この記事の内容
dropdown icon
DHCP オプションを設定する
    DHCP オプションサポート
dropdown icon
無線 LAN セキュリティ
    Wi-Fi プロフィールを作成する
dropdown icon
有線ネットワーク向けの 802.1X 認証
    携帯電話の有線ネットワークで 802.1X 認証を有効にしてください
    電話ウェブページで有線ネットワークの 802.1X 認証を有効にする
    電話のセキュリティ設定メニュー
ユーザと管理者のパスワードを変更する
クライアントとサーバの最低 TLS バージョンを設定してください
メディアプレーンのセキュリティ交渉のためにクライアント開始モードを有効にする
Cisco ワイヤレス電話 9821 のセキュリティ(マルチプラットフォーム)
list-menuこの記事の内容
list-menuフィードバックがある場合

このヘルプ記事は、Cisco ワイヤレスフォン 9821(Webex Calling に登録されている)に関するものです。

DHCP オプションを設定する

電話機が DHCP オプションを使用する順序を設定することができます。 DHCP オプションに関する助けは DHCP オプションサポートをご覧ください。

1

電話機の管理ウェブページにアクセスしてください。

http://<ip アドレス>/admin/advanced(高級)

2

[音声(Voice)] > [プロビジョニング(Provisioning)] を選択します。

3

Configuration Profile セクションで、 DHCP Option To Use parameter(使用オプション)を設定してください。 このパラムタは、カンマで区切られた一連の DHCP オプションで構成されており、ファームウェアやプロファイルを取得するために使用されます。

以下のいずれかの操作を実行してください。

  • XML(cfg.xml)を使用した電話の設定ファイルでは、次の形式で文字列を入力します。

    <DHCP_Option_To_Use ua="na">66,160,159,150,60,43,125</DHCP_Option_To_Use>

  • 電話ウェブページでは、カンマで区切られた DHCP オプションのシリーズを入力してください。

デフォルト: 66,160,159,150,60,43,125

4

[すべての変更の送信(Submit All Changes)] をクリックします。

DHCP オプションサポート

以下の表は、Cisco Wireless Phone 9821 でサポートされている DHCP オプションを示しています。

ネットワーク標準規格説明
DHCP オプション 1サブネット マスク(Subnet mask)
DHCP オプション 2タイム オフセット
DHCP オプション 3ルーター
DHCP オプション 6ドメイン ネーム サーバ
DHCP オプション 15ドメイン名
DHCP オプション 17ルートパス
DHCP オプション 41IP アドレスのリース期間
DHCP オプション 42NTP サーバ
DHCP オプション 43ベンダー固有の情報

SCEP 構成を提供するために使用できます。

DHCP オプション 56NTP サーバ
DHCP オプション 60ベンダー クラス ID
DHCP オプション 66TFTP サーバ名
DHCP オプション 125ベンダー識別ベンダー固有の情報
DHCP オプション 150TFTP サーバ
DHCP オプション 159プロビジョニング サーバ IP
DHCP オプション 160プロビジョニング URL

無線 LAN セキュリティ

通信圏内にあるすべての WLAN デバイスは他の WLAN トラフィックをすべて受信できるため、WLAN 内の音声通信の保護は重要です。 侵入者が音声トラフィックを操作したり傍受したりしないようにするため、Cisco SAFE Security アーキテクチャは電話機をサポートしています。 ネットワークにおけるセキュリティに関する詳細は http://www.cisco.com/en/US/netsol/ns744/networking_solutions_program_home.htmlを参照してください。

Cisco Wireless IP 電話ソリューションは、電話がサポートする以下の認証方法を用いて、不正サインインや通信の侵害を防ぐワイヤレスネットワークセキュリティを提供します。

  • オープン認証:オープン システムでは、任意のワイヤレス デバイスが認証を要求できます。 要求を受けた AP は、任意のリクエスタまたはユーザのリスト上にあるリクエスタだけに認証を与える場合があります。 無線機器とアクセスポイント(AP)間の通信は暗号化されていない可能性がある。

  • 拡張可能な認証プロトコル - セキュアトンネリングによる柔軟な認証 (EAP-FAST) 認証このクライアント/サーバセキュリティアーキテクチャは、アクセスポイントと、Identity Services Engine (ISE) などの RADIUS サーバ間のトランスポートレベルセキュリティ (TLS) トンネル内で EAP トランザクションを暗号化します。

