SRST のセキュリティの概要
SRST 対応ゲートウェイは、Cisco Unified Communications Manager がコールを完了できない場合に、制限付きのコール処理タスクを提供します。
セキュア SRST 対応ゲートウェイには、自己署名証明書が含まれています。Cisco Unified Communications Manager の管理で SRST 設定作業を実行した後、Cisco Unified Communications Manager は TLS 接続を使用して SRST 対応ゲートウェイで証明書プロバイダー サービスを認証します。 Cisco Unified Communications Manager は SRST 対応ゲートウェイから証明書を取得して、その証明書を Cisco Unified Communications Manager データベースに追加します。
Cisco Unified Communications Manager の管理で従属デバイスをリセットすると、TFTP サーバは SRST 対応ゲートウェイの証明書を電話機の cnf.xml ファイルに追加してファイルを電話機に送信します。これで、保護された電話機は TLS 接続を使用して SRST 対応ゲートウェイと対話します。
ヒント 電話機設定ファイルには、単一の発行者からの証明書だけが含まれます。そのため、HSRP はサポートされません。
SRST のセキュリティ設定のヒント
次の基準が満たされていることを確認します。これらが満たされていると、保護された電話機と SRST 対応ゲートウェイとの間で接続の安全が確保されます。
• SRST 参照先に自己署名証明書が含まれている。
• Cisco CTL クライアントを介して混合モードを設定した。
• 電話機に認証または暗号化を設定した。
• Cisco Unified Communications Manager の管理で SRST 参照先を設定した。
• SRST の設定後に、SRST 対応ゲートウェイおよび従属する電話機をリセットした。
(注) Cisco Unified Communications Manager は、SRST 対応ゲートウェイ向けに、電話機の証明書情報を含む PEM 形式のファイルを提供します。
LSC 認証では、CAPF ルート証明書(CAPF.der)をダウンロードしてください。このルート証明書では、セキュア SRST が TLS ハンドシェイク中に電話機の LSC を確認できます。
• クラスタ セキュリティ モードが非セキュアになっている場合は、Cisco Unified Communications Manager の管理でデバイス セキュリティ モードが認証済みまたは暗号化済みと示されていても、電話機の設定ファイルのデバイス セキュリティ モードは非セキュアのままです。このような場合、電話機は、クラスタ内で SRST 対応ゲートウェイおよび Cisco Unified Communications Manager サーバとの非セキュア接続を試行します。
(注) クラスタ セキュリティ モードは、スタンドアロン サーバまたはクラスタのセキュリティ機能を設定します。
• クラスタ セキュリティ モードが非セキュアになっている場合は、デバイス セキュリティ モードや [セキュアSRST (Is SRST Secure?)] チェックボックスなど、セキュリティ関連の設定が無視されます。設定がデータベースから削除されることはありませんが、セキュリティは提供されません。
• 電話機が SRST 対応ゲートウェイへのセキュア接続を試行するのは、クラスタ セキュリティ モードが混合モードで、電話機設定ファイル内のデバイス セキュリティ モードが認証済みまたは暗号化済みに設定されており、[SRST参照先の設定(SRST Reference Configuration)] ウィンドウで [セキュアSRST (Is SRST Secure?)] チェックボックスがオンになっていて、電話機の設定ファイル内に有効な SRST 証明書が存在する場合だけです。
• 前のリリースの Cisco Unified Communications Manager でセキュア SRST 参照先を設定した場合は、アップグレード時にその設定が自動的に移行されます。
• 暗号化済みまたは認証済みモードの電話機が SRST にフェールオーバーし、SRST での接続中にクラスタ セキュリティ モードが混合モードから非セキュア モードに切り替わった場合、これらの電話機は自動的には Cisco Unified Communications Manager にフォールバックされません。SRST ルータの電源を切り、強制的にこれらの電話機を Cisco Unified Communications Manager に再登録する必要があります。電話機が Cisco Unified Communications Manager にフォールバックした後、管理者は SRST の電源を投入でき、フェールオーバーおよびフォールバックが再び自動になります。
SRST のセキュリティ設定用チェックリスト
表 22-1 を使用して、SRST のセキュリティ設定手順を進めます。
セキュア SRST 参照先の設定
Cisco Unified Communications Manager の管理で SRST 参照先を追加、更新、または削除する前に、次の点を考慮してください。
• セキュア SRST 参照先の追加:初めて SRST 参照先のセキュリティ設定を行う場合、 表 22-2 で説明するすべての項目を設定する必要があります。
• セキュア SRST 参照先の更新:Cisco Unified Communications Manager の管理で SRST の更新を実行しても、SRST 対応ゲートウェイの証明書は自動的に更新されません。証明書を更新するには、[証明書の更新(Update Certificate)] ボタンをクリックする必要があります。クリックすると証明書の内容が表示され、証明書を受け入れるか拒否する必要があります。証明書を受け入れると、Cisco Unified Communications Manager は Cisco Unified Communications Manager サーバまたはクラスタ内の各 Cisco Unified Communications Manager サーバで、信頼できるフォルダにある SRST 対応ゲートウェイの証明書を置き換えます。
• セキュア SRST 参照先の削除:セキュア SRST 参照先を削除すると、Cisco Unified Communications Manager データベースおよび電話機の cnf.xml ファイルから SRST 対応ゲートウェイの証明書が削除されます。
SRST 参照先の削除方法は、『 Cisco Unified Communications Manager アドミニストレーション ガイド 』を参照してください。
セキュア SRST 参照先を設定するには、次の手順を実行します。
手順
