CHAPTER
48
Cisco Unified Mobility の設定
この章では、Cisco Unified Communications プロキシ機能向けに適応型セキュリティ アプライアンス
を設定する方法について説明します。
この章には、次の項があります。
• 「Cisco Unified Mobility に関する情報」（P.48-1）
• 「Cisco Unified Mobility 機能のライセンス」（P.48-6）
• 「Cisco Unified Mobility の設定」（P.48-7）
• 「Cisco Unified Mobility の監視」（P.48-11）
• 「Cisco Unified Mobility の設定例」（P.48-12）
• 「Cisco Unified Mobility の機能履歴」（P.48-15）
Cisco Unified Mobility に関する情報
ここでは、次の項目について説明します。
• 「Cisco Unified Mobility 機能」（P.48-1）
• 「モビリティ プロキシの導入シナリオ」（P.48-2）
• 「Cisco UMA の導入の信頼関係」（P.48-5）
Cisco Unified Mobility 機能
Cisco Unified Mobility ソリューション向けの Cisco UMA をサポートするために、モビリティ プロキ
シ（TLS プロキシとして実装）には次の機能が含まれます。
• クライアントとのハンドシェイク中にクライアントの認証を許可しない機能
• サーバにインポートされた PKCS-12 証明書をプロキシの証明書として許可する機能
適応型セキュリティ アプライアンスには、Cisco UMA Mobile Multiplexing Protocol（MMP; モバイル
多重化プロトコル）を検証するための検査エンジンが含まれます。
MMP は、Cisco UMA クライアントとサーバとの間でデータ エントリを送信するための転送プロトコ
ルです。図 48-1 に示すように、MMP はコネクション型プロトコル（基礎となる転送）の上で実行す
る必要があり、TLS などのセキュアな転送プロトコルの上で実行することを意図しています。Orative
Markup Language（OML）プロトコルは、データの同期を目的とした MMP に加えて、大規模なファ
イルのアップロードとダウンロードのための HTTP プロトコルの上で実行することを意図しています。
Cisco ASA 5500 シリーズ コンフィギュレーション ガイド（CLI を使用）
OL-18970-01-J
48-1
第 48 章
Cisco Unified Mobility の設定
Cisco Unified Mobility に関する情報
図 48-1
OML
MMP スタック
HTTP
etc.
MMP
TLS/SSL
IP
271645
TCP
TCP/TLS のデフォルト ポートは 5443 です。埋め込まれた NAT やセカンダリ接続はありません。
Cisco UMA クライアントおよびサーバ通信は TLS を通じてプロキシ処理ができます。ここで、データ
を復号化して検査 MMP モジュールに渡し、エンドポイントに転送する前にデータを再暗号化します。
検査 MMP モジュールは MMP ヘッダーの整合性を確認し、OML/HTTP を適切なハンドラに渡します。
適応型セキュリティ アプライアンスは、MMP ヘッダーおよびデータで次のアクションを実行します。
• クライアント MMP ヘッダーの形式が適切であることを確認します。間違った形式のヘッダーを検
出すると、TCP セッションは終了します。
• クライアントからサーバへの MMP ヘッダーの長さを超えていないことを確認します。MMP ヘッ
ダーの長さを超えている場合は（4096）、TCP セッションは終了します。
• クライアントからサーバへの MMP コンテンツの長さを超えていないことを確認します。エンティ
ティのコンテンツの長さを超えている場合は（4096）、TCP セッションは終了します。
（注）
4096 は、MMP の実装で現在使用されている値です。
MMP ヘッダーとエンティティはパケット間で分割できるため、適応型セキュリティ アプライアンスは
データをバッファリングして、検査の一貫性を確保します。Stream API（SAPI; ストリーム API）は、
保留中の検査を実行できるようにデータのバッファリングを処理します。MMP ヘッダー テキストは大
文字と小文字を区別しないものとして処理されます。ヘッダー テキストと値の間にスペースが入りま
す。MMP の状態の再要求は、TCP 接続の状態を監視することによって実行されます。
モビリティ プロキシの導入シナリオ
図 48-2 と図 48-3 に、Cisco Unified Mobility ソリューションによって使用される TLS プロキシの 2 つ
の導入シナリオを示します。シナリオ 1（推奨される導入アーキテクチャ）では、適応型セキュリティ
アプライアンスはファイアウォールと TLS プロキシの両方として機能します。シナリオ 2 では、適応
型セキュリティ アプライアンスは TLS プロキシとしてだけ機能し、既存のファイアウォールを使用し
ます。いずれのシナリオでも、クライアントはインターネットから接続されます。
シナリオ 1 の導入では、適応型セキュリティ アプライアンスは Cisco UMA クライアントと Cisco
UMA サーバの間にあります。Cisco UMA クライアントは、個々のスマートフォンにダウンロードさ
れる実行可能ファイルです。Cisco UMA クライアント アプリケーションは、企業の Cisco UMA サー
バに対するデータ接続（TLS 接続）を確立します。適応型セキュリティ アプライアンスは通信を代行
受信し、クライアントが Cisco UMA サーバに送信するデータを検査します。
（注）
Cisco Unified Mobility ソリューションの TLS プロキシは、Cisco UMA クライアントが証明書を提供
