音声とユニファイド コミュニケーション : Cisco Unified Communications Manager(CallManager)

Unified Communications Manager: 信頼できる(SSL)証明書のインストール

2013 年 8 月 21 日 - 機械翻訳について
その他のバージョン: PDFpdf | 英語版 (2011 年 11 月 30 日) | フィードバック


目次


概要

https:// <node>/ccmuser にアクセスするユーザが Certificate エラーを受け取らないようにこの資料に信頼された SSL 認証を作成しインストールする方法を記述されています。

前提条件

要件

Cisco は Cisco Unified Communications Manager 7.x のナレッジがあることを推奨します。

使用するコンポーネント

この文書に記載されている情報は Cisco Unified Communications Manager 7.x に基づいています。

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されたものです。 このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。 ネットワークが稼働中の場合は、コマンドが及ぼす潜在的な影響を十分に理解しておく必要があります。

表記法

ドキュメント表記の詳細は、『シスコ テクニカル ティップスの表記法』を参照してください。

HTTPS (tomcat_cert)認証

Cisco Unified Communications Manager サーバの Cisco 使用自己署名証明書デフォルトで。 この自己署名証明書が Cisco Unified Communications Manager Webページを表示すればのに使用されるブラウザにロードされなければブラウザに認証 セキュリティ メッセージが現れます。 このデフォルトの動作によって引き起こされるエラーを防ぐために自己署名証明書から認証局 署名入り認証に変更できます。 新しい Cisco Unified Ccommunications マネージャ Tomcat 認証に署名するのに使用される認証局 原証明が Webブラウザによって信頼される限り、セキュリティ メッセージが現れません。 さらに、それらは確認するユーザーのニーズ CA 署名入り認証にある同じホスト名を用いるサーバにアクセスします。

この資料のステップは自己署名証明書変更する方法をから CA 署名入り認証に説明します。

Tomcat のための認証局 署名入り認証をインストールして下さい

証明書は名前に基づいています。 証明書署名要求(CSR)を生成する前に名前が正しいことを確かめて下さい。 SSH CLI から、admin を使用して下さい: Web セキュリティ コマンドを示して下さい。 このコマンドは現在の Web セキュリティ 認証のコンテンツを表示するものです。 CSR を生成するとき正しい名前がつけられるようにホスト名および認証対象代替名を確認して下さい。

詳細については CCMAdmin Web GUI 証明書をアップロードする CUCM を参照して下さい。

この場合、Cisco Unified Communications Manager からの証明書署名要求(CSR)を生成して下さい。 次の手順を実行します。

  1. Cisco Unified Communications Manager OS 管理 ページにログイン して下さい。

  2. > Certificate Management を『Security』 を選択 して下さい。

    認証 リスト ウィンドウは表示されます。

  3. 生成する CSR ボタンをクリックして下さい。

    生成する 証明書署名要求 ダイアログボックスは現われます。

  4. Tomcat サービスを証明書名ドロップダウン リストから選択し、生成する CSR ボタンをクリックして下さい。

  5. 認証が生成されれば、ステータスメッセージは成功を示します: 生成される証明書署名要求。

    sslcert-cucm-01.gif

ダウンロード証明書署名要求(CSR)

次に証明書署名要求(CSR)を生成したこと、同じブラウザウィンドウから、認証をダウンロードして下さい。 次の手順を実行します。

  1. CSR を『Download』 をクリック して下さい。

    ダウンロード証明書署名要求 ダイアログボックスは現われます。

  2. ダウンロードするために Tomcat を選択し CSR を『Download』 をクリック して下さい。

  3. ローカル コンピュータにこのファイルを保存して下さい。 認証に署名できる機関にこのファイルを送信 して下さい。

認証に Microsoft CA によって発行されてほしい場合これらのステップを完了して下さい。 さもなければ、証明書を与える CSR を認証局(CA)によって署名されて得ることができます。

CA から CSR のための署名入り認証を得て下さい

CSR を奪取 し、Microsoft CA にロードし、インターネット 認証として署名してもらわなければなりません。 これをすれば、Microsoft CA が信頼されたルートで Cisco Unified Communications Manager どこにではないかパスに示す新しい *.csr ファイルを得ます。 CA が Windows 2003 サーバである場合 CA に CSR を入れるためにこれらのステップを完了して下さい。

  1. Notepad の前の手順でダウンロードした開き、を含む全体のコンテンツをコピーして下さい CSR ファイルを ---CERTIFICATE 要求を始めて下さい--- および ---END CERTIFICATE 要求-- 行。

  2. 証明書 サーバ Webページを開くために http:// <certificate サーバ address>/certsrv に行って下さい。

  3. [Request a certificate] をクリックします。

    認証 Webページによってが出る要求。

  4. 高度 Certificate 要求 リンクをクリックして下さい。

    高度 Certificate 要求 Webページは出ます。

  5. 送信するを Certificate 要求 base-64-encoded CMC か PKCS #10 ファイルの使用によってクリックするか、または base-64-encoded PKCS #7 ファイル リンクの使用によって更新要求を入れて下さい

    送信するは Certificate 要求または更新要求 Webページ現われます。

  6. 保存 された 要求 フィールドに step1 でコピーしたコンテンツを貼り付け、証明書のテンプレート ドロップダウン リストで『Web Server』 を選択 し、『SUBMIT』 をクリック して下さい。

    sslcert-cucm-02.gif

    認証によって発行される Webページは出ます。

    sslcert-cucm-03.gif

  7. 認証で発行された Webページは、DER を符号化された Radio ボタン クリックし、次に認証を『Download』 をクリック します。

  8. ローカル コンピュータにファイルを保存して下さい。

    注: 他の証明書を要求し、ダウンロードするためにこれらのステップを繰り返して下さい。 これらのステップを完了すれば、すべての証明書はローカル コンピュータで保存されます。

