Cisco Jabber 10.6 計画ガイド
証明書
証明書

証明書

証明書の検証

証明書検証プロセス

Cisco Jabber は、サービスの認証時にサーバ証明書を検証します。 セキュアな接続の確立を試みるときに、サービスが Cisco Jabber に証明書を提示します。 Cisco Jabber は、提示された証明書をクライアント デバイスのローカル証明書ストア内の証明書に照らして検証します。 証明書が証明書ストア内に存在しない場合は、信頼できないものとみなされ、Jabber からその証明書を受け入れるか拒否するかが尋ねられます。

ユーザが証明書を受け入れた場合は、Jabber がサービスに接続して、証明書を証明書ストアまたはデバイスのキーチェーンに保存します。 ユーザが証明書を拒否した場合は、Jabber がサービスに接続せず、証明書は証明書ストアまたはデバイスのキーチェーンに保存されません。

証明書がデバイスのローカル証明書ストア内に存在する場合は、Jabber が証明書を信頼します。 Jabber は、ユーザに証明書を受け入れるか拒否するかを尋ねずにサービスに接続します。

Jabber が Cisco Unified Communications Manager サーバ上の 2 つのサービスに対して認証を行います。 サービス名は Cisco Tomcat と XMPP です。 サービスごとに証明書署名要求(CSR)を生成する必要があります。 一部のパブリック認証局は 1 つの FQDN に対する複数の CSR を受け入れません。 そのため、サービスごとに CSR を別々のパブリック認証局に送信する必要があります。

IP アドレスまたはホスト名の代わりに、各サービスのサービス プロファイル内で FQDN が指定されていることを確認します。

署名証明書

証明書は、認証局(CA)で署名することも、自己署名することもできます。
  • CA 署名証明書:ユーザが自分自身で証明書をデバイスにインストールしているため、プロンプトが表示されません。 CA 署名証明書はプライベート CA またはパブリック CA で署名できます。 パブリック CA で署名された証明書の多くは証明書ストアまたはデバイスのキーチェーンに保存されます。

  • 自己署名証明書:証明書は、証明書を提示しているサービスによって署名され、ユーザは必ずその証明書を受け入れるか拒否するかを尋ねられます。

    (注)  


    自己署名証明書を使用しないことをお勧めします。


証明書検証オプション

証明書検証をセットアップする前に、証明書の検証方法を決定する必要があります。
  • オンプレミス展開とクラウドベース展開のどちらかに証明書を展開しようとしているか。

  • 証明書の署名に使用している方法。

  • CA 署名証明書を展開している場合は、パブリック CA とプライベート CA のどちらを使用するか。

  • どのサービスの証明書を取得する必要があるか。

オンプレミス サーバに必要な証明書

オンプレミス サーバは、Cisco Jabber とのセキュアな接続を確立するために、次の証明書を提示します。

サーバ

証明書

Cisco Unified Presence または Cisco Unified Communications Manager IM and Presence Service

HTTP(Tomcat)

XMPP

Cisco Unified Communications Manager

HTTP(Tomcat)と CallManager 証明書(セキュアな電話機用のセキュアな SIP コール シグナリングと CTI 接続検証)

Cisco Unity Connection

HTTP(Tomcat)

Cisco WebEx Meetings Server

HTTP(Tomcat)

Cisco VCS Expressway

Cisco Expressway-E

サーバ証明書(HTTP、XMPP、および SIP コール シグナリングに使用)

特記事項

  • SAML SSO と IdP には X.509 証明書が必要です。

  • 証明書署名プロセスを開始する前に、Cisco Unified Presence またはCisco Unified Communications Manager IM and Presence Service に対して最新のサービス更新(SU)を適用する必要があります。

  • 必要な証明書は、すべてのサーバ バージョンに適用されます。

  • クラスタ、サブスクライバ、およびパブリッシャのノードごとに、Tomcat サービスが実行され、クライアントに HTTP 証明書が提示されます。

    クラスタ内の各ノードの証明書に署名する必要があります。

  • クライアントと Cisco Unified Communications Manager 間の SIP シグナリングを保護するには、Certification Authority Proxy Function(CAPF)登録を使用する必要があります。

証明書署名要求の形式と要件

通常、パブリック認証局(CA)には特定の形式に準拠するための証明書署名要求(CSR)が必要です。 たとえば、パブリック CA は、次のような CSR を受け入れる場合があります。
  • Base 64 エンコードである。