できないため、クライアント認証をサポートしません。次のコマンドを使用して、TLS ハンドシェイ
ク中の認証をディセーブルにできます。
Cisco ASA 5500 シリーズ コンフィギュレーション ガイド（CLI を使用）
48-2
OL-18970-01-J
第 48 章
Cisco Unified Mobility の設定
Cisco Unified Mobility に関する情報
hostname(config)#
tls-proxy my_proxy
no server authenticate-client
hostname(config-tlsp)#
図 48-2
モビリティ プロキシと MMP 検査を使用したファイアウォールとして機能するセキュリティ ア
プライアンス
ࡈࠔࠗࠕ࠙ࠜ࡯࡞
ડᬺౝⅣႺ
ࡕࡃࠗ࡞ ࠺࡯࠲
ࡀ࠶࠻ࡢ࡯ࠢ㧔GPRS
࠺࡯࠲ ࠴ࡖࡀ࡞㧕
MMP/SSL/TLS
ࡀ࠶࠻ࡢ࡯ࠢ㧦
10.1.1.0/24
IP ࠕ࠼࡟ࠬ㧦
10.1.1.2
ࡐ࡯࠻㧦5443
Active Directory ߩ
Time-range
Exchange
Cisco Unified
Presence
TLS ࡊࡠࠠࠪ૶↪ߩ
ASA
MMP/SSL/TLS
PSTN
㖸ჿ࠴ࡖࡀ࡞
Cisco UMA
ࡀ࠶࠻ࡢ࡯ࠢ㧦 ࠨ࡯ࡃ
10.1.1.0/24
IP ࠕ࠼࡟ࠬ㧦
10.1.1.1
ࡏࠗࠬ ࡔ࡯࡞
MP
ળ⼏
M
271641
Cisco UMC ࠢ࡜ࠗࠕࡦ࠻
ࡎࠬ࠻ฬ㧦
bad.example.com
ࡀ࠶࠻ࡢ࡯ࠢ㧦192.0.2.0/24
IP ࠕ࠼࡟ࠬ㧦192.0.2.140
ࡐ࡯࠻㧦5443
Cisco UCM
図 48-2 では、適応型セキュリティ アプライアンスは Cisco UMA サーバの 10.1.1.2 IP アドレスを
192.0.2.140 に変換することで、スタティック NAT を実行しています。
図 48-3 に導入シナリオ 2 を示します。ここでは、適応型セキュリティ アプライアンスが TLS プロキシ
としてだけ機能し、企業ファイアウォールとしては機能しません。このシナリオでは、適応型セキュリ
ティ アプライアンスと企業ファイアウォールは NAT を実行しています。企業ファイアウォールは、イ
ンターネットのどのクライアントを企業の Cisco UMA サーバに接続する必要があるのかを予測できま
せん。したがって、この導入をサポートするために、次のアクションを実行することができます。
• 宛先 IP アドレス 192.0.2.41 を 172.16.27.41 に変換する着信トラフィックの NAT 規則を設定しま
す。
• すべてのパケットの送信元 IP アドレスを変換する着信トラフィックのインターフェイス PAT 規則
を設定し、企業ファイウォールがワイルドカード ピンホールを開く必要がないようにします。
Cisco UMA サーバは送信元 IP アドレスが 192.0.12.183 のパケットを受信します。
hostname(config)# nat (outside) 1 0.0.0.0 0.0.0.0 outside
hostname(config)# global (inside) 1 192.0.2.183 netmask 255.255.255.255
（注）
このインターフェイス PAT 規則では、別の送信元ポートを使用して、適応型セキュリティ ア
プライアンスの外部インターフェイスの Cisco UMA クライアントの IP アドレスを、内部イン
ターフェイスの 1 つの IP アドレスに収束します。このアクションは、多くの場合「外部 PAT」
と呼ばれます。
「外部 PAT」は、Cisco Unified Mobility の TLS プロキシが、フォン プロキシ、
Cisco Unified Presence、またはアプリケーション検査が必要なその他の機能を持つ適応型セ
キュリティ アプライアンスの同じインターフェイス上でイネーブルになっている場合にはお勧
めしません。「外部 PAT」は、埋め込みアドレスの変換が必要な場合には、アプリケーション
検査によって完全にサポートされるわけではありません。
Cisco ASA 5500 シリーズ コンフィギュレーション ガイド（CLI を使用）
OL-18970-01-J
48-3
第 48 章
Cisco Unified Mobility の設定
Cisco Unified Mobility に関する情報
図 48-3
Cisco UMC/Cisco UMA のアーキテクチャ – シナリオ 2：モビリティ プロキシとしてだけ機能
するセキュリティ アプライアンス
cuma.example.com߳ߩ
ࠢ࡜ࠗࠕࡦ࠻ធ⛯
(192.0.2.41)
Cisco UMC ࠢ࡜ࠗࠕࡦ࠻
ࠗࡦ࠲࡯ࡀ࠶࠻
ISP
ࠥ࡯࠻࠙ࠚࠗ
ડᬺ
ࡈࠔࠗࠕ࠙ࠜ࡯࡞
ౝㇱࡀ࠶࠻ࡢ࡯ࠢ
DMZ
IP ࠕ࠼࡟ࠬ㧦
172.16.27.41
㧔DMZ ࡞࡯࠹ࠖࡦࠣน⢻㧕
192.0.2.41/24
ᄖㇱ
192.0.2.182/24
ౝㇱ
eth0
Cisco UMA
M
TLS ࡊࡠࠠࠪ૶↪ߩ
ASA
Active
࠺ࠖ࡟ࠢ࠻࡝
Cisco UCM
MP
Exchange
ࡏࠗࠬ ࡔ࡯࡞
271642
Cisco Unified
Presence
ળ⼏
ડᬺࡀ࠶࠻ࡢ࡯ࠢ
NAT/PAT を使用したモビリティ プロキシ
いずれのシナリオ（図 48-2 および図 48-3）でも、NAT を使用して Cisco UMA サーバのプライベート
アドレスを隠蔽できます。
シナリオ 2（図 48-3）では、PAT を使用して、すべてのクライアント トラフィックを 1 つの送信元 IP
に収束し、ファイアウォールが着信トラフィックのためにワイルドカード ピンホールを開く必要がな
いようにします。
hostname(config)# access-list cumc extended permit tcp any host 172.16.27.41 eq 5443
もう一方のシナリオの場合
hostname(config)# access-list cumc extended permit tcp host 192.0.2.183 host 172.16.27.41
