この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
目次
デバイス認証、ファイル認証、およびシグナリング認証は、証明書信頼リスト(CTL)ファイルの作成に依存します。このファイルは、USB ポートのある単一の Windows ワークステーションまたはサーバに Cisco Certificate Trust List(CTL)クライアントをインストールおよび設定したときに作成されます。
(注) |
Cisco CTL クライアント用としてサポートされている Windows のバージョンは、Windows XP、Windows Vista、および Windows 7 です。 Terminal Services は、Cisco CTL クライアントのインストールに使用しないでください。 シスコは、Cisco Technical Assistance Center(TAC)がリモートでトラブルシューティングおよび設定作業を行えるように Terminal Services をインストールしています。 |
CTL ファイルには、次のサーバまたはセキュリティ トークンのためのエントリが含まれています。
System Administrator Security Token(SAST)
同一のサーバで実行される Cisco CallManager サービスおよび Cisco TFTP サービス
Certificate Authority Proxy Function(CAPF)
TFTP サーバ(複数可)
ASA ファイアウォール
CTL ファイルには、各サーバのサーバ証明書、公開キー、シリアル番号、署名、発行者名、サブジェクト名、サーバ機能、DNS 名、および IP アドレスが含まれます。
CTL ファイルを作成したら、Cisco CallManager サービスおよび Cisco TFTP サービスを実行するすべてのノードで、 Cisco Unified サービスアビリティを使用してこれらのサービスを再起動する必要があります。 次回、電話機を初期化するときには、CTL ファイルが TFTP サーバからダウンロードされます。 CTL ファイルに自己署名証明書を持つ TFTP サーバ エントリが含まれている場合、電話機は .sgn 形式の署名付き設定ファイルを要求します。 どの TFTP サーバにも証明書がない場合、電話機は署名なしファイルを要求します。
Cisco CTL クライアントが CTL ファイルにサーバ証明書を追加すると、CTL クライアントの GUI にこの証明書を表示できます。
ファイアウォールを CTL ファイルに設定すると、セキュアな Cisco Unified Communications Manager システムの一部として Cisco ASA ファイアウォールを保護できます。 Cisco CTL クライアントは、ファイアウォール証明書を「CCM」証明書として表示します。
Cisco Unified Communications Manager の管理では、etoken を使用して、Cisco CTL クライアントと Cisco CTL Provider との間の TLS 接続を認証します。
CLI を通じて、Cisco CTL クライアントを使用せずにクラスタ セキュリティ モードを管理できます。
次の事項を考慮してください。
この暗号化オプションは次の CLI コマンドから構成されます。
(注) |
|
CLI コマンド セットの utils ctl を使用してクラスタをセキュリティ保護した場合は、Cisco CTL クライアント オプションに戻ることができます。
暗号化のために Cisco CTL クライアント オプションに戻るか、クラスタを非セキュア モードに戻すには、この手順に従います。
CTL クライアント 5.0 または 5.2 プラグインにアップグレードする場合、最初に eToken Run Time Environment 3.00 を削除する必要があります。次の手順に従います。
ステップ 1 | 次の URL で、Windows Installer Cleanup ユーティリティをダウンロードします。 |
ステップ 2 | このユーティリティを PC にインストールします。 |
ステップ 3 | ユーティリティを実行します。 |
ステップ 4 | プログラムのリストから eToken rte3.0 を見つけて削除します。 |
ステップ 5 | CTL クライアントのインストールに進みます。 |
Cisco Unified Communications Manager で Cisco CTL クライアントを設定する場合は、次の点を考慮してください。
電話機はサイズの大きい CTL ファイルを受け入れることができないため、Cisco CTL クライアントは CTL ファイルのサイズを 64 KB に制限します。 CTL ファイルのサイズに影響を与えるのは、次の要因です。
クラスタ内のノードの数
ノードの数が多ければ、CTL ファイル内により多くの証明書が必要になります。
TLS プロキシで使用されているファイアウォールの数
TLS プロキシ機能を備えたファイアウォールは、ノードと同じであるため、CTL ファイルに含まれます。
外部の認証局(CA)が CAPF 証明書および CallManager 証明書に署名しているかどうか
外部の CA が署名した証明書(CAPF/CallManager)はデフォルトの自己署名証明書よりもかなり大きいため、CTL ファイルに含めることができる証明書の最大数が制限されることがあります。
これらの要因は、64 KB の CTL ファイルに含めることができる証明書の最大数を直接制限するため、セキュアな Cisco Unified Communications Manager 配備内に含めることができるノードまたはファイアウォールの最大数を示します。
Cisco Unified Communications Manager ノードのホスト名が、Cisco CTL クライアントがインストールされているリモート PC で解決可能であることを確認します。解決可能でない場合、Cisco CTL クライアントは正しく動作しません。
Cisco CTL Provider サービスをアクティブにする必要があります。 クラスタ環境がある場合は、クラスタ内のすべてのサーバで Cisco CTL Provider サービスをアクティブにする必要があります。
Cisco CTL クライアントに、代替 TFTP サーバまたは集中 TFTP サーバなどのクラスタ外サーバのエントリが含まれている場合、これらのサーバでも Cisco CTL Provider サービスを実行する必要があります。
Cisco CTL クライアント GUI の代替 TFTP サーバのセクションで、別のクラスタに存在する Cisco TFTP サーバを指定します。 [代替TFTPサーバ(Alternate TFTP Server)] タブの設定値を使用して、代替 TFTP サーバおよび集中 TFTP サーバを Cisco CTL クライアントに設定します。
(注) |
TFTP サービス パラメータを使用したクラスタ外の(代替および集中)TFTPサーバの設定方法の詳細については、『Cisco Unified Communications Manager System Guide』の「Cisco TFTP」を参照してください。 |
CTL クライアント オプションを使用している場合は、この手順に従います。
(注) |
この手順では、Cisco CTL クライアント用に設定するサーバについて、少なくとも 2 つのセキュリティ トークン、パスワード、ホスト名または IP アドレス、およびポート番号を入手することが必要です。 |
次に表に、初めて Cisco CTL クライアントをインストールおよび設定する場合に実行する設定作業のリストを示します。 Cisco Unified Communications Manager をアップグレードする場合の CTL ファイルの設定に関するより詳細な情報については、Cisco CTL クライアントのアップグレードおよび Cisco CTL ファイルの移行に関連したトピックを参照してください。
Cisco CTL クライアントの設定後、Cisco CTL Provider サービスによってセキュリティ モードが非セキュア モードから混合モードに変更され、サーバ証明書が CTL ファイルに転送されます。 その後、このサービスによって、CTL ファイルがすべての Cisco Unified Communications Manager および Cisco TFTP サーバに転送されます。
このサービスをアクティブ化してから Cisco Unified Communications Manager をアップグレードすると、 Cisco Unified Communications Manager は、アップグレード後にサービスを自動的に再アクティブ化します。
ヒント |
クラスタ内のすべてのサーバで Cisco CTL Provider サービスをアクティブにする必要があります。 |
ステップ 1 | Cisco Unified サービスアビリティで、 の順に選択します。 | ||||
ステップ 2 | [Servers] ドロップダウン リスト ボックスで、Cisco CallManager サービスまたは Cisco TFTP サービスをアクティブにしたサーバを選択します。 | ||||
ステップ 3 | [Cisco CTL Provider] サービス オプション ボタンをクリックします。 | ||||
ステップ 4 |
[Save] をクリックします。
|
||||
ステップ 5 | サービスがサーバで実行されていることを確認します。 Cisco Unified サービスアビリティで、 の順に選択してサービスの状態を確認します。 |
警告 |
Cisco CTL クライアントのインストールと設定の前に Cisco Certificate Authority Proxy Function サービスをアクティブにすることにより、CAPF を使用するために CTL ファイルを更新しなくてもよいようにします。 |
デフォルトのポートが現在使用中の場合や、ファイアウォールを使用していてファイアウォール内のポートを使用できない場合には、異なる TLS ポート番号の設定が必要になることもあります。
(注) |
クラスタ セキュリティ モードは、スタンドアロン サーバまたはクラスタのセキュリティ機能を設定します。 |
ヒント |
ポートを更新した後は、 Cisco Unified サービスアビリティで Cisco CTL Provider サービスを再起動する必要があります。 |
ヒント |
CTL ポートは、CTL クライアントが実行されているデータ VLAN に対して開いている必要があります。 |
ステップ 1 | 変更するポートに応じて、次の作業を実行します。 | ||
ステップ 2 | Cisco CTL Provider ポートを変更するには、 Cisco Unified Communications Manager の管理ページで、 を選択します。 | ||
ステップ 3 | [サーバ(Server)] ドロップダウン リスト ボックスで、Cisco CTL Provider サービスを実行しているサーバを選択します。 | ||
ステップ 4 |
[サービス(Service)] ドロップダウン リスト ボックスで、Cisco CTL Provider サービスを選択します。
|
||
ステップ 5 | Port Number パラメータの値を変更するには、[パラメータ値(Parameter Value)] フィールドに新しいポート番号を入力します。 | ||
ステップ 6 | [保存(Save)] をクリックします。 | ||
ステップ 7 | [イーサネット電話ポート(Ethernet Phone Port)] または [SIP電話セキュアポート(SIP Phone Secure Port)] の設定を変更するには、 Cisco Unified Communications Manager の管理ページで の順に選択します。 | ||
ステップ 8 | 『Cisco Unified Communications Manager アドミニストレーション ガイド』の説明に従い、Cisco CallManager サービスを実行しているサーバを検索します。結果が表示されたら、サーバの [名前(Name)] リンクをクリックします。 | ||
ステップ 9 | [Cisco Unified Communications Manager] 設定ウィンドウが表示されたら、[イーサネット電話ポート(Ehternet Phone Port)] フィールドまたは [SIP電話セキュアポート(SIP Phone Secure Port)] フィールドに新しいポート番号を入力します。 | ||
ステップ 10 | 電話機をリセットし、 Cisco Unified サービスアビリティで Cisco CallManager サービスを再起動します。 | ||
ステップ 11 | [保存(Save)] をクリックします。 |
(注) |
CLI を使用してクラスタ セキュリティを管理する場合、この手順は不要です。 |
次のイベントが発生するときには、クライアントを使用して CTL ファイルを更新する必要があります。