    TLS トンネルでは、クライアント(電話機)と RADIUS サーバの間の認証に Protected Access Credential(PAC)が使用されます。 サーバは Authority ID(AID)をクライアント(電話機)に送信します。それを受けてクライアントは適切な PAC を選択します。 クライアント(電話機)は PAC-Opaque を RADIUS サーバに返します。 サーバは、プライマリキーで PAC を復号します。 これで両方のエンドポイントに同じ PAC キーが含まれ、TLS トンネルが構築されます。 EAP-FAST では、自動 PAC プロビジョニングがサポートされていますが、RADIUS サーバ上で有効にする必要があります。

    ISE では、デフォルトでは PAC は 1 週間後に期限切れになります。 電話機に期限切れの PAC が存在する場合、電話機が新しい PAC を取得するまでの間は、RADIUS サーバでの認証に比較的長い時間がかかります。 PAC のプロビジョニング遅延を回避するには、ISE または RADIUS サーバで PAC の有効期限を 90 日以上に設定してください。

  • 拡張認証プロトコル - トランスポート層セキュリティ(EAP-TLS)認証:EAP-TLS では、認証とネットワークアクセスにクライアント証明書が必要です。 無線 EAP-TLS の場合、クライアント証明書は MIC またはユーザインストール証明書である場合があります。

  • Protected Extensible Authentication Protocol(PEAP):クライアント(電話機)と RADIUS サーバ間の、シスコ独自のパスワードベースの相互認証方式です。 電話機は、無線ネットワークとの認証に PEAP を使用できます。 PEAP-MSCHAPV2 と PEAP-GTC の両方の認証メカニズムがサポートされます。

    Cisco ワイヤレス電話 9821 の PEAP-GTC 認証をサポートするには、Cisco ISE ポリシーセット内で必要なポリシーを設定してください。

  • 事前共有キー(PSK):電話は ASCII および 16 進数(HEX)フォーマットをサポートしています。 WPA2/SAE 事前共有キーを設定する際は、これらのフォーマットを使用しなければなりません。

    ASCII:8〜63 文字(0-9、小文字 a-z、大文字 A-Z、特殊文字)を持つ ASCII 文字列。 例えば、 GREG123567@9ZX&W

    HEX:長さ 64 桁(0-9、a-f、A-F)を持つ HEX 文字の文字列です。

次の認証方式では、RADIUS サーバを使用して認証キーを管理します。

  • WPA2/WPA3: 一意の認証キーを生成するために RADIUS サーバの情報を使用します。 これらのキーは中央の RADIUS サーバで生成されるため、WPA2/WPA3 は、AP と電話に保存されている事前共有キーよりも高いセキュリティを提供します。

  • 高速安全ローミング: RADIUS サーバとワイヤレス ドメイン サーバ(WDS)上の情報を使用してキーを管理および認証します。 WDS は、FT 対応クライアントデバイス向けにセキュリティ認証情報のキャッシュを作成し、高速かつ安全な再認証を実現します。

WPA2/WPA3 では、暗号化鍵は電話側に入力されるのではなく、AP と電話間で自動的に派生されます。 ただし認証で使用する EAP ユーザ名とパスワードは、各電話機に入力する必要があります。

無線リンク上の音声通信を保護するため、電話機は WPA2/WPA3 認証のための AES ベースの暗号化をサポートしています。 AES は NIST によって標準化された対称ブロック暗号です。 AES は固定された 128 ビットのブロックサイズを使用し、128 ビット、192 ビット、256 ビットの鍵サイズをサポートしています。 Wi-Fi ネットワークでは、AES は CCMP や GCMP などの暗号スイートで使用され、認証は設定された WLAN セキュリティモードに応じて PSK、SAE、または 802.1X/EAP によって別途提供されます。 対応する暗号スイートや鍵のサイズは、電話機のモデルや WLAN 構成によって異なります。

認証方式と暗号化方式は、ワイヤレス LAN 内で設定されます。 VLAN は、ネットワーク内および AP 上で設定され、認証と暗号化の異なる組み合わせを指定します。 SSID は、VLAN と VLAN の特定の認証および暗号化方式に関連付けられます。 無線クライアントデバイスが正常に認証されるためには、アクセスポイントと電話機の両方で、同じ SSID、認証方式、暗号化方式を設定する必要があります。