eq 5443
Cisco ASA 5500 シリーズ コンフィギュレーション ガイド（CLI を使用）
48-4
OL-18970-01-J
第 48 章
Cisco Unified Mobility の設定
Cisco Unified Mobility に関する情報
Cisco UMA の導入の信頼関係
Cisco UMC クライアントと適応型セキュリティ アプライアンスとの間に信頼関係を確立するために、
適応型セキュリティ アプライアンスは Cisco UMA サーバの証明書とキー ペアを使用します。または、
適応型セキュリティ アプライアンスは Cisco UMA サーバ FQDN を使用して証明書を取得します（証
明書偽装）。適応型セキュリティ アプライアンスと Cisco UMA サーバとの間では、適応型セキュリ
ティ アプライアンスと Cisco UMA サーバは、自己署名証明書またはローカル認証局が発行した証明書
を使用します。
図 48-4 に、Cisco UMA サーバの証明書を適応型セキュリティ アプライアンスにインポートする方法
を示します。Cisco UMA サーバが第三者 CA にすでに登録している場合は、秘密キーを使用して適応
型セキュリティ アプライアンスに証明書をインポートできます。これで、適応型セキュリティ アプラ
イアンスは Cisco UMA サーバの完全なクレデンシャルを持つことになります。Cisco UMA クライア
ントが Cisco UMA サーバに接続すると、適応型セキュリティ アプライアンスはハンドシェイクを代理
受信し、Cisco UMA サーバの証明書を使用して、クライアントとのハンドシェイクを実行します。適
応型セキュリティ アプライアンスは、サーバとのハンドシェイクも行います。
図 48-4
セキュリティ アプライアンスが Cisco UMA を表す方法 – 秘密キーの共有
ࠨ࡯࠼ ࡄ࡯࠹ࠖ⵾ CA
⹺⸽ዪ
Cisco UMA ߩ
FQDN ߦ⊓㍳
⹺⸽
ASA
Cisco UMA
271643
ࠗࡦ࠲࡯ࡀ࠶࠻
Cisco UMC ࠢ࡜ࠗࠕࡦ࠻
⒁ኒࠠ࡯ࠍ૶↪ߒߚ
⸽᣿ᦠ
TLS㧔⥄Ꮖ⟑ฬ‫ޔ‬
TLS㧔Cisco UMA ⸽᣿ᦠ㧕
ࠠ࡯ 1
ᬌᩏ߅ࠃ߮
߹ߚߪࡠ࡯ࠞ࡞ CA ߆ࠄ㧕
ᄌᦝᷣߺ
ࠠ࡯ 2
㧔ᔅⷐߦᔕߓߡ㧕
図 48-5 に、信頼関係を確立する別の方法を示します。導入に関わる各コンポーネントが新たにインス
トールされているため、図 48-5 は新しい場所への導入を示しています。適応型セキュリティ アプライ
アンスは、適応型セキュリティ アプライアンスが Cisco UMA サーバであるかのように、Cisco UMA
サーバ FQDN を使用して第三者 CA に登録します。Cisco UMA クライアントが適応型セキュリティ ア
プライアンスに接続すると、適応型セキュリティ アプライアンスは、Cisco UMA サーバ FQDN を持
つ証明書を示します。Cisco UMA クライアントは、通信相手が Cisco UMA サーバであるものと信じ
ています。
Cisco ASA 5500 シリーズ コンフィギュレーション ガイド（CLI を使用）
OL-18970-01-J
48-5
第 48 章
Cisco Unified Mobility の設定
Cisco Unified Mobility 機能のライセンス
図 48-5
セキュリティ アプライアンスが Cisco UMA を示す方法 – 証明書の偽装
ࠨ࡯࠼ ࡄ࡯࠹ࠖ⵾ CA
⹺⸽ዪ
Cisco UMA ߩ
FQDN ߦ⊓㍳
⸽᣿ᦠ
Cisco UMA
271644
ASA
ࠗࡦ࠲࡯ࡀ࠶࠻
Cisco UMC ࠢ࡜ࠗࠕࡦ࠻
TLS㧔⥄Ꮖ⟑ฬ‫ޔ‬
ᬌᩏ߅ࠃ߮
߹ߚߪࡠ࡯ࠞ࡞ CA ߆ࠄ㧕
ᄌᦝᷣߺ
ࠠ࡯ 2
㧔ᔅⷐߦᔕߓߡ㧕
TLS㧔Cisco UMA FQDN ࠍᜬߟ ASA ⸽᣿ᦠ㧕
ࠠ࡯ 1
適応型セキュリティ アプライアンスと Cisco UMA サーバの間の信頼関係は、自己署名証明書を使用し
て確立できます。適応型セキュリティ アプライアンスの ID 証明書はエクスポートされ、Cisco UMA
サーバのトラストストアにアップロードされます。Cisco UMA サーバの証明書がダウンロードされて、
トラストポイントを作成し、crypto ca authenticate コマンドを使用することにより、適応型セキュリ
ティ アプライアンスのトラストストアにアップロードされます。
Cisco Unified Mobility 機能のライセンス
適応型セキュリティ アプライアンスでサポートされる Cisco Unified Mobility 機能には、Unified
Communications Proxy ライセンスが必要です。
Cisco Unified Mobility 機能は、TLS セッションによってライセンスされます。モビリティ プロキシの
場合、各エンドポイントは 1 つの Unified Communications Proxy セッションを利用します。
表 48-1 に、Unified Communications Proxy ライセンス詳細をプラットフォーム別に示します。
表 48-1
セキュリティ アプライアンスのライセンス要件
セキュリティ アプ
ライアンス プラッ
トフォーム
最大 UC Proxy ライセ
ンス
ASA 5505
24
UC Proxy ライセンスの段階
24
ASA 5510
100
24, 50, 100
ASA 5520
1,000
24, 50, 100, 250, 500, 750, 1000
ASA 5540
2,000
24, 50, 100, 250, 500, 750, 1000, 2000
ASA 5550
3,000
24, 50, 100, 250, 500, 750, 1000, 2000, 3000
Cisco ASA 5500 シリーズ コンフィギュレーション ガイド（CLI を使用）
48-6
OL-18970-01-J
第 48 章
Cisco Unified Mobility の設定
Cisco Unified Mobility の設定