ヒント |
クライアントをインストールしようとしているサーバまたはワークステーションで、Smart Card サービスが「開始」および「自動」に設定されていない場合、インストールは失敗します。 |
Windows XP、Windows Vista、および Windows 7 用の Cisco CTL クライアントをインストールするには、次の手順を実行します。
ステップ 1 | 『Cisco Unified Communications Manager アドミニストレーション ガイド』の説明に従い、クライアントをインストールする予定の Windows ワークステーションまたはサーバから Cisco Unified Communications Manager の管理ページに移動します。 | ||
ステップ 2 |
Cisco Unified Communications Manager の管理ページで、 の順に選択します。 [プラグインの検索/一覧表示(Find and List Plugins)] ウィンドウが表示されます。 |
||
ステップ 3 | [プラグインタイプが次に等しい(Plugin Type equals)] ドロップダウン リスト ボックスから [インストール(Installation)] を選択し、[検索(Find)] をクリックします。 | ||
ステップ 4 | Cisco CTL クライアントを見つけます。 | ||
ステップ 5 | ファイルをダウンロードするには、ウィンドウの左側の、Cisco CTL クライアント プラグイン名のちょうど反対側にある [ダウンロード(Download)] をクリックします。 | ||
ステップ 6 | [保存(Save)] をクリックして、ファイルを任意の場所に保存します。 | ||
ステップ 7 |
インストールを開始するには、[Cisco CTL クライアント(Cisco CTL Client)](ファイルを保存した場所によってアイコンまたは実行ファイルになります)をダブルクリックします。
|
||
ステップ 8 | Cisco CTL クライアントのバージョンが表示されるので、[次へ(Next)] をクリックします。 | ||
ステップ 9 | インストール ウィザードが表示されます。 [次へ(Next)] をクリックします。 | ||
ステップ 10 | 使用許諾契約に同意して [次へ(Next)] をクリックします。 | ||
ステップ 11 | クライアントをインストールするフォルダを選択します。 必要な場合は、[参照(Browse)] をクリックしてデフォルトの場所を変更します。場所を選択したら、[次へ(Next)] をクリックします。 | ||
ステップ 12 | インストールを開始するには、[次へ(Next)] をクリックします。 | ||
ステップ 13 | インストールが完了したら、[完了(Finish)] をクリックします。 |
Cisco Unified Communications Manager Release 5.x から 6.x にアップグレードした後で CTL ファイルを変更するには、アップグレード前にインストールしていた Cisco CTL クライアントをアンインストールし、最新の Cisco CTL クライアントをインストールし、CTL ファイルを再生成する必要があります。 アップグレード前にサーバの削除や追加を実行しなかった場合は、アップグレード後に Cisco CTL クライアントを再設定する必要はありません。 Cisco Unified Communications Manager のアップグレードにより、CTL ファイル内のデータは自動的に移行されます。
Cisco Unified Communications Manager 4.x からリリース 6.x にアップグレードし、セキュリティがクラスタ上で有効になっている場合は、アップグレード前にインストールしていた Cisco CTL クライアントをアンインストールし、最新の Cisco CTL クライアントをインストールして CTL ファイルを再生成する必要があります。 アップグレードされたクラスタのセキュリティを有効にするには、次の手順に従います。
ステップ 1 | 既存の Cisco CTL クライアントをアンインストールします。 |
ステップ 2 | 新しい Cisco CTL クライアントをインストールします。 |
ステップ 3 | 以前に使用していた USB キーの少なくとも 1 つを使用して、Cisco CTL クライアントを実行します。 |
ステップ 4 | これらのサービスを実行するすべての Cisco Unified Communications Manager サーバおよびクラスタ内のすべての TFTP サーバの Cisco Unified サービスアビリティで、Cisco CallManager サービスと Cisco TFTP サービスを再起動します。 |
Cisco CTL クライアントは、次のタスクを実行します。
(注) |
Cisco Unified Communications Manager クラスタ セキュリティ パラメータは、Cisco Unified Communications Manager Administration の [エンタープライズパラメータ設定(Enterprise Parameters Configuration)] ウィンドウで混合モードに設定することはできません。 クラスタ セキュリティ モードは Cisco CTL クライアントまたは CLI コマンド セットの utils ctl を通じて設定できます。 |
CTL ファイルにより、電話接続用の TLS をサポートするサーバが示されます。 クライアントは自動的に、 Cisco Unified Communications Manager、Cisco CAPF、および ASA ファイアウォールを検出し、これらのサーバの証明書エントリを追加します。
設定時に挿入したセキュリティ トークンによって CTL ファイルに署名されます。
(注) |
Cisco CTL クライアントは、スーパークラスタ サポートも提供します。スーパークラスタには、最大 16 のコールを処理するサーバ、1 つのパブリッシャ、2 つの TFTP サーバ、および最大 9 つのメディア リソース サーバが含まれます。 |
ヒント |
Cisco CTL クライアントは、スケジューリングされたメンテナンス期間中に設定します。これは、クラスタ内で Cisco CallManager サービスおよび Cisco TFTP サービスを実行するすべてのサーバでこれらのサービスを再起動する必要があるためです。 |
Cisco CTL クライアントの設定が完了すると、CTL クライアントは次のタスクを実行します。
クライアントを設定するには、次の手順を実行します。
(注) |
CLI コマンド セットの utils ctl を通じてクラスタ セキュリティを管理する場合、この手順は不要です。 |
ヒント |
Cisco Unified Communications Manager をアップグレードする場合の CTL ファイルの設定に関するより詳細な情報については、Cisco CTL クライアントのアップグレードおよび Cisco CTL ファイルの移行に関連したトピックを参照してください。 |
Cisco CTL クライアントを設定する前に、Cisco CTL Provider サービスおよび Cisco Certificate Authority Proxy Function サービスを Cisco Unified サービスアビリティでアクティブにしたことを確認します。 少なくとも 2 つのセキュリティ トークンを入手します。これらのセキュリティ トークンは、シスコの認証局が発行します。 シスコから取得したセキュリティ トークンを使用する必要があります。 トークンを一度に 1 つずつサーバまたはワークステーションの USB ポートに挿入します。 サーバに USB ポートがない場合は、USB PCI カードを使用することができます。
次のパスワード、ホスト名または IP アドレス、ポート番号を取得します。
ヒント |
管理ユーザ名は、エンドユーザではなく、アプリケーション ユーザである必要があり、また、スーパーユーザ権限を持つスーパーユーザ グループのメンバーでなければなりません。 |
これらの説明については、表 1を参照してください。
ヒント |
Cisco CTL クライアントをインストールする前に、サーバへのネットワーク接続を確認します。 ネットワーク接続が確立されていることを確認するには、 『Cisco Unified Communications Operating System Administration Guide』の説明に従って ping コマンドを実行します。 クラスタ環境では、クラスタ内のすべてのサーバにネットワーク接続できることを確認してください。 |
複数の Cisco CTL クライアントをインストールした場合、 Cisco Unified Communications Manager では一度に 1 台のクライアントの CTL 設定情報しか受け入れません。ただし、設定作業は同時に 5 台までの Cisco CTL クライアントで実行できます。 あるクライアントで設定作業を実行している間、その他のクライアントで入力した情報は Cisco Unified Communications Manager によって自動的に保存されます。
Cisco CTL クライアントの設定が完了すると、CTL クライアントは次のタスクを実行します。
ステップ 1 | 購入したセキュリティ トークンを少なくとも 2 つ入手します。 | ||
ステップ 2 | 次のいずれかの手順を実行します。 | ||
ステップ 3 | 表 1の説明に従って、 Cisco Unified Communications Manager サーバの設定項目を入力して、[次へ(Next)] をクリックします。 | ||
ステップ 4 |
[
Cisco Unified Communications Managerクラスタを混合モードに設定する(Set Cisco Unified Communications Manager Cluster to Mixed Mode)] をクリックして、[次へ(Next)] をクリックします。 フィールドの説明については、表 1を参照してください。 |
||
ステップ 5 |
設定する内容に応じて、次の作業を実行します。
|
||
ステップ 6 | アプリケーションが要求したら、現在 Cisco CTL クライアントを設定しているワークステーションまたはサーバで使用可能な USB ポートにセキュリティ トークンを 1 つ挿入して、[OK] をクリックします。 | ||
ステップ 7 | 挿入したセキュリティ トークンについての情報が表示されます。[追加(Add)] をクリックします。 | ||
ステップ 8 | 検出された証明書エントリがペインに表示されます。 | ||
ステップ 9 | 他のセキュリティ トークン(複数も可能)を証明書信頼リストに追加するには、[トークンの追加(Add Tokens)] をクリックします。 | ||
ステップ 10 | サーバまたはワークステーションに挿入したトークンを取り外していない場合は、取り外します。 アプリケーションが要求したら、次のトークンを挿入して [OK] をクリックします。 | ||
ステップ 11 | 2 番めのセキュリティ トークンについての情報が表示されます。[追加(Add)] をクリックします。 | ||
ステップ 12 | すべてのセキュリティ トークンについて、Cisco CTL クライアントの設定 ~Cisco CTL クライアントの設定 を繰り返します。 | ||
ステップ 13 | 証明書エントリがペインに表示されます。 | ||
ステップ 14 |
設定項目を入力します。 フィールドの説明については、表 1を参照してください。 |
||
ステップ 15 | [次へ(Next)] をクリックします。 | ||
ステップ 16 |
設定項目を入力して、[次へ(Next)] をクリックします。 フィールドの説明については、表 1を参照してください。 |
||
ステップ 17 | すべてのセキュリティ トークンおよびサーバを追加したら、[終了(Finish)] をクリックします。 | ||
ステップ 18 |
セキュリティ トークンのユーザ パスワードを入力し、[OK] をクリックします。 フィールドの説明については、表 1を参照してください。 |
||
ステップ 19 | クライアントによって CTL ファイルが作成されると、各サーバのウィンドウに、サーバ、ファイル ロケーション、および CTL ファイルのステータスが表示されます。 [終了(Finish)] をクリックします。 | ||
ステップ 20 | スタンドアロン サーバまたはクラスタのすべてのデバイスをリセットします。 | ||
ステップ 21 |
Cisco Unified サービスアビリティで、Cisco CallManager サービスと Cisco TFTP サービスを再起動します。
|
||
ステップ 22 | CTL クライアントを通じて CTL ファイルを作成したら、USB ポートからセキュリティ トークンを取り外すことができます。 すべてのセキュリティ トークンを安全な場所に格納します。 |
