FIPS 140-2 モードの設定

この章では、FIPS 140-2モードの設定について説明します。

• FIPS 140-2の設定, 1 ページ

• FIPSモードの制約事項, 10 ページ

FIPS 140-2 の設定

FIPSモードは、FIPS準拠のリリースだけでサポートされます。Cisco Unified CommunicationsManagerを FIPS非準拠のバージョンにアップグレードする前に、必ず FIPSモードを無効にしてください。

リリースがFIPSコンプライアンスでその証明書を表示する方法については、http://www.cisco.com/web/strategy/government/security_certification/net_business_benefit_seccert_fips140.htmlの FIPS 140のドキュメントを参照してください。

注意

連邦情報処理標準（FIPS）は、暗号モジュールにおいて遵守が必要な要件が定義された、米国およびカナダ政府の認証規格です。

UnifiedCommunicationsManagerの特定のバージョンは、米国のNational Institute of Standards（NIST）に従って FIPS 140-2に準拠しており、FIPSモードレベル 1に準拠して動作します。

FIPS 140-2モードを有効にすると、Unified Communications Managerがリブートされ、起動時に証明書のセルフテストが実行されます。さらに、暗号モジュールの整合性チェックが実行され、キー

関連情報が再生成されます。この時点で、Unified Communications Managerは FIPS 140-2モードで動作します。

FIPS要件には、起動時のセルフテスト実行や、承認済み暗号機能の一覧に対する制限などが含まれます。

FIPSモードでは、次の FIPS 140-2レベル 1検証済み暗号化モジュールが使用されます。

• Openssl 0.9.8l with FIPS Module 1.2

• RSA CryptoJ 4.1

Cisco Unified Communications Manager リリース 12.0(1) セキュリティガイド1

• Red Hat Openssl

• Libreswan

• NSS

次の FIPS関連作業を実行できます。

• FIPS 140-2モードの有効化

• FIPS 140-2モードの無効化

• FIPS 140-2モードのステータスの確認

デフォルトでは、システムは非 FIPSモードになっています。FIPSモードを有効化する必要があります。

（注）

IPsec の Openswan から Libreswan への移行このリリースでは、IPsecについて、Openswanライブラリサポートが、Libreswanライブラリサポートに置き換えられています。このサポートでは、既存の機能に対する変更はありません。

Libreswanライブラリで機能する証明書ベースの認証については、ソースと宛先の両方の証明書がCA署名付き証明書でなければなりません。さらに、それらの証明書に署名した認証局（CA）が同じでなければなりません。Libreswanライブラリへの移行には、次の制限があります。

•証明書ベースの認証を使用していて、IPsecの設定に自己署名証明書を使用している場合、IPsecは動作を停止します。

•証明書ベースの認証を使用していて、IPsecの設定のために使用されているCA署名付き証明書に署名した CAがソースと宛先とで異なる場合、IPsecは動作を停止します。

Blowfish448、MD5、および RIJNDAELのアルゴリズムは、いずれも IPsec設定でサポートされなくなりました。アップグレードとスイッチオーバーの後、Blowfish448および RIJNDAELは AES 128にアップグレードされ、MD5は SHA256にアップグレードされます。ピア間でアルゴリズムが同じでない場合、IPsec接続は失敗します。

（注）

FIPS 140-2 モードの有効化CLIで FIPS 140-2を有効にできます。詳細については、『Command Line Interface Reference Guidefor Cisco Unifed Communications Solutions』を参照してください。

Unified CMで FIPS 140-2モードを有効にする前に、次の点を考慮してください。

Cisco Unified Communications Manager リリース 12.0(1) セキュリティガイド2

FIPS 140-2 モードの設定IPsec の Openswan から Libreswan への移行

•非FIPSからFIPSモードに切り替えた場合は、MD5およびDESプロトコルは機能しません。

•単一サーバクラスタでは証明書が再生成されるため、FIPSモードを有効にする前に CTLクライアントを実行するか、エンタープライズパラメータにPrepareCluster forRollback to pre-8.0を適用する必要があります。これらの手順のいずれかを実行しない場合は、FIPSモードを有効にした後、手動で ITLファイルを削除する必要があります。