Unified Communications Proxy ライセンスは、activation-key コマンドを使用して、他のライセンス
機能（SSL VPN など）と同様に適用します。適応型セキュリティ アプライアンスでライセンスを確認
するには、show version コマンドまたは show activation-key コマンドを次のように使用します。
hostname# show activation-key
Serial Number: P3000000179
Running Activation Key: 0xa700d24c 0x98caab35 0x88038550 0xaf383078 0x02382080
Licensed features for this platform:
Maximum Physical Interfaces : Unlimited
Maximum VLANs
: 150
Inside Hosts
: Unlimited
Failover
: Active/Active
VPN-DES
: Enabled
VPN-3DES-AES
: Enabled
Security Contexts
: 10
GTP/GPRS
: Enabled
VPN Peers
: 750
WebVPN Peers
: 750
AnyConnect for Mobile
: Disabled
AnyConnect for Linksys phone : Disabled
Advanced Endpoint Assessment : Enabled
UC Proxy Sessions
: 1000
This platform has an ASA 5520 VPN Plus license.
The flash activation key is the SAME as the running key.
hostname#
ライセンスの追加情報については、次のリンクを参照してください。Cisco.com の登録ユーザの場合、
Unified Communications Proxy ライセンスを入手するには、次の Web サイトにアクセスしてください。
http://www.cisco.com/go/license
Cisco.com の登録ユーザでない場合は、次の Web サイトにアクセスしてください。
https://tools.cisco.com/SWIFT/Licensing/RegistrationServlet
姓名、電子メール アドレス、および show version コマンド出力で表示される適応型セキュリティ アプ
ライアンスのシリアル番号を入力してください。
Cisco Unified Mobility の設定
この項は、次の内容で構成されています。
• 「Cisco Unified Mobility の設定のタスク フロー」（P.48-7）
• 「Cisco UMA サーバの証明書のインストール」（P.48-8）
• 「TLS プロキシ インスタンスの作成」（P.48-9）
• 「MMP 検査での TLS プロキシのイネーブル化」（P.48-10）
Cisco Unified Mobility の設定のタスク フロー
図 48-2 と図 48-3 に示すように、TLS プロキシと MMP 検査を実行するように適応型セキュリティ ア
プライアンスを設定するには、次のタスクを実行します。
適応型セキュリティ アプライアンスと Cisco UMA サーバの間で自己署名証明書を使用するものと仮定
します。
Cisco ASA 5500 シリーズ コンフィギュレーション ガイド（CLI を使用）
OL-18970-01-J
48-7
第 48 章
Cisco Unified Mobility の設定
Cisco Unified Mobility の設定
前提条件
適応型セキュリティ アプライアンスにインポートできるように、Cisco UMA サーバの証明書とキー ペ
アを PKCS-12 形式でエクスポートします。証明書は、Cisco UMA クライアントとのハンドシェイク
中に使用されます。
ステップ 1
次のコマンドを入力し、Cisco UMA サーバのスタティック NAT を作成します。
hostname(config)# static (real_ifc,mapped_ifc) mapped_ip real_ip netmask mask
ステップ 2
次のコマンドを入力し、Cisco UMA サーバの証明書を適応型セキュリティ アプライアンスにインポー
トします。
hostname(config)# crypto ca import trustpoint pkcs12 passphrase
[paste base 64 encoded pkcs12]
hostname(config)# quit
ステップ 3
Cisco UMA サーバの証明書を適応型セキュリティ アプライアンスにインストールします。「Cisco
UMA サーバの証明書のインストール」（P.48-8）を参照してください。
ステップ 4
Cisco UMA サーバに接続している Cisco UMA クライアントの TLS プロキシ インスタンスを作成しま
す。「TLS プロキシ インスタンスの作成」（P.48-9）を参照してください。
ステップ 5
MMP 検査で TLS プロキシをイネーブルにします。「MMP 検査での TLS プロキシのイネーブル化」
（P.48-10）を参照してください。
Cisco UMA サーバの証明書のインストール
Cisco UMA サーバの自己署名証明書を適応型セキュリティ アプライアンスのトラストストアにインス
トールします。このタスクは、適応型セキュリティ アプライアンス プロキシと Cisco UMA サーバと
の間のハンドシェイク中に適応型セキュリティ アプライアンスが Cisco UMA サーバを認証するために
必要です。
前提条件
適応型セキュリティ アプライアンスにインポートできるように、Cisco UMA サーバの証明書とキー ペ
アを PKCS-12 形式でエクスポートします。
コマンド
ステップ 1 hostname(config)# crypto ca trustpoint