(注) |
CLI コマンド セットの utils ctl を通じてクラスタ セキュリティを管理する場合、この手順は不要です。 |
(注) |
ノードをセキュア クラスタに追加する手順については、『 Installing Cisco Unified Communications Manager』を参照してください。このマニュアルには、ノードを追加する方法、および新しいノード用にセキュリティを設定する方法が記載されています。 |
(注) |
ドメイン名を混合モードの Cisco Unified Communications Manager クラスタで追加または変更する場合は、CTL クライアントを再実行する必要があります。再実行しないと、電話設定ファイルに対する変更は有効になりません。 |
ヒント |
ファイルの更新は、コール処理がほとんど中断されないときに実行することを強く推奨します。 |
ステップ 1 | 最新の CTL ファイルを設定するために挿入したセキュリティ トークンを 1 つ入手します。 | ||
ステップ 2 | インストールしたワークステーションまたはサーバのデスクトップにある Cisco CTL クライアントのアイコンをダブルクリックします。 | ||
ステップ 3 |
Cisco Unified Communications Manager サーバの設定項目を入力して、[次へ(Next)] をクリックします。 フィールドの説明については、表 1を参照してください。
|
||
ステップ 4 |
CTL ファイルを更新するには、[CTL ファイルの更新(Update CTL File)] をクリックして、[次へ(Next)] をクリックします。 フィールドの説明については、表 1を参照してください。
|
||
ステップ 5 | 現在 CTL ファイルを更新しているワークステーションまたはサーバで使用可能な USB ポートにまだセキュリティ トークンを挿入していない場合は、いずれかのセキュリティ トークンを挿入してから [OK] をクリックします。 | ||
ステップ 6 |
挿入したセキュリティ トークンについての情報が表示されます。[次へ(Next)] をクリックします。 検出された証明書エントリがペインに表示されます。
|
||
ステップ 7 | 既存の Cisco CTL エントリを更新するか、セキュリティ トークンを追加または削除します。 | ||
ステップ 8 |
CTL ファイルの更新が終了したら、
Cisco Unified サービスアビリティで、Cisco CallManager サービスと Cisco TFTP サービスを再起動します。
|
Cisco CTL クライアントの [CTLエントリ] ウィンドウに表示される一部の CTL エントリは、いつでも削除することができます。
Cisco Unified Communications Manager、Cisco TFTP、ASA ファイアウォール、または Cisco CAPF を実行するサーバを、CTL ファイルから削除することはできません。
CTL ファイルには常に 2 つのセキュリティ トークン エントリが存在している必要があります。 ファイルからセキュリティ トークンをすべて削除することはできません。 または、CLI コマンドの utils ctl update CTLFile を使用して CTL ファイルを更新できます。
|
クラスタのセキュリティ モードを設定するには、Cisco CTL クライアントを使用する必要があります。 Cisco Unified Communications Manager のセキュリティ モードは、 Cisco Unified Communications Manager の管理ページの [エンタープライズパラメータ設定(Enterprise Parameters Configuration)] ウィンドウから変更することはできません。
(注) |
クラスタ セキュリティ モードは、スタンドアロン サーバまたはクラスタのセキュリティ機能を設定します。 |
Cisco CTL クライアントの初期設定後にクラスタ セキュリティ モードを変更するには、CTL ファイルを更新する必要があります。
クラスタ セキュリティ モードを混合モードから非セキュア モードに変更した場合、CTL ファイルはサーバに存在したままですが、CTL ファイルに証明書は含まれません。 CTL ファイルに証明書が存在しないため、電話機は署名なし設定ファイルを要求し、非セキュアとして Cisco Unified Communications Manager に登録されます。
詳細については、表 1を参照してください。 |
クラスタのセキュリティ モードは、次の表にあるように、非セキュア モードまたは混合モードのいずれかに設定できます。 混合モードだけが認証、シグナリング暗号化、およびメディア暗号化をサポートしています。
(注) |
クラスタ セキュリティ モードは、スタンドアロン サーバまたはクラスタのセキュリティ機能を設定します。 |
次の表を使用して、初めての Cisco CTL クライアント設定、CTL ファイルの更新、または混合モードから非セキュア モードへの変更を行うことができます。
[Cisco Unified CMサーバ( Cisco Unified Communications Manager Server)] |
|||
[ポート(Port)] |
この Cisco Unified Communications Manager サーバで実行されている Cisco CTL Provider サービスの CTL ポート番号を入力します。 デフォルトのポート番号は 2444 です。 |
||
[ユーザ名とパスワード(Username and Password)] |
最初のノードでスーパーユーザ管理特権を持つアプリケーション ユーザのユーザ名とパスワードを入力します。 |
||
[ Cisco Unified Communications Managerクラスタを混合モードに設定する(Cisco Unified Communications Manager Cluster to Mixed Mode)] |
混合モードでは、認証済み、暗号化済み、および非セキュアな Cisco Unified IP Phone を Cisco Unified Communications Manager に登録できます。 このモードの場合、 Cisco Unified Communications Manager は、認証済みまたは暗号化済みのデバイスがセキュアなポートを使用するようにします。
|
||
[ Cisco Unified Communications Managerクラスタを非セキュアモードにする(Cisco Unified Communications Manager Cluster to Non-Secure Mode)] |
非セキュア モードに設定すると、すべてのデバイスは非認証として登録され、 Cisco Unified Communications Manager はイメージ認証のみサポートします。 このモードを選択すると、Cisco CTL クライアントは CTL ファイルにあるすべてのエントリの証明書を削除しますが、CTL ファイルは引き続き指定したディレクトリに存在します。 電話機は署名なし設定ファイルを要求し、非セキュアとして Cisco Unified Communications Manager に登録されます。
|
||
CTL ファイルの作成後にこのファイルを変更するには、このオプションを選択する必要があります。 このオプションを選択することにより、 Cisco Unified Communications Manager のセキュリティ モードが変更されないようにします。 |
|||
証明書信頼リスト(CTL)にセキュリティ トークンを追加するには、このボタンをクリックします。 サーバまたはワークステーションに最初に挿入したトークンを取り外していない場合は、取り外します。 アプリケーションが要求したら、次のトークンを挿入して [OK] をクリックします。 追加したセキュリティ トークンについての情報が表示されたら、[追加(Add)] をクリックします。 すべてのセキュリティ トークンについて、これらの作業を繰り返します。 |
|||
CTL に代替 TFTP サーバを追加するには、このボタンをクリックします。 設定項目の詳細については、[代替TFTPサーバ(Alternate TFTP Server)] タブの設定項目が表示された後で [ヘルプ(Help)] ボタンをクリックします。 設定を入力したら、[次へ(Next)] をクリックします。 |
|||
CTL に ASA ファイアウォールを追加するには、このボタンをクリックします。 設定の詳細については、[ファイアウォール(Firewall)] タブの設定値が表示された後で [ヘルプ(Help)] ボタンをクリックします。 設定を入力したら、[次へ(Next)] をクリックします。 |
|||
TFTP サーバのホスト名または IP アドレスを入力します。 代替 TFTP サーバには、別のクラスタに存在する Cisco TFTP サーバを指定します。 代替 TFTP サーバの設定に 2 つの異なるクラスタを使用する場合は、両クラスタが使用するクラスタ セキュリティ モードが同じであることが必要です。これは、Cisco CTL クライアントを両方のクラスタにインストールして設定する必要があることを意味します。 さらに、同じバージョンの Cisco Unified Communications Manager が両方のクラスタで動作している必要があります。 TFTP サービス パラメータ FileLocation 内のパスが、クラスタ内のすべてのサーバで同じであることを確認してください。 |
|||
設定できません。 システムは Cisco Unified Communications Manager のポートを使用します。デフォルトのポート番号は 2444 です。 |
|||
設定できません。 システムは、 Cisco Unified Communications Manager のインストール時に設定した管理者名とパスワードを使用します。 |
|||
Cisco CTL クライアントを初めて設定するときは、デフォルト パスワードの Cisco123 を大文字と小文字を区別して入力し、証明書の秘密キーを取得して CTL ファイルが署名済みであることを確認します。 |
クラスタのセキュリティ モードを確認するには、次の手順を実行します。
(注) |
クラスタ セキュリティ モードは、スタンドアロン サーバまたはクラスタのセキュリティ機能を設定します。 |
ステップ 1 | Cisco Unified Communications Manager の管理ページで、 を選択します。 | ||
ステップ 2 |
[クラスタのセキュリティモード(Cluster Security Mode)] フィールドを見つけます。 フィールド内の値が 1 と表示される場合、
Cisco Unified Communications Manager は混合モードに正しく設定されています (詳細については、フィールド名をクリックしてください)。
|
Cisco CTL クライアント インストールにより、Smart Card サービスが無効であると検出された場合は、Cisco CTL クライアント プラグインをインストールするサーバまたはワークステーションで、Smart Card サービスを「自動」および「開始」に設定する必要があります。
ヒント |
サービスが「開始」および「自動」に設定されていない場合は、セキュリティ トークンを CTL ファイルに追加できません。 |
ヒント |
オペレーティング システムのアップグレード、サービス リリースの適用、 Cisco Unified Communications Manager のアップグレードなどを行った後は、Smart Card サービスが「開始」および「自動」になっていることを確認してください。 |
ステップ 1 | Cisco CTL クライアントをインストールしたサーバまたはワークステーションで、 の順に選択するか、 の順に選択します。 |
ステップ 2 | [サービス] ウィンドウで、[Smart Card] サービスを右クリックし、[プロパティ]を選択します。 |
ステップ 3 | [プロパティ] ウィンドウに [全般] タブが表示されていることを確認します。 |
ステップ 4 | [スタートアップの種類] ドロップダウン リスト ボックスから、[自動] を選択します。 |
ステップ 5 | [適用] をクリックします。 |
ステップ 6 | [サービスの状態] 領域で、[開始] をクリックします。 |
ステップ 7 | [OK] をクリックします。 |
ステップ 8 | サーバまたはワークステーションをリブートし、サービスが動作していることを確認します。 |
(注) |
CLI コマンド セットの utils ctl を通じてクラスタ セキュリティを管理する場合、この手順は不要です。 |