  • 組織、OU、その他フィールドに @&! などの特定の文字を含まない。

  • サーバの公開キーで特定のビット長を使用する。

同様に、複数ノードから CSR を送信すると、パブリック CA は、すべての CSR で情報の整合性がとれていることを必要とする場合があります。

CSR の問題を回避するために、CSR を送信するパブリック CA からの形式の要件を確認する必要があります。 次に、サーバを構成する際に、入力する情報がパブリック CA が要求する形式に適合していることを保証する必要があります。

FQDN あたり証明書 1 つ:いくつかのパブリック CA は、完全修飾ドメイン名(FQDN)あたり 1 つの証明書にのみ署名します。

たとえば、単一の Cisco Unified Communications Manager IM and Presence Service ノードの HTTP 証明書と XMPP 証明書に署名するには、それぞれの CSR を別々のパブリック CA に送信する必要があります。

失効サーバ

証明書を検証するには、失効情報を提供できる到達可能なサーバの [CDP] または [AIA] フィールドに HTTP URL が証明書に含まれている必要があります。 CA が証明書を取り消した場合は、クライアントがユーザにそのサーバへの接続を許可しません。

ユーザには次の結果が通知されません。
  • 証明書に失効情報が含まれない。

  • 失効サーバにアクセスできない。

証明書が検証済みであることを確認するには、認証局(CA)が発行した証明書を取得したときに、次の要件のいずれかを満たしている必要があります。
  • CRL Distribution Point(CDP)フィールドに、失効サーバ上の認証失効リスト(CRL)への HTTP URL が含まれていることを確認します。

  • Authority Information Access(AIA)フィールドに、オンライン証明書ステータス プロトコル(OCSP)サーバの HTTP URL が含まれていることを確認します。

証明書のサーバ識別情報

署名プロセスの一部として、CA は証明書のサーバ識別情報を指定します。 クライアントがその証明書を検証する場合、次のことを確認します。
  • 信頼できる機関が証明書を発行している。

  • 証明書を提示するサーバの識別情報は、証明書に明記されたサーバの識別情報と一致します。


(注)  


パブリック CA は、通常、サーバの識別情報として、IP アドレスではなく、ドメインを含む完全修飾ドメイン名(FQDN)を必要とします。


ID フィールド

クライアントは、識別情報の一致に関して、サーバ証明書の次の識別子フィールドを確認します。
  • XMPP 証明書
    • SubjectAltName\OtherName\xmppAddr

    • SubjectAltName\OtherName\srvName

    • SubjectAltName\dnsNames

    • Subject CN

  • HTTP 証明書
    • SubjectAltName\dnsNames

    • Subject CN


ヒント


[件名 CN(Subject CN)] フィールドには、左端の文字(たとえば、*.cisco.com)としてワイルドカード(*)を含めることができます。


ID の不一致の防止

ユーザが IP アドレスでサーバに接続し、サーバ証明書が FQDN でサーバを識別しようとすると、クライアントは、信頼できるポートとサーバを識別できないため、ユーザにとって良い結果をもたらしません。

サーバ証明書が FQDN でサーバを識別する場合、環境全体の FQDN として各サーバ名を指定する必要があります。

クラウドベースのサーバの証明書要件

Cisco WebEx Messenger と Cisco WebEx Meeting Center はクライアントに次の証明書を提示します。
  • CAS

  • WAPI

重要:

Cisco WebEx 証明書はパブリック認証局(CA)によって署名されます。 Cisco Jabber がこれらの証明書を検証し、クラウドベース サービスとのセキュアな接続を確立します。

Cisco Jabber for Windows 9.7.2 と Cisco Jabber for Mac 9.6.1 以降では、Cisco Jabber が Cisco WebEx Messenger から受信した XMPP 証明書を検証します。 オペレーティング システムに Cisco WebEx Messenger 用の次の証明書が含まれていない場合は、それらを入力する必要があります。
  • VeriSign Class 3 Public Primary Certification Authority:G5(信頼されたルート認証局に保存される)

  • VeriSign Class 3 Secure Server CA:G3(中間認証局に保存される)

中間認証局に保存されている証明書によって WebEx Messenger サーバ ID が検証されます。

Cisco Jabber for Windows 9.7.2 以降の場合は、http://www.identrust.co.uk/certificates/trustid/install-nes36.html でルート証明書の詳細情報とインストール手順を確認できます。

Cisco Jabber for Mac 9.6.1 以降の場合は、http://support.apple.com の Apple サポート Web サイトでルート証明書の詳細情報を確認できます。