- ホーム
- /
- 投稿記事
このヘルプ記事は、Cisco ワイヤレス電話 9821 号(Cisco Unified Communications Manager(Unified CM)に登録されているためです。
Cisco Unified Communications Manager(Unified CM)を有効にして、強化されたセキュリティ環境で動作させることができます。 これらの強化機能により、電話ネットワークが、一連の厳密なセキュリティ管理とリスク管理の制御下で動作するようになり、自分自身とユーザが保護されます。
強化されたセキュリティ環境には、次の機能が含まれています。
-
連絡先検索認証
-
リモート監査ログのデフォルトプロトコルとして TCP を使用する
-
改善された認証情報ポリシー
-
デジタル署名用のハッシュ関数 SHA-2 ファミリーのサポート
-
最大 4096 ビットまでの RSA 鍵サイズのサポート
Cisco Unified CM リリース 14.0 以降では、端末は SIP OAuth 認証をサポートしています。
OAuth は、Cisco Unified CM リリース 14.0 (1) SU1 以降のプロキシトリビアルファイル転送プロトコル(TFTP)をサポートしています。
セキュリティに関する追加情報については、以下のガイドをご覧ください。
-
Cisco Unified Communications Manager システム設定ガイド, リリース 15 および SUs
-
Cisco Unified Communications Manager セキュリティガイド、リリース 15 および SU
電話機には、限られた数の Identity Trust List(ITL)ファイルのみ保存できます。 ITL ファイルは電話で 64K を超えてはいけないので、Cisco Unified CM が送信するファイル数を制限してください。
サポート対象のセキュリティ機能
セキュリティ機能は、電話機の ID やデータへの脅威などの脅威を防止します。 セキュリティ機能は、電話機と Cisco Unified Communications Manager サーバ間に認証された通信ストリームを確立し、これを維持するとともに、電話機がデジタル署名されたファイルのみ使用することを確認します。
Cisco Unified Communications Manager リリース 8.5(1) 以降のはデフォルトでセキュリティ機能が搭載されており、CTL クライアントを実行しなくても、Cisco IP 電話 に次のセキュリティ機能が提供されます。
-
電話機の設定ファイルの署名
-
電話機の設定ファイルの暗号化
-
HTTPS with Tomcat および他の Web サービスの利用
シグナリングおよびメディア機能を保護するには、引き続き、CTL クライアントを実行し、ハードウェア eToken を使用する必要があります。
Cisco Unified Communications Manager システムにセキュリティを実装すると、電話機や Cisco Unified Communications Manager サーバの ID 盗用、データの改ざん、およびコール シグナリングとメディア ストリームの改ざんを防止できます。
これらの脅威を軽減するため、Cisco Unified IP テレフォニー ネットワークは、電話機とサーバの間にセキュアな(暗号化された)通信ストリームを確立し、維持します。ファイルはデジタル署名してから電話機に転送し、Cisco IP 電話 間では、メディア ストリームとコール シグナリングを暗号化します。
認証局プロキシ関数(CAPF)に関連付けられた必要なタスクの実行後、ローカルで有効な証明書(LSC)が電話機にインストールされます。 Cisco Unified Communications Manager Administration を使って LSC を設定することができ、 Cisco Unified Communications Manager セキュリティガイドで説明されています。 あるいは、電話の Security メニューから LSC のインストールを開始することもできます。 このメニューでは、LSC の更新および削除も実行できます。
電話機では電話セキュリティ プロファイルを使用します。この中では、デバイスがセキュリティ保護の対象になるかどうかを定義します。 電話へセキュリティ プロファイルを適用する方法の詳細は、該当する Cisco Unified Communications Manager リリースのマニュアルを参照してください。
Cisco Unified Communications Manager Administration でセキュリティ関連の設定を行うと、電話機の設定ファイルに重要な情報が保存されます。 設定ファイルのプライバシーを確保するには、そのファイルを暗号化用に設定する必要があります。 詳細については、該当する Cisco Unified Communications Manager リリースのマニュアルを参照してください。
次の表に、電話機でサポート対象セキュリティ機能の概要を示します。 詳細については、お使いの Cisco Unified Communications Manager リリースのマニュアルを参照してください。
|
機能 |
説明 |
|---|---|
|
イメージ認証 |
署名付きのバイナリ ファイルによって、ファームウェア イメージが電話機へのロード前に改ざんされることを防止します。 イメージが改ざんされると、電話機は認証プロセスに失敗し、新しいイメージを拒否します。 |
|
顧客サイト証明書のインストール |