この管理パスワードは、証明書の秘密キーを取得します。また、CTL ファイルが署名されることを保証します。 各セキュリティ トークンには、デフォルト パスワードが付属しています。 セキュリティ トークン パスワードはいつでも変更できます。 Cisco CTL クライアントによりパスワードの変更を求めるプロンプトが表示されたら、設定を続行する前にパスワードを変更する必要があります。
パスワード設定の関連情報を検討するには、[Show Tips] ボタンをクリックします。 何らかの理由でパスワードを設定できない場合は、表示されるヒントを検討してください。
Windows XP、Windows Vista、または Windows 7 のサーバまたはワークステーションでセキュリティ トークンのパスワードを変更するには、次の手順を実行します。
ステップ 1 | Cisco CTL クライアントが Windows サーバまたはワークステーションにインストールされていることを確認します。 |
ステップ 2 | Cisco CTL クライアントをインストールした Windows サーバまたはワークステーションの USB ポートにセキュリティ トークンが挿入されていなければ挿入します。 |
ステップ 3 | Cisco CTL クライアントをインストールした Windows サーバまたはワークステーションの USB ポートにセキュリティ トークンが挿入されていなければ挿入します。 |
ステップ 4 | の順に選択し、[etoken] を右クリックして、[etokenパスワードの変更] を選択します。 |
ステップ 5 | [現在のパスワード] フィールドに、最初に作成したトークン パスワードを入力します。 |
ステップ 6 | 新しいパスワードを入力します。 |
ステップ 7 | 確認のため、新しいパスワードを再入力します。 |
ステップ 8 | [OK] をクリックします。 |
注意 |
セキュアな実験環境でこの作業を実行することをお勧めします。特に、 Cisco Unified Communications Manager サーバから CTL ファイルを削除する予定がない場合にお勧めします。 |
次の状況が発生した場合は、 Cisco Unified IP Phone 上の CTL ファイルを削除してください。
CTL ファイルに署名したセキュリティ トークンをすべて紛失した。
CTL ファイルに署名したセキュリティ トークンが漏洩した。
電話機をセキュア環境からストレージ領域などに移動する。
電話機を、未知のセキュリティ ポリシーを持つ領域からセキュアな Cisco Unified Communications Manager へと移動する。
代替 TFTP サーバ アドレスを、CTL ファイル内に存在しないサーバへと変更する。
Cisco Unified IP Phone 上の CTL ファイルを削除するには、次の表にある作業を実行します。
IP Phone 上の [セキュリティ設定] メニューで、[CTLファイル]、[解除] または **# を押して、[削除] を押します。 |
|||
|
ステップ 1 | 次のいずれかの手順を実行します。 |
ステップ 2 | Cisco CTL クライアント ウィンドウの左上隅にあるアイコンをクリックします。 |
ステップ 3 | [Cisco CTL クライアントについて(About Cisco CTL Client)] を選択します。 クライアントのバージョンが表示されます。 |
Cisco CTL クライアントをアンインストールしても、CTL ファイルは削除されません。 同様に、クライアントをアンインストールしても、クラスタ セキュリティ モードと CTL ファイルは変更されません。 必要であれば、Cisco CTL クライアントをアンインストールし、クライアントを別の Windows ワークステーションまたはサーバにインストールして、同じ CTL ファイルを引き続き使用することができます。
ステップ 1 | の順に選択します。 |
ステップ 2 | クライアントがインストールされていることを確認するには、[Cisco CTL クライアント] を見つけます。 |
ステップ 3 | クライアントをアンインストールするには、[削除] をクリックします。 |
目次
- Cisco CTL クライアントの設定
- Cisco CTL クライアントの設定について
- CLI を通じたクラスタ暗号化の設定
- クラスタ暗号化のために CTL クライアントに戻る
- CTL クライアント 5.0 プラグイン用の eToken Run Time Environment 3.00 の削除
- Cisco CTL クライアントの設定のヒント
- Cisco CTL クライアントの設定
- Cisco CTL Provider サービスのアクティブ化
- Cisco CAPF サービスのアクティブ化
- TLS 接続のポートの設定
- Cisco CTL クライアントのインストール
- Windows XP、Windows Vista、および Windows 7 用の Cisco CTL クライアントのインストール
- Cisco CTL クライアントのアップグレードと Cisco CTL ファイルの移行
- Cisco CTL クライアントの設定
- CTL ファイルの更新
- CTL ファイル エントリの削除
- Cisco Unified Communications Manager のセキュリティ モードの更新
- Cisco CTL クライアントの設定項目
- Cisco Unified Communications Manager のセキュリティ モードの確認
- 開始または自動への Smart Card サービスの設定
- セキュリティ トークン パスワード(eToken)の変更
- Windows XP、Windows Vista、または Windows 7 用の eToken パスワードの変更
- Cisco Unified IP Phone 上の CTL ファイルの削除
- Cisco CTL クライアントのバージョンの特定
- Cisco CTL クライアントの確認またはアンインストール
- Cisco CTL クライアントの設定について
- CLI を通じたクラスタ暗号化の設定
- CTL クライアント 5.0 プラグイン用の eToken Run Time Environment 3.00 の削除
- Cisco CTL クライアントの設定のヒント
- Cisco CTL クライアントの設定
- Cisco CTL Provider サービスのアクティブ化
- Cisco CAPF サービスのアクティブ化
- TLS 接続のポートの設定
- Cisco CTL クライアントのインストール
- Cisco CTL クライアントのアップグレードと Cisco CTL ファイルの移行
- Cisco CTL クライアントの設定
- CTL ファイルの更新
- CTL ファイル エントリの削除
- Cisco Unified Communications Manager のセキュリティ モードの更新
- Cisco CTL クライアントの設定項目
- Cisco Unified Communications Manager のセキュリティ モードの確認
- 開始または自動への Smart Card サービスの設定
- セキュリティ トークン パスワード(eToken)の変更
- Cisco Unified IP Phone 上の CTL ファイルの削除
- Cisco CTL クライアントのバージョンの特定
- Cisco CTL クライアントの確認またはアンインストール
Cisco CTL クライアントの設定について
デバイス認証、ファイル認証、およびシグナリング認証は、証明書信頼リスト(CTL)ファイルの作成に依存します。このファイルは、USB ポートのある単一の Windows ワークステーションまたはサーバに Cisco Certificate Trust List(CTL)クライアントをインストールおよび設定したときに作成されます。
(注)
Cisco CTL クライアント用としてサポートされている Windows のバージョンは、Windows XP、Windows Vista、および Windows 7 です。 Terminal Services は、Cisco CTL クライアントのインストールに使用しないでください。 シスコは、Cisco Technical Assistance Center(TAC)がリモートでトラブルシューティングおよび設定作業を行えるように Terminal Services をインストールしています。
CTL ファイルには、次のサーバまたはセキュリティ トークンのためのエントリが含まれています。
System Administrator Security Token(SAST)
同一のサーバで実行される Cisco CallManager サービスおよび Cisco TFTP サービス
Certificate Authority Proxy Function(CAPF)
TFTP サーバ(複数可)
ASA ファイアウォール
CTL ファイルには、各サーバのサーバ証明書、公開キー、シリアル番号、署名、発行者名、サブジェクト名、サーバ機能、DNS 名、および IP アドレスが含まれます。
CTL ファイルを作成したら、Cisco CallManager サービスおよび Cisco TFTP サービスを実行するすべてのノードで、 Cisco Unified サービスアビリティを使用してこれらのサービスを再起動する必要があります。 次回、電話機を初期化するときには、CTL ファイルが TFTP サーバからダウンロードされます。 CTL ファイルに自己署名証明書を持つ TFTP サーバ エントリが含まれている場合、電話機は .sgn 形式の署名付き設定ファイルを要求します。 どの TFTP サーバにも証明書がない場合、電話機は署名なしファイルを要求します。
Cisco CTL クライアントが CTL ファイルにサーバ証明書を追加すると、CTL クライアントの GUI にこの証明書を表示できます。
ファイアウォールを CTL ファイルに設定すると、セキュアな Cisco Unified Communications Manager システムの一部として Cisco ASA ファイアウォールを保護できます。 Cisco CTL クライアントは、ファイアウォール証明書を「CCM」証明書として表示します。
Cisco Unified Communications Manager の管理では、etoken を使用して、Cisco CTL クライアントと Cisco CTL Provider との間の TLS 接続を認証します。
CLI を通じたクラスタ暗号化の設定
CLI を通じて、Cisco CTL クライアントを使用せずにクラスタ セキュリティ モードを管理できます。
次の事項を考慮してください。
この暗号化オプションは次の CLI コマンドから構成されます。
- utils ctl set-cluster mixed-mode
- CTL ファイルを更新し、クラスタを混合モードに設定します。
- utils ctl set-cluster non-secure-mode
- CTL ファイルを更新し、クラスタを非セキュア モードに設定します。
- utils ctl update CTLFile
- クラスタ内の各ノード上の CTL ファイルを更新します。
(注)
- パブリッシャ ノード上で CLI コマンドを実行する必要があります。
- CallManager 証明書を再生成すると、ファイルの署名者が変更されることに注意してください。 デフォルトでセキュリティをサポートしていない電話機では、電話機から CTL ファイルを手動で削除しない限り、新しい CTL ファイルが受け入れられません。
クラスタ暗号化のために CTL クライアントに戻る
手順CLI コマンド セットの utils ctl を使用してクラスタをセキュリティ保護した場合は、Cisco CTL クライアント オプションに戻ることができます。
暗号化のために Cisco CTL クライアント オプションに戻るか、クラスタを非セキュア モードに戻すには、この手順に従います。
ステップ 1 CLI コマンドの utils ctl set-cluster non-secure-mode を使用してクラスタを非セキュア モードに設定します。 ステップ 2 CLI コマンドの file delete tftp CTLFile.tlv を使用して、パブリッシャ ノード上の CTLFile.tlv を削除します。 ステップ 3 Windows マシン上で、Safenet 8.2 ユーティリティを開き、次の手順を実行します。 ステップ 4 Cisco Unified OS の管理 GUI で、 に移動し、次の手順を実行します。 2 つの証明書を信頼できるフォルダにインポートした後、Cisco CTL クライアントを実行し、クラスタをセキュア モードに移行できます。
CTL クライアント 5.0 プラグイン用の eToken Run Time Environment 3.00 の削除
Cisco CTL クライアントの設定のヒント
Cisco Unified Communications Manager で Cisco CTL クライアントを設定する場合は、次の点を考慮してください。
電話機はサイズの大きい CTL ファイルを受け入れることができないため、Cisco CTL クライアントは CTL ファイルのサイズを 64 KB に制限します。 CTL ファイルのサイズに影響を与えるのは、次の要因です。
