- ホーム
- /
- 投稿記事
Cisco IP 電話セキュリティ
この記事の内容このヘルプ記事は、Cisco BroadWorks に登録された Cisco Desk Phone 9800 シリーズおよび Cisco Video Phone 8875 を対象にしています。
カスタム デバイス証明書を手動でインストールする
電話管理ウェブページから証明書をアップロードすることで、電話にカスタム デバイス証明書 (CDC) を手動でインストールできます。
はじめる前に
電話のカスタム デバイス証明書をインストールするには、以下が必要です。
- PC に保存されている証明書ファイル (.p12 または .pfx) このファイルには証明書と秘密鍵が含まれています。
- 証明書の抽出パスワードです。 パスワードは証明書ファイルの解読に使用されます。
| 1 |
電話管理のウェブページにアクセスします。 |
| 2 |
選択する 証明書。 |
| 3 |
[ 証明書の追加 セクションで、 参照...。 |
| 4 |
PC の証明書を参照します。 |
| 5 |
[抽出パスワード(Extract password)] フィールドに、証明書の抽出パスワードを入力します。 |
| 6 |
[アップロード(Upload)] をクリックします。 証明書ファイルとパスワードが正しい場合は、次のメッセージが表示されます。
証明書が追加されました。 "。 そうでない場合、アップロードは失敗し、証明書をアップロードできないことを示すエラーメッセージが表示されます。 |
| 7 |
インストールされた証明書の詳細を確認するには、 表示する [ 既存の証明書 セクションを参照してください。 |
| 8 |
電話からインストールされた証明書を削除するには、 削除する [ 既存の証明書 セクションを参照してください。 ボタンをクリックすると、削除操作が確認なしですぐに開始されます。
証明書が正常に削除されると、次のメッセージが表示されます: |
SCEP でカスタム デバイス証明書を自動的にインストールする
証明書ファイルを手動でアップロードしたくない場合、または証明書ファイルがない場合は、Simple Certificate Enrollment Protocol (SCEP) パラメーターをセットアップして、カスタムデバイス証明書 (CDC) を自動的にインストールできます。
SCEP パラメータが正しく設定されている場合、電話は SCEP サーバに要求を送信し、定義された指紋を使用して、CA 証明書がデバイスによって検証されます。
はじめる前に
電話のカスタム デバイス証明書の自動インストールを実行するには、以下が必要です。
- SCEP サーバアドレス
- SCEP サーバのルート CA 証明書の SHA-1 または SHA-256 フィンガープリント
| 1 |
電話管理のウェブページにアクセスします。 |
| 2 |
選択する 証明書。 |
| 3 |
[ SCEP 設定 1 セクションで、次の表の説明に従ってパラメータを設定します SCEP 構成のパラメータ。 |
| 4 |
[すべての変更の送信(Submit All Changes)] をクリックします。 |
SCEP 構成のパラメータ
以下の表では、 SCEP 設定 1 セクション 証明書 タブを選択します。 また、パラメータを設定するために電話設定ファイル (cfg.xml) に追加される文字列の構文も定義します。
| パラメータ | 説明 |
|---|---|
| サーバ(Server) |
SCEP サーバアドレス。 このパラメータは必須です。 次のいずれかを実行します。
有効な値: URL または IP アドレス。 HTTPS スキームはサポートされていません。 デフォルト:空 |
| ルート CA フィンガープリント |
SCEP プロセス中の検証のためのルート CA の SHA256 または SHA1 指紋。 このパラメータは必須です。 次のいずれかを実行します。
デフォルト:空 |
| チャレンジ パスワード |
SCEP 経由の証明書登録中の電話に対する Certificate Authority (CA) 認証用のチャレンジ パスワード。 このパラメータはオプションです。 実際の SCEP 環境により、チャレンジパスワードの動作は異なります。
次のいずれかを実行します。
デフォルト:空 |
DHCP オプション 43 による SCEP パラメータの設定
電話ウェブページの手動設定による SCEP 証明書の登録に加えて、DHCP オプション 43 を使用して、DHCP サーバからパラメータを入力することもできます。 DHCP オプションの 43 は SCEP パラメーターで事前構成されており、後で電話で DHCP サーバからパラメーターを取得して、SCEP 証明書の登録を実行できます。