• FIPSモードをサーバで有効にした後は、サーバがリブートし、電話機が正常に再登録されるまで待機してから、次のサーバで FIPSを有効にしてください。

FIPSモードを有効にする前に、システムバックアップを実行することを強く推奨します。FIPSのチェックが起動時に失敗した場合は、システムが停止し、復元するにはリカバリCDが必要になります。

注意

手順

ステップ 1 CLIセッションを開始します。詳細については、『CommandLine InterfaceReferenceGuide forCiscoUnifiedCommunications Solutions』の『Start CLI Session』セクションを参照してください。

ステップ 2 CLIで次のコマンドを入力します。 utils fips enable次のプロンプトが表示されます。

Security Warning: The operation will regenerate certificates for1)CallManager

2)Tomcat3)IPsec4)TVS5)CAPF6)SSHAny third party CA signed certificates that have been uploaded for theabovecomponents will need to be re-uploaded.If the system is operating in mixed

mode, then the CTL client needs to be run again to update the CTL file.******************************************************************************This will change the system to FIPS mode and will reboot.******************************************************************************Do you want to continue (yes/no)?

ステップ 3 yesと入力します。次のメッセージが表示されます。

Generating certificates...Setting FIPS mode in operating system.FIPS mode enabled successfully.********************************************************It is highly recommended that after your system restartsthat a system backup is performed.

Cisco Unified Communications Manager リリース 12.0(1) セキュリティガイド3

FIPS 140-2 モードの設定FIPS 140-2 モードの有効化

********************************************************The system will reboot in a few minutes.

Unified CMは自動的に再起動されます。

証明書および SSHキーは、FIPS要件に応じて、自動的に再生成されます。

（注）

シングルサーバクラスタを使用していて、FIPS 140-2モードを有効にする前に [クラスタをバージョン 8.0前へのロールバック用に準備（Prepare Cluster for Rolback to pre 8.0）]エンタープライズパラメータの適用を選択した場合は、すべての電話機がサーバに正

常に登録されたことを確認してから、このエンタープライズパラメータを無効にする

必要があります。

（注）

FIPSモードでは、Unified CMは Racoon（FIPS未検証）の代わりに Libreswan（FIPS検証済み）が使用されます。Raccoonのセキュリティポリシーに、FIPSで承認されていない機能が含まれている場合、CLIコマンドは、FIPSで承認された機能を使用してセキュリティポリシーを定義し直すよう表示して終了します。詳細は、『AdministrationGuidefor Cisco Unified Communications Manager』の『IPsecの管理』に関するトピックを参照してください。

（注）

FIPS 140-2 モードの無効化FIPS 140-2はCLIを使用して無効にできます。詳細については、『CommandLine Interface ReferenceGuide for Cisco Unified Communications Solutions』を参照してください。

FIPS 140-2モードを Cisco Unified Communications Manager (Unified CM)で無効にする前に、次の点を考慮してください。

•単一または複数のサーバクラスタでは、CTLクライアントを実行することを強く推奨します。CTLクライアントが単一サーバのクラスタで実行されない場合は、FIPSモードを無効にしたあと、手作業で ITLファイルを削除する必要があります。

•複数サーバのクラスタでは、各サーバは個別に無効にする必要があります。なぜなら、FIPSモードはクラスタ全体ではなくサーバごとに無効になるためです。

FIPS 140-2モードを無効にするには、次の手順を実行します:

手順

ステップ 1 CLIセッションを開始します。詳細については、『CommandLine InterfaceReferenceGuide forCiscoUnifiedCommunications Solutions』の『Starting a CLI Session』セクションを参照してください。

ステップ 2 CLIで次のコマンドを入力します。 utils fips disableUnified CMが再起動され、非 FIPSモードに復元されます。

Cisco Unified Communications Manager リリース 12.0(1) セキュリティガイド4

FIPS 140-2 モードの設定FIPS 140-2 モードの無効化

証明書および SSHキーは、FIPS要件に応じて、自動的に再生成されます。

（注）

FIPS 140-2 モードのステータス確認FIPS 140-2モードが有効であることを確認するには、CLIからモードステータスをチェックします。

FIPS 140-2モードのステータスを確認するには、次の手順を実行します。

手順

ステップ 1 CLIセッションを開始します。詳細については、『CommandLine InterfaceReferenceGuide forCiscoUnifiedCommunications Solutions』の『Starting a CLI Session』セクションを参照してください。