クラスタ内のノードの数
ノードの数が多ければ、CTL ファイル内により多くの証明書が必要になります。
TLS プロキシで使用されているファイアウォールの数
TLS プロキシ機能を備えたファイアウォールは、ノードと同じであるため、CTL ファイルに含まれます。
外部の認証局(CA)が CAPF 証明書および CallManager 証明書に署名しているかどうか
外部の CA が署名した証明書(CAPF/CallManager)はデフォルトの自己署名証明書よりもかなり大きいため、CTL ファイルに含めることができる証明書の最大数が制限されることがあります。
これらの要因は、64 KB の CTL ファイルに含めることができる証明書の最大数を直接制限するため、セキュアな Cisco Unified Communications Manager 配備内に含めることができるノードまたはファイアウォールの最大数を示します。
Cisco Unified Communications Manager ノードのホスト名が、Cisco CTL クライアントがインストールされているリモート PC で解決可能であることを確認します。解決可能でない場合、Cisco CTL クライアントは正しく動作しません。
Cisco CTL Provider サービスをアクティブにする必要があります。 クラスタ環境がある場合は、クラスタ内のすべてのサーバで Cisco CTL Provider サービスをアクティブにする必要があります。
- CTL ファイルを作成または更新したら、これらのサービスを実行するすべての Cisco Unified Communications Manager サーバおよびクラスタ内のすべての TFTP サーバで Cisco Unified サービスアビリティを使用して、Cisco CallManager サービスおよび Cisco TFTP サービスを再起動する必要があります。
Cisco CTL クライアントに、代替 TFTP サーバまたは集中 TFTP サーバなどのクラスタ外サーバのエントリが含まれている場合、これらのサーバでも Cisco CTL Provider サービスを実行する必要があります。
Cisco CTL クライアント GUI の代替 TFTP サーバのセクションで、別のクラスタに存在する Cisco TFTP サーバを指定します。 [代替TFTPサーバ(Alternate TFTP Server)] タブの設定値を使用して、代替 TFTP サーバおよび集中 TFTP サーバを Cisco CTL クライアントに設定します。
(注)
TFTP サービス パラメータを使用したクラスタ外の(代替および集中)TFTPサーバの設定方法の詳細については、『Cisco Unified Communications Manager System Guide』の「Cisco TFTP」を参照してください。
Cisco CTL クライアントの設定
手順CTL クライアント オプションを使用している場合は、この手順に従います。
(注)
この手順では、Cisco CTL クライアント用に設定するサーバについて、少なくとも 2 つのセキュリティ トークン、パスワード、ホスト名または IP アドレス、およびポート番号を入手することが必要です。次に表に、初めて Cisco CTL クライアントをインストールおよび設定する場合に実行する設定作業のリストを示します。 Cisco Unified Communications Manager をアップグレードする場合の CTL ファイルの設定に関するより詳細な情報については、Cisco CTL クライアントのアップグレードおよび Cisco CTL ファイルの移行に関連したトピックを参照してください。
ステップ 1 Cisco CTL クライアント用に設定するサーバについて、少なくとも 2 つのセキュリティ トークンとパスワード、ホスト名または IP アドレス、およびポート番号を入手します。 ステップ 2 クラスタ内のすべてのサーバがオンラインになっており、CTL クライアントが実行されている PC からアクセスできることを確認します。 サーバがホスト名を使用して設定されている場合は、ホスト名を ping して到達可能性を確認します。 ステップ 3 クラスタ サーバのすべてのホスト名が、パブリッシャ サーバに設定されている DNS サーバで定義されていることを確認します。 ステップ 4 Cisco Unified サービスアビリティの Cisco CTL Provider サービスをアクティブにします。 クラスタの各 Cisco Unified Communications Manager サーバの Cisco CTL Provider サービスをアクティブにします。
ヒント Cisco Unified Communications Manager のアップグレード前にこのサービスをアクティブにした場合は、サービスを再度アクティブにする必要はありません。 アップグレード後にサービスは自動的にアクティブになります。 ステップ 5 Cisco Unified サービスアビリティの Cisco Certificate Authority Proxy サービスをアクティブにします。
ヒント クラスタ内の最初のノードでのみ Cisco Certificate Authority Proxy サービスをアクティブにします。
ワンポイント アドバイス Cisco CTL クライアントをインストールして設定する前にこの作業を実行すれば、CAPF を使用するために CTL ファイルを更新する必要がなくなります。
ステップ 6 デフォルト設定を使用しない場合は、TLS 接続用のポートを設定します。
ヒント Cisco Unified Communications Manager のアップグレードの前にこれらの設定項目を設定した場合は、設定項目は自動的に移行されます。 ステップ 7 Cisco CTL クライアントをインストールします。 ステップ 8 Cisco CTL クライアントを設定します。
関連タスク
関連情報
Cisco CTL Provider サービスのアクティブ化
手順Cisco CTL クライアントの設定後、Cisco CTL Provider サービスによってセキュリティ モードが非セキュア モードから混合モードに変更され、サーバ証明書が CTL ファイルに転送されます。 その後、このサービスによって、CTL ファイルがすべての Cisco Unified Communications Manager および Cisco TFTP サーバに転送されます。
このサービスをアクティブ化してから Cisco Unified Communications Manager をアップグレードすると、 Cisco Unified Communications Manager は、アップグレード後にサービスを自動的に再アクティブ化します。
ヒント
クラスタ内のすべてのサーバで Cisco CTL Provider サービスをアクティブにする必要があります。
ステップ 1 Cisco Unified サービスアビリティで、 の順に選択します。 ステップ 2 [Servers] ドロップダウン リスト ボックスで、Cisco CallManager サービスまたは Cisco TFTP サービスをアクティブにしたサーバを選択します。 ステップ 3 [Cisco CTL Provider] サービス オプション ボタンをクリックします。 ステップ 4 [Save] をクリックします。
ヒント クラスタ内のすべてのサーバで、この手順を実行します。
(注) Cisco CTL Provider サービスをアクティブにする前に、CTL ポートを入力できます。 デフォルトのポート番号を変更する場合は、TLS の接続用ポートの設定に関連したトピックを参照してください。
ステップ 5 サービスがサーバで実行されていることを確認します。 Cisco Unified サービスアビリティで、 の順に選択してサービスの状態を確認します。
関連タスク
関連情報
TLS 接続のポートの設定
手順デフォルトのポートが現在使用中の場合や、ファイアウォールを使用していてファイアウォール内のポートを使用できない場合には、異なる TLS ポート番号の設定が必要になることもあります。
- Cisco CTL Provider の TLS 接続用デフォルト ポートは 2444 です。 Cisco CTL Provider ポートは、Cisco CTL クライアントからの要求をモニタします。 このポートでは、CTL ファイルの取得、クラスタ セキュリティ モードの設定、CTL ファイルの TFTP サーバへの保存など、Cisco CTL クライアントの要求を処理します。
(注)
クラスタ セキュリティ モードは、スタンドアロン サーバまたはクラスタのセキュリティ機能を設定します。
- イーサネット電話ポートは、SCCP を実行する電話機からの登録要求をモニタします。 非セキュア モードの場合、電話機はポート 2000 を介して接続されます。 混合モードの場合、TLS 接続の Cisco Unified Communications Manager ポートは、 Cisco Unified Communications Manager のポート番号に 443 を加算(+)した番号になります。したがって、 Cisco Unified Communications Manager のデフォルトの TLS 接続ポートは 2443 になります。 ポート番号が現在使用中の場合や、ファイアウォールを使用していてファイアウォール内のポートを使用できない場合にのみ、この設定を更新します。
- SIP セキュア ポートを使用すると、 Cisco Unified Communications Manager は、SIP を実行する電話機からの SIP メッセージを傍受できます。 デフォルト値は 5061 です。 このポートを変更した場合は、 Cisco Unified サービスアビリティで Cisco CallManager サービスを再起動し、SIP を実行する電話機をリセットする必要があります。
ヒント
ポートを更新した後は、 Cisco Unified サービスアビリティで Cisco CTL Provider サービスを再起動する必要があります。
ヒント
CTL ポートは、CTL クライアントが実行されているデータ VLAN に対して開いている必要があります。
ステップ 1 変更するポートに応じて、次の作業を実行します。 ステップ 2 Cisco CTL Provider ポートを変更するには、 Cisco Unified Communications Manager の管理ページで、 を選択します。 ステップ 3 [サーバ(Server)] ドロップダウン リスト ボックスで、Cisco CTL Provider サービスを実行しているサーバを選択します。 ステップ 4 [サービス(Service)] ドロップダウン リスト ボックスで、Cisco CTL Provider サービスを選択します。
ヒント サービス パラメータの詳細については、疑問符またはリンク名をクリックしてください。
ステップ 5 Port Number パラメータの値を変更するには、[パラメータ値(Parameter Value)] フィールドに新しいポート番号を入力します。 ステップ 6 [保存(Save)] をクリックします。 ステップ 7 [イーサネット電話ポート(Ethernet Phone Port)] または [SIP電話セキュアポート(SIP Phone Secure Port)] の設定を変更するには、 Cisco Unified Communications Manager の管理ページで の順に選択します。 ステップ 8 『Cisco Unified Communications Manager アドミニストレーション ガイド』の説明に従い、Cisco CallManager サービスを実行しているサーバを検索します。結果が表示されたら、サーバの [名前(Name)] リンクをクリックします。 ステップ 9 [Cisco Unified Communications Manager] 設定ウィンドウが表示されたら、[イーサネット電話ポート(Ehternet Phone Port)] フィールドまたは [SIP電話セキュアポート(SIP Phone Secure Port)] フィールドに新しいポート番号を入力します。 ステップ 10 電話機をリセットし、 Cisco Unified サービスアビリティで Cisco CallManager サービスを再起動します。 ステップ 11 [保存(Save)] をクリックします。
関連情報
Cisco CTL クライアントのインストール
(注)
CLI を使用してクラスタ セキュリティを管理する場合、この手順は不要です。次のイベントが発生するときには、クライアントを使用して CTL ファイルを更新する必要があります。
- クラスタ セキュリティ モードの最初の設定時
- CTL ファイルの最初の作成時
- Cisco Unified Communications Manager のインストール後