- DHCP オプション 43 による SCEP パラメーターの構成は、工場出荷時設定へのリセットが実行される電話でのみ利用できます。
- 電話は、オプション 43 とリモート プロビジョニング (たとえば、オプション 66,160,159,150、またはクラウド プロビジョニング) の両方をサポートするネットワーク内に配置しないでください。 そうしないと、電話はオプション 43 設定を取得できない場合があります。
DHCP オプション 43 で SCEP パラメーターを設定して SCEP 証明書を登録するには、次の作業を行います。
- SCEP 環境を準備します。
SCEP 環境のセットアップについての情報は、SCEP サーバのドキュメントを参照してください。
- DHCP オプション 43 (定義: 8.4 ベンダー固有情報、RFC 2132) を参照してください。
サブオプション (10-15) は メソッド用に予約されています。
電話ウェブページのパラメータ サブオプション タイプ(Type) 長さ (バイト) 必須 FIPS モード 10 boolean 1 いいえ* サーバ(Server) 11 文字列 208 - 長さ (パスワードの再確認) はい ルート CA フィンガープリント 12 バイナリ 20 または 32 はい チャレンジ パスワード 13 文字列 208 - 長さ (サーバ) いいえ* [802.1X認証の有効化(Enable 802.1X Authentication)] 14 boolean 1 いいえ 証明書の選択 15 符号なし 8 ビット 1 いいえ DHCP オプション 43 を使用する場合、メソッドの次の特性に注意してください。
- サブオプション (10–15) はカスタムデバイス証明書 (CDC) 用に予約されています。
- DHCP オプション 43 の最大長は 255 バイトです。
- 最大の長さ サーバ + チャレンジ パスワード 208 バイト未満でなければなりません。
- の値 FIPS モード オンボーディングのプロビジョニング構成と一致する必要があります。 そうしないと、電話はオンボーディング後に以前にインストールされた証明書の取得に失敗します。 具体的には、
- FIPS モードが無効になっている環境に電話が登録される場合、パラメーターを構成する必要はありません。 FIPS モード DHCP オプション 43 で指定します。デフォルトでは、FIPS モードは無効になっています。
- FIPS モードが有効な環境に電話が登録される場合、DHCP オプション 43 で FIPS モードを有効にする必要があります。次を参照してください。 FIPS モードを有効にする を参照してください。
- オプション 43 のパスワードはクリアテキストです。
チャレンジ パスワードが空の場合、電話は最初の登録と証明書の更新に MIC/SUDI を使用します。 チャレンジ パスワードが構成されている場合、それは最初の登録にのみ使用され、インストールされた証明書が証明書の更新に使用されます。
- 802.1X 認証を有効にする および 証明書の選択 は有線ネットワークの電話にのみ使用されます。
- DHCP オプション 60 (ベンダー クラス識別子) は端末モデルの識別に使用されます。
次の表では、DHCP オプション 43 (サブオプション 10–15) の例を示します。
サブオプション小数/16 進数 値の長さ (バイト) 10 進数/16 進数 値 16 進数値 10/0a 1/01 1 (0: 無効; 1: 有効) 01 11/0b 18/12 http://10.79.57.91 687474703a2f2f31302e37392e35372e3931 12/0c 20/14 12040870625C5B755D73F5925285F8F5FF5D55AF 12040870625C5B755D73F5925285F8F5FF5D55AF 13/0d 16/10 D233CCF9B9952A15 44323333434346394239393532413135 14/0e 1/01 1 (0: いいえ; 1: はい) 01 15/0f 1/01 1 (0: マニュファクチャリングインストール、1: カスタムインストール) 01 パラメータ値の概要:
-
FIPS モード =
有効 -
サーバ =
http://10.79.57.91 -
ルート CA フィンガープリント =
12040870625C5B755D73F5925285F8F5FF5D55AF -
チャレンジ パスワード =
D233CCF9B9952A15 -
802.1X 認証を有効にする =
はい -
証明書の選択 =
カスタムインストール
最終的な 16 進値の構文は次のとおりです:
