CISCO 版本 14 Unity Connection 用户指南

Cisco Unity Connection 中的 FIPS 合规性

内容隐藏

1 Cisco Unity Connection 中的 FIPS 合规性

7 配置语音信箱 PIN 码以便按键式对话用户登录

Cisco Unity Connection 中的 FIPS 合规性

介绍

FIPS（即联邦信息处理标准）是美国和加拿大政府认证标准，定义了加密模块必须遵循的要求。

警告
FIPS 模式仅在已通过 FIPS 合规性的版本上受支持。请注意，在升级到 Cisco Unity Connection 的非 FIPS 合规版本之前，应禁用 FIPS 模式。
有关哪些版本符合 FIPS 标准的信息以及 view 他们的认证，请参阅链接中的 FIPS 140 文档： https://www.cisco.com/c/en/us/solutions/industries/government/global-government-certifications/fips-140.html

Unity Connection 的某些版本符合美国国家标准协会 (NIST) 的 FIPS 140-2 标准。它们可以在 FIPS 模式下运行，符合 1 级要求。
FIPS 模式使用以下经 FIPS 140-2 1 级验证的加密模块：

带 FIPS 模块的 CiscoSSL 1.1.1n.7.2.390 CiscoSSL FOM 7.2a
思科SSH -1.9.29
RSA 加密J 6_2_3
BC FIPS-1.0.2.3.jar
BCTLS FIPS – 1.0.12.3.jar
BCPKIX FIPS-1.0.5.jar
利伯斯旺 -3.25-9
国家标准 -3.67

笔记
有关 Unity Connection 升级的更多信息，请参阅升级类型《Cisco Unity Connection 版本 14 安装、升级和维护指南》的“升级 Cisco Unity Connection”一章的部分可从以下网址获取： https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/connection/14/install_upgrade/guide/b_14cuciumg.html.

运行 FIPS 的 CLI 命令

要在 Cisco Unity Connection 中启用 FIPS 功能，请使用 utils fips enable CLI 命令。除此之外，还可以使用以下 CLI 命令：

utils fips disable - 用于禁用 FIPS 功能。
utils fips status - 用于检查 FIPS 合规性状态。

有关 utils fips 的更多信息CLI 命令，请参阅适用的命令行界面
思科统一通信解决方案参考指南，位于 http://www.cisco.com/c/en/us/support/unified-communications/unity-connection/products-maintenance-guides-list.html.

警告
启用或禁用 FIPS 模式后，Cisco Unity Connection 服务器会自动重新启动。

警告
如果 Cisco Unity Connection 服务器位于群集中，请不要更改任何其他节点上的 FIPS 设置，直到当前节点上的 FIPS 操作完成并且系统恢复并运行。

笔记
在 Unity Connection 服务器上启用 FIPS 模式之前，请确保安全密码长度至少为 14 个字符。升级 Unity Connection 时，如果先前版本启用了 FIPS，则需要更新密码。

所有新证书均在 FIPS 模式下使用 SHA-256 哈希算法进行签名。当您生成自签名证书或证书签名请求时，您只能选择 SHA-256 作为哈希算法。

重新生成 FIPS 证书

重新生成根证书

具有预先存在的电话集成的 Cisco Unity Connection 服务器必须在启用或禁用 FIPS 模式后手动重新生成根证书。如果电话集成使用经过身份验证或加密的安全模式，则必须将重新生成的根证书重新上传到任何相应的 Cisco Unified Communications Manager 服务器。对于全新安装，可以通过在添加电话集成之前启用 FIPS 模式来避免重新生成根证书。

笔记
如果是集群，请在所有节点上执行以下步骤。

登录 Cisco Unity Connection 管理。
选择电话集成 > 安全 > 根证书。
在 View 根证书页面，单击生成新证书。
如果电话集成使用经过身份验证或加密的安全模式，请继续执行步骤 5-10，否则跳至步骤 12。
在 View 根证书页面，右键单击右键将根证书另存为 File 关联。

选择另存为浏览到将 Cisco Unity Connection 根证书另存为 a.pem 的位置 file.
笔记
证书必须保存为 file 使用扩展名 .pem 而不是 .htm，否则 Cisco Unified CM 将无法识别该证书。
通过执行以下子步骤，将 Cisco Unity Connection 根证书复制到所有 Cisco Unified CM 服务器：
A。在 Cisco Unified CM 服务器上，登录到 Cisco Unified 操作系统管理。
b. 从“安全”菜单中选择“证书管理”选项。
C。在证书列表页面选择上传证书/证书链。
d. 在上传证书/证书链页面上，从证书名称下拉列表中选择 CallManager-trust 选项。
e. 在根证书字段中输入 Cisco Unity Connection 根证书。
F。点击上传中的浏览 File 字段找到并选择在步骤 5 中保存的 Cisco Unity Connection 根证书。
G。点击上传 File.
H。单击“关闭”。