- Cisco Unified Communications Manager サーバまたは Cisco Unified Communications Manager データの復元後
- Cisco Unified Communications Manager サーバの IP アドレスまたはホスト名の変更後
- セキュリティ トークンの追加後または削除後(Cisco CTL クライアントを使用している場合)
- ASA ファイアウォールの追加後または削除後
- TFTP サーバの追加後または削除後
- Cisco Unified Communications Manager サーバの追加後または削除後
- サードパーティの CA 署名証明書をプラットフォームにアップロードした後
ヒント
クライアントをインストールしようとしているサーバまたはワークステーションで、Smart Card サービスが「開始」および「自動」に設定されていない場合、インストールは失敗します。
Windows XP、Windows Vista、および Windows 7 用の Cisco CTL クライアントのインストール
手順
ステップ 1 『Cisco Unified Communications Manager アドミニストレーション ガイド』の説明に従い、クライアントをインストールする予定の Windows ワークステーションまたはサーバから Cisco Unified Communications Manager の管理ページに移動します。 ステップ 2 Cisco Unified Communications Manager の管理ページで、 の順に選択します。 [プラグインの検索/一覧表示(Find and List Plugins)] ウィンドウが表示されます。
ステップ 3 [プラグインタイプが次に等しい(Plugin Type equals)] ドロップダウン リスト ボックスから [インストール(Installation)] を選択し、[検索(Find)] をクリックします。 ステップ 4 Cisco CTL クライアントを見つけます。 ステップ 5 ファイルをダウンロードするには、ウィンドウの左側の、Cisco CTL クライアント プラグイン名のちょうど反対側にある [ダウンロード(Download)] をクリックします。 ステップ 6 [保存(Save)] をクリックして、ファイルを任意の場所に保存します。 ステップ 7 インストールを開始するには、[Cisco CTL クライアント(Cisco CTL Client)](ファイルを保存した場所によってアイコンまたは実行ファイルになります)をダブルクリックします。
(注) [ダウンロードの完了(Download Complete)] ボックスで [ファイルを開く(Open)] をクリックすることもできます。
ステップ 8 Cisco CTL クライアントのバージョンが表示されるので、[次へ(Next)] をクリックします。 ステップ 9 インストール ウィザードが表示されます。 [次へ(Next)] をクリックします。 ステップ 10 使用許諾契約に同意して [次へ(Next)] をクリックします。 ステップ 11 クライアントをインストールするフォルダを選択します。 必要な場合は、[参照(Browse)] をクリックしてデフォルトの場所を変更します。場所を選択したら、[次へ(Next)] をクリックします。 ステップ 12 インストールを開始するには、[次へ(Next)] をクリックします。 ステップ 13 インストールが完了したら、[完了(Finish)] をクリックします。
Cisco CTL クライアントのアップグレードと Cisco CTL ファイルの移行
手順Cisco Unified Communications Manager Release 5.x から 6.x にアップグレードした後で CTL ファイルを変更するには、アップグレード前にインストールしていた Cisco CTL クライアントをアンインストールし、最新の Cisco CTL クライアントをインストールし、CTL ファイルを再生成する必要があります。 アップグレード前にサーバの削除や追加を実行しなかった場合は、アップグレード後に Cisco CTL クライアントを再設定する必要はありません。 Cisco Unified Communications Manager のアップグレードにより、CTL ファイル内のデータは自動的に移行されます。
Cisco Unified Communications Manager 4.x からリリース 6.x にアップグレードし、セキュリティがクラスタ上で有効になっている場合は、アップグレード前にインストールしていた Cisco CTL クライアントをアンインストールし、最新の Cisco CTL クライアントをインストールして CTL ファイルを再生成する必要があります。 アップグレードされたクラスタのセキュリティを有効にするには、次の手順に従います。
ステップ 1 既存の Cisco CTL クライアントをアンインストールします。 ステップ 2 新しい Cisco CTL クライアントをインストールします。 ステップ 3 以前に使用していた USB キーの少なくとも 1 つを使用して、Cisco CTL クライアントを実行します。 ステップ 4 これらのサービスを実行するすべての Cisco Unified Communications Manager サーバおよびクラスタ内のすべての TFTP サーバの Cisco Unified サービスアビリティで、Cisco CallManager サービスと Cisco TFTP サービスを再起動します。
関連タスク
関連資料
関連情報
Cisco CTL クライアントの設定
重要: この情報は CTL クライアント暗号化オプションに適用されます。 utils ctl CLI コマンド セットを使用して暗号化を設定することもできます。 このオプションの詳細については、 『Command Line Interface Guide for Cisco Unified Communications Solutions』を参照してください。Cisco CTL クライアントは、次のタスクを実行します。
(注)
Cisco Unified Communications Manager クラスタ セキュリティ パラメータは、Cisco Unified Communications Manager Administration の [エンタープライズパラメータ設定(Enterprise Parameters Configuration)] ウィンドウで混合モードに設定することはできません。 クラスタ セキュリティ モードは Cisco CTL クライアントまたは CLI コマンド セットの utils ctl を通じて設定できます。
- 証明書信頼リスト(CTL)を作成します。これは、セキュリティ トークン、 Cisco Unified Communications Manager、ASA ファイアウォール、および CAPF サーバ用の証明書エントリが含まれたファイルです。
CTL ファイルにより、電話接続用の TLS をサポートするサーバが示されます。 クライアントは自動的に、 Cisco Unified Communications Manager、Cisco CAPF、および ASA ファイアウォールを検出し、これらのサーバの証明書エントリを追加します。
設定時に挿入したセキュリティ トークンによって CTL ファイルに署名されます。
(注)
Cisco CTL クライアントは、スーパークラスタ サポートも提供します。スーパークラスタには、最大 16 のコールを処理するサーバ、1 つのパブリッシャ、2 つの TFTP サーバ、および最大 9 つのメディア リソース サーバが含まれます。
ヒント
Cisco CTL クライアントは、スケジューリングされたメンテナンス期間中に設定します。これは、クラスタ内で Cisco CallManager サービスおよび Cisco TFTP サービスを実行するすべてのサーバでこれらのサービスを再起動する必要があるためです。
Cisco CTL クライアントの設定が完了すると、CTL クライアントは次のタスクを実行します。
- CTL ファイルを Cisco Unified Communications Manager サーバに書き込みます。
- CAPF capf.cer をクラスタ内のすべての Cisco Unified Communications Manager 後続ノード(最初のノード以外)に書き込みます。
- PEM 形式の CAPF 証明書ファイルをクラスタ内のすべての Cisco Unified Communications Manager 後続ノード(最初のノード以外)に書き込みます。
- すべての設定済み TFTP サーバにこのファイルを書き込みます。
- すべての設定済み ASA ファイアウォールにこのファイルを書き込みます。
- CTL ファイルを作成した時点で USB ポートに存在するセキュリティ トークンの秘密キーを使用して、CTL ファイルに署名します。
クライアントを設定するには、次の手順を実行します。
(注)
CLI コマンド セットの utils ctl を通じてクラスタ セキュリティを管理する場合、この手順は不要です。はじめる前に手順
ヒント
Cisco Unified Communications Manager をアップグレードする場合の CTL ファイルの設定に関するより詳細な情報については、Cisco CTL クライアントのアップグレードおよび Cisco CTL ファイルの移行に関連したトピックを参照してください。Cisco CTL クライアントを設定する前に、Cisco CTL Provider サービスおよび Cisco Certificate Authority Proxy Function サービスを Cisco Unified サービスアビリティでアクティブにしたことを確認します。 少なくとも 2 つのセキュリティ トークンを入手します。これらのセキュリティ トークンは、シスコの認証局が発行します。 シスコから取得したセキュリティ トークンを使用する必要があります。 トークンを一度に 1 つずつサーバまたはワークステーションの USB ポートに挿入します。 サーバに USB ポートがない場合は、USB PCI カードを使用することができます。
次のパスワード、ホスト名または IP アドレス、ポート番号を取得します。
ヒント
管理ユーザ名は、エンドユーザではなく、アプリケーション ユーザである必要があり、また、スーパーユーザ権限を持つスーパーユーザ グループのメンバーでなければなりません。
これらの説明については、表 1を参照してください。
ヒント
Cisco CTL クライアントをインストールする前に、サーバへのネットワーク接続を確認します。 ネットワーク接続が確立されていることを確認するには、 『Cisco Unified Communications Operating System Administration Guide』の説明に従って ping コマンドを実行します。 クラスタ環境では、クラスタ内のすべてのサーバにネットワーク接続できることを確認してください。
複数の Cisco CTL クライアントをインストールした場合、 Cisco Unified Communications Manager では一度に 1 台のクライアントの CTL 設定情報しか受け入れません。ただし、設定作業は同時に 5 台までの Cisco CTL クライアントで実行できます。 あるクライアントで設定作業を実行している間、その他のクライアントで入力した情報は Cisco Unified Communications Manager によって自動的に保存されます。
Cisco CTL クライアントの設定が完了すると、CTL クライアントは次のタスクを実行します。
- CTL ファイルを Cisco Unified Communications Manager サーバに書き込みます。
- CAPF capf.cer をクラスタ内のすべての Cisco Unified Communications Manager 後続ノード(最初のノード以外)に書き込みます。
- PEM 形式の CAPF 証明書ファイルをクラスタ内のすべての Cisco Unified Communications Manager 後続ノード(最初のノード以外)に書き込みます。
- すべての設定済み TFTP サーバにこのファイルを書き込みます。
- すべての設定済み ASA ファイアウォールにこのファイルを書き込みます。
- CTL ファイルを作成した時点で USB ポートに存在するセキュリティ トークンの秘密キーを使用して、CTL ファイルに署名します。
ステップ 1 購入したセキュリティ トークンを少なくとも 2 つ入手します。 ステップ 2 次のいずれかの手順を実行します。 ステップ 3 表 1の説明に従って、 Cisco Unified Communications Manager サーバの設定項目を入力して、[次へ(Next)] をクリックします。 ステップ 4 [ Cisco Unified Communications Managerクラスタを混合モードに設定する(Set Cisco Unified Communications Manager Cluster to Mixed Mode)] をクリックして、[次へ(Next)] をクリックします。 フィールドの説明については、表 1を参照してください。
