音声とユニファイド コミュニケーション : Cisco Unified Communications Manager(CallManager)

Unified Communications Manager:信頼できる(SSL)証明書のインストール

2014 年 3 月 14 日 - ライター翻訳版
その他のバージョン: PDFpdf | 機械翻訳版 (2013 年 8 月 21 日) | 英語版 (2011 年 11 月 30 日) | フィードバック

概要

このドキュメントでは、https://<node>/ccmuser にアクセスするユーザに証明書エラーが生じないように、信頼できる SSL 証明書を作成してインストールする方法について説明します。

前提条件

要件

Cisco Unified Communications Manager 7.x に関する知識があることが推奨されます。

使用するコンポーネント

このドキュメントの情報は、Cisco Unified Communications Manager 7.x に基づくものです。

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されたものです。このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。対象のネットワークが実稼働中である場合には、どのような作業についても、その潜在的な影響について確実に理解しておく必要があります。

表記法

ドキュメント表記の詳細は、『シスコ テクニカル ティップスの表記法』を参照してください。

HTTPS(tomcat_cert)証明書

シスコでは、デフォルトで Cisco Unified Communications Manager サーバに自己署名証明書を使用します。Cisco Unified Communications Manager Web ページの表示に使用するブラウザに、この自己署名証明書がロードされていないと、証明書のセキュリティ メッセージがブラウザに表示されます。自己署名証明書から認証局署名証明書に変更することで、このデフォルトの動作によるエラーの発生を防ぐことができます。新しい Cisco Unified Ccommunications Manager の tomcat 証明書の署名に使用される認証局ルート証明書が Web ブラウザで信頼されていれば、セキュリティ メッセージは表示されません。さらに、ユーザは、必ず CA 署名証明書に示されているホスト名と同じホスト名を使用してサーバにアクセスする必要があります。

このドキュメントでは、自己署名証明書から CA 署名証明書へ変更する手順について説明します。

tomcat の認証局署名証明書のインストール

証明書は名前で識別されます。証明書署名要求(CSR)を作成する前に名前が正しいことを確認する必要があります。これには、SSH CLI から admin:show web-security コマンドを使用します。このコマンドは、現在の Web セキュリティ証明書の内容を表示します。hostnamesubject alternate の名前が、CSR 生成時に使用した正しい名前であることを確認してください。

詳細については、『CCMAdmin Web GUI 証明書の CUCM へのアップロード』を参照してください。

ここで、Cisco Unified Communications Manager を使用して証明書署名要求(CSR)を生成する必要があります。次の手順を実行します。

  1. Cisco Unified Communications Manager の [OS Administration] ページにログインします。

  2. [Security] > [Certificate Management] を選択します。

    [Certificate List] ウィンドウが表示されます。

  3. [Generate CSR] ボタンをクリックします。

    [Generate Certificate Signing Request] ダイアログボックスが表示されます。

  4. [Certificate Name] ドロップダウン リストから [tomcat] サービスを選択し、[Generate CSR] ボタンをクリックします。

  5. 証明書が生成されると、ステータス メッセージ Success:Certificate Signing Request Generated が表示されます。

    sslcert-cucm-01.gif

証明書署名要求(CSR)のダウンロード

次に、証明書署名要求(CSR)を生成した同じブラウザ ウィンドウから証明書をダウンロードします。次の手順を実行します。

  1. [Download CSR] をクリックします。

    [Download Certificate Signing Request] ダイアログボックスが表示されます。

  2. ダウンロードする [tomcat] を選択し、[Download CSR] をクリックします。

  3. このファイルを、ご使用のローカル コンピュータに保存します。証明書への署名が可能な認証局に、このファイルを送信する必要があります。

Microsoft CA による証明書の発行を希望する場合は、次の手順を実行してください。あるいは、ユーザに証明書を提供する認証局(CA)で CSR の署名を取得することもできます。

CSR 用の署名済み証明書を CA から取得

CSR を Microsoft CA にロードし、インターネット証明書として署名してもらう必要があります。これが完了すると、Cisco Unified Communications Manager ではなく Microsoft CA を信頼されたルートとするパスに表される、新しい*.csr ファイルを取得できます。Windows 2003 Server の CA を使用する場合は、次の手順で CSR を CA に送信します。

  1. 前の手順でダウンロードした CSR ファイルをメモ帳で開き、---BEGIN CERTIFICATE REQUEST--- と ---END CERTIFICATE REQUEST-- の行を含めた内容全体をコピーします。

  2. http://<certificate server address>/certsrv に移動して、[Certificates Server] Web ページを開きます。

  3. [Request a certificate] をクリックします。

    [Request a Certificate] Web ページが表示されます。

  4. [Advanced certificate request] リンクをクリックします。

    [Advanced Certificate Request] Web ページが表示されます。

  5. [Submit a certificate request by using a base-64-encoded CMC or PKCS #10 file, or submit a renewal request by using a base-64-encoded PKCS #7 file] リンクをクリックします。

    [Submit a Certificate Request or Renewal Request] Web ページが表示されます。

  6. ステップ 1 でコピーした内容を [Saved Request] フィールドに貼り付けて、[Certificate Template] ドロップダウン リストで [Web Server] を選択し、[Submit] をクリックします。

    sslcert-cucm-02.gif

    [Certificate Issued] Web ページが表示されます。

    sslcert-cucm-03.gif

  7. [Certificate Issued] Web ページで、[DER encoded] オプション ボタンをクリックしてから [Download certificate] をクリックします。