ステップ 2 CLIで次のコマンドを入力します。 utils fips statusFIPS 140-2モードが有効であることを確認する次のメッセージが表示されます。

admin:utils fips statusThe system is operating in FIPS mode.Self test status:

- S T A R T ---------------------Executing FIPS selftestsrunlevel is N 3Start time: Thu Apr 28 15:59:24 PDT 2011NSS self tests passed.Kernel Crypto tests passed.Operating System OpenSSL self tests passed.Libreswan self tests passed.OpenSSL self tests passed.CryptoJ self tests passed...

FIPS 140-2 モードサーバのリブートFIPS 140-2モードで Cisco Unified Communications Manager（Unified CM）がリブートすると、リブート後に各 FIPS 140-2モジュールで FIPSの起動時セルフテストがトリガーされます。

これらのセルフテストのいずれかが失敗した場合、Unified CMサーバは停止します。注意

Cisco Unified Communications Manager リリース 12.0(1) セキュリティガイド5

FIPS 140-2 モードの設定FIPS 140-2 モードのステータス確認

Unified CMサーバは、対応する CLIコマンドによって FIPSが有効または無効になったときに、自動的にリブートされます。ユーザもリブートを開始できます。

（注）

起動時のセルフテストが一時的なエラーの原因で失敗した場合、UnifiedCMサーバを再起動すると問題が解決します。ただし、起動時のセルフテストエラーが解消されない場合は、FIPSモジュールに重大な問題があるため、リカバリ CDの使用が唯一の選択肢となります。

注意

強化されたセキュリティモード

強化されたセキュリティモードは FIPS対応システムで稼働します。Cisco Unified CommunicationsManagerと IM and Presenceサービスの両方を、強化されたセキュリティモードで動作するようにすることができます。これにより、次のセキュリティおよびリスク管理制御機能をシステムで実

現できます。

•ユーザのパスワードとパスワードの変更に関して厳格化されたクレデンシャルポリシーが適用されます。

•デフォルトでは、連絡先検索の認証機能が有効です。

•リモート監査ログ用のプロトコルが TCPまたは UDPに設定されている場合は、デフォルトのプロトコルが TCPに変更されます。リモート監査ログのプロトコルが TLSに設定されている場合、デフォルトのプロトコルは TLSのままです。コモンクライテリアモードでは、厳密なホスト名検証が使用されます。そのため、サーバには、証明書と一致する完全修飾ド

メイン名（FQDN）を設定する必要があります。

クレデンシャルポリシーの更新

強化されたセキュリティモードを有効にすると、新しいユーザパスワードとパスワード変更に関

してより厳格なクレデンシャルポリシーが有効になります。強化されたセキュリティモードを有

効にした後で、管理者は一連の CLIコマンド set password ***を使用して、次の要件のいずれかを変更できます。

•パスワードの長さは 14～ 127文字です。

•パスワードには少なくとも 1つの小文字、1つの大文字、1つの数字、および 1つの特殊文字が含まれている必要があります。

•過去 24回以内に使用したパスワードを再使用することはできません。

•パスワードの最短有効期間は 1日、最長有効期間は 60日です。

•新たに生成されるパスワードの文字列では、古いパスワードの文字列と少なくとも 4文字が異なる必要があります。

Cisco Unified Communications Manager リリース 12.0(1) セキュリティガイド6

FIPS 140-2 モードの設定強化されたセキュリティモード

強化されたセキュリティモードの設定

強化されたセキュリティモードを設定するには、すべての Cisco Unified Communications Managerまたは IM and Presence Serviceクラスタノードで次の手順に従います。