{<suboption><length><value>}...上記のパラメータ値によると、最終的な 16 進値は以下の通りです。
0a01010b12687474703a2f2f31302e37392e35372e39310c1412040870625C5B755D73F5925285F8F5FF5D550901f1pi1d - DHCP オプション 43 を DHCP サーバで設定します。この手順は、Cisco Network Register の DHCP option 43 構成の例を提供します。
- DHCP オプション定義セットを追加。
ベンダーオプション文字列 は IP 電話のモデル名です。 有効な値は、DP-9841、DP-9851、DP-9861、DP-9871、または CP-8875 です。
- DHCP オプション 43 とサブオプションを DHCP オプション定義セットに追加します。
例:
- オプション 43 を DHCP ポリシーに追加し、値を次のようにセットアップします。
例:
(10 1)(11 http://10.79.57.91)(12 12040870625C5B755D73F5925285F8F5FF5D55AF)(13 D233CCF9B9952A15)(14 1)(15 14)) - 設定を確認します。 Wireshark を使用して、電話とサービスの間のネットワーク トラフィックのトレースをキャプチャできます。
- DHCP オプション定義セットを追加。
- 電話の工場出荷時設定へのリセットを実行します。
電話がリセットされた後、パラメータ サーバ、 ルート CA 指紋、および チャレンジパスワード が自動的に入力されます。 これらのパラメータは、セクション SCEP Configuration 1 from 電話管理ウェブページで確認することができます。
インストールされた証明書の詳細を確認するには、[ 既存の証明書 ] セクションで [ 表示 ] をクリックします。
証明書のインストール状況を確認するには、[ の順に選択します。 ダウンロード状況 1 に最新の結果が表示されます。 証明書の登録中に問題が発生した場合、トラブルシューティングの目的で、ダウンロードの状況に問題の理由を表示できます。
チャレンジ パスワード認証が失敗した場合、ユーザは電話スクリーン上でパスワードを入力するように指示されます。 - (オプション) インストールされた証明書を電話から削除するには、[ 既存の証明書 ] セクションで [ 削除 ] をクリックします。ボタンをクリックすると、削除操作が確認なしですぐに開始されます。
SCEP による証明書の更新
デバイス証明書は、SCEP プロセスによって自動的に更新できます。
- 電話は、証明書が 15 日後に期限切れになるかどうかを 4 時間ごとに確認します。 その場合、電話は証明書の更新プロセスを自動的に開始します。
- チャレンジ パスワードが空の場合、電話は最初の登録と証明書の更新の両方で MIC/SUDI を使用します。 チャレンジ パスワードが設定されている場合、最初の登録にのみ使用され、既存/インストール済みの証明書が証明書の更新に使用されます。
- 電話は、新しい証明書を取得するまで、古いデバイス証明書を削除しません。
- デバイスの証明書または CA の有効期限が切れているために証明書の更新が失敗した場合、電話は最初の登録を自動的にトリガーします。 一方、チャレンジ パスワード認証が失敗すると、電話スクリーンにパスワード入力画面がポップアップ表示され、ユーザは電話でチャレンジ パスワードを入力するように求められます。
FIPS モードの有効化
電話機を連邦情報処理標準規格(FIPS)に準拠させることができます。
FIPS は、非軍事政府内、およびそれらの機関と連携する政府請負業者やベンダーが使用するドキュメント処理、暗号化アルゴリズム、および他の情報技術標準を説明する一連の規格です。 CiscoSSL FOM (FIPS Object Module) は慎重に定義されたソフトウェアコンポーネントであり、CiscoSSL ライブラリとの互換性を保つように設計されています。そのため、CiscoSSL ライブラリと API を使用する製品は、最小限の労力で FIPS 140-2 検証済み暗号を使用するように変換できます。
| 1 |
電話管理のウェブページにアクセスします。 |
| 2 |
を選択します。 |
| 3 |
セキュリティ設定 セクションで [はい] または [いいえ] を選択します。a57> FIPS モード パラメータから。 |
| 4 |
[すべての変更の送信(Submit All Changes)] をクリックします。 FIPS を有効にすると、電話機で次の機能がシームレスに機能します。
|
ユーザおよび管理者パスワードの設定