一部の認証方式では、特定のタイプの暗号化が必要です。

WPA2 の事前共有キー(SAE)を使う場合、事前共有キーは電話機上で静的に設定されている必要があります。 これらのキーは、AP に存在するキーと一致している必要があります。

以下の表の認証および暗号化方式は、Cisco Wireless Phone 9821 のネットワーク構成オプションを示しており、これは AP 構成に対応しています。

表 1。認証方式と暗号化方式
FSR タイプ認証Key Management暗号化(Encryption)保護管理フレーム(PMF)
802.11r (FT)PSK

WPA-PSK

WPA-PSK-SHA256

FT-PSK

AES不可
802.11r (FT)WPA3

SAE

FT-SAE

AES
802.11r (FT)EAP-TLS

WPA-EAP

FT-EAP

AES不可
802.11r (FT)EAP-TLS (WPA3)

WPA-EAP-SHA256

FT-EAP

AES
802.11r (FT)[EAP-FAST]

WPA-EAP

FT-EAP

AES不可
802.11r (FT)EAP-FAST (WPA3)

WPA-EAP-SHA256

FT-EAP

AES
802.11r (FT)EAP-PEAP

WPA-EAP

FT-EAP

AES不可
802.11r (FT)EAP-PEAP(WPA3)

WPA-EAP-SHA256

FT-EAP

AES
非 FTスイート BWPA-EAP-SUITE-BGCMP
非 FTスイート B-192WPA-EAP-スイート B-192GCMP

Wi-Fi プロフィールを作成する

Wi-Fi プロファイルは電話管理のウェブページから設定するか、リモートデバイスプロファイルの再同期を通じて可能です。 設定が完了すると、これらのプロファイルを利用可能な無線ネットワークと関連付けて接続を確立できます。 Cisco ワイヤレス電話 9821 は最大 4 つの設定済み Wi-Fi プロファイルをサポートします。

プロファイルには、電話機が Wi-Fi で電話サーバーに接続するために必要なパラメータが含まれています。 Wi-Fi プロファイルを作成して使用すれば、あなたやユーザが個々の電話ごとに無線ネットワークを設定する必要はありません。

Wi-Fi プロファイルによって、ユーザが電話機の Wi-Fi 設定を変更できないようにしたり、制限したりすることができます。

Wi-Fi プロファイルを使用する場合は、鍵とパスワードを保護するために暗号化対応プロトコルを備えた安全なプロファイルを使用することを推奨します。

セキュリティモードで EAP-FAST 認証方式を使うように電話を設定すると、ユーザはアクセスポイントに接続するために個別の認証情報が必要です。

1

電話機のウェブページにアクセス

2

[音声(Voice)] > [システム(System)] を選択します。

3

セクション Wi-Fi プロファイル(n)では、以下の表に示されているパラメータを設定してください Wi-Fi プロファイルのパラメータ

Wi-Fi プロファイルの設定もユーザログイン時に利用可能です。
4

[すべての変更の送信(Submit All Changes)] をクリックします。

Wi-Fi プロファイルのパラメータ

以下の表は、電話ウェブページの System Tab の Wi-Fi Profile(n) セクションで各パラメータの機能と使用を定義しています。 また、パラメータを設定するために電話設定ファイル (cfg.xml) に追加される文字列の構文も定義します。

パラメータ説明
ネットワーク名電話機に表示される SSID の名前を入力できます。 複数のプロファイルが、異なるセキュリティモードで同じネットワーク名を持つことができます。

以下のいずれかの操作を実行してください。

  • XML(cfg.xml)を使用した電話の設定ファイルでは、次の形式で文字列を入力します。

    <Network_Name_1_ ua="rw">Cisco</Network_Name_1_>

  • 電話ウェブページで SSID の名前を入力してください。

デフォルト:空

セキュリティモードWi-Fi ネットワークへのアクセスをセキュリティ保護するために使用する認証方法を選択できます。 選択した方法によって、パスワード欄が表示され、この Wi-Fi ネットワークに参加するために必要な認証情報を入力できます。