trustpoint_name
例:
hostname(config)# crypto ca trustpoint cuma_server
目的
Cisco UMA サーバのトラストポイントを作成する
には、指定したトラストポイントのトラストポイン
ト コンフィギュレーション モードに入ります。
トラストポイントは、CA が発行する証明書に基づ
いた CA のアイデンティティとデバイスのアイデン
ティティを表します。
ステップ 2 hostname(config-ca-trustpoint)# enrollment terminal
このトラストポイントで使用するカット アンド
ペースト登録（手動登録）を指定します。
Cisco ASA 5500 シリーズ コンフィギュレーション ガイド（CLI を使用）
48-8
OL-18970-01-J
第 48 章
Cisco Unified Mobility の設定
Cisco Unified Mobility の設定
コマンド
目的
ステップ 3 hostname(config-ca-trustpoint)# exit
CA トラストポイント コンフィギュレーション モー
ドを終了します。
ステップ 4 hostname(config)# crypto ca authenticate trustpoint
Cisco UMA サーバに作成したトラストポイントと
関連付けられている CA 証明書をインストールし、
例:
hostname(config)# crypto ca authenticate cuma_server
Enter the base 64 encoded CA certificate.
End with a blank line or the word "quit" on a line
by itself
[ certificate data omitted ]
Certificate has the following attributes:
Fingerprint: 21B598D5 4A81F3E5 0B24D12E 3F89C2E4
% Do you accept this certificate? [yes/no]: yes
Trustpoint CA certificate accepted.
% Certificate successfully imported
hostname(config)#
認証します。
trustpoint には、CA 証明書を取得するトラストポイ
ントを指定します。名前の最大長は 128 文字です。
適応型セキュリティ アプライアンスは、base-64 形
式で CA 証明書を端末に貼り付けることを求めるプ
ロンプトを表示します。
次の作業
トラストポイントを作成し、Cisco UMA 証明書を適応型セキュリティ アプライアンスにインストール
したら、TLS プロキシ インスタンスを作成します。「TLS プロキシ インスタンスの作成」（P.48-9）を
参照してください。
TLS プロキシ インスタンスの作成
Cisco UMA サーバに接続している Cisco UMA クライアントの TLS プロキシ インスタンスを作成しま
す。
前提条件
TLS プロキシ インスタンスを作成する前に、Cisco UMA サーバの自己署名証明書を適応型セキュリ
ティ アプライアンスのトラストストアにインストールしている必要があります。
コマンド
目的
ステップ 1 hostname(config)# tls-proxy proxy_name
例:
tls-proxy cuma_tlsproxy
ステップ 2 hostname(config-tlsp)# server trust-point proxy_name
例:
hostname(config-tlsp)# server trust-point cuma_proxy
TLS プロキシ インスタンスを作成します。
TLS ハンドシェイク中に提示されるプロキシ トラ
ストポイント証明書を指定します。
証明書は、適応型セキュリティ アプライアンスが
所有している必要があります（ID 証明書）。
ステップ 3 hostname(config-tlsp)# client trust-point proxy_name
例:
hostname(config-tlsp)# client trust-point cuma_proxy
適応型セキュリティ アプライアンスが TLS クライ
アントの役割と見なす場合に、適応型セキュリティ
アプライアンスが TLS ハンドシェイクで使用する
トラストポイントおよび関連付けられた証明書を指
定します。
証明書は、適応型セキュリティ アプライアンスが
所有している必要があります（ID 証明書）。
Cisco ASA 5500 シリーズ コンフィギュレーション ガイド（CLI を使用）
OL-18970-01-J
48-9
第 48 章
Cisco Unified Mobility の設定
Cisco Unified Mobility の設定
コマンド
目的
ステップ 4 hostname(config-tlsp)# no server authenticate-client
クライアント認証をディセーブルにします。
TLS クライアント認証のディセーブル化は、適応型
セキュリティ アプライアンスが Cisco UMA クライ
アントや、クライアント証明書を送信できない
Web ブラウザなどのクライアントと相互運用する
場合に必要になります。
ステップ 5 hostname(config-tlsp)# client cipher-suite
cipher_suite
例:
hostname(config-tlsp)# client cipher-suite
aes128-sha1 aes256-sha1
暗号スイートの設定を指定します。
クライアント プロキシ（サーバに対して TLS クラ
イアントとして機能するプロキシ）の場合、ユーザ
定義の暗号スイートによってデフォルトの暗号ス
イートが置き換えられます。
次の作業
TLS プロキシ インスタンスを作成したら、そのインスタンスを MMP 検査でイネーブルにします。