電話機がコール制御システムに初めて登録された後、または電話機を工場出荷時設定へのリセットを実行した後は、電話機のセキュリティを強化するために、ユーザ パスワードと管理者パスワードを設定する必要があります。 パスワードが設定されている場合に限り、電話のウェブページから変更を送信できます。
デフォルトでは、パスワードなしの警告は電話で有効になっています。 電話にユーザ パスワードまたは管理者パスワードがない場合、次の警告が表示されます。
- 電話のウェブページに、「管理者パスワードが指定されていません。 ウェブは読み取り専用モードです。変更を送信することはできません。 パスワードを変更してください」というメッセージが左上隅に表示されます。
[ ユーザパスワード および 管理パスワード フィールドが空の場合、それぞれ [パスワードが提供されていません] という警告が表示されます。
- 電話スクリーン 問題と診断 「パスワードが入力されていません」という問題が表示されます。
| 1 |
電話管理の Web ページにアクセスします。 |
| 2 |
を選択します。 |
| 3 |
(オプション) [ システム構成 セクションで パスワード警告の表示 パラメータを はいを選択し、次にクリックします すべての変更を送信。 このパラメータは、電話機の設定ファイル(cfg.xml)のパラメータでも有効にできます。
デフォルト:はい(Yes) オプション:はい|いいえ パラメータが いいえをインストールしていない場合、パスワードの警告はウェブ ページにも電話スクリーンにも表示されません。 また、パスワードが空であっても、ウェブページの読み取り専用モードはアクティブになりません。 |
| 4 |
パラメータを探します ユーザパスワード または 管理パスワードを選択し、 パスワードの変更 を選択します。 |
| 5 |
[古いパスワード(Old Password)] フィールドに、現在のユーザーパスワードを入力します。 パスワードがない場合は、このフィールドを空のままにします。 デフォルト値は空です。
|
| 6 |
[新しいパスワード(New Password)] フィールドに、新しいパスワードを入力します。 |
| 7 |
[送信(Submit)] をクリックします。 「 ユーザーパスワードを設定した後、このパラメータは、電話機の設定 XML ファイル(cfg.xml)で次のように表示されます。
電話のウェブページにアクセスしようとしたときに 403 エラーコードを受け取った場合、電話設定ファイル (cfg.xml) でプロビジョニングを行うことでユーザパスワードまたは管理者パスワードを設定する必要があります。 たとえば、次の形式で文字列を入力します。
|
802.1X 認証
Cisco IP 電話 は 802.1X 認証をサポートします。
Cisco IP 電話 と Cisco Catalyst スイッチは、従来 Cisco Discovery Protocol(CDP)を使用して互いを識別し、VLAN 割り当てやインライン所要電力などのパラメータを決定します。 CDP では、ローカルに接続されたワークステーションは識別されません。 Cisco IP 電話は、EAPOL パススルー メカニズムを提供します。 このメカニズムを使用すると、Cisco IP 電話に接続されたワークステーションは、LAN スイッチにある 802.1X オーセンティケータに EAPOL メッセージを渡すことができます。 パススルー メカニズムにより、IP フォンはネットワークにアクセスする前にデータ エンドポイントを認証する際 LAN スイッチとして動作しません。
Cisco IP 電話はまた、プロキシ EAPOL ログオフ メカニズムも提供します。 ローカルに接続された PC が IP フォンから切断された場合でも、LAN スイッチと IP フォン間のリンクは維持されるので、LAN スイッチは物理リンクの障害を認識しません。 ネットワークの完全性が脅かされるのを避けるため、IP フォンはダウンストリーム PC の代わりに EAPOL ログオフ メッセージをスイッチに送ります。これは、LAN スイッチにダウンストリーム PC の認証エントリをクリアさせます。
802.1X 認証のサポートには、次のようなコンポーネントが必要です。
-
Cisco IP 電話: 電話機は、ネットワークへのアクセス要求を開始します。 Cisco IP 電話には、802.1x サプリカントが含まれています。 このサプリカントを使用して、ネットワーク管理者は IP 電話と LAN スイッチ ポートの接続を制御できます。 電話機に含まれる 802.1X サプリカントの現在のリリースでは、ネットワーク認証に EAP-FAST オプションと EAP-TLS オプションが使用されています。
-
認証サーバ: 認証サーバとスイッチの両方に、電話を認証する共有シークレットを設定する必要があります。
