Expresswayにおける DNS及び証明書のベストプラクティス

Expresswayにおける DNS及び証明書のベストプラクティス
CTU - Collaboration Expresswayにおける DNS及び証明書のベストプラクティスシスコシステムズ合同会社コラボレーションアーキテクチャ事業コラボレーションシステムズエンジニアリング部シニアシステムズエンジニア高山貴行 2016年7月21日

はじめに本セッションではExpresswayを用いた接続を構築するために証明書及びそれに関連するDNSのベストプラクティスについてお伝えします。対象はExpresswayを構築する予定がある、またはしたことがあるエンジニアを想定しています。本セッション終了後のゴールは以下の通りです。 Expresswayで用いられるDNS名とサーバ証明書、SSL/TLSの関係を理解し適切な設計、構築を行うことができる。 DNSサーバ Expressway-C Expressway-E 認証局

アジェンダ ExpresswayにおけるSSL証明書 TLS概要 Expressway 上での証明書チェック
相互TLS（Mutual TLS：MTLS）各シナリオにおける証明書 B2B, 複数DNSドメイン,複数ドメイン, MRA まとめ

証明書発行の流れ Certificate Signing Request（CSR), 認証局
CA（Certificate Authority) 認証局サーバFQDN / DNSドメイン Alternative Names キー長, ダイジェストアルゴリズム場所情報（国、地域）組織情報公開鍵確認 CSR CA 署名済み証明書 CAは証明書中に記載する内容を選択することが可能。なので、証明書にCSRに含まれているすべての情報が含まれるとは限らない。 5

SSL証明書の種類 SSL証明書は認証の厳格さ、コストにあわせて3種類存在するドメイン証明書企業証明書
EV（Extended Validation）証明書ドメイン使用権の認証 ○ 企業の実在証明企業の住所情報などの証明コスト低中高その他特徴ブラウザ側で対応していれば、アドレスバーに企業情報が緑バーで表示される（下図参照）

Cisco UCで使用する証明書標準的な証明書は単一のホストまたはドメインを認証する。
オプション証明書タイプドメイン認証企業認証 EV認証単一ホスト・ドメイン Yes UCC/Multiple SAN/cert (最大Xホスト・ドメイン) 複数サブドメイン：ワイルドカード証明書 No Cisco UCでサポート Cisco UCで未サポート標準的な証明書は単一のホストまたはドメインを認証する。複数のホストが同一ドメインやサブドメインで共有して利用する場合、認証局はワイルドカードを利用した証明書を提供する。ただし、シスコUCではワイルドカードは未サポート。複数のホスト、ドメイン、サブドメインなどを利用する場合、複数SANの記載された証明書は利用可能。 UCC＝Unified Communication Cirtificate マルチドメイン（UCC）SSL証明書

証明書の選択 MRAは複数SANに対応した証明書が必要
B2B, Spark HS, CMR Cloud/CMR Hybridでは複数のSANが必要な場合があるが、基本的には単一SANで動作可能。

証明書とドメインタイプドメインタイプと機能
サービスドメイン (DNS SRV): あるコラボレーションサービスを利用するホスト情報を提供するために使用 DNS ドメイン: ホスト名の右部分 FQDN=ホスト名+ DNS ドメイン例: host name=www, DNS domain=cisco.com SIP ドメイン: UCM ディレクトリ URI ドメインプレゼンスドメイン: JID（Jabber ID）で指定されるドメイン MRAを除いて、TLSのハンドシェークはDNSドメイン証明を証明書を用いて行います。

TLSの目的 2つのアプリケーション間においてプライバシーとデータ整合性を提供するのが目的。
TCPなどの信頼できるトランスポート上で利用する。上位のプロトコルをカプセル化用に利用（TLSレコードプロトコル）。 TLSハンドシェイクにより、上位アプリケーションがやりとりを開始する前に認証を行い、暗号化アルゴリズムや暗号鍵を交渉する。