在 Cisco Unified CM 服务器上，登录 Cisco Unified 功能配置。
从“工具”菜单中选择“服务管理”。
在控制中心 - 功能服务页面上，重新启动 Cisco CallManager 服务。

在 Cisco Unified CM 集群中的所有剩余 Cisco Unified CM 服务器上重复步骤 5-10。
按照以下步骤重新启动 Unity Connection Conversation Manager 服务：
a. 登录 Cisco Unity Connection Serviceability。
b. 从“工具”菜单中选择“服务管理”。
C。在关键服务部分中为 Unity Connection Conversation Manager 服务选择停止。
d. 当状态区域显示 Unity Connection Conversation Manager 服务已成功停止的消息时，选择该服务的启动。

新的和现有的电话集成端口现已正确注册到 Cisco Unified CM。
Cisco Unified Communications Manager 和 Cisco Unity Connection 之间的 SCCP 和 SIP 集成均支持 FIPS。
有关管理证书的更多信息，请参阅“管理证书和证书信任列表《Cisco Unity Connection 的思科统一通信操作系统管理指南》“安全”一章中的“安全”部分，网址为： https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/connection/14/os_administration/guide/b_14cucosagx.html

重新生成 Tomcat 证书

Unity Connection 仅支持基于 RSA 密钥的 Tomcat 证书来使用 SIP 集成配置安全呼叫。这允许使用自签名以及第三方 CA 签名证书进行 SIP 安全呼叫。
具有预先存在的电话集成的 Cisco Unity Connection 服务器必须在启用或禁用 FIPS 模式后手动重新生成 Tomcat 证书。如果电话集成使用经过身份验证或加密的安全模式，则必须将重新生成的 tomcat 证书重新上传到任何相应的 Cisco Unified Communications Manager 服务器。对于全新安装，可以通过在添加电话集成之前启用 FIPS 模式来避免重新生成 tomcat 证书。要了解如何重新生成证书，请参阅部分基于 RSA 密钥的证书的设置 Cisco Unity Connection 版本 14 的 Cisco Unified Communications Manager SIP 集成指南中的“设置 Cisco Unified Communications Manager SIP 干线集成”一章可在以下位置获取： https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/connection/14/integration/cucm_sip/b_14cucintcucmsip.html.

笔记
验证 SIP Trunk Security Pro 上的 X.509 使用者名称字段中输入的值是否正确file Cisco Unified Communications Manager 的配置页面是 Unity Connection 服务器的 FQDN。

使用 FIPS 模式时配置其他设置

为了保持 FIPS 合规性，以下功能必须进行额外配置：

网络：站点内、站点间、VPIM
统一消息：统一消息服务。

使用 FIPS 模式时配置网络
从 Cisco Unity Connection 到另一台服务器的网络必须通过 IPsec 策略进行保护。这包括站点间链接、站点内链接和 VPIM 位置。远程服务器负责确保其自身符合 FIPS 合规性。

笔记
除非配置了 IPsec 策略，否则安全消息不会以符合 FIPS 的方式发送。

使用 FIPS 模式时配置统一消息
统一消息服务需要以下配置：

配置 Cisco Unity Connection 和 Microsoft Exchange 之间的 IPsec 策略。

设置 Web- Unity Connection 管理中“编辑统一消息服务”页面上的“基于身份验证模式”设置为“基本”。 NTLM web FIPS 模式不支持认证方式。

警告
服务器之间需要 IPsec 策略来保护 Basic 的纯文本性质 web 验证。

使用 FIPS 模式配置 IPsec 策略
有关设置 IPsec 策略的信息，请参阅 Cisco Unity Connection 的 Cisco Unified Communications 操作系统管理指南的“安全”一章中的“IPSec 管理”部分，网址为： https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/connection/14/os_administration/guide/b_14cucosagx.html.
有关 IPsec 策略对 Unity Connection 的影响的信息，请参阅 Cisco Unity Connection 第 14 版安装、升级和维护指南的“升级 Cisco Unity Connection”一章，网址为：
https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/connection/14/install_upgrade/guide/b_14cuciumg.html.