「MMP 検査での TLS プロキシのイネーブル化」（P.48-10）を参照してください。
MMP 検査での TLS プロキシのイネーブル化
Cisco UMA クライアントおよびサーバ通信は TLS を通じてプロキシ処理ができます。ここで、データ
を復号化して検査 MMP モジュールに渡し、エンドポイントに転送する前にデータを再暗号化します。
検査 MMP モジュールは MMP ヘッダーの整合性を確認し、OML/HTTP を適切なハンドラに渡しま
す。
コマンド
ステップ 1 hostname(config)# class-map class_map_name
例:
hostname(config)# class-map cuma_tlsproxy
目的
検査するトラフィックのクラスを設定します。
Cisco UMA サーバとクライアントの間のトラ
フィックは MMP を使用し、MMP 検査で処理され
ます。
class_map_name には、MMP クラスマップの名前
を指定します。
ステップ 2 hostname(config-cmap)# match port tcp eq port
例:
hostname(config-cmap)# match port tcp eq 5443
MMP 検査のアクションを適用する TCP ポートを
照合します。
MMP 検査の TCP/TLS のデフォルト ポートは 5443
です。
ステップ 3 hostname(config-cmap)# exit
クラスマップ コンフィギュレーション モードを終
了します。
ステップ 4 hostname(config)# policy-map name
ポリシーマップを設定し、アクションをトラフィッ
ク クラスに関連付けます。
例:
hostname(config)# policy-map global_policy
ステップ 5 hostname(config-pmap)# class classmap-name
例:
hostname(config-pmap)# class cuma_proxy
クラスマップ トラフィックにアクションを割り当
てることができるように、クラスマップをポリシー
マップに割り当てます。
classmap_name には、Skinny クラスマップの名前
を指定します。
Cisco ASA 5500 シリーズ コンフィギュレーション ガイド（CLI を使用）
48-10
OL-18970-01-J
第 48 章
Cisco Unified Mobility の設定
Cisco Unified Mobility の監視
コマンド
目的
ステップ 6 hostname(config-pmap)# inspect mmp tls-proxy
proxy_name
例:
hostname(config-pmap)# inspect mmp tls-proxy
cuma_proxy
SCCP（Skinny）アプリケーション検査をイネーブ
ルにし、指定した検査セッションに対して Phone
Proxy をイネーブルにします。
ステップ 7 hostname(config-pmap)# exit
ポリシーマップ コンフィギュレーション モードを
終了します。
ステップ 8 hostname(config)# service-policy policy_map_name
すべてのインターフェイスでサービス ポリシーを
イネーブルにします。
global
例:
service-policy global_policy global
Cisco Unified Mobility の監視
モビリティ プロキシは、IP テレフォニーと同様にデバッグできます TLS プロキシ接続の問題をデバッ
グするために、SSL の syslog とともに TLS プロキシのデバッグ フラグをイネーブルにできます。
たとえば、TLS プロキシ関連のデバッグと syslog 出力だけをイネーブルにするには、次のコマンドを
使用します。
hostname# debug inspect tls-proxy events
hostname# debug inspect tls-proxy errors
hostname# config terminal
hostname(config)# logging enable
hostname(config)# logging timestamp
hostname(config)# logging list loglist message 711001
hostname(config)# logging list loglist message 725001-725014
hostname(config)# logging list loglist message 717001-717038
hostname(config)# logging buffer-size 1000000
hostname(config)# logging buffered loglist
hostname(config)# logging debug-trace
TLS プロキシのデバッグ方法および出力例については、「TLS プロキシの監視」（P.47-14）を参照して
ください。
MMP 検査エンジンのデバッグを行うには、debug mmp コマンドをイネーブルにします。
MMP::
MMP::
MMP::
MMP::
MMP::
MMP::
MMP::
MMP::
MMP::
MMP::
received 60 bytes from outside:1.1.1.1/2000 to inside:2.2.2.2/5443
version OLWP-2.0
forward 60/60 bytes from outside:1.1.1.1/2000 to inside:2.2.2.2/5443
received 100 bytes from inside:2.2.2.2/5443 to outside:1.1.1.1/2000
session-id: ABCD_1234
status: 201