  8. このファイルをローカル コンピュータに保存します。

    注:他の証明書の要求とダウンロードも上記と同じ手順で行います。これらの手順を完了すると、ご使用のローカル コンピュータにすべての証明書が保存されます。

証明書の Cisco Unified Communications Manager へのアップロード

証明書チェーンを確立するには、CA のルート/中間証明書と tomcat の SSL 証明書を取得し、インストールする必要があります。次の手順を実行して Cisco Unified Communications Manager に証明書をアップロードしてください。

  1. Cisco Unified Communications Manager の [OS Administration] ページにログインします。

  2. [Security] > [Certificate Management] を選択します。

    [Certificate List] ウィンドウが表示されます。

  3. [Upload Certificate] ボタンをクリックします。

  4. 証明書タイプが [tomcat-trust] であることを確認します。

  5. [Browse] ボタンをクリックしてルート証明書を探します。

    sslcert-cucm-04.gif

    注:アップロードされるファイルの名前は UC-DC_PEM.cer です。これは、Base64 エンコード PEM ファイルです。このファイルが Cisco Unified Communications Manager にアップロードされると、ファイル名が UC-DC.pem になります。Cisco Unified Communicatoins Manager は、このファイルの名前を <SUBJECT CN>.pem に変更します。

  6. [Upload File] ボタンをクリックして証明書をアップロードします。

  7. 同じ [Upload Certificate] ページで、証明書名として [tomcat] を選択します。

  8. [Root Certificate] フィールドに UC-DC.pem と入力します。

    注:これは、CA が発行した ID 証明書です。証明書チェーンを完成させるために、.pem ルート証明書を指定します。保存したルート証明書の名前は UC-DC_PEM.なので、UC-DC.pem と入力する必要があります。

    sslcert-cucm-05.gif

  9. [Upload File] ボタンをクリックします。

    注:SSL 証明書 tomcat-trust をアップデートできない場合は、Cisco Bug ID CSCsv32209登録ユーザ専用)を参照してください。

tomcat の再起動

SSH CLI から次のコマンドを使用して tomcat を再起動します。

admin: utils service restart Cisco Tomcat

tomcat の再起動後に CCMAdmin または CCMUser GUI にアクセスすれば、新しく追加した証明書が使用されていることを確認できます。

トラブルシューティング

問題

新しい tomcat 証明書のアップロード時に、次のエラー メッセージが表示されます。

Unable to read CA certificate

解決策

この問題は、ファイル拡張子を .crt から .pem に変更した後で証明書をアップロードした場合に発生します。アップロードするファイルの拡張子が .cer であることを確認してください。たとえば、アップロードされるファイルの名前は UC-DC_PEM.cer のようになります。これは、Base64 エンコード PEM ファイルです。このファイルが Cisco Unified Communications Manager にアップロードされると、ファイル名が UC-DC.pem になります。

問題

再生成されたファイルが設定ファイルの電話およびデバイス認証に含まれているファイルと一致しないと、新しい ITL ファイルでエラーが発生します。

解決策

手動で ITL ファイルを削除する方法については、『ITL ファイルの削除』を参照してください。もう 1 つの解決策として、CTL ファイルと USB eToken を使用し、クラスタ セキュリティを有効にする方法もあります。クラスタ セキュリティが有効になっていれば、以下の解決策を適用しなくても、eToken によって信頼が維持されます。これらは、ホスト名が変更されても変わりません。

クラスタ セキュリティが有効になっていない場合は、クラスタのサーバ数に応じて次の手順を実行します。

シングル サーバ クラスタの場合

IP/ホスト名を変更する前に、ロールバックを有効にします。次の手順を実行します。

  1. CM の [Prepare Cluster for Rollback to pre-8.0] エンタープライズ パラメータを [True] に設定します。

  2. TVS と TFTP を再起動します。

  3. すべての電話をリセットします。

    各電話は、空の TVS/TFTP 証明書セクションを持つ特別な ITL ファイルをダウンロードします。

  4. 空の ITL ファイルは、[Settings] > [Security] > [True List] > [ITL on the Phone, TVS and TFTP] で確認できます。このセクションが空になっているはずです。

  5. IP/ホスト名を変更し、電話をクラスタへのロールバック登録に設定できるようにします。

  6. すべての電話が正常に登録されたら、[Prepare Cluster for Rollback to pre-8.0] を [false] に設定します。その後 TVS と TFTP を再起動して、すべての電話をリセットします。

マルチサーバの場合

問題が発生するのは、電話をリセットして正常な TFTP トランザクションが実行されることなく、一度にすべてのサーバが変更された場合だけです。マルチサーバ環境では、新しく登録された証明書/ITL を確認するために、電話はプライマリとセカンダリの TVS サーバを必要とします。最新の設定変更によって電話がプライマリ TVS サーバと通信できない場合は、セカンダリ サーバにフォールバックされます。TVS サーバは、電話に割り当てられた CM グループで識別されます。IP/ホスト名の変更は一度に 1 台のサーバで実行してください。

注:上記のいずれの場合も、CTL ファイル/トークンを使用するには、IP/ホスト名/DNS ドメイン名の変更後に CTL クライアントを再実行する必要があります。

詳細は、Cisco Bug ID CSCto59461登録ユーザ専用)を参照してください。

関連するシスコ サポート コミュニティ ディスカッション

シスコ サポート コミュニティは、どなたでも投稿や回答ができる情報交換スペースです。


関連情報


Document ID: 112108