ステップ 1 Cisco Unified Communications Manager の管理ページで、[システム(System)] > [SRST] を選択します。
検索と一覧表示ウィンドウが表示されます。
ステップ 2 次のいずれかを実行します。
• 新しい SRST 参照先を追加するには、検索ウィンドウで [新規追加(Add New)] をクリックします (プロファイルを表示してから、[新規追加(Add New)] をクリックすることもできます)。設定ウィンドウが表示され、各フィールドのデフォルト設定が示されます。
• 既存の SRST 参照先をコピーするには、『 Cisco Unified Communications Manager アドミニストレーション ガイド 』の説明に従って適切な SRST 参照先を見つけ、[コピー(Copy)] 列内にあるそのレコード用の [コピー(Copy)] アイコンをクリックします (プロファイルを表示してから、[コピー(Copy)] をクリックすることもできます)。設定ウィンドウが表示され、設定内容が示されます。
• 既存の SRST 参照先を更新するには、『 Cisco Unified Communications Manager アドミニストレーション ガイド 』の説明に従って適切な SRST 参照先を見つけます。設定ウィンドウが表示され、現在の設定が示されます。
ステップ 3 表 22-2 の説明に従い、セキュリティ関連の設定を入力します。
その他の SRST 参照先設定内容の説明については、『 Cisco Unified Communications Manager アドミニストレーション ガイド 』を参照してください。
ステップ 4 [セキュアSRST (Is SRST Secure?)] チェックボックスをオンにすると、[証明書の更新(Update Certificate)] ボタンをクリックして SRST 証明書をダウンロードする必要があるというメッセージがダイアログボックスに表示されます。[OK] をクリックします。
ステップ 5 [保存(Save)] をクリックします。
ステップ 6 データベース内の SRST 対応ゲートウェイの証明書を更新するには、[証明書の更新(Update Certificate)] ボタンをクリックします。
ヒント このボタンは、[セキュアSRST (Is SRST Secure?)] チェックボックスをオンにして [保存(Save)] をクリックした後にだけ表示されます。
ステップ 7 証明書のフィンガープリントが表示されます。証明書を受け入れるには、[保存(Save)] をクリックします。
ステップ 8 [閉じる(Close)] をクリックします。
ステップ 9 [SRST参照先の設定(SRST Reference Configuration)] ウィンドウで、[リセット(Reset)] をクリックします。
次の作業
[デバイスプール設定(Device Pool Configuration)] ウィンドウで SRST 参照先が有効になったことを確認します。
追加情報
「関連項目」を参照してください。
SRST 参照先のセキュリティの設定内容
表 22-2 で、セキュア SRST 参照先に対して Cisco Unified Communications Manager の管理で使用できる設定について説明します。
• 設定のヒントについては、「SRST のセキュリティ設定のヒント」を参照してください。
• 関連する情報および手順については、「関連項目」を参照してください。
表 22-2 セキュア SRST 参照先の設定内容
|
|
[セキュアSRST (Is SRST Secure?)] |
SRST 対応ゲートウェイに、自己署名証明書が含まれることを確認した後、このチェックボックスをオンにします。 SRST を設定してゲートウェイおよび従属する電話機をリセットすると、Cisco CTL Provider サービスは SRST 対応ゲートウェイで証明書プロバイダー サービスに認証を受けます。Cisco CTL クライアントは SRST 対応ゲートウェイから証明書を取得して、その証明書を Cisco Unified Communications Manager データベースに格納します。 をクリックし、従属する電話機をリセットします。 |
[SRST証明書プロバイダポート(SRST Certificate Provider Port)] |
このポートは、SRST 対応ゲートウェイ上で証明書プロバイダー サービスに対する要求を監視します。 Cisco Unified Communications Manager はこのポートを使用して SRST 対応ゲートウェイから証明書を取得します。Cisco SRST 証明書プロバイダーのデフォルト ポートは 2445 です。 SRST 対応ゲートウェイ上でこのポートを設定した後、このフィールドにポート番号を入力します。 ヒント ポートが現在使用中の場合や、ファイアウォールを使用していてファイアウォール内のポートを使用できない場合には、異なるポート番号の設定が必要になることもあります。ポート番号は、1024 ~ 49151 の範囲に存在する必要があります。この範囲外にある場合、「ポート番号に使用できるのは数字だけです」というメッセージが表示されます。 |
[証明書の更新(Update Certificate)] |
ヒント このボタンは、[セキュアSRST (Is SRST Secure?)] チェックボックスをオンにして [保存(Save)] をクリックした後にだけ表示されます。 このボタンをクリックすると、Cisco CTL クライアントは Cisco Unified Communications Manager データベースに格納されている既存の SRST 対応ゲートウェイの証明書を置き換えます(証明書がデータベースに存在する場合)。従属する電話機をリセットした後、TFTP サーバは cnf.xml ファイルを(新しい SRST 対応ゲートウェイの証明書とともに)電話機に送信します。 |
SRST 参照先からのセキュリティの解除
セキュリティ設定後に SRST 参照先を非セキュアにするには、[SRST参照先の設定(SRST Reference Configuration)] ウィンドウで、[セキュアSRST (Is SRST Secure?)] チェックボックスをオフにします。ゲートウェイ上のクレデンシャル サービスを無効にする必要がある旨のメッセージが表示されます。
SRST 証明書がゲートウェイから削除された場合
SRST 証明書が SRST 対応のゲートウェイから削除された場合は、その SRST 証明書を Cisco Unified Communications Manager データベースと IP Phone から削除する必要があります。
この作業を実行するには、[SRST参照先の設定(SRST Reference Configuration)] ウィンドウで、[セキュアSRST (Is SRST Secure?)] チェックボックスをオフにして [更新(Update)] をクリックし、[複数のデバイスのリセット(Reset Devices)] をクリックします。