各 Cisco IP 電話は、デバイス認証に一意の証明書を必要とします。 電話機には Manufacturing Installed Certificate(MIC; 製造元でインストールされる証明書)が含まれますが、追加のセキュリティについては、Cisco Unified Communications Manager の管理ページで、Certificate Authority Proxy Function(CAPF; 認証局プロキシ関数)を使用して証明書のインストールを指定できます。 あるいは、電話の Security menu から Locally Significant Certificate (LSC)をインストールすることもできます。 |
|
デバイス認証 |
Cisco Unified Communications Manager サーバと電話機間で、一方のエンティティが他方のエンティティの証明書を受け入れるときに行われます。 電話機と Cisco Unified Communications Manager の間でセキュアな接続を確立するかどうかを判別し、必要に応じて TLS プロトコルを使用してエンティティ間にセキュアなシグナリング パスを作成します。 Cisco Unified Communications Manager では、認証できない電話機は登録されません。 |
|
ファイル認証 |
電話機がダウンロードするデジタル署名ファイルを検証します。 ファイルの作成後、ファイルの改ざんが発生しないように、電話機でシグニチャを検証します。 認証できないファイルは、電話機のフラッシュ メモリに書き込まれません。 電話機はこのようなファイルを拒否し、処理を続行しません。 |
|
ファイルの暗号化 |
暗号化により、ファイルの機密性の高い情報が電話機に転送される間に漏えいしないように保護されます。 さらに、電話機でも、ファイルが作成後に改ざんされていないことを、署名を確認することで確認します。 認証できないファイルは、電話機のフラッシュ メモリに書き込まれません。 電話機はこのようなファイルを拒否し、処理を続行しません。 |
|
シグナリング認証 |
TLS プロトコルを使用して、シグナリング パケットが転送中に改ざんされていないことを検証します。 |
|
Manufacturing Installed Certificate(製造元でインストールされる証明書) |
各 Cisco IP 電話には、固有の製造元でインストールされる証明書(MIC)が内蔵されており、デバイス認証に使用されます。 MIC は、個々の電話機を識別するために長期的に割り当てられた証明を提供し、Cisco Unified Communications Manager はこれを使用して電話機を認証します。 |
|
メディア暗号化 |
SRTP を使用して、サポート対象デバイス間のメディア ストリームがセキュアであること、および意図したデバイスのみがデータを受信し、読み取ることを保証します。 デバイスのメディアプライマリキーペアの作成、デバイスへのキーの配布、キーが転送される間のキーの配布のセキュリティの確保などが含まれます。 |
|
CAPF(Certificate Authority Proxy Function) |
電話機に非常に高い処理負荷がかかる、証明書生成手順の一部を実装します。また、キーの生成および証明書のインストールのために電話機と対話します。 電話機の代わりに、お客様指定の認証局に証明書を要求するよう CAPF を設定できます。または、ローカルで証明書を生成するように CAPF を設定することもできます。 EC(楕円曲線)と RSA の両方のキータイプがサポートされています。 EC キーを使用するには、パラメーター「Endpoint Advanced Encryption Algorithms Support」(以下)が正しいことを確認してください。 ) が有効になっています。 CAPF および関連する設定の詳細については、以下のドキュメントを参照してください。 |
|
セキュリティプロファイル |
電話機がセキュリティ保護、認証、または暗号化の対象になるかどうかを定義します。 この表の他の項目は、セキュリティ機能について説明しています。 |
|
暗号化された設定ファイル |
電話機の設定ファイルのプライバシーを確保できるようにします。 |
|
電話機の Web サーバの無効化(オプション) |
セキュリティ上の目的で、電話機の Web ページ(ここには電話機のさまざまな処理の統計情報が表示される)とセルフ ケア ポータルへのアクセスを防止できます。 |
|
電話のセキュリティ強化(Phone hardening) |
Cisco Unified Communications Manager Administration から制御する追加セキュリティオプションです。
|
|
SRST 向けのセキュアな SIP フェールオーバー |
セキュリティ目的で Survivable Remote Site Telephony(SRST)リファレンスを設定してから、Cisco Unified Communications Manager Administration で従属デバイスをリセットすると、TFTP サーバーは電話機の cnf.xml ファイルに SRST 証明書を追加し、そのファイルを電話機に送信します。 その後、セキュアな電話機は TLS 接続を使用して、SRST 対応ルータと相互に対話します。 |
|
シグナリング暗号化 |
デバイスと Cisco Unified Communications Manager サーバの間で送信されるすべての SIP シグナリング メッセージが暗号化されるようにします。 |
|
信頼リストの更新アラーム |
電話機で信頼リストが更新されると、Cisco Unified Communications Manager は更新の成功または失敗を示すアラームを受信します。 詳細については、以下の表を参照してください。 |
|
AES 256 暗号化(AES 256 Encryption) |
Cisco Unified Communications Manager リリース 10.5(2)以降の 以降に接続している電話機は、シグナリングとメディア暗号化に関する TLS および SIP の AES 256 暗号化をサポートします。 これにより電話機は、SHA-2(Secure Hash Algorithm)標準および Federal Information Processing Standard(FIPS)に準拠する AES-256 ベースの暗号を使用して TLS 1.2 接続を開始し、サポートすることができます。 暗号は次のとおりです。
詳細については、Cisco Unified Communications Manager のマニュアルを参照してください。 |
|
楕円曲線デジタル署名アルゴリズム(ECDSA)証明書 |
コモン クライテリア(共通基準、CC)認証の一部として、バージョン 11.0 の ECDSA 証明書が Cisco Unified Communications Manager によって追加されました。 これは CUCM 11.5 およびそれ以降のバージョンを実行するすべての Voice Operating System(VOS)製品に影響を与えます。 |
|
Cisco UCM を使用したマルチサーバ (SAN) Tomcat 証明書 | 電話機は、マルチサーバ (SAN) Tomcat 証明書が設定された Cisco UCM をサポートします。 正しい TFTP サーバ アドレスは、電話の登録用の電話の ITL ファイルにあります。 この機能の詳細については、以下を参照してください。 |
次の表に、信頼リストの更新アラームのメッセージとその意味を示します。 詳細については、Cisco Unified Communications Manager のマニュアルを参照してください。
| コードおよびメッセージ | 説明 |
|---|---|
|
1 - TL_SUCCESS |
新しい CTL や ITL を受信 |
|
2 - CTL_INITIAL_SUCCESS |
新しい CTL を受信、既存の TL なし |
|
3 - ITL_INITIAL_SUCCESS |
新しい ITL を受信、既存の TL なし |
|
4 - TL_INITIAL_SUCCESS |
新しい CTL および ITL を受信、既存の TL なし |
|
5 - TL_FAILED_OLD_CTL |
新しい CTL への更新に失敗したが、以前の TL あり |
|
6 - TL_FAILED_NO_TL |
新しい TL への更新に失敗、古い TL なし |
|
7 - TL_FAILED |
一般的な障害 |
|
8 - TL_FAILED_OLD_ITL |
新しい ITL への更新に失敗したが、以前の TL あり |
|
9 - TL_FAILED_OLD_TL |
新しい TL への更新に失敗したが、以前の TL あり |
電話コールのセキュリティ
電話機にセキュリティを実装している場合は、電話スクリーンに表示されるアイコンによって、セキュアな電話コールや暗号化された電話コールを識別できます。 また、コールの開始時にセキュリティ トーンが再生される場合は、接続された電話機がセキュアであり保護されているかどうかも判断できます。
セキュアなコールでは、すべてのコール シグナリングとメディア ストリームが暗号化されます。 セキュアなコールは高度なレベルのセキュリティを提供し、コールに整合性とプライバシーを提供します。 通話が暗号化されている場合、セキュリティアイコンが表示されます。
回線が繋がっている。
-
コールが PSTN などの非 IP コール レッグを経由してルーティングされる場合、コールが IP ネットワーク内で暗号化されており、鍵のアイコンが関連付けられていても、そのコールはセキュアではないことがあります。
-
セキュアなコールは、2 台の電話機間でのみサポートされます。 電話会議や共有回線などの一部の機能は、セキュアなコールが設定されているときは使用できません。
Cisco Unified Communications Manager では、セキュア(暗号化され信頼されている)として設定された電話に保護ステータスを割り当てることができます。 一度保護されると、これらのデバイスは各通話の開始時にセキュリティトーンを再生するように設定できます。
-
保護デバイス:
セキュアフォンのステータスを保護された端末に変更するには:
- Cisco Unified Communications Manager Administration で、 を選択します。
- 設定する電話機を見つけます。
- 電話設定ウィンドウで Protected Device チェックボックスを選択してください。
- [保存(Save)]をクリックします。
-
セキュアインジケーショントーンを再生する:
保護された電話が安全または非安全な表示音を再生できるようにするには:
- Cisco Unified Communications Manager Administration で、 を選択します。
- サーバを選択し、次に Cisco CallManager service 。
- Clusterwide パラメータ(機能 - セキュアトーン) エリアで、 Play Tone をセキュア/非セキュア通話ステータスを示すように設定 設定を Trueに設定します。
- [保存(Save)]をクリックします。
安全な電話会議識別
セキュアな会議コールを開始し、参加者のセキュリティ レベルをモニタすることができます。 セキュアな電話会議は、次のプロセスに従って確立されます。
-
ユーザがセキュアな電話機で会議を開始します。
-
Cisco Unified Communications Manager が、コールにセキュアな会議ブリッジを割り当てます。
-
参加者が追加されると、Cisco Unified Communications Manager は、各電話機のセキュリティ モードを検証し、セキュアな会議のレベルを維持します。
-
電話機に会議コールのセキュリティ レベルが表示されます。 安全な会議では、安全アイコンが表示されます。
.
