はじめに
このドキュメントでは、Expressway/Video Communication Server(VCS)証明書の更新プロセスについて説明します。
背景説明
このドキュメントの情報は、ExpresswayとVCSの両方に適用されます。このドキュメントではExpresswayを参照していますが、これはVCSと交換できます。
注:このドキュメントは証明書の更新プロセスに役立つように作成されていますが、ご使用のバージョンの『Cisco Expressway証明書の作成と使用の導入ガイド』も参照することをお勧めします。
証明書を更新する場合は、新しい証明書をインストールした後もシステムが正常に機能し続けることを確認するために、2つの主要な点を考慮する必要があります。
1.新しい証明書の属性は、古い証明書の属性(主にサブジェクト代替名(SAN)と拡張キーの使用)と一致する必要があります。
2.新しい証明書に署名するCA(Certification Authority)は、Expresswayと直接通信する他のサーバ(CUCM、Expressway-C、Expressway-Eなど)によって信頼される必要があります。
プロセス
A)現在の証明書から情報を取得する
1. ExpresswayのWebページMaintenenace > Security > Server certificate > Show decodedを開きます。
2.開いた新しいウィンドウで、Subject Alternative nameとAuthority Key Identifier X509v3の拡張子をメモ帳のドキュメントにコピーします。
「Show decoded」証明書ウィンドウ
B) CSR(証明書署名要求)を生成し、CA(認証局)に送信して署名します。
1. ExpresswayのWebページから[Maintenenace] > [Security] > [Server certificate] > [Generate CSR]を選択します。
2. 「Generate CSR」ウィンドウの「Additional Alternative names (comma separated)」フィールドに、セクションAに保存されている「Subject Alternative Names」のすべての値を入力し、「DNS:」を削除して、リストをカンマで区切ります。次の図では、表示される代替名の横に、証明書で使用されるすべてのSANのリストがあります)。
CSR SANエントリの生成
3. 「Additional Information」セクションに残りの情報(country、company、stateなど)を入力し、「Generate CSR」をクリックします。
4. CSRを生成すると、「Maintenance > Security > Server Certificate」ページに「Discard CSR」と「Download」のオプションが表示されます。 Downloadを選択し、CSRをCAに送信して署名を受けます。
注:新しい証明書をインストールする前にCSRを破棄しないでください。CSRの破棄が行われた後、破棄されたCSRで署名された証明書をインストールしようとすると、証明書のインストールは失敗します。
C)新しい証明書のSANリストと拡張/拡張キー使用属性を確認します。
Windows証明書マネージャで新しく署名された証明書を開き、次のことを確認します。
1. SANリストは、CSRを生成したセクションAで保存したSANリストと一致します。
2. 「拡張/拡張キー使用法」属性には、クライアント認証とサーバ認証の両方を含める必要があります。
注:証明書の拡張子が.pemの場合は、.cerまたは.crtに変更してWindows Certificate Managerで開けるようにします。Windows Certificate Managerで証明書を開いたら、Detailsタブ> Copy to Fileの順に選択して、それをBase64エンコードファイルとしてエクスポートします。Base64エンコードファイルをテキストエディタで開くと、通常は先頭に「-----BEGIN CERTIFICATE-----」が表示され、末尾に「-----END CERTIFICATE-----」が表示されます
D)新しい証明書に署名したCAが、古い証明書に署名したCAと同じであるかどうかを確認します
Windowsの証明書マネージャで新しく署名された証明書を開き、「Authority Key Identifier」の値をコピーして、セクションAで保存した「Authority Key Identifier」の値と比較します。
Windows Certificate Managerで開かれた新しい証明書
両方の値が同じ場合は、古い証明書の署名に使用されたものと同じCAを新しい証明書の署名に使用したことを意味します。セクションEに進み、新しい証明書をアップロードできます。
値が異なる場合、これは、新しい証明書の署名に使用されるCAが古い証明書の署名に使用されるCAと異なることを意味します。セクションEに進む前に行う手順は次のとおりです。
1.すべての中間CA証明書(存在する場合)とルートCA証明書を取得します。
2. Maintenance > Security > Trusted CA certificateの順に選択し、Browseをクリックして、コンピュータ上の中間CA証明書を検索し、アップロードします。他の中間CA証明書とルートCA証明書についても同じことを行います。
3.このサーバに接続するすべてのExpressway-E(更新する証明書がExpressway-C証明書の場合)またはこのサーバに接続するすべてのExpressway-C(更新する証明書がExpressway-E証明書の場合)で同じことを行います。
4.更新する証明書がExpressway-C証明書であり、MRAまたはCUCMへのセキュアゾーンがある場合
- CUCMが新しいルートCAと中間CAを信頼することを確認します。
- ルートおよび中間CA証明書をCUCM tomcat-trustおよびcallmanager-trustストアにアップロードします。
- CUCMで関連サービスを再起動します。
E)新しい証明書をインストールする
上記のすべてのポイントを確認したら、Maintenance > Security > Server Certificateの順に選択して、Expresswayに新しい証明書をインストールできます。
Browseをクリックし、コンピュータから新しい証明書ファイルを選択してアップロードします。
新しい証明書をインストールした後、Expresswayを再起動する必要があります。
注:Maintenance > Security > Server CertificateからExpresswayにアップロードする証明書にExpresswayサーバ証明書だけが含まれており、完全な証明書チェーンが含まれていないことを確認し、それがBase64証明書であることを確認します。
複数のExpresswayへの1つの証明書の追加:
- Expressway-eクラスタ全体に対して1つの証明書を作成します。これに基づいて、次のことを行う必要があります。
- すべてのFQDNに加えて、Expresswayで使用する追加機能を含むCSRを作成します(CMS webrtcの場合は、参加URLとドメイン、MRAの場合は登録/ログインドメイン)。
以下に例を挙げます。
Exwycluster.domain
Exwy1.ドメイン
Exwy2.ドメイン
Exwy3.ドメイン
Exwy4.ドメイン
追加機能(ドメインまたはCMS URL)
- CSRが完了したら、SFTPプログラムを使用してこのCSRの秘密キーを抽出できます(WinSCPをお勧めします。多く使用します)
- WinSCPを開き、CSRを作成したexpressway-eに接続します
- tandberg/persistent/certs/ CSRまたは証明書署名要求(保留中と表示されることもあります)に移動します。
- Expressway-eから秘密キーをデスクトップにコピーします。
- これが完了すると、4つのノードすべてに同じ証明書を使用できます。