以下のいずれかの操作を実行してください。

  • XML(cfg.xml)を使用した電話の設定ファイルでは、次の形式で文字列を入力します。

    <Security_Mode_1_ ua="rw">EAP-TLS</Security_Mode_1_> <!-- 利用可能なオプション: |EAP-FAST|||PSK||なし|EAP-PEAP|EAP-TLS -->

  • 電話ウェブページで、以下のいずれかの方法を選択してください:
    • [EAP-FAST]
    • PSK
    • なし
    • EAP-PEAP
    • EAP-TLS

デフォルト:なし

Wi-Fi ユーザー IDネットワーク プロファイルのユーザー ID を入力できます。

このフィールドは、セキュリティモードを Auto、EAP-FAST、または EAP-PEAP に設定したときに利用可能です。 これは必須フィールドであり、最大 32 文字の英数字を使用できます。

以下のいずれかの操作を実行してください。

  • XML(cfg.xml)を使用した電話の設定ファイルでは、次の形式で文字列を入力します。

    <Wi-Fi_User_ID_1_ua="rw"></Wi-Fi_User_ID_1_>

  • 電話のウェブページで、ネットワークプロファイル用のユーザ ID を入力します。

デフォルト:空

Wi-Fi パスワード指定された Wi-Fi ユーザー ID のパスワードを入力できます。

以下のいずれかの操作を実行してください。

  • XML(cfg.xml)を使用した電話の設定ファイルでは、次の形式で文字列を入力します。

    <Wi-Fi_Password_1_ ua="rw"></Wi-Fi_Password_1_>

  • 電話のウェブページで、追加したユーザのパスワード ID を入力してください。

デフォルト:空

周波数帯域WLAN で使用されているワイヤレス信号周波帯を選択できます。

以下のいずれかの操作を実行してください。

  • XML(cfg.xml)を使用した電話の設定ファイルでは、次の形式で文字列を入力します。

    <Frequency_Band_1_ ua="rw">Auto</Frequency_Band_1_>

  • 電話ウェブページで、以下のいずれかのオプションを選択してください:
    • 自動
    • 2.4 GHz
    • 5GHz か 6GHz か

デフォルト:[自動(Auto)]

証明書の選択無線ネットワークでの証明書の初期登録および更新のために証明書の種類を選択できます。 このプロセスは 802.1X 認証にのみ利用可能です。

以下のいずれかの操作を実行してください。

  • XML(cfg.xml)を使用した電話の設定ファイルでは、次の形式で文字列を入力します。

    <Certificate_Select_1_ ua="rw">製造設備</Certificate_Select_1_>

  • 電話ウェブページで、以下のいずれかのオプションを選択してください:
    • 製造元でインストール
    • カスタムインストール

デフォルト: 製造時にインストール

制御モードユーザが Wi-Fi プロファイルを設定できるかどうかを制御します。

以下のいずれかの操作を実行してください。

  • XML(cfg.xml)を使用した電話の設定ファイルでは、次の形式で文字列を入力します。

    <Control_Mode_1_ ua="rw">Allow</Control_Mode_1_>

  • 電話ウェブページで、以下のいずれかのオプションを選択してください:
    • 許可して
    • [拒否(Disallowed)]
    • [制限(Restricted)]

デフォルト:許可

有効(Enable)Wi-Fi プロファイルが有効かどうかを制御します。

以下のいずれかの操作を実行してください。

  • XML(cfg.xml)を使用した電話の設定ファイルでは、次の形式で文字列を入力します。

    <Enable_1_ ua="rw">はい</Enable_1_>

  • 電話ウェブページで、以下のいずれかのオプションを選択してください:
    • 不可

デフォルト: はい

プロファイル名(Profile Name)プロフィール名を入力でき、それが電話に表示されます。

以下のいずれかの操作を実行してください。

  • XML(cfg.xml)を使用した電話の設定ファイルでは、次の形式で文字列を入力します。

    <Profile_Name_1_ ua="rw">Profile 1</Profile_Name_1_>

  • 電話のウェブページで、プロフィールの名前を入力してください。

デフォルト:プロファイル 1

PSK パスフレーズセキュリティモードが PSK に設定されているときに PSK パスフレーズを入力できます。

以下のいずれかの操作を実行してください。

  • XML(cfg.xml)を使用した電話の設定ファイルでは、次の形式で文字列を入力します。

    <PSK_Passphrase_1_ ua="rw">*************</PSK_Passphrase_1_>

  • 電話のウェブページで PSK のパスフレーズを入力します。

デフォルト:許可

有線ネットワーク向けの 802.1X 認証

Cisco ワイヤレス電話 9821 は有線ネットワーク用の 802.1X 認証をサポートしています。 これは通常、対応する USB からイーサネットアダプターを介して電話をデスクトップ充電器に接続する 自動プロビジョ ニングの際に使われます。

