Collaboration

Collaboration 第109回 「【よくある問い合わせ】Webexの暗号化キーサイズ変更について~ Webex: Correction - Webex 224-bit TLS Enforcement for H.323 ~」

 

こんにちは。ディーアイエスサービス&ソリューション株式会社でシスココラボレーション製品の担当エンジニアをしております斎藤です。

 

先月中旬、Webex管理者宛てに「Webex: Correction - Webex 224-bitTLS Enforcement for H.323」というタイトルでメール案内が出されておりました。こちらの案内に対しては私の方にも、「これってどういうこと?」「何かしないといけないの?」という問い合わせを多くいただきましたので、今回はこちら案内の解説と影響範囲、対応方法についてご紹介します。

 

 

Webexの暗号化キーが変更されます

先月中旬、Webex管理者宛てに以下のようなメールが来ておりました。

 

件名:Webex: Correction - Webex 224-bit TLS Enforcement for H.323

送信元:donotreply@cisco.com

内容:

 

要約すると、「2023年6月8日から6月14日の間に、オンプレ端末からのクラウドへの着信で使用していた暗号化キーのサイズを変更します。なので、オンプレ端末をご利用の場合は、暗号化キーの設定をアップグレードしてください。」という内容になります。

 

Webexアプリが入ったPCやRoom Kit等のデバイスで、何か設定変更をしなくてはいけないのではないか?と不安に思われる方がいらっしゃるかもしれませんが、結論から申しますと、Webex利用をされている端末(WebexアプリがインストールされたPCやControl Hubに登録されているRoom Kit 等のCiscoデバイス)で、特に設定変更していただく必要はございません。クラウド上で管理されている端末やアカウントにつきましては、自動でアップグレードがされますので、特に設定は不要です。何もせずに2023年6月14日以降を迎えたとしても、継続してWebexはご利用いただけますのでご安心ください。

  

次にオンプレミス環境でRoom Kit等のCiscoデバイスをご利用の場合、普段Webexにて暗号化セッションを利用されているかどうかによって対応方法が異なります。Webexの暗号化セッションについてはこちらを参照ください。こちらも特に操作いただく必要はございません(2023/6/12更新)。下記手順1、2は無視していただいて構いません。


1.E2E暗号化セッションを利用されていない場合

普段E2E暗号化セッションを利用されていない場合、特に追加の設定変更は不要です。これは、NATスタンドアロンや、Expresswayのサーバ等、いずれの管理方式であっても設定変更は不要です。

2.E2E暗号化セッションを利用されている場合(今後、利用する予定がある場合)

こちらは、NATスタンドアロン端末、もしくはExpressway等のサーバに対して設定変更をいただく必要がございます。(NATスタンドアロン等の接続構成については、こちら参照

 

NATスタンドアロンで端末をご利用の場合には、端末のWebUIにアクセスをし、「Configuration」> 「H323」 > 「Encryption KeySize」の値を「Min1024bit」→「Min2048bit」に変更します。

Expressway等のサーバをご利用の場合は、下記を参考に「config Interworking Encryption

KeySize2048:  On」に設定をします。なお、X12.6.4以降のH323暗号化キー長は、デフォルトで1024 bit と2048 bitの両方に対応する設定になっているようですので、最新バージョンかつデフォルト値で運用されている場合には特に設定変更は不要になります。

(2023/6/12 更新)

先週、同件名でアップデートの通知が来ておりました。

 

件名:Webex: Update - Webex 224-bit TLS Enforcement for H.323

送信元:donotreply@cisco.com

内容:

 

結論、クラウド側でアップデートされたので、今回の件で管理者は特に対応は不要になりました。更新タイミングを迎え何も設定しなくても、そのままWebexをご利用いただくことができます。また、「We apologize forany efforts you’ve already performed. Any changes made to your environmentshould be rolled back to ensure calls will function normally.」と記載がありますが、特にロールバックも不要です(メーカー確認済み)。ご安心いただければと思います。

 

 

参考

・Expressway Release Note X12.6.4 - 13 ページ

https://www.cisco.com/c/dam/en/us/td/docs/voice_ip_comm/expressway/release_note/Cisco-Expressway-Release-Note-X12-6-4.pdf

>「Configuration of DH Key Length for H.323-SIP Interworking」

Editing TLS Ciphers in Cisco VCS orCisco Expressway

Cisco Expressway ConfigurationGuides

 

まとめますと、クラウド利用をされている方は特に対応不要、オンプレ利用の場合もほとんどの場合は特に対応不要ですが、不安があればH323暗号化キー長の設定を確認いただき、必要に応じて、2048 bitの設定をお試しいただければと思います。特に対応は不要です。

 

今回は以上となります。もし本件に関して問い合わせございましたら、一度こちらのブログをご案内いただければと思います。また詳細な問い合わせにつきましては、TACが対応しておりますので、そちらもご活用いただけますと幸いです。

 

最後までご覧いただきありがとうございました。引き続きよろしくお願い致します。

カタログDL等、iDATEN(韋駄天)ログインが必要なコンテンツがございます。
必要に応じて、ログインしてご利用ください。
iDATEN(韋駄天)のご利用に関してご不明点があるお客様は こちら をお読みください。

Ciscoの記事