使用 FIPS 模式时不支持的功能
启用 FIPS 模式时，不支持以下 Cisco Unity Connection 功能：

演讲View 转录服务。
SIP 摘要身份验证（针对 SIP 电话集成配置）。
SIP NTLM 身份验证（配置用于 SIP 电话集成）。
视频消息。

配置语音信箱 PIN 码以便按键式对话用户登录

如果以下两个选项均成立，则在 Cisco Unity Connection 中启用 FIPS 会阻止按键式对话用户登录播放或发送语音消息或更改用户设置：

用户是在 Cisco Unity 5.x 或更早版本中创建的，并迁移到 Connection。
Unity Connection 用户仍然拥有在 Cisco Unity 5.x 或更早版本中分配的语音邮件 PIN。

按键式对话用户通过输入 ID（通常是用户的分机）和语音邮件 PIN 来登录。
ID 和 PIN 是在创建用户时分配的。管理员或用户都可以更改 PIN。
为了防止管理员访问连接管理中的 PIN，对 PIN 进行了哈希处理。在 Cisco Unity 5.x 及更早版本中，Cisco Unity 使用 MD5 哈希算法对 PIN 进行哈希处理，该算法不符合 FIPS 标准。在 Cisco Unity 7.x 及更高版本以及 Unity Connection 中，PIN 通过使用 SHA-1 算法进行哈希处理，该算法更难解密且符合 FIPS 标准。

在 Unity Connection 中使用 SHA-1 算法对所有语音邮件 PIN 进行哈希处理
启用 FIPS 后，Cisco Unity Connection 不再检查数据库来确定用户的语音邮件 PIN 是否使用 MD5 或 SHA-1 算法进行哈希处理。 Unity Connection 使用 SHA-1 对所有语音邮件 PIN 进行哈希处理，并将其与 Unity Connection 数据库中的哈希 PIN 进行比较。如果用户输入的 MD5 哈希语音邮件 PIN 与数据库中的 SHA-1 哈希语音邮件 PIN 不匹配，则不允许用户登录。

FIPS 模式限制

特征	限制
SNMP v3	FIPS 模式不支持带有 MD3 或 DES 的 SNMP v5。如果在启用 FIPS 模式时配置了 SNMP v3，则必须将 SHA 配置为身份验证协议，将 AES128 配置为隐私协议。
SFTP服务器	默认情况下，JSCH 库使用 ssh-rsa 进行 SFTP 连接，但 FIPS 模式不支持 ssh-rsa。由于最近更新了 CentOS，JSCH 库同时支持 ssh-rsa (SHA1withRSA) 或 rsa-sha2-256 (SHA256withRSA)，具体取决于修改后的 FIPS 值。那是，笔记 • FIPS 模式仅支持rsa-sha2-256。 • 非FIPS 模式同时支持ssh-rsa 和rsa-sha2-256。 rsa-sha2-256 (SHA256WithRSA) 支持仅从 OpenSSH 6.8 版本开始提供。 FIPS模式下，仅OpenSSH 6.8及以上版本的SFTP服务器支持rsa-sha2-256（SHA256WithRSA）。
SSH 主机密钥算法	已弃用的算法： • ssh-rsa (带 RSA 的 SHAl) 新支持的算法： • rsa-sha2-256 • rsa-sha2-512 笔记在升级之前，我们建议您参考升级类型《Cisco Unity Connection 版本 14 安装、升级和维护指南》的“升级 Cisco Unity Connection”一章的部分可从以下网址获取： https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/connection/14/install_upgrade/guide/b_14cuciumg.html.
IPSec策略	从以下位置迁移时，基于证书的 IPSec 策略将不起作用非 FIPS 到 FIPS，反之亦然。从非 FIPS 模式转移时执行以下操作到 FIPS，反之亦然。如果您有基于证书的 IPSec 策略然后它处于启用状态： 1. 在迁移到 FIPS 或 Vice 之前禁用 IPSec 策略反之亦然。 2.重新认证证书并更换新证书转移到 FIPS 模式后，反之亦然。 3. 启用IPSec 策略。

文件/资源

	CISCO 版本 14 Unity 连接 [pdf] 用户指南版本 14 Unity 连接，版本 14，Unity 连接，连接
	CISCO 版本 14 Unity 连接 [pdf] 用户指南版本 14 Unity 连接、Unity 连接、连接