forward 100/100 bytes from inside:2.2.2.2/5443 to outside 1.1.1.1/2000
received 80 bytes from outside:1.1.1.1/2000 to inside:2.2.2.2/5443
content-type: http/1.1
content-length: 40
次のコマンドを入力して、未加工のデータおよび復号化されたデータを TLS プロキシでキャプチャす
ることもできます。
hostname#
hostname#
hostname#
hostname#
capture mycap interface outside (capturing raw packets)
capture mycap-dec type tls-proxy interface outside (capturing decrypted data)
show capture capture_name
copy /pcap capture:capture_name tftp://tftp_location
Cisco ASA 5500 シリーズ コンフィギュレーション ガイド（CLI を使用）
OL-18970-01-J
48-11
第 48 章
Cisco Unified Mobility の設定
Cisco Unified Mobility の設定例
Cisco Unified Mobility の設定例
• 「例 1：Cisco UMC/Cisco UMA のアーキテクチャ – TLS プロキシと MMP 検査を使用したファイ
アウォールとして機能するセキュリティ アプライアンス」（P.48-12）
• 「例 2：Cisco UMC/Cisco UMA のアーキテクチャ – TLS プロキシとしてだけ機能するセキュリ
ティ アプライアンス」（P.48-13）
この項では、Cisco Unified Mobility ソリューションによって使用される TLS プロキシの 2 つの導入シ
ナリオに適用される設定例について説明します。シナリオ 1 では、適応型セキュリティ アプライアン
スはファイアウォールと TLS プロキシの両方として機能し、シナリオ 2 では、適応型セキュリティ ア
プライアンスは TLS プロキシとしてだけ機能します。いずれのシナリオでも、クライアントはイン
ターネットから接続されます。
この例では、Cisco UMA サーバの証明書とキー ペアを PKCS-12 形式でエクスポートし、適応型セ
キュリティ アプライアンスにインポートします。証明書は、Cisco UMA クライアントとのハンドシェ
イク中に使用されます。
Cisco UMA サーバの自己署名証明書を適応型セキュリティ アプライアンスのトラストストアにインス
トールする操作は、適応型セキュリティ アプライアンス プロキシと Cisco UMA サーバとの間のハン
ドシェイク中に適応型セキュリティ アプライアンスが Cisco UMA サーバを認証するために必要です。
Cisco UMA サーバに接続している Cisco UMA クライアントの TLS プロキシ インスタンスを作成しま
す。最後に、MMP 検査で TLS プロキシをイネーブルにする必要があります。
例 1：Cisco UMC/Cisco UMA のアーキテクチャ – TLS プロキシと MMP 検査を使用した
ファイアウォールとして機能するセキュリティ アプライアンス
図 48-6（シナリオ 1 — 推奨アーキテクチャ）に示すように、適応型セキュリティ アプライアンスは
ファイアウォールと TLS プロキシの両方として機能します。シナリオ 1 の導入では、適応型セキュリ
ティ アプライアンスは Cisco UMA クライアントと Cisco UMA サーバの間にあります。このシナリオ
では、適応型セキュリティ アプライアンスは Cisco UMA サーバの 10.1.1.2 IP アドレスを 192.0.2.140
に変換することで、スタティック NAT を実行しています。
Cisco ASA 5500 シリーズ コンフィギュレーション ガイド（CLI を使用）
48-12
OL-18970-01-J
第 48 章
Cisco Unified Mobility の設定
Cisco Unified Mobility の設定例
図 48-6
Cisco UMC/Cisco UMA のアーキテクチャ – シナリオ 1：TLS プロキシと MMP 検査を使用し
たファイアウォールとして機能するセキュリティ アプライアンス
ࡈࠔࠗࠕ࠙ࠜ࡯࡞
ડᬺౝⅣႺ
ࡕࡃࠗ࡞ ࠺࡯࠲
ࡀ࠶࠻ࡢ࡯ࠢ㧔GPRS
࠺࡯࠲ ࠴ࡖࡀ࡞㧕
ࡀ࠶࠻ࡢ࡯ࠢ㧦
10.1.1.0/24
IP ࠕ࠼࡟ࠬ㧦
10.1.1.2
Active Directory ߩ
Time-range
Exchange
ࡐ࡯࠻㧦5443
MMP/SSL/TLS
Cisco Unified
Presence
TLS ࡊࡠࠠࠪ૶↪ߩ
ASA
MMP/SSL/TLS
ࡐ࡯࠻㧦5443
PSTN
㖸ჿ࠴ࡖࡀ࡞
Cisco UMA
ࡀ࠶࠻ࡢ࡯ࠢ㧦 ࠨ࡯ࡃ
10.1.1.0/24
IP ࠕ࠼࡟ࠬ㧦
10.1.1.1
ࡏࠗࠬ ࡔ࡯࡞
MP
ળ⼏
M
271641
Cisco UMC ࠢ࡜ࠗࠕࡦ࠻
ࡎࠬ࠻ฬ㧦
bad.example.com
ࡀ࠶࠻ࡢ࡯ࠢ㧦192.0.2.0/24
IP ࠕ࠼࡟ࠬ㧦192.0.2.140
Cisco UCM
static (inside,outside) 192.0.2.140 10.1.1.2 netmask 255.255.255.255
crypto ca import cuma_proxy pkcs12 sample_passphrase
<cut-paste base 64 encoded pkcs12 here>
quit
! for CUMA server’s self-signed certificate
crypto ca trustpoint cuma_server
enrollment terminal
crypto ca authenticate cuma_server
Enter the base 64 encoded CA certificate.