TLS ハンドシェイク動作概要共通鍵は直接交換は行わない。マスターシックレットからセッションキーが生成される。
クライアントハロー能力値とクライント指定ランダム値クライアントによるチェック - 証明書の電子署名 - 証明書チェーン - 執行日時 - 証明書の執行状況 - ホスト名とCA/SANとの比較 <公開鍵> サーバハロー証明書の送付クライアントはプリマスターシークレットを生成しサーバに送る。その際の暗号化はサーバの公開鍵を利用する. 共通鍵は直接交換は行わない。マスターシックレットからセッションキーが生成される。クライアントとサーバは公開鍵を利用して通信を開始し、その後共通鍵を利用して通信を行う。クライアント側の証明書は不要。 How SSL and TLS provide authentication For server authentication, the client uses the server's public key to encrypt the data that is used to compute the secret key. The server can generate the secret key only if it can decrypt that data with the correct private key. For client authentication, the server uses the public key in the client certificate to decrypt the data the client sends during step 5 of the handshake. The exchange of finished messages that are encrypted with the secret key (steps 7 and 8 in the overview) confirms that authentication is complete. If any of the authentication steps fail, the handshake fails and the session terminates. The exchange of digital certificates during the SSLor TLS handshake is part of the authentication process. For more information about how certificates provide protection against impersonation, refer to the related information. The certificates required are as follows, where CA X issues the certificate to the SSL or TLS client, and CA Y issues the certificate to the SSL or TLS server: For server authentication only, the SSL or TLS server needs: The personal certificate issued to the server by CA Y The server's private key and the SSL or TLS client needs: The CA certificate for CA Y If the SSL or TLS server requires client authentication, the server verifies the client's identity by verifying the client's digital certificate with the public key for the CA that issued the personal certificate to the client, in this case CA X. For both server and client authentication, the server needs: The CA certificate for CA X and the client needs: The personal certificate issued to the client by CA X The client's private key Both the SSL or TLS server and client might need other CA certificates to form a certificate chain to the root CA certificate. For more information about certificate chains, refer to the related information. What happens during certificate verification As noted in steps 3 and 6 of the overview, the SSL or TLS client verifies the server's certificate, and the SSL or TLS server verifies the client's certificate. There are four aspects to this verification: The digital signature is checked (see Digital signatures in SSL and TLS). The certificate chain is checked you should have intermediate CA certificates (see How certificate chains work). The expiry and activation dates and the validity period are checked. The revocation status of the certificate is checked (see Working with revoked certificates). Secret key reset During an SSL or TLS handshake a secret key is generated to encrypt data between the SSL or TLS client and server. The secret key is used in a mathematical formula that is applied to the data to transform plaintext into unreadable ciphertext, and ciphertext into plaintext. The secret key is generated from the random text sent as part of the handshake and is used to encrypt plaintext into ciphertext. The secret key is also used in the MAC (Message Authentication Code) algorithm, which is used to determine whether a message has been altered. See Message digests and digital signatures for more information. If the secret key is discovered, the plaintext of a message could be deciphered from the ciphertext, or the message digest could be calculated, allowing messages to be altered without detection. Even for a complex algorithm, the plaintext can eventually be discovered by applying every possible mathematical transformation to the ciphertext. To minimize the amount of data that can be deciphered or altered if the secret key is broken, the secret key can be renegotiated periodically. When the secret key has been renegotiated, the previous secret key can no longer be used to decrypt data encrypted with the new secret key. How SSL and TLS provide confidentiality SSL and TLS use a combination of symmetric and asymmetric encryption to ensure message privacy. During the SSL or TLS handshake, the SSL or TLS client and server agree an encryption algorithm and a shared secret key to be used for one session only. All messages transmitted between the SSL or TLS client and server are encrypted using that algorithm and key, ensuring that the message remains private even if it is intercepted. SSL supports a wide range of cryptographic algorithms. Because SSL and TLS use asymmetric encryption when transporting the shared secret key, there is no key distribution problem. For more information about encryption techniques, refer to Cryptography. How SSL and TLS provide integrity SSL and TLS provide data integrity by calculating a message digest. For more information, see Data integrity of messages. Use of SSL or TLS does ensure data integrity, provided that the CipherSpec in your channel definition uses a hash algorithm as described in the table in Specifying CipherSpecs. In particular, if data integrity is a concern, you should avoid choosing a CipherSpec whose hash algorithm is listed as "None". Use of MD5 is also strongly discouraged as this is now very old and no longer secure for most practical purposes.