-
スイッチ:スイッチは 802.1X をサポートする必要があるため、オーセンティケーターとして機能し、電話と認証サーバー間でメッセージを送受信します。 この交換が完了した後、スイッチはネットワークへの電話機のアクセスを許可または拒否します。
802.1X を設定するには、次の手順を実行する必要があります。
-
電話機で 802.1X 認証をイネーブルにする前に、他のコンポーネントを設定します。
-
PC ポートの設定:802.1X 標準では VLAN が考慮されないため、特定のスイッチ ポートに対してデバイスを 1 つだけ認証することを推奨します。 ただし、一部のスイッチはマルチドメイン認証をサポートしています。 スイッチの設定により、PC を電話機の PC ポートに接続できるかどうかが決定されます。
-
有効:複数ドメインの認証をサポートするスイッチを使用している場合、PC ポートを有効化し、そのポートに PC を接続できます。 この場合、スイッチと接続先 PC 間の認証情報の交換をモニタするために、Cisco IP 電話はプロキシ EAPOL ログオフをサポートします。
Cisco Catalyst スイッチでの IEEE 802.1X サポートの詳細については、次の URL にある Cisco Catalyst スイッチのコンフィギュレーション ガイドを参照してください。
http://www.cisco.com/en/US/products/hw/switches/ps708/tsd_products_support_series_home.html
-
無効:スイッチが同一ポート上の複数の 802.1X 対応デバイスをサポートしていない場合、802.1X 認証を有効化するときに PC ポートを無効にする必要があります。 このポートを無効にしないで PC を接続しようとすると、スイッチは電話機と PC の両方に対してネットワーク アクセスを拒否します。
-
- ボイス VLAN の設定:802.1X 標準では VLAN が考慮されないため、この設定をスイッチのサポートに基づいて行うようにしてください。
- 有効:複数ドメインの認証をサポートするスイッチを使用している場合は、ボイス VLAN を引き続き使用できます。
- 無効:スイッチで複数ドメインの認証がサポートされていない場合は、ボイス VLAN を無効にし、ポートをネイティブ VLAN に割り当てることを検討してください。
- (Cisco Desk Phone 9800 シリーズのみ)
Cisco Desk Phone 9800 シリーズの PID には、他の Cisco 電話のものとは異なるプレフィックスがあります。 電話が 802.1X 認証にパスするようにするには、次を設定します: 範囲・ユーザ名 パラメータに Cisco Desk Phone 9800 シリーズを追加します。
たとえば、電話 9841 の PID は DP-9841 です。[ Radius ・ユーザ名 ] を、[
DP で開始]またはDP を含むように設定できます。。 次の両方のセクションで設定できます。 -
[802.1X認証の有効化(Enable 802.1X authentication)]
802.1X 認証が有効な場合、電話機は 802.1X 認証を使用してネットワークアクセスを要求します。 802.1X 認証が無効になっている場合、電話機は EAP-FAST (CDP) を使用して VLAN とネットワークアクセスを取得します。 トランザクションの状況を表示して、電話スクリーンのメニューで変更することもできます。
802.1X 認証が有効な場合、最初の登録と証明書の更新でデバイス証明書 (MIC/SUDI またはカスタム) を選択することもできます。 通常、MIC は Cisco Video Phone 8875 用です。SUDI は Cisco Desk Phone 9800 シリーズ用です。 CDC は 802.1x での認証にのみ使用できます。
| 1 |
802.1 X 認証を有効にするには、次のいずれかの操作を実行します。
| ||||||||||||||||||||
| 2 |
電話ウェブページで使用する 802.1X 認証用の証明書 (MIC または Custom) を選択します。
電話画面で証明書の種類を選択する方法については、 電話を Wi-Fi ネットワークに接続するを参照してください。
|
メディア プレーン セキュリティ ネゴシエーションでクライアント初期化モードを有効にする
メディアセッションを保護するには、サーバーとのメディアプレーンセキュリティネゴシエーションを開始するように電話機を設定できます。 セキュリティメカニズムは、RFC 3329 およびその拡張ドラフトのメディア用セキュリティメカニズム名 ( https://tools.ietf.org/html/draft-dawes-sipcore-mediasec-parameter-08#ref-2 を参照) で規定されている標準に従います。 電話機とサーバ間でのネゴシエーションの転送では、UDP、TCP、および TLS を介した SIP プロトコルを使用できます。 シグナリングトランスポートプロトコルが TLS の場合にのみ メディアプレーンセキュリティネゴシエーションが適用されるように制限することができます。
| 1 |
電話管理のウェブページにアクセスします。 | ||||||
| 2 |
を選択します。 | ||||||
| 3 |
SIP 設定 セクションで、 MediaSec リクエスト と MediaSec オーバー TLS を設定します。次の表で定義されたフィールドのみ :
| ||||||
| 4 |
[すべての変更の送信(Submit All Changes)] をクリックします。 |
Wi-Fi プロファイルをセットアップする
電話の Web ページまたはリモートデバイスプロファイルの再同期から Wi-Fi プロファイルを設定して、そのプロファイルを使用可能な Wi-Fi ネットワークに関連付けることができます。 この Wi-Fi プロファイルを使用して Wi-Fi に接続できます。 現在、設定できる Wi-Fi プロファイルは 1 つのみです。
プロファイルには、電話機が Wi-Fi で電話サーバーに接続するために必要なパラメータが含まれています。 Wi-Fi プロファイルを作成して使用する場合、管理者またはユーザが個々の電話にワイヤレス ネットワークを設定する必要はありません。
Wi-Fi プロファイルによって、ユーザが電話機の Wi-Fi 設定を変更できないようにしたり、制限したりすることができます。
Wi-Fi プロファイルを使用する場合、キーとパスワードを保護するために、プロトコルの暗号化が有効になっている安全なプロファイルを使用することをお勧めします。
セキュリティモードで EAP-TLS 認証方法を使用するように電話をセットアップすると、ユーザはアクセスポイントに接続するために個別の資格情報が必要になります。
| 1 |
電話機のウェブページにアクセス |
| 2 |
を選択します。 |
| 3 |
セクション Wi-Fi プロファイル (n) で、次の表 の説明に従ってパラメータを設定します。Wi-Fi プロファイルパラメータです。a90>. Wi-Fi プロファイル設定はユーザ ログインも利用できます。
|
| 4 |
[すべての変更の送信(Submit All Changes)] をクリックします。 |
Wi-Fi プロファイルのパラメータ
次の表で、電話機のウェブページの [システム(System)] タブの下にある [Wi-Fi プロファイル(n)(Wi-Fi Profile(n))] セクションの各パラメータの機能と使用方法を定義します。 また、パラメータを設定するために電話設定ファイル (cfg.xml) に追加される文字列の構文も定義します。
| パラメータ | 説明 |
|---|---|
| ネットワーク名 | 電話機に表示される SSID の名前を入力できます。 複数のプロファイルが、異なるセキュリティモードで同じネットワーク名を持つことができます。 次のいずれかを実行します。
デフォルト:空 |
| セキュリティ モード | Wi-Fi ネットワークへのアクセスをセキュリティ保護するために使用する認証方法を選択できますす。 選択した方法に応じて [パスワード] フィールドが表示され、この Wi-Fi ネットワークに参加するために必要な資格情報を入力することができます。 次のいずれかを実行します。
デフォルト:[自動(Auto)] |
| Wi-Fi ユーザー ID | ネットワーク プロファイルのユーザー ID を入力できます。 このフィールドは、セキュリティ モードを Auto、EAP-FAST、または EAP-PEAP に設定している場合に利用できます。 これは必須フィールドであり、最大 32 文字の英数字を使用できます。 次のいずれかを実行します。
デフォルト:空 |
| Wi-Fi パスワード | 指定された Wi-Fi ユーザー ID のパスワードを入力できます。 次のいずれかを実行します。
デフォルト:空 |
| 周波数帯域 | WLAN で使用されているワイヤレス信号周波帯を選択できます。 次のいずれかを実行します。
デフォルト:[自動(Auto)] |
| 証明書の選択 | ワイヤレスネットワークでの証明書の初期登録と証明書の更新で証明書タイプを選択することができます。 このプロセスは 802.1X 認証でのみ利用できます。 次のいずれかを実行します。
デフォルト: マニュファクチャリングがインストール済み |