ステップ 5 設定する内容に応じて、次の作業を実行します。
ステップ 6 アプリケーションが要求したら、現在 Cisco CTL クライアントを設定しているワークステーションまたはサーバで使用可能な USB ポートにセキュリティ トークンを 1 つ挿入して、[OK] をクリックします。 ステップ 7 挿入したセキュリティ トークンについての情報が表示されます。[追加(Add)] をクリックします。 ステップ 8 検出された証明書エントリがペインに表示されます。 ステップ 9 他のセキュリティ トークン(複数も可能)を証明書信頼リストに追加するには、[トークンの追加(Add Tokens)] をクリックします。 ステップ 10 サーバまたはワークステーションに挿入したトークンを取り外していない場合は、取り外します。 アプリケーションが要求したら、次のトークンを挿入して [OK] をクリックします。 ステップ 11 2 番めのセキュリティ トークンについての情報が表示されます。[追加(Add)] をクリックします。 ステップ 12 すべてのセキュリティ トークンについて、Cisco CTL クライアントの設定 ~Cisco CTL クライアントの設定 を繰り返します。 ステップ 13 証明書エントリがペインに表示されます。 ステップ 14 設定項目を入力します。 フィールドの説明については、表 1を参照してください。
ステップ 15 [次へ(Next)] をクリックします。 ステップ 16 設定項目を入力して、[次へ(Next)] をクリックします。 フィールドの説明については、表 1を参照してください。
ステップ 17 すべてのセキュリティ トークンおよびサーバを追加したら、[終了(Finish)] をクリックします。 ステップ 18 セキュリティ トークンのユーザ パスワードを入力し、[OK] をクリックします。 フィールドの説明については、表 1を参照してください。
ステップ 19 クライアントによって CTL ファイルが作成されると、各サーバのウィンドウに、サーバ、ファイル ロケーション、および CTL ファイルのステータスが表示されます。 [終了(Finish)] をクリックします。 ステップ 20 スタンドアロン サーバまたはクラスタのすべてのデバイスをリセットします。 ステップ 21 Cisco Unified サービスアビリティで、Cisco CallManager サービスと Cisco TFTP サービスを再起動します。
ヒント これらのサービスを実行するすべての Cisco Unified Communications Manager サーバとクラスタ内のすべての TFTP サーバで、これらのサービスを再起動します。 ステップ 22 CTL クライアントを通じて CTL ファイルを作成したら、USB ポートからセキュリティ トークンを取り外すことができます。 すべてのセキュリティ トークンを安全な場所に格納します。
CTL ファイルの更新
手順
(注)
CLI コマンド セットの utils ctl を通じてクラスタ セキュリティを管理する場合、この手順は不要です。
- 新しい Cisco Unified Communications Manager サーバをクラスタに追加する場合
(注)
ノードをセキュア クラスタに追加する手順については、『 Installing Cisco Unified Communications Manager』を参照してください。このマニュアルには、ノードを追加する方法、および新しいノード用にセキュリティを設定する方法が記載されています。
- Cisco Unified Communications Manager サーバの名前または IP アドレスを変更する場合
- いずれかの設定済み TFTP サーバの IP アドレスまたはホスト名を変更する場合
- いずれかの設定済み ASA ファイアウォールの IP アドレスまたはホスト名を変更する場合
- Cisco Unified サービスアビリティで Cisco Certificate Authority Function サービスを有効にした場合
- セキュリティ トークンを追加または削除する必要がある場合
- TFTP サーバを追加または削除する必要がある場合
- Cisco Unified Communications Manager サーバを追加または削除する必要がある場合
- ASA ファイアウォールを追加または削除する必要がある場合
- Cisco Unified Communications Manager サーバまたは Cisco Unified Communications Manager データを復元する場合
- CTL ファイルを含む Cisco Unified Communications Manager クラスタで証明書を手動で再生成する場合
- 7.1.5 よりも前の CUCM バージョンから、7.1.5 以降のバージョンに更新する場合
- サードパーティの CA 署名証明書をプラットフォームにアップロードした後
(注)
ドメイン名を混合モードの Cisco Unified Communications Manager クラスタで追加または変更する場合は、CTL クライアントを再実行する必要があります。再実行しないと、電話設定ファイルに対する変更は有効になりません。
ヒント
ファイルの更新は、コール処理がほとんど中断されないときに実行することを強く推奨します。
ステップ 1 最新の CTL ファイルを設定するために挿入したセキュリティ トークンを 1 つ入手します。 ステップ 2 インストールしたワークステーションまたはサーバのデスクトップにある Cisco CTL クライアントのアイコンをダブルクリックします。 ステップ 3 Cisco Unified Communications Manager サーバの設定項目を入力して、[次へ(Next)] をクリックします。 フィールドの説明については、表 1を参照してください。
ヒント このウィンドウでは、 Cisco Unified Communications Manager サーバの設定を更新します。
ステップ 4 CTL ファイルを更新するには、[CTL ファイルの更新(Update CTL File)] をクリックして、[次へ(Next)] をクリックします。 フィールドの説明については、表 1を参照してください。
注意 CTL クライアント オプションを使用している場合に CTL ファイルをすべて更新するには、CTL ファイルにすでに存在する 1 つのセキュリティ トークンを USB ポートに挿入する必要があります。 クライアントでは、このトークンを使用して CTL ファイルの署名を検証します。 Cisco CTL クライアントによって署名が検証されるまで、新しいトークンは追加できません。 ワークステーションまたはサーバに USB ポートが 2 つある場合は、両方のセキュリティ トークンを同時に挿入しないでください。
ステップ 5 現在 CTL ファイルを更新しているワークステーションまたはサーバで使用可能な USB ポートにまだセキュリティ トークンを挿入していない場合は、いずれかのセキュリティ トークンを挿入してから [OK] をクリックします。 ステップ 6 挿入したセキュリティ トークンについての情報が表示されます。[次へ(Next)] をクリックします。 検出された証明書エントリがペインに表示されます。
ヒント このペインでは、 Cisco Unified Communications Manager、Cisco TFTP、または ASA ファイアウォールのエントリを更新できません。 Cisco Unified Communications Manager エントリを更新するには、[キャンセル(Cancel)] をクリックし、ステップ 2 ~ ステップ 6 をもう一度実行します。
ステップ 7 既存の Cisco CTL エントリを更新するか、セキュリティ トークンを追加または削除します。 ステップ 8 CTL ファイルの更新が終了したら、 Cisco Unified サービスアビリティで、Cisco CallManager サービスと Cisco TFTP サービスを再起動します。
ヒント TFTP サービスおよび Cisco CallManager サービスを実行するすべてのクラスタ内のすべてのノードで TFTP サービスおよび Cisco CallManager サービスを再起動してください。
関連タスク
関連資料
関連情報
CTL ファイル エントリの削除
手順Cisco CTL クライアントの [CTLエントリ] ウィンドウに表示される一部の CTL エントリは、いつでも削除することができます。
Cisco Unified Communications Manager、Cisco TFTP、ASA ファイアウォール、または Cisco CAPF を実行するサーバを、CTL ファイルから削除することはできません。
CTL ファイルには常に 2 つのセキュリティ トークン エントリが存在している必要があります。 ファイルからセキュリティ トークンをすべて削除することはできません。 または、CLI コマンドの utils ctl update CTLFile を使用して CTL ファイルを更新できます。
クライアントを開いて、[CTL エントリ] ウィンドウを表示するプロンプトに従い、削除する項目を強調表示してから [選択項目の削除(Delete Selected)] をクリックしてエントリを削除します。関連情報
Cisco Unified Communications Manager のセキュリティ モードの更新
手順クラスタのセキュリティ モードを設定するには、Cisco CTL クライアントを使用する必要があります。 Cisco Unified Communications Manager のセキュリティ モードは、 Cisco Unified Communications Manager の管理ページの [エンタープライズパラメータ設定(Enterprise Parameters Configuration)] ウィンドウから変更することはできません。
(注)
クラスタ セキュリティ モードは、スタンドアロン サーバまたはクラスタのセキュリティ機能を設定します。
Cisco CTL クライアントの初期設定後にクラスタ セキュリティ モードを変更するには、CTL ファイルを更新する必要があります。
クラスタ セキュリティ モードを混合モードから非セキュア モードに変更した場合、CTL ファイルはサーバに存在したままですが、CTL ファイルに証明書は含まれません。 CTL ファイルに証明書が存在しないため、電話機は署名なし設定ファイルを要求し、非セキュアとして Cisco Unified Communications Manager に登録されます。
[クラスタのセキュリティモード(Cluster Security Mode)] ウィンドウに移動して、モードの設定を変更し、[次へ(Next)]、[終了(Finish)] の順にクリックします。詳細については、表 1を参照してください。
関連タスク
Cisco CTL クライアントの設定項目
重要: この情報は CTL クライアント暗号化オプションに適用されます。 セキュリティ トークンが不要な utils ctl CLI コマンド セットを使用して暗号化を設定することもできます。 このオプションの詳細については、 『Command Line Interface Guide for Cisco Unified Communications Solutions』を参照してください。クラスタのセキュリティ モードは、次の表にあるように、非セキュア モードまたは混合モードのいずれかに設定できます。 混合モードだけが認証、シグナリング暗号化、およびメディア暗号化をサポートしています。
(注)
クラスタ セキュリティ モードは、スタンドアロン サーバまたはクラスタのセキュリティ機能を設定します。
次の表を使用して、初めての Cisco CTL クライアント設定、CTL ファイルの更新、または混合モードから非セキュア モードへの変更を行うことができます。
表 1 CTL クライアントの設定項目 [Cisco Unified CMサーバ( Cisco Unified Communications Manager Server)]
[ポート(Port)]
この Cisco Unified Communications Manager サーバで実行されている Cisco CTL Provider サービスの CTL ポート番号を入力します。 デフォルトのポート番号は 2444 です。
[ユーザ名とパスワード(Username and Password)]
最初のノードでスーパーユーザ管理特権を持つアプリケーション ユーザのユーザ名とパスワードを入力します。
[ Cisco Unified Communications Managerクラスタを混合モードに設定する(Cisco Unified Communications Manager Cluster to Mixed Mode)]