TLSネゴシエーション中の証明書チェック
ユーザ入力: or wonderfulwebsite.com wonderfulwebsite.com 1 CN= SAN=wonderfulwebsite.com Signed by: PublicCA.example.com <Public Key> 2 クライアントは証明書の有効性をチェック(電子署名、証明書チェーン、失効日時、失効状況)。クライアントはホスト名がCNまたはSANとマッチするかどうかをチェックする。 TLSの検証はFQDNベースで実施クライアントは信頼する認証局から証明書が署名されているかを確認。サーバ証明書に署名しているCAの証明書はクライアント側の信頼リストに入っている必要がある。

例ホスト名とCN/SANがマッチホスト名とCN/SANがマッチしない www.google.com (IPアドレス
) ホスト名とCN/SANがマッチホスト名とCN/SANがマッチしない

証明書チェックの違いブラウザはホスト名をSAN/CNとマッチするかをチェックする。証明書は公的な認証局によって署名されている必要がある。
ExpresswayではTLSのチェックはオプションであり、設定（TLS verify mode）を有効にする。 TLS verify mode はTLSを利用するかどうかとは別の設定項目。結果として、TLS確認を実施しない場合、自己証明書を利用したTLSが利用可能。

TLS verify 設定を“Off” Peer1 certifcate SAN: X509v3 Subject Alternative Name: DNS:example.com, DNS:expe.example.com TLS verify mode 設定が “Off”の場合、Expresswayはホスト名がただしく証明書に署名してあるかをチェックしない。 IPアドレスが利用可能。 IPアドレスは対向ExpresswayのSANに含まれていないことに注意。

TLS verification設定を”on” DNSゾーンでの例
DNS Zone (outbound) 1 クライアントハロー TLS verify 設定を“On”にすると、 verify subject name とCN/SANがマッチするか、署名している認証局はどこかをチェックする。 expe.example.com host.mypreferredpartner.com 3 証明書チェック <Public Key> ExpE Cert host.mypreferredpartner.co m Third-party Edge 2 サーバハロー

信頼済み CA PCやその他のクライアントは多くのCA証明書を初期から入れているケースが多い。
Expressway-C/EはCA証明書を持っていない。これは管理者側いれる必要がある。プライベートルートCA 公的ルートCA (subject==Issuer：証明対象と発行者が同一) 中間CA (subject <> Issuer：証明対象と発行者が違う)

中間証明書クライアントの多くはルートCAの証明書をもつが、中間CAの証明書は持っていない。
サーバはルートCA、中間CAを含めた証明書チェーンを送る必要がある。これによりクライアントはルートCAが最終的にサーバを認証していることをチェックすることができる。例1): MRAの場合、Expressway-Eがサーバであり8800シリーズIP Phoneがクライアント。Expressway-E の証明書が中間CAによって認証されている場合、中間CAの証明書はExpressway-Eの信頼済みCAリストに入れておく必要がある。例外: Expressway-C 及びExpressway-E でトラバーサル接続をする場合、中間CA証明書をクライアント、サーバ共に信頼リスト中に上げておく必要がある。