End with a blank line or the word "quit" on a line by itself
MIIDRTCCAu+gAwIBAgIQKVcqP/KW74VP0NZzL+JbRTANBgkqhkiG9w0BAQUFADCB
[ certificate data omitted ]
/7QEM8izy0EOTSErKu7Nd76jwf5e4qttkQ==
quit
tls-proxy cuma_proxy
server trust-point cuma_proxy
no server authenticate-client
client cipher-suite aes128-sha1 aes256-sha1
class-map cuma_proxy
match port tcp eq 5443
policy-map global_policy
class cuma_proxy
inspect mmp tls-proxy cuma_proxy
service-policy global_policy global
例 2：Cisco UMC/Cisco UMA のアーキテクチャ – TLS プロキシとしてだけ機能するセキュ
リティ アプライアンス
図 48-7（シナリオ 2）に示すように、適応型セキュリティ アプライアンスは TLS プロキシとしてだけ
機能し、既存のファイアウォールを使用します。適応型セキュリティ アプライアンスと企業ファイア
ウォールが NAT を実行しています。企業ファイアウォールは、インターネットのどのクライアントを
企業の Cisco UMA サーバに接続する必要があるのかを予測できません。したがって、この導入をサ
ポートするために、次のアクションを実行することができます。
Cisco ASA 5500 シリーズ コンフィギュレーション ガイド（CLI を使用）
OL-18970-01-J
48-13
第 48 章
Cisco Unified Mobility の設定
Cisco Unified Mobility の設定例
• 宛先 IP アドレス 192.0.2.41 を 172.16.27.41 に変換する着信トラフィックの NAT 規則を設定しま
す。
• すべてのパケットの送信元 IP アドレスを変換する着信トラフィックのインターフェイス PAT 規則
を設定し、企業ファイウォールがワイルドカード ピンホールを開く必要がないようにします。
Cisco UMA サーバは送信元 IP アドレスが 67.11.12.183 のパケットを受信します。
hostname(config)# nat (outside) 1 0.0.0.0 0.0.0.0 outside
hostname(config)# global (inside) 1 192.0.2.183 netmask 255.255.255.255
図 48-7
Cisco UMC/Cisco UMA のアーキテクチャ – シナリオ 2：TLS プロキシとしてだけ機能するセ
キュリティ アプライアンス
cuma.example.com߳ߩ
ࠢ࡜ࠗࠕࡦ࠻ធ⛯
(192.0.2.41)
Cisco UMC ࠢ࡜ࠗࠕࡦ࠻
ࠗࡦ࠲࡯ࡀ࠶࠻
ISP
ࠥ࡯࠻࠙ࠚࠗ
ડᬺ
ࡈࠔࠗࠕ࠙ࠜ࡯࡞
ౝㇱࡀ࠶࠻ࡢ࡯ࠢ
DMZ
IP ࠕ࠼࡟ࠬ㧦
172.16.27.41
㧔DMZ ࡞࡯࠹ࠖࡦࠣน⢻㧕
192.0.2.41/24
ᄖㇱ
192.0.2.182/24
ౝㇱ
eth0
Cisco UMA
M
TLS ࡊࡠࠠࠪ૶↪ߩ
ASA
Active
࠺ࠖ࡟ࠢ࠻࡝
Cisco UCM
MP
Exchange
ࡏࠗࠬ ࡔ࡯࡞
271642
Cisco Unified
Presence
ળ⼏
ડᬺࡀ࠶࠻ࡢ࡯ࠢ
static (inside,outside) 192.0.2.140 172.16.27.41 netmask 255.255.255.255
nat (outside) 1 0.0.0.0 0.0.0.0 outside
global (inside) 1 192.0.2.183 netmask 255.255.255.255
crypto ca import cuma_proxy pkcs12 sample_passphrase
<cut-paste base 64 encoded pkcs12 here>
quit
! for CUMA server’s self-signed certificate
crypto ca trustpoint cuma_server
enrollment terminal
Cisco ASA 5500 シリーズ コンフィギュレーション ガイド（CLI を使用）
48-14
OL-18970-01-J
第 48 章
Cisco Unified Mobility の設定
Cisco Unified Mobility の機能履歴
crypto ca authenticate cuma_server
Enter the base 64 encoded CA certificate.
End with a blank line or the word "quit" on a line by itself
MIIDRTCCAu+gAwIBAgIQKVcqP/KW74VP0NZzL+JbRTANBgkqhkiG9w0BAQUFADCB
[ certificate data omitted ]
/7QEM8izy0EOTSErKu7Nd76jwf5e4qttkQ==
quit
tls-proxy cuma_proxy
server trust-point cuma_proxy
no server authenticate-client
client cipher-suite aes128-sha1 aes256-sha1
class-map cuma_proxy
match port tcp eq 5443
policy-map global_policy
class cuma_proxy
inspect mmp tls-proxy cuma_proxy
service-policy global_policy global
Cisco Unified Mobility の機能履歴
ここに情報を挿入
Cisco ASA 5500 シリーズ コンフィギュレーション ガイド（CLI を使用）
OL-18970-01-J
48-15
第 48 章
Cisco Unified Mobility の設定
Cisco Unified Mobility の機能履歴
Cisco ASA 5500 シリーズ コンフィギュレーション ガイド（CLI を使用）
48-16
OL-18970-01-J