有線ネットワークでの 802.1X 認証のサポートには、以下のいくつかのコンポーネントが必要です。

  • Cisco IP 電話: 電話機は、ネットワークへのアクセス要求を開始します。 Cisco IP Phones には、802.1x サプリカントが含まれています。 このサプリカントを使用して、ネットワーク管理者は IP 電話と LAN スイッチ ポートの接続を制御できます。 電話機に含まれる 802.1X サプリカントの現在のリリースでは、ネットワーク認証に EAP-FAST オプションと EAP-TLS オプションが使用されています。

  • 認証サーバ:認証サーバとスイッチの両方が RADIUS 共有シークレットで設定されている必要があります。

  • スイッチ:スイッチは 802.1X をサポートしている必要があり、認証機能として機能し、電話と認証サーバ間で EAP メッセージを中継できます。 この交換が完了した後、スイッチはネットワークへの電話機のアクセスを許可または拒否します。

Cisco IP Phones と Cisco Catalyst スイッチは、従来 Cisco Discovery Protocol(CDP)を使用して互いを識別し、VLAN 割り当てやインライン所要電力などのパラメータを決定します。

802.1X を設定するには、次の手順を実行する必要があります。

  • CDP/LLDP 音声 VLAN バイパスを設定してください。

  • 電話の有線ネットワークで 802.1X 認証を有効にする前に、認証サーバとスイッチを設定してください。

  • ボイス VLAN の設定:802.1X 標準では VLAN が考慮されないため、この設定をスイッチのサポートに基づいて行うようにしてください。

    • 有効:マルチドメイン認証をサポートするスイッチを使っている場合、音声 VLAN を使うように設定できます。
    • 無効:スイッチで複数ドメインの認証がサポートされていない場合は、ボイス VLAN を無効にし、ポートをネイティブ VLAN に割り当てることを検討してください。
  • Cisco ワイヤレスフォン 9821 は、他の Cisco 電話とは異なるプリフィックスが PID に記載されています。 802.1X 認証に通すには、 Radius·ユーザ名 パラメータを Cisco ワイヤレスフォン 9821 を含めてください。

    例えば、Cisco Wireless Phone 9821 の PID は WP-9821 です。 Radius·User-Name to 以下両方のセクションで WP または Contains WP で始めます:

    • ポリシー > 条件 > 図書館の利用条件

    • ポリシー > ポリシーセット > 承認ポリシー > 承認ルール 1

携帯電話の有線ネットワークで 802.1X 認証を有効にしてください

以下の手順に従って、携帯電話の有線ネットワークで 802.1X 認証を有効にしてください。 Wi-Fi の 802.1X 認証はデフォルトで有効で、手動設定は不要です。

1

設定へのアクセス 9821 Settings app icon アプリ。

2

パスワードを求められた場合は、パスワードを入力してアクセスします。 設定 メニュー。 パスワードは管理者から取得できます。

3

Select Admin settings > Security setup > 802.1X Authentication

4

デバイス認証をハイライト ONを押してください。

電話ウェブページで有線ネットワークの 802.1X 認証を有効にする

有線ネットワークの 802.1X 認証が有効になると、電話は 802.1X 認証を使ってイーサネット LAN ポートからネットワークアクセスを要求します。 有線ネットワークの 802.1X 認証が無効になると、電話は Cisco Discovery Protocol(CDP)を使って VLAN とネットワークアクセスを取得します。 Wi-Fi の 802.1X 認証はデフォルトで有効で、手動設定は不要です。

802.1X 認証に使われる証明書(MIC/SUDI または CDC)を選択できます。 CDC の詳細については、Cisco ワイヤレスフォン 9821 カスタムデバイス証明書をご覧ください