相互TLS（Mutual TLS） TLS の仕様には相互TLSの内容が含まれている TLS 相互TLS
クライアントはサーバ証明書をチェックする (TLS verify 設定が“on”)。クライアントはホスト名をCN/SANと比較し、認証局情報もあわせてチェックする(TLS verify設定が “on”)。クライアントはCA/SAN情報とTLS Verify Subject Name”もしくは“Peer Address”を比較する (TLS verify 設定が“on”)。相互TLS サーバはクライアント側の証明書を要求し、証明書チェックを行う。

Expressway上での相互TLS トラバーサルゾーンではExpressway-Cがクライアントとして動作。
デフォルトゾーンではExpressway-Eがサーバとして動作。 DNSゾーンでは: Expressway-Eが外部へのコール時はクライアント、内部へのコールの場合はサーバとして動作。 Spark DNS Zone TLS verify subject name がSANまたはCNにマッチした場合、DNSゾーンに着信させることができる。

Expressway-Cでの相互TLS（トラバーサルクライアント）クライアントがサーバを認証する
Traversal Client Zone 1 expe.example.com クライアントハロー Expressway-C: トラバーサルクライアントはTLS verify 設定が “On”にしても相互TLSを有効化しない。 Expressway-EnのCNまたはSANが Peerアドレスとマッチする必要がある。証明書は信頼済み証明局に署名されている必要がある。 expc.example.com 3 証明書チェック <Public Key> ExpE Cert expe.example.com 2 サーバハロー

Expressway-Eでの相互TLS（トラバーサルクライアント）サーバがクライアントを認証する
Traversal Server Zone Expressway-E: Expressway-EにてTLS verify 設定を “On” にすることでMTLSが有効化される。クライアント側が証明書を送付する。 Expressway-CのCNまたはSANが Expressway-Eの “TLS verify subject name”設定とマッチする。 3 <Public Key> Exp_E_Cert expc.example.com 証明書チェッククライアント証明書 2 expc.example.com expe.example.com クライアント証明書の要求 1

Expressway-C から Expressway-E Expressway-E から Expressway-C
TCP, TLS または相互TLS 利用ケース UCM から Expressway-C Expressway-C から Expressway-E Expressway-E から TCP or 相互TLS TCP, TLS or 相互TLS 1.CMR Cloud 2.CMR Hybrid 相互TLS 3.Spark Hybrid Services Expressway-C から UCM Expressway-E から Expressway-C Cloud to Expressway-E TCP, TLS or 相互TLS 1.CMR Cloud 2.CMR Hybrid N.A. 3.Spark Hybrid Services 相互TLS CMRコールバック

証明書と信頼リスト一般的なシナリオ管理者はプライベート認証局を設置し、UCMと-Expressway-Cに証明書を設定。
Cisco Collaboration Cloud 証明書と信頼リスト一般的なシナリオ証明書を認証したCA 信頼リスト PublicCA1 … PublicCAn TLS Cisco Unified CM Expressway-C Expressway-E TLS TLS 証明書を認証したCA 信頼リスト InternalCA 証明書を認証したCA 信頼リスト InternalCA PublicCA1 証明書を認証したCA 信頼リスト PublicCA1 InternalCA …. PublicCAn OtherCA Third-party TLS 証明書を認証したCA 信頼リスト OtherCA PublicCA1 管理者はプライベート認証局を設置し、UCMと-Expressway-Cに証明書を設定。接続先側で信頼しているCA情報のなかから選択して証明書を要求。 Expressway-Eの信頼リスト上に追加。

B2B：Expressway-E CSRの生成
CN及びSANは FQDN=“ホスト名＋ドメイン名”を利用ドメイン認証された証明書が必要

複数DNSドメイン： Expressway-E上内部、外部で異なるFQDNを持つケース
expe.example.com 内部DNS FQDN 外部DNS FQDN expe.examplexternal.com CN=expe.example.local SAN=expe.examplexternal.com <Public Key> DNS SRV レコードで解決可能　expe.examplexternal.com Expressway-E 証明書にはexpe.examplexternal.com を含む必要がある複数SANをサポートしたドメイン認証証明書が必要

