手順

ステップ 1

緊急アカウントでログインしてください。

ステップ 2

高度なアカウント セキュリティ モード (メンテナンス > 高度なセキュリティ) を無効にします。

ステップ 3

SSH サービスを有効にして (システム > 管理設定) 再起動します。

ステップ 4

再起動が完了したら、コンソールに接続します。

ステップ 5

root としてログインし、 factory-resetを実行します。

詳細については、 デフォルト設定の復元(工場出荷時設定へのリセット) を参照してください。

FIPS140-2 暗号化モードの構成


重要

  • X14.2.5 以降、Expressway シリーズ デバイスで FIPS140-2 オプションが 利用可能 になりました。 これは、スマート ライセンス モデルを実行しながら Expressway で FIPS をサポートする最初のバージョンです。 「Expressway Select」イメージで実行される Cisco Expressway シリーズには、FIPS 機能が含まれています (追加のライセンスやオプション キーをインストールしたり、Smart Licensing ポータルで有効にしたりする必要はありません)。

  • FIPS140-2 モードは、高度なセキュリティ オプション キーExpressway Select を備えた Cisco Video Communication Server (VCS) でのみ使用可能であり、Expressway (輸出規制対象バージョン) では使用できません

(注)  

FIPS140-2 モードを無効にするには、工場出荷時の状態にリセットする必要があります。

FIPS (連邦情報処理規格 140) は、暗号化モジュールのセキュリティ要件を規定する米国およびカナダ政府の規格です。 FIPS140-1 は 1994 年に機密データ保護の必須規格となり、2001 年に FIPS140-2 に置き換えられました。Expressway X8.8 以降では、FIPS140-2 準拠の機能が実装されています。

FIPS140-2 暗号化モードの場合、暗号化のワークロードが増加するため、システム パフォーマンスが影響を受ける可能性があります。

FIPS140-2 モードが有効になっている Expressway をクラスタ化できます。

前提条件

FIPS140-2 モードを有効にする前に:

  • システムがデバイス認証のために Active Directory サービスへの直接接続で NTLM プロトコル チャレンジを使用していないことを確認します。FIPS140-2 モードでは NTLM は使用できません。

  • リモート LDAP サーバ経由のログイン認証が構成されている場合、SASL バインディングを使用しているときは TLS 暗号化が使用されていることを確認します。

  • 高度なアカウント セキュリティ オプション キーをインストールする必要があります。

xcommand FIPS を使用する別の方法


メモ

Cisco VCS: [オプションキー追加(Add option key)] フィールドの[メンテナンス(Maintenance)] > [オプションキー(Option keys)]で、J00 オプションキーを追加する必要があります(または CLI コマンドを使用)。 FIPS (<leave/enter/status>) で利用できるオプションは、JOO オプションキーを追加する前にのみ表示されます。 JOO オプションキーは追加されて初めて使用することができます。

詳細については、「リファレンス マテリアル」の章、「コマンド リファレンス - xCommand」のセクション、「 xCommand コマンド」、「xCommand Fips」のセクションを参照してください。

FIPS140-2 準拠には、次の制限も必要です。

  • システム全体の SIP トランスポートモード設定は、TLS: オン、TCP: オフ、UDP: オフにする必要があります。

  • すべての SIP ゾーンは TLS を使用する必要があります。

  • SNMP および NTP サーバ接続では、強力なハッシュと暗号化を使用する必要があります。 次の設定を使用します:

    システム > SNMP > v3 認証 > タイプ = SHA

    システム > SNMP > v3 プライバシー > タイプ = AES

    システム > 時刻 > NTP サーバ n > 認証= 対称鍵

    システム > 時刻 > NTP サーバ n > ハッシュ= SHA-1

システムが仮想化アプリケーションとして実行されており、アップグレード プロセスを実行したことがない場合は、続行する前にシステム アップグレードを実行してください。 システムを、現在実行されているものと同じソフトウェア リリース バージョンにアップグレードできます。 この手順を完了しないと、以下に説明するアクティベーション プロセスは失敗します。

FIPS 140-2 暗号化モードを有効にする


注意    

FIPS 140-2 暗号化モードに移行するには、システムのリセットを実行する必要があります。 これにより、既存の構成データがすべて削除されます。 データを保持するには、リセットを実行する直前にバックアップを作成し、リセットが完了したらバックアップ ファイルを復元する必要があります。

リセットすると、すべての管理者アカウント情報が削除され、デフォルトのセキュリティ証明書が復元されます。 リセットが完了した後にログインするには、まずインストール ウィザードを完了する必要があります。

システムを FIPS 140-2 準拠の暗号化システムに変更するには:
手順

ステップ 1

FIPS 140-2 暗号化モードを有効にする:

  1. [メンテナンス(Maintenance)] > [高度なセキュリティ(Advanced security)]に移動します。

  2. FIPS 140-2 暗号化モードオンに設定します。

  3. [保存(Save)] をクリックします。

ステップ 2

準拠していない設定を報告するアラームを修正します。

(注)  

 

モバイルおよびリモート アクセス シナリオで FIPS を有効にすると、アラーム #40042 (一部の SIP 構成で TLS トランスポートが使用されていない。FIPS 140-2 準拠には TLS が必要) が発生した場合は、この機能を無効にしてから有効にすることでアラームをクリアできます。

ステップ 3

現在の構成データを保存する場合は、 システム バックアップ を作成してください。

(注)  

 

すべてのバックアップにパスワード保護が必要であることを確認します。

ステップ 4

システムをリセットし、FIPS140-2 モードのアクティブ化を完了します。

  1. Expressway に root としてログインします。

  2. fips-activate」と入力します

リセットが完了するまでに最大 30 分かかります。

ステップ 5

指示に従ってインストール ウィザードを完了します。

ステップ 6

システムが設定を適用して再起動したら、設定したパスワードを使用して admin としてログインします。

FIPS 140-2 非準拠に関連するアラームが表示される場合があります。 リセット前に作成されたバックアップを復元する場合は、これらのアラームを無視してください。 バックアップを復元した後も問題が続く場合は、対処する必要があります。

ステップ 7

必要に応じて、以前のデータを復元します。

(注)  

 

FIPS 140-2 モードでは、 FIPS 140-2 暗号化モードオンに設定されているときに作成されたバックアップ ファイルのみを復元できます。 以前の管理者アカウント情報とパスワードはすべて復元されますが、以前の root アカウントのパスワードは復元されません。 復元するデータに信頼されていないセキュリティ証明書が含まれている場合、復元プロセスの一環として実行される再起動が完了するまでに最大 6 分かかることがあります。

ステップ 8

X12.6 以降では、SIP TLS Diffie-Hellman キー サイズをデフォルトの 1024 ビットから少なくとも 2048 ビットに手動で変更する必要があります。これを行うには、Expressway のコマンド ライン インターフェイスで次のコマンドを入力します (キー サイズを 2048 より大きくしたい場合は、最後の要素の値を変更します)。 xconfiguration SIP Advanced SipTlsDhKeySize: "2048"
FIPS140-2 準拠機能

次の Expressway 機能は FIPS140-2 に準拠しており、FIPS140-2 準拠のアルゴリズムを使用します。

  • ウェブインターフェース経由の管理

  • クラスタリング

  • XML および REST API

  • SSH アクセス (AES または 3DES 暗号のみの使用に制限)

  • リモート LDAP サーバ経由のログイン認証 (SASL バインディングを使用する場合は TLS を使用する必要があります)

  • クライアント証明書の検証

  • SIP 証明書失効機能

  • SNMP (SNMPv3 認証は SHA1 に制限され、SNMPv3 プライバシーは AES に制限されます)

  • NTP (対称キーを使用した NTP サーバ認証は SHA1 に制限されます)

  • ローカルデータベースに対するデバイス認証

  • Expressway との間の SIP 接続(TLS を使用する場合)

  • Expressway との間の H.323 接続

  • 委任クレデンシャルチェック

  • SRTP メディア暗号化

  • SIP/H.323 インターワーキング

  • 統合コミュニケーション モバイルおよびリモート アクセス (MRA)

  • TURN サーバ認証

  • バックアップ/復元操作

  • 外部マネージャへの接続

  • 外部ポリシーサービスへの接続

  • リモートログ記録

  • インシデントレポート

  • CSR の生成

その他の Expressway 機能は FIPS140-2 に準拠していません。これには以下が含まれます。

  • NTLM / Active Directory 経由の SIP 認証

  • H.350 ディレクトリ サービスに対する SIP/H.323 デバイス認証

  • Microsoft 相互運用性サービス

  • Cisco TMSPE の使用