混合モードでは、認証済み、暗号化済み、および非セキュアな Cisco Unified IP Phone を Cisco Unified Communications Manager に登録できます。 このモードの場合、 Cisco Unified Communications Manager は、認証済みまたは暗号化済みのデバイスがセキュアなポートを使用するようにします。
(注) Cisco Unified Communications Manager は、混合モードが設定されている場合、自動登録を無効にします。
[ Cisco Unified Communications Managerクラスタを非セキュアモードにする(Cisco Unified Communications Manager Cluster to Non-Secure Mode)]
非セキュア モードに設定すると、すべてのデバイスは非認証として登録され、 Cisco Unified Communications Manager はイメージ認証のみサポートします。
このモードを選択すると、Cisco CTL クライアントは CTL ファイルにあるすべてのエントリの証明書を削除しますが、CTL ファイルは引き続き指定したディレクトリに存在します。 電話機は署名なし設定ファイルを要求し、非セキュアとして Cisco Unified Communications Manager に登録されます。
ヒント 電話機をデフォルトの非セキュア モードに戻すには、電話機およびすべての Cisco Unified Communications Manager サーバから CTL ファイルを削除する必要があります。 CTL ファイルの作成後にこのファイルを変更するには、このオプションを選択する必要があります。 このオプションを選択することにより、 Cisco Unified Communications Manager のセキュリティ モードが変更されないようにします。
証明書信頼リスト(CTL)にセキュリティ トークンを追加するには、このボタンをクリックします。
サーバまたはワークステーションに最初に挿入したトークンを取り外していない場合は、取り外します。 アプリケーションが要求したら、次のトークンを挿入して [OK] をクリックします。 追加したセキュリティ トークンについての情報が表示されたら、[追加(Add)] をクリックします。 すべてのセキュリティ トークンについて、これらの作業を繰り返します。
CTL に代替 TFTP サーバを追加するには、このボタンをクリックします。 設定項目の詳細については、[代替TFTPサーバ(Alternate TFTP Server)] タブの設定項目が表示された後で [ヘルプ(Help)] ボタンをクリックします。 設定を入力したら、[次へ(Next)] をクリックします。
CTL に ASA ファイアウォールを追加するには、このボタンをクリックします。 設定の詳細については、[ファイアウォール(Firewall)] タブの設定値が表示された後で [ヘルプ(Help)] ボタンをクリックします。 設定を入力したら、[次へ(Next)] をクリックします。
TFTP サーバのホスト名または IP アドレスを入力します。
代替 TFTP サーバには、別のクラスタに存在する Cisco TFTP サーバを指定します。 代替 TFTP サーバの設定に 2 つの異なるクラスタを使用する場合は、両クラスタが使用するクラスタ セキュリティ モードが同じであることが必要です。これは、Cisco CTL クライアントを両方のクラスタにインストールして設定する必要があることを意味します。 さらに、同じバージョンの Cisco Unified Communications Manager が両方のクラスタで動作している必要があります。
TFTP サービス パラメータ FileLocation 内のパスが、クラスタ内のすべてのサーバで同じであることを確認してください。
設定できません。 システムは Cisco Unified Communications Manager のポートを使用します。デフォルトのポート番号は 2444 です。
設定できません。 システムは、 Cisco Unified Communications Manager のインストール時に設定した管理者名とパスワードを使用します。
Cisco CTL クライアントを初めて設定するときは、デフォルト パスワードの Cisco123 を大文字と小文字を区別して入力し、証明書の秘密キーを取得して CTL ファイルが署名済みであることを確認します。
Cisco Unified Communications Manager のセキュリティ モードの確認
手順
ステップ 1 Cisco Unified Communications Manager の管理ページで、 を選択します。 ステップ 2 [クラスタのセキュリティモード(Cluster Security Mode)] フィールドを見つけます。 フィールド内の値が 1 と表示される場合、 Cisco Unified Communications Manager は混合モードに正しく設定されています (詳細については、フィールド名をクリックしてください)。
ヒント この値を Cisco Unified Communications Manager の管理ページで設定することはできません。 この値が表示されるのは、Cisco CTL クライアントの設定後です。
関連情報
開始または自動への Smart Card サービスの設定
手順Cisco CTL クライアント インストールにより、Smart Card サービスが無効であると検出された場合は、Cisco CTL クライアント プラグインをインストールするサーバまたはワークステーションで、Smart Card サービスを「自動」および「開始」に設定する必要があります。
ヒント
サービスが「開始」および「自動」に設定されていない場合は、セキュリティ トークンを CTL ファイルに追加できません。
ヒント
オペレーティング システムのアップグレード、サービス リリースの適用、 Cisco Unified Communications Manager のアップグレードなどを行った後は、Smart Card サービスが「開始」および「自動」になっていることを確認してください。
ステップ 1 Cisco CTL クライアントをインストールしたサーバまたはワークステーションで、 の順に選択するか、 の順に選択します。 ステップ 2 [サービス] ウィンドウで、[Smart Card] サービスを右クリックし、[プロパティ]を選択します。 ステップ 3 [プロパティ] ウィンドウに [全般] タブが表示されていることを確認します。 ステップ 4 [スタートアップの種類] ドロップダウン リスト ボックスから、[自動] を選択します。 ステップ 5 [適用] をクリックします。 ステップ 6 [サービスの状態] 領域で、[開始] をクリックします。 ステップ 7 [OK] をクリックします。 ステップ 8 サーバまたはワークステーションをリブートし、サービスが動作していることを確認します。
関連情報
セキュリティ トークン パスワード(eToken)の変更
(注)
CLI コマンド セットの utils ctl を通じてクラスタ セキュリティを管理する場合、この手順は不要です。この管理パスワードは、証明書の秘密キーを取得します。また、CTL ファイルが署名されることを保証します。 各セキュリティ トークンには、デフォルト パスワードが付属しています。 セキュリティ トークン パスワードはいつでも変更できます。 Cisco CTL クライアントによりパスワードの変更を求めるプロンプトが表示されたら、設定を続行する前にパスワードを変更する必要があります。
パスワード設定の関連情報を検討するには、[Show Tips] ボタンをクリックします。 何らかの理由でパスワードを設定できない場合は、表示されるヒントを検討してください。
Windows XP、Windows Vista、または Windows 7 用の eToken パスワードの変更
手順重要: この情報は CTL クライアント暗号化オプションに適用されます。 セキュリティ トークンが不要な utils ctl CLI コマンド セットを使用して暗号化を設定することもできます。 このオプションの詳細については、 『Command Line Interface Guide for Cisco Unified Communications Solutions』を参照してください。Windows XP、Windows Vista、または Windows 7 のサーバまたはワークステーションでセキュリティ トークンのパスワードを変更するには、次の手順を実行します。
ステップ 1 Cisco CTL クライアントが Windows サーバまたはワークステーションにインストールされていることを確認します。 ステップ 2 Cisco CTL クライアントをインストールした Windows サーバまたはワークステーションの USB ポートにセキュリティ トークンが挿入されていなければ挿入します。 ステップ 3 Cisco CTL クライアントをインストールした Windows サーバまたはワークステーションの USB ポートにセキュリティ トークンが挿入されていなければ挿入します。 ステップ 4 の順に選択し、[etoken] を右クリックして、[etokenパスワードの変更] を選択します。 ステップ 5 [現在のパスワード] フィールドに、最初に作成したトークン パスワードを入力します。 ステップ 6 新しいパスワードを入力します。 ステップ 7 確認のため、新しいパスワードを再入力します。 ステップ 8 [OK] をクリックします。
Cisco Unified IP Phone 上の CTL ファイルの削除
注意
セキュアな実験環境でこの作業を実行することをお勧めします。特に、 Cisco Unified Communications Manager サーバから CTL ファイルを削除する予定がない場合にお勧めします。
次の状況が発生した場合は、 Cisco Unified IP Phone 上の CTL ファイルを削除してください。
CTL ファイルに署名したセキュリティ トークンをすべて紛失した。
CTL ファイルに署名したセキュリティ トークンが漏洩した。
電話機をセキュア環境からストレージ領域などに移動する。
- 電話機を、非セキュア クラスタ、または異なるドメインの別のセキュア クラスタへと移動する。
電話機を、未知のセキュリティ ポリシーを持つ領域からセキュアな Cisco Unified Communications Manager へと移動する。
代替 TFTP サーバ アドレスを、CTL ファイル内に存在しないサーバへと変更する。
Cisco Unified IP Phone 上の CTL ファイルを削除するには、次の表にある作業を実行します。
表 2 Cisco Unified IP Phone 上の CTL ファイルの削除 IP Phone 上の [セキュリティ設定] メニューで、[CTLファイル]、[解除] または **# を押して、[削除] を押します。
- 『 Cisco Unified IP Phone Administration Guide for Cisco Unified Communications Manager』の説明に従って、[セキュリティ設定] メニューのロックを解除します。 CTL オプションの下にある [削除] ソフトキーを押します。
- [設定] メニューにある [削除] ソフトキーを押します。
(注) [設定] メニューにある [削除] ソフトキーを押すと、CTL ファイル以外の情報も削除されます。 詳細については、Cisco Unified Communications Manager の『 Cisco Unified IP Phone Administration Guide for Cisco Unified Communications Manager』を参照してください。
関連情報
Cisco CTL クライアントのバージョンの特定
手順
ステップ 1 次のいずれかの手順を実行します。 ステップ 2 Cisco CTL クライアント ウィンドウの左上隅にあるアイコンをクリックします。 ステップ 3 [Cisco CTL クライアントについて(About Cisco CTL Client)] を選択します。 クライアントのバージョンが表示されます。
関連情報
Cisco CTL クライアントの確認またはアンインストール
手順Cisco CTL クライアントをアンインストールしても、CTL ファイルは削除されません。 同様に、クライアントをアンインストールしても、クラスタ セキュリティ モードと CTL ファイルは変更されません。 必要であれば、Cisco CTL クライアントをアンインストールし、クライアントを別の Windows ワークステーションまたはサーバにインストールして、同じ CTL ファイルを引き続き使用することができます。
ステップ 1 の順に選択します。 ステップ 2 クライアントがインストールされていることを確認するには、[Cisco CTL クライアント] を見つけます。 ステップ 3 クライアントをアンインストールするには、[削除] をクリックします。
関連情報