音声とユニファイド コミュニケーション : Cisco Unified Communications Manager(CallManager)

CA 署名付きマルチサーバ認証対象代替名 設定例の統合された通信 クラスタ セットアップ

2016 年 10 月 28 日 - 機械翻訳について
その他のバージョン: PDFpdf | 英語版 (2015 年 8 月 22 日) | フィードバック

概要

この資料に認証局 (CA)の使用の統合された通信 クラスタを設定する方法を-署名されたマルチサーバ認証対象代替名(SAN)記述されています。

Vasanth Kumar K によって貢献される、Cisco TAC エンジニア。

前提条件

要件

次の項目に関する知識があることが推奨されます。

  • Cisco Unified Communications Manager(CUCM)
  • CUCM IM および存在バージョン 10.5

この設定を試みる前に、これらのサービスをアップし、機能しています確認して下さい:

  • Cisco プラットフォーム管理上の Web サービス
  • Cisco Tomcat Service

Webインターフェイスのこれらのサービスを、ナビゲートは Cisco Unified サービサビリティ ページ サービス > ネットワークサービスに確認するために > サーバを選択します。 それらを CLI で確認するために、utils Service リスト コマンドを入力して下さい。

使用するコンポーネント

このドキュメントは、特定のソフトウェアやハードウェアのバージョンに限定されるものではありません。

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されたものです。 このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。 ネットワークが稼働中の場合は、コマンドが及ぼす潜在的な影響を十分に理解しておく必要があります。

背景説明

CUCM バージョン 10.5 および それ 以降では、この信頼ストア 証明書署名要求(CSR)要求は SAN および互い違いドメインを含むことができます。

  1. Tomcat
  2. Cisco CallManager(CCM)
  3. Cisco Unified 存在拡張可能なメッセージングおよび存在プロトコル(CUP-XMPP)
  4. CUP-XMPP サーバー間(S2S)

それはこのバージョンの CA署名付き証明書を得やすいです。 次に 1 CSR だけ各 Server ノードからの CSR を得、各 CSR のための CA署名付き証明書を得、それらをそれぞれ管理するために要件よりもむしろ CA によって署名するために必要となります。

設定

  1. Operating System (OS) 管理にログイン し、セキュリティ > Certificate Management > 生成する CSR にナビゲート して下さい。



  2. ディストリビューションのマルチサーバ SAN を選択して下さい。



    それ autopopulates SAN ドメインおよび親 ドメイン。



    それが生成されれば、これは下記のものを表示します:



    証明書管理では、SAN 要求は生成されます:



  3. ローカル CA かそれを署名されて得るために VeriSign のような外部 CA を使用できます。 この例は Microsoft Windows サーバーベース CA のためのコンフィギュレーションのステップを説明したものです。

    https:// <windowsserveripaddress>/certsrv/にログイン して下さい

    証明書要求を『Request a certificate』 を選択 して下さい > 進めました



  4. ここに示されているように CSR 要求を入れて下さい。





  5. 認証を得れば、Tomcat 信頼として CA 認証をアップロードし、次に Tomcat として CA署名付き証明書をアップロードして下さい。



  6. サービスを再起動されますアップロードされるノードを含む SAN リストのすべてのノードで確認して下さい。 証明書管理にリストされているマルチサーバ SAN を見ます。

確認

新しい認証が使用されるようにするために http://<fqdnofccm>:8443/ccmadmin にログイン して下さい。

CallManager マルチサーバ SAN 認証

同じようなプロシージャは CallManager 認証のために続くことができます。 この場合、autopopulated ドメインは CallManager ノードすべてです。 それが動作しない場合、それを SAN リストから保存するか、またはそこにから取除くことを選択できます。

CA によって発行される認証をインストールした後すべてのノードの CallManagerサービスを再開して下さい。

CUCM のための CA 署名付き SAN 認証を得る前に、それを確認して下さい:

  • IP Phone は信頼確認サービス(TV)を信頼できます。 これは電話から HTTPS サービスにアクセスする場合確認することができます。 たとえば社内 ディレクトリ アクセスがはたらけば、電話が TV サービスを信頼することをそして意味します。
  • それがセキュア クラスタである場合、新しい CTL ファイルが作成され、クラスタがリブートされるように Certificate trust list (CTL) クライアントが再実行されるようにして下さい。

トラブルシューティング

これらのログは CA 署名付き Certficate のマルチサーバ SAN CSR 生成およびアップロードに関する問題を識別するために Cisco Technical Assistance Center を助ける必要があります。

  • Cisco Unified OS プラットフォーム API
  • Cisco Tomcat
  • IPT プラットフォーム CertMgr ログ

既存のマルチサーバ Certifcate CUCM では、サーバのホスト名が変更すれば、認証を CA によって署名されて得ることを以前に説明されるようにマルチサーバ SAN CSR 要求を生成することを推奨します。



Document ID: 118731