内部ドメインが外部からRoutableで無い場合
Expressway-EのDNSホスト名: expe.internal.local 外部からinternal.local がroutableでは無い場合、CAが証明書に署名しない場合がある。ただし、Expressway上でCSRを生成する場合、ホスト名expe.internal.localは常に含まれる。回避策としては下記の2つ。ホスト名を expe.example.com といった外部から解決できる形式に変更する。 CSRをカスタマイズできるような外部ツールを利用する。

複数ドメインシナリオ：ドメインの種類 DNS ドメイン SIP ドメインプレゼンスドメインディスカバリードメイン
それぞれ別で設定が可能

ハイブリッドサービスの例: 3種類のドメインを利用する場合
SIP URI (SIP ドメイン含む): Spark Cloud bob DNS SRV record (includes discovery domain): _sips._tcp.discoverydomain.com CUCM expe.example.com 2 expe.example.com Exp-C FQDN: expc.internal.local 相互TLS 3 4 INVITE: alice がBobにコール 1 Sparkクラウドからexpe.example.com が証明書中のCN/SANにマッチするかをチェックする。 alice

Mobile and Remote Access ドメイン
MRA ドメインの一般的なオプション: ディスカバリードメイン=プレゼンスドメイン=DNS ドメイン（推奨）ディスカバリードメイン=プレゼンスドメイン<>DNS ドメインディスカバリードメイン<>プレゼンスドメイン<> DNS ドメイン

証明書でのSANの記載利用する機能に応じて証明書のSANに入れるようにCSRを生成する必要がある。追加するべきSAN 目的
MRA Login XMPP Federation Unified CM登録ドメイン（Expressway-Cで設定したドメイン。DNSまたはCollabEdgeDNS形式をCSRで利用） Expressway-Eで必要 XMPPフェデレーションドメイン IM &Pチャットノードエイリアス（フェデレートされた連絡先とのグループチャット） Expressway-C/Eで必要 Unified CM 電話セキリティプロファイル Expressway-Cで必要 ※TLSを利用するためSRVから解決されるAレコードとマッチするExpressway-Eのホスト名もSANに必要

MRA を利用した証明書及びSANの例 Expressway-E 証明書最大3つの SANが単一IM&P向けに必要 FQDN
Jabber login: FQDN expe.example.com DNS SRV レコード Aレコード _collab-edge._tls.example.com expe.example.com Expressway-E 証明書 XMPP及びログイン用 CN=expe.example.com SAN=expe.example.com SAN=example.com SAN=chat node alias expc.internal.local フェデレートされた連絡先とのグループチャットで利用 Jabber ID: Directory URI: 最大3つの SANが単一IM&P向けに必要 cucm.internal.local imp.domaininternal2.com

ログイン用のドメインをSANに入れる理由
DNS キャッシュポイズニングは比較的簡単な攻撃。ドメイン認証した証明書は比較的入手しやすく、また追跡しづらいケースがある。ハッカーがhackerhere.com というサイトのドメイン証明書を入手。ハッカーはDNSキャッシュポイズニングを行い、_collabo-edge レコードへの応答を sip.hackerhere.com (Aレコード）にポイントすることが可能。これにより、Jabberからみて適切な証明書が提供されることでログインが出来てしまう可能性がある。ユーザがハッカーが用意したサーバに接続し、パスワードを入手されてしまう。 Jabber は証明書をチェックするだけでは無く、ログインドメイン（example.com）が証明書に含まれているかも確認する。example.comはハッカーが取得しているものでは無いので、認証局が認証を行っていない。これによりJabberのログインが失敗する。

まとめ本セッションでは、Expressway上で利用する証明書やDNSのベストプラクティスについて述べた。
証明書は3種類のどれでも利用可能。ただしワイルドカード利用した複数ドメインサポートはできない。 Expressway上ではルート証明書、中間証明書を含めて準備が必要。 TLSはクライアントがサーバを認証、相互TLSはサーバクライアント間で相互認証。使用するシナリオによって各ドメインを考慮したうえで複数SANをサポートした証明書を各Expressway-C/Eで利用する必要がある。