セキュアなコールは、2 台の電話機の間でサポートされます。 保護された電話機では、セキュアなコールが設定されている場合、会議コール、シェアド ライン、エクステンション モビリティなどの一部の機能を使用できません。
次の表は、発信側の電話機のセキュリティ レベル、参加者のセキュリティ レベル、およびセキュアな会議ブリッジの可用性に応じた、会議のセキュリティ レベルの変更に関する情報を示しています。
|
発信側の電話機のセキュリティ レベル |
使用する機能 |
参加者のセキュリティ レベル |
動作結果 |
|---|---|---|---|
|
安全でない |
会議 |
セキュア |
非セキュアな会議ブリッジ 非セキュアな会議 |
|
セキュア |
会議 |
少なくとも 1 台のメンバーが非セキュア。 |
セキュアな会議ブリッジ 非セキュアな会議 |
|
セキュア |
会議 |
セキュア |
セキュアな会議ブリッジ セキュアな暗号化レベルの会議 |
|
安全でない |
ミートミー |
最小限のセキュリティ レベルが暗号化。 |
イニシエーターは再順序トーンを受け取ります。 |
|
セキュア |
ミートミー |
最小限のセキュリティ レベルは非セキュア。 |
セキュアな会議ブリッジ 会議はすべてのコールを受け入れる。 |
セキュアな電話コールの識別
ユーザの電話機および相手側の電話機でセキュアなコールが設定されている場合にセキュアなコールが確立されます。 相手側の電話機は、同じ Cisco IP ネットワーク内にあっても、Cisco IP ネットワーク以外のネットワークにあってもかまいません。 セキュアなコールは 2 台の電話機間でのみ形成できます。 セキュアな会議ブリッジのセットアップ後、電話会議ではセキュアなコールがサポートされます。
セキュアなコールは、次のプロセスに従って確立されます。
-
ユーザがセキュアな電話機(セキュリティ モードで保護された電話機)でコールを開始します。
-
電話機にセキュリティアイコンが表示されます
電話の画面に。 このアイコンは、この電話機がセキュアなコール用に設定されていることを示しますが、接続する他の電話機もセキュアであるという意味ではありません。 -
そのコールが別のセキュアな電話機に接続された場合は、ユーザにセキュリティ トーンが聞こえ、通話の両端が暗号化および保護されていることを示します。 コールが非セキュアな電話機に接続された場合は、ユーザにはセキュリティ トーンが聞こえません。
セキュアなコールは、2 台の電話機の間でサポートされます。 保護された電話機では、セキュアなコールが設定されている場合、会議コール、シェアド ライン、エクステンション モビリティなどの一部の機能を使用できません。
保護された電話機だけで、セキュアまたは非セキュアなインディケーション トーンが再生されます。 保護されていない電話機ではトーンは聞こえません。 コール中にコール全体のステータスが変化すると、それに従って通知トーンも変化し、保護された電話機は対応するトーンを再生します。
Play トーンでセキュア/非セキュアな通話状態 オプションが Trueに設定されている場合:
-
エンドツーエンドのセキュアなメディアが確立され、通話状態がセキュアになると、電話機はセキュア表示音(3 回の長いビープ音と間隔)を鳴らします。
-
エンドツーエンドの非セキュアなメディアが確立され、コール ステータスが非セキュアになった場合、電話機は、非セキュアのインディケーション トーンを再生します(間に小休止を伴う 6 回の短いビープ音)。
the play tone to Secure/Non-Secure Call status option が Falseに設定されている場合、トーンは鳴りません。
はしけの暗号化を提供する
Cisco Unified Communications Manager は、会議の確立時に電話機のセキュリティ ステータスを確認し、会議のセキュリティ表示を変更するか、またはコールの確立をブロックしてシステムの整合性とセキュリティを維持します。
電話機に暗号化が設定されていない場合、その電話機を使用して暗号化されたコールに割り込むことはできません。 この場合、割り込みに失敗すると、割り込みが開始された電話機でリオーダー トーン(速いビジー音)が聞こえます。
割り込みの開始側の電話機に暗号化が設定されている場合、割り込みの開始側は暗号化された電話機からセキュアでないコールに割り込むことができます。 割り込みが発生すると、Cisco Unified Communications Manager はそのコールをセキュアでないコールに分類します。
割り込みの開始側の電話機に暗号化が設定されている場合、割り込みの開始側は暗号化されたコールに割り込むことができ、電話機はそのコールが暗号化されていることを示します。
無線 LAN セキュリティ
通信圏内にあるすべての WLAN デバイスは他の WLAN トラフィックをすべて受信できるため、WLAN 内の音声通信の保護は重要です。 侵入者が音声トラフィックを操作したり傍受したりしないようにするため、Cisco SAFE Security アーキテクチャは電話機をサポートしています。 ネットワークにおけるセキュリティに関する詳細は http://www.cisco.com/en/US/netsol/ns744/networking_solutions_program_home.htmlを参照してください。
Cisco Wireless IP 電話ソリューションは、電話がサポートする以下の認証方法を用いて、不正サインインや通信の侵害を防ぐワイヤレスネットワークセキュリティを提供します。
-
オープン認証:オープン システムでは、任意のワイヤレス デバイスが認証を要求できます。 要求を受けた AP は、任意のリクエスタまたはユーザのリスト上にあるリクエスタだけに認証を与える場合があります。 無線機器とアクセスポイント(AP)間の通信は暗号化されていない可能性がある。
-
拡張可能な認証プロトコル - セキュアトンネリングによる柔軟な認証 (EAP-FAST) 認証このクライアント/サーバセキュリティアーキテクチャは、アクセスポイントと、Identity Services Engine (ISE) などの RADIUS サーバ間のトランスポートレベルセキュリティ (TLS) トンネル内で EAP トランザクションを暗号化します。