Cisco Unified Communications Manager に認証をアップロードして下さい

証明書 チェーンを確立するために、CA のためのルート/中間証明書および Tomcat のための SSL 認証を得、インストールして下さい。 Cisco Unified Communications Manager に認証をアップロードするためにこれらのステップを完了して下さい:

  1. Cisco Unified Communications Manager OS 管理 ページにログイン して下さい。

  2. > Certificate Management を『Security』 を選択 して下さい。

    認証 リスト ウィンドウは表示されます。

  3. アップ ロード Certificate ボタンをクリックして下さい。

  4. 認証タイプが Tomcat 信頼であることを確かめて下さい。

  5. 原証明を見つけるために Browse ボタンをクリックして下さい。

    sslcert-cucm-04.gif

    注: アップロードされたファイルの名前は UC-DC_PEM.cer です。 これは Base64 によって符号化される PEM ファイルです。 それが Cisco Unified Communications Manager にアップロードされて得れば、ファイル名は UCDC.pem です。 Communicatoins Cisco Unified マネージャは <SUBJECT CN>.pem にファイルの名前を変更します。

  6. 認証をアップ ロードするためにアップ ロード File ボタンをクリックして下さい。

  7. Certificate ページ同じアップ ロードで認証名前のための Tomcat を選択して下さい。

  8. 原証明 フィールドで UCDC.pem を入力して下さい。

    注: これは CA.によって発行される ID証明 規定 します 証明書 チェーンを完了するために .pem 原証明をです。 保存した原証明が UC-DC_PEM.cer と指名されるので UCDC.pem を入力して下さい

    sslcert-cucm-05.gif

  9. アップ ロード File ボタンをクリックして下さい。

    注: SSL 認証 Tomcat 信頼をアップデートすることができない場合 Cisco バグ ID CSCsv32209登録 ユーザだけ)を参照して下さい。

Tomcat を再起動して下さい

このコマンドで SSH CLI からの Tomcat を再起動して下さい:

admin: utils service restart Cisco Tomcat

Tomcat が再起動するとき、CCMAdmin にアクセスできますまたは CCMUser GUI は新たに追加された認証を確認するために使用中です。

トラブルシューティング

問題

このエラーメッセージは新しい Tomcat 認証をアップロードするとき受け取られます:

Unable to read CA certificate

解決策

この問題は .crt からの .pem へのファイル拡張子を変更した後認証をアップロードするとき引き起こされます。 その結果持っている .cer 拡張をアップロードしているファイルことを、確かめて下さい。 たとえば、アップロードされたファイルの名前は UC-DC_PEM.cer です。 これは Base64 によって符号化される PEM ファイルです。 それが Cisco Unified Communications Manager にアップロードされて得れば、ファイル名は UCDC.pem です。

問題

新しい ITL ファイルは再生されたファイルがコンフィギュレーション・ ファイルの電話およびデバイス 認証で含まれているファイルを一致するので失敗します。

解決策

ITL ファイルを手動で削除するために、削除 ITL ファイルを参照して下さい。 もう一つの可能性のある回避策は CTL ファイルおよび USB eTokens を使用してクラスタ セキュリティを可能にすることです。 信頼として適用される必要の下で、回避策のどれも eTokens によって有効に されて クラスタ セキュリティが維持されません。 これらはホスト名変更の間に変更されません。

クラスタ セキュリティが有効に ならない場合、サーバの数に基づいてクラスタで次 の ステップを実行して下さい。

単一サーバ クラスタ シナリオ

IP/ホスト名を変更させる前にイネーブル ロールバック。 次の手順を実行します。

  1. CM を準備をします本当pre-8.0 エンタープライズ パラメータにロールバックのクラスタを設定 して下さい。

  2. TV を再起動し、TFTP して下さい。

  3. すべての電話をリセットして下さい。

    電話は特別な ITL ファイルをダウンロードします空 TVS/TFTP 認証セクションが含まれている。

  4. 空 ITL ファイルは設定 > Security のチェックによって > 本当リスト > 電話、TV および TFTP の ITL 確認することができます。 セクションは空であるはずです。

  5. IP/ホスト名変更を行い、クラスタにロールバック レジスタのために設定される電話を許可して下さい。

  6. すべての電話が登録に成功したら、セットはpre-8.0 にロールバックのクラスタを準備をします。 それから、再始動 TV および TFTP、およびすべての電話リセットされる。

マルチサーバ シナリオ

すべてのサーバが電話リセットおよび TFTP 正常なトランザクションなしですぐに変更される場合のだけ主に問題。 電話は最近再生された証明書/ITL を検証するマルチサーバ配備のプライマリおよびセカンダリ TV サーバを備えなければなりません。 電話がプライマリ TV サーバを(最近のコンフィギュレーション変更による)接続できなければセカンダリに戻って落ちます。 TV サーバは電話に割り当てられる CM グループによって識別されます。 IP/ホスト名変更が 1 サーバだけで一度に実行されたことを確かめて下さい。

注: CTL ファイル/トークンをこれらのシナリオのどちらかで使用している場合、IP/ホスト名 /DNS ドメイン名への変更を行なった後 CTL クライアントを再実行する必要があります。

詳細については Cisco バグ ID CSCto59461登録 ユーザだけ)を参照して下さい。

関連するシスコ サポート コミュニティ ディスカッション

シスコ サポート コミュニティは、どなたでも投稿や回答ができる情報交換スペースです。


関連情報


Document ID: 112108