はじめる前に

強化されたセキュリティモードを有効にする前に、FIPSを有効にしてください。

手順

ステップ 1 コマンドラインインターフェイスにログインします。

ステップ 2 utilsEnhancedSecurityMode statusコマンドを実行し、拡張セキュリティモードが有効になっているかどうかを確認します。

ステップ 3 クラスタノードで次のいずれかのコマンドを実行します。

•強化されたセキュリティモードを有効にするには、utils EnhancedSecurityMode enableコマンドを実行します。

•強化されたセキュリティモードを無効にするには、utils EnhancedSecurityMode disableコマンドを実行します。

ステップ 4 ノードが更新されたら、次のノードでこの手順を繰り返します。Cisco Unified CommunicationsManagerおよび IM and Presence Serviceクラスタノードごとに繰り返します。

utils EnhancedSecurityMode enable CLIコマンドまたは utils EnhancedSecurityModedisable CLIコマンドをすべてのノードで同時に実行しないでください。

（注）

コモンクライテリアモード

コモンクライテリアモードでは、Cisco Unified Communications Managerと IM and Presence Serviceの両方がコモンクライテリアのガイドラインに準拠できます。コモンクライテリアモードは、

各クラスタノードで次に示す CLIコマンドを使用して設定できます。

• utils fips_common_criteria enable

• utils fips_common_criteria disable

• utils fips_common_criteria status

コモンクライテリア構成のタスクフロー

Cisco Unified Communications Managerおよび IM and Presence Serviceでコモンクライテリアモードを設定するには、次のタスクを実行します。

Cisco Unified Communications Manager リリース 12.0(1) セキュリティガイド7

FIPS 140-2 モードの設定コモンクライテリアモード

はじめる前に

•コモンクライテリアモードを有効にするには FIPSモードで実行している必要があります。FIPSがまだ有効になっていない場合、コモンクライテリアモードを有効にしようとするとFIPSを有効にするよう求められます。FIPSを有効にするには、証明書を再生成する必要があることに注意してください。

•コモンクライテリアモードでは、X.509 v3証明書が必須です。TLS 1.2を通信プロトコルとして次に示す用途に使用する場合、X.509 v3証明書はセキュア接続を有効にします。

•リモート監査ログ

• FileBeatクライアントと logstashサーバの間の接続を有効にする。

手順

目的コマンドまたはアクション

TLSはコモンクライテリアモードを設定する場合の前提条件です。

TLSの有効化, （8ページ）ステップ 1

すべてのCiscoUnifiedCommunicationsManagerと IM and Presenceクラスタノードでコモンクライテリアモードを設定します。

コモンクライテリアモードの構

成, （9ページ）ステップ 2

TLS の有効化TLS 1.2バージョンまたは TLSバージョン 1.1はコモンクライテリアモードの必要条件です。コモンクライテリアモードを有効化すると、TLSバージョン 1.0を使用したセキュア接続は許可されません。TLSバージョン 1.2をサポートするには、次の手順を実行します。

はじめる前に

• TLS接続の確立中に、ピア証明書の extendedKeyUsage拡張機能の値が適切かどうかチェック

されます。

•ピアがサーバなら、ピア証明書の extendedKeyUsage拡張機能は serverAuthでなければ

なりません。

•ピアがクライアントなら、ピア証明書の extendedKeyUsage拡張機能は clientAuthでな

ければなりません。

ピア証明書に extendedKeyUsage拡張機能が存在しないか正しく設定されていない場合、接続

は閉じられます。

Cisco Unified Communications Manager リリース 12.0(1) セキュリティガイド8

FIPS 140-2 モードの設定コモンクライテリアモード

手順

ステップ 1 Soap UIバージョン 5.2.1をインストールします。ステップ 2 Microsoft Windowsプラットフォームで実行している場合：

a) C:\Program Files\SmartBear\SoapUI-5.2.1\binに移動します。b) SoapUI-5.2.1.vmoptionsファイルを編集し、-Dsoapui.https.protocols=TLSv1.2,TLSv1,SSLv3

を追加してファイルを保存します。

ステップ 3 Linuxで実行している場合は、bin/soaup.shファイルを編集し、JAVA_OPTS="$JAVA_OPTS

-Dsoapui.https.protocols=SSLv3,TLSv1.2"を追加してファイルを保存します。

ステップ 4 OSXで実行している場合：a) /Applications/SoapUI-{VERSION}.app/Contentsに移動します。b) vmoptions.txtファイルを編集し、-Dsoapui.https.protocols=TLSv1.2,TLSv1,SSLv3を追加

してファイルを保存します。

ステップ 5 SoapUIツールを再起動し、AXLテストに進みます。

次の作業

コモンクライテリアモードの構成, （9ページ）

コモンクライテリアモードの構成

Cisco Unified Communications Managerおよび IM and Presence Serviceのコモンクライテリアモードを設定するには、次の手順に従います。

手順

ステップ 1 コマンドラインインターフェイスプロンプトにログインします。

ステップ 2 utils fips_common_criteria statusコマンドを実行し、システムがコモンクライテリアモードで

実行されているかどうかを確認します。

ステップ 3 クラスタノードで次のいずれかのコマンドを実行します。

•コモンクライテリアモードを有効にするには、utils fips_common_criteria enableを実行

します。

•コモンクライテリアモードを無効にするには、utils fips_common_criteria disableを実行

します。

コモンクライテリアモードが無効化されると、最小 TLSバージョンを設定するよう求めるプロンプトが表示されます。

これらのコマンドをすべてのノードで同時に実行しないでくださ

い。

（注）

Cisco Unified Communications Manager リリース 12.0(1) セキュリティガイド9

FIPS 140-2 モードの設定コモンクライテリアモード

ステップ 4 単一クラスタ全体でコモンクライテリアモードを有効にするには、Cisco Unified CommunicationsManagerと IMと Presenceのすべてのクラスタノードで、以下の手順を繰り返します。（注） • CTLクライアントでは TLS 1.1プロトコルも TLS 1.2プロトコルもサポートされな

いため、サーバがコモンクライテリアモードの場合、CTLクライアントは CiscoUnified Communicationsノードに接続しません。

•コモンクライテリアモードでサポートされるのは、DXシリーズや 88XXシリーズの電話など、TLS 1.1または TLS 1.2をサポートする電話モデルだけです。7975や 9971など、TLSv1.0のみサポートする電話モデルは、コモンクライテリアモードではサポートされません。

• CTLクライアントを使用する際に一時的に TLS 1.0を許可し、クラスタをコモンクライテリアモードに移します。最小 TLSを 1.1または 1.2に設定します。

•コモンクライテリアモードで CLIコマンド utils ctl set-cluster mixed-modeを使用することにより、Tokenless CTLに移行します。最小 TLSを 1.1または 1.2に設定します。

ステップ 5 ノード間で ICSAがすでに設定されているマルチクラスタ設定でコモンクライテリアモードを有効にするため、次の順序でコモンクライテリアモードを各ノードで有効にします。

1 Cisco Unified Communications Manager -クラスタ 1（パブリッシャ）

2 Cisco Instant Messagingおよび Presenceサーバ -クラスタ 1（パブリッシャ）

3 Cisco Instant Messagingおよび Presenceサーバ -クラスタ 1（1つ以上のサブスクライバ）

4 Cisco Unified Communications Manager -クラスタ 2（パブリッシャ）

5 Cisco Instant Messagingおよび Presenceサーバ -クラスタ 2（パブリッシャ）

6 Cisco Instant Messagingおよび Presenceサーバ -クラスタ 2（1つ以上のサブスクライバ）

ステップ 6 証明書の同期に失敗した場合、http://www.cisco.com/c/en/us/td/docs/voice_ip_comm/cups/8_6/english/configAdmin/CUPdeploy/dgcerts.html#44757を参照してください。

FIPS モードの制約事項制約事項機能

FIPSモードでは、MD5または DESを使用した SNMP v3はサポートされません。SNMPv3を設定済みで、FIPSモードが有効になっている場合、認証プロトコルとしてSHA、プライバシープロトコルとして AES128を設定する必要があります。

SNMP v3

Cisco Unified Communications Manager リリース 12.0(1) セキュリティガイド10

FIPS 140-2 モードの設定FIPS モードの制約事項