参考資料 Cisco Expressway Certificate Creation and Use Deployment Guide (X8.8) Mobile and Remote Access via Cisco Expressway Deployment Guide (X8.8) Configuration Example: Mobile and Remote Access through Expressway/VCS in a multi-domain deployment Cisco Expressway の証明書の設定方法

TLS と SRTP TLS はSIPの制御信号中のセキリティとして使われる SRTP は別の鍵情報を使用する。
SRTPのマスターキーはSDPの中に含まれTLSで暗号化した上で交換される。セッションキーはマスターキーから生成され、端末間で交換は行われない。 TLS はHop-by-Hopで、SRTPはEnd-to-Endで使用する (B2BUA として利用される場合は終端が異なる場合がある)

TLS/SRTP 動作概要 3 SIP Node 3 SIP Node 2 SIP Node 1 5 1 TLS TLS TLS 6 2 4
<Public Key> SIP Node 2 3 <Public Key> SIP Node 3 SIP Node 3 <Public Key> SIP Node 1 5 SIP Node 2 SIP Node 1 1 TLS TLS TLS 6 4 2 マスターキーはSDP で交換される TLS マスターキーはSDP で交換される SRTP はマスターキーから生成されたセッションキーを利用するマスターキーはSDP上で交換する。信号はTLSで暗号化される

クイズ1: CMR Cloud Cisco Unified CM Expressway-C Expressway-E WebEx Q: CMRクラウドに発信し、TLS/SRTPを利用する場合、Expressway-E上に証明書は必要でしょうか？ A: 不要。Expressway-Eはクライアントなので。

クイズ2: CMR Cloud コールバック Cisco Unified CM Expressway-C Expressway-E WebEx Q: CMRクラウドからコールバックを利用、TLS/SRTPを使う場合Expressway-E上に証明書は必要か？ A: 必要。Expressway-Eはサーバなので。

クイズ3: Spark Hybrid Services Architecture
Expressway-C Connector Host Q: Spark クラウドにHTTPSを利用したセキュアな通ウィンを行う場合、Expressway-CもしくはDirectory Connectorに証明書は必要ですか？ A: 不要。Expressway-C及びDirectory ConnectorはTLSクライアント Management Connector Calendar Connector Call Connector Active Directory Directory Connector Internet HTTPS connections Expressway-C Expressway-E DMZ FW Cisco Unified CM Internal FW Spark Cloud

クイズ4: Spark Hybrid Services Architecture
Q: Spark クラウドへ発信してセキュアなビデオ接続をする場合、Expressway-Eは証明書が必要ですか？ A: 必要。相互TLSではクライアントでも証明書が必要。Expresswayはサーバにもクライアントにもなる。 Expressway-C with Connectors Management Connector Calendar Connector Call Connector Active Directory Directory Connector Q: Spark クラウドからセキュアなビデオを着信した場合、Expresswayは証明書が必要ですか? A: 必要。サーバなので。 Internet Expressway-C Expressway-E SIP signaling and media DMZ FW Cisco Unified CM Internal FW

Expresswayにおける DNS及び証明書のベストプラクティス

Similar presentations

Presentation on theme: "Expresswayにおける DNS及び証明書のベストプラクティス"— Presentation transcript:

Similar presentations

About project

フィードバック

ログインする

Auth with social network:

Expresswayにおける DNS及び証明書の ベストプラクティス

Similar presentations

Presentation on theme: "Expresswayにおける DNS及び証明書の ベストプラクティス"— Presentation transcript:

Similar presentations

About project

フィードバック

Expresswayにおける DNS及び証明書のベストプラクティス

Presentation on theme: "Expresswayにおける DNS及び証明書のベストプラクティス"— Presentation transcript: