この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
目次
Cisco UC Integration for Microsoft Lync では、証明書の検証を使用して、サーバとのセキュア接続を確立します。
セキュア接続の確立を試行するとき、サーバは Cisco UC Integration for Microsoft Lync に証明書を提供します。 Cisco UC Integration for Microsoft Lync は、それらの証明書を Microsoft Windows の証明書ストアにある証明書と照合して検証します。 クライアントが証明書を検証できない場合、ユーザは、証明書を受け入れるかどうかの確認を求められます。
セキュアな接続を確立するために、次の証明書が提供されます。
[サーバ(Server)] | 証明書 |
---|---|
Cisco Unified Communications Manager | HTTP(Tomcat) |
Cisco Unity Connection | HTTP(Tomcat) |
特記事項
シスコは、次の認証局(CA)のいずれかにより署名されたサーバ証明書を使用することを推奨します。
署名プロセスは、各サーバごとに異なり、サーバのバージョン間でも異なります。 各サーバのすべてのバージョンに関する詳細な手順については、このマニュアルの範囲外になります。 CA により署名された証明書を取得する方法の詳細な指示については、該当するサーバのマニュアルを参照してください。 以下のステップでは、手順の概要を示します。
ステップ 1 | クライアントに証明書を提示できる各サーバで証明書署名要求(CSR)を作成します。 |
ステップ 2 | CA に各 CSR を送信します。 |
ステップ 3 | CA が各サーバに発行する証明書をアップロードします。 |
パブリック CA は、通常 CSR に特定の形式に確認するよう要求します。 たとえば、パブリック CA は、次のような CSR を受け入れる場合があります。
同様に、複数ノードから CSR を送信すると、パブリック CA は、すべての CSR で情報の整合性がとれていることを必要とする場合があります。
CSR の問題を回避するために、CSR を送信するパブリック CA からの形式の要件を確認する必要があります。 次に、サーバを構成する際に、入力する情報がパブリック CA が要求する形式に適合していることを保証する必要があります。
FQDN あたり証明書 1 つ:いくつかのパブリック CA は、完全修飾ドメイン名(FQDN)あたり 1 つの証明書にのみ署名します。
CA は、署名プロセスの一部として証明書にサーバ ID を指定します。 クライアントがその証明書を検証する場合、次のことを確認します。
(注) |
パブリック CA は、通常、サーバの識別情報として、IP アドレスではなく、ドメインを含む完全修飾ドメイン名(FQDN)を必要とします。 |
ID フィールド
クライアントは、識別情報の一致に関して、サーバ証明書の次の識別子フィールドを確認します。
ヒント |
[件名 CN(Subject CN)] フィールドには、左端の文字としてワイルドカード(*)を含めることができます。たとえば、*.cisco.com のようになります。 |
ID の不一致の防止
ユーザが IP アドレスでサーバに接続し、サーバ証明書が FQDN でサーバを識別しようとすると、クライアントは、信頼できるポートとサーバを識別できないため、ユーザにとって良い結果をもたらしません。
サーバ証明書が FQDN でサーバを識別する場合、環境全体の FQDN として各サーバ名を指定する必要があります。
サーバ証明書はクライアント コンピュータの信頼ストアに存在する関連のルート証明書が必要です。 Cisco UC Integration for Microsoft Lyncは、サーバが信頼ストアのルート証明書に対して提示する証明書を検証します。
パブリック CA によって署名されたサーバ証明書を取得する場合、パブリック CA はすでにクライアント コンピュータの信頼ストアで提示されるルート証明書を持っている必要があります。 この場合、クライアント コンピュータのルート証明書をインポートする必要はありません。
次の場合、Microsoft Windows 証明書ストアにルート証明書をインポートする必要があります。
クライアントがユーザ証明書を受け入れるよう指示すると、ユーザは次のことを実行することができます。
ユーザがクライアントを再起動した場合、再度証明書を受け入れるように指示します。
次のことを含め、Microsoft Windows 証明書ストアに証明書をインポートする適切な方式を使用できます。 証明書のインポートの詳細については、Microsoft 社の適切なマニュアルを参照してください。
(注) |
このオプションでは、Microsoft 管理コンソールの CertMgr.msc ではなく、Certificate Manager ツールの CertMgr.exe を使用する必要があります。 |
Cisco UC Integration for Microsoft Lync では、証明書の検証を使用して、サーバとのセキュア接続を確立します。