取引状況やセキュリティ設定は電話の画面メニューで確認できます。 詳細は スマホのセキュリティ設定メニューをご覧ください。

1

802.1X 認証を有効にしてください。

[音声(Voice)] > [システム(System)] を選択します。 802.1X Authentication セクションで、 Enable 802.1X Authentication parameter を Yesに設定してください。

このパラメータは、設定ファイル(cfg.xml)でも設定できます。

<Enable_802.1X_Authentication ua="rw">Yes</Enable_802.1X_Authentication>

有効値: [はい(Yes)] | [いいえ(No)]

デフォルト:[いいえ(No)]

2

802.1X 認証 セクションでは、 Certificate Select ドロップダウンリストから 802.1X 認証に使用される以下のインストール済み証明書のいずれかを選択してください。

バリューオプション:

  • 製造設置番号:MIC/SUDI。
  • カスタムインストール:カスタムデバイス証明書(CDC)。

このパラメータは、設定ファイル(cfg.xml)でも設定できます。

<Certificate_Select ua="rw">Custom installed</Certificate_Select>

有効な数値:製造設備の設置数|カスタムインストール

デフォルト: 製造時にインストール

3

有線ネットワークの 802.1X 認証の ID として使う User ID parameter を設定します。

この構成は、カスタムデバイス証明書(CDC)を使って有線 802.1X 認証を行い、 Certificate Select set to Custom installedで行う場合にのみ適用されます。

このパラメータは、設定ファイル(cfg.xml)でも設定できます。

<Wired_User_ID ua=「na」></Wired_User_ID>

有効な値: 最大 127 文字

デフォルト:空

このパラメータはマクロ展開変数もサポートしており、詳細は Macro expansion variables を参照してください。

DHCP オプションの組み合わせを使ってユーザ ID をプロビジョニングしたい場合は、 Provisioning of User ID by DHCP オプション 15を参照してください。

4

[すべての変更の送信(Submit All Changes)] をクリックします。

電話のセキュリティ設定メニュー

電話メニューからセキュリティ設定の情報を確認するには、 Settings にアクセスしてください 9821 Settings app icon アプリを選んで 管理者設定 > セキュリティ設定 > 802.1X 認証を選びます。 情報の入手可能性は、組織のネットワーク設定によって異なります。

パラメータ

オプション(Options)

デフォルト

説明

デバイス認証

オン

Off

Off

電話での 802.1X 認証の有効または無効化。

パラメータ設定は電話の Out-Of-Box(OOB)登録後も保持できます。

取引状況

無効

802.1X 認証の状態を表示します。 州は以下のようになり得ます(これに限定されません):

  • 認証中—認証プロセスが進行中であることを示します。
  • 認証済み—電話が認証済みであることを示します。
  • 無効—電話で 802.1x 認証が無効化されていることを示します。
  • 接続中—電話が 30 秒ごとに EAP START メッセージをスイッチに送信していることを示します。
  • 取得済み—スイッチが電話機の EAP リクエストを拒否し、電話がスイッチから EAP-TLS や EAP-FAST チャレンジを受け取らないことを示します。 電話が EAP リクエストを再度送信しようとしています。
  • 切断—イーサネットケーブルが切断されていることを示します。
  • ホールド—スイッチが電話の EAP リクエストを処理したが、EAP-FAST または EAP-TLS 認証は拒否したことを示します。 電話が EAP リクエストを送信しようと再試行しています。

プロトコル

なし

802.1X 認証に使用される EAP 方式を表示します。 このプロトコルは、EAP-FAST または EAP-TLS にすることができます。

ユーザー証明書タイプ

製造元でインストール

カスタムインストール

製造元でインストール

初回登録および証明書更新時に 802.1X 認証用の証明書を選択します。

  • 製造時の設置—Secure Unique Device Identifier(SUDI)が使用されます。
  • カスタムインストール(Custom installed):カスタムデバイス証明書(CDC)が使用されます。 このタイプの証明書は、電話のウェブページに手動でアップロードするか、またはシンプル証明書登録プロトコル(SCEP)サーバーからインストールすることができます。

このパラメータは [デバイス認証(Device authentication)] が有効な場合にのみ電話機に表示されます。

ユーザと管理者のパスワードを変更する

通話制御システムでの初回登録時または工場出荷時リセット後、電話管理ウェブページに初めてアクセスする際には、ユーザパスワードと管理者パスワードの両方を設定しなければなりません。 デバイスのセキュリティを維持するために、これらの認証情報はいつでも更新できます。

有効なパスワードルールには以下が含まれます:

  • パスワードには少なくとも 8 文字から 127 文字が必要です。
  • 4 種類のうち 3 種類の組み合わせで、大文字、小文字、数字、特殊文字が使われています。
  • スペースは許可されていません。
1

電話機の管理ウェブページにアクセスしてください。

2

[音声(Voice)] > [システム(System)] を選択します。

3

(任意) システム構成 セクションで Display Password Warnings parameter を Yesに設定し、次に Submit All Changesをクリックします。

このパラメータは、電話機の設定ファイル(cfg.xml)のパラメータでも有効にできます。

<Display_Password_Warnings ua="na">はい</Display_Password_Warnings>

デフォルト: はい

オプション:はい|いいえ

パラメータが Noに設定されている場合、パスワード警告は電話画面に表示されません。

4

パラメータ User Password or Admin Passwordを見つけ、パラメータの隣にある Change Password をクリックします。

5

[古いパスワード(Old Password)] フィールドに、現在のユーザーパスワードを入力します。

6

[新しいパスワード(New Password)] フィールドに、新しいパスワードを入力します。

新しいパスワードが有効なパスワードルールを満たさない場合、その設定は拒否されます。

7

[送信(Submit)] をクリックします。

パスワードが正常に変更されました。(Password has been changed successfully.)」というメッセージがウェブページに表示されます。 ウェブページが数秒後に更新されます。

ユーザーパスワードを設定した後、このパラメータは、電話機の設定 XML ファイル(cfg.xml)で次のように表示されます。

<!-- <Admin_Password ua="na">*************</Admin_Password> <User_Password ua="rw">*************</User_Password> -->

クライアントとサーバの最低 TLS バージョンを設定してください

デフォルトでは、クライアントとサーバの最低 TLS バージョンは 1.2 です。 これはクライアントとサーバが TLS 1.2 以上の接続を確立することを受け入れることを意味します。 クライアントとサーバの両方でサポートされている TLS の最大バージョンは 1.3 です。 設定すると、TLS クライアントと TLS サーバ間のネゴシエーションに最小 TLS バージョンが使用されます。

クライアントとサーバの TLS の最小バージョン(例:1.1、1.2、1.3)を設定できます。

はじめる前に

TLS サーバが設定されている最小 TLS バージョンをサポートしていることを確認します。 通話制御システムの管理者に相談することができます。

1

電話機の管理ウェブページにアクセスしてください。

2

[音声(Voice)] > [システム(System)] を選択します。

3

Security Settingsセクションでパラメータ TLS クライアント最小バージョンを設定してください

  • TLS 1.1: TLS クライアントは、TLS のバージョン 1.1 から 1.3 をサポートします。

    サーバの TLS バージョンが 1.1 未満なら接続が確立できません。

  • TLS 1.2 (デフォルト): TLS クライアントは TLS 1.2 および 1.3 をサポートします。

    サーバの TLS バージョンが 1.2 未満 (たとえば 1.1) の場合、接続を確立できません。

  • TLS 1.3: TLS クライアントは TLS 1.3 のみをサポートします。

    サーバの TLS バージョンが 1.3 未満 (たとえば 1.2 または 1.1) の場合、接続を確立できません。

    「TLS Client Min Version」というパラメータを「TLS 1.3」に設定したい場合は、サーバ側が TLS 1.3 をサポートしていることを確認してください。 サーバ側が TLS 1.3 をサポートしていない場合、重大な問題を引き起こす可能性があります。 例えば、プロビジョニング操作は電話側では実行できません。

このパラメータは、設定ファイル(cfg.xml)でも設定できます。

<TLS_Client_Min_Version ua="na">TLS 1.2</TLS_Client_Min_Version>

許可されている値:TLS 1.1、TLS1.2、TLS 1.3。

デフォルト:TLS 1.2

4

Security Settingsセクションでパラメータ TLS Server Min Versionを設定してください。

Webex Calling は TLS 1.1 をサポートしていません。

  • TLS 1.1: TLS サーバは、TLS のバージョン 1.1 から 1.3 までをサポートします。

    クライアントの TLS バージョンが 1.1 未満なら接続が確立できません。

  • TLS 1.2 (デフォルト): TLS サーバは TLS 1.2 および 1.3 をサポートします。

    クライアントの TLS のバージョンが 1.2 より低い場合(例えば 1.1 の場合)、接続を確立できません。

  • TLS 1.3: TLS サーバは TLS 1.3 のみをサポートします。

    クライアントの TLS のバージョンが 1.3 より低い場合、例えば 1.2 や 1.1 の場合、接続を確立できません。

このパラメータは、設定ファイル(cfg.xml)でも設定できます。

<TLS_Server_Min_Version ua="na">TLS 1.2</TLS_Server_Min_Version>

許可されている値:TLS 1.1、TLS1.2、TLS 1.3。

デフォルト:TLS 1.2

5

[すべての変更の送信(Submit All Changes)] をクリックします。

メディアプレーンのセキュリティ交渉のためにクライアント開始モードを有効にする

メディアセッションを保護するには、サーバーとのメディアプレーンセキュリティネゴシエーションを開始するように電話機を設定できます。 このセキュリティ機構は、RFC 3329 およびその拡張ドラフトであるメディアのセキュリティメカニズム名(参照 https://tools.ietf.org/html/draft-dawes-sipcore-mediasec-parameter-08#ref-2)で定められた標準に従っています。 電話機とサーバ間でのネゴシエーションの転送では、UDP、TCP、および TLS を介した SIP プロトコルを使用できます。 シグナリングトランスポートプロトコルが TLS の場合にのみ メディアプレーンセキュリティネゴシエーションが適用されるように制限することができます。

表 2. メディアプレーンセキュリティ交渉のパラメータ
パラメータ説明

MediaSec リクエスト

電話機がサーバとのメディア平面セキュリティネゴシエーションを開始するかどうかを指定します。

以下のいずれかの操作を実行してください。

  • XML(cfg.xml)を使用した電話の設定ファイルでは、次の形式で文字列を入力します。

    <MediaSec_Request_1_ ua=「na」>はい</MediaSec_Request_1_>
  • 電話機のウェブインターフェイスで、必要に応じてこのフィールドを [はい(Yes)] または [いいえ(No)] に設定します。

有効値:はい(Yes)|いいえ(No)

  • [はい (Yes)]: クライアントが開始するモード。 電話機は、メディア平面セキュリティネゴシエーションを開始します。
  • いいえ(No)— サーバ起動モード。 サーバがメディア平面セキュリティネゴシエーションを開始します。 電話機はネゴシエーションを開始しませんが、サーバからのネゴシエーション要求を処理して、安全な通話を確立できます。

デフォルト:[いいえ(No)]

MediaSec Over TLS のみ

メディア平面セキュリティネゴシエーションが適用されるシグナリングトランスポートプロトコルを指定します。

このフィールドで [はい(Yes)] に設定する前に、シグナリングプロトコルが TLS であることを確認してください。

以下のいずれかの操作を実行してください。

  • XML(cfg.xml)を使用した電話の設定ファイルでは、次の形式で文字列を入力します。

    <MediaSec_Over_TLS_Only_1_ ua="na">No</MediaSec_Over_TLS_Only_1_>

  • 電話機のウェブインターフェイスで、必要に応じてこのフィールドを [はい(Yes)] または [いいえ(No)] に設定します。

有効値:はい(Yes)|いいえ(No)

  • [はい(Yes)]: 電話機は、シグナリングトランスポートプロトコルが TLS の場合にのみ、メディア平面セキュリティネゴシエーションを開始または処理します。
  • [いいえ (No)]: 電話機は、シグナリングトランスポートプロトコルに関係なく、メディア平面セキュリティネゴシエーションを開始し、処理します。

デフォルト:[いいえ(No)]

1

電話機の管理ウェブページにアクセスしてください。

2

[音声(Voice)] > [内線(n)(Ext(n))] を選択します。

3

SIP 設定 セクションで、上記の表で定義された通り、TLS のみ フィールドに対して MediaSec Request and MediaSec を設定します。

4

[すべての変更の送信(Submit All Changes)] をクリックします。

この投稿記事は役に立ちましたか?
この投稿記事は役に立ちましたか?