TLS トンネルでは、クライアント(電話機)と RADIUS サーバの間の認証に Protected Access Credential(PAC)が使用されます。 サーバは Authority ID(AID)をクライアント(電話機)に送信します。それを受けてクライアントは適切な PAC を選択します。 クライアント(電話機)は PAC-Opaque を RADIUS サーバに返します。 サーバは、プライマリキーで PAC を復号します。 これで両方のエンドポイントに同じ PAC キーが含まれ、TLS トンネルが構築されます。 EAP-FAST では、自動 PAC プロビジョニングがサポートされていますが、RADIUS サーバ上で有効にする必要があります。
ISE では、デフォルトでは PAC は 1 週間後に期限切れになります。 電話機に期限切れの PAC が存在する場合、電話機が新しい PAC を取得するまでの間は、RADIUS サーバでの認証に比較的長い時間がかかります。 PAC のプロビジョニング遅延を回避するには、ISE または RADIUS サーバで PAC の有効期限を 90 日以上に設定してください。
-
拡張認証プロトコル - トランスポート層セキュリティ(EAP-TLS)認証:EAP-TLS では、認証とネットワークアクセスにクライアント証明書が必要です。 ワイヤレス EAP-TLS の場合、クライアント証明書は MIC, LSC, またはユーザがインストールした証明書になります。
-
Protected Extensible Authentication Protocol(PEAP):クライアント(電話機)と RADIUS サーバ間の、シスコ独自のパスワードベースの相互認証方式です。 電話機は、無線ネットワークとの認証に PEAP を使用できます。 PEAP-MSCHAPV2 と PEAP-GTC の両方の認証メカニズムがサポートされます。
-
事前共有キー(PSK):電話は ASCII および 16 進数(HEX)フォーマットをサポートしています。 WPA2/SAE 事前共有キーを設定する際は、これらのフォーマットを使用しなければなりません。
ASCII:8〜63 文字(0-9、小文字 a-z、大文字 A-Z、特殊文字)を持つ ASCII 文字列。 例えば、
GREG123567@9ZX&W。HEX:長さ 64 桁(0-9、a-f、A-F)を持つ HEX 文字の文字列です。
次の認証方式では、RADIUS サーバを使用して認証キーを管理します。
-
WPA2/WPA3: 一意の認証キーを生成するために RADIUS サーバの情報を使用します。 これらのキーは中央の RADIUS サーバで生成されるため、WPA2/WPA3 は、AP と電話に保存されている事前共有キーよりも高いセキュリティを提供します。
-
高速安全ローミング: RADIUS サーバとワイヤレス ドメイン サーバ(WDS)上の情報を使用してキーを管理および認証します。 WDS は、FT 対応クライアントデバイス向けにセキュリティ認証情報のキャッシュを作成し、高速かつ安全な再認証を実現します。
WPA2/WPA3 では、暗号化鍵は電話側に入力されるのではなく、AP と電話間で自動的に派生されます。 ただし認証で使用する EAP ユーザ名とパスワードは、各電話機に入力する必要があります。
無線リンク上の音声通信を保護するため、電話機は WPA2/WPA3 認証のための AES ベースの暗号化をサポートしています。 AES は NIST によって標準化された対称ブロック暗号です。 AES は固定された 128 ビットのブロックサイズを使用し、128 ビット、192 ビット、256 ビットの鍵サイズをサポートしています。 Wi-Fi ネットワークでは、AES は CCMP や GCMP などの暗号スイートで使用され、認証は設定された WLAN セキュリティモードに応じて PSK、SAE、または 802.1X/EAP によって別途提供されます。 対応する暗号スイートや鍵のサイズは、電話機のモデルや WLAN 構成によって異なります。
電話が AES 暗号化を使用すると、信号の SIP パケットと音声リアルタイムトランスポートプロトコル(RTP)パケットの両方が AP と電話間で暗号化されます。
認証方式と暗号化方式は、ワイヤレス LAN 内で設定されます。 VLAN は、ネットワーク内および AP 上で設定され、認証と暗号化の異なる組み合わせを指定します。 SSID は、VLAN と VLAN の特定の認証および暗号化方式に関連付けられます。 無線クライアントデバイスが正常に認証されるためには、アクセスポイントと電話機の両方で、同じ SSID、認証方式、暗号化方式を設定する必要があります。
一部の認証方式では、特定のタイプの暗号化が必要です。
WPA2 の事前共有キー(SAE)を使う場合、事前共有キーは電話機上で静的に設定されている必要があります。 これらのキーは、AP に存在するキーと一致している必要があります。
以下の表の認証および暗号化方式は、Cisco Wireless Phone 9821 のネットワーク構成オプションを示しており、これは AP 設定に対応しています。
| FSR タイプ | 認証 | Key Management | 暗号化(Encryption) | 保護管理フレーム(PMF) |
|---|---|---|---|---|
| 802.11r (FT) | PSK |
WPA-PSK WPA-PSK-SHA256 FT-PSK | AES | 不可 |
| 802.11r (FT) | WPA3 |
SAE FT-SAE | AES | 可 |
| 802.11r (FT) | EAP-TLS |
WPA-EAP FT-EAP | AES | 不可 |
| 802.11r (FT) | EAP-TLS (WPA3) |
WPA-EAP-SHA256 FT-EAP | AES | 可 |
| 802.11r (FT) | [EAP-FAST] |
WPA-EAP FT-EAP | AES | 不可 |
| 802.11r (FT) | EAP-FAST (WPA3) |
WPA-EAP-SHA256 FT-EAP | AES | 可 |
| 802.11r (FT) | EAP-PEAP |
WPA-EAP FT-EAP | AES | 不可 |
| 802.11r (FT) | EAP-PEAP(WPA3) |
WPA-EAP-SHA256 FT-EAP | AES | 可 |
| 非 FT | スイート B | WPA-EAP-SUITE-B | GCMP | 可 |