セキュア接続の確立を試行するとき、サーバは Cisco UC Integration for Microsoft Lync に証明書を提供します。 Cisco UC Integration for Microsoft Lync は、それらの証明書を Microsoft Windows の証明書ストアにある証明書と照合して検証します。 クライアントが証明書を検証できない場合、ユーザは、証明書を受け入れるかどうかの確認を求められます。
必要な証明書
認証局により署名された証明書の取得
手順シスコは、次の認証局(CA)のいずれかにより署名されたサーバ証明書を使用することを推奨します。
署名プロセスは、各サーバごとに異なり、サーバのバージョン間でも異なります。 各サーバのすべてのバージョンに関する詳細な手順については、このマニュアルの範囲外になります。 CA により署名された証明書を取得する方法の詳細な指示については、該当するサーバのマニュアルを参照してください。 以下のステップでは、手順の概要を示します。
ステップ 1 クライアントに証明書を提示できる各サーバで証明書署名要求(CSR)を作成します。 ステップ 2 CA に各 CSR を送信します。 ステップ 3 CA が各サーバに発行する証明書をアップロードします。
証明書署名要求の形式と要件
パブリック CA は、通常 CSR に特定の形式に確認するよう要求します。 たとえば、パブリック CA は、次のような CSR を受け入れる場合があります。
同様に、複数ノードから CSR を送信すると、パブリック CA は、すべての CSR で情報の整合性がとれていることを必要とする場合があります。
CSR の問題を回避するために、CSR を送信するパブリック CA からの形式の要件を確認する必要があります。 次に、サーバを構成する際に、入力する情報がパブリック CA が要求する形式に適合していることを保証する必要があります。
FQDN あたり証明書 1 つ:いくつかのパブリック CA は、完全修飾ドメイン名(FQDN)あたり 1 つの証明書にのみ署名します。
証明書のサーバ識別情報
CA は、署名プロセスの一部として証明書にサーバ ID を指定します。 クライアントがその証明書を検証する場合、次のことを確認します。
(注)
パブリック CA は、通常、サーバの識別情報として、IP アドレスではなく、ドメインを含む完全修飾ドメイン名(FQDN)を必要とします。ID フィールド
クライアントは、識別情報の一致に関して、サーバ証明書の次の識別子フィールドを確認します。
ヒント
[件名 CN(Subject CN)] フィールドには、左端の文字としてワイルドカード(*)を含めることができます。たとえば、*.cisco.com のようになります。ID の不一致の防止
ユーザが IP アドレスでサーバに接続し、サーバ証明書が FQDN でサーバを識別しようとすると、クライアントは、信頼できるポートとサーバを識別できないため、ユーザにとって良い結果をもたらしません。
サーバ証明書が FQDN でサーバを識別する場合、環境全体の FQDN として各サーバ名を指定する必要があります。
クライアント コンピュータのルート証明書のインポート
サーバ証明書はクライアント コンピュータの信頼ストアに存在する関連のルート証明書が必要です。 Cisco UC Integration for Microsoft Lyncは、サーバが信頼ストアのルート証明書に対して提示する証明書を検証します。
パブリック CA によって署名されたサーバ証明書を取得する場合、パブリック CA はすでにクライアント コンピュータの信頼ストアで提示されるルート証明書を持っている必要があります。 この場合、クライアント コンピュータのルート証明書をインポートする必要はありません。
次の場合、Microsoft Windows 証明書ストアにルート証明書をインポートする必要があります。
重要: ルート証明書が信頼ストアにない場合、 Cisco UC Integration for Microsoft Lyncは環境内の各サーバからの証明書を受け入れるようユーザに指示します。クライアントがユーザ証明書を受け入れるよう指示すると、ユーザは次のことを実行することができます。
ユーザがクライアントを再起動した場合、再度証明書を受け入れるように指示します。
次のことを含め、Microsoft Windows 証明書ストアに証明書をインポートする適切な方式を使用できます。 証明書のインポートの詳細については、Microsoft 社の適切なマニュアルを参照してください。
- 個別に証明書をインポートするために、[証明書のインポート ウィザード(Certificate Import Wizard)] を使用します。
- Microsoft Windows Server で CertMgr.exe コマンドライン ツールを使用してユーザに証明書を展開します。
(注)
このオプションでは、Microsoft 管理コンソールの CertMgr.msc ではなく、Certificate Manager ツールの CertMgr.exe を使用する必要があります。- Microsoft Windows Server でグループ ポリシー オブジェクト(GPO)を使用してユーザに証明書を展開します。