| 非 FT | スイート B-192 | WPA-EAP-スイート B-192 | GCMP | 可 |
Wi-Fi プロフィールを作成しましょう
Wi-Fi プロファイルを設定し、それを Cisco ワイヤレスフォン 9821 に割り当てることができます。このプロファイルには、電話が Wi-Fi 接続を確立し、その後 Cisco Unified CM に登録するための必要なパラメータが含まれています。Wi-Fi プロファイルを作成して使用する場合、あなたやユーザの個別の電話ごとに無線ネットワークを設定する必要はありません。
Wi-Fi プロファイルを使用する際、キーとパスワードを保護するため、TFTP 暗号化が有効にされたセキュアなプロファイルを使用することをお勧めします。
電話機は、1 つのインストール方法 (手動、SCEP、または TFTP) ごとに 1 つのサーバ証明書をサポートしています。
WLAN プロファイルを設定する前に、次の点に注意してください。
-
ユーザ名とパスワード
-
ネットワークで EAP-FAST および PEAP がユーザ認証に使用されている場合、リモート認証ダイヤルイン ユーザ サービス(RADIUS)と電話機で必要な場合にユーザ名およびパスワードの両方を設定する必要があります。
- ワイヤレス LAN プロファイルに入力する資格情報は、RADIUS サーバで設定した資格情報と同じでなければなりません。
-
ネットワーク内のドメインを使用している場合、
domain\usernameの形式でユーザ名とドメイン名を入力する必要があります。
-
-
次の操作によって、既存の Wi-Fi パスワードがクリアされる可能性があります。
- 無効なユーザ ID またはパスワードを入力する
- EAP タイプが PEAP-MSCHAPV2 または PEAP-GTC に設定されているときに、無効または期限切れのルート CA 証明書をインストールする
- 新しい EAP タイプに電話機を変更する前に、RADIUS サーバの EAP タイプを無効にする
- EAP タイプを変更するには、最初に RADIUS サーバで新しい EAP タイプを有効にしてから、電話機を EAP タイプに切り替えます。 すべての電話機が新しい EAP タイプに変更されたら、必要に応じて前の EAP タイプを無効にすることができます。
| 1 |
Cisco Unified Communications Manager Administration で、 の順に選択します。 |
| 2 |
[新規追加] をクリックします。 |
| 3 |
[ワイヤレス LAN プロファイル情報(Wireless LAN Profile Information)] セクションで、以下のようにパラメータを設定します。
|
| 4 |
[Wireless Settings] セクションで、次のパラメータを設定します。
|
| 5 |
Authentications Settings セクションで、 Authentication Method のいずれかの認証方法(EAP-FAST, EAP-TLS, PEAP-MSCHAPv2、PEAP-GTC、PSK、そして None のいずれかに設定します。 Cisco ワイヤレス電話 9821 は WEP をサポートしていません。 このフィールドを設定したら、設定する必要がある追加フィールドが表示されることがあります。
Cisco ワイヤレス電話 9821 は ネットワークアクセスプロファイル フィールドをサポートしていません。 |
| 6 |
[保存(Save)]をクリックします。 |
次の作業
ワイヤレス LAN プロファイルを WLAN プロファイルグループにバインドし、その WLAN プロファイルグループをデバイスプール()または直接電話機()に適用します。
電話管理のウェブページからユーザ証明書をインストールしてください
Simple Certificate Enrollment Protocol(SCEP)が利用できない場合は、手動でユーザ証明書を電話にインストールできます。
プリインストールされた製造インストール証明書(MIC)は EAP-TLS のユーザ証明書として使用できます。
ユーザ証明書がインストールされた後、ユーザ証明書を発行した CA チェーンを RADIUS サーバのトラストリストに追加する必要があります。
はじめる前に
電話機のユーザ証明書をインストールするには、その前に以下を用意する必要があります。
-
PC に保存されたユーザ証明書。 証明書は PKCS #12 形式である必要があります。
-
証明書の抽出パスワード。 パスワードの長さは 32 文字を超えてはなりません。
| 1 |
電話機の管理 Web ページで、[証明書(Certificates)] を選択します。 |
| 2 |
[ユーザ インストール(User install)] フィールドを見つけて [インストール(Install)] をクリックします。 |
| 3 |
PC の証明書を参照します。 |
| 4 |
[抽出パスワード(Extract password)] フィールドに、証明書の抽出パスワードを入力します。 |
| 5 |
[アップロード(Upload)] をクリックします。 |
| 6 |
アップロードが完了したら、電話機を再起動します。 |
電話管理ウェブページから認証サーバ CA をインストールしてください
Simple Certificate Enrollment Protocol(SCEP)が利用できない場合は、電話に認証サーバ CA を手動でインストールできます。
RADIUS サーバ証明書を発行した rootCA 証明書はインストールされている必要があります。
はじめる前に
電話に証明書をインストールする前に、PC に認証サーバ CA を保存しておく必要があります。 証明書は PEM(Base 64)または DER 形式でエンコードする必要があります。
| 1 |
電話機の管理 Web ページで、[証明書(Certificates)] を選択します。 |
| 2 |
[認証サーバ CA(Authentication server CA)] フィールドを見つけて [インストール(Install)] をクリックします。 |
| 3 |
PC の証明書を参照します。 |
| 4 |
[アップロード(Upload)] をクリックします。 |
| 5 |
アップロードが完了したら、電話機を再起動します。 |
電話管理のウェブページからセキュリティ証明書を手動で削除してください
Simple Certificate Enrollment Protocol(SCEP)を使用できない場合、電話機からセキュリティ証明書を手動で削除することができます。
| 1 |
電話機の管理 Web ページで、[証明書(Certificates)] を選択します。 |
| 2 |
[Certificates] ページで証明書を見つけます。 |
| 3 |
[削除(Delete)] をクリックします。 |
| 4 |
削除プロセスが完了したら、電話機を再起動します。 |
SCEP を設立する
Simple Certificate Enrollment Protocol(SCEP)は、証明書の自動プロビジョニングおよび更新の標準です。 これにより、電話機に証明書を手動でインストールせずに済みます。
SCEP 製品固有の構成パラメータを有効化します
Cisco Unified Communications Manager(Unified CM)で以下の SCEP パラメータを設定しなければなりません。
-
RA IP アドレスまたはホスト名
-
SCEP サーバのルート CA 証明書の SHA-1 または SHA-256 フィンガープリント
Cisco IOS の登録局(RA)は、SCEP サーバへのプロキシとして機能します。 電話の SCEP クライアントは Cisco Unified CM からダウンロードしたパラメータを使用しています。パラメータを設定すると、電話は SCEP getcs リクエストを RA に送り、root の CA 証明書は定義された指紋認証で検証されます。
| 1 |
Cisco Unified Communications Manager Administration から を選択します。 |
| 2 |
電話機を特定します。 |
| 3 |
[Product Specific Configuration Layout] 領域までスクロールします。 |
| 4 |
SCEP パラメータを有効にするには WLAN SCEP サーバ チェックボックスを選択します。 |
| 5 |
SCEP QED パラメータを有効にするには WLAN Root CA Fingerprint (SHA256 または SHA1) チェックボックスを選択します。 |
SCEP サーバサポート
Simple Certificate Enrollment Protocol(SCEP)サーバを使用する場合、サーバはユーザとサーバ証明書を自動的に維持できます。 SCEP サーバで、次のように SCEP 登録エージェント(RA)を設定します。
-
PKI トラスト ポイントとして機能する
-
PKI RA として機能する
-
RADIUS サーバを使用してデバイス認証を実行する
詳細については、SCEP サーバのマニュアルを参照してください。
ローカルで有効な証明書(LSC)のセットアップ
LSC を設置する方法はいくつかあります。 このサンプルタスクは、Cisco Wireless Phone 9821 で認証文字列メソッドで LSC を設定することに適用されます。
はじめる前に
適切な Cisco Unified CM および certificate authority proxy function(CAPF)のセキュリティ構成が完全に揃っていることを確認してください。
-
CTL ファイルまたは ITL ファイルに CAPF 証明書が含まれていること。
-
Cisco Unified Communications オペレーティング システムの管理ページで、CAPF 証明書がインストールされていることを確認してください。
-
CAPF が実行および設定されていること。
これらの設定の詳細については、あなたの Cisco Unified CM リリースのドキュメントをご覧ください。
| 1 |
CAPF が設定された際に設定された CAPF 認証文字列を取得してください。 |
| 2 |
電話では 設定にアクセスしてください |
| 3 |
Select 。 |
| 4 |
認証文字列を入力してください。 |
| 5 |
プレス もっと CAPF の設定に応じて、電話機で LSC のインストール、更新、または削除が開始されます。 手順が完了すると、電話機に [インストール済み(Installed)] または [未インストール(Not Installed)] と表示されます。 LSC のインストール、更新、または削除プロセスは、完了するのに長時間かかることがあります。 電話機のインストール手順が正常に実行されると、「インストール済み( |
有線ネットワーク向けの 802.1X 認証
Cisco ワイヤレス電話 9821 は有線ネットワーク用の 802.1X 認証をサポートしています。 これは通常、対応する USB からイーサネットアダプターを介して電話をデスクトップ充電器に接続する 自動プロビジョ ニングの際に使われます。
有線ネットワークでの 802.1X 認証のサポートには、以下のいくつかのコンポーネントが必要です。
-
Cisco IP 電話: 電話機は、ネットワークへのアクセス要求を開始します。 Cisco IP Phones には、802.1x サプリカントが含まれています。 このサプリカントを使用して、ネットワーク管理者は IP 電話と LAN スイッチ ポートの接続を制御できます。 電話機に含まれる 802.1X サプリカントの現在のリリースでは、ネットワーク認証に EAP-FAST オプションと EAP-TLS オプションが使用されています。
-
認証サーバ:認証サーバとスイッチの両方が RADIUS 共有シークレットで設定されている必要があります。
-
スイッチ:スイッチは 802.1X をサポートしている必要があり、認証機能として機能し、電話と認証サーバ間で EAP メッセージを中継できます。 この交換が完了した後、スイッチはネットワークへの電話機のアクセスを許可または拒否します。
Cisco IP Phones と Cisco Catalyst スイッチは、従来 Cisco Discovery Protocol(CDP)を使用して互いを識別し、VLAN 割り当てやインライン所要電力などのパラメータを決定します。
802.1X を設定するには、次の手順を実行する必要があります。
-
CDP/LLDP 音声 VLAN バイパスを設定してください。
-
電話の有線ネットワークで 802.1X 認証を有効にする前に、認証サーバとスイッチを設定してください。
-
ボイス VLAN の設定:802.1X 標準では VLAN が考慮されないため、この設定をスイッチのサポートに基づいて行うようにしてください。
- 有効:マルチドメイン認証をサポートするスイッチを使っている場合、音声 VLAN を使うように設定できます。
- 無効:スイッチで複数ドメインの認証がサポートされていない場合は、ボイス VLAN を無効にし、ポートをネイティブ VLAN に割り当てることを検討してください。
-
Cisco ワイヤレス電話 9821 は、他の Cisco 電話とは PID のプリフィックスが異なります。 802.1X 認証に通すには、 Radius·ユーザ名 パラメータには Cisco ワイヤレス電話 9821 を含めること。
例えば、Cisco Wireless Phone 9821 の PID は WP-9821 です。 Radius·User-Name to
以下両方のセクションで WPまたはContains WPで始めます: -
携帯電話の有線ネットワークで 802.1X 認証を有効にしてください
以下の手順に従って、携帯電話の有線ネットワークで 802.1X 認証を有効にしてください。 Wi-Fi の 802.1X 認証はデフォルトで有効で、手動設定は不要です。
| 1 |
設定へのアクセス |
| 2 |
パスワードを求められた場合は、パスワードを入力してアクセスします。 設定 メニュー。 パスワードは管理者から取得できます。 |
| 3 |
Select 。 |
| 4 |
デバイス認証をハイライト ONを押してください。 |
Cisco Unified Communications Manager Administration で有線ネットワークの 802.1X 認証を有効にする
Cisco Unified CM の有線ネットワークで 802.1X 認証を有効にするには、以下の手順に従ってください。Wi-Fi の 802.1X 認証はデフォルトで有効で、手動設定は不要です。
取引状況やセキュリティ設定は電話の画面メニューで確認できます。 詳細は スマホのセキュリティ設定メニューをご覧ください。
| 1 |
Cisco Unified Communications Manager Administration で Device > Phoneを選択してください。 |
| 2 |
設定する電話機を見つけます。 |
| 3 |
製品固有の構成レイアウト エリアに移動します。 |
| 4 |
802.1x 認証 ドロップダウンメニューから Select Enabled 。 Enabled または Disabledに設定されると、Cisco Wireless Phone 9821 のデバイス認証オプションは読み取り専用となり、ユーザが 802.1X 認証設定を変更するのを妨げます。 |
| 5 |
保存を選択します。 |
| 6 |
[設定の適用(Apply Config)] を選択します。 |
電話のセキュリティ設定メニュー
電話メニューからセキュリティ設定の情報を確認するには、 Settings にアクセスしてください
アプリを選んで を選びます。 情報の入手可能性は、組織のネットワーク設定によって異なります。
|
パラメータ |
オプション(Options) |
デフォルト |
説明 |
|---|---|---|---|
|
デバイス認証 |
オン Off |
Off |
電話での 802.1X 認証の有効または無効化。 パラメータ設定は電話の Out-Of-Box(OOB)登録後も保持できます。 |
|
取引状況 | 無効 |
802.1X 認証の状態を表示します。 州は以下のようになり得ます(これに限定されません):
| |
|
プロトコル | なし |
802.1X 認証に使用される EAP メソッドを表示します。 このプロトコルは、EAP-FAST または EAP-TLS にすることができます。 |
TLS のサポート対象バージョンを設定します
クライアントとサーバにそれぞれ必要な TLS の最小バージョンを設定できます。
デフォルトでは、サーバとクライアントの最小 TLS バージョンは両方とも 1.2 です。 この設定は、以下の機能に影響を与えます。
- HTTPS ウェブアクセス接続
- オンプレミス電話のオンボーディング
- HTTPS サービス、例えばディレクトリサービス
- データグラムトランスポート層セキュリティ(DTLS)
- ポートアクセスエンティティ(PAE)
- 拡張認証プロトコル - トランスポート レイヤ セキュリティ(EAP-TLS)
Cisco IP Phones の TLS 1.3 互換性に関する詳細については、 Cisco コラボレーション製品の TLS 1.3 互換性マトリックス を参照してください。
| 1 |
Cisco Unified Communications Manager Administration では、必要に応じて以下のいずれかのアクションを行います。
構成は階層構造に従います。
|
| 2 |
TLS Client Min Version フィールドを設定します。 TLS 1.3 オプションは Cisco Unified CM 15SU2 以降で利用可能です。
|
| 3 |
TLS Server Min Version フィールドを設定します。
|
| 4 |
[保存(Save)]をクリックします。 |
| 5 |
[設定の適用(Apply Config)] をクリックします。 |
| 6 |
電話機を再起動します。 |
TURN スピーカーフォンとヘッドセットをオフにして Cisco ワイヤレス電話 9821
ユーザのために Cisco ワイヤレスフォン 9821 のスピーカーフォンとヘッドセットを永久に TURN オフするオプションがあります。 これらの音声出力をオフにすると、近くの人に会話が聞こえないようになり、共有やオープンオフィス環境で重要な役割を果たします。
| 1 |
Cisco Unified Communications Manager Administration で、 を選択します。 |
| 2 |
設定する電話機を見つけます。 |
| 3 |
製品固有の構成レイアウト エリアに移動します。 |
| 4 |
電話機の機能を無効にするには、以下のチェックボックスのうち 1 つ以上をオンにしてください。
デフォルトでは、これらのチェックボックスはオフになっています。 |
| 5 |
保存を選択します。 |
| 6 |
[設定の適用(Apply